本发明专利技术提出了一种数据安全异常监控系统,包括负责数据采集的数据层、进行三级数据分析的分析层以及进行可视化展示及威胁预测的展示层;所述数据层的数据采集为多源数据采集方法;所述展示层主要然后运用可视化技术,对安全威胁进行可视化展示,帮助决策者直观了解系统的安全威胁趋势和动态,执行人员也可以通过多层下拉表单来了解具体细节。本发明专利技术管理中心采用集群的方式,对采集到的数据进行处理、分析和展示。该系统采用B/S架构,不同人员通过IE或其他浏览器即可对数据进行查询、处理和分析等操作,相关管理人员也可图形化展示,直观的了解数据的安全状况,以及感知数据安全的发展动态,发生事件时及时进行处置。
【技术实现步骤摘要】
本专利技术涉及数据安全领域,特别是指一种数据安全异常监控系统。
技术介绍
传统的防火墙等技术已经存在了二、三十年,虽然一直在改变,但本质和架构没变,未来将无法适应大数据环境下的安全要求。随着云计算、大数据等应用模式的出现,安全的架构也将发生巨大的变化。例如,用户都在使用智能设备,所有的数据都存到云端,所有信息做到集中存储,如何保证这些信息的安全使用,这就要靠大数据分析,靠机器学习建模。因此,以大数据的收集、处理与分析技术为驱动,帮助企业实时、自动侦测已经发生或即将发生的数据安全存在的内部与外部安全威胁,提高安全事件处理的效率,最大限度的保护企业信息资产安全是未来发展趋势。广东电网有限责任公司信息中心的邹洪、钱扬、陈锐忠等专利技术的“一种数据安全管控方法及平台”,它给出:根据数据类别和密级对数据进行划分(S1);根据数据划分结果对数据的加密、身份认证、访问控制、安全审计以及跟踪与取证分配相应的安全防护工具并进行安全防护(S2);收集安全防护工具产生的日志信息,并进行归一化处理,建立数据的全生命周期的安全视图(S3)。该专利和方案具有很大的局限性,主要在于:(1)实用于针对特定单位、特定系统,数据变化较小,数据属性、类别和密级容易定义的信息系统,进行安全管控;(2)划分数据类别和密级的主要目的是进行安全保护,建立安全视图的主要方式是根据安全日志;(3)应用加密等传统手段难以适用于开放的公共平台的数据安全保护中。企业希望借助移动、云计算和大数据等新兴技术,在新常态下谋求新的发展机遇。但是,在企业希望获得快速发展的同时,一直被安全问题困扰,尤其是更加隐蔽的安全手段(例如,APT攻击等),比病毒、木马等更具威胁性。传统的防火墙、杀毒软件、IDS所很难发现这些安全威胁,特别是内部人员对核心资源的异常访问、异常窃取。在当今,很多业界同行都意识到这个问题,开始思索新的解决方案。大数据时代的到来,让不少行业已经发现了自身数据的巨大内在价值:它们能揭示传统手段所看不到的新变化趋势,如深入理解消费者行为、广告效果、业务趋势等,而在企业IT市场却鲜有标杆案例。随着数据价值的日益提升,针对数据的安全事件也在呈快速的上升趋势。仅在2014年,全球就发生了多起信息数据遭攻击与泄露事件,如JPMorgan7600万用户受影响、美国家得宝5600万用户受影响、携程网用户信息泄露等,这些网络攻击事件也人们更加清楚的认识到数据安全保护的重要意义。也有部分企业开始从事这方面的研究,例如:广东电网有限责任公司信息中心的邹洪、钱扬、陈锐忠等专利技术的“一种数据安全管控方法及平台”等,这些专利技术都只适用于特定的环境,很难适应公共信息平台中的数据安全保护,主要体现在以下几个方面:1.采用加密等防范手段来保证开放平台的数据安全不可行,因为这不仅会带来极大系统开销,影响用户的体验感,而且开放环境下用户密钥管理困难。因此,以监控代替加密等传统手段是未来开放的大数据平台中保护数据安全的一种行之有效的手段;2.公共信息平台(例如,智慧城市信息处理平台等)中很难进行数据类别的识别,因此应用现有方法很难将分类分级思想落实在公共信息平台中;3.在公共信息平台中,数据量非常大,且变化频繁,现有的算法难以实时响应;4.现有的方法中,数据分类分级主要应用于数据的细粒度保护中,很少将其用于数据的安全异常访问识别中;当前,数据安全异常监控的主要方法是从日志中去分析异常,很少将数据的访问行为、业务操作、日志等进行关联分析,难以准确识别APT等复杂攻击。数据是智慧城市信息处理平台等公共信息平台的核心资产,关键保护对象,本专利采用异常行为监控方式,构建数据安全异常行为监控系统,防止数据的流失。需要解决以下几个技术难题:1)在开放公共信息平台中,数据量非常大且是不断变化的,如何快速的识别用户访问行为是否存在异常是非常困难的;2)在大数据环境中,有些数据的安全属性是显性的,有些数据的安全属性是隐性的(例如,单个数据是非敏感的,但多个数据聚合在一起就变为敏感数据),如何识别并阻止隐性敏感数据泄露也是大数据安全异常行为监控的一个难题;3)APT攻击的识别和防范都是当前信息安全的一个难题,如何应用大数据分析方法识别针对数据的APT也是本专利需要解决的一个难题。
技术实现思路
本专利技术提出一种数据安全异常监控系统,能够对数据的操作行为进行逐级分析,深度逐级挖掘其异常行为。本专利技术的技术方案是这样实现的:一种数据安全异常监控系统,包括负责数据采集的数据层、进行三级数据分析的分析层以及进行可视化展示及威胁预测的展示层;所述数据层的数据采集为多源数据采集方法,具体包括a.旁路分流对数据的操作行为,进行协议分析得到其行为数据b.获取系统日志、设备日志、应用日志和数据库日志等;c.同时采集内网安全日志信息;所述分析层采取三级分析方式对数据进行不同粒度的分析;所述展示层主要然后运用可视化技术,对安全威胁进行可视化展示,帮助决策者直观了解系统的安全威胁趋势和动态,执行人员也可以通过多层下拉表单来了解具体细节。作为优选,所述多源数据采集方法中,进行日志收集的设备为日志采集服务器,其主要使用Syslog4j、JDBC接口进行收集,日志采集服务器还进行日志规范化处理、审计对象管理、日志查询任务。作为优选,所述三级数据分析包括d.基于规则的流式数据异常检测方法,快速检测访问行为是否存在异常;e.将操作数据进行关联分析,防止隐性敏感数据泄露;f.将历史数据和当前数据进行深度融合,深度挖掘其是否存在APT等攻击方式。作为优选,所述步骤d中,采用基于流式数据快速聚类方法,分为快速计算、数据概念漂移检测、聚类三个模块;快速计算模块首先进行数据流数据过滤,然后进行数据特征的抽取,最后将数据快速聚类;数据概念漂移检测模块负责对数据进行概念漂移的分析和检测,通过对快速计算层提供的中间数据进行相关计算,进而判断数据是否发生概念漂移,进而触发聚类层的聚类操作并提供相应的数据参数;聚类模块,框架中处理聚类的一个核心模块,其实被动式触发型聚类模块。只有在被触发时候,利用前面的中间的结果和相关的参数信息进行精细化的正式聚类计算,并在执行聚类后返回合适的聚类结果。作为优选,所述步骤e中,将把相关数据进行深度融合分析,挖掘系统是否存在隐含隐私泄露的情况发生,如果存在隐性敏感泄露路径,将该路径中的敏感数据进行匿名处理,防止隐性敏感泄露;采取局部鞅差方法对隐性敏感的涌现进行发现,并通过定义有限停时的随机过程,在有限的时间内解决大规模数据的隐性敏感甄别和控制优化问题,当检测到系统存在隐性敏感信息泄露时,对隐性敏感信息进行匿名处理,防止再度泄露。作为优选,所述可视化展示,具体为通过对日志、操作行为等数据进行提取分析和统计,对数据按照一定的算法原则进行图形元素的属性计算,然后将其显示,并结合用户的参数调节,对显示模型效果可以进行各种调整,以便发现网络数据详尽的信息;可视化展示子系统分为四个模块,分别为:数据提取统计模块、节点坐标计算模块、图形显示模块和参数调整模块。作为优选,所述数据统计模块的目的是对原始数据进行的初步统计分析,采用哈希表进行存储,哈希表中关键字Key采用字符串形式,字符串由源IP、操作主体、证据链以及操作时间四项组成,把这四项作为一个新建本文档来自技高网...
【技术保护点】
一种数据安全异常监控系统,其特征在于:包括负责数据采集的数据层、进行三级数据分析的分析层以及进行可视化展示及威胁预测的展示层;所述数据层的数据采集为多源数据采集方法,具体包括a.旁路分流对数据的操作行为,进行协议分析得到其行为数据b.获取系统日志、设备日志、应用日志和数据库日志等;c.同时采集内网安全日志信息;所述分析层采取三级分析方式对数据进行不同粒度的分析;所述展示层主要然后运用可视化技术,对安全威胁进行可视化展示,帮助决策者直观了解系统的安全威胁趋势和动态,执行人员也可以通过多层下拉表单来了解具体细节。
【技术特征摘要】
1.一种数据安全异常监控系统,其特征在于:包括负责数据采集的数据层、进行三级数据分析的分析层以及进行可视化展示及威胁预测的展示层;所述数据层的数据采集为多源数据采集方法,具体包括a.旁路分流对数据的操作行为,进行协议分析得到其行为数据b.获取系统日志、设备日志、应用日志和数据库日志等;c.同时采集内网安全日志信息;所述分析层采取三级分析方式对数据进行不同粒度的分析;所述展示层主要然后运用可视化技术,对安全威胁进行可视化展示,帮助决策者直观了解系统的安全威胁趋势和动态,执行人员也可以通过多层下拉表单来了解具体细节。2.根据权利要求1所述的数据安全异常监控系统,其特征在于:所述多源数据采集方法中,进行日志收集的设备为日志采集服务器,其主要使用Syslog4j、JDBC接口进行收集,日志采集服务器还进行日志规范化处理、审计对象管理、日志查询任务。3.根据权利要求1所述的数据安全异常监控系统,其特征在于:所述三级数据分析包括d.基于规则的流式数据异常检测方法,快速检测访问行为是否存在异常;e.将操作数据进行关联分析,防止隐性敏感数据泄露;f.将历史数据和当前数据进行深度融合,深度挖掘其是否存在APT等攻击方式。4.根据权利要求3所述的数据安全异常监控系统,其特征在于:所述步骤d中,采用基于流式数据快速聚类方法,分为快速计算、数据概念漂移检测、聚类三个模块;快速计算模块首先进行数据流数据过滤,然后进行数据特征的抽取,最后将数据快速聚类;数据概念漂移检测模块负责对数据进行概念漂移的分析和检测,通过对快速计算层提供的中间数据进行相关计算,进而判断数据是否发生概念漂移,进而触发聚类层的聚类操作并提供相应的数据参数;聚类模块,框架中处理聚类的一个核心模块,其实被动式触发型聚类模块;只有在被触发时候,利用前面的中间的结果和相关的参数信息进行精细化的正式聚类计算,并在执行聚类后返回合适的聚类结果。5.根据权利要求3所述的数据安全异常监控系统...
【专利技术属性】
技术研发人员:黎健生,梁远鸿,
申请(专利权)人:柳州龙辉科技有限公司,
类型:发明
国别省市:广西;45
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。