为主体和证据链作为IP地址计 算的因素。
[0025] 作为优选,所述威胁预测分析,主要利用基于时间序列分析的态势预测算法,时间 序列分析是根据系统观测得到的时间序列数据,通过曲线拟合和参数估计来建立数学模型 的理论和方法。本专利将利用一阶灰色预测GM(1,1)模型、ARMA模型和Holt-Winter模型三 种方法的优势,对威胁分别进行预测,然后将三种方法的预测值进行比较和融合。
[0026] 与现有技术相比,本发明的优点在于:采用三级分析方式,对数据的操作行为进行 逐级分析,深度逐级挖掘其异常行为。分别为:(a)对危险行为进行快速发现并阻断;(b)对 可疑行为进行持续跟踪和深度分析;(c)从历史多源数据中挖掘其是否存在APT攻击行为; 采用流式聚类方法,解决在大数据开放环境下,数据实时聚类需求;采用σ代数(o-algebra) 和鞅论(martingale theory)方法解决隐含隐私关系发现难题。
[0027] "智能化(Intelligence)"与"可视化(Visibility)"是数据安全异常监测的亮点。 这也是公共平台(如:智慧城市)的信息安全主管最为关注的。与传统安全信息管理系统的 简单信息汇总所不同,系统能够为企业最高决策层展现整体的、实时的安全和合规态势。通 过数据可视化,决策者可以很容易了解关键的趋势和动态,而具体执行人员也可以通过多 层下拉表单来了解具体细节。
[0028]在实际使用工作中,我们将通过Syslog、旁路监听、安装在数据库中的触发器转发 等方式采集数据,将在保存在数据采集服务器上,数据采集服务器提供数据收集、数据规范 化处理、审计对象管理、数据查询等服务:一方面将收集到的原始数据保存在数据库中,将 标准化数据通过ActiveMQ发送给子管理控制中心,同时提供原始数据的查询服务;另一方 面通过ActiveMQ接受审计管理中心进行管理(包括收集状态查询、服务启停、审计对象的配 置等),为了保证服务的远程授权访问,采用基于证书的加密和认证。
[0029]管理中心采用集群的方式,对采集到的数据进行处理、分析和展示。该系统采用B/ S架构,不同人员通过IE或其他浏览器即可对数据进行查询、处理和分析等操作,相关管理 人员也可图形化展示,直观的了解数据的安全状况,以及感知数据安全的发展动态,当发生 安全事件时,及时进行处置。
【附图说明】
[0030] 图1为本发明的公共信息平台中的数据安全异常监测系统架构;
[0031] 图2为本发明的数据采集结构图;
[0032] 图3为本发明的数据流快速聚类框架图;
[0033]图4为本发明的系统工作流程图。
【具体实施方式】
[0034]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实 施例,都属于本发明保护的范围。
[0035] 实施例:参见图1、图2、图3和图4,
[0036] 本专利采用"三级分析检测"的思路来构架公共信息平台中的数据安全异常监测 系统架构,根据不同场景,采用不同的方式来分析系统是否存在异常行为。框架如图1所示:
[0037] 本系统分为数据层、分析层和展示层。基础数据主要来自于:①旁路分流对数据的 操作行为,进行协议分析得到其行为数据;②获取系统日志、设备日志、应用日志和数据库 日志等;③同时采集内网安全日志信息。分析层采取三级分析方式对数据进行不同粒度的 分析。展示层主要然后运用可视化技术,对安全威胁进行可视化展示,帮助决策者直观了解 系统的安全威胁趋势和动态,执行人员也可以通过多层下拉表单来了解具体细节。下面分 别对各层采用的关键技术进行描述。
[0038] 1)多源数据采集方法
[0039]如图2所示,日志采集服务器主要进行日志收集(使用Syslog4 j、JDBC接口)、日志 规范化处理、审计对象管理、日志查询任务:一方面将收集到的原始日志保存在数据库中, 将标准化日志通过ActiveMQ发送给子管理控制中心,同时提供原始日志的查询服务;另一 方面通过ActiveMQ接受审计管理中心进行管理(包括收集状态查询、服务启停、审计对象的 配置等),为了保证服务的远程授权访问,采用基于证书的加密和认证。
[0040] 对于数据库的管理和业务访问操作,采用DDL触发器主动监控DDL语句的执行,当 有对数据库执行DDL就会触发,我们把这些信息保存到表中,并且把操作用户的HostName和 修改的T-SQL发送到日志采集服务器上,对T-SQL语句进行解析后,将其通过Act i veMQ发送 给子管理控制中心。
[0041] 2)三级数据分析
[0042] (1)首先,基于规则的流式数据异常检测方法,快速检测访问行为是否存在异常。
[0043] 由于云计算、物联网以及移动终端的普及和推广,公共信息平台中的数据是海量 的,且是动态变化的。因此,在定义用户/进程对数据的访问规则时,无法精确到具体数据, 只能根据数据类的安全级别进行访问规则定义,将数据准确快速的聚合到一个数据类是分 析其行为是否异常的关键。本专利采用基于流式数据快速聚类方法,分为快速计算、数据概 念漂移检测、聚类三个模块。通过数据概念漂移检测模块检测数据是否发生漂移,当发生漂 移时,利用聚类模块对快速计算后的数据进行聚类,否则数据类不发生变化。当用户访问数 据时,触发用户行为异常检测模块,根据访问控制规则分析该用户是否具有访问该数据类 的权限。流式数据快速聚类框架如图3所示。
[0044]快速计算模块:该模块负责对数据流做快速简单的处理,并获得快速的计算中间 处理结果,以便用于其他模块的后续处理。其中应用于快速处理的方案是:首先进行数据流 数据过滤,然后进行数据特征的抽取,最后将数据快速聚类。前者通过降低数据流中数据的 量,如数据过滤等计算,因为在公共信息平台中,大多数数据都属于安全级别最低的公共数 据,可以将这类数据直接进行类别划分,不用参加聚类操作;而后者是通过减少单个数据的 存储量,提取摘取数据的特征而不用直接对原始数据进行处理,从而减少空间的压力,并且 通过特征提取提高聚类效果;最后,根据数据的安全特征,将这类数据划分到不同的类别 中。
[0045] 数据概念漂移检测模块:该模块负责对数据进行概念漂移的分析和检测,通过对 快速计算层提供的中间数据进行相关计算,进而判断数据是否发生概念漂移,进而触发聚 类层的聚类操作并提供相应的数据参数。相对与原有的数据集而言,新的数据集在一些特 性上已经发生了变迀,从而导致前后两个数据集呈现的含义或特征不同。本专利主要是关 注前后聚类簇集信息的演变,对数据概念漂移的评估主要是从簇集演变角度出发,若簇新 增的量或簇消失的量超过特定的阈值、或者新数据集过度分散,则认为数据概念发生重要 漂移。为了对数据概念漂移进行更好描述,本文将数据概念漂移发生的程度划分成6个级别 {L | L = 0,1,…,5 },级别越高表明概念漂移的程度越大,反之亦然。
[0046] 聚类模块:框架中处理聚类的一个核心模块,其实被动式触发型聚类模块。只有在 必要(也即是被触发)时候,利用前面的中间的结果和相关的参数信息进行精细化的正式聚 类计算,并在执行聚类后返回合适的聚类结果。
[0047]在大数据环境下,我们采用基于密度的聚类算法OPTICS,这种方法的思想就是当 区域内点的密度大于某个阀值,就把这些点归于一类,因此这种基于密度的聚类算法天生 就有很强的寻找离群噪音点的能力。一般聚类算法最终得出的都是固定参数下的具体分类 结果,而OPTICS则不然,OPTICS最终得出的是一个在一定参数区间--最小领域半径(ε-neighborhood)下包含所有分类可能的点的序列,这个序列里的每个点都记录了它在此特 定参数区间下的2个属性--核心距离(core distance)以及可达距离(reachability distance)。通过这个序列,我们可以很方便的得出在参数ε '下(当ε ' < ε-neighborhood时) 数据点的分类结果。OPTICS具有2个很重要的特