CN114219374B - 一种基于区块链的大数据分析决策系统与方法 - Google Patents

Abstract

本发明提出了一种基于区块链的大数据分析决策系统与方法，通过采用区块链的链上存储来实现系统预置的关键映射表固化，从而避免了在进行网络安全事件决策的过程中产生安全策略查询的关联关系缺失。同时，本申请以安全事件为单位，通过将网络安全攻击和故障事件化分析，较为合理地将网络攻击数据以恰当的粒度进行分离并基于事件化的攻击信息进行针对性决策，实现了网络安全的差异化防护和较精准的网络安全防护粒度。再次，本申请基于云计算系统中的安全攻击大数据，执行事件化安全信息大数据的上云和存储固化，便于系统从带外获取历史安全事件相关信息，从而有效辅助系统执行基于区块链的大数据事件化目标智能分析和决策。

Description

一种基于区块链的大数据分析决策系统与方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于区块链的大数据分析决策系统及方法。

背景技术

随着对区块链技术的研究愈发深入，区块链在各种应用领域的交叉式研究同样方兴未艾，并为诸如金融、电子信息、大数据等行业带来了新的行业发展契机。

区块链的技术定义即为由多个区块组成的链式结构。区块链结构来自于数据存储需求，并在信息社会得到了愈发广泛的应用。区块链的主要特点包括但不限于：区块数据是分布式存储的，这使得区块数据在存在部分破坏的情况下，依然能够靠区块的多点存储特性得以恢复。其次，区块数据是不可抵赖的，因同时修改多点存储记录的不可操作性，因此，存储在区块上的数据，在单点修改后，依然能够通过多点账本的同步，实现其存储的不可抵赖性，从而达到较高的数据安全性。

随着区块链对生产行业的影响愈发显现，将区块链应用于诸如大数据等前沿行业的前景凸显，未来广阔。高速发展的信息时代，新一轮科技革命和变革正在加速推进，技术创新日益成为重塑经济发展模式和促进经济增长的重要驱动力量，而“大数据”无疑是核心推动力。最早提出“大数据”这一概念的是全球知名咨询公司麦肯锡，它是这样定义大数据的：一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型以及价值密度低四大特征。大数据的战略意义不在于掌握庞大的数据，而在于对这些含有意义的数据进行专业化处理。一般认为，大数据主要具有以下4个方面的典型特征，即大量、多样、高速和价值。大数据的特征首先就是数据规模大。随着互联网、物联网、移动互联技术的发展，人和事物的所有轨迹都可以被记录下来，数据呈现出爆发性增长。数据来源的广泛性，决定了数据形式的多样性。大数据可以分为三类，一是结构化数据，如财务系统数据、信息管理系统数据、医疗系统数据等,其特点是数据间因果关系强;二 是非结构化的数据，如视频、图片、音频等，其特点是数据间没有因果关系;三是半结构化数据，如HTML文档、邮件、网页等，其特点是数据间的因果关系弱。有统计显示，目前结构化数据占据整个互联网数据量的75%以上，而产生价值的大数据，往往是这些非结构化数据。数据的增长速度和处理速度是大数据高速性的重要体现。与以往的报纸、书信等传统数据载体生产传播方式不同，在大数据时代，大数据的交换和传播主要是通过互联网和云计算等方式实现的,其生产和传播数据的速度是非常迅速的。另外,大数据还要求处理数据的响应速度要快，例如，上亿条数据的分析必须在几秒内完成。数据的输入 、处理与丢弃必须立刻见效，几乎无延迟。大数据的核心特征是价值，其实价值密度的高低和数据总量的大小是成反比的，即数据价值密度越高数据总量越小，数据价值密度越低数据总量越大。任何有价值的信息的提取依托的就是海量的基础数据。当然目前大数据背景下有个未解决的问题，如何通过强大的机器算法更迅速地在海量数据中完成数据的价值提纯。

在网络安全防护过程中，往往涉及海量的网络安全信息以及对网络安全攻击信息和防御信息的保全与固化，如何在有效防御的同时，对网络防护信息执行安全可靠的存储并对海量数据执行结构化的带外管理，成为信息时代网络安全的一大难题。

本发明提出了一种基于区块链的大数据分析决策方法及系统，通过采用区块链的链上存储来实现系统预置的关键映射表固化，从而避免了在进行网络安全事件决策的过程中产生安全策略查询的关联关系缺失。同时，本申请以安全事件为单位，通过将网络安全攻击和故障事件化分析，较为合理地将网络攻击数据以恰当的粒度进行分离并基于事件化的攻击信息进行针对性决策，实现了网络安全的差异化防护和较精准的网络安全防护粒度。再次，本申请基于云计算系统中的安全攻击大数据，执行事件化安全信息大数据的上云和存储固化，便于系统从带外获取历史安全事件相关信息，从而有效辅助系统执行基于区块链的大数据事件化目标智能分析和决策。

发明内容

本发明旨在提供一种优于现有技术的基于区块链的大数据分析决策系统及方法。

为了实现上述目的，本发明的技术方案如下：

一种基于区块链的大数据分析决策系统，所述系统包括：

大数据采集器，用于从多个遭遇安全事件的网络设备采集安全事件报文，并将所述安全事件报文传送至云计算网络进行分布式存档；

所述大数据采集器还用于将所述从多个遭遇安全事件的网络设备采集的安全事件报文解析后发送至所述基于区块链的大数据事件化目标智能分析决策系统的数据库，存储为历史安全事件；

基于区块链的大数据事件化目标智能分析决策系统的数据库，所述基于区块链的大数据事件化目标智能分析决策系统的数据库用于存储系统的历史安全事件；

区块链链上存储区，用于在区块链上不可抵赖地存储系统预置的网络设备安全事件置信表以及安全策略归集查询表，并提供给所述系统的设备置信模块以及策略归集模块所使用；

多个网络设备，每个所述网络设备运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；

所述网络设备还用于在遭遇网络安全事件时，向所述基于区块链的大数据事件化目标智能分析决策系统的安全事件归一器发送安全事件报文；

所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

安全事件归一器，所述安全事件归一器用于将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

设备置信模块，所述设备置信模块用于接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

策略归集模块，所述策略归集模块用于接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

处理层级模块；所述处理层级模块用于接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

智能管理决策模块，所述智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0,K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

较佳地，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

较佳地，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

较佳地，所述网络设备安全事件置信表由所述基于区块链的大数据事件化目标智能分析决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

较佳地，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

同时，本申请还诉求保护一种基于区块链的大数据分析方法，所述方法包括如下步骤：

步骤一：操作大数据采集器从多个遭遇安全事件的网络设备采集安全事件报文，并将所述安全事件报文传送至云计算网络进行分布式存档；

所述大数据采集器还用于将所述从多个遭遇安全事件的网络设备采集的安全事件报文解析后发送至所述基于区块链的大数据分析决策系统的数据库，存储为历史安全事件；

操作基于区块链的大数据分析决策系统的数据库存储系统的历史安全事件；

步骤二：操作区块链链上存储区在区块链上不可抵赖地存储系统预置的网络设备安全事件置信表以及安全策略归集查询表，并提供给所述系统的设备置信模块以及策略归集模块所使用；

步骤三：操作多个网络设备中的每个所述网络设备，使其运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；所述网络设备还用于在遭遇网络安全事件时，向所述基于区块链的大数据分析决策系统的安全事件归一器发送安全事件报文；所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

步骤四：操作安全事件归一器将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

步骤五：操作设备置信模块接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

步骤六：操作策略归集模块接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

步骤七：操作处理层级模块接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

步骤八：操作智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0,K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

较佳地，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

较佳地，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

较佳地，所述网络设备安全事件置信表由所述基于区块链的大数据分析决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

较佳地，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

本发明提出了一种基于区块链的大数据分析决策方法及系统，基于以事件为颗粒度的安全事故，将网络安全攻击和故障事件化分析，较为合理地将网络攻击数据以恰当的粒度进行分离并基于事件化的攻击信息进行针对性决策，实现了网络安全的差异化防护和较精准的网络安全防护粒度。同时本发明利用大数据固化存储来保存安全系统的历史数据，用以在安全事件处理过程中提供数据支持，得到较之现有技术更佳的事件化系统安全分析决策和处理效果。

附图说明

图1是本发明示出的基于区块链的大数据分析决策系统的一种基本系统结构图；

图2是本发明示出的基于区块链的大数据分析决策系统中大数据采集器与数据库模块互联的一种基本系统结构图；

图3是本发明示出的基于区块链的大数据分析决策系统中数据库模块与智能管理决策模块互联的一种基本系统结构图；

图4是本发明示出的基于区块链的大数据分析方法步骤流程图的一种较佳实施例；

图5是本发明示出基于区块链的大数据分析方法操作大数据采集器与操作区块链链上存储区步骤的一种优选显示实施例示意图。

具体实施方式

以下具体描述本发明所请求保护的一种基于区块链的大数据分析决策系统的若干实施例和有益效果，以有助于对本发明进行更细致的审查和分解。

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应当理解，尽管在本发明实施例中可能采用术语第一、第二等来描述方法和相应装置，但这些关键词不应限于这些术语。这些术语仅用来将关键词彼此区分开。例如，在不脱离本发明实施例范围的情况下，第一参数集、第一事件决策数据等也可以被称为第二参数集、第二事件决策数据，类似地，第二参数集、第二事件决策数据等也可以被称为第一参数集、第一事件决策数据。

取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

如说明书附图1-3所示，说明书附图1-3为本发明所请求保护的一种基于区块链的大数据分析决策系统及其具体内含模块互联关系的实施例之一，所述系统包括：

多个网络设备，每个所述网络设备运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；

所述网络设备还用于在遭遇网络安全事件时，向所述基于区块链的大数据分析决策系统的安全事件归一器发送安全事件报文；

所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

作为一种可叠加的优选实施例，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体可为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级。其中，所述网络设备ID用于表征网络设备的各异性并标识网络设备，所述安全事件第一参数集至少包含本次安全事件数据报文协议流表，用于记录并汇总传输错误的数据报文协议簇类型；安全故障范围，用于确定安全故障的并发范围；安全故障新发指标，用于确定本次安全故障是否为特定周期内的新发故障。作为另一种可叠加的优选实施例，所述安全故障的并发范围用于在本网络设备A发生故障时，网络设备A向直接连接或上下游的同类型网络设备发送故障探测报文，用于检测直接连接或上下游的同类型网络设备是否发生同类型故障，并在网络设备A直接连接或上下游的同类型网络设备是发生同类型故障时，继续向网络设备A直接连接或上下游的同类型网络设备的直接连接或上下游的同类型网络设备发送故障探测报文用于检测网络设备A直接连接或上下游的同类型网络设备的直接连接或上下游的同类型网络设备是否发生同类型故障，直至未发生故障或故障探测报文已被发送至少三次，则停止发送故障探测报文。安全故障范围的值为故障探测报文发送次数，若故障探测报文已被发送至少三次，达到上限，则此时，安全故障范围的值也即等于3。所述安全故障新发指标用于在特定维护周期内，例如3day，确定特定网络设备是否为第一次新发故障，用于确定该网络设备的故障发生率，并基于所述网络设备的故障发生率确定返修概率，所述返修概率与所述安全故障新发指标成正比例关系。若特定周期内该网络设备故障新发，则所述安全故障新发指标为1，用以表征此次故障，若特定周期内该网络设备故障非新发且已发生K次，则所述安全故障新发指标为K+1。作为另一种可叠加的优选实施例，所述安全事件发生层级与关联层级用于表征所述安全事件所发生的层级与关联层级，作为另一种可叠加的优选实施例，所述发生层级用于表征所述安全事件的故障来自于云计算系统的交付层，也即底层客户端层；或边缘连接层，也即从底层客户端（不包含）到云边缘设备的网络设备层；或云中心层，也即从所述基于区块链的大数据分析决策系统的云计算中心到各个云边缘设备（不包含）的中心计算层之一，并将该网络安全事件的发生层级的上一层级（若有）作为安全事件的关联层级，记录在安全事件报文的安全事件发生层级与关联层级字段中。

安全事件归一器，所述安全事件归一器用于将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

设备置信模块，所述设备置信模块用于接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

策略归集模块，所述策略归集模块用于接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

作为一种可叠加的优选实施例，所述策略归集模块，所述策略归集模块用于接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，具体为：所述策略归集模块解析所述安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标，并基于所述安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标，共同确定对应的安全事件管理策略，所述安全事件管理策略可由系统管理员依据上述指标决策，也可由系统自动基于安全策略归集查询表决策。作为一种可叠加的优选实施例，所述安全策略归集模块存储有系统预置安全策略归集查询表，所述安全策略归集查询表至少包含每一安全策略及其对应的安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标范围，通过查询安全事件报文所携带的安全事件数据报文协议流表、安全故障范围字段以及安全故障新发指标，则可在所述安全策略归集查询表中查询对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块。

处理层级模块；所述处理层级模块用于接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

智能管理决策模块，所述智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0,K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

作为一种可叠加的实施例，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

作为另一种可叠加的实施例，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

作为另一种可叠加的实施例，所述网络设备安全事件置信表由所述基于区块链的大数据分析决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

作为另一种可叠加的实施例，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

如说明书附图4-5所示，说明书附图4-5为本发明所请求保护的基于区块链的大数据分析方法及其执行安全事件智能管理决策步骤的优选显示实施例示意图，所述方法包括如下步骤：

步骤S102：操作大数据采集器从多个遭遇安全事件的网络设备采集安全事件报文，并将所述安全事件报文传送至云计算网络进行分布式存档；

所述大数据采集器还用于将所述从多个遭遇安全事件的网络设备采集的安全事件报文解析后发送至所述基于区块链的大数据分析决策系统的数据库，存储为历史安全事件；

操作基于区块链的大数据分析决策系统的数据库存储系统的历史安全事件；

步骤S104：操作区块链链上存储区在区块链上不可抵赖地存储系统预置的网络设备安全事件置信表以及安全策略归集查询表，并提供给所述系统的设备置信模块以及策略归集模块所使用；

步骤S106：操作多个网络设备中的每个所述网络设备，使其运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；所述网络设备还用于在遭遇网络安全事件时，向所述基于区块链的大数据分析决策系统的安全事件归一器发送安全事件报文；所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

步骤S108：操作安全事件归一器将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

步骤S110：操作设备置信模块接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

步骤S112：操作策略归集模块接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

步骤S114：操作处理层级模块接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

步骤S116：操作智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0,K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

作为另一种可叠加的实施例，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

作为另一种可叠加的实施例，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

作为另一种可叠加的实施例，所述网络设备安全事件置信表由所述基于区块链的大数据分析决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

作为另一种可叠加的实施例，所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

本发明提出了一种基于区块链的大数据分析决策方法及系统，通通过对安全事件执行映射避免了安全策略查询的关联关系缺失。并且进行系统安全事件的切分，较为合理地将网络攻击数据以恰当的粒度进行分离并基于事件化的攻击信息进行针对性决策，实现了网络安全的差异化防护和较精准的网络安全防护粒度。再次，本申请基于云计算系统中的安全攻击大数据，执行事件化安全信息大数据的上云和存储固化，便于系统从带外获取历史安全事件相关信息，对安全事件智能分析和决策提供了有效的大数据支持。

在所有上述实施方式中，为实现一些特殊的数据传输、读/写功能的要求，上述方法操作过程中及其相应装置可以增加装置、模块、器件、硬件、引脚连接或存储器、处理器差异来扩展功能。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的方法，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述方法步骤的划分，仅仅为一种逻辑或功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为方法的各个步骤、装置分离部件说明的单元可以是或者也可以不是逻辑或物理上分开的，也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各方法步骤及其实现、功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述方法和装置可以以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等) 或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、NVRAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

应说明的是：以上实施例仅用以更清晰地解释、阐述本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种基于区块链的大数据分析决策系统，所述系统包括：

大数据采集器，用于从多个遭遇安全事件的网络设备采集安全事件报文，并将所述安全事件报文传送至云计算网络进行分布式存档；

所述大数据采集器还用于将所述从多个遭遇安全事件的网络设备采集的安全事件报文解析后发送至所述基于区块链的大数据事件化目标智能分析决策系统的数据库，存储为历史安全事件；

基于区块链的大数据事件化目标智能分析决策系统的数据库，所述基于区块链的大数据事件化目标智能分析决策系统的数据库用于存储系统的历史安全事件；

区块链链上存储区，用于在区块链上不可抵赖地存储系统预置的网络设备安全事件置信表以及安全策略归集查询表，并提供给所述系统的设备置信模块以及策略归集模块所使用；

多个网络设备，每个所述网络设备运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；

所述网络设备还用于在遭遇网络安全事件时，向所述基于区块链的大数据事件化目标智能分析决策系统的安全事件归一器发送安全事件报文；

所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息，具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

安全事件归一器，所述安全事件归一器用于将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

设备置信模块，所述设备置信模块用于接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

策略归集模块，所述策略归集模块用于接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

处理层级模块；所述处理层级模块用于接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

智能管理决策模块，所述智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0,K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

2.如权利要求1所述一种基于区块链的大数据分析决策系统，其中，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

3.如权利要求2所述一种基于区块链的大数据分析决策系统，其中，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

4.如权利要求2所述一种基于区块链的大数据分析决策系统，其特征在于：

所述网络设备安全事件置信表由所述基于区块链的大数据事件化目标智能分析决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

5.如权利要求4所述一种基于区块链的大数据分析决策系统，其特征在于：

所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

6.一种基于区块链的大数据分析方法，所述方法包括如下步骤：

步骤一：操作大数据采集器从多个遭遇安全事件的网络设备采集安全事件报文，并将所述安全事件报文传送至云计算网络进行分布式存档；

所述大数据采集器还用于将所述从多个遭遇安全事件的网络设备采集的安全事件报文解析后发送至所述基于区块链的大数据事件化目标智能分析决策系统的数据库，存储为历史安全事件；

操作基于区块链的大数据事件化目标智能分析决策系统的数据库存储系统的历史安全事件；

步骤二：操作区块链链上存储区在区块链上不可抵赖地存储系统预置的网络设备安全事件置信表以及安全策略归集查询表，并提供给所述系统的设备置信模块以及策略归集模块所使用；

步骤三：操作多个网络设备中的每个所述网络设备，使其运行于云计算网络中，处理客户端提出的网络数据处理请求并返回数据处理结果；所述网络设备还用于在遭遇网络安全事件时，向所述基于区块链的大数据事件化目标智能分析决策系统的安全事件归一器发送安全事件报文；所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息；

其中，所述安全事件报文用于记录所述网络设备遭遇网络安全事件时的采集记录信息具体为：所述安全事件报文在网络设备A遭遇网络安全事件时，至少记录所述网络设备的网络设备ID、安全事件第一参数集、安全事件发生层级与关联层级；

步骤四：操作安全事件归一器将所述网络设备发送的安全事件报文进行基于事件的报文归一处理，将所述安全事件报文至少拆解为所述网络设备的网络设备ID字段、安全事件第一参数集字段、安全事件发生层级与关联层级字段；

所述安全事件归一器还用于将所述网络设备的网络设备ID字段封包为第一事件决策数据，并发送至设备置信模块；将所述安全事件第一参数集字段封包为第二事件决策数据，并发送至策略归集模块；将所述安全事件发生层级与关联层级封包为第三事件决策数据，并发送至处理层级模块；

步骤五：操作设备置信模块接收所述第一事件决策数据，并解析其中网络设备的网络设备ID，基于网络设备ID查找网络设备安全事件置信表，并确定网络设备安全事件置信值，发送至智能管理决策模块；

步骤六：操作策略归集模块接收并解析所述第二事件决策数据，基于所述安全事件第一参数集字段确定对应的安全策略归集，并将所述对应的安全策略归集发送至智能管理决策模块；

步骤七：操作处理层级模块接收所述第三事件决策数据，并解析其中的安全事件发生层级与关联层级，基于安全事件发生层级与关联层级确定对应的安全事件处理操作层级权限需求，并将确定的对应的安全事件处理操作层级权限需求，发送至智能管理决策模块；

其中，所述对应的安全事件处理操作层级权限需求至少高于或等于安全事件的关联层级；

步骤八：操作智能管理决策模块接收所述网络设备安全事件置信值、安全策略归集以及对应的安全事件处理操作层级权限需求，基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策；

其中，所述基于安全事件置信值与置信阈值的比较确定是否执行安全事件智能管理决策，具体为：

当安全事件置信值大于置信阈值时，直接执行安全事件智能管理决策；当安全事件置信值小于置信阈值时，以所述安全事件置信值K1为概率采用随机算法，判别在[0,1]范围内选取随机数结果是否落在[0,K1]内，若是，则执行安全事件智能管理决策若否，则不执行安全事件智能管理决策，确认为安全事件误报；

所述安全事件智能管理决策至少包含：向安全事件处理对象开通安全事件处理操作层级权限需求所要求的处理操作层级权限，并基于所述安全策略归集，采用对应的安全策略处理所述安全事件，并记录至数据库。

7.如权利要求6所述一种基于区块链的大数据分析方法，其中，所述网络设备可以为云计算边缘服务器、路由器、网关或服务主机。

8.如权利要求7所述一种基于区块链的大数据分析方法，其中，所述网络安全事件至少包含以下事件之一：网络攻击事件、非攻击类网络故障事件、网络信息安全等级变更事件。

9.如权利要求7所述一种基于区块链的大数据分析方法，其特征在于：

所述网络设备安全事件置信表由所述基于区块链的大数据事件化目标智能分析决策系统预置，所述网络设备安全事件置信表至少包含网络设备ID信息及与所述网络设备ID信息一一对应的网络设备安全事件置信值，基于系统数据库存储的网络设备的历史安全事件可信度计算网络设备安全事件置信值。

10.如权利要求9所述一种基于区块链的大数据分析方法，其特征在于：

所述系统数据库存储的网络设备的历史安全事件可信度等于所述网络设备历史安全事件的误报概率，并随网络设备的安全事件持续上报进行更新并动态变化。

Images