陳智揚(yáng)

【摘要】? ? 隨著數(shù)據(jù)業(yè)務(wù)的不斷拓展，電信運(yùn)營(yíng)商掌握了海量的極具商業(yè)價(jià)值的敏感數(shù)據(jù)信息。敏感數(shù)據(jù)所帶來的安全隱患使得信息安全的重要性日益凸顯，保障電信信息系統(tǒng)安全至關(guān)重要。本文在結(jié)合廣東移動(dòng)安全現(xiàn)狀的基礎(chǔ)上，利用人工智能技術(shù)，通過貼近業(yè)務(wù)現(xiàn)狀的智能安全審計(jì)場(chǎng)景模型，使安全審計(jì)更精準(zhǔn)，更有效，滿足業(yè)務(wù)綜合審計(jì)及安全合規(guī)管理的需要。為數(shù)據(jù)隱私保護(hù)提供有效地技術(shù)方法借鑒。

【關(guān)鍵詞】? ? 敏感數(shù)據(jù)? ? 智能分析? ? 安全場(chǎng)景

引言：

隨著電信運(yùn)營(yíng)商網(wǎng)絡(luò)規(guī)模的擴(kuò)大和數(shù)據(jù)業(yè)務(wù)的增加，大數(shù)據(jù)、云計(jì)算等相關(guān)領(lǐng)域的發(fā)展為電信行業(yè)帶來新機(jī)遇的同時(shí)，也帶來了潛在的數(shù)據(jù)安全隱患。面對(duì)海量的各類日志和數(shù)據(jù)信息，安全審計(jì)體系建設(shè)已然成為中國(guó)移動(dòng)安全體系建設(shè)中的必要一環(huán)。在安全審計(jì)系統(tǒng)中運(yùn)用自動(dòng)化、大數(shù)據(jù)、人工智能等技術(shù)，不僅可以提升審計(jì)效率，而且能在安全事件發(fā)生之前通過異常行為告警方式通知管理人員，及時(shí)進(jìn)行分析并采取相應(yīng)措施進(jìn)行有效阻止，從而大大降低安全事件的發(fā)生率。

本文結(jié)合廣東移動(dòng)的實(shí)際情況，基于業(yè)務(wù)經(jīng)驗(yàn)和生產(chǎn)系統(tǒng)中的業(yè)務(wù)實(shí)時(shí)日志，區(qū)分不同業(yè)務(wù)場(chǎng)景后，通過樣本數(shù)據(jù)的機(jī)器學(xué)習(xí)模式，對(duì)用戶信息、設(shè)備信息、用戶行為、業(yè)務(wù)數(shù)據(jù)等關(guān)鍵信息進(jìn)行自動(dòng)學(xué)習(xí)，通過在平臺(tái)固化場(chǎng)景，完成不同維度的行為分析和展現(xiàn)，實(shí)現(xiàn)敏感數(shù)據(jù)的智能化安全分析。減少敏感數(shù)據(jù)丟失的事件發(fā)生，提升業(yè)務(wù)系統(tǒng)安全管理能力。

一、數(shù)據(jù)安全綜述

1.1安全現(xiàn)狀

中國(guó)移動(dòng)業(yè)務(wù)支撐系統(tǒng)數(shù)據(jù)庫積累和掌握了大量的客戶信息、生產(chǎn)數(shù)據(jù)和運(yùn)營(yíng)信息，目前業(yè)務(wù)支撐數(shù)據(jù)庫中的敏感數(shù)據(jù)主要包括客戶、服務(wù)、資源、服務(wù)使用、帳務(wù)、客服等。針對(duì)敏感數(shù)據(jù)的使用，常見的安全隱患主要有：

數(shù)據(jù)集中、共享與多樣化加大了泄漏風(fēng)險(xiǎn);

數(shù)據(jù)采集源和采集方式呈現(xiàn)碎片化、多樣化、分布化的特點(diǎn)，安全分析受限于采集分析系統(tǒng)的條塊化，并且內(nèi)部分析難以有效關(guān)聯(lián)，嚴(yán)重降低系統(tǒng)審計(jì)分析的效能;

無法了解用戶IT系統(tǒng)中各客戶端的合理使用狀況，無法及時(shí)對(duì)非法訪問和越權(quán)訪問進(jìn)行告警與預(yù)防。

1.2安全目標(biāo)

本次研究對(duì)敏感數(shù)據(jù)的業(yè)務(wù)特征進(jìn)行綜合分析與總結(jié)，建立和完善安全數(shù)據(jù)平臺(tái)的智能分析的各類分析場(chǎng)景、模型和配套的智能分析方法，逐步實(shí)現(xiàn)安全大數(shù)據(jù)的智能數(shù)據(jù)深度挖掘分析。更加嚴(yán)謹(jǐn)?shù)貙?shí)現(xiàn)敏感數(shù)據(jù)的精確審計(jì)，從而提高敏感數(shù)據(jù)安全審計(jì)的準(zhǔn)確性，降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

二、數(shù)據(jù)安全智能化建設(shè)

2.1建設(shè)思路

本次研究通過與支撐系統(tǒng)業(yè)務(wù)特征的結(jié)合，對(duì)業(yè)務(wù)支撐系統(tǒng)的敏感數(shù)據(jù)訪問進(jìn)行實(shí)時(shí)智能化安全審計(jì)，使敏感數(shù)據(jù)的使用更加嚴(yán)謹(jǐn)，降低了敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。通過規(guī)則引擎、聚類分析、正態(tài)分布等學(xué)習(xí)模型，提煉風(fēng)險(xiǎn)行為，并在平臺(tái)固化場(chǎng)景，完成不同維度的行為分析和展現(xiàn)，再輔以人工驗(yàn)證的方式，及時(shí)發(fā)現(xiàn)問題并加以控制。

2.2建設(shè)過程

2.2.1數(shù)據(jù)采集

基于現(xiàn)網(wǎng)可用數(shù)據(jù)包括登錄、訪問、訂購等信息進(jìn)行采集、清洗和標(biāo)準(zhǔn)化;并進(jìn)行數(shù)據(jù)的基本信息統(tǒng)計(jì)如：訪問頻次、時(shí)長(zhǎng)等;針對(duì)平臺(tái)中敏感信息的原始操作日志以及金庫操作日志，幫助管理員了解企業(yè)內(nèi)敏感數(shù)據(jù)的使用情況，通過對(duì)重要數(shù)據(jù)、惡意訪問行為數(shù)據(jù)的采集分析，發(fā)現(xiàn)潛在的泄露風(fēng)險(xiǎn)，判定危險(xiǎn)源行為特征類型，實(shí)現(xiàn)日志的自動(dòng)化審計(jì)。

2.2.2用戶行為畫像

基于采集的標(biāo)簽化、標(biāo)準(zhǔn)化、預(yù)統(tǒng)計(jì)的數(shù)據(jù)進(jìn)行業(yè)務(wù)畫像，如用戶畫像、渠道畫像、營(yíng)業(yè)員畫像等。用戶工作情況特征抽取用戶的行為自動(dòng)建模而成，在用戶工作熱度、用戶工作效率、用戶工作類型等方面對(duì)用戶進(jìn)行標(biāo)簽化。用戶工作熱度主要反映用戶在單位時(shí)間內(nèi)產(chǎn)生的工單數(shù)目及進(jìn)行的操作數(shù)量;用戶工作效率主要反映用戶在接受工單后，多久時(shí)間能夠完成工單;用戶工作類型主要通過分析用戶接受工單的類型，提取用戶主要擅長(zhǎng)哪個(gè)領(lǐng)域的工單。系統(tǒng)支持關(guān)鍵詞，布爾邏輯表達(dá)式以及精確搜索的輕量級(jí)搜索功能，對(duì)于不符合用戶畫像模型的操作行為，觸發(fā)相應(yīng)的告警和審計(jì)流程。

1.前臺(tái)人員

通過將4A系統(tǒng)和BOSS/CRM操作日志數(shù)據(jù)采集到大數(shù)據(jù)平臺(tái)中，通過數(shù)據(jù)同步、數(shù)據(jù)解析和標(biāo)準(zhǔn)化，按照如下步驟進(jìn)行前臺(tái)人員客戶畫像，分析異常行為。

1）分析全省各類前臺(tái)人員業(yè)務(wù)操作情況，刻畫出人員操作行為畫像;

2）根據(jù)生產(chǎn)實(shí)際情況，建立分析模型，通過一段時(shí)間的數(shù)據(jù)學(xué)習(xí)，形成操作基線數(shù)據(jù);

3）根據(jù)各類型人員操作行為畫像與單個(gè)人員的操作日志進(jìn)行自動(dòng)分析，發(fā)現(xiàn)前臺(tái)人員業(yè)務(wù)操作的異常情況。

2.后臺(tái)人員

4A審計(jì)系統(tǒng)采集的后臺(tái)人員操作日志，包括數(shù)據(jù)庫和主機(jī)操作日志，按照如下步驟進(jìn)行前臺(tái)人員客戶畫像，分析異常行為。

1）按人員基本信息，人員操作類型，操作地址（網(wǎng)段），資源 類型，操作對(duì)象等屬性對(duì)人員進(jìn)行標(biāo)簽化處理;

2）對(duì)標(biāo)簽化后的人員信息進(jìn)行聚類分析，得出人員實(shí)際的歸屬類別和群體特征;

3）對(duì)聚類后群體的操作特征進(jìn)行分析，觀察群體內(nèi)的人員是否有偏離本群體的異常操作行為。

2.2.3異常樣本獲取

通過復(fù)合多種機(jī)器學(xué)習(xí)算法（如聚類算法、局部異常因子算法等）組合建模，將每個(gè)行為具象為一個(gè)點(diǎn)p，通過比較每個(gè)點(diǎn)p和其鄰域點(diǎn)的密度來判斷該點(diǎn)是否為異常點(diǎn)。

2.2.4分類算法校驗(yàn)

通過正態(tài)分布算法進(jìn)行建模，識(shí)別每個(gè)用戶的常用IP、工作時(shí)間、操作習(xí)慣，形成安全行為基線，并基于行為基線模型，篩選訪問記錄不是常用IP、非工作時(shí)間、不符合操作習(xí)慣的異常操作行為。

1.識(shí)別要素。包括常用來源IP、常用工作時(shí)間以及常用操作類型。

2.識(shí)別過程。抽取近3個(gè)月crm日志，按照操作人員分組，每個(gè)操作人員的來源IP情況進(jìn)行統(tǒng)計(jì)，求得樣本的均數(shù)μ和方差σ，由樣本均數(shù)μ與方差σ決定正態(tài)分布的坡度，從而確定正常與異常的邊界。

3.實(shí)現(xiàn)效果。發(fā)現(xiàn)用戶的異常操作行為：如發(fā)現(xiàn)某用戶出現(xiàn)不符合常用地點(diǎn)、常用操作內(nèi)容等操作習(xí)慣的操作行為。

對(duì)于偏離個(gè)人行為基線的人員，重點(diǎn)進(jìn)行審計(jì)。

2.2.5預(yù)測(cè)與告警

通過多算法預(yù)測(cè)技術(shù)。得到最優(yōu)的預(yù)測(cè)結(jié)果。管理員可以在管理敏感訪問控制策略中配置敏感數(shù)據(jù)處理響應(yīng)模版，包括策略的生效時(shí)間、告警對(duì)象、告警方式以及脫敏方式，當(dāng)用戶訪問敏感數(shù)據(jù)時(shí)，根據(jù)規(guī)則的配置進(jìn)行告警或不告警的處理。

2.3數(shù)據(jù)智能分析步驟

敏感數(shù)據(jù)安全智能化分析主要對(duì)業(yè)務(wù)場(chǎng)景中的各元素進(jìn)行配置，除了需要包含場(chǎng)景名稱、場(chǎng)景應(yīng)用、系統(tǒng)唯一編碼外，還需要包括業(yè)務(wù)特征，例如：操作人員角色、操作時(shí)間、操作IP等。敏感數(shù)據(jù)智能分析主要實(shí)施步驟如下：

第一步，樣本準(zhǔn)備：通過既有業(yè)務(wù)數(shù)據(jù)，通過業(yè)務(wù)人員人工標(biāo)注，作為基礎(chǔ)樣本數(shù)據(jù)來源。

第二步，樣本訓(xùn)練：安全管理員對(duì)敏感數(shù)據(jù)的發(fā)生的場(chǎng)景、規(guī)則進(jìn)行配置;運(yùn)用機(jī)器學(xué)習(xí)算法，對(duì)樣本數(shù)據(jù)進(jìn)行訓(xùn)練，得到準(zhǔn)確度較高的模型，應(yīng)用于審計(jì)場(chǎng)景中。

第三步，模型預(yù)測(cè)：運(yùn)用機(jī)器學(xué)習(xí)模型，識(shí)別每個(gè)用戶的常用IP、工作時(shí)間、操作習(xí)慣，形成安全行為基線，并基于行為基線模型，篩選訪問記錄不是常用IP、非工作時(shí)間、不符合操作習(xí)慣的異常操作行為，對(duì)業(yè)務(wù)日志數(shù)據(jù)進(jìn)行預(yù)測(cè)。

第四步，結(jié)果輸出：結(jié)合圖形化、多元化以及列表展現(xiàn)形式對(duì)結(jié)果進(jìn)行展現(xiàn)。

第五步，業(yè)務(wù)價(jià)值提升：在預(yù)測(cè)結(jié)果上進(jìn)行深度分析，并產(chǎn)生日志審計(jì)報(bào)告，對(duì)于超過正常訪問特征權(quán)值的操作進(jìn)行報(bào)警。

三、結(jié)束語

本文提出了一種基于數(shù)據(jù)安全智能化分析方法。該方法結(jié)合了敏感數(shù)據(jù)操作場(chǎng)景、用戶畫像、異常樣本獲取、分類算法校驗(yàn)、預(yù)測(cè)與告警等元素，對(duì)敏感數(shù)據(jù)的訪問進(jìn)行智能分析與安全審計(jì)。有效的控制了人員的違規(guī)訪問操作，使敏感數(shù)據(jù)的監(jiān)控更加嚴(yán)謹(jǐn)、準(zhǔn)確，減少了用戶的問題投訴，滿足中國(guó)移動(dòng)在數(shù)據(jù)安全管理方面的需求，提升數(shù)據(jù)安全的抗風(fēng)險(xiǎn)能力，并進(jìn)一步推動(dòng)業(yè)務(wù)支撐系統(tǒng)的持續(xù)、健康發(fā)展。

參? 考? 文? 獻(xiàn)

[1]杜璽倫.大數(shù)據(jù)時(shí)代下計(jì)算機(jī)信息處理技術(shù)研究[J].計(jì)算機(jī)產(chǎn)品與流通，2019（07）：142.

[2]陳張榮.“大數(shù)據(jù)”時(shí)代的計(jì)算機(jī)信息處理技術(shù)研究[J].黑龍江生態(tài)工程職業(yè)學(xué)院學(xué)報(bào)，2016，29（03）：23-25.

[3]王雅珉.“大數(shù)據(jù)”時(shí)代的計(jì)算機(jī)信息處理技術(shù)[J].電子技術(shù)與軟件工程，2017（10）：156.