本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域中,一種針對數(shù)據(jù)防泄漏系統(tǒng)的終端用戶行為實時審計與預警方法。
背景技術(shù):
隨著信息科學與互聯(lián)網(wǎng)技術(shù)的飛躍發(fā)展,安全問題愈演愈烈,網(wǎng)絡(luò)與信息安全已獲得到前所未有的關(guān)注。其中,數(shù)據(jù)防泄漏系統(tǒng)作為數(shù)據(jù)安全的終端防護手段,適應需求變化,逐漸向智能化、實時化方向發(fā)展。對此,北京明朝萬達科技股份有限公司提出一種針對數(shù)據(jù)防泄漏系統(tǒng)終端用戶,實時審計其操作行為,及時預警可疑用戶操作的方法。
目前,數(shù)據(jù)防泄漏系統(tǒng)構(gòu)建有傳統(tǒng)日志審計模式與功能組件。終端在用戶數(shù)據(jù)操作過程中產(chǎn)生相應的數(shù)據(jù)管控日志,周期性上傳至系統(tǒng)服務(wù)器端進行簡單處理與存儲,并在后期根據(jù)管理需要進行日志展現(xiàn)。該方式僅能在安全事件發(fā)生后用于事后審計,系統(tǒng)無法在短時間內(nèi)發(fā)現(xiàn)終端用戶潛在的危險操作,從而及時預警并避免發(fā)生數(shù)據(jù)泄漏事件。
同時,數(shù)據(jù)防泄漏系統(tǒng)依靠傳統(tǒng)用戶認證方式(例如口令認證、域認證等)進行終端用戶管理操作(例如登錄、注銷等),一旦用戶正常登錄,考慮操作便捷性等問題,一般不會進行二次認證。其他用戶可能使用當前登錄用戶進行一些未授權(quán)操作。
最后,很多微小數(shù)據(jù)泄漏事件都是智能手機拍照功能導致的。盡管泄漏的數(shù)據(jù)量較小,但后果往往都很嚴重。嚴格的個人智能手機管理措施可以避免絕大部分該類事件的發(fā)生,但也對數(shù)據(jù)防泄漏系統(tǒng)終端用戶造成了較大不便,依然存在發(fā)生該類途徑導致數(shù)據(jù)泄漏的可能性。傳統(tǒng)的數(shù)據(jù)防泄漏終端基本無法防止該類用戶行為。
綜上所述,現(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)終端在三個方面存在不足,即日志審計的延時性、用戶認證的簡單性與用戶外部拍攝行為的不可管控性。通過建立完善的終端用戶管理制度并嚴格執(zhí)行,可大大降低上述系統(tǒng)不足(特別是后兩者)導致的數(shù)據(jù)泄露幾率,但也對正常的用戶操作造成嚴重干擾,影響工作效率,制約生產(chǎn)力的提高。現(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)的日志審計與用戶認證結(jié)構(gòu)如圖1所示。
因此,迫切需要一種能實時進行用戶行為(包括用戶識別、行為識別)審計,并在終端用戶行為出現(xiàn)異常時(例如登錄用戶變更操作主體等)及時預警的方案,在避免對操作效率造成影響的情況下,提高數(shù)據(jù)防泄漏系統(tǒng)的安全事件響應能力。
本發(fā)明使用大規(guī)模用戶行為日志實時分析、基于深度學習的操作主體識別與主體行為識別技術(shù),在用戶無感知的情況下對終端用戶行為進行實時審計,識別潛在可疑用戶行為并及時預警,健全整個數(shù)據(jù)防泄漏系統(tǒng)的管控手段。
技術(shù)實現(xiàn)要素:
為解決上述技術(shù)問題,本發(fā)明提供了一種數(shù)據(jù)動態(tài)防泄漏與預警方法,該方法包括以下步驟:
操作主體綁定,將用戶認證信息與用戶生物特征圖像進行綁定;
用戶行為日志分析訓練,對用戶行為進行日志采集,通過機器學習技術(shù)訓練獲得該用戶的用戶行為模型,基于所述用戶行為模型分析判斷用戶行為語義,得到用戶行為識別結(jié)果;
操作主體識別,利用機器學習技術(shù)識別用戶生物特征圖像,并與終端登錄用戶綁定的用戶生物特征圖像進行對比,識別是否為登錄用戶;
主體行為識別,利用機器學習技術(shù)識別特征圖像,并與指定的行為特征圖像進行對比,識別操作主體是否有特定操作;
用戶行為數(shù)據(jù)整合,將用戶行為識別結(jié)果、操作主體識別結(jié)果與主體行為識別結(jié)果進行整合,轉(zhuǎn)換為用戶行為特征數(shù)據(jù);
用戶行為計算,使用用戶行為特征數(shù)據(jù)作為輸入,基于機器學習技術(shù),以所述用戶行為模型為參考,計算獲得用戶行為異常指數(shù);
用戶行為預警,將所述用戶行為異常指數(shù)與設(shè)定的預警閾值進行比較,如果大于預警閾值,向管理員產(chǎn)生預警信息。
優(yōu)選的,所述用戶生物特征包括但不限于:人臉、虹膜。
優(yōu)選的,所述機器學習技術(shù)訓練的數(shù)據(jù)包括:文件操作行為、網(wǎng)絡(luò)操作行為、應用程序操作行為。
優(yōu)選的,所述主體行為識別結(jié)果包括:用戶使用手機或其他視覺采集設(shè)備拍攝終端屏幕。
優(yōu)選的,與用戶行為日志相關(guān)的數(shù)據(jù)包括:時間戳、終端信息、登錄用戶名、操作數(shù)據(jù)元信息、操作主體特征圖像、主體行為特征圖像。
為解決上述技術(shù)問題,本發(fā)明提供了一種數(shù)據(jù)動態(tài)防泄漏及預警系統(tǒng),該系統(tǒng)包括:
用戶行為識別模塊,基于已有的用戶行為模型分析判斷用戶行為語義,產(chǎn)生用戶行為日志特征結(jié)果;
操作主體識別模塊,使用采集的操作主體生物特征與綁定的用戶生物特征進行比對,產(chǎn)生操作主體特征結(jié)果;
主體行為識別模塊,使用采集的主體行為生物特征與已建立的危險行為特征進行比對,產(chǎn)生主體行為特征結(jié)果;
用戶行為異常計算模塊,基于機器學習技術(shù)使用上述三個結(jié)果進行用戶行為的異常指數(shù)計算;
用戶行為預警模塊,基于異常指數(shù)計算結(jié)果,根據(jù)預先設(shè)定的預警策略,決定是否進行用戶行為預警。
優(yōu)選的,該系統(tǒng)還包括:
用戶行為日志采集模塊,接收終端發(fā)送的相關(guān)日志數(shù)據(jù);
優(yōu)選的,該系統(tǒng)還包括:
用戶行為日志清洗模塊,將接收的相關(guān)日志數(shù)據(jù)進行數(shù)據(jù)清洗,剔除不完整或不合規(guī)的日志數(shù)據(jù);
優(yōu)選的,該系統(tǒng)還包括:
用戶行為日志分離模塊,分離普通的日志數(shù)據(jù)、操作主體特征及主體行為特征。
為解決上述技術(shù)問題,本發(fā)明提供了一種數(shù)據(jù)防泄漏用戶行為實時審計與預警系統(tǒng),該系統(tǒng)包括:多個用戶終端及服務(wù)器;
所述終端實現(xiàn):日志采集、用戶生物特征圖像采集與用戶行為特征圖像采集,并將采集的數(shù)據(jù)上報給服務(wù)器;
所述服務(wù)器,執(zhí)行以下操作:
用戶行為日志分析訓練,對用戶行為進行日志采集,通過機器學習技術(shù)訓練獲得該用戶的用戶行為模型,基于所述用戶行為模型分析判斷用戶行為語義,得到用戶行為識別結(jié)果;
操作主體識別,利用機器學習技術(shù)識別用戶生物特征圖像,并與終端登錄用戶綁定的用戶生物特征圖像進行對比,識別是否為登錄用戶;
主體行為識別,利用機器學習技術(shù)識別行為特征圖像,并與指定的行為特征圖像進行對比,識別操作主體是否有特定操作;
用戶行為數(shù)據(jù)整合,將用戶行為識別結(jié)果、操作主體識別結(jié)果與主體行為識別結(jié)果進行整合,轉(zhuǎn)換為用戶行為特征數(shù)據(jù);
用戶行為計算,使用用戶行為特征數(shù)據(jù)作為輸入,基于機器學習技術(shù),以所述用戶行為模型為參考,計算獲得用戶行為異常指數(shù);
用戶行為預警,將所述用戶行為異常指數(shù)與設(shè)定的預警閾值進行比較,如果大于預警閾值,向管理員產(chǎn)生預警信息。
為解決上述技術(shù)問題,本發(fā)明提供了一種用于數(shù)據(jù)防泄漏用戶行為實時審計與預警系統(tǒng)的服務(wù)器,該服務(wù)器包括:處理器和計算機存儲介質(zhì),該計算機存儲介質(zhì)存儲有計算機指令,當該處理器執(zhí)行所述計算機指令時,實現(xiàn)以下操作:
接收數(shù)據(jù),接收日志數(shù)據(jù)、用戶生物特征圖像與用戶行為特征圖像;
用戶行為日志分析訓練,通過機器學習技術(shù)訓練獲得該用戶的用戶行為模型,基于所述用戶行為模型分析判斷用戶行為語義,得到用戶行為識別結(jié)果;
操作主體識別,利用機器學習技術(shù)識別用戶生物特征圖像,并與終端登錄用戶綁定的用戶生物特征圖像進行對比,識別是否為登錄用戶;
主體行為識別,利用機器學習技術(shù)識別行為特征圖像,并與指定的行為特征圖像進行對比,識別操作主體是否有特定操作;
用戶行為數(shù)據(jù)整合,將用戶行為識別結(jié)果、操作主體識別結(jié)果與主體行為識別結(jié)果進行整合,轉(zhuǎn)換為用戶行為特征數(shù)據(jù);
用戶行為計算,使用用戶行為特征數(shù)據(jù)作為輸入,基于機器學習技術(shù),以所述用戶行為模型為參考,計算獲得用戶行為異常指數(shù);
用戶行為預警,將所述用戶行為異常指數(shù)與設(shè)定的預警閾值進行比較,如果大于預警閾值,向管理員產(chǎn)生預警信息。
采用本發(fā)明的技術(shù)方案,數(shù)據(jù)防泄漏系統(tǒng)終端僅需要使用攝像頭進行操作主體與行為的視覺采集,在終端用戶無感知的情況下,由服務(wù)器端進行大規(guī)模用戶行為日志分析、操作主體識別與主體行為識別等操作,實現(xiàn)實時用4戶行為審計及預警。在可疑數(shù)據(jù)泄露事件發(fā)生之后極短時間內(nèi),及時響應并警告相關(guān)管理人員,大大降低數(shù)據(jù)泄露事件的發(fā)生幾率,有效避免由此造成的惡劣影響。同時,該方案也不會對普通的用戶行為操作造成干擾,影響正常工作,降低效率。
附圖說明
圖1為現(xiàn)有數(shù)據(jù)防泄漏系統(tǒng)的審計與認證結(jié)構(gòu)。
圖2為本發(fā)明的終端組成結(jié)構(gòu)。
圖3為本發(fā)明的服務(wù)器端組成結(jié)構(gòu)。
圖4為本發(fā)明的日志分析流程。
圖5是本發(fā)明的操作主體識別流程。
圖6是本發(fā)明的主體行為識別流程。
圖7是本發(fā)明的異常用戶行為計算與預警流程。
圖8是應用本發(fā)明的實施例。
具體實施方式
下面結(jié)合附圖以及具體實施例對本發(fā)明作進一步的說明,但本發(fā)明的保護范圍并不限于此。
<用戶行為實時審計與預警方法>
本發(fā)明提供了一種數(shù)據(jù)防泄漏系統(tǒng)終端用戶行為實時審計與預警方法,該方法包括以下步驟:
操作主體綁定,將用戶認證信息與用戶生物特征(人臉)進行綁定;
用戶行為日志分析訓練,設(shè)定一段時間對用戶行為進行日志采集,結(jié)合用戶認證建立該用戶的行為模型;
用戶行為預警策略建立,根據(jù)具體管理制度與實際需要,建立識別到潛在危險用戶行為時的預警處理策略;
加載日志分析模型、操作主體數(shù)據(jù)與行為預警策略等;
當終端用戶進行操作時,采集相關(guān)操作行為(包括但不限于數(shù)據(jù)管控操作,還可以包含其他操作信息)上傳至服務(wù)器端;同時,終端視覺輸入設(shè)備(攝像頭)周期性(根據(jù)需要與相應策略可調(diào)整間隔時間)采集當前操作主體的生物視覺特征(人臉)與生物動作特征(例如是否正在使用手機拍照),上傳至服務(wù)器端;
服務(wù)器端進行三類操作,包括:日志分析,判斷該用戶行為是否存在異常;操作主體識別,判斷是否與當前登錄用戶的生物特征匹配;主體行為識別,是否正在拍照或其他危險行為。最終獲得用戶行為異常指數(shù);
根據(jù)該異常指數(shù),結(jié)合預警策略,決定是否進行用戶行為預警提示。
根據(jù)本發(fā)明的方法,優(yōu)選地,所述方法需要包括終端與服務(wù)器端。
根據(jù)本發(fā)明的方法,優(yōu)選地,所述操作主體生物特征為人臉。
根據(jù)本發(fā)明的方法,優(yōu)選地,所述危險主體行為包括操作人員使用手機或其他視覺采集設(shè)備拍攝屏幕。
根據(jù)本發(fā)明的方法,優(yōu)選地,用戶行為日志數(shù)據(jù)包括時間戳、終端信息(包括但不限于網(wǎng)卡mac地址、ip地址)、登錄用戶名、操作數(shù)據(jù)元信息(文件、文本、圖像等)、操作主體生物特征圖像、主體行為特征圖像。
本發(fā)明還提供了一種數(shù)據(jù)動態(tài)防泄漏系統(tǒng),該系統(tǒng)包括:
用戶行為日志采集模塊,接收終端發(fā)送的相關(guān)日志數(shù)據(jù);
用戶行為日志清洗模塊,將接收的日志數(shù)據(jù)進行數(shù)據(jù)清洗,剔除不完整或不合規(guī)的日志數(shù)據(jù);
用戶行為日志分離模塊,分離普通的日志數(shù)據(jù)、操作主體特征及主體行為特征;
用戶行為語義構(gòu)建模塊,組裝連續(xù)的用戶行為日志,構(gòu)建語義級的用戶行為,完成細粒度至粗粒度的數(shù)據(jù)轉(zhuǎn)化;
用戶行為識別模塊,基于已有的用戶行為模型分析判斷用戶行為語義,產(chǎn)生用戶行為日志特征結(jié)果;
操作主體識別模塊,基于深度學習,使用采集的操作主體生物特征與綁定的用戶生物特征進行比對,產(chǎn)生操作主體特征結(jié)果;
主體行為識別模塊,基于深度學習,使用采集的主體行為生物特征與已建立的危險行為特征進行比對,產(chǎn)生主體行為特征結(jié)果;
用戶行為異常計算模塊,基于機器學習技術(shù)使用上述三個結(jié)果進行用戶行為的異常指數(shù)計算;
用戶行為預警模塊,基于異常指數(shù)計算結(jié)果,根據(jù)預先設(shè)定的預警策略,決定是否進行用戶行為預警。
圖2為本發(fā)明的終端組成結(jié)構(gòu),該終端除了常見的終端基本硬件設(shè)備外,還包括視覺輸入硬件(攝像頭),用于采集用戶生物特征圖像和用戶行為特征圖像。軟件方面除原有數(shù)據(jù)防泄漏組件外,還包括本發(fā)明要求加強的日志采集、日志上報、操作主體特征采集與主體行為特征采集功能。
圖3為本發(fā)明的服務(wù)器端組成結(jié)構(gòu),除原有數(shù)據(jù)防泄漏服務(wù)器組件外,還包括本發(fā)明要求加強的日志接收、處理功能。此外,還包括操作主體識別、主體行為識別、用戶行為計算與用戶行為預警等功能。
圖4為本發(fā)明日志分析流程,包括以下方法步驟:
基于日志的用戶行為模型訓練,基于日常的用戶行為,通過機器學習(主要包括深度學習)技術(shù)訓練獲得該用戶的用戶行為模型,訓練數(shù)據(jù)包括文件操作行為、網(wǎng)絡(luò)操作行為、應用程序操作行為等;
用戶行為日志采集,利用hook技術(shù)等實現(xiàn)對用戶操作行為的采集,采集信息與訓練信息類型一致;
用戶行為日志上報,根據(jù)設(shè)置的周期定時將日志上傳至服務(wù)器端進行日志審計;
用戶行為語義構(gòu)建,將采集到的用戶行為日志進行語義級構(gòu)建,即將細粒度的操作日志組在語義層面合并為粗粒度但更貼近人類理解的用戶行為;
用戶行為識別,基于行為角度,處理語義級用戶行為,剔除無關(guān)行為數(shù)據(jù),確保最終數(shù)據(jù)的有效性。
圖5是為本發(fā)明操作主體識別流程,包括以下方法步驟:
操作主體生物特征采集,使用終端視覺輸入設(shè)備定期采集當前操作終端的用戶特征圖像;
操作主體特征上傳,將特征圖像進行壓縮后上傳至服務(wù)器端;
操作主體識別,服務(wù)器端利用機器學習(包括深度學習技術(shù))識別特征圖像,并與終端登錄用戶綁定的特征圖像進行對比,識別是否為登錄用戶。
圖6是為本發(fā)明操作主體行為識別流程,包括以下方法步驟:
主體行為特征采集,使用終端視覺輸入設(shè)備定期采集當前操作終端的用戶行為;
主體行為特征上傳,將特征圖像進行壓縮后上傳至服務(wù)器端;
主體行為識別,服務(wù)器端利用機器學習技術(shù)(包括深度學習技術(shù))識別特征圖像,并與指定的行為特征圖像(例如手持智能手機對準終端等)進行對比,識別操作主體是否有特定操作。
基于上述各步驟,圖7是為本發(fā)明異常用戶行為計算與預警流程,包括以下方法步驟:
用戶行為數(shù)據(jù)整合,將用戶行為識別結(jié)果、操作主體識別結(jié)果與主體行為識別結(jié)果進行整合,轉(zhuǎn)換為用戶行為特征數(shù)據(jù);
用戶行為計算,使用用戶行為特征作為輸入,基于機器學習技術(shù)(包括深度學習技術(shù)),以用戶行為模型為參考,最終計算獲得用戶行為的異常指數(shù);
用戶行為預警,用戶行為異常指數(shù)與設(shè)定的預警閾值進行比較,一旦大于預警閾值,系統(tǒng)向管理員產(chǎn)生預警信息,并提供系統(tǒng)認為異常的用戶行為日志、操作主體圖像與主體行為圖像。
<實施例>
如圖8所示,某小型銀行客戶基于本發(fā)明方法升級了已部署運行的數(shù)據(jù)防泄漏系統(tǒng),構(gòu)建了用戶行為實時審計與預警機制。該機制基于數(shù)據(jù)終端,通過添加的攝像頭動態(tài)采集操作人員的人臉圖像與操作人員的行為圖像,并將兩類圖像與操作日志周期性上傳至數(shù)據(jù)防泄漏系統(tǒng)的服務(wù)器端審計與預警模塊。該服務(wù)器端除了已部署的數(shù)據(jù)防泄漏系統(tǒng)相關(guān)服務(wù)器,還添加了如下服務(wù)器:
1臺用于終端日志收集與預處理的虛擬服務(wù)器;
1臺用于日志語義構(gòu)建與識別的虛擬服務(wù)器;
1臺用于操作主體與主體行為識別的物理服務(wù)器;
1臺用于用戶行為計算與預警的虛擬服務(wù)器。
該數(shù)據(jù)防泄漏系統(tǒng)用戶行為實時審計與預警模塊工作正常,經(jīng)過測算,在部署500臺終端的場景下,操作人員更換后進行非授權(quán)操作或使用智能手機進行拍照等行為,系統(tǒng)可在7秒內(nèi)發(fā)現(xiàn)異常并進行預警提示,同時提供了執(zhí)行異常行為的證據(jù)。
采用本發(fā)明的技術(shù)方案,數(shù)據(jù)防泄漏系統(tǒng)終端僅需要安裝并使用攝像頭進行操作主體與行為的視覺采集,在操作人員無感知無干擾的情況下,利用后臺服務(wù)器的計算能力,實時采集、分析、審計終端用戶行為。在可疑數(shù)據(jù)泄露事件發(fā)生之后極短時間內(nèi),提供異常行為證據(jù)及時響應并警告相關(guān)管理人員,將泄漏的數(shù)據(jù)及時封閉在工作場所中,大大降低數(shù)據(jù)泄露事件的發(fā)生幾率,有效避免由此造成的惡劣影響。同時,該方案也不會對普通的用戶行為操作造成干擾,影響正常工作,降低效率。
以上實施例僅作為本發(fā)明保護方案的示例,不對本發(fā)明的具體實施方式進行限定。