CN113626807A - 基于大数据的计算机信息安全处理方法及系统 - Google Patents

基于大数据的计算机信息安全处理方法及系统 Download PDF

Info

Publication number
CN113626807A
CN113626807A CN202110931176.9A CN202110931176A CN113626807A CN 113626807 A CN113626807 A CN 113626807A CN 202110931176 A CN202110931176 A CN 202110931176A CN 113626807 A CN113626807 A CN 113626807A
Authority
CN
China
Prior art keywords
security
identification
track
interception
activity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110931176.9A
Other languages
English (en)
Inventor
张可
江航
张戈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110931176.9A priority Critical patent/CN113626807A/zh
Publication of CN113626807A publication Critical patent/CN113626807A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种基于大数据的计算机信息安全处理方法及系统,通过对安全异常识别轨迹和安全异常拦截轨迹进行关联性分析,确定出安全异常拦截轨迹中存在的可疑安全异常拦截轨迹,将可疑安全异常拦截轨迹对应的安全异常拦截活动确定为关键安全异常拦截活动,并在检测到关键安全异常拦截活动时,获取安全异常识别活动的第一活动业务节点信息并获取关键安全异常拦截活动的第二活动业务节点信息,以对关键安全异常拦截活动与安全异常识别活动是否存在业务节点上的对应关系进行安全排查。

Description

基于大数据的计算机信息安全处理方法及系统
技术领域
本申请涉及计算机信息安全技术领域,具体而言,涉及一种基于大数据的计算机信息安全处理方法及系统。
背景技术
在计算机网络数据库安全管理中经常出现各类由于人为因素造成的计算机网络数据库安全隐患,对数据库安全造成了较大的不利影响。例如,由于人为操作不当,可能会使计算机网络数据库中遗留有害程序,这些程序十分影响计算机系统的安全运行,甚至会给用户带来巨大的经济损失。例如,这些程序的存在,会触发计算机终端上的信息安全扫描服务中的安全异常识别活动和安全异常拦截活动,通常会先进行安全异常识别后再进行安全异常拦截。然而,相关技术中一部分特定程序会篡改安全异常识别活动的数据信息,从而逃避后续的安全异常拦截,而相关技术中缺乏针对关键安全异常拦截活动与安全异常识别活动是否存在业务节点上的对应关系的安全排查方案。
发明内容
鉴于上述提及的问题,本申请实施例提供一种基于大数据的计算机信息安全处理方法,一种基于大数据的计算机信息安全处理方法,应用于信息安全服务系统,所述方法包括:
获取在信息安全扫描任务中安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹;
对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹;
在所述安全异常拦截轨迹中携带可疑安全异常拦截轨迹时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动确定为关键安全异常拦截活动;
在检测到所述关键安全异常拦截活动时,获取所述关键安全异常拦截活动所对应的当前安全异常识别活动的目标活动标签,并基于所述目标活动标签从活动运行记录大数据中搜寻与所述目标活动标签匹配的安全异常识别活动对应的活动运行记录单元;
通过所述活动运行记录单元获取所述安全异常识别活动的第一活动业务节点信息并获取所述关键安全异常拦截活动的第二活动业务节点信息,并基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动是否存在业务节点上的对应关系。
一种可能的设计中,所述方法还包括:
当基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,确定所述关键安全异常拦截活动存在拦截篡改情况,并向预设的信息安全服务终端发送提示信息。
一种可能的设计中,所述对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹,包括:
基于所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹之间的关联特征信息,对所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹进行关联性分析,得到多个活动轨迹关联对;
将余下的安全异常拦截轨迹确定为候选安全异常拦截轨迹,基于所述候选安全异常拦截轨迹包含的第一安全异常拦截节点信息,获取所述候选安全异常拦截轨迹的第一活动轨迹特征向量;所述第一安全异常拦截节点信息产生于所述信息安全扫描任务;其中,每个所述活动轨迹关联对中的安全异常拦截轨迹分别包括所述信息安全扫描任务中的第二安全异常拦截节点信息;
基于所述每个活动轨迹关联对包括的第二安全异常拦截节点信息,分别获取所述每个活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量;
获取所述第一活动轨迹特征向量分别与所述每个活动轨迹关联对中的安全异常拦截轨迹对应的第二活动轨迹特征向量之间的损失特征向量;
基于所述每个活动轨迹关联对对应的损失特征向量,确定所述每个活动轨迹关联对中的安全异常拦截轨迹分别与所述候选安全异常拦截轨迹之间的轨迹相关度量值;
当对应的轨迹相关度量值小于预设相关度量值的可疑安全异常拦截轨迹的数量达到目标数量时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动作为关键安全异常拦截活动;所述可疑安全异常拦截轨迹包含于所述候选安全异常拦截轨迹中。
一种可能的设计中,所述第一安全异常拦截节点信息的数量为多个;所述基于所述候选安全异常拦截轨迹包含的第一安全异常拦截节点信息,获取所述候选安全异常拦截轨迹的第一活动轨迹特征向量,包括:
获取多个第一安全异常拦截节点信息中的每个第一安全异常拦截节点信息分别对应的拦截节点特征向量;
基于所述每个第一安全异常拦截节点信息分别对应的拦截节点特征向量,获取所述多个第一安全异常拦截节点信息对应的第一拦截节点信息集;
将所述第一拦截节点信息集,确定为所述第一活动轨迹特征向量;
所述基于所述每个活动轨迹关联对包括的第二安全异常拦截节点信息,分别获取所述每个活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量,包括:
针对每个所述活动轨迹关联对,获取所述活动轨迹关联对包括的多个第二安全异常拦截节点信息中的每个第二安全异常拦截节点信息分别对应的拦截节点特征向量;
基于所述每个第二安全异常拦截节点信息分别对应的拦截节点特征向量,获取所述多个第二安全异常拦截节点信息对应的第二拦截节点信息集;
将所述第二拦截节点信息集,确定为所述活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量。
一种可能的设计中,所述获取在信息安全扫描任务中安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹,包括:
获取所述信息安全扫描任务中的多个安全异常识别节点信息和多个安全异常拦截节点信息;
获取所述多个安全异常识别节点信息之间的第一相关度量值和识别节点代价值,获取所述多个安全异常拦截节点信息之间的第二相关度量值和拦截节点代价值;
基于所述第一相关度量值和所述识别节点代价值,对所述多个安全异常识别节点信息进行聚合,得到所述信息安全扫描任务中的安全异常识别轨迹;其中,一个安全异常识别轨迹包括至少两个安全异常识别节点信息;
基于所述第二相关度量值和所述拦截节点代价值,对所述多个安全异常拦截节点信息进行聚合,得到所述信息安全扫描任务中的安全异常拦截轨迹;一个安全异常拦截轨迹包括至少两个安全异常拦截节点信息;
所述基于所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹之间的关联特征信息,对所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹进行关联性分析,得到多个活动轨迹关联对,包括:
将所述信息安全扫描任务中的安全异常拦截轨迹确定为候选安全异常拦截轨迹,将所述信息安全扫描任务中的安全异常识别轨迹确定为候选安全异常识别轨迹;所述候选安全异常拦截轨迹中的安全异常拦截节点信息是在所述在信息安全扫描任务中通过目标拦截记录单元中获取的;
获取所述目标拦截记录单元中的安全异常识别节点信息;
将所述目标拦截记录单元中的安全异常识别节点信息与所述候选安全异常识别轨迹中的安全异常识别节点信息之间的识别节点相关度量值,确定为所述候选安全异常拦截轨迹与所述候选安全异常识别轨迹之间的所述关联特征信息;
当所述关联特征信息达到预设要求时,对所述候选安全异常拦截轨迹和所述候选安全异常识别轨迹进行关联性分析,得到所述多个活动轨迹关联对。
一种可能的设计中,所述方法还包括:
当基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,获取包括所述关键安全异常拦截活动当前所对应的当前安全异常识别活动的异常识别日志数据;
基于所述异常识别日志数据对所述当前安全异常识别活动进行异常篡改活动分析,判断所述当前安全异常识别活动是否存在异常篡改活动;
当判断所述当前安全异常识别活动存在异常篡改活动时,向预设的信息安全服务终端发送提示信息。
一种可能的设计中,所述基于所述异常识别日志数据对所述当前安全异常识别活动进行异常篡改活动分析,判断所述当前安全异常识别活动是否存在异常篡改活动,包括:
分别按照时序轴的流动信息从所述异常识别日志数据中获取一个异常识别日志子数据作为当前异常识别日志子数据以及获取所述当前异常识别日志子数据之后的至少一个异常识别日志子数据作为参考异常识别日志子数据;
基于所述当前安全异常识别活动的异常识别标签序列,对所述当前异常识别日志子数据和所述参考异常识别日志子数据分别进行核心异常识别特征提取,得到所述当前异常识别日志子数据的第一核心异常识别特征和所述参考异常识别日志子数据的第二核心异常识别特征,所述第一核心异常识别特征部分用于表达所述当前异常识别日志子数据所包括的异常识别特征与所述异常识别标签序列之间的相关度量值,所述第二核心异常识别特征部分用于表达所述参考异常识别日志子数据所包括的异常识别特征与所述异常识别标签序列之间的相关度量值;
对所述第一核心异常识别特征和所述第二核心异常识别特征进行聚合,得到所述当前异常识别日志子数据的核心异常识别聚合特征;
将所述核心异常识别聚合特征与所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板进行关联性分析,当所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板和所述核心异常识别聚合特征匹配时,则判断所述当前安全异常识别活动不存在异常篡改活动;
当所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板和所述核心异常识别聚合特征不匹配时,则判断所述当前安全异常识别活动存在异常篡改活动。
一种可能的设计中,基于所述异常识别标签序列,对所述当前异常识别日志子数据进行核心异常识别特征提取,得到所述当前异常识别日志子数据的第一核心异常识别特征,包括:
对所述异常识别标签序列进行核心异常识别特征提取,得到所述异常识别标签序列的异常识别标签向量;
对所述当前异常识别日志子数据中的多个异常识别热力数据进行核心异常识别特征提取,得到所述多个异常识别热力数据的热力核心异常识别特征;
基于所述异常识别标签向量和所述多个异常识别热力数据的热力核心异常识别特征,确定所述多个异常识别热力数据的标签相关度,其中,所述异常识别热力数据的标签相关度表征所述异常识别热力数据与所述异常识别标签序列之间的相关度量值;
基于所述多个异常识别热力数据的标签相关度,对所述多个异常识别热力数据的热力核心异常识别特征进行特征聚合,得到所述第一核心异常识别特征;
其中,在所述参考异常识别日志子数据包括多个时,所述对所述第一核心异常识别特征和所述第二核心异常识别特征进行聚合,得到所述当前异常识别日志子数据的核心异常识别聚合特征,包括:
基于所述第一核心异常识别特征与多个第二核心异常识别特征之间的第二关联支持度,从所述多个参考异常识别日志子数据中获取最大的第二关联支持度对应的所述参考异常识别日志子数据,所述第二关联支持度部分用于表达所述参考异常识别日志子数据所包括的异常识别特征与所述当前异常识别日志子数据所包括的异常识别特征之间的特征向量损失度;
将所述第一核心异常识别特征和获取的所述参考异常识别日志子数据的第二核心异常识别特征进行聚合,得到所述核心异常识别聚合特征。
再一方面,本申请实施例还提供一种信息安全服务系统,包括处理器、机器可读存储介质,所述机器可读存储介质和所述处理器连接,所述机器可读存储介质用于存储程序、指令或代码,所述处理器用于执行所述机器可读存储介质中的程序、指令或代码,以实现上述的方法。
基于以上方面,通过获取在信息安全扫描任务中安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹,以对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹。在确定出所述安全异常拦截轨迹中携带可疑安全异常拦截轨迹时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动确定为关键安全异常拦截活动,并在检测到所述关键安全异常拦截活动时,获取所述关键安全异常拦截活动所对应的当前安全异常识别活动的目标活动标签,并基于所述目标活动标签从活动运行记录大数据中搜寻与所述目标活动标签匹配的安全异常识别活动对应的活动运行记录单元。最后,通过所述活动运行记录单元获取所述安全异常识别活动的第一活动业务节点信息并获取所述关键安全异常拦截活动的第二活动业务节点信息,并基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动是否存在业务节点上的对应关系。在所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,确定所述关键安全异常拦截活动存在拦截篡改情况,并向预设的信息安全服务终端发送提示信息。如此,可以通过安全异常拦截活动以及安全异常识别活动二者的活动轨迹的结合实现,并对存在拦截篡改情况的关键安全异常识别活动与安全异常拦截活动的对应异常活动进行进一步识别。此外,进一步结合关键安全异常拦截活动的异常识别日志数据实现异常篡改活动的识别。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以基于这些附图获得其它相应的附图。
图1是本申请实施例提供的基于大数据的计算机信息安全处理方法的执行流程示意图。
图2是本申请实施例提供的信息安全服务系统硬件架构示意图。
具体实施方式
以下描述是为了使本领域的普通技术人员能够实施和利用本申请,并且该描述是在特定的应用场景及其要求的环境下提供的。对于本领域的普通技术人员来讲,显然可以对所公开的实施例作出各种改变,并且在不偏离本申请的原则和范围的情况下,本申请中所定义的普遍原则可以适用于其它实施例和应用场景。因此,本申请并不限于所描述的实施例,而应该被给予与权利要求一致的最广泛的范围。
本申请中所使用的术语仅用于描述特定的示例性实施例,并不限制本申请的范围。如本申请使用的单数形式“一”、“一个”及“该”可以同样包括复数形式,除非上下文明确提示例外情形。还应当理解,如在本申请说明书中,术语“包括”、“包含”仅提示存在所述特征、整体、步骤、操作、组件和/或部件,但并不排除存在或添加一个或以上其它特征、整体、步骤、操作、组件、部件和/或其组合的情况。
根据以下对附图的描述,本申请的这些和其它的特征、特点以及相关结构元件的功能和操作方法,以及部件组合和制造经济性,可以变得更加显而易见,这些附图都构成本申请说明书的一部分。然而,应当理解的是,附图仅仅是为了说明和描述的目的,并不旨在限制本申请的范围。应当理解的是,附图并不是按比例绘制的。
本申请中使用了流程图用来说明根据本申请的一些实施例的系统所执行的操作。应当理解的是,流程图中的操作可以不按顺序执行。相反,可以按照倒序或同时处理各种步骤。此外,可以向流程图添加一个或以上其它操作。也可以从流程图中删除一个或以上操作。
下面结合说明书附图对本申请进行具体说明,方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。
图1是本申请一种实施例提供的基于大数据的计算机信息安全处理方法的流程示意图,下面对该基于大数据的计算机信息安全处理方法进行详细介绍。
步骤S100,获取在信息安全扫描任务中安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹。
示例性地,所述安全异常识别活动可以是信息安全扫描任务中的任一安全异常识别活动,用于进行信息安全风险异常的特征识别操作,在进行信息安全风险异常的特征识别操作则会进行相应的信息安全风险异常的拦截操作,也即执行安全异常拦截活动。所述安全异常识别轨迹可以是基于安全异常识别活动进行异常识别行为的数据节点构成的轨迹序列,所述安全异常拦截轨迹可以是基于安全异常拦截活动进行异常拦截行为的数据节点构成的轨迹序列。所述信息安全扫描任务可以是预设的启用任务。
步骤S200,对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹。
一种可能的设计中,对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹,主要可以基于安全异常识别轨迹和安全异常拦截轨迹之间的轨迹差异来判断是否存在于安全异常识别轨迹不匹配的安全异常拦截轨迹作为可疑安全异常拦截轨迹,可用于分析是否存在安全异常拦截活动由于安全异常识别活动被异常篡改导致的拦截识别的情况。
步骤S300,在所述安全异常拦截轨迹中携带可疑安全异常拦截轨迹时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动确定为关键安全异常拦截活动。
一种可能的设计中,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动确定为关键安全异常拦截活动,可用于在后续对关键安全异常拦截活动进行关键特征分析。
步骤S400,在检测到所述关键安全异常拦截活动时,获取所述关键安全异常拦截活动所对应的当前安全异常识别活动的目标活动标签,并基于所述目标活动标签从活动运行记录大数据中搜寻与所述目标活动标签匹配的安全异常识别活动对应的活动运行记录单元。
一种可能的设计中,所述目标活动标签可以是所述安全异常识别活动当前对应的日志标签。可以基于所述日志标签从预先配置的活动运行记录大数据中搜寻对应的活动运行记录单元,以用于后续基于所述活动运行记录单元获取与所述目标活动标签唯一关联的安全异常识别活动的当前活动业务节点信息与所述关键安全异常拦截活动的当前活动业务节点信息是否对应,进而判断是否存在安全异常拦截活动由于安全异常识别活动被异常篡改导致的拦截识别的情况。
步骤S500,通过所述活动运行记录单元获取所述安全异常识别活动的第一活动业务节点信息并获取所述关键安全异常拦截活动的第二活动业务节点信息,并基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动是否存在业务节点上的对应关系。
一种可能的设计中,当第一活动业务节点信息和第二活动业务节点信息不同或不匹配,则可以表示所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系,需要引起相关安全开发人员的注意。
示例性地,可以在基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,确定所述关键安全异常拦截活动存在拦截篡改情况,并向预设的信息安全服务终端发送提示信息。
如此,基于上述内容,一种可能的设计中,通过获取在信息安全扫描任务中安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹,以对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹。在确定出所述安全异常拦截轨迹中携带可疑安全异常拦截轨迹时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动确定为关键安全异常拦截活动,并在检测到所述关键安全异常拦截活动时,获取所述关键安全异常拦截活动所对应的当前安全异常识别活动的目标活动标签,并基于所述目标活动标签从活动运行记录大数据中搜寻与所述目标活动标签匹配的安全异常识别活动对应的活动运行记录单元。最后,通过所述活动运行记录单元获取所述安全异常识别活动的第一活动业务节点信息并获取所述关键安全异常拦截活动的第二活动业务节点信息,并基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动是否存在业务节点上的对应关系。在所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,确定所述关键安全异常拦截活动存在拦截篡改情况,并向预设的信息安全服务终端发送提示信息。如此,可以通过安全异常拦截活动以及安全异常识别活动二者的活动轨迹的结合实现安全异常识别活动与安全异常拦截活动的对应异常识别,并对存在拦截篡改情况的关键安全异常识别活动进行进一步识别。
一种可能的设计中,针对步骤S200,所述对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹,可以包括以下S2001-S2006的步骤,示例性介绍如下。
步骤S2001,基于所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹之间的关联特征信息,对所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹进行关联性分析,得到多个活动轨迹关联对。
一种可能的设计中,所述活动轨迹关联对中可以包括至少一组相互之间关联的安全异常识别轨迹和安全异常拦截轨迹。所述安全异常识别轨迹和所述安全异常拦截轨迹关联可以是指二者之间的轨迹关联度达到预设轨迹关联度。同时,所述安全异常识别轨迹和所述安全异常拦截轨迹关联则表示安全异常拦截活动和安全异常识别活动在对应的活动轨迹中是符合要求的。
一种可能的设计中,可首先将所述信息安全扫描任务中的安全异常拦截轨迹确定为候选安全异常拦截轨迹,将所述信息安全扫描任务中的安全异常识别轨迹确定为候选安全异常识别轨迹;所述候选安全异常拦截轨迹中的安全异常拦截节点信息是在所述在信息安全扫描任务中通过目标拦截记录单元中获取的;
然后,获取所述目标拦截记录单元中的安全异常识别节点信息,将所述目标拦截记录单元中的安全异常识别节点信息与所述候选安全异常识别轨迹中的安全异常识别节点信息之间的识别节点相关度量值,确定为所述候选安全异常拦截轨迹与所述候选安全异常识别轨迹之间的所述关联特征信息;
最后,当所述关联特征信息达到预设要求时,对所述候选安全异常拦截轨迹和所述候选安全异常识别轨迹进行关联性分析,得到所述多个活动轨迹关联对。
步骤S2002,将余下的安全异常拦截轨迹确定为候选安全异常拦截轨迹,基于所述候选安全异常拦截轨迹包含的第一安全异常拦截节点信息,获取所述候选安全异常拦截轨迹的第一活动轨迹特征向量。
一种可能的设计中,所述第一安全异常拦截节点信息产生于所述信息安全扫描任务;其中,每个所述活动轨迹关联对中的安全异常拦截轨迹分别包括所述信息安全扫描任务中的第二安全异常拦截节点信息。所述余下的安全异常拦截轨迹表示未关联到对应的安全异常识别轨迹的安全异常拦截轨迹,可能存在安全异常拦截活动的异常状态,因此被列为候选安全异常拦截轨迹,以进一步分析。所述第一活动轨迹特征向量可以是由对应的安全异常识别轨迹中的各个轨迹点组成的轨迹特征向量矩阵。
一种可能的设计中,所述第一安全异常拦截节点信息的数量可以包括多个。在此基础上,步骤S2002中,基于所述候选安全异常拦截轨迹包含的第一安全异常拦截节点信息,获取所述候选安全异常拦截轨迹的第一活动轨迹特征向量,可以通过以下步骤实现容。
(一)获取多个第一安全异常拦截节点信息中的每个第一安全异常拦截节点信息分别对应的拦截节点特征向量。其中,所述拦截节点特征向量可以至少包括所述第一安全异常拦截节点信息分别对应的拦截节点向量以及拦截节点标签等。
(二)基于所述每个第一安全异常拦截节点信息分别对应的拦截节点特征向量,获取所述多个第一安全异常拦截节点信息对应的第一拦截节点信息集。所述第一拦截节点信息集可以是由多个拦截节点特征向量分别按照时序轴的流动信息加入预设集合中。
(三)将所述第一拦截节点信息集,确定为所述第一活动轨迹特征向量。
步骤S2003,基于所述每个活动轨迹关联对包括的第二安全异常拦截节点信息,分别获取所述每个活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量。
一种可能的设计中,所述第二活动轨迹特征向量与第一活动轨迹特征向量相类似,其可以是由对应的安全异常拦截轨迹中的各个拦截轨迹点组成的拦截轨迹向量矩阵。
与上述第一活动轨迹特征向量的获取方式类似,基于所述每个活动轨迹关联对包括的第二安全异常拦截节点信息,分别获取所述每个活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量,可以通过以下步骤实现容:
首先,针对每个所述活动轨迹关联对,获取所述活动轨迹关联对包括的多个第二安全异常拦截节点信息中的每个第二安全异常拦截节点信息分别对应的拦截节点特征向量;
然后,基于所述每个第二安全异常拦截节点信息分别对应的拦截节点特征向量,获取所述多个第二安全异常拦截节点信息对应的第二拦截节点信息集;
最后,将所述第二拦截节点信息集,确定为所述活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量。
步骤S2004,获取所述第一活动轨迹特征向量分别与所述每个活动轨迹关联对中的安全异常拦截轨迹对应的第二活动轨迹特征向量之间的损失特征向量。
一种可能的设计中,所述损失特征向量可以用于表述所述候选安全异常拦截轨迹对应的第一活动轨迹特征向量与所述活动轨迹关联对中的安全异常拦截轨迹对应的第二活动轨迹特征向量之间的关联度。所述损失特征向量值越小,表示所述关联度越大,进而表明所述候选安全异常拦截轨迹的存在异常的可能性更小。
步骤S2005,基于所述每个活动轨迹关联对对应的损失特征向量,确定所述每个活动轨迹关联对中的安全异常拦截轨迹分别与所述候选安全异常拦截轨迹之间的轨迹相关度量值。
步骤S2006,当对应的轨迹相关度量值小于预设相关度量值的可疑安全异常拦截轨迹的数量达到目标数量时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动作为关键安全异常拦截活动。
针对步骤S100,所述获取在信息安全扫描任务中安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹,可以包括以下步骤,示例性介绍如下。
(1)获取所述信息安全扫描任务中的多个安全异常识别节点信息和多个安全异常拦截节点信息。
(2)获取所述多个安全异常识别节点信息之间的第一相关度量值和识别节点代价值,获取所述多个安全异常拦截节点信息之间的第二相关度量值和拦截节点代价值。
(3)基于所述第一相关度量值和所述识别节点代价值,对所述多个安全异常识别节点信息进行聚合,得到所述信息安全扫描任务中的安全异常识别轨迹;其中,一个安全异常识别轨迹包括至少两个安全异常识别节点信息。
(4)基于所述第二相关度量值和所述拦截节点代价值,对所述多个安全异常拦截节点信息进行聚合,得到所述信息安全扫描任务中的安全异常拦截轨迹。其中,一个安全异常拦截轨迹包括至少两个安全异常拦截节点信息。
在上述内容的基础上,本申请实施例还可以在判断所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,对所述当前安全异常识别活动是否存在异常篡改活动的识别过程,示例性介绍如下。
首先,当基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,可以获取包括所述关键安全异常拦截活动当前所对应的当前安全异常识别活动的异常识别日志数据。其中,所述当前安全异常识别活动的异常识别日志数据可以是在监控到所述关键安全异常拦截活动时,基于当前现场的安全异常识别活动监控设备对所述当前安全异常识别活动进行视频监控拍摄获得。
然后,基于所述异常识别日志数据对所述当前安全异常识别活动进行异常篡改活动分析,判断所述当前安全异常识别活动是否存在异常篡改活动;
最后,当判断所述当前安全异常识别活动存在异常篡改活动时,向预设的信息安全服务终端发送提示信息。
其中,一种可能的设计中,所述基于所述异常识别日志数据对所述当前安全异常识别活动进行异常篡改活动分析,判断所述当前安全异常识别活动是否存在异常篡改活动,可以通过以下步骤1-5实现。
1、分别按照时序轴的流动信息从所述异常识别日志数据中获取一个异常识别日志子数据作为当前异常识别日志子数据以及获取所述当前异常识别日志子数据之后的至少一个异常识别日志子数据作为参考异常识别日志子数据。
所述异常识别日志数据包括的各个异常识别日志子数据可以表示为:Data_1、Data_2、Data_3、....、Data_n、....Data_m。那么,所述异常识别日志数据可以包括Data_1至Data_m等多个异常识别日志子数据。那么,在首次进行异常识别日志子数据获取时,可以将Data_1作为当前异常识别日志子数据,Data_2作为参考异常识别日志子数据。在第二次进行异常识别日志子数据获取时,可以将Data_2作为当前异常识别日志子数据,将Data_3作为参考异常识别日志子数据;在第n次进行异常识别日志子数据获取时,可以将Data_n作为当前异常识别日志子数据,将Data_n+1作为参考异常识别日志子数据,循环执行。
又示例性地,所述参考异常识别日志子数据也可以是多个,示例性地,以每次获取两个参考异常识别日志子数据为例,在首次进行异常识别日志子数据获取时,可以将Data_1作为当前异常识别日志子数据,Data_2以及Data_3作为参考异常识别日志子数据;在第二次进行异常识别日志子数据获取时,可以将Data_2作为当前异常识别日志子数据,将Data_3以及Data_4作为参考异常识别日志子数据;在第n次进行异常识别日志子数据获取时,可以将Data_n作为当前异常识别日志子数据,将Data_n+1以及Data_n+2作为参考异常识别日志子数据,循环执行。
如此,基于异常识别标签序列对当前异常识别日志子数据进行核心异常识别特征提取,采集得到的第一核心异常识别特征中具有异常识别标签序列的异常识别标签向量,然后基于异常识别标签序列对参考异常识别日志子数据进行核心异常识别特征提取,且得到的第二核心异常识别特征中也具有异常识别标签序列的异常识别标签向量。
2、基于所述当前安全异常识别活动的异常识别标签序列,对所述当前异常识别日志子数据和所述参考异常识别日志子数据分别进行核心异常识别特征提取,得到所述当前异常识别日志子数据的第一核心异常识别特征和所述参考异常识别日志子数据的第二核心异常识别特征。
一种可能的设计中,所述第一核心异常识别特征部分用于表达所述当前异常识别日志子数据所包括的异常识别特征与所述异常识别标签序列之间的相关度量值,所述第二核心异常识别特征部分用于表达所述参考异常识别日志子数据所包括的异常识别特征与所述异常识别标签序列之间的相关度量值。
其中,基于所述异常识别标签序列,对所述当前异常识别日志子数据进行核心异常识别特征提取,得到所述当前异常识别日志子数据的第一核心异常识别特征,可以包括:
首先,对所述异常识别标签序列进行核心异常识别特征提取,得到所述异常识别标签序列的异常识别标签向量;
其次,对所述当前异常识别日志子数据中的多个异常识别热力数据进行核心异常识别特征提取,得到所述多个异常识别热力数据的热力核心异常识别特征;
然后,基于所述异常识别标签向量和所述多个异常识别热力数据的热力核心异常识别特征,确定所述多个异常识别热力数据的标签相关度,其中,所述异常识别热力数据的标签相关度表征所述异常识别热力数据与所述异常识别标签序列之间的相关度量值;
最后,基于所述多个异常识别热力数据的标签相关度,对所述多个异常识别热力数据的热力核心异常识别特征进行特征聚合,得到所述第一核心异常识别特征。
3、对所述第一核心异常识别特征和所述第二核心异常识别特征进行聚合,得到所述当前异常识别日志子数据的核心异常识别聚合特征。
为了使第一核心异常识别特征中具有更多的可描述异常识别特征的特征向量,可以将第一核心异常识别特征与第二核心异常识别特征进行聚合,得到当前异常识别日志子数据的核心异常识别聚合特征,该核心异常识别聚合特征中不仅包括当前异常识别日志子数据所包括的异常识别特征,还包括该参考异常识别日志子数据中所包括的异常识别特征。
如此,将当前异常识别日志子数据之后的参考异常识别日志子数据的第二核心异常识别特征,融合到当前异常识别日志子数据的第一核心异常识别特征中,使得到的当前异常识别日志子数据的核心异常识别聚合特征中既包含当前异常识别日志子数据所包括的异常识别特征,又包含之后的参考异常识别日志子数据所包括的异常识别特征,该核心异常识别聚合特征能够更加完善对当前异常识别日志数据的异常识别特征进行表达,进而使得基于核心异常识别聚合特征对当前安全异常识别活动的相关异常特征进行描述,使后续的安全异常识别活动异常篡改活动分析结果的精度更高。并且,由于核心异常识别特征是基于异常识别标签序列进行获得的,该核心异常识别特征还能够体现异常识别日志子数据中所包括的异常识别特征与异常识别标签序列所表征的异常识别特征的相关度量值。
一种可能的设计中,在所述参考异常识别日志子数据可以包括多个时。基于此,所述对所述第一核心异常识别特征和所述第二核心异常识别特征进行聚合,得到所述当前异常识别日志子数据的核心异常识别聚合特征,可以包括:
基于所述第一核心异常识别特征与多个第二核心异常识别特征之间的第二关联支持度,从所述多个参考异常识别日志子数据中获取最大的第二关联支持度对应的所述参考异常识别日志子数据,所述第二关联支持度部分用于表达所述参考异常识别日志子数据所包括的异常识别特征与所述当前异常识别日志子数据所包括的异常识别特征之间的特征向量损失度;
将所述第一核心异常识别特征和获取的所述参考异常识别日志子数据的第二核心异常识别特征进行聚合,得到所述核心异常识别聚合特征。
4、将所述核心异常识别聚合特征与所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板进行关联性分析,当所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板和所述核心异常识别聚合特征匹配时,则判断所述当前安全异常识别活动不存在异常篡改活动。
5、当所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板和所述核心异常识别聚合特征不匹配时,则判断所述当前安全异常识别活动存在异常篡改活动。
图2示出了本申请实施例提供的用于实现上述的基于大数据的计算机信息安全处理方法的信息安全服务系统100的硬件结构意图,如图2所示,信息安全服务系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
一种可能的设计中,信息安全服务系统100可以是单个服务器,也可以是服务器组。所述服务器组可以是集中式的,也可以是分布式的(例如,信息安全服务系统100可以是分布式的系统)。在一些实施例中,信息安全服务系统100可以是本地的,也可以是远程的。例如,信息安全服务系统100可以经由网络访问存储于机器可读存储介质120中的信息和/或数据。又例如,信息安全服务系统100可以直接连接到机器可读存储介质120以访问存储的信息和/或数据。在一些实施例中,信息安全服务系统100可以在信息安全服务系统上实施。仅作为示例,该信息安全服务系统可以包括私有云、公共云、混合云、社区云、分布云、内部云、多层云等或其任意组合。
机器可读存储介质120可以存储数据和/或指令。在一些实施例中,机器可读存储介质120可以存储从外部终端获取的数据。在一些实施例中,机器可读存储介质120可以存储信息安全服务系统100用来执行或使用来完成本申请中描述的示例性方法的数据及/或指令。在一些实施例中,机器可读存储介质120可包括大容量存储器、可移动存储器、易失性读写存储器、只读存储器(ROM)等或其任意组合。示例性的大容量存储器可以包括磁盘、光盘、固态磁盘等。示例性可移动存储器可以包括闪存驱动器、软盘、光盘、存储卡、压缩盘、磁带等。示例性易失性读写存储器可以包括随机存取内存(RAM)。示例性RAM可包括主动随机存取存储器(DRAM)、双倍数据速率同步主动随机存取存储器(DDR SDRAM)、被动随机存取存储器(SRAM)、晶闸管随机存取存储器(T-RAM)和零电容随机存取存储器(Z-RAM)等。示例性只读存储器可以包括掩模型只读存储器(MROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(PEROM)、电可擦除可编程只读存储器(EEPROM)、光盘只读存储器(CD-ROM)和数字多功能磁盘只读存储器等。在一些实施例中,机器可读存储介质120可以在信息安全服务系统上实现。仅作为示例,信息安全服务系统可以包括私有云、公共云、混合云、社区云、分布云、内部云,多层云等,或其任意组合。
在具体实现过程中,至少一个处理器110执行机器可读存储介质120存储的计算机可执行指令,使得处理器110可以执行如上方法实施例的基于大数据的计算机信息安全处理方法,处理器110、机器可读存储介质120以及通信单元140通过总线130连接,处理器110可以用于控制通信单元140的收发动作。
处理器110的具体实现过程可参见上述信息安全服务系统100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
此外,本申请实施例还提供一种可读存储介质,所述可读存储介质中预设有计算机可执行指令,当处理器执行所述计算机可执行指令时,实现如上基于大数据的计算机信息安全处理方法。
应当理解的是,以上描述仅出于说明的目的,并不旨在限制本申请的范围。对于本领域的普通技术人员来说,可以根据本申请的描述,做出多种修改和变化。然而,这些修改和变化不会背离本申请的范围。
上文已对基本概念做了描述,显然,对于阅读此申请后的本领域的普通技术人员来说,上述发明公开仅作为示例,并不构成对本申请的限制。虽然此处并没有明确说明,本领域技术人员可能会对本申请进行各种修改、改进和修正。该类修改、改进和修正在本申请中被建议,所以该类修改、改进、修正仍属于本申请示范实施例的精神和范围。
同时,本申请使用了特定词语来描述本申请的实施例。例如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本申请至少一个实施例相关的某一特征、结构或特性。因此,应当强调并注意的是,本说明书中在不同位置两次或以上提及的“一实施例”或“一个实施例”或“一替代性实施例”并不一定系指同一实施例。此外,本申请的一个或以上实施例中的某些特征、结构或特性可以进行适当的组合。
此外,本领域的普通技术人员可以理解,本申请的各方面可以通过若干具有可专利性的种类或情况进行说明和描述,包括任何新的和有用的过程、机器、产品或物质的组合,或对其任何新的和有用的改良。相应地,本申请的各个方面可以完全由硬件执行、可以完全由软件(包括韧体、常驻软件、微代码等)执行、也可以由硬件和软件组合执行。以上硬件或软件均可被称为“单元”、“模块”或“系统”。此外,本申请公开的各方面可以采取体现在一个或以上计算机可读介质中的计算机程序产品的形式,其中计算机可读程序代码包含在其中。
计算机可读信号介质可能包含一个内含有计算机程序编码的传播数据信号,例如在基带上或作为载波的一部分。此类传播信号可以有多种形式,包括电磁形式、光形式等或任何合适的组合形式。计算机可读信号介质可以是除计算机可读存储介质之外的任何计算机可读介质,该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机可读信号介质上的程序编码可以通过任何合适的介质进行传播,包括无线电、电缆、光纤电缆、RF、或类似介质等或其任意组合。
本申请各部分操作所需的计算机程序编码可以用任意一种或以上程序语言编写,包括面向持续活动编程语言如Java、Scala、Smalltalk、Eiffel、JADE、Emerald、C++、C#、VB.NET、Python等,常规程序化编程语言如C语言、Visual Basic、Fortran 2003、Perl、COBOL 2002、PHP、ABAP,主动编程语言如Python、Ruby和Groovy,或其它编程语言等。该程序编码可以完全在用户计算机上运行、或作为独立的软件包在用户计算机上运行、或部分在用户计算机上运行部分在远程计算机运行、或完全在远程计算机或服务器上运行。在后种情况下,远程计算机可以通过任何网络形式与用户计算机连接,比如局域网(LAN)或广域网(WAN),或连接至外部计算机(例如通过因特网),或在云计算环境中,或作为服务使用如软件即服务(SaaS)。
此外,除非权利要求中明确说明,本申请所述处理元素和序列的顺序、数字字母的使用、或其它名称的使用,并非用于限定本申请流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例,但应当理解的是,该类细节仅起到说明的目的,附加的权利要求并不仅限于披露的实施例,相反,权利要求旨在覆盖所有符合本申请实施例实质和范围的修正和等价组合。例如,虽然以上所描述的系统组件可以通过硬件设备实现,但是也可以只通过软件的解决方案得以实现,如在现有的服务器或移动设备上安装所描述的系统。
同理,应当注意的是,为了简化本申请披露的表述,从而帮助对一个或以上发明实施例的理解,前文对本申请实施例的描述中,有时会将多种特征归并至一个实施例、附图或对其的描述中。同理,应当注意的是,为了简化本申请披露的表述,从而帮助对一个或以上发明实施例的理解,前文对本申请实施例的描述中,有时会将多种特征归并至一个实施例、附图或对其的描述中。

Claims (10)

1.一种基于大数据的计算机信息安全处理方法,应用于信息安全服务系统,所述信息安全服务系统与计算机服务终端通信连接,其特征在于,所述方法包括:
获取在信息安全扫描任务中所述计算机服务终端的安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹;
对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹;
在所述安全异常拦截轨迹中携带可疑安全异常拦截轨迹时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动确定为关键安全异常拦截活动;
在检测到所述关键安全异常拦截活动时,获取所述关键安全异常拦截活动所对应的当前安全异常识别活动的目标活动标签,并基于所述目标活动标签从活动运行记录大数据中搜寻与所述目标活动标签匹配的安全异常识别活动对应的活动运行记录单元;
通过所述活动运行记录单元获取所述安全异常识别活动的第一活动业务节点信息并获取所述关键安全异常拦截活动的第二活动业务节点信息,并基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动是否存在业务节点上的对应关系。
2.根据权利要求1所述的基于大数据的计算机信息安全处理方法,其特征在于,所述方法还包括:
当基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,确定所述关键安全异常拦截活动存在拦截篡改情况,并向预设的信息安全服务终端发送提示信息。
3.根据权利要求1所述的基于大数据的计算机信息安全处理方法,其特征在于,所述对所述安全异常识别轨迹和所述安全异常拦截轨迹进行关联性分析,确定所述安全异常拦截轨迹中是否携带可疑安全异常拦截轨迹,包括:
基于所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹之间的关联特征信息,对所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹进行关联性分析,得到多个活动轨迹关联对;
将余下的安全异常拦截轨迹确定为候选安全异常拦截轨迹,基于所述候选安全异常拦截轨迹包含的第一安全异常拦截节点信息,获取所述候选安全异常拦截轨迹的第一活动轨迹特征向量;所述第一安全异常拦截节点信息产生于所述信息安全扫描任务;其中,每个所述活动轨迹关联对中的安全异常拦截轨迹分别包括所述信息安全扫描任务中的第二安全异常拦截节点信息;
基于每个活动轨迹关联对包括的第二安全异常拦截节点信息,分别获取所述每个活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量;
获取所述第一活动轨迹特征向量分别与所述每个活动轨迹关联对中的安全异常拦截轨迹对应的第二活动轨迹特征向量之间的损失特征向量;
基于所述每个活动轨迹关联对对应的损失特征向量,确定所述每个活动轨迹关联对中的安全异常拦截轨迹分别与所述候选安全异常拦截轨迹之间的轨迹相关度量值;
当对应的轨迹相关度量值小于预设相关度量值的可疑安全异常拦截轨迹的数量达到目标数量时,将所述可疑安全异常拦截轨迹对应的安全异常拦截活动作为关键安全异常拦截活动;所述可疑安全异常拦截轨迹包含于所述候选安全异常拦截轨迹中。
4.根据权利要求3所述的基于大数据的计算机信息安全处理方法,其特征在于,所述第一安全异常拦截节点信息的数量为多个;
所述基于所述候选安全异常拦截轨迹包含的第一安全异常拦截节点信息,获取所述候选安全异常拦截轨迹的第一活动轨迹特征向量,包括:
获取多个第一安全异常拦截节点信息中的每个第一安全异常拦截节点信息分别对应的拦截节点特征向量;
基于所述每个第一安全异常拦截节点信息分别对应的拦截节点特征向量,获取所述多个第一安全异常拦截节点信息对应的第一拦截节点信息集;
将所述第一拦截节点信息集,确定为所述第一活动轨迹特征向量;
所述基于所述每个活动轨迹关联对包括的第二安全异常拦截节点信息,分别获取所述每个活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量,包括:
针对每个所述活动轨迹关联对,获取所述活动轨迹关联对包括的多个第二安全异常拦截节点信息中的每个第二安全异常拦截节点信息分别对应的拦截节点特征向量;
基于所述每个第二安全异常拦截节点信息分别对应的拦截节点特征向量,获取所述多个第二安全异常拦截节点信息对应的第二拦截节点信息集;
将所述第二拦截节点信息集,确定为所述活动轨迹关联对中的安全异常拦截轨迹的第二活动轨迹特征向量。
5.根据权利要求3所述的基于大数据的计算机信息安全处理方法,其特征在于,所述获取在信息安全扫描任务中安全异常识别活动的安全异常识别轨迹和所述安全异常识别活动对应的安全异常拦截活动的安全异常拦截轨迹,包括:
获取所述信息安全扫描任务中的多个安全异常识别节点信息和多个安全异常拦截节点信息;
获取所述多个安全异常识别节点信息之间的第一相关度量值和识别节点代价值,获取所述多个安全异常拦截节点信息之间的第二相关度量值和拦截节点代价值;
基于所述第一相关度量值和所述识别节点代价值,对所述多个安全异常识别节点信息进行聚合,得到所述信息安全扫描任务中的安全异常识别轨迹;其中,一个安全异常识别轨迹包括至少两个安全异常识别节点信息;
基于所述第二相关度量值和所述拦截节点代价值,对所述多个安全异常拦截节点信息进行聚合,得到所述信息安全扫描任务中的安全异常拦截轨迹;一个安全异常拦截轨迹包括至少两个安全异常拦截节点信息;
所述基于所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹之间的关联特征信息,对所述信息安全扫描任务中的安全异常识别轨迹和安全异常拦截轨迹进行关联性分析,得到多个活动轨迹关联对,包括:
将所述信息安全扫描任务中的安全异常拦截轨迹确定为候选安全异常拦截轨迹,将所述信息安全扫描任务中的安全异常识别轨迹确定为候选安全异常识别轨迹;所述候选安全异常拦截轨迹中的安全异常拦截节点信息是在所述在信息安全扫描任务中通过目标拦截记录单元中获取的;
获取所述目标拦截记录单元中的安全异常识别节点信息;
将所述目标拦截记录单元中的安全异常识别节点信息与所述候选安全异常识别轨迹中的安全异常识别节点信息之间的识别节点相关度量值,确定为所述候选安全异常拦截轨迹与所述候选安全异常识别轨迹之间的所述关联特征信息;
当所述关联特征信息达到预设要求时,对所述候选安全异常拦截轨迹和所述候选安全异常识别轨迹进行关联性分析,得到所述多个活动轨迹关联对。
6.根据权利要求1-5中任意一项所述的基于大数据的计算机信息安全处理方法,其特征在,所述方法还包括:
当基于所述第一活动业务节点信息和所述第二活动业务节点信息判断所述关键安全异常拦截活动与所述安全异常识别活动不存在业务节点上的对应关系时,获取包括所述关键安全异常拦截活动当前所对应的当前安全异常识别活动的异常识别日志数据;
基于所述异常识别日志数据对所述当前安全异常识别活动进行异常篡改活动分析,判断所述当前安全异常识别活动是否存在异常篡改活动;
当判断所述当前安全异常识别活动存在异常篡改活动时,向预设的信息安全服务终端发送提示信息。
7.根据权利要求1所述的基于大数据的计算机信息安全处理方法,其特征在于,所述基于所述异常识别日志数据对所述当前安全异常识别活动进行异常篡改活动分析,判断所述当前安全异常识别活动是否存在异常篡改活动,包括:
分别按照时序轴的流动信息从所述异常识别日志数据中获取一个异常识别日志子数据作为当前异常识别日志子数据以及获取所述当前异常识别日志子数据之后的至少一个异常识别日志子数据作为参考异常识别日志子数据;
基于所述当前安全异常识别活动的异常识别标签序列,对所述当前异常识别日志子数据和所述参考异常识别日志子数据分别进行核心异常识别特征提取,得到所述当前异常识别日志子数据的第一核心异常识别特征和所述参考异常识别日志子数据的第二核心异常识别特征,所述第一核心异常识别特征部分用于表达所述当前异常识别日志子数据所包括的异常识别特征与所述异常识别标签序列之间的相关度量值,所述第二核心异常识别特征部分用于表达所述参考异常识别日志子数据所包括的异常识别特征与所述异常识别标签序列之间的相关度量值;
对所述第一核心异常识别特征和所述第二核心异常识别特征进行聚合,得到所述当前异常识别日志子数据的核心异常识别聚合特征;
将所述核心异常识别聚合特征与所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板进行关联性分析,当所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板和所述核心异常识别聚合特征匹配时,则判断所述当前安全异常识别活动不存在异常篡改活动;
当所述活动运行记录大数据中配置的与所述异常识别标签序列对应的异常识别特征模板和所述核心异常识别聚合特征不匹配时,则判断所述当前安全异常识别活动存在异常篡改活动。
8.根据权利要求7所述的基于大数据的计算机信息安全处理方法,其特征在于,基于所述异常识别标签序列,对所述当前异常识别日志子数据进行核心异常识别特征提取,得到所述当前异常识别日志子数据的第一核心异常识别特征,包括:
对所述异常识别标签序列进行核心异常识别特征提取,得到所述异常识别标签序列的异常识别标签向量;
对所述当前异常识别日志子数据中的多个异常识别热力数据进行核心异常识别特征提取,得到所述多个异常识别热力数据的热力核心异常识别特征;
基于所述异常识别标签向量和所述多个异常识别热力数据的热力核心异常识别特征,确定所述多个异常识别热力数据的标签相关度,其中,所述异常识别热力数据的标签相关度表征所述异常识别热力数据与所述异常识别标签序列之间的相关度量值;
基于所述多个异常识别热力数据的标签相关度,对所述多个异常识别热力数据的热力核心异常识别特征进行特征聚合,得到所述第一核心异常识别特征;
其中,在所述参考异常识别日志子数据包括多个时,所述对所述第一核心异常识别特征和所述第二核心异常识别特征进行聚合,得到所述当前异常识别日志子数据的核心异常识别聚合特征,包括:
基于所述第一核心异常识别特征与多个第二核心异常识别特征之间的第二关联支持度,从多个参考异常识别日志子数据中获取最大的第二关联支持度对应的所述参考异常识别日志子数据,所述第二关联支持度部分用于表达所述参考异常识别日志子数据所包括的异常识别特征与所述当前异常识别日志子数据所包括的异常识别特征之间的特征向量损失度;
将所述第一核心异常识别特征和获取的所述参考异常识别日志子数据的第二核心异常识别特征进行聚合,得到所述核心异常识别聚合特征。
9.一种信息安全服务系统,其特征在于,所述系统包括信息安全服务系统以及与所述信息安全服务系统通信连接的各个计算机服务终端,所述信息安全服务系统包括处理器和存储器,所述存储器和所述处理器连接,所述存储器用于存储程序、指令或代码,所述处理器用于执行所述存储器中的程序、指令或代码,以实现上述权利要求1-8任意一项所述的基于大数据的计算机信息安全处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序、指令或代码,所述程序、指令或代码被执行时以实现上述权利要求1-8任意一项所述的基于大数据的计算机信息安全处理方法。
CN202110931176.9A 2021-08-13 2021-08-13 基于大数据的计算机信息安全处理方法及系统 Withdrawn CN113626807A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110931176.9A CN113626807A (zh) 2021-08-13 2021-08-13 基于大数据的计算机信息安全处理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110931176.9A CN113626807A (zh) 2021-08-13 2021-08-13 基于大数据的计算机信息安全处理方法及系统

Publications (1)

Publication Number Publication Date
CN113626807A true CN113626807A (zh) 2021-11-09

Family

ID=78385421

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110931176.9A Withdrawn CN113626807A (zh) 2021-08-13 2021-08-13 基于大数据的计算机信息安全处理方法及系统

Country Status (1)

Country Link
CN (1) CN113626807A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115795454A (zh) * 2022-12-23 2023-03-14 刘勇 基于线上操作大数据的业务优化方法及人工智能优化系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115795454A (zh) * 2022-12-23 2023-03-14 刘勇 基于线上操作大数据的业务优化方法及人工智能优化系统
CN115795454B (zh) * 2022-12-23 2024-03-01 北京数智云科信息科技有限公司 基于线上操作大数据的业务优化方法及人工智能优化系统

Similar Documents

Publication Publication Date Title
CN109816397B (zh) 一种欺诈判别方法、装置及存储介质
CN111177714B (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN110290522B (zh) 用于移动设备的风险识别方法、装置和计算机系统
CN111078513B (zh) 日志处理方法、装置、设备、存储介质及日志告警系统
CN113869778B (zh) 一种基于城市管理的无人机河道巡检方法及系统
CN113689292B (zh) 基于图像背景识别的用户聚集识别方法及系统
CN113592869B (zh) 一种建筑幕墙玻璃破裂图像识别方法及报警系统
CN113626807A (zh) 基于大数据的计算机信息安全处理方法及系统
CN113486345B (zh) 具有风险识别的监督预警方法及系统
CN113535823B (zh) 异常访问行为检测方法、装置及电子设备
CN113689291A (zh) 基于异常移动的反欺诈识别方法及系统
CN115454781B (zh) 基于企业架构系统的数据可视化展现方法及系统
US20230017839A1 (en) Risk analysis result display apparatus, method, and computer readable media
CN113641702B (zh) 一种语句审计后与数据库客户端交互处理方法和装置
CN115292310B (zh) 告警事件数据处理方法、装置、电子设备及存储介质
CN113596061B (zh) 基于区块链技术的网络安全漏洞响应方法
CN113297583B (zh) 漏洞风险分析方法、装置、设备及存储介质
CN114925365A (zh) 一种文件处理方法、装置、电子设备及存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN113297498A (zh) 基于互联网的食品属性挖掘方法及系统
CN113706181B (zh) 基于用户行为特征的业务处理检测方法及系统
CN112395619A (zh) 一种漏洞扫描方法及装置
CN118316705B (zh) 一种服务器集群的数据安全处理方法、装置及电子设备
CN113835988B (zh) 指标信息预测方法及系统
CN114444084B (zh) 一种模糊测试方法及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20211109

WW01 Invention patent application withdrawn after publication