一种目标数据扩散过程的监控方法及装置制造方法及图纸

本发明专利技术公开了一种目标数据扩散过程的监控方法及装置，具体的，通过对大数据平台组件的日志以及数据流转过程中所涉及的网络设备、安全设备、主机、数据库等设备所记录的日志进行采集以及解析处理，识别并标识敏感数据访问操作类日志，以源IP、目的IP、操作对象等属性为条件，横向关联所有敏感数据的访问操作类日志，生成目标数据流转途径，进而可以实现对大数据环境下的敏感数据的流转扩散过程进行分析，全面、准确的发现敏感数据所有访问流转路径。

A monitoring method and device for the process of target data diffusion

The invention discloses a monitoring method and device, the target data diffusion process specific, network equipment, through the large data platform component log and data transfer in the process of safety equipment, and other equipment, the host database recorded log collection and analysis, identification and identification of sensitive data access operation log, on the condition of the source IP and destination IP, operation object attributes, lateral association of all sensitive data access operation log, generate the target data transfer means, which can be used to realize the analysis of sensitive data on large data environment transfer diffusion process, comprehensive and accurate discovery of sensitive data transfer all access path.

【技术实现步骤摘要】
一种目标数据扩散过程的监控方法及装置
本专利技术涉及计算机网络信息安全
，尤其涉及一种目标数据扩散过程的监控方法及装置。
技术介绍
越来越多的企事业单位、机构等为了提升工作效率及核心竞争力，更加依赖大数据平台实现与应用系统之间的信息互通、共享与交互。大数据平台保存着应用系统的大量数据，用户可直接访问大数据平台获取自身所需信息并可将信息传递给他人，其中，数据的访问形式包括通过命令、工具或大数据平台直接访问等方式。同样的，流转路径也有多种，如通过Ftp服务、数据共享中心下载；通过U盘、CD/DVD、移动硬盘拷贝；以及，通过Email、QQ、微信等即时通信工具进行传递等。因此，信息安全也成为企业安全管理和风险控制的核心内容。许多企业为了保护大数据平台的数据安全，主要使用4A、字符堡垒、文件堡垒、桌面终端管控系统、DLP(DataLeakagePrevention，数据泄露防护)系统、网络嗅探、入侵防护等安全设备以监控、记录数据的访问操作过程。例如，图1为一种常用DLP系统的部署架构示意图。如图1所示，该DLP系统可以分成基于网络的数据泄露防护方案(NDLP)和基于主机的数据泄露防护方案(HDLP)，以通过身份认证和加密控制以及使用日志的统计对内部文件经行控制。其中，在基于网络的数据泄漏防御方案中，通常在内部网络和外部网络连接的出口处部署DLP管理控制平台，所针对的对象是进出单位内部网络的所有数据。在基于主机的数据泄漏防御方案中，则在存放敏感数据的主机、终端上部署DLP工具，当其发现被保护主机上的数据被违规转移出主机时，HDLP会采取拦截或警报等行为。但是上述现有安全设备只是监控、记录自身所管控范围内的数据访问行为，并不能监控企业所关注的大数据环境下的庞大数据中的敏感数据的流转过程。
技术实现思路
本专利技术实施例提供了一种目标数据扩散过程的监控方法及装置，以对大数据环境下的敏感数据的流转扩散过程进行分析。根据本专利技术实施的第一方面，提供了一种目标数据扩散过程的监控方法，该方法包括：采集目标网络中大数据平台组件以及相关目标设备所记录的原始日志；根据对所述原始日志的解析结果，得到包含敏感数据的各访问操作类日志；从所述各访问操作类日志中筛选出操作对象与目标数据相匹配的目标日志；根据从各所述目标日志中所提取的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系。可选地，根据对所述原始日志的解析结果，得到包含敏感数据的各访问操作类日志,包括：通过标准化引擎对所述原始日志进行解析和格式化，输出统一格式的标准化日志；利用预设匹配方法，判断根据敏感数据分类、分级所定义的敏感数据特征属性与所述标准化日志中的日志相关属性是否相匹配；如果相匹配，则将所述标准化日志判定为包含敏感数据的访问操作类日志。可选地，利用预设匹配方法，判断根据敏感数据分类、分级所定义的敏感数据特征属性与所述标准化日志中的日志相关属性是否相匹配之前，所述方法还包括：对所述标准化日志中对不具备分析意义的日志进行过滤、以及属性相同的日志进行合并处理。可选地，根据各所述目标日志中提取的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系，包括：根据各所述目标日志中的源IP和目的IP信息，得到所述目标数据的原始存储IP节点、以及首次访问所述目标数据的一级IP节点；以目标节点的源IP与已查找到节点的目的IP相匹配为一个查询条件，遍历剩余所述目标日志中的源IP和目的IP信息，依次生成所述目标数据在一级IP节点之后的各IP节点之间的扩散流转关系。可选地，形成所述目标数据在各IP节点之间的扩散流转关系之后，所述方法还包括：利用可视化工具，根据所述目标数据在各IP节点之间的扩散流转关系，绘制出所述目标数据的访问操作流转视图。可选地，所述访问操作流转视图中包括目标数据原始存储IP节点模块、首次访问所述目标数据的一级IP节点模块、中间流转IP节点模块、以及最终流转IP节点模块，其中：所述目标数据原始存储IP节点模块中包括从所述目标日志中提取的目标数据类型、目标数据敏感级别、数据描述、数据来源、数据大小、以及原始存储位置信息；所述一级IP节点模块中包括从所述目标日志中提取的访问用户的基本信息、访问来源、访问方法、访问时间、是否脱敏信息。根据本专利技术实施的第二方面，提供了另一种目标数据扩散过程的监控方法，该方法包括：采集目标网络中大数据平台组件以及相关目标设备所记录的原始日志；根据对所述原始日志的解析结果，得到包含目标数据的各访问操作类日志；从各所述访问操作类日志中，分别提取所述目标数据的源IP和目的IP；根据各所述访问操作类日志中的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系。根据本专利技术实施的第三方面，提供了一种目标数据扩散过程的监控装置，该装置包括：原始日志采集模块：用于采集目标网络中大数据平台组件以及相关目标设备所记录的原始日志；原始日志解析模块：用于根据对所述原始日志的解析结果，得到包含敏感数据的各访问操作类日志；目标日志筛选模块：用于从所述各访问操作类日志中筛选出操作对象与目标数据相匹配的目标日志；数据流转关系生成模块：用于根据从各所述目标日志中所提取的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系。优选地，所述装置还包括：目标数据流转视图生成模块：用于利用可视化工具，根据所述目标数据在各IP节点之间的扩散流转关系，绘制出所述目标数据的访问操作流转视图。根据本专利技术实施的第四方面，另提供了一种目标数据扩散过程的监控装置，该装置包括：原始日志采集模块：用于采集目标网络中大数据平台组件以及相关目标设备所记录的原始日志；原始日志解析模块：用于根据对所述原始日志的解析结果，得到包含目标数据的各访问操作类日志；IP信息提取模块：用于从各所述访问操作类日志中，分别提取所述目标数据的源IP和目的IP；数据流转关系生成模块：用于根据各所述访问操作类日志中的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系。由以上技术方案可见，本专利技术实施例提供的目标数据扩散过程的监控方法及装置，通过对大数据平台组件的日志以及数据流转过程中所涉及的网络设备、安全设备、主机、数据库等设备所记录的日志进行采集以及解析处理，识别并标识敏感数据访问操作类日志，以源IP、目的IP等属性为条件，横向关联所有敏感数据的访问操作类日志，生成目标数据流转途径，进而可以实现对大数据环境下的敏感数据的流转扩散过程进行分析。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本专利技术。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为现有技术中一种常用DLP系统的部署架构示意图；图2为本专利技术实施例提供的目标数据扩散过程的监控系统的部署架构示意图；图3为本专利技术实施例提供的一种目标数据扩散过程的监控方法的流程示意图；图4为本专利技术实施例提供的目标数据流转扩散过程的流转视图；图5为本专利技术实施例提供的另一种目标数据扩散过程的监控方本文档来自技高网...

【技术保护点】
一种目标数据扩散过程的监控方法，其特征在于，所述方法包括：采集目标网络中大数据平台组件以及相关目标设备所记录的原始日志；根据对所述原始日志的解析结果，得到包含敏感数据的各访问操作类日志；从所述各访问操作类日志中筛选出操作对象与目标数据相匹配的目标日志；根据从各所述目标日志中所提取的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系。

【技术特征摘要】
1.一种目标数据扩散过程的监控方法，其特征在于，所述方法包括：采集目标网络中大数据平台组件以及相关目标设备所记录的原始日志；根据对所述原始日志的解析结果，得到包含敏感数据的各访问操作类日志；从所述各访问操作类日志中筛选出操作对象与目标数据相匹配的目标日志；根据从各所述目标日志中所提取的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系。2.根据权利要求1所述的方法，其特征在于，根据对所述原始日志的解析结果，得到包含敏感数据的各访问操作类日志,包括：通过标准化引擎对所述原始日志进行解析和格式化，输出统一格式的标准化日志；利用预设匹配方法，判断根据敏感数据分类、分级所定义的敏感数据特征属性与所述标准化日志中的日志相关属性是否相匹配；如果相匹配，则将所述标准化日志判定为包含敏感数据的访问操作类日志。3.根据权利要求2所述的方法，其特征在于，利用预设匹配方法，判断根据敏感数据分类、分级所定义的敏感数据特征属性与所述标准化日志中的日志相关属性是否相匹配之前，所述方法还包括：对所述标准化日志中对不具备分析意义的日志进行过滤、以及属性相同的日志进行合并处理。4.根据权利要求1所述的方法，其特征在于，根据各所述目标日志中提取的源IP和目的IP之间的衔接关系，形成所述目标数据在各IP节点之间的扩散流转关系，包括：根据各所述目标日志中的源IP和目的IP信息，得到所述目标数据的原始存储IP节点、以及首次访问所述目标数据的一级IP节点；以目标节点的源IP与已查找到节点的目的IP相匹配为一个查询条件，遍历剩余所述目标日志中的源IP和目的IP信息，依次生成所述目标数据在一级IP节点之后的各IP节点之间的扩散流转关系。5.根据权利要求1所述的方法，其特征在于，形成所述目标数据在各IP节点之间的扩散流转关系之后，所述方法还包括：利用可视化工具，根据所述目标数据在各IP节点之间的扩散流转关系，绘制出所述目标数据的访问操作流转视图。6.根据权利要求5所述的方法，其特征在于，所述访问操作流转视图中包括目标数据原始存储IP节点模块、首次访问所述目标数据的一级IP节点...

【专利技术属性】
技术研发人员：李冠道，严敏，周乐坤，高峰，张建军，苏砫，张晓琳，
申请(专利权)人：中国移动通信集团广东有限公司，北京神州泰岳信息安全技术有限公司，
类型：发明
国别省市：广东,44