一種基于用戶行為和數據狀態的自適應安全防護方法及系統,結合用戶行為和數據狀態兩個方面實現對數據的安全防護,該系統能夠通過動態學習的方法實現對用戶行為的預測、防御、監控和回溯功能,并且形成自適應安全防護方案。防護系統包括與安全服務器連接的多個安全網絡傳感器,安全網絡傳感器設置于web服務器和數據庫服務器相結合的網段,該網段上設有網絡設備,網絡設備與安全服務器經防火墻相連,防火墻連接客戶端。本發明專利技術結合了用戶行為和數據狀態兩個方面,更加全面的保護了企業數據資產的安全。
【技術實現步驟摘要】
本專利技術涉及信息安全領域,具體涉及一種基于用戶行為和數據狀態的自適應安全防護方法及系統,結合了用戶行為和數據狀態兩個方面的安全防護。
技術介紹
隨著信息技術的快速發展,大量的數據不斷地轉移至網絡環境,組織日益依賴于信息技術來支撐業務運行。數據逐漸形成為組織的重要信息資產,同時也成為一些非法人員惡意攻擊或竊取的重點對象。一旦組織的重要數據外泄,可能會對該組織造成重大甚至無法彌補的經濟損失與名譽損失。因此,如何保障組織數據的安全性是當前亟待解決的重要問題。傳統的數據保護方式主要包括訪問限制、加密、身份認證等,存在通過人工方法找出可疑行為,以及無法實現實時在線檢測入侵行為等缺點,并且均是以預防為主的安全機制。目前,很多研究致力于入侵檢測系統,從用戶行為角度出發,通過捕捉并分析用戶行為緊密相關的數據變化判斷該用戶行為是否異常。但是,該系統缺乏對數據狀態的考慮,不能更全面的保護組織數據。另外,一些安全系統對策略配置定義、更新、維護等需要手動完成,浪費了大量的時間,缺乏對應用場景改變的自適應性。
技術實現思路
本專利技術的目的在于針對上述現有技術中的問題,提供一種基于用戶行為和數據狀態的自適應安全防護方法及系統,結合異常檢測和誤用檢測提高用戶行為檢測的準確性。為了實現上述目的,本專利技術基于用戶行為和數據狀態的自適應安全防護方法包括:a.通過網絡傳感器接收正常狀態下的用戶行為事件;b.將每個用戶行為事件分為不同的識別單元和屬性單元;c.通過對識別單元和屬性單元進行分類和收集,根據相似度計算,形成自適應正常行為輪廓的配置項,得到自適應正常行為輪廓;其中用戶行為包括用戶對數據/文件的訪問時間、次數、對數據的讀、寫、修改、刪除操作等,數據狀態包括數據/文件類型、大小、敏感性、創建時間、修改時間、更新時間、刪除時間等;通過用戶行為的歷史數據和當前數據,建立用戶正常行為模型,預測未來數據的變化規律以及趨勢,并且用該模型推測數據未來的特征;d.提取用戶行為模型;d-1)將實時的用戶行為與誤用規則庫進行對比和匹配,進行誤用檢測;所述的誤用規則庫為根據對已知用戶異常行為的特征進行分析,形成相應的規則,匯總形成的數據庫,且誤用規則庫能夠自動更新;d-2)將實時的用戶行為與自適應正常行為輪廓進行對比和匹配,進行異常檢測;自適應正常行為輪廓自動根據事先設定好的策略進行相應的響應,實現對數據的保護;e.將自適應正常行為輪廓分布到網絡傳感器中,與保護設備連接。每個自適應正常行為輪廓的配置項包含多個描述支持各自性能的描述值;自適應正常行為輪廓使用前進行穩定性判斷,穩定性判斷通過計算自適應正常行為輪廓框架形成時間是否超過預定閥值的百分比,如是,則判定該配置項或屬性是穩定的,在自適應正常行為輪廓的穩定性判斷中,配置項和屬性中有一個是穩定的,則認為自適應正常行為輪廓框架為穩定的。所述的步驟d中將實時的用戶行為首先與誤用規則庫進行對比和匹配,如果匹配,則認為該行為確實為異常行為,然后自適應正常行為輪廓根據事先設定好的策略進行相應響應;如果不匹配,則認為該行為為可疑行為,需要進行異常檢測,即與自適應正常行為輪廓進行對比和匹配,如果偏差超過設定閥值,則認為有異常行為;如果檢測結果確認為正常行為,則將該規則加入到自適應正常行為輪廓中,對自適應正常行為輪廓進行更新,當檢測的結果確定為異常行為時,則將該規則加入到誤用規則庫中,對誤用規則庫進行更新。所述的步驟d中誤用檢測對每次檢測到的行為都進行告警提示,并且系統進行相應的響應,對于未檢測到的行為,則進行異常檢測,需要再次進行檢測以確定是否為異常行為。對于確定的異常行為,系統會對該行為制訂審計日志,實現對該行為的實時監控與回溯。所述的保護設備為web服務器或數據庫服務器,網絡傳感器為http傳感器和sql傳感器;http傳感器收集客戶端發送到web服務器的http請求,sql傳感器收集訪問數據庫服務器的sql請求;所述http請求及sql請求分別被http傳感器和sql傳感器處理后發送事件至安全服務器。本專利技術基于用戶行為和數據狀態的自適應安全防護系統包括與安全服務器連接的多個安全網絡傳感器,所述的安全網絡傳感器設置于web服務器和數據庫服務器相結合的網段,該網段上設有網絡設備,所述的網絡設備與安全服務器經防火墻相連,防火墻連接客戶端。所述的安全服務器和個安全網絡傳感器之間通過以太網或帶外網絡連接。與現有技術相比,本專利技術基于用戶行為和數據狀態的自適應安全防護方法從用戶行為和數據狀態兩個方面進行安全防護,更加全面的保護了企業數據資產的安全。本專利技術自適應正常行為輪廓能夠實現對用戶行為的預測、防御、監控和回溯功能,并且對異常的用戶行為自動生成防護方案。本專利技術結合了異常檢測和誤用檢測對用戶行為進行檢測,綜合了兩種檢測方法的優點,提高了異常行為檢測的準確性,設置多種異常行為的場景及對應的安全防護方案,通過動態學習的過程,實現自動完成策略配置定義、更新、維護,具有自適應性。與現有技術相比,本專利技術基于用戶行為和數據狀態的自適應安全防護系統結合了用戶行為和數據狀態兩個方面建立自適應正常行為輪廓,實現對數據的全面保護,自適應性主要是指能夠通過動態學習的方法實現對未來數據行為的預測,當用戶實時行為與預測不一致時,則認定為可疑行為,并將此事件進行記錄,并且自動產生新的預防手段以避免未來相似事件的發生,具有主動防御的功能。此外,本專利技術的網絡傳感器沒有安裝到客戶端與web服務器或者與數據庫服務器之間,因此網絡傳感器不影響客戶端和web服務器之間通信的及時性。附圖說明圖1本專利技術自適應安全防護方法的流程圖;圖2本專利技術自適應安全防護系統的結構示意圖;圖3本專利技術網絡傳感器的信號傳遞示意圖;附圖中:100.自適應安全防護系統;110.安全服務器;120.帶外網絡;130.網絡傳感器;140.防火墻;150.網絡設備;160.web服務器;170.數據庫服務器;180.客戶端;230.http傳感器;240.sql傳感器。具體實施方式下面結合附圖對本專利技術做進一步的詳細說明。參見圖1,本專利技術基于用戶行為和數據狀態的自適應安全防護方法包括以下步驟:a.獲取用戶行為事件:主要是指通過網絡傳感器130接收正常狀態下用戶行為事件;b.處理用戶行為事件:主要是指將接收的事件進行詞匯分析和語法分析,即將每個事件分為不同的識別單元和屬性單元;c.自適應正常行為輪廓的形成,通過對識別單元和屬性單元進行分類和收集,根據相似度計算,對屬性單元進行分類,形成自適應正常行為輪廓的配置項。該輪廓包含多個配置項(item),每個配置項包含多個的描述性能支持各自的描述值(property)。在此需要說明的是,系統需要對該自適應框架輪廓進行穩定性判斷,只有穩定的自適應框架輪廓才能符合用戶正常的行為模式,而穩定性判斷主要是通過計算自適應框架的形成時間是否超過預定閥值得百分比,假如是,則認為該配置項或者屬性是穩定的。在自適應正常行為輪廓的穩定性判斷中,配置項和屬性中有一個是穩定的,則認為自適應框架輪廓為穩定的,并且該輪廓具有用戶行為的預測功能,主要通過用戶行為的歷史數據和當前數據,建立用戶正常行為模型,預測未來數據的變化規律及趨勢,并且用該模型推測數據未來的特征,實現對用戶行為的預本文檔來自技高網...
【技術保護點】
一種基于用戶行為和數據狀態的自適應安全防護方法,其特征在于,包括以下步驟:a.通過網絡傳感器接收正常狀態下的用戶行為事件;b.將每個用戶行為事件分為不同的識別單元和屬性單元;c.通過對屬性單元進行分類和收集,根據相似度計算,形成自適應正常行為輪廓的配置項,得到自適應正常行為輪廓;通過用戶行為的歷史數據和當前數據,建立用戶正常行為模型,預測未來數據的變化規律以及趨勢,并且用該模型推測數據未來的特征;d.提取用戶行為模型;d?1)將實時的用戶行為與誤用規則庫進行對比和匹配,進行誤用檢測;所述的誤用規則庫為根據對已知用戶異常行為的特征進行分析,形成相應的規則,匯總形成的數據庫,且誤用規則庫能夠自動更新;d?2)將實時的用戶行為與自適應正常行為輪廓進行對比和匹配,進行異常檢測;自適應正常行為輪廓自動根據事先設定好的策略進行相應的響應,實現對數據的保護;e.將自適應正常行為輪廓分布到網絡傳感器中,與保護設備連接。
【技術特征摘要】
1.一種基于用戶行為和數據狀態的自適應安全防護方法,其特征在于,包括以下步驟:a.通過網絡傳感器接收正常狀態下的用戶行為事件;b.將每個用戶行為事件分為不同的識別單元和屬性單元;c.通過對屬性單元進行分類和收集,根據相似度計算,形成自適應正常行為輪廓的配置項,得到自適應正常行為輪廓;通過用戶行為的歷史數據和當前數據,建立用戶正常行為模型,預測未來數據的變化規律以及趨勢,并且用該模型推測數據未來的特征;d.提取用戶行為模型;d-1)將實時的用戶行為與誤用規則庫進行對比和匹配,進行誤用檢測;所述的誤用規則庫為根據對已知用戶異常行為的特征進行分析,形成相應的規則,匯總形成的數據庫,且誤用規則庫能夠自動更新;d-2)將實時的用戶行為與自適應正常行為輪廓進行對比和匹配,進行異常檢測;自適應正常行為輪廓自動根據事先設定好的策略進行相應的響應,實現對數據的保護;e.將自適應正常行為輪廓分布到網絡傳感器中,與保護設備連接。2.根據權利要求1所述基于用戶行為和數據狀態的自適應安全防護方法,其特征在于:每個自適應正常行為輪廓的配置項包含多個描述支持各自性能的描述值;自適應正常行為輪廓使用前進行穩定性判斷,穩定性判斷通過計算自適應正常行為輪廓框架的形成時間是否超過預定閥值的百分比,如是,則判定該配置項或屬性是穩定的,在自適應正常行為輪廓的穩定性判斷中,配置項和屬性中有一個是穩定的,則認為自適應正常行為輪廓框架為穩定的。3.根據權利要求1所述基于用戶行為和數據狀態的自適應安全防護方法,其特征在于:所述的步驟d中將實時的用戶行為首先與誤用規則庫進行對比和匹配,如果匹配,則認為該行為確實為異常行為,然后自適應正常行為輪廓根據事先設定好的策略進行相應響應;如果不匹配,則認為該行為為可疑行為,需要進行異常檢測,即與自適應正常行為輪廓進行對比和匹配,如果偏差超過設定閥值,則認為有異常行為;如果檢測結...
【專利技術屬性】
技術研發人員:徐建忠,張亮,
申請(專利權)人:杭州世平信息科技有限公司,
類型:發明
國別省市:陜西;61
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。