CN116708005A - 一种基于大数据的网络安全管控方法及系统 - Google Patents

Abstract

本发明涉及网络安全技术领域，具体公开了一种基于大数据的网络安全管控方法及系统，该系统包括：进程数据采集器，用以采集网络设备的实时进程数据；云服务器，包括匹配模型，所述匹配模型基于大数据拟合建立，用以根据实时进程数据获得预警边界阶梯；数据监测器，用以获取网络设备实时的状态数据；第一分析单元，用以根据状态数据进行第一预警分析，获得第一分析结果；第二分析单元，用以根据状态数据及预警边界阶梯进行第二预警分析，获得第二分析结果；风险管控单元，用以根据第一分析结果及第二分析结果进行风险管控；通过预警边界阶梯的设置，能够对不同阶梯下的比对结果进行综合判断，进而整体性对风险进行确定。

Description

一种基于大数据的网络安全管控方法及系统

技术领域

本发明涉及网络安全技术领域，具体为一种基于大数据的网络安全管控方法及系统。

背景技术

随着互联网、物联网的快速发展，网络占据着生活、工作以及生产中的重要位置，而网络安全则影响着用户信息安全及财产安全，在智能家居使用场景中，智能网关设备起到了集中控制及信息枢纽的作用，因此需要着重对网络安全进行管控。

现有技术中，网络安全管控的方法有多种方式，其中主要包括两类，一类是设置加密、防火墙、登录凭证校验或者按照安全协议的方式进行信息传递，从信息输入的方面来保证网关设备的网络完全，另一类则是设置安全监控的方式，通过定期对网关设备的日志文件及网络流量进行扫描监测，能够及时发现并应对任可能的安全威胁。

在对智能网关进行监测的过程中，潜在的网络攻击会通过分摊数据占用的方式来降低其被监测到的几率，因此，现有的网络安全监测系统在潜在风险监测方面仍有改进的空间。

发明内容

本发明的目的在于提供一种基于大数据的网络安全管控方法及系统，解决以下技术问题：

如何更加全面的对网络中的潜在风险进行监测管控。

本发明的目的可以通过以下技术方案实现：

一种基于大数据的网络安全管控系统，包括：

进程数据采集器，用以采集网络设备的实时进程数据；

云服务器，包括匹配模型，所述匹配模型基于大数据拟合建立，用以根据实时进程数据获得预警边界阶梯；

数据监测器，用以获取网络设备实时的状态数据；

第一分析单元，用以根据状态数据进行第一预警分析，获得第一分析结果；

第二分析单元，用以根据状态数据及预警边界阶梯进行第二预警分析，获得第二分析结果；

风险管控单元，用以根据第一分析结果及第二分析结果进行风险管控。

进一步地，所述实时进程数据包括网络设备参数、运行应用类型及其对应累计运行时长；

所述匹配模型基于聚类分析将海量运行网络设备实时进程数据作为样本进行训练，获得用于与网络设备实时的状态数据进行比对的参考范围作为预警边界阶梯；

所述状态信息包括各个应用对应参数值的变化曲线。

进一步地，所述第一预警分析的过程包括：

通过公式 计算获得t时刻的第一预警值R1(t)；

对第一预警值R1(t)大小进行判断：

若R1(t)∈[0，Rth1]，则保持正常运行；

若R1(t)∈(Rth1，Rth2]，则判断网络安全处于第一预警风险状态；

若R1(t)∈(Rth2，+∞)，则判断网络安全处于第一预警状态；

其中，Rth1、Rth2为第一预警阈值；m为应用数，j＝1、2、…、m；n_j为第j个应用的参数量，i＝1、2、…、n_j；P_ij(t)为第j个应用第i个参数变化曲线；P_ij0为P_ij(t)对应基准量；K_ij为P_ij(t)变化速率基准量；A1、A2为固定系数；α_ij为第j个应用中第i个参数的影响系数；β_j为第j个应用的权重系数。

进一步地，所述第二预警分析的过程包括：

按固定时段对变化曲线进行切分；

通过公式(1)-(3)：

计算获得第二预警值R2(t)；

对第二预警值R2(t)大小进行判断：

若R2(t)∈[0，Rtr1]，则保持正常运行；

若R2(t)∈(Rtr1，Rtr2]，则判断网络安全处于第二预警风险状态；

若R2(t)∈(Rtr2，+∞)，则判断网络安全处于第二预警状态；

其中，Rtr1、Rtr2为第二预警阈值；Q为划分的预警边界阶梯数；x∈[1，Q]；R2x(t)为第x阶第二预警值；γ为调参系数；Px_ij(t)为预警边界阶梯中P_ij(t)对应的第x阶参考曲线；s_ij(t)为稳定性系数；sx_ij(t)为预警边界阶梯中s_ij(t)对应的第x阶参考曲线；V为当前时间点之前选取的完整时段数，其为预设固定值，k∈[1，V]；T_j(t)为t时刻距第j个应用启动时间点相隔的完整时段数；为第k个时段对应P_ij(t)的均值；/>为V个时段P_ij(t)的均值。

进一步地，所述风险管控单元进行风险管控的过程包括：

若判断结果存在第一预警状态或第二预警状态中的一种时，执行主动修复策略；

若R1(t)∈(Rth1，Rth2]且R2(t)∈(Rtr1，Rtr2]，则判断是否

若为是，则执行主动修复策略。

进一步地，所述系统还包括IP异常监测模块；

所述IP异常监测模块用于采集实时的IP访问数据，及将IP访问数据与数据库中的历史IP访问数据进行比对分析，根据比对分析结果进行预警并采用预设主动防控策略。

进一步地，比对分析的过程包括：

获取单个IP访问次数超过预设值的IP列表；

对IP列表中的每个IP访问时间点进行采集；

通过公式对IP列表进行筛选：

若存在IP列表中的第y的IP对应的s_ip(y)≤st，则令

否则令

通过公式计算获得IP风险值F_ip；

将F_ip与预设阈值Tthr进行比对：

当F_ip≥Tthr时进行预警并采用预设主动防控策略；

其中，H为采集时间点数，z∈[1，H-1]；t_z(y)为IP列表中的第y的IP第z至第z+1时间点的间隔；t(y)为IP列表中的第y的IP第1至第H时间点的间隔；为预警值，/>Un为预设固定时段内的新访问IP数，Us为预设固定时段内的总访问IP数；μ为调参系数；/>为历史预设固定时段内的访问IP数均值。

一种基于大数据的网络安全管控方法，所述方法通过所述的一种基于大数据的网络安全管控系统对网络安全进行管控。

本发明的有益效果：

(1)本发明通过大数据拟合出匹配模型，能够提供状态数据较为准确的参考数据，因此在对网络设备实时的状态数据进行判断过程中，能够具有更好的敏感性，提高判断结果的准确性；同时通过预警边界阶梯的设置，能够对不同阶梯下的比对结果进行综合判断，进而整体性对风险进行确定。

附图说明

下面结合附图对本发明作进一步的说明。

图1是本发明中网络安全管控系统的逻辑框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，在一个实施例中，提供了一种基于大数据的网络安全管控系统，包括进程数据采集器、云服务器、数据监测器、第一分析单元、第二分析单元及风险管控单元，该系统相对现有技术的改进之处在于，通过大数据拟合出匹配模型，能够提供状态数据较为准确的参考数据，因此在对网络设备实时的状态数据进行判断过程中，能够具有更好的敏感性，提高判断结果的准确性；同时通过预警边界阶梯的设置，能够对不同阶梯下的比对结果进行综合判断，进而整体性对风险进行确定；同时在判断存在风险时，可通过现有的主动漏洞搜索工具、扫描检测工具等对存在的风险进行全面性的排查，在此不作进一步的限定；而相对于现有技术中实时监测的方式，本实施例借助了网络安全管控系统判断的准确性及敏感性，将其判断结果结合全面排查工具，能够补足全面排查工具运行的不确定性，进而使得网络设备具有较高的风险判断准确性及敏感性，同时具有风险处理的全面性及彻底性。

该系统运行过程中，进程数据采集器能够采集智能网关设备的实时进程数据，将实时进程数据输入至云服务器的匹配模型中，进而能够调用与之相匹配的预警边界阶梯作为参考，之后再通过数据监测器获取网络设备实时的状态数据，通过第一分析单元及第二分析单元分别进行第一预警分析及第二预警分析，获得第一分析结果及第二分析结果，最后再通过风险管控单元根据第一分析结果及第二分析结果进行风险管控，进而能够实现对智能网关设备中存在的潜在安全风险进行判断。

作为本发明的一种实施方式，实时进程数据包括网络设备参数、运行应用类型及其对应累计运行时长，通过上述实时进程数据，能够作为参考数据获得与其状态较为匹配的预警边界阶梯；另外，匹配模型基于聚类分析将海量运行网络设备实时进程数据作为样本进行训练，获得用于与网络设备实时的状态数据进行比对的参考范围作为预警边界阶梯，具体地训练过程及样本采集整理均通过现有技术实现，在本实施例不作进一步详述；另外，状态信息包括各个应用对应参数值的变化曲线，其表示了智能网关设备的实际运行数据，因此将其作为状态信息，能够准确的整体的网络安全进行全面且准确的判断。

作为本发明的一种实施方式，给出了第一预警分析的过程，具体包括：通过公式 计算获得t时刻的第一预警值R1(t)；对第一预警值R1(t)大小进行判断：若R1(t)∈[0，Rth1]，则保持正常运行；若R1(t)∈(Rth1，Rth2]，则判断网络安全处于第一预警风险状态；若R1(t)∈(Rth2，+∞)，则判断网络安全处于第一预警状态；第一预警分析主要通过对实时的状态数据进行初步的比对判断，其中，m为应用数，j＝1、2、…、m；n_j为第j个应用的参数量，i＝1、2、…、n_j；P_ij(t)为第j个应用第i个参数变化曲线，K_ij为P_ij(t)变化速率基准量，P_ij0为P_ij(t)对应基准量，其均根据该网络设备类型对应的经验数据拟合设定，A1、A2为固定系数，α_ij为第j个应用中第i个参数的影响系数，β_j为第j个应用的权重系数，其均根据测试数据拟合获得，因此通过第一预警值R1(t)的公式，能够对每个应用的每个参数量值形成动态平衡模型，当变化速度较大时，对应量值较低，整体数值仍然在合适的范围内，而当变化速度较大时对应量值较高或者变化速度较低时对应量值较低，则或使得动态平衡的结果出现异常，另外，Rth1、Rth2为第一预警阈值，其根据临界数据拟合后获得，因此通过第一预警值与第一预警阈值Rth1、Rth2的比对过程，进而选择出对应的策略，实现对智能网关设备实时的初步安全状态监测过程。

作为本发明的一种实施方式，第二预警分析的过程包括：按固定时段对变化曲线进行切分；通过公式(1)-(3)：

计算获得第二预警值R2(t)；对第二预警值R2(t)大小进行判断：若R2(t)∈[0，Rtr1]，则保持正常运行；若R2(t)∈(Rtr1，Rtr2]，则判断网络安全处于第二预警风险状态；若R2(t)∈(Rtr2，+∞)，则判断网络安全处于第二预警状态；其中，Q为划分的预警边界阶梯数；x∈[1，Q]；R2x(t)为第x阶第二预警值；γ为调参系数，其根据经验数据拟合获得；因此通过公式(1)能够获得相对每个预警边界阶梯综合分析后的第二预警值，R2x(t)的获取过程则根据一段时间的整体变动数据进行综合性判断获得，其中，Px_ij(t)为预警边界阶梯中P_ij(t)对应的第x阶参考曲线；s_ij(t)为稳定性系数；sx_ij(t)为预警边界阶梯中s_ij(t)对应的第x阶参考曲线；V为当前时间点之前选取的完整时段数，其为预设固定值，k∈[1，V]；T_j(t)为t时刻距第j个应用启动时间点相隔的完整时段数；为第k个时段对应P_ij(t)的均值；为V个时段P_ij(t)的均值，因此，稳定性系数则反映出参数整体的变化特征，综合划分时段内的整体数据状况，进而获得第二预警值；另外，Rtr1、Rtr2为第二预警阈值，其根据临界数据拟合后获得，因此通过第二预警值与第二预警阈值Rtr1、Rtr2的比对过程，进而选择出对应的策略，实现对智能网关设备实时的全面且准确的安全状态监测过程。

作为本发明的一种实施方式，风险管控单元进行风险管控的过程包括：若判断结果存在第一预警状态或第二预警状态中的一种时，执行主动修复策略；若R1(t)∈(Rth1，Rth2]且R2(t)∈(Rtr1，Rtr2]，则判断是否 若为是，则说明存在安全风险概率较大，因此执行主动修复策略；通过上述方案，能够综合第一预警分析及第二预警分析的结果进行综合性判断，进而适应性的保证主动修复策略的执行过程。

作为本发明的一种实施方式，系统还包括IP异常监测模块；IP异常监测模块能够采集实时的IP访问数据，并将IP访问数据与数据库中的历史IP访问数据进行比对分析，根据比对分析结果进行预警并采用预设主动防控策略；具体的，比对分析的过程包括：获取单个IP访问次数超过预设值的IP列表；对IP列表中的每个IP访问时间点进行采集；通过公式对IP列表进行筛选，其中，H为采集时间点数，z∈[1，H-1]；t_z(y)为IP列表中的第y的IP第z至第z+1时间点的间隔；t(y)为IP列表中的第y的IP第1至第H时间点的间隔；由于随机的IP访问为非规律性状态，因此，若出现规律性访问时，则说明安全风险较大，而此时s_ip(y)数值较小，因此，若存在IP列表中的第y的IP对应的s_ip(y)≤st，则令/>否则令/> 为预警值，/>通过公式计算获得IP风险值F_ip，Un为预设固定时段内的新访问IP数，Us为预设固定时段内的总访问IP数；μ为调参系数，其根据测试数据拟合获得；/>为历史预设固定时段内的访问IP数均值；IP风险值体现了IP访问的异常状况，且IP风险值越大，说明存在的风险越大，因此将F_ip与预设阈值Tthr进行比对，预设阈值Tthr根据经验数据拟合设定获得；当F_ip≥Tthr时进行预警并采用预设主动防控策略，进而实现了对安全风险的准确管控过程。

在一个实施例中还给出了一种基于大数据的网络安全管控方法，该方法通过的一种基于大数据的网络安全管控系统对网络安全进行管控。

以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

Claims (8)

1.一种基于大数据的网络安全管控系统，其特征在于，包括：

进程数据采集器，用以采集网络设备的实时进程数据；

云服务器，包括匹配模型，所述匹配模型基于大数据拟合建立，用以根据实时进程数据获得预警边界阶梯；

数据监测器，用以获取网络设备实时的状态数据；

第一分析单元，用以根据状态数据进行第一预警分析，获得第一分析结果；

第二分析单元，用以根据状态数据及预警边界阶梯进行第二预警分析，获得第二分析结果；

风险管控单元，用以根据第一分析结果及第二分析结果进行风险管控。

2.根据权利要求1所述的一种基于大数据的网络安全管控系统，其特征在于，所述实时进程数据包括网络设备参数、运行应用类型及其对应累计运行时长；

所述匹配模型基于聚类分析将海量运行网络设备实时进程数据作为样本进行训练，获得用于与网络设备实时的状态数据进行比对的参考范围作为预警边界阶梯；

所述状态信息包括各个应用对应参数值的变化曲线。

3.根据权利要求2所述的一种基于大数据的网络安全管控系统，其特征在于，所述第一预警分析的过程包括：

通过公式 计算获得t时刻的第一预警值R1(t)；

对第一预警值R1(t)大小进行判断：

若R1(t)∈[0，Rth1]，则保持正常运行；

若R1(t)∈(Rth1，Rth2]，则判断网络安全处于第一预警风险状态；

若R1(t)∈(Rth2，+∞)，则判断网络安全处于第一预警状态；

其中，Rth1、Rth2为第一预警阈值；m为应用数，j＝1、2、…、m；n_j为第j个应用的参数量，i＝1、2、…、n_j；P_ij(t)为第j个应用第i个参数变化曲线；P_ij0为P_ij(t)对应基准量；K_ij为P_ij(t)变化速率基准量；A1、A2为固定系数；α_ij为第j个应用中第i个参数的影响系数；β_j为第j个应用的权重系数。

4.根据权利要求3所述的一种基于大数据的网络安全管控系统，其特征在于，所述第二预警分析的过程包括：

按固定时段对变化曲线进行切分；

通过公式(1)-(3)：

计算获得第二预警值R2(t)；

对第二预警值R2(t)大小进行判断：

若R2(t)∈[0，Rtr1]，则保持正常运行；

若R2(t)∈(Rtr1，Rtr2]，则判断网络安全处于第二预警风险状态；

若R2(t)∈(Rtr2，+∞)，则判断网络安全处于第二预警状态；

其中，Rtr1、Rtr2为第二预警阈值；Q为划分的预警边界阶梯数；x∈[1，Q]；R2x(t)为第x阶第二预警值；γ为调参系数；Px_ij(t)为预警边界阶梯中P_ij(t)对应的第x阶参考曲线；s_ij(t)为稳定性系数；sx_ij(t)为预警边界阶梯中s_ij(t)对应的第x阶参考曲线；V为当前时间点之前选取的完整时段数，其为预设固定值，k∈[1，V]；T_j(t)为t时刻距第j个应用启动时间点相隔的完整时段数；为第k个时段对应P_ij(t)的均值；/>为V个时段P_ij(t)的均值。

5.根据权利要求4所述的一种基于大数据的网络安全管控系统，其特征在于，所述风险管控单元进行风险管控的过程包括：

若判断结果存在第一预警状态或第二预警状态中的一种时，执行主动修复策略；

若R1(t)∈(Rth1，Rth2]且R2(t)∈(Rtr1，Rtr2]，则判断是否

若为是，则执行主动修复策略。

6.根据权利要求1所述的一种基于大数据的网络安全管控系统，其特征在于，所述系统还包括IP异常监测模块；

所述IP异常监测模块用于采集实时的IP访问数据，及将IP访问数据与数据库中的历史IP访问数据进行比对分析，根据比对分析结果进行预警并采用预设主动防控策略。

7.根据权利要求6所述的一种基于大数据的网络安全管控系统，其特征在于，比对分析的过程包括：

获取单个IP访问次数超过预设值的IP列表；

对IP列表中的每个IP访问时间点进行采集；

通过公式对IP列表进行筛选：

若存在IP列表中的第y的IP对应的s_ip(y)≤st，则令

否则令

通过公式计算获得IP风险值F_ip；

将F_ip与预设阈值Tthr进行比对：

当F_ip≥Tthr时进行预警并采用预设主动防控策略；

其中，H为采集时间点数，z∈[1，H-1]；t_z(y)为IP列表中的第y的IP第z至第z+1时间点的间隔；t(y)为IP列表中的第y的IP第1至第H时间点的间隔；为预警值，/>Un为预设固定时段内的新访问IP数，Us为预设固定时段内的总访问IP数；μ为调参系数；/>为历史预设固定时段内的访问IP数均值。

8.一种基于大数据的网络安全管控方法，其特征在于，所述方法通过如权利要求1-7任一项所述的一种基于大数据的网络安全管控系统对网络安全进行管控。