一种基于事件关联的敏感数据溯源检测系统及方法与流程

本发明涉及数据安全，尤其涉及一种基于事件关联的敏感数据溯源检测系统及方法。

背景技术：

1、在大数据飞速发展的时代，各类数据迅猛增长、海量聚集，随着组织、企业、个人等开展数据活动，在给公众提供便利的同时，也引发数据泄露、数据窃取、数据篡改等一系列的数据安全问题。在现实环境数据流转过程中，经常发生敏感数据泄露，然而现实数据流转环境复杂多变，难以追溯。发现面对复杂场景情况下，针对敏感数据溯源检测方法单一、关联匹配程度浅、对数据操作行为一致性要求高等导致大量敏感数据泄露行为遗漏和溯源不精准问题，难以及时告警和追溯。

2、目前溯源技术大多针对入侵检测、网络异常行为检测等网络安全方向，有部分提出敏感数据数据溯源方法主要针对业务实体关联关系，这样对检测要求较高，敏感数据识别粒度较粗，准确性相对较低。

3、例如，中国专利cn202211673526.7公开了一种基于大数据的数据安全防漏管理方法、系统和介质，该方法包括：对用户的数据资源进行分类分级和数据分布描述，建立数据资源地图画像，并提取关键层级和敏感数据，根据访问端行为相关的关键敏感数据对访问端进行身份相关性辨识和异常性判断，根据异常行为信息进行溯源找到数据源，对数据源模块建立虚拟场景模型并对信息进行风险系数评估，以及风险的防漏响应和机制调整；然而该方案没有考虑事件的关联性，存在数据溯源准确性差的问题。

技术实现思路

1、本发明主要解决现有的技术中敏感数据进行数据溯源的过程存在准确性差的问题；提供一种基于事件关联的敏感数据溯源检测系统及方法，对现有业务系统和网络环境无改造操作，考虑事件的关联性，数据溯源准确性高，有效保障数据安全。

2、本发明的上述技术问题主要是通过下述技术方案得以解决的：一种基于事件关联的敏感数据溯源检测系统，包括：流量解析模块以及与流量解析模块连接的敏感数据溯源模块，所述敏感数据溯源模块还连接有数据库操作日志审计模块，所述数据库操作日志审计模块连接分类分级模块；所述流量解析模块采集用户访问业务系统的数据流量，将访问数据还原后写入敏感数据溯源模块；所述分类分级模块生成敏感策略和敏感数据信息并发送给数据库操作日志审计模块和敏感数据溯源模块；所述数据库操作日志审计模块生成审计日志，结合分类分级模块的结果，得到审计敏感信息；所述敏感数据溯源模块根据流量解析模块还原的数据识别接口数据，计算审计敏感信息与接口查询响应返回内容的关联度。当客户端的用户对业务系统产生动作时，流量解析模块以及数据库操作日志审计模块分别获取业务系统的接口数据和审计敏感信息，将两者结合进行关联度计算，得到用户在业务系统上的全部敏感操作路径，相比于单独进行接口数据的字段审核或者数据库操作审核后进行单一的敏感数据查询进而进行数据溯源的方式，具备更加良好的敏感数据发现度，获取的敏感数据更多更加全面，且结合了接口数据的时间信息，数据溯源定位更加精准，且全程对现有业务系统和网络环境无改造操作，充分考虑事件的关联性，敏感数据的整个操作路径更加清晰明确，数据溯源准确性高，有效保障数据安全。

3、作为优选，所述的数据库操作日志审计模块对访问数据库操作的数据库、数据表以及字段进行审计，对数据库的查询、删除、更新操作生成审计日志，通过敏感策略配置，得到审计敏感信息。

4、作为优选，所述的接口数据包括服务端ip、域名、目的端口、请求方法、请求uri、查询条件、请求体信息以及响应体信息。

5、作为优选，所述的敏感数据溯源模块根据接口数据和敏感策略识别敏感接口，所述敏感接口根据请求时间、域名、请求uri、服务端ip、服务端端口、敏感标签、敏感字段、敏感级别、请求方ip、请求体信息以及响应体信息进行判定。

6、作为优选，所述的审计敏感信息包括事件类型、请求时间、响应时间、事件源名称、请求数据源事件源类型、数据源类型、数据源地址、数据源端口、请求语句、数据库名称、数据源meta、数据源响应返回的数据以及数据源响应返回的数据大小。

7、作为优选，所述的数据库操作日志审计模块还配置有审计白名单，所述审计白名单包括数据库名、表名、字段名信息。设置审计白名单，防止审计数据量过大，给审计敏感信息进行瘦身操作，减少工作量，提高工作效率，但依然保证敏感数据的筛选准确性。

8、作为优选，所述的关联度的计算方法为：获取审计敏感信息的字段信息，将审计敏感信息的字段信息作为第一数据集合，获取接口查询响应返回内容的字段信息，将接口查询响应返回内容的字段信息作为第二数据集合，采用关联度函数结合第一数据集合和第二数据集合计算关联值。

9、本发明还提供一种基于事件关联的敏感数据溯源检测方法，包括以下步骤：

10、采集用户访问业务系统的接口数据；

11、对接口数据进行识别得到敏感接口，获得接口查询响应返回内容；

12、对业务系统的数据库、数据表、字段进行审计生成审计日志；

13、基于敏感策略配置，根据审计日志得到审计敏感信息；

14、计算审计敏感信息与接口查询响应返回内容的关联值；

15、根据计算得到的关联值判断审计敏感信息与接口查询响应返回内容关联度；

16、基于关联度获得客户端到服务端发起请求事件的内容关联，将客户端、服务端的敏感数据访问传输内容关联，对敏感数据访问泄露传输整个完整过程溯源，并制定敏感数据溯源关联表。

17、本发明的有益效果是：通过流量解析模块以及数据库操作日志审计模块分别获取业务系统的接口数据和审计敏感信息，将两者结合进行关联度计算，得到用户在业务系统上的全部敏感操作路径，相比于单独进行接口数据的字段审核或者数据库操作审核后进行单一的敏感数据查询进而进行数据溯源的方式，具备更加良好的敏感数据发现度，获取的敏感数据更多更加全面，且结合了接口数据的时间信息，数据溯源定位更加精准，且全程对现有业务系统和网络环境无改造操作，充分考虑事件的关联性，敏感数据的整个操作路径更加清晰明确，数据溯源准确性高，有效保障数据安全。

技术特征：

1.一种基于事件关联的敏感数据溯源检测系统，其特征在于，包括：

2.根据权利要求1所述的一种基于事件关联的敏感数据溯源检测系统，其特征在于，

3.根据权利要求1所述的一种基于事件关联的敏感数据溯源检测系统，其特征在于，

4.根据权利要求1或2或3所述的一种基于事件关联的敏感数据溯源检测系统，其特征在于，

5.根据权利要求1所述的一种基于事件关联的敏感数据溯源检测系统，其特征在于，

6.根据权利要求1所述的一种基于事件关联的敏感数据溯源检测系统，其特征在于，

7.根据权利要求1所述的一种基于事件关联的敏感数据溯源检测系统，其特征在于，

8.一种基于事件关联的敏感数据溯源检测方法，适用于如权利要求1-7任一项所述的一种基于事件关联的敏感数据溯源检测系统，其特征在于，包括以下步骤：

技术总结
本发明公开了一种基于事件关联的敏感数据溯源检测系统及方法，包括流量解析模块以及与流量解析模块连接的敏感数据溯源模块，敏感数据溯源模块还连接有数据库操作日志审计模块，数据库操作日志审计模块连接分类分级模块；敏感数据溯源模块根据流量解析模块还原的数据识别接口数据，计算审计敏感信息与接口查询响应返回内容的关联度；本发明通过流量解析模块以及数据库操作日志审计模块分别获取业务系统的接口数据和审计敏感信息，将两者结合进行关联度计算，得到用户在业务系统上的全部敏感操作路径，充分考虑事件的关联性，敏感数据的整个操作路径更加清晰明确，数据溯源准确性高，有效保障数据安全。

技术研发人员：陈斌,许文英,李德智,吴建强,李博,罗强,戢茜,刘嘉
受保护的技术使用者：华信咨询设计研究院有限公司
技术研发日：
技术公布日：2024/3/12