CN114579636A - 数据安全风险预测方法、装置、计算机设备和介质 - Google Patents

数据安全风险预测方法、装置、计算机设备和介质 Download PDF

Info

Publication number
CN114579636A
CN114579636A CN202210215808.6A CN202210215808A CN114579636A CN 114579636 A CN114579636 A CN 114579636A CN 202210215808 A CN202210215808 A CN 202210215808A CN 114579636 A CN114579636 A CN 114579636A
Authority
CN
China
Prior art keywords
business activity
data
abnormal
determining
data security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210215808.6A
Other languages
English (en)
Inventor
王玮
艾龙
王鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210215808.6A priority Critical patent/CN114579636A/zh
Publication of CN114579636A publication Critical patent/CN114579636A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24564Applying rules; Deductive queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/288Entity relationship models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Human Resources & Organizations (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Software Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Mathematical Physics (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Computational Linguistics (AREA)
  • Educational Administration (AREA)
  • Probability & Statistics with Applications (AREA)
  • Fuzzy Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本公开涉及一种数据安全风险预测方法、装置、计算机设备和介质;其中,该方法包括:获取用户数据对应的数据安全级别以及针对用户数据的业务活动;当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率;基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值;根据风险值和预设机器学习模型对异常业务活动进行预测,得到对应的数据安全风险预测结果。本公开实施例能够结合业务活动对数据安全风险进行预测,有利于提高预测结果的准确性、降低人工研判的投入以及避免数据泄露事件的发生。

Description

数据安全风险预测方法、装置、计算机设备和介质
技术领域
本公开涉及数据安全领域,尤其涉及一种数据安全风险预测方法、装置、计算机设备和介质。
背景技术
随着数字经济的快速发展,数据的价值日益凸显,数据安全也面临着越来越多的威胁。因此,对窃取数据的行为进行感知和监测,并预测未来可能发生的数据安全风险,从而避免数据泄露事件的发生是十分必要的。
现有技术中,通过对敏感数据字段、数据库状态信息和网络信息进行处理,得到目标关联关系,根据目标关联关系,确定敏感字段数据存在于预置的数据安全标准中,则对敏感字段数据进行数据安全评估,得到数据安全评估结果,从而实现对数据安全风险的预测。但是,该方法仅识别出了其是否为敏感数据,并进行相关数据安全风险的评估,但未考虑实际的业务场景,容易脱离业务本身,可能会产生人工误判的情况,在准确性上无法得到保障。
发明内容
为了解决上述技术问题,本公开提供了一种数据安全风险预测方法、装置、计算机设备和介质。
第一方面,本公开提供了一种数据安全风险预测方法,包括:
获取用户数据对应的数据安全级别以及针对所述用户数据的业务活动;
当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率;
基于所述数据安全级别、所述风险级别以及所述发生频率,确定所述异常业务活动对应的风险值;
根据所述风险值和预设机器学习模型对所述异常业务活动进行预测,得到对应的数据安全风险预测结果。
可选的,所述根据所述风险值和预设机器学习模型对所述异常业务活动进行预测,得到对应的数据安全风险预测结果,包括:
根据所述风险值,确定所述异常业务活动是否为安全事件;
若所述异常业务活动为安全事件,则将所述安全事件和与所述安全事件对应的历史安全事件输入至所述预设机器学习模型中,得到所述数据安全风险预测结果。
可选的,所述当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率之前,还包括:
确定所述业务活动对应的业务活动基准和判别规则;
根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动。
可选的,所述根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动,包括:
将各业务活动与所述业务活动基准进行比对,若至少一个业务活动中的数据超过所述业务活动基准对应的阈值,则将所述至少一个业务活动确定为候选异常业务活动;
若所述候选异常业务活动符合所述判别规则,则将所述候选异常业务活动确定为异常业务活动。
可选的,所述业务活动基准通过以下方式确定:
确定用户对应的多个业务、每个业务对应的各业务场景以及每个业务场景所包含的各业务活动;
根据所述各业务活动中包含的目标数据确定所述业务活动基准。
可选的,所述当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率,包括:
当至少一个业务活动为异常业务活动时,根据预设数据安全风险级别信息表确定所述异常业务活动对应的风险级别;
获取所述异常业务活动在预设时间内的发生次数,并根据所述发生次数确定所述异常业务活动对应的发生频率。
可选的,所述数据安全级别通过以下方式确定:
对所述用户数据进行识别,得到对应的数据内容信息;
通过所述数据内容信息查询预先确定的数据和数据安全级别关系表,得到所述用户数据对应的数据安全级别。
第二方面,本公开提供了一种数据安全风险预测装置,包括:
获取模块,用于获取用户数据对应的数据安全级别以及针对所述用户数据的业务活动;
第一确定模块,用于当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率;
第二确定模块,用于基于所述数据安全级别、所述风险级别以及所述发生频率,确定所述异常业务活动对应的风险值;
预测模块,用于根据所述风险值和预设机器学习模型对所述异常业务活动进行预测,得到对应的数据安全风险预测结果。
可选的,预测模块,具体用于:
根据所述风险值,确定所述异常业务活动是否为安全事件;
若所述异常业务活动为安全事件,则将所述安全事件和与所述安全事件对应的历史安全事件输入至所述预设机器学习模型中,得到所述数据安全风险预测结果。
可选的,上述装置还包括:
规则确定模块,用于确定所述业务活动对应的业务活动基准和判别规则;
异常确定模块,用于根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动。
可选的,异常确定模块,具体用于:
将各业务活动与所述业务活动基准进行比对,若至少一个业务活动中的数据超过所述业务活动基准对应的阈值,则将所述至少一个业务活动确定为候选异常业务活动;
若所述候选异常业务活动符合所述判别规则,则将所述候选异常业务活动确定为异常业务活动。
可选的,所述业务活动基准通过以下方式确定:
确定用户对应的多个业务、每个业务对应的各业务场景以及每个业务场景所包含的各业务活动;
根据所述各业务活动中包含的目标数据确定所述业务活动基准。
可选的,第一确定模块,具体用于:
当至少一个业务活动为异常业务活动时,根据预设数据安全风险级别信息表确定所述异常业务活动对应的风险级别;
获取所述异常业务活动在预设时间内的发生次数,并根据所述发生次数确定所述异常业务活动对应的发生频率。
可选的,所述数据安全级别通过以下方式确定:
对所述用户数据进行识别,得到对应的数据内容信息;
通过所述数据内容信息查询预先确定的数据和数据安全级别关系表,得到所述用户数据对应的数据安全级别。
第三方面,本公开还提供了一种计算机设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本公开实施例中的任一种所述的数据安全风险预测方法。
第四方面,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本公开实施例中的任一种所述的数据安全风险预测方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:首先获取用户数据对应的数据安全级别以及针对用户数据的业务活动,接着当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率,然后基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值,最后根据风险值和预设机器学习模型对异常业务活动进行预测,得到对应的数据安全风险预测结果,通过结合业务活动对数据安全风险进行预测,有利于提高预测结果的准确性、降低人工研判的投入以及避免数据泄露事件的发生。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种数据安全风险预测方法的流程示意图;
图2A是本公开实施例提供的另一种数据安全风险预测方法的流程示意图;
图2B是本公开实施例中确定异常业务活动的过程的示意图;
图3是本公开实施例提供的一种数据安全风险预测装置的结构示意图;
图4是本公开实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是本公开实施例提供的一种数据安全风险预测方法的流程示意图。本实施例可适用于对数据的安全风险进行预测的情况。本实施例方法可由数据安全风险预测装置来执行,该装置可采用硬件/或软件的方式来实现,并可配置于计算机设备中。如图1所示,该方法具体包括如下:
S110,获取用户数据对应的数据安全级别以及针对用户数据的业务活动。
其中,用户数据可以理解为用户的数据资产。数据安全级别可以理解为按照用户数据的重要程度(即用户数据的价值)和该用户数据遭到破坏之后的后果所划分的级别。业务活动可以理解为针对用户数据的具体操作,可以包括源网际互连协议(InternetProtocol,简称IP)、访问时间、访问账号、协议、目的IP、访问资产、影响行数、操作结果、操作类型、执行次数、限定数据访问次数以及受保护主体等内容中的至少一种。业务活动可以包括多个,本实施例不做限制。
目前,数据安全所面临的威胁可以包括来自有组织的黑客的恶意攻击、窃取大量的企业数据售卖、员工安全意识不足外发敏感数据等情形。传统的网络安全态势感知过程需要依靠网络边界安全产品,如入侵防御系统、统一威胁管理系统等,去解析流量特征,对检测样本文件进行全文匹配,如果与特征库中的特征码相匹配,则报出威胁情报,此方法脱离了实际业务场景,准确率低,误报率高,需要依赖人工研判。
为了解决上述问题,本实施例在对数据安全风险进行预测时,获取用户数据对应的数据安全级别,将数据安全级别作为后续风险值计算因子之一,可以用损失值S表示。同时,获取针对该用户数据的业务活动,具体可以通过各种安全产品收集全范围内的业务活动,安全产品可以包括两类,一类是针对发现针对数据资产载体脆弱性发起攻击的网络安全告警产品,如网络数据泄密防护(Data leakage prevention,简称DLP)等;另一类是针对数据资产本身进行操作的行为活动进行监测、审计的安全产品,如数据库审计等。
S120,当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率。
其中,异常业务活动可以理解为有可能对数据安全产生威胁的业务活动。风险级别可以理解为该异常业务活动所产生威胁的威胁能力等级,可以用A表示,作为后续风险值计算因子之一。发生频率可以理解为该异常业务活动在预设时间内发生的频率,可以用F表示,作为后续风险值计算因子之一。预设时间可以为预先设定的,也可以视具体情况而定,本实施例不做限制。
具体的,将业务活动中包含的内容与该内容对应的阈值进行比较可以确定业务活动是否为异常业务活动,例如,假设某业务活动为:下载600条数据1,而数据1的下载条数阈值为500,那么可以确定该业务活动为异常业务活动。当至少一个业务活动为异常业务活动时,需要确定该异常业务活动对应的风险级别和发生频率,以便后续基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值。
S130,基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值。
在得到数据安全级别S、风险级别A以及发生频率F之后,通过公式
Figure BDA0003534561310000071
可以确定出该异常业务活动对应的风险值。
其中,R表示风险值。
S140,根据风险值和预设机器学习模型对异常业务活动进行预测,得到对应的数据安全风险预测结果。
其中,预设机器学习模型可以为预先训练好的机器学习模型,机器学习模型可以采用决策树模型或者神经网络模型等,本实施例不做限制。
在得到风险值之后,通过该风险值和预设机器学习模型对异常业务活动进行预测,就能够得到对应的数据安全风险预测结果,即:可以预测出该异常业务活动是否为一个有安全威胁的事件以及威胁程度的大小。
在本实施例中,首先获取用户数据对应的数据安全级别以及针对用户数据的业务活动,接着当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率,然后基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值,最后根据风险值和预设机器学习模型对异常业务活动进行预测,得到对应的数据安全风险预测结果,通过结合业务活动对数据安全风险进行预测,有利于提高预测结果的准确性、降低人工研判的投入以及避免数据泄露事件的发生。
在本实施例中,可选的,所述当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率,包括:
当至少一个业务活动为异常业务活动时,根据预设数据安全风险级别信息表确定所述异常业务活动对应的风险级别;
获取所述异常业务活动在预设时间内的发生次数,并根据所述发生次数确定所述异常业务活动对应的发生频率。
其中,预设数据安全风险级别信息表可以为预先建立好的数据安全风险级别信息表。预设时间可以为预先设定的,也可以视具体情况而定,本实施例不做限制。
具体的,数据安全风险级别信息表可以通过以下方式确定:通过管理手段和技术手段识别出用户数据所面临的数据安全威胁,根据各数据安全威胁建立数据安全风险指标集,每个指标可以根据该威胁的难易程度进行赋值,具体的数值即为该威胁对应的数据安全风险级别。管理手段可以包括人工数据安全审计、数据安全合规性评估以及数据安全的专项检查工作等,例如:组织各部门无定期对用户数据进行分类分级、各部门对合作方进行信用评定,每类数据安全工作的未执行或未达标情况等。技术手段则可以为通过部署相关的数据安全产品识别出数据安全威胁的来源,例如,通过数据安全网关发现了某受保护对象被未授权访问的威胁。数据安全产品可以包括数据防泄漏产品、数据脱敏产品、数据安全网关以及数据库审计产品等。
可选的,下表1为一种数据安全风险级别信息表的示例,如下表1所示:
表1
Figure BDA0003534561310000091
Figure BDA0003534561310000101
Figure BDA0003534561310000111
Figure BDA0003534561310000121
当至少一个业务活动为异常业务活动时,通过将异常业务活动与预设数据安全风险级别信息表中的威胁类型进行比对,若异常业务活动与某一威胁类型一致,则将该威胁类型对应的风险级别确定为异常业务活动所对应的风险级别。同时,获取异常业务活动在预设时间内的发生次数,并根据该发生次数查询对应的威胁发生频率赋值表可以确定异常业务活动对应的发生频率。其中,在确定发生次数时,可以按照每星期、每月或者每年等为时间周期进行统计,本实施例不做限制。
可选的,下表2为一种威胁发生频率赋值表的示例,如下表2所示:
表2
Figure BDA0003534561310000131
本实施例中,通过上述方法确定异常业务活动对应的风险级别和发生频率,简单快捷,有利于后续风险值的确定。
在本实施例中,可选的,所述数据安全级别通过以下方式确定:
对所述用户数据进行识别,得到对应的数据内容信息;
通过所述数据内容信息查询预先确定的数据和数据安全级别关系表,得到所述用户数据对应的数据安全级别。
其中,数据内容信息可以理解为与用户数据有关的能够确定数据安全级别的信息,例如关键字、取值范围以及格式等。
具体的,数据和数据安全级别关系表可以通过以下方式确定:
对各用户数据中包含的内容进行深度识别,获取用户数据的分类、分级结果,对各用户数据分别定义分类、分级标签,从而确定用户数据的数据安全等级。深度识别过程可以是以数据字段为单位,也可以是以某个单位的数据集为单位,针对不同类型和不同级别的数据的特点定义数据识别模型,积累数据识别规则库,包括关键字、正则表达式以及数据指纹等,利用基于数据识别库的自动化分类分级模块对各用户数据进行字段级识别。根据识别后的数据与数据安全级别建立一个数据和数据安全级别关系表,并且在发现不同类别和级别的数据后,将该类数据以及对应的级别添加至该数据和数据安全级别关系表中,从而实现对该数据和数据安全级别关系表的更新和维护。
具体的,通过对应的识别算法对用户数据进行识别,从而提取出对应的数据内容信息,在提取出数据内容信息之后,通过该数据内容信息查询预先确定的数据和数据安全级别关系表,将数据内容信息与数据和数据安全级别关系表中的内容进行比对,从而确定出用户数据对应的数据安全级别。
本实施例中,不同的用户数据对应的数据安全级别可能不同,从而用户数据在发生泄露后的损失值也可能不同,通过上述方法确定用户数据对应的数据安全级别,简单高效,在确定风险值时结合数据安全级别,对于数据安全风险的预测更为贴合,有利于对数据进行差异化保护以及提高工作效率。
图2A是本公开实施例提供的另一种数据安全风险预测方法的流程示意图。本实施例是在上述实施例的基础上进行优化。可选的,本实施例对得到对应的数据安全风险预测结果的过程进行详细的解释说明。如图2A所示,该方法具体包括如下:
S210,获取用户数据对应的数据安全级别以及针对用户数据的业务活动。
S220,当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率。
S230,基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值。
S240,根据风险值,确定异常业务活动是否为安全事件。
其中,预设阈值可以为预先设定的,也可以视具体情况而定,本实施例不做限制。
在得到风险值之后,按照时间轴将异常业务活动中涉及到的主体进行归类筛选,包括账号、数据资产和应用等维度,分别进行数据安全风险情况呈现,对异常业务活动进行统一综合性分析,能够确定出异常业务活动是否为安全事件。具体的,可以根据风险值的大小是否超过预设阈值确定异常业务活动是否为安全事件,从而将各异常业务活动划分为不同的优先级,便于根据优先级对各异常业务活动进行处理,例如,增加对应的保护措施等。
S250,若异常业务活动为安全事件,则将安全事件和与安全事件对应的历史安全事件输入至预设机器学习模型中,得到数据安全风险预测结果。
具体的,如果某异常业务活动对应的风险值的大小超过预设阈值,则确定该异常业务活动为安全事件。在确定异常业务活动为安全事件之后,由于与该安全事件相关的可能还有其他已经发生过的安全事件,因此需要将该安全事件和与该安全事件对应的历史安全事件输入至预设机器学习模型中,从而得到的数据安全风险预测结果也更准确。
在本实施例中,首先获取用户数据对应的数据安全级别以及针对用户数据的业务活动,接着当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率,基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值,然后根据风险值,确定异常业务活动是否为安全事件,最后若异常业务活动为安全事件,则将安全事件和与安全事件对应的历史安全事件输入至预设机器学习模型中,得到数据安全风险预测结果,通过确定异常业务活动对应的风险值,再根据安全事件以及与安全事件对应的历史安全事件进行预测,能够进一步提高预测结果的准确性、降低人工研判的投入以及避免数据泄露事件的发生。
在本实施例中,可选的,所述当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率之前,还包括:
确定所述业务活动对应的业务活动基准和判别规则;
根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动。
其中,业务活动基准可以理解为根据业务活动中包含的各部分内容所分别确定的阈值。判别规则可以为预先设定好的规则,也可以视具体情况而定,本实施例不做限制。判别规则可以包括未授权执行修改操作规则、网页被篡改规则、非工作时间执行操作规则以及数据被恶意删除规则等。
具体的,在当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率之前,还需要确定业务活动对应的业务活动基准和判别规则,该业务活动基准和判别规则均可以是预先设定好的,能够直接进行调用。然后将各业务活动分别与业务活动基准和判别规则进行逐一比对,根据得到的比对结果可以确定哪些业务活动为异常业务活动,哪些业务活动为非异常业务活动,从而确定至少一个业务活动为异常业务活动,以便后续确定异常业务活动对应的风险级别和发生频率。
本实施例中,通过上述方法确定异常业务活动,能够提高确定的异常业务活动的准确性,减少误判的发生。
在本实施例中,可选的,所述根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动,包括:
将各业务活动与所述业务活动基准进行比对,若至少一个业务活动中的数据超过所述业务活动基准对应的阈值,则将所述至少一个业务活动确定为候选异常业务活动;
若所述候选异常业务活动符合所述判别规则,则将所述候选异常业务活动确定为异常业务活动。
其中,候选异常业务活动可以理解为业务活动中的数据超过业务活动基准对应的阈值的异常业务活动。
具体的,将所有的业务活动分别与业务活动基准进行比对(第一次过滤),若所有的业务活动中有至少一个业务活动中的数据超过业务活动基准对应的阈值,则说明该至少一个业务活动可能有异常,因此将该至少一个业务活动确定为候选异常业务活动。然后将候选异常业务活动与判别规则进行比对(第二次过滤),如果候选异常业务活动符合相应的判别规则,则将该候选异常业务活动确定为异常业务活动。
需要说明的是:候选异常业务活动和异常业务活动均可以为多个,本实施例对具体的个数不做限制。
本实施例中,通过上述方法确定异常业务活动更准确,有利于后续过程的顺利进行。
示例性的,图2B是本公开实施例中确定异常业务活动的过程的示意图。如图2B所示,该确定过程已在上述实施例中描述过,此处不再赘述。
在本实施例中,可选的,所述业务活动基准通过以下方式确定:
确定用户对应的多个业务、每个业务对应的各业务场景以及每个业务场景所包含的各业务活动;
根据所述各业务活动中包含的目标数据确定所述业务活动基准。
其中,目标数据可以理解为从业务活动包含的内容中确定的能够作为判断标准的数据,例如影响行数、执行次数以及限定数据访问次数等。
具体的,对用户的业务情况,如产品或者服务等,按照从业务到业务场景再到业务活动为颗粒度进行划分,能够形成以业务活动为最小单位的表示单元。用户可以对应多个业务,如:业务1、业务2、…、业务n-1、业务n(其中,n为大于1的正整数);每一个业务可以包含多个业务场景,如:业务场景1、业务场景2、…、业务场景m-1、业务场景m(其中,m为大于1的正整数);每一个业务场景可以包含多个业务活动,如:业务活动1、业务活动2、…、业务活动k-1、业务活动k(其中,k为大于1的正整数)。业务活动中可以包含源IP、访问时间、访问账号、协议、目的IP、访问资产、影响行数、操作结果、操作类型、执行次数、限定数据访问次数以及受保护主体等内容中的至少一种。对历史安全事件进行查询能够确定出业务活动中包含的目标数据,将各目标数据的具体数值分别作为对应的判断标准,从而能够确定出业务活动基准。例如,假设历史安全事件中,执行次数超过500会发生数据安全事件,对数据造成威胁,此时,可以将执行次数超过500作为其中一条业务活动基准。
本实施例中,通过上述方法确定业务活动基准快捷高效,通过综合历史安全事件中的数据使得该业务活动基准更符合实际情况,有利于后续确定异常业务活动。
在一些实施例中,可选的,以下为数据安全风险预测过程的一个具体应用实例,具体包括以下步骤:
1、假设用户数据为:CUST_INFO(即:客户详细联系方式表),通过比对确定其数据安全级别为3,即S=3。同时获取针对用户数据的各业务活动;
2、假设此时检测到某业务人员在数据展示系统执行业务活动X(即:下载800条客户详细联系方式),通过安全产品收集到该业务活动X,将该业务活动X与业务活动基准和判别规则进行比对,确定查询行数大于阈值500,且符合判别规则,则确定该业务活动X为异常业务活动;
3、根据预设数据安全风险级别信息表确定该异常业务活动对应的风险级别为A=4;以及按照星期/月度/年为单位,对该异常业务活动发生的频率进行赋值,假设在一个月时间内该异常业务活动发生了11次,则此时的发生频率的F=4;
4、确定风险值
Figure BDA0003534561310000191
5、根据4中的风险值,确定异常业务活动为安全事件,将该安全事件和与该安全事件对应的历史安全事件输入至预设机器学习模型中,得到数据安全风险预测结果。
图3是本公开实施例提供的一种数据安全风险预测装置的结构示意图;该装置配置于计算机设备中,可实现本申请任意实施例所述的数据安全风险预测方法。该装置具体包括如下:
获取模块310,用于获取用户数据对应的数据安全级别以及针对所述用户数据的业务活动;
第一确定模块320,用于当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率;
第二确定模块330,用于基于所述数据安全级别、所述风险级别以及所述发生频率,确定所述异常业务活动对应的风险值;
预测模块340,用于根据所述风险值和预设机器学习模型对所述异常业务活动进行预测,得到对应的数据安全风险预测结果。
在本实施例中,可选的,预测模块340,具体用于:
根据所述风险值,确定所述异常业务活动是否为安全事件;
若所述异常业务活动为安全事件,则将所述安全事件和与所述安全事件对应的历史安全事件输入至所述预设机器学习模型中,得到所述数据安全风险预测结果。
在本实施例中,可选的,上述装置还包括:
规则确定模块,用于确定所述业务活动对应的业务活动基准和判别规则;
异常确定模块,用于根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动。
在本实施例中,可选的,异常确定模块,具体用于:
将各业务活动与所述业务活动基准进行比对,若至少一个业务活动中的数据超过所述业务活动基准对应的阈值,则将所述至少一个业务活动确定为候选异常业务活动;
若所述候选异常业务活动符合所述判别规则,则将所述候选异常业务活动确定为异常业务活动。
在本实施例中,可选的,所述业务活动基准通过以下方式确定:
确定用户对应的多个业务、每个业务对应的各业务场景以及每个业务场景所包含的各业务活动;
根据所述各业务活动中包含的目标数据确定所述业务活动基准。
在本实施例中,可选的,第一确定模块320,具体用于:
当至少一个业务活动为异常业务活动时,根据预设数据安全风险级别信息表确定所述异常业务活动对应的风险级别;
获取所述异常业务活动在预设时间内的发生次数,并根据所述发生次数确定所述异常业务活动对应的发生频率。
在本实施例中,可选的,所述数据安全级别通过以下方式确定:
对所述用户数据进行识别,得到对应的数据内容信息;
通过所述数据内容信息查询预先确定的数据和数据安全级别关系表,得到所述用户数据对应的数据安全级别。
通过本公开实施例提供的数据安全风险预测装置,首先获取用户数据对应的数据安全级别以及针对用户数据的业务活动,接着当至少一个业务活动为异常业务活动时,确定异常业务活动对应的风险级别和发生频率,然后基于数据安全级别、风险级别以及发生频率,确定异常业务活动对应的风险值,最后根据风险值和预设机器学习模型对异常业务活动进行预测,得到对应的数据安全风险预测结果,通过结合业务活动对数据安全风险进行预测,有利于提高预测结果的准确性、降低人工研判的投入以及避免数据泄露事件的发生。
本公开实施例所提供的数据安全风险预测装置可执行本公开任意实施例所提供的数据安全风险预测方法,具备执行方法相应的功能模块和有益效果。
图4是本公开实施例提供的一种计算机设备的结构示意图。如图4所示,该计算机设备包括处理器410和存储装置420;计算机设备中处理器410的数量可以是一个或多个,图4中以一个处理器410为例;计算机设备中的处理器410和存储装置420可以通过总线或其他方式连接,图4中以通过总线连接为例。
存储装置420作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本公开实施例中的数据安全风险预测方法对应的程序指令/模块。处理器410通过运行存储在存储装置420中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现本公开实施例所提供的数据安全风险预测方法。
存储装置420可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置420可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置420可进一步包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本实施例提供的一种计算机设备可用于执行上述任意实施例提供的数据安全风险预测方法,具备相应的功能和有益效果。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本公开实施例所提供的数据安全风险预测方法。
当然,本公开实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本公开任意实施例所提供的数据安全风险预测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本公开可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述的方法。
值得注意的是,上述数据安全风险预测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本公开的保护范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种数据安全风险预测方法,其特征在于,所述方法包括:
获取用户数据对应的数据安全级别以及针对所述用户数据的业务活动;
当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率;
基于所述数据安全级别、所述风险级别以及所述发生频率,确定所述异常业务活动对应的风险值;
根据所述风险值和预设机器学习模型对所述异常业务活动进行预测,得到对应的数据安全风险预测结果。
2.根据权利要求1所述的方法,其特征在于,所述根据所述风险值和预设机器学习模型对所述异常业务活动进行预测,得到对应的数据安全风险预测结果,包括:
根据所述风险值,确定所述异常业务活动是否为安全事件;
若所述异常业务活动为安全事件,则将所述安全事件和与所述安全事件对应的历史安全事件输入至所述预设机器学习模型中,得到所述数据安全风险预测结果。
3.根据权利要求1所述的方法,其特征在于,所述当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率之前,还包括:
确定所述业务活动对应的业务活动基准和判别规则;
根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动。
4.根据权利要求3所述的方法,其特征在于,所述根据所述业务活动基准和所述判别规则,确定所述至少一个业务活动为异常业务活动,包括:
将各业务活动与所述业务活动基准进行比对,若至少一个业务活动中的数据超过所述业务活动基准对应的阈值,则将所述至少一个业务活动确定为候选异常业务活动;
若所述候选异常业务活动符合所述判别规则,则将所述候选异常业务活动确定为异常业务活动。
5.根据权利要求3所述的方法,其特征在于,所述业务活动基准通过以下方式确定:
确定用户对应的多个业务、每个业务对应的各业务场景以及每个业务场景所包含的各业务活动;
根据所述各业务活动中包含的目标数据确定所述业务活动基准。
6.根据权利要求1所述的方法,其特征在于,所述当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率,包括:
当至少一个业务活动为异常业务活动时,根据预设数据安全风险级别信息表确定所述异常业务活动对应的风险级别;
获取所述异常业务活动在预设时间内的发生次数,并根据所述发生次数确定所述异常业务活动对应的发生频率。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述数据安全级别通过以下方式确定:
对所述用户数据进行识别,得到对应的数据内容信息;
通过所述数据内容信息查询预先确定的数据和数据安全级别关系表,得到所述用户数据对应的数据安全级别。
8.一种数据安全风险预测装置,其特征在于,所述装置包括:
获取模块,用于获取用户数据对应的数据安全级别以及针对所述用户数据的业务活动;
第一确定模块,用于当至少一个业务活动为异常业务活动时,确定所述异常业务活动对应的风险级别和发生频率;
第二确定模块,用于基于所述数据安全级别、所述风险级别以及所述发生频率,确定所述异常业务活动对应的风险值;
预测模块,用于根据所述风险值和预设机器学习模型对所述异常业务活动进行预测,得到对应的数据安全风险预测结果。
9.一种计算机设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的方法。
CN202210215808.6A 2022-03-07 2022-03-07 数据安全风险预测方法、装置、计算机设备和介质 Pending CN114579636A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210215808.6A CN114579636A (zh) 2022-03-07 2022-03-07 数据安全风险预测方法、装置、计算机设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210215808.6A CN114579636A (zh) 2022-03-07 2022-03-07 数据安全风险预测方法、装置、计算机设备和介质

Publications (1)

Publication Number Publication Date
CN114579636A true CN114579636A (zh) 2022-06-03

Family

ID=81778044

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210215808.6A Pending CN114579636A (zh) 2022-03-07 2022-03-07 数据安全风险预测方法、装置、计算机设备和介质

Country Status (1)

Country Link
CN (1) CN114579636A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116167689A (zh) * 2022-12-16 2023-05-26 江苏东衡智能科技有限公司 一种电池仓储物流安全控制方法和系统
CN116451262A (zh) * 2023-06-16 2023-07-18 河北登浦信息技术有限公司 一种对财务系统客户端的数据加密方法及加密系统
CN118070047A (zh) * 2024-04-17 2024-05-24 青岛中软同衡工业科技有限公司 一种工控机数据安全鉴别方法、系统、存储介质及服务器

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116167689A (zh) * 2022-12-16 2023-05-26 江苏东衡智能科技有限公司 一种电池仓储物流安全控制方法和系统
CN116451262A (zh) * 2023-06-16 2023-07-18 河北登浦信息技术有限公司 一种对财务系统客户端的数据加密方法及加密系统
CN116451262B (zh) * 2023-06-16 2023-08-25 河北登浦信息技术有限公司 一种对财务系统客户端的数据加密方法及加密系统
CN118070047A (zh) * 2024-04-17 2024-05-24 青岛中软同衡工业科技有限公司 一种工控机数据安全鉴别方法、系统、存储介质及服务器

Similar Documents

Publication Publication Date Title
CN108200054B (zh) 一种基于dns解析的恶意域名检测方法及装置
CN106487775B (zh) 一种基于云平台的业务数据的处理方法和装置
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN114579636A (zh) 数据安全风险预测方法、装置、计算机设备和介质
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN110602029B (zh) 一种用于识别网络攻击的方法和系统
US9813450B1 (en) Metadata-based verification of artifact quality policy compliance
US20140172495A1 (en) System and method for automated brand protection
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN110769007B (zh) 一种基于异常流量检测的网络安全态势感知方法及装置
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
EP3772006B1 (en) Advance incident scoring
US8225407B1 (en) Incident prioritization and adaptive response recommendations
CN112738040A (zh) 一种基于dns日志的网络安全威胁检测方法、系统及装置
GB2592132A (en) Enterprise network threat detection
Shabbir et al. Analyzing enterprise data protection and safety risks in cloud computing using ensemble learning
Apurva et al. Redefining cyber security with big data analytics
EP3772003B1 (en) Mapping unbounded incident scores to a fixed range
CN109190408B (zh) 一种数据信息的安全处理方法及系统
CN114584391B (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
WO2023042192A1 (en) A top-down cyber security system and method
Hussain et al. A Comparative Performance Analysis of Machine Learning Models for Intrusion Detection Classification.
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN115514529B (zh) 一种威胁情报数据处理方法、设备及存储设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination