CN113906405A - 修改数据项 - Google Patents
修改数据项 Download PDFInfo
- Publication number
- CN113906405A CN113906405A CN201980096642.7A CN201980096642A CN113906405A CN 113906405 A CN113906405 A CN 113906405A CN 201980096642 A CN201980096642 A CN 201980096642A CN 113906405 A CN113906405 A CN 113906405A
- Authority
- CN
- China
- Prior art keywords
- data item
- data
- analysis
- event
- source device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000013507 mapping Methods 0.000 claims abstract description 20
- 230000009466 transformation Effects 0.000 claims description 9
- 238000013519 translation Methods 0.000 claims description 6
- 230000008520 organization Effects 0.000 claims description 5
- 239000013589 supplement Substances 0.000 claims description 4
- 230000009469 supplementation Effects 0.000 claims 1
- 230000000295 complement effect Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 13
- 238000006243 chemical reaction Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000002596 correlated effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003292 diminished effect Effects 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000153 supplemental effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2365—Ensuring data consistency and integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
在示例中,提供了一种用于修改来自源设备的数据项的方法,该数据项与事件相关联,其中该方法包括在可信环境内解析该数据项以生成与事件相关和/或与源设备相关联的一组元组,每个元组包括数据项和与该数据项相关的数据标识符,将规则应用于第一元组以假名第一数据项以提供转换后的数据项,和/或生成对第一数据项的情境补充,生成转换后的数据项和第一数据项之间的映射,从而提供转换后的数据项和第一数据项之间的链接,以使得能够使用转换后的数据项对第一数据项进行后续解析,并将转换后的数据项和与第一数据项相关的数据标识符转发到逻辑上位于可信环境外的分析引擎。
Description
背景技术
网络中的节点,无论是打印设备、PC还是IoT设备等,都可以产生多个事件。事件可以与节点内执行的进程、登录尝试等有关。此类事件可用于确定网络中潜在安全问题的发生,或其他可能因关注而受益的问题。此类事件可以包括个人或机密数据。
附图说明
某些示例的各种特征将从以下结合附图的详细描述中变得明显,附图仅通过示例的方式一起示出了多个特征,并且其中:
图1是根据示例的***的示意图;
图2是根据示例的***的示意图;以及
图3是根据示例的方法的流程图。
具体实施方式
在以下描述中,为了解释的目的,阐述了某些示例的许多具体细节。说明书中对“示例”或类似言语的引用意味着结合示例描述的特定特征、结构或特性被包括在那至少一个示例中,但不一定被包括在其他示例中。
鉴于GDPR等立法限制个人数据的使用和与其他数据处理器的共享,管理为分析收集的数据的隐私可能很复杂。
例如在网络中形成节点或端点的那些设备或源装置可以产生发送到服务器或云的事件,在服务器或云中可以对这些事件进行分析以寻找潜在的攻击、异常和/或可疑行为或管理问题,以及低效或无意事件(例如后者可能导致减弱的安全态势)。事件之间的数据可以相互关联,以便了解事件发生的情境,例如位置、谁引发了事件、引发事件的人/物在组织内扮演的角色和任务等。
一些用于了解事件情境的附加信息可能是历史信息,因此可以使用历史数据存储进行关联,例如,例如在事件发生时定义用户的角色。
然而,在设备上生成的事件,例如安全事件或其他类型的设备事件(包括性能相关的和其他设备遥测等事件)通常包含个人或机密数据。隐私法的发展和加强意味着存储和处理个人数据可能会很困难,特别是为了目的给出同意、被遗忘权、安全的数据存储、将数据存储在正确的管辖范围内等等。此外,职责可以转移给例如安全服务提供商的第三方数据处理器,并且安全事件也可能包含公司可能不愿与第三方安全服务共享的公司敏感信息。
包括个人数据在内的原始事件可能没有任何与之关联的情境(contextual)数据。此类数据在查找安全模式和攻击时是有用的。此外,情境数据可用于模糊个人或私人数据,同时提供有用的安全情境。例如,安全服务可能对检测攻击模式、异常和/或可疑用户行为或设备管理的不良模式感兴趣。有关所涉及的用户和设备的情境信息——诸如例如这些用户和设备在公司中的角色、物理位置以及所代表的业务单位——对于这些目的可能很有用,因为它们支持应用附加的安全分析。例如,与多个打印机登录失败相关的、包括有关多个打印机位置的情境信息(它们服务于哪个站点或办公室,或者它们服务于哪个业务单位)的事件数据可用于确定失败的登录活动(也许与密码猜测尝试相关联)的目标是给定的位置/办公室/业务单位。在查看此类尝试的源IP时,具有有关网络的情境信息会有所帮助;例如是与VPN或特定办公位置相关联的IP地址(或多个地址),或者该位置是否在会议室中。
然而,此类情境数据可能不被包含在原始事件数据中。根据示例,可以将情境信息添加到事件数据。附加情境数据的存在可用于确定要应用的安全检测规则,从而确定何时可以实现进一步的安全洞察。例如,多次对打印机的失败登录——其中关联事件包括位置的情境信息诸如打印机所位于的站点或打印机支持的业务——可用于确定此活动是针对给定位置还是针对组织的特定部分。
从分析的角度来看,情境信息诸如与安全事件相关的信息例如可以帮助增强对此类事件及其价值的分析。在示例中,被(或可能被)视为个人(或企业机密)的事件数据中的信息可以被匿名化和/或假名化(例如,使用假名化令牌)和/或用情境信息替换或扩充。例如,事件中的用户名可能是假名的,而工作名可能是匿名的。这可以使分析能够为企业提供洞察,例如事件数据将是可操作的,同时为所涉及的实体提供隐私。例如,用户名可以被替换为跟踪令牌或GUID(全局唯一标识符)以及有关用户所属组——假设组足够大——的信息。此外,位置信息可以从确切位置(或IP地址)模糊到更广泛的类别,例如办公室、地区等。例如,这使得分析能够确定是否存在针对特定位置或来自特定位置或用户组的攻击(或不好的管理)。
根据示例,提供了支持该过程的分析驱动的匿名化/假名化和情境化(contextualization)框架,可以从分析的选择中驱动该框架并且可以将该框架设计为支持第三方安全服务提供商。
图1是根据示例的***的示意图。在图1的示例中,描绘了信任边界101。信任边界101定义了源设备103位于其中的可信环境与不可信环境之间的逻辑边界。不可信环境是不应将构成源设备103生成的事件的一部分的个人和/或私人数据传递到的环境。源装置103可以是网络中的节点或端点。例如,源设备103可以是IoT设备、打印机、PC等。
在示例中,可以在一个边界(例如图1中信任边界101右侧的不可信环境中的安全服务提供商)内生成分析,而个人和机密信息保留在例如企业内(即图1中信任边界101左侧的可信环境)。
根据示例,可以在设置阶段选择分析,并且可以生成用于转换数据项的转换规则,诸如匿名化、假名化和情境化规则,并将其发送到转换模块105。在这个阶段,可以建立到企业信息***107的链接以使得能够提供情境信息。或者,情境信息可以由客户端直接提供。在示例中,设置阶段可以随着一组分析的变化而被重新访问。
根据示例,在运行阶段,事件数据109——诸如例如表示安全事件消息的事件数据——由诸如图1的源装置103的设备创建。事件数据109被发送到转换模块105,转换模块105在将消息转发到分析引擎111之前应用一种或多种规则来转换或修改数据(即通过一种或多种匿名化、假名化和情境化规则以对数据进行匿名化、假名化和情境化)。在示例中,分析引擎111可以在分析输出模块113中提供结果,其结果可以包括返回到重新识别模块115的链接,使得授权人员(或***)可以重新识别假名实体,进行进一步调查,并例如采取任何必要的补救措施。
根据示例,提供了分析库117。分析库117可用于存储一组或多组分析规则。从安全角度来看,可以通过信息字段的描述以及分析规则的目的和值来增强分析。信息字段的描述可以包括从何处获取信息(例如企业(活动)目录)的提示(多个提示)以及到适配器的链接。
订阅分析***的公司可以可选地使用分析选择工具119来查看可用的分析规则库以及为了使用它们而应该提供的信息。在示例中,数据处理器/服务提供商可以决定可以使用哪个分析规则子集。
在示例中,这可以显示为:
-个人数据或匿名化/假名化选项;
-要添加的情境数据以及情境化的粒度的选项。
例如,这可能与设备或用户的位置以及信息的粒度可以有多细有关。例如,对于位置信息,这可以允许基于区域中设备/用户的数量来选择站点或区域位置。这可能包括示例性的样本数据以帮助客户的决策过程。
一旦做出选择,就可以在分析引擎111中启用分析并且在转换模块105内配置转换(例如匿名化、假名化和情境化)规则。因此,119与117与105之间的关系与建立应该发生的转换有关,并且信任边界的两侧在规则建立后独立运作。转换规则可能会在颁布之前经过审查。在示例中,后者的配置还可以包括指定包含诸如企业活动目录之类的情境化数据的企业***的位置(如果存在或可以设置适当的许可/认证)。
转换模块105包括处理器121。在示例中,处理器121可以转换或修改来自源装置103的事件数据,其中事件数据可以是事件或事件消息的形式。在示例中,处理器121可以例如通过解析,将事件数据分类到字段中。字段可以包括与事件相关和/或与源装置相关联的元组,并且包括数据项和与数据项相关的数据标识符。处理器121可以根据一组规则更新、转换或修改数据项(或其一部分),以便例如屏蔽或假名化私有数据、将数据字段转换为附加情境信息、或使用附加的情境信息扩充数据项。转换模块105在可信环境内操作。在示例中,处理器121可用于将转换规则应用于第一元组以假名化第一数据项以便提供假名化的数据项,和/或生成对第一数据项的情境补充。
一个或多个规则可以指定要移除或修改的数据字段以及要添加的情境信息。例如,用户名可能会被删除并替换为GUID,以允许企业重新识别用户以执行操作,但对分析服务保密数据。同时,可以添加关于用户的附加情境信息,例如“管理员帐户”、“访客帐户”、“总部”或可以被添加的位置信息。在某些情况下,转换/假名的数据项可以是随机令牌或GUID,并且情境(例如位置)可以是单独的未转换标签或可以与令牌连接等。
在另一个示例中,情境可以直接用于假名化过程。例如,不是用令牌/GUID替换所有用户名,规则可以指定将某些用户名重新映射为特定令牌,例如对于映射到非个人和非敏感信息的数据字段——“管理员”或“访客”就是两个这样的例子。在这种情况下,用户名“管理员”可以映射到令牌“管理员”,而像“John Smith”这样的个人用户名可以映射到随机令牌,例如1E2A5。这种“情境假名”可以被认为类似于白名单:某些已知字段将被已知令牌替换——这可以帮助分析并使某些操作更具可读性和更直接的可操作性。在示例中,信息可以由类别诸如“青少年”、“成人”、“访客”等替换以提供足够的隐蔽性,并且数据处理器无法在没有补充信息的情况下重新识别。在某些情况下,情境化信息可以是GUID或其他令牌,以便分析服务可以在不知道该国家的情况下知道用户位于x国家并且x国家可能具备敏感性。
当事件消息被馈送到图1的***中时,分析引擎111可以根据选择的规则(基于事件消息内可用的字段)被触发,并且这些分析引擎可以建立在已经从先前事件中存储的信息上。或者,可以定期运行分析规则以导出报告。情境信息可以允许应用原本不会被使用的分析。例如,规则可能会查找大量事件,例如登录失败,发生在一个位置或从特定源IP地址(或给定站点内的IP地址)触发的安全警报。在将假名令牌用于情境信息的情况下,可能有可用于分析的配置文件信息,使得可以将信息加入更广泛的组或优先考虑风险。
在示例中,运行规则的结果或输出可以是报告和仪表板,或者例如可以发送回企业的警报。如果数据进入仪表板,则企业用户可以查看源数据。在任何一种情况下,企业分析师都可以对信息进行去匿名化/去假名化,包括假名用户令牌或假名情境令牌之类的信息。在创建仪表板和使用令牌的情况下,可以包括到重新识别模块115(在受信任(例如企业)边界内运行)的链接,假设用户具有许可,用户可以使用该链接来识别事件的来源。在作为分析结果生成警报的情况下,这些警报可以再次具有到重新识别模块115的链接。在示例中,洞察/分析输出113可以指出关键模式和/或关键行为,在一些情况下指向令牌化的信息。被授权的企业客户可以选择使用重识别模块进行进一步的调查,以对令牌进行重识别并且获取原始字段,例如如果他们想要与他们的其他数据***相互关联或知道与谁谈论什么等。在示例中,重新识别模块115(在匿名数据的情境中)不仅可以返回一个结果,还可以返回适用于该特定标签的整个集合。
在示例中,重新识别模块115可用于启用检测潜在安全问题的分析,从而能够使用所提供的分析信息来追溯至始发设备103、位置或个人,从而允许动作。在示例中,处理器121可以生成假名数据项和第一数据项之间的映射,从而提供假名数据项和第一数据项之间的链接,从而能够使用假名数据项对第一数据项进行后续解析。映射可以存储在转换映射模块123中并且可通过重新识别模块115访问。
在示例中,数据项与其转换或修改版本之间的映射可以作为预先生成的查找表来提供(例如,枚举来自客户端活动目录的所有可能的用户名,并且分配一个随机ID)。此外,可以使用任何情境信息来更新/调整此表。在另一个示例中,可以从数据本身动态生成映射。例如,可以提供初始查找表(其中可以将任何数据列入白名单或可以添加其他情境信息)。然后,随着新数据的进入,可以检查该表是否与给定的字段Fi匹配。如果是,则使用表中的令牌。如果不是,就新建一个令牌,用这个令牌替换Fi,并且把数据项+令牌作为新的表项添加到表中。在示例中,它可以是一组定义假名化过程的函数/规则,而不是一个查找表。
因此,可以自动生成映射(并且可以随数据缩放)。它还可以处理对数据的任何动态更改(每个字段可以使用单独的表,虽然可以为所有字段使用一个表)。此外,它允许过程在没有干预或访问表的情况下运行,从而降低风险。
因此,在示例中,转换模块105的处理器121可以创建包含用于个人或机密信息的GUID的表或者可以保存用于加密令牌的密钥。重新识别模块115可以具有到该信息的链接,例如经由模块123,重新识别模块115可以用于存储映射和/或表格。当企业用户看到仪表板内的警报或信息时,可以向企业用户提供到重新识别模块115的链接。企业用户将能够点击链接,例如使用企业单点登录(single-sign-on)来登录,并假设如果他们有权查看信息,重新识别模块115可以在假名化信息表中找到GUID并解析值,从而使用户能够查看始发事件。在示例中,企业客户(或代表客户的行为/方向的数据处理器)可以手动转换任何相关的假名令牌以找出原始字段是什么。
根据示例,并且如上所述,事件消息可以细分或解析为一组字段或元组,每个字段或元组根据字段名(数据标识符)和值(数据项)进行描述。在下面的示例中,数据项用某些令牌重新表示。此令牌可以采用随机字符串/GUID的形式。它可以采用已知类别的形式(例如“管理员”、“加利福尼亚”)来提供情境。它也可以是这些的组合(例如,足以表示情境并跨信任边界保留身份混淆的字符串的串联)。应用的规则可能会因字段而异。例如,对于像用户名这样的一个字段,可以应用有情境的假名化。对于职位名称等其他字段,可以应用匿名化(以屏蔽的形式)。对于源IP地址等第三字段,可以应用哈希函数。
在示例中,例如由处理器121实现的规则可以具有如下形式:
·当字段F1...Fn出现时,执行例如该列表中的一个或多个操作:
о删除字段Fi;
о添加字段Fnew,其中值是基于值的加密令牌,例如E(keyx,Value)或HMAC(keyx,Value),其中E是加密函数,例如高级加密标准(AES)(使用例如电子码本模式)或者它可以是RSA(Rivest-Shamir-Adleman)加密令牌(没有填充方案,例如最佳非对称加密填充(OAEP))。填充模式或缺少填充意味着对于给定值,令牌可以相同,因此可以相关联,但使用密钥来生成令牌。
оHMAC是一种加密函数(基于散列的消息验证代码),其中消息或值与密钥一起散列,因此密钥持有者可以从值->HMAC生成映射;
о添加字段Fnew,其中值是查找表中的GUID,使得给定的原始值字符串(或值的组合)的每次出现都被唯一的GUID替换(从而提供假名化);
о检查查找表(LUT)以查看该字段之前是否出现过。如果是,则使用LUT中的字符串;否则,生成一个新的随机令牌/GUID,添加字段Fnew,并将其添加到映射中;
о检查字段Fi是否具有给定格式或包含在给定查找表中或匹配情境化过程。如果检查失败,动作可能是加密字段或将整个消息记录到格式错误的消息日志中;
о添加字段Fnew,其中将值转换为范围(例如:值9可以转换为“0和10之间的值”)。
о添加字段Fnew,其中值是在指定的情境表中查找原始值(或多个字段值)的结果,例如将IP地址映射到办公位置或将用户映射到组织或角色组;
о如果Fi具有值x(或在一组值中)并且Fnew是情境表中的查找,则添加一字段;
如上所述,转换规则可导致数据项与其转换版本之间的转换映射123。作为示例,存在有情境的假名化的“白名单”概念,其中转换映射123采用一个或多个查找表的形式。这里,它们可能包含到已知令牌的预先存在的映射(例如假设“管理员”或共享服务器的IP地址的情况),并在字段Fi与此匹配时使用。否则,可以使用随机或加密令牌等。这也可以用于有情境的匿名化:假设已知一组已知的用户名或IP地址映射到特定类别(例如地理/组织)并且基于字段Fi以这种方式映射。在其他示例中,转换映射123可以由查找表或一组规则或甚至一般地由一个或多个函数或某种组合组成。
当字段(或报头)fi存在时可以提供附加的规则集,以检查字段I……p是否存在,并且这些字段中的每一个字段都可能具有给定的形式(对于查找表是有效的值,匹配情境化过程或匹配正则表达式)。如果字段不存在或有格式错误,则可以将整个消息添加到“格式错误的消息日志”中,而不进行进一步处理。这有助于防止格式错误的消息泄露个人或机密数据。可以将涉及添加到“格式错误的消息日志”的新消息的替代事件消息发送到分析引擎。
例如,规则可能规定:
如果消息包含Source_IP地址字段,则:
移除Source_IP字段
添加SourceIPG=GUID_Lookup(Source_IP_Table,SourceIP)
添加SourceIPN=Context_Lookup(Source_IP,SourceIPLocation)
这将产生用两个替代字段替换源ip字段的效果:一个带有GUID,如果需要动作,它允许IP地址被追踪,第二个将提供网络基础设施方面的情境(例如子网及其位置或是否与VPN相关联)。
规则本身可能更复杂。例如,当一个字段具有给定值或事件消息具有特定报头时,它们可以匹配两个字段并添加替换规则。通过这种方式,可以实施更具选择性的匿名化/假名化和情境化策略。
与给定字段相关联的规则可以是所选的分析中定义的期望的组合。因此,对于所选的分析,可以生成用于字段的给定组合的规则以组合信息。选择了更严格的规则的情况下,例如,为了在某些情况下捕获字段以及更宽松的字段,用户可以授权哪些情境数据被包含。这个过程可以发生在分析选择工具119中。
在示例中,规则可以从分析选择工具119重新传送到转换模块105。除了包括例如基本规则之外,还可以有对情境化表的引用。例如,“Context_Lookup(Source_IP,<SourceIP>)”表示“在情境表中查找SourceIP地址”。这可能是企业提供的表,在这种情况下可以提供数据库链接和表名。这可能是指向企业***诸如例如活动目录或配置管理数据库的链接。
例如,如果事件数据包含用户名,则用户名将被替换为GUID。但是,可以从例如107的活动目录中获取附加情境信息;例如,添加角色和组织单位。这里,可以使用附加规则来指定一角色可能有k个成员并将其包含在数据集中,或者如果组织单位的成员少于k个,则可以使用层次结构中高于该组织单位的组织单位。这意味着消息中的信息不会用于识别个人,并且有足够的个人选择来提供匿名化或假名化。
类似地,对于位置信息,如果要包括与用户(或设备)相关联的站点,则可以将站点聚合到它们较小的区域单元中。这可以使用集成到***连接器中的聚合规则以及信息缓存来完成。另一种方法是维护情境数据表,并随着企业***中的信息变化而更新它们。
在某些情况下,情境化可能导致包含信息列表。因此,在示例中,可以根据办公室、站点、地区、国家来添加位置。在某些情况下,情境化数据可能只是导致布尔值(或枚举类型),在这种情况下,情境数据源的信息可以根据连接器的能力指定如何选择类型(或真或假)。例如,可以创建字段来指定IP地址是内部的还是外部的,或者如果涉及用户,则该用户是否是被监视的设备(例如一组打印机)的管理员。
分析可以使用情境化信息来关联事件并寻找常见的目标或常见的问题源。例如,分析可能知道与特定办公室关联的IP地址,但不知道办公室位置x。因此,情境化信息本身可以用假名令牌或GUID来表达,这些假名令牌或GUID实现相关性但不能实现识别。遵循该策略以及用于情境化信息的GUID,可以与分析引擎111共享附加信息;例如,某些办公室GUID都在区域GUID或风险信息内,这表明更担心的是来自或针对特定GUID集的攻击。此类信息可以在传递回企业用户时重新识别,从而允许动作。
在示例中,分析服务可用于监视多个公司。或者,公司可能对不同的设备组使用不同的隐私规则;例如,这些设备组位于不同的国家/地区,具有不同的隐私法规,或者业务的各个部分存在显着差异。
图2是根据示例的***的示意图。图2的示例描述了对多个域的应用。也就是说,可能存在以下情况,服务正在管理:
о多家公司;
о公司内的***,其中不同的隐私管辖区有不同的转换(匿名化、假名化和情境化)规则来应用。
在第一种情况下,每个公司(例如实体1,201和实体2,203)可以选择他们自己的分析规则,从而选择匿名化、假名化和情境化规则。每个公司都可以拥有自己的域,包括参考图1所描述的收集、转换和重新识别***等。可以提供门户,使得每个公司都可以访问他们的公司信息和警报。每个实体201、203可以参考每个企业信任域内的重新识别服务。在示例中,每个实体201、203可以同步(205)信息,例如情境信息。在这种情况下,可以在实体1和实体2之间定义另一个信任边界。当多个实体由同一个安全服务管理时,转换模块可能有附加规则,该附加规则将实体标识符添加到事件消息中以标识它来自的位置。
在第二种情况下,公司可能会根据组织或地理边界(例如,美国与欧盟的规则可能非常不同)将设备分组。在这里,公司可能会选择不同的分析方法,从而选择不同的转换规则,以适应当地的隐私法律和法规。因此,可以在分析选择工具内定义设备分组(并因此定义边界)并将关联的匿名化和/或假名化规则推送到适当的地理变换处理器。因此,根据事件的来源,可以应用不同的规则并且可以创建不同的查找表。在此情境中,人和设备可以是移动的,并且可以提供在查找表之间同步或交换信息的附加过程。可以使用用于使用情境化信息来指定在哪个查找表中存在假名化令牌的策略,并且可以允许从其他域进行查找。在示例中,默认情况下,实体之间可能没有同步205,每个实体都被独立处理。这可能是由于不同的国家/地区数据隐私法规以及潜在的公司政策所致。结果是数据/洞察可能碎片化。例如,碰巧在两个实体中开展业务的用户可能会被映射到不同的令牌,因此产生的洞察将保持不同。如果允许并进行同步,则可以将这些信息链接起来,并获得更高保真度的洞察和结果。在示例中,可以提供可以跨信任边界提供这种同步映射以帮助改进分析引擎的模块。
图3是根据示例的用于修改来自源装置的数据项的方法的流程图,该数据项与事件相关联。在块301中,源自可信环境内的源装置的数据项被解析以生成与事件相关和/或与源装置相关联的一组元组,每个元组包括数据项和与该数据项相关的数据标识符。在块303中,将规则应用于第一元组以变换第一数据项,例如提供假名数据项,和/或生成对第一数据项的情境补充。在块305中,生成转换后的数据项和第一数据项之间的映射,从而提供转换后的数据项和第一数据项之间的链接,使得能够使用转换后的数据项对第一数据项进行后续解析。在示例中,映射也可以在数据项和数据项的(例如匿名的/假名的)令牌之间。所获得的映射是多对一的,因此重新识别将归结为一组个人而不是特定的个人。为完整起见,数据项与其令牌之间的映射是一对一的映射,因此重新识别将导致特定匹配。
在块307中,转换后的数据项和与第一数据项相关的数据标识符被转发到逻辑上位于可信环境外的分析引擎。
因此,根据示例,提供了一种方法来管理如何匿名化和/或假名化消息以及如何基于客户感兴趣的一组分析添加附加的情境信息。额外的情境信息支持更高级和更有效的安全监视和分析,例如将针对来自不同位置或向不同位置或针对业务特定部分的事件相关联,同时保护隐私。可配置性使相同的安全分析***/服务(架构和引擎)能够提供给具有不同隐私需求和优先级的各种客户。
本公开中的示例可以提供为方法、***或机器可读指令,例如指令、硬件、固件等的任意组合。这样的机器可读指令可以被包括在其中或其上具有计算机可读程序代码的计算机可读存储介质(包括但不限于固态存储、盘存储、CD-ROM、光存储等)上。
本公开是参照根据本公开示例的方法、设备和***的流程图和/或框图来进行描述的。尽管上述流程图显示了特定的执行顺序,但执行顺序可能与所描绘的不同。所描述的与一个流程图有关的块可以与另一流程图的块组合。在一些示例中,流程图的一些块可能不是必需的和/或可以添加附加的块。应当理解,流程图和/或框图中的每个流程和/或块以及流程图和/或框图中的流程和/或图的组合可以通过机器可读指令来实现。
机器可读指令可以例如由通用计算机、专用计算机、嵌入式处理器或其他可编程数据处理设备的处理器执行以实现说明书和图中描述的功能。特别地,处理器或处理设备可以执行机器可读指令。因此,设备的模块(例如,转换模块105、分析引擎111)可以由执行存储在存储器中的机器可读指令的处理器(例如121)或根据嵌入在逻辑电路中的指令操作的处理器来实现。在示例中,此类模块可在基于云的基础架构中实现,跨多个容器,例如虚拟机或通过物理硬件实例化的其他此类执行环境。术语“处理器”将被广义地解释为包括CPU、处理单元、ASIC、逻辑单元或可编程门阵列等。方法和模块可以全部由处理器执行或在多个处理器之间划分。
这种机器可读指令还可以存储在计算机可读存储器中,该计算机可读存储器可以指导计算机或其他可编程数据处理设备以特定模式运行。
例如,指令可以在用指令编码的非暂时性计算机可读存储介质上被提供,这些指令可由处理器执行。
例如,参考图1,处理器121可以与存储器152相关联。存储器152可以包括可由处理器121执行的计算机可读指令154。指令154可以包括用于以下操作的指令:分析与来自始发装置的事件相关的数据;修改数据的至少一部分,从而基于一个或多个规则对数据进行假名化和/或添加情境信息以提供修改后的事件数据;生成来自始发装置的数据和修改后的事件数据之间的关联,以使得能够使用修改后的事件数据在可信环境内解析数据;并使用一个或多个分析规则来解释修改后的事件数据,以确定多个事件之间的相关性的存在。
此类机器可读指令也可以加载到计算机或其他可编程数据处理设备上,使计算机或其他可编程数据处理设备执行一系列操作以产生计算机实现的处理,因此,在计算机或其他可编程设备上执行的指令提供了用于实现流程图中的流程和/或框图中的块所指定的功能的操作。
此外,这里的教导可以以计算机软件产品的形式实现,该计算机软件产品存储在存储介质中并且包括多个指令,该多个指令用于使计算机设备实现在本公开的示例中陈述的方法。
虽然已经参考某些示例描述了方法、设备和相关方面,但是可以进行各种修改、改变、省略和替换。此外,来自一个示例的特征或块可以与另一示例的特征/块组合或替换。
词语“包括”不排除权利要求中列出的元件以外的元件的存在,“一(a/an)”不排除多个,并且单个处理器或其他单元可以实现权利要求中描述的多个单元的功能。
任何从属权利要求的特征可以与任何独立权利要求或其他从属权利要求的特征组合。
Claims (15)
1.一种用于修改来自源设备的数据项的方法,所述数据项与事件相关联,所述方法包括:
在可信环境内,解析所述数据项以生成与所述事件相关和/或与所述源设备相关联的一组元组,每个元组包括数据项和与所述数据项相关的数据标识符;
将规则应用于第一元组以转换第一数据项以提供转换后的数据项,和/或生成对所述第一数据项的情境补充;
生成所述转换后的数据项和所述第一数据项之间的映射,从而提供所述转换后的数据项和所述第一数据项之间的链接,以使得能够使用所述转换后的数据项对所述第一数据项进行后续解析;以及
将所述转换后的数据项和与所述第一数据项相关的所述数据标识符转发到逻辑上位于可信环境外的分析引擎。
2.如权利要求1所述的方法,其中,对所述第一数据项的情境补充包括全局唯一标识符(GUID),和/或表示所述源设备的一个或多个物理位置、所述源设备的网络位置或与所述源设备相关联的标识符、与所述源设备的用户有关的信息的数据。
3.如权利要求1所述的方法,其中,所述第一数据项基于将所述规则应用于所述第一元组的结果被转换。
4.如权利要求1所述的方法,其中,所述映射是动态生成的。
5.如权利要求1所述的方法,其中,对所述第一数据项的所述情境补充是被配置用于启用多个事件之间的相关性的GUID或假名化令牌。
6.如权利要求1所述的方法,还包括:
根据信任边界、组织边界和/或地理边界对所述源设备进行分段。
7.如权利要求6所述的方法,其中,所述规则是根据与所述分段相关的一组判据来选择的。
8.一种用于修改来自源设备的数据项的***,所述***包括:
转换模块,包括处理器,所述转换模块用于接收所述数据项并根据定义要修改的信息的一个或多个指令转换所述数据项的至少一部分,和/或用情境数据扩充所述数据项以提供转换后的数据项;并且生成所述转换后的数据项与所述数据项之间的关系;
所述***还包括分析引擎,所述分析引擎逻辑上位于与可信环境相关联的边界外,所述源设备位于所述可信环境内,所述分析引擎用于:
检查所述转换后的数据项。
9.如权利要求8所述的***,所述分析引擎还用于:
将分析规则应用于所述转换后的数据项。
10.如权利要求9所述的***,所述分析引擎还用于:
基于将所述分析规则应用于所述转换后的数据项的结果生成警报。
11.如权利要求8所述的***,还包括:
逻辑上位于所述边界外的分析库,所述分析库用于存储多个分析规则以供所述分析引擎使用。
12.如权利要求8所述的***,其中,所述转换模块逻辑上位于所述边界内。
13.一种非暂时性的机器可读存储介质,所述机器可读存储介质编码有能够由处理器执行的指令,所述机器可读存储介质包括用于以下操作的指令:
分析与来自始发设备的事件相关的数据;
修改所述数据的至少一部分,从而基于规则对所述数据进行假名化和/或添加情境信息以提供修改后的事件数据;
生成在来自所述始发设备的所述数据与所述修改后的事件数据之间的关联,以使得能够使用所述修改后的事件数据在可信环境内对所述数据进行解析;以及
使用分析规则来解释所述修改后的事件数据,以确定多个事件之间的相关性的存在。
14.如权利要求13所述的非暂时性的机器可读存储介质,还编码有能够由所述处理器执行以用于以下操作的指令:
使用历史数据来确定多个事件之间的相关性的所述存在。
15.如权利要求13所述的非暂时性的机器可读存储介质,还编码有能够由所述处理器执行以用于以下操作的指令:
接收代表所需分析的一组选择;以及
根据所述一组选择生成一组情境化和假名化规则。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2019/037281 WO2020251587A1 (en) | 2019-06-14 | 2019-06-14 | Modifying data items |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113906405A true CN113906405A (zh) | 2022-01-07 |
Family
ID=73781515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980096642.7A Pending CN113906405A (zh) | 2019-06-14 | 2019-06-14 | 修改数据项 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220100900A1 (zh) |
| EP (1) | EP3931714A4 (zh) |
| CN (1) | CN113906405A (zh) |
| WO (1) | WO2020251587A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210264054A1 (en) * | 2020-02-24 | 2021-08-26 | Forcepoint, LLC | Re-Identifying Pseudonymized or De-Identified Data Utilizing Distributed Ledger Technology |
| US20240061957A1 (en) * | 2022-08-19 | 2024-02-22 | Telesign Corporation | User data deidentification system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201519982D0 (en) * | 2014-11-12 | 2015-12-30 | Greyheller Llc | Preventing unauthorized access to an application server |
| US20170118245A1 (en) * | 2015-10-27 | 2017-04-27 | Xypro Technology Corporation | Method and system for gathering and contextualizing multiple security events |
| CN107113183A (zh) * | 2014-11-14 | 2017-08-29 | 马林·利佐尤 | 大数据的受控共享的***和方法 |
| US20170346823A1 (en) * | 2016-05-25 | 2017-11-30 | Bank Of America Corporation | Network of trusted users |
| CN109716345A (zh) * | 2016-04-29 | 2019-05-03 | 普威达有限公司 | 计算机实现的隐私工程***和方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5909570A (en) * | 1993-12-28 | 1999-06-01 | Webber; David R. R. | Template mapping system for data translation |
| US7630986B1 (en) * | 1999-10-27 | 2009-12-08 | Pinpoint, Incorporated | Secure data interchange |
| EP1571547A1 (en) * | 2004-02-27 | 2005-09-07 | Research In Motion Limited | System and method for building wireless applications with intelligent mapping between user interface and data components |
| EP2111593A2 (en) * | 2007-01-26 | 2009-10-28 | Information Resources, Inc. | Analytic platform |
| GB201112665D0 (en) * | 2011-07-22 | 2011-09-07 | Vodafone Ip Licensing Ltd | Data anonymisation |
| US8874935B2 (en) * | 2011-08-30 | 2014-10-28 | Microsoft Corporation | Sector map-based rapid data encryption policy compliance |
| US9178833B2 (en) * | 2011-10-25 | 2015-11-03 | Nicira, Inc. | Chassis controller |
| US8904014B2 (en) * | 2012-03-15 | 2014-12-02 | International Business Machines Corporation | Content delivery mechanisms for multicast communication |
| US9413846B2 (en) * | 2012-12-14 | 2016-08-09 | Microsoft Technology Licensing, Llc | Content-acquisition source selection and management |
| US9230101B2 (en) * | 2013-03-15 | 2016-01-05 | Pinkerton Consulting And Investigations, Inc. | Providing alerts based on unstructured information methods and apparatus |
| AU2014202494A1 (en) * | 2013-05-08 | 2014-11-27 | Practice Insight Pty Ltd | A system and method for categorizing time expenditure of a computing device user |
| US20140344273A1 (en) * | 2013-05-08 | 2014-11-20 | Wisetime Pty Ltd | System and method for categorizing time expenditure of a computing device user |
| US10043035B2 (en) * | 2013-11-01 | 2018-08-07 | Anonos Inc. | Systems and methods for enhancing data protection by anonosizing structured and unstructured data and incorporating machine learning and artificial intelligence in classical and quantum computing environments |
| US10469514B2 (en) * | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
| US10505825B1 (en) * | 2014-10-09 | 2019-12-10 | Splunk Inc. | Automatic creation of related event groups for IT service monitoring |
| US20160147945A1 (en) * | 2014-11-26 | 2016-05-26 | Ims Health Incorporated | System and Method for Providing Secure Check of Patient Records |
| US9367872B1 (en) * | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
| US9836623B2 (en) * | 2015-01-30 | 2017-12-05 | Splunk Inc. | Anonymizing machine data events |
| EP3320447A4 (en) * | 2015-07-07 | 2019-05-22 | Private Machines Inc. | REMOVABLE, SHARABLE, SECURE REMOTE STORAGE SYSTEM AND METHOD THEREOF |
| US9979608B2 (en) * | 2016-03-28 | 2018-05-22 | Ca, Inc. | Context graph generation |
| US20170286455A1 (en) * | 2016-03-31 | 2017-10-05 | Splunk Inc. | Technology Add-On Packages Controlling a Data Input and Query System |
| WO2018045336A1 (en) * | 2016-09-02 | 2018-03-08 | PFFA Acquisition LLC | Database and system architecture for analyzing multiparty interactions |
| US10402396B2 (en) * | 2016-10-20 | 2019-09-03 | Microsoft Technology Licensing, Llc | Online fraud detection system in an electronic content exchange |
| US11199956B2 (en) * | 2017-06-21 | 2021-12-14 | International Business Machines Corporation | Unified real time rule analytics using common programming model on both edge and cloud |
| CN109614816B (zh) * | 2018-11-19 | 2024-05-07 | 平安科技(深圳)有限公司 | 数据脱敏方法、装置及存储介质 |
| US11321653B2 (en) * | 2018-12-31 | 2022-05-03 | Mastercard International Incorporated | Database system architecture for refund data harmonization |
-
2019
- 2019-06-14 US US17/414,587 patent/US20220100900A1/en active Pending
- 2019-06-14 EP EP19932437.7A patent/EP3931714A4/en active Pending
- 2019-06-14 CN CN201980096642.7A patent/CN113906405A/zh active Pending
- 2019-06-14 WO PCT/US2019/037281 patent/WO2020251587A1/en unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201519982D0 (en) * | 2014-11-12 | 2015-12-30 | Greyheller Llc | Preventing unauthorized access to an application server |
| CN107113183A (zh) * | 2014-11-14 | 2017-08-29 | 马林·利佐尤 | 大数据的受控共享的***和方法 |
| US20170118245A1 (en) * | 2015-10-27 | 2017-04-27 | Xypro Technology Corporation | Method and system for gathering and contextualizing multiple security events |
| CN109716345A (zh) * | 2016-04-29 | 2019-05-03 | 普威达有限公司 | 计算机实现的隐私工程***和方法 |
| US20170346823A1 (en) * | 2016-05-25 | 2017-11-30 | Bank Of America Corporation | Network of trusted users |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3931714A1 (en) | 2022-01-05 |
| WO2020251587A1 (en) | 2020-12-17 |
| US20220100900A1 (en) | 2022-03-31 |
| EP3931714A4 (en) | 2022-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11048822B2 (en) | System, apparatus and method for anonymizing data prior to threat detection analysis | |
| US10977269B1 (en) | Selective structure preserving obfuscation | |
| US10891552B1 (en) | Automatic parser selection and usage | |
| US11228597B2 (en) | Providing control to tenants over user access of content hosted in cloud infrastructures | |
| CN113946839A (zh) | 数据访问方法、装置、存储介质及电子装置 | |
| US11397833B2 (en) | System and method for anonymously collecting malware related data from client devices | |
| US11394764B2 (en) | System and method for anonymously transmitting data in a network | |
| CN110708156B (zh) | 一种通信方法、客户端及服务器 | |
| CN117459327B (zh) | 一种云数据透明加密保护方法、***及装置 | |
| CN113906405A (zh) | 修改数据项 | |
| US20220374540A1 (en) | Field level encryption searchable database system | |
| WO2020098085A1 (zh) | 基于区块链的商机信息共享方法、电子装置及可读存储介质 | |
| Dean et al. | Engineering scalable, secure, multi-tenant cloud for healthcare data | |
| US9143517B2 (en) | Threat exchange information protection | |
| WO2018080857A1 (en) | Systems and methods for creating, storing, and analyzing secure data | |
| Preuveneers et al. | Privacy-preserving polyglot sharing and analysis of confidential cyber threat intelligence | |
| EP3716124B1 (en) | System and method of transmitting confidential data | |
| US11960623B2 (en) | Intelligent and reversible data masking of computing environment information shared with external systems | |
| EP3704617B1 (en) | Privacy-preserving log analysis | |
| CN111931218A (zh) | 一种用于客户端数据安全防护装置和防护方法 | |
| EP3971752B1 (en) | System and method for anonymously collecting malware related data from client devices | |
| US11223529B1 (en) | Methods for inventorying and securing public cloud databases and devices thereof | |
| RU2791954C1 (ru) | Способ, система и машиночитаемый носитель для подачи анонимных корпоративных жалоб | |
| US11438166B2 (en) | System and method for use of a suffix tree to control blocking of blacklisted encrypted domains | |
| CN114254311A (zh) | 从客户端设备匿名收集与恶意软件相关的数据的***和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |