CN116561825B - 数据安全管控方法、装置及计算机设备 - Google Patents

数据安全管控方法、装置及计算机设备 Download PDF

Info

Publication number
CN116561825B
CN116561825B CN202310852748.3A CN202310852748A CN116561825B CN 116561825 B CN116561825 B CN 116561825B CN 202310852748 A CN202310852748 A CN 202310852748A CN 116561825 B CN116561825 B CN 116561825B
Authority
CN
China
Prior art keywords
data
target
user
target data
persistence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310852748.3A
Other languages
English (en)
Other versions
CN116561825A (zh
Inventor
朱贺军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD
Original Assignee
BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD filed Critical BEIJING ESAFENET TECHNOLOGY DEVELOPMENT CO LTD
Priority to CN202310852748.3A priority Critical patent/CN116561825B/zh
Publication of CN116561825A publication Critical patent/CN116561825A/zh
Application granted granted Critical
Publication of CN116561825B publication Critical patent/CN116561825B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种数据安全管控方法、装置及计算机设备,方法包括:基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中目标数据,至少包括与被监控设备操作安全性相关的用户行为数据;根据目标数据的数据热度,分级缓存目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;目标数据的数据热度与存储目标数据的存储分区的响应速率正相关;在检测到持久化触发事件的情况下,持久化缓存的目标数据;基于分级缓存的目标数据,进行基于目标用户的用户画像和/或目标用户的操作事件链;基于用户画像和/或操作事件链,对目标用户对设备的使用进行安全管控。

Description

数据安全管控方法、装置及计算机设备
技术领域
本发明涉及数据安全理技术领域,尤其涉及一种数据安全管控方法、装置及计算机设备。
背景技术
数据作为新的生产资料和要素越来越被社会认可和重视,随着数字化转型的推进、数据场景复杂多样化、数据量不断增长,用户侧的业务场景的多样性,来自云、网、端等跨场景的异构日志汇聚融合后,也对目标数据安全管控过程中保持相应的关联关系带来了新的挑战。
发明内容
有鉴于此,本发明的主要目的在于提供一种数据安全管控方法、装置及计算机设备,旨在提升目标用户对设备的使用和设备内存储数据的安全性管控。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种数据安全管控方法,所述方法包括:
基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中所述目标数据,至少包括与所述被监控设备操作安全性相关的用户行为数据;根据所述目标数据的数据热度,分级缓存所述目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;所述目标数据的数据热度与存储所述目标数据的存储分区的响应速率正相关;
在检测到持久化触发事件的情况下,持久化缓存的所述目标数据;
基于分级缓存的所述目标数据,进行基于所述目标用户的用户画像和/或所述目标用户的操作事件链;
基于所述用户画像和/或所述操作事件链,对所述目标用户对设备的使用进行安全管控。
上述方案中,所述在检测到持久化触发事件的情况下,持久化缓存的所述目标数据,包括:
在检测到所述持久化触发事件的情况下,根据目标数据关联的网络协议类型、数据库语句和数据库会话的至少其中之一切分所述目标数据,得到数据分片;
按照所述数据分片存储至多个目标节点,其中,任意一个所述目标节点存储的数据分片互为备份。
上述方案中,所述按照所述数据分片存储至多个目标节点,包括:
根据持久化规则、待持久化所述目标数据的数据属性以及备选节点的状况信息,从所述备选节点中选择所述多个目标节点;
根据所述持久化规则关联的持久化参数,将所述目标数据对应的数据分片存储至所述多个目标节点。
上述方案中,所述在检测到持久化触发事件的情况下,持久化缓存的所述目标数据,包括:
在检测到各级缓存节点的运行状况对应的持久化触发事件的情况下,持久化缓存的所述目标数据;所述缓存节点的运行状况包括以下至少之一:
所述缓存节点的负载率;
所述缓存节点的负载力量波动状况;
所述缓存节点是否故障。
上述方案中,所述基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
基于目标协议对从被监控设备的扫描数据进行解析,得到标准格式的所述目标数据;其中所述扫描数据的数据格式包括以下至少之一:结构化数据、半结构化数据以及非结构化数据。
上述方案中,所述基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
根据扫描数据,确定数据主体和数据客体;其中,所述数据主体与所述目标用户关联;所述数据客体包括:与所述目标用户的用户行为相关的数据关联;
建立所述数据主体和所述数据客体之间的关联关系;
其中,所述目标数据包括:
指示所述关联关系的关系数据;
所述数据主体的元数据属性;
所述数据客体的元数据属性。
上述方案中,所述方法还包括:
基于分级缓存的所述目标数据和/或用户画像,确定所述目标用户的行为基线;
基于所述目标数据、所述用户画像和所述行为基线,进行所述目标用户的操作事件的预测;
根据用户行为的预测结果,对所述目标用户对设备的使用进行安全管控。
此外,本发明实施例还提供一种数据安全管控装置,所述装置包括:
数据获取模块,用于基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中所述目标数据,至少包括与所述被监控设备操作安全性相关的用户行为数据;
数据缓存模块,用于根据所述目标数据的数据热度,分级缓存所述目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;所述目标数据的数据热度与存储所述目标数据的存储分区的响应速率正相关;
数据持久化存储模块,用于在检测到持久化触发事件的情况下,持久化缓存的所述目标数据;
行为预测模块,用于基于分级缓存的所述目标数据,进行基于所述目标用户的用户画像和/或所述目标用户的操作事件链;
安全管控模块,用于基于所述用户画像和/或所述操作事件链,对所述目标用户对设备的使用进行安全管控。
本发明实施例所提供的一种数据安全管控方法、装置及计算机设备,通过基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;根据所述目标数据的数据热度,分级缓存所述目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;在检测到持久化触发事件的情况下,持久化缓存的所述目标数据;基于分级缓存的所述目标数据,进行基于所述目标用户的用户画像和/或所述目标用户的操作事件链;基于所述用户画像和/或所述操作事件链,对所述目标用户对设备的使用进行安全管控。如此对扫描数据进行数据分析得到能够反映用户行为相关的目标数据,并将目标数据的数据热度,分级缓存,可以满足不同热度的数据读取请求的响应速率;且同时在检测到持久化触发事件就将数据持久化,方便后续查询。该目标数据将用于用户画像和/或操作事件链生成,并实现对所述目标用户对设备的使用进行安全管控,提升目标用户对设备的使用和设备内存储数据的安全性管控。
附图说明
图1为本发明一些实施例提供的数据安全管控产品的技术框架图;
图2为本发明一些实施例提供的数据安全管控方法的流程示意图;
图3为本发明一些实施例提供的数据安全管控方法的一种数据交互流图;
图4为本发明一些实施例提供的数据安全管控装置的组成结构示意图;
图5本发明实施例提供的计算机设备的硬件结构示意图。
实施方式
需要说明的是,随着企业上云、5G落地及工业互联网的发展,各行业组织、机构(如企事业单位)的“数字化”办公已成为主要趋势,“数字化”办公在给企业带来高效数据流转的同时,数据安全管控也越发突出。因此,各行业组织、机构而言,如何保障数据安全性本发明实施例所研究的方向。
基于此,本发明实施例提供了一套数据安全管控产品,该产品可以通过对目标数据进行分级缓存、分批及分布式处理分析,解决了传统目标数据安全管控过程中数据写入瓶颈、长时间跨度条件检索数据快速返回、跨场景数据关联分析预处理等一系列问题,实现了数据安全事件发生后快速且精准的分析出风险源头,同时支持用户侧多样的业务场景变化,包括来自云、网、端等跨场景的异构日志。运营管理还运用了关联分析、联防联控、人物画像、自动编排与态势感知技术,探测发现数据安全事件,并提供完整追溯取证证据链,有效预防、阻断或减少安全威胁。当有异常行为事件发生时能够第一时间进行自动响应,通知运营人员进行事件处置,并对平台策略进行持续优化。
图1是数据安全管控的技术框架图,如图1所示,平台包括:数据源、存储层、能力层和展示层。
数据源:平台支持接入多源异构数据,包括数据库、大数据、文件、云、终端等。
存储层:平台利用分级缓存技术对目标数据从采集到持久化过程进行三级存储,数据采集层为一级缓存区,在一级缓存区内由目标数据解析还原模块对各种网络协议、数据库协议数据进行解码还原,并对解析后的数据在内存中进行批量封装写入二级缓存,再进行滚动转移到三级存储上,从而实现目标数据的高速批量入库。
能力层:平台能力层主要包括数据识别、数据防护、数据监测、运营管理四大能力。
数据识别过程是对重要资产和数据进行盘点、梳理,并提供数据资产清单与数据分类分级清单。其中数据分类分级是数据安全建设的第一步,也是平衡数据安全成本的依据,基于规则库、文件指纹及机器学习的数据分类分级方法,识别数据源后首先使用规则库、文件指纹对数据进行识别,然后使用机器学习算法校验,输出分类分级资产清单。
数据安全运营管理过程中通过对目标数据进行分级缓存、分批及分布式处理分析,解决了传统目标数据处理过程中数据写入瓶颈、长时间跨度条件检索数据快速返回、跨场景数据关联分析预处理等一系列问题,实现了数据安全事件发生后快速且精准的分析出风险源头,同时支持用户侧多样的业务场景变化,包括来自云、网、端等跨场景的异构日志。运营管理还运用了关联分析、联防联控、人物画像、自动编排与态势感知技术,探测发现数据安全事件,并提供完整追溯取证证据链,有效预防、阻断或减少安全威胁。当有异常行为事件发生时能够第一时间进行自动响应,通知运营人员进行事件处置,并对平台策略进行持续优化。
展示层:平台提供可视化态势大屏,多维度、实时展示当前安全资产统计、事件统计、实时违规事件预警、事件趋势变化、风险事件传输途径分析、高危用户违规行为分析、外发文件热点等,实现数据资产可视、安全威胁可管、事件风险可控,帮助数据安全管理者对自身数据安全态势进行实时掌控。通过事前主动防御、事中检测响应、事后追踪溯源、全程态势感知的整体防护理念,建立完善的整体数据安全管理体系。实现数据泄露防得住、数据风险看得见、安全管理好落地的整体效果。
本发明实施例旨在研究数据资产发现与识别以及数据安全检测与防护过程中的数据安全管控技术。
图2为本发明实施例中数据安全管控的流程示意图,请参阅图2,本发明实施例提供了一种数据安全管控,该方法应用于计算机设备,该方法包括:
步骤201:基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中目标数据,至少包括与被监控设备操作安全性相关的用户行为数据;
在这里被监控设备可以是某个使用范围内的终端设备,例如某个公司办公用的固定终端或者移动终端等,固定终端可以是台式电脑或者一体机,移动终端可以是笔记本电脑、平板或者手机等。被监控设备的扫描数据可以是安装在被监控设备上的监控插件基于扫描指令获取被监控设备的扫描数据,进一步的,扫描数据的地址、类型等扫描数据的参数可以是预先指定的,这些扫描数据能够反应用户对被监控设备的操作行为,例如,被监控设备上的数据的变动,包括数据的产生、修改、删除以及变化保存位置等操作。再例如,用户对数据的外发行为。
在这里扫描数据可以是多源异构数据,即扫描数据的来源不同结构不同,例如,数据来源包括数据库、大数据、文件、云、终端等。进而,对不同的数据通过各自对应的协议进行解析还原,例如对各种网络协议、数据库协议数据进行解析还原。
在这里扫描数据是对被监控设备的数据进行数据安全管控监听得到的数据。具体的,针对被监控设备数据进行内容深度扫描,扫描结果本地存储,并采用快速高密度压缩算法存储扫描结果,以降低扫描结果存储空间的占用,同时监控被监控设备数据变化,及时更新扫描结果,针对被监控设备用户访问的热度数据和扫描发现的敏感数据创建数据索引,快速更新策略变化后被监控设备数据的扫描结果,扫描过程中根据资源的使用情况及被监控设备用户的人机交互行为自适应调整扫描占用的系统资源,实现终端用户无感的被监控设备扫描能力;该算法对发现的敏感数据执行加密、标密、脱敏、查杀等防护处理,对加密后的敏感数据提供透明使用、安全流转的能力;该算法将用户的危险级别定义为一般对象、嫌疑对象、重点对象,不同危险级别采用不同的管控方式,主要包括策略管控、分时内容操作管控、全程内容操作管控等,根据被监控设备上报的用户所操作的敏感数据行为记录,分析被监控设备用户的风险程度,自动调整用户的危险级别,根据用户的危险级别自动调整用户的管控方式。
该扫描数据可包括;目标用户使用被监控设备访问过的数据、目标用户使用被监控设备编辑的数据,目标用户访问的网址、目标用户使用设备的日志信息等任意反应用户行为的数据。
可理解的,扫描设备是通过对被监控设备的扫描所得到的,进而在一实施例中,被监控设备的数据扫描方法可以包括:
根据扫描指令,确定被监控设备的使用情况;
根据被监控设备的使用情况,调整被监控设备的系统资源的分配比例,并利用调整后的被监控设备对预设数据进行扫描以得到扫描结果。
可以理解的是,内容深度扫描平台目前大都是在被监控设备本地内置的软件平台,需要用户预定义一些复杂的数据检测规则,用户定义数据安全管控策略的前提是企业IT人员对企业内部的数据有清晰的了解,达成这一目标需要企业投入大量的时间和人力成本。同时,内容深度扫描平台由于会对扫描过的数据进行重复扫描,扫描结果占用过多的存储空间,甚至影响到客户端用户的正常使用,给客户端造成严重的性能问题。
上述的内容深度扫描平台可以是安置在被监控设备内的一个软件或插件,也可以是建立在网络之上的软件系统。
上述方案中,使用情况包括:使用状态情况;系统资源包括:计算资源;
根据被监控设备的使用情况,调整被监控设备的系统资源的分配比例,包括:
若被监控设备的使用情况为使用状态,将被监控设备用于进行数据安全管控的计算资源的分配比例调整为不超过第一比例阈值,第一比例阈值小于被监控设备的当前计算资源的占用比例值的剩余比例值。
上述方案中,使用情况包括:使用状态情况;系统资源包括:计算资源;
根据被监控设备的使用情况,调整被监控设备的系统资源的分配比例,包括:
根据被监控设备的使用情况为未使用状态,将被监控设备用于进行扫描的计算资源的分配比例调整为超过第二比例阈值,第二比例阈值为被监控设备当前可被使用的最大计算资源分配比例值。
上述方案中,根据扫描指令,确定被监控设备的使用情况,包括:
根据扫描指令,确定被监控设备的人机交互界面在预设时间内是否检测到用户输入;当预设时间内检测到人机交互界面有用户输入时,确定被监控设备的使用情况为使用状态;
和/或,
根据扫描指令,确定被监控设备的计算资源占用比例;若被监控设备的计算资源的占用比例大于第三比例阈值,确定被监控设备的使用情况为使用状态,第三比例阈值为用于表征被监控设备从休眠状态到使用状态的计算资源占用比例的临界比例值。
上述方案中,根据扫描指令,确定被监控设备的使用情况,包括:
根据扫描指令,确定被监控设备的人机交互界面在预设时间内是否检测到用户输入;当预设时间内未检测到人机交互界面有用户输入时,确定被监控设备的使用情况为未使用状态;
和/或,
根据扫描指令,确定被监控设备的计算资源的占用比例;若被监控设备的计算资源的占用比例小于或等于第一比例阈值,确定被监控设备的使用情况为未使用状态,第一比例阈值小于用于表征被监控设备从休眠状态到使用状态的计算资源占用比例的临界比例值。
上述方案中,使用情况包括:使用空间情况;系统资源包括:存储空间资源;
根据被监控设备的使用情况,调整被监控设备的系统资源的分配比例,包括:
根据被监控设备的使用空间情况,调整被监控设备中用于扫描占用的存储空间。
在一些实施例中,基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
基于目标协议对从被监控设备的扫描数据进行解析,得到标准格式的目标数据;其中扫描数据的数据格式包括以下至少之一:结构化数据、半结构化数据以及非结构化数据。
可理解的,结构化数据,是指由二维表结构来逻辑表达和实现的数据,严格地遵循数据格式与长度规范,主要通过关系型数据库进行存储和管理。例如,可以使用关系型数据库来表示和存储,如MySQL、Oracle、SQL Server等,表现二维形式的数据。可以通过固有键值获取相应信息。
半结构化数据,是结构化数据的一种形式,虽不符合关系型数据库或其他数据表的形式关联起来的数据模型结构,但包含相关标记,用来分隔语义元素以及对记录和字段进行分层,例如。常见的半结构数据有XML和JSON。
非结构化数据,是结构数据不规则或不完整,没有预定义的数据模型,不方便使用数据库二维逻辑表来表现的数据,例如,办公文档、文本、图片、XML、HTML、各类报表、图像和音频/视频信息等等。
在这里扫描数据是多源异构数据,数据类型多结构不一,不便于后续的数据数据分析和处理,因此,本实施例中基于目标协议对扫描数据进行解析还原,这里目标协议是根据扫描数据的来源和数据结构而确定的,例如,从网络中获取的网络数据包采用相应的网络协议进行解析,再例如,对于从数据库数据通过根据SQL语句进行扫描数据解析,对于非结构化数据可以利用对应的技术方法得到目标数据,例如对于图片利用OCR技术获取相应的目标数据。
在一些实施例中,基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
根据扫描数据,确定数据主体和数据客体;其中,数据主体与目标用户关联;数据客体包括:与目标用户的用户行为相关的数据关联;
建立数据主体和数据客体之间的关联关系;
其中,目标数据包括:
指示关联关系的关系数据;
数据主体的元数据属性;
数据客体的元数据属性。
可理解的是,在数据管理和数据治理领域,"主体"和"客体"是两个常用的概念,用于描述数据的角色和关系。数据主体(Data Subject):数据主体指的是数据所属或者数据描述的实体或个体。它可以是一个人、组织、设备或任何其他可以产生、使用或被关联到数据的实体。数据主体是数据的所有者或相关利益相关者。例如,在个人数据保护的背景下,一个人是他/她的个人数据的主体。数据客体(Data Object):数据客体指的是被操作、处理或管理的数据本身。它是被收集、存储、处理、传输和使用的信息。数据客体可以是各种形式的数据,包括文本、图像、音频、视频等。数据客体是由数据主体产生或与数据主体相关联的。
在数据管理过程中,数据主体与数据客体之间存在关联关系。数据主体对数据客体具有控制权和所有权,可以对数据客体进行操作、访问和使用。数据客体则是由数据主体生成、拥有或与其相关联的数据。在数据隐私和合规性方面,确保数据主体对其个人数据拥有一定的控制权和隐私保护是非常重要的。
元数据属性(Metadata attributes)是描述和定义元数据的特征、属性或字段。元数据是关于数据的数据,它提供了对数据进行管理、组织和理解的信息。元数据属性用于描述元数据的各个方面,包括数据的结构、内容、来源、格式、质量等。
以下是一些常见的元数据属性:
名称(Name):元数据对象的名称或标识符,用于唯一标识该对象。
描述(Description):对元数据对象的详细说明,包括其用途、内容、特征等。
类型(Type):元数据对象的类型或分类,例如数据表、字段、文件等。
标签(Tags):关键词或短语,用于描述元数据对象的主题、特性或关联的概念。
创建时间(Creation Date):记录元数据对象创建或记录的日期和时间。
更新时间(Last Updated):记录元数据对象的最后更新或修改时间。
所有者(Owner):负责管理或拥有元数据对象的个人或组织。
权限(Permissions):规定了对元数据对象的访问权限,包括读取、写入和共享等。
数据类型(Data Type):描述元数据对象的数据类型,如文本、数值、日期等。
长度(Length):适用于字符类型的元数据属性,表示字符的最大长度或允许的字符数。
格式(Format):适用于日期、时间、数字等数据类型的元数据属性,定义了数据的格式规范。
关系(Relationships):描述元数据对象与其他对象之间的关联关系,如上下级关系、依赖关系等。
元数据属性提供了有关数据的附加信息,帮助用户了解数据的特征、用途和上下文。通过元数据属性,可以更好地组织、搜索、共享和理解数据,从而支持数据管理和数据治理的过程。
数据安全事件分析处理过程中,海量的目标数据场景复杂多样化,且数据量也在不断增长,因此目标数据分析处理已经成为一个问题。例如TB级日志数据(目标数据中的一类数据)存储导致的检索性能问题、数据安全事件发生后需要能够快速且精准的分析出风险源头;同时由于用户侧的业务场景的多样性,来自云、网、端等跨场景的异构日志汇聚融合后,也对目标数据处理过程中保持相应的关联关系带来了新的挑战。
在这里通过建立数据主体和数据客体之间的关联关系,即建立了目标用户与目标用户的目标行为之间的关联关系,进而提升了海量目标数据处理后期的频繁访问与数据关联问题,进一步提高目标数据分析效率。
步骤202:根据目标数据的数据热度,分级缓存目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;目标数据的数据热度与存储目标数据的存储分区的响应速率正相关。
数据热度反应了数据被访问的频率和/或被使用的频率。数据热度越高,则被访问或被使用的概率越高。
可理解的,根据数据热度,分级缓存目标数据,而缓存节点又有不同级别的相应速率,如此,本实施例中将热度高的目标数据放入响应速度快的缓存节点,能够提高目标数据的分析速度。例如,在缓存节点被查询时,可以根据根请求频率、数据运算参与度等要素给出缓存的目标数据的热度评价。
当然,还要实时更新目标数据的热度信息,根据热度信息进行目标数据的缓存节点的更换,从而有效提升缓存节点利用率,避免缓存穿透、缓存雪崩等异常发生。例如,在某一段时间内大量用户外发和访问的目标数据可能集中在少部分的文件与关键词上,通过使用分级缓存将这一小部分的热门数据缓存在相应速度高的缓存节点中,不但可以减轻数据库的压力,还可以提高整个目标数据分析组件的处理速度。当然,还要根据具体情况实时调整
步骤203:在检测到持久化触发事件的情况下,持久化缓存的目标数据;
可以理解的,本实施例的目标数据的存储模式包括缓存模式和持久化存储模式,在缓存节点的状况不适合存储目标数据的情况下或者目标数据不适宜被缓存在缓存节点的情况下,通过发出持久化触发事件,将目标数据进行持久化存储。
在一些实施例中,在检测到持久化触发事件的情况下,持久化缓存的目标数据,包括:
在检测到各级缓存节点的运行状况对应的持久化触发事件的情况下,持久化缓存的目标数据;缓存节点的运行状况包括以下至少之一:
缓存节点的负载率;
缓存节点的负载力量波动状况;
缓存节点是否故障。
可理解的,持久化触发事件包括缓存节点的负载率过高、缓存节点的负载力量波动过大和存储节点出现故障的情况。具体地,这里的缓存节点的负载率过高可以是指存储目标数据的当前缓存节点的负载率过高,也可是指所有的负载节点的整体负载率过高,例如,当前缓存节点的负载高于90%,则认为负载率过高。所有的负载节点的整体负载率高于85%,则认为负载率过高。如果当前缓存节点负载过高,且不能将该目标数据存储至其他缓存节点的情况是持久化触发事件,这里的不能存储至其他缓存节点包括没有合适的缓存节点能够存储该目标数据,例如,合适的缓存节点没有足够的存储空间,合适的缓存节点是与当前缓存节点的级别相差不大的缓存节点。所有负载节点的整体负载率根据所有的负载节点的权重进行加权和得到。缓存节点的负载力量波动过大是当前缓存节点波动过大,且目标数据无法缓存至其他缓存节点。缓存节点出现故障也是指当前缓存节点出现故障,且无法将目标数据存储至其他缓存节点。当然,也还可以根据具体情况设置其他的持久化触发事件,例如,对一些冷目标数据,即数据热度低于预设热度阈值的目标数据进行持久化存储。
在这里灵活的调整目标数据的存储模式,充分利用了缓存节点可以提升响应能力的优先又充分避免了缓存失败而造成的数据损失的问题。
在一些实施例中,检测到持久化触发事件还可包括:
当前时刻距离上一个时刻之间的时间间隔达到持久化的时间间隔,确定检测到持久化触发事件;
和/或,
在对应缓存节点上缓存数据的实际缓存时长达到最大缓存时长,确定检测到持久化触发事件。
在一应用场景中,以预设监测周期,监测缓存节点中的目标数据的数据热度,以及持久化存储的目标数据的数据热度;基于重新确定数据热度,将热度高于第一预设热度的持久化存储的目标数据进行存储至缓存节点进行缓存,或者将缓存节点中缓存的热度低于第二预设热度的目标数据进行持久化存储。
在一些实施例中, 针对分级缓存的目标数据,可以根据缓存节点的响应速率,划分为多级缓存节点;在未检测到目标数据关联的持久化触发事件的情况下,根据目标数据的数据热度,动态更新目标数据的缓存节点,以使得目标数据的缓存节点的响应速率与数据热度保持正相关。例如,目标数据的数据热度下降了,则目标数据可能会从高响应速率的缓存节点转移到响应速度相对慢一点的缓存节点。若目标数据的数据热度提升了,则目标数据可能会从低响应速率的缓存节点转移到响应速率相对高一点的缓存节点。
在这里根据目标数据的热度调整目标数据的存储模式充分利用了缓存节点,保证了目标数据的响应速度。
在一些实施例中,在检测到持久化触发事件的情况下,持久化缓存的目标数据,包括:
在检测到持久化触发事件的情况下,根据目标数据关联的网络协议类型、数据库语句和数据库会话的至少其中之一切分目标数据,得到数据分片;
按照数据分片存储至多个目标节点,其中,任意一个目标节点存储的数据分片互为备份。
在这里缓存节点存储空间有限,但是数据响应速度快,持久化存储节点存储空间大,但是速度响应速度较缓存节点慢,因此,根据具体情况,为目标数据选择最优选的存储模式。目标数据的来源不同,目标数据的应用的业务场景也不同,在将目标数据迁移至持久化存储节点时,可以按照网络协议类型、数据库语句和数据库会话的至少其中之一切分。
可以理解的是,多个目标节点共同工作的情况下,每个目标节点都可以对外提供服务,每个目标节点有存在异常的可能,例如网络中断,硬盘损坏,进程崩溃等故障。因此,为了在目标节点发生异常的时候不影响后续的业务处理,对每个目标节点中的数据分片进行备份。各个分布式目标节点内划分出不同的数据分片和备份分片,确保系统的冗余备份及高可用性,在节点故障数小于一半时,仍然能提供正常的服务,而且数据不会丢失。
在一些实施例中,方法还包括:
为数据分片分配分片标识;示例性地,根据数据分片的生成顺序,对数据分排进进行顺序编号得到分片标识;
根据分片标识、目标数据的数据标识以及数据分片的存储位置,建立目标数据的检索索引。
通过检索索引的建立,方便后续从硬盘上快速读取目标数据。
在一个实施例中,目标数据的多个数据分片在一个存储节点上连续存储,以方便后续连续存储。
在一些实施例中,检索索引还可包括:目标数据的摘要信息和/或关键字,方便后续基于检索文本快速搜索到匹配的目标数据。
在一些实施例中,按照数据分片存储至多个目标节点,包括:
根据持久化规则、待持久化目标数据的数据属性以及备选节点的状况信息,从备选节点中选择多个目标节点;
根据持久化规则关联的持久化参数,将目标数据对应的数据分片存储至多个目标节点。
在这里持久化规则可以是目标数据迁移至目标节点的规则,可以根据具体业务设定,例如,每次迁移的目标数据的数据量、目标数据的迁移周期等,将目标数据分散而有机地存储在各个分布式目标节点,再将这些目标节点组合形成大数据引擎。
示例性地,持久化参数可包括:目标数据存储到目标节点上的任意参数。
示例性地, 该持久化参数可包括:
第一参数,指示是否分布式存储目标数据;
第二参数,指示存储目标数据的存储方式,例如,第二参数可以指示是否区块链或联盟链等方式存储目标数据;
第三参数,指示目标节点所在的节点集群;
第四参数,指示目标数据持久化到目标节点之后的数据属性。例如,在一些情况下,为了确保目标数据的安全性,第四参数可以指示目标数据持久化之后具有只读属性,以减少目标数据的随意被修改。第四参数还可用于配置能够访问目标数据的账号权限等。
步骤204:基于分级缓存的目标数据,进行基于目标用户的用户画像和/或目标用户的操作事件链;
在这里目标用户可以是操作被监控设备的用户,用户画像是在多个维度上建立的对目标用户的描述性标签属性,这些标签属性能对目标用户的个人特征进行勾勒。
示例性地,用于建立用户画像的目标数据可以包括但不限于自然数据、行为数据以及内容数据,自然数据表示包括用户性别、年龄等用户自身固有的属性。行为数据描述用户所执行的行为,包括用户经常操作的文件、信息输入、文件的外发、应用软件的使用频率、工作时间与非工作时间的占比等。内容数据表示用户行为的对象,例如用户经常操作的文件的文件信息,文件名称、文件类型等,使用应用软件所进行的具体内容,信息输入的热点关键词、文件外发的对象等。
示例性地,操作事件链可记录有具有前后关联关系或因果关系的多个用户操作相关的信息。例如,点击操作1访问文件1,基于文件1中的超链接的用户操作2访问文件2,基于用户操作3关闭文件2,并返回显示文件1,基于用户操作4关闭文件1。在该操作事件链可以按照时间先后顺序,记录有各个用户操作的操作信息、操作结果以及前后两个用户操作的关联关系等。该操作信息可包括:操作类型、操作产生的时间、操作账户、操作的设备、操作针对的界面。
步骤205:基于用户画像和/或操作事件链,对目标用户对设备的使用进行安全管控。
如此发生安全事故的风险事件时,可以根据操作事件链快速溯源,找到是否是用户行为触发了安全事故,和/或,基于操作事件链的分析,确定用户行为是否威胁到设备使用和设备内数据的安全性,如果有给出提示信息,以进行安全漏洞的防堵。
在一些实施例中,上述方法还包括:
基于分级缓存的目标数据,确定目标用户的行为基线;
基于目标数据、用户画像和行为基线,进行目标用户的操作事件的预测;
根据用户行为的预测结果,对目标用户对设备的使用进行安全管控。
在这里用户的行为基线是目标用户进行正常操作的行为,例如,目标用户工作时间经常操作的文件是文件A和文件B,那么用户操作文件的行为基线就是工作时间操作文件A或文件B。用户的操作行为会形成相应的目标数据,因此对目标数据进行分析能够确定目标用户的操作行为。一旦分析目标数据发现目标用户的行为偏离了行为基线,且根据该目标用户的目标画像分析该目标用户没有必要进行偏离行为基线的行为,则可能是风险的预兆,即目标用户可能要进行危险操作(危险行为),此时要对目标用户的用户行为进行预测。如此,根据用户行为的预测结果判断是否要发生风险事件,根据可能要发生的风险事件采取相应的防范措施,避免风险事件的发生。
在一些实施例中,以用户IP、访问工具、数据库账号等关键要素构建数据库用户访问行为基线,可以通过引入机器学习,模型建立后,针对后续操作行为自动研判,识别风险用户及异常行为并做相应处置。
在一些实施例中,可以通过对目标数据的分析能够做到同一用户行为的持续、智能跟踪,根据用户行为总结用户频繁访问的数据,根据被监控设备上报的操作敏感数据的分析用户的风险程度,定义为一般对象、嫌疑对象、重点对象(用户的危险度也是用户画像的一部分),根据用户的危险级别自动调整用户的管控方式。
如此,数据安全管控产品对数据安全的管控分为事件发生前防御、事件发生中审计和事件发生后追踪溯源。通过用户行为预测,预估可能发生的风险事件。通过对用户操作的行为分析、趋势分析,并对用户操作的记录进行事中审计,当风险事件发生后,可通过事件串联,将用户操作的整个操作事件链进行还原回放,为事后追踪溯源提供可靠保障。经过对数据进行一系列的深度处理,形成覆盖事前预警、事中处置、事后分析的闭环管理,最终在业务层面实现了目标数据的追踪溯源、智能画像、趋势与关联分析等效果。
请参阅图3,如图3所示,数据安全管控平台的数据交互框图,数据安全管控平台的数据交互包括平台采集外部数据、平台内部的数据交互以及平台向外部输出数据。
这里,平台采集外部数据可以包括:平台能接入多源异构数据,包括数据库、大数据、文件及其他三方数据,在数据类型上,能够快速接入各种扫描数据源,例如终端、网络、邮件、存储服务器、数据库等,同时数据形态上能同时涵盖结构化、半结构化、非结构化等异构数据。
平台内部的数据交互可以包括:数据采集引擎模块进行数据过滤与分流,利用数据预处理模块对数据进行清洗、合并,利用分级缓存技术对扫描数据(目标数据)从采集到持久化过程进行三级缓存,在一级缓存区内对扫描数据解析还原,并对解析后的数据在内存中进行批量封装写入二级缓存,例如在固态硬盘(Solid State Drives,SSD)上设计为按天分区存储,根据该存储空间大小,再按天进行滚动转移到三级存储上,从而实现高速批量入库,避免了扫描数据的数据积压等问题。其中,数据在持久化前会根据不同场景业务需要,进行如清洗、补齐、字段归一化、文本分词建立倒排索引、规则比对、模型研判、聚合统计等一系列处理,以便数据流式处理模块进行统一存储分析及深度挖掘。数据流式处理模块接收预处理后的模块,即数据流式处理模块与数据采集引擎模块对接,由扫描数据流式处理模块对消息队列中的数据进行批量处理,配合平台的管理系统下发的策略在流式处理过程中对数据进行比对、建立关联关系。匹配策略过程中将命中策略数据输出到事件数据类别,未命中策略数据输出到扫描数据类别,并同时对这两类日志按照网络协议类型、数据库语句、数据库会话进行集群储存。
平台向外部输出数据可以包括:平台对外提供数据共享接口、报表接口、告警接口等。对内通过调用离线分析组件对扫描数据进行离线分析、预统计,将离线分析数据存放到基础库内,为分析任务提供实时数据检索支撑。
数据获取模块,用于基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中目标数据,至少包括与被监控设备操作安全性相关的用户行为数据;
数据缓存模块,用于根据目标数据的数据热度,分级缓存目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;目标数据的数据热度与存储目标数据的存储分区的响应速率正相关;
数据持久化存储模块,用于在检测到持久化触发事件的情况下,持久化缓存的目标数据;
行为预测模块,用于基于分级缓存的目标数据,进行基于目标用户的用户画像和/或目标用户的操作事件链;
安全管控模块,用于基于用户画像和/或操作事件链,对目标用户对设备的使用进行安全管控。
需要说明的是,上述各个功能模块为计算机设备中为实现某一个功能而把计算机设备中的处理模组进行的虚拟划分,可以理解的是,不同的功能模块执行的其实现该功能的计算机指令,从而协同完成上述数据安全管控的方法。
为实现上述目的,本发明实施例还提供了一种数据安全管控装置,请参阅图4,装置包括:
数据获取模块41,用于基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中目标数据,至少包括与被监控设备操作安全性相关的用户行为数据;
数据缓存模块42,用于根据目标数据的数据热度,分级缓存目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;目标数据的数据热度与存储目标数据的存储分区的响应速率正相关;
数据持久化存储模块43,用于在检测到持久化触发事件的情况下,持久化缓存的目标数据;
行为预测模块44,用于基于分级缓存的目标数据,进行基于目标用户的用户画像和/或目标用户的操作事件链;
安全管控模块45,用于基于用户画像和/或操作事件链,对目标用户对设备的使用进行安全管控。
在一些实施例中,装置还包括:
在一些实施例中,数据缓存模块42,用于:
在检测到持久化触发事件的情况下,根据目标数据关联的网络协议类型、数据库语句和数据库会话的至少其中之一切分目标数据,得到数据分片;
按照数据分片存储至多个目标节点,其中,任意一个目标节点存储的数据分片互为备份。
在一些实施例中,数据缓存模块42,还用于:
根据持久化规则、待持久化目标数据的数据属性以及备选节点的状况信息,从备选节点中选择多个目标节点;
根据持久化规则关联的持久化参数,将目标数据对应的数据分片存储至多个目标节点。
在一些实施例中,数据缓存模块42,还用于:在检测到各级缓存节点的运行状况对应的持久化触发事件的情况下,持久化缓存的目标数据;缓存节点的运行状况包括以下至少之一:
缓存节点的负载率;
缓存节点的负载力量波动状况;
缓存节点是否故障。
在一些实施例中,数据获取模块41用于:基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
基于目标协议对从被监控设备的扫描数据进行解析,得到标准格式的目标数据;其中扫描数据的数据格式包括以下至少之一:结构化数据、半结构化数据以及非结构化数据。
在一些实施例中,数据缓存模块42还用于:基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
根据扫描数据,确定数据主体和数据客体;其中,数据主体与目标用户关联;数据客体包括:与目标用户的用户行为相关的数据关联;
建立数据主体和数据客体之间的关联关系;
其中,目标数据包括:
指示关联关系的关系数据;
数据主体的元数据属性;
数据客体的元数据属性。
在一些实施例中,安全管控模块45还用于:
基于分级缓存的目标数据,确定目标用户的行为基线;
基于目标数据和行为基线,进行目标用户的操作事件的预测;
根据用户行为的预测结果,对目标用户对设备的使用进行安全管控。
这里需要指出的是:以上数据安全管控装置项的描述,与上述数据安全管控方法项描述是类似的,同方法的有益效果描述,不做赘述。对于本发明实施例数据安全管控装置实施例中未披露的技术细节,请参照本发明实施例数据安全管控方法实施例的描述。
为实现上述目的,本发明实施例还提供了一种计算机设备,如图5所示,该计算机设备包括处理器501、以及通过通信总线502与处理器501连接的存储器503;其中,存储器503,用于数据安全管控程序;处理器501,用于执行数据安全管控程序,以实现上述任一方案的数据安全管控的方法步骤:基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中目标数据,至少包括与被监控设备操作安全性相关的用户行为数据;根据目标数据的数据热度,分级缓存目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;目标数据的数据热度与存储目标数据的存储分区的响应速率正相关;在检测到持久化触发事件的情况下,持久化缓存的目标数据;基于分级缓存的目标数据,进行基于目标用户的用户画像和/或目标用户的操作事件链;基于用户画像和/或操作事件链,对目标用户对设备的使用进行安全管控。
这里,处理器501,用于执行数据安全管控程序,以实现如下数据安全管控步骤:在接收到扫描指令之后,获取计算机设备的历史扫描信息;根据历史扫描信息,确定本次执行扫描指令的待扫描区域。
处理器501,用于执行数据安全管控程序,以实现如下数据安全管控步骤:根据计算机设备的状况信息以及待扫描区域的数据量,确定计算机设备的资源分配比例。
这里,处理器501,用于执行数据安全管控程序,以实现如下数据安全管控步骤:响应于检测到外发指令;根据历史扫描信息关联的历史扫描结果以及本次扫描结果,发送指示信息,指示信息用于指示是否检测到外发指令对应的外发数据的扫描结果;其中,历史扫描结果包括:存储在计算机设备指定目录下的扫描结果。
这里,处理器501,用于执行在检测到持久化触发事件的情况下,根据目标数据关联的网络协议类型、数据库语句和数据库会话的至少其中之一切分目标数据,得到数据分片;按照数据分片存储至多个目标节点,其中,任意一个目标节点存储的数据分片互为备份。
这里,处理器501,用于执行根据持久化规则、待持久化目标数据的数据属性以及备选节点的状况信息,从备选节点中选择多个目标节点;根据持久化规则关联的持久化参数,将目标数据对应的数据分片存储至多个目标节点。
这里,处理器501,用于执行所在检测到各级缓存节点的运行状况对应的持久化触发事件的情况下,持久化缓存的目标数据;缓存节点的运行状况包括以下至少之一:缓存节点的负载率;缓存节点的负载力量波动状况;缓存节点是否故障。
处理器501,用于执行基于目标协议对从被监控设备的扫描数据进行解析,得到标准格式的目标数据;其中扫描数据的数据格式包括以下至少之一:结构化数据、半结构化数据以及非结构化数据。
这里,处理器501,用于执行根据扫描数据,确定数据主体和数据客体;其中,数据主体与目标用户关联;数据客体包括:与目标用户的用户行为相关的数据关联;
建立数据主体和数据客体之间的关联关系;其中,目标数据包括:指示关联关系的关系数据;数据主体的元数据属性;数据客体的元数据属性。
这里,处理器501,用于执行基于分级缓存的目标数据,确定目标用户的行为基线;基于目标数据和行为基线,进行目标用户的操作事件的预测;根据用户行为的预测结果,对目标用户对设备的使用进行安全管控。
可选的,处理器501可以是通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。这里,处理器501执行的程序可以存储在与处理器501通过通信总线502连接的存储器503之中,存储器503可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,Sync Link Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器503旨在包括但不限于这些和任意其它适合类型的存储器503。本发明实施例中的存储器503用于存储各种类型的数据以支持处理器501的操作。这些数据的示例包括:供处理器501操作的任何计算机程序,如操作系统和应用程序;联系人数据;电话簿数据;消息;图片;视频等。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。
在一些实施例中,本发明实施例中的存储器502可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器 (Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器 (Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(DoubleData Rate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本文描述的系统和方法的存储器502旨在包括但不限于这些和任意其它适合类型的存储器。
而处理器501可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器501中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器501可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array, FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程 存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器502,处理器501读取存储器502中的信息,结合其硬件完成上述方法的步骤。
在一些实施例中,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(Application Specific Integrated Circuits,ASIC)、数字信号处理器(Digital SignalProcessing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(ProgrammableLogic Device,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的模块(例如过程、函数等) 来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
本发明又一实施例提供了一种计算机存储介质,该计算机可读存储介质存储有可执行程序,所述可执行程序被处理器501执行时,可实现应用于所述计算机设备的数据安全管控方法的步骤。例如,如图2或图3所示的方法中的一个或多个。
在一些实施例中,所述计算机存储介质可以包括:U盘、移动硬盘、只读存储器(ROM, Read Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是:本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (6)

1.一种数据安全管控方法,其特征在于,由服务端执行,所述方法包括:
基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中所述目标数据,至少包括与所述被监控设备操作安全性相关的用户行为数据;
根据所述目标数据的数据热度,分级缓存所述目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;所述目标数据的数据热度与存储所述目标数据的存储分区的响应速率正相关;
在检测到持久化触发事件的情况下,持久化缓存的所述目标数据;
基于分级缓存的所述目标数据,进行基于目标用户的用户画像和/或所述目标用户的操作事件链;
基于所述用户画像和/或所述操作事件链,对所述目标用户对设备的使用进行安全管控;
所述在检测到持久化触发事件的情况下,持久化缓存的所述目标数据,包括:
在检测到所述持久化触发事件的情况下,根据目标数据关联的网络协议类型、数据库语句和数据库会话的至少其中之一切分所述目标数据,得到数据分片;
按照所述数据分片存储至多个目标节点,其中,任意一个所述目标节点存储的数据分片互为备份;
所述按照所述数据分片存储至多个目标节点,包括:
根据持久化规则、待持久化所述目标数据的数据属性以及备选节点的状况信息,从所述备选节点中选择所述多个目标节点;
根据所述持久化规则关联的持久化参数,将所述目标数据对应的数据分片存储至所述多个目标节点;
所述基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
根据扫描数据,确定数据主体和数据客体;其中,所述数据主体与所述目标用户关联;所述数据客体包括:与所述目标用户的用户行为相关的数据关联;
建立所述数据主体和所述数据客体之间的关联关系;
其中,所述目标数据包括:
指示所述关联关系的关系数据;
所述数据主体的元数据属性;
所述数据客体的元数据属性;
所述方法还包括:
基于分级缓存的所述目标数据,确定所述目标用户的行为基线;
基于所述目标数据、所述用户画像和所述行为基线,进行所述目标用户的操作事件的预测;
根据用户行为的预测结果,对所述目标用户对设备的使用进行安全管控。
2.根据权利要求1所述的数据安全管控方法,其特征在于,所述在检测到持久化触发事件的情况下,持久化缓存的所述目标数据,包括:
在检测到各级缓存节点的运行状况对应的持久化触发事件的情况下,持久化缓存的所述目标数据;所述缓存节点的运行状况包括以下至少之一:
所述缓存节点的负载率;
所述缓存节点的负载力量波动状况;
所述缓存节点是否故障。
3.根据权利要求1所述的数据安全管控方法,其特征在于,所述基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
基于目标协议对从被监控设备的扫描数据进行解析,得到标准格式的所述目标数据;其中所述扫描数据的数据格式包括以下至少之一:结构化数据、半结构化数据以及非结构化数据。
4.一种数据安全管控装置,其特征在于,所述装置包括:
数据获取模块,用于基于目标协议对被监控设备的扫描数据进行解析,得到目标数据;其中所述目标数据,至少包括与所述被监控设备操作安全性相关的用户行为数据;
数据缓存模块,用于根据所述目标数据的数据热度,分级缓存所述目标数据;分级缓存的缓存节点的级别不同,对数据读取请求的响应速率不同;所述目标数据的数据热度与存储所述目标数据的存储分区的响应速率正相关;
数据持久化存储模块,用于在检测到持久化触发事件的情况下,持久化缓存的所述目标数据;
行为预测模块,用于基于分级缓存的所述目标数据,进行基于目标用户的用户画像和/或所述目标用户的操作事件链;
安全管控模块,用于基于所述用户画像和/或所述操作事件链,对所述目标用户对设备的使用进行安全管控;
所述在检测到持久化触发事件的情况下,持久化缓存的所述目标数据,包括:
在检测到所述持久化触发事件的情况下,根据目标数据关联的网络协议类型、数据库语句和数据库会话的至少其中之一切分所述目标数据,得到数据分片;
按照所述数据分片存储至多个目标节点,其中,任意一个所述目标节点存储的数据分片互为备份;
所述按照所述数据分片存储至多个目标节点,包括:
根据持久化规则、待持久化所述目标数据的数据属性以及备选节点的状况信息,从所述备选节点中选择所述多个目标节点;
根据所述持久化规则关联的持久化参数,将所述目标数据对应的数据分片存储至所述多个目标节点;
所述基于目标协议对被监控设备的扫描数据进行解析,得到目标数据,包括:
根据扫描数据,确定数据主体和数据客体;其中,所述数据主体与所述目标用户关联;所述数据客体包括:与所述目标用户的用户行为相关的数据关联;
建立所述数据主体和所述数据客体之间的关联关系;
其中,所述目标数据包括:
指示所述关联关系的关系数据;
所述数据主体的元数据属性;
所述数据客体的元数据属性;
所述装置还包括:
基于分级缓存的所述目标数据,确定所述目标用户的行为基线;
基于所述目标数据、所述用户画像和所述行为基线,进行所述目标用户的操作事件的预测;
根据用户行为的预测结果,对所述目标用户对设备的使用进行安全管控。
5.一种计算机设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器用于执行如权利要求1至3任一项所述的数据安全管控方法。
6.一种计算机存储介质,其特征在于,所述计算机存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以使所述一个或者多个处理器执行如权利要求1至3中任一项所述的数据安全管控方法。
CN202310852748.3A 2023-07-12 2023-07-12 数据安全管控方法、装置及计算机设备 Active CN116561825B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310852748.3A CN116561825B (zh) 2023-07-12 2023-07-12 数据安全管控方法、装置及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310852748.3A CN116561825B (zh) 2023-07-12 2023-07-12 数据安全管控方法、装置及计算机设备

Publications (2)

Publication Number Publication Date
CN116561825A CN116561825A (zh) 2023-08-08
CN116561825B true CN116561825B (zh) 2023-09-26

Family

ID=87493330

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310852748.3A Active CN116561825B (zh) 2023-07-12 2023-07-12 数据安全管控方法、装置及计算机设备

Country Status (1)

Country Link
CN (1) CN116561825B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013127191A1 (zh) * 2012-02-28 2013-09-06 重庆和航科技股份有限公司 物联网协议转换系统及转换方法
CN106682527A (zh) * 2016-12-25 2017-05-17 北京明朝万达科技股份有限公司 一种基于数据分类分级的数据安全管控方法及系统
CN111936979A (zh) * 2018-04-12 2020-11-13 Arm有限公司 在存在推测性读取操作的情况下的缓存控制
CN112286965A (zh) * 2020-02-21 2021-01-29 北京沃东天骏信息技术有限公司 数据缓存方法、装置、电子设备及计算机可读介质
CN112817790A (zh) * 2021-03-02 2021-05-18 腾讯音乐娱乐科技(深圳)有限公司 模拟用户行为的方法
CN113055402A (zh) * 2021-03-30 2021-06-29 深圳红途创程科技有限公司 数据传输管控方法、装置、计算机设备及存储介质
CN114911717A (zh) * 2021-02-07 2022-08-16 京东科技信息技术有限公司 一种数据缓存方法、装置及电子设备和存储介质
CN115599821A (zh) * 2022-10-25 2023-01-13 中国农业银行股份有限公司(Cn) 缓存控制方法、装置、设备及介质
WO2023050705A1 (zh) * 2021-09-30 2023-04-06 苏州浪潮智能科技有限公司 一种监控数据管理方法、装置及电子设备和存储介质
CN116225879A (zh) * 2023-05-06 2023-06-06 天津金城银行股份有限公司 一种节点脱落分析方法、装置和计算机终端

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013127191A1 (zh) * 2012-02-28 2013-09-06 重庆和航科技股份有限公司 物联网协议转换系统及转换方法
CN106682527A (zh) * 2016-12-25 2017-05-17 北京明朝万达科技股份有限公司 一种基于数据分类分级的数据安全管控方法及系统
CN111936979A (zh) * 2018-04-12 2020-11-13 Arm有限公司 在存在推测性读取操作的情况下的缓存控制
CN112286965A (zh) * 2020-02-21 2021-01-29 北京沃东天骏信息技术有限公司 数据缓存方法、装置、电子设备及计算机可读介质
CN114911717A (zh) * 2021-02-07 2022-08-16 京东科技信息技术有限公司 一种数据缓存方法、装置及电子设备和存储介质
CN112817790A (zh) * 2021-03-02 2021-05-18 腾讯音乐娱乐科技(深圳)有限公司 模拟用户行为的方法
CN113055402A (zh) * 2021-03-30 2021-06-29 深圳红途创程科技有限公司 数据传输管控方法、装置、计算机设备及存储介质
WO2023050705A1 (zh) * 2021-09-30 2023-04-06 苏州浪潮智能科技有限公司 一种监控数据管理方法、装置及电子设备和存储介质
CN115599821A (zh) * 2022-10-25 2023-01-13 中国农业银行股份有限公司(Cn) 缓存控制方法、装置、设备及介质
CN116225879A (zh) * 2023-05-06 2023-06-06 天津金城银行股份有限公司 一种节点脱落分析方法、装置和计算机终端

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于分布式存储的企业文档云平台;沈志豪等;《电力信息与通信技术》(第11期);全文 *

Also Published As

Publication number Publication date
CN116561825A (zh) 2023-08-08

Similar Documents

Publication Publication Date Title
US11409900B2 (en) Processing event messages for data objects in a message queue to determine data to redact
US10909241B2 (en) Event anomaly analysis and prediction
US12013856B2 (en) Burst performance of database queries according to query size
AU2017202873B2 (en) Efficient query processing using histograms in a columnar database
US9275065B1 (en) Behavioral engine for identifying anomalous data access patterns
US11308106B1 (en) Caching results for sub-queries to different data store locations
US11074310B2 (en) Content-based management of links to resources
US11245726B1 (en) Systems and methods for customizing security alert reports
JP2016505981A (ja) セキュリティ関連システム状態のリアルタイム表現
US20230359627A1 (en) Sharing compiled code for executing queries across query engines
US20220229657A1 (en) Extensible resource compliance management
EP4213042A1 (en) Merging and unmerging entity representations via resolver trees
CN115329381A (zh) 基于敏感数据的分析预警方法、装置、计算机设备及介质
US11429674B2 (en) Processing event messages for data objects to determine data to redact from a database
CN112287339A (zh) Apt入侵检测方法、装置以及计算机设备
CN116561825B (zh) 数据安全管控方法、装置及计算机设备
CN110365642B (zh) 监控信息操作的方法、装置、计算机设备及存储介质
CN116662987A (zh) 业务系统监控方法、装置、计算机设备及存储介质
CN116881962A (zh) 一种安全监控系统、方法、装置和存储介质
Khurshid et al. Big data-9vs, challenges and solutions
CN108228101B (zh) 一种管理数据的方法和系统
CN116383189A (zh) 业务数据的处理方法、装置、计算机设备、存储介质
CN114020893A (zh) 一种基于分布式存储的日志检索方法、装置及存储介质
US20240232170A1 (en) Merging and unmerging entity representations via resolver trees
US11928135B2 (en) Edge computing data reproduction and filtering gatekeeper

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant