CN106209817A - 基于大数据和可信计算的信息网络安全自防御系统 - Google Patents

Abstract

本发明公开了基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块。本发明通过全新的模块组合和创新的算法，成功将大数据分析和可信计算技术用到了信息网络安全自防御系统中，其中从基于可信的数据集储模块、基于可信的数据传输模块开始，风险评估模块评估的数据已是可信的，风险评估模块在以认证的安全网络环境中进行评估，安全策略建立在可信数据以及可信的评估体系上，其最终行为符合预期设计，从而有效提高了信息网络防御能力和系统的可信性。

Description

基于大数据和可信计算的信息网络安全自防御系统

技术领域

本发明涉及大数据领域，具体涉及基于大数据和可信计算的信息网络安全自防御系统。

背景技术

传统的信息安全防护系统采用防火墙技术和入侵检测技术，已无法阻止对应用层等深层的攻击行为，无法实现对攻击行为的实时阻断。因此，为保证网络的有效安全性，入侵防御系统应运而生。入侵防御系统对数据包进行逐个字节检查，阻止数据链路层至应用层之间的攻击行为。当发现新的攻击手段后，入侵防御系统就会创建对应的新的过滤器。有效保证网络的安全性。然而，现有技术中的入侵防御系统的安全策略均为用户事先手动配置且配置后为固定不变的，而防护链路的实际流量则是实时变化的。如果配置的安全策略的安全等级较低，虽然可以保证处理效率，但当链路流量较小时，则会造成系统资源的闲置；如果配置的安全策略的安全等级较高，虽然可以保证网络的安全，但当链路流量较大时，则会造成链路带宽的限制，影响用户正常使用业务。

与此同时，随着用户数据的容量和类型的增长，对用户数据进行分析、追踪潜在的问题、发现错误变得越来越难，尤其是在多用户相关性分析出现之后。即便在最佳状态下，也需要经验丰富的操作人员跟踪事件链、过滤噪音，并最终诊断出导致复杂问题产生的根本原因。海量的用户数据对用户分析处理的效率提出了更高的要求，使得传统的用户数据存储和分析方法已经不能胜任了。随着大数据时代的来临，大数据分析也应运而生。大数据分析是指对规模巨大的数据进行分析。大数据分析基于数据可视化可以直观的展示数据，基于数据挖掘可让我们深入数据内部去挖掘价值，而基于数据预测性分析可以根据可视化分析和数据挖掘的结果做出一些预测性的判断。如何将大数据分析应用到安全防护，已是学术研究的热点相关技术中，常使用k-means算法对数据进行聚类分析。k-means算法也称为k-均值算法或者k-平均算法，是一种使用广泛的迭代型划分聚类算法。其算法思想是将一个给定的数据集分为用户指定的k个聚簇(类)，将每个类的平均值再作为聚类的中心从而来表示该类数据，再通过迭代求出每个聚簇(类)之内误差平方和最小化时的划分。该算法对于连续型属性可以取得较好的聚类效果，但对于离散型属性处理效果不理想。

基于可信计算技术设计风险防御系统，可以有效保障信息网络的安全性，是一种很好的增强信息安全的解决方案。可信计算技术提供基于硬件和加密的终端安全保护，对于信息安全大数据资源管理系统而言，可以有效保证数据不会传递给恶意终端，保障数据安全，是一种很好的增强信息安全大数据资源管理系统可信性的解决方案。有关可信计算的概念，在ISO/IEC 15408标准中给出了以下定义：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。可信计算的基本思路是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性，也就是说在每个终端平台上植入一个信任根，让计算机从BIOS到操作系统内核层，再到应用层都构建信任关系；以此为基础，扩大到网络上，建立相应的信任链，从而进入计算机免疫时代。当终端受到攻击时，可实现自我保护、自我管理和自我恢复。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性，可信计算为行为安全而生，行为安全应该包括：行为的机密性、行为的完整性、行为的真实性等特征。可信计算包括5个核心的概念，即：密钥、安全输入输出、储存器屏蔽等，其中保证数据的安全储存和安全传输，是整个可信安全防护系统的基础保障。

发明内容

针对上述问题，本发明提供基于大数据和可信计算的信息网络安全自防御系统。

本发明的目的采用以下技术方案来实现：

基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，所述基于可信的数据集储模块用于收集并加密存储终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系，所述基于可信的数据传输模块用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取；

所述风险检测模块用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果；

所述风险评估模块用于对风险检测模块的输出结果进行评估并输出评估结果，具体为：

(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等级；

(2)输出评估结果：进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果；

所述安全防御模块对反馈信息、检测结果和评估结果进行综合分析，得到相应的综合风险，调用相应且合适的安全策略；从基于可信的数据集储模块、基于可信的数据传输模块开始，风险评估模块评估的数据已是可信的，风险评估模块在以认证的安全网络环境中进行评估，安全策略建立在可信数据以及可信的评估体系上，其最终行为符合预期设计。

所述预警模块包括安全开关和报警器，当风险超过自防御系统防御能力或者安全防御模块出现故障时，安全开关会自动将切断电源，同时报警器发出警报。

优选地，所述风险分析反馈模块根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：

(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；

(2)基于改进K-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元；

所述数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；

所述数据挖掘单元用于采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型，聚类步骤为：

1)设所述有效数据集具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,...,n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的文档a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心；

所述用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；

(3)反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息；

进一步地，所述风险评估模块评估时具体采用以下操作：

(1)定义综合风险函数Z：

Z＝f×δ₁+j×δ₂+p×δ₃

式中，f表示反馈信息,对应权重为δ₁，j表示检测结果，对应权重为δ₂，p表示评估结果，对应权重为δ₃，δ₁+δ₂+δ₃＝1；

(2)根据Z值范围确定相应的安全策略。

所述用户相关信息包括用户地理位置信息、用户操作信息、用户网络速度信息和用户网络类型信息。

本发明的有益效果为：

1、基于可信技术，设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，保证了数据的安全存储和安全传输，且对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全和可信度，又避免了系统资源的闲置；

2、设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度；

3、设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险。

附图说明

利用附图对本发明作进一步说明，但附图中的实施例不构成对本发明的任何限制，对于本领域的普通技术人员，在不付出创造性劳动的前提下，还可以根据以下附图获得其它的附图。

图1是本发明各模块的连接示意图；

图2是本发明的原理示意图。

附图标记：

基于可信的数据集储模块10、基于可信的数据传输模块20、风险分析反馈模块30、风险检测模块40、风险评估模块50、安全防御模块60、预警模块70。

具体实施方式

结合以下实施例对本发明作进一步描述。

实施例1：如图1、图2所示的基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块10、基于可信的数据传输模块20、风险分析反馈模块30、风险检测模块40、风险评估模块50、安全防御模块60和预警模块70，所述基于可信的数据集储模块10用于收集并加密存储终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系，所述基于可信的数据传输模块20用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取；

所述风险检测模块40用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果；

所述风险评估模块50所述风险评估模块用于对风险检测模块的输出结果进行评估并输出评估结果，具体为：

(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等级；

(2)输出评估结果：进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果；

所述安全防御模块60对反馈信息、检测结果和评估结果进行综合分析，得到相应的综合风险，调用相应且合适的安全策略，具体为：

(1)定义综合风险函数Z：

Z＝f×δ₁+j×δ₂+p×δ₃

式中，f表示反馈信息,对应权重为δ₁，j表示检测结果，对应权重为δ₂，p表示评估结果，对应权重为δ₃，δ₁+δ₂+δ₃＝1；

(2)根据Z值范围确定相应的安全策略；

所述预警模块70包括安全开关和报警器，当风险超过自防御系统防御能力或者安全防御模块出现故障时，安全开关会自动将切断电源，同时报警器发出警报。

优选地，所述风险分析反馈模块30根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：

(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；

(2)基于改进K-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元；

所述数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；

所述数据挖掘单元用于采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型，聚类步骤为：

1)设所述有效数据集具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,...,n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的文档a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心；

所述用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；

(3)反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息；

所述用户相关信息包括用户地理位置信息、用户操作信息、用户网络速度信息和用户网络类型信息。

在此实施例中：设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全，又避免了系统资源的闲置；设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度；设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险；δ₁＝0.7，δ₂＝0.2，δ₃＝0.1，自防御系统的防御能力提高了20％。

实施例2：如图1、图2所示的基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块10、基于可信的数据传输模块20、风险分析反馈模块30、风险检测模块40、风险评估模块50、安全防御模块60和预警模块70，所述基于可信的数据集储模块10用于收集并加密存储终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系，所述基于可信的数据传输模块20用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取；

所述风险检测模块40用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果；

所述风险评估模块50所述风险评估模块用于对风险检测模块的输出结果进行评估并输出评估结果，具体为：

(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等级；

(2)输出评估结果：进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果；

所述安全防御模块60对反馈信息、检测结果和评估结果进行综合分析，得到相应的综合风险，调用相应且合适的安全策略，具体为：

(1)定义综合风险函数Z：

Z＝f×δ₁+j×δ₂+p×δ₃

式中，f表示反馈信息,对应权重为δ₁，j表示检测结果，对应权重为δ₂，p表示评估结果，对应权重为δ₃，δ₁+δ₂+δ₃＝1；

(2)根据Z值范围确定相应的安全策略；

所述预警模块70包括安全开关和报警器，当风险超过自防御系统防御能力或者安全防御模块出现故障时，安全开关会自动将切断电源，同时报警器发出警报。

优选地，所述风险分析反馈模块30根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：

(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；

(2)基于改进K-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元；

所述数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；

所述数据挖掘单元用于采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型，聚类步骤为：

1)设所述有效数据集具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,...,n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的文档a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心；

所述用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；

(3)反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息；

所述用户相关信息包括用户地理位置信息、用户操作信息、用户网络速度信息和用户网络类型信息。

在此实施例中：设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全，又避免了系统资源的闲置；设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度；设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险；δ₁＝0.6，δ₂＝0.3，δ₃＝0.1，自防御系统的防御能力提高了30％。

实施例3：如图1、图2所示的基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块10、基于可信的数据传输模块20、风险分析反馈模块30、风险检测模块40、风险评估模块50、安全防御模块60和预警模块70，所述基于可信的数据集储模块10用于收集并加密存储终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系，所述基于可信的数据传输模块20用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取；

所述风险检测模块40用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果；

所述风险评估模块50所述风险评估模块用于对风险检测模块的输出结果进行评估并输出评估结果，具体为：

(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等级；

(2)输出评估结果：进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果；

所述安全防御模块60对反馈信息、检测结果和评估结果进行综合分析，得到相应的综合风险，调用相应且合适的安全策略，具体为：

(1)定义综合风险函数Z：

Z＝f×δ₁+j×δ₂+p×δ₃

式中，f表示反馈信息,对应权重为δ₁，j表示检测结果，对应权重为δ₂，p表示评估结果，对应权重为δ₃，δ₁+δ₂+δ₃＝1；

(2)根据Z值范围确定相应的安全策略；

所述预警模块70包括安全开关和报警器，当风险超过自防御系统防御能力或者安全防御模块出现故障时，安全开关会自动将切断电源，同时报警器发出警报。

优选地，所述风险分析反馈模块30根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：

(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；

(2)基于改进K-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元；

所述数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；

所述数据挖掘单元用于采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型，聚类步骤为：

1)设所述有效数据集具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,...,n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的文档a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心；

所述用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；

(3)反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息；

所述用户相关信息包括用户地理位置信息、用户操作信息、用户网络速度信息和用户网络类型信息。

在此实施例中：设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全，又避免了系统资源的闲置；设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度；设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险；δ₁＝0.6，δ₂＝0.2，δ₃＝0.2，自防御系统的防御能力提高了40％。

实施例4：如图1、图2所示的基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块10、基于可信的数据传输模块20、风险分析反馈模块30、风险检测模块40、风险评估模块50、安全防御模块60和预警模块70，所述基于可信的数据集储模块10用于收集并加密存储终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系，所述基于可信的数据传输模块20用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取；

所述风险检测模块40用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果；

所述风险评估模块50所述风险评估模块用于对风险检测模块的输出结果进行评估并输出评估结果，具体为：

(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等级；

(2)输出评估结果：进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果；

所述安全防御模块60对反馈信息、检测结果和评估结果进行综合分析，得到相应的综合风险，调用相应且合适的安全策略，具体为：

(1)定义综合风险函数Z：

Z＝f×δ₁+j×δ₂+p×δ₃

式中，f表示反馈信息,对应权重为δ₁，j表示检测结果，对应权重为δ₂，p表示评估结果，对应权重为δ₃，δ₁+δ₂+δ₃＝1；

(2)根据Z值范围确定相应的安全策略；

所述预警模块70包括安全开关和报警器，当风险超过自防御系统防御能力或者安全防御模块出现故障时，安全开关会自动将切断电源，同时报警器发出警报。

优选地，所述风险分析反馈模块30根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：

(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；

(2)基于改进K-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元；

所述数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；

所述数据挖掘单元用于采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型，聚类步骤为：

1)设所述有效数据集具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,...,n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的文档a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心；

所述用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；

(3)反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息；

所述用户相关信息包括用户地理位置信息、用户操作信息、用户网络速度信息和用户网络类型信息。

在此实施例中：设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全，又避免了系统资源的闲置；设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度；设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险；δ₁＝0.4，δ₂＝0.4，δ₃＝0.2，自防御系统的防御能力提高了50％。

实施例5：如图1、图2所示的基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块10、基于可信的数据传输模块20、风险分析反馈模块30、风险检测模块40、风险评估模块50、安全防御模块60和预警模块70，所述基于可信的数据集储模块10用于收集并加密存储终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系，所述基于可信的数据传输模块20用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取；

所述风险检测模块40用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果；

所述风险评估模块50所述风险评估模块用于对风险检测模块的输出结果进行评估并输出评估结果，具体为：

(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等级；

(2)输出评估结果：进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果；

所述安全防御模块60对反馈信息、检测结果和评估结果进行综合分析，得到相应的综合风险，调用相应且合适的安全策略，具体为：

(1)定义综合风险函数Z：

Z＝f×δ₁+j×δ₂+p×δ₃

式中，f表示反馈信息,对应权重为δ₁，j表示检测结果，对应权重为δ₂，p表示评估结果，对应权重为δ₃，δ₁+δ₂+δ₃＝1；

(2)根据Z值范围确定相应的安全策略；

所述预警模块70包括安全开关和报警器，当风险超过自防御系统防御能力或者安全防御模块出现故障时，安全开关会自动将切断电源，同时报警器发出警报。

优选地，所述风险分析反馈模块30根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：

(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；

(2)基于改进K-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元；

所述数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；

所述数据挖掘单元用于采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型，聚类步骤为：

1)设所述有效数据集具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,...,n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的文档a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心；

所述用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；

(3)反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息；

所述用户相关信息包括用户地理位置信息、用户操作信息、用户网络速度信息和用户网络类型信息。

在此实施例中：设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全，又避免了系统资源的闲置；设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性,解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度；设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险；δ₁＝0.4，δ₂＝0.3，δ₃＝0.3，自防御系统的防御能力提高了60％。

最后应当说明的是，以上实施例仅用以说明本发明的技术方案，而非对本发明保护范围的限制，尽管参照较佳实施例对本发明作了详细地说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的实质和范围。

Claims (2)

1.基于大数据和可信计算的信息网络安全自防御系统，包括基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块；

所述基于可信的数据集储模块用于收集并加密存储终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系；

所述基于可信的数据传输模块用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取；

所述风险分析反馈模块根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：

(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；

(2)基于改进K-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元；

所述数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；

所述数据挖掘单元用于采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型；

所述用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；

(3)反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息；

所述风险检测模块用于在已验证的安全网络环境下根据反馈信息对正在运行的终端进行实时检测并输出检测结果；

所述风险评估模块用于对风险检测模块的输出结果进行评估并输出评估结果，具体为：

(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等级；

(2)输出评估结果：进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果；

所述安全防御模块对反馈信息、检测结果和评估结果进行综合分析，得到相应的综合风险，调用相应且合适的安全策略，具体为：

(1)定义综合风险函数Z：

Z＝f×δ₁+j×δ₂+p×δ₃

式中，f表示反馈信息,对应权重为δ₁，j表示检测结果，对应权重为δ₂，p表示评估结果，对应权重为δ₃，δ₁+δ₂+δ₃＝1；

(2)根据Z值范围确定相应的安全策略；

所述预警模块包括安全开关和报警器，当风险超过自防御系统防御能力或者安全防御模块出现故障时，安全开关会自动将切断电源，同时报警器发出警报。

2.根据权利要求1所述的基于大数据和可信计算的信息网络安全自防御系统，其特征在于，所述数据挖掘单元采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类的具体操作为：

1)设所述有效数据集具有n个样本，对n个样本进行向量化，通过夹角余弦函数计算所有样本两两之间的相似度，得到相似度矩阵XS；

2)对相似度矩阵XS的每一行进行求和，计算出每一个样本与整个有效数据集的相似度，设XS＝[sim(a_i,a_j)]_n×n，i,j＝1,…,n，其中sim(a_i,a_j)表示样本a_i,a_j间的相似度，求和公式为：

${\mathrm{XS}}_p=\underset{j=1}{\overset{n}{\Σ}}sim(a_i,a_j),p=1,...,n$

3)按降序排列XS_p,p＝1,…,n，设XS_p按从大到小排列的前4个值为XS_max,XS_max-1,XS_max-2,XS_max-3，若选择与最大值XS_max相对应的样本作为第一个初始的聚簇中心,否则选择与XS_max,XS_max-1,XS_max-2,XS_max-3对应的四个样本的均值作为第一个初始的簇中心；

4)将最大值为XS_max对应的矩阵中行向量的元素进行升序排列，假设前k-1个最小的元素为XS_pq,q＝1,…,k-1，选择前k-1个最小的元素XS_pq相对应的文档a_q作为剩余的k-1个初始的聚簇中心，其中所述k值的设定方法为：设定k值可能取值的区间，通过测试k的不同取值，并对区间内的各个值进行聚类，通过比较协方差,确定聚类之间的显著性差异,从而来探査聚类的类型信息,并最终确定合适的k值；

5)计算剩余样本与各初始的聚簇中心之间的相似度，将剩余样本分发到相似度最高的聚簇中，形成变化后的k个聚簇；

6)计算变化后的聚簇中各样本的均值，将其作为更新后的聚簇中心代替更新前的聚簇中心；

7)若更新前的聚簇中心与更新后的聚簇中心相同，或者目标函数达到了最小值，停止更新，所述目标函数为：

$J=\underset{l=1}{\overset{k}{\Σ}}\underset{a_x\∈C_l}{\Σ}\left|\right|a_x-\stackrel{\‾}{a_{xl}}|{|}^2$

其中，C_l表示k个聚簇中的第l个聚簇，a_x为第l个聚簇中的样本，为第l个聚簇的中心。