CN111222159B - 基于图计算技术的云平台数据泄漏路径识别方法 - Google Patents

基于图计算技术的云平台数据泄漏路径识别方法 Download PDF

Info

Publication number
CN111222159B
CN111222159B CN201911388772.6A CN201911388772A CN111222159B CN 111222159 B CN111222159 B CN 111222159B CN 201911388772 A CN201911388772 A CN 201911388772A CN 111222159 B CN111222159 B CN 111222159B
Authority
CN
China
Prior art keywords
behavior
data leakage
elements
cloud platform
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911388772.6A
Other languages
English (en)
Other versions
CN111222159A (zh
Inventor
刘恕涛
文占婷
王红伟
薛彬彬
岳桂华
陈锦
王禹
成林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
China Information Technology Security Evaluation Center
Original Assignee
CETC 30 Research Institute
China Information Technology Security Evaluation Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute, China Information Technology Security Evaluation Center filed Critical CETC 30 Research Institute
Priority to CN201911388772.6A priority Critical patent/CN111222159B/zh
Publication of CN111222159A publication Critical patent/CN111222159A/zh
Application granted granted Critical
Publication of CN111222159B publication Critical patent/CN111222159B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/128Details of file system snapshots on the file-level, e.g. snapshot creation, administration, deletion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/34Browsing; Visualisation therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及计算机信息系统技术领域,公开了基于图计算技术的云平台数据泄漏路径识别方法。包括数据泄漏触发集合设置、事件影响路径集合获取、数据泄漏行为路径查找几个步骤。上述技术方案先设置一个可能触发泄露的触发行为集合,再基于关系度构建子图的方法,筛选出资源和最远行为,获取影响路径元素集合,最终采用起点、必经点、终点的方式找出数据泄露的行为路径;通过该过程能够发现隐藏在正常行为序列中的数据泄漏行为序列,最大限度还原数据泄漏场景的行为。

Description

基于图计算技术的云平台数据泄漏路径识别方法
技术领域
本发明涉及计算机信息系统技术领域,特别是基于图计算技术的云平台数据泄漏路径识别方法。
背景技术
随着云计算技术的大力发展,使用云平台进行IT运维已成为业界的主流,但对于云平台上操作行为的识别方法,主要还是依赖于通过正则表达式对采集的文本数据进行单项匹配,实现对单个行为的识别与提取,而对于多个行为集合产生的二度隐藏行为的识别还缺少一套行之有效且通用的方法。但是多数导致云平台上数据泄漏的行为,实际上很多都是隐藏在正常的操作行为中的,如给一台已经创建的虚拟机打快照,然后利用该快照创建另外一台虚拟机,从而实现将原虚拟机的数据内容转移到另外一台虚拟机。如何从一组正常的操作行为序列中,识别出隐藏的泄漏数据(的操作目前缺少一套行之有效的方法。
同时,云平台的操作行为由于依赖的相关资源较多,一个行为往往直接触发另外一个行为,如创建虚拟机往往伴随着创建网卡操作,由于这些行为之间的关联性带有云平台的特点,传统的逻辑评估影响范围无法适用,如何将关联触发的云平台操作行为与原始的操作行为进行有效关联评估分析也就缺乏相应的方法和技术手段。
针对上述问题,设计了一种通用的利用图计算技术来识别导致云平台数据泄漏的云平台操作行为的方法。
所谓的图是数学中图论的一个定义,指一种由顶点和边组成的数据结构。任何一个图实际上都可以看作是一些点和集合加上一些边(两点之间的连线)构成。其可以很好地表达数据之间的关联性,通过路径分析对于事物之间的关联更具适用性。
发明内容
本发明所要解决的技术问题是:为了还原云平台上操作行为导致的数据泄漏场景,识别导致数据泄漏场景的相关行为路径,提供了基于图计算技术的云平台数据泄漏路径识别方法。
本发明采用的技术方案如下:基于图计算技术的云平台数据泄漏路径识别方法,包括:
步骤S1,根据数据泄露情况,设置触发数据泄露的触发行为集合;
步骤S2,获取触发行为的目的对象集合,并以目的对象集合O中的中心元素(用数学集合概念抽象表示)为中心设置关系度为N;
所述关系度是形容两个元素之间距离的单位,对象集合中的元素通过关系度连接到其它元素(其它元素不限于一个集合中的元素,可能是多个元素),筛选出元素中的中间资源和最远行为,所述最远行为是与中心元素关系度最大的行为,所述中间资源是中心元素到最远行为路径上的所有资源,形成中间资源集R合和最远行为集合B,将目的对象集合O、中间资源集合R、最远行为集合B取并集获取影响路径元素集合O∩R∩B;其中资源是指资源池化的服务器,网络和存储设备;
步骤S3,在影响路径元素集合中查找是否存在资源类型,如果存在则选择触发行为集合中元素为起点,该资源类型所在的中间资源集合中的元素为必经中间点,最远行为集合中的元素为终点,形成数据泄露的行为数据。
进一步的,所述步骤S1中,选择触发行为时,首先满足选择的触发行为涉及的源资源和目的资源均包含数据的资源类型,其次选择的触发行为为创建类或挂载类操作。
进一步的,所述资源类型包括但不限于卷、虚拟机系统盘及其快照备份、虚拟机数据盘及其快照备份。
进一步的,所述触发行为包括以下要素:行为发生时间、行为名字、目的对象、操作者、行为结果。
进一步的,将触发行为作为图论中的一个点,触发行为的要素放置到图中存储为不同类型的结果数据。
进一步的,所述步骤S2中筛选出元素涉及的资源和最远行为的方法为:根据六度空间理论,以目的对象集合中的中心元素为中心设置关系度为6,确定该元素的影响范围子图;在影响范围子图中,根据大类标识来区分筛选出资源;选取距离目的对象路径最长的行为。
进一步的,所述步骤S3中,选择起点时应循环选择触发行为集合中的所有元素。
进一步的,所述步骤S3中,选择终点时应循环选择最远行为集合中的所有元素。
与现有技术相比,采用上述技术方案的有益效果为:本发明采用的技术方案先设置一个可能触发泄露的触发行为集合,再基于关系度构建子图的方法,筛选出资源和最远行为,获取影响路径元素集合,最终采用起点、必经点、终点的方式找出数据泄露的行为路径,能够发现隐藏在正常行为序列中的数据泄漏行为序列,最大限度还原数据泄漏场景的行为。
附图说明
图1是本发明基于图计算技术的云平台数据泄漏路径识别方法流程示意图。
图2是本发明的行为及其要素的数据结构示意图。
图3是本发明的行为及其要素的数据结构的其中一个实施例示意图。
图4是本发明数据泄漏行为路径查找过程示意图。
具体实施方式
下面结合附图对本发明做进一步描述。
为了还原云平台上操作行为导致的数据泄漏场景,首先需要识别导致数据泄漏场景的相关行为路径。本实施了的基于图计算技术的云平台数据泄漏路径识别方法主要如图1的几个步骤,首先设置数据泄漏触发集合,然后获取事件影响路径集合,最后进行数据泄漏行为路径查找。
(1)设置数据泄漏触发集合
数据泄漏行为的识别首先是建立在数据已经被泄漏的场景基础之上,根据数据泄露的场景选择可能的触发行为。本发明的方法是按照泄漏的结果影响倒推的方式逐步还原数据泄漏的场景。导致数据泄漏的操作行为路径可能有很多条,但是最后导致数据最终泄漏的行为却并不多。因此,还原的第一步首先设置数据泄漏的触发集合,找到可能触发数据泄漏的行为集合。需要根据不同的数据泄漏情况选择不同的触发行为集合。
由于只有卷、盘及其快照存储有虚拟机数据,如果其成为构成其他虚拟机的数据源,则发生了数据泄露。故整个触发行为集合需要满足条件有两个:1.其目的对象承载有数据,可作为泄露源;2.行为可使得上述数据源可被其他虚拟机使用。因此,选择的标准首先是该行为涉及的源资源和目的资源都必须是包含数据的资源类型,主要包括卷、虚拟机系统盘及其快照备份、虚拟机数据盘及其快照备份等;另外,行为必须是创建类或者挂载类操作。满足上述条件即为数据泄漏的触发集合。例如虚拟机所属系统盘数据泄漏主要选取创建虚拟机、挂载磁盘、复制系统盘镜像为触发行为集合。
集合中的行为,根据云平台行为的特点其均由以下五要素构成:行为发生时间、行为名字、目的对象、操作者、行为结果。可以将这五要素放置到图中,不同属性的节点,存储不同类型的数据结构。如图2的数据结构,将集合中的每一个行为当作图论中的一个点,这里假定其中的一个点为A1;行为的目的对象、操作者当作与之关联的资源节点和人员节点,行为发生时间和行为结果作为行为的属性。如图3的数据结构,行为名称A1具体为“创建虚拟机”,目的对象为“虚拟机A”,人员节点为“张三”,行为发生时间为“2019-02-03 10:00:12”,行为结果为“成功”。
(2)获取事件影响路径元素集合
获取事件影响路径集合主要是将触发云平台事件行为集合中的目的对象形成一个目的对象集合。根据六度空间理论(一个人和任何一个陌生人之间所间隔的人不会超过6个,也就是说最多通过五个中间人就能够认识任何一个陌生人),我们以目的对象集合中的中心元素为中心,关系度设置为6,即可得到该元素的影响范围子图。然后再筛选出其中涉及的资源和最远行为,所述最远行为是图中与目的对象关系度(图中所有的行为与目的对象关系度小于等于6)最大的行为,所述最远行为也可理解成离目的对象路径最长的行为。进而组成两个中间资源集合和最远行为集合,将目的对象集合、中间资源集合和最远行为集合取并集则为事件影响路径元素的集合。
(3)数据泄漏行为路径查找
根据云平台的特点,云平台中的数据主要集中在虚拟机系统盘、快照、卷、卷备份几类资源类型,将上述几类特定资源类型作为泄漏行为路径中的必经节点类型。具体做法就是在事件影响路径元素集合中查找是否存在该资源类型。如果存在,如图4所示,则查找以触发事件集合中元素为起点(需要循环触发事件集合中元素为起点),存在的泄漏行为路径必经点为中间点(中间点为中间资源集合中元素),最远行为集合中的元素(需要循环最远行为集合中的所有元素)为终点的行为路径,查找出来的结果即为数据泄漏路径。
其中一个实施例:以系统盘数据泄露为例,创建一个虚拟机,其由别的虚拟机的系统盘的快照备份还原而来,这就构成了系统盘数据泄露,在这条路径中:创建虚拟机为起点(其为触发事件集合中的一个元素),必经点为系统盘和快照,终点为创建快照。图中满足可以将这些资源和行为按照起点、中间点、终点串起来形成的路径就是数据泄露的行为路径。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。

Claims (9)

1.基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,包括:
步骤S1,根据数据泄露情况,设置触发数据泄露的触发行为集合;
步骤S2,获取触发行为的目的对象集合,并以目的对象集合O中的中心元素为中心设置关系度为N,所述关系度是形容两个元素之间距离的单位,对象集合中的元素通过关系度连接到其它元素,所述其它元素是云平台中除了中心元素之外的所有元素;筛选出元素中的中间资源和最远行为,所述最远行为是与中心元素关系度最大的行为,所述中间资源是中心元素到最远行为路径上的所有资源,形成中间资源集R合和最远行为集合B,将目的对象集合O、中间资源集合R、最远行为集合B取并集获取影响路径元素集合O∩R∩B;
步骤S3,在影响路径元素集合中查找是否存在资源类型,如果存在则选择触发行为集合中元素为起点,该资源类型所在的中间资源集合中的元素为必经中间点,最远行为集合中的元素为终点,形成数据泄露的行为数据;
根据六度空间理论,以目的对象集合中的中心元素为中心设置关系度为6,确定该元素的影响范围子图;在影响范围子图中,根据大类标识来区分筛选出资源;选取距离目的对象路径最长的行为;
触发行为集合满足条件:1.其目的对象承载有数据,作为泄露源;2.行为使得数据源被其他虚拟机使用,该行为涉及的源资源和目的资源都必须是包含数据的资源类型,所述资源 类型包括卷、虚拟机系统盘及其快照备份、虚拟机数据盘及其快照备份,行为必须是创建类或者挂载类操作;集合中的行为,均由以下五要素构成:行为发生时间、行为名字、目的对象、操作者、行为结果,将这五要素放置到图中,不同属性的节点,存储不同类型的数据结构。
2.如权利要求1所述的基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,包括:
所述步骤S1中,选择触发行为时,首先满足选择的触发行为涉及的源资源和目的资源均包含数据的资源类型,其次选择的触发行为为创建类或挂载类操作。
3.如权利要求2所述的基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,所述资源类型包括但不限于卷、虚拟机系统盘及其快照备份、虚拟机数据盘及其快照备份。
4.如权利要求1所述的基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,所述触发行为包括以下要素:行为发生时间、行为名字、目的对象、操作者、行为结果。
5.如权利要求4所述的基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,将触发行为作为图论中的一个点,触发行为的要素放置到图中存储为不同类型的结果数据。
6.如权利要求1所述的基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,所述步骤S2中筛选出元素涉及的中间资源和最远行为的方法为:根据六度空间理论,以目的对象集合中的中心元素为中心设置关系度为6,确定该元素的影响范围子图;在影响范围子图中,根据大类标识来区分筛选出资源;选取距离目的对象路径最长的行为。
7.如权利要求1所述的基于图计算技术的云平台数据泄漏路径识别方法,其中资源是指资源池化的服务器,网络和存储设备。
8.如权利要求1所述的基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,所述步骤S3中,选择起点时应循环选择触发行为集合中的所有元素。
9.如权利要求1所述的基于图计算技术的云平台数据泄漏路径识别方法,其特征在于,所述步骤S3中,选择终点时应循环选择最远行为集合中的所有元素。
CN201911388772.6A 2019-12-30 2019-12-30 基于图计算技术的云平台数据泄漏路径识别方法 Active CN111222159B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911388772.6A CN111222159B (zh) 2019-12-30 2019-12-30 基于图计算技术的云平台数据泄漏路径识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911388772.6A CN111222159B (zh) 2019-12-30 2019-12-30 基于图计算技术的云平台数据泄漏路径识别方法

Publications (2)

Publication Number Publication Date
CN111222159A CN111222159A (zh) 2020-06-02
CN111222159B true CN111222159B (zh) 2022-07-05

Family

ID=70829144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911388772.6A Active CN111222159B (zh) 2019-12-30 2019-12-30 基于图计算技术的云平台数据泄漏路径识别方法

Country Status (1)

Country Link
CN (1) CN111222159B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102447695A (zh) * 2011-11-14 2012-05-09 中国科学院软件研究所 一种识别业务系统中关键攻击路径的方法
CN103309979A (zh) * 2013-06-15 2013-09-18 昆明能讯科技有限责任公司 一种基于图论的知识立方体模型算法
CN103997515A (zh) * 2014-04-25 2014-08-20 西安电子科技大学昆山创新研究院 一种分布式云中计算中心选择方法及其应用
CN106453217A (zh) * 2016-04-13 2017-02-22 河南理工大学 一种基于路径收益计算的网络攻击路径行为的预测方法
CN106570399A (zh) * 2016-09-30 2017-04-19 西北大学 一种跨App组件间隐私泄露的检测方法
CN106599695A (zh) * 2016-06-03 2017-04-26 南京大学 一种基于路径合并的可引导符号执行漏洞检测方法
CN108737462A (zh) * 2017-04-17 2018-11-02 华东师范大学 一种基于图论的云计算数据中心任务调度方法
CN109451557A (zh) * 2018-12-24 2019-03-08 广东理致技术有限公司 一种无线传感器网络动态分簇路由方法及装置
CN110022311A (zh) * 2019-03-18 2019-07-16 北京工业大学 一种基于攻击图的云外包服务数据泄露安全测试用例自动化生成方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102332009B (zh) * 2011-09-02 2013-09-04 北京大学 一种大规模数据集上的关系查询方法
CN103218397B (zh) * 2013-03-12 2016-03-02 浙江大学 一种基于无向图修改的社交网络隐私保护方法
US11265337B2 (en) * 2018-05-04 2022-03-01 Citrix Systems, Inc. Systems and methods for traffic inspection via an embedded browser

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102447695A (zh) * 2011-11-14 2012-05-09 中国科学院软件研究所 一种识别业务系统中关键攻击路径的方法
CN103309979A (zh) * 2013-06-15 2013-09-18 昆明能讯科技有限责任公司 一种基于图论的知识立方体模型算法
CN103997515A (zh) * 2014-04-25 2014-08-20 西安电子科技大学昆山创新研究院 一种分布式云中计算中心选择方法及其应用
CN106453217A (zh) * 2016-04-13 2017-02-22 河南理工大学 一种基于路径收益计算的网络攻击路径行为的预测方法
CN106599695A (zh) * 2016-06-03 2017-04-26 南京大学 一种基于路径合并的可引导符号执行漏洞检测方法
CN106570399A (zh) * 2016-09-30 2017-04-19 西北大学 一种跨App组件间隐私泄露的检测方法
CN108737462A (zh) * 2017-04-17 2018-11-02 华东师范大学 一种基于图论的云计算数据中心任务调度方法
CN109451557A (zh) * 2018-12-24 2019-03-08 广东理致技术有限公司 一种无线传感器网络动态分簇路由方法及装置
CN110022311A (zh) * 2019-03-18 2019-07-16 北京工业大学 一种基于攻击图的云外包服务数据泄露安全测试用例自动化生成方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"A Multigranularity Forensics and Analysis Method on Privacy Leakage in Cloud Environment,";D.Zou等;《IEEE Internet of Things Journal》;20190430;第6卷(第2期);第1484-1494页 *
"基于图模型的C程序数据流分析";常超等;《浙江大学学报(工学版)》;20170515;第51卷(第5期);第1007-1015页 *
"基于图论的搜索有功输电断面的研究";黎元凯;《中国优秀硕士学位论文全文数据库工程科技Ⅱ辑》;20100215(第2010-02期);第C042-163页 *

Also Published As

Publication number Publication date
CN111222159A (zh) 2020-06-02

Similar Documents

Publication Publication Date Title
US10649838B2 (en) Automatic correlation of dynamic system events within computing devices
CN109034993B (zh) 对账方法、设备、系统及计算机可读存储介质
US7007144B2 (en) Method, apparatus, and computer readable medium for managing back-up
US20160055044A1 (en) Fault analysis method, fault analysis system, and storage medium
CN109558411A (zh) 一种基于区块链数据的下链同步方法及装置
CN108683668B (zh) 内容分发网络中的资源校验方法、装置、存储介质及设备
CN109255056B (zh) 区块链的数据引用处理方法、装置、设备及存储介质
CN108647357B (zh) 数据查询的方法及装置
US20120278580A1 (en) Data storage reclamation systems and methods
CN110188103A (zh) 数据对账方法、装置、设备和存储介质
CN108289034A (zh) 一种故障发现方法和装置
CN114490375B (zh) 应用程序的性能测试方法、装置、设备及存储介质
US20230281179A1 (en) Load Balancing For A Storage System
CN113760847A (zh) 日志数据处理方法、装置、设备及存储介质
CN109947730A (zh) 元数据恢复方法、装置、分布式文件系统及可读存储介质
CN111222159B (zh) 基于图计算技术的云平台数据泄漏路径识别方法
CN109918077A (zh) 代码管理方法、装置、计算机设备和存储介质
US20160026712A1 (en) Prefix matching using distributed tables for storage services compatibility
CN115599295A (zh) 一种存储系统的节点扩容方法和装置
CN116166737A (zh) 资源拓扑图的生成方法、装置、电子设备及可读存储介质
CN114265900A (zh) 一种数据处理方法、装置、电子设备及存储介质
CN109254880A (zh) 一种处理数据库宕机的方法及装置
CN111061712A (zh) 一种数据连接操作的处理方法及装置
CN112181825A (zh) 测试案例库构建方法、装置、电子设备及介质
CN112527813A (zh) 业务系统的数据处理方法及装置、电子设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant