2024數(shù)字銀行場景安全技術(shù)解決方案

20249 一、研究背 三、API異常行為檢 （一）研究背 （二）技術(shù)實現(xiàn)方 （三）測試結(jié) （一）研究背 （二）技術(shù)解決方 （一）研究背 （二）技術(shù)實現(xiàn)方 （三）測試結(jié) （一）研究背 （二）技術(shù)實現(xiàn)方 （三）測試結(jié) （一）研究背 （二）技術(shù)實現(xiàn)方 （三）測試結(jié) （一）繼續(xù)深入數(shù)據(jù)安全相關(guān)技術(shù)及標(biāo)準(zhǔn)研 （三）加強(qiáng)自律管理完善標(biāo)準(zhǔn)體 1所示）API異常行為檢測（內(nèi)圖1放的API實現(xiàn)數(shù)據(jù)共享，基于銀行的基礎(chǔ)設(shè)施、產(chǎn)品和服務(wù)，在銀行現(xiàn)有的TAF和API網(wǎng)關(guān)等傳統(tǒng)安全控制手段由于不了解APIAPI使用為基準(zhǔn)，通常難以對未知的、不API異常內(nèi)容檢測方法，以及基于注意力機(jī)制的雙層長短期記憶（L○ng與APIAPIDrain1的日志分析算法生成1Drain指的是一種日志解析算法。Drain算法是一種用于日志分析的技術(shù)，它可以將大量的日志數(shù)據(jù)聚合在一起，并通過歸類和過濾來發(fā)現(xiàn)錯誤和異常事件。Drain算法主要分為三個階段：消息模板提取、消息API課題組提出了一種基于自注意力機(jī)制的雙層LSTM序列異常10002817609個有效的SQL注入、APIDd○s攻擊等API攻擊檢測場景，將網(wǎng)關(guān)上記錄到80%的正常樣本數(shù)據(jù)作為訓(xùn)練集，各10%的正常樣本和50%異常樣本作為驗證集、型對單API進(jìn)行模板挖掘和關(guān)鍵參數(shù)閾值學(xué)習(xí)，從httpLSTMAPI序列89.706%?，F(xiàn)了在APIAPI的安全。2PostmanAPIAPI的安全性測試和345F1-scoreDLP前哨整體技術(shù)框架見圖2所示：圖2記錄具體的數(shù)據(jù)操作日志（如：XXXXXX數(shù)據(jù)進(jìn)行接收端直接將數(shù)據(jù)發(fā)送至數(shù)據(jù)處理端做業(yè)務(wù)處理（如向用戶展理過程記錄操作日志（如：XXXXXX并發(fā)送給XXXXM）管理要求如表1所示：表1據(jù)等級14uest賬號。1–34uest賬號。Emailemail外發(fā)文件行為（文件路徑、發(fā)件人、收件人、抄送人）1–56模塊會將日志的哈希值實時上傳至銀行并保存最近180天的哈絕拆卸硬盤、PE啟動系統(tǒng)惡意拿走數(shù)據(jù)。應(yīng)用方數(shù)據(jù)庫等業(yè)務(wù)系統(tǒng)）IPp○rt7信息作為白名單。二是APIIPp○rt是否在白名單范圍內(nèi)，如否，則記錄告警日IP及授權(quán)安7portIPp○rt是否在白名單范圍內(nèi)，如否，則記錄告警日一是數(shù)據(jù)處理終端通過應(yīng)用網(wǎng)關(guān)接入數(shù)據(jù)庫獲取數(shù)字銀行數(shù)據(jù)，數(shù)據(jù)出庫時根據(jù)數(shù)據(jù)處理終端的用戶身份添加對應(yīng)水印。對于三級管控終端，獲得的數(shù)據(jù)需要保存在文件沙箱。IP/P○rt等，并上報終端行為日志給日志審計模塊。IP、P○rt等。IThttps雙向SSL證書認(rèn)證，上報數(shù)據(jù)執(zhí)行兩個原則：1——日志hashAPI客戶端所在服務(wù)器或者終端上的?SB、串口被打開。制定的行業(yè)標(biāo)準(zhǔn)《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》（JR/T5級。4個一級子類、13個二級子類、71個三級子類分級規(guī)則庫，結(jié)構(gòu)如表2所示。表2庫，結(jié)構(gòu)如表3所示。其中，“正則項”是用于匹配該特征項的表3實體識別（NamedEntityRec○gniti○n,NER）模型識別敏感數(shù)分級的流程如圖3所示。圖3參考文獻(xiàn)Shenetal.(2019)8和何文竹（2009）9通過構(gòu)建分類量（公式2），綜合判斷其對應(yīng)的規(guī)則類別。（公式（公式公式中：關(guān)鍵詞集為Si，候選詞為tij，q（?）是集合的量化函數(shù)，??（）sigm○id函數(shù)。0P(x)1，∑x∈AP(x)=1，利用NLP語義和基于模式的規(guī)則庫自動增廣技術(shù)（如4所示）。綜合三8Shen,J.,Lyu,R.,Ren,X.,Vanni,M.,Sadler,B.,&Han,J.(2019,July).Miningentitysynonymswithefficientneuralsetgeneration.InProceedingsoftheAAAIConferenceonArtificialIntelligence(Vol.33,No.01,pp.249-9何文竹.敏感數(shù)據(jù)的智能識別算法及自適應(yīng)保護(hù)模型研究2020碩士論文,貴州大學(xué)(c)圖410HowNet11word2vec是一種用于生成詞向量的技術(shù)。它通過在大規(guī)模文本數(shù)據(jù)上訓(xùn)練神經(jīng)網(wǎng)絡(luò)模型，將單詞轉(zhuǎn)換信息等多種數(shù)據(jù)類別，測試情況具體如表4所示：表4（一輪召回率（二輪召回率準(zhǔn)確率召回率召回率準(zhǔn)確率召回率反饋具體測召回率貸款申請人信息，繳費記反饋具體測召回率1000個以上的字段類別90%以上的理想水平，屬于行業(yè)領(lǐng)先水平。規(guī)模大小的影響，如圖5圖5數(shù)據(jù)，根據(jù)《4B/T35273–2020針對上述挑戰(zhàn)，本課題提出一種數(shù)據(jù)脫敏效果評估的方法，字銀行業(yè)務(wù)的參與方如商業(yè)銀行及應(yīng)用方實現(xiàn)對數(shù)據(jù)脫敏效果標(biāo)的計算流程如圖6所示。圖6本方法中針對字段的差異性評估方法如5所示，對于每個5YDix=漢明距離(x,y)/len(x)0?1]/隨機(jī)替Dix=漢明距離(x,y)/len(x)0?1]替換/重 萊文斯坦距(x,y)/len(x)0?1] 最長公共子序列 最長公共子序列 的個數(shù)。可以評估字符串類型數(shù)據(jù)的脫敏程度，計算公式如（3）（??(??,??)=∑????⊕（其中x為i位脫敏前的字段，y為i位脫敏后的字段，length針對脫敏前后數(shù)據(jù)長度改變的結(jié)構(gòu)化或者非結(jié)構(gòu)化數(shù)據(jù)類（Leestinisace）為兩個字符串之間萊文斯坦距離指的是將一個字符串變?yōu)榱硪唬?）和（5）所示：??(??,??)=????????,??(??,

（max(??, ????min(??,??)=????????,??(???1,??)+????????,??(??,??)

??????

????????,??(??,???1)+????????,??(???1,???1)+

（其中x為iy為jlength評估方法，計算公式如（公式?(??,??(????) （公式x為泛化前字段，y為泛化后字段，ijxy在泛化樹中的節(jié)點位置，h（i，j）ij結(jié)點為最小公共樹結(jié)構(gòu)如圖7所示。圖7程度的計算。最長公共子序列（○est–○mnSbqune）是兩個字符串中共同的最長子序列長度。使用K????

（公式????|??|??(????> （公式????=max （公式????=|??| （敏過程中信息的變化如圖8所示。圖8息熵計算公式如（11），pii的概率。??=?∑

（首先計算其聯(lián)合熵，數(shù)據(jù)集的聯(lián)合熵計算公式如（12，其中A、B為數(shù)據(jù)集中的字段，p(aibj)AB分別取值為aibj ??(??,??)=?∑∑??(????,????)????????(????,??=0

（脫敏效果，令X代表脫敏前數(shù)據(jù)集，Y代表脫敏后數(shù)據(jù)集，條件息量，條件熵的計算公式如（公式13。??(??|??)=?∑??(??)??(??|??=

（公式用金融行業(yè)敏感數(shù)據(jù)識別工具和標(biāo)識符識別工具判斷脫敏后的6，結(jié)果顯示在加密算法進(jìn)行脫敏時，脫敏評估體系中的有效1表67表7符險符1。2010地，開始自主版式文檔標(biāo)準(zhǔn)的編制工作。2016OpnFxdDumnt○mtO）自主版式文件的國家標(biāo)準(zhǔn)（4BT390–206OFD（見表2021政部會同國電聯(lián)辦起草《電子憑證–銀行回單標(biāo)準(zhǔn)》，明確電子OFD存儲；02式，并提出了相關(guān)技術(shù)安全要求防止數(shù)據(jù)篡改和泄露，我國OFD標(biāo)準(zhǔn)格式推進(jìn)過程如表8所示。表8OFD（OFD標(biāo)準(zhǔn)）OFDOFD”O(jiān)FD格式”O(jiān)FDOFD主要通過電子簽名技術(shù)防止數(shù)據(jù)OFD版權(quán)保護(hù)與數(shù)據(jù)泄漏后溯源追責(zé)能力，OFD中添加數(shù)字水印信息包括數(shù)據(jù)發(fā)送者和接收者信息、 標(biāo)準(zhǔn)基于可擴(kuò)展標(biāo)記語言（Extensible Language,XML）對版式進(jìn)行描述。OFD采用“容器+文檔”的方式描述和存儲數(shù)據(jù)文檔的內(nèi)容由zip包內(nèi)的多個文件共同決定。一個OFD文件的內(nèi)部基礎(chǔ)構(gòu)成如圖9所示。圖9OFDOFDOFD結(jié)構(gòu)中xml文件字段，提取結(jié)構(gòu)體及屬OFD偽文件（包含仿真語句的結(jié)構(gòu)體，如10所示）。水印信息經(jīng)過10OFD圖展示了基于偽結(jié)構(gòu)體的OFD隱式水印算法嵌入與提取流程，如圖11所示。圖11OFD12120的不可打印的Unicode字符,在瀏覽器和一般的文本編水印算法嵌入與提取流程，如圖12所示。圖12OFDOFD文件添加水印”O(jiān)FDOFD聯(lián)授權(quán)–測試”的水印信息。測試結(jié)果如圖13所示：13OFD半結(jié)構(gòu)化數(shù)據(jù)指單一數(shù)據(jù)字段的內(nèi)容是包含了各種數(shù)據(jù)類“卡號”“聯(lián)系方式”等敏感信息。PDF等文件類型均有較多研究，但是數(shù)字銀行存在很多在報文中業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》《金融數(shù)據(jù)安全數(shù)