產(chǎn)品設(shè)備實時通報

一種基于5W1H的數(shù)據(jù)異常訪問分析研究李映壯王瑤周政成劉松濤 (中國移動通信集團海南有限公司，?？?70125)摘要：大數(shù)據(jù)正在改變著我們的生活，也在改變著企業(yè)的運營模式，數(shù)據(jù)已經(jīng)慢慢成為企業(yè)的核心資產(chǎn)、戰(zhàn)略資源。數(shù)據(jù)在被深度挖掘、共享應用的同時，也成為不法分子盜取的主要目標，因此數(shù)據(jù)安全已經(jīng)成為網(wǎng)絡(luò)安全的重要組成部分。本文立足于數(shù)據(jù)被訪問過程中可能出現(xiàn)的泄露場景，基于任何一次數(shù)據(jù)訪問過程中的5W1H六要素，利用聚類和標簽算法構(gòu)建一種實時的數(shù)據(jù)異常訪問綜合分析方法。Researchonanomalyaccessanalysisbasedon5W1HLIYing-zhuangWANGYaoZHOUZheng-chengLIUSong-tao (ChinaMobileGroupHainanCo.,Ltd.,Haikou570125，China)Abstract:Bigdataischangingourlivesandchangingthewayweoperate.Datahasgraduallybecomethecoreassetsandstrategicresourcesofenterprises.Whilebeingdeeplyexploredandshared,datahasbecomethemaintargetofcriminals’theft.Therefore,datasecurityhasbecomeanimportantpartofnetworksecurity.Thispaperisbasedonthepossibleleakscenesduringthedataaccessprocess，basedonthe5W1Hsixelementsinanydataaccessprocess,constructingareal-timedataanomalyaccesscomprehensiveanalysismethodbyusingclusteringandlabelingalgorithm.~tadeepexcavationdatasecurityWH成為企業(yè)的核與挑戰(zhàn)。隱私敏感數(shù)據(jù)性的后果，因此，數(shù)據(jù)安全訪問、服務器圖1數(shù)據(jù)泄露場景1傳統(tǒng)數(shù)據(jù)異常訪問檢測方法及弊端 (1)誤用檢測：誤用檢測是指通過攻擊行為的特征庫，采用特征匹配的方法 檢測實際活動以判斷是否背離正常輪廓。通常應用在用戶行為分析以及網(wǎng)傳統(tǒng)的數(shù)據(jù)異常訪問檢測技術(shù)存在以下幾個缺陷。 (1)誤用檢測通常不能發(fā)現(xiàn)攻擊特征庫中沒有事先指定的攻擊行為，無法 (2)誤用檢測往往需要人工進行規(guī)則定義，并未考慮部署環(huán)境和業(yè)務的異 (3)現(xiàn)有統(tǒng)計方法往往只考慮一個維度的上下界或者綜合多個維度的上下界加權(quán)得出異常分數(shù)，沒有考慮各個維度之間的關(guān)聯(lián)關(guān)系，誤報率高。 (4)離群檢測方法往往是通過離群點檢測算法通過長期的數(shù)據(jù)計算出異常的25W1H數(shù)據(jù)異常訪問檢測模型2.1模型框架階段中，以5W1H六大要素，包括Who(人員)，Where(地點)，When(時間)，What(對象)，Why(原因)，How(行為方式)為基礎(chǔ)，通過聚類算法~在檢測階段中，通過比較實際數(shù)據(jù)和行為模式的異同，結(jié)合聚類偏離度和標簽偏在訓練階段需要進行大數(shù)據(jù)的運算，在檢測階段，僅需要把相應的行為模式形成檢測規(guī)則，接入實時數(shù)據(jù)，則可以進行實時或準實時檢測。數(shù)據(jù)異常檢測結(jié)構(gòu)圖歷歷史行為日志數(shù)據(jù)流向異常檢測單元聚類異常檢測標簽異常檢測綜合異常評價行為分析單元聚類分析實時行為日志檢測規(guī)則標簽分析規(guī)則輸出圖2數(shù)據(jù)異常檢測結(jié)構(gòu)圖了識別的準確率。第二方面，從數(shù)據(jù)訪問行為的訪問對象、該訪問行為發(fā)生的位置、執(zhí)行該訪問行為的用戶、該訪問行為發(fā)生的時間、該訪問行為發(fā)生的方式以及該訪問行為發(fā)生的原因這6個角度描述數(shù)據(jù)訪問行為，這種描述方法具有較高的通用性，可以廣泛適用于各種應用場景下對數(shù)據(jù)訪問行為的描述，故提高了本~實例提供的異常的數(shù)據(jù)訪問行為的識別方法的通用性。第三方面，由于根據(jù)歷史數(shù)據(jù)自動生成聚類、聚類的特性和聚類的標簽，并利用聚類的特性和聚類的標簽行為是否未異常數(shù)據(jù)訪問行為，而無需人工規(guī)定檢驗規(guī)則，減少了技術(shù)人員的工作量。第四方面，由于根據(jù)歷史數(shù)據(jù)生成聚類的特性和聚類的標簽，而非根據(jù)實時數(shù)據(jù)得到數(shù)據(jù)訪問行為的檢測依據(jù)，在獲取實時數(shù)據(jù)時，第五方面，由于從不同維度比較實時數(shù)據(jù)與目標聚類的標簽，并根據(jù)比較結(jié)果將該實時數(shù)據(jù)描述的數(shù)據(jù)訪問行為標記為不同類型的異常的數(shù)據(jù)訪問行為，故可以2.2分析算法o小為2G，其中How包含3個維度，下載，路徑(/data/path2/file)，文件大n~分析系統(tǒng)的訪問，則會產(chǎn)生k個聚類模型，每個目標系統(tǒng)擁有一個聚類模型。聚類流 ow過程表示：jmaxjmin ii~2.2.2標簽分析和源IP列表，去重聚合成：whoinwhyi針對When屬性標簽，可通過位運算聚合得出，即將一天時間等分或者根據(jù)K則該位置1。例如，若把24h分間n2.2.3規(guī)則輸出經(jīng)過行為聚類分析和標簽分析，可形成規(guī)則如下：~radiusi是第i個聚類中的點距離中心點的最大歐氏距離，2.2.4異常檢測行為聚類分析利用行為聚類結(jié)果建立為不同的目標系統(tǒng)建立訪問行為模型，并形成規(guī)則。然后在實時檢測中，異常檢測單元利用實時行為數(shù)據(jù)和訪問行為模。針對實時行為數(shù)據(jù)，進行如下4步的檢測動作：數(shù)據(jù)標準化?；跉v史行為數(shù)據(jù)How在每個維度上的最大值數(shù)據(jù)標準化?；跉v史行為數(shù)據(jù)How在每個維度上的最大值max和最htraining[l]min和htraining[l]max分別為訓練數(shù)據(jù)中的該維度的最小值和最大值，其具體公式：trainijng[l]-htraininmg[iln])maxmin.聚類異常檢測。找到與數(shù)據(jù)點yj歐式距離最小的聚類cluster[keyofyj]m。其中，[keyofyj]為yj所對應的目標系統(tǒng)，cluster[keyofyj]m為該目標系統(tǒng)被認為是異常；WhoWhere和Why不在tag和taghy的列n2.3敏感數(shù)據(jù)保護實踐最典型的應用就是當前愈演愈烈的電信詐騙。據(jù)海南省反電信詐騙中心統(tǒng)計，海~圖3異常賬號登錄告警圖3結(jié)語。業(yè)要信應來[1]FitzpatrickM.Mobilethatallowsbossestosnooponstaffdeveloped.BBCNews.010.[2]ContinuousAssetEvaluation,SituationalAwareness,andRiskScoringReferenceArchitectureRe