產(chǎn)品設(shè)備實(shí)時(shí)通報(bào)

一種基于5W1H的數(shù)據(jù)異常訪問分析研究李映壯王瑤周政成劉松濤 (中國移動(dòng)通信集團(tuán)海南有限公司，?？?70125)摘要：大數(shù)據(jù)正在改變著我們的生活，也在改變著企業(yè)的運(yùn)營模式，數(shù)據(jù)已經(jīng)慢慢成為企業(yè)的核心資產(chǎn)、戰(zhàn)略資源。數(shù)據(jù)在被深度挖掘、共享應(yīng)用的同時(shí)，也成為不法分子盜取的主要目標(biāo)，因此數(shù)據(jù)安全已經(jīng)成為網(wǎng)絡(luò)安全的重要組成部分。本文立足于數(shù)據(jù)被訪問過程中可能出現(xiàn)的泄露場(chǎng)景，基于任何一次數(shù)據(jù)訪問過程中的5W1H六要素，利用聚類和標(biāo)簽算法構(gòu)建一種實(shí)時(shí)的數(shù)據(jù)異常訪問綜合分析方法。Researchonanomalyaccessanalysisbasedon5W1HLIYing-zhuangWANGYaoZHOUZheng-chengLIUSong-tao (ChinaMobileGroupHainanCo.,Ltd.,Haikou570125，China)Abstract:Bigdataischangingourlivesandchangingthewayweoperate.Datahasgraduallybecomethecoreassetsandstrategicresourcesofenterprises.Whilebeingdeeplyexploredandshared,datahasbecomethemaintargetofcriminals’theft.Therefore,datasecurityhasbecomeanimportantpartofnetworksecurity.Thispaperisbasedonthepossibleleakscenesduringthedataaccessprocess，basedonthe5W1Hsixelementsinanydataaccessprocess,constructingareal-timedataanomalyaccesscomprehensiveanalysismethodbyusingclusteringandlabelingalgorithm.~tadeepexcavationdatasecurityWH成為企業(yè)的核與挑戰(zhàn)。隱私敏感數(shù)據(jù)性的后果，因此，數(shù)據(jù)安全訪問、服務(wù)器圖1數(shù)據(jù)泄露場(chǎng)景1傳統(tǒng)數(shù)據(jù)異常訪問檢測(cè)方法及弊端 (1)誤用檢測(cè)：誤用檢測(cè)是指通過攻擊行為的特征庫，采用特征匹配的方法 檢測(cè)實(shí)際活動(dòng)以判斷是否背離正常輪廓。通常應(yīng)用在用戶行為分析以及網(wǎng)傳統(tǒng)的數(shù)據(jù)異常訪問檢測(cè)技術(shù)存在以下幾個(gè)缺陷。 (1)誤用檢測(cè)通常不能發(fā)現(xiàn)攻擊特征庫中沒有事先指定的攻擊行為，無法 (2)誤用檢測(cè)往往需要人工進(jìn)行規(guī)則定義，并未考慮部署環(huán)境和業(yè)務(wù)的異 (3)現(xiàn)有統(tǒng)計(jì)方法往往只考慮一個(gè)維度的上下界或者綜合多個(gè)維度的上下界加權(quán)得出異常分?jǐn)?shù)，沒有考慮各個(gè)維度之間的關(guān)聯(lián)關(guān)系，誤報(bào)率高。 (4)離群檢測(cè)方法往往是通過離群點(diǎn)檢測(cè)算法通過長(zhǎng)期的數(shù)據(jù)計(jì)算出異常的25W1H數(shù)據(jù)異常訪問檢測(cè)模型2.1模型框架階段中，以5W1H六大要素，包括Who(人員)，Where(地點(diǎn))，When(時(shí)間)，What(對(duì)象)，Why(原因)，How(行為方式)為基礎(chǔ)，通過聚類算法~在檢測(cè)階段中，通過比較實(shí)際數(shù)據(jù)和行為模式的異同，結(jié)合聚類偏離度和標(biāo)簽偏在訓(xùn)練階段需要進(jìn)行大數(shù)據(jù)的運(yùn)算，在檢測(cè)階段，僅需要把相應(yīng)的行為模式形成檢測(cè)規(guī)則，接入實(shí)時(shí)數(shù)據(jù)，則可以進(jìn)行實(shí)時(shí)或準(zhǔn)實(shí)時(shí)檢測(cè)。數(shù)據(jù)異常檢測(cè)結(jié)構(gòu)圖歷歷史行為日志數(shù)據(jù)流向異常檢測(cè)單元聚類異常檢測(cè)標(biāo)簽異常檢測(cè)綜合異常評(píng)價(jià)行為分析單元聚類分析實(shí)時(shí)行為日志檢測(cè)規(guī)則標(biāo)簽分析規(guī)則輸出圖2數(shù)據(jù)異常檢測(cè)結(jié)構(gòu)圖了識(shí)別的準(zhǔn)確率。第二方面，從數(shù)據(jù)訪問行為的訪問對(duì)象、該訪問行為發(fā)生的位置、執(zhí)行該訪問行為的用戶、該訪問行為發(fā)生的時(shí)間、該訪問行為發(fā)生的方式以及該訪問行為發(fā)生的原因這6個(gè)角度描述數(shù)據(jù)訪問行為，這種描述方法具有較高的通用性，可以廣泛適用于各種應(yīng)用場(chǎng)景下對(duì)數(shù)據(jù)訪問行為的描述，故提高了本~實(shí)例提供的異常的數(shù)據(jù)訪問行為的識(shí)別方法的通用性。第三方面，由于根據(jù)歷史數(shù)據(jù)自動(dòng)生成聚類、聚類的特性和聚類的標(biāo)簽，并利用聚類的特性和聚類的標(biāo)簽行為是否未異常數(shù)據(jù)訪問行為，而無需人工規(guī)定檢驗(yàn)規(guī)則，減少了技術(shù)人員的工作量。第四方面，由于根據(jù)歷史數(shù)據(jù)生成聚類的特性和聚類的標(biāo)簽，而非根據(jù)實(shí)時(shí)數(shù)據(jù)得到數(shù)據(jù)訪問行為的檢測(cè)依據(jù)，在獲取實(shí)時(shí)數(shù)據(jù)時(shí)，第五方面，由于從不同維度比較實(shí)時(shí)數(shù)據(jù)與目標(biāo)聚類的標(biāo)簽，并根據(jù)比較結(jié)果將該實(shí)時(shí)數(shù)據(jù)描述的數(shù)據(jù)訪問行為標(biāo)記為不同類型的異常的數(shù)據(jù)訪問行為，故可以2.2分析算法o小為2G，其中How包含3個(gè)維度，下載，路徑(/data/path2/file)，文件大n~分析系統(tǒng)的訪問，則會(huì)產(chǎn)生k個(gè)聚類模型，每個(gè)目標(biāo)系統(tǒng)擁有一個(gè)聚類模型。聚類流 ow過程表示：jmaxjmin ii~2.2.2標(biāo)簽分析和源IP列表，去重聚合成：whoinwhyi針對(duì)When屬性標(biāo)簽，可通過位運(yùn)算聚合得出，即將一天時(shí)間等分或者根據(jù)K則該位置1。例如，若把24h分間n2.2.3規(guī)則輸出經(jīng)過行為聚類分析和標(biāo)簽分析，可形成規(guī)則如下：~radiusi是第i個(gè)聚類中的點(diǎn)距離中心點(diǎn)的最大歐氏距離，2.2.4異常檢測(cè)行為聚類分析利用行為聚類結(jié)果建立為不同的目標(biāo)系統(tǒng)建立訪問行為模型，并形成規(guī)則。然后在實(shí)時(shí)檢測(cè)中，異常檢測(cè)單元利用實(shí)時(shí)行為數(shù)據(jù)和訪問行為模。針對(duì)實(shí)時(shí)行為數(shù)據(jù)，進(jìn)行如下4步的檢測(cè)動(dòng)作：數(shù)據(jù)標(biāo)準(zhǔn)化?；跉v史行為數(shù)據(jù)How在每個(gè)維度上的最大值數(shù)據(jù)標(biāo)準(zhǔn)化?；跉v史行為數(shù)據(jù)How在每個(gè)維度上的最大值max和最htraining[l]min和htraining[l]max分別為訓(xùn)練數(shù)據(jù)中的該維度的最小值和最大值，其具體公式：trainijng[l]-htraininmg[iln])maxmin.聚類異常檢測(cè)。找到與數(shù)據(jù)點(diǎn)yj歐式距離最小的聚類cluster[keyofyj]m。其中，[keyofyj]為yj所對(duì)應(yīng)的目標(biāo)系統(tǒng)，cluster[keyofyj]m為該目標(biāo)系統(tǒng)被認(rèn)為是異常；WhoWhere和Why不在tag和taghy的列n2.3敏感數(shù)據(jù)保護(hù)實(shí)踐最典型的應(yīng)用就是當(dāng)前愈演愈烈的電信詐騙。據(jù)海南省反電信詐騙中心統(tǒng)計(jì)，海~圖3異常賬號(hào)登錄告警圖3結(jié)語。業(yè)要信應(yīng)來[1]FitzpatrickM.Mobilethatallowsbossestosnooponstaffdeveloped.BBCNews.010.[2]ContinuousAssetEvaluation,SituationalAwareness,andRiskScoringReferenceArchitectureRe