CN116401639A - 一种基于大数据的计算机网络安全监管系统及方法 - Google Patents

Abstract

本发明公开了一种基于大数据的计算机网络安全监管系统及方法，系统通过调取计算机历史运行日志中用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程，捕捉用户对目标文件的操作习惯，系统将捕捉当前用户对目标文件操作习惯参数传入评价函数进行计算，根据评价函数计算结果对当前用户的目标操作行为进行评价，系统根据评价结果，动态调整习惯评价阈值，生成对当前用户操作限制的操作容限阈值，对超出限制的操作进行告警，安全监管系统对产生的告警进行处理，对当前用户对目标文件的操作权限进行限制，并对目标文件的相关操作进行保护。

Description

一种基于大数据的计算机网络安全监管系统及方法

技术领域

本发明涉及计算机数据安全监管领域，具体为一种基于大数据的计算机网络安全监管系统及方法。

背景技术

当前，我们已经进入到了一个大数据时代。近年来，有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜，保护数据资产已引起社会各界高度重视。在我国数字经济进入快车道的时代背景下，如何开展数据安全治理，提升全社会的“安全感”，已成为普遍关注的问题。随着物联网、大数据和人工智能等技术的不断发展与应用，无论是个人的数据存储设备，还是云端存储系统，都存在着数据外泄的可能。

数据保护是在进行数字化转型的大背景下不可回避的一个问题，在数据流动和使用状态中的传统数据保护方式往往使用防火墙式的静态保护方法，这样的保护方法不仅需要大量专业技术人员的人工投入，而且静态保护方法容易产生固化的防护策略，导致被不法分子找到信息保护策略上的漏洞，最终仍有造成数据泄露的风险。

发明内容

本发明的目的在于提供一种基于大数据的计算机网络安全监管系统及方法，以解决上述背景技术中提出的问题。

为了解决上述技术问题，本发明提供如下技术方案：一种基于大数据的计算机网络安全监管方法，方法包括：

步骤S100：通过调取用户计算机的历史运行日志，提取用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程，根据相关操作步骤和操作过程提取对应目标指数；

步骤S200:通过对当前用户的目标操作捕捉，结合目标指数判断当前用户对目标文件的操作习惯；

步骤S300:设置评价函数，对当前用户的目标操作行为进行评价；

步骤S400：根据评价函数得出的结果，对当前用户的操作权限进行限制，对超出限制的操作进行告警；

步骤S500：安全监管系统对产生的告警进行处理。

进一步的，步骤S100包括：

步骤S101：用户在计算机内对目标文件进行选定，将用户对所述目标文件进行查看前做出的操作步骤设定为第一目标操，在所述计算机的历史运行日志中捕捉用户对所述目标文件进行操作前T₁时段内执行的所有第一目标操作，汇入集合A₁；

步骤S102：从集合A₁中提取各种第一目标操作的历史发生次数和各种操作产生时间与对所述目标文件进行查看的历史平均间隔时间，将提取结果汇入集合A₂，，A₂＝{a₁(i_A1，t_A1)，a₂(i_A2，t_A2)，a₃(i_A3，t_A3)，……，a_n(i_An，t_An)}，其中用a₁(i_A1，t_A1)，a₂(i_A2，t_A2)，a₃(i_A3，t_A3)，……，a_n(i_An，t_An)表示操作种类分别为a₁，a₂，a₃，……，a_n的第一目标操作的历史发生次数和各个操作产生时间到对所述目标文件进行查看的历史平均间隔时间分别对应为(i_A1，t_A1)，(i_A2，t_A2)，(i_A3，t_A3)，……，(i_An，t_An)；

步骤S103：计算A₂中各第一目标操作的第一目标指数λ_A，记计算机的历史运行日志中的第一目标操作的总次数为总次数i_总A，每个操作对应的第一目标指数为该种操作历史发生次数占总次数的比例乘该操作与第一目标操作的历史平均间隔时间，a₁，a₂，a₃，……，a_n对应的第一目标指数分别记为λ_A1，λ_A2，λ_A3，……λ_An，其中第n个操作种类对应的第一目标指数的计算方法为：

其中i_总A＝i_A1+i_A2+i_A3+……+i_An；

步骤S104：将用户对所述目标文件进行处理的操作设为第二目标操作，所述处理包括浏览、编辑、写入、修订、调取、和传输，在所述计算机的历史运行日志中，对所有的第二目标操作进行捕捉；

步骤S105：提取计算机的历史运行日志中用户执行第二目标操作时，后台中未结束进程的操作，记入集合B₁；

步骤S106：从集合B₁中提取各个操作与用户执行第二目标操作时的历史保留次数和各个操作保留时间与用户对所述目标文件进行第二目标操作重合时间长度的历史平均值，结果汇入B₂，B₂＝{b₁(i_B1，t_B1)，b₂(i_B2，t_B2)，b₃(i_B3，t_B3)，……，b_q(i_Bq，t_Bq)}，其中用b₁(i_B1，t_B1)，b₂(i_B2，t_B2)，b₃(i_B3，t_B3)，……，b_q(i_Bq，t_Bq)表示用户执行第二目标操作时，后台未结束进程的操作种类为b₁，b₂，b₃，……，b_q的保留次数和各个未结束进程保留的时间与用户进行第二目标操作的历史平均重合时间对应为(i_B2，t_B2)，(i_B3，t_B3)，……，(i_Bq，t_Bq)；

步骤S107：计算B₂中操作的第二目标指数λ_B，记计算机的历史运行日志中第二目标操作后保留操作进程的所有次数为总次数i_总B，每个操作对应的第二目标指数为该种操作历史保留次数占总次数的比例乘该操作与第二目标操作的历史平均重合时间，b₁，b₂，b₃，……，b_q对应的第二目标指数分别记为λ_B1，λ_B2，λ_B3，……，λ_Bq，其中第n个操作种类对应的第二目标指数的计算方法为：

其中i_总B＝i_B1+i_B2+i_B3+……+i_Bn。

进一步的，步骤S200包括：

步骤S201：系统对当前用户的第一目标操作进行捕捉，记入集合A _client，记录当前用户进行第二目标操作时后台保留进程的操作，记入集合B_client，计算M_client＝A _client∩B_client；

步骤S202：计算A _client∩A₂，遍寻A _client中与A₂对应的同种操作，计算当前用户进行该操作到对所述目标文件进行查看前的时间与历史平均间隔时间差值的绝对值，该差值的绝对值乘以对应操作第一目标指数，结果记为第一相似指数α，设A _client中与A₂对应的同种操作有j项，α＝α₁+α₂+α₃+…+α_j，其中第j项的相似指数α_j为，α_j＝λ_Aj×|t_client-t_Aj|,其中t_{client j}表示当前用户进行的第j项操作到对所述目标文件进行查看前的时间，t_Aj表示当前用户进行的第j项操作对应A₂中的历史平均间隔时间，λ_Aj表示当前用户进行的第j项操作对应的第一目标指数；

步骤S203：计算B_client∩B₂,遍寻B _client中与B₂对应的同种操作，计算当前用户执行第二目标操作时各个后台操作进程保留时间与当前用户对所述目标文件进行第二目标操作重合的时间长度，B _client中与B₂对应的同种操作保留进程的与当前用户执行第二目标操作重合时间长度与B₂中对应历史平均重合长度差值的绝对值乘以对应第二目标指数，结果记为第二相似指数β，设B _client中与B₂对应的同种操作有k项，β＝β₁+β₂+β₃+…+β_k，其中第k项的相似指数β_k为，β_k＝λ_Bk×|t_client-t_Bk|,其中t_{client k}表示当前用户进行的第k项操作到对所述目标文件进行查看前的时间，t_Bk表示当前用户进行的第k项操作对应B₂中的历史平均间隔时间，λ_Bk表示当前用户进行的第k项操作对应的第二目标指数。

进一步的，步骤S300包括：

步骤S301：设置第一关联集合M，M＝A₂∩B₂，设置用于评价当前用户操作行为的评价函数F，评价系数γ₁和γ₂，

通过取目标操作一和目标操作二的交集，得到用户对目标文件的历史操作记录中，对目标文件具有关联性操作的集合，着这个集合是系统评价当前用户操作目标文件是否与历史习惯相符的依据；

对于评价用户的操作行为，通过

计算出当前用户对目标文件进行的所有操作中与历史操作习惯一致操作的占比，从而得到当前用户对目标文件进行的操作中与历史操作习惯一致性；

步骤S302：当前用户行为评价函数F计算当前用户对所述目标文件的操作习惯，结果记为ω；

步骤S303：设置习惯评价阈值ω₀，当ω＜ω₀时认为当前用户对目标文件的操作时保持和历史记录中有相同的习惯，当ω＞ω₀时认为当前用户对目标文件进行的操作时与以往习惯产生差异；

步骤S304：设置容限系数ε₁，

第一干预系数ε₂，/>

进一步的，步骤S400包括：

步骤S401：提取计算机的历史运行日志中用户执行第二目标操作的历史总时长记为D，分别计算第二目标操作中的第1，第2，第3，……，第r项操作各项历史操作时长占D的比例，记为d₁，d₂，d₃，……，d_r；

步骤S402：捕捉当前用户的第二目标操作行为，记录当前用户在D^*时间段内执行第二目标操作中的第1，第2，第3，……，第r项操作的时长占D^*的比例为d^* ₁，d^* ₂，d^* ₃，……，d^* _r；

步骤S403：对当前用户的第二目标操作行为进行评价，记录第1，第2，第3，……，第r个操作项与各项平均历史时长占比差值的绝对值，分别用的σ₁，σ₂，σ₃，……，σ_r表示当前用户对目标文件进行的第1，第2，第3，……，第r项操作与对应项平均历史时长占比的差值；

步骤S404：对于步骤S302中所述ω＜ω₀的情况，对各项操作设置告警容限，其中第r项操作产生的操作行为差值σ_r在对应项告警容限范围W_r内系统不产生告警，当σ_r超出W_r范围系统产生告警U₁，其中第r项操作的告警容限W_r为：W_r＝(d_r×(1ε₁)，d_r×(1+ε₁))；

当前用户的第一目标操作行为与历史运行日志中提取到的操作习惯越接近，在进行第二目标操作时的告警容限值就越大，告警容限指安全监管系统在对当前用户的第二目标操作与历史操作习惯不一致时的宽容程度，考虑到单次操作是具有偶然性的，采用对异常值的容限程度更具有操作性；

步骤S405：对于步骤S302中所述ω＜ω₀的情况，系统产生告警U₂。

进一步的，步骤S500包括：

步骤S501：系统产生告警U₁后，计算第二干预系数ε₃，ε₃为产生告警的操作项占D^*的比例减去容限系数ε₁；

步骤S502：将步骤S401中得到的d₁，d₂，d₃，……，d_r由高至低排列记入集合G，G＝{g₁，g₂，g₃，……，g_x}，其中g₁，g₂，g₃，……，g_x表示d₁，d₂，d₃，……，d_r由高至低排列的结果；

步骤S503：在集合G中定位产生告警的操作项，该操作项之前的所有操作项以及该操作项后ε₃·x(向上取整)个操作项将不再允许被操作；

步骤S504：将习惯评价阈值ω₀调整为ω₁，ω₁＝(1-ε₃)·ω₁,ω₁将替代ω₀用于下一次对当前用户的操作习惯评价，当习惯评价阈值小于0时系统将强制当前用户下线。

为更好实现上述方法，还提出一种基于大数据的计算机网络安全监管系统，计算机网络安全监管系统包括：目标文件选定模块、计算机运行日志提取模块、目标操作捕捉模块、目标指数计算模块、当前用户操作行为评价模块和安全监管模块，目标文件选定模块用于对目标文件进行选定，计算机运行日志提取模块用于在计算机历史运行日志中提取第一目标操作和第二目标操作的历史运行数据，目标操作捕捉模块用于对当前用户操作过程中产生的第一目标操作和第二目标操作行为进行捕捉，目标指数计算模块用对第一目标操作和第二目标指数进行计算，当前用户操作行为评价模块用于结合评价函数及评价函数计算结果对当前用户的操作行为进行评价，安全监管模块用于对产生的告警进行处理。

进一步的，所述目标指数计算模块包括：目标操作历史记录统计单元、第一目标指数计算单元和第二目标指数计算单元，目标操作历史记录统计单元用于统计第一目标操作和第二目标操作产生次数和时间信息，第一目标指数计算单元用于计算集合A₂中各第一目标操作的第一目标指数，第二目标指数计算单元用于计算B₂中操作的第二目标指数。

进一步的，所述当前用户操作行为评价模块包括：第一相似指数计算单元、第二相似指数计算单元、评价函数运算单元、容限系数生成单元、第一干预系数生成单元、告警容限生成单元和告警单元，第一相似指数计算单元用于计算第一相似指数，第二相似指数计算单元用于计算第二相似指数，评价函数运算单元用于通过评价函数计算当前用户的操作习惯，容限系数生成单元用于生成容限系数，第一干预系数生成单元用于生成第一干预系数，告警容限生成单元用于生成告警容限，告警单元用于对满足告警条件的情况生成对应告警信息。

进一步的，所述安全监管模块包括：第二干预系数生成单元、历史第二目标操作排序单元，第二目标操作保护单元和习惯评价阈值调整单元，第二干预系数生成单元用于生成第二干预系数，历史第二目标操作排序单元用于对历史运行日志中第二目标操作中各操作项按时间占比由多到少进行排序，第二目标操作保护单元用于对目标文件当前第二目标操作中的操作项进行保护，习惯评价阈值调整单元用于根据当前用户的操作对习惯评价阈值进行调整。

与现有技术相比，本发明所达到的有益效果是：本发明筛选出与目标文件有关联的操作，通过对这些与目标文件有关联的操作进行评价，得出用户在操作目标文件时的习惯，安全监管系统通过捕捉当前用户对目标文件的操作习惯于历史记录中的习惯进行比对，判断当前用户的操作是否为习惯性操作，在产生非习惯性操作时对计算机进行安全保护，相较于静态安全保护策略，如：设置访问密码和配置防火墙权限，一旦保护策略被攻击人知晓，会造成在此静态安全保护策略下的保护全部失效，而且及时重新部署的难度较大，通过捕捉用户操作习惯动态对计算机实现保护安全性更高更易灵活部署。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是本发明基于大数据的计算机网络安全监管系统的结构示意图；

图2是本发明基于大数据的计算机网络安全监管方法的流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图1和图2，本发明提供技术方案：

步骤S100：通过调取用户计算机的历史运行日志，提取用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程，根据相关操作步骤和操作过程提取对应目标指数；

其中，步骤S100包括：

步骤S101：用户在计算机内对目标文件进行选定，将用户对所述目标文件进行查看前做出的操作步骤设定为第一目标操，在所述计算机的历史运行日志中捕捉用户对所述目标文件进行操作前T₁时段内执行的所有第一目标操作，汇入集合A₁；

步骤S102：从集合A₁中提取各种第一目标操作的历史发生次数和各种操作产生时间与对所述目标文件进行查看的历史平均间隔时间，将提取结果汇入集合A₂，，A₂＝{a₁(i_A1，t_A1)，a₂(i_A2，t_A2)，a₃(i_A3，t_A3)，……，a_n(i_An，t_An)}，其中用a₁(i_A1，t_A1)，a₂(i_A2，t_A2)，a₃(i_A3，t_A3)，……，a_n(i_An，t_An)表示操作种类分别为a₁，a₂，a₃，……，a_n的第一目标操作的历史发生次数和各个操作产生时间到对所述目标文件进行查看的历史平均间隔时间分别对应为(i_A1，t_A1)，(i_A2，t_A2)，(i_A3，t_A3)，……，(i_An，t_An)；

步骤S103：计算A₂中各第一目标操作的第一目标指数λ_A，记计算机的历史运行日志中的第一目标操作的总次数为总次数i_总A，每个操作对应的第一目标指数为该种操作历史发生次数占总次数的比例乘该操作与第一目标操作的历史平均间隔时间，a₁，a₂，a₃，……，a_n对应的第一目标指数分别记为λ_A1，λ_A2，λ_A3，……λ_An，其中第n个操作种类对应的第一目标指数的计算方法为：

其中i_总A＝i_A1+i_A2+i_A3+……+i_An；

步骤S104：将用户对所述目标文件进行处理的操作设为第二目标操作，所述处理包括浏览、编辑、写入、修订、调取、和传输，在所述计算机的历史运行日志中，对所有第二目标操作进行捕捉；

步骤S105：提取计算机的历史运行日志中用户执行第二目标操作时，后台中未结束进程的操作，记入集合B₁；

步骤S106：从集合B₁中提取各个操作与用户执行第二目标操作时的历史保留次数和各个操作保留时间与用户对所述目标文件进行第二目标操作重合时间长度的历史平均值，结果汇入B₂，B₂＝{b₁(i_B1，t_B1)，b₂(i_B2，t_B2)，b₃(i_B3，t_B3)，……，b_q(i_Bq，t_Bq)}，其中用b₁(i_B1，t_B1)，b₂(i_B2，t_B2)，b₃(i_B3，t_B3)，……，b_q(i_Bq，t_Bq)表示用户执行第二目标操作时，后台未结束进程的操作种类为b₁，b₂，b₃，……，b_q的保留次数和各个未结束进程保留的时间与用户进行第二目标操作的历史平均重合时间对应为(i_B2，t_B2)，(i_B3，t_B3)，……，(i_Bq，t_Bq)；

步骤S107：计算B₂中操作的第二目标指数λ_B，记计算机的历史运行日志中第二目标操作后保留操作进程的所有次数为总次数i_总B，每个操作对应的第二目标指数为该种操作历史保留次数占总次数的比例乘该操作与第二目标操作的历史平均重合时间，b₁，b₂，b₃，……，b_q对应的第二目标指数分别记为λ_B1，λ_B2，λ_B3，……，

其中第n个操作种类对应的第二目标指数的计算方法为：/>

其中i_总B＝i_B1+i_B2+i_B3+……+i_Bn；

步骤S200:通过对当前用户的目标操作捕捉，结合目标指数判断当前用户对目标文件的操作习惯；

其中，步骤S200包括：

步骤S201：系统对当前用户的第一目标操作进行捕捉，记入集合A _client，记录当前用户进行第二目标操作时后台保留进程的操作，记入集合B_client，计算M_client＝A _client∩B_client；

步骤S202：计算A _client∩A₂，遍寻A _client中与A₂对应的同种操作，计算当前用户进行该操作到对所述目标文件进行查看前的时间与历史平均间隔时间差值的绝对值，该差值的绝对值乘以对应操作第一目标指数，结果记为第一相似指数α，设A _client中与A₂对应的同种操作有j项，α＝α₁+α₂+α₃+…+α_j，其中第j项的相似指数α_j为，α_j＝λ_Aj×|t_client-t_Aj|,其中t_{client j}表示当前用户进行的第j项操作到对所述目标文件进行查看前的时间，t_Aj表示当前用户进行的第j项操作对应A₂中的历史平均间隔时间，λ_Aj表示当前用户进行的第j项操作对应的第一目标指数；

步骤S203：计算B_client∩B₂,遍寻B _client中与B₂对应的同种操作，计算当前用户执行第二目标操作时各个后台操作进程保留时间与当前用户对所述目标文件进行第二目标操作重合的时间长度，B _client中与B₂对应的同种操作保留进程的与当前用户执行第二目标操作重合时间长度与B₂中对应历史平均重合长度差值的绝对值乘以对应第二目标指数，结果记为第二相似指数β，设B _client中与B₂对应的同种操作有k项，β＝β₁+β₂+β₃+…+β_k，其中第k项的相似指数β_k为，β_k＝λ_Bk×|t_client-t_Bk|,其中t_{client k}表示当前用户进行的第k项操作到对所述目标文件进行查看前的时间，t_Bk表示当前用户进行的第k项操作对应B₂中的历史平均间隔时间，λ_Bk表示当前用户进行的第k项操作对应的第二目标指数；

步骤S300:设置评价函数，对当前用户的目标操作行为进行评价；

其中，步骤S300包括：

步骤S301：设置第一关联集合M，M＝A₂∩B_2，设置用于评价当前用户操作行为的评价函数F，评价系数γ₁和γ₂，

较为优选的，选用γ₁＞γ₂，评价函数F优先依据

的值得到评价结果；

步骤S302：当前用户行为评价函数F计算当前用户对所述目标文件的操作习惯，结果记为ω；

步骤S303：设置习惯评价阈值ω₀，当ω＜ω₀时认为当前用户对目标文件的操作时保持和历史记录中有相同的习惯，当ω＞ω₀时认为当前用户对目标文件进行的操作时与以往习惯产生差异；

步骤S304：设置容限系数ε₁，

第一干预系数ε₂，/>

步骤S400：根据评价函数得出的结果，对当前用户的操作权限进行限制，对超出限制的操作进行告警；

其中，步骤S400包括：

步骤S401：提取计算机的历史运行日志中用户执行第二目标操作的历史总时长记为D，分别计算第二目标操作中的第1，第2，第3，……，第r项操作各项历史操作时长占D的比例，记为d₁，d₂，d₃，……，d_r；

步骤S402：捕捉当前用户的第二目标操作行为，记录当前用户在D^*时间段内执行第二目标操作中的第1，第2，第3，……，第r项操作的时长占D^*的比例为d^* ₁，d^* ₂，d^* ₃，……，d^* _r；

步骤S403：对当前用户的第二目标操作行为进行评价，记录第1，第2，第3，……，第r个操作项与各项平均历史时长占比差值的绝对值，分别用的σ₁，σ₂，σ₃，……，σ_r表示当前用户对目标文件进行的第1，第2，第3，……，第r项操作与对应项平均历史时长占比的差值；

例如当前用户进行第r项操作时与该项操作的平均历史时长占比差值的绝对值为σ_r＝|d_r-d^* _r|

步骤S404：对于步骤S302中所述ω＜ω₀的情况，对各项操作设置告警容限，其中第r项操作产生的操作行为差值σ_r在对应项告警容限范围W_r内系统不产生告警，当σ_r超出W_r范围系统产生告警U₁，其中第r项操作的告警容限W_r为：W_r＝(d_r×(1-ε₁)，d_r×(1+ε₁))；

步骤S405：对于步骤S302中所述ω＜ω₀的情况，系统产生告警U₂；

步骤S500：安全监管系统对产生的告警进行处理；

其中，步骤S500包括：

步骤S501：系统产生告警U₁后，计算第二干预系数ε₃，ε₃为产生告警的操作项占D^*的比例减去容限系数ε₁；

步骤S502：将步骤S401中得到的d₁，d₂，d₃，……，d_r由高至低排列记入集合G，G＝{g₁，g₂，g₃，……，g_x}，其中g₁，g₂，g₃，……，g_x表示d₁，d₂，d₃，……，d_r由高至低排列的结果；

步骤S503：在集合G中定位产生告警的操作项，该操作项之前的所有操作项以及该操作项后ε₃·x(向上取整)个操作项将不再允许被操作；

步骤S504：将习惯评价阈值ω₀调整为ω₁，ω₁＝(1-ε₃)·ω₁,ω₁将替代ω₀用于下一次对当前用户的操作习惯评价，当习惯评价阈值小于0时系统将强制当前用户下线；

为更好实现上述方法，还提出一种基于大数据的计算机网络安全监管系统，计算机网络安全监管系统包括：目标文件选定模块、计算机运行日志提取模块、目标操作捕捉模块、目标指数计算模块、当前用户操作行为评价模块和安全监管模块，目标文件选定模块用于对目标文件进行选定，计算机运行日志提取模块用于在计算机历史运行日志中提取第一目标操作和第二目标操作的历史运行数据，目标操作捕捉模块用于对当前用户操作过程中产生的第一目标操作和第二目标操作行为进行捕捉，目标指数计算模块用对第一目标操作和第二目标指数进行计算，当前用户操作行为评价模块用于结合评价函数及评价函数计算结果对当前用户的操作行为进行评价，安全监管模块用于对产生的告警进行处理；

其中，目标指数计算模块包括：目标操作历史记录统计单元、第一目标指数计算单元和第二目标指数计算单元，目标操作历史记录统计单元用于统计第一目标操作和第二目标操作产生次数和时间信息，第一目标指数计算单元用于计算集合A₂中各第一目标操作的第一目标指数，第二目标指数计算单元用于计算B₂中操作的第二目标指数；

其中，当前用户操作行为评价模块包括：第一相似指数计算单元、第二相似指数计算单元、评价函数运算单元、容限系数生成单元、第一干预系数生成单元、告警容限生成单元和告警单元，第一相似指数计算单元用于计算第一相似指数，第二相似指数计算单元用于计算第二相似指数，评价函数运算单元用于通过评价函数计算当前用户的操作习惯，容限系数生成单元用于生成容限系数，第一干预系数生成单元用于生成第一干预系数，告警容限生成单元用于生成告警容限，告警单元用于对满足告警条件的情况生成对应告警信息；

其中，安全监管模块包括：第二干预系数生成单元、历史第二目标操作排序单元，第二目标操作保护单元和习惯评价阈值调整单元，第二干预系数生成单元用于生成第二干预系数，历史第二目标操作排序单元用于对历史运行日志中第二目标操作中各操作项按时间占比由多到少进行排序，第二目标操作保护单元用于对目标文件当前第二目标操作中的操作项进行保护，习惯评价阈值调整单元用于根据当前用户的操作对习惯评价阈值进行调整。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于大数据的计算机网络安全监管方法，其特征在于，所述方法包括以下步骤：

步骤S100：通过调取用户计算机的历史运行日志，提取用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程，根据相关操作步骤和操作过程提取对应目标指数；

步骤S200:通过对当前用户的目标操作捕捉，结合目标指数判断当前用户对目标文件的操作习惯；

步骤S300:设置评价函数，对当前用户的目标操作行为进行评价；

步骤S400：根据评价函数得出的结果，对当前用户的操作权限进行限制，对超出限制的操作进行告警；

步骤S500：安全监管系统对产生的告警进行处理。

2.根据权利要求1所述的一种基于大数据的计算机网络安全监管方法，其特征在于：所述步骤S100包括：

步骤S101：用户在计算机内对目标文件进行选定，将用户对所述目标文件进行查看前做出的操作步骤设定为第一目标操，在所述计算机的历史运行日志中捕捉用户对所述目标文件进行操作前T₁时段内执行的所有第一目标操作，汇入集合A₁；

步骤S102：从集合A₁中提取各种第一目标操作的历史发生次数和各种操作产生时间与对所述目标文件进行查看的历史平均间隔时间，将提取结果汇入集合A₂，，A₂＝{a₁(i_A1，t_A1)，a₂(i_A2，t_A2)，a₃(i_A3，t_A3)，……，a_n(i_An，t_An)}，其中用a₁(i_A1，

t_A1)，a₂(i_A2，t_A2)，a₃(i_A3，t_A3)，……，a_n(i_An，t_An)表示操作种类分别为a₁，a₂，a₃，……，a_n的第一目标操作的历史发生次数和各个操作产生时间到对所述目标文件进行查看的历史平均间隔时间分别对应为(i_A1，t_A1)，(i_A2，t_A2)，(i_A3，t_A3)，……，

(i_An，t_An)；

步骤S103：计算A₂中各第一目标操作的第一目标指数λ_A，记计算机的历史运行日志中的第一目标操作的总次数为总次数i_总A，每个操作对应的第一目标指数为该种操作历史发生次数占总次数的比例乘该操作与第一目标操作的历史平均间隔时间，a₁，a₂，a₃，……，a_n对应的第一目标指数分别记为λ_A1，λ_A2，λ_A3，……λ_An，其中第n个操作种类对应的第一目标指数的计算方法为：

其中i_总A＝i_A1+i_A2+i_A3+……+i_An；

步骤S104：将用户对所述目标文件进行处理的操作设为第二目标操作，所述处理包括浏览、编辑、写入、修订、调取、和传输，在所述计算机的历史运行日志中，对所有第二目标操作进行捕捉；

步骤S105：提取计算机的历史运行日志中用户执行第二目标操作时，后台中未结束进程的操作，记入集合B₁；

步骤S106：从集合B₁中提取各个操作与用户执行第二目标操作时的历史保留次数和各个操作保留时间与用户对所述目标文件进行第二目标操作重合时间长度的历史平均值，结果汇入B₂，B₂＝{b₁(i_B1，t_B1)，b₂(i_B2，t_B2)，b₃(i_B3，t_B3)，……，b_q(i_Bq，t_Bq)}，其中用b₁(i_B1，t_B1)，b₂(i_B2，t_B2)，b₃(i_B3，t_B3)，……，b_q(i_Bq，t_Bq)表示用户执行第二目标操作时，后台未结束进程的操作种类为b₁，b₂，b₃，……，b_q的保留次数和各个未结束进程保留的时间与用户进行第二目标操作的历史平均重合时间对应为(i_B2，t_B2)，(i_B3，t_B3)，……，(i_Bq，t_Bq)；

步骤S107：计算B₂中操作的第二目标指数λ_B，记计算机的历史运行日志中第二目标操作后保留操作进程的所有次数为总次数i_总B，每个操作对应的第二目标指数为该种操作历史保留次数占总次数的比例乘该操作与第二目标操作的历史平均重合时间，b₁，b₂，b₃，……，b_q对应的第二目标指数分别记为λ_B1，λ_B2，λ_B3，……，λ_Bq，其中第n个操作种类对应的第二目标指数的计算方法为：

其中i_总B＝i_B1+i_B2+i_B3+……+i_Bn。

3.根据权利要求2所述的一种基于大数据的计算机网络安全监管方法，其特征在于：所述步骤S200包括：

步骤S201：系统对当前用户的第一目标操作进行捕捉，记入集合A _client，记录当前用户进行第二目标操作时后台保留进程的操作，记入集合B_client，计算M_client＝A _client∩B_client；

步骤S202：计算A _client∩A₂，遍寻A _client中与A₂对应的同种操作，计算当前用户进行该操作到对所述目标文件进行查看前的时间与历史平均间隔时间差值的绝对值，该差值的绝对值乘以对应操作第一目标指数，结果记为第一相似指数α，设A _client中与A₂对应的同种操作有j项，α＝α₁+α₂+α₃+…+α_j，其中第j项的相似指数α_j为，α_j＝

λ_Aj×|t_client-t_Aj|,其中t_clientj表示当前用户进行的第j项操作到对所述目标文件进行查看前的时间，t_Aj表示当前用户进行的第j项操作对应A₂中的历史平均间隔时间，λ_Aj表示当前用户进行的第j项操作对应的第一目标指数；

步骤S203：计算B_client∩B₂,遍寻B _client中与B₂对应的同种操作，计算当前用户执行第二目标操作时各个后台操作进程保留时间与当前用户对所述目标文件进行第二目标操作重合的时间长度，B _client中与B₂对应的同种操作保留进程的与当前用户执行第二目标操作重合时间长度与B₂中对应历史平均重合长度差值的绝对值乘以对应第二目标指数，结果记为第二相似指数β，设B _client中与B₂对应的同种操作有k项，β＝β₁+β₂+β₃+…+β_k，其中第k项的相似指数β_k为，β_k＝λ_Bk×|t_client-t_Bk|,其中t_clientk表示当前用户进行的第k项操作到对所述目标文件进行查看前的时间，t_Bk表示当前用户进行的第k项操作对应B₂中的历史平均间隔时间，λ_Bk表示当前用户进行的第k项操作对应的第二目标指数。

4.根据权利要求3所述的一种基于大数据的计算机网络安全监管方法，其特征在于：所述步骤S300包括：

步骤S301：设置第一关联集合M，M＝A₂∩B₂，设置用于评价当前用户操作行为的评价函数F，评价系数γ₁和γ₂，

步骤S302：当前用户行为评价函数F计算当前用户对所述目标文件的操作习惯，结果记为ω；

步骤S303：设置习惯评价阈值ω₀，当ω＜ω₀时认为当前用户对目标文件的操作时保持和历史记录中有相同的习惯，当ω＞ω₀时认为当前用户对目标文件进行的操作时与以往习惯产生差异；

步骤S304：设置容限系数ε₁，

第一干预系数ε₂，/>

5.根据权利要求4所述的一种基于大数据的计算机网络安全监管方法，其特征在于：所述步骤S400包括：

步骤S401：提取计算机的历史运行日志中用户执行第二目标操作的历史总时长记为D，分别计算第二目标操作中的第1，第2，第3，……，第r项操作各项历史操作时长占D的比例，记为d₁，d₂，d₃，……，d_r；

步骤S402：捕捉当前用户的第二目标操作行为，记录当前用户在D^*时间段内执行第二目标操作中的第1，第2，第3，……，第r项操作的时长占D^*的比例为d^* ₁，d^* ₂，d^* ₃，……，d^* _r；

步骤S403：对当前用户的第二目标操作行为进行评价，记录第1，第2，第3，……，第r个操作项与各项平均历史时长占比差值的绝对值，分别用的σ₁，σ₂，σ₃，……，σ_r表示当前用户对目标文件进行的第1，第2，第3，……，第r项操作与对应项平均历史时长占比的差值；

步骤S404：对于步骤S302中所述ω＜ω₀的情况，对各项操作设置告警容限，其中第r项操作产生的操作行为差值σ_r在对应项告警容限范围W_r内系统不产生告警，当σ_r超出W_r范围系统产生告警U₁，其中第r项操作的告警容限W_r为：W_r＝(d_r×(1-ε₁)，d_r×(1+ε₁))；

步骤S405：对于步骤S302中所述ω＜ω₀的情况，系统产生告警U₂。

6.根据权利要求5所述的一种基于大数据的计算机网络安全监管方法，其特征在于：所述步骤S500包括：

步骤S501：系统产生告警U₁后，计算第二干预系数ε₃，ε₃为产生告警的操作项占D^*的比例减去容限系数ε₁；

步骤S502：将步骤S401中得到的d₁，d₂，d₃，……，d_r由高至低排列记入集合G，G＝{g₁，g₂，g₃，……，g_x}，其中g₁，g₂，g₃，……，g_x表示d₁，d₂，d₃，……，d_r由高至低排列的结果；

步骤S503：在集合G中定位产生告警的操作项，该操作项之前的所有操作项以及该操作项后ε₃·x(向上取整)个操作项将不再允许被操作；

步骤S504：将习惯评价阈值ω₀调整为ω₁，ω₁＝(1-ε₃)·ω₁,ω₁将替代ω₀用于下一次对当前用户的操作习惯评价，当习惯评价阈值小于0时系统将强制当前用户下线。

7.一种用于权利要求1-6中任意一项所述的一种大数据的计算机网络安全监管方法的计算机网络安全监管系统，其特征在于，所述系统包括以下模块：目标文件选定模块、计算机运行日志提取模块、目标操作捕捉模块、目标指数计算模块、当前用户操作行为评价模块和安全监管模块，目标文件选定模块用于对目标文件进行选定，计算机运行日志提取模块用于在计算机历史运行日志中提取第一目标操作和第二目标操作的历史运行数据，目标操作捕捉模块用于对当前用户操作过程中产生的第一目标操作和第二目标操作行为进行捕捉，目标指数计算模块用对第一目标操作和第二目标指数进行计算，当前用户操作行为评价模块用于结合评价函数及评价函数计算结果对当前用户的操作行为进行评价，安全监管模块用于对产生的告警进行处理。

8.对于权利要求7中所述的一种计算机网络安全监管系统，其特征在于，所述目标指数计算模块包括：目标操作历史记录统计单元、第一目标指数计算单元和第二目标指数计算单元，目标操作历史记录统计单元用于统计第一目标操作和第二目标操作产生次数和时间信息，第一目标指数计算单元用于计算集合A₂中各第一目标操作的第一目标指数，第二目标指数计算单元用于计算B₂中操作的第二目标指数。

9.对于权利要求7中所述的一种计算机网络安全监管系统，其特征在于，所述当前用户操作行为评价模块包括：第一相似指数计算单元、第二相似指数计算单元、评价函数运算单元、容限系数生成单元、第一干预系数生成单元、告警容限生成单元和告警单元，第一相似指数计算单元用于计算第一相似指数，第二相似指数计算单元用于计算第二相似指数，评价函数运算单元用于通过评价函数计算当前用户的操作习惯，容限系数生成单元用于生成容限系数，第一干预系数生成单元用于生成第一干预系数，告警容限生成单元用于生成告警容限，告警单元用于对满足告警条件的情况生成对应告警信息。

10.对于权利要求7中所述的一种计算机网络安全监管系统，其特征在于，所述安全监管模块包括：第二干预系数生成单元、历史第二目标操作排序单元，第二目标操作保护单元和习惯评价阈值调整单元，第二干预系数生成单元用于生成第二干预系数，历史第二目标操作排序单元用于对历史运行日志中第二目标操作中各操作项按时间占比由多到少进行排序，第二目标操作保护单元用于对目标文件当前第二目标操作中的操作项进行保护，习惯评价阈值调整单元用于根据当前用户的操作对习惯评价阈值进行调整。

Images