【技术实现步骤摘要】
一种面向全生命周期的数据安全异常检测方法及系统
[0001]本专利技术涉及数据异常行为
,尤其涉及一种面向全生命周期的数据安全异常检测方法及系统。
技术介绍
[0002]随着云计算和大数据技术的不断发展,各行业的数据量越来越大、数据集中度越来越高、数据跨域使用越来越频繁、数据业务场景越来越复杂、创新数据使用场景越来越多,数据资产面临各种内外部威胁,如病毒入侵、非法攻击、数据盗取、越权访问和违规操作等问题,因此,急需加强数据行为监控,以保障数据安全。数据异常行为检测是数据行为监控的重要内容,尤其是大数据环境下,在生产/采集、传输、存储、使用、共享和销毁的整个大数据生命周期进行异常行为精准检测与定位,是保障数据安全的重要手段。
[0003]目前,大数据环境下的数据异常行为检测研究尚不多,多数关注的是对数据资产所属机构内部人员数据行为的检测。传统的针对网络异常、用户行为异常等异常检测方法有基于特征库的异常行为检测、基于统计数据的异常行为检测和UEBA(用户实体行为分析)几种方法。
[0004](1)检测方法一...
【技术保护点】
【技术特征摘要】
1.一种面向全生命周期的数据安全异常检测方法,其特征在于,包括:统一数据模型构建:以任务为驱动,采集任务相关的全生命周期数据,抽取用户重点关注的相关数据,建立统一数据模型;数据行为分析:进行实时数据行为分析和历史数据行为分析,提取数据行为特征以建立特征库,建立多维动态数据行为基线并形成基线库,且不断更新;数据异常行为检测:基于特征库和基线库发现数据异常行为,先基于特征库检测已知的异常,再基于基线库的多维动态数据行为基线分析实际数据行为,当实际数据行为偏离多维动态数据行为基线时,判定为异常。2.根据权利要求1所述的一种面向全生命周期的数据安全异常检测方法,其特征在于,所述统一数据模型构建包括:以任务为中心,通过任务方案或预案构建任务相关的逻辑拓扑,关注任务执行过程中所有参与的用户、数据资产,用户通过授予的权限访问相关的数据资产。3.根据权利要求2所述的一种面向全生命周期的数据安全异常检测方法,其特征在于,所述任务执行过程中所有参与的用户包括:任务管理者、数据资产的所有者/管理者、数据资产的使用者、数据资产位于的大数据中心、数据中心运维人员以及外部攻击者;数据资产相关的信息包括:数据资产的分级分类信息、存储的位置、对外提供的方式。4.根据权利要求1所述的一种面向全生命周期的数据安全异常检测方法,其特征在于,数据行为分析中,所述提取数据行为特征包括以下步骤:S1.构建面向任务、用户和数据资产的数据行为特征框架;S2.根据任务、用户和数据资产的上下文数据,利用包括机器学习的方式提取任务执行期间全生命周期的数据行为特征,更新数据行为特征框架;S3.综合利用多种关联分析方法构建数据行为特征关联关系挖掘方法,对多维行为特征数据进行跨时间和空间的关联,发现数据行为特征之间隐蔽的关联关系模式。5.根据权利要求4所述的一种面向全生命周期的数据安全异常检测方法,其特征在于,所述关联分析方法包括情景关联、时序关联、交叉关联和统计关联。6.根据权利要求5所述的一种面向全生命周期的数据安全异常检测方法,其特征在于,所述数据行为特征关联关系挖掘方法包括以下步骤:S301.以任务T1为输入,通过情景关联,获取任务T1相关的用户和数据资产以及多任务之间的关联关系特征,所述关联关系特征包括并行、串行和嵌套;S302.基于任务的具体执行流程时序关联用户和数据资产;S303.对数据资产的全生命周期...
【专利技术属性】
技术研发人员:牛作元,张锋军,李庆华,许杰,石凯,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。