CN113364764B - 基于大数据的信息安全防护方法及装置 - Google Patents
基于大数据的信息安全防护方法及装置 Download PDFInfo
- Publication number
- CN113364764B CN113364764B CN202110616404.3A CN202110616404A CN113364764B CN 113364764 B CN113364764 B CN 113364764B CN 202110616404 A CN202110616404 A CN 202110616404A CN 113364764 B CN113364764 B CN 113364764B
- Authority
- CN
- China
- Prior art keywords
- blacklist
- initial
- data
- information
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于大数据的信息安全防护方法及装置,包括:基于服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型;初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址;从各个初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱;基于初始黑名单知识图谱,构建目标黑名单检测模型;目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单;实时监测各个终端的业务交互行为,并对业务交互行为进行行为识别,确定异常业务交互行为;基于异常业务交互行为更新目标黑名单检测模型。本发明能够提高信息安全防护效果。
Description
技术领域
本发明涉及大数据领域,具体而言,涉及一种基于大数据的信息安全防护方法及装置。
背景技术
目前,随着大数据时代的到来,信息安全防护成为了尤为重要的环节,用以维护硬件、软件、数据不被破坏、更改和泄露。
现在通常采用黑白名单的设定,区分存在安全隐患的用户。然而,随着信息数量的不断增多,技术人员难以及时对预先设定的黑白名单进行更新,从而导致信息安全防护效果较差的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种基于大数据的信息安全防护方法及装置,以至少提高信息安全防护效果。
根据本发明实施例的一个方面,提供了一种基于大数据的信息安全防护方法,应用于服务端,包括:基于上述服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型;上述初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址;从各个上述初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于上述关联关系信息构建初始黑名单知识图谱;基于上述初始黑名单知识图谱,构建目标黑名单检测模型;上述目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单;实时监测各个终端的业务交互行为,并对上述业务交互行为进行行为识别,确定异常业务交互行为;基于上述异常业务交互行为更新上述目标黑名单检测模型。
作为一种可选的实施方式,上述基于上述服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型,包括:确定上述服务端所配置的信息安全防护等级,将与上述信息安全防护等级相匹配的信息安全防护策略信息确定为上述初始信息安全防护策略信息;其中,不同的信息安全防护等级对应着不同的初始黑名单;确定与上述初始信息安全防护策略信息以及各个终端相匹配的上述初始黑名单检测模型。
作为一种可选的实施方式,其特征在于,上述从各个上述初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于上述关联关系信息构建初始黑名单知识图谱,包括:基于各个上述初始黑名单检测模型的配置信息,确定对应的各个初始黑名单;计算各个初始黑名单中的黑名单数据之间的数据相似性,根据上述数据相似性确定各个黑名单数据之间的连接关系;基于上述连接关系,将各个黑名单数据进行连接,得到上述关联关系信息;基于上述关联关系信息和各个黑名单数据的数据属性信息,生成上述初始黑名单知识图谱。
作为一种可选的实施方式,上述基于上述初始黑名单知识图谱,构建目标黑名单检测模型,包括:对上述初始黑名单知识图谱进行数据挖掘,确定上述初始黑名单知识图谱中的团伙黑名单集合;每个上述团伙黑名单集合包括多个黑名单数据;对上述团伙黑名单集合进行数据分析,确定团伙特征;并基于上述团伙特征确定扩充黑名单;以及基于上述扩充黑名单构建上述目标黑名单检测模型。
作为一种可选的实施方式,上述方法还包括:对上述目标黑名单检测模型对应的黑名单数据采用预定简化格式进行数据标注,得到数据标注后的黑名单数据;基于上述数据标注后的黑名单数据存储各个黑名单数据之间的关联关系。
根据本发明实施例的另一方面,还提供了一种基于大数据的信息安全防护装置,包括:初始模型确定单元,被配置成基于上述服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型;上述初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址;关联信息确定单元,被配置成从各个上述初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于上述关联关系信息构建初始黑名单知识图谱;模型构建单元,被配置成基于上述初始黑名单知识图谱,构建目标黑名单检测模型;上述目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单;模型更新单元,被配置成实时监测各个终端的业务交互行为,并对上述业务交互行为进行行为识别,确定异常业务交互行为;基于上述异常业务交互行为更新上述目标黑名单检测模型。
作为一种可选的实施方式,上述初始模型确定单元进一步被配置成:确定上述服务端所配置的信息安全防护等级,将与上述信息安全防护等级相匹配的信息安全防护策略信息确定为上述初始信息安全防护策略信息;其中,不同的信息安全防护等级对应着不同的初始黑名单;确定与上述初始信息安全防护策略信息以及各个终端相匹配的上述初始黑名单检测模型。
作为一种可选的实施方式,上述关联信息确定单元进一步被配置成:基于各个上述初始黑名单检测模型的配置信息,确定对应的各个初始黑名单;计算各个初始黑名单中的黑名单数据之间的数据相似性,根据上述数据相似性确定各个黑名单数据之间的连接关系;基于上述连接关系,将各个黑名单数据进行连接,得到上述关联关系信息;基于上述关联关系信息和各个黑名单数据的数据属性信息,生成上述初始黑名单知识图谱。
作为一种可选的实施方式,上述模型构建单元进一步被配置成:对上述初始黑名单知识图谱进行数据挖掘,确定上述初始黑名单知识图谱中的团伙黑名单集合;每个上述团伙黑名单集合包括多个黑名单数据;对上述团伙黑名单集合进行数据分析,确定团伙特征;并基于上述团伙特征确定扩充黑名单;以及基于上述扩充黑名单构建上述目标黑名单检测模型。
作为一种可选的实施方式,上述装置还包括:数据标注单元,被配置成对上述目标黑名单检测模型对应的黑名单数据采用预定简化格式进行数据标注,得到数据标注后的黑名单数据;基于上述数据标注后的黑名单数据存储各个黑名单数据之间的关联关系。
根据本发明实施例的又一方面,还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述的基于大数据的信息安全防护方法。
根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述的基于大数据的信息安全防护方法。
在本发明实施例中,可以基于各个终端相匹配的初始黑名单检测模型,确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱。之后,再基于初始黑名单知识图谱构建目标黑名单检测模型,构建得到的目标黑名单检测模型包含着基于关联关系确定的扩充黑名单。并且在得到扩充黑名单之后,还可以实时监控业务交互行为更新目标黑名单检测模型。这一过程基于黑名单之间的关联关系、扩充黑名单以及业务交互行为实时更新目标黑名单检测模型,提高了目标黑名单检测模型的准确度,从而提高了信息安全防护效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的基于大数据的信息安全防护方法的流程图;
图2是根据本发明实施例的一种可选的基于大数据的信息安全防护装置的结构示意图;
图3是根据本发明实施例的一种可选的执行基于大数据的信息安全防护方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供了一种可选的基于大数据的信息安全防护方法,如图1所示,该基于大数据的信息安全防护方法包括:
S101,基于服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型;初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址。
在本发明实施例中,执行主体可以为服务端,服务端可以用于向上述的各个终端提供相应的服务,如数据读写服务、数据传输服务等,本实施例对此不做限定。对于上述的各个终端,每个终端预先设有相匹配的初始黑名单检测模型。并且初始黑名单检测模型可以用于检测属于初始黑名单的网际互联协议地址,可选的,初始黑名单检测模型还可以用于检测属于初始黑名单的终端设备标识。其中,每个初始黑名单检测模型的初始黑名单中包含多个黑名单数据,这些数据可以为上述的网际互联协议地址,也可以为上述的终端设备标识,本实施例对此不做限定。
作为一种可选的实施方式,基于服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型,包括:确定服务端所配置的信息安全防护等级,将与信息安全防护等级相匹配的信息安全防护策略信息确定为初始信息安全防护策略信息;其中,不同的信息安全防护等级对应着不同的初始黑名单;确定与初始信息安全防护策略信息以及各个终端相匹配的初始黑名单检测模型。
在本发明实施例中,执行主体可以预先设有不同的信息安全防护等级,不同的信息安全防护等级对应着不同的初始黑名单。其中,信息安全防护等级越高,对应的初始黑名单中的黑名单数据量越大。进一步的,信息安全防护策略中可以包括需要进行防护的黑名单,还可以包括需要进行防护的周期、进行防护的黑名单刷新周期等策略。并且对于执行主体提供服务的多个终端中的每个终端,该终端可以对应不同的信息安全防护等级,具有不同的初始黑名单筛选机制。每个终端可以基于信息安全防护等级对应的初始黑名单筛选机制,在原始名单数据中按照不同的数据筛选条件进行筛选,得到不同的初始黑名单,以及不同的初始黑名单对应的初始黑名单检测模型。
S102,从各个初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱。
在本实施例中,每个初始黑名单中包含多个黑名单数据,对于每个黑名单数据,可以具有相应的数据属性,如该黑名单数据对应的行为信息,具体包括行为类型、行为对象、行为时间等。基于对各个黑名单数据的数据属性进行分析,可以计算出各个黑名单数据之间的相似度,相似度越高表示黑名单数据之间越相似。进一步的,执行主体可以基于各个黑名单数据之间的关联关系信息,构建初始黑名单知识图谱。其中,关联关系信息可以包括但不限于关联强弱指标、关联数据、关联数据属性。初始黑名单知识图谱中的每个节点即为各个黑名单数据,初始黑名单知识图谱中各个节点之间的连接关系,即用于表示黑名单数据之间的相似度,两个节点之间的连通线段越短,说明两个黑名单数据之间的相似性越强。
作为一种可选的实施方式,从各个初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱,包括:基于各个初始黑名单检测模型的配置信息,确定对应的各个初始黑名单;计算各个初始黑名单中的黑名单数据之间的数据相似性,根据数据相似性确定各个黑名单数据之间的连接关系;基于连接关系,将各个黑名单数据进行连接,得到关联关系信息;基于关联关系信息和各个黑名单数据的数据属性信息,生成初始黑名单知识图谱。
在本发明实施例中,各个初始黑名单检测模型的配置信息用于配置模型参数、模型对应的黑名单列表等信息。执行主体可以用基于配置信息确定各个模型对应的初始黑名单。之后,基于各个黑名单数据之间的数据相似性确定连接关系,并基于连接关系,将具有连接关系的黑名单数据之间进行连接,得到的关联关系信息包括多个具有连接关系的黑名单数据对。执行主体还可以基于关联关系信息确定初始黑名单知识图谱中的各个节点,以及各个节点之间的连接关系,还可以将每个黑名单数据的数据属性信息与各个节点关联存储进初始黑名单知识图谱。
S103,基于初始黑名单知识图谱,构建目标黑名单检测模型;目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单。
在本实施例中,在获取各个初始黑名单之后,还可以基于上述的关联关系,确定出需要扩充的扩充黑名单。具体可以从与各个黑名单数据强关联的白名单数据中筛选关联关系最高的白名单数据作为扩充黑名单,或者基于各个初始黑名单之间的关联关系确定黑名单设备标识、再基于黑名单设备标识所对应的多个网际互联协议地址确定需要扩充的网际互联协议地址,作为扩充黑名单。
作为一种可选的实施方式,基于初始黑名单知识图谱,构建目标黑名单检测模型,包括:对初始黑名单知识图谱进行数据挖掘,确定初始黑名单知识图谱中的团伙黑名单集合;每个团伙黑名单集合包括多个黑名单数据;对团伙黑名单集合进行数据分析,确定团伙特征;并基于团伙特征确定扩充黑名单;以及基于扩充黑名单构建目标黑名单检测模型。
在本实施例中,还可以基于初始黑名单知识图谱进行数据挖掘,确定出强相关、团伙可能性高的黑名单集合作为团伙黑名单集合。例如可以基于对初始黑名单知识图谱中各个节点的数据属性进行分析,确定出数据属性相似度高于阈值的至少两个黑名单数据,作为团伙黑名单集合。进一步的,执行主体还可以将相似的数据属性作为团伙特征。基于团伙特征遍历现有的白名单数据,从白名单数据中确定扩充黑名单。
作为另一种可选的实施方式,还可以执行以下步骤:对目标黑名单检测模型对应的黑名单数据采用预定简化格式进行数据标注,得到数据标注后的黑名单数据;基于数据标注后的黑名单数据存储各个黑名单数据之间的关联关系。
在本实施例中,由于目标黑名单检测模型中的黑名单数据量巨大,因此可以采用预先设定的简化格式的标注信息对各个黑名单数据进行数据标注,得到数据标注后的黑名单数据。标注信息可以标识黑名单数据之间的关联关系,例如采用指定字符标识具有某种类型关联关系的黑名单数据。采用这种存储方式便于后续对黑名单数据进行数据分析。
S104,实时监测各个终端的业务交互行为,并对业务交互行为进行行为识别,确定异常业务交互行为;基于异常业务交互行为更新目标黑名单检测模型。
在本实施例中,执行主体在得到目标黑名单检测模型之后,可以基于终端的业务交互行为更新初始黑名单知识图谱。例如将异常业务交互行为对应的设备标识或者网际互联协议地址增加到初始黑名单知识图谱。再基于初始黑名单知识图谱更新目标黑名单检测模型。
在本发明实施例中,可以基于各个终端相匹配的初始黑名单检测模型,确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱。之后,再基于初始黑名单知识图谱构建目标黑名单检测模型,构建得到的目标黑名单检测模型包含着基于关联关系确定的扩充黑名单。并且在得到扩充黑名单之后,还可以实时监控业务交互行为更新目标黑名单检测模型。这一过程基于黑名单之间的关联关系、扩充黑名单以及业务交互行为实时更新目标黑名单检测模型,提高了目标黑名单检测模型的准确度,从而提高了信息安全防护效果。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
根据本发明实施例的另一个方面,还提供了一种用于实施上述基于大数据的信息安全防护方法的基于大数据的信息安全防护装置,如图2所示,包括:
初始模型确定单元201,被配置成基于服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型;初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址。
关联信息确定单元202,被配置成从各个初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱。
模型构建单元203,被配置成基于初始黑名单知识图谱,构建目标黑名单检测模型;目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单。
模型更新单元204,被配置成实时监测各个终端的业务交互行为,并对业务交互行为进行行为识别,确定异常业务交互行为;基于异常业务交互行为更新目标黑名单检测模型。
作为一种可选的实施方式,上述初始模型确定单元201进一步被配置成:确定上述服务端所配置的信息安全防护等级,将与上述信息安全防护等级相匹配的信息安全防护策略信息确定为上述初始信息安全防护策略信息;其中,不同的信息安全防护等级对应着不同的初始黑名单;确定与上述初始信息安全防护策略信息以及各个终端相匹配的上述初始黑名单检测模型。
作为一种可选的实施方式,上述关联信息确定单元202进一步被配置成:基于各个上述初始黑名单检测模型的配置信息,确定对应的各个初始黑名单;计算各个初始黑名单中的黑名单数据之间的数据相似性,根据上述数据相似性确定各个黑名单数据之间的连接关系;基于上述连接关系,将各个黑名单数据进行连接,得到上述关联关系信息;基于上述关联关系信息和各个黑名单数据的数据属性信息,生成上述初始黑名单知识图谱。
作为一种可选的实施方式,上述模型构建单元203进一步被配置成:对上述初始黑名单知识图谱进行数据挖掘,确定上述初始黑名单知识图谱中的团伙黑名单集合;每个上述团伙黑名单集合包括多个黑名单数据;对上述团伙黑名单集合进行数据分析,确定团伙特征;并基于上述团伙特征确定扩充黑名单;以及基于上述扩充黑名单构建上述目标黑名单检测模型。
作为一种可选的实施方式,上述装置还包括:数据标注单元,被配置成对上述目标黑名单检测模型对应的黑名单数据采用预定简化格式进行数据标注,得到数据标注后的黑名单数据;基于上述数据标注后的黑名单数据存储各个黑名单数据之间的关联关系。
在本发明实施例中,可以基于各个终端相匹配的初始黑名单检测模型,确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱。之后,再基于初始黑名单知识图谱构建目标黑名单检测模型,构建得到的目标黑名单检测模型包含着基于关联关系确定的扩充黑名单。并且在得到扩充黑名单之后,还可以实时监控业务交互行为更新目标黑名单检测模型。这一过程基于黑名单之间的关联关系、扩充黑名单以及业务交互行为实时更新目标黑名单检测模型,提高了目标黑名单检测模型的准确度,从而提高了信息安全防护效果。
根据本发明实施例的又一个方面,还提供了一种用于实施上述基于大数据的信息安全防护方法的电子设备,如图3所示,该电子设备包括存储器302和处理器304,该存储器302中存储有计算机程序,该处理器304被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,基于服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型;初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址;
S2,从各个初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱;
S3,基于初始黑名单知识图谱,构建目标黑名单检测模型;目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单;
S4,实时监测各个终端的业务交互行为,并对业务交互行为进行行为识别,确定异常业务交互行为;基于异常业务交互行为更新目标黑名单检测模型。
可选地,本领域普通技术人员可以理解,图3所示的结构仅为示意,基于大数据的信息安全防护设备也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图3其并不对上述基于大数据的信息安全防护设备的结构造成限定。例如,基于大数据的信息安全防护设备还可包括比图3中所示更多或者更少的组件(如网络接口等),或者具有与图3所示不同的配置。
其中,存储器302可用于存储软件程序以及模块,如本发明实施例中的基于大数据的信息安全防护方法和装置对应的程序指令/模块,处理器303通过运行存储在存储器302内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的基于大数据的信息安全防护方法。存储器302可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器302可进一步包括相对于处理器304远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器302具体可以但不限于用于存储操作指令等信息。作为一种示例,如图3所示,上述存储器302中可以但不限于包括上述基于大数据的信息安全防护装置中的初始模型确定单元201、关联信息确定单元202、模型构建单元203以及模型更新单元204。此外,还可以包括但不限于上述基于大数据的信息安全防护装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置306用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置306包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置306为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述基于大数据的信息安全防护设备还包括:显示器308,用于显示上述显示内容;和连接总线310,用于连接上述电子设备中的各个模块部件。
根据本发明的实施例的又一方面,还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,基于服务端的初始信息安全防护策略信息,确定与各个终端相匹配的初始黑名单检测模型;初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址;
S2,从各个初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于关联关系信息构建初始黑名单知识图谱;
S3,基于初始黑名单知识图谱,构建目标黑名单检测模型;目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单;
S4,实时监测各个终端的业务交互行为,并对业务交互行为进行行为识别,确定异常业务交互行为;基于异常业务交互行为更新目标黑名单检测模型。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种基于大数据的信息安全防护方法,其特征在于,应用于服务端,所述服务端用于向各个终端提供相应的服务,所述方法包括:
基于所述服务端的初始信息安全防护策略信息,确定与所述各个终端相匹配的初始黑名单检测模型,包括:确定所述服务端所配置的信息安全防护等级,将与所述信息安全防护等级相匹配的信息安全防护策略信息确定为初始信息安全防护策略信息;其中,不同的信息安全防护等级对应着不同的初始黑名单;确定与所述初始信息安全防护策略信息以及所述各个终端相匹配的初始黑名单检测模型;所述初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址;
从各个所述初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于所述关联关系信息构建初始黑名单知识图谱;
基于所述初始黑名单知识图谱,构建目标黑名单检测模型;所述目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单;
实时监测各个终端的业务交互行为,并对所述业务交互行为进行行为识别,确定异常业务交互行为;基于所述异常业务交互行为更新所述目标黑名单检测模型。
2.根据权利要求1所述的方法,其特征在于,所述从各个所述初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于所述关联关系信息构建初始黑名单知识图谱,包括:
基于各个所述初始黑名单检测模型的配置信息,确定对应的各个初始黑名单;
计算各个初始黑名单中的黑名单数据之间的数据相似性,根据所述数据相似性确定各个黑名单数据之间的连接关系;
基于所述连接关系,将各个黑名单数据进行连接,得到所述关联关系信息;
基于所述关联关系信息和各个黑名单数据的数据属性信息,生成所述初始黑名单知识图谱。
3.根据权利要求1所述的方法,其特征在于,所述基于所述初始黑名单知识图谱,构建目标黑名单检测模型,包括:
对所述初始黑名单知识图谱进行数据挖掘,确定所述初始黑名单知识图谱中的团伙黑名单集合;每个所述团伙黑名单集合包括多个黑名单数据;
对所述团伙黑名单集合进行数据分析,确定团伙特征;并基于所述团伙特征确定扩充黑名单;以及基于所述扩充黑名单构建所述目标黑名单检测模型。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
对所述目标黑名单检测模型对应的黑名单数据采用预定简化格式进行数据标注,得到数据标注后的黑名单数据;
基于所述数据标注后的黑名单数据存储各个黑名单数据之间的关联关系。
5.一种基于大数据的信息安全防护装置,其特征在于,应用于服务端,所述服务端用于向各个终端提供相应的服务,所述装置包括:
初始模型确定单元,被配置成基于所述服务端的初始信息安全防护策略信息,确定与所述各个终端相匹配的初始黑名单检测模型,包括:确定所述服务端所配置的信息安全防护等级,将与所述信息安全防护等级相匹配的信息安全防护策略信息确定为初始信息安全防护策略信息;其中,不同的信息安全防护等级对应着不同的初始黑名单;确定与所述初始信息安全防护策略信息以及所述各个终端相匹配的初始黑名单检测模型;所述初始黑名单检测模型用于检测属于初始黑名单的网际互联协议地址;
关联信息确定单元,被配置成从各个所述初始黑名单检测模型中确定各个初始黑名单之间的关联关系信息,并基于所述关联关系信息构建初始黑名单知识图谱;
模型构建单元,被配置成基于所述初始黑名单知识图谱,构建目标黑名单检测模型;所述目标黑名单检测模型包含基于各个初始黑名单之间的关联关系确定的扩充黑名单;
模型更新单元,被配置成实时监测各个终端的业务交互行为,并对所述业务交互行为进行行为识别,确定异常业务交互行为;基于所述异常业务交互行为更新所述目标黑名单检测模型。
6.根据权利要求5所述的装置,其特征在于,所述关联信息确定单元进一步被配置成:
基于各个所述初始黑名单检测模型的配置信息,确定对应的各个初始黑名单;
计算各个初始黑名单中的黑名单数据之间的数据相似性,根据所述数据相似性确定各个黑名单数据之间的连接关系;
基于所述连接关系,将各个黑名单数据进行连接,得到所述关联关系信息;
基于所述关联关系信息和各个黑名单数据的数据属性信息,生成所述初始黑名单知识图谱。
7.根据权利要求5所述的装置,其特征在于,所述模型构建单元进一步被配置成:
对所述初始黑名单知识图谱进行数据挖掘,确定所述初始黑名单知识图谱中的团伙黑名单集合;每个所述团伙黑名单集合包括多个黑名单数据;
对所述团伙黑名单集合进行数据分析,确定团伙特征;并基于所述团伙特征确定扩充黑名单;以及基于所述扩充黑名单构建所述目标黑名单检测模型。
8.根据权利要求5至7任一项所述的装置,其特征在于,所述装置还包括:
数据标注单元,被配置成对所述目标黑名单检测模型对应的黑名单数据采用预定简化格式进行数据标注,得到数据标注后的黑名单数据;基于所述数据标注后的黑名单数据存储各个黑名单数据之间的关联关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110616404.3A CN113364764B (zh) | 2021-06-02 | 2021-06-02 | 基于大数据的信息安全防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110616404.3A CN113364764B (zh) | 2021-06-02 | 2021-06-02 | 基于大数据的信息安全防护方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113364764A CN113364764A (zh) | 2021-09-07 |
CN113364764B true CN113364764B (zh) | 2022-07-12 |
Family
ID=77531417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110616404.3A Active CN113364764B (zh) | 2021-06-02 | 2021-06-02 | 基于大数据的信息安全防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113364764B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101923617A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云的样本数据库动态维护方法 |
CN103632084A (zh) * | 2012-08-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 |
CN106302331A (zh) * | 2015-05-22 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种名单扩展方法和设备 |
CN109951609A (zh) * | 2017-12-20 | 2019-06-28 | 中国移动通信集团广东有限公司 | 一种恶意电话号码处理方法和装置 |
CN112200583A (zh) * | 2020-10-28 | 2021-01-08 | 交通银行股份有限公司 | 一种基于知识图谱的欺诈客户识别方法 |
US10911469B1 (en) * | 2019-08-23 | 2021-02-02 | Capital One Services, Llc | Dynamic fraudulent user blacklist to detect fraudulent user activity with near real-time capabilities |
CN112738003A (zh) * | 2019-10-14 | 2021-04-30 | 中国电信股份有限公司 | 恶意地址管理方法和装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109191281A (zh) * | 2018-08-21 | 2019-01-11 | 重庆富民银行股份有限公司 | 一种基于知识图谱的团体欺诈识别系统 |
US10990674B2 (en) * | 2018-08-28 | 2021-04-27 | AlienVault, Inc. | Malware clustering based on function call graph similarity |
CN111355697B (zh) * | 2018-12-24 | 2022-02-25 | 深信服科技股份有限公司 | 僵尸网络域名家族的检测方法、装置、设备及存储介质 |
CN110008347B (zh) * | 2019-01-24 | 2024-05-03 | 平安科技(深圳)有限公司 | 黑名单传导扩充方法、装置、计算机设备和存储介质 |
CN110111110A (zh) * | 2019-04-01 | 2019-08-09 | 北京三快在线科技有限公司 | 基于知识图谱检测欺诈的方法和装置、存储介质 |
CN111754338B (zh) * | 2020-06-30 | 2024-02-23 | 上海观安信息技术股份有限公司 | 一种套路贷网站团伙识别方法及系统 |
CN112053221A (zh) * | 2020-08-14 | 2020-12-08 | 百维金科(上海)信息科技有限公司 | 一种基于知识图谱的互联网金融团伙欺诈行为检测方法 |
CN112162993A (zh) * | 2020-11-10 | 2021-01-01 | 平安普惠企业管理有限公司 | 黑名单的数据更新方法、装置以及计算机设备 |
-
2021
- 2021-06-02 CN CN202110616404.3A patent/CN113364764B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101923617A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云的样本数据库动态维护方法 |
CN103632084A (zh) * | 2012-08-20 | 2014-03-12 | 百度在线网络技术(北京)有限公司 | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 |
CN106302331A (zh) * | 2015-05-22 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种名单扩展方法和设备 |
CN109951609A (zh) * | 2017-12-20 | 2019-06-28 | 中国移动通信集团广东有限公司 | 一种恶意电话号码处理方法和装置 |
US10911469B1 (en) * | 2019-08-23 | 2021-02-02 | Capital One Services, Llc | Dynamic fraudulent user blacklist to detect fraudulent user activity with near real-time capabilities |
CN112738003A (zh) * | 2019-10-14 | 2021-04-30 | 中国电信股份有限公司 | 恶意地址管理方法和装置 |
CN112200583A (zh) * | 2020-10-28 | 2021-01-08 | 交通银行股份有限公司 | 一种基于知识图谱的欺诈客户识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113364764A (zh) | 2021-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
CN111831548B (zh) | 一种依赖关系拓扑图的绘制方法和装置 | |
CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
CN107872534B (zh) | 信息推送方法、装置、服务器及可读存储介质 | |
CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN112528296B (zh) | 漏洞检测方法、装置和存储介质及电子设备 | |
CN109062667A (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
CN111045893A (zh) | 监控任务的执行方法、装置及系统、存储介质、电子装置 | |
CN115883187A (zh) | 网络流量数据中的异常信息识别方法、装置、设备和介质 | |
CN112437034B (zh) | 虚假终端检测方法和装置、存储介质及电子装置 | |
CN110399723B (zh) | 漏洞检测方法和装置、存储介质及电子装置 | |
CN113364764B (zh) | 基于大数据的信息安全防护方法及装置 | |
CN117093627A (zh) | 信息挖掘的方法、装置、电子设备和存储介质 | |
CN111786898A (zh) | 一种监控设备信息获取方法、装置、设备及介质 | |
CN112417164A (zh) | 信息的推荐方法和装置、存储介质、电子装置 | |
CN114531258A (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
CN110198230B (zh) | 应用的监控方法、装置、存储介质和电子装置 | |
CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN111176965B (zh) | 推荐系统预发布测试方法、装置及电子设备 | |
CN112329021B (zh) | 一种排查应用漏洞的方法、装置、电子装置和存储介质 | |
CN107592322B (zh) | 网址拦截方法及装置 | |
CN113434839A (zh) | 前端页面的访问方法和装置、存储介质及电子装置 | |
KR20180005359A (ko) | Dns 주소의 변조 진단 방법 및 이를 위한 단말 장치 | |
CN108810230B (zh) | 一种获取来电提示信息的方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |