CN116401639A - 一种基于大数据的计算机网络安全监管系统及方法 - Google Patents
一种基于大数据的计算机网络安全监管系统及方法 Download PDFInfo
- Publication number
- CN116401639A CN116401639A CN202310387559.3A CN202310387559A CN116401639A CN 116401639 A CN116401639 A CN 116401639A CN 202310387559 A CN202310387559 A CN 202310387559A CN 116401639 A CN116401639 A CN 116401639A
- Authority
- CN
- China
- Prior art keywords
- target
- current user
- historical
- user
- index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000011156 evaluation Methods 0.000 claims abstract description 65
- 238000004364 calculation method Methods 0.000 claims abstract description 54
- 230000008569 process Effects 0.000 claims abstract description 37
- 230000014759 maintenance of location Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 12
- 238000000605 extraction Methods 0.000 claims description 9
- 238000012163 sequencing technique Methods 0.000 claims description 9
- 230000026676 system process Effects 0.000 claims description 3
- 230000009471 action Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000002650 habitual effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于大数据的计算机网络安全监管系统及方法,系统通过调取计算机历史运行日志中用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程,捕捉用户对目标文件的操作习惯,系统将捕捉当前用户对目标文件操作习惯参数传入评价函数进行计算,根据评价函数计算结果对当前用户的目标操作行为进行评价,系统根据评价结果,动态调整习惯评价阈值,生成对当前用户操作限制的操作容限阈值,对超出限制的操作进行告警,安全监管系统对产生的告警进行处理,对当前用户对目标文件的操作权限进行限制,并对目标文件的相关操作进行保护。
Description
技术领域
本发明涉及计算机数据安全监管领域,具体为一种基于大数据的计算机网络安全监管系统及方法。
背景技术
当前,我们已经进入到了一个大数据时代。近年来,有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜,保护数据资产已引起社会各界高度重视。在我国数字经济进入快车道的时代背景下,如何开展数据安全治理,提升全社会的“安全感”,已成为普遍关注的问题。随着物联网、大数据和人工智能等技术的不断发展与应用,无论是个人的数据存储设备,还是云端存储系统,都存在着数据外泄的可能。
数据保护是在进行数字化转型的大背景下不可回避的一个问题,在数据流动和使用状态中的传统数据保护方式往往使用防火墙式的静态保护方法,这样的保护方法不仅需要大量专业技术人员的人工投入,而且静态保护方法容易产生固化的防护策略,导致被不法分子找到信息保护策略上的漏洞,最终仍有造成数据泄露的风险。
发明内容
本发明的目的在于提供一种基于大数据的计算机网络安全监管系统及方法,以解决上述背景技术中提出的问题。
为了解决上述技术问题,本发明提供如下技术方案:一种基于大数据的计算机网络安全监管方法,方法包括:
步骤S100:通过调取用户计算机的历史运行日志,提取用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程,根据相关操作步骤和操作过程提取对应目标指数;
步骤S200:通过对当前用户的目标操作捕捉,结合目标指数判断当前用户对目标文件的操作习惯;
步骤S300:设置评价函数,对当前用户的目标操作行为进行评价;
步骤S400:根据评价函数得出的结果,对当前用户的操作权限进行限制,对超出限制的操作进行告警;
步骤S500:安全监管系统对产生的告警进行处理。
进一步的,步骤S100包括:
步骤S101:用户在计算机内对目标文件进行选定,将用户对所述目标文件进行查看前做出的操作步骤设定为第一目标操,在所述计算机的历史运行日志中捕捉用户对所述目标文件进行操作前T1时段内执行的所有第一目标操作,汇入集合A1;
步骤S102:从集合A1中提取各种第一目标操作的历史发生次数和各种操作产生时间与对所述目标文件进行查看的历史平均间隔时间,将提取结果汇入集合A2,,A2={a1(iA1,tA1),a2(iA2,tA2),a3(iA3,tA3),……,an(iAn,tAn)},其中用a1(iA1,tA1),a2(iA2,tA2),a3(iA3,tA3),……,an(iAn,tAn)表示操作种类分别为a1,a2,a3,……,an的第一目标操作的历史发生次数和各个操作产生时间到对所述目标文件进行查看的历史平均间隔时间分别对应为(iA1,tA1),(iA2,tA2),(iA3,tA3),……,(iAn,tAn);
步骤S103:计算A2中各第一目标操作的第一目标指数λA,记计算机的历史运行日志中的第一目标操作的总次数为总次数i总A,每个操作对应的第一目标指数为该种操作历史发生次数占总次数的比例乘该操作与第一目标操作的历史平均间隔时间,a1,a2,a3,……,an对应的第一目标指数分别记为λA1,λA2,λA3,……λAn,其中第n个操作种类对应的第一目标指数的计算方法为:其中i总A=iA1+iA2+iA3+……+iAn;
步骤S104:将用户对所述目标文件进行处理的操作设为第二目标操作,所述处理包括浏览、编辑、写入、修订、调取、和传输,在所述计算机的历史运行日志中,对所有的第二目标操作进行捕捉;
步骤S105:提取计算机的历史运行日志中用户执行第二目标操作时,后台中未结束进程的操作,记入集合B1;
步骤S106:从集合B1中提取各个操作与用户执行第二目标操作时的历史保留次数和各个操作保留时间与用户对所述目标文件进行第二目标操作重合时间长度的历史平均值,结果汇入B2,B2={b1(iB1,tB1),b2(iB2,tB2),b3(iB3,tB3),……,bq(iBq,tBq)},其中用b1(iB1,tB1),b2(iB2,tB2),b3(iB3,tB3),……,bq(iBq,tBq)表示用户执行第二目标操作时,后台未结束进程的操作种类为b1,b2,b3,……,bq的保留次数和各个未结束进程保留的时间与用户进行第二目标操作的历史平均重合时间对应为(iB2,tB2),(iB3,tB3),……,(iBq,tBq);
步骤S107:计算B2中操作的第二目标指数λB,记计算机的历史运行日志中第二目标操作后保留操作进程的所有次数为总次数i总B,每个操作对应的第二目标指数为该种操作历史保留次数占总次数的比例乘该操作与第二目标操作的历史平均重合时间,b1,b2,b3,……,bq对应的第二目标指数分别记为λB1,λB2,λB3,……,λBq,其中第n个操作种类对应的第二目标指数的计算方法为:其中i总B=iB1+iB2+iB3+……+iBn。
进一步的,步骤S200包括:
步骤S201:系统对当前用户的第一目标操作进行捕捉,记入集合A client,记录当前用户进行第二目标操作时后台保留进程的操作,记入集合Bclient,计算Mclient=A client∩Bclient;
步骤S202:计算A client∩A2,遍寻A client中与A2对应的同种操作,计算当前用户进行该操作到对所述目标文件进行查看前的时间与历史平均间隔时间差值的绝对值,该差值的绝对值乘以对应操作第一目标指数,结果记为第一相似指数α,设A client中与A2对应的同种操作有j项,α=α1+α2+α3+…+αj,其中第j项的相似指数αj为,αj=λAj×|tclient-tAj|,其中tclient j表示当前用户进行的第j项操作到对所述目标文件进行查看前的时间,tAj表示当前用户进行的第j项操作对应A2中的历史平均间隔时间,λAj表示当前用户进行的第j项操作对应的第一目标指数;
步骤S203:计算Bclient∩B2,遍寻B client中与B2对应的同种操作,计算当前用户执行第二目标操作时各个后台操作进程保留时间与当前用户对所述目标文件进行第二目标操作重合的时间长度,B client中与B2对应的同种操作保留进程的与当前用户执行第二目标操作重合时间长度与B2中对应历史平均重合长度差值的绝对值乘以对应第二目标指数,结果记为第二相似指数β,设B client中与B2对应的同种操作有k项,β=β1+β2+β3+…+βk,其中第k项的相似指数βk为,βk=λBk×|tclient-tBk|,其中tclient k表示当前用户进行的第k项操作到对所述目标文件进行查看前的时间,tBk表示当前用户进行的第k项操作对应B2中的历史平均间隔时间,λBk表示当前用户进行的第k项操作对应的第二目标指数。
进一步的,步骤S300包括:
通过取目标操作一和目标操作二的交集,得到用户对目标文件的历史操作记录中,对目标文件具有关联性操作的集合,着这个集合是系统评价当前用户操作目标文件是否与历史习惯相符的依据;
步骤S302:当前用户行为评价函数F计算当前用户对所述目标文件的操作习惯,结果记为ω;
步骤S303:设置习惯评价阈值ω0,当ω<ω0时认为当前用户对目标文件的操作时保持和历史记录中有相同的习惯,当ω>ω0时认为当前用户对目标文件进行的操作时与以往习惯产生差异;
进一步的,步骤S400包括:
步骤S401:提取计算机的历史运行日志中用户执行第二目标操作的历史总时长记为D,分别计算第二目标操作中的第1,第2,第3,……,第r项操作各项历史操作时长占D的比例,记为d1,d2,d3,……,dr;
步骤S402:捕捉当前用户的第二目标操作行为,记录当前用户在D*时间段内执行第二目标操作中的第1,第2,第3,……,第r项操作的时长占D*的比例为d* 1,d* 2,d* 3,……,d* r;
步骤S403:对当前用户的第二目标操作行为进行评价,记录第1,第2,第3,……,第r个操作项与各项平均历史时长占比差值的绝对值,分别用的σ1,σ2,σ3,……,σr表示当前用户对目标文件进行的第1,第2,第3,……,第r项操作与对应项平均历史时长占比的差值;
步骤S404:对于步骤S302中所述ω<ω0的情况,对各项操作设置告警容限,其中第r项操作产生的操作行为差值σr在对应项告警容限范围Wr内系统不产生告警,当σr超出Wr范围系统产生告警U1,其中第r项操作的告警容限Wr为:Wr=(dr×(1ε1),dr×(1+ε1));
当前用户的第一目标操作行为与历史运行日志中提取到的操作习惯越接近,在进行第二目标操作时的告警容限值就越大,告警容限指安全监管系统在对当前用户的第二目标操作与历史操作习惯不一致时的宽容程度,考虑到单次操作是具有偶然性的,采用对异常值的容限程度更具有操作性;
步骤S405:对于步骤S302中所述ω<ω0的情况,系统产生告警U2。
进一步的,步骤S500包括:
步骤S501:系统产生告警U1后,计算第二干预系数ε3,ε3为产生告警的操作项占D*的比例减去容限系数ε1;
步骤S502:将步骤S401中得到的d1,d2,d3,……,dr由高至低排列记入集合G,G={g1,g2,g3,……,gx},其中g1,g2,g3,……,gx表示d1,d2,d3,……,dr由高至低排列的结果;
步骤S503:在集合G中定位产生告警的操作项,该操作项之前的所有操作项以及该操作项后ε3·x(向上取整)个操作项将不再允许被操作;
步骤S504:将习惯评价阈值ω0调整为ω1,ω1=(1-ε3)·ω1,ω1将替代ω0用于下一次对当前用户的操作习惯评价,当习惯评价阈值小于0时系统将强制当前用户下线。
为更好实现上述方法,还提出一种基于大数据的计算机网络安全监管系统,计算机网络安全监管系统包括:目标文件选定模块、计算机运行日志提取模块、目标操作捕捉模块、目标指数计算模块、当前用户操作行为评价模块和安全监管模块,目标文件选定模块用于对目标文件进行选定,计算机运行日志提取模块用于在计算机历史运行日志中提取第一目标操作和第二目标操作的历史运行数据,目标操作捕捉模块用于对当前用户操作过程中产生的第一目标操作和第二目标操作行为进行捕捉,目标指数计算模块用对第一目标操作和第二目标指数进行计算,当前用户操作行为评价模块用于结合评价函数及评价函数计算结果对当前用户的操作行为进行评价,安全监管模块用于对产生的告警进行处理。
进一步的,所述目标指数计算模块包括:目标操作历史记录统计单元、第一目标指数计算单元和第二目标指数计算单元,目标操作历史记录统计单元用于统计第一目标操作和第二目标操作产生次数和时间信息,第一目标指数计算单元用于计算集合A2中各第一目标操作的第一目标指数,第二目标指数计算单元用于计算B2中操作的第二目标指数。
进一步的,所述当前用户操作行为评价模块包括:第一相似指数计算单元、第二相似指数计算单元、评价函数运算单元、容限系数生成单元、第一干预系数生成单元、告警容限生成单元和告警单元,第一相似指数计算单元用于计算第一相似指数,第二相似指数计算单元用于计算第二相似指数,评价函数运算单元用于通过评价函数计算当前用户的操作习惯,容限系数生成单元用于生成容限系数,第一干预系数生成单元用于生成第一干预系数,告警容限生成单元用于生成告警容限,告警单元用于对满足告警条件的情况生成对应告警信息。
进一步的,所述安全监管模块包括:第二干预系数生成单元、历史第二目标操作排序单元,第二目标操作保护单元和习惯评价阈值调整单元,第二干预系数生成单元用于生成第二干预系数,历史第二目标操作排序单元用于对历史运行日志中第二目标操作中各操作项按时间占比由多到少进行排序,第二目标操作保护单元用于对目标文件当前第二目标操作中的操作项进行保护,习惯评价阈值调整单元用于根据当前用户的操作对习惯评价阈值进行调整。
与现有技术相比,本发明所达到的有益效果是:本发明筛选出与目标文件有关联的操作,通过对这些与目标文件有关联的操作进行评价,得出用户在操作目标文件时的习惯,安全监管系统通过捕捉当前用户对目标文件的操作习惯于历史记录中的习惯进行比对,判断当前用户的操作是否为习惯性操作,在产生非习惯性操作时对计算机进行安全保护,相较于静态安全保护策略,如:设置访问密码和配置防火墙权限,一旦保护策略被攻击人知晓,会造成在此静态安全保护策略下的保护全部失效,而且及时重新部署的难度较大,通过捕捉用户操作习惯动态对计算机实现保护安全性更高更易灵活部署。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明基于大数据的计算机网络安全监管系统的结构示意图;
图2是本发明基于大数据的计算机网络安全监管方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1和图2,本发明提供技术方案:
步骤S100:通过调取用户计算机的历史运行日志,提取用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程,根据相关操作步骤和操作过程提取对应目标指数;
其中,步骤S100包括:
步骤S101:用户在计算机内对目标文件进行选定,将用户对所述目标文件进行查看前做出的操作步骤设定为第一目标操,在所述计算机的历史运行日志中捕捉用户对所述目标文件进行操作前T1时段内执行的所有第一目标操作,汇入集合A1;
步骤S102:从集合A1中提取各种第一目标操作的历史发生次数和各种操作产生时间与对所述目标文件进行查看的历史平均间隔时间,将提取结果汇入集合A2,,A2={a1(iA1,tA1),a2(iA2,tA2),a3(iA3,tA3),……,an(iAn,tAn)},其中用a1(iA1,tA1),a2(iA2,tA2),a3(iA3,tA3),……,an(iAn,tAn)表示操作种类分别为a1,a2,a3,……,an的第一目标操作的历史发生次数和各个操作产生时间到对所述目标文件进行查看的历史平均间隔时间分别对应为(iA1,tA1),(iA2,tA2),(iA3,tA3),……,(iAn,tAn);
步骤S103:计算A2中各第一目标操作的第一目标指数λA,记计算机的历史运行日志中的第一目标操作的总次数为总次数i总A,每个操作对应的第一目标指数为该种操作历史发生次数占总次数的比例乘该操作与第一目标操作的历史平均间隔时间,a1,a2,a3,……,an对应的第一目标指数分别记为λA1,λA2,λA3,……λAn,其中第n个操作种类对应的第一目标指数的计算方法为:其中i总A=iA1+iA2+iA3+……+iAn;
步骤S104:将用户对所述目标文件进行处理的操作设为第二目标操作,所述处理包括浏览、编辑、写入、修订、调取、和传输,在所述计算机的历史运行日志中,对所有第二目标操作进行捕捉;
步骤S105:提取计算机的历史运行日志中用户执行第二目标操作时,后台中未结束进程的操作,记入集合B1;
步骤S106:从集合B1中提取各个操作与用户执行第二目标操作时的历史保留次数和各个操作保留时间与用户对所述目标文件进行第二目标操作重合时间长度的历史平均值,结果汇入B2,B2={b1(iB1,tB1),b2(iB2,tB2),b3(iB3,tB3),……,bq(iBq,tBq)},其中用b1(iB1,tB1),b2(iB2,tB2),b3(iB3,tB3),……,bq(iBq,tBq)表示用户执行第二目标操作时,后台未结束进程的操作种类为b1,b2,b3,……,bq的保留次数和各个未结束进程保留的时间与用户进行第二目标操作的历史平均重合时间对应为(iB2,tB2),(iB3,tB3),……,(iBq,tBq);
步骤S107:计算B2中操作的第二目标指数λB,记计算机的历史运行日志中第二目标操作后保留操作进程的所有次数为总次数i总B,每个操作对应的第二目标指数为该种操作历史保留次数占总次数的比例乘该操作与第二目标操作的历史平均重合时间,b1,b2,b3,……,bq对应的第二目标指数分别记为λB1,λB2,λB3,……,其中第n个操作种类对应的第二目标指数的计算方法为:/>其中i总B=iB1+iB2+iB3+……+iBn;
步骤S200:通过对当前用户的目标操作捕捉,结合目标指数判断当前用户对目标文件的操作习惯;
其中,步骤S200包括:
步骤S201:系统对当前用户的第一目标操作进行捕捉,记入集合A client,记录当前用户进行第二目标操作时后台保留进程的操作,记入集合Bclient,计算Mclient=A client∩Bclient;
步骤S202:计算A client∩A2,遍寻A client中与A2对应的同种操作,计算当前用户进行该操作到对所述目标文件进行查看前的时间与历史平均间隔时间差值的绝对值,该差值的绝对值乘以对应操作第一目标指数,结果记为第一相似指数α,设A client中与A2对应的同种操作有j项,α=α1+α2+α3+…+αj,其中第j项的相似指数αj为,αj=λAj×|tclient-tAj|,其中tclient j表示当前用户进行的第j项操作到对所述目标文件进行查看前的时间,tAj表示当前用户进行的第j项操作对应A2中的历史平均间隔时间,λAj表示当前用户进行的第j项操作对应的第一目标指数;
步骤S203:计算Bclient∩B2,遍寻B client中与B2对应的同种操作,计算当前用户执行第二目标操作时各个后台操作进程保留时间与当前用户对所述目标文件进行第二目标操作重合的时间长度,B client中与B2对应的同种操作保留进程的与当前用户执行第二目标操作重合时间长度与B2中对应历史平均重合长度差值的绝对值乘以对应第二目标指数,结果记为第二相似指数β,设B client中与B2对应的同种操作有k项,β=β1+β2+β3+…+βk,其中第k项的相似指数βk为,βk=λBk×|tclient-tBk|,其中tclient k表示当前用户进行的第k项操作到对所述目标文件进行查看前的时间,tBk表示当前用户进行的第k项操作对应B2中的历史平均间隔时间,λBk表示当前用户进行的第k项操作对应的第二目标指数;
步骤S300:设置评价函数,对当前用户的目标操作行为进行评价;
其中,步骤S300包括:
步骤S302:当前用户行为评价函数F计算当前用户对所述目标文件的操作习惯,结果记为ω;
步骤S303:设置习惯评价阈值ω0,当ω<ω0时认为当前用户对目标文件的操作时保持和历史记录中有相同的习惯,当ω>ω0时认为当前用户对目标文件进行的操作时与以往习惯产生差异;
步骤S400:根据评价函数得出的结果,对当前用户的操作权限进行限制,对超出限制的操作进行告警;
其中,步骤S400包括:
步骤S401:提取计算机的历史运行日志中用户执行第二目标操作的历史总时长记为D,分别计算第二目标操作中的第1,第2,第3,……,第r项操作各项历史操作时长占D的比例,记为d1,d2,d3,……,dr;
步骤S402:捕捉当前用户的第二目标操作行为,记录当前用户在D*时间段内执行第二目标操作中的第1,第2,第3,……,第r项操作的时长占D*的比例为d* 1,d* 2,d* 3,……,d* r;
步骤S403:对当前用户的第二目标操作行为进行评价,记录第1,第2,第3,……,第r个操作项与各项平均历史时长占比差值的绝对值,分别用的σ1,σ2,σ3,……,σr表示当前用户对目标文件进行的第1,第2,第3,……,第r项操作与对应项平均历史时长占比的差值;
例如当前用户进行第r项操作时与该项操作的平均历史时长占比差值的绝对值为σr=|dr-d* r|
步骤S404:对于步骤S302中所述ω<ω0的情况,对各项操作设置告警容限,其中第r项操作产生的操作行为差值σr在对应项告警容限范围Wr内系统不产生告警,当σr超出Wr范围系统产生告警U1,其中第r项操作的告警容限Wr为:Wr=(dr×(1-ε1),dr×(1+ε1));
步骤S405:对于步骤S302中所述ω<ω0的情况,系统产生告警U2;
步骤S500:安全监管系统对产生的告警进行处理;
其中,步骤S500包括:
步骤S501:系统产生告警U1后,计算第二干预系数ε3,ε3为产生告警的操作项占D*的比例减去容限系数ε1;
步骤S502:将步骤S401中得到的d1,d2,d3,……,dr由高至低排列记入集合G,G={g1,g2,g3,……,gx},其中g1,g2,g3,……,gx表示d1,d2,d3,……,dr由高至低排列的结果;
步骤S503:在集合G中定位产生告警的操作项,该操作项之前的所有操作项以及该操作项后ε3·x(向上取整)个操作项将不再允许被操作;
步骤S504:将习惯评价阈值ω0调整为ω1,ω1=(1-ε3)·ω1,ω1将替代ω0用于下一次对当前用户的操作习惯评价,当习惯评价阈值小于0时系统将强制当前用户下线;
为更好实现上述方法,还提出一种基于大数据的计算机网络安全监管系统,计算机网络安全监管系统包括:目标文件选定模块、计算机运行日志提取模块、目标操作捕捉模块、目标指数计算模块、当前用户操作行为评价模块和安全监管模块,目标文件选定模块用于对目标文件进行选定,计算机运行日志提取模块用于在计算机历史运行日志中提取第一目标操作和第二目标操作的历史运行数据,目标操作捕捉模块用于对当前用户操作过程中产生的第一目标操作和第二目标操作行为进行捕捉,目标指数计算模块用对第一目标操作和第二目标指数进行计算,当前用户操作行为评价模块用于结合评价函数及评价函数计算结果对当前用户的操作行为进行评价,安全监管模块用于对产生的告警进行处理;
其中,目标指数计算模块包括:目标操作历史记录统计单元、第一目标指数计算单元和第二目标指数计算单元,目标操作历史记录统计单元用于统计第一目标操作和第二目标操作产生次数和时间信息,第一目标指数计算单元用于计算集合A2中各第一目标操作的第一目标指数,第二目标指数计算单元用于计算B2中操作的第二目标指数;
其中,当前用户操作行为评价模块包括:第一相似指数计算单元、第二相似指数计算单元、评价函数运算单元、容限系数生成单元、第一干预系数生成单元、告警容限生成单元和告警单元,第一相似指数计算单元用于计算第一相似指数,第二相似指数计算单元用于计算第二相似指数,评价函数运算单元用于通过评价函数计算当前用户的操作习惯,容限系数生成单元用于生成容限系数,第一干预系数生成单元用于生成第一干预系数,告警容限生成单元用于生成告警容限,告警单元用于对满足告警条件的情况生成对应告警信息;
其中,安全监管模块包括:第二干预系数生成单元、历史第二目标操作排序单元,第二目标操作保护单元和习惯评价阈值调整单元,第二干预系数生成单元用于生成第二干预系数,历史第二目标操作排序单元用于对历史运行日志中第二目标操作中各操作项按时间占比由多到少进行排序,第二目标操作保护单元用于对目标文件当前第二目标操作中的操作项进行保护,习惯评价阈值调整单元用于根据当前用户的操作对习惯评价阈值进行调整。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于大数据的计算机网络安全监管方法,其特征在于,所述方法包括以下步骤:
步骤S100:通过调取用户计算机的历史运行日志,提取用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程,根据相关操作步骤和操作过程提取对应目标指数;
步骤S200:通过对当前用户的目标操作捕捉,结合目标指数判断当前用户对目标文件的操作习惯;
步骤S300:设置评价函数,对当前用户的目标操作行为进行评价;
步骤S400:根据评价函数得出的结果,对当前用户的操作权限进行限制,对超出限制的操作进行告警;
步骤S500:安全监管系统对产生的告警进行处理。
2.根据权利要求1所述的一种基于大数据的计算机网络安全监管方法,其特征在于:所述步骤S100包括:
步骤S101:用户在计算机内对目标文件进行选定,将用户对所述目标文件进行查看前做出的操作步骤设定为第一目标操,在所述计算机的历史运行日志中捕捉用户对所述目标文件进行操作前T1时段内执行的所有第一目标操作,汇入集合A1;
步骤S102:从集合A1中提取各种第一目标操作的历史发生次数和各种操作产生时间与对所述目标文件进行查看的历史平均间隔时间,将提取结果汇入集合A2,,A2={a1(iA1,tA1),a2(iA2,tA2),a3(iA3,tA3),……,an(iAn,tAn)},其中用a1(iA1,
tA1),a2(iA2,tA2),a3(iA3,tA3),……,an(iAn,tAn)表示操作种类分别为a1,a2,a3,……,an的第一目标操作的历史发生次数和各个操作产生时间到对所述目标文件进行查看的历史平均间隔时间分别对应为(iA1,tA1),(iA2,tA2),(iA3,tA3),……,
(iAn,tAn);
步骤S103:计算A2中各第一目标操作的第一目标指数λA,记计算机的历史运行日志中的第一目标操作的总次数为总次数i总A,每个操作对应的第一目标指数为该种操作历史发生次数占总次数的比例乘该操作与第一目标操作的历史平均间隔时间,a1,a2,a3,……,an对应的第一目标指数分别记为λA1,λA2,λA3,……λAn,其中第n个操作种类对应的第一目标指数的计算方法为:其中i总A=iA1+iA2+iA3+……+iAn;
步骤S104:将用户对所述目标文件进行处理的操作设为第二目标操作,所述处理包括浏览、编辑、写入、修订、调取、和传输,在所述计算机的历史运行日志中,对所有第二目标操作进行捕捉;
步骤S105:提取计算机的历史运行日志中用户执行第二目标操作时,后台中未结束进程的操作,记入集合B1;
步骤S106:从集合B1中提取各个操作与用户执行第二目标操作时的历史保留次数和各个操作保留时间与用户对所述目标文件进行第二目标操作重合时间长度的历史平均值,结果汇入B2,B2={b1(iB1,tB1),b2(iB2,tB2),b3(iB3,tB3),……,bq(iBq,tBq)},其中用b1(iB1,tB1),b2(iB2,tB2),b3(iB3,tB3),……,bq(iBq,tBq)表示用户执行第二目标操作时,后台未结束进程的操作种类为b1,b2,b3,……,bq的保留次数和各个未结束进程保留的时间与用户进行第二目标操作的历史平均重合时间对应为(iB2,tB2),(iB3,tB3),……,(iBq,tBq);
3.根据权利要求2所述的一种基于大数据的计算机网络安全监管方法,其特征在于:所述步骤S200包括:
步骤S201:系统对当前用户的第一目标操作进行捕捉,记入集合A client,记录当前用户进行第二目标操作时后台保留进程的操作,记入集合Bclient,计算Mclient=A client∩Bclient;
步骤S202:计算A client∩A2,遍寻A client中与A2对应的同种操作,计算当前用户进行该操作到对所述目标文件进行查看前的时间与历史平均间隔时间差值的绝对值,该差值的绝对值乘以对应操作第一目标指数,结果记为第一相似指数α,设A client中与A2对应的同种操作有j项,α=α1+α2+α3+…+αj,其中第j项的相似指数αj为,αj=
λAj×|tclient-tAj|,其中tclientj表示当前用户进行的第j项操作到对所述目标文件进行查看前的时间,tAj表示当前用户进行的第j项操作对应A2中的历史平均间隔时间,λAj表示当前用户进行的第j项操作对应的第一目标指数;
步骤S203:计算Bclient∩B2,遍寻B client中与B2对应的同种操作,计算当前用户执行第二目标操作时各个后台操作进程保留时间与当前用户对所述目标文件进行第二目标操作重合的时间长度,B client中与B2对应的同种操作保留进程的与当前用户执行第二目标操作重合时间长度与B2中对应历史平均重合长度差值的绝对值乘以对应第二目标指数,结果记为第二相似指数β,设B client中与B2对应的同种操作有k项,β=β1+β2+β3+…+βk,其中第k项的相似指数βk为,βk=λBk×|tclient-tBk|,其中tclientk表示当前用户进行的第k项操作到对所述目标文件进行查看前的时间,tBk表示当前用户进行的第k项操作对应B2中的历史平均间隔时间,λBk表示当前用户进行的第k项操作对应的第二目标指数。
5.根据权利要求4所述的一种基于大数据的计算机网络安全监管方法,其特征在于:所述步骤S400包括:
步骤S401:提取计算机的历史运行日志中用户执行第二目标操作的历史总时长记为D,分别计算第二目标操作中的第1,第2,第3,……,第r项操作各项历史操作时长占D的比例,记为d1,d2,d3,……,dr;
步骤S402:捕捉当前用户的第二目标操作行为,记录当前用户在D*时间段内执行第二目标操作中的第1,第2,第3,……,第r项操作的时长占D*的比例为d* 1,d* 2,d* 3,……,d* r;
步骤S403:对当前用户的第二目标操作行为进行评价,记录第1,第2,第3,……,第r个操作项与各项平均历史时长占比差值的绝对值,分别用的σ1,σ2,σ3,……,σr表示当前用户对目标文件进行的第1,第2,第3,……,第r项操作与对应项平均历史时长占比的差值;
步骤S404:对于步骤S302中所述ω<ω0的情况,对各项操作设置告警容限,其中第r项操作产生的操作行为差值σr在对应项告警容限范围Wr内系统不产生告警,当σr超出Wr范围系统产生告警U1,其中第r项操作的告警容限Wr为:Wr=(dr×(1-ε1),dr×(1+ε1));
步骤S405:对于步骤S302中所述ω<ω0的情况,系统产生告警U2。
6.根据权利要求5所述的一种基于大数据的计算机网络安全监管方法,其特征在于:所述步骤S500包括:
步骤S501:系统产生告警U1后,计算第二干预系数ε3,ε3为产生告警的操作项占D*的比例减去容限系数ε1;
步骤S502:将步骤S401中得到的d1,d2,d3,……,dr由高至低排列记入集合G,G={g1,g2,g3,……,gx},其中g1,g2,g3,……,gx表示d1,d2,d3,……,dr由高至低排列的结果;
步骤S503:在集合G中定位产生告警的操作项,该操作项之前的所有操作项以及该操作项后ε3·x(向上取整)个操作项将不再允许被操作;
步骤S504:将习惯评价阈值ω0调整为ω1,ω1=(1-ε3)·ω1,ω1将替代ω0用于下一次对当前用户的操作习惯评价,当习惯评价阈值小于0时系统将强制当前用户下线。
7.一种用于权利要求1-6中任意一项所述的一种大数据的计算机网络安全监管方法的计算机网络安全监管系统,其特征在于,所述系统包括以下模块:目标文件选定模块、计算机运行日志提取模块、目标操作捕捉模块、目标指数计算模块、当前用户操作行为评价模块和安全监管模块,目标文件选定模块用于对目标文件进行选定,计算机运行日志提取模块用于在计算机历史运行日志中提取第一目标操作和第二目标操作的历史运行数据,目标操作捕捉模块用于对当前用户操作过程中产生的第一目标操作和第二目标操作行为进行捕捉,目标指数计算模块用对第一目标操作和第二目标指数进行计算,当前用户操作行为评价模块用于结合评价函数及评价函数计算结果对当前用户的操作行为进行评价,安全监管模块用于对产生的告警进行处理。
8.对于权利要求7中所述的一种计算机网络安全监管系统,其特征在于,所述目标指数计算模块包括:目标操作历史记录统计单元、第一目标指数计算单元和第二目标指数计算单元,目标操作历史记录统计单元用于统计第一目标操作和第二目标操作产生次数和时间信息,第一目标指数计算单元用于计算集合A2中各第一目标操作的第一目标指数,第二目标指数计算单元用于计算B2中操作的第二目标指数。
9.对于权利要求7中所述的一种计算机网络安全监管系统,其特征在于,所述当前用户操作行为评价模块包括:第一相似指数计算单元、第二相似指数计算单元、评价函数运算单元、容限系数生成单元、第一干预系数生成单元、告警容限生成单元和告警单元,第一相似指数计算单元用于计算第一相似指数,第二相似指数计算单元用于计算第二相似指数,评价函数运算单元用于通过评价函数计算当前用户的操作习惯,容限系数生成单元用于生成容限系数,第一干预系数生成单元用于生成第一干预系数,告警容限生成单元用于生成告警容限,告警单元用于对满足告警条件的情况生成对应告警信息。
10.对于权利要求7中所述的一种计算机网络安全监管系统,其特征在于,所述安全监管模块包括:第二干预系数生成单元、历史第二目标操作排序单元,第二目标操作保护单元和习惯评价阈值调整单元,第二干预系数生成单元用于生成第二干预系数,历史第二目标操作排序单元用于对历史运行日志中第二目标操作中各操作项按时间占比由多到少进行排序,第二目标操作保护单元用于对目标文件当前第二目标操作中的操作项进行保护,习惯评价阈值调整单元用于根据当前用户的操作对习惯评价阈值进行调整。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310387559.3A CN116401639A (zh) | 2023-04-12 | 2023-04-12 | 一种基于大数据的计算机网络安全监管系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310387559.3A CN116401639A (zh) | 2023-04-12 | 2023-04-12 | 一种基于大数据的计算机网络安全监管系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116401639A true CN116401639A (zh) | 2023-07-07 |
Family
ID=87010062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310387559.3A Withdrawn CN116401639A (zh) | 2023-04-12 | 2023-04-12 | 一种基于大数据的计算机网络安全监管系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116401639A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116738396A (zh) * | 2023-08-08 | 2023-09-12 | 广州天地林业有限公司 | 基于人工智能的勘界标准文档录入方法及系统 |
-
2023
- 2023-04-12 CN CN202310387559.3A patent/CN116401639A/zh not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116738396A (zh) * | 2023-08-08 | 2023-09-12 | 广州天地林业有限公司 | 基于人工智能的勘界标准文档录入方法及系统 |
CN116738396B (zh) * | 2023-08-08 | 2023-12-08 | 广州天地林业有限公司 | 基于人工智能的勘界标准文档录入方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111475804B (zh) | 一种告警预测方法及系统 | |
CN110598016B (zh) | 一种多媒体信息推荐的方法、装置、设备和介质 | |
Denning et al. | Inference controls for statistical databases | |
AU2004202309B2 (en) | A method of determining similarity between a user sequence and a sequence template in a computer network intrusion detection system | |
CN111737101B (zh) | 基于大数据的用户行为监测方法、装置、设备及介质 | |
CN110417721A (zh) | 安全风险评估方法、装置、设备及计算机可读存储介质 | |
CN116401639A (zh) | 一种基于大数据的计算机网络安全监管系统及方法 | |
CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
CN112101404A (zh) | 基于生成对抗网络的图像分类方法、系统及电子设备 | |
CN110378124A (zh) | 一种基于lda机器学习的网络安全威胁分析方法及系统 | |
CN112101403A (zh) | 基于联邦少样本网络模型的分类方法、系统及电子设备 | |
CN110933115A (zh) | 基于动态session的分析对象行为异常检测方法及装置 | |
JP2017097819A (ja) | アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法 | |
CN111935189A (zh) | 工控终端策略控制系统及工控终端策略控制方法 | |
CN106961441B (zh) | 一种用于Hadoop云平台的用户动态访问控制方法 | |
CN110166422B (zh) | 域名行为识别方法、装置、可读存储介质和计算机设备 | |
CN117235731B (zh) | 一种保密装备大数据监控预警系统 | |
CN109743339A (zh) | 电力厂站的网络安全监测方法和装置、计算机设备 | |
CN116055194A (zh) | 一种面向大数据平台的基于群体画像的安全评估方法 | |
CN116545679A (zh) | 一种工业情境安全基础框架及网络攻击行为特征分析方法 | |
CN115987594A (zh) | 一种网络安全日志的异常检测方法、装置及设备 | |
CN112084493B (zh) | 基于差分隐私保护的内容风险小程序识别方法及装置 | |
CN115358430A (zh) | 一种基于大数据的运维信息管理系统及方法 | |
CN112085624A (zh) | 一种基于云计算的数据处理方法及系统 | |
CN111698269A (zh) | 一种基于Plackett-Luce模型的网络入侵检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20230707 |