技術(shù)領(lǐng)域

本發(fā)明涉及一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全預(yù)警方法與系統(tǒng)。

背景技術(shù)

當(dāng)代信息技術(shù)的發(fā)展推動了數(shù)據(jù)的產(chǎn)生、收集、傳輸、共享與分析，使得科學(xué)與工程研究日益成為數(shù)據(jù)密集型的工作。人類社會的信息化程度越來越高，整個社會對網(wǎng)絡(luò)信息的依賴程度也越來越高，從而網(wǎng)絡(luò)安全的重要性也越來越高；但是，伴隨著網(wǎng)絡(luò)流量的日益增加，網(wǎng)絡(luò)違法、突發(fā)事件層出不窮，給國家安全、社會穩(wěn)定、人民利益造成重大危害。因此，對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控預(yù)警，對于及時處理網(wǎng)絡(luò)違法、突發(fā)事件，國家社會穩(wěn)定，以及人民利益具有十分重要的作用。

傳統(tǒng)的信息安全防護(hù)體系采用防火墻技術(shù)和入侵檢測技術(shù)，已無法阻止對應(yīng)用層等深層的攻擊行為，無法實(shí)現(xiàn)對攻擊行為的實(shí)時阻斷。因此，為保證網(wǎng)絡(luò)的有效安全性，入侵防御系統(tǒng)應(yīng)運(yùn)而生。入侵防御系統(tǒng)對數(shù)據(jù)包進(jìn)行逐個字節(jié)檢查，阻止數(shù)據(jù)鏈路層至應(yīng)用層之間的攻擊行為。當(dāng)發(fā)現(xiàn)新的攻擊手段后，入侵防御系統(tǒng)就會創(chuàng)建對應(yīng)的新的過濾器。有效保證網(wǎng)絡(luò)的安全性。然而，現(xiàn)有技術(shù)中的入侵防御系統(tǒng)的安全策略均為用戶事先手動配置且配置后為固定不變的，而防護(hù)鏈路的實(shí)際流量則是實(shí)時變化的。如果配置的安全策略的安全等級較低，雖然可以保證處理效率，但當(dāng)鏈路流量較小時，則會造成系統(tǒng)資源的閑置；如果配置的安全策略的安全等級較高，雖然可以保證網(wǎng)絡(luò)的安全，但當(dāng)鏈路流量較大時，則會造成鏈路帶寬的限制，影響用戶正常使用業(yè)務(wù)。

與此同時，隨著用戶數(shù)據(jù)的容量和類型的增長，對用戶數(shù)據(jù)進(jìn)行分析、追蹤潛在的問題、發(fā)現(xiàn)錯誤變得越來越難，尤其是在多用戶相關(guān)性分析出現(xiàn)之后。即便在最佳狀態(tài)下，也需要經(jīng)驗豐富的操作人員跟蹤事件鏈、過濾噪音，并最終診斷出導(dǎo)致復(fù)雜問題產(chǎn)生的根本原因。海量的用戶數(shù)據(jù)對用戶分析處理的效率提出了更高的要求，使得傳統(tǒng)的用戶數(shù)據(jù)存儲和分析方法已經(jīng)不能勝任了。隨著大數(shù)據(jù)時代的來臨，大數(shù)據(jù)分析也應(yīng)運(yùn)而生。大數(shù)據(jù)分析是指對規(guī)模巨大的數(shù)據(jù)進(jìn)行分析。大數(shù)據(jù)分析基于數(shù)據(jù)可視化可以直觀的展示數(shù)據(jù)，基于數(shù)據(jù)挖掘可讓我們深入數(shù)據(jù)內(nèi)部去挖掘價值。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全預(yù)警方法與系統(tǒng)，一方面根據(jù)網(wǎng)絡(luò)安全基礎(chǔ)數(shù)據(jù)建立網(wǎng)絡(luò)風(fēng)險信息識別模型，另一方面匯集網(wǎng)絡(luò)用戶的正常操作行為，構(gòu)建用戶操作行為序列庫，通過風(fēng)險信息識別模型和用戶操作行為序列庫對實(shí)時信息進(jìn)行綜合分析進(jìn)而準(zhǔn)確實(shí)現(xiàn)了網(wǎng)絡(luò)安全預(yù)警。

本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn)的：一種基于大數(shù)據(jù)的網(wǎng)絡(luò)安全預(yù)警方法，包括以下步驟:

S1.進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)數(shù)據(jù)提取，并對提取的數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，建立網(wǎng)絡(luò)風(fēng)險信息識別模型；

S2.匯集網(wǎng)絡(luò)用戶的正常操作行為，構(gòu)建用戶操作行為序列庫；

S3.采集網(wǎng)絡(luò)安全的實(shí)時信息，輸入風(fēng)險信息識別模型，判斷實(shí)時信息是否安全：

(1)如果實(shí)時信息安全，進(jìn)入步驟S4；

(2)如果實(shí)時信息不安全，進(jìn)入步驟S5；

S4.提取實(shí)時信息的用戶操作行為序列，與所述用戶操作行為序列庫中的行為序列進(jìn)行匹配分析，輸出匹配結(jié)果，根據(jù)匹配結(jié)果判斷用戶操作行為是否具有威脅：

(1)如果用戶操作行為具有威脅，進(jìn)入步驟S5；

(2)如果用戶操作行為不具有威脅，返回步驟S3進(jìn)行下一條實(shí)時信息的采集和判斷；

S5.將對應(yīng)的實(shí)時信息進(jìn)行標(biāo)記，并關(guān)聯(lián)對應(yīng)的IP、用戶虛擬賬號和用戶實(shí)際地理位置，進(jìn)行網(wǎng)絡(luò)安全預(yù)警,并返回步驟S3，繼續(xù)進(jìn)行下一條實(shí)時信息的采集和判斷。

進(jìn)一步地，所述的步驟S1包括以下子步驟：

S11.提取網(wǎng)絡(luò)安全基礎(chǔ)數(shù)據(jù)；

S12.對提取的網(wǎng)絡(luò)安全信息進(jìn)行聚類和篩選，得到可疑特征數(shù)據(jù)簇；

S13.將可疑特征數(shù)據(jù)簇交由人工進(jìn)行判斷，根據(jù)判斷結(jié)果，對可疑特征數(shù)據(jù)簇中的每一條數(shù)據(jù)用標(biāo)簽x進(jìn)行標(biāo)記；x為0表示正常數(shù)據(jù)，x為1表示風(fēng)險數(shù)據(jù)；

S14.建立風(fēng)險信息識別模型，并初始化模型參數(shù){m₁,m₂,m₃,...,m_i,...,m_n},m_i表示第i個模型參數(shù)值，n表示模型參數(shù)的個數(shù)；

S15.根據(jù)可疑特征數(shù)據(jù)簇中的數(shù)據(jù)對建立的模型進(jìn)行訓(xùn)練：

依次提取可疑特征數(shù)據(jù)簇中的每一條數(shù)據(jù)輸入模型，由模型對其檢測得到檢測參數(shù)y；

計算檢測參數(shù)y與對應(yīng)數(shù)據(jù)標(biāo)簽x的差值：β＝|x-y|，記為誤差；

利用誤差β對模型參數(shù)進(jìn)行調(diào)整,利用調(diào)整后的模型進(jìn)行下一次檢測；