CN115065539A - 数据安全监测方法、装置、设备及存储介质 - Google Patents

数据安全监测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN115065539A
CN115065539A CN202210691373.2A CN202210691373A CN115065539A CN 115065539 A CN115065539 A CN 115065539A CN 202210691373 A CN202210691373 A CN 202210691373A CN 115065539 A CN115065539 A CN 115065539A
Authority
CN
China
Prior art keywords
behavior
abnormal
data
user
chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210691373.2A
Other languages
English (en)
Other versions
CN115065539B (zh
Inventor
卢腾
苗功勋
吴楠
程杰
李尊状
于晓欣
郝长征
崔兆伟
刘俊红
张翔
荆旺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
State Grid Information and Telecommunication Co Ltd
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Original Assignee
BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
State Grid Information and Telecommunication Co Ltd
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD, State Grid Information and Telecommunication Co Ltd, Nanjing Zhongfu Information Technology Co Ltd, Zhongfu Information Co Ltd, Zhongfu Safety Technology Co Ltd filed Critical BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO LTD
Priority to CN202210691373.2A priority Critical patent/CN115065539B/zh
Publication of CN115065539A publication Critical patent/CN115065539A/zh
Application granted granted Critical
Publication of CN115065539B publication Critical patent/CN115065539B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请提供了一种数据安全监测方法、装置、设备及存储介质,其中,该方法包括:获取用户行为数据;根据所述用户行为数据,生成行为图;根据预设的特征库从行为图中筛选出至少一个异常关系组;根据至少一个异常关系组,确定异常行为链;根据异常行为链,输出预警信息,预警信息中包括如下至少一项:用户行为数据存在异常的提示信息、异常行为链。通过根据预设特征库筛选异常关系组,并根据异常关系组确定异常行为链,不仅能对异常数据及用户的异常行为进行监测,还可以对用户的异常行为链进行监测和预警,实现了对局部异常行为和时序性异常行为链两方面的结合监测,提高了对网络平台的安全监测预警的准确性。

Description

数据安全监测方法、装置、设备及存储介质
技术领域
本申请涉及数据安全技术领域,具体而言,涉及一种数据安全监测方法、装置、设备及存储介质。
背景技术
随着大数据、云计算、人工智能等技术的快速发展,涌现出了越来越来的网络平台,以向用户提供各种各样的业务功能,网络平台的运行安全也因此成为人们关心的重点。
由于网络平台所面向的用户众多,网络平台的数据交互复杂多变,因此要实现网络平台的安全运行,就要及时对网络平台上的用户的异常行为和网络平台中的异常数据进行全面的监管和及时预警。
因此,如何实现网络平台的安全监测预警,是亟待解决的问题。
发明内容
本申请的目的在于,针对上述现有技术中的不足,提供一种数据安全监测方法、装置、设备及存储介质,以解决现有技术中对网络平台进行安全监测预警的问题。
为实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请一实施例提供了一种数据安全监测方法,所述方法包括:
获取用户行为数据;
根据所述用户行为数据,生成行为图,所述行为图包括多个节点,各节点之间通过边连接,各所述节点用于表征数据,各所述边用于表征行为;
根据预设的特征库从所述行为图中筛选出至少一个异常关系组,各所述异常关系组分别包括所述行为图中的一个节点和一个边;
根据所述至少一个异常关系组,确定异常行为链;
根据所述异常行为链,输出预警信息,所述预警信息中包括如下至少一项:所述用户行为数据存在异常的提示信息、所述异常行为链。
可选的,所述根据所述用户行为数据,生成行为图,包括:
对所述用户行为数据进行分析处理,得到所述用户行为数据中所包含的行为以及数据;
根据所述用户行为数据中所包含的行为以及数据之间的关联关系,构建所述行为图。
可选的,所述根据预设的特征库从所述行为图中筛选出至少一个异常关系组,包括:
从所述行为图中筛选出与所述预设的特征库中的特征匹配的异常节点;
将所述异常节点以及与所述异常节点连接的边的组合作为一个所述异常关系组。
可选的,所述根据预设的特征库从所述行为图中筛选出至少一个异常关系组,包括:
从所述行为图中筛选出与所述预设的特征库中的特征匹配的异常边;
将所述异常边以及与所述异常边连接的节点的组合作为一个所述异常关系组。
可选的,所述根据所述至少一个异常关系组,确定异常行为链,包括:
根据预先构建的行为链知识图谱以及所述至少一个异常关系组,确定异常行为链。
可选的,所述根据预先构建的行为链知识图谱以及所述至少一个异常关系组,确定异常行为链,包括:
从所述行为链知识图谱中筛选出包含所述至少一个异常关系组的至少一个行为链,将所述至少一个行为链作为所述异常行为链。
可选的,所述根据所述用户行为数据,生成行为图,包括:
根据预设的行为基线,确定所述用户行为数据中是否存在异常行为;
若是,则根据所述用户行为数据,生成行为图。
第二方面,本申请另一实施例提供了一种数据安全监测装置,所述装置包括:
获取模块,用于获取用户行为数据;
生成模块,用于根据所述用户行为数据,生成行为图,所述行为图包括多个节点,各节点之间通过边连接,各所述节点用于表征数据,各所述边用于表征行为;
筛选模块,用于根据预设的特征库从所述行为图中筛选出至少一个异常关系组,各所述异常关系组分别包括所述行为图中的一个节点和一个边;
确定模块,用于根据所述至少一个异常关系组,确定异常行为链;
预警模块,用于根据所述异常行为链,输出预警信息,所述预警信息中包括如下至少一项:所述用户行为数据存在异常的提示信息、所述异常行为链。
可选的,所述生成模块还用于对所述用户行为数据进行分析处理,得到所述用户行为数据中所包含的行为以及数据;根据所述用户行为数据中所包含的行为以及数据之间的关联关系,构建所述行为图。
可选的,所述生成模块还用于根据预设的行为基线,确定所述用户行为数据中是否存在异常行为;若是,则根据所述用户行为数据,生成行为图。
可选的,所述筛选模块还用于从所述行为图中筛选出与所述预设的特征库中的特征匹配的异常节点;将所述异常节点以及与所述异常节点连接的边的组合作为一个所述异常关系组。
可选的,所述筛选模块还用于从所述行为图中筛选出与所述预设的特征库中的特征匹配的异常边;将所述异常边以及与所述异常边连接的节点的组合作为一个所述异常关系组。
可选的,所述确定模块还用于根据预先构建的行为链知识图谱以及所述至少一个异常关系组,确定异常行为链;从所述行为链知识图谱中筛选出包含所述至少一个异常关系组的至少一个行为链,将所述至少一个行为链作为所述异常行为链。
第三方面,本申请另一实施例提供了一种电子设备,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如上述第一方面任一所述方法的步骤。
第四方面,本申请另一实施例提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如上述第一方面任一所述方法的步骤。
本申请提供了一种数据安全监测方法、装置、设备及存储介质,通过获取用户行为数据;根据所述用户行为数据,生成行为图;根据预设的特征库从行为图中筛选出至少一个异常关系组;根据至少一个异常关系组,确定异常行为链;根据异常行为链,输出预警信息,预警信息中包括如下至少一项:用户行为数据存在异常的提示信息、异常行为链。通过根据预设特征库筛选异常关系组,并根据异常关系组确定异常行为链,不仅能对异常数据及用户的异常行为进行监测,还可以对用户的异常行为链进行监测和预警,实现了对局部异常行为和时序性异常行为链两方面的结合监测,提高了对网络平台的安全监测预警的准确性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种数据安全监测系统的架构示意图;
图2示出了本申请实施例提供的一种数据安全监测方法的流程图;
图3示出了本申请实施例提供的一种行为图的架构示意图;
图4示出了本申请实施例提供的数据安全监测方法中,根据用户行为数据生成行为图具体方法的流程图;
图5示出了本申请实施例提供的数据安全监测方法中,筛选异常关系组的一种方法的流程图;
图6示出了本申请实施例提供的数据安全监测方法中,筛选异常关系组的又一种方法的流程图;
图7示出了本申请实施例提供的数据安全监测方法中,生成行为图的又一种方法的流程图;
图8示出了本申请实施例提供的另一种数据安全监测装置的结构示意图;
图9示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例中将会用到术语“包括”,用于指出其后所声明的特征的存在,但并不排除增加其它的特征。
目前随着网络的快速发展,涌现出了越来越多的网络平台,由于网络平台面向的用户以及交互的数据具有复杂性,因此为了提高网络平台的安全性,需要对用户行为以及交互数据进行监测预警。
现有的对网络平台的安全监测预警都是对单个用户行为的监测,缺乏对数据的监测和预警,并且用户行为中一般会混合正常行为和异常行为,要全面地实现对用户的异常行为监测,就不仅要监测用户的异常行为,还要监测用户的异常行为链,因此现有技术没有考虑到对异常行为链和异常数据进行监测,存在评判标准单一,准确性不高的问题。
本申请基于上述问题,提出一种数据安全监测方法,将获取的用户行为数据生成行为图,并根据预设的特征库从行为图中筛选出异常行为组,并根据异常行为组在用户行为链知识图谱中进行查找,从而确定异常行为链,并生成对异常数据和异常行为链的预警信息。通过本申请的数据安全监测方法,不仅能对异常数据及用户的异常行为进行监测,还可以对用户的异常行为链进行监测和预警,实现了对局部异常行为和时序性异常行为链两方面的结合监测,提高了对网络平台的安全监测预警的准确性。
下面通过具体实施例来解释本申请中提供的数据安全监测方法的具体实施过程。本申请实施例可以应用于数据安全监测系统中。
如图1所示,是本申请给出的一种数据安全监测系统的架构图,如图所示,该数据安全监测系统包括数据汇集层300、数据分析层200和态势展示及监测预警层100,其中数据汇集层300主要对采集到的数据进行初步汇集、统一规范处理,得到规范化的数据;数据分析层200主要对规范化的数据进行分析,确定异常关系组及异常行为链;态势展示及监测预警层100主要包括对敏感数据及用户实体行为的实时监测,针对系统研判出的异常数据或异常用户行为进行预警处理,以及将敏感数据的监测态势以及异常用户实体行为的行为链进行可视化展示。
本申请的数据安全监测方法可以具体应用于上述数据安全监测系统的数据分析层200以及态势展示及监测预警层100,以对规范化的数据进行分析,并确定异常关系组及异常行为链。
下面结合上述数据安全监测系统中描述的内容,对本申请实施例提供的数据安全监测方法进行详细说明。
参照图2所示,为本申请实施例提供的一种数据安全监测方法的流程示意图,该方法可以应用于前述的数据安全监测系统,该数据安全监测系统可以运行在任何具有计算处理能力的电子设备上。如图2所示,该方法包括:
S201:获取用户行为数据。
可选的,用户行为数据可以包括用户基础信息、行为内容及行为的属性信息等,示例性的,用户基础信息可以是用户账号、数据指纹等,行为内容及行为的属性信息可以是用户操作的文件以及文件对应的分类分级标签,文件所在设备的应用进程、网络端口协议、设备注册信息、硬件指纹等。
可选的,数据安全监测系统可以通过终端探针收集日志数据或终端实时数据,从而收集到网络平台上的用户的日常行为数据。其中,终端探针可以构建在智能终端的应用软件上的采集指令,系统通过采集指令采集终端上的行为数据,并将行为数据存储至图1所示的数据汇集层300中以进行下一步处理,示例性的,采集指令可以由电子设备发出,日志数据可以是通过服务器获取用户在和服务器交互时所产生的日志文件,示例性的,日志数据中可以包含用户账号、文件MD5、数据指纹、分类分级标签、应用进程、网络端口协议、设备注册信息、硬件指纹等丰富信息。终端实时数据可以是数据安全监测系统通过对不同访问页面设置接口,从而获取到用户访问的数据。
S202:根据用户行为数据,生成行为图,行为图包括多个节点,各节点之间通过边连接,各节点用于表征数据,各边用于表征行为。
可选的,终端探针收集到用户的行为数据后,可以将用户行为数据以图的形式进行存储,从而生成针对所有行为数据的行为图。示例性的,生成行为图的方法可以是基于图表示学习方法,对得到的图形式的用户行为数据的节点进行处理,从而将图数据转化成低维稠密的向量化表示方式,尽可能多的保留图的拓扑信息,方便后续在图中进行用户行为的匹配和查找。
可选的,行为图中可以包括多个节点和连接多个节点的边,节点可以用于表征数据,边可以用于表征行为,示例性的,行为图中的边可以是有向边。例如用户A在A设备上拷贝了一个文件B,在C设备上向公司外网发送了一个文件D,那么数据就可以是文件B和文件D,行为可以是拷贝和发送,在行为图中,拷贝行为的方向可以是指向文件B,或是从文件B指向其他数据,示例性的,图3给出了用户A的部分行为图,图中的节点包括文件B和文件D,边表示节点对应的行为,文件B对应的行为是拷贝,文件D对应的行为是发送,并且数据和行为都可以包括各自的属性信息,例如数据的属性信息可以包括文件B所在的设备特征、所属的文件类别和级别等,行为的属性信息可以包括执行该行为的用户特征、行为的发生时间、发生该行为时所处的设备应用信息等。
S203:根据预设的特征库从行为图中筛选出至少一个异常关系组,各异常关系组分别包括行为图中的一个节点和一个边。
可选的,预设的特征库可以是根据上述数据和行为的属性信息设置的库,示例性的,预设的特征库可以包括数据分类分级库、用户特征库、应用特征库、设备特征库等,预设特征库中可以保存数据行为特征及数据行为特征对应的级别,根据预设特征库可以对数据和行为进行分级,从而筛选出异常的关系组,即异常的数据及对应的行为信息,或是异常的行为信息及对应的数据,或是异常的数据及对应的异常的行为信息。
示例性的,张三在下午15:00在A设备上拷贝了一个文件B,数据安全监测系统采集到该行为并生成行为图后,根据预设特征库进行筛选,发现文件B在数据分类分级库中保护级别较高,因此将文件B作为异常数据,并将文件B及对应的拷贝行为作为一个异常关系组。
示例性的,李四在下午15:00在A设备上拷贝了一个文件B,数据安全监测系统采集到该行为并生成行为图后,根据预设特征库进行筛选,拷贝行为的属性信息中的设备信息为设备A,数据安全监测系统筛选时发现设备A在设备特征库中保护级别较高,因此将拷贝行为作为异常行为,并将文件B及对应的拷贝行为作为一个异常关系组。可选的,根据行为图筛选出的异常行为关系组可以是一个或多个,并且异常行为组可以对应一个用户,也可以对应多个不同的用户。
需要说明的是,上述预设特征库只是给出了一种示例作为说明,实际执行时,本领域人员可以根据数据和行为的属性信息对预设特征库进行修改。
S204:根据至少一个异常关系组,确定异常行为链。
可选的,根据行为图筛选出的异常行为关系组可以是一个或多个,并且异常行为组可以对应一个用户,也可以对应多个不同的用户,因此确定的异常行为链可以是一个用户的异常行为链,也可以是多个用户的多个异常行为链。
示例性的,采集到的行为数据包括行为1、行为2、行为3、行为4和行为5,将上述行为及对应的数据生成行为图后,根据预设特征库进行筛选,发现行为1、行为4为异常行为,则异常行为组是指行为1和行为1对应的数据组成的异常关系组,以及行为4和行为4对应的数据组成的异常关系组。对行为1和行为4对应的属性信息查看后,发现分别属于用户A和用户B,则根据异常行为组确定的异常行为链就包括用户A的行为1所在的行为链,以及用户B的行为4所在的行为链。
S205:根据异常行为链,输出预警信息,所述预警信息中包括如下至少一项:用户行为数据存在异常的提示信息、异常行为链。
可选的,在确定异常行为链之后,还可以根据异常行为链输出预警信息,以提醒管理人员针对预警消息发出监管指令。
可选的,预警信息可以是提示管理人员用户行为数据存在异常的提示信息,示例性的,在根据前述预设特征库监测到异常关系组后,数据安全监测系统就可以确定用户的行为数据存在异常,从而发出提示信息;预警信息还可以包括异常行为链的展示。
在本申请实施例中,通过将获取的用户行为数据生成行为图,根据预设特征库从行为图中筛选出异常行为组,并根据异常行为组在用户行为链知识图谱中进行查找,从而确定异常行为链,并生成预警信息。不仅能对异常数据及用户的异常行为进行监测,还可以对用户的异常行为链进行监测和预警,实现了对局部异常行为和时序性异常行为链两方面的结合监测,提高了对网络平台的安全监测预警的准确性和全面性。
接下来对上述S202中生成行为图的具体过程进行说明,如图4所示,根据用户行为数据生成行为图,包括:
S401:对用户行为数据进行分析处理,得到用户行为数据中所包含的行为以及数据。
可选的,对用户行为数据进行分析处理,可以是先使用预设数据模型对采集到的数据进行统一规范处理,得到用户行为数据中所包含的行为以及数据,再对用户行为数据中的行为和数据的属性信息进行分析。
S402:根据用户行为数据中所包含的行为以及数据之间的关联关系,构建行为图。
可选的,行为以及数据之间的关联关系可以是行为以及数据的属性信息的一一映射关系,示例性的,行为的属性信息中可以包括设备标识,数据的属性信息中也可以包括设备标识,并且行为与数据属性信息中的设备标识存在映射关系,该映射关系即行为以及数据之间的关联关系。
可选的,可以根据用户行为数据中包含的行为以及数据的属性信息,找到行为以及数据之间的关联关系,并根据关联关系构建行为图,行为以及数据的属性信息可以是用户标识,时间标识、设备标识或是应用标识等。
示例性的,可以根据行为属性信息中的用户标识,以及数据的用户标识建立行为与数据之间的关联关系,并根据相同的用户标识,构建该标识对应的数据和行为的行为图,其中该行为图的节点是标识对应的数据,边是该标识对应的行为。
在本申请实施例中,根据用户行为数据先生成行为图,有利于后续根据行为图快速提取“数据-行为”关系信息,从而提高后续过程中识别异常关系组和异常行为链的效率。
作为一种可能的实施方式,如图5所示,上述S203中根据预设的特征库从行为图中筛选出至少一个异常关系组,可以包括:
S501:从行为图中筛选出与预设的特征库中的特征匹配的异常节点。
可选的,行为图中的节点表征的是数据,因此可以根据数据的属性信息对节点进行筛选,从而确定异常节点。预设特征库可以是根据数据的属性特征设置的、存有属性特征与属性特征级别的数据库,示例性的,根据数据的分类分级的属性信息可以预设数据分类分级库。
可选的,根据数据的属性信息对节点进行筛选,可以是根据数据的分类和分级属性进行筛选,例如文件A在数据分类分级库中属于保护级别较高的敏感数据,那么在行为图中只要出现文件A,就可以将文件A所在的节点确定为异常节点。
S502:将异常节点以及与异常节点连接的边的组合作为一个异常关系组。
可选的,确定异常节点后,可以将异常节点与该异常节点对应的边作为组合,确定为一个异常关系组,如前文所述,节点与边存在关联关系,因此可以根据关联关系确定异常节点对应的边。
作为另一种可能的实施方式,如图6所示,上述S203中根据预设的特征库从行为图中筛选出至少一个异常关系组,可以包括:
S601:从行为图中筛选出与预设的特征库中的特征匹配的异常边。
可选的,可以根据行为的属性信息构建预设的特征库,并根据行为的属性信息匹配预设特征库,在行为图中进行筛选特征匹配的行为作为异常边,预设特征库可以是根据数据的属性特征设置的、存有属性特征与属性特征级别的数据库,示例性的,预设特征库可以包括用户特征库、应用特征库、设备特征库等。
示例性的,用户A在设备1的应用2上拷贝了文件B,生成行为图后,“拷贝”这个行为的属性信息就可以包括用户特征、设备特征及应用特征,对上述行为数据在用户特征库、应用特征库和设备特征库中进行筛选,发现用户特征库中用户A的保护级别较高,应用特征库中应用2的保护级别较低,设备特征库中的设备1的保护级别较高,因此数据安全监测系统可以确定“拷贝”行为异常,并将“拷贝”行为所在的边作为异常边。
S602:将异常边以及与异常边连接的节点的组合作为一个异常关系组。
可选的,确定异常边后,可以将异常边与该异常边对应的节点为组合,确定为一个异常关系组,如前文所述,节点与边存在关联关系,因此可以根据关联关系确定异常边对应的节点。
在本申请实施例中,通过根据预设的特征库对节点和边进行筛选,可以筛选出异常数据或异常行为,并通过异常数据或异常行为确定异常关系组,有利于管理人员对数据和行为进行全面的监测和管理,提高了对敏感信息监测的力度。
接下来对筛选出异常关系组之后,上述S204中根据至少一个异常关系组确定异常行为链的过程进行说明,该方法包括:
根据预先构建的行为链知识图谱以及至少一个异常关系组,确定异常行为链。
可选的,行为链知识图谱可以是包含多个“数据-行为-数据”的三元组的、由节点和边组成的图,图中的节点可以表征数据,边可以表征关系,并且相连的节点之间存在相同的用户标识,行为链知识图谱中可以保存结构化的日志数据或终端实时数据。
可选的,行为链知识图谱可以通过结构化的终端日志数据,以及历史经验路径构造得到。
示例性的,构建行为链知识图谱的方法可以是:先通过终端探针收集原始数据,原始数据可以是结构化的日志数据或终端实时数据;接下来可以采用自动化或半自动化的手段从原始数据中提取出知识要素,即实体关系,本申请中提取出的实体关系可以是“数据-行为”的关系信息;然后针对数据基于提取出的实体关系进行知识融合,对数据进行逻辑归属和冗杂/错误过滤;最后通过知识计算获得结构化,网络化的知识体系以及更新机制。
可选的,由于行为链知识图谱是针对所有数据构建而成的,并且知识图谱中的实体关系也是“数据-行为”的关系信息,与上述异常关系组的实体关系信息一致,因此上述过程中确定的异常关系组也可以存在于行为链知识图谱中,所以在确定异常关系组后,就可以根据异常关系组中的数据和关系的属性信息在行为链知识图谱进行查找,从而得到异常关系组所在的异常行为链。
接下来对上述根据预先构建的行为链知识图谱以及至少一个异常关系组,确定异常行为链的具体过程进行说明,该方法包括:
从行为链知识图谱中筛选出包含至少一个异常关系组的至少一个行为链,将至少一个行为链作为异常行为链。
可选的,根据异常关系组筛选异常行为链的方法可以是:确定异常关系组在行为链知识图谱中的位置,再通过全局结构、局部结构的规则化识别方法以及神经网络的多步路径表示知识推理方法,进行路径挖掘、识别及图表示学习,挖掘异常关系组所在的行为链,并采用图计算算法进行识别和匹配,从而确定异常关系组所在的异常行为链。
可选的,如前文所述,根据预设的特征库可能筛选出一个或多个异常关系组,并且多个异常关系组可能对应不同的用户,因此在根据异常关系组查找异常行为链时,可能会出现多种不同的情况。
可选的,根据一个异常关系组,可以根据该异常关系组的属性信息确定该异常关系组对应的一个用户的行为链。
示例性的,假设筛选出一个异常关系组“文件A-拷贝”,根据异常关系组中文件A和拷贝的属性信息可以确定该异常关系组在行为链知识图谱中的位置,确定位置之后,就可以根据上述方法确定异常关系组所对应的用户A的完整行为链:“用户A-登录-文件A-拷贝-文件B-删除-文件C-转发”,其中“文件A-拷贝”为确定的异常关系组。
可选的,根据一个用户的多个异常关系组,可以确定多个异常关系组对应的该用户的一个行为链。
示例性的,假设筛选出两个异常关系组“文件A-拷贝”和“文件C-转发”,并且根据其属性信息确定两个异常关系组属于同一用户B,并确定该异常关系组在行为链知识图谱中的位置,确定位置之后,就可以根据上述方法确定异常关系组所对应的用户B的完整行为链:“用户B-登录-文件A-拷贝-文件B-删除-文件C-转发-文件D-拷贝”,其中“文件A-拷贝”和“文件C-转发”为异常关系组。
可选的,根据多个不同用户的多个异常关系组,可以确定多个异常关系组分别对应的多个用户的多条行为链。
示例性的,假设筛选出两个异常关系组“文件A-拷贝”和“文件C-转发”,并且根据其属性信息确定两个异常关系组属于两个不同用户,“文件A-拷贝”的属性信息中对应用户A,“文件C-转发”的属性信息中对应用户B,并确定两个异常关系组在行为链知识图谱中的位置,确定位置之后,就可以根据上述方法确定异常关系组“文件A-拷贝”所对应的用户A的完整行为链:“用户A-登录-文件A-拷贝-文件B-删除-文件C-转发”,以及异常关系组“文件C-转发”所对应的用户B的完整行为链:“用户B-登录-文件B-删除-文件C-转发-文件D-拷贝”。
在本申请实施例中,根据筛选出的异常关系组和预先构建的行为链知识图谱可以快速定位异常关系组在行为链知识图谱中的位置,并进行路径识别和匹配,从而锁定一个或多个异常关系组所在的一个或多个异常关系链,结合前面筛选出的异常关系组进行预警,可以提升预警信息的可信度。
接下来对上述S202中根据用户行为数据生成行为图的过程进行具体说明,如图7所示,该方法包括:
S701:根据预设的行为基线,确定用户行为数据中是否存在异常行为。
可选的,预设的行为基线可以是根据终端探针收集用户的日常行为进行建模而创建的行为标准,行为基线中可以包括日常行为中的数据、数据对应的行为以及数据和行为的级别,创建的方法可以是:采集用户的日常行为,结合贝叶斯网络、无监督学习、半监督学习等机器学习模型创建各工作场景的行为基线。
需要说明的是,由于不同组别、不同部门用户的日常行为存在区别,因此创建行为基线时可以根据用户特征进行分组创建,从而得到更适配于不同场景下的用户的行为基线。
可选的,根据预设的行为基线,确定用户行为数据中是否存在异常行为,可以是判断该用户的行为是否偏离行为基线,且偏离的范围超出预设阈值,示例性的,某部门的员工日常行为中收发文件的对象都是公司内部人员,假设该部门员工A出现了向公司外部人员发送大量文件的行为,就可以认为该员工的行为数据存在异常。
需要说明的是,用户的行为数据在经过预设的行为基线进行初始识别后,得到的用户行为数据异常,只是说明用户行为偏离了日常行为,得到的是初步的异常结论,要得到异常行为的最终判定,还需要进行进一步的确定和监测,即前述过程中的确认异常关系组和异常关系链。
S702:若是,则根据用户行为数据,生成行为图。
可选的,在上述确定员工A行为数据存在异常后,就可以将该员工的所有用户行为数据以图的形式进行存储,从而生成针对所有行为数据的行为图,具体实施例前文中已经举例说明,在此不作赘述。
本申请实施例中,通过预设的行为基线,可以对用户数据进行实时监测,从而迅速发现用户的异常行为数据,为后续对异常行为的具体分析提供了良好的基础,也进一步提高了行为分析的灵活度和准确率。
基于同一发明构思,本申请实施例中还提供了与数据安全监测方法对应的数据安全监测装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述数据安全监测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图8所示,为本申请实施例五提供的一种数据安全监测的示意图,所述装置包括:获取模块、生成模块、筛选模块、确定模块和预警模块,其中:
获取模块801,用于获取用户行为数据;
生成模块802,用于根据用户行为数据,生成行为图,行为图包括多个节点,各节点之间通过边连接,各节点用于表征数据,各节点用于表征行为;
筛选模块803,用于根据预设的特征库从行为图中筛选出至少一个异常关系组,各所述异常关系组分别包括行为图中的一个节点和一个边;
确定模块804,用于根据至少一个异常关系组,确定异常行为链;
预警模块805,用于根据异常行为链,输出预警信息,预警信息中包括如下至少一项:用户行为数据存在异常的提示信息、异常行为链。
可选的,生成模块802还用于对用户行为数据进行分析处理,得到用户行为数据中所包含的行为以及数据;根据用户行为数据中所包含的行为以及数据之间的关联关系,构建行为图。
可选的,生成模块802还用于根据预设的行为基线,确定用户行为数据中是否存在异常行为;若是,则根据用户行为数据,生成行为图。
可选的,筛选模块803还用于从行为图中筛选出与预设的特征库中的特征匹配的异常节点;将异常节点以及与异常节点连接的边的组合作为一个异常关系组。
可选的,筛选模块803还用于从行为图中筛选出与预设的特征库中的特征匹配的异常边;将异常边以及与异常边连接的节点的组合作为一个异常关系组。
可选的,确定模块804还用于根据预先构建的行为链知识图谱以及至少一个异常关系组,确定异常行为链;从行为链知识图谱中筛选出包含至少一个异常关系组的至少一个行为链,将至少一个行为链作为异常行为链。
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
本申请实施例通过将获取的用户行为数据用预设的行为基线进行识别,再将识别异常的数据生成行为图,根据预设特征库从行为图中筛选出异常行为组,并根据一个或多个异常行为组在用户行为链知识图谱中进行查找,从而确定一个或多个异常行为链,并生成预警信息。通过本申请实施例的方法,不仅能对异常数据及用户的异常行为进行监测,还可以对用户的异常行为链进行监测和预警,实现了对局部异常行为和时序性异常行为链两方面的结合监测,提高了对网络平台的安全监测预警的准确性。
本申请实施例还提供了一种电子设备,如图9所示,为本申请实施例提供的电子设备结构示意图,包括:处理器91、存储器92和总线。所述存储器92存储有所述处理器91可执行的机器可读指令(比如,图8中的装置中获取模块、生成模块、筛选模块、确定模块和预警模块对应的执行指令等),当电子设备运行时,所述处理器91与所述存储器92之间通过总线通信,所述机器可读指令被所述处理器91执行时执行前述方法实施例中的方法步骤。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述数据安全监测方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考方法实施例中的对应过程,本申请中不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。

Claims (10)

1.一种数据安全监测方法,其特征在于,包括:
获取用户行为数据;
根据所述用户行为数据,生成行为图,所述行为图包括多个节点,各节点之间通过边连接,各所述节点用于表征数据,各所述边用于表征行为;
根据预设的特征库从所述行为图中筛选出至少一个异常关系组,各所述异常关系组分别包括所述行为图中的一个节点和一个边;
根据所述至少一个异常关系组,确定异常行为链;
根据所述异常行为链,输出预警信息,所述预警信息中包括如下至少一项:所述用户行为数据存在异常的提示信息、所述异常行为链。
2.如权利要求1所述的方法,其特征在于,所述根据所述用户行为数据,生成行为图,包括:
对所述用户行为数据进行分析处理,得到所述用户行为数据中所包含的行为以及数据;
根据所述用户行为数据中所包含的行为以及数据之间的关联关系,构建所述行为图。
3.如权利要求1所述的方法,其特征在于,所述根据预设的特征库从所述行为图中筛选出至少一个异常关系组,包括:
从所述行为图中筛选出与所述预设的特征库中的特征匹配的异常节点;
将所述异常节点以及与所述异常节点连接的边的组合作为一个所述异常关系组。
4.如权利要求1所述的方法,其特征在于,所述根据预设的特征库从所述行为图中筛选出至少一个异常关系组,包括:
从所述行为图中筛选出与所述预设的特征库中的特征匹配的异常边;
将所述异常边以及与所述异常边连接的节点的组合作为一个所述异常关系组。
5.如权利要求1所述的方法,其特征在于,所述根据所述至少一个异常关系组,确定异常行为链,包括:
根据预先构建的行为链知识图谱以及所述至少一个异常关系组,确定异常行为链。
6.如权利要求5所述的方法,其特征在于,所述根据预先构建的行为链知识图谱以及所述至少一个异常关系组,确定异常行为链,包括:
从所述行为链知识图谱中筛选出包含所述至少一个异常关系组的至少一个行为链,将所述至少一个行为链作为所述异常行为链。
7.如权利要求1-6任一项所述的方法,其特征在于,所述根据所述用户行为数据,生成行为图,包括:
根据预设的行为基线,确定所述用户行为数据中是否存在异常行为;
若是,则根据所述用户行为数据,生成行为图。
8.一种数据安全监测装置,其特征在于,包括:
获取模块,用于获取用户行为数据;
生成模块,用于根据所述用户行为数据,生成行为图,所述行为图包括多个节点,各节点之间通过边连接,各所述节点用于表征数据,各所述边用于表征行为;
筛选模块,用于根据预设的特征库从所述行为图中筛选出至少一个异常关系组,各所述异常关系组分别包括所述行为图中的一个节点和一个边;
确定模块,用于根据所述至少一个异常关系组,确定异常行为链;
预警模块,用于根据所述异常行为链,输出预警信息,所述预警信息中包括如下至少一项:所述用户行为数据存在异常的提示信息、所述异常行为链。
9.一种电子设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的程序指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述程序指令,以执行时执行如权利要求1至7任一所述的数据安全监测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至7任一所述的数据安全监测方法的步骤。
CN202210691373.2A 2022-06-17 2022-06-17 数据安全监测方法、装置、设备及存储介质 Active CN115065539B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210691373.2A CN115065539B (zh) 2022-06-17 2022-06-17 数据安全监测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210691373.2A CN115065539B (zh) 2022-06-17 2022-06-17 数据安全监测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN115065539A true CN115065539A (zh) 2022-09-16
CN115065539B CN115065539B (zh) 2024-02-27

Family

ID=83203018

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210691373.2A Active CN115065539B (zh) 2022-06-17 2022-06-17 数据安全监测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN115065539B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117632666A (zh) * 2024-01-25 2024-03-01 杭州阿里云飞天信息技术有限公司 一种告警方法、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109450879A (zh) * 2018-10-25 2019-03-08 中国移动通信集团海南有限公司 用户访问行为监控方法、电子装置和计算机可读存储介质
US20190132224A1 (en) * 2017-10-26 2019-05-02 Accenture Global Solutions Limited Systems and methods for identifying and mitigating outlier network activity
CN112667991A (zh) * 2020-12-31 2021-04-16 北京市首都公路发展集团有限公司 一种基于行为图谱的用户身份持续认证方法及系统
CN113610521A (zh) * 2021-07-27 2021-11-05 胜斗士(上海)科技技术发展有限公司 用于检测行为数据的异常的方法和设备
CN114328674A (zh) * 2021-12-31 2022-04-12 中孚信息股份有限公司 一种基于内网日志行为图的数据挖掘方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190132224A1 (en) * 2017-10-26 2019-05-02 Accenture Global Solutions Limited Systems and methods for identifying and mitigating outlier network activity
CN109450879A (zh) * 2018-10-25 2019-03-08 中国移动通信集团海南有限公司 用户访问行为监控方法、电子装置和计算机可读存储介质
CN112667991A (zh) * 2020-12-31 2021-04-16 北京市首都公路发展集团有限公司 一种基于行为图谱的用户身份持续认证方法及系统
CN113610521A (zh) * 2021-07-27 2021-11-05 胜斗士(上海)科技技术发展有限公司 用于检测行为数据的异常的方法和设备
CN114328674A (zh) * 2021-12-31 2022-04-12 中孚信息股份有限公司 一种基于内网日志行为图的数据挖掘方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117632666A (zh) * 2024-01-25 2024-03-01 杭州阿里云飞天信息技术有限公司 一种告警方法、设备及存储介质
CN117632666B (zh) * 2024-01-25 2024-05-07 杭州阿里云飞天信息技术有限公司 一种告警方法、设备及存储介质

Also Published As

Publication number Publication date
CN115065539B (zh) 2024-02-27

Similar Documents

Publication Publication Date Title
US8868985B2 (en) Supervised fault learning using rule-generated samples for machine condition monitoring
CN109471846A (zh) 一种基于云日志分析的云上用户行为审计系统及方法
CN115809183A (zh) 基于知识图谱的信创终端故障发现及处置的方法
Alghuried A model for anomalies detection in internet of things (IoT) using inverse weight clustering and decision tree
CN104246798A (zh) 基于模糊专家系统的问题分析和优先级确定
CN113590451B (zh) 一种根因定位方法、运维服务器及存储介质
Li Automatic log analysis using machine learning: awesome automatic log analysis version 2.0
CN105376193A (zh) 安全事件的智能关联分析方法与装置
CN112487208A (zh) 一种网络安全数据关联分析方法、装置、设备及存储介质
CN113642023A (zh) 数据安全检测模型训练、数据安全检测方法、装置及设备
CN113890821B (zh) 一种日志关联的方法、装置及电子设备
CN107111609A (zh) 用于神经语言行为识别系统的词法分析器
CN111726351B (zh) 基于Bagging改进的GRU并行网络流量异常检测方法
CN112446637A (zh) 一种建筑施工质量安全在线风险检测方法及系统
CN115065539A (zh) 数据安全监测方法、装置、设备及存储介质
CN112202718A (zh) 一种基于XGBoost算法的操作系统识别方法、存储介质及设备
CN113297044A (zh) 一种运维风险预警方法及装置
CN117455745B (zh) 基于多维融合数据分析的公共安全事件感知方法及系统
CN110457903A (zh) 一种病毒分析方法、装置、设备及介质
CN116468423A (zh) 一种运维应急协同方法、系统和终端设备
CN117650899A (zh) 基于图神经网络的云安全异常检测方法
CN114915446A (zh) 一种融合先验知识的智能网络安全检测方法
CN114398347A (zh) 基于数据关联性的燃料电池数据分析系统和电子设备
CN112434648A (zh) 一种墙体形状变化检测方法及系统
Meinig et al. Rough Logs: A Data Reduction Approach for Log Files.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant