[发明专利]基于标签的敏感数据追踪溯源方法

权利要求书

1.一种基于标签的敏感数据追踪溯源方法，其特征在于，包括以下步骤：

第一步、标签统一格式定义

为审计记录中敏感数据相关的操作行为打标签，标签中的信息包括操作主体、操作客体、客体所在位置、课题敏感等级、操作类型、操作时间、操作主体主机IP和操作主体应用系统账号；所述操作主体为操作行为责任人，操作客体为敏感数据；所示操作类型包括数据增删改查；

第二步、标签提取

将涉及敏感数据的审计日志进行解析，通过正则表达式匹配的方式，将每条审计日志中相关信息提取出来，生成标签；

其中，针对数据增删查操作，生成一个标签，针对数据修改操作，生成分别对应为修改前后两个表格的操作行为标签；

第三步、标签存储

提取标签后将其单独存储在数据库中，存储中间件设计为由server模块、console模块、异构源统一模块、优化模块和服务状态监视器多个模块组成；

所述Server模块用于提供多协议的支持；

console模块包括系统配置、部署管理、集群管理内容，用于提供读取数据库配置文件和保存配置信息的接口，对server模块中集群扩展功能进行管理；

异构源统一模块用于针对各种异构的数据源提供统一标准化接口，屏蔽不同数据源差异性；

优化模块用于实现与下一节中设计的存储优化进行互相调用，共同完成标签存储优化功能；

服务状态监视器包括服务监控、流程监控内容，用于提供对server模块运行数据的监控、分析能力。

2.如权利要求1所述的方法，其特征在于，在第三步的标签存储过程中进行存储优化，分析审计记录结构，对无用的操作行为记录进行删除，合并相似操作行为，在数据标签中增加查询次数信息，从而降低标签数据存储量。

3.如权利要求2所述的方法，其特征在于，第三步中存储优化包括以下方式：

(1)在解析敏感数据审计日志记录、基于正则表达式提取标签信息时，对不能通过正则表达式提取标签统一格式中全部信息的审计记录，直接删除；

(2)提取出标签信息后，对操作主体、操作客体、操作类型三项内容完全相同的记录，记为一个操作集合；

(3)将同一操作主体的、操作时间间隔不超过1分钟的、连续相同操作行为，只提取一条标签信息，操作次数由默认值1改为连续相同操作次数。

4.如权利要求1所述的方法，其特征在于，在第三步之后还包括可视化展示的步骤：

用于在输入敏感数据词汇时，展示敏感数据的流转路径及所有相关操作行为；输入用户IP时，展示此用户所有面向敏感数据的操作行为。

5.如权利要求4所述的方法，其特征在于，可视化展示的步骤中，敏感数据流转路径可视化展示的内容包含数据生成信息、数据在各应用系统间或大数据平台组件间的流转路径，所述数据生成信息包括时间、位置、操作主体信息；

敏感数据相关操作行为的展示，是以敏感数据为中心，展示所有针对此敏感数据的操作行为，包括数据的增删改查；

用户操作行为展示，是以用户为中心，展示此用户所有针对敏感数据的操作行为。

6.如权利要求1所述的方法，其特征在于，在第三步之后还包括违规行为分析的步骤：

违规行为分析以溯源标签中记录的关键操作行为信息为基础，基于统计分析、聚类算法两种方式展开安全分析：

一是通过统计分析方法，对访问间隔时间相同、夜间大量访问、访问规律突变这些的异常情况进行分析；

二是采用k-means聚类算法进行异常行为分析，将所有标签信息按操作行为分为增删查改四类，对每类操作单独使用k-means算法进行细分类，以检测出异常操作行为。