CN116760649A - 基于大数据的数据安全保护及预警方法 - Google Patents

Abstract

本发明涉及数据处理领域，具体涉及基于大数据的数据安全保护及预警方法，包括：获取服务器组中每个节点的数据包；获取历史访问次数序列u中低历史访问次数的用户总量，将序列u划分为若干段，根据每段每种报文类型的用户数量获得调用曲线，然后将调用曲线划分为两部分，记为第一曲线和第二曲线；根据第一占、第一曲线和第二曲线获得节点遭受攻击的可能性；根据节点遭受攻击的可能性判断节点是否遭到攻击，当节点没有遭到攻击时，将数据包拆分为若干子数据包，获取服务器组被攻击可能性，根据服务器组被攻击可能性判断服务器组是否遭到攻击，当服务器组遭到攻击时进行预警。本发明用数据处理获得节点被攻击的可能性，提高服务器组预警的准确性。

Description

基于大数据的数据安全保护及预警方法

技术领域

本发明涉及数据处理领域，具体涉及基于大数据的数据安全保护及预警方法。

背景技术

服务器云系统中，对于大流量访问时，服务器调度其他节点处理访问数据，避免单节点数据堆积。同时攻击数据夹杂在正常访问数据中传输至服务器，需要服务器将异常数据拦截，防止异常数据从某节点进入服务器。

通过访问数据包中ICMP报文信息类型以及用户访问的频率数据进行服务器组处于攻击环境的评价，改进常规拦截固定报文类型以及关闭部分服务器啊安全策略会降低服务器的可用性的缺陷。

发明内容

本发明提供基于大数据的数据安全保护及预警方法，以解决现有的问题。

本发明的基于大数据的数据安全保护及预警方法采用如下技术方案：

本发明一个实施例提供了基于大数据的数据安全保护及预警方法，该方法包括以下步骤：

获取服务器组中每个节点的数据包；获取数据包中历史访问次数构成的序列u，根据序列u获得低历史访问次数对应的用户总量，低历史访问次数对应的用户总量与数据包中用户总数的比值记为第一占比，根据数据包中用户总数将序列u划分为若干段，根据每段中属于每种报文类型的用户数量获得每种报文类型的调用曲线，根据第一占比将每种报文类型的调用曲线划分为两部分，记为第一曲线和第二曲线；根据第一占比以及第一曲线和第二曲线的差异获得节点遭受攻击的可能性；根据节点遭受攻击的可能性判断节点是否遭到攻击，当节点没有遭到攻击时，根据服务器组的算力将数据包拆分为若干子数据包，根据所有节点接收子数据包时的遭受攻击的可能性获得服务器组被攻击可能性，根据服务器组被攻击可能性判断服务器组是否遭到攻击，当服务器组遭到攻击时进行预警。

进一步地，所述获取数据包中历史访问次数构成的序列u，根据序列u获得低历史访问次数对应的用户总量，包括的具体步骤如下：

预设一个比例阈值Q，将历史访问次数从小到大排列得到序列u，获取序列u中顺序在前的历史访问次数，记为低历史访问次数，统计低历史访问次数对应的用户数，即得到低历史访问次数对应的用户总量。

进一步地，所述根据数据包中用户总数将序列u划分为若干段，包括的具体步骤如下：

根据节点的并发处理数，将数据包中的历史访问次数序列/>等分为/>个段，其中，/>中/>表示向上取整符号，/>表示数据包中的用户总数。

进一步地，所述根据每段中属于每种报文类型的用户数量获得每种报文类型的调用曲线，包括的具体步骤如下：

获取各段中的总用户数量和报文类型为的用户数量，将任意段中报文类型为的用户数量除以对应段的总用户数量，得到各段中报文类型为/>的调用比例，通过所有段中报文类型为/>的调用比例拟合得到一条报文类型为/>的调用曲线；再获取各段中的总用户数量和报文类型为/>的用户数量，将任意段中报文类型为/>的用户数量除以对应段的总用户数量，得到各段中报文类型为/>的调用比例，通过各段中报文类型为/>的调用比例拟合得到一条报文类型为/>的调用曲线；以此类推，得到所有报文类型的调用曲线。

进一步地，所述第一曲线的具体获取步骤如下：

根据第一占比将每种报文类型的调用曲线进行切分成两部分，将前一部分的曲线记为第一曲线。

进一步地，所述第二曲线的具体获取步骤如下：

根据第一占比将每种报文类型的调用曲线进行切分成两部分，将后一部分的曲线记为第二曲线。

进一步地，所述根据第一占比以及第一曲线和第二曲线的差异获得节点遭受攻击的可能性，包括的具体步骤如下：

节点遭受攻击的可能性公式为：

式中，表示第t中报文类型的最大历史访问次数，/>表示当前数据包/>中的总用户数量，/>表示低历史访问次数的用户数量，k表示为第k个报文类型数量，/>表示在第t种报文类型对应的调用曲线函数，exp表示以自然数为底的指数函数，/>表示节点遭受攻击的差异特征，/>表示第一占比；

式中，表示节点遭受攻击的差异特征，/>表示节点遭受攻击的可能性，/>表示双曲正切函数。

进一步地，所述根据服务器组的算力将数据包拆分为若干子数据包，包括的具体步骤如下：

各服务器的算力记为，其中/>表示第n个服务器的算力，n表示服务器组中节点的总数；在服务器组总算力/>中占有的比例/>，将数据包拆分，具体为：将/>中/>个用户的数据打包成数据包/>，将/>个用户的数据打包成数据包，以此类推，将/>个用户的数据打包成数据包/>；

其中，/>表示数据包中的用户总数，数据包/>、数据包/>、……、数据包/>均称为子数据包。

进一步地，所述根据所有节点接收子数据包时的遭受攻击的可能性获得服务器组被攻击可能性，包括的具体步骤如下：

服务器组被攻击可能性的公式为：

式中，表示被攻击节点的被攻击可能性，G表示被攻击节点的数量，/>表示所有节点在接收子数据包之后的被攻击可能性，n表示服务器组所有节点的数量，/>表示服务器组的被攻击可能性。

进一步地，所述根据服务器组被攻击可能性判断服务器组是否遭到攻击，包括的具体步骤如下：

当服务器组被攻击可能性大于等于服务器组预设的安全策略阈值/>时，判定服务器组遭受攻击。

本发明的技术方案的有益效果是：

（1）本发明结合ICMP报文信息类型以及用户访问的频率数据在当前数据点中的不同分布情况对单节点被攻击的评价，并综合多节点对数据包异常的不同评价综合为服务器组的被攻击评价。传统直接丢弃预设报文类型或拦截固定报文类型的保护手段，丢失服务器部分业务拓展能力，降低用户的使用体验。本发明与之相比，能够分析报文类型与访问频率的统计差异进行攻击判断，在不减少服务器业务拓展能力的情况下达到了更精准的攻击评价，令服务器的安全防御策略更加智能。

（2）相比传统分析报文内部数据的拦截手段，在大流量访问的环境下难以达到对攻击响应的实时性要求。以及神经网络分析手段需要预先设置参数并保证模型训练精度才能达到一定的拦截水平。本发明通过历史数据作为评价标准，并通过数据类型差异进行比较评价，比较运算占用服务器资源更低的同时，历史监测数据指标随服务器使用能够达到更高的监测精度，在服务器攻击抵御中具有指标的自锐性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明基于大数据的数据安全保护及预警方法的步骤流程图；

图2为本发明基于大数据的数据安全保护及预警方法的访问次数与用户量关系示意图；

图3为本发明基于大数据的数据安全保护及预警方法的第一种报文类型调用曲线示意图；

图4为本发明基于大数据的数据安全保护及预警方法的第二种报文类型调用曲线示意图；

图5为本发明基于大数据的数据安全保护及预警方法的第一种报文类型调用曲线二分示意图。

具体实施方式

为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本发明提出的基于大数据的数据安全保护及预警方法，其具体实施方式、结构、特征及其功效，详细说明如下。在下述说明中，不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外，一或多个实施例中的特定特征、结构或特点可由任何合适形式组合。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。

下面结合附图具体的说明本发明所提供的基于大数据的数据安全保护及预警方法的具体方案。

请参阅图1，其示出了本发明一个实施例提供的基于大数据的数据安全保护及预警方法的步骤流程图，该方法包括以下步骤：

步骤S001：获取云中节点计算环境数据。

获取用户访问的信息数据包，数据包里面含有用户的IP地址、用户的ICMP报文和用户访问目标的IP地址，此处用户访问目标的IP地址认为不变。将用户的IP地址和用户的ICMP报文打包成数据包，即每个数据包中可以知道每个用户对目标IP地址的访问次数。

其中，一个服务器组包含多个服务器，一个服务器对应一个节点对应一个数据包，一个用户IP地址代表一个用户。

至此，获取到服务器在一周内的访问的数据包。

步骤S002：根据服务器的数据包得到服务器组中单个节点被攻击的可能性。

结合ICMP报文信息类型以及用户访问的频率数据在数据点中的不同分布情况对单节点被攻击作一个评价，并结合多节点对数据包异常的不同评价综合为服务器组的被攻击评价，根据服务器组的被攻击评价进行安全保护响应。

需要说明的是，本实施例结合ICMP报文信息类型以及用户访问的频率数据在数据点中的不同分布情况对单节点被攻击的评价，并综合多节点对数据包异常的不同评价综合为服务器组的被攻击评价。传统直接丢弃预设报文类型或拦截固定报文类型的保护手段，丢失服务器部分业务拓展能力，降低用户的使用体验。本实施例与之相比，能够分析报文类型与访问频率的统计差异进行攻击判断，在不减少服务器业务拓展能力的情况下达到了更精准的攻击评价，令服务器的安全防御策略更加智能。

进一步需要说明的是，相比传统分析报文内部数据的拦截手段，在大流量访问的环境下难以达到对攻击响应的实时性要求。以及神经网络分析手段需要预先设置参数并保证模型训练精度才能达到一定的拦截水平。本实施例通过历史数据作为评价标准，并通过数据类型差异进行比较评价，比较运算占用服务器资源更低的同时，历史监测数据指标随服务器使用能够达到更高的监测精度，在服务器攻击抵御中具有指标的自锐性。

因此，本实施例对采集的访问数据包进行处理，获得服务器组被攻击的可能性。

将任意一个数据包记为当前数据包f，当前数据包f对应的节点记为当前节点。

再一次需要说明的是，用户历史访问次数越高，当前用户在服务器留下的痕迹越多，代表服务器对于当前用户的信任程度越大。通过各ICMP报文信息类型报文代码下访问次数的差异分析用户在不同访问次数中，对于不同代码的使用频率差异，据此判断当前节点被攻击的可能性。

具体地，获取当前数据包中的每个用户的历史访问次数，进而得到相同历史访问次数对应的用户数量。现在以不同的历史访问次数为横坐标，以相同的历史访问次数对应的用户数量为纵坐标建立坐标系，然后再将当前数据包中的数据在建立的坐标系中得到一条拟合曲线，记为原始数据曲线，如图2所示。

需要说明的是，本实施例是通过对低历史访问次数的用户进行分析，而服务器遭受攻击时由大量低历史访问次数进行的，进而需要对低历史访问次数的用户进行统计，得到一组数据进行分析判断。

具体地，预设一个比例阈值Q，其中本实施例以为例进行叙述，本实施例不进行具体限定，其中Q可根据具体实施情况而定。在原始数据曲线中，将历史访问次数从小到大排列得到历史访问次数序列u，获取序列u中顺序在前/>的历史访问次数，记为低历史访问次数，统计低历史访问次数对应的用户总量记为/>。

针对历史访问次数较多的用户通常具有较好的防入侵措施，服务器遭受攻击时由大量低历史访问次数的“肉鸡”进行访问，将低历史访问次数和高历史访问次数两类用户进行划分，便于利用攻击环境带来的低历史访问频率用户数量差异对当前节点的访问环境进行评价。

将当前数据包中的用户数量记为。对于当前服务器，低历史访问次数的用户占数据包/>中全部用户/>的比例/>越大，代表节点处于大量低历史访问次数的用户在数据包/>的同一时间段内被密集访问，产生攻击风险的可能性大。

需要说明的是，在大流量访问环境中可能产生新用户数量增多的情况，仅通过用户的访问频率数据进行判断并不能完全描述节点服务器被攻击的特征，需要综合历史访问次数少的用户与历史访问次数多的用户对ICMP报文的使用类型差异，对当前节点处于攻击下的可能性进行准确评价。攻击者通过操控大量低历史访问频率的“肉鸡”用户发送ICMP报文，占用服务器资源，无法处理正常报文请求。

访问次数多的用户，其报文类型数据对于服务器而言具有更多的参考价值。

根据当前节点的并发处理数，将当前数据包/>中的历史访问次数序列/>等分为个段（/>为向上取整符号），代表当前节点一次性能够处理用户访问数量的极限。

获取各段中的总用户数量和报文类型为的用户数量，将任意段中报文类型为的用户数量除以对应段的总用户数量，得到各段中报文类型为/>的调用比例，通过所有段中报文类型为/>的调用比例拟合得到一条报文类型为/>的调用曲线，如图3所示；再获取各段中的总用户数量和报文类型为/>的用户数量，将任意段中报文类型为/>的用户数量除以对应段的总用户数量，得到各段中报文类型为/>的调用比例，通过各段中报文类型为/>的调用比例拟合得到一条报文类型为/>的调用曲线，如图4所示；以此类推，得到所有报文类型的调用曲线。

则对于当前服务器，高历史访问次数的用户调用比例较高的报文种类与低历史访问次数用户调用比例较高的报文类型的调用频率差异越大，则当前报文种类属于正常访问数据的可能性越高。

对于第t种报文的调用曲线，该调用曲线是用最小二乘法拟合成的多项式，记为函数/>，即该函数的横坐标为历史访问次数x，纵坐标为用户数量/>，本实施例以拟合成五次多项式为例进行叙述。使用低历史访问频率用户数量比例/>将/>报文的调用曲线进行二分，便于针对不同类型用户进行报文类型差异分析，如图5所示，表示两种用户的报文类型调用差异。依次对当前数据包中所有报文类型的调用曲线进行二分，即调用曲线左右/>比例的是一部分，右侧/>比例的是另一部分。

据此，综合低历史访问次数的用户占当前数据包/>中全部用户/>的比例，与两种用户的报文类型调用差异，获取当前节点遭受攻击的可能性A为：

式中，表示第t中报文类型的最大历史访问次数，/>表示当前数据包/>中的总用户数量，/>表示低历史访问次数的用户数量，k表示为第k个报文类型数量，/>表示在第t种报文类型对应的调用曲线函数，exp表示以自然数为底的指数函数，/>表示当前节点遭受攻击的差异特征。

其中，表示为以低历史访问次数的用户/>为中线，左右两调用曲线的面积之差累加和的负相关映射。该式越大代表在历史访问次数序列上，当前报文类型M被访问次数少的用户调用次数更多，说明通过访问次数多的用户选取出了当前报文类型的可信程度，而将两类用户对报文调用类型的差异进行遍历累加，能够使节点中低频访问的用户对报文的异常调用特征用指数函数进行映射。

当前节点遭受的可能性为，/>表示双曲正切函数。

综合的访问频率特征进行评价，将两用户报文类型差异与低频访问用户在当前节点占有的比例基础上进行考量，最终令数据包/>对当前服务器节点的攻击可能性评价更准确。

预设服务器的安全策略阈值，根据服务器安全策略，如果时，将当前服务器评价为处于被攻击状态下，否则当前服务器评价为不处于攻击状态下。其中本实施例以/>为例进行叙述，本实施例不进行具体限定，其中/>可根据具体实施情况而定。

至此，获得当前单节点对于当前数据包的被攻击可能性。

步骤S003：根据节点被攻击的可能性得到服务器组被攻击的可能性。

需要说明的是，当节点时可认为是处于正常状态下，/>为第一个数据包对应的节点被攻击的可能性，但在大流量访问的环境下，数据包/>的数据量远超节点/>的处理能力，需要服务器组的其他服务器节点进行协同处理。而攻击者每次攻击选取的节点不相同，也存在同时对多节点进行攻击，单节点的A可能均小于/>，但实际上攻击已经发生。统合云中各节点在响应数据包时产生的攻击可能性A，并结合攻击数据通过全部节点协同处理数据包的过程中，对于其他节点攻击可能性A产生的外溢影响对云服务器组遭受攻击的可能性/>进行评价，将节点的数据安全保护能力拓展至全服务器组。

具体地，当任意节点的被攻击可能性时在服务器组中进行负载调度。

云服务器节点接收到数据包/>后，首先依据数据包/>计算节点/>的被攻击可能性；

其次，负载均衡单元根据各服务器的算力，其中/>表示第n个服务器的算力，n表示服务器组中节点的总数；在服务器组总算力/>中占有的比例，将数据包/>拆分具体为，将/>中/>个用户的数据打包成数据包/>，将个用户的数据打包成数据包/>，……，将/>个用户的数据打包成数据包/>。

其中，，/>，数据包/>、数据包/>、……、数据包/>均称为子数据包。例如，/>为数据包/>分出的给节点/>的数据包，[]为向上取整符号，将拆分后的数据包分拨给各服务器节点进行处理。

当，代表服务器节点/>处于被攻击状态下时，服务器将数据包/>转发至数据清洗单元，进行数据清洗后，单元将正常访问数据传输回节点/>进行处理。

需要说明的是，首先根据上述步骤计算得到每个节点被攻击的可能性，然后根据每个节点被攻击的可能性与预设阈值得到被服务器组中被攻击的节点，根据单节点被攻击的可能性得到服务器组中被攻击的可能性。

具体操作形式以下面来进行分析解释。

例如：当服务器组内有n个节点（取n=14，只举例说明），同时有两个服务器收到访问数据包/>；其被攻击的可能性/>均小等于/>。

根据组内先验算力,将数据包/>分为/>、的节点数据包，通过负载均衡单元转发至各服务器进行处理。

此时，节点应处理的数据包为/>。

对节点，其通过/>计算更新攻击可能性/>（用A计算公式计算）。

遍历获取全部节点的更新攻击可能性，所以，服务器组的被攻击可能性/>：

而对于节点，其拥有原始可能性/>，组中全部节点更新可能性累加和应与/>相似，分式值越大代表节点数据包/>、通过组内其他节点进行评价后存在异常。

即服务器组的被攻击可能性的通式为：

式中，表示被攻击节点的被攻击可能性，G表示被攻击节点的数量，/>表示所有节点在接收子数据包之后的被攻击可能性，n表示服务器组所有节点的数量，/>表示服务器组的被攻击可能性。

将全组对于数据包不同部分的异常鉴别评价进行综合，避免攻击者通过多节点进行攻击导致单一节点判断不准确的缺陷。

此处预设服务器组的安全策略阈值，根据安全策略选取，当/>时，判定服务器组遭受攻击；其中本实施例以/>为例进行叙述，本实施例不进行具体限定，其中/>可根据具体实施情况而定。

至此，通过组中各节点被攻击的可能性获取到全组被攻击的可能性。

步骤S004：通过服务器组的被攻击可能性控制服务器组进行攻击抵御和预警。

通过上述步骤获取的服务器组的被攻击可能性，当被判定服务器遭受攻击时，服务器组各节点停止响应ICMP报文，并将数据包转发至数据清洗单元，由数据清洗单元进行数据清洗后，单元将正常访问数据传输回服务器组进行处理，并进行预警。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.基于大数据的数据安全保护及预警方法，其特征在于，该方法包括以下步骤：

获取服务器组中每个节点的数据包；获取数据包中历史访问次数构成的序列u，根据序列u获得低历史访问次数对应的用户总量，低历史访问次数对应的用户总量与数据包中用户总数的比值记为第一占比，根据数据包中用户总数将序列u划分为若干段，根据每段中属于每种报文类型的用户数量获得每种报文类型的调用曲线，根据第一占比将每种报文类型的调用曲线划分为两部分，记为第一曲线和第二曲线；根据第一占比以及第一曲线和第二曲线的差异获得节点遭受攻击的可能性；根据节点遭受攻击的可能性判断节点是否遭到攻击，当节点没有遭到攻击时，根据服务器组的算力将数据包拆分为若干子数据包，根据所有节点接收子数据包时的遭受攻击的可能性获得服务器组被攻击可能性，根据服务器组被攻击可能性判断服务器组是否遭到攻击，当服务器组遭到攻击时进行预警。

2.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述获取数据包中历史访问次数构成的序列u，根据序列u获得低历史访问次数对应的用户总量，包括的具体步骤如下：

预设一个比例阈值Q，将历史访问次数从小到大排列得到序列u，获取序列u中顺序在前的历史访问次数，记为低历史访问次数，统计低历史访问次数对应的用户数，即得到低历史访问次数对应的用户总量。

3.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述根据数据包中用户总数将序列u划分为若干段，包括的具体步骤如下：

根据节点的并发处理数，将数据包中的历史访问次数序列/>等分为/>个段，其中，中/>表示向上取整符号，/>表示数据包中的用户总数。

4.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述根据每段中属于每种报文类型的用户数量获得每种报文类型的调用曲线，包括的具体步骤如下：

获取各段中的总用户数量和报文类型为的用户数量，将任意段中报文类型为/>的用户数量除以对应段的总用户数量，得到各段中报文类型为/>的调用比例，通过所有段中报文类型为/>的调用比例拟合得到一条报文类型为/>的调用曲线；再获取各段中的总用户数量和报文类型为/>的用户数量，将任意段中报文类型为/>的用户数量除以对应段的总用户数量，得到各段中报文类型为/>的调用比例，通过各段中报文类型为/>的调用比例拟合得到一条报文类型为/>的调用曲线；以此类推，得到所有报文类型的调用曲线。

5.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述第一曲线的具体获取步骤如下：

根据第一占比将每种报文类型的调用曲线进行切分成两部分，将前一部分的曲线记为第一曲线。

6.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述第二曲线的具体获取步骤如下：

根据第一占比将每种报文类型的调用曲线进行切分成两部分，将后一部分的曲线记为第二曲线。

7.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述根据第一占比以及第一曲线和第二曲线的差异获得节点遭受攻击的可能性，包括的具体步骤如下：

节点遭受攻击的可能性公式为：

式中，表示第t中报文类型的最大历史访问次数，/>表示当前数据包/>中的总用户数量，/>表示低历史访问次数的用户数量，k表示为第k个报文类型数量，/>表示在第t种报文类型对应的调用曲线函数，exp表示以自然数为底的指数函数，/>表示节点遭受攻击的差异特征，/>表示第一占比；

式中，表示节点遭受攻击的差异特征，/>表示节点遭受攻击的可能性，/>表示双曲正切函数。

8.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述根据服务器组的算力将数据包拆分为若干子数据包，包括的具体步骤如下：

各服务器的算力记为，其中/>表示第n个服务器的算力，n表示服务器组中节点的总数；在服务器组总算力/>中占有的比例/>，将数据包/>拆分，具体为：将/>中/>个用户的数据打包成数据包/>，将/>个用户的数据打包成数据包/>，以此类推，将/>个用户的数据打包成数据包/>；

其中，/>表示数据包中的用户总数，数据包/>、数据包/>、……、数据包/>均称为子数据包。

9.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述根据所有节点接收子数据包时的遭受攻击的可能性获得服务器组被攻击可能性，包括的具体步骤如下：

服务器组被攻击可能性的公式为：

式中，表示被攻击节点的被攻击可能性，G表示被攻击节点的数量，/>表示所有节点在接收子数据包之后的被攻击可能性，n表示服务器组所有节点的数量，/>表示服务器组的被攻击可能性。

10.根据权利要求1所述基于大数据的数据安全保护及预警方法，其特征在于，所述根据服务器组被攻击可能性判断服务器组是否遭到攻击，包括的具体步骤如下：

当服务器组被攻击可能性大于等于服务器组预设的安全策略阈值/>时，判定服务器组遭受攻击。