CN112667660A - 一种基于复杂事件识别的企业内部信息系统数据泄露识别方法 - Google Patents
一种基于复杂事件识别的企业内部信息系统数据泄露识别方法 Download PDFInfo
- Publication number
- CN112667660A CN112667660A CN202011547188.3A CN202011547188A CN112667660A CN 112667660 A CN112667660 A CN 112667660A CN 202011547188 A CN202011547188 A CN 202011547188A CN 112667660 A CN112667660 A CN 112667660A
- Authority
- CN
- China
- Prior art keywords
- event
- data leakage
- module
- user
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法。该方法收集的企业内部信息系统的用户操作数据,并根据企业内部定义的数据泄露复杂事件规则,检测数据是否泄露。该方法主要包括4个步骤:用户操作事件收集、复杂事件规则的定义、复杂事件规则的状态机转化和复杂事件的匹配。本发明提出的基于复杂事件识别的企业内部信息系统数据泄露侦测方法可以准确识别多步骤的用户操作的复杂事件检测,支持并发的复杂事件识别,支持复杂事件规则的运行时修改,并且支持识别乱序的原始用户事件,兼具识别的准确性、易用性和高性能,其能在秒级返回识别结果。
Description
技术领域
本发明涉及计算机网络安全领域,具体涉及一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法。
背景技术
在网络安全领域中,企业内部信息系统的数据泄露是一个非常棘手的问题,该问题对企业安全带来非常大的隐患,并对企业造成了巨大的损失。
企业内部信息系统的数据泄露事件通常不是简单事件,它是由多个相关的用户操作组成的复杂事件,每个用户操作之间有一定的关系,如时序关系(指用户操作的时间顺序关系,如″登录″事件必须发生在″下载文件″事件之前)、空间关系(指用户操作之间的空间关联,如″登录″事件和″下载文件″事件必须发生在同一台服务器)等。目前对于上述类型的复杂事件识别,通常有如下两类方案:
第一种为批处理方案。该方案首先将企业内部信息系统的用户操作事件存储于数据库,然后使用识别程序定期扫描数据库存储的所有用户事件,然后根据定义的数据泄露复杂事件的规则,进行复杂事件的识别;
第二种为流处理方案。该方案将企业内部信息系统的用户事件作为数据流输入到流式处理系统,这些流式系统需要支持复杂事件处理,例如Siddhi和Flink CEP。这些系统根据定义的数据泄露复杂事件的规则,对输入的用户事件数据流进行复杂事件的识别。
但是,上述两种方案都有缺点。具体为,在第一种方案下,对复杂事件的识别需要扫描全部的用户操作事件,虽然识别的准确率高,但这会导致匹配事件的时间很长,延时很高,达不到高性能的要求;而在第二种方案下,对复杂事件的识别的准确率也较高,延时由于是流式处理而很低,但是这种方案有一些缺陷,例如Siddhi不支持乱序处理,准确性受到影响,而Flink CEP不支持运行时修改数据泄露复杂事件的规则,易用性不足。
专利CN111971658A公开一种用于高效风险抑制的脆弱性评估和提供相关服务和产品的系统和方法,在说明性实施例中,用于网络脆弱性评估的系统和方法包括:获得评估数据,评估数据包括与企业的网络安全脆弱性的域有关的信息,以及对于每个安全域,相应的域级别脆弱性分数;基于(一个或多个)域级别脆弱性分数识别与所述企业相关的(一个或多个)风险;识别推荐产品或服务,以用于减轻每个风险;并且准备图形用户界面,以用于选择推荐产品或服务中的一部分。用户可以通过用户界面选择一个或多个产品或服务,以进行购买和/或部署计划。基于一些推荐产品或服务的应用,可以将域级别脆弱性分数与同行脆弱性分数、目标脆弱性分数或预期脆弱性分数进行比较。
专利CN107209825A公开一种用于跟踪计算设备中的数据流的方法和设备,其经由存储器监测的数据流跟踪,包括:监测计算设备的硬件组件中的存储器以识别从已污染存储器地址读取信息的读取操作,使用启发法来识别在所识别的读取操作之后执行的第一数量的操作、第二数量的操作、以及第三数量的操作,将在第一数量的操作之后并且在第二数量的操作之前执行的写入操作的存储器地址标记为已污染的,以及将在第三数量的操作之后并且在第二数量的操作之前执行的写入操作的存储器地址标记为未污染的。处理器可以配置有处理器可执行的指令,以用于执行操作,还包括识别从已污染存储器地址中的一个已污染存储器地址读取信息的第一软件应用,监测由第一软件应用做出的应用编程接口调用,基于所监测的API调用来生成行为向量信息结构,将行为向量信息结构应用于分类器模型以生成基于行为的分析结果,以及使用基于行为的分析结果来确定第一软件应用是否为非良性的。
专利CN107409126A公开了一种用于保护企业计算环境安全的系统和方法,该专利提供的方法和系统包括网络智能系统,统一应用防火墙和云安全结构,该云安全结构具有用于连接到企业的信息技术基础设施的企业API的,用于使开发者能够访问该结构的能力的开发者API102,以及连接器API,结构可以通过连接器API发现与企业的信息安全相关的实体的信息(例如在多个具有云能力的平台(包括PaaS/laaS平台)上发生的涉及企业的用户、应用和数据的事件),其中云安全结构具有包括部署在云安全结构中的服务的各种模块,例如选择性加密模块、策略创建和自动化模块、作为服务模块的内容分类以及用户和实体行为分析模块。
专利CN109446817A公开了一种大数据检测与审计系统,所述大数据检测与审计系统至少包括展现层、业务层、分析层、采集层和检测对象层。通过本大数据安全监测与审计系统,实现了大数据平台操作系统、数据库以及大数据平台组件的漏洞自动扫描和发现,并基于组件日志采集和分析实现敏感数据异常访问和操作行为识别和审计,强化了大数据平台漏洞补丁管理体系,增强了大数据平台敏感数据异常行为安全审计能力,指导了大数据平台技术防护体系的建设与完善,有效杜绝了因为系统漏洞和内部违规操作造成的敏感数据泄露、篡改等安全事件的发生。与现有技术相比,本发明的有益效果为:通过本大数据安全监测与审计系统,实现了大数据平台操作系统、数据库以及大数据平台组件的漏洞自动扫描和发现,并基于组件日志采集和分析实现敏感数据异常访问和操作行为识别和审计,强化了大数据平台漏洞补丁管理体系,增强了大数据平台敏感数据异常行为安全审计能力,指导了大数据平台技术防护体系的建设与完善,有效杜绝了因为系统漏洞和内部违规操作造成的敏感数据泄露、篡改等安全事件的发生。
综上所述,目前,上述两种传统的企业内部信息系统的数据泄露事件识别无法同时满足下面的要求:
1.无法同时满足保证对复杂事件识别时的高准确率和低延时;
2.支持企业内部信息数据处理的各类事件中,这些事件的识别需要按照事件的顺序才能被识别,而对符合约定设定顺序的事件,即乱序事件,并不能有效识别;或者正常的乱序事件也需要在后台中形成顺序事件后在执行;
3.目前的对数据传输和读取时无法支持运行时修改数据泄露模式的识别规则。
面对上述技术问题,人们希望提供一种具备高准确率和低延时的设备,并且能够处理乱序事件,支持运行时修改数据泄露模式的识别规则,提供处理事件的能力。但到目前为止,现有技术中并无有效办法解决上述技术难题。
发明内容
本发明的目的在于提供一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法,它将收集企业内部信息系统的用户操作事件,并根据企业内部定义的数据泄露复杂事件规则,侦测数据泄露事件的发生,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,所述数据泄露侦测系统包括用户事件采集模块、数据泄露事件规则管理模块、数据泄露事件识别模块和数据泄露事件预警模块、多个设备和外部事务,所述用户事件采集模块和所述数据泄露事件识别模块通信连接,所述数据泄露事件识别模块分别和所述数据泄露事件预警模块、所述数据泄露事件规则管理模块通信连接;其中,
所述用户事件采集模块和多个所述设备信号连接,从而所述用户事件采集模块接收来自各个设备的用户操作事件,所述设备包括但不限于计算机、服务器、路由器、网关;各个所述设备都设有埋点程序,用于监控用户的操作事件,所述操作事件包括登陆、注销、访问文件、下载文件、使用U盘,然后将所述操作事件发送给所述用户事件采集模块,所述用户事件采集模块收集这些用户操作事件,将所述用户操作事件转发给所述数据泄露事件识别模块;
所述数据泄露事件规则管理模块让企业内部人员定义和更新数据泄露事件的识别规则,然后将所述识别规则保存起来,供所述数据泄露事件识别模块轮询;
所述数据泄露事件识别模块定时轮询数据泄露事件规则管理模块,以更新需要识别的数据泄露事件的识别规则,获取到所述识别规则后,所述数据泄露事件识别模块对所述识别规则执行状态机转化;用户操作事件到来后,所述数据泄露事件识别模块会改变状态机的状态,并在到达合适的状态时生成数据泄露事件,传入数据泄露事件预警模块,从而完成数据泄露事件的识别;
所述数据泄露事件预警模块接受数据泄露事件识别模块识别出的数据泄露事件,并将该事件广播给上层服务,以提供预警的功能。
优选的,在所述的设备中,根据不同设备的特点和连续事件响应时间间隔特点,对不同的所述设备,设置相应的事件的发生延时表,并存储于所述数据泄露事件规则管理模块中,供泄露事件识别时使用。
优选的,对各所述设备分别设置相应的预先常规处理事件模块用于检测相应的设备发出的用户事件,该预先常规处理事件模块预先储存有相应的常规的用户事件,当所述预先常规处理事件模块检测到所述用户事件不是储存于其内的常规的用户事件时,将该异常发送给所述数据泄露事件识别模块并发送给所述数据泄露事件规则管理模块,提醒用户是否运行该事件执行,否则不允许该事件执行。
优选的,所述数据泄露侦测系统还包括用户操作数据采集层,所述用户操作数据采集层包括日志与信息采集模块、连通性验证模块和存活性验证模块;通过所述数据采集层完成各所述设备的事件信息和相应的外部事务接收通知信息的采集,并定期对所述数据泄露事件和相应的外部事务处理进行分析,查找是否存在出现异常处理请。
优选的,还包括安全漏洞分析模块,其对所需操作系统、数据库、应用软件及大数据组件信息进行侦测与收集,和敏感数据异常行为数据进行采集;并基于验证模块完成对设备和各连接节点是否存在操作系统、数据库、Web应用、网络系统以及大数据组件漏洞验证。
优选的,收集描述敏感数据的访问情况和用户异常访问情况,其中敏感数据的访问情况从用户访问情况,敏感类别访问情况、敏感级别访问情况进行统计,用户异常访问情况主要定期统计各一定时间段范围内各个用户异常访问产生的告警;根据异常行为分析的结果,为运维人员提供安全维护建议。
优选的,当数据泄露事件识别模块检测到数据泄露事件时,所述数据泄露事件预警模块阻止上述事件发生,并进行报警。
另外一方面,本申请还提供一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法,包括基于复杂事件识别的企业内部信息系统数据泄露侦测系统,具体数据泄露侦测方法包括以下步骤:
步骤S1,用户操作事件收集:该方法需要在不同终端(如计算机、服务器、路由器等设备)安装用户操作监控程序,该程序会将用户操作转换成用户操作事件,发送给用户事件采集模块。用户事件采集模块会将事件转发给数据泄露事件识别模块进行数据泄露的事件识别;
步骤S2,复杂事件规则的定义:数据泄露事件是一个多步骤的复杂事件,需要用户进行预定义;用户需要指定数据泄露事件中每一步用户操作的操作内容、各步骤之间的时空限制、用户操作的步骤数等等。定义好后,用户将定义发送给数据泄露事件规则管理模块,该模块会将定义保存,提供给数据泄露事件识别模块进行轮询;它也实现了运行时更新规则的功能,一旦规则更新,数据泄露事件识别模块就可以通过轮询感知到规则变更,从而更新识别的规则;其中,定义数据泄露规则的方式如下:
a)首先定义规则名,该规则名全局唯一;
b)然后定义″用户操作″,确定″用户操作″有哪些字段,例如操作时间、操作地点、操作用户等,这部分使用类SQL语言定义;
c)接着定义″数据泄露事件″,确定″数据泄露事件″有哪些字段,例如数据泄露的时间、数据泄露类型、用户操作列表等,这里也使用了类SQL语言定义;
d)最后定义数据泄露事件规则,这部分也使用类SQL语言定义;
步骤S3,复杂事件规则的状态机转化:数据泄露事件识别模块可通过轮询数据泄露事件规则管理模块,从而获取识别规则;而拉取的规则不能立刻用于识别,该模块会将步骤S2保存的规则(类SQL语句)转化成状态机,用于数据泄露复杂事件的识别。状态机包含了初始状态、最终状态和一系列的中间状态,当状态机的状态到达最终状态时,说明识别到数据泄露复杂事件;所述状态机的规则是:
a)数据泄露事件包含2个步骤:″登录服务器A″,″下载服务器A下的file文件″;
b)时间约束:″登录服务器A″在先,″下载服务器A下的file文件″在后,且两个事件的时间间隔不超过5秒;
c)空间约束:两个事件的发起的网络地址必须相同。
步骤S4.复杂事件的匹配:经过第3步的状态机转化后,该方法就可以执行数据泄露事件的匹配了。该方法接收用户事件采集模块传入的用户操作数据,并变更状态机的状态,当状态机达到了最终态后,即识别到了数据泄露事件,然后将该事件发送给数据泄露事件预警模块,数据泄露事件预警模块会将事件广播给上层服务,以供外部预警。
优选地,在其中的步骤S3中,其支持乱序处理,这部分的主要原理为维护一个确定时长的乱序窗口,具体操作流程如下:
步骤S31,当事件乱序发生时,该方法会给先到达的事件维护一个乱序窗口,等待延迟到来的事件;
步骤S32,在这个窗口内,若接收到延迟到来的事件,那么就会开始执行复杂事件的识别逻辑,识别这组事件是否为数据泄露事件;
步骤S3,落在窗口外的延迟到来的事件将会被丢弃,识别复杂事件的逻辑中止。
优选的,所述数据泄露规则定义:
a.首先定义规则名,该规则名全局唯一,这里定义为″敏感文件下载″;
b.接着定义″用户事件″的字段,从而利用该定义可转化为如下的类SQL代码;
c.然后定义″数据泄露事件″的字段,从而利用该定义可转化为类SQL代码;
d.最后定义数据泄露规则,该定义可转化为如下类SQL代码;
e.定义完成后,将定义发送给数据泄露事件规则管理模块,该模块将规则保存,而数据泄露事件识别模块轮询规则的变更,将定义的规则转化为状态机。
与现有技术相比,本发明的有益效果是:
1、针对传统的企业内部信息系统的数据泄露事件识别产生的问题,本发明提出了一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法,不仅保证了识别的高准确率和低延时(延时可达秒级),而且支持事件的乱序处理,以及支持运行时修改数据泄露事件的识别规则。
2、本发明可以实现系统文件级操作的监测,处理,比如可以实现系统级的禁止指定文件写入的操作,禁止系统自动升级,禁止外来文件的写入等等。
附图说明
图1为本发明的基于复杂事件识别的企业内部信息系统数据泄露侦测系统的架构示意图;
图2为本发明的数据泄露事件规则转化为状态机的流结构构示意图。
图中:1、用户事件采集模块;2、数据泄露事件规则管理模块;3、数据泄露事件识别模块;4、数据泄露事件预警模块;5、设备;6、外部事务。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实施例一:
请参阅图1,本发明提供一种技术方案:一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,所述数据泄露侦测系统包括用户事件采集模块1、数据泄露事件规则管理模块2、数据泄露事件识别模块3和数据泄露事件预警模块4、多个设备5和外部事务6,所述用户事件采集模块1和所述数据泄露事件识别模块3通信连接,所述数据泄露事件识别模块3分别和所述数据泄露事件预警模块4、所述数据泄露事件规则管理模块2通信连接;其中,
所述用户事件采集模块1和多个所述设备5信号连接,从而所述用户事件采集模块1接收来自各个设备5的用户操作事件,所述设备5包括但不限于计算机、服务器、路由器、网关;各个所述设备5都设有埋点程序,用于监控用户的操作事件,所述操作事件包括登陆、注销、访问文件、下载文件、使用U盘,然后将所述操作事件发送给所述用户事件采集模块1,所述用户事件采集模块1收集这些用户操作事件,将所述用户操作事件转发给所述数据泄露事件识别模块3;
所述数据泄露事件规则管理模块2让企业内部人员定义和更新数据泄露事件的识别规则,然后将所述识别规则保存起来,供所述数据泄露事件识别模块3轮询;
所述数据泄露事件识别模块3定时轮询数据泄露事件规则管理模块2,以更新需要识别的数据泄露事件的识别规则,获取到所述识别规则后,所述数据泄露事件识别模块3对所述识别规则执行状态机转化;用户操作事件到来后,所述数据泄露事件识别模块3会改变状态机的状态,并在到达合适的状态时生成数据泄露事件,传入数据泄露事件预警模块4,从而完成数据泄露事件的识别;
所述数据泄露事件预警模块4接受数据泄露事件识别模块识别出的数据泄露事件,并将该事件广播给上层服务,以提供预警的功能。
优选的,在所述的设备中,根据不同设备的特点和连续事件响应时间间隔特点,对不同的所述设备,设置相应的事件的发生延时表,并存储于所述数据泄露事件规则管理模块2中,供泄露事件识别时使用。
优选的,对各所述设备分别设置相应的预先常规处理事件模块用于检测相应的设备发出的用户事件,该预先常规处理事件模块预先储存有相应的常规的用户事件,当所述预先常规处理事件模块检测到所述用户事件不是储存于其内的常规的用户事件时,将该异常发送给所述数据泄露事件识别模块3并发送给所述数据泄露事件规则管理模块2,提醒用户是否运行该事件执行,否则不允许该事件执行。
优选的,所述数据泄露侦测系统还包括用户操作数据采集层,所述用户操作数据采集层包括日志与信息采集模块、连通性验证模块和存活性验证模块;通过所述数据采集层完成各所述设备的事件信息和相应的外部事务接收通知信息的采集,并定期对所述数据泄露事件和相应的外部事务处理进行分析,查找是否存在出现异常处理请。
优选的,还包括安全漏洞分析模块,其对所需操作系统、数据库、应用软件及大数据组件信息进行侦测与收集,和敏感数据异常行为数据进行采集;并基于验证模块完成对设备和各连接节点是否存在操作系统、数据库、Web应用、网络系统以及大数据组件漏洞验证。
优选的,收集描述敏感数据的访问情况和用户异常访问情况,其中敏感数据的访问情况从用户访问情况,敏感类别访问情况、敏感级别访问情况进行统计,用户异常访问情况主要定期统计各一定时间段范围内各个用户异常访问产生的告警;根据异常行为分析的结果,为运维人员提供安全维护建议。
优选的,当数据泄露事件识别模块检测到数据泄露事件时,所述数据泄露事件预警模块阻止上述事件发生,并进行报警。
具体实施例二:
另外一方面,本申请还提供一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法,包括基于复杂事件识别的企业内部信息系统数据泄露侦测系统,具体数据泄露侦测方法包括以下步骤:
步骤S1,用户操作事件收集:该方法需要在不同终端(如计算机、服务器、路由器等设备)安装用户操作监控程序,该程序会将用户操作转换成用户操作事件,发送给用户事件采集模块。用户事件采集模块会将事件转发给数据泄露事件识别模块进行数据泄露的事件识别;
步骤S2,复杂事件规则的定义:数据泄露事件是一个多步骤的复杂事件,需要用户进行预定义;用户需要指定数据泄露事件中每一步用户操作的操作内容、各步骤之间的时空限制、用户操作的步骤数等等。定义好后,用户将定义发送给数据泄露事件规则管理模块,该模块会将定义保存,提供给数据泄露事件识别模块进行轮询;它也实现了运行时更新规则的功能,一旦规则更新,数据泄露事件识别模块就可以通过轮询感知到规则变更,从而更新识别的规则;其中,定义数据泄露规则的方式如下:
a)首先定义规则名,该规则名全局唯一;
b)然后定义″用户操作″,确定″用户操作″有哪些字段,例如操作时间、操作地点、操作用户等,这部分使用类SQL语言定义;
c)接着定义″数据泄露事件″,确定″数据泄露事件″有哪些字段,例如数据泄露的时间、数据泄露类型、用户操作列表等,这里也使用了类SQL语言定义;
d)最后定义数据泄露事件规则,这部分也使用类SQL语言定义;
步骤S3,复杂事件规则的状态机转化:数据泄露事件识别模块可通过轮询数据泄露事件规则管理模块,从而获取识别规则;而拉取的规则不能立刻用于识别,该模块会将步骤S2保存的规则(类SQL语句)转化成状态机,用于数据泄露复杂事件的识别。状态机包含了初始状态、最终状态和一系列的中间状态,当状态机的状态到达最终状态时,说明识别到数据泄露复杂事件;所述状态机的规则是:
a)数据泄露事件包含2个步骤:″登录服务器A″,″下载服务器A下的file文件″;
b)时间约束:″登录服务器A″在先,″下载服务器A下的file文件″在后,且两个事件的时间间隔不超过5秒;
c)空间约束:两个事件的发起的网络地址必须相同。
步骤S4,复杂事件的匹配:经过第3步的状态机转化后,该方法就可以执行数据泄露事件的匹配了。该方法接收用户事件采集模块传入的用户操作数据,并变更状态机的状态,当状态机达到了最终态后,即识别到了数据泄露事件,然后将该事件发送给数据泄露事件预警模块,数据泄露事件预警模块会将事件广播给上层服务,以供外部预警。
优选地,在其中的步骤S3中,其支持乱序处理,这部分的主要原理为维护一个确定时长的乱序窗口,具体操作流程如下:
步骤S31,当事件乱序发生时,该方法会给先到达的事件维护一个乱序窗口,等待延迟到来的事件;
步骤S32,在这个窗口内,若接收到延迟到来的事件,那么就会开始执行复杂事件的识别逻辑,识别这组事件是否为数据泄露事件;
步骤S3,落在窗口外的延迟到来的事件将会被丢弃,识别复杂事件的逻辑中止。
优选的,所述数据泄露规则定义:
a.首先定义规则名,该规则名全局唯一,这里定义为″敏感文件下载″;
b.接着定义″用户事件″的字段,从而利用该定义可转化为如下的类SQL代码;
c.然后定义″数据泄露事件″的字段,从而利用该定义可转化为类SQL代码;
d.最后定义数据泄露规则,该定义可转化为如下类SQL代码;
e.定义完成后,将定义发送给数据泄露事件规则管理模块,该模块将规则保存,而数据泄露事件识别模块轮询规则的变更,将定义的规则转化为状态机。
下面采用3个具体实施样例说明
样例一:该样例中,没有乱序发生,且能识别图2的数据泄露事件。表1展示了一个用户操作的事件序列。根据表1的事件序列,事件A、B、C有序到来,该方法的处理步骤如下:
a.接收事件A,根据图2的状态机,将状态机的状态从″初始状态″转换为″中间状态1″;
b.接收事件B,根据图2的状态机,该事件属于其他事件,则丢弃该事件,状态机状态不变;
c.接收事件C,根据图2的状态机,该事件和事件A拥有相同的源地址,操作为下载file,且发生在事件A之后的5秒内,满足状态转换要求,从而将状态机的状态从″中间状态1″转换为″最终状态″;
d.状态机到达″最终状态″后,生成数据泄露事件,该事件包含用户操作事件A和C。
表1.正常识别时的用户操作事件序列
样例二,在样例二中会识别不到数据泄露事件,同样该样例同样没有乱序发生。表2展示了一个用户操作的事件序列。根据表2的事件序列,事件A、B、C有序到来,该方法的处理步骤如下:
a.接收事件A,根据图2的状态机,将状态机的状态从″初始状态″转换为″中间状态1″;
b.接收事件B,根据图2的状态机,该事件属于其他事件,则丢弃该事件,状态机状态不变;
c.接收事件C,根据图2的状态机,该事件操作为下载file,且发生在事件A之后的5秒内,但是该事件的源地址和事件A不同,无法满足状态转换要求,则丢弃事件,识别失败。
表2.识别失败时的用户操作事件序列
样例三,在该样例中有事件乱序,这里设置乱序的事件窗口为10秒。表3展示了一个乱序用户操作的事件序列。根据表3的事件序列,事件A、B、C逆序到来,该方法的处理步骤如下:
a.接收事件C,根据图2的状态机,它属于其他事件,但是它可能让″中间状态1″转化成″最终状态″,因此事件C被缓存,并维护一个10秒的乱序窗口,用于等待表3中的事件A到来;
b.接收事件B,根据图2的状态机,该事件属于其他事件,则丢弃该事件,状态机状态不变;
c.接收事件A,它迟来了5秒,因此它被第1步中事件C的乱序窗口接收。此时该乱序窗口包含了事件A和事件C,可知状态机可以从″初始状态″逐步变为″最终状态″,并生成数据泄露事件,该事件包含用户操作事件A和C。
表3.乱序的用户操作事件序列
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语″包括″、″包含″或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (8)
1.一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,所述数据泄露侦测系统包括用户事件采集模块(1)、数据泄露事件规则管理模块(2)、数据泄露事件识别模块(3)和数据泄露事件预警模块(4)、多个设备(5)和外部事务(6),所述用户事件采集模块(1)和所述数据泄露事件识别模块(3)通信连接,所述数据泄露事件识别模块(3)分别和所述数据泄露事件预警模块(4)、所述数据泄露事件规则管理模块(2)通信连接;
其中,所述用户事件采集模块(1)和多个所述设备(5)信号连接,从而所述用户事件采集模块(1)接收来自各个设备(5)的用户操作事件,所述设备(5)包括但不限于计算机、服务器、路由器、网关;各个所述设备(5)都设有埋点程序,用于监控用户的操作事件,所述操作事件包括登陆、注销、访问文件、下载文件、使用U盘,然后将所述操作事件发送给所述用户事件采集模块(1),所述用户事件采集模块(1)收集这些用户操作事件,将所述用户操作事件转发给所述数据泄露事件识别模块(3);
所述数据泄露事件规则管理模块(2)让企业内部人员定义和更新数据泄露事件的识别规则,然后将所述识别规则保存起来,供所述数据泄露事件识别模块(3)轮询;
所述数据泄露事件识别模块(3)定时轮询数据泄露事件规则管理模块(2),以更新需要识别的数据泄露事件的识别规则,获取到所述识别规则后,所述数据泄露事件识别模块(3)对所述识别规则执行状态机转化;用户操作事件到来后,所述数据泄露事件识别模块(3)会改变状态机的状态,并在到达合适的状态时生成数据泄露事件,传入数据泄露事件预警模块(4),从而完成数据泄露事件的识别;
所述数据泄露事件预警模块(4)接受数据泄露事件识别模块识别出的数据泄露事件,并将该事件广播给上层服务,以提供预警的功能;
在所述的设备中,根据不同设备的特点和连续事件响应时间间隔特点,对不同的所述设备,设置相应的事件的发生延时表,并存储于所述数据泄露事件规则管理模块(2)中,供泄露事件识别时使用;
对各所述设备分别设置相应的预先常规处理事件模块用于检测相应的设备发出的用户事件,该预先常规处理事件模块预先储存有相应的常规的用户事件,当所述预先常规处理事件模块检测到所述用户事件不是储存于其内的常规的用户事件时,将该异常发送给所述数据泄露事件识别模块(3)并发送给所述数据泄露事件规则管理模块(2),提醒用户是否运行该事件执行,否则不允许该事件执行。
2.根据权利要求1所述的一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,其特征在于:所述数据泄露侦测系统还包括用户操作数据采集层,所述用户操作数据采集层包括日志与信息采集模块、连通性验证模块和存活性验证模块;通过所述数据采集层完成各所述设备的事件信息和相应的外部事务接收通知信息的采集,并定期对所述数据泄露事件和相应的外部事务处理进行分析,查找是否存在出现异常处理请。
3.根据权利要求1所述的一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,其特征在于:
还包括安全漏洞分析模块,其对所需操作系统、数据库、应用软件及大数据组件信息进行侦测与收集,和敏感数据异常行为数据进行采集;并基于验证模块完成对设备和各连接节点是否存在操作系统、数据库、Web应用、网络系统以及大数据组件漏洞验证。
4.根据权利要求1所述的一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,其特征在于:收集描述敏感数据的访问情况和用户异常访问情况,其中敏感数据的访问情况从用户访问情况,敏感类别访问情况、敏感级别访问情况进行统计,用户异常访问情况主要定期统计各一定时间段范围内各个用户异常访问产生的告警;根据异常行为分析的结果,为运维人员提供安全维护建议。
5.根据权利要求1所述的一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,其特征在于:在其中的步骤S3中,其支持乱序处理,这部分的主要原理为维护一个确定时长的乱序窗口,具体操作流程如下:
步骤S31,当事件乱序发生时,该方法会给先到达的事件维护一个乱序窗口,等待延迟到来的事件;
步骤S32,在这个窗口内,若接收到延迟到来的事件,那么就会开始执行复杂事件的识别逻辑,识别这组事件是否为数据泄露事件;
步骤S3,落在窗口外的延迟到来的事件将会被丢弃,识别复杂事件的逻辑中止。
6.根据权利要求1所述的一种基于复杂事件识别的企业内部信息系统数据泄露侦测系统,其特征在于:所述数据泄露规则定义:
a.首先定义规则名,该规则名全局唯一,这里定义为″敏感文件下载″;
b.接着定义″用户事件″的字段,从而利用该定义可转化为如下的类SQL代码;
c.然后定义″数据泄露事件″的字段,从而利用该定义可转化为类SQL代码;
d.最后定义数据泄露规则,该定义可转化为如下类SQL代码;
e.定义完成后,将定义发送给数据泄露事件规则管理模块,该模块将规则保存,而数据泄露事件识别模块轮询规则的变更,将定义的规则转化为状态机。
7.一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法,包括如权利要求1-6中任意一项所述的基于复杂事件识别的企业内部信息系统数据泄露侦测的系统,其特征在于,包括以下步骤:
步骤S1.用户操作事件收集:该方法需要在不同终端(如计算机、服务器、路由器等设备)安装用户操作监控程序,该程序会将用户操作转换成用户操作事件,发送给用户事件采集模块。用户事件采集模块会将事件转发给数据泄露事件识别模块进行数据泄露的事件识别;
步骤S2.复杂事件规则的定义:数据泄露事件是一个多步骤的复杂事件,需要用户进行预定义;用户需要指定数据泄露事件中每一步用户操作的操作内容、各步骤之间的时空限制、用户操作的步骤数等等。定义好后,用户将定义发送给数据泄露事件规则管理模块,该模块会将定义保存,提供给数据泄露事件识别模块进行轮询。它也实现了运行时更新规则的功能,一旦规则更新,数据泄露事件识别模块就可以通过轮询感知到规则变更,从而更新识别的规则;其中,定义数据泄露规则的方式如下:
a)首先定义规则名,该规则名全局唯一;
b)然后定义″用户操作″,确定″用户操作″有哪些字段,例如操作时间、操作地点、操作用户等,这部分使用类SQL语言定义;
c)接着定义″数据泄露事件″,确定″数据泄露事件″有哪些字段,例如数据泄露的时间、数据泄露类型、用户操作列表等,这里也使用了类SQL语言定义;
d)最后定义数据泄露事件规则,这部分也使用类SQL语言定义。
步骤S3.复杂事件规则的状态机转化:数据泄露事件识别模块可通过轮询数据泄露事件规则管理模块,从而获取识别规则;而拉取的规则不能立刻用于识别,该模块会将第2步保存的规则(类SQL语句)转化成状态机,用于数据泄露复杂事件的识别。状态机包含了初始状态、最终状态和一系列的中间状态,当状态机的状态到达最终状态时,说明识别到数据泄露复杂事件,该状态机的规则是:
a)数据泄露事件包含2个步骤:″登录服务器A″,″下载服务器A下的file文件″;
b)时间约束:″登录服务器A″在先,″下载服务器A下的file文件″在后,且两个事件的时间间隔不超过5秒;
c)空间约束:两个事件的发起的网络地址必须相同。
步骤S4.复杂事件的匹配:经过第3步的状态机转化后,该方法就可以执行数据泄露事件的匹配了。该方法接收用户事件采集模块传入的用户操作数据,并变更状态机的状态,当状态机达到了最终态后,即识别到了数据泄露事件,然后将该事件发送给数据泄露事件预警模块,数据泄露事件预警模块会将事件广播给上层服务,以供外部预警。
8.根据权利要求7所述的一种基于复杂事件识别的企业内部信息系统数据泄露侦测方法,其特征在于:在其中的步骤S3中,其支持乱序处理,这部分的主要原理为维护一个确定时长的乱序窗口,具体操作流程如下:
步骤S31,当事件乱序发生时,该方法会给先到达的事件维护一个乱序窗口,等待延迟到来的事件;
步骤S32,在这个窗口内,若接收到延迟到来的事件,那么就会开始执行复杂事件的识别逻辑,识别这组事件是否为数据泄露事件;
步骤S3,落在窗口外的延迟到来的事件将会被丢弃,识别复杂事件的逻辑中止。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011547188.3A CN112667660B (zh) | 2020-12-24 | 2020-12-24 | 一种基于复杂事件识别的企业内部信息系统数据泄露识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011547188.3A CN112667660B (zh) | 2020-12-24 | 2020-12-24 | 一种基于复杂事件识别的企业内部信息系统数据泄露识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112667660A true CN112667660A (zh) | 2021-04-16 |
| CN112667660B CN112667660B (zh) | 2022-06-10 |
Family
ID=75408245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011547188.3A Active CN112667660B (zh) | 2020-12-24 | 2020-12-24 | 一种基于复杂事件识别的企业内部信息系统数据泄露识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112667660B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115168474A (zh) * | 2022-07-26 | 2022-10-11 | 成都智元汇信息技术股份有限公司 | 一种基于大数据模型的物联中台系统搭建方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020191549A1 (en) * | 2001-06-14 | 2002-12-19 | Mckinley William Gary | Content intelligent network recognition system and method |
| CN104219193A (zh) * | 2013-05-29 | 2014-12-17 | 中国电信股份有限公司 | 安全事件关联分析方法及系统 |
| CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
-
2020
- 2020-12-24 CN CN202011547188.3A patent/CN112667660B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020191549A1 (en) * | 2001-06-14 | 2002-12-19 | Mckinley William Gary | Content intelligent network recognition system and method |
| CN104219193A (zh) * | 2013-05-29 | 2014-12-17 | 中国电信股份有限公司 | 安全事件关联分析方法及系统 |
| CN109379374A (zh) * | 2018-11-23 | 2019-02-22 | 四川长虹电器股份有限公司 | 基于事件分析的威胁识别预警方法和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115168474A (zh) * | 2022-07-26 | 2022-10-11 | 成都智元汇信息技术股份有限公司 | 一种基于大数据模型的物联中台系统搭建方法 |
| CN115168474B (zh) * | 2022-07-26 | 2023-04-14 | 成都智元汇信息技术股份有限公司 | 一种基于大数据模型的物联中台系统搭建方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112667660B (zh) | 2022-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220004546A1 (en) | System for automatically discovering, enriching and remediating entities interacting in a computer network | |
| US9146787B2 (en) | Analytics for application programming interfaces | |
| EP3205072B1 (en) | Differential dependency tracking for attack forensics | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| US8220054B1 (en) | Process exception list updating in a malware behavior monitoring program | |
| Landauer et al. | A framework for cyber threat intelligence extraction from raw log data | |
| US11621974B2 (en) | Managing supersedence of solutions for security issues among assets of an enterprise network | |
| CN110188543A (zh) | 白名单库、白名单程序库更新方法及工控系统 | |
| CN110391937A (zh) | 一种基于soap服务模拟的物联网蜜网系统 | |
| US11294740B2 (en) | Event to serverless function workflow instance mapping mechanism | |
| US20090063672A1 (en) | Monitoring of computer network resources having service level objectives | |
| CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、系统及装置 | |
| CN110113315A (zh) | 一种业务数据的处理方法及设备 | |
| US20230065259A1 (en) | Method and apparatus for protecting smart contracts against attacks | |
| CN112800457A (zh) | 一种用于区块链网络的敏感信息监管方法及系统 | |
| CN112667660B (zh) | 一种基于复杂事件识别的企业内部信息系统数据泄露识别方法 | |
| US8554908B2 (en) | Device, method, and storage medium for detecting multiplexed relation of applications | |
| US7991827B1 (en) | Network analysis system and method utilizing collected metadata | |
| CN109189652A (zh) | 一种封闭网络终端行为数据的采集方法及系统 | |
| CN103093147A (zh) | 一种识别信息的方法和电子装置 | |
| CN103078768A (zh) | 基于bho技术的web业务系统仿真监控方法和系统 | |
| CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 | |
| CN114462030A (zh) | 隐私政策的处理、取证方法、装置、设备及存储介质 | |
| Salman et al. | DAIDS: An architecture for modular mobile IDS | |
| CN112948232A (zh) | 一种游戏协议测试方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |