CN114518994A - 一种基于大数据的计算机信息安全处理方法及系统 - Google Patents
一种基于大数据的计算机信息安全处理方法及系统 Download PDFInfo
- Publication number
- CN114518994A CN114518994A CN202210145305.6A CN202210145305A CN114518994A CN 114518994 A CN114518994 A CN 114518994A CN 202210145305 A CN202210145305 A CN 202210145305A CN 114518994 A CN114518994 A CN 114518994A
- Authority
- CN
- China
- Prior art keywords
- computer
- information
- information security
- event
- operation instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于大数据的计算机信息安全处理方法及系统,方法包括:步骤S100:对计算机实行信息安全实时监控;对实时监控过程中发生的信息安全事件进行记录捕捉和信息采集;步骤S200:设在某台计算机上发生的某次信息安全事件的事件代号为A;对导致事件A发生的疑似用户行为缺陷进行追溯得到若干疑似用户行为缺陷轨迹;步骤S300:对若干疑似用户行为缺陷轨迹进行筛查得到与事件A最终匹配的用户行为缺陷轨迹;步骤S400:对各信息安全事件进行信息安全事件特征提取;步骤S500:进行信息安全预警操作名单提取;对计算机的关联计算机性能条件进行识别;步骤S600:对用户在使用不同性能条件计算机时的操作行为进行筛查。
Description
技术领域
本发明涉及计算机安全技术领域,具体为一种基于大数据的计算机信息安全处理方法及系统。
背景技术
计算机的系统漏洞总是客观存在的,因为计算机软件设备、计算机硬件设备、计算机软件设备版本、计算机硬件设备版本、计算机设置条件的不同,系统漏洞也总是不同的;当计算机因为用户不规范的操作导致出现信息安全事件出现时,对计算机系统进行漏洞排查过程中排查出的情况也是不同的;简单点说,性能条件较好的计算机在同样发生一次计算机信息安全事件时,可能对用户不规范操作的包容性相较于性能条件较差的计算机要大一些;所以针对不同的计算机在对用户不规范的操作的限定上是存在区别的。
发明内容
本发明的目的在于提供一种基于大数据的计算机信息安全处理方法及系统,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于大数据的计算机信息安全处理方法,处理方法包括:
步骤S100:对每一台计算机安装信息安全处理系统,利用信息安全处理系统对该台计算机实行信息安全实时监控;利用信息安全处理系统对该台计算机在信息安全实时监控过程中发生的信息安全事件进行记录捕捉和信息采集;
步骤S200:设在某台计算机上发生的某次信息安全事件的事件代号为A;对导致事件A发生的疑似用户行为缺陷进行追溯得到若干疑似用户行为缺陷轨迹;
步骤S300:对若干疑似用户行为缺陷轨迹进行筛查得到与事件A最终匹配的用户行为缺陷轨迹;
步骤S400:对每一台计算机发生的各信息安全事件进行信息安全事件特征提取;信息安全事件特征包括在信息安全事件中计算机信息遭受破坏的形式特征和在信息安全事件中计算机需进行漏洞修复的程序特征;将信息安全事件特征相同的各信息安全事件归为一种类信息安全事件;
步骤S500:基于大数据在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取;基于信息安全预警操作名单对计算机的关联计算机性能条件进行识别;
步骤S600:基于信息安全预警操作名单分别对用户在使用不同性能条件计算机时的操作行为进行筛查,当用户在使用某性能条件的计算机并发布某项操作指令,且操作指令位于该性能条件的计算机信息安全预警操作名单上时,信息安全处理系统发出预警提示。
进一步的,步骤S200对疑似用户行为缺陷进行追溯得到疑似用户行为缺陷轨迹的过程包括:
步骤S201:在某台计算机上调取与发生事件A在时间上有时间关联的用户行为操作指令,同时获取发生事件A的事件开始时间节点tA;对与用户行为操作指令对应的计算机反馈页面信息进行排查;当计算机反馈页面信息出现弹窗提示、拦截提醒时,对与该次计算机反馈页面信息相对照的用户行为操作指令进行捕捉,并初步认定该次用户行为操作指令为导致事件A发生的疑似不规范操作指令,作不规范标记;
步骤S202:在实时监控记录中找寻位于疑似不规范操作指令时间节点之后的用户后续行为操作指令,用户后续行为操作指令包括但不限于对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的忽视操作指令、对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的尝试授权示意操作指令、对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的尝试改变拦截操作指令;获取所有用户后续行为操作指令的时间节点t,将所有用户后续行为操作指令的时间节点t依次与时间节点tA进行逐一比对,将所有位于时间节点tA之前的用户后续行为操作指令设为目标后续行为操作指令,分别将所有疑似不规范操作指令对应的目标后续行为操作指令筛选出来并按照时间序列顺序进行排序,得到所有导致事件A发生的疑似不规范操作指令各自对应的目标后续行为操作指令集;
步骤S203:将不存在对应目标后续行为操作指令集的疑似不规范操作指令进行不规范标记删除,得到与事件A相关的不规范操作指令集PA,PA={pi};其中,pi表示与事件A相关的第i个不规范操作指令;一个不规范操作指令对应一个目标后续行为操作指令集;设与pi对应的目标后续行为操作指令集为Di,Di={dk};其中,dk表示与pi对应的目标后续行为操作指令集Di内的第k个目标后续行为操作指令;将每一个与事件A相关的不规范操作指令pi同其所对应的目标后续行为操作指令集Di共同构成一次与事件A相关的用户行为缺陷轨迹,即pi→Di表示与事件A相关的第i次用户行为缺陷轨迹;一次信息安全事件至少对应一次用户行为缺陷轨迹;
上述步骤利用计算机反馈页面信息出现弹窗提示、拦截提醒对用户的行为操作指令进行规范性的初步判别,因为通常的计算机系统在初始遭受不规范操作指令时具备一定的阻拦或者系统反应现象;信息安全事件的发生往往也是用户在实施了不规范操作后使得系统产生了漏洞给了外部或者不正当用户本身植入病毒程序进行信息窃取;将不规范操作指令的后续行为操作指令发生的时间节点与信息安全事件开始发生的时间节点进行数据对比,是为了利用时间节点上的判别信息得到导致导致信息安全事件发生的相关用户行为操作;为后续得到信息安全预警操作名单进行数据处理铺垫,同时提高系统的处理精确效率。
进一步的,步骤S300对疑似用户行为缺陷轨迹进行筛查的过程包括:
步骤S301:设置时间周期,时间周期为从发生事件A的事件开始时间节点tA往前溯及的一段时间;调取在时间周期内信息安全处理系统对计算机系统漏洞排查情况的监控信息,获取在时间周期内计算机出现各系统漏洞的时间节点信息;
步骤S302:将在时间周期内计算机出现各系统漏洞的各时间节点信息按照时间序列进行排序得到与事件A相关的计算机系统漏洞变化轨迹;分别将与事件A相关的各用户行为缺陷轨迹与计算机系统漏洞变化轨迹基于时间节点信息进行信息匹配;若计算机系统漏洞变化轨迹的全部时间节点信息同一次用户行为缺陷轨迹中的部分或全部用户操作指令时间节点信息匹配成功,则该次用户行为缺陷轨迹为事件A的匹配用户行为缺陷轨迹;
步骤S303:若事件A的匹配用户行为缺陷轨迹数大于1,比较在各匹配用户行为缺陷轨迹中未与计算机系统漏洞变化轨迹中时间节点信息匹配成功的各剩余用户操作指令部分;将剩余用户操作指令部分中所含用户操作指令数最少的匹配用户行为缺陷轨迹作为事件A的最终匹配用户行为缺陷轨迹;
因为用户行为缺陷往往会导致系统漏洞的产生;上述步骤是利用对计算机进行系统漏洞排查得到的漏洞变化轨迹对各用户行为缺陷轨迹进行筛查,筛查出最精确的用户行为缺陷轨迹,而这就相当于是导致一次信息安全事件产生前的用户行为操作指令轨迹;为后续得到信息安全预警操作名单进行进一步的的数据处理铺垫,同时提高系统的处理精确效率。
进一步的,步骤S500基于大数据在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取的过程包括:
步骤S501:分别将发生过相同种类信息安全事件的不同计算机进行汇集得到目标计算机列;在目标计算机列内分别提取各计算机发生相同种类信息安全事件时的最终匹配用户行为缺陷轨迹;将目标计算机列内各计算机在发生相同种类信息安全事件时的最终匹配用户行为缺陷轨迹进行两两用户操作指令偏差比对;
步骤S502:将每进行比对的两台计算机作为一组,若最终匹配用户行为缺陷轨迹中用户操作指令出现偏差的组数大于或等于组数阈值时,分别提取在每一比对组进行比对过程中出现偏差部分的用户操作指令和出现重合部分的用户操作指令;
步骤S503:记在第一个比对组中出现重合部分的用户操作指令集为w1,提取w1∩w2∩w3∩…∩wn生成第一信息安全预警操作名单;其中n表示比对组的总组数,wn表示在第n个比对组中出现重合部分的用户操作指令集;
步骤S504:记在第一个比对组中出现偏差部分的用户操作指令集为m1,提取m1∩m2∩m3∩…∩mn生成第二信息安全预警操作名单;其中n表示比对组的总数,mn表示在第n个对比组中出现偏差部分的用户操作指令集;
因为计算机系统的不同,在不同的计算机上发生了相同的信息安全事件,外部或者不正当用户所要发布的行为操作指令必有相同的地方和不同的地方,而不同的地方往往体现了在进行信息窃取时因为计算机性能条件的不同所做的操作指令上的调整;而相同的地方体现要导致某类信息安全事件的产生往往需要实施的哪些相同的操作指令;使得最终得到的信息安全预警操作名单具备针对性。
进一步的,步骤S500基于信息安全预警操作名单对计算机的关联计算机性能条件进行识别的过程包括:
步骤S511:将目标计算机列内各计算机在发生相同种类信息安全事件时的计算机系统漏洞变化轨迹进行两两计算机系统漏洞偏差对比;
步骤S512:若用户操作指令之间有偏差,对出现偏差设置所关联的计算机性能条件进行溯源;判定溯源得到的相关计算机性能条件为发生相同信息安全事件时,导致用户发布的操作指令不同的关联外部条件;
上述步骤是为了得到当外部或者不正当用户进行信息窃取时做的操作指令上的调整具体是针对计算机什么性能的,这样在后续对用户行为操作进行督时时即可基于计算机性能的特殊性提前锁定当用户实施哪些不规范行为操作时可能会导致发生的哪些信息安全事件,给系统处理信息安全事件提供了时间上的预估以及提前提防,可大大减少相关计算机发生信息安全事件的可能性。
进一步的,计算机性能条件包括计算机软件设备、计算机硬件设备、计算机软件设备版本、计算机硬件设备版本、计算机设置条件。
为更好的实现上述方法还提出了一种基于大数据的计算机信息安全处理方法的计算机信息安全处理系统,系统包括:信息监控采集模块、疑似用户行为缺陷轨迹识别模块、缺陷轨迹筛查模块、安全事件特征提取分类模块、信息安全预警操作名单提取模块、预警提示模块;
信息监控采集模块,用于对计算机实行信息安全实时监控,对计算机在信息安全实时监控过程中发生的信息安全事件进行记录捕捉和信息采集;
疑似用户行为缺陷轨迹识别模块,用户对导致某事件发生的疑似用户行为缺陷进行追溯;
缺陷轨迹筛查模块,用于接受疑似用户行为缺陷轨迹识别模块中的数据,对得到的若干疑似用户行为缺陷轨迹进行筛查;
安全事件特征提取分类模块,用于对每台计算机对应的信息安全事件集内的各信息安全事件进行信息安全事件特征提取和分类;
信息安全预警操作名单提取模块,用于在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取;
预警提示模块,用于接收信息安全预警操作名单提取模块中的数据,基于信息安全预警操作名单进行预警提醒。
进一步的,疑似用户行为缺陷轨迹识别模块包括:用户行为操作指令信息调取单元、指令处理单元、信息处理单元;
用户行为操作指令信息调取单元,用于在计算机上调取与发生某事件在时间上有时间关联的用户行为操作指令,同时获取发生某事件的事件开始时间节点,对与用户行为操作指令对应的计算机反馈页面信息进行排查;
信息处理单元,用于初步筛查导致信息安全事件发生的疑似不规范操作指令;
指令处理单元,用于对初步筛查得到的疑似不规范操作指令作不规范标记,对初步筛查中得到的不存在对应目标后续行为操作指令集的疑似不规范操作指令进行不规范标记删除。
进一步的,缺陷轨迹筛查模块包括系统漏洞变化轨迹识别单元、轨迹信息匹配单元、最终缺陷轨迹识别单元;
系统漏洞变化轨迹识别单元,用于将在时间周期内计算机出现各系统漏洞的各时间节点信息按照时间序列进行排序得到与发生某信息安全事件相关的计算机系统漏洞变化轨迹;
轨迹信息匹配单元,用于将计算机系统漏洞变化轨迹与疑似用户行为缺陷轨迹识别模块中得到的若干疑似用户行为缺陷轨迹进行轨迹信息匹配;
最终缺陷轨迹识别单元,用于接收轨迹信息匹配单元中的匹配数据,得到最终匹配用户行为缺陷轨迹。
进一步的,信息安全预警操作名单提取模块包括:用户操作指令偏差比对单元、预警操作名单提取单元、计算机系统漏洞偏差对比单元、关联外部条件识别单元;
用户操作指令偏差比对单元,用于对发生相同种类信息安全事件时的各计算机最终匹配用户行为缺陷轨迹进行两两用户操作指令偏差比对;
预警操作名单提取单元,用于接收用户操作指令偏差比对单元中的数据,并进行预警操作名单的提取;
计算机系统漏洞偏差对比单元,用于对发生相同种类信息安全事件时的各计算机系统漏洞变化轨迹进行两两计算机系统漏洞偏差对比;
关联外部条件识别单元,用于接收计算机系统漏洞偏差对比单元中的数据;若用户操作指令之间有偏差,对出现偏差设置所关联的计算机性能条件进行溯源;识别得到发生相同信息安全事件时,导致用户发布的操作指令不同的关联外部条件。
与现有技术相比,本发明所达到的有益效果是:本发明可做到针对具体计算机性能情况对用户的不规范操作行为进行具体分析和预防;对用户实施的一系列行为操作指令进行安全事件可能性的预判,为预防信息安全事件的发生起到了时间上的提前预估以及提前提防,可大大减少相关计算机发生信息安全事件的可能性,同时大大提高了识别安全事件会发生的精确性。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明一种基于大数据的计算机信息安全处理方法的流程示意图;
图2是本发明一种基于大数据的计算机信息安全处理系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-图2,本发明提供技术方案:一种基于大数据的计算机信息安全处理方法,处理方法包括:
步骤S100:对每一台计算机安装信息安全处理系统,利用信息安全处理系统对该台计算机实行信息安全实时监控;利用信息安全处理系统对该台计算机在信息安全实时监控过程中发生的信息安全事件进行记录捕捉和信息采集;
步骤S200:设在某台计算机上发生的某次信息安全事件的事件代号为A;对导致事件A发生的疑似用户行为缺陷进行追溯得到若干疑似用户行为缺陷轨迹;
其中,步骤S200对疑似用户行为缺陷进行追溯得到疑似用户行为缺陷轨迹的过程包括:
步骤S201:在某台计算机上调取与发生事件A在时间上有时间关联的用户行为操作指令,同时获取发生事件A的事件开始时间节点tA;对与用户行为操作指令对应的计算机反馈页面信息进行排查;当计算机反馈页面信息出现弹窗提示、拦截提醒时,对与该次计算机反馈页面信息相对照的用户行为操作指令进行捕捉,并初步认定该次用户行为操作指令为导致事件A发生的疑似不规范操作指令,作不规范标记;
步骤S202:在实时监控记录中找寻位于疑似不规范操作指令时间节点之后的用户后续行为操作指令,用户后续行为操作指令包括但不限于对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的忽视操作指令、对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的尝试授权示意操作指令、对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的尝试改变拦截操作指令;获取所有用户后续行为操作指令的时间节点t,将所有用户后续行为操作指令的时间节点t依次与时间节点tA进行逐一比对,将所有位于时间节点tA之前的用户后续行为操作指令设为目标后续行为操作指令,分别将所有疑似不规范操作指令对应的目标后续行为操作指令筛选出来并按照时间序列顺序进行排序,得到所有导致事件A发生的疑似不规范操作指令各自对应的目标后续行为操作指令集;
步骤S203:将不存在对应目标后续行为操作指令集的疑似不规范操作指令进行不规范标记删除,得到与事件A相关的不规范操作指令集PA,PA={pi};其中,pi表示与事件A相关的第i个不规范操作指令;一个不规范操作指令对应一个目标后续行为操作指令集;设与pi对应的目标后续行为操作指令集为Di,Di={dk};其中,dk表示与pi对应的目标后续行为操作指令集Di内的第k个目标后续行为操作指令;将每一个与事件A相关的不规范操作指令pi同其所对应的目标后续行为操作指令集Di共同构成一次与事件A相关的用户行为缺陷轨迹,即pi→Di表示与事件A相关的第i次用户行为缺陷轨迹;一次信息安全事件至少对应一次用户行为缺陷轨迹;
例如说,与事件A相关的不规范操作指令集PA,PA={指令1,指令2,指令3,指令4};其中指令1,指令2,指令3,指令4均被标有不规范标记;指令1有目标后续行为操作指令集D1,指令2不存在目标后续行为操作指令集D2,指令3有目标后续行为操作指令集D3,指令4不存在目标后续行为操作指令集D4;所以将指令2的不规范标记进行删除,将指令4的不规范标记进行删除;
总共得到两条用户行为缺陷轨迹,分别为指令1→D1,指令3→D3;即指令1和目标后续行为操作指令集D1构成一次与事件A相关的用户行为缺陷轨迹;指令3和目标后续行为操作指令集D3构成一次与事件A相关的用户行为缺陷轨迹;
步骤S300:对若干疑似用户行为缺陷轨迹进行筛查得到与事件A最终匹配的用户行为缺陷轨迹;
其中,步骤S300对疑似用户行为缺陷轨迹进行筛查的过程包括:
步骤S301:设置时间周期,时间周期为从发生事件A的事件开始时间节点tA往前溯及的一段时间;调取在时间周期内信息安全处理系统对计算机系统漏洞排查情况的监控信息,获取在时间周期内计算机出现各系统漏洞的时间节点信息;
步骤S302:将在时间周期内计算机出现各系统漏洞的各时间节点信息按照时间序列进行排序得到与事件A相关的计算机系统漏洞变化轨迹;分别将与事件A相关的各用户行为缺陷轨迹与计算机系统漏洞变化轨迹基于时间节点信息进行信息匹配;若计算机系统漏洞变化轨迹的全部时间节点信息同一次用户行为缺陷轨迹中的部分或全部用户操作指令时间节点信息匹配成功,则该次用户行为缺陷轨迹为事件A的匹配用户行为缺陷轨迹;
步骤S303:若事件A的匹配用户行为缺陷轨迹数大于1,比较在各匹配用户行为缺陷轨迹中未与计算机系统漏洞变化轨迹中时间节点信息匹配成功的各剩余用户操作指令部分;将剩余用户操作指令部分中所含用户操作指令数最少的匹配用户行为缺陷轨迹作为事件A的最终匹配用户行为缺陷轨迹;
步骤S400:对每一台计算机发生的各信息安全事件进行信息安全事件特征提取;信息安全事件特征包括在信息安全事件中计算机信息遭受破坏的形式特征和在信息安全事件中计算机需进行漏洞修复的程序特征;将信息安全事件特征相同的各信息安全事件归为一种类信息安全事件;
步骤S500:基于大数据在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取;基于信息安全预警操作名单对计算机的关联计算机性能条件进行识别;
其中,步骤S500基于大数据在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取的过程包括:
步骤S501:分别将发生过相同种类信息安全事件的不同计算机进行汇集得到目标计算机列;在目标计算机列内分别提取各计算机发生相同种类信息安全事件时的最终匹配用户行为缺陷轨迹;将目标计算机列内各计算机在发生相同种类信息安全事件时的最终匹配用户行为缺陷轨迹进行两两用户操作指令偏差比对;
步骤S502:将每进行比对的两台计算机作为一组,若最终匹配用户行为缺陷轨迹中用户操作指令出现偏差的组数大于或等于组数阈值时,分别提取在每一比对组进行比对过程中出现偏差部分的用户操作指令和出现重合部分的用户操作指令;
步骤S503:记在第一个比对组中出现重合部分的用户操作指令集为w1,提取w1∩w2∩w3∩…∩wn生成第一信息安全预警操作名单;其中n表示比对组的总组数,wn表示在第n个比对组中出现重合部分的用户操作指令集;
步骤S504:记在第一个比对组中出现偏差部分的用户操作指令集为m1,提取m1∩m2∩m3∩…∩mn生成第二信息安全预警操作名单;其中n表示比对组的总数,mn表示在第n个对比组中出现偏差部分的用户操作指令集;
其中,步骤S500基于信息安全预警操作名单对计算机的关联计算机性能条件进行识别的过程包括:
步骤S511:将目标计算机列内各计算机在发生相同种类信息安全事件时的计算机系统漏洞变化轨迹进行两两计算机系统漏洞偏差对比;
步骤S512:若用户操作指令之间有偏差,对出现偏差设置所关联的计算机性能条件进行溯源;判定溯源得到的相关计算机性能条件为发生相同信息安全事件时,导致用户发布的操作指令不同的关联外部条件;
步骤S600:基于信息安全预警操作名单分别对用户在使用不同性能条件计算机时的操作行为进行筛查,当用户在使用某性能条件的计算机并发布某项操作指令,且操作指令位于该性能条件的计算机信息安全预警操作名单上时,信息安全处理系统发出预警提示;
其中,计算机性能条件包括计算机软件设备、计算机硬件设备、计算机软件设备版本、计算机硬件设备版本、计算机设置条件;
为更好的实现上述方法还提出了一种基于大数据的计算机信息安全处理方法的计算机信息安全处理系统,系统包括:信息监控采集模块、疑似用户行为缺陷轨迹识别模块、缺陷轨迹筛查模块、安全事件特征提取分类模块、信息安全预警操作名单提取模块、预警提示模块;
信息监控采集模块,用于对计算机实行信息安全实时监控,对计算机在信息安全实时监控过程中发生的信息安全事件进行记录捕捉和信息采集;
疑似用户行为缺陷轨迹识别模块,用户对导致某事件发生的疑似用户行为缺陷进行追溯;
其中,疑似用户行为缺陷轨迹识别模块包括:用户行为操作指令信息调取单元、指令处理单元、信息处理单元;
用户行为操作指令信息调取单元,用于在计算机上调取与发生某事件在时间上有时间关联的用户行为操作指令,同时获取发生某事件的事件开始时间节点,对与用户行为操作指令对应的计算机反馈页面信息进行排查;
信息处理单元,用于初步筛查导致信息安全事件发生的疑似不规范操作指令;
指令处理单元,用于对初步筛查得到的疑似不规范操作指令作不规范标记,对初步筛查中得到的不存在对应目标后续行为操作指令集的疑似不规范操作指令进行不规范标记删除;
缺陷轨迹筛查模块,用于接受疑似用户行为缺陷轨迹识别模块中的数据,对得到的若干疑似用户行为缺陷轨迹进行筛查;
其中,缺陷轨迹筛查模块包括系统漏洞变化轨迹识别单元、轨迹信息匹配单元、最终缺陷轨迹识别单元;
系统漏洞变化轨迹识别单元,用于将在时间周期内计算机出现各系统漏洞的各时间节点信息按照时间序列进行排序得到与发生某信息安全事件相关的计算机系统漏洞变化轨迹;
轨迹信息匹配单元,用于将计算机系统漏洞变化轨迹与疑似用户行为缺陷轨迹识别模块中得到的若干疑似用户行为缺陷轨迹进行轨迹信息匹配;
最终缺陷轨迹识别单元,用于接收轨迹信息匹配单元中的匹配数据,得到最终匹配用户行为缺陷轨迹;
安全事件特征提取分类模块,用于对每台计算机对应的信息安全事件集内的各信息安全事件进行信息安全事件特征提取和分类;
信息安全预警操作名单提取模块,用于在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取;
其中,信息安全预警操作名单提取模块包括:用户操作指令偏差比对单元、预警操作名单提取单元、计算机系统漏洞偏差对比单元、关联外部条件识别单元;
用户操作指令偏差比对单元,用于对发生相同种类信息安全事件时的各计算机最终匹配用户行为缺陷轨迹进行两两用户操作指令偏差比对;
预警操作名单提取单元,用于接收用户操作指令偏差比对单元中的数据,并进行预警操作名单的提取;
计算机系统漏洞偏差对比单元,用于对发生相同种类信息安全事件时的各计算机系统漏洞变化轨迹进行两两计算机系统漏洞偏差对比;
关联外部条件识别单元,用于接收计算机系统漏洞偏差对比单元中的数据;若用户操作指令之间有偏差,对出现偏差设置所关联的计算机性能条件进行溯源;识别得到发生相同信息安全事件时,导致用户发布的操作指令不同的关联外部条件
预警提示模块,用于接收信息安全预警操作名单提取模块中的数据,基于信息安全预警操作名单进行预警提醒。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于大数据的计算机信息安全处理方法,其特征在于,所述处理方法包括:
步骤S100:对每一台计算机安装信息安全处理系统,利用所述信息安全处理系统对该台计算机实行信息安全实时监控;利用所述信息安全处理系统对该台计算机在信息安全实时监控过程中发生的信息安全事件进行记录捕捉和信息采集;
步骤S200:设在某台计算机上发生的某次信息安全事件的事件代号为A;对导致事件A发生的疑似用户行为缺陷进行追溯得到若干疑似用户行为缺陷轨迹;
步骤S300:对所述若干疑似用户行为缺陷轨迹进行筛查得到与事件A最终匹配的用户行为缺陷轨迹;
步骤S400:对每一台计算机发生的各信息安全事件进行信息安全事件特征提取;所述信息安全事件特征包括在信息安全事件中计算机信息遭受破坏的形式特征和在信息安全事件中计算机需进行漏洞修复的程序特征;将信息安全事件特征相同的各信息安全事件归为一种类信息安全事件;
步骤S500:基于大数据在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取;基于所述信息安全预警操作名单对计算机的关联计算机性能条件进行识别;
步骤S600:基于所述信息安全预警操作名单分别对用户在使用不同性能条件计算机时的操作行为进行筛查,当用户在使用某性能条件的计算机并发布某项操作指令,且所述操作指令位于该性能条件的计算机信息安全预警操作名单上时,所述信息安全处理系统发出预警提示。
2.根据权利要求1所述的一种基于大数据的计算机信息安全处理方法,其特征在于,所述步骤S200对疑似用户行为缺陷进行追溯得到疑似用户行为缺陷轨迹的过程包括:
步骤S201:在所述某台计算机上调取与发生事件A在时间上有时间关联的用户行为操作指令,同时获取发生事件A的事件开始时间节点tA;对与所述用户行为操作指令对应的计算机反馈页面信息进行排查;当所述计算机反馈页面信息出现弹窗提示、拦截提醒时,对与该次计算机反馈页面信息相对照的用户行为操作指令进行捕捉,并初步认定该次用户行为操作指令为导致事件A发生的疑似不规范操作指令,作不规范标记;
步骤S202:在实时监控记录中找寻位于所述疑似不规范操作指令时间节点之后的用户后续行为操作指令,所述用户后续行为操作指令包括但不限于对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的忽视操作指令、对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的尝试授权示意操作指令、对计算机反馈页面信息出现的弹窗提示、拦截提醒采取的尝试改变拦截操作指令;获取所有用户后续行为操作指令的时间节点t,将所有用户后续行为操作指令的时间节点t依次与时间节点tA进行逐一比对,将所有位于时间节点tA之前的用户后续行为操作指令设为目标后续行为操作指令,分别将所有疑似不规范操作指令对应的目标后续行为操作指令筛选出来并按照时间序列顺序进行排序,得到所有导致事件A发生的疑似不规范操作指令各自对应的目标后续行为操作指令集;
步骤S203:将不存在对应目标后续行为操作指令集的疑似不规范操作指令进行不规范标记删除,得到与事件A相关的不规范操作指令集PA,PA={pi};其中,pi表示与事件A相关的第i个不规范操作指令;一个不规范操作指令对应一个目标后续行为操作指令集;设与pi对应的目标后续行为操作指令集为Di,Di={dk};其中,dk表示与pi对应的目标后续行为操作指令集Di内的第k个目标后续行为操作指令;将每一个与事件A相关的不规范操作指令pi同其所对应的目标后续行为操作指令集Di共同构成一次与事件A相关的用户行为缺陷轨迹,即pi→Di表示与事件A相关的第i次用户行为缺陷轨迹;一次信息安全事件至少对应一次用户行为缺陷轨迹。
3.根据权利要求1所述的一种基于大数据的计算机信息安全处理方法,其特征在于,所述步骤S300对疑似用户行为缺陷轨迹进行筛查的过程包括:
步骤S301:设置时间周期,所述时间周期为从发生事件A的事件开始时间节点tA往前溯及的一段时间;调取在所述时间周期内信息安全处理系统对计算机系统漏洞排查情况的监控信息,获取在所述时间周期内计算机出现各系统漏洞的时间节点信息;
步骤S302:将在所述时间周期内计算机出现各系统漏洞的各时间节点信息按照时间序列进行排序得到与事件A相关的计算机系统漏洞变化轨迹;分别将与事件A相关的各用户行为缺陷轨迹与所述计算机系统漏洞变化轨迹基于时间节点信息进行信息匹配;若所述计算机系统漏洞变化轨迹的全部时间节点信息同一次用户行为缺陷轨迹中的部分或全部用户操作指令时间节点信息匹配成功,则该次用户行为缺陷轨迹为事件A的匹配用户行为缺陷轨迹;
步骤S303:若事件A的匹配用户行为缺陷轨迹数大于1,比较在各所述匹配用户行为缺陷轨迹中未与所述计算机系统漏洞变化轨迹中时间节点信息匹配成功的各剩余用户操作指令部分;将剩余用户操作指令部分中所含用户操作指令数最少的匹配用户行为缺陷轨迹作为事件A的最终匹配用户行为缺陷轨迹。
4.根据权利要求1所述的一种基于大数据的计算机信息安全处理方法,其特征在于,所述步骤S500基于大数据在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取的过程包括:
步骤S501:分别将发生过相同种类信息安全事件的不同计算机进行汇集得到目标计算机列;在所述目标计算机列内分别提取各计算机发生所述相同种类信息安全事件时的最终匹配用户行为缺陷轨迹;将所述目标计算机列内各计算机在发生所述相同种类信息安全事件时的最终匹配用户行为缺陷轨迹进行两两用户操作指令偏差比对;
步骤S502:将每进行比对的两台计算机作为一组,若最终匹配用户行为缺陷轨迹中用户操作指令出现偏差的组数大于或等于组数阈值时,分别提取在每一比对组进行比对过程中出现偏差部分的用户操作指令和出现重合部分的用户操作指令;
步骤S503:记在第一个比对组中出现重合部分的用户操作指令集为w1,提取w1∩w2∩w3∩…∩wn生成第一信息安全预警操作名单;其中n表示比对组的总组数,wn表示在第n个比对组中出现重合部分的用户操作指令集;
步骤S504:记在第一个比对组中出现偏差部分的用户操作指令集为m1,提取m1∩m2∩m3∩…∩mn生成第二信息安全预警操作名单;其中n表示比对组的总数,mn表示在第n个对比组中出现偏差部分的用户操作指令集。
5.根据权利要求4所述的一种基于大数据的计算机信息安全处理方法,其特征在于,所述步骤S500基于信息安全预警操作名单对计算机的关联计算机性能条件进行识别的过程包括:
步骤S511:将所述目标计算机列内各计算机在发生所述相同种类信息安全事件时的计算机系统漏洞变化轨迹进行两两计算机系统漏洞偏差对比;
步骤S512:若所述用户操作指令之间有偏差,对出现偏差设置所关联的计算机性能条件进行溯源;判定溯源得到的相关计算机性能条件为发生相同信息安全事件时,导致用户发布的操作指令不同的关联外部条件。
6.根据权利要求5所述的一种基于大数据的计算机信息安全处理方法,其特征在于,所述计算机性能条件包括计算机软件设备、计算机硬件设备、计算机软件设备版本、计算机硬件设备版本、计算机设置条件。
7.一种应用于权利要求1-6中任一项的基于大数据的计算机信息安全处理方法的计算机信息安全处理系统,其特征在于,所述系统包括:信息监控采集模块、疑似用户行为缺陷轨迹识别模块、缺陷轨迹筛查模块、安全事件特征提取分类模块、信息安全预警操作名单提取模块、预警提示模块;
所述信息监控采集模块,用于对计算机实行信息安全实时监控,对计算机在信息安全实时监控过程中发生的信息安全事件进行记录捕捉和信息采集;
所述疑似用户行为缺陷轨迹识别模块,用户对导致某事件发生的疑似用户行为缺陷进行追溯;
所述缺陷轨迹筛查模块,用于接受所述疑似用户行为缺陷轨迹识别模块中的数据,对得到的若干疑似用户行为缺陷轨迹进行筛查;
所述安全事件特征提取分类模块,用于对每台计算机对应的信息安全事件集内的各信息安全事件进行信息安全事件特征提取和分类;
所述信息安全预警操作名单提取模块,用于在得到的若干不同种类信息安全事件中进行信息安全预警操作名单提取;
所述预警提示模块,用于接收所述信息安全预警操作名单提取模块中的数据,基于所述信息安全预警操作名单进行预警提醒。
8.根据权利要求7所述的一种基于大数据的计算机信息安全处理系统,其特征在于,所述疑似用户行为缺陷轨迹识别模块包括:用户行为操作指令信息调取单元、指令处理单元、信息处理单元;
所述用户行为操作指令信息调取单元,用于在计算机上调取与发生某事件在时间上有时间关联的用户行为操作指令,同时获取发生某事件的事件开始时间节点,对与所述用户行为操作指令对应的计算机反馈页面信息进行排查;
所述信息处理单元,用于初步筛查导致信息安全事件发生的疑似不规范操作指令;
所述指令处理单元,用于对初步筛查得到的疑似不规范操作指令作不规范标记,对初步筛查中得到的不存在对应目标后续行为操作指令集的疑似不规范操作指令进行不规范标记删除。
9.根据权利要求7所述的一种基于大数据的计算机信息安全处理系统,其特征在于,所述缺陷轨迹筛查模块包括系统漏洞变化轨迹识别单元、轨迹信息匹配单元、最终缺陷轨迹识别单元;
所述系统漏洞变化轨迹识别单元,用于将在所述时间周期内计算机出现各系统漏洞的各时间节点信息按照时间序列进行排序得到与发生某信息安全事件相关的计算机系统漏洞变化轨迹;
所述轨迹信息匹配单元,用于将计算机系统漏洞变化轨迹与所述疑似用户行为缺陷轨迹识别模块中得到的若干疑似用户行为缺陷轨迹进行轨迹信息匹配;
所述最终缺陷轨迹识别单元,用于接收所述轨迹信息匹配单元中的匹配数据,得到最终匹配用户行为缺陷轨迹。
10.根据权利要求7所述的一种基于大数据的计算机信息安全处理系统,其特征在于,所述信息安全预警操作名单提取模块包括:用户操作指令偏差比对单元、预警操作名单提取单元、计算机系统漏洞偏差对比单元、关联外部条件识别单元;
所述用户操作指令偏差比对单元,用于对发生相同种类信息安全事件时的各计算机最终匹配用户行为缺陷轨迹进行两两用户操作指令偏差比对;
所述预警操作名单提取单元,用于接收所述用户操作指令偏差比对单元中的数据,并进行预警操作名单的提取;
所述计算机系统漏洞偏差对比单元,用于对发生相同种类信息安全事件时的各计算机系统漏洞变化轨迹进行两两计算机系统漏洞偏差对比;
所述关联外部条件识别单元,用于接收所述计算机系统漏洞偏差对比单元中的数据;若所述用户操作指令之间有偏差,对出现偏差设置所关联的计算机性能条件进行溯源;识别得到发生相同信息安全事件时,导致用户发布的操作指令不同的关联外部条件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210145305.6A CN114518994A (zh) | 2022-02-17 | 2022-02-17 | 一种基于大数据的计算机信息安全处理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210145305.6A CN114518994A (zh) | 2022-02-17 | 2022-02-17 | 一种基于大数据的计算机信息安全处理方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114518994A true CN114518994A (zh) | 2022-05-20 |
Family
ID=81598140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210145305.6A Withdrawn CN114518994A (zh) | 2022-02-17 | 2022-02-17 | 一种基于大数据的计算机信息安全处理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114518994A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115022072A (zh) * | 2022-06-23 | 2022-09-06 | 常州信息职业技术学院 | 一种基于大数据的网络安全状态监测系统及方法 |
CN115208662A (zh) * | 2022-07-14 | 2022-10-18 | 侯效兵 | 一种计算机信息安全监控方法及系统 |
CN115242455A (zh) * | 2022-06-27 | 2022-10-25 | 山西西电信息技术研究院有限公司 | 一种基于云计算的社交网络即时信息安全监测系统及方法 |
CN115545622A (zh) * | 2022-11-30 | 2022-12-30 | 中建安装集团有限公司 | 一种基于数字化建造的工程物资仓储管理系统及方法 |
-
2022
- 2022-02-17 CN CN202210145305.6A patent/CN114518994A/zh not_active Withdrawn
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115022072A (zh) * | 2022-06-23 | 2022-09-06 | 常州信息职业技术学院 | 一种基于大数据的网络安全状态监测系统及方法 |
CN115242455A (zh) * | 2022-06-27 | 2022-10-25 | 山西西电信息技术研究院有限公司 | 一种基于云计算的社交网络即时信息安全监测系统及方法 |
CN115242455B (zh) * | 2022-06-27 | 2023-08-18 | 山西西电信息技术研究院有限公司 | 一种基于云计算的社交网络即时信息安全监测系统及方法 |
CN115208662A (zh) * | 2022-07-14 | 2022-10-18 | 侯效兵 | 一种计算机信息安全监控方法及系统 |
CN115545622A (zh) * | 2022-11-30 | 2022-12-30 | 中建安装集团有限公司 | 一种基于数字化建造的工程物资仓储管理系统及方法 |
CN115545622B (zh) * | 2022-11-30 | 2023-04-07 | 中建安装集团有限公司 | 一种基于数字化建造的工程物资仓储管理系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114518994A (zh) | 一种基于大数据的计算机信息安全处理方法及系统 | |
CN111931173A (zh) | 一种基于apt攻击意图的操作权限控制方法 | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
CN108959071B (zh) | 一种基于RASP的PHP变形webshell的检测方法及系统 | |
CN110222243B (zh) | 确定异常行为的方法、装置和存储介质 | |
CN113422763B (zh) | 基于攻击场景构建的报警关联分析方法 | |
CN111181918A (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
CN112905996A (zh) | 基于多维度数据关联分析的信息安全溯源系统及方法 | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
CN108540471B (zh) | 移动应用网络流量聚类方法、计算机可读存储介质和终端 | |
CN112751863B (zh) | 一种攻击行为分析方法及装置 | |
CN113347134B (zh) | 针对车联网tsp平台的攻击检测方法及系统 | |
CN114186278A (zh) | 数据库异常操作识别方法、装置与电子设备 | |
CN114629711A (zh) | 一种针对Windows平台特种木马检测的方法及系统 | |
CN111970272A (zh) | 一种apt攻击操作识别方法 | |
CN117113340B (zh) | 主机失陷检测方法、装置、计算机设备及存储介质 | |
CN111224933B (zh) | 一种模拟盗用敏感数据感知潜伏性apt攻击的方法 | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 | |
US11368377B2 (en) | Closed loop monitoring based privileged access control | |
CN110569646B (zh) | 文件识别方法及介质 | |
CN113095110B (zh) | 人脸数据动态入库的方法、装置、介质及电子设备 | |
EP3913486A1 (en) | Closed loop monitoring based privileged access control | |
Foster et al. | Process Forensics: A pilot study on the use of checkpointing technology in computer forensics | |
CN118035067A (zh) | 检测终端设备中应用程序运行状态的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220520 |
|
WW01 | Invention patent application withdrawn after publication |