CN115408701A - 人工智能与大数据结合的数据资产漏洞分析方法及系统 - Google Patents

人工智能与大数据结合的数据资产漏洞分析方法及系统 Download PDF

Info

Publication number
CN115408701A
CN115408701A CN202211045005.7A CN202211045005A CN115408701A CN 115408701 A CN115408701 A CN 115408701A CN 202211045005 A CN202211045005 A CN 202211045005A CN 115408701 A CN115408701 A CN 115408701A
Authority
CN
China
Prior art keywords
data asset
access
data
path
asset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211045005.7A
Other languages
English (en)
Other versions
CN115408701B (zh
Inventor
周康发
孔雪琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Jujun Technology Co ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202211045005.7A priority Critical patent/CN115408701B/zh
Publication of CN115408701A publication Critical patent/CN115408701A/zh
Application granted granted Critical
Publication of CN115408701B publication Critical patent/CN115408701B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及人工智能和大数据技术领域,揭露了一种人工智能与大数据结合的数据资产漏洞分析方法及系统,包括:根据数据资产暴露面构建路径分析图数据库,将数据资产访问基准线输入进行数据暴露路径分析,生成数据暴露路径;判断数据资产访问路径信息是否满足数据暴露路径;若不满足,判断数据资产访问路径信息是否满足数据资产访问基准线;若满足,生成访问请求处理结果包括访问请求通过指令。解决了缺少适应范围较为广泛的数据资产漏洞分析防护方案的技术问题,达到了提高数据资产漏洞分析防护适应范围的技术效果。

Description

人工智能与大数据结合的数据资产漏洞分析方法及系统
技术领域
本发明涉及人工智能和大数据技术领域,特别涉及一种人工智能与大数据结合的数据资产漏洞分析方法及系统。
背景技术
数字化建设为企业带来效益和便捷的同时,由于互联网的互通性,导致存储的数字化数据资产的安全性难以保障,存在被盗取,被复制,被入侵,被篡改等安全风险。为了保障数据资产的安全,目前采用的方式为着力研究数据资产的防护研究方向,较为流行的方式为针对实际需要防护的风险类型制定防护规则,进而实现数据资产保护。上述方式由于在面对不同的风险类型和应用场景都需要重新制定新的防护规则,导致普适性较差,难以大范围的推广应用。
因此,如何提出适应范围较为广泛的数据资产漏洞分析防护方案是当下亟需解决的的问题。
发明内容
本发明的主要目的是提供一种人工智能与大数据结合的数据资产漏洞分析方法及系统,旨在提出适应范围较为广泛的数据资产漏洞分析防护的方案。
第一方面,本发明提出一种人工智能与大数据结合的数据资产漏洞分析方法,其中,所述方法应用一人工智能与大数据结合的数据资产漏洞分析系统,所述方法包括:获取用户访问请求信息,其中,所述用户访问请求信息包括访问数据资产身份信息和数据资产访问路径信息;根据所述访问数据资产身份信息,匹配数据资产关联数据集,其中,所述数据资产关联数据集包括数据资产暴露面和数据资产访问基准线;根据所述数据资产暴露面和数据资产基本信息,构建路径分析图数据库;将所述数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径;判断所述数据资产访问路径信息是否满足所述数据暴露路径;若不满足,判断所述数据资产访问路径信息是否满足所述数据资产访问基准线;若满足,生成访问请求处理结果,其中,所述访问请求处理结果包括访问请求通过指令。
第二方面,本发明还提出一种人工智能与大数据结合的数据资产漏洞分析系统,其中,所述系统包括:访问请求获取模块,用于获取用户访问请求信息,其中,所述用户访问请求信息包括访问数据资产身份信息和数据资产访问路径信息;关联数据匹配模块,用于根据所述访问数据资产身份信息,匹配数据资产关联数据集,其中,所述数据资产关联数据集包括数据资产暴露面和数据资产访问基准线;图数据库构建模块,用于根据所述数据资产暴露面和数据资产基本信息,构建路径分析图数据库;访问路径分析模块,用于将所述数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径;漏洞第一判别模块,用于判断所述数据资产访问路径信息是否满足所述数据暴露路径;漏洞第二判别模块,用于若不满足,判断所述数据资产访问路径信息是否满足所述数据资产访问基准线;任务执行模块,用于若满足,生成访问请求处理结果,其中,所述访问请求处理结果包括访问请求通过指令。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本发明采用了获取用户访问请求信息,确定访问数据资产身份信息和数据资产访问路径信息;根据数据资产身份信息匹配数据资产关联数据集确定数据资产暴露面和数据资产访问基准线;依据数据资产暴露面和数据资产基本信息,构建路径分析图数据库;将数据资产访问基准线输入图数据库筛选出数据暴露路径;若是资产访问路径不满足数据暴露路径且满足数据资产访问基准线,则说明为可授权的访问请求,则生成访问请求通过指令的技术方案,利用图数据库匹配数据暴露路径,相比于单一的根据场景化的数据资产访问基准线判断,适应范围较为广泛,提高了防护效率,达到了提高数据资产漏洞分析防护适应范围的技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明人工智能与大数据结合的数据资产漏洞分析方法的流程示意图;
图2为本发明人工智能与大数据结合的数据资产漏洞分析方法中的数据资产关联数据集确定流程示意图;
图3为本发明人工智能与大数据结合的数据资产漏洞分析方法中数据暴露路径的确定流程示意图;
图4为本发明人工智能与大数据结合的数据资产漏洞分析方法中路径分析图数据库的扩充流程示意图;
图5为本发明人工智能与大数据结合的数据资产漏洞分析系统的结构示意图;
图6为本发明人工智能与大数据结合的数据资产漏洞分析方法的示例性电子设备结构示意图。
附图标记说明:访问请求获取模块51,关联数据匹配模块52,图数据库构建模块53,访问路径分析模块54,漏洞第一判别模块55,漏洞第二判别模块56,任务执行模块57。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
实施例1
如图1所示,本申请实施例提出了一种人工智能与大数据结合的数据资产漏洞分析方法,其特征在于,所述方法应用一人工智能与大数据结合的数据资产漏洞分析系统,所述方法包括步骤:
具体而言,本申请实施例提供的一种人工智能与大数据结合的数据资产漏洞分析方法的任意步骤可通过不设限制的编程方式,示例性地如:C++,Python,java等方式实现编码,得到人工智能与大数据结合的数据资产漏洞分析程序,而根据不同的程序模块,构建得到人工智能与大数据结合的数据资产漏洞分析系统,更进一步的,将人工智能与大数据结合的数据资产漏洞分析系统加载到硬件设备上,即可用于实际应用本申请实施例提供的一种人工智能与大数据结合的数据资产漏洞分析方法的任意步骤。
S100:根据数据资产暴露面和数据资产基本信息,构建路径分析图数据库;
进一步的,根据数据资产暴露面和数据资产基本信息,构建路径分析图数据库,步骤S100包括步骤:
S110:从所述数据资产基本信息,提取数据资产MAC地址、数据资产IP地址、数据资产操作系统和数据资产部署应用;
S120:根据所述数据资产MAC地址、所述数据资产IP地址、所述数据资产操作系统和所述数据资产部署应用对所述数据资产暴露面进行标识,生成图数据库节点集合;
S130:对所述图数据库节点集合进行访问路径连接,构建所述路径分析图数据库。
更进一步的,所述对所述图数据库节点集合进行访问路径连接,构建所述路径分析图数据库,步骤S130包括步骤:
S131:从所述图数据库节点集合随机抽取任意一节点,记为第k图数据库节点;
S132:从所述图数据库节点集合随机抽取任意一节点,记为第k+1图数据库节点,其中,所述第k+1图数据库节点和所述第k图数据库节点不同;
S133:构建第一适应度函数:
Figure BDA0003822079680000061
其中,Pak→k+1表征从第k个图数据库节点到第k+1个图数据库节点的访问链接权限,1表征具备权限,0表征不具备权限;
S134:构建第二适应度函数:
Figure BDA0003822079680000062
其中,Bβ k→k+1表征从第k个图数据库节点到第k+1个图数据库节点的访问深度参数,Aα k→k+1表征第k个图数据库节点到第k+1个图数据库节点的访问频率参数,ξk→k+1表征第k个图数据库节点到第k+1个图数据库节点的访问难度修正系数,β和α为权重参数;
S135:根据所述第一适应度函数和所述第二适应度函数对所述第k+1图数据库节点和所述第k图数据库节点进行访问路径分析,生成访问路径向量;
S136:将所述访问路径向量添加进所述路径分析图数据库。
更进一步的,所述根据所述第一适应度函数和所述第二适应度函数对所述第k+1图数据库节点和所述第k图数据库节点进行访问路径分析,生成访问路径向量,步骤S135包括步骤:
S135-1:判断所述第k+1图数据库节点和所述第k图数据库节点是否满足所述第一适应度函数;
S135-2:若满足,将所述第k+1图数据库节点和所述第k图数据库节点输入所述第二适应度函数,输出第二适应度;
S135-3:若所述第二适应度满足连接适应度阈值,生成从所述k图数据库节点到所述第k+1图数据库节点的所述访问路径向量。
具体而言,路径分析图数据库指的是用于研究数据资产在系统中和外界进行交互的路径图像数据库,在路径分析图数据库中任意一个点指的是一个暴露面,任意一条边为向量,向量方向表征访问的路径方向,在路径分析图数据库中包括着待访问数据资产的全部暴露路径,包括已授权的全部路径和未授权的访问路径。使用路径分析图数据库可实现暴露面到暴露路径的转化过程,为后步判断提供了准确的参考数据集。
路径分析图数据库构建过程优选的如下:
从数据资产基本信息,提取表征物理地址的数据资产MAC地址、表征网络地址的数据资产IP地址、表征数据资产所述的数据资产操作系统和表征依据数据资产所搭建的数据资产部署应用;由于数据资产基本信息为读取数据资产时需要涉及的相关数据,因此将数据资产MAC地址、数据资产IP地址、数据资产操作系统和数据资产部署应用对数据资产暴露面进行标识,进而可实现待访问数据资产和其它类型的访问资产在路径分析图数据库中的差异性,避免出现数据冗杂现象,将标识后的全部数据资产暴露面作为图数据库节点,记为图数据库节点集合。
图像数据库节点确定,进一步的则需要对各个节点进行连接,进而实现路径分析图数据库的构建,依据待访问的数据资产的历史访问记录数据,遍历全部的图数据库节点集合进行访问连接,确定路径分析图数据库,等待后步调用。
进行访问连接的详细过程如下:
从图数据库节点集合随机抽取任意一节点,记为第k图数据库节点;再从图数据库节点集合随机抽取任意一和第k图数据库节点不同的节点,记为第k+1图数据库节点;确定第一适应度函数:
Figure BDA0003822079680000081
表征从第k图数据库节点到第k+1图数据库节点是否具有访问链接的权限,若是有,则输出为1,若是无则输出为0;确定第二适应度函数:
Figure BDA0003822079680000082
Pbk→k+1表征链接的可能性,和访问深度成反比,和访问频率成正比,其中,访问深度优选为从第k图数据库节点访问到第k+1图数据库节点需要遍历的网页数量,访问频率指的是历史记录数据中从第k图数据库节点到第k+1图数据库节点的频率数量;β和α为权重参数为工作人员设定的表征访问深度和访问频率重要度的参数;ξk→k+1为访问难度修正系数和范文难度成反比,基于历史访问记录确定的除开访问深度和访问频率以外的表征访问难度的集成参数,由专家组进行自定义统计设定。即第二适应度函数中变量为访问深度参数和访问频率参数。而访问深度参数和访问频率参数根据待访问数据资产的历史访问记录易于确定。
访问路径分析:首先判断第k+1图数据库节点和第k图数据库节点是否满足第一适应度函数,即是否具备从第k图数据库节点访问至第k+1图数据库节点的链接权限,若是不具备,则从第k图数据库节点无法访问至第k+1图数据库节点,则从第k图数据库节点到第k+1图数据库节点不连接;若是具备输出为1,则根据第k+1图数据库节点和第k图数据库节点匹配访问深度和在访问记录数据中的访问频率,输入第二适应度函数,计算第二适应度;若是第二适应度大于或等于连接适应度阈值,即视为满足连接适应度阈值,则从第k图数据库节点到第k+1图数据库节点进行连接,生成相应的单向的访问向量,而从第k+1图数据库节点到第k图数据库节点是否可以连接,需要后步使用相同的方式确定,其中,连接适应度阈值指的是工作人员设定阈值。若是第二适应度小于连接适应度阈值,即视为不满足连接适应度阈值,则无法生成从第k图数据库节点到第k+1图数据库节点的向量边。
使用相同的方法遍历全部的图数据库节点集合,得到最终的连接网络,即为路径分析图数据库,通过路径分析图数据库可确定待访问数据资产进行访问的多条路径数据,包括了已经授权的全部路径和未授权的其它路径,后步若是请求路径不属于路径分析图数据库的路径,则视为漏洞路径,拒绝赋予访问权限。保障了数据资产的访问安全性。
S200:将数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径;
进一步的,如图3所示,基于所述将数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径,步骤S200包括步骤:
S210:将所述数据资产访问基准线输入所述路径分析图数据库进行路径比对,生成未利用路径集合;
S220:将所述未利用路径集合添加进所述数据暴露路径。
具体而言,未利用路径集合指的是将所述数据资产访问基准线输入所述路径分析图数据库进行路径比对,筛除路径分析图数据库中和数据资产访问基准线重合的路径后的其它全部路径,表征未授权路径。将未利用路径集合添加进数据暴露路径,即若是请求路径满足数据暴露路径,则视为漏洞访问路径,拒绝赋予访问权限。
S300:判断数据资产访问路径信息是否满足所述数据暴露路径;
S400:若不满足,判断所述数据资产访问路径信息是否满足所述数据资产访问基准线;
S500:若满足,生成访问请求处理结果,其中,所述访问请求处理结果包括访问请求通过指令。
具体而言,判断据资产访问路径信息是否属于数据暴露路径,若是不属于,则可能为已授权路径,则可进行和已授权路径的判断,即判断所述数据资产访问路径信息是否属于所述数据资产访问基准线,若是属于,则说明数据资产访问路径信息为可授权的访问路径,则生成访问请求通过指令添加进访问请求处理结果反馈至用户,提醒可以访问相关数据资产。通过使用数据暴露路径和数据资产访问基准线进行二重判断,相比于单重判断,提高了分析效率,且并非针对特定的漏洞进行分析防护,提高了适应度。
进一步的,如图4所示,基于所述判断所述数据资产访问路径信息是否满足所述数据资产访问基准线,还包括步骤S600,步骤S600还包括步骤:
S610:若所述数据资产访问路径信息不满足所述数据资产访问基准线,生成访问权限限制指令;
S620:根据所述访问权限限制指令对所述数据资产访问路径信息进行标识,生成数据资产访问受限路径;
S630:根据所述数据资产访问受限路径,获取新增数据暴露面,输送至所述路径分析图数据库。
具体而言,若所述数据资产访问路径信息不满足所述数据资产访问基准线,则说明数据资产访问路径信息为未授权的访问路径,则生成访问权限限制指令表征对应的数据资产访问路径信息不可授权,进一步的,根据访问权限限制指令对数据资产访问路径信息进行标识,生成数据资产访问受限路径,而由于此受限路径为数据暴露路径未曾包括的未授权路径,则可作为新增数据暴露面添加进路径分析图数据库,生成新的未授权路径,以扩充数据暴露路径,提高后步的初步筛查能力,能够不断扩充数据资产暴露面集合,提高数据资产防护能力。
进一步的,所述判断数据资产访问路径信息是否满足所述数据暴露路径,还包括步骤S700,步骤S700还包括步骤:
S710:若所述数据资产访问路径信息满足所述数据暴露路径,生成访问权限限制指令;
S720:根据所述访问权限限制指令对所述数据资产访问路径信息进行标识,生成数据资产访问受限路径;
S730:将所述数据资产访问受限路径添加进所述访问请求处理结果。
具体而言,若是数据资产访问路径信息满足数据暴露路径,则说明属于已知的未授权访问路径,则访问权限限制指令对数据资产访问路径信息进行标识,生成数据资产访问受限路径,添加进访问请求处理结果反馈至用户处。保障了数据资产的安全性。
进一步的,在构建构建路径分析图数据库之前,需要获取数据资产暴露面和数据资产基本信息,确定过程举优选的一例,包括步骤:
S800:获取用户访问请求信息,其中,所述用户访问请求信息包括访问数据资产身份信息和所述数据资产访问路径信息;
具体而言,用户访问请求信息指的是具有访问需求的用户向存储数据资产的网络IP地址发起的访问请求,可选的通过网址连接、APP等形式对相应的数据资产发起访问请求,所谓访问即进行浏览、下载、删除、增加等操作中的一种或者多种类型。所谓数据资产即为数字化的资源,包括但不限于:电子文档的文学作品、客户名单文档、营销计划文档、商业秘密文档和生产记录数据等各类型的数据。
访问数据资产身份信息指的是表征数据资产唯一性的标识数据,根据访问数据资产身份信息便于确定所取数据的类型、存储位置、存储时间、取用数据多少等具体量;数据资产访问路径信息指的是表征用户提供的访问和访问数据资产身份信息对应的数据资产的路径信息。访问数据资产身份信息和数据资产访问路径信息由用户访问请求信息提供,在确定了数据资产身份信息后,即可匹配访问和访问数据资产身份信息对应的数据资产的路径已知的路径集合,以及授权的路径集合;进而则可依据数据资产访问路径信息和已经授权的路径集合比对,若是不属于,则标定异常路径,则此路径为数据资产漏洞。
S900:根据所述访问数据资产身份信息,匹配数据资产关联数据集,其中,所述数据资产关联数据集包括所述数据资产暴露面和所述数据资产访问基准线;
进一步的,如图2所示,所述根据所述访问数据资产身份信息,匹配数据资产关联数据集,其中,所述数据资产关联数据集包括所述数据资产暴露面和所述数据资产访问基准线,步骤S900包括步骤:
S910:根据所述访问数据资产身份信息,匹配数据资产配置表,其中,所述数据资产配置表包括数据资产类型和数据资产业务模块;
S920:根据所述数据资产类型进行数据扫描,生成所述数据资产基本信息,其中,所述数据资产基本信息包括端口数据资产暴露面和所述数据资产访问基准线;
S930:根据所述数据资产业务模块对所述端口数据资产暴露面进行筛选,生成所述数据资产暴露面。
具体而言,数据资产关联数据集指的是指的是和访问数据资产身份信息相对应的数据资产以及访问数据资产时可同时获取的关联数据集,包括但不限于:数据资产所在系统用于和外界进行数据交互的虚拟或硬件端口,数据资产相关的业务数据,以及其它的数据资产ip地址、依据数据资产部署的应用、可访问数据资产的路径等。数据资产暴露面指的是数据资产所在系统用于和外界进行数据交互的虚拟或硬件端口中用于对访问数据资产身份信息相对应的数据资产进行访问的虚拟或硬件端口,可通过网址链接等方式接入接口。数据资产业务模块指的是数据资产所在系统使用和数据资产相关的业务模块集合,即进行实际的业务会直接或间接利用相应数据资产的业务模块。
详细确定过程如下:
数据资产配置表指的是用于匹配数据资产基本信息的配置表,任意一个数据资产在数据资产配置表都标定的有相应的数据资产基本信息,包括但不限于:数据资产MAC地址、数据资产IP地址、数据资产所在的操作系统、根据数据资产所部署的应用、表征已经授权的可访问数据资产的数据资产访问基准线。
进一步的,从数据资产所在的操作系统和根据数据资产所部署的应用上筛选和外界交互的虚拟和应用端口,记为端口数据资产暴露面。更进一步的,从端口数据资产暴露面筛选出会暴露相应数据资产的暴露面设为数据资产暴露面,优选方式如下:基于待访问数据资产交互记录数据集,确定待访问数据资产交互涉及的直接的虚拟或硬件端口,或者间接的虚拟端口和硬件端口,进而添加进数据资产暴露面。
通过确定数据资产访问基准线表征已经授权的可访问数据资产的路径,为后步判断漏洞路径提供决策基准数据;通过数据资产暴露面确定数据资产所在的操作系统和根据数据资产所部署的应用可能暴露数据资产的虚拟和硬件端口,为后步进行路径分析提供了数据参考基础。
综上所述,本申请所公开的一种人工智能与大数据结合的数据资产漏洞分析方法及系统至少具有以下技术效果:
1.本发明采用了获取用户访问请求信息,确定访问数据资产身份信息和数据资产访问路径信息;根据数据资产身份信息匹配数据资产关联数据集确定数据资产暴露面和数据资产访问基准线;依据数据资产暴露面和数据资产基本信息,构建路径分析图数据库;将数据资产访问基准线输入图数据库筛选出数据暴露路径;若是资产访问路径不满足数据暴露路径且满足数据资产访问基准线,则说明为可授权的访问请求,则生成访问请求通过指令的技术方案,利用图数据库匹配数据暴露路径,相比于单一的根据场景化的数据资产访问基准线判断,适应范围较为广泛,提高了防护能力,达到了提高数据资产漏洞分析防护适应范围的技术效果。
实施例二
为了实现前述一种人工智能与大数据结合的数据资产漏洞分析方法所述的步骤,如图5所示,本申请实施例还提供一种人工智能与大数据结合的数据资产漏洞分析系统,其中,所述系统包括:
图数据库构建模块53,用于根据数据资产暴露面和数据资产基本信息,构建路径分析图数据库;
访问路径分析模块54,用于将数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径;
漏洞第一判别模块55,用于判断数据资产访问路径信息是否满足所述数据暴露路径;
漏洞第二判别模块56,用于若不满足,判断所述数据资产访问路径信息是否满足所述数据资产访问基准线;
任务执行模块57,用于若满足,生成访问请求处理结果,其中,所述访问请求处理结果包括访问请求通过指令。
进一步的,所述系统还包括:
访问请求获取模块51,用于获取用户访问请求信息,其中,所述用户访问请求信息包括访问数据资产身份信息和所述数据资产访问路径信息;
关联数据匹配模块52,用于根据所述访问数据资产身份信息,匹配数据资产关联数据集,其中,所述数据资产关联数据集包括所述数据资产暴露面和所述数据资产访问基准线。
进一步的,所述漏洞第二判别模块56执行步骤还包括:
若所述数据资产访问路径信息不满足所述数据资产访问基准线,生成访问权限限制指令;
根据所述访问权限限制指令对所述数据资产访问路径信息进行标识,生成数据资产访问受限路径;
根据所述数据资产访问受限路径,获取新增数据暴露面,输送至所述路径分析图数据库。
进一步的,所述漏洞第一判别模块55执行步骤还包括:
若所述数据资产访问路径信息满足所述数据暴露路径,生成访问权限限制指令;
根据所述访问权限限制指令对所述数据资产访问路径信息进行标识,生成数据资产访问受限路径;
将所述数据资产访问受限路径添加进所述访问请求处理结果。
进一步的,所述关联数据匹配模块52执行步骤包括:
根据所述访问数据资产身份信息,匹配数据资产配置表,其中,所述数据资产配置表包括数据资产类型和数据资产业务模块;
根据所述数据资产类型进行数据扫描,生成数据资产基本信息,其中,所述数据资产基本信息包括端口数据资产暴露面和所述数据资产访问基准线;
根据所述数据资产业务模块对所述端口数据资产暴露面进行筛选,生成所述数据资产暴露面。
进一步的,所述图数据库构建模块53执行步骤包括:
从所述数据资产基本信息,提取数据资产MAC地址、数据资产IP地址、数据资产操作系统和数据资产部署应用;
根据所述数据资产MAC地址、所述数据资产IP地址、所述数据资产操作系统和所述数据资产部署应用对所述数据资产暴露面进行标识,生成图数据库节点集合;
对所述图数据库节点集合进行访问路径连接,构建所述路径分析图数据库。
进一步的,所述图数据库构建模块53执行步骤包括:
从所述图数据库节点集合随机抽取任意一节点,记为第k图数据库节点;
从所述图数据库节点集合随机抽取任意一节点,记为第k+1图数据库节点,其中,所述第k+1图数据库节点和所述第k图数据库节点不同;
构建第一适应度函数:
Figure BDA0003822079680000181
其中,Pak→k+1表征从第k个图数据库节点到第k+1个图数据库节点的访问链接权限,1表征具备权限,0表征不具备权限;
构建第二适应度函数:
Figure BDA0003822079680000182
其中,Bβ k→k+1表征从第k个图数据库节点到第k+1个图数据库节点的访问深度参数,Aα k→k+1表征第k个图数据库节点到第k+1个图数据库节点的访问频率参数,ξk→k+1表征第k个图数据库节点到第k+1个图数据库节点的访问难度修正系数,β和α为权重参数;
根据所述第一适应度函数和所述第二适应度函数对所述第k+1图数据库节点和所述第k图数据库节点进行访问路径分析,生成访问路径向量;
将所述访问路径向量添加进所述路径分析图数据库。
进一步的,所述图数据库构建模块53执行步骤包括:
判断所述第k+1图数据库节点和所述第k图数据库节点是否满足所述第一适应度函数;
若满足,将所述第k+1图数据库节点和所述第k图数据库节点输入所述第二适应度函数,输出第二适应度;
若所述第二适应度满足连接适应度阈值,生成从所述k图数据库节点到所述第k+1图数据库节点的所述访问路径向量。
进一步的,所述访问路径分析模块54执行步骤包括:
将所述数据资产访问基准线输入所述路径分析图数据库进行路径比对,生成未利用路径集合;
将所述未利用路径集合添加进所述数据暴露路径。
综上所述的方法的任意步骤都可作为计算机指令或者程序存储在不设限制的计算机存储器中,并可以被不设限制的计算机处理器调用识别用以实现本申请实施例中的任一项方法,在此不做多余限制。
进一步的,综上所述的第一或第二可能不止代表次序关系,也可能代表某项特指概念,和/或指的是多个元素之间可单独或全部选择。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。
如图6所示,基于与前述实施例中一种人工智能与大数据结合的数据资产漏洞分析方法相同的发明构思,本申请还提供了一种计算机设备6000,所述计算机设备6000包括存储器64和处理器61,所述存储器上存储有计算机可执行指令,所述处理器运行所述存储器上的计算机可执行指令时实现上述的方法。在实际应用中,系统还可以分别包含必要的其他元件,包含但不限于任意数量的输入装置62、输出装置63、处理器61、控制器、存储器64、总线等,而所有可以实现本申请实施例的大数据管理方法的系统都在本申请的保护范围之内。
存储器包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read至only memory,ROM)、可擦除可编程只读存储器(erasable programmable readonly memory,EPROM)、或便携式只读存储器(compact disc read至only memory,CD至ROM),该存储器用于相关指令及数据。
输入装置62用于输入数据和/或信号,以及输出装置63用于输出数据和/或信号。输出装置63和输入装置62可以是独立的器件,也可以是一个整体的器件。
处理器可以包括是一个或多个处理器,例如包括一个或多个中央处理器(centralprocessing unit,CPU),在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。处理器还可以包括一个或多个专用处理器,专用处理器可以包括GPU、FPGA等,用于进行加速处理。
存储器用于存储网络设备的程序代码和数据。
处理器用于调用该存储器中的程序代码和数据,执行上述方法实施例中的步骤。具体可参见方法实施例中的描述,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,该单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。所显示或讨论的相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程系统。该计算机指令可以存储在计算机可读存储介质中,或者通过该计算机可读存储介质进行传输。该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是只读存储器(read至onlymemory,ROM),或随机存储存储器(random access memory,RAM),或磁性介质,例如,软盘、硬盘、磁带、磁碟、或光介质,例如,数字通用光盘(digital versatile disc,DVD)、或者半导体介质,例如,固态硬盘(solid state disk,SSD)等。
本说明书和附图仅仅是本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。

Claims (10)

1.一种人工智能与大数据结合的数据资产漏洞分析方法,其特征在于,所述方法包括:
根据数据资产暴露面和数据资产基本信息,构建路径分析图数据库;
将数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径;
判断数据资产访问路径信息是否满足所述数据暴露路径;
若不满足,判断所述数据资产访问路径信息是否满足所述数据资产访问基准线;
若满足,生成访问请求处理结果,其中,所述访问请求处理结果包括访问请求通过指令。
2.如权利要求1所述的方法,其特征在于,所述根据数据资产暴露面和数据资产基本信息,构建路径分析图数据库,之前还包括:
获取用户访问请求信息,其中,所述用户访问请求信息包括访问数据资产身份信息和所述数据资产访问路径信息;
根据所述访问数据资产身份信息,匹配数据资产关联数据集,其中,所述数据资产关联数据集包括所述数据资产暴露面和所述数据资产访问基准线。
3.如权利要求1所述的方法,其特征在于,所述判断所述数据资产访问路径信息是否满足所述数据资产访问基准线,还包括:
若所述数据资产访问路径信息不满足所述数据资产访问基准线,生成访问权限限制指令;
根据所述访问权限限制指令对所述数据资产访问路径信息进行标识,生成数据资产访问受限路径;
根据所述数据资产访问受限路径,获取新增数据暴露面,输送至所述路径分析图数据库。
4.如权利要求1所述的方法,其特征在于,所述判断数据资产访问路径信息是否满足所述数据暴露路径,还包括:
若所述数据资产访问路径信息满足所述数据暴露路径,生成访问权限限制指令;
根据所述访问权限限制指令对所述数据资产访问路径信息进行标识,生成数据资产访问受限路径;
将所述数据资产访问受限路径添加进所述访问请求处理结果。
5.如权利要求2所述的方法,其特征在于,所述根据所述访问数据资产身份信息,匹配数据资产关联数据集,其中,所述数据资产关联数据集包括所述数据资产暴露面和所述数据资产访问基准线,包括:
根据所述访问数据资产身份信息,匹配数据资产配置表,其中,所述数据资产配置表包括数据资产类型和数据资产业务模块;
根据所述数据资产类型进行数据扫描,生成所述数据资产基本信息,其中,所述数据资产基本信息包括端口数据资产暴露面和所述数据资产访问基准线;
根据所述数据资产业务模块对所述端口数据资产暴露面进行筛选,生成所述数据资产暴露面。
6.如权利要求1所述的方法,其特征在于,所述根据数据资产暴露面和数据资产基本信息,构建路径分析图数据库,包括:
从所述数据资产基本信息,提取数据资产MAC地址、数据资产IP地址、数据资产操作系统和数据资产部署应用;
根据所述数据资产MAC地址、所述数据资产IP地址、所述数据资产操作系统和所述数据资产部署应用对所述数据资产暴露面进行标识,生成图数据库节点集合;
对所述图数据库节点集合进行访问路径连接,构建所述路径分析图数据库。
7.如权利要求6所述的方法,其特征在于,所述对所述图数据库节点集合进行访问路径连接,构建所述路径分析图数据库,包括:
从所述图数据库节点集合随机抽取任意一节点,记为第k图数据库节点;
从所述图数据库节点集合随机抽取任意一节点,记为第k+1图数据库节点,其中,所述第k+1图数据库节点和所述第k图数据库节点不同;
构建第一适应度函数:
Figure FDA0003822079670000031
其中,Pak→k+1表征从第k个图数据库节点到第k+1个图数据库节点的访问链接权限,1表征具备权限,0表征不具备权限;
构建第二适应度函数:
Figure FDA0003822079670000041
其中,Bβ k→k+1表征从第k个图数据库节点到第k+1个图数据库节点的访问深度参数,Aα k→k+1表征第k个图数据库节点到第k+1个图数据库节点的访问频率参数,ξk→k+1表征第k个图数据库节点到第k+1个图数据库节点的访问难度修正系数,β和α为权重参数;
根据所述第一适应度函数和所述第二适应度函数对所述第k+1图数据库节点和所述第k图数据库节点进行访问路径分析,生成访问路径向量;
将所述访问路径向量添加进所述路径分析图数据库。
8.如权利要求7所述的方法,其特征在于,所述根据所述第一适应度函数和所述第二适应度函数对所述第k+1图数据库节点和所述第k图数据库节点进行访问路径分析,生成访问路径向量,包括:
判断所述第k+1图数据库节点和所述第k图数据库节点是否满足所述第一适应度函数;
若满足,将所述第k+1图数据库节点和所述第k图数据库节点输入所述第二适应度函数,输出第二适应度;
若所述第二适应度满足连接适应度阈值,生成从所述k图数据库节点到所述第k+1图数据库节点的所述访问路径向量。
9.如权利要求1所述的方法,其特征在于,所述将数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径,包括:
将数据资产访问基准线输入所述路径分析图数据库进行路径比对,生成未利用路径集合;
将所述未利用路径集合添加进所述数据暴露路径。
10.一种人工智能与大数据结合的数据资产漏洞分析系统,其特征在于,所述系统包括:
图数据库构建模块,用于根据数据资产暴露面和数据资产基本信息,构建路径分析图数据库;
访问路径分析模块,用于将数据资产访问基准线输入所述路径分析图数据库进行数据暴露路径分析,生成数据暴露路径;
漏洞第一判别模块,用于判断数据资产访问路径信息是否满足所述数据暴露路径;
漏洞第二判别模块,用于若不满足,判断所述数据资产访问路径信息是否满足所述数据资产访问基准线;
任务执行模块,用于若满足,生成访问请求处理结果,其中,所述访问请求处理结果包括访问请求通过指令。
CN202211045005.7A 2022-08-30 2022-08-30 人工智能与大数据结合的数据资产漏洞分析方法及系统 Active CN115408701B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211045005.7A CN115408701B (zh) 2022-08-30 2022-08-30 人工智能与大数据结合的数据资产漏洞分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211045005.7A CN115408701B (zh) 2022-08-30 2022-08-30 人工智能与大数据结合的数据资产漏洞分析方法及系统

Publications (2)

Publication Number Publication Date
CN115408701A true CN115408701A (zh) 2022-11-29
CN115408701B CN115408701B (zh) 2023-06-27

Family

ID=84161031

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211045005.7A Active CN115408701B (zh) 2022-08-30 2022-08-30 人工智能与大数据结合的数据资产漏洞分析方法及系统

Country Status (1)

Country Link
CN (1) CN115408701B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108111487A (zh) * 2017-12-05 2018-06-01 全球能源互联网研究院有限公司 一种安全监控方法及系统
CN110019074A (zh) * 2017-12-30 2019-07-16 中国移动通信集团河北有限公司 访问路径的分析方法、装置、设备及介质
CN112258054A (zh) * 2020-10-26 2021-01-22 福建奇点时空数字科技有限公司 一种基于流量感知的网络资产合规性分析方法
CN112270493A (zh) * 2020-11-13 2021-01-26 中盈优创资讯科技有限公司 一种资产自动防护的方法及装置
CN113032654A (zh) * 2021-04-08 2021-06-25 远江盛邦(北京)网络安全科技股份有限公司 网络空间内基于暴露面的社会组织识别方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108111487A (zh) * 2017-12-05 2018-06-01 全球能源互联网研究院有限公司 一种安全监控方法及系统
CN110019074A (zh) * 2017-12-30 2019-07-16 中国移动通信集团河北有限公司 访问路径的分析方法、装置、设备及介质
CN112258054A (zh) * 2020-10-26 2021-01-22 福建奇点时空数字科技有限公司 一种基于流量感知的网络资产合规性分析方法
CN112270493A (zh) * 2020-11-13 2021-01-26 中盈优创资讯科技有限公司 一种资产自动防护的方法及装置
CN113032654A (zh) * 2021-04-08 2021-06-25 远江盛邦(北京)网络安全科技股份有限公司 网络空间内基于暴露面的社会组织识别方法及系统

Also Published As

Publication number Publication date
CN115408701B (zh) 2023-06-27

Similar Documents

Publication Publication Date Title
KR102211374B1 (ko) 리스크 정보를 출력하고 리스크 정보를 구축하기 위한 방법 및 디바이스
JP2021515427A (ja) ブロックチェーンベースのデータ検証方法および装置、ならびに電子デバイス
CN104067283B (zh) 识别移动环境的木马化应用程序
CN110505228B (zh) 基于边缘云架构的大数据处理方法、系统、介质及装置
CN111488594B (zh) 一种基于云服务器的权限检查方法、装置、存储介质及终端
CN110661776B (zh) 敏感数据溯源方法、装置、安全网关及系统
CN110569765B (zh) 图片识别方法、图片比对方法及装置
CN111371772A (zh) 基于redis的智能网关限流方法、系统和计算机设备
WO2024169388A1 (zh) 基于stride模型的安全需求生成方法、装置、电子设备及介质
CN111324799B (zh) 搜索请求的处理方法及装置
CN112685778A (zh) 一种数据存储方法及装置
CN112181599A (zh) 模型训练方法、装置及存储介质
CN115408701A (zh) 人工智能与大数据结合的数据资产漏洞分析方法及系统
CN113392138B (zh) 一种隐私数据的统计分析方法、装置、服务器和存储介质
WO2019242112A1 (zh) 审计字段信息获取方法、装置、计算机设备和存储介质
CN115033187B (zh) 一种基于大数据的分析管理方法
CN118245170B (zh) 一种容器通信管理方法、装置、电子设备及存储介质
CN116611093B (zh) 一种数据库资源的使用授权方法及设备
CN115080960A (zh) 一种安全策略检测的方法、相关装置及存储介质
CN115329212A (zh) 账号获取方法、装置、计算机设备及存储介质
CN116961993A (zh) 服务配置方法、系统、设备及介质
CN115270110A (zh) 一种账户巡检方法、装置、电子设备和存储介质
CN117195289A (zh) 一种营销数据安全管控方法、系统及计算机存储介质
CN113885837A (zh) 威胁建模的需求建立方法及装置
WO2023104801A1 (en) Conditional access to data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20230220

Address after: No. 67, Harbin Road, Shibei District, Qingdao, Shandong 266000

Applicant after: Qingdao Jingzhongbei Information Technology Co.,Ltd.

Address before: No. 121, Shangdoulun Village, Jiepao Town, Suixi County, Zhanjiang City, Guangdong Province 524389

Applicant before: Zhou Kangfa

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230404

Address after: No. 121, Shangdoulun Village, Jiepao Town, Suixi County, Zhanjiang City, Guangdong Province 524389

Applicant after: Zhou Kangfa

Address before: No. 67, Harbin Road, Shibei District, Qingdao, Shandong 266000

Applicant before: Qingdao Jingzhongbei Information Technology Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230526

Address after: No.14, Lane 1502, Luoshan Road, China (Shanghai) pilot Free Trade Zone, Pudong New Area, Shanghai

Applicant after: Shanghai Jujun Technology Co.,Ltd.

Address before: No. 121, Shangdoulun Village, Jiepao Town, Suixi County, Zhanjiang City, Guangdong Province 524389

Applicant before: Zhou Kangfa

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant