本發(fā)明屬于網(wǎng)絡通信����,尤其涉及一種基于知識圖譜的數(shù)據(jù)跨境異常行為檢測方法及系統(tǒng)����。
背景技術(shù):
1、當前����,云計算、大數(shù)據(jù)����、人工智能等新一代信息技術(shù)高速發(fā)展,企事業(yè)單位的信息化����、數(shù)字化水平飛速提升。在全球化過程中����,伴隨著生產(chǎn)經(jīng)營�����、產(chǎn)業(yè)鏈協(xié)同�����、科研合作等業(yè)務需要�����,大量數(shù)據(jù)通過互聯(lián)網(wǎng)跨境流動����。由于各個國家地區(qū)對于數(shù)據(jù)安全保護的政策法規(guī)����、技術(shù)能力的差異,產(chǎn)生了對于數(shù)據(jù)跨境流動導致的個人隱私泄露����、國家安全風險的擔憂。為此����,美國����、歐美����、日本����、新加坡等國家相繼出臺關(guān)于數(shù)據(jù)保護、個人信息保護等方面的法律法規(guī)�����,對數(shù)據(jù)跨境行為進行約束����。近年來,我國相繼出臺《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》等一系列政策法規(guī)����,制定了明確的數(shù)據(jù)出境活動管理路徑,有效管控涉及個人信息�����、重要數(shù)據(jù)等類型數(shù)據(jù)的出境活動。同時����,圍繞自由貿(mào)易試驗區(qū)出臺了更為靈活的數(shù)據(jù)出境負面清單制度。在人類遺傳資源�����、生物醫(yī)藥�����、汽車�����、金融等領(lǐng)域制定了更為細化的數(shù)據(jù)出境政策法規(guī)�����,便利數(shù)據(jù)安全合規(guī)地跨境流通�����。
2、在便利數(shù)據(jù)跨境流動過程中�����,安全風險的識別管控是占據(jù)重要位置的一項工作����。基于現(xiàn)有政策法規(guī)�����,數(shù)據(jù)出境活動的管控重點主要從數(shù)據(jù)出境活動的主體�����、場景����、出境數(shù)據(jù)類型����、出境數(shù)據(jù)量等維度進行評估和審核。單個境內(nèi)數(shù)據(jù)處理者主體出境個人信息或重要數(shù)據(jù)滿足一定條件需要進行審批或備案方可出境�����。由此可能帶來部分境內(nèi)的數(shù)據(jù)處理者在一個數(shù)據(jù)出境場景中通過拆分數(shù)據(jù)出境主體、出境通信鏈路或出境數(shù)據(jù)規(guī)模等方式�����,規(guī)避必要的申報動作�����,違規(guī)開展數(shù)據(jù)出境活動����。這種做法顯著加劇了區(qū)域數(shù)據(jù)出境活動的安全風險,急需相關(guān)的技術(shù)手段能夠發(fā)現(xiàn)多主體數(shù)據(jù)跨境活動之間的關(guān)聯(lián)性�����,通過關(guān)聯(lián)關(guān)系的構(gòu)建和度量針對該行為進行識別和處置����。
3、現(xiàn)有針對數(shù)據(jù)跨境活動的異常行為檢測技術(shù)方案主要集中在對單個主體的數(shù)據(jù)跨境行為的檢測分析上�����。通過對單個主體的網(wǎng)絡通信流量的監(jiān)測,從內(nèi)容����、行為等層面識別數(shù)據(jù)出境活動,研判是否存在不滿足數(shù)據(jù)出境相關(guān)政策法規(guī)要求的數(shù)據(jù)出境行為并產(chǎn)生告警����;或采用網(wǎng)關(guān)等技術(shù)手段,對單個主體的出境流量進行檢測識別�����,阻斷異常出境行為�����,但對于多主體關(guān)聯(lián)開展數(shù)據(jù)跨境活動的研究方案較為缺乏�����。由于通過拆分數(shù)據(jù)出境主體�����、出境通信鏈路或出境數(shù)據(jù)規(guī)模等方式進行數(shù)據(jù)跨境的行為具有隱蔽性�����、復雜性�����,在多主體的關(guān)聯(lián)研判�����、綜合分析上缺少有效的技術(shù)手段�����。
技術(shù)實現(xiàn)思路
1�����、針對上述問題����,本發(fā)明提供了一種基于知識圖譜的數(shù)據(jù)跨境異常行為檢測方法及系統(tǒng),面向區(qū)域內(nèi)的數(shù)據(jù)跨境活動�����,采集相關(guān)通信行為數(shù)據(jù),建立知識圖譜����。進而利用知識圖譜所展現(xiàn)的關(guān)聯(lián)關(guān)系,建立檢測模式�����,識別多主體關(guān)聯(lián)開展數(shù)據(jù)跨境活動并產(chǎn)生安全風險的行為事件����,輔助相關(guān)管理單位開展有效管控。
2����、一種基于知識圖譜的數(shù)據(jù)跨境異常行為檢測方法,包括以下步驟:
3�����、步驟1�����,采集數(shù)據(jù)跨境通信流量數(shù)據(jù)����,通過解析通信流量數(shù)據(jù)構(gòu)建包含境內(nèi)外ip地址實體、境內(nèi)外單位實體及其關(guān)聯(lián)關(guān)系的知識圖譜����,其中,每個ip地址實體均具有地域和跨境流量統(tǒng)計的屬性����;
4、步驟2����,構(gòu)建境內(nèi)外ip地址關(guān)聯(lián)分析模型和境內(nèi)外單位關(guān)聯(lián)分析模型,分別計算實體間的綜合關(guān)聯(lián)度����,聚合滿足閾值條件的ip地址形成多主體ip地址集;
5����、步驟3,對每一組境內(nèi)多主體ip地址集與境外多主體ip地址集進行交叉計算����,匯總其間的數(shù)據(jù)跨境通聯(lián)關(guān)系屬性�����,得到跨境數(shù)據(jù)總量����、個人信息傳輸總量�����、敏感個人信息傳輸總量和重要數(shù)據(jù)傳輸總量����;
6、步驟4�����,基于動態(tài)閾值進行風險研判����,所述動態(tài)閾值由政策法規(guī)規(guī)定的閾值除以境內(nèi)多主體ip地址集的最大相關(guān)性值與境外多主體ip地址集的最大相關(guān)性值的乘積得到,即����,若計算結(jié)果超過動態(tài)閾值,則生成異常行為告警事件����。
7、作為優(yōu)選�����,步驟1中�����,知識圖譜構(gòu)建包括:
8�����、(1)分別以境內(nèi)外ip地址為實體����,以該ip地址的地域、跨境流量統(tǒng)計為屬性�����、以境內(nèi)外ip地址之間的數(shù)據(jù)跨境通聯(lián)行為為關(guān)系�����,并對該關(guān)系建立包括跨境數(shù)據(jù)總量、加密證書信息�����、數(shù)據(jù)結(jié)構(gòu)特征�����、個人信息傳輸量的屬性�����,構(gòu)建知識圖譜�����;
9�����、(2)分別以境內(nèi)外單位為實體����,以單位的注冊地�����、股東方、戰(zhàn)略伙伴為屬性����,以單位與ip地址之間的擁有性質(zhì)為關(guān)系,補充知識圖譜�����。
10����、作為優(yōu)選,步驟2中�����,建立境內(nèi)外ip地址關(guān)聯(lián)分析模型包括建立境內(nèi)ip地址實體之間的關(guān)聯(lián)關(guān)系����,該關(guān)系具有數(shù)據(jù)境內(nèi)通聯(lián)屬性、數(shù)據(jù)中轉(zhuǎn)跨境屬性和數(shù)據(jù)拆分跨境屬性;建立境外ip地址關(guān)聯(lián)分析模型�����,包括建立境外ip地址實體之間的關(guān)聯(lián)關(guān)系����,該關(guān)系具有數(shù)據(jù)拆分跨境屬性。其中����,數(shù)據(jù)中轉(zhuǎn)跨境屬性通過判斷境內(nèi)通聯(lián)關(guān)系的加密傳輸證書或數(shù)據(jù)結(jié)構(gòu)是否與后續(xù)跨境通聯(lián)關(guān)系相似來確定。數(shù)據(jù)拆分跨境屬性通過計算加密傳輸證書相似性����、數(shù)據(jù)結(jié)構(gòu)相似性、跨境通聯(lián)主體相似性和跨境通聯(lián)行為相似性����,并加權(quán)計算得出。
11�����、作為優(yōu)選�����,數(shù)據(jù)中轉(zhuǎn)跨境屬性的建立邏輯為:若境內(nèi)ip地址之間存在數(shù)據(jù)境內(nèi)通聯(lián)關(guān)系,且該通聯(lián)關(guān)系中的加密傳輸證書信息或數(shù)據(jù)結(jié)構(gòu)信息與后續(xù)任意一個數(shù)據(jù)跨境通聯(lián)關(guān)系中的對應信息相似����,則設(shè)置數(shù)據(jù)中轉(zhuǎn)跨境屬性值為1,否則為0����。
12����、作為優(yōu)選,數(shù)據(jù)拆分跨境屬性的計算包括:加密證書相似性:取交叉證書對的最高語義相似值和屬性值完全相等中的最高值為相似性最終值����,即加密證書相似性?=?max(cn完全匹配率,?組織信息語義相似度);數(shù)據(jù)結(jié)構(gòu)相似性:取兩個境內(nèi)ip地址實體的所有數(shù)據(jù)跨境通聯(lián)關(guān)系中的數(shù)據(jù)結(jié)構(gòu)信息�����,交叉計算相似性值�����,取最高值作為該屬性值;跨境通聯(lián)主體相似性:跨境通聯(lián)主體相似性=?共有對端ip數(shù)量?/?總對端ip數(shù)量����;跨境通聯(lián)行為相似性:計算兩個ip地址的24小時跨境通信數(shù)據(jù)量序列的歐幾里得距離,并轉(zhuǎn)換為相似度值����;為每個數(shù)據(jù)拆分跨境屬性的子屬性設(shè)置加權(quán)比例,加權(quán)求和得到數(shù)據(jù)拆分跨境屬性值����。
13、作為優(yōu)選����,步驟2中,建立境內(nèi)外單位關(guān)聯(lián)分析模型為:分別計算境內(nèi)單位間和境外單位間的綜合關(guān)聯(lián)度�����,分析單位間注冊地關(guān)聯(lián)性����、股東方重疊度和戰(zhàn)略伙伴關(guān)系;關(guān)聯(lián)屬性建立的邏輯為:當注冊地存在關(guān)聯(lián)時設(shè)置注冊地關(guān)聯(lián)性屬性值為1����;當股東方重疊度超過預設(shè)比例時設(shè)置股東關(guān)聯(lián)性屬性值為1����;當存在戰(zhàn)略伙伴關(guān)系時設(shè)置戰(zhàn)略伙伴關(guān)聯(lián)性屬性值為1�����。
14�����、作為優(yōu)選����,步驟3具體包括:對每組境內(nèi)ip地址集與境外ip地址集之間的通信鏈路進行遍歷�����,累加跨境數(shù)據(jù)總量�����;對個人信息主體標識去重計數(shù)����;對敏感個人信息主體標識去重計數(shù)�����;累加重要數(shù)據(jù)總量����。具體包括:(1)對每組境內(nèi)ip地址集與境外ip地址集之間的通信鏈路進行遍歷����;(2)按時間窗口維度聚合跨境數(shù)據(jù)總量,統(tǒng)計一定時間段內(nèi)傳輸數(shù)據(jù)總量����;(3)識別傳輸數(shù)據(jù)中的個人身份信息字段,統(tǒng)計去重后的個人信息主體數(shù)����;(4)?識別傳輸數(shù)據(jù)中的敏感個人身份信息字段,統(tǒng)計去重后的敏感個人信息主體數(shù)�����;(5)驗證是否存在政策法規(guī)或標準規(guī)范規(guī)定的重要數(shù)據(jù)����,統(tǒng)計其跨境傳輸總量����。
15����、本發(fā)明還公開了一種基于知識圖譜的數(shù)據(jù)跨境異常行為檢測系統(tǒng),包括:
16�����、實體構(gòu)建模塊:解析通信流量并生成包含境內(nèi)外ip地址實體�����、單位實體及其關(guān)聯(lián)關(guān)系的知識圖譜�����;
17����、關(guān)聯(lián)分析和多主體聚合模塊:計算境內(nèi)外ip地址關(guān)聯(lián)度和單位實體關(guān)聯(lián)度�����,基于關(guān)聯(lián)度閾值聚合生成多主體ip地址集;
18�����、風險計算模塊:匯總計算多主體集合間的跨境數(shù)據(jù)特征值����;
19、異常研判模塊:比對預設(shè)閾值生成告警輸出�����。
20�����、作為優(yōu)選�����,建立境內(nèi)ip地址實體之間的關(guān)聯(lián)關(guān)系時����,計算數(shù)據(jù)境內(nèi)通聯(lián)屬性����、數(shù)據(jù)中轉(zhuǎn)跨境屬性和數(shù)據(jù)拆分跨境屬性�����;數(shù)據(jù)中轉(zhuǎn)跨境屬性的計算依賴于時序相似性判斷����,即數(shù)據(jù)境內(nèi)通聯(lián)關(guān)系的傳輸時間早于后續(xù)數(shù)據(jù)跨境通聯(lián)關(guān)系,且加密傳輸證書或數(shù)據(jù)結(jié)構(gòu)相似����;數(shù)據(jù)拆分跨境屬性中的跨境通聯(lián)行為相似性的計算為:對每個ip地址的24小時跨境通信數(shù)據(jù)量序列進行向量化,計算兩個ip地址對應向量的歐幾里得距離�����,通過相似度規(guī)約轉(zhuǎn)換得到相似性值�����。
21����、作為優(yōu)選,多主體聚合模塊采用雙層聚合機制:對ip地址實體設(shè)置第一權(quán)重組計算關(guān)聯(lián)度�����,對單位實體設(shè)置第二權(quán)重組計算關(guān)聯(lián)度����,第一層基于ip地址實體的綜合關(guān)聯(lián)度聚合:當ip關(guān)聯(lián)度或單位關(guān)聯(lián)度任一超過閾值即觸發(fā)聚合;第二層基于單位實體的綜合關(guān)聯(lián)度聚合����,生成覆蓋關(guān)聯(lián)ip地址的聚合集合,將關(guān)聯(lián)單位的ip地址加入集合����。
22、本發(fā)明的有益效果是:
23�����、(1)本發(fā)明提出的基于知識圖譜的數(shù)據(jù)跨境異常行為檢測方法和系統(tǒng)����,對數(shù)據(jù)跨境通信流量進行分析,聚合具有強關(guān)聯(lián)特征的境內(nèi)數(shù)據(jù)處理者和境外數(shù)據(jù)接收方,計算聚合后的數(shù)據(jù)跨境通信行為并發(fā)現(xiàn)異常事件����,與現(xiàn)有方案相比,解決了僅針對單一主體進行數(shù)據(jù)跨境異常檢測方案的局限性�����,有效應對多主體關(guān)聯(lián)數(shù)據(jù)跨境行為的安全風險�����。
24�����、(2)本發(fā)明提出的基于知識圖譜的數(shù)據(jù)跨境異常行為檢測方法和系統(tǒng)����,適用于同一單位內(nèi)部多主體之間或區(qū)域范圍內(nèi)多主體之間的數(shù)據(jù)跨境行為關(guān)聯(lián)分析和異常檢測,可用于配合自由貿(mào)易試驗區(qū)數(shù)據(jù)出境負面清單政策的配套安全管理要求�����,具有實際應用價值����。