CN115086028A - 一种基于区块链的数据安全采集方法 - Google Patents

一种基于区块链的数据安全采集方法 Download PDF

Info

Publication number
CN115086028A
CN115086028A CN202210672828.6A CN202210672828A CN115086028A CN 115086028 A CN115086028 A CN 115086028A CN 202210672828 A CN202210672828 A CN 202210672828A CN 115086028 A CN115086028 A CN 115086028A
Authority
CN
China
Prior art keywords
user
behavior
module
risk
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210672828.6A
Other languages
English (en)
Inventor
张永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202210672828.6A priority Critical patent/CN115086028A/zh
Publication of CN115086028A publication Critical patent/CN115086028A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于区块链的数据安全采集方法,适用于一种基于区块链的数据安全采集系统,其特征在于:所述系统包括用户特征分析平台、风险评估模型、动态角色访问控制模型,所述用户特征分析平台用于对私有云环境下的用户访问信息特征化,并对用户的行为进行定义,所述风险评估模型用于对用户行为的风险值进行计算,所述动态角色访问控制模型提出一种能根据用户行为安全值对用户的信任等级进行动态调控的访问控制模型,所述用户特征分析平台的输出分别与风险评估模型、动态角色访问控制模型的输入端电连接,所述用户行为相关的数据包括员工岗位、员工信任等级、活动时间、终端ID、读写记录,具有动态访问控制和减少企业风险的特点。

Description

一种基于区块链的数据安全采集方法
技术领域
本发明涉及区块链技术领域,具体为一种基于区块链的数据安全采集方法。
背景技术
在企业的发展运行中,需要建立大量的信息系统来满足生产、经营管理等企业活动的需要,在这些信息系统中会产生大量的数据,而这些数据与企业的生产经营息息相关,因此需时刻保证企业数据的安全,常见的方法有对数据进行访问控制与动态管控来保障数据安全;随着信息技术的发展,云计算逐渐成为企业最重要的资源分配与数据采集方式,企业将数据上传到私有或公共云服务器中,虽然对数据的调控采集效率得到了提升,但是安全性仍然难以保障,目前对于云服务器中的账号权限授予层次较低,一旦高权限的账号被破解,就会导致大量数据的安全性难以保障,因此,设计动态访问控制和减少企业风险的一种基于区块链的数据安全采集方法是很有必要的。
发明内容
本发明的目的在于提供一种基于区块链的数据安全采集方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于区块链的数据安全采集方法,适用于一种基于区块链的数据安全采集系统,所述系统包括用户特征分析平台、风险评估模型、动态角色访问控制模型,所述用户特征分析平台用于对私有云环境下的用户访问信息特征化,并对用户的行为进行定义,所述风险评估模型用于对用户行为的风险值进行计算,所述动态角色访问控制模型提出一种能根据用户行为安全值对用户的信任等级进行动态调控的访问控制模型,所述用户特征分析平台的输出分别与风险评估模型、动态角色访问控制模型的输入端电连接;所述用户特征分析平台包括身份验证登录模块、用户行为采集模块、数据存储模块,所述身份验证登录模块用于在用户经过身份验证后进行单点登录,所述用户行为采集模块用于对用户行为相关的数据进行分类采集,所述数据存储模块用于建立HDFS分布式文件系统,并将采集数据存入;所述用户行为相关的数据包括员工岗位、员工信任等级、活动时间、终端ID、读写记录,所述身份验证登录模块与用户行为采集模块、数据存储模块电连接。
根据上述技术方案,所述风险评估模型包括资产评估模块、脆弱程度计算模块、行为安全计算模块,所述资产评估模块用于对企业信息资产进行评估,所述脆弱程度计算模块用于计算企业信息的脆弱程度,所述行为安全计算模块用于计算员工行为下的资产损失风险;所述动态角色访问控制模型包括高风险行为响应模块、信任等级调整模块、操作权限调整模块,所述高风险行为响应模块用于对用户行为进行风险判定,所述信任等级调整模块用于对用户的信任等级进行动态调整,所述操作权限调整模块用于根据用户行为导致的信任等级调整情况进行操作权限调整;所述资产评估模块、脆弱程度计算模块与行为安全计算模块电连接,所述高风险行为相应模块、信任等级调整模块与操作权限调整模块电连接。
根据上述技术方案,所述基于区块链的数据安全采集方法具体包括以下步骤:
步骤S1:建立用户特征分析平台,对向私有云数据进行访问的用户采集操作特征数据;
步骤S2:组建风险评估模型,并将采集到的操作特征数据匹配进模型中,进行操作风险评估;
根据上述技术方案,所述步骤S1中,向私有云数据进行访问的用户操作特征数据采集方法包括以下步骤:
步骤S11:用户根据生成的随机身份登录私有云验证系统,验证通过后赋予数据操作权限;将用户的操作权限打包入随机身份中,通过验证后才可以对私有云中的数据进行读写操作,增加系统的安全性;
步骤S12:对用户的操作行为进行采集,所述操作行为包括行为时间、行为主体、行为客体、操作类型,并将所有操作属性以属性集合的形式保存;对用户访问私有云中企业数据资源的过程进行行为拆分,并将每个特定属性以集合的形式封存,方便数据的采集与后续溯源;
步骤S13:将所采集到的数据根据相关性进行特征选择,对用户行为进行分析;为了对用户的操作行为进行分析,需要选取特征来对用户进行刻画与度量,从原始特征集合中选取评价标准最优的特征子集;
步骤S14:建立HDFS分布式文件系统,并将所得数据存入其中;HDFS分布式文件系统具有高容量、高容错性特点,采用数据块的方式存储数据,将数据物理切割成多个部分,增加写入速度与安全性。
根据上述技术方案,所述步骤S12-S13中,用户操作属性集合的建立与特征选择的方法包括以下步骤:
步骤A:对用户访问的行为主体ei被访问的次数进行统计,并根据访问频率,通过机器学习神经网络计算其被访问的概率
Figure BDA0003693805280000031
其中i为行为主体标号;
步骤B:计算单个实体的重要性
Figure BDA0003693805280000032
具体为被访问概率
Figure BDA0003693805280000033
的函数,其中
Figure BDA0003693805280000034
Figure BDA0003693805280000035
一个实体被访问的概率越大,它的重要性就越高,根据企业私有云下各个实体之间的内在联系,用户对某个信息系统中数据的访问行为会导致该实体被访问的概率增加,对大量行为记录的统计可以获得一个更真实的概率分布;
步骤C:通过计算机程序分析,对用户的行为合法性进行判断,并以合法性特征值L描述,其中L的取值为0时表示为非法用户,取值为1时表示为合法用户;根据计算机程序,对用户对的属性特征,包括用户名、密码验证、账号权限与数据重要性匹配程度进行筛选验证,经过输出层处理后,得到行为主体的合法性特征;
步骤D:对用户每一次的操作行为进行数据集
Figure BDA0003693805280000041
统计,具体表示为包含多个特征值的矩阵集合;
步骤E:根据每个实体的重要性权重wi,并设定等级保护偏置bi,计算每个实体重要性的加权平均值
Figure BDA0003693805280000042
用每个实体重要性的加权平均值来表示实体集的重要性,并设定阈值来判断用户行为权限与数据重要性的匹配程度,便于建立预警标志。
根据上述技术方案,所述步骤E中,每个实体重要性的加权平均值
Figure BDA0003693805280000043
的计算公式为:
Figure BDA0003693805280000044
式中,bi为实体权重偏置,用于对重要等级范围进行限定,防止数据溢出,取值范围根据实体权重动态变化,每个实体重要性的加权平均值越大,表示该实体所在的实体集的重要性越高,对应的用户访问权限也应当根据该值进行调整。对于企业私有云内的数据,其重要程度越高,对用户的访问权限授予应当越谨慎,强化数据的安全性与统一性。
根据上述技术方案,所述步骤S2-S3中,风险评估模型的建立方法及其对应的风险评估结果运行方法包括以下步骤:
步骤S21:根据所得的实体重要性的加权平均值
Figure BDA0003693805280000045
对企业数据资产Q进行评估,具体关系为与实体重要性的加权平均值
Figure BDA0003693805280000046
成正比,具体公式满足
Figure BDA0003693805280000047
Figure BDA0003693805280000048
步骤S22:对企业数据经用户访问后的行为安全R进行评估,并根据评估结果进行等级赋值;
步骤S23:根据设定的阈值与行为安全评估值,识别高风险访问行为,并进行高风险行为相应;
步骤S24:进行对用户的信任等级调整,同时调整对应的操作权限。
根据上述技术方案,所述步骤S22中,企业数据经用户访问后的行为安全R的计算公式为:
Figure BDA0003693805280000051
式中,当用户行为合法性特征值L为0时,行为安全R为0,此时用户的操作行为为高危操作等级,
Figure BDA0003693805280000052
表示将风险值规范化到区间为[0,1]沿正向递增的无量纲值中,α为衰减因子,取值范围为[0.5,1],用于调控用户行为风险值的衰减速率。对于识别为非法用户的操作,计算结果为0,表示风险极高,当计算结果为0时,触发数据保护机制,对所操作用户进行标记,并撤销该用户的所有操作权限,增加安全性。
根据上述技术方案,所述步骤S24中,对用户的信任等级的调整方法为:根据计算出来的本次行为安全值,结合该用户历史行为的平均风险,对信任等级沿正向递减,直至减少为0,则取消该用户的访问权限,并将每一次的调整记录存入区块链中。利用区块链的无领导特征,将每一次的调整记录存入,用户对于调整记录无法篡改,便于后续的行为追溯与责任判定,且提高数据的安全性。
与现有技术相比,本发明所达到的有益效果是:本发明,
(1)通过设置有身份验证登录模块,将用户的操作权限打包入随机身份中,通过验证后才可以对私有云中的数据进行读写操作,增加系统的安全性;通过设置有HDFS分布式文件系统,根据计算机程序,对用户对的属性特征,包括用户名、密码验证、账号权限与数据重要性匹配程度进行筛选验证,经过输出层处理后,得到行为主体的合法性特征。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明的系统模块组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供技术方案:一种基于区块链的数据安全采集方法,适用于一种基于区块链的数据安全采集系统,该系统包括用户特征分析平台、风险评估模型、动态角色访问控制模型,用户特征分析平台用于对私有云环境下的用户访问信息特征化,并对用户的行为进行定义,风险评估模型用于对用户行为的风险值进行计算,动态角色访问控制模型提出一种能根据用户行为安全值对用户的信任等级进行动态调控的访问控制模型,用户特征分析平台的输出分别与风险评估模型、动态角色访问控制模型的输入端电连接;用户特征分析平台包括身份验证登录模块、用户行为采集模块、数据存储模块,身份验证登录模块用于在用户经过身份验证后进行单点登录,用户行为采集模块用于对用户行为相关的数据进行分类采集,数据存储模块用于建立HDFS分布式文件系统,并将采集数据存入;用户行为相关的数据包括员工岗位、员工信任等级、活动时间、终端ID、读写记录,身份验证登录模块与用户行为采集模块、数据存储模块电连接。
风险评估模型包括资产评估模块、脆弱程度计算模块、行为安全计算模块,资产评估模块用于对企业信息资产进行评估,脆弱程度计算模块用于计算企业信息的脆弱程度,行为安全计算模块用于计算员工行为下的资产损失风险;动态角色访问控制模型包括高风险行为响应模块、信任等级调整模块、操作权限调整模块,高风险行为响应模块用于对用户行为进行风险判定,信任等级调整模块用于对用户的信任等级进行动态调整,操作权限调整模块用于根据用户行为导致的信任等级调整情况进行操作权限调整;资产评估模块、脆弱程度计算模块与行为安全计算模块电连接,高风险行为相应模块、信任等级调整模块与操作权限调整模块电连接。
基于区块链的数据安全采集方法具体包括以下步骤:
步骤S1:建立用户特征分析平台,对向私有云数据进行访问的用户采集操作特征数据;
步骤S2:组建风险评估模型,并将采集到的操作特征数据匹配进模型中,进行操作风险评估;
步骤S1中,向私有云数据进行访问的用户操作特征数据采集方法包括以下步骤:
步骤S11:用户根据生成的随机身份登录私有云验证系统,验证通过后赋予数据操作权限;将用户的操作权限打包入随机身份中,通过验证后才可以对私有云中的数据进行读写操作,增加系统的安全性;
步骤S12:对用户的操作行为进行采集,所述操作行为包括行为时间、行为主体、行为客体、操作类型,并将所有操作属性以属性集合的形式保存;对用户访问私有云中企业数据资源的过程进行行为拆分,并将每个特定属性以集合的形式封存,方便数据的采集与后续溯源;
步骤S13:将所采集到的数据根据相关性进行特征选择,对用户行为进行分析;为了对用户的操作行为进行分析,需要选取特征来对用户进行刻画与度量,从原始特征集合中选取评价标准最优的特征子集;
步骤S14:建立HDFS分布式文件系统,并将所得数据存入其中;HDFS分布式文件系统具有高容量、高容错性特点,采用数据块的方式存储数据,将数据物理切割成多个部分,增加写入速度与安全性。
步骤S12-S13中,用户操作属性集合的建立与特征选择的方法包括以下步骤:
步骤A:对用户访问的行为主体ei被访问的次数进行统计,并根据访问频率,通过机器学习神经网络计算其被访问的概率
Figure BDA0003693805280000081
其中i为行为主体标号;
步骤B:计算单个实体的重要性
Figure BDA0003693805280000082
具体为被访问概率
Figure BDA0003693805280000083
的函数,其中
Figure BDA0003693805280000084
Figure BDA0003693805280000085
一个实体被访问的概率越大,它的重要性就越高,根据企业私有云下各个实体之间的内在联系,用户对某个信息系统中数据的访问行为会导致该实体被访问的概率增加,对大量行为记录的统计可以获得一个更真实的概率分布;
步骤C:通过计算机程序分析,对用户的行为合法性进行判断,并以合法性特征值L描述,其中L的取值为0时表示为非法用户,取值为1时表示为合法用户;根据计算机程序,对用户对的属性特征,包括用户名、密码验证、账号权限与数据重要性匹配程度进行筛选验证,经过输出层处理后,得到行为主体的合法性特征;
步骤D:对用户每一次的操作行为进行数据集
Figure BDA0003693805280000086
统计,具体表示为包含多个特征值的矩阵集合;
步骤E:根据每个实体的重要性权重wi,并设定等级保护偏置bi,计算每个实体重要性的加权平均值
Figure BDA0003693805280000087
用每个实体重要性的加权平均值来表示实体集的重要性,并设定阈值来判断用户行为权限与数据重要性的匹配程度,便于建立预警标志。
步骤E中,每个实体重要性的加权平均值
Figure BDA0003693805280000091
的计算公式为:
Figure BDA0003693805280000092
式中,bi为实体权重偏置,用于对重要等级范围进行限定,防止数据溢出,取值范围根据实体权重动态变化,每个实体重要性的加权平均值越大,表示该实体所在的实体集的重要性越高,对应的用户访问权限也应当根据该值进行调整。对于企业私有云内的数据,其重要程度越高,对用户的访问权限授予应当越谨慎,强化数据的安全性与统一性。
步骤S2-S3中,风险评估模型的建立方法及其对应的风险评估结果运行方法包括以下步骤:
步骤S21:根据所得的实体重要性的加权平均值
Figure BDA0003693805280000093
对企业数据资产Q进行评估,具体关系为与实体重要性的加权平均值
Figure BDA0003693805280000094
成正比,具体公式满足
Figure BDA0003693805280000095
Figure BDA0003693805280000096
步骤S22:对企业数据经用户访问后的行为安全R进行评估,并根据评估结果进行等级赋值;
步骤S23:根据设定的阈值与行为安全评估值,识别高风险访问行为,并进行高风险行为相应;
步骤S24:进行对用户的信任等级调整,同时调整对应的操作权限。
步骤S22中,企业数据经用户访问后的行为安全R的计算公式为:
Figure BDA0003693805280000097
式中,当用户行为合法性特征值L为0时,行为安全R为0,此时用户的操作行为为高危操作等级,
Figure BDA0003693805280000101
表示将风险值规范化到区间为[0,1]沿正向递增的无量纲值中,α为衰减因子,取值范围为[0.5,1],用于调控用户行为风险值的衰减速率。对于识别为非法用户的操作,计算结果为0,表示风险极高,当计算结果为0时,触发数据保护机制,对所操作用户进行标记,并撤销该用户的所有操作权限,增加安全性。
步骤S24中,对用户的信任等级的调整方法为:根据计算出来的本次行为安全值,结合该用户历史行为的平均风险,对信任等级沿正向递减,直至减少为0,则取消该用户的访问权限,并将每一次的调整记录存入区块链中。利用区块链的无领导特征,将每一次的调整记录存入,用户对于调整记录无法篡改,便于后续的行为追溯与责任判定,且提高数据的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于区块链的数据安全采集方法,适用于一种基于区块链的数据安全采集系统,其特征在于:所述系统包括用户特征分析平台、风险评估模型、动态角色访问控制模型,所述用户特征分析平台用于对私有云环境下的用户访问信息特征化,并对用户的行为进行定义,所述风险评估模型用于对用户行为的风险值进行计算,所述动态角色访问控制模型提出一种能根据用户行为安全值对用户的信任等级进行动态调控的访问控制模型,所述用户特征分析平台的输出分别与风险评估模型、动态角色访问控制模型的输入端电连接;所述用户特征分析平台包括身份验证登录模块、用户行为采集模块、数据存储模块,所述身份验证登录模块用于在用户经过身份验证后进行单点登录,所述用户行为采集模块用于对用户行为相关的数据进行分类采集,所述数据存储模块用于建立HDFS分布式文件系统,并将采集数据存入;所述用户行为相关的数据包括员工岗位、员工信任等级、活动时间、终端ID、读写记录,所述身份验证登录模块与用户行为采集模块、数据存储模块电连接。
2.根据权利要求1所述的一种基于区块链的数据安全采集方法,其特征在于:所述风险评估模型包括资产评估模块、脆弱程度计算模块、行为安全计算模块,所述资产评估模块用于对企业信息资产进行评估,所述脆弱程度计算模块用于计算企业信息的脆弱程度,所述行为安全计算模块用于计算员工行为下的资产损失风险;所述动态角色访问控制模型包括高风险行为响应模块、信任等级调整模块、操作权限调整模块,所述高风险行为响应模块用于对用户行为进行风险判定,所述信任等级调整模块用于对用户的信任等级进行动态调整,所述操作权限调整模块用于根据用户行为导致的信任等级调整情况进行操作权限调整;所述资产评估模块、脆弱程度计算模块与行为安全计算模块电连接,所述高风险行为相应模块、信任等级调整模块与操作权限调整模块电连接。
3.根据权利要求2所述的一种基于区块链的数据安全采集方法,其特征在于:所述基于区块链的数据安全采集方法具体包括以下步骤:
步骤S1:建立用户特征分析平台,对向私有云数据进行访问的用户采集操作特征数据;
步骤S2:组建风险评估模型,并将采集到的操作特征数据匹配进模型中,进行操作风险评估;
步骤S3:根据风险评估结果,对出现高风险行为的用户采取调控措施。
4.根据权利要求3所述的一种基于区块链的数据安全采集方法,其特征在于:所述步骤S1中,向私有云数据进行访问的用户操作特征数据采集方法包括以下步骤:
步骤S11:用户根据生成的随机身份登录私有云验证系统,验证通过后赋予数据操作权限;
步骤S12:对用户的操作行为进行采集,所述操作行为包括行为时间、行为主体、行为客体、操作类型,并将所有操作属性以属性集合的形式保存;
步骤S13:将所采集到的数据根据相关性进行特征选择,对用户行为进行分析;
步骤S14:建立HDFS分布式文件系统,并将所得数据存入其中。
5.根据权利要求4所述的一种基于区块链的数据安全采集方法,其特征在于:所述步骤S12-S13中,用户操作属性集合的建立与特征选择的方法包括以下步骤:
步骤A:对用户访问的行为主体ei被访问的次数进行统计,并根据访问频率,通过机器学习神经网络计算其被访问的概率
Figure FDA0003693805270000021
其中i为行为主体标号;
步骤B:计算单个实体的重要性
Figure FDA0003693805270000022
具体为被访问概率
Figure FDA0003693805270000023
的函数,其中
Figure FDA0003693805270000031
步骤C:通过计算机程序分析,对用户的行为合法性进行判断,并以合法性特征值L描述,其中L的取值为0时表示为非法用户,取值为1时表示为合法用户;
步骤D:对用户每一次的操作行为进行数据集
Figure FDA0003693805270000032
统计,具体表示为包含多个特征值的矩阵集合;
步骤E:根据每个实体的重要性权重wi,并设定等级保护偏置bi,计算每个实体重要性的加权平均值
Figure FDA0003693805270000033
6.根据权利要求5所述的一种基于区块链的数据安全采集方法,其特征在于:所述步骤E中,每个实体重要性的加权平均值
Figure FDA0003693805270000034
的计算公式为:
Figure FDA0003693805270000035
式中,bi为实体权重偏置,用于对重要等级范围进行限定,防止数据溢出,取值范围根据实体权重动态变化,每个实体重要性的加权平均值越大,表示该实体所在的实体集的重要性越高,对应的用户访问权限也应当根据该值进行调整。
7.根据权利要求6所述的一种基于区块链的数据安全采集方法,其特征在于:所述步骤S2-S3中,风险评估模型的建立方法及其对应的风险评估结果运行方法包括以下步骤:
步骤S21:根据所得的实体重要性的加权平均值
Figure FDA0003693805270000036
对企业数据资产Q进行评估,具体关系为与实体重要性的加权平均值
Figure FDA0003693805270000037
成正比,具体公式满足
Figure FDA0003693805270000038
步骤S22:对企业数据经用户访问后的行为安全R进行评估,并根据评估结果进行等级赋值;
步骤S23:根据设定的阈值与行为安全评估值,识别高风险访问行为,并进行高风险行为相应;
步骤S24:进行对用户的信任等级调整,同时调整对应的操作权限。
8.根据权利要求7所述的一种基于区块链的数据安全采集方法,其特征在于:所述步骤S22中,企业数据经用户访问后的行为安全R的计算公式为:
Figure FDA0003693805270000041
式中,当用户行为合法性特征值L为0时,行为安全R为0,此时用户的操作行为为高危操作等级,
Figure FDA0003693805270000042
表示将风险值规范化到区间为[0,1]沿正向递增的无量纲值中,α为衰减因子,取值范围为[0.5,1],用于调控用户行为风险值的衰减速率。
9.根据权利要求8所述的一种基于区块链的数据安全采集方法,其特征在于:所述步骤S24中,对用户的信任等级的调整方法为:根据计算出来的本次行为安全值,结合该用户历史行为的平均风险,对信任等级沿正向递减,直至减少为0,则取消该用户的访问权限,并将每一次的调整记录存入区块链中。
CN202210672828.6A 2022-06-14 2022-06-14 一种基于区块链的数据安全采集方法 Pending CN115086028A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210672828.6A CN115086028A (zh) 2022-06-14 2022-06-14 一种基于区块链的数据安全采集方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210672828.6A CN115086028A (zh) 2022-06-14 2022-06-14 一种基于区块链的数据安全采集方法

Publications (1)

Publication Number Publication Date
CN115086028A true CN115086028A (zh) 2022-09-20

Family

ID=83251807

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210672828.6A Pending CN115086028A (zh) 2022-06-14 2022-06-14 一种基于区块链的数据安全采集方法

Country Status (1)

Country Link
CN (1) CN115086028A (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790914A (zh) * 2012-07-04 2012-11-21 合一网络技术(北京)有限公司 一种获取生成用户关注度高的网络视频精华的系统及方法
WO2021008560A1 (zh) * 2019-07-17 2021-01-21 江苏南工科技集团有限公司 一种基于区块链技术的移动应用安全分析方法
CN114363088A (zh) * 2022-02-18 2022-04-15 京东科技信息技术有限公司 用于请求数据的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790914A (zh) * 2012-07-04 2012-11-21 合一网络技术(北京)有限公司 一种获取生成用户关注度高的网络视频精华的系统及方法
WO2021008560A1 (zh) * 2019-07-17 2021-01-21 江苏南工科技集团有限公司 一种基于区块链技术的移动应用安全分析方法
CN114363088A (zh) * 2022-02-18 2022-04-15 京东科技信息技术有限公司 用于请求数据的方法和装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
刘正南: "云环境下基于用户行为评估的访问控制模型研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, pages 1 - 6 *
刘正南: "云环境下基于用户行为评估的访问控制模型研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 *
郑明辉 等: "基于机器学习的企业私有云用户行为分析模型", 《中南民族大学学报(自然科学版)》, no. 03, pages 95 - 100 *

Similar Documents

Publication Publication Date Title
CN112966245A (zh) 一种基于信息度量的电网信息系统访问控制方法和系统
CN107579956B (zh) 一种用户行为的检测方法和装置
CN106295349A (zh) 账号被盗的风险识别方法、识别装置及防控系统
CN109446817A (zh) 一种大数据检测与审计系统
CN110020687B (zh) 基于操作人员态势感知画像的异常行为分析方法及装置
CN110851872B (zh) 针对隐私数据泄漏的风险评估方法及装置
CN108156131A (zh) Webshell检测方法、电子设备和计算机存储介质
CN113132311B (zh) 异常访问检测方法、装置和设备
CN115412354B (zh) 一种基于大数据分析的网络安全漏洞检测方法及系统
CN110912874B (zh) 有效识别机器访问行为的方法及系统
CN114785563B (zh) 一种软投票策略的加密恶意流量检测方法
CN101964779A (zh) 一种基于能力成熟度模型的资源访问控制方法和系统
CN112699357A (zh) 一种大数据安全系统访问操作平台以及数据调阅方法
CN114091042A (zh) 风险预警方法
CN115859345A (zh) 一种基于区块链的数据访问管理方法和系统
CN114090985A (zh) 区块链中用户操作权限的设置方法、装置和电子设备
CN116074843A (zh) 一种5g双域专网的零信任安全可信审计方法
CN117195250A (zh) 一种数据安全管理方法及系统
CN116915515B (zh) 用于工控网络的访问安全控制方法及系统
CN112702410B (zh) 一种基于区块链网络的评估系统、方法及相关设备
CN112711757B (zh) 一种基于大数据平台的数据安全集中管控方法及系统
CN115086028A (zh) 一种基于区块链的数据安全采集方法
Best et al. Machine‐independent audit trail analysis—a tool for continuous audit assurance
CN113824739B (zh) 一种云管理平台的用户权限管理方法及系统
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination