本發明屬于網絡通信,尤其涉及一種基于知識圖譜的數據跨境異常行為檢測方法及系統。
背景技術:
1、當前,云計算、大數據、人工智能等新一代信息技術高速發展,企事業單位的信息化、數字化水平飛速提升。在全球化過程中,伴隨著生產經營、產業鏈協同、科研合作等業務需要,大量數據通過互聯網跨境流動。由于各個國家地區對于數據安全保護的政策法規、技術能力的差異,產生了對于數據跨境流動導致的個人隱私泄露、國家安全風險的擔憂。為此,美國、歐美、日本、新加坡等國家相繼出臺關于數據保護、個人信息保護等方面的法律法規,對數據跨境行為進行約束。近年來,我國相繼出臺《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》等一系列政策法規,制定了明確的數據出境活動管理路徑,有效管控涉及個人信息、重要數據等類型數據的出境活動。同時,圍繞自由貿易試驗區出臺了更為靈活的數據出境負面清單制度。在人類遺傳資源、生物醫藥、汽車、金融等領域制定了更為細化的數據出境政策法規,便利數據安全合規地跨境流通。
2、在便利數據跨境流動過程中,安全風險的識別管控是占據重要位置的一項工作。基于現有政策法規,數據出境活動的管控重點主要從數據出境活動的主體、場景、出境數據類型、出境數據量等維度進行評估和審核。單個境內數據處理者主體出境個人信息或重要數據滿足一定條件需要進行審批或備案方可出境。由此可能帶來部分境內的數據處理者在一個數據出境場景中通過拆分數據出境主體、出境通信鏈路或出境數據規模等方式,規避必要的申報動作,違規開展數據出境活動。這種做法顯著加劇了區域數據出境活動的安全風險,急需相關的技術手段能夠發現多主體數據跨境活動之間的關聯性,通過關聯關系的構建和度量針對該行為進行識別和處置。
3、現有針對數據跨境活動的異常行為檢測技術方案主要集中在對單個主體的數據跨境行為的檢測分析上。通過對單個主體的網絡通信流量的監測,從內容、行為等層面識別數據出境活動,研判是否存在不滿足數據出境相關政策法規要求的數據出境行為并產生告警;或采用網關等技術手段,對單個主體的出境流量進行檢測識別,阻斷異常出境行為,但對于多主體關聯開展數據跨境活動的研究方案較為缺乏。由于通過拆分數據出境主體、出境通信鏈路或出境數據規模等方式進行數據跨境的行為具有隱蔽性、復雜性,在多主體的關聯研判、綜合分析上缺少有效的技術手段。
技術實現思路
1、針對上述問題,本發明提供了一種基于知識圖譜的數據跨境異常行為檢測方法及系統,面向區域內的數據跨境活動,采集相關通信行為數據,建立知識圖譜。進而利用知識圖譜所展現的關聯關系,建立檢測模式,識別多主體關聯開展數據跨境活動并產生安全風險的行為事件,輔助相關管理單位開展有效管控。
2、一種基于知識圖譜的數據跨境異常行為檢測方法,包括以下步驟:
3、步驟1,采集數據跨境通信流量數據,通過解析通信流量數據構建包含境內外ip地址實體、境內外單位實體及其關聯關系的知識圖譜,其中,每個ip地址實體均具有地域和跨境流量統計的屬性;
4、步驟2,構建境內外ip地址關聯分析模型和境內外單位關聯分析模型,分別計算實體間的綜合關聯度,聚合滿足閾值條件的ip地址形成多主體ip地址集;
5、步驟3,對每一組境內多主體ip地址集與境外多主體ip地址集進行交叉計算,匯總其間的數據跨境通聯關系屬性,得到跨境數據總量、個人信息傳輸總量、敏感個人信息傳輸總量和重要數據傳輸總量;
6、步驟4,基于動態閾值進行風險研判,所述動態閾值由政策法規規定的閾值除以境內多主體ip地址集的最大相關性值與境外多主體ip地址集的最大相關性值的乘積得到,即,若計算結果超過動態閾值,則生成異常行為告警事件。
7、作為優選,步驟1中,知識圖譜構建包括:
8、(1)分別以境內外ip地址為實體,以該ip地址的地域、跨境流量統計為屬性、以境內外ip地址之間的數據跨境通聯行為為關系,并對該關系建立包括跨境數據總量、加密證書信息、數據結構特征、個人信息傳輸量的屬性,構建知識圖譜;
9、(2)分別以境內外單位為實體,以單位的注冊地、股東方、戰略伙伴為屬性,以單位與ip地址之間的擁有性質為關系,補充知識圖譜。
10、作為優選,步驟2中,建立境內外ip地址關聯分析模型包括建立境內ip地址實體之間的關聯關系,該關系具有數據境內通聯屬性、數據中轉跨境屬性和數據拆分跨境屬性;建立境外ip地址關聯分析模型,包括建立境外ip地址實體之間的關聯關系,該關系具有數據拆分跨境屬性。其中,數據中轉跨境屬性通過判斷境內通聯關系的加密傳輸證書或數據結構是否與后續跨境通聯關系相似來確定。數據拆分跨境屬性通過計算加密傳輸證書相似性、數據結構相似性、跨境通聯主體相似性和跨境通聯行為相似性,并加權計算得出。
11、作為優選,數據中轉跨境屬性的建立邏輯為:若境內ip地址之間存在數據境內通聯關系,且該通聯關系中的加密傳輸證書信息或數據結構信息與后續任意一個數據跨境通聯關系中的對應信息相似,則設置數據中轉跨境屬性值為1,否則為0。
12、作為優選,數據拆分跨境屬性的計算包括:加密證書相似性:取交叉證書對的最高語義相似值和屬性值完全相等中的最高值為相似性最終值,即加密證書相似性?=?max(cn完全匹配率,?組織信息語義相似度);數據結構相似性:取兩個境內ip地址實體的所有數據跨境通聯關系中的數據結構信息,交叉計算相似性值,取最高值作為該屬性值;跨境通聯主體相似性:跨境通聯主體相似性=?共有對端ip數量?/?總對端ip數量;跨境通聯行為相似性:計算兩個ip地址的24小時跨境通信數據量序列的歐幾里得距離,并轉換為相似度值;為每個數據拆分跨境屬性的子屬性設置加權比例,加權求和得到數據拆分跨境屬性值。
13、作為優選,步驟2中,建立境內外單位關聯分析模型為:分別計算境內單位間和境外單位間的綜合關聯度,分析單位間注冊地關聯性、股東方重疊度和戰略伙伴關系;關聯屬性建立的邏輯為:當注冊地存在關聯時設置注冊地關聯性屬性值為1;當股東方重疊度超過預設比例時設置股東關聯性屬性值為1;當存在戰略伙伴關系時設置戰略伙伴關聯性屬性值為1。
14、作為優選,步驟3具體包括:對每組境內ip地址集與境外ip地址集之間的通信鏈路進行遍歷,累加跨境數據總量;對個人信息主體標識去重計數;對敏感個人信息主體標識去重計數;累加重要數據總量。具體包括:(1)對每組境內ip地址集與境外ip地址集之間的通信鏈路進行遍歷;(2)按時間窗口維度聚合跨境數據總量,統計一定時間段內傳輸數據總量;(3)識別傳輸數據中的個人身份信息字段,統計去重后的個人信息主體數;(4)?識別傳輸數據中的敏感個人身份信息字段,統計去重后的敏感個人信息主體數;(5)驗證是否存在政策法規或標準規范規定的重要數據,統計其跨境傳輸總量。
15、本發明還公開了一種基于知識圖譜的數據跨境異常行為檢測系統,包括:
16、實體構建模塊:解析通信流量并生成包含境內外ip地址實體、單位實體及其關聯關系的知識圖譜;
17、關聯分析和多主體聚合模塊:計算境內外ip地址關聯度和單位實體關聯度,基于關聯度閾值聚合生成多主體ip地址集;
18、風險計算模塊:匯總計算多主體集合間的跨境數據特征值;
19、異常研判模塊:比對預設閾值生成告警輸出。
20、作為優選,建立境內ip地址實體之間的關聯關系時,計算數據境內通聯屬性、數據中轉跨境屬性和數據拆分跨境屬性;數據中轉跨境屬性的計算依賴于時序相似性判斷,即數據境內通聯關系的傳輸時間早于后續數據跨境通聯關系,且加密傳輸證書或數據結構相似;數據拆分跨境屬性中的跨境通聯行為相似性的計算為:對每個ip地址的24小時跨境通信數據量序列進行向量化,計算兩個ip地址對應向量的歐幾里得距離,通過相似度規約轉換得到相似性值。
21、作為優選,多主體聚合模塊采用雙層聚合機制:對ip地址實體設置第一權重組計算關聯度,對單位實體設置第二權重組計算關聯度,第一層基于ip地址實體的綜合關聯度聚合:當ip關聯度或單位關聯度任一超過閾值即觸發聚合;第二層基于單位實體的綜合關聯度聚合,生成覆蓋關聯ip地址的聚合集合,將關聯單位的ip地址加入集合。
22、本發明的有益效果是:
23、(1)本發明提出的基于知識圖譜的數據跨境異常行為檢測方法和系統,對數據跨境通信流量進行分析,聚合具有強關聯特征的境內數據處理者和境外數據接收方,計算聚合后的數據跨境通信行為并發現異常事件,與現有方案相比,解決了僅針對單一主體進行數據跨境異常檢測方案的局限性,有效應對多主體關聯數據跨境行為的安全風險。
24、(2)本發明提出的基于知識圖譜的數據跨境異常行為檢測方法和系統,適用于同一單位內部多主體之間或區域范圍內多主體之間的數據跨境行為關聯分析和異常檢測,可用于配合自由貿易試驗區數據出境負面清單政策的配套安全管理要求,具有實際應用價值。