基于數(shù)據(jù)安全智能化分析研究

陳智揚

【摘要】? ? 隨著數(shù)據(jù)業(yè)務(wù)的不斷拓展，電信運營商掌握了海量的極具商業(yè)價值的敏感數(shù)據(jù)信息。敏感數(shù)據(jù)所帶來的安全隱患使得信息安全的重要性日益凸顯，保障電信信息系統(tǒng)安全至關(guān)重要。本文在結(jié)合廣東移動安全現(xiàn)狀的基礎(chǔ)上，利用人工智能技術(shù)，通過貼近業(yè)務(wù)現(xiàn)狀的智能安全審計場景模型，使安全審計更精準(zhǔn)，更有效，滿足業(yè)務(wù)綜合審計及安全合規(guī)管理的需要。為數(shù)據(jù)隱私保護提供有效地技術(shù)方法借鑒。

【關(guān)鍵詞】? ? 敏感數(shù)據(jù)? ? 智能分析? ? 安全場景

引言：

隨著電信運營商網(wǎng)絡(luò)規(guī)模的擴大和數(shù)據(jù)業(yè)務(wù)的增加，大數(shù)據(jù)、云計算等相關(guān)領(lǐng)域的發(fā)展為電信行業(yè)帶來新機遇的同時，也帶來了潛在的數(shù)據(jù)安全隱患。面對海量的各類日志和數(shù)據(jù)信息，安全審計體系建設(shè)已然成為中國移動安全體系建設(shè)中的必要一環(huán)。在安全審計系統(tǒng)中運用自動化、大數(shù)據(jù)、人工智能等技術(shù)，不僅可以提升審計效率，而且能在安全事件發(fā)生之前通過異常行為告警方式通知管理人員，及時進行分析并采取相應(yīng)措施進行有效阻止，從而大大降低安全事件的發(fā)生率。

本文結(jié)合廣東移動的實際情況，基于業(yè)務(wù)經(jīng)驗和生產(chǎn)系統(tǒng)中的業(yè)務(wù)實時日志，區(qū)分不同業(yè)務(wù)場景后，通過樣本數(shù)據(jù)的機器學(xué)習(xí)模式，對用戶信息、設(shè)備信息、用戶行為、業(yè)務(wù)數(shù)據(jù)等關(guān)鍵信息進行自動學(xué)習(xí)，通過在平臺固化場景，完成不同維度的行為分析和展現(xiàn)，實現(xiàn)敏感數(shù)據(jù)的智能化安全分析。減少敏感數(shù)據(jù)丟失的事件發(fā)生，提升業(yè)務(wù)系統(tǒng)安全管理能力。

一、數(shù)據(jù)安全綜述

1.1安全現(xiàn)狀

中國移動業(yè)務(wù)支撐系統(tǒng)數(shù)據(jù)庫積累和掌握了大量的客戶信息、生產(chǎn)數(shù)據(jù)和運營信息，目前業(yè)務(wù)支撐數(shù)據(jù)庫中的敏感數(shù)據(jù)主要包括客戶、服務(wù)、資源、服務(wù)使用、帳務(wù)、客服等。針對敏感數(shù)據(jù)的使用，常見的安全隱患主要有：

數(shù)據(jù)集中、共享與多樣化加大了泄漏風(fēng)險;

數(shù)據(jù)采集源和采集方式呈現(xiàn)碎片化、多樣化、分布化的特點，安全分析受限于采集分析系統(tǒng)的條塊化，并且內(nèi)部分析難以有效關(guān)聯(lián)，嚴(yán)重降低系統(tǒng)審計分析的效能;

無法了解用戶IT系統(tǒng)中各客戶端的合理使用狀況，無法及時對非法訪問和越權(quán)訪問進行告警與預(yù)防。

1.2安全目標(biāo)

本次研究對敏感數(shù)據(jù)的業(yè)務(wù)特征進行綜合分析與總結(jié)，建立和完善安全數(shù)據(jù)平臺的智能分析的各類分析場景、模型和配套的智能分析方法，逐步實現(xiàn)安全大數(shù)據(jù)的智能數(shù)據(jù)深度挖掘分析。更加嚴(yán)謹?shù)貙崿F(xiàn)敏感數(shù)據(jù)的精確審計，從而提高敏感數(shù)據(jù)安全審計的準(zhǔn)確性，降低敏感數(shù)據(jù)泄露的風(fēng)險。

二、數(shù)據(jù)安全智能化建設(shè)

2.1建設(shè)思路

本次研究通過與支撐系統(tǒng)業(yè)務(wù)特征的結(jié)合，對業(yè)務(wù)支撐系統(tǒng)的敏感數(shù)據(jù)訪問進行實時智能化安全審計，使敏感數(shù)據(jù)的使用更加嚴(yán)謹，降低了敏感數(shù)據(jù)泄露的風(fēng)險。通過規(guī)則引擎、聚類分析、正態(tài)分布等學(xué)習(xí)模型，提煉風(fēng)險行為，并在平臺固化場景，完成不同維度的行為分析和展現(xiàn)，再輔以人工驗證的方式，及時發(fā)現(xiàn)問題并加以控制。

2.2建設(shè)過程

2.2.1數(shù)據(jù)采集

基于現(xiàn)網(wǎng)可用數(shù)據(jù)包括登錄、訪問、訂購等信息進行采集、清洗和標(biāo)準(zhǔn)化;并進行數(shù)據(jù)的基本信息統(tǒng)計如：訪問頻次、時長等;針對平臺中敏感信息的原始操作日志以及金庫操作日志，幫助管理員了解企業(yè)內(nèi)敏感數(shù)據(jù)的使用情況，通過對重要數(shù)據(jù)、惡意訪問行為數(shù)據(jù)的采集分析，發(fā)現(xiàn)潛在的泄露風(fēng)險，判定危險源行為特征類型，實現(xiàn)日志的自動化審計。

2.2.2用戶行為畫像

基于采集的標(biāo)簽化、標(biāo)準(zhǔn)化、預(yù)統(tǒng)計的數(shù)據(jù)進行業(yè)務(wù)畫像，如用戶畫像、渠道畫像、營業(yè)員畫像等。用戶工作情況特征抽取用戶的行為自動建模而成，在用戶工作熱度、用戶工作效率、用戶工作類型等方面對用戶進行標(biāo)簽化。用戶工作熱度主要反映用戶在單位時間內(nèi)產(chǎn)生的工單數(shù)目及進行的操作數(shù)量;用戶工作效率主要反映用戶在接受工單后，多久時間能夠完成工單;用戶工作類型主要通過分析用戶接受工單的類型，提取用戶主要擅長哪個領(lǐng)域的工單。系統(tǒng)支持關(guān)鍵詞，布爾邏輯表達式以及精確搜索的輕量級搜索功能，對于不符合用戶畫像模型的操作行為，觸發(fā)相應(yīng)的告警和審計流程。

1.前臺人員

通過將4A系統(tǒng)和BOSS/CRM操作日志數(shù)據(jù)采集到大數(shù)據(jù)平臺中，通過數(shù)據(jù)同步、數(shù)據(jù)解析和標(biāo)準(zhǔn)化，按照如下步驟進行前臺人員客戶畫像，分析異常行為。

1）分析全省各類前臺人員業(yè)務(wù)操作情況，刻畫出人員操作行為畫像;

2）根據(jù)生產(chǎn)實際情況，建立分析模型，通過一段時間的數(shù)據(jù)學(xué)習(xí)，形成操作基線數(shù)據(jù);

3）根據(jù)各類型人員操作行為畫像與單個人員的操作日志進行自動分析，發(fā)現(xiàn)前臺人員業(yè)務(wù)操作的異常情況。

2.后臺人員

4A審計系統(tǒng)采集的后臺人員操作日志，包括數(shù)據(jù)庫和主機操作日志，按照如下步驟進行前臺人員客戶畫像，分析異常行為。

1）按人員基本信息，人員操作類型，操作地址（網(wǎng)段），資源 類型，操作對象等屬性對人員進行標(biāo)簽化處理;

2）對標(biāo)簽化后的人員信息進行聚類分析，得出人員實際的歸屬類別和群體特征;

3）對聚類后群體的操作特征進行分析，觀察群體內(nèi)的人員是否有偏離本群體的異常操作行為。

2.2.3異常樣本獲取

通過復(fù)合多種機器學(xué)習(xí)算法（如聚類算法、局部異常因子算法等）組合建模，將每個行為具象為一個點p，通過比較每個點p和其鄰域點的密度來判斷該點是否為異常點。

2.2.4分類算法校驗

通過正態(tài)分布算法進行建模，識別每個用戶的常用IP、工作時間、操作習(xí)慣，形成安全行為基線，并基于行為基線模型，篩選訪問記錄不是常用IP、非工作時間、不符合操作習(xí)慣的異常操作行為。

1.識別要素。包括常用來源IP、常用工作時間以及常用操作類型。

2.識別過程。抽取近3個月crm日志，按照操作人員分組，每個操作人員的來源IP情況進行統(tǒng)計，求得樣本的均數(shù)μ和方差σ，由樣本均數(shù)μ與方差σ決定正態(tài)分布的坡度，從而確定正常與異常的邊界。

3.實現(xiàn)效果。發(fā)現(xiàn)用戶的異常操作行為：如發(fā)現(xiàn)某用戶出現(xiàn)不符合常用地點、常用操作內(nèi)容等操作習(xí)慣的操作行為。

對于偏離個人行為基線的人員，重點進行審計。

2.2.5預(yù)測與告警

通過多算法預(yù)測技術(shù)。得到最優(yōu)的預(yù)測結(jié)果。管理員可以在管理敏感訪問控制策略中配置敏感數(shù)據(jù)處理響應(yīng)模版，包括策略的生效時間、告警對象、告警方式以及脫敏方式，當(dāng)用戶訪問敏感數(shù)據(jù)時，根據(jù)規(guī)則的配置進行告警或不告警的處理。

2.3數(shù)據(jù)智能分析步驟

敏感數(shù)據(jù)安全智能化分析主要對業(yè)務(wù)場景中的各元素進行配置，除了需要包含場景名稱、場景應(yīng)用、系統(tǒng)唯一編碼外，還需要包括業(yè)務(wù)特征，例如：操作人員角色、操作時間、操作IP等。敏感數(shù)據(jù)智能分析主要實施步驟如下：

第一步，樣本準(zhǔn)備：通過既有業(yè)務(wù)數(shù)據(jù)，通過業(yè)務(wù)人員人工標(biāo)注，作為基礎(chǔ)樣本數(shù)據(jù)來源。

第二步，樣本訓(xùn)練：安全管理員對敏感數(shù)據(jù)的發(fā)生的場景、規(guī)則進行配置;運用機器學(xué)習(xí)算法，對樣本數(shù)據(jù)進行訓(xùn)練，得到準(zhǔn)確度較高的模型，應(yīng)用于審計場景中。

第三步，模型預(yù)測：運用機器學(xué)習(xí)模型，識別每個用戶的常用IP、工作時間、操作習(xí)慣，形成安全行為基線，并基于行為基線模型，篩選訪問記錄不是常用IP、非工作時間、不符合操作習(xí)慣的異常操作行為，對業(yè)務(wù)日志數(shù)據(jù)進行預(yù)測。

第四步，結(jié)果輸出：結(jié)合圖形化、多元化以及列表展現(xiàn)形式對結(jié)果進行展現(xiàn)。

第五步，業(yè)務(wù)價值提升：在預(yù)測結(jié)果上進行深度分析，并產(chǎn)生日志審計報告，對于超過正常訪問特征權(quán)值的操作進行報警。

三、結(jié)束語

本文提出了一種基于數(shù)據(jù)安全智能化分析方法。該方法結(jié)合了敏感數(shù)據(jù)操作場景、用戶畫像、異常樣本獲取、分類算法校驗、預(yù)測與告警等元素，對敏感數(shù)據(jù)的訪問進行智能分析與安全審計。有效的控制了人員的違規(guī)訪問操作，使敏感數(shù)據(jù)的監(jiān)控更加嚴(yán)謹、準(zhǔn)確，減少了用戶的問題投訴，滿足中國移動在數(shù)據(jù)安全管理方面的需求，提升數(shù)據(jù)安全的抗風(fēng)險能力，并進一步推動業(yè)務(wù)支撐系統(tǒng)的持續(xù)、健康發(fā)展。

參? 考? 文? 獻

[1]杜璽倫.大數(shù)據(jù)時代下計算機信息處理技術(shù)研究[J].計算機產(chǎn)品與流通，2019（07）：142.

[2]陳張榮.“大數(shù)據(jù)”時代的計算機信息處理技術(shù)研究[J].黑龍江生態(tài)工程職業(yè)學(xué)院學(xué)報，2016，29（03）：23-25.

[3]王雅珉.“大數(shù)據(jù)”時代的計算機信息處理技術(shù)[J].電子技術(shù)與軟件工程，2017（10）：156.