本發(fā)明屬于網(wǎng)絡(luò)通信��,尤其涉及一種基于知識(shí)圖譜的數(shù)據(jù)跨境異常行為檢測(cè)方法及系統(tǒng)�����。
背景技術(shù):
1�、當(dāng)前�,云計(jì)算、大數(shù)據(jù)��、人工智能等新一代信息技術(shù)高速發(fā)展�,企事業(yè)單位的信息化、數(shù)字化水平飛速提升�����。在全球化過(guò)程中,伴隨著生產(chǎn)經(jīng)營(yíng)�����、產(chǎn)業(yè)鏈協(xié)同�、科研合作等業(yè)務(wù)需要�����,大量數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)跨境流動(dòng)�����。由于各個(gè)國(guó)家地區(qū)對(duì)于數(shù)據(jù)安全保護(hù)的政策法規(guī)�����、技術(shù)能力的差異���,產(chǎn)生了對(duì)于數(shù)據(jù)跨境流動(dòng)導(dǎo)致的個(gè)人隱私泄露��、國(guó)家安全風(fēng)險(xiǎn)的擔(dān)憂�����。為此���,美國(guó)�、歐美�����、日本��、新加坡等國(guó)家相繼出臺(tái)關(guān)于數(shù)據(jù)保護(hù)�、個(gè)人信息保護(hù)等方面的法律法規(guī),對(duì)數(shù)據(jù)跨境行為進(jìn)行約束����。近年來(lái),我國(guó)相繼出臺(tái)《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》等一系列政策法規(guī)���,制定了明確的數(shù)據(jù)出境活動(dòng)管理路徑����,有效管控涉及個(gè)人信息��、重要數(shù)據(jù)等類型數(shù)據(jù)的出境活動(dòng)。同時(shí)�����,圍繞自由貿(mào)易試驗(yàn)區(qū)出臺(tái)了更為靈活的數(shù)據(jù)出境負(fù)面清單制度���。在人類遺傳資源�����、生物醫(yī)藥�、汽車��、金融等領(lǐng)域制定了更為細(xì)化的數(shù)據(jù)出境政策法規(guī)����,便利數(shù)據(jù)安全合規(guī)地跨境流通�。
2、在便利數(shù)據(jù)跨境流動(dòng)過(guò)程中����,安全風(fēng)險(xiǎn)的識(shí)別管控是占據(jù)重要位置的一項(xiàng)工作?;诂F(xiàn)有政策法規(guī)�,數(shù)據(jù)出境活動(dòng)的管控重點(diǎn)主要從數(shù)據(jù)出境活動(dòng)的主體�、場(chǎng)景、出境數(shù)據(jù)類型��、出境數(shù)據(jù)量等維度進(jìn)行評(píng)估和審核�����。單個(gè)境內(nèi)數(shù)據(jù)處理者主體出境個(gè)人信息或重要數(shù)據(jù)滿足一定條件需要進(jìn)行審批或備案方可出境���。由此可能帶來(lái)部分境內(nèi)的數(shù)據(jù)處理者在一個(gè)數(shù)據(jù)出境場(chǎng)景中通過(guò)拆分?jǐn)?shù)據(jù)出境主體����、出境通信鏈路或出境數(shù)據(jù)規(guī)模等方式���,規(guī)避必要的申報(bào)動(dòng)作���,違規(guī)開展數(shù)據(jù)出境活動(dòng)。這種做法顯著加劇了區(qū)域數(shù)據(jù)出境活動(dòng)的安全風(fēng)險(xiǎn)���,急需相關(guān)的技術(shù)手段能夠發(fā)現(xiàn)多主體數(shù)據(jù)跨境活動(dòng)之間的關(guān)聯(lián)性�����,通過(guò)關(guān)聯(lián)關(guān)系的構(gòu)建和度量針對(duì)該行為進(jìn)行識(shí)別和處置����。
3、現(xiàn)有針對(duì)數(shù)據(jù)跨境活動(dòng)的異常行為檢測(cè)技術(shù)方案主要集中在對(duì)單個(gè)主體的數(shù)據(jù)跨境行為的檢測(cè)分析上���。通過(guò)對(duì)單個(gè)主體的網(wǎng)絡(luò)通信流量的監(jiān)測(cè)�,從內(nèi)容����、行為等層面識(shí)別數(shù)據(jù)出境活動(dòng),研判是否存在不滿足數(shù)據(jù)出境相關(guān)政策法規(guī)要求的數(shù)據(jù)出境行為并產(chǎn)生告警��;或采用網(wǎng)關(guān)等技術(shù)手段�����,對(duì)單個(gè)主體的出境流量進(jìn)行檢測(cè)識(shí)別���,阻斷異常出境行為,但對(duì)于多主體關(guān)聯(lián)開展數(shù)據(jù)跨境活動(dòng)的研究方案較為缺乏����。由于通過(guò)拆分?jǐn)?shù)據(jù)出境主體����、出境通信鏈路或出境數(shù)據(jù)規(guī)模等方式進(jìn)行數(shù)據(jù)跨境的行為具有隱蔽性�、復(fù)雜性,在多主體的關(guān)聯(lián)研判��、綜合分析上缺少有效的技術(shù)手段����。
技術(shù)實(shí)現(xiàn)思路
1、針對(duì)上述問(wèn)題�����,本發(fā)明提供了一種基于知識(shí)圖譜的數(shù)據(jù)跨境異常行為檢測(cè)方法及系統(tǒng)�,面向區(qū)域內(nèi)的數(shù)據(jù)跨境活動(dòng),采集相關(guān)通信行為數(shù)據(jù)��,建立知識(shí)圖譜�。進(jìn)而利用知識(shí)圖譜所展現(xiàn)的關(guān)聯(lián)關(guān)系,建立檢測(cè)模式�,識(shí)別多主體關(guān)聯(lián)開展數(shù)據(jù)跨境活動(dòng)并產(chǎn)生安全風(fēng)險(xiǎn)的行為事件,輔助相關(guān)管理單位開展有效管控�����。
2、一種基于知識(shí)圖譜的數(shù)據(jù)跨境異常行為檢測(cè)方法�����,包括以下步驟:
3�����、步驟1����,采集數(shù)據(jù)跨境通信流量數(shù)據(jù),通過(guò)解析通信流量數(shù)據(jù)構(gòu)建包含境內(nèi)外ip地址實(shí)體���、境內(nèi)外單位實(shí)體及其關(guān)聯(lián)關(guān)系的知識(shí)圖譜���,其中,每個(gè)ip地址實(shí)體均具有地域和跨境流量統(tǒng)計(jì)的屬性�����;
4�����、步驟2�,構(gòu)建境內(nèi)外ip地址關(guān)聯(lián)分析模型和境內(nèi)外單位關(guān)聯(lián)分析模型,分別計(jì)算實(shí)體間的綜合關(guān)聯(lián)度���,聚合滿足閾值條件的ip地址形成多主體ip地址集�;
5�、步驟3,對(duì)每一組境內(nèi)多主體ip地址集與境外多主體ip地址集進(jìn)行交叉計(jì)算���,匯總其間的數(shù)據(jù)跨境通聯(lián)關(guān)系屬性�,得到跨境數(shù)據(jù)總量��、個(gè)人信息傳輸總量��、敏感個(gè)人信息傳輸總量和重要數(shù)據(jù)傳輸總量��;
6�����、步驟4�,基于動(dòng)態(tài)閾值進(jìn)行風(fēng)險(xiǎn)研判,所述動(dòng)態(tài)閾值由政策法規(guī)規(guī)定的閾值除以境內(nèi)多主體ip地址集的最大相關(guān)性值與境外多主體ip地址集的最大相關(guān)性值的乘積得到,即���,若計(jì)算結(jié)果超過(guò)動(dòng)態(tài)閾值���,則生成異常行為告警事件。
7�����、作為優(yōu)選���,步驟1中��,知識(shí)圖譜構(gòu)建包括:
8����、(1)分別以境內(nèi)外ip地址為實(shí)體�,以該ip地址的地域、跨境流量統(tǒng)計(jì)為屬性����、以境內(nèi)外ip地址之間的數(shù)據(jù)跨境通聯(lián)行為為關(guān)系,并對(duì)該關(guān)系建立包括跨境數(shù)據(jù)總量��、加密證書信息�����、數(shù)據(jù)結(jié)構(gòu)特征���、個(gè)人信息傳輸量的屬性���,構(gòu)建知識(shí)圖譜;
9�、(2)分別以境內(nèi)外單位為實(shí)體,以單位的注冊(cè)地�����、股東方�、戰(zhàn)略伙伴為屬性,以單位與ip地址之間的擁有性質(zhì)為關(guān)系�����,補(bǔ)充知識(shí)圖譜����。
10、作為優(yōu)選,步驟2中���,建立境內(nèi)外ip地址關(guān)聯(lián)分析模型包括建立境內(nèi)ip地址實(shí)體之間的關(guān)聯(lián)關(guān)系���,該關(guān)系具有數(shù)據(jù)境內(nèi)通聯(lián)屬性、數(shù)據(jù)中轉(zhuǎn)跨境屬性和數(shù)據(jù)拆分跨境屬性����;建立境外ip地址關(guān)聯(lián)分析模型,包括建立境外ip地址實(shí)體之間的關(guān)聯(lián)關(guān)系���,該關(guān)系具有數(shù)據(jù)拆分跨境屬性��。其中��,數(shù)據(jù)中轉(zhuǎn)跨境屬性通過(guò)判斷境內(nèi)通聯(lián)關(guān)系的加密傳輸證書或數(shù)據(jù)結(jié)構(gòu)是否與后續(xù)跨境通聯(lián)關(guān)系相似來(lái)確定���。數(shù)據(jù)拆分跨境屬性通過(guò)計(jì)算加密傳輸證書相似性、數(shù)據(jù)結(jié)構(gòu)相似性�����、跨境通聯(lián)主體相似性和跨境通聯(lián)行為相似性����,并加權(quán)計(jì)算得出���。
11、作為優(yōu)選��,數(shù)據(jù)中轉(zhuǎn)跨境屬性的建立邏輯為:若境內(nèi)ip地址之間存在數(shù)據(jù)境內(nèi)通聯(lián)關(guān)系��,且該通聯(lián)關(guān)系中的加密傳輸證書信息或數(shù)據(jù)結(jié)構(gòu)信息與后續(xù)任意一個(gè)數(shù)據(jù)跨境通聯(lián)關(guān)系中的對(duì)應(yīng)信息相似�,則設(shè)置數(shù)據(jù)中轉(zhuǎn)跨境屬性值為1���,否則為0��。
12���、作為優(yōu)選,數(shù)據(jù)拆分跨境屬性的計(jì)算包括:加密證書相似性:取交叉證書對(duì)的最高語(yǔ)義相似值和屬性值完全相等中的最高值為相似性最終值���,即加密證書相似性?=?max(cn完全匹配率,?組織信息語(yǔ)義相似度)�����;數(shù)據(jù)結(jié)構(gòu)相似性:取兩個(gè)境內(nèi)ip地址實(shí)體的所有數(shù)據(jù)跨境通聯(lián)關(guān)系中的數(shù)據(jù)結(jié)構(gòu)信息���,交叉計(jì)算相似性值�����,取最高值作為該屬性值����;跨境通聯(lián)主體相似性:跨境通聯(lián)主體相似性=?共有對(duì)端ip數(shù)量?/?總對(duì)端ip數(shù)量���;跨境通聯(lián)行為相似性:計(jì)算兩個(gè)ip地址的24小時(shí)跨境通信數(shù)據(jù)量序列的歐幾里得距離��,并轉(zhuǎn)換為相似度值���;為每個(gè)數(shù)據(jù)拆分跨境屬性的子屬性設(shè)置加權(quán)比例,加權(quán)求和得到數(shù)據(jù)拆分跨境屬性值�����。
13�、作為優(yōu)選,步驟2中���,建立境內(nèi)外單位關(guān)聯(lián)分析模型為:分別計(jì)算境內(nèi)單位間和境外單位間的綜合關(guān)聯(lián)度�,分析單位間注冊(cè)地關(guān)聯(lián)性、股東方重疊度和戰(zhàn)略伙伴關(guān)系����;關(guān)聯(lián)屬性建立的邏輯為:當(dāng)注冊(cè)地存在關(guān)聯(lián)時(shí)設(shè)置注冊(cè)地關(guān)聯(lián)性屬性值為1;當(dāng)股東方重疊度超過(guò)預(yù)設(shè)比例時(shí)設(shè)置股東關(guān)聯(lián)性屬性值為1�����;當(dāng)存在戰(zhàn)略伙伴關(guān)系時(shí)設(shè)置戰(zhàn)略伙伴關(guān)聯(lián)性屬性值為1���。
14、作為優(yōu)選����,步驟3具體包括:對(duì)每組境內(nèi)ip地址集與境外ip地址集之間的通信鏈路進(jìn)行遍歷,累加跨境數(shù)據(jù)總量�;對(duì)個(gè)人信息主體標(biāo)識(shí)去重計(jì)數(shù);對(duì)敏感個(gè)人信息主體標(biāo)識(shí)去重計(jì)數(shù)��;累加重要數(shù)據(jù)總量����。具體包括:(1)對(duì)每組境內(nèi)ip地址集與境外ip地址集之間的通信鏈路進(jìn)行遍歷;(2)按時(shí)間窗口維度聚合跨境數(shù)據(jù)總量����,統(tǒng)計(jì)一定時(shí)間段內(nèi)傳輸數(shù)據(jù)總量�����;(3)識(shí)別傳輸數(shù)據(jù)中的個(gè)人身份信息字段�����,統(tǒng)計(jì)去重后的個(gè)人信息主體數(shù)����;(4)?識(shí)別傳輸數(shù)據(jù)中的敏感個(gè)人身份信息字段�,統(tǒng)計(jì)去重后的敏感個(gè)人信息主體數(shù);(5)驗(yàn)證是否存在政策法規(guī)或標(biāo)準(zhǔn)規(guī)范規(guī)定的重要數(shù)據(jù)���,統(tǒng)計(jì)其跨境傳輸總量���。
15、本發(fā)明還公開了一種基于知識(shí)圖譜的數(shù)據(jù)跨境異常行為檢測(cè)系統(tǒng)�����,包括:
16�、實(shí)體構(gòu)建模塊:解析通信流量并生成包含境內(nèi)外ip地址實(shí)體���、單位實(shí)體及其關(guān)聯(lián)關(guān)系的知識(shí)圖譜;
17�、關(guān)聯(lián)分析和多主體聚合模塊:計(jì)算境內(nèi)外ip地址關(guān)聯(lián)度和單位實(shí)體關(guān)聯(lián)度,基于關(guān)聯(lián)度閾值聚合生成多主體ip地址集�����;
18�、風(fēng)險(xiǎn)計(jì)算模塊:匯總計(jì)算多主體集合間的跨境數(shù)據(jù)特征值;
19����、異常研判模塊:比對(duì)預(yù)設(shè)閾值生成告警輸出����。
20、作為優(yōu)選��,建立境內(nèi)ip地址實(shí)體之間的關(guān)聯(lián)關(guān)系時(shí),計(jì)算數(shù)據(jù)境內(nèi)通聯(lián)屬性、數(shù)據(jù)中轉(zhuǎn)跨境屬性和數(shù)據(jù)拆分跨境屬性��;數(shù)據(jù)中轉(zhuǎn)跨境屬性的計(jì)算依賴于時(shí)序相似性判斷�����,即數(shù)據(jù)境內(nèi)通聯(lián)關(guān)系的傳輸時(shí)間早于后續(xù)數(shù)據(jù)跨境通聯(lián)關(guān)系�,且加密傳輸證書或數(shù)據(jù)結(jié)構(gòu)相似;數(shù)據(jù)拆分跨境屬性中的跨境通聯(lián)行為相似性的計(jì)算為:對(duì)每個(gè)ip地址的24小時(shí)跨境通信數(shù)據(jù)量序列進(jìn)行向量化��,計(jì)算兩個(gè)ip地址對(duì)應(yīng)向量的歐幾里得距離��,通過(guò)相似度規(guī)約轉(zhuǎn)換得到相似性值���。
21�、作為優(yōu)選���,多主體聚合模塊采用雙層聚合機(jī)制:對(duì)ip地址實(shí)體設(shè)置第一權(quán)重組計(jì)算關(guān)聯(lián)度����,對(duì)單位實(shí)體設(shè)置第二權(quán)重組計(jì)算關(guān)聯(lián)度���,第一層基于ip地址實(shí)體的綜合關(guān)聯(lián)度聚合:當(dāng)ip關(guān)聯(lián)度或單位關(guān)聯(lián)度任一超過(guò)閾值即觸發(fā)聚合����;第二層基于單位實(shí)體的綜合關(guān)聯(lián)度聚合�,生成覆蓋關(guān)聯(lián)ip地址的聚合集合,將關(guān)聯(lián)單位的ip地址加入集合。
22�����、本發(fā)明的有益效果是:
23�、(1)本發(fā)明提出的基于知識(shí)圖譜的數(shù)據(jù)跨境異常行為檢測(cè)方法和系統(tǒng),對(duì)數(shù)據(jù)跨境通信流量進(jìn)行分析���,聚合具有強(qiáng)關(guān)聯(lián)特征的境內(nèi)數(shù)據(jù)處理者和境外數(shù)據(jù)接收方�,計(jì)算聚合后的數(shù)據(jù)跨境通信行為并發(fā)現(xiàn)異常事件����,與現(xiàn)有方案相比,解決了僅針對(duì)單一主體進(jìn)行數(shù)據(jù)跨境異常檢測(cè)方案的局限性����,有效應(yīng)對(duì)多主體關(guān)聯(lián)數(shù)據(jù)跨境行為的安全風(fēng)險(xiǎn)。
24�����、(2)本發(fā)明提出的基于知識(shí)圖譜的數(shù)據(jù)跨境異常行為檢測(cè)方法和系統(tǒng)��,適用于同一單位內(nèi)部多主體之間或區(qū)域范圍內(nèi)多主體之間的數(shù)據(jù)跨境行為關(guān)聯(lián)分析和異常檢測(cè)��,可用于配合自由貿(mào)易試驗(yàn)區(qū)數(shù)據(jù)出境負(fù)面清單政策的配套安全管理要求��,具有實(shí)際應(yīng)用價(jià)值���。