[发明专利]一种用户越权访问敏感数据行为的检测方法及系统

说明书

本发明公开的一种用户越权访问敏感数据行为的检测方法及系统，包括：从交换机实时采集流量数据；将流量数据还原为SQL数据；将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集，计算各用户名及用户行为符合对应角色类型的基准概率；计算新增用户名及用户行为符合对应角色类型的行为概率；判断当前角色类型的用户行为的行为概率与基准概率的偏离是否较大，是则说明该用户在越权访问数据。本发明通过流量还原成用户的SQL操作，将一段时间积累的操作内容作为训练数据，在训练数据中定义每个用户的角色，建立每个角色的行为习惯；当用户访问的行为与该用户的角色不匹配时，实现判断该用户是否在越权访问敏感数据。

技术领域

本发明涉及计算机数据安全技术领域，具体涉及一种用户越权访问敏感数据行为的检测方法及系统。

背景技术

随着电网企业信息化建设的快速发展，电网根据业务要求，部署和实施了多套应用系统，同时也需要大量的运维人员来保障数据的准确性。应用系统已经为每个用户的角色进行了设定，限制其使用的范围和接触的数据，但是，在后台数据库的维护过程中，由于存在交叉访问各个数据表的业务需求，对于后台数据库用户的角色不能细分，这就造无法预防用户利用职务之便、处于私利而访问敏感数据的行为。因此需要通过对用户行为历史数据的学习，来分析每个用户所属的角色，避免越权访问敏感数据的行为。

发明内容

本发明的目的在于针对上述现有技术中存在的问题，提出一种用户越权访问敏感数据行为的检测方法及系统，将一段时间积累的操作内容作为训练数据。在训练数据中定义每个用户的角色，建立每个角色的行为习惯。当用户访问的行为与该用户的角色不匹配时，说明该用户在越权访问敏感数据。

为达到上述发明的目的，本发明通过以下技术方案实现：

一种用户越权访问敏感数据行为的检测方法，包括如下步骤：

步骤1，从交换机实时采集流量数据；

步骤2，将流量数据还原为SQL数据，其包括有用户名、角色类型和用户行为，将用户行为作为训练的信息指标；

步骤3，将一段时间积累的各用户的用户行为作为朴素贝叶斯算法的训练数据集，计算各用户名及用户行为符合对应角色类型的基准概率；

步骤4，采用朴素贝叶斯算法计算新增用户名及用户行为符合对应角色类型的行为概率；

步骤5，判断当前角色类型的用户行为的行为概率与基准概率的偏离是否较大，是则说明该用户在越权访问数据。

进一步，所述步骤2还包括步骤21，对还原后的SQL数据进行标准化。

进一步，本发明方法还包括步骤22，对标准化的SQL数据进行补充，对每个用户名进行角色标记，形成完整训练数据。

进一步，所述用户行为是用户访问某数据表名的行为，所述数据表名为按数据类型分类的数据表。

进一步，所述训练数据集为对每个用户的用户行为进行角色划分，并关于数据表名的表向量。

进一步，所述当用户访问了某数据表，则该表向量为1，其他未访问的表向量为0。

进一步，步骤4所述的行为概率具体为每类角色访问某数据表名的概率。

进一步，本发明还包括步骤6，判断用户是否访问敏感数据表，是则判定用户越权访问了敏感数据表，并发出告警。

本发明还公开一种用户越权访问敏感数据行为的检测系统，包括：

数据采集模块，用于从交换机实时采集流量数据；

数据转换模块，用以将流量数据还原为SQL数据，其包括有用户名、角色类型和用户行为，将用户行为作为训练的信息指标；