本发明专利技术公开的一种用户越权访问敏感数据行为的检测方法及系统,包括:从交换机实时采集流量数据;将流量数据还原为SQL数据;将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集,计算各用户名及用户行为符合对应角色类型的基准概率;计算新增用户名及用户行为符合对应角色类型的行为概率;判断当前角色类型的用户行为的行为概率与基准概率的偏离是否较大,是则说明该用户在越权访问数据。本发明专利技术通过流量还原成用户的SQL操作,将一段时间积累的操作内容作为训练数据,在训练数据中定义每个用户的角色,建立每个角色的行为习惯;当用户访问的行为与该用户的角色不匹配时,实现判断该用户是否在越权访问敏感数据。
【技术实现步骤摘要】
一种用户越权访问敏感数据行为的检测方法及系统
本专利技术涉及计算机数据安全
,具体涉及一种用户越权访问敏感数据行为的检测方法及系统。
技术介绍
随着电网企业信息化建设的快速发展,电网根据业务要求,部署和实施了多套应用系统,同时也需要大量的运维人员来保障数据的准确性。应用系统已经为每个用户的角色进行了设定,限制其使用的范围和接触的数据,但是,在后台数据库的维护过程中,由于存在交叉访问各个数据表的业务需求,对于后台数据库用户的角色不能细分,这就造无法预防用户利用职务之便、处于私利而访问敏感数据的行为。因此需要通过对用户行为历史数据的学习,来分析每个用户所属的角色,避免越权访问敏感数据的行为。
技术实现思路
本专利技术的目的在于针对上述现有技术中存在的问题,提出一种用户越权访问敏感数据行为的检测方法及系统,将一段时间积累的操作内容作为训练数据。在训练数据中定义每个用户的角色,建立每个角色的行为习惯。当用户访问的行为与该用户的角色不匹配时,说明该用户在越权访问敏感数据。为达到上述专利技术的目的,本专利技术通过以下技术方案实现:一种用户越权访问敏感数据行为的检测方法,包括如下步骤:步骤1,从交换机实时采集流量数据;步骤2,将流量数据还原为SQL数据,其包括有用户名、角色类型和用户行为,将用户行为作为训练的信息指标;步骤3,将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集,计算各用户名及用户行为符合对应角色类型的基准概率;步骤4,采用朴素贝叶斯算法计算新增用户名及用户行为符合对应角色类型的行为概率;步骤5,判断当前角色类型的用户行为的行为概率与基准概率的偏离是否较大,是则说明该用户在越权访问数据。进一步,所述步骤2还包括步骤21,对还原后的SQL数据进行标准化。进一步,本专利技术方法还包括步骤22,对标准化的SQL数据进行补充,对每个用户名进行角色标记,形成完整训练数据。进一步,所述用户行为是用户访问某数据表名的行为,所述数据表名为按数据类型分类的数据表。进一步,所述训练数据集为对每个用户的用户行为进行角色划分,并关于数据表名的表向量。进一步,所述当用户访问了某数据表,则该表向量为1,其他未访问的表向量为0。进一步,步骤4所述的行为概率具体为每类角色访问某数据表名的概率。进一步,本专利技术还包括步骤6,判断用户是否访问敏感数据表,是则判定用户越权访问了敏感数据表,并发出告警。本专利技术还公开一种用户越权访问敏感数据行为的检测系统,包括:数据采集模块,用于从交换机实时采集流量数据;数据转换模块,用以将流量数据还原为SQL数据,其包括有用户名、角色类型和用户行为,将用户行为作为训练的信息指标;分类器构建模块,将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集,通过贝叶斯工具包构建朴素贝叶斯分类器,计算各用户的用户行为对应角色类型的基准概率;角色类别识别模块,朴素贝叶斯分类器判断新增用户的用户行为是对应角色的行为概率,对行为概率与该用户的基准概率进行比较,发生较大偏离时,判断该用户越权使用了其他角色进行了对敏感数据的操作。进一步,本专利技术的系统还包括构建特征指标模块,用以完善训练数据,选取用户的特征指标;所述贝叶斯工具包为SparkMllib。采用本专利技术的用户越权访问敏感数据行为的检测方法及系统,将一段时间积累的操作内容作为训练数据,在训练数据中定义每个用户的角色,建立每个角色的行为习惯。当用户访问的行为与该用户的角色不匹配时,说明该用户在越权访问敏感数据,从而实现避免用户越权访问敏感数据的行为。附图说明图1为本专利技术的一种用户越权访问敏感数据行为的检测方法的步骤图。图2为本专利技术实施例的用户越权访问敏感数据行为的检测流程图。图3为提取特征指标,完善后的训练数据。图4为特征数据进行向量化的结果。图5为需要检测的一条新用户向量化后的数据。图6为本专利技术的一种用户越权访问敏感数据行为的检测系统的结构框图。具体实施方式下面结合附图和实施例对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部实施例。朴素贝叶斯分类是一种十分简单的分类算法,其思想基础是:对于给出的待分类项,求解在此项出现的条件下各个类别出现的概率,哪个最大,就认为此待分类项属于哪个类别;可以采用该方法判断用户的操作行为是否符合规定。参看图1本专利技术方法的步骤图和图2的检测流程图,本专利技术实施例的一种用户越权访问敏感数据行为的检测方法,包括如下步骤:步骤1,从交换机实时采集流量数据;步骤2,将流量数据还原为SQL数据,其包括有用户名、角色类型和用户行为,将用户行为作为训练的信息指标;步骤3,将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集,计算各用户名及用户行为符合对应角色类型的基准概率;步骤4,采用朴素贝叶斯算法计算新增用户名及用户行为符合对应角色类型的行为概率;步骤5,判断当前角色类型的用户行为的行为概率与基准概率的偏离是否较大,是则说明该用户在越权访问数据。作为一个实施例,所述步骤2还包括步骤21,对还原后的SQL数据进行标准化,在数据分析之前,通常需要先将数据标准化,利用标准化后的数据进行数据分析,在本专利技术实施例中,是将流量数据转换为标准SQL语句的数据格式。参看图3,本专利技术方法还包括步骤22,对标准化的SQL数据进行补充,对每个用户名进行角色标记,形成完整训练数据。将完善后的训练数据用于朴素贝叶斯的历史数据学习。进一步,所述用户行为是用户访问某数据表名的行为,所述数据表名为按数据类型分类的数据表。参看图3至图4,角色类型包括有数据库维护、客户信息维护等,数据表名包括有dba系统表、user系统表、all系统表、合同信息表、客户信息表、结算户信息表、客户证件信息表、用电户信息表、客户证件关联信息表和用电设备信息表等。进一步,所述当用户访问了某数据表,则该表向量为1,其他未访问的表向量为0。进一步,参看图5的向量化数据,所述训练数据集为对每个用户的用户行为进行角色划分,并关于数据表名的表向量。在上述基础上,步骤3所述的基准概率可列举如下:P(user系统表|数据库维护)=5/10,P(all系统表|数据库维护)=6/10,P(客户信息表|数据库维护)=1/10,P(数据库维护)=10/20等。作为具体实施例,步骤4所述的行为概率具体为每类角色访问某数据表名的概率。参看图4和图5,用户角色的行为概率如下:P数据库维护=P(user系统表|数据库维护)*P(all系统表|数据库维护)*P(客户信息表|数据库维护)*P(数据库维护)=5/10*6/10*1/10*10/20=0.01500;P客户信息维护=P(user系统表|客户信息维护)*P(all系统表|客户信息维护)*P(客户|客户信息维护)*P(客户信息维护)=1/10*1/10*3/10*10/20=0.0015。由此判断新增用户dba_user3是数据库维护角色。根据数据库维护人员访问客户信息建立的基准概率值,当dba_user3的客户信息维护角色概率0.0015达到基准值的区间范围内,则判断用户越权访问;再将表名跟敏感表名的字典进行比较,如果是敏感表则产生告警。进一步,本专利技术还包括步骤6,判断用户是否访问敏感数据表,是则判定用户越权本文档来自技高网...
【技术保护点】
一种用户越权访问敏感数据行为的检测方法,其特征在于,包括如下步骤:步骤1,从交换机实时采集流量数据;步骤2,将流量数据还原为SQL数据,其包括有用户名、角色类型和用户行为,将用户行为作为训练的信息指标;步骤3,将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集,计算各用户名及用户行为符合对应角色类型的基准概率;步骤4,采用朴素贝叶斯算法计算新增用户名及用户行为符合对应角色类型的行为概率;步骤5,判断当前角色类型的用户行为的行为概率与基准概率的偏离是否较大,是则说明该用户在越权访问数据。
【技术特征摘要】
1.一种用户越权访问敏感数据行为的检测方法,其特征在于,包括如下步骤:步骤1,从交换机实时采集流量数据;步骤2,将流量数据还原为SQL数据,其包括有用户名、角色类型和用户行为,将用户行为作为训练的信息指标;步骤3,将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集,计算各用户名及用户行为符合对应角色类型的基准概率;步骤4,采用朴素贝叶斯算法计算新增用户名及用户行为符合对应角色类型的行为概率;步骤5,判断当前角色类型的用户行为的行为概率与基准概率的偏离是否较大,是则说明该用户在越权访问数据。2.根据权利要求1所述的用户越权访问敏感数据行为的检测方法,其特征在于,所述步骤2还包括步骤21,对还原后的SQL数据进行标准化。3.根据权利要求2所述的用户越权访问敏感数据行为的检测方法,其特征在于,还包括步骤22,对标准化的SQL数据进行补充,对每个用户名进行角色标记,形成完整训练数据。4.根据权利要求3所述的用户越权访问敏感数据行为的检测方法,其特征在于,所述用户行为是用户访问某数据表名的行为,所述数据表名为按数据类型分类的数据表。5.根据权利要求4所述的用户越权访问敏感数据行为的检测方法,其特征在于,所述训练数据集为对每个用户的用户行为进行角色划分,并关于数据表名的表向量。6.根据权利要求5所述的用户越权访问敏感数据行为的检测方法,其特征在于,...
【专利技术属性】
技术研发人员:艾解清,魏理豪,王建永,何旻诺,
申请(专利权)人:广东电网有限责任公司信息中心,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。