发明内容
本发明的目的在于提供一种基于大数据安全评估的分析系统及方法,解决以下技术问题:
如何及时对系统风险文件进行监测并减少对系统资源的占用。
本发明的目的可以通过以下技术方案实现:
一种基于大数据安全评估的分析系统,所述系统包括:
风险识别模块,用于识别系统的风险事件类型;
日志记录端,用于对识别到的风险事件类型及其对应时间点进行统计,并获取系统的运行数据,生成日志文件;
触发器,用于对日志文件进行分析,根据分析结果判断是否达到预设触发条件,并在达到预设触发条件时发出执行分析策略的命令;
大数据评估模型,用于在触发器达到预设触发条件时对系统风险事件进行大数据评估,获取评估结果;
风险分析端,用于根据系统的运行数据对访问风险进行分析,根据访问风险的分析结果及大数据评估获取的评估结果进行风险隐患分析。
进一步地,所述触发器包括若干个虚拟容器,每个虚拟容器预设有对应的预设条目;
达到预设触发条件为:
将日志文件与每个虚拟容器的预设条目进行重合性比对,获取每个虚拟容器的重合性百分比;
通过公式计算获得风险触发系数R;
将风险触发系数R与触发阈值RT进行比对:
当R≥RT时,则判断达到触发条件;
其中,n表示重合性百分比的排序名次数,i∈[1,n];αi为第i名排序对应的权重系数。
进一步地,所述重合性百分比的获取过程包括:
通过公式计算获得第i个虚拟容器的重合性百分比Pi;
其中,mi为第i个虚拟容器的风险事件类型数,j∈[1,mi],ntij为第i个虚拟容器第j种风险事件在特定时间范围内的阈值个数;nij为第i个虚拟容器第j种风险事件在特定时间范围内的实际个数;g为第一条件函数,若否则,/> tij为第i个虚拟容器第j种风险事件相隔时间段,txij为第i个虚拟容器第j种风险事件相隔阈值时间段;w为第二条件函数,nij=1时,w(tij,txij)=1;nij=2时,若tij≤txij,则w(tij,txij)=1,否则,/>时,若tij≤txij,则w(tij,txij)=1,否则,min(tij)为tij中的最小值。
进一步地,所述大数据评估模型建立的过程包括:
获取同一安全问题下大数据中用户的风险事件及对应时间;
在坐标系中,以第一个风险事件的时间为起点,将不同风险事件以柱状图形式按对应时间置于坐标系中,且每个风险事件柱状图的高度、宽度相同,但对应颜色不同;
将大数据中所有用户的风险事件绘制于同一坐标系内,相重叠的柱状图取颜色分量均值,形成安全问题特性色谱带;
根据安全问题特性色谱带对风险事件进行分析。
进一步地,进行大数据评估的过程包括:
在达到触发条件时,根据实时风险事件对排序前n名虚拟容器对应的安全问题进行实时分析,获得安全问题匹配度并按匹配度进行排序;
当排序第一名对应的安全问题匹配度大于预设阈值时,采取该项安全问题对应的处理策略并进行通知;
否则进行风险隐患分析。
进一步地,所述安全问题匹配度的计算过程包括:
通过公式 计算获得安全问题匹配度Cp;
其中,x为实时风险事件数,k∈[1,x];(Rk,Gk,Bk)为第k个风险事件对应的颜色分量值;(Rkt,Gkt,Bkt)为第k个风险事件时间点在该安全问题特性色谱带上对应的颜色分量值;αR、αF、αB为颜色分量系数,且αR+αG+αB=1;x0为该安全问题特性色谱带上风险事件数,e为常数。
进一步地,所述风险分析端对访问风险分析的过程包括:
根据系统的运行数据对访问风险进行分析,获得访问风险系数;
将访问风险系数与对应预警值进行比对,当访问风险系数大于等于对应预警值时,执行访问限制策略;否则进行风险隐患分析;
所述风险隐患分析的过程包括:
根据安全问题排序第一的匹配度及访问风险系数输入至动态平衡模型中,根据动态平衡模型的输出结果对风险隐患进行判断。
进一步地,所述访问风险系数获取的过程包括:
获取所有用户的访问数据,提取出预设固定时段内的IP访问量、历史用户IP访问量及对应的访问时间信息;
通过公式计算获得访问风险系数;
其中,Vt为预设固定时段的IP访问参考量;V为预设固定时段的IP访问量;Vh为预设固定时段的历史用户IP访问量;μ、τ为调整系数;max(sV)为单个IP在预设固定时段的访问次数最大值;ave(sV)为单个IP在预设固定时段的访问次数平均值;ref(sV)为单个IP在预设固定时段的访问次数参考值。
一种基于大数据安全评估的分析方法,所述方法通过一种基于大数据安全评估的分析系统进行分析。
本发明的有益效果:
(1)本发明通过触发器对日志文件进行实时监测,在达到触发条件时通过大数据评估模型对发生的风险事件进行评估,同时结合评估结果及访问风险分析的结果进行判断,处理的数据量较少,同时在判断存在安全问题风险时,通过大数据评估模型进行实时分析判断,能够借助大数据的海量经验数据对实时的风险事件进行判断,进而保证了分析及时性的同时,减少了本地资源的占用量。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,在一个实施例中,提供了一种基于大数据安全评估的分析系统,所述系统包括:
风险识别模块,用于识别系统的风险事件类型;
日志记录端,用于对识别到的风险事件类型及其对应时间点进行统计,并获取系统的运行数据,生成日志文件;
触发器,用于对日志文件进行分析,根据分析结果判断是否达到预设触发条件,并在达到预设触发条件时发出执行分析策略的命令;
大数据评估模型,用于在触发器达到预设触发条件时对系统风险事件进行大数据评估,获取评估结果;
风险分析端,用于根据系统的运行数据对访问风险进行分析,根据访问风险的分析结果及大数据评估获取的评估结果进行风险隐患分析。
通过上述技术方案,本实施例中的分析系统通过设置触发器机制,通过触发器对日志文件进行实时监测,在达到触发条件时通过大数据评估模型对发生的风险事件进行评估,同时结合评估结果及访问风险分析的结果进行判断,能够生成对应的处理应对策略,在此过程中,触发器仅仅对存在安全问题的起始风险事件或起始风险事件组合进行监测,因此处理的数据量较少,同时在判断存在安全问题风险时,通过大数据评估模型进行实时分析判断,能够借助大数据的海量经验数据对实时的风险事件进行判断,进而保证了分析及时性的同时,减少了本地资源的占用量。
需要说明的是,本实施例中所述的风险事件指存在安全风险但并非安全问题的时间,例如异常访问、读写异常等。
作为本发明的一种实施方式,所述触发器包括若干个虚拟容器,每个虚拟容器预设有对应的预设条目;
达到预设触发条件为:
将日志文件与每个虚拟容器的预设条目进行重合性比对,获取每个虚拟容器的重合性百分比;
通过公式计算获得风险触发系数R;
将风险触发系数R与触发阈值RT进行比对:
当R≥RT时,则判断达到触发条件;
其中,n表示重合性百分比的排序名次数,i∈[1,n];αi为第i名排序对应的权重系数。
通过上述技术方案,本实施例给出了触发器的具体实现过程,其中,触发器包括若干个虚拟容器,每个虚拟容器预设有对应的预设条目,预设条目根据经验数据中常见的安全问题类别对应的风险事件类型建立,通过判断实时产生的日志文件与各个虚拟容器的重合性比对,进而判断是否达到触发条件,其中,风险触发系数R根据相似度较高的n个虚拟容器的整体状态进行判断,即通过公式获得,权重系数αi根据名次预先设定,且名次越高对应的权重系数越大,触发阈值RT根据经验数据拟合获得,因此在R≥RT时判断达到触发条件。
作为本发明的一种实施方式,所述重合性百分比的获取过程包括:
通过公式计算获得第i个虚拟容器的重合性百分比Pi;
其中,mi为第i个虚拟容器的风险事件类型数,j∈[1,mi],ntij为第i个虚拟容器第j种风险事件在特定时间范围内的阈值个数;nij为第i个虚拟容器第j种风险事件在特定时间范围内的实际个数;g为第一条件函数,若否则,/> tij为第i个虚拟容器第j种风险事件相隔时间段,txij为第i个虚拟容器第j种风险事件相隔阈值时间段;w为第二条件函数,nij=1时,w(tij,txij)=1;nij=2时,若tij≤txij,则w(tij,txij)=1,否则,/>nij≥3时,若tij≤txij,则w(tij,txij)=1,否则,min(tij)为tij中的最小值。
通过上述技术方案,给出了重合性百分比的计算过程,具体地,由于虚拟容器预设的条目存在多种类型,可能是单个风险事件,也可能是多个风险事件的组合,因此,本实施例通过公式 针对不同风险事件类型及其存在形式,对其进行整体性比对判断,进而获得重合性百分比。
作为本发明的一种实施方式,所述大数据评估模型建立的过程包括:
获取同一安全问题下大数据中用户的风险事件及对应时间;
在坐标系中,以第一个风险事件的时间为起点,将不同风险事件以柱状图形式按对应时间置于坐标系中,且每个风险事件柱状图的高度、宽度相同,但对应颜色不同;
将大数据中所有用户的风险事件绘制于同一坐标系内,相重叠的柱状图取颜色分量均值,形成安全问题特性色谱带;
根据安全问题特性色谱带对风险事件进行分析。
通过上述技术方案,本实施例给出了大数据评估模型建立的过程,具体的,通过获取同一安全问题下大数据中用户的风险事件及对应时间,利用大数据中海量的经验数据进行整合,在坐标系中,以第一个风险事件的时间为起点,将不同风险事件以柱状图形式按对应时间置于坐标系中,且保证每个风险事件柱状图的高度、宽度相同,但对应颜色不同;进而获得单个安全问题的状态图谱,通过将海量安全问题的分布状态进行重叠分布,取颜色分量均值,进而能够获得体现出安全问题整体特性的状态图谱,即安全问题特性色谱带,根据安全问题特性色谱带对风险事件进行分析,进而能够判断出风险事件出现规律与安全问题的匹配程度,进而实现对安全问题类型的判断过程。
作为本发明的一种实施方式,进行大数据评估的过程包括:
在达到触发条件时,根据实时风险事件对排序前n名虚拟容器对应的安全问题进行实时分析,获得安全问题匹配度并按匹配度进行排序;
当排序第一名对应的安全问题匹配度大于预设阈值时,采取该项安全问题对应的处理策略并进行通知;
否则进行风险隐患分析。
所述安全问题匹配度的计算过程包括:
通过公式 计算获得安全问题匹配度Cp;
其中,x为实时风险事件数,k∈[1,x];(Rk,Gk,Bk)为第k个风险事件对应的颜色分量值;(Rkt,Gkt,Bkt)为第k个风险事件时间点在该安全问题特性色谱带上对应的颜色分量值;αR、αG、αB为颜色分量系数,且αR+αG+αB=1;x0为该安全问题特性色谱带上风险事件数,e为常数。
通过上述技术方案,本实施例给出了具体评估的过程,在达到触发条件时,根据实时风险事件对排序前n名虚拟容器对应的安全问题进行实时分析,获得安全问题匹配度并按匹配度进行排序;安全问题匹配度的计算过程通过实时风险事件与安全问题特性色谱带的匹配程度进行判断,其中,颜色分量系数根据安全问题特性色谱带建立时选择的颜色确定,用于调整各个颜色分量差值的权重,同时再结合风险事件数的数值匹配状况,进而在颜色匹配程度上及类型出现匹配程度上建立平衡,当(Rk,Gk,Bk)与(Rkt,Gkt,Bkt)匹配程度较高时,或实时风险事件数与该安全问题特性色谱带上风险事件数的比值较大时,反应在匹配度的数值均较高,进而通过最大的安全问题匹配度与对应的预设阈值进行比对,进而在大于等于预设阈值时采取该项安全问题对应的处理策略并进行通知,实现大数据评估的过程。
需要说明的是,上述技术方案中的预设阈值根据经验数据拟合获得。
作为本发明的一种实施方式,所述风险分析端对访问风险分析的过程包括:
根据系统的运行数据对访问风险进行分析,获得访问风险系数;
将访问风险系数与对应预警值进行比对,当访问风险系数大于等于对应预警值时,执行访问限制策略;否则进行风险隐患分析;
所述风险隐患分析的过程包括:
根据安全问题排序第一的匹配度及访问风险系数输入至动态平衡模型中,根据动态平衡模型的输出结果对风险隐患进行判断。
所述访问风险系数获取的过程包括:
获取所有用户的访问数据,提取出预设固定时段内的IP访问量、历史用户IP访问量及对应的访问时间信息;
通过公式计算获得访问风险系数;
其中,Vt为预设固定时段的IP访问参考量;V为预设固定时段的IP访问量;Vh为预设固定时段的历史用户IP访问量;μ、τ为调整系数;max(sV)为单个IP在预设固定时段的访问次数最大值;ave(sV)为单个IP在预设固定时段的访问次数平均值;ref(sV)为单个IP在预设固定时段的访问次数参考值。
通过上述技术方案,本实施例给出了风险分析端对访问风险分析的过程,根据系统的运行数据对访问风险进行分析,获得访问风险系数;将访问风险系数与对应预警值进行比对,当访问风险系数大于等于对应预警值时,执行访问限制策略;否则进行风险隐患分析;风险隐患分析则是将安全问题排序第一的匹配度及访问风险系数输入至动态平衡模型中,根据动态平衡模型的输出结果对风险隐患进行判断,其中,访问风险系数通过公式 获得,其根据用户IP访问状态数据建立访问IP动态模型,根据IP访问次数状况建立访问次数动态模型,结合两模型的结果,进而获得用于评价访问风险状态的访问风险系数Acs,对应预警值根据经验数据拟合获得,因此当访问风险系数大于等于对应预警值时,说明存在访问风险,通过执行访问限制策略来进行及时的处理。
需要说明的是,上述技术方案中的动态平衡模型在访问风险系数小于对应预警值时且安全问题匹配度小于等于预设阈值时进行的二次分析过程,其模型公式为YB=Cp+σ*Acs,σ为调整系数,其根据经验数据中Cp与Acs的数值范围区间设定,YB为隐患风险值,当Cp过高或Acs过高或Cp与Acs偏高的情况下,隐患风险值的数值也会偏高,因此通过隐患风险值与其对应的阈值进行比对,进而实现对隐患风险的判断。
在一个实施例中,提供了一种基于大数据安全评估的分析方法,所述方法通过一种基于大数据安全评估的分析系统进行分析。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。