[发明专利]一种匿名数据攻击风险检测与评估方法

说明书

本发明公开了一种匿名数据攻击风险检测与评估方法，包括：获取已脱敏数据，并对已脱敏数据进行重识别风险评估和常用攻击风险评估，获得风险值；若风险值大于设定的风险阈值，则需重新调整脱敏参数再次评估，若合格则无需调整脱敏参数。本发明主要是检测及评估已脱敏数据在不同攻击下的攻击风险。主要包括检察官攻击，记者攻击以及营销者攻击。匿名数据集的攻击风险，可作为评估匿名数据方法的因素之一，以折线图的形式展示通过不同匿名参数产生的匿名数据集的攻击风险比较。

技术领域

本发明属于数据安全评估领域，特别是涉及一种匿名数据攻击风险检测与评估方法。

背景技术

隐私数据的去标识化(Deidentification)技术是实现数据脱敏的重要手段，包括各种抑制技术、泛化技术、随机化技术等，通过去除数据集中隐私属性和数据主题直接的关联关系，能够有效预防隐私推理攻击及各种联合多敏属性推理攻击(如链接攻击、同性质攻击、背景知识攻击、近似攻击等)。其中K-匿名模型及差分隐私模型就是去标识化技术中的典型脱敏技术，可以避免由于数据加密产生的密文数据的杂乱无序，从而在保证隐私数据安全性(Privacy Protection)的同时提高数据的可用性(Data Utilization)，对敏感数据通过替换、失真等变换降低数据的敏感度，同时保留一定的可用性、统计性特征。

在隐私数据脱敏处理中，隐私推理攻击和联合多敏感属性推理攻击，如链接攻击，同性质攻击，背景知识攻击，近似攻击以及统计攻击等是较为常见的攻击技术。目前已有不少脱敏数据重识别风险评估相关的工作，但对数据脱敏算法的评估及检测方面的工作非常少。

现有的方法为多是据匿名数据的数量、被抑制数据的数量、匿名化程度以及待评估数据的L-多样性、T-相似性及HIPAA标识符，对评估数据集进行记录数目、最大风险、平均风险进行分析；从而进一步对匿名数据隐私泄露风险进行评估。现有的数据脱敏方法为：数据脱敏系统的链接地址、数据源地址、分析符合的敏感字段数据与所述数据操作，形成AST语法树并进行脱敏处理，最终输出脱敏数据。

但是现有的方法在目前的数据隐私保护中具有很大的局限性，仅对身份识别信息进行脱敏，而对其他信息没有进行相应的脱敏，因此，脱敏结果容易受链接攻击、背景知识攻击等方法攻击，从而造成隐私信息泄露，因此并未真正体现匿名数据的重识别风险；而现有的自动脱敏方法仅采用“字段”脱敏方法，因此不能有效抵御背景知识攻击，脱敏结果也不能真正意义上保证数据隐私。

发明内容

本发明的目的是提供一种匿名数据攻击风险检测与评估方法，以解决上述现有技术存在的问题。

一方面为实现上述目的，本发明提供了一种匿名数据攻击风险检测与评估方法，包括：

获取已脱敏数据，并对所述已脱敏数据进行重识别风险评估和常用攻击风险评估，获得风险值；

若所述风险值大于设定的风险阈值，则需重新调整脱敏参数再次评估，若合格则无需调整脱敏参数。

可选的，获取已脱敏数据之前，所述方法还包括：

采用混淆、置换、K-匿名、L-多样性或差分隐私法中的一种或多种方法对数据进行脱敏处理。

可选的，对所述已脱敏数据进行重识别风险评估和常用攻击风险评估，获得风险值的过程中，通过决策树对风险进行综合评估。

可选的，所述重识别风险评估包括检察官攻击、记者攻击和营销者攻击。

可选的，所述常用攻击风险评估包括：链接攻击、同性质攻击、背景知识攻击、近似攻击、偏态攻击和差分攻击。

可选的，对所述检察官攻击进行重识别的过程中包括：计算检察官攻击重识别概率大于阈值的比例、检察官攻击的最大重识别概率和检察官攻击平均重识别概率；

其中，采用公式(1)计算检察官攻击重识别概率大于阈值的比例：