发明内容
针对上述问题,本发明旨在提供一种基于大数据分析技术的数据安全防护方法和系统。
本发明的目的采用以下技术方案来实现:
第一方面,本发明提出一种基于大数据分析技术的数据安全防护方法,包括:
S1获取用户访问信息,其中用户访问信息包括用户身份信息、访问位置和访问时间;
S2根据获取的用户访问信息进行安全验证,得到安全验证结果;
S3根据得到的安全验证结果获取用户操作权限,以使得用户在其操作权限下对系统中的数据进行操作。
优选的,步骤S1包括:
S11获取用户身份验证信息,根据获取的用户身份验证信息进行验证,当验证通过后,获取与用户身份验证信息对应的用户身份信息;其中,用户身份信息包括用户ID、用户Email地址和用户电话号码中的至少一项;用户身份验证信息包括用户ID和对应的登录密码、用户人脸图像、用户短信确认信息、用户Email确认信息中的至少一项;
S12根据用户终端的实时定位信息获取用户位置,并进一步记录用户访问系统的访问时间。
优选的,步骤S2包括:
S21采用比对分析技术对当前用户访问信息进行直接安全验证,得到直接安全性验证结果;
S22根据历史用户访问信息,采用大数据分析技术对当前用户访问信息进行间接安全验证,得到间接安全性验证结果;
S23根据直接安全性验证结果和/或间接安全性验证结果得到安全验证结果。
优选的,步骤S2中,对当前用户访问信息的直接安全性进行验证,包括:
根据用户的当前访问位置和访问时间与系统预设的标准访问位置和标准方位时间进行比对,当用户的访问位置和访问时间在系统预设的标准访问位置和标准方位时间范围内时,则得到直接安全性验证结果为通过。
优选的,步骤S2中,对当前用户访问信息的直接安全性进行验证,包括:
根据用户的当前访问位置与历史用户访问信息中的用户位置进行比对,当存在历史用户访问位置与当前用户访问位置一致时,得到直接安全性验证结果为通过;
当不存在历史用户访问位置与当前用户访问位置一致时,进一步向该用户的上级用户进行访问位置确认,当访问位置确认通过后,得到直接安全性验证结果为通过;当方位位置确认不通过时,得到直接安全性验证结果为不通过。
优选的,步骤S2中,对当前用户访问信息的间接安全性进行验证,包括:
根据用户身份信息,从用户管理表中获取该用户的同族用户,并获取该同族用户的历史访问信息;
将当前用户访问信息与同族用户的历史访问位置进行比对,当存在同族用户历史访问位置与当前用户访问位置一致时,得到直接安全性验证结果为通过;当不存在同族用户历史访问位置与当前用户访问位置一致时,得到直接安全性验证结果为不通过。
优选的,步骤S2中,对当前用户访问信息的间接安全性进行验证,包括:
根据用户的上一次正常访问的访问位置和访问时间和当前访问的访问位置和访问时间计算访问位置差和访问时间差信息;
根据得到的位置差信息,从数据库中获取理论访问时间间隔;并根据得到的理论访问时间间隔与访问时间差信息进行比较,当访问时间差小于理论访问时间间隔时,得到间接安全性验证结果为不通过。
优选的,步骤S3包括:
当安全验证结果为通过时,则赋予用户得到对应预设的操作权限;
当安全验证结果为不通过时,则赋予用户得到与对应预设的操作权限降级的操作权限。
优选的,该方法还包括:
S4对用户的操作权限进行管理,包括管理用户身份信息和设置用户操作权限;其中操作权限包括针对系统内不同数据等级的数据的操作权限,其中操作权限包括访问、添加、修改、复制和转发;数据等级包括公开、内部公开、内部保密和机密。
第二方面,本发明提出一种基于大数据分析技术的数据安全防护系统,包括:
访问模块,用于获取用户访问信息,其中用户访问信息包括用户身份信息、访问位置和访问时间;
安全验证模块,用于根据获取的用户访问信息进行安全验证,得到安全验证结果;
操作权限模块,用于根据得到的安全验证结果获取用户操作权限,以使得用户在其操作权限下对系统中的数据进行操作。
本发明的有益效果为:本发明提出一种针对数据库访问的安全防护方法和系统,首先针对用户访问信息进行获取,并根据用户的访问信息进行直接安全性分析和间接安全性分析,得到安全分析结果,当安全分析通过后,再赋予用户对应的操作权限对数据库系统进行操作,能够有效提高数据安全防护的安全性和可靠性。
具体实施方式
结合以下应用场景对本发明作进一步描述。
参见图1,其示出一种基于大数据分析技术的数据安全防护方法,包括如下步骤:
S1获取用户访问信息,其中用户访问信息包括用户身份信息、访问位置和访问时间;
S2根据获取的用户访问信息进行安全验证,得到安全验证结果;
S3根据得到的安全验证结果获取用户操作权限,以使得用户在其操作权限下对系统中的数据进行操作。
上述实施方式,针对数据库系统的访问,对数据库系统中的数据进行分级,能够使得不同的数据对不同权限的用户进行开放。同时在用户访问数据库的时候,首先根据用户的访问信息进行安全验证,当验证通过后根据用户的身份赋予不同的操作权限,有助于提高数据库的数据安全防护性能。
优选的,参见图2,步骤S1包括:
S11获取用户身份验证信息,根据获取的用户身份验证信息进行验证,当验证通过后,获取与用户身份验证信息对应的用户身份信息;
S12根据用户终端的实时定位信息获取用户位置,并进一步记录用户访问系统的访问时间。
优选的,用户身份信息包括用户ID、用户Email地址和用户电话号码中的至少一项;用户身份验证信息包括用户ID和对应的登录密码、用户人脸图像、用户短信确认信息、用户Email确认信息中的至少一项。
在用户访问数据库系统的时候,首先获取用户的身份验证信息进行身份验证,其中身份验证的方式能够采用常规的身份验证方式进行,去确认用户身份信息。并在完成用户身份信息的获取后,进一步获取用户发起访问数据库的访问位置和方位时间。
优选的,步骤S11中,获取用户身份验证信息,根据获取的用户身份验证信息进行验证,包括:
获取用户人脸图像,根据获取的用户人脸图像进行预处理,并针对预处理后的人脸图像进行特征提取,根据提取到的人脸特征与数据库中各用户预存的人脸特征进行比对分析,得到匹配的用户身份信息。
其中,针对内部用户的访问,能够通过人脸识别的方式来对用户身份进行验证,有助于提高用户身份验证的适应性和可靠性。进一步提高了数据安全防护的安全性。
优选的,参见图3,步骤S2包括:
S21采用比对分析技术对当前用户访问信息进行直接安全验证,得到直接安全性验证结果;
S22根据历史用户访问信息,采用大数据分析技术对当前用户访问信息进行间接安全验证,得到间接安全性验证结果;
S23根据直接安全性验证结果和/或间接安全性验证结果得到安全验证结果。
其中,上述实施方式中,根据获取的用户访问信息,结合历史用户访问信息进行直接和间接的安全性分析,能够进一步基于用户的访问位置和访问时间进行进一步的安全性分析,避免用户身份验证信息的盗用或者恶意共享的行为发生,提高数据库安全防护的安全性。
优选的,步骤S2中,对当前用户访问信息的直接安全性进行验证,包括:
根据用户的当前访问位置与历史用户访问信息中的用户位置进行比对,当存在历史用户访问位置与当前用户访问位置一致时,得到直接安全性验证结果为通过;
当不存在历史用户访问位置与当前用户访问位置一致时,进一步向该用户的上级用户进行访问位置确认,当访问位置确认通过后,得到直接安全性验证结果为通过;当方位位置确认不通过时,得到直接安全性验证结果为不通过。
当用户的访问位置与一贯的访问位置发生改变时,则判断该用户存在账户被盗用的风险,则进一步对该用户的访问位置进行上级用户(系统管理者,同部门管理者)的确认,当确认后通过用户安全验证。
优选的,步骤S2中,对当前用户访问信息的直接安全性进行验证,包括:
根据用户的当前访问位置和访问时间与系统预设的标准访问位置和标准方位时间进行比对,当用户的访问位置和访问时间在系统预设的标准访问位置和标准方位时间范围内时,则得到直接安全性验证结果为通过。
数据库系统针对安全验证能够设置为用户(如员工、内部管理者用户)设置指定的访问位置和访问时间,当超出位置和超出时间后,则判断用户安全验证不通过。
优选的,步骤S2中,对当前用户访问信息的间接安全性进行验证,包括:
根据用户身份信息,从用户管理表中获取该用户的同族用户,并获取该同族用户的历史访问信息;
将当前用户访问信息与同族用户的历史访问位置进行比对,当存在同族用户历史访问位置与当前用户访问位置一致时,得到直接安全性验证结果为通过;当不存在同族用户历史访问位置与当前用户访问位置一致时,得到直接安全性验证结果为不通过。
针对间接安全性验证,上述实施方式,能够根据用户的同族用户(如同部门、机构的其他用户、同为管理者的其他用户)的历史访问位置作为基础进行验证,能够适应同族用户的登录习惯和横向信息对用户当前访问位置进行间接安全验证,以提高用户安全验证的鲁棒性。
优选的,步骤S2中,对当前用户访问信息的间接安全性进行验证,包括:
根据用户的上一次正常访问的访问位置和访问时间和当前访问的访问位置和访问时间计算访问位置差和访问时间差信息;
根据得到的位置差信息,从数据库中获取理论访问时间间隔;并根据得到的理论访问时间间隔与访问时间差信息进行比较,当访问时间差小于理论访问时间间隔时,得到间接安全性验证结果为不通过。
同时,用户也能够根据自身的历史访问信息进行纵向的访问位置和访问时间安全验证,能够根据两次登录之间的位置差,从行程数据库(如导航系统、旅游出行系统等)或者其他数据库中匹配相应的理论登录时间间隔,根据时间间隔来判断当前登录位置和时间的合理性,能够针对用户在登录过程中被盗用者恶意踢下线的情况进行准确判断,立即对该用户的操作等级进行降级,从而避免盗用者对数据库权限数据的破坏和盗取,提高数据库安全防护的性能。
基于大数据分析技术,结合行程数据系统进行理论访问时间间隔的计算,能够在准确检测异常情况发生的时候,最大程度的避免了实际应用场景中的误判情况,进一步提高了数据库安全防护的智能化水平。
优选的,步骤S2中,对当前用户访问信息的间接安全性进行验证,包括:
根据用户的上一次正常访问的访问位置和访问时间和当前访问的访问位置和访问时间计算访问位置差D(t)和访问时间差信息T(t);
其中D(t)=s(i)-s(i-1);T(t)=ti-ti-1;其中s(i)-s(i-1)表示当前访问位置和上一次访问位置之间的距离;ti-ti-1表示当前访问时间ti和上一次访问时间ti-1的时间间隔;
根据当前访问时间ti,从行程数据库匹配与当前时间对应的出行方式,并根据当前出行方式获取对应的理论时间间隔其中tard表示根据上一次访问时间,从行程数据库检索得到的上一次访问位置至当前访问位置所需要的到达时间(例如上一次访问时间加上导航系统显示的路程时间,或者根据长途交通工具(如飞机、船)等显示的最近一班到达时间),ti表示当前访问时间,txc表示设置的标准误差,D(t)表示访问位置差,Ds表示设定的位置误差修正因子;
根据计算得到的理论时间间隔Td与访问时间差信息T(t)进行比较,当T(t)<Td,得到间接安全性验证结果为不通过。
针对用户被盗用的情况下,通常盗用者的访问位置和被盗用者习惯的访问位置存在一定偏差,利用这一特点,利用大数据分析技术对访问者的访问信息进行分析,根据两次访问记录的位置差匹配相应的最小访问时间间隔,并根据该间隔与访问时间差进行匹配,能够准确发现账号被盗用的情况,其中,进一步设置了标准误差对理论时间间隔进行修正,提高了理论时间间隔的准确性和适应性。同时针对理论时间间隔的设置,也有助于适应因用户本人差旅过程中导致的异地访问情况,基于用户的访问行为来对用户访问的安全性进行验证,提高数据库安全验证的适应性和可靠性。
优选的,步骤S3包括:
当安全验证结果为通过时,则赋予用户得到对应预设的操作权限;
当安全验证结果为不通过时,则赋予用户得到与对应预设的操作权限降级的操作权限。
当用户的安全验证结果位通过,则获取与该用户对应的操作权限,并对赋予该用户对应的操作权限(如内部管理员权限)。但是,当安全验证结果不通过时,则根据该用户的操作权限进行降级,赋予该用户降级后的操作权限(如访客权限)。
优选的,该方法还包括:
S4对用户的操作权限进行管理,包括管理用户身份信息和设置用户操作权限;其中操作权限包括针对系统内不同数据等级的数据的操作权限,其中操作权限包括访问、添加、修改、复制、转发等;数据等级包括公开、内部公开、内部保密和机密等。
针对不同的应用场景,能够对应设置不同的操作权限,例如针对企业的数据库,则可以根据不同的部门对不同的文件内容设置不同的操作权限,以满足企业内部数据运行和管理的需求。
参见图4,本发明实施例还提出一种基于大数据分析技术的数据安全防护系统,包括:
访问模块,用于获取用户访问信息,其中用户访问信息包括用户身份信息、访问位置和访问时间;
安全验证模块,用于根据获取的用户访问信息进行安全验证,得到安全验证结果;
操作权限模块,用于根据得到的安全验证结果获取用户操作权限,以使得用户在其操作权限下对系统中的数据进行操作。
优选的,该系统还包括管理模块,用于管理用户身份信息和设置用户操作权限;其中操作权限包括针对系统内不同数据等级的数据的操作权限,其中操作权限包括访问、添加、修改、复制、转发等;数据等级包括公开、内部公开、内部保密和机密等。
其中,需要说明的是,本发明上述实施方式提出的数据安全防护系统,对应的功能模块还用于实现如图1所示的数据安全防护方法中对应步骤的各中实施方式,本发明在此不重复叙述。
本发明上述实施方式,提出一种针对数据库访问的安全防护方法和系统,首先针对用户访问信息进行获取,并根据用户的访问信息进行直接安全性分析和间接安全性分析,得到安全分析结果,当安全分析通过后,再赋予用户对应的操作权限对数据库系统进行操作,能够有效提高数据安全防护的安全性和可靠性。
需要说明的是,在本发明各个实施例中的各功能单元/模块可以集成在一个处理单元/模块中,也可以是各个单元/模块单独物理存在,也可以是两个或两个以上单元/模块集成在一个单元/模块中。上述集成的单元/模块既可以采用硬件的形式实现,也可以采用软件功能单元/模块的形式实现。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解应当理解,可以以硬件、软件、固件、中间件、代码或其任何恰当组合来实现这里描述的实施例。对于硬件实现,处理器可以在一个或多个下列单元中实现:专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、设计用于实现这里所描述功能的其他电子单元或其组合。对于软件实现,实施例的部分或全部流程可以通过计算机程序来指令相关的硬件来完成。实现时,可以将上述程序存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。计算机可读介质可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当分析,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。