本發(fā)明涉及計(jì)算機(jī)數(shù)據(jù)安全技術(shù)領(lǐng)域，具體涉及一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)方法及系統(tǒng)。

背景技術(shù)：

隨著電網(wǎng)企業(yè)信息化建設(shè)的快速發(fā)展，電網(wǎng)根據(jù)業(yè)務(wù)要求，部署和實(shí)施了多套應(yīng)用系統(tǒng)，同時(shí)也需要大量的運(yùn)維人員來(lái)保障數(shù)據(jù)的準(zhǔn)確性。應(yīng)用系統(tǒng)已經(jīng)為每個(gè)用戶的角色進(jìn)行了設(shè)定，限制其使用的范圍和接觸的數(shù)據(jù)，但是，在后臺(tái)數(shù)據(jù)庫(kù)的維護(hù)過程中，由于存在交叉訪問各個(gè)數(shù)據(jù)表的業(yè)務(wù)需求，對(duì)于后臺(tái)數(shù)據(jù)庫(kù)用戶的角色不能細(xì)分，這就造無(wú)法預(yù)防用戶利用職務(wù)之便、處于私利而訪問敏感數(shù)據(jù)的行為。因此需要通過對(duì)用戶行為歷史數(shù)據(jù)的學(xué)習(xí)，來(lái)分析每個(gè)用戶所屬的角色，避免越權(quán)訪問敏感數(shù)據(jù)的行為。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于針對(duì)上述現(xiàn)有技術(shù)中存在的問題，提出一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)方法及系統(tǒng)，將一段時(shí)間積累的操作內(nèi)容作為訓(xùn)練數(shù)據(jù)。在訓(xùn)練數(shù)據(jù)中定義每個(gè)用戶的角色，建立每個(gè)角色的行為習(xí)慣。當(dāng)用戶訪問的行為與該用戶的角色不匹配時(shí)，說明該用戶在越權(quán)訪問敏感數(shù)據(jù)。

為達(dá)到上述發(fā)明的目的，本發(fā)明通過以下技術(shù)方案實(shí)現(xiàn)：

一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)方法，包括如下步驟：

步驟1，從交換機(jī)實(shí)時(shí)采集流量數(shù)據(jù)；

步驟2，將流量數(shù)據(jù)還原為sql數(shù)據(jù)，其包括有用戶名、角色類型和用戶行為，將用戶行為作為訓(xùn)練的信息指標(biāo)；

步驟3，將一段時(shí)間積累的各用戶的用戶行為作為樸素貝葉斯算法的訓(xùn)練數(shù)據(jù)集，計(jì)算各用戶名及用戶行為符合對(duì)應(yīng)角色類型的基準(zhǔn)概率；

步驟4，采用樸素貝葉斯算法計(jì)算新增用戶名及用戶行為符合對(duì)應(yīng)角色類型的行為概率；

步驟5，判斷當(dāng)前角色類型的用戶行為的行為概率與基準(zhǔn)概率的偏離是否較大，是則說明該用戶在越權(quán)訪問數(shù)據(jù)。

進(jìn)一步，所述步驟2還包括步驟21，對(duì)還原后的sql數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化。

進(jìn)一步，本發(fā)明方法還包括步驟22，對(duì)標(biāo)準(zhǔn)化的sql數(shù)據(jù)進(jìn)行補(bǔ)充，對(duì)每個(gè)用戶名進(jìn)行角色標(biāo)記，形成完整訓(xùn)練數(shù)據(jù)。

進(jìn)一步，所述用戶行為是用戶訪問某數(shù)據(jù)表名的行為，所述數(shù)據(jù)表名為按數(shù)據(jù)類型分類的數(shù)據(jù)表。

進(jìn)一步，所述訓(xùn)練數(shù)據(jù)集為對(duì)每個(gè)用戶的用戶行為進(jìn)行角色劃分，并關(guān)于數(shù)據(jù)表名的表向量。

進(jìn)一步，所述當(dāng)用戶訪問了某數(shù)據(jù)表，則該表向量為1，其他未訪問的表向量為0。

進(jìn)一步，步驟4所述的行為概率具體為每類角色訪問某數(shù)據(jù)表名的概率。

進(jìn)一步，本發(fā)明還包括步驟6，判斷用戶是否訪問敏感數(shù)據(jù)表，是則判定用戶越權(quán)訪問了敏感數(shù)據(jù)表，并發(fā)出告警。

本發(fā)明還公開一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)系統(tǒng)，包括：

數(shù)據(jù)采集模塊，用于從交換機(jī)實(shí)時(shí)采集流量數(shù)據(jù)；

數(shù)據(jù)轉(zhuǎn)換模塊，用以將流量數(shù)據(jù)還原為sql數(shù)據(jù)，其包括有用戶名、角色類型和用戶行為，將用戶行為作為訓(xùn)練的信息指標(biāo)；

分類器構(gòu)建模塊，將一段時(shí)間積累的各用戶的用戶行為作為樸素貝葉斯算法的訓(xùn)練數(shù)據(jù)集，通過貝葉斯工具包構(gòu)建樸素貝葉斯分類器，計(jì)算各用戶的用戶行為對(duì)應(yīng)角色類型的基準(zhǔn)概率；

角色類別識(shí)別模塊，樸素貝葉斯分類器判斷新增用戶的用戶行為是對(duì)應(yīng)角色的行為概率，對(duì)行為概率與該用戶的基準(zhǔn)概率進(jìn)行比較，發(fā)生較大偏離時(shí)，判斷該用戶越權(quán)使用了其他角色進(jìn)行了對(duì)敏感數(shù)據(jù)的操作。

進(jìn)一步，本發(fā)明的系統(tǒng)還包括構(gòu)建特征指標(biāo)模塊，用以完善訓(xùn)練數(shù)據(jù)，選取用戶的特征指標(biāo)；所述貝葉斯工具包為sparkmllib。

采用本發(fā)明的用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)方法及系統(tǒng)，將一段時(shí)間積累的操作內(nèi)容作為訓(xùn)練數(shù)據(jù)，在訓(xùn)練數(shù)據(jù)中定義每個(gè)用戶的角色，建立每個(gè)角色的行為習(xí)慣。當(dāng)用戶訪問的行為與該用戶的角色不匹配時(shí)，說明該用戶在越權(quán)訪問敏感數(shù)據(jù)，從而實(shí)現(xiàn)避免用戶越權(quán)訪問敏感數(shù)據(jù)的行為。

附圖說明

圖1為本發(fā)明的一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)方法的步驟圖。

圖2為本發(fā)明實(shí)施例的用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)流程圖。

圖3為提取特征指標(biāo)，完善后的訓(xùn)練數(shù)據(jù)。

圖4為特征數(shù)據(jù)進(jìn)行向量化的結(jié)果。

圖5為需要檢測(cè)的一條新用戶向量化后的數(shù)據(jù)。

圖6為本發(fā)明的一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)系統(tǒng)的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部實(shí)施例。

樸素貝葉斯分類是一種十分簡(jiǎn)單的分類算法，其思想基礎(chǔ)是：對(duì)于給出的待分類項(xiàng)，求解在此項(xiàng)出現(xiàn)的條件下各個(gè)類別出現(xiàn)的概率，哪個(gè)最大，就認(rèn)為此待分類項(xiàng)屬于哪個(gè)類別；可以采用該方法判斷用戶的操作行為是否符合規(guī)定。

參看圖1本發(fā)明方法的步驟圖和圖2的檢測(cè)流程圖，本發(fā)明實(shí)施例的一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)方法，包括如下步驟：

步驟1，從交換機(jī)實(shí)時(shí)采集流量數(shù)據(jù)；

步驟2，將流量數(shù)據(jù)還原為sql數(shù)據(jù)，其包括有用戶名、角色類型和用戶行為，將用戶行為作為訓(xùn)練的信息指標(biāo)；

步驟3，將一段時(shí)間積累的各用戶的用戶行為作為樸素貝葉斯算法的訓(xùn)練數(shù)據(jù)集，計(jì)算各用戶名及用戶行為符合對(duì)應(yīng)角色類型的基準(zhǔn)概率；

步驟4，采用樸素貝葉斯算法計(jì)算新增用戶名及用戶行為符合對(duì)應(yīng)角色類型的行為概率；

步驟5，判斷當(dāng)前角色類型的用戶行為的行為概率與基準(zhǔn)概率的偏離是否較大，是則說明該用戶在越權(quán)訪問數(shù)據(jù)。

作為一個(gè)實(shí)施例，所述步驟2還包括步驟21，對(duì)還原后的sql數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，在數(shù)據(jù)分析之前，通常需要先將數(shù)據(jù)標(biāo)準(zhǔn)化，利用標(biāo)準(zhǔn)化后的數(shù)據(jù)進(jìn)行數(shù)據(jù)分析，在本發(fā)明實(shí)施例中，是將流量數(shù)據(jù)轉(zhuǎn)換為標(biāo)準(zhǔn)sql語(yǔ)句的數(shù)據(jù)格式。

參看圖3，本發(fā)明方法還包括步驟22，對(duì)標(biāo)準(zhǔn)化的sql數(shù)據(jù)進(jìn)行補(bǔ)充，對(duì)每個(gè)用戶名進(jìn)行角色標(biāo)記，形成完整訓(xùn)練數(shù)據(jù)。將完善后的訓(xùn)練數(shù)據(jù)用于樸素貝葉斯的歷史數(shù)據(jù)學(xué)習(xí)。

進(jìn)一步，所述用戶行為是用戶訪問某數(shù)據(jù)表名的行為，所述數(shù)據(jù)表名為按數(shù)據(jù)類型分類的數(shù)據(jù)表。

參看圖3至圖4，角色類型包括有數(shù)據(jù)庫(kù)維護(hù)、客戶信息維護(hù)等，數(shù)據(jù)表名包括有dba系統(tǒng)表、user系統(tǒng)表、all系統(tǒng)表、合同信息表、客戶信息表、結(jié)算戶信息表、客戶證件信息表、用電戶信息表、客戶證件關(guān)聯(lián)信息表和用電設(shè)備信息表等。進(jìn)一步，所述當(dāng)用戶訪問了某數(shù)據(jù)表，則該表向量為1，其他未訪問的表向量為0。

進(jìn)一步，參看圖5的向量化數(shù)據(jù)，所述訓(xùn)練數(shù)據(jù)集為對(duì)每個(gè)用戶的用戶行為進(jìn)行角色劃分，并關(guān)于數(shù)據(jù)表名的表向量。

在上述基礎(chǔ)上，步驟3所述的基準(zhǔn)概率可列舉如下：p(user系統(tǒng)表|數(shù)據(jù)庫(kù)維護(hù))＝5/10，p(all系統(tǒng)表|數(shù)據(jù)庫(kù)維護(hù))＝6/10，p(客戶信息表|數(shù)據(jù)庫(kù)維護(hù))＝1/10，p(數(shù)據(jù)庫(kù)維護(hù))＝10/20等。

作為具體實(shí)施例，步驟4所述的行為概率具體為每類角色訪問某數(shù)據(jù)表名的概率。參看圖4和圖5，用戶角色的行為概率如下：

p數(shù)據(jù)庫(kù)維護(hù)＝p(user系統(tǒng)表|數(shù)據(jù)庫(kù)維護(hù))*p(all系統(tǒng)表|數(shù)據(jù)庫(kù)維護(hù))*p(客戶信息表|數(shù)據(jù)庫(kù)維護(hù))*p(數(shù)據(jù)庫(kù)維護(hù))＝5/10*6/10*1/10*10/20＝0.01500；

p客戶信息維護(hù)＝p(user系統(tǒng)表|客戶信息維護(hù))*p(all系統(tǒng)表|客戶信息維護(hù))*p(客戶|客戶信息維護(hù))*p(客戶信息維護(hù))＝1/10*1/10*3/10*10/20＝0.0015。

由此判斷新增用戶dba_user3是數(shù)據(jù)庫(kù)維護(hù)角色。根據(jù)數(shù)據(jù)庫(kù)維護(hù)人員訪問客戶信息建立的基準(zhǔn)概率值，當(dāng)dba_user3的客戶信息維護(hù)角色概率0.0015達(dá)到基準(zhǔn)值的區(qū)間范圍內(nèi)，則判斷用戶越權(quán)訪問；再將表名跟敏感表名的字典進(jìn)行比較，如果是敏感表則產(chǎn)生告警。

進(jìn)一步，本發(fā)明還包括步驟6，判斷用戶是否訪問敏感數(shù)據(jù)表，是則判定用戶越權(quán)訪問了敏感數(shù)據(jù)表，并發(fā)出告警。

參看圖6，本發(fā)明還公開一種用戶越權(quán)訪問敏感數(shù)據(jù)行為的檢測(cè)系統(tǒng)，包括：

數(shù)據(jù)采集模塊，用于從交換機(jī)實(shí)時(shí)采集流量數(shù)據(jù)；

數(shù)據(jù)轉(zhuǎn)換模塊，用以將流量數(shù)據(jù)還原為sql數(shù)據(jù)，其包括有用戶名、角色類型和用戶行為，將用戶行為作為訓(xùn)練的信息指標(biāo)；

分類器構(gòu)建模塊，將一段時(shí)間積累的各用戶的用戶行為作為樸素貝葉斯算法的訓(xùn)練數(shù)據(jù)集，通過貝葉斯工具包構(gòu)建樸素貝葉斯分類器，計(jì)算各用戶的用戶行為對(duì)應(yīng)角色類型的基準(zhǔn)概率；

角色類別識(shí)別模塊，樸素貝葉斯分類器判斷新增用戶的用戶行為是對(duì)應(yīng)角色的行為概率，對(duì)行為概率與該用戶的基準(zhǔn)概率進(jìn)行比較，發(fā)生較大偏離時(shí)，判斷該用戶越權(quán)使用了其他角色進(jìn)行了對(duì)敏感數(shù)據(jù)的操作。

進(jìn)一步，本發(fā)明的系統(tǒng)還包括構(gòu)建特征指標(biāo)模塊，用以完善訓(xùn)練數(shù)據(jù)，選取用戶的特征指標(biāo)；所述貝葉斯工具包為sparkmllib。

上述實(shí)施例僅用以說明本發(fā)明而并非限制本發(fā)明所描述的技術(shù)方案；因此，盡管本說明書參照上述的各個(gè)實(shí)施例對(duì)本發(fā)明已進(jìn)行了詳細(xì)的說明，但是，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，仍然可以對(duì)本發(fā)明進(jìn)行修改或者等同替換；而一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其改進(jìn)，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。