CN117473475B - 基于可信计算的大数据安全防护方法、系统和介质 - Google Patents

基于可信计算的大数据安全防护方法、系统和介质 Download PDF

Info

Publication number
CN117473475B
CN117473475B CN202311440906.0A CN202311440906A CN117473475B CN 117473475 B CN117473475 B CN 117473475B CN 202311440906 A CN202311440906 A CN 202311440906A CN 117473475 B CN117473475 B CN 117473475B
Authority
CN
China
Prior art keywords
application
data
user
authentication
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311440906.0A
Other languages
English (en)
Other versions
CN117473475A (zh
Inventor
席利宝
霍星宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baolian Star Technology Co ltd
Original Assignee
Beijing Baolian Star Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baolian Star Technology Co ltd filed Critical Beijing Baolian Star Technology Co ltd
Priority to CN202311440906.0A priority Critical patent/CN117473475B/zh
Publication of CN117473475A publication Critical patent/CN117473475A/zh
Application granted granted Critical
Publication of CN117473475B publication Critical patent/CN117473475B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了基于可信计算的大数据安全防护方法、系统和介质。该方法包括:根据系统的应用属性特征数据、动态执行监测数据和环境动态监测数据,结合预访应用用户的用户鉴权特征信息和预访应用行为申报数据以及历史应用行为鉴权数据通过应用系统模型处理获得用户应用申请鉴权指数和系统执行稳态可信度指数以及应用行为授权可信度指数,再结合应用行为申报历史合规数据处理获得的用户应用行为鉴别系数和用户应用申请鉴权指数进行处理获得访问应用可信检定数据判断预访应用用户的应用行为可信度结果;从而通过大数据的处理对访问用户结合用户对应用系统的访问申报进行可信鉴权评估,实现对应用系统的安全可信度评估。

Description

基于可信计算的大数据安全防护方法、系统和介质
技术领域
本申请涉及大数据及安全防护领域,具体而言,涉及基于可信计算的大数据安全防护方法、系统和介质。
背景技术
大数据应用系统由于数据量大、系统复杂、关联系统硬件资源多,造成安全防护存在困难性和复杂性,且由于大数据应用系统的安全运行还受到运行环境的影响以及差异性访问用户的潜藏侵袭和干扰,导致对各类系统应用访问的用户实时行为的潜在风险和系统环境对系统安全的干扰型难以进行有效检测,而对这些动态信息和行为的掌握变得愈发重要和难度。
目前传统的安防手段都是依靠监测和查杀的被动手段,而无法根据系统的实时运行状况结合环境要因以及访问用户的个性化的采集信息对大数据应用系统的安全防护进行综合预判,且不具备对采集的信息大数据通过可信度识别处理手段实现对大数据应用系统的安全防护的实施,目前上述应用技术存在空缺。
针对上述问题,目前亟待有效的技术解决方案。
发明内容
本申请实施例的目的在于提供基于可信计算的大数据安全防护方法、系统和介质,可以通过大数据的处理对访问用户结合用户对大数据应用系统的访问申报进行可信鉴权评估,获得对系统运行要素的安全可信度评估从而实现对大数据应用系统的安全防护。
本申请实施例还提供了基于可信计算的大数据安全防护方法,包括以下步骤:
获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果;
根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数;
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数;
根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果。
可选地,在本申请实施例所述的基于可信计算的大数据安全防护方法中,所述获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据,包括:
获取预访大数据应用系统的系统应用属性特征数据,包括应用功能扩展性指标数据、系统配置性能指标数据和系统安全防护指标数据;
获取所述预访大数据应用系统的系统动态监测信息,并提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
所述系统动态执行监测数据包括防火查杀成效数据、运行负载效率数据和系统故障率数据;
所述系统环境动态监测数据包括硬件运行效率数据、侵袭干扰活跃度数据和系统链路风险值级数据。
可选地,在本申请实施例所述的基于可信计算的大数据安全防护方法中,所述获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数,包括:
获取预访应用用户的用户鉴权特征信息,包括身份标识数据、访问预授权级别以及授权应用域数据;
采集所述预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,所述历史应用行为鉴权数据包括历史应用超限标记数据和历史异常行为告警记载数据;
根据所述预访应用用户的用户鉴权特征信息和所述历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,分别获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数集合为用户应用申请鉴权标记数据。
可选地,在本申请实施例所述的基于可信计算的大数据安全防护方法中,所述根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果,包括:
根据所述用户应用授权数据和用户信用鉴权指数进行处理获得用户应用申请鉴权指数;
根据所述用户应用申请鉴权指数与所述预访大数据应用系统类别对应的预设用户应用申报鉴权阈值进行对比;
根据阈值对比结果判断所述预访应用用户的应用申报授权结果;
所述用户应用申请鉴权指数的计算公式为:
其中,dT为用户应用申请鉴权指数,Ra为用户应用授权数据,gy为用户信用鉴权指数,π、ψ为预设特征系数。
可选地,在本申请实施例所述的基于可信计算的大数据安全防护方法中,所述根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数,包括:
根据所述防火查杀成效数据、运行负载效率数据、系统故障率数据结合所述硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据通过应用系统运行监测模型进行稳态可信度计算处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
所述系统执行稳态可信度指数的计算公式为:
其中,wδ为系统执行稳态可信度指数,fn、oq、ar分别为防火查杀成效数据、运行负载效率数据、系统故障率数据,ud、se、yb分别为硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据,τ、为预设特征系数。
可选地,在本申请实施例所述的基于可信计算的大数据安全防护方法中,若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数,包括:
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据;
所述预访应用行为申报数据包括应用行为目标数据、应用申报私密层级数据以及应用行为涉密域数据;
根据所述预访应用行为申报数据结合所述防火查杀成效数据、运行负载效率数据、系统故障率数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行授权可信度计算处理,获得应用行为授权可信度指数。
可选地,在本申请实施例所述的基于可信计算的大数据安全防护方法中,所述根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数,包括:
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库;
根据所述用户应用行为鉴权数据库提取与所述预访应用用户对应同类别的历史应用授权用户,以及对应的应用行为申报历史合规数据,包括应用行为合规目标域数据、应用申报私密合格层级范围数据以及应用行为合格涉密域数据;
根据所述应用行为申报历史合规数据与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数。
可选地,在本申请实施例所述的基于可信计算的大数据安全防护方法中,所述根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果,包括:
根据所述应用行为授权可信度指数结合所述用户应用行为鉴别系数以及所述用户应用申请鉴权指数进行处理,获得所述预访应用用户的访问应用可信检定数据;
根据所述访问应用可信检定数据与预设访问应用可信阈值进行阈值对比,根据阈值对比结果判断预访应用用户的应用行为可信度结果;
所述访问应用可信检定数据的计算公式为:
其中,Sut为访问应用可信检定数据,qk为应用行为授权可信度指数,λg为用户应用行为鉴别系数,dT为用户应用申请鉴权指数,ω、σ为预设特征系数。
第二方面,本申请实施例提供了基于可信计算的大数据安全防护系统,该系统包括:存储器及处理器,所述存储器中包括基于可信计算的大数据安全防护方法的程序,所述基于可信计算的大数据安全防护方法的程序被所述处理器执行时实现以下步骤:
获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果;
根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数;
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数;
根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果。
第三方面,本申请实施例还提供了计算机可读存储介质,所述计算机可读存储介质中包括基于可信计算的大数据安全防护方法程序,所述基于可信计算的大数据安全防护方法程序被处理器执行时,实现如上述任一项所述的基于可信计算的大数据安全防护方法的步骤。
由上可知,本申请实施例提供的基于可信计算的大数据安全防护方法、系统和介质,通过根据系统应用属性特征数据以及系统动态执行监测数据和系统环境动态监测数据,结合预访应用用户的用户鉴权特征信息和预访应用行为申报数据以及历史应用行为鉴权数据,通过应用系统模型进行处理,获得用户应用申请鉴权指数以及系统执行稳态可信度指数,并通过应用申报鉴权若通过则处理获得应用行为授权可信度指数,再结合通过用户应用行为鉴权数据库的应用行为申报历史合规数据处理获得的用户应用行为鉴别系数和用户应用申请鉴权指数进行处理获得访问应用可信检定数据判断预访应用用户的应用行为可信度结果;从而通过大数据的处理对访问用户结合用户对应用系统的访问申报进行可信鉴权评估,实现对应用系统的安全可信度评估。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的基于可信计算的大数据安全防护方法的流程图;
图2为本申请实施例提供的基于可信计算的大数据安全防护方法的获得系统动态执行监测数据和系统环境动态监测数据的流程图;
图3为本申请实施例提供的基于可信计算的大数据安全防护方法的获得用户应用授权数据和用户信用鉴权指数的流程图;
图4为本申请实施例提供的基于可信计算的大数据安全防护方法的判断预访应用用户的应用申报授权结果的流程图;
图5为本申请实施例提供的基于可信计算的大数据安全防护方法的获得预访大数据应用系统的系统执行稳态可信度指数的流程图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到,相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1是本申请一些实施例中的基于可信计算的大数据安全防护方法的流程图。该基于可信计算的大数据安全防护方法用于终端设备中,例如电脑、手机终端等。该基于可信计算的大数据安全防护方法,包括以下步骤:
S11、获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
S12、获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数;
S13、根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果;
S14、根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
S15、若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数;
S16、根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数;
S17、根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果。
其中,为实现通过应用系统、访问申报用户以及环境的大数据的可信度计算评估获得对大数据应用系统的访问申报的可信鉴权评估,进而获得对大数据应用系统的安全防护效果,通过获取预访问的系统的系统应用类别、功能用途、设置属性等的特征数据,并根据监测到的系统的动态监测信息提取一定预设时间段内的系统动态执行程序和运行状况的监测数据以及系统运行环境的动态监测数据,并获取预访问应用用户的用户鉴权特征信息以及提交的预访应用申报信息和用户在一定预设历史时间段内的历史应用行为的鉴权数据,再将获得的信息数据通过应用系统的预设用户授权模型进行可信度计算处理,对用户的授权访问申报情况进行可信度检验,获得用户应用授权数据和用户信用鉴权指数,再进一步计算处理获得用户应用申请鉴权指数,并根据指数与对应预设用户应用申报鉴权阈值进行阈值对比,判断申报访问系统用户的应用申报授权结果,同时根据提取的系统执行监测数据和环境动态监测数据通过运行监测模型对大数据应用系统的运行状况进行稳态的可信度计算,获得系统执行稳态可信度指数,即通过提取的系统相关监测数据对系统进行稳态可信度的监测,以识别系统运行的安全状况,若预访应用用户的应用申报授权通过根据访问申报用户的申请数据结合系统相关监测处理数据通过行为授权模型进行计算处理,获得申报用户访问大数据应用系统进行系统应用的授权行为的可信度,并结合与申报用户同类别历史用户的用户应用行为鉴权数据库中的历史合规数据对申报用户进行应用行为鉴别获得的鉴别系数进行加权计算处理,获得对申报访问用户访问行为的可信检定数据,通过可信检定数据的阈值对比结果并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果,从而实现通过应用系统、访问申报用户以及环境的大数据的可信度计算评估获得对大数据应用系统的访问申报的可信鉴权评估。
请参照图2,图2是本申请一些实施例中的基于可信计算的大数据安全防护方法的获得系统动态执行监测数据和系统环境动态监测数据的流程图。根据本发明实施例,所述获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据,具体为:
S21、获取预访大数据应用系统的系统应用属性特征数据,包括应用功能扩展性指标数据、系统配置性能指标数据和系统安全防护指标数据;
S22、获取所述预访大数据应用系统的系统动态监测信息,并提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
S23、所述系统动态执行监测数据包括防火查杀成效数据、运行负载效率数据和系统故障率数据;
S24、所述系统环境动态监测数据包括硬件运行效率数据、侵袭干扰活跃度数据和系统链路风险值级数据。
其中,为获得大数据的安全防护,要保证大数据应用系统的运行安全以及评估确认访问用户访问行为的安全性,首先获取被安全评估的预访问的大数据应用系统的系统应用属性特征数据,其中包括系统的应用功能可扩展性、配置性能和安全防护的指标数据,反映了大数据应用系统的功能、配置和安全性的特征参数,同时通过大数据应用系统的系统动态监测信息并提取系统动态执行监测数据和系统环境动态监测数据,系统动态执行监测数据是系统在运行程序执信过程中的系统防火查杀的成效、运行的负载效率和系统故障率的监测数据,反映系统运行过程中的查杀防毒、运行载荷能力以及故障状况的数据,系统环境动态监测数据则包括系统的硬件运行效率、外部侵袭干扰活跃度和系统外接链路的风险等级状况的系统运行环境相关的特征数据。
请参照图3,图3是本申请一些实施例中的基于可信计算的大数据安全防护方法的获得用户应用授权数据和用户信用鉴权指数的流程图。根据本发明实施例,所述获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数,具体为:
S31、获取预访应用用户的用户鉴权特征信息,包括身份标识数据、访问预授权级别以及授权应用域数据;
S32、采集所述预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,所述历史应用行为鉴权数据包括历史应用超限标记数据和历史异常行为告警记载数据;
S33、根据所述预访应用用户的用户鉴权特征信息和所述历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,分别获得用户应用授权数据和用户信用鉴权指数;
S34、根据所述用户应用授权数据和用户信用鉴权指数集合为用户应用申请鉴权标记数据。
其中,为验证大数据系统的访问申报用户的访问合规性,对用户身份信息和申报情况进行鉴权,获取预访应用用户的用户鉴权特征信息包括身份标识、访问预授权级别以及授权的应用范围区域的相关数据,同时采集申报用户的大数据应用的申报信息和历史的应用行为鉴权数据,其中包括历史应用超限被标记和历史异常行为的告警记载的数据,再根据用户鉴权特征信息和历史应用行为鉴权数据以及系统应用属性特征数据通过应用系统的预设用户授权模型的计算公式进行用户应用申报的可信度识别计算,分别获得用户应用授权数据和用户信用鉴权指数,并对结果进行集合为用户应用申请鉴权标记数据;
其中,所述用户应用授权数据的计算公式为:
所述用户信用鉴权指数的计算公式为:
其中,Ra为用户应用授权数据,gy为用户信用鉴权指数,eq、ct、zu分别为身份标识数据、访问预授权级别、授权应用域数据,km、xs、lg分别为应用功能扩展性指标数据、系统配置性能指标数据、系统安全防护指标数据,Hb、Fz分别为历史应用超限标记数据、历史异常行为告警记载数据,ν、θ、ξ、ε为预设特征系数(特征系数通过预设应用系统用户授权平台数据库查询获得)。
请参照图4,图4是本申请一些实施例中的基于可信计算的大数据安全防护方法的判断预访应用用户的应用申报授权结果的流程图。根据本发明实施例,所述根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果,具体为:
S41、根据所述用户应用授权数据和用户信用鉴权指数进行处理获得用户应用申请鉴权指数;
S42、根据所述用户应用申请鉴权指数与所述预访大数据应用系统类别对应的预设用户应用申报鉴权阈值进行对比;
S43、根据阈值对比结果判断所述预访应用用户的应用申报授权结果;
所述用户应用申请鉴权指数的计算公式为:
其中,dT为用户应用申请鉴权指数,Ra为用户应用授权数据,gy为用户信用鉴权指数,π、ψ为预设特征系数(特征系数通过应用系统用户授权平台数据库查询获得)。
其中,进一步根据大数据应用系统的申报应用用户的应用授权数据和信用鉴权指数通过计算公式进行计算获得用户应用申请鉴权指数,该鉴权指数是对申报用户的申请预设信息状况进行可信度鉴权识别的结果数据,通过鉴权指数与预设阈值的阈值对比结果筛出不符合安全应用申报要求的风险申报用户,实现对大数据应用系统的安全访问申请的筛查防护。
请参照图5,图5是本申请一些实施例中的基于可信计算的大数据安全防护方法的获得预访大数据应用系统的系统执行稳态可信度指数的流程图。根据本发明实施例,所述根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数,具体为:
S51、根据所述防火查杀成效数据、运行负载效率数据、系统故障率数据结合所述硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据通过应用系统运行监测模型进行稳态可信度计算处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
所述系统执行稳态可信度指数的计算公式为:
其中,wδ为系统执行稳态可信度指数,fn、oq、ar分别为防火查杀成效数据、运行负载效率数据、系统故障率数据,ud、se、yb分别为硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据,τ、为预设特征系数(特征系数通过应用系统运行监测平台数据库查询获得)。
其中,为保障大数据应用系统中大数据的运行的安全,还需对应用系统的运行状况结合环境实时状态进行稳态测评,以辨识系统运行状况是否安全可信,则根据大数据应用系统获得的动态执行监测数据结合系统环境动态监测数据通过应用系统的预设运行监测模型进行稳态可信度计算,获得预访问的大数据应用系统的系统稳态状况的可信度指数,该指数是对系统以及环境状况的测评结果。
根据本发明实施例,所述若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数,具体为:
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据;
所述预访应用行为申报数据包括应用行为目标数据、应用申报私密层级数据以及应用行为涉密域数据;
根据所述预访应用行为申报数据结合所述防火查杀成效数据、运行负载效率数据、系统故障率数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行授权可信度计算处理,获得应用行为授权可信度指数。
其中,若申报用户的可信度鉴权通过,则对申报应用用户的应用行为进行可信度检验,根据预访问应用用户的预访应用行为申报数据包括应用行为目标、应用申报私密层级以及应用行为涉密域的数据与系统动态执行监测数据以及系统执行稳态可信度指数通过预设授权模型进行可信度计算,获得反映用户应用行为授权可信度的应用行为授权可信度指数,其中,应用行为授权可信度指数的计算公式为:
其中,qk为应用行为授权可信度指数,bh、hp、gv分别为应用行为目标数据、应用申报私密层级数据、应用行为涉密域数据,fn、oq、ar分别为防火查杀成效数据、运行负载效率数据、系统故障率数据,wδ为系统执行稳态可信度指数,μ、τ、ρ为预设特征系数(特征系数通过应用系统运行监测平台数据库和用户授权平台数据库查询获得)。
根据本发明实施例,所述根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数,具体为:
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库;
根据所述用户应用行为鉴权数据库提取与所述预访应用用户对应同类别的历史应用授权用户,以及对应的应用行为申报历史合规数据,包括应用行为合规目标域数据、应用申报私密合格层级范围数据以及应用行为合格涉密域数据;
根据所述应用行为申报历史合规数据与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数。
其中,为获得申报应用用户进行申报访问应用大数据应用系统的准确的安全可信度评估结果,通过建立的用户应用行为鉴权数据库提取与访问应用用户同类别的被授权的历史应用授权用户的应用行为申报历史合规数据,与应用用户的预访应用行为申报数据进行计算处理,获得用户应用行为鉴别系数,即根据同类型历史申报用户的授权合规的申报数据与该申报用户的申报数据进行处理获得可对用户应用行为进行修正鉴定的鉴别系数,其中用户应用行为鉴别系数的计算公式为:
其中,λg为用户应用行为鉴别系数,bh、hp、gv分别为应用行为目标数据、应用申报私密层级数据、应用行为涉密域数据,bcR、hcR、gcR分别为应用行为合规目标域数据、应用申报私密合格层级范围数据、应用行为合格涉密域数据,φ、γ为预设特征系数(特征系数通过应用系统用户授权平台数据库查询获得)。
根据本发明实施例,所述根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果,具体为:
根据所述应用行为授权可信度指数结合所述用户应用行为鉴别系数以及所述用户应用申请鉴权指数进行处理,获得所述预访应用用户的访问应用可信检定数据;
根据所述访问应用可信检定数据与预设访问应用可信阈值进行阈值对比,根据阈值对比结果判断预访应用用户的应用行为可信度结果;
所述访问应用可信检定数据的计算公式为:
其中,Sut为访问应用可信检定数据,qk为应用行为授权可信度指数,λg为用户应用行为鉴别系数,dT为用户应用申请鉴权指数,ω、σ为预设特征系数(特征系数通过应用系统用户授权平台数据库查询获得)。
其中,最后根据获得的应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数通过加权计算公式进行加权处理,获得该预访应用用户的访问应用可信检定数据,即对访问用户进行访问应用申报情况的可信度检定结果,再根据访问应用可信检定数据与预设访问应用可信阈值的阈值对比结果判断预访应用用户的应用行为可信度结果,若访问应用可信检定数据符合预设阈值对比要求,则该访问应用用户的访问应用获得鉴定通过。
本发明还公开了基于可信计算的大数据安全防护系统,包括存储器和处理器,所述存储器中包括基于可信计算的大数据安全防护方法程序,所述基于可信计算的大数据安全防护方法程序被所述处理器执行体征异样修正数据时实现如下步骤:
获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果;
根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数;
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数;
根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果。
其中,为实现通过应用系统、访问申报用户以及环境的大数据的可信度计算评估获得对大数据应用系统的访问申报的可信鉴权评估,进而获得对大数据应用系统的安全防护效果,通过获取预访问的系统的系统应用类别、功能用途、设置属性等的特征数据,并根据监测到的系统的动态监测信息提取一定预设时间段内的系统动态执行程序和运行状况的监测数据以及系统运行环境的动态监测数据,并获取预访问应用用户的用户鉴权特征信息以及提交的预访应用申报信息和用户在一定预设历史时间段内的历史应用行为的鉴权数据,再将获得的信息数据通过应用系统的预设用户授权模型进行可信度计算处理,对用户的授权访问申报情况进行可信度检验,获得用户应用授权数据和用户信用鉴权指数,再进一步计算处理获得用户应用申请鉴权指数,并根据指数与对应预设用户应用申报鉴权阈值进行阈值对比,判断申报访问系统用户的应用申报授权结果,同时根据提取的系统执行监测数据和环境动态监测数据通过运行监测模型对大数据应用系统的运行状况进行稳态的可信度计算,获得系统执行稳态可信度指数,即通过提取的系统相关监测数据对系统进行稳态可信度的监测,以识别系统运行的安全状况,若预访应用用户的应用申报授权通过根据访问申报用户的申请数据结合系统相关监测处理数据通过行为授权模型进行计算处理,获得申报用户访问大数据应用系统进行系统应用的授权行为的可信度,并结合与申报用户同类别历史用户的用户应用行为鉴权数据库中的历史合规数据对申报用户进行应用行为鉴别获得的鉴别系数进行加权计算处理,获得对申报访问用户访问行为的可信检定数据,通过可信检定数据的阈值对比结果并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果,从而实现通过应用系统、访问申报用户以及环境的大数据的可信度计算评估获得对大数据应用系统的访问申报的可信鉴权评估。
根据本发明实施例,所述获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据,具体为:
获取预访大数据应用系统的系统应用属性特征数据,包括应用功能扩展性指标数据、系统配置性能指标数据和系统安全防护指标数据;
获取所述预访大数据应用系统的系统动态监测信息,并提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
所述系统动态执行监测数据包括防火查杀成效数据、运行负载效率数据和系统故障率数据;
所述系统环境动态监测数据包括硬件运行效率数据、侵袭干扰活跃度数据和系统链路风险值级数据。
其中,为获得大数据的安全防护,要保证大数据应用系统的运行安全以及评估确认访问用户访问行为的安全性,首先获取被安全评估的预访问的大数据应用系统的系统应用属性特征数据,其中包括系统的应用功能可扩展性、配置性能和安全防护的指标数据,反映了大数据应用系统的功能、配置和安全性的特征参数,同时通过大数据应用系统的系统动态监测信息并提取系统动态执行监测数据和系统环境动态监测数据,系统动态执行监测数据是系统在运行程序执信过程中的系统防火查杀的成效、运行的负载效率和系统故障率的监测数据,反映系统运行过程中的查杀防毒、运行载荷能力以及故障状况的数据,系统环境动态监测数据则包括系统的硬件运行效率、外部侵袭干扰活跃度和系统外接链路的风险等级状况的系统运行环境相关的特征数据。
根据本发明实施例,所述获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数,具体为:
获取预访应用用户的用户鉴权特征信息,包括身份标识数据、访问预授权级别以及授权应用域数据;
采集所述预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,所述历史应用行为鉴权数据包括历史应用超限标记数据和历史异常行为告警记载数据;
根据所述预访应用用户的用户鉴权特征信息和所述历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,分别获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数集合为用户应用申请鉴权标记数据。
其中,为验证大数据系统的访问申报用户的访问合规性,对用户身份信息和申报情况进行鉴权,获取预访应用用户的用户鉴权特征信息包括身份标识、访问预授权级别以及授权的应用范围区域的相关数据,同时采集申报用户的大数据应用的申报信息和历史的应用行为鉴权数据,其中包括历史应用超限被标记和历史异常行为的告警记载的数据,再根据用户鉴权特征信息和历史应用行为鉴权数据以及系统应用属性特征数据通过应用系统的预设用户授权模型的计算公式进行用户应用申报的可信度识别计算,分别获得用户应用授权数据和用户信用鉴权指数,并对结果进行集合为用户应用申请鉴权标记数据;
其中,所述用户应用授权数据的计算公式为:
所述用户信用鉴权指数的计算公式为:
其中,Ra为用户应用授权数据,gy为用户信用鉴权指数,eq、ct、zu分别为身份标识数据、访问预授权级别、授权应用域数据,km、xs、lg分别为应用功能扩展性指标数据、系统配置性能指标数据、系统安全防护指标数据,Hb、Fz分别为历史应用超限标记数据、历史异常行为告警记载数据,ν、θ、ξ、ε为预设特征系数(特征系数通过预设应用系统用户授权平台数据库查询获得)。
根据本发明实施例,所述根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果,具体为:
根据所述用户应用授权数据和用户信用鉴权指数进行处理获得用户应用申请鉴权指数;
根据所述用户应用申请鉴权指数与所述预访大数据应用系统类别对应的预设用户应用申报鉴权阈值进行对比;
根据阈值对比结果判断所述预访应用用户的应用申报授权结果;
所述用户应用申请鉴权指数的计算公式为:
其中,dT为用户应用申请鉴权指数,Ra为用户应用授权数据,gy为用户信用鉴权指数,π、ψ为预设特征系数(特征系数通过应用系统用户授权平台数据库查询获得)。
其中,进一步根据大数据应用系统的申报应用用户的应用授权数据和信用鉴权指数通过计算公式进行计算获得用户应用申请鉴权指数,该鉴权指数是对申报用户的申请预设信息状况进行可信度鉴权识别的结果数据,通过鉴权指数与预设阈值的阈值对比结果筛出不符合安全应用申报要求的风险申报用户,实现对大数据应用系统的安全访问申请的筛查防护。
根据本发明实施例,所述根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数,具体为:
根据所述防火查杀成效数据、运行负载效率数据、系统故障率数据结合所述硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据通过应用系统运行监测模型进行稳态可信度计算处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
所述系统执行稳态可信度指数的计算公式为:
其中,wδ为系统执行稳态可信度指数,fn、oq、ar分别为防火查杀成效数据、运行负载效率数据、系统故障率数据,ud、se、yb分别为硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据,τ、为预设特征系数(特征系数通过应用系统运行监测平台数据库查询获得)。
其中,为保障大数据应用系统中大数据的运行的安全,还需对应用系统的运行状况结合环境实时状态进行稳态测评,以辨识系统运行状况是否安全可信,则根据大数据应用系统获得的动态执行监测数据结合系统环境动态监测数据通过应用系统的预设运行监测模型进行稳态可信度计算,获得预访问的大数据应用系统的系统稳态状况的可信度指数,该指数是对系统以及环境状况的测评结果。
根据本发明实施例,所述若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数,具体为:
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据;
所述预访应用行为申报数据包括应用行为目标数据、应用申报私密层级数据以及应用行为涉密域数据;
根据所述预访应用行为申报数据结合所述防火查杀成效数据、运行负载效率数据、系统故障率数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行授权可信度计算处理,获得应用行为授权可信度指数。
其中,若申报用户的可信度鉴权通过,则对申报应用用户的应用行为进行可信度检验,根据预访问应用用户的预访应用行为申报数据包括应用行为目标、应用申报私密层级以及应用行为涉密域的数据与系统动态执行监测数据以及系统执行稳态可信度指数通过预设授权模型进行可信度计算,获得反映用户应用行为授权可信度的应用行为授权可信度指数,其中,应用行为授权可信度指数的计算公式为:
其中,qk为应用行为授权可信度指数,bh、hp、gv分别为应用行为目标数据、应用申报私密层级数据、应用行为涉密域数据,fn、oq、ar分别为防火查杀成效数据、运行负载效率数据、系统故障率数据,wδ为系统执行稳态可信度指数,μ、τ、ρ为预设特征系数(特征系数通过应用系统运行监测平台数据库和用户授权平台数据库查询获得)。
根据本发明实施例,所述根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数,具体为:
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库;
根据所述用户应用行为鉴权数据库提取与所述预访应用用户对应同类别的历史应用授权用户,以及对应的应用行为申报历史合规数据,包括应用行为合规目标域数据、应用申报私密合格层级范围数据以及应用行为合格涉密域数据;
根据所述应用行为申报历史合规数据与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数。
其中,为获得申报应用用户进行申报访问应用大数据应用系统的准确的安全可信度评估结果,通过建立的用户应用行为鉴权数据库提取与访问应用用户同类别的被授权的历史应用授权用户的应用行为申报历史合规数据,与应用用户的预访应用行为申报数据进行计算处理,获得用户应用行为鉴别系数,即根据同类型历史申报用户的授权合规的申报数据与该申报用户的申报数据进行处理获得可对用户应用行为进行修正鉴定的鉴别系数,其中用户应用行为鉴别系数的计算公式为:
其中,λg为用户应用行为鉴别系数,bh、hp、gv分别为应用行为目标数据、应用申报私密层级数据、应用行为涉密域数据,bcR、hcR、gcR分别为应用行为合规目标域数据、应用申报私密合格层级范围数据、应用行为合格涉密域数据,φ、γ为预设特征系数(特征系数通过应用系统用户授权平台数据库查询获得)。
根据本发明实施例,所述根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果,具体为:
根据所述应用行为授权可信度指数结合所述用户应用行为鉴别系数以及所述用户应用申请鉴权指数进行处理,获得所述预访应用用户的访问应用可信检定数据;
根据所述访问应用可信检定数据与预设访问应用可信阈值进行阈值对比,根据阈值对比结果判断预访应用用户的应用行为可信度结果;
所述访问应用可信检定数据的计算公式为:
其中,Sut为访问应用可信检定数据,qk为应用行为授权可信度指数,λg为用户应用行为鉴别系数,dT为用户应用申请鉴权指数,ω、σ为预设特征系数(特征系数通过应用系统用户授权平台数据库查询获得)。
其中,最后根据获得的应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数通过加权计算公式进行加权处理,获得该预访应用用户的访问应用可信检定数据,即对访问用户进行访问应用申报情况的可信度检定结果,再根据访问应用可信检定数据与预设访问应用可信阈值的阈值对比结果判断预访应用用户的应用行为可信度结果,若访问应用可信检定数据符合预设阈值对比要求,则该访问应用用户的访问应用获得鉴定通过。
本发明第三方面提供了可读存储介质,所述可读存储介质中包括基于可信计算的大数据安全防护方法程序,所述基于可信计算的大数据安全防护方法程序被处理器执行时,实现如上述任一项所述的基于可信计算的大数据安全防护方法的步骤。
本发明公开的基于可信计算的大数据安全防护方法、系统和介质,通过根据系统应用属性特征数据以及系统动态执行监测数据和系统环境动态监测数据,结合预访应用用户的用户鉴权特征信息和预访应用行为申报数据以及历史应用行为鉴权数据,通过应用系统模型进行处理,获得用户应用申请鉴权指数以及系统执行稳态可信度指数,并通过应用申报鉴权若通过则处理获得应用行为授权可信度指数,再结合通过用户应用行为鉴权数据库的应用行为申报历史合规数据处理获得的用户应用行为鉴别系数和用户应用申请鉴权指数进行处理获得访问应用可信检定数据判断预访应用用户的应用行为可信度结果;从而通过大数据的处理对访问用户结合用户对应用系统的访问申报进行可信鉴权评估,实现对应用系统的安全可信度评估。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (10)

1.基于可信计算的大数据安全防护方法,其特征在于,包括以下步骤:
获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果;
根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数;
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数;
根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果。
2.根据权利要求1所述的基于可信计算的大数据安全防护方法,其特征在于,所述获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据,包括:
获取预访大数据应用系统的系统应用属性特征数据,包括应用功能扩展性指标数据、系统配置性能指标数据和系统安全防护指标数据;
获取所述预访大数据应用系统的系统动态监测信息,并提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
所述系统动态执行监测数据包括防火查杀成效数据、运行负载效率数据和系统故障率数据;
所述系统环境动态监测数据包括硬件运行效率数据、侵袭干扰活跃度数据和系统链路风险值级数据。
3.根据权利要求2所述的基于可信计算的大数据安全防护方法,其特征在于,所述获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数,包括:
获取预访应用用户的用户鉴权特征信息,包括身份标识数据、访问预授权级别以及授权应用域数据;
采集所述预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,所述历史应用行为鉴权数据包括历史应用超限标记数据和历史异常行为告警记载数据;
根据所述预访应用用户的用户鉴权特征信息和所述历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,分别获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数集合为用户应用申请鉴权标记数据。
4.根据权利要求3所述的基于可信计算的大数据安全防护方法,其特征在于,所述根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果,包括:
根据所述用户应用授权数据和用户信用鉴权指数进行处理获得用户应用申请鉴权指数;
根据所述用户应用申请鉴权指数与所述预访大数据应用系统类别对应的预设用户应用申报鉴权阈值进行对比;
根据阈值对比结果判断所述预访应用用户的应用申报授权结果;
所述用户应用申请鉴权指数的计算公式为:
其中,dT为用户应用申请鉴权指数,Ra为用户应用授权数据,gy为用户信用鉴权指数,π、ψ为预设特征系数。
5.根据权利要求4所述的基于可信计算的大数据安全防护方法,其特征在于,所述根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数,包括:
根据所述防火查杀成效数据、运行负载效率数据、系统故障率数据结合所述硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据通过应用系统运行监测模型进行稳态可信度计算处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
所述系统执行稳态可信度指数的计算公式为:
其中,wδ为系统执行稳态可信度指数,fn、oq、ar分别为防火查杀成效数据、运行负载效率数据、系统故障率数据,ud、se、yb分别为硬件运行效率数据、侵袭干扰活跃度数据、系统链路风险值级数据。
6.根据权利要求5所述的基于可信计算的大数据安全防护方法,其特征在于,所述若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数,包括:
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据;
所述预访应用行为申报数据包括应用行为目标数据、应用申报私密层级数据以及应用行为涉密域数据;
根据所述预访应用行为申报数据结合所述防火查杀成效数据、运行负载效率数据、系统故障率数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行授权可信度计算处理,获得应用行为授权可信度指数。
7.根据权利要求6所述的基于可信计算的大数据安全防护方法,其特征在于,所述根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数,包括:
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库;
根据所述用户应用行为鉴权数据库提取与所述预访应用用户对应同类别的历史应用授权用户,以及对应的应用行为申报历史合规数据,包括应用行为合规目标域数据、应用申报私密合格层级范围数据以及应用行为合格涉密域数据;
根据所述应用行为申报历史合规数据与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数。
8.根据权利要求7所述的基于可信计算的大数据安全防护方法,其特征在于,所述根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果,包括:
根据所述应用行为授权可信度指数结合所述用户应用行为鉴别系数以及所述用户应用申请鉴权指数进行处理,获得所述预访应用用户的访问应用可信检定数据;
根据所述访问应用可信检定数据与预设访问应用可信阈值进行阈值对比,根据阈值对比结果判断预访应用用户的应用行为可信度结果;
所述访问应用可信检定数据的计算公式为:
其中,Sut为访问应用可信检定数据,qk为应用行为授权可信度指数,λg为用户应用行为鉴别系数,dT为用户应用申请鉴权指数,ω、σ为预设特征系数。
9.基于可信计算的大数据安全防护系统,其特征在于,该系统包括:存储器及处理器,所述存储器中包括基于可信计算的大数据安全防护方法的程序,所述基于可信计算的大数据安全防护方法的程序被所述处理器执行时实现以下步骤:
获取预访大数据应用系统的系统应用属性特征数据以及系统动态监测信息,并根据系统动态监测信息提取预设时间段内的系统动态执行监测数据和系统环境动态监测数据;
获取预访应用用户的用户鉴权特征信息,并采集预访应用用户的预访应用申报信息以及在预设历史时间段内的历史应用行为鉴权数据,根据所述预访应用用户的用户鉴权特征信息和历史应用行为鉴权数据以及所述系统应用属性特征数据通过应用系统用户授权模型进行应用申报可信度识别处理,获得用户应用授权数据和用户信用鉴权指数;
根据所述用户应用授权数据和用户信用鉴权指数处理获得用户应用申请鉴权指数,并与对应预设用户应用申报鉴权阈值进行阈值对比,判断所述预访应用用户的应用申报授权结果;
根据所述系统动态执行监测数据和系统环境动态监测数据通过应用系统运行监测模型进行稳态可信度处理,获得所述预访大数据应用系统的系统执行稳态可信度指数;
若所述预访应用用户的应用申报授权通过,则根据预访应用用户的预访应用申报信息提取预访应用行为申报数据,并结合所述系统动态执行监测数据以及所述系统执行稳态可信度指数通过应用系统行为授权模型进行处理,获得应用行为授权可信度指数;
根据采集的各类多个历史应用授权用户的合规访问应用行为申报数据建立用户应用行为鉴权数据库,并提取同类别的历史应用授权用户的应用行为申报历史合规数据,再与所述预访应用用户的预访应用行为申报数据进行处理,获得用户应用行为鉴别系数;
根据所述应用行为授权可信度指数结合用户应用行为鉴别系数以及用户应用申请鉴权指数进行处理,获得访问应用可信检定数据,并与预设访问应用可信阈值进行阈值对比判断预访应用用户的应用行为可信度结果。
10.计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括基于可信计算的大数据安全防护方法程序,所述基于可信计算的大数据安全防护方法程序被处理器执行时,实现如权利要求1至8中任一项所述的基于可信计算的大数据安全防护方法的步骤。
CN202311440906.0A 2023-11-01 2023-11-01 基于可信计算的大数据安全防护方法、系统和介质 Active CN117473475B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311440906.0A CN117473475B (zh) 2023-11-01 2023-11-01 基于可信计算的大数据安全防护方法、系统和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311440906.0A CN117473475B (zh) 2023-11-01 2023-11-01 基于可信计算的大数据安全防护方法、系统和介质

Publications (2)

Publication Number Publication Date
CN117473475A CN117473475A (zh) 2024-01-30
CN117473475B true CN117473475B (zh) 2024-04-09

Family

ID=89637400

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311440906.0A Active CN117473475B (zh) 2023-11-01 2023-11-01 基于可信计算的大数据安全防护方法、系统和介质

Country Status (1)

Country Link
CN (1) CN117473475B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021258992A1 (zh) * 2020-06-24 2021-12-30 平安科技(深圳)有限公司 基于大数据的用户行为监测方法、装置、设备及介质
CN116094837A (zh) * 2023-04-03 2023-05-09 湖南丛茂科技有限公司 基于网络大数据的网终应用采集分析方法、系统及介质
CN116112292A (zh) * 2023-04-12 2023-05-12 湖南丛茂科技有限公司 基于网络流量大数据的异常行为检测方法、系统和介质
CN116707927A (zh) * 2023-06-16 2023-09-05 中国联合网络通信集团有限公司 态势感知方法、系统、计算机设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021258992A1 (zh) * 2020-06-24 2021-12-30 平安科技(深圳)有限公司 基于大数据的用户行为监测方法、装置、设备及介质
CN116094837A (zh) * 2023-04-03 2023-05-09 湖南丛茂科技有限公司 基于网络大数据的网终应用采集分析方法、系统及介质
CN116112292A (zh) * 2023-04-12 2023-05-12 湖南丛茂科技有限公司 基于网络流量大数据的异常行为检测方法、系统和介质
CN116707927A (zh) * 2023-06-16 2023-09-05 中国联合网络通信集团有限公司 态势感知方法、系统、计算机设备及存储介质

Also Published As

Publication number Publication date
CN117473475A (zh) 2024-01-30

Similar Documents

Publication Publication Date Title
Salem et al. Modeling user search behavior for masquerade detection
US20210328969A1 (en) Systems and methods to secure api platforms
CN113542279B (zh) 一种网络安全风险评估方法、系统及装置
CN112653678B (zh) 一种网络安全态势感知分析方法及装置
CN114003903B (zh) 一种网络攻击追踪溯源方法及装置
CN110717164A (zh) 一种智能多维度加权身份认证与风险控制的方法及系统
Barbará et al. Mining malicious corruption of data with hidden Markov models
CN114091042A (zh) 风险预警方法
CN116112211A (zh) 一种基于知识图谱的网络攻击链还原方法
CN110839003A (zh) 盗号行为识别方法、装置、计算机设备和存储介质
Zamanian et al. User profiling in anomaly detection of authorization logs
CN110598397A (zh) 一种基于深度学习的Unix系统用户恶意操作检测方法
Goodman Making computer crime count
CN117473475B (zh) 基于可信计算的大数据安全防护方法、系统和介质
CN115640581A (zh) 一种数据安全风险评估方法、装置、介质及电子设备
CN113239331B (zh) 一种基于大数据的风险账号防入侵识别方法及系统
CN110855682A (zh) 网络攻击检测方法
CN116976894A (zh) 一种人工智能的电商数据防护方法及系统
Hadri et al. Combination of OMPCA and LDA for anomaly network detection
KR20120056719A (ko) 개인정보 위험도 산정을 통한 개인정보 종합관리 장치 및 방법
CN115567233B (zh) 一种大数据电子信息安全监测系统
US20230300163A1 (en) Generalized identity module
Ben Salem et al. Modeling user search behavior for masquerade detection
CN116980185A (zh) 一种基于云计算的网络安全防御系统
Ahmad et al. Intrusion detection by using hybrid of decision tree and K-nearest neighbor

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant