一种数据动态防泄漏与预警方法及系统与流程

本发明涉及数据安全领域中，一种针对数据防泄漏系统的终端用户行为实时审计与预警方法。

背景技术：

随着信息科学与互联网技术的飞跃发展，安全问题愈演愈烈，网络与信息安全已获得到前所未有的关注。其中，数据防泄漏系统作为数据安全的终端防护手段，适应需求变化，逐渐向智能化、实时化方向发展。对此，北京明朝万达科技股份有限公司提出一种针对数据防泄漏系统终端用户，实时审计其操作行为，及时预警可疑用户操作的方法。

目前，数据防泄漏系统构建有传统日志审计模式与功能组件。终端在用户数据操作过程中产生相应的数据管控日志，周期性上传至系统服务器端进行简单处理与存储，并在后期根据管理需要进行日志展现。该方式仅能在安全事件发生后用于事后审计，系统无法在短时间内发现终端用户潜在的危险操作，从而及时预警并避免发生数据泄漏事件。

同时，数据防泄漏系统依靠传统用户认证方式(例如口令认证、域认证等)进行终端用户管理操作(例如登录、注销等)，一旦用户正常登录，考虑操作便捷性等问题，一般不会进行二次认证。其他用户可能使用当前登录用户进行一些未授权操作。

最后，很多微小数据泄漏事件都是智能手机拍照功能导致的。尽管泄漏的数据量较小，但后果往往都很严重。严格的个人智能手机管理措施可以避免绝大部分该类事件的发生，但也对数据防泄漏系统终端用户造成了较大不便，依然存在发生该类途径导致数据泄漏的可能性。传统的数据防泄漏终端基本无法防止该类用户行为。

综上所述，现有数据防泄漏系统终端在三个方面存在不足，即日志审计的延时性、用户认证的简单性与用户外部拍摄行为的不可管控性。通过建立完善的终端用户管理制度并严格执行，可大大降低上述系统不足(特别是后两者)导致的数据泄露几率，但也对正常的用户操作造成严重干扰，影响工作效率，制约生产力的提高。现有数据防泄漏系统的日志审计与用户认证结构如图1所示。

因此，迫切需要一种能实时进行用户行为(包括用户识别、行为识别)审计，并在终端用户行为出现异常时(例如登录用户变更操作主体等)及时预警的方案，在避免对操作效率造成影响的情况下，提高数据防泄漏系统的安全事件响应能力。

本发明使用大规模用户行为日志实时分析、基于深度学习的操作主体识别与主体行为识别技术，在用户无感知的情况下对终端用户行为进行实时审计，识别潜在可疑用户行为并及时预警，健全整个数据防泄漏系统的管控手段。

技术实现要素：

为解决上述技术问题，本发明提供了一种数据动态防泄漏与预警方法，该方法包括以下步骤：

操作主体绑定，将用户认证信息与用户生物特征图像进行绑定；

用户行为日志分析训练，对用户行为进行日志采集，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；

操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；

主体行为识别，利用机器学习技术识别特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；

用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；

用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；

用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。

优选的，所述用户生物特征包括但不限于：人脸、虹膜。

优选的，所述机器学习技术训练的数据包括：文件操作行为、网络操作行为、应用程序操作行为。

优选的，所述主体行为识别结果包括：用户使用手机或其他视觉采集设备拍摄终端屏幕。

优选的，与用户行为日志相关的数据包括：时间戳、终端信息、登录用户名、操作数据元信息、操作主体特征图像、主体行为特征图像。

为解决上述技术问题，本发明提供了一种数据动态防泄漏及预警系统，该系统包括：

用户行为识别模块，基于已有的用户行为模型分析判断用户行为语义，产生用户行为日志特征结果；

操作主体识别模块，使用采集的操作主体生物特征与绑定的用户生物特征进行比对，产生操作主体特征结果；

主体行为识别模块，使用采集的主体行为生物特征与已建立的危险行为特征进行比对，产生主体行为特征结果；

用户行为异常计算模块，基于机器学习技术使用上述三个结果进行用户行为的异常指数计算；

用户行为预警模块，基于异常指数计算结果，根据预先设定的预警策略，决定是否进行用户行为预警。

优选的，该系统还包括：

用户行为日志采集模块，接收终端发送的相关日志数据；

优选的，该系统还包括：

用户行为日志清洗模块，将接收的相关日志数据进行数据清洗，剔除不完整或不合规的日志数据；

优选的，该系统还包括：

用户行为日志分离模块，分离普通的日志数据、操作主体特征及主体行为特征。

为解决上述技术问题，本发明提供了一种数据防泄漏用户行为实时审计与预警系统，该系统包括：多个用户终端及服务器；

所述终端实现：日志采集、用户生物特征图像采集与用户行为特征图像采集，并将采集的数据上报给服务器；

所述服务器，执行以下操作：

用户行为日志分析训练，对用户行为进行日志采集，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；

操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；

主体行为识别，利用机器学习技术识别行为特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；

用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；

用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；

用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。

为解决上述技术问题，本发明提供了一种用于数据防泄漏用户行为实时审计与预警系统的服务器，该服务器包括：处理器和计算机存储介质，该计算机存储介质存储有计算机指令，当该处理器执行所述计算机指令时，实现以下操作：

接收数据，接收日志数据、用户生物特征图像与用户行为特征图像；

用户行为日志分析训练，通过机器学习技术训练获得该用户的用户行为模型，基于所述用户行为模型分析判断用户行为语义，得到用户行为识别结果；

操作主体识别，利用机器学习技术识别用户生物特征图像，并与终端登录用户绑定的用户生物特征图像进行对比，识别是否为登录用户；

主体行为识别，利用机器学习技术识别行为特征图像，并与指定的行为特征图像进行对比，识别操作主体是否有特定操作；

用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；

用户行为计算，使用用户行为特征数据作为输入，基于机器学习技术，以所述用户行为模型为参考，计算获得用户行为异常指数；

用户行为预警，将所述用户行为异常指数与设定的预警阈值进行比较，如果大于预警阈值，向管理员产生预警信息。

采用本发明的技术方案，数据防泄漏系统终端仅需要使用摄像头进行操作主体与行为的视觉采集，在终端用户无感知的情况下，由服务器端进行大规模用户行为日志分析、操作主体识别与主体行为识别等操作，实现实时用4户行为审计及预警。在可疑数据泄露事件发生之后极短时间内，及时响应并警告相关管理人员，大大降低数据泄露事件的发生几率，有效避免由此造成的恶劣影响。同时，该方案也不会对普通的用户行为操作造成干扰，影响正常工作，降低效率。

附图说明

图1为现有数据防泄漏系统的审计与认证结构。

图2为本发明的终端组成结构。

图3为本发明的服务器端组成结构。

图4为本发明的日志分析流程。

图5是本发明的操作主体识别流程。

图6是本发明的主体行为识别流程。

图7是本发明的异常用户行为计算与预警流程。

图8是应用本发明的实施例。

具体实施方式

下面结合附图以及具体实施例对本发明作进一步的说明，但本发明的保护范围并不限于此。

<用户行为实时审计与预警方法>

本发明提供了一种数据防泄漏系统终端用户行为实时审计与预警方法，该方法包括以下步骤：

操作主体绑定，将用户认证信息与用户生物特征(人脸)进行绑定；

用户行为日志分析训练，设定一段时间对用户行为进行日志采集，结合用户认证建立该用户的行为模型；

用户行为预警策略建立，根据具体管理制度与实际需要，建立识别到潜在危险用户行为时的预警处理策略；

加载日志分析模型、操作主体数据与行为预警策略等；

当终端用户进行操作时，采集相关操作行为(包括但不限于数据管控操作，还可以包含其他操作信息)上传至服务器端；同时，终端视觉输入设备(摄像头)周期性(根据需要与相应策略可调整间隔时间)采集当前操作主体的生物视觉特征(人脸)与生物动作特征(例如是否正在使用手机拍照)，上传至服务器端；

服务器端进行三类操作，包括：日志分析，判断该用户行为是否存在异常；操作主体识别，判断是否与当前登录用户的生物特征匹配；主体行为识别，是否正在拍照或其他危险行为。最终获得用户行为异常指数；

根据该异常指数，结合预警策略，决定是否进行用户行为预警提示。

根据本发明的方法，优选地，所述方法需要包括终端与服务器端。

根据本发明的方法，优选地，所述操作主体生物特征为人脸。

根据本发明的方法，优选地，所述危险主体行为包括操作人员使用手机或其他视觉采集设备拍摄屏幕。

根据本发明的方法，优选地，用户行为日志数据包括时间戳、终端信息(包括但不限于网卡mac地址、ip地址)、登录用户名、操作数据元信息(文件、文本、图像等)、操作主体生物特征图像、主体行为特征图像。

本发明还提供了一种数据动态防泄漏系统，该系统包括：

用户行为日志采集模块，接收终端发送的相关日志数据；

用户行为日志清洗模块，将接收的日志数据进行数据清洗，剔除不完整或不合规的日志数据；

用户行为日志分离模块，分离普通的日志数据、操作主体特征及主体行为特征；

用户行为语义构建模块，组装连续的用户行为日志，构建语义级的用户行为，完成细粒度至粗粒度的数据转化；

用户行为识别模块，基于已有的用户行为模型分析判断用户行为语义，产生用户行为日志特征结果；

操作主体识别模块，基于深度学习，使用采集的操作主体生物特征与绑定的用户生物特征进行比对，产生操作主体特征结果；

主体行为识别模块，基于深度学习，使用采集的主体行为生物特征与已建立的危险行为特征进行比对，产生主体行为特征结果；

用户行为异常计算模块，基于机器学习技术使用上述三个结果进行用户行为的异常指数计算；

用户行为预警模块，基于异常指数计算结果，根据预先设定的预警策略，决定是否进行用户行为预警。

图2为本发明的终端组成结构，该终端除了常见的终端基本硬件设备外，还包括视觉输入硬件(摄像头)，用于采集用户生物特征图像和用户行为特征图像。软件方面除原有数据防泄漏组件外，还包括本发明要求加强的日志采集、日志上报、操作主体特征采集与主体行为特征采集功能。

图3为本发明的服务器端组成结构，除原有数据防泄漏服务器组件外，还包括本发明要求加强的日志接收、处理功能。此外，还包括操作主体识别、主体行为识别、用户行为计算与用户行为预警等功能。

图4为本发明日志分析流程，包括以下方法步骤：

基于日志的用户行为模型训练，基于日常的用户行为，通过机器学习(主要包括深度学习)技术训练获得该用户的用户行为模型，训练数据包括文件操作行为、网络操作行为、应用程序操作行为等；

用户行为日志采集，利用hook技术等实现对用户操作行为的采集，采集信息与训练信息类型一致；

用户行为日志上报，根据设置的周期定时将日志上传至服务器端进行日志审计；

用户行为语义构建，将采集到的用户行为日志进行语义级构建，即将细粒度的操作日志组在语义层面合并为粗粒度但更贴近人类理解的用户行为；

用户行为识别，基于行为角度，处理语义级用户行为，剔除无关行为数据，确保最终数据的有效性。

图5是为本发明操作主体识别流程，包括以下方法步骤：

操作主体生物特征采集，使用终端视觉输入设备定期采集当前操作终端的用户特征图像；

操作主体特征上传，将特征图像进行压缩后上传至服务器端；

操作主体识别，服务器端利用机器学习(包括深度学习技术)识别特征图像，并与终端登录用户绑定的特征图像进行对比，识别是否为登录用户。

图6是为本发明操作主体行为识别流程，包括以下方法步骤：

主体行为特征采集，使用终端视觉输入设备定期采集当前操作终端的用户行为；

主体行为特征上传，将特征图像进行压缩后上传至服务器端；

主体行为识别，服务器端利用机器学习技术(包括深度学习技术)识别特征图像，并与指定的行为特征图像(例如手持智能手机对准终端等)进行对比，识别操作主体是否有特定操作。

基于上述各步骤，图7是为本发明异常用户行为计算与预警流程，包括以下方法步骤：

用户行为数据整合，将用户行为识别结果、操作主体识别结果与主体行为识别结果进行整合，转换为用户行为特征数据；

用户行为计算，使用用户行为特征作为输入，基于机器学习技术(包括深度学习技术)，以用户行为模型为参考，最终计算获得用户行为的异常指数；

用户行为预警，用户行为异常指数与设定的预警阈值进行比较，一旦大于预警阈值，系统向管理员产生预警信息，并提供系统认为异常的用户行为日志、操作主体图像与主体行为图像。

<实施例>

如图8所示，某小型银行客户基于本发明方法升级了已部署运行的数据防泄漏系统，构建了用户行为实时审计与预警机制。该机制基于数据终端，通过添加的摄像头动态采集操作人员的人脸图像与操作人员的行为图像，并将两类图像与操作日志周期性上传至数据防泄漏系统的服务器端审计与预警模块。该服务器端除了已部署的数据防泄漏系统相关服务器，还添加了如下服务器：

1台用于终端日志收集与预处理的虚拟服务器；

1台用于日志语义构建与识别的虚拟服务器；

1台用于操作主体与主体行为识别的物理服务器；

1台用于用户行为计算与预警的虚拟服务器。

该数据防泄漏系统用户行为实时审计与预警模块工作正常，经过测算，在部署500台终端的场景下，操作人员更换后进行非授权操作或使用智能手机进行拍照等行为，系统可在7秒内发现异常并进行预警提示，同时提供了执行异常行为的证据。

采用本发明的技术方案，数据防泄漏系统终端仅需要安装并使用摄像头进行操作主体与行为的视觉采集，在操作人员无感知无干扰的情况下，利用后台服务器的计算能力，实时采集、分析、审计终端用户行为。在可疑数据泄露事件发生之后极短时间内，提供异常行为证据及时响应并警告相关管理人员，将泄漏的数据及时封闭在工作场所中，大大降低数据泄露事件的发生几率，有效避免由此造成的恶劣影响。同时，该方案也不会对普通的用户行为操作造成干扰，影响正常工作，降低效率。

以上实施例仅作为本发明保护方案的示例，不对本发明的具体实施方式进行限定。