CN117061211A - 一种基于网络安全管理的数据处理方法及系统 - Google Patents
一种基于网络安全管理的数据处理方法及系统 Download PDFInfo
- Publication number
- CN117061211A CN117061211A CN202311120701.4A CN202311120701A CN117061211A CN 117061211 A CN117061211 A CN 117061211A CN 202311120701 A CN202311120701 A CN 202311120701A CN 117061211 A CN117061211 A CN 117061211A
- Authority
- CN
- China
- Prior art keywords
- access
- frequency
- equipment
- record
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 14
- 230000005856 abnormality Effects 0.000 claims abstract description 232
- 230000002159 abnormal effect Effects 0.000 claims abstract description 66
- 238000000034 method Methods 0.000 claims abstract description 25
- 238000013507 mapping Methods 0.000 claims abstract description 19
- 238000012545 processing Methods 0.000 claims abstract description 15
- 238000004458 analytical method Methods 0.000 claims description 24
- 238000012549 training Methods 0.000 claims description 21
- 238000004364 calculation method Methods 0.000 claims description 20
- 238000013528 artificial neural network Methods 0.000 claims description 8
- 238000010801 machine learning Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 abstract description 9
- 230000035945 sensitivity Effects 0.000 abstract description 8
- 230000000694 effects Effects 0.000 abstract description 5
- 230000006399 behavior Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0499—Feedforward networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/09—Supervised learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Molecular Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Alarm Systems (AREA)
Abstract
本发明公开了一种基于网络安全管理的数据处理方法及系统,涉及数据处理技术领域,该方法包括:采集目标用户的访问时间、访问设备、访问地址,计算预设时间范围内的访问频率;判断访问设备和访问地址是否存在于访问备案数据库内,若否,则生成第一危险指令,阻止访问并报警,若是,则分析获得时间异常程度和频率异常程度、设备频率异常程度和地址频率异常程度;按照预设判断规则,分别进行异常程度判断,在出现危险时,映射获取危险等级和异常事件描述信息进行报警。本发明解决了现有技术中由于异常访问行为监控的灵敏度低,影响网络数据安全的技术问题,达到了通过提高异常访问行为监控的灵敏度,提高网络数据的安全性的技术效果。
Description
技术领域
本发明涉及数据处理技术领域,具体涉及一种基于网络安全管理的数据处理方法及系统。
背景技术
信息技术的发展带动企业信息化,将企业的生产过程、事务处理等业务信息数字化,存储至互联网云平台中,以方便信息提取和使用,创造更大的价值。但在保证企业网络安全与稳定的过程中,还存在对异常访问行为的识别和监控不够灵敏,导致的数据泄露等网络信息安全问题。
发明内容
本申请提供了一种基于网络安全管理的数据处理方法及系统,用于解决现有技术中由于异常访问行为监控的灵敏度低,影响网络数据安全的技术问题。
本申请的第一个方面,提供了一种基于网络安全管理的数据处理方法,所述方法包括:采集访问目标站点的目标用户的访问时间、访问设备、访问地址,并根据所述访问时间以及预设时间范围内目标用户的访问数据,计算获得访问频率;判断所述访问设备和访问地址是否存在于访问备案数据库内,若否,则生成第一危险指令,阻止目标用户的访问并进行报警,若是,则根据所述访问设备、访问地址,计算设备访问频率和地址访问频率;根据访问备案数据库内目标用户的访问数据记录,对访问时间和访问频率进行异常分析,获得时间异常程度和频率异常程度;根据访问备案数据库内目标用户的访问数据记录,对设备访问频率和地址访问频率进行异常分析,获得设备频率异常程度和地址频率异常程度;按照预设判断规则,对时间异常程度、频率异常程度、设备频率异常程度和地址频率异常程度分别进行判断,在出现危险时,映射获取危险等级和异常事件描述信息;根据所述危险等级进行报警,并采用所述异常事件描述信息进行展示。
本申请的第二个方面,提供了一种基于网络安全管理的数据处理系统,所述系统包括:访问频率计算模块,所述访问频率计算模块用于采集访问目标站点的目标用户的访问时间、访问设备、访问地址,并根据所述访问时间以及预设时间范围内目标用户的访问数据,计算获得访问频率;访问设备地址审核模块,所述访问设备地址审核模块用于判断所述访问设备和访问地址是否存在于访问备案数据库内,若否,则生成第一危险指令,阻止目标用户的访问并进行报警,若是,则根据所述访问设备、访问地址,计算设备访问频率和地址访问频率;第一异常分析模块,所述第一异常分析模块用于根据访问备案数据库内目标用户的访问数据记录,对访问时间和访问频率进行异常分析,获得时间异常程度和频率异常程度;第二异常分析模块,所述第二异常分析模块用于根据访问备案数据库内目标用户的访问数据记录,对设备访问频率和地址访问频率进行异常分析,获得设备频率异常程度和地址频率异常程度;异常程度判断模块,所述异常程度判断模块用于按照预设判断规则,对时间异常程度、频率异常程度、设备频率异常程度和地址频率异常程度分别进行判断,在出现危险时,映射获取危险等级和异常事件描述信息;危险报警模块,所述危险报警模块用于根据所述危险等级进行报警,并采用所述异常事件描述信息进行展示。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
本申请提供的一种基于网络安全管理的数据处理方法,涉及数据处理技术领域,通过采集目标用户的访问时间、访问设备、访问地址,计算预设时间范围内的访问频率,判断访问设备和访问地址是否存在于访问备案数据库内,若否,则阻止访问并报警,若是,则分析获得时间异常程度和频率异常程度、设备频率异常程度和地址频率异常程度,并按照预设判断规则分别进行异常程度判断,在出现危险时,映射获取危险等级和异常事件描述信息进行报警,解决了现有技术中由于异常访问行为监控的灵敏度低,影响网络数据安全的技术问题,实现了通过提高异常访问行为监控的灵敏度,防止网络数据泄露或丢失,提高网络数据的安全性的技术效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于网络安全管理的数据处理方法流程示意图;
图2为本申请实施例提供的一种基于网络安全管理的数据处理方法中获得所述设备频率异常程度和地址频率异常程度的流程示意图;
图3为本申请实施例提供的一种基于网络安全管理的数据处理方法中获得危险等级和异常事件描述信息的流程示意图;
图4为本申请实施例提供的一种基于网络安全管理的数据处理系统结构示意图。
附图标记说明:访问频率计算模块11,访问设备地址审核模块12,第一异常分析模块13,第二异常分析模块14,异常程度判断模块15,危险报警模块16。
具体实施方式
本申请提供了一种基于网络安全管理的数据处理方法,用于解决现有技术中由于异常访问行为监控的灵敏度低,影响网络数据安全的技术问题。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。
实施例一
如图1所示,本申请提供了一种基于网络安全管理的数据处理方法,所述方法包括:
P10:采集访问目标站点的目标用户的访问时间、访问设备、访问地址,并根据所述访问时间以及预设时间范围内目标用户的访问数据,计算获得访问频率;
进一步的,本申请实施例步骤P10还包括:
P11:采集当前目标用户访问目标站点的访问时间、访问设备、访问地址;
P12:采集预设时间范围内,目标用户访问所述目标站点的次数,计算获得所述访问频率。
示例性地,在目标站点的网络系统内设置访问数据采集窗口,分别采集当前时间节点目标用户访问目标站点的访问时间、访问设备和访问地址,进一步的,预设一个时间范围,比如一个月、三个月等,具体时间可根据实际需求做适应性调整,然后基于所述预设时间范围,进行目标用户访问所述目标站点的访问次数统计,并由此计算目标用在单位时间内的访问频率,所述访问频率可以作为一项用户异常访问监测指标。
P20:判断所述访问设备和访问地址是否存在于访问备案数据库内,若否,则生成第一危险指令,阻止目标用户的访问并进行报警,若是,则根据所述访问设备、访问地址,计算设备访问频率和地址访问频率;
可选的,在用户访问目标网站的第一时间,需要先对目标用户访问设备和访问地址进行审核,通过将所述访问设备和访问地址与访问备案数据库中的信任设备和信任地址进行匹配对比,来判断所述访问设备和访问地址是否安全,所述访问备案数据库中包含预先授予过权限的设备、地址、用户名等已备案数据,若当前目标用户的所述访问设备和访问地址不属于已备案设备和地址,说明存在数据盗用风险,则生成第一危险指令,阻止目标用户进行访问并进行报警。另一方面,若所述访问设备和访问地址存在于访问备案数据库内,则根据所述访问设备、访问地址,提取一段时间内的访问记录,计算设备访问频率和地址访问频率,以便进一步进行用户访问频率安全验证。
进一步的,本申请实施例步骤P20还包括:
P21:根据目标站点内多个用户的访问数据记录,调取目标用户历史时间内的访问数据记录,获得历史访问时间记录、历史访问设备记录和历史访问地址记录;
P22:根据多个用户的访问数据记录,构建访问备案数据库,所述访问备案数据库内包括目标用户的目标数据库;
P23:判断所述访问设备和访问地址是否存在所述目标数据库内,若否,则生成第一危险指令;
P24:若是,则根据所述预设时间范围内目标用户通过访问设备和访问地址访问的次数,计算获得设备访问频率和地址访问频率。
应当理解的是,从目标站点内多个用户的访问数据记录中,调取目标用户在历史时间内(过去三个月、半年等,具体时间可根据实际情况做适应性调整)的访问数据记录,获得目标用户的历史访问时间记录、历史访问设备记录和历史访问地址记录,进一步的,使用多个用户的访问数据记录作为基础数据,构建访问备案数据库,所述访问备案数据库内包括目标用户的目标数据库。
进一步的,将所述访问设备和访问地址与所述目标数据库中的历史访问设备和历史访问地址进行匹配,判断所述访问设备和访问地址是否存在所述目标数据库内,若不在,则生成第一危险指令,进行访问禁止或预警,若在,则统计所述预设时间范围内目标用户通过当前的访问设备和访问地址访问的次数,并计算当前设备的访问频率和当前地址的访问频率。
P30:根据访问备案数据库内目标用户的访问数据记录,对访问时间和访问频率进行异常分析,获得时间异常程度和频率异常程度;
可选的,根据访问备案数据库内目标用户的访问数据记录,提取目标用户之前的访问时间、访问频率数据和异常访问数据,并与目标用户当前的访问时间和访问频率进行对比分析,判断目标用户当前的访问异常程度,包括时间异常程度和频率异常程度,可以反映目标用户的访问时间异常和访问频率异常。
进一步的,本申请实施例步骤P30还包括:
P31:根据所述目标数据库,调取计算目标用户在多个预设时间范围内的平均访问频率以及集中访问时段;
P32:根据所述目标数据库,调取目标用户的样本访问时间记录和样本访问频率记录,结合所述平均访问频率以及集中访问时段,计算获得样本时间异常程度集合和样本频率异常程度集合;
P33:基于机器学习构建时间异常分类器和频率异常分类器,并采用样本访问时间记录、样本访问频率记录、样本时间异常程度集合和样本频率异常程度集合进行训练,直到收敛;
P34:将所述访问时间和访问频率分别输入时间异常分类器和频率异常分类器,获得所述时间异常程度和频率异常程度。
其中,通过从所述目标数据库中,基于多个预设时间范围调取目标用户的访问记录,计算目标用户在多个预设时间范围内的平均访问频率以及集中访问时段,进一步的,从所述目标数据库中,调取目标用户的样本访问时间记录和样本访问频率记录,结合所述平均访问频率以及集中访问时段,分别计算目标用户的多个样本访问时间记录与集中访问时段的差值,并根据差值大小生成相应的样本时间异常指数,由此组成样本时间异常程度集合,同理,通过计算目标用户的多个样本访问频率记录与所述平均访问频率的差值,获得样本频率异常程度集合。
进一步的,基于机器学习构建时间异常分类器和频率异常分类器的框架,所述机器学习是一种让计算机通过数据自动学习的技术,可以让计算机从数据中自动学习规律和模式,并根据这些规律和模式进行预测和决策。采用样本访问时间记录、样本访问频率记录、样本时间异常程度集合和样本频率异常程度集合作为训练数据,对所述时间异常分类器和频率异常分类器进行训练、验证和测试,直到分类器的输出结果达到收敛并满足预设的准确率要求,得到所述时间异常分类器和频率异常分类器。
进一步的,分别将所述访问时间和访问频率输入所述时间异常分类器和频率异常分类器,由所述时间异常分类器和频率异常分类器进行当前目标用户的访问时间和访问频率异常识别,获得所述时间异常程度和频率异常程度,作为异常访问判别的基础数据。
P40:根据访问备案数据库内目标用户的访问数据记录,对设备访问频率和地址访问频率进行异常分析,获得设备频率异常程度和地址频率异常程度;
应当理解的是,根据访问备案数据库内目标用户的访问数据记录,提取目标用户之前使用当前设备和IP地址访问目标站点的数据,计算过去一段时间该设备和IP地址的访问频率及异常访问数据,并与当前时段的设备访问频率和地址访问频率进行对比,判断当前时段该设备和地址的访问频率异常程度,获得设备频率异常程度和地址频率异常程度,可以更精细地反映当前设备和地址的异常情况。
进一步的,如图2所示,本申请实施例步骤P40还包括:
P41:根据所述目标数据库,统计计算获得样本设备访问频率记录和样本设备频率异常程度集合;
P42:采用所述样本设备访问频率记录和样本设备频率异常程度集合,训练设备频率异常分类器;
P43:根据所述目标数据库,统计计算获得样本地址访问频率记录和样本地址频率异常程度集合;
P44:采用所述样本地址访问频率记录和样本地址频率异常程度集合,训练地址频率异常分类器;
P45:将所述设备访问频率和地址访问频率分别输入设备频率异常分类器和地址频率异常分类器,获得所述设备频率异常程度和地址频率异常程度。
可选的,通过目标用户的所述目标数据库,统计样本设备访问频率记录,并通过对比单个时间段内的设备访问频率与总时间内的设备访问频率,计算单个时间段内的设备访问频率的异常程度,组成样本设备频率异常程度集合。进一步的,使用所述样本设备访问频率记录和样本设备频率异常程度集合作为训练数据,结合神经网络架构进行有监督训练,得到设备频率异常分类器。
以此类推,根据所述目标数据库,统计计算获得样本地址访问频率记录和样本地址频率异常程度集合,并采用所述样本地址访问频率记录和样本地址频率异常程度集合作为训练数据,结合神经网络架构进行有监督训练,得到地址频率异常分类器。进一步的,将所述设备访问频率和地址访问频率分别输入所述设备频率异常分类器和地址频率异常分类器中,进行访问频率异常程度识别,获得所述设备频率异常程度和地址频率异常程度。
进一步的,本申请实施例步骤P42还包括:
P42-1:根据所述目标数据库,调取目标用户通过所述访问设备访问目标站点的样本设备访问时间记录,并计算获得样本设备访问频率记录;
P42-2:根据所述样本设备访问时间记录和样本设备访问频率记录,计算获得设备平均访问频率;
P42-3:基于所述样本设备访问频率记录和设备平均访问频率,计算获取样本设备频率异常程度集合;
P42-4:采用所述样本设备访问频率记录和样本设备频率异常程度集合作为训练数据,基于前馈神经网络,构建设备频率异常分类器,并进行训练至收敛。
在本申请一种可能的实施例中,通过所述目标数据库,调取目标用户通过所述访问设备访问目标站点的样本设备访问时间记录,分别计算各个时间段内的样本设备访问频率,例如分别计算3月、4月、5月的访问频率,获得样本设备访问频率记录,然后根据所述样本设备访问时间记录和样本设备访问频率记录,计算获得设备平均访问频率,例如当前设备平均每个月的访问频率。
进一步的,基于所述样本设备访问频率记录和设备平均访问频率进行异常访问频率计算,分别计算所述样本设备在每个时间段的访问频率与平均访问频率的差值,并基于频率差值大小设定相应的异常系数,示例性的,频率差值越大,设定的异常系数越大,由此获得多个异常系数,组成样本设备频率异常程度集合。
进一步的,所述样本设备访问频率记录和样本设备频率异常程度集合作为训练数据,结合前馈神经网络,构建设备频率异常分类器,所述前馈神经网络是人工神经网络的一种,通过简单非线性处理单元的复合映射,可获得复杂的非线性处理能力。使用所述样本设备访问频率记录和样本设备频率异常程度集合对所述设备频率异常分类器进行有监督训练,直至所述设备频率异常分类器的输出结果达到收敛并满足预设的准确度要求,完成所述设备频率异常分类器的训练。
P50:按照预设判断规则,对时间异常程度、频率异常程度、设备频率异常程度和地址频率异常程度分别进行判断,在出现危险时,映射获取危险等级和异常事件描述信息;
进一步的,如图3所示,本申请实施例步骤P50还包括:
P51:根据访问备案数据库,处理获取样本时间异常程度记录、样本频率异常程度记录、样本设备频率异常程度记录和样本地址频率异常程度记录,并对样本设备频率异常程度记录和样本地址频率异常程度记录加权计算,获得样本来源异常程度记录;
P52:划分获取多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间,并评估获取多个样本危险等级,分别构建多个时间异常程度区间、多个频率异常程度区间、多个来源异常程度区间与多个样本危险等级的映射关系;
P53:对多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间进行随机组合,并设置多个异常事件描述信息,并构建映射关系;
P54:对所述设备频率异常程度和地址频率异常程度进行加权计算,获得来源异常程度,结合时间异常程度和频率异常程度进行映射匹配,获得危险等级和异常事件描述信息。
其中,通过访问备案数据库中的访问数据记录,处理获取样本时间异常程度记录、样本频率异常程度记录、样本设备频率异常程度记录和样本地址频率异常程度记录,进一步的,根据访问设备和访问地址对数据访问安全的重要性程度,为样本设备频率异常程度记录和样本地址频率异常程度记录分配相应的权重系数,例如4:6,根据权重系数,对样本设备频率异常程度记录和样本地址频率异常程度记录加权计算,获得样本来源异常程度记录。
进一步的,分别根据多个访问异常程度,划分获取多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间,并分别根据异常程度区间范围评估获取多个样本危险等级,进一步的,分别构建多个时间异常程度区间、多个频率异常程度区间、多个来源异常程度区间与多个样本危险等级的映射关系,也就是多个时间异常程度区间、多个频率异常程度区间、多个来源异常程度区间与多个样本危险等级的一一对应关系。
进一步的,将所述多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间进行随机组合,获得多个时间-频率-来源异常程度区间组合,基于此设置多个异常事件描述信息,所述异常事件描述信息就是对访问异常情况的描述,例如目标用户在凌晨3点通过未备案的设备和地址访问了目标站点,构建时间-频率-来源异常程度区间组合与所述异常事件描述信息的映射关系,以方便进行异常事件匹配。
进一步的,对当前的所述设备频率异常程度和地址频率异常程度进行加权计算,获得当前的来源异常程度,结合当前的时间异常程度和频率异常程度,与所述多个时间-频率-来源异常程度区间组合进行匹配,获得相应的危险等级和异常事件描述信息,可以反映当前目标用户访问行为的危险等级和异常情况。
P60:根据所述危险等级进行报警,并采用所述异常事件描述信息进行展示。
具体的,根据所述危险等级判断是否需要进行报警,若需要,则采用所述危险等级对应的异常事件描述信息进行事件描述和展示,拟定报警指令,反馈至相关人员,以达到对网站访问行为进行安全监管,提高网络站点数据安全的目的。
综上所述,本申请实施例至少具有如下技术效果:
本申请通过采集目标用户的访问时间、访问设备、访问地址,计算预设时间范围内的访问频率,判断访问设备和访问地址是否存在于访问备案数据库内,若否,则阻止访问并报警,若是,则分析获得时间异常程度和频率异常程度、设备频率异常程度和地址频率异常程度,并按照预设判断规则分别进行异常程度判断,在出现危险时,映射获取危险等级和异常事件描述信息进行报警。
达到了通过提高异常访问行为监控的灵敏度,防止网络数据泄露或丢失,提高网络数据的安全性的技术效果。
实施例二
基于与前述实施例中一种基于网络安全管理的数据处理方法相同的发明构思,如图4所示,本申请提供了一种基于网络安全管理的数据处理系统,本申请实施例中的系统与方法实施例基于同样的发明构思。其中,所述系统包括:
访问频率计算模块11,所述访问频率计算模块11用于采集访问目标站点的目标用户的访问时间、访问设备、访问地址,并根据所述访问时间以及预设时间范围内目标用户的访问数据,计算获得访问频率;
访问设备地址审核模块12,所述访问设备地址审核模块12用于判断所述访问设备和访问地址是否存在于访问备案数据库内,若否,则生成第一危险指令,阻止目标用户的访问并进行报警,若是,则根据所述访问设备、访问地址,计算设备访问频率和地址访问频率;
第一异常分析模块13,所述第一异常分析模块13用于根据访问备案数据库内目标用户的访问数据记录,对访问时间和访问频率进行异常分析,获得时间异常程度和频率异常程度;
第二异常分析模块14,所述第二异常分析模块14用于根据访问备案数据库内目标用户的访问数据记录,对设备访问频率和地址访问频率进行异常分析,获得设备频率异常程度和地址频率异常程度;
异常程度判断模块15,所述异常程度判断模块15用于按照预设判断规则,对时间异常程度、频率异常程度、设备频率异常程度和地址频率异常程度分别进行判断,在出现危险时,映射获取危险等级和异常事件描述信息;
危险报警模块16,所述危险报警模块16用于根据所述危险等级进行报警,并采用所述异常事件描述信息进行展示。
进一步的,所述访问频率计算模块11还用于执行以下步骤:
采集当前目标用户访问目标站点的访问时间、访问设备、访问地址;
采集预设时间范围内,目标用户访问所述目标站点的次数,计算获得所述访问频率。
进一步的,所述访问设备地址审核模块12还用于执行以下步骤:
根据目标站点内多个用户的访问数据记录,调取目标用户历史时间内的访问数据记录,获得历史访问时间记录、历史访问设备记录和历史访问地址记录;
根据多个用户的访问数据记录,构建访问备案数据库,所述访问备案数据库内包括目标用户的目标数据库;
判断所述访问设备和访问地址是否存在所述目标数据库内,若否,则生成第一危险指令;
若是,则根据所述预设时间范围内目标用户通过访问设备和访问地址访问的次数,计算获得设备访问频率和地址访问频率。
进一步的,所述第一异常分析模块13还用于执行以下步骤:
根据所述目标数据库,调取计算目标用户在多个预设时间范围内的平均访问频率以及集中访问时段;
根据所述目标数据库,调取目标用户的样本访问时间记录和样本访问频率记录,结合所述平均访问频率以及集中访问时段,计算获得样本时间异常程度集合和样本频率异常程度集合;
基于机器学习构建时间异常分类器和频率异常分类器,并采用样本访问时间记录、样本访问频率记录、样本时间异常程度集合和样本频率异常程度集合进行训练,直到收敛;
将所述访问时间和访问频率分别输入时间异常分类器和频率异常分类器,获得所述时间异常程度和频率异常程度。
进一步的,所述第二异常分析模块14还用于执行以下步骤:
根据所述目标数据库,统计计算获得样本设备访问频率记录和样本设备频率异常程度集合;
采用所述样本设备访问频率记录和样本设备频率异常程度集合,训练设备频率异常分类器;
根据所述目标数据库,统计计算获得样本地址访问频率记录和样本地址频率异常程度集合;
采用所述样本地址访问频率记录和样本地址频率异常程度集合,训练地址频率异常分类器;
将所述设备访问频率和地址访问频率分别输入设备频率异常分类器和地址频率异常分类器,获得所述设备频率异常程度和地址频率异常程度。
进一步的,所述第二异常分析模块14还用于执行以下步骤:
根据所述目标数据库,调取目标用户通过所述访问设备访问目标站点的样本设备访问时间记录,并计算获得样本设备访问频率记录;
根据所述样本设备访问时间记录和样本设备访问频率记录,计算获得设备平均访问频率;
基于所述样本设备访问频率记录和设备平均访问频率,计算获取样本设备频率异常程度集合;
采用所述样本设备访问频率记录和样本设备频率异常程度集合作为训练数据,基于前馈神经网络,构建设备频率异常分类器,并进行训练至收敛。
进一步的,所述异常程度判断模块15还用于执行以下步骤:
根据访问备案数据库,处理获取样本时间异常程度记录、样本频率异常程度记录、样本设备频率异常程度记录和样本地址频率异常程度记录,并对样本设备频率异常程度记录和样本地址频率异常程度记录加权计算,获得样本来源异常程度记录;
划分获取多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间,并评估获取多个样本危险等级,分别构建多个时间异常程度区间、多个频率异常程度区间、多个来源异常程度区间与多个样本危险等级的映射关系;
对多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间进行随机组合,并设置多个异常事件描述信息,并构建映射关系;
对所述设备频率异常程度和地址频率异常程度进行加权计算,获得来源异常程度,结合时间异常程度和频率异常程度进行映射匹配,获得危险等级和异常事件描述信息。
需要说明的是,上述本申请实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
本说明书和附图仅仅是本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。
Claims (8)
1.一种基于网络安全管理的数据处理方法,其特征在于,所述方法包括:
采集访问目标站点的目标用户的访问时间、访问设备、访问地址,并根据所述访问时间以及预设时间范围内目标用户的访问数据,计算获得访问频率;
判断所述访问设备和访问地址是否存在于访问备案数据库内,若否,则生成第一危险指令,阻止目标用户的访问并进行报警,若是,则根据所述访问设备、访问地址,计算设备访问频率和地址访问频率;
根据访问备案数据库内目标用户的访问数据记录,对访问时间和访问频率进行异常分析,获得时间异常程度和频率异常程度;
根据访问备案数据库内目标用户的访问数据记录,对设备访问频率和地址访问频率进行异常分析,获得设备频率异常程度和地址频率异常程度;
按照预设判断规则,对时间异常程度、频率异常程度、设备频率异常程度和地址频率异常程度分别进行判断,在出现危险时,映射获取危险等级和异常事件描述信息;
根据所述危险等级进行报警,并采用所述异常事件描述信息进行展示。
2.根据权利要求1所述的方法,其特征在于,所述方法包括:
采集当前目标用户访问目标站点的访问时间、访问设备、访问地址;
采集预设时间范围内,目标用户访问所述目标站点的次数,计算获得所述访问频率。
3.根据权利要求1所述的方法,其特征在于,所述方法包括:
根据目标站点内多个用户的访问数据记录,调取目标用户历史时间内的访问数据记录,获得历史访问时间记录、历史访问设备记录和历史访问地址记录;
根据多个用户的访问数据记录,构建访问备案数据库,所述访问备案数据库内包括目标用户的目标数据库;
判断所述访问设备和访问地址是否存在所述目标数据库内,若否,则生成第一危险指令;
若是,则根据所述预设时间范围内目标用户通过访问设备和访问地址访问的次数,计算获得设备访问频率和地址访问频率。
4.根据权利要求3所述的方法,其特征在于,所述方法包括:
根据所述目标数据库,调取计算目标用户在多个预设时间范围内的平均访问频率以及集中访问时段;
根据所述目标数据库,调取目标用户的样本访问时间记录和样本访问频率记录,结合所述平均访问频率以及集中访问时段,计算获得样本时间异常程度集合和样本频率异常程度集合;
基于机器学习构建时间异常分类器和频率异常分类器,并采用样本访问时间记录、样本访问频率记录、样本时间异常程度集合和样本频率异常程度集合进行训练,直到收敛;
将所述访问时间和访问频率分别输入时间异常分类器和频率异常分类器,获得所述时间异常程度和频率异常程度。
5.根据权利要求4所述的方法,其特征在于,所述方法包括:
根据所述目标数据库,统计计算获得样本设备访问频率记录和样本设备频率异常程度集合;
采用所述样本设备访问频率记录和样本设备频率异常程度集合,训练设备频率异常分类器;
根据所述目标数据库,统计计算获得样本地址访问频率记录和样本地址频率异常程度集合;
采用所述样本地址访问频率记录和样本地址频率异常程度集合,训练地址频率异常分类器;
将所述设备访问频率和地址访问频率分别输入设备频率异常分类器和地址频率异常分类器,获得所述设备频率异常程度和地址频率异常程度。
6.根据权利要求5所述的方法,其特征在于,所述方法包括:
根据所述目标数据库,调取目标用户通过所述访问设备访问目标站点的样本设备访问时间记录,并计算获得样本设备访问频率记录;
根据所述样本设备访问时间记录和样本设备访问频率记录,计算获得设备平均访问频率;
基于所述样本设备访问频率记录和设备平均访问频率,计算获取样本设备频率异常程度集合;
采用所述样本设备访问频率记录和样本设备频率异常程度集合作为训练数据,基于前馈神经网络,构建设备频率异常分类器,并进行训练至收敛。
7.根据权利要求1所述的方法,其特征在于,所述方法包括:
根据访问备案数据库,处理获取样本时间异常程度记录、样本频率异常程度记录、样本设备频率异常程度记录和样本地址频率异常程度记录,并对样本设备频率异常程度记录和样本地址频率异常程度记录加权计算,获得样本来源异常程度记录;
划分获取多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间,并评估获取多个样本危险等级,分别构建多个时间异常程度区间、多个频率异常程度区间、多个来源异常程度区间与多个样本危险等级的映射关系;
对多个时间异常程度区间、多个频率异常程度区间和多个来源异常程度区间进行随机组合,并设置多个异常事件描述信息,并构建映射关系;
对所述设备频率异常程度和地址频率异常程度进行加权计算,获得来源异常程度,结合时间异常程度和频率异常程度进行映射匹配,获得危险等级和异常事件描述信息。
8.一种基于网络安全管理的数据处理系统,其特征在于,所述系统包括:
访问频率计算模块,所述访问频率计算模块用于采集访问目标站点的目标用户的访问时间、访问设备、访问地址,并根据所述访问时间以及预设时间范围内目标用户的访问数据,计算获得访问频率;
访问设备地址审核模块,所述访问设备地址审核模块用于判断所述访问设备和访问地址是否存在于访问备案数据库内,若否,则生成第一危险指令,阻止目标用户的访问并进行报警,若是,则根据所述访问设备、访问地址,计算设备访问频率和地址访问频率;
第一异常分析模块,所述第一异常分析模块用于根据访问备案数据库内目标用户的访问数据记录,对访问时间和访问频率进行异常分析,获得时间异常程度和频率异常程度;
第二异常分析模块,所述第二异常分析模块用于根据访问备案数据库内目标用户的访问数据记录,对设备访问频率和地址访问频率进行异常分析,获得设备频率异常程度和地址频率异常程度;
异常程度判断模块,所述异常程度判断模块用于按照预设判断规则,对时间异常程度、频率异常程度、设备频率异常程度和地址频率异常程度分别进行判断,在出现危险时,映射获取危险等级和异常事件描述信息;
危险报警模块,所述危险报警模块用于根据所述危险等级进行报警,并采用所述异常事件描述信息进行展示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311120701.4A CN117061211A (zh) | 2023-09-01 | 2023-09-01 | 一种基于网络安全管理的数据处理方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311120701.4A CN117061211A (zh) | 2023-09-01 | 2023-09-01 | 一种基于网络安全管理的数据处理方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117061211A true CN117061211A (zh) | 2023-11-14 |
Family
ID=88662615
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311120701.4A Pending CN117061211A (zh) | 2023-09-01 | 2023-09-01 | 一种基于网络安全管理的数据处理方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117061211A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117854663A (zh) * | 2024-03-07 | 2024-04-09 | 泛喜健康科技有限公司 | 基于身份信息识别的患者健康数据管理系统 |
CN117854663B (zh) * | 2024-03-07 | 2024-05-31 | 泛喜健康科技有限公司 | 基于身份信息识别的患者健康数据管理系统 |
-
2023
- 2023-09-01 CN CN202311120701.4A patent/CN117061211A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117854663A (zh) * | 2024-03-07 | 2024-04-09 | 泛喜健康科技有限公司 | 基于身份信息识别的患者健康数据管理系统 |
CN117854663B (zh) * | 2024-03-07 | 2024-05-31 | 泛喜健康科技有限公司 | 基于身份信息识别的患者健康数据管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | Extended TODIM method for multi-attribute risk decision making problems in emergency response | |
Xu et al. | Risk prediction and early warning for air traffic controllers’ unsafe acts using association rule mining and random forest | |
CN110417721B (zh) | 安全风险评估方法、装置、设备及计算机可读存储介质 | |
WO2021232588A1 (zh) | 食品安全风险评估方法、装置、设备及存储介质 | |
CN111832017A (zh) | 一种面向云的数据库安全态势感知系统 | |
CN107909299A (zh) | 人伤理赔数据风险检测方法和系统 | |
US20090099884A1 (en) | Method and system for detecting fraud based on financial records | |
CN103581155A (zh) | 信息安全态势分析方法与系统 | |
CN109119137A (zh) | 一种异常检测方法、装置、服务器及存储介质 | |
CN111930726A (zh) | 基于离线表单的等级保护测评数据采集、分析方法及系统 | |
CN117216801A (zh) | 一种基于人工智能的企业财务数据安全管理系统及方法 | |
CN102521496A (zh) | 评估指标的重要性级别的获取方法和系统 | |
CN113642672A (zh) | 医保数据的特征加工方法、装置、计算机设备及存储介质 | |
CN113743783A (zh) | 一种医疗机构的信用评价方法及装置 | |
CN113612625A (zh) | 一种网络故障定位方法及装置 | |
Gizun et al. | Approaches to improve the activity of computer incident response teams | |
CN117061211A (zh) | 一种基于网络安全管理的数据处理方法及系统 | |
CN113642669B (zh) | 基于特征分析的防欺诈检测方法、装置、设备及存储介质 | |
CN110365706A (zh) | 多元化评价单位网络安全方法、装置及系统 | |
Arpishkin et al. | Intelligent integrity monitoring system for technological process data | |
Lu | Application cost of intelligent intrusion detection in medical logistics management under public cloud environment | |
Gizun et al. | Method for the Criticality Level Assessment for Crisis Situations with Parameters Fuzzification | |
Ziro et al. | Research of the Information Security Audit System in Organizations | |
Chernov et al. | Determining the Hazard Quotient of Destructive Actions of Automated Process Control Systems Information Security Violator | |
RUMBA et al. | Risk Management Information Technology Based on ISO 31000: 2018 at Institute of Philosophy and Creative Technology, Ledalero |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |