一种基于用户行为和数据状态的自适应安全防护方法及系统,结合用户行为和数据状态两个方面实现对数据的安全防护,该系统能够通过动态学习的方法实现对用户行为的预测、防御、监控和回溯功能,并且形成自适应安全防护方案。防护系统包括与安全服务器连接的多个安全网络传感器,安全网络传感器设置于web服务器和数据库服务器相结合的网段,该网段上设有网络设备,网络设备与安全服务器经防火墙相连,防火墙连接客户端。本发明专利技术结合了用户行为和数据状态两个方面,更加全面的保护了企业数据资产的安全。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,具体涉及一种基于用户行为和数据状态的自适应安全防护方法及系统,结合了用户行为和数据状态两个方面的安全防护。
技术介绍
随着信息技术的快速发展,大量的数据不断地转移至网络环境,组织日益依赖于信息技术来支撑业务运行。数据逐渐形成为组织的重要信息资产,同时也成为一些非法人员恶意攻击或窃取的重点对象。一旦组织的重要数据外泄,可能会对该组织造成重大甚至无法弥补的经济损失与名誉损失。因此,如何保障组织数据的安全性是当前亟待解决的重要问题。传统的数据保护方式主要包括访问限制、加密、身份认证等,存在通过人工方法找出可疑行为,以及无法实现实时在线检测入侵行为等缺点,并且均是以预防为主的安全机制。目前,很多研究致力于入侵检测系统,从用户行为角度出发,通过捕捉并分析用户行为紧密相关的数据变化判断该用户行为是否异常。但是,该系统缺乏对数据状态的考虑,不能更全面的保护组织数据。另外,一些安全系统对策略配置定义、更新、维护等需要手动完成,浪费了大量的时间,缺乏对应用场景改变的自适应性。
技术实现思路
本专利技术的目的在于针对上述现有技术中的问题,提供一种基于用户行为和数据状态的自适应安全防护方法及系统,结合异常检测和误用检测提高用户行为检测的准确性。为了实现上述目的,本专利技术基于用户行为和数据状态的自适应安全防护方法包括:a.通过网络传感器接收正常状态下的用户行为事件;b.将每个用户行为事件分为不同的识别单元和属性单元;c.通过对识别单元和属性单元进行分类和收集,根据相似度计算,形成自适应正常行为轮廓的配置项,得到自适应正常行为轮廓;其中用户行为包括用户对数据/文件的访问时间、次数、对数据的读、写、修改、删除操作等,数据状态包括数据/文件类型、大小、敏感性、创建时间、修改时间、更新时间、删除时间等;通过用户行为的历史数据和当前数据,建立用户正常行为模型,预测未来数据的变化规律以及趋势,并且用该模型推测数据未来的特征;d.提取用户行为模型;d-1)将实时的用户行为与误用规则库进行对比和匹配,进行误用检测;所述的误用规则库为根据对已知用户异常行为的特征进行分析,形成相应的规则,汇总形成的数据库,且误用规则库能够自动更新;d-2)将实时的用户行为与自适应正常行为轮廓进行对比和匹配,进行异常检测;自适应正常行为轮廓自动根据事先设定好的策略进行相应的响应,实现对数据的保护;e.将自适应正常行为轮廓分布到网络传感器中,与保护设备连接。每个自适应正常行为轮廓的配置项包含多个描述支持各自性能的描述值;自适应正常行为轮廓使用前进行稳定性判断,稳定性判断通过计算自适应正常行为轮廓框架形成时间是否超过预定阀值的百分比,如是,则判定该配置项或属性是稳定的,在自适应正常行为轮廓的稳定性判断中,配置项和属性中有一个是稳定的,则认为自适应正常行为轮廓框架为稳定的。所述的步骤d中将实时的用户行为首先与误用规则库进行对比和匹配,如果匹配,则认为该行为确实为异常行为,然后自适应正常行为轮廓根据事先设定好的策略进行相应响应;如果不匹配,则认为该行为为可疑行为,需要进行异常检测,即与自适应正常行为轮廓进行对比和匹配,如果偏差超过设定阀值,则认为有异常行为;如果检测结果确认为正常行为,则将该规则加入到自适应正常行为轮廓中,对自适应正常行为轮廓进行更新,当检测的结果确定为异常行为时,则将该规则加入到误用规则库中,对误用规则库进行更新。所述的步骤d中误用检测对每次检测到的行为都进行告警提示,并且系统进行相应的响应,对于未检测到的行为,则进行异常检测,需要再次进行检测以确定是否为异常行为。对于确定的异常行为,系统会对该行为制订审计日志,实现对该行为的实时监控与回溯。所述的保护设备为web服务器或数据库服务器,网络传感器为http传感器和sql传感器;http传感器收集客户端发送到web服务器的http请求,sql传感器收集访问数据库服务器的sql请求;所述http请求及sql请求分别被http传感器和sql传感器处理后发送事件至安全服务器。本专利技术基于用户行为和数据状态的自适应安全防护系统包括与安全服务器连接的多个安全网络传感器,所述的安全网络传感器设置于web服务器和数据库服务器相结合的网段,该网段上设有网络设备,所述的网络设备与安全服务器经防火墙相连,防火墙连接客户端。所述的安全服务器和个安全网络传感器之间通过以太网或带外网络连接。与现有技术相比,本专利技术基于用户行为和数据状态的自适应安全防护方法从用户行为和数据状态两个方面进行安全防护,更加全面的保护了企业数据资产的安全。本专利技术自适应正常行为轮廓能够实现对用户行为的预测、防御、监控和回溯功能,并且对异常的用户行为自动生成防护方案。本专利技术结合了异常检测和误用检测对用户行为进行检测,综合了两种检测方法的优点,提高了异常行为检测的准确性,设置多种异常行为的场景及对应的安全防护方案,通过动态学习的过程,实现自动完成策略配置定义、更新、维护,具有自适应性。与现有技术相比,本专利技术基于用户行为和数据状态的自适应安全防护系统结合了用户行为和数据状态两个方面建立自适应正常行为轮廓,实现对数据的全面保护,自适应性主要是指能够通过动态学习的方法实现对未来数据行为的预测,当用户实时行为与预测不一致时,则认定为可疑行为,并将此事件进行记录,并且自动产生新的预防手段以避免未来相似事件的发生,具有主动防御的功能。此外,本专利技术的网络传感器没有安装到客户端与web服务器或者与数据库服务器之间,因此网络传感器不影响客户端和web服务器之间通信的及时性。附图说明图1本专利技术自适应安全防护方法的流程图;图2本专利技术自适应安全防护系统的结构示意图;图3本专利技术网络传感器的信号传递示意图;附图中:100.自适应安全防护系统;110.安全服务器;120.带外网络;130.网络传感器;140.防火墙;150.网络设备;160.web服务器;170.数据库服务器;180.客户端;230.http传感器;240.sql传感器。具体实施方式下面结合附图对本专利技术做进一步的详细说明。参见图1,本专利技术基于用户行为和数据状态的自适应安全防护方法包括以下步骤:a.获取用户行为事件:主要是指通过网络传感器130接收正常状态下用户行为事件;b.处理用户行为事件:主要是指将接收的事件进行词汇分析和语法分析,即将每个事件分为不同的识别单元和属性单元;c.自适应正常行为轮廓的形成,通过对识别单元和属性单元进行分类和收集,根据相似度计算,对属性单元进行分类,形成自适应正常行为轮廓的配置项。该轮廓包含多个配置项(item),每个配置项包含多个的描述性能支持各自的描述值(property)。在此需要说明的是,系统需要对该自适应框架轮廓进行稳定性判断,只有稳定的自适应框架轮廓才能符合用户正常的行为模式,而稳定性判断主要是通过计算自适应框架的形成时间是否超过预定阀值得百分比,假如是,则认为该配置项或者属性是稳定的。在自适应正常行为轮廓的稳定性判断中,配置项和属性中有一个是稳定的,则认为自适应框架轮廓为稳定的,并且该轮廓具有用户行为的预测功能,主要通过用户行为的历史数据和当前数据,建立用户正常行为模型,预测未来数据的变化规律及趋势,并且用该模型推测数据未来的特征,实现对用户行为的预本文档来自技高网...
【技术保护点】
一种基于用户行为和数据状态的自适应安全防护方法,其特征在于,包括以下步骤:a.通过网络传感器接收正常状态下的用户行为事件;b.将每个用户行为事件分为不同的识别单元和属性单元;c.通过对属性单元进行分类和收集,根据相似度计算,形成自适应正常行为轮廓的配置项,得到自适应正常行为轮廓;通过用户行为的历史数据和当前数据,建立用户正常行为模型,预测未来数据的变化规律以及趋势,并且用该模型推测数据未来的特征;d.提取用户行为模型;d‑1)将实时的用户行为与误用规则库进行对比和匹配,进行误用检测;所述的误用规则库为根据对已知用户异常行为的特征进行分析,形成相应的规则,汇总形成的数据库,且误用规则库能够自动更新;d‑2)将实时的用户行为与自适应正常行为轮廓进行对比和匹配,进行异常检测;自适应正常行为轮廓自动根据事先设定好的策略进行相应的响应,实现对数据的保护;e.将自适应正常行为轮廓分布到网络传感器中,与保护设备连接。
【技术特征摘要】
1.一种基于用户行为和数据状态的自适应安全防护方法,其特征在于,包括以下步骤:a.通过网络传感器接收正常状态下的用户行为事件;b.将每个用户行为事件分为不同的识别单元和属性单元;c.通过对属性单元进行分类和收集,根据相似度计算,形成自适应正常行为轮廓的配置项,得到自适应正常行为轮廓;通过用户行为的历史数据和当前数据,建立用户正常行为模型,预测未来数据的变化规律以及趋势,并且用该模型推测数据未来的特征;d.提取用户行为模型;d-1)将实时的用户行为与误用规则库进行对比和匹配,进行误用检测;所述的误用规则库为根据对已知用户异常行为的特征进行分析,形成相应的规则,汇总形成的数据库,且误用规则库能够自动更新;d-2)将实时的用户行为与自适应正常行为轮廓进行对比和匹配,进行异常检测;自适应正常行为轮廓自动根据事先设定好的策略进行相应的响应,实现对数据的保护;e.将自适应正常行为轮廓分布到网络传感器中,与保护设备连接。2.根据权利要求1所述基于用户行为和数据状态的自适应安全防护方法,其特征在于:每个自适应正常行为轮廓的配置项包含多个描述支持各自性能的描述值;自适应正常行为轮廓使用前进行稳定性判断,稳定性判断通过计算自适应正常行为轮廓框架的形成时间是否超过预定阀值的百分比,如是,则判定该配置项或属性是稳定的,在自适应正常行为轮廓的稳定性判断中,配置项和属性中有一个是稳定的,则认为自适应正常行为轮廓框架为稳定的。3.根据权利要求1所述基于用户行为和数据状态的自适应安全防护方法,其特征在于:所述的步骤d中将实时的用户行为首先与误用规则库进行对比和匹配,如果匹配,则认为该行为确实为异常行为,然后自适应正常行为轮廓根据事先设定好的策略进行相应响应;如果不匹配,则认为该行为为可疑行为,需要进行异常检测,即与自适应正常行为轮廓进行对比和匹配,如果偏差超过设定阀值,则认为有异常行为;如果检测结...
【专利技术属性】
技术研发人员:徐建忠,张亮,
申请(专利权)人:杭州世平信息科技有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。