CN106790139A - 基于云计算的安全用户数据处理*** - Google Patents

Abstract

本发明涉及用户信息管理技术领域，具体地说是一种能够实现用户信息的实时传递和存储、用户数据加密传输、并对用户数据库进行安全监控的基于云计算的安全用户数据处理***，其特征在于设有管控平台以及两个以上的本地监控终端，管控平台与本地监控终端经网络通信电路相连接，其中所述管控平台包括服务器、数据接收机构、数据分析机构，数据分析机构和数据接收机构分别与服务器相连接，数据分析机构与数据接收机构相连接，所述本地监控终端设有控制器、数据采集模块、数据存储模块、数据发送模块，本发明与现有技术相比，能够克服现有监控***中数据无法实时高效传播的问题，具有结构合理、工作可靠等显著的优点。

Description

基于云计算的安全用户数据处理***

技术领域：

本发明涉及用户信息管理技术领域，具体地说是一种能够实现用户信息的实时传递和存储、用户数据加密传输、并对用户数据库进行安全监控的基于云计算的安全用户数据处理***。

背景技术：

随着信息化快速发展，云计算正在越来越受关注，无论是互联网厂商和运营商，还是通信厂商和基础网络运营商，都对云计算表现出极大的关注。狭义的云计算是指互联网技术基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源；广义的云计算是指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的，也可以是任意其他的服务，云计算具有超大规模、虚拟化、安全可靠等优点。对于网络运营商而言，云计算可以使运营成本和操作维护成本大大降低，达到节能减排的目的，除此之外，还可以扩大运营的范围，而不仅仅受限于管道运营。在云计算环境下，一切资源都是可以运营的，都可以作为服务提供，包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等。对于用户而言，云计算使得随时、随地消费服务成为可能，用户可以不需要大量投资而获得运营业务所需的IT资源，完全可以根据自己的需求来租用，IT资源像水、电和煤气一样，按需获取和计费。

在云计算场景下，大量的用户信息都集中在云计算提供商，与传统的互联网业务相比，其信息更集中、信息资产价值更高、面临的攻击也会更多。云计算的安全解决方案需要根据不同业务的差异化安全需求，提供安全解决方案。而传统上针对单一业务所制定的安全解决方案，无法适应云计算平台高度共享的特性，因此，需要云计算安全在***级架构上进行创新，以适应平台的新特性，满足平台上所有业务的个性化安全需求。

云计算的前景是无容置疑的，但是在实际使用过程中不可避免地会面临一些极端条件。例如：移动终端无法接入到网络，网络不稳定造成的会话突然终止而使得用户数据和信息的丢失，用户所处网络条件差而造成拥堵现象比较明显，黑客劫持会话攻击云中心等。

例如：在数据的无线传输过程中，容易由于网络拥塞等问题发生延时或丢包，导致数据的完整性受到破坏，为了解决该问题，应该在网络出现拥塞情况前及时作出正确的处理，而抖动和延时则是网络发生拥塞的前期征兆，抖动的突变往往预示着网络瓶颈的到来。抖动表示的是数据包延时变化的剧烈程度，如果把数据包的延时当做随机变量，那么抖动就是这个随机过程中各个时刻的方差，在实际应用过程中，对于方差的计算在计算精度与计算复杂度上做了一个取舍平衡，以达到及时准确表征网络抖动的需求。然而现有的计算方法灵敏度较低。

发明内容：

本发明针对现有技术存在的缺点和不足，提出了一种能够实现用户信息的实时传递和存储、用户数据加密传输、并对用户数据库进行安全监控的基于云计算的安全用户数据处理***。

本发明可以通过以下措施达到：

一种基于云计算的安全用户数据处理***，其特征在于设有管控平台以及两个以上的本地监控终端，管控平台与本地监控终端经网络通信电路相连接，其中所述管控平台包括服务器、数据接收机构、数据分析机构，数据分析机构和数据接收机构分别与服务器相连接，数据分析机构与数据接收机构相连接，所述管控平台还设有安全防护单元，所述安全防护单元包括用于实现对域名解析请求处理的DNS服务器、用于实现对用户管理和域名管理和对结果进行查看分析的管理单元、用于实现管理单元与DNS服务器双向通信的安全通信模块以及DNS数据库，所述管理单元设有黑名单更新模块、用户信息管理模块以及访问信息查询模块；所述安全通信模块内设有认证模块、密钥协商模块、数据加密传输模块、数据一致性检查模块；DNS服务器经安全通信模块与管理单元建立双向通信，DNS服务器内的能够实现向DNS数据库内写入日志记录信息的日志模块与DNS数据库相连接，管理单元分别与黑名单索引数据库和DNS数据库相连接，所述数据处理机构还设有数据挖掘单元，所述数据挖掘单元对获取的数据进行如下处理：

步骤1：从数据库中抽取数据，对抽取的数据进行离散化处理；

步骤2：从步骤1所获取的数据库中抽取数据组成训练集X，用于训练哈希函数，训练集的大小n由决定，其中t_α/2表示置信度的值，可以通过t分布临界值获得，ε表示最大的允许误差；

步骤3：用X训练哈希函数，首先涉及目标函数转高位实数数据到低维数据，目标函数定义为：

，

其中X为训练集，B为基空间，B的每一个向量均为训练集X中训练出来的基向量，S是X被投影在基空间B上的低维实数值，λ₁和λ₂是通过十折交叉验证方法取得的可调参数，w_i,j是X中两个实例X_i和X_j之间的欧式距离在高斯核上的投影，S_i和S_j是矩阵S中的两个向量，B_i,j是矩阵B中第i行和第j列的元素，i＝1,2,3，……，n为表示实例的记号，j＝1,2,3，……k表示基向量的标号，n是实例的个数，k是基向量的个数，s＞0表示S中每个元素非负；

步骤4：对数据库中还没得到二进制代码的实例进行二进制编码，过称谓对每一个实例x，通过s＝(B’B+2I)^-1B’x得到x的低维实数值，然后通过哈希函数得到它的低维二进制代码，其中B是步骤2-2中定义的基空间，I是跟B同维度的单位矩阵，对整个数据库进行编码，完成数据的二维化；

步骤5：去掉不必要的条件属性，从而分析所得到约简中的条件属性对于决策属性的决策规则；

步骤6：消除数据中的不一致对象和冗余对象，其中不一致对象是指条件属性相同而决策属性不同的对象，冗余对象为条件属性相同而决策属性也相同的对象

步骤7：确定神经元网络模型；

步骤8：训练神经元网络模型，并通过运行算法实现数据分析处理；

步骤9：显示输出结果。

本发明中所述安全防护单元中的DNS服务器包括获取解析模块、正常解析模块，其特征在于还设有黑名单查询模块、黑名单索引数据库、控制策略模块以及日志模块，其中所述获取解析模块与黑名单查询模块相连接，黑名单查询模块与黑名单索引数据库建立通信，黑名单查询模块的输出端分别与正常解析模块、控制策略模块相连接，控制策略模块与日志模块相连接，所述控制策略模块内设有隔离与阻断策略模块、欺骗策略模块、重定向策略模块，所述日志模块内设有日志记录模块以及日志统计模块。

本发明中所述本地监控终端设有控制器、数据采集模块、数据存储模块、数据发送模块，其中控制器分别与数据采集模块、数据存储模块、数据发送模块相连接，数据采集模块和数据发送模块分别与数据存储模块相连接；所述本地监控终端还设有与控制器相连接的网络拥塞检测模块和数据通信快速切换模块，其中网络拥塞检测模块包括传输延时变化率获取模块、基准值调整模块、判断是否重置基准值模块、基准值重置模块、抖动值计算模块，其中传输延时变化率获取模块、基准值调整模块、判断是否重置基准值模块依次连接，判断是否重置基准值模块的输出端分别与基准值重置模块和抖动值计算模块相连接，基准值重置模块的输出端与基准值调整模块相连接。

本发明中网络拥塞检测模块的输出端与数据通信快速切换模块相连接，数据通信快速切换模块的输入端与网络拥塞检测模块中抖动值计算模块的输出端相连接，数据通信快速切换模块包括门限值比对模块、地址分配模块、当前服务网络信号强度接收模块、当前节点与基站距离判断模块、边缘触发模块、通信通道更新/建立模块，其中抖动值计算模块的输出端与门限值比对模块相连接，门限值比对模块的输出端与地址分配模块相连接，地址分配模块与当前节点与基站距离判断模块、边缘触发模块、通信通道更新/建立模块依次相连接，当前服务网络信号强度接收模块的额输出端与门限值比对模块相连接。

本发明所述传输延时变化率获取模块把连续的时间离散化，以帧作为离散化的时间单位，T_i至T_i+1时间间隔内共20帧，用D_i表示数据包的传输延时，传输时延D_i的计算公式为：D_i＝(R_i‐S_i)，其中R_i为接收端收到数据包的时间，S_i为数据包自带的发送时间，计算T_i‐1到T_i时间内传输延时的平均值和T_i到T_i+1时间内传输延时的平均值根据和得到传输延时的变化率DR_i。

本发明所述基准值调整模块进行每单位时间调整基准值：E＝E+DR_i×Δt，其中，E为期望值，Δt为两帧间的时间差。

本发明所述判断是否重置基准值模块判断是否需要重置基准值：若是，则通过基准值重置模块将基准值重置为：E＝D_i+DR_i×(T_i+1‐T_i)/2，然后送入抖动值计算模块，否则直接送入抖动值计算模块。

本发明中抖动值计算模块求平均值与基准值的差值，并对这个差值的绝对值做指数平滑，计算抖动值J_i为：J_i＝(15×J_i‐1+|D_i‐E|)/16，用抖动值表征网络拥塞情况，抖动值越大则即将发生的网络拥塞越严重。

本发明与现有技术相比，能够克服现有监控***中数据无法实时高效传播、信息数据库易受到恶意攻击的问题，具有结构合理、工作可靠等显著的优点。

附图说明：

附图1是本发明的结构框图。

附图2是本发明中安全防护单元的结构框图。

附图标记；管控平台1、本地监控终端2、服务器3、数据接收机构4、数据分析机构5、安全防护单元6、DNS服务器7、管理单元8、安全通信模块9、DNS数据库10。

具体实施方式：

下面结合附图对本发明作进一步的说明。

如附图所示，本发明提出了一种基于云计算的安全用户数据处理***，其特征在于设有管控平台1以及两个以上的本地监控终端2，管控平台1与本地监控终端2经网络通信电路相连接，其中所述管控平台1包括服务器3、数据接收机构4、数据分析机构5，数据分析机构5和数据接收机构4分别与服务器3相连接，数据分析机构5与数据接收机构4相连接，所述管控平台1还设有安全防护单元6，所述安全防护单元6包括用于实现对域名解析请求处理的DNS服务器7、用于实现对用户管理和域名管理和对结果进行查看分析的管理单元8、用于实现管理单元8与DNS服务器7双向通信的安全通信模块9以及DNS数据库10，所述管理单元8设有黑名单更新模块、用户信息管理模块以及访问信息查询模块；所述安全通信模块9内设有认证模块、密钥协商模块、数据加密传输模块、数据一致性检查模块；DNS服务器7经安全通信模块与管理单元建立双向通信，DNS服务器7内的能够实现向DNS数据库10内写入日志记录信息的日志模块与DNS数据库相连接，管理单元8与DNS数据库10相连接；所述数据处理机构还设有数据挖掘单元，所述数据挖掘单元对获取的数据进行如下处理：

步骤1：从数据库中抽取数据，对抽取的数据进行离散化处理；

步骤2：从步骤1所获取的数据库中抽取数据组成训练集X，用于训练哈希函数，训练集的大小n由决定，其中t_α/2表示置信度的值，可以通过t分布临界值获得，ε表示最大的允许误差；

步骤3：用X训练哈希函数，首先涉及目标函数转高位实数数据到低维数据，目标函数定义为：

，

其中X为训练集，B为基空间，B的每一个向量均为训练集X中训练出来的基向量，S是X被投影在基空间B上的低维实数值，λ₁和λ₂是通过十折交叉验证方法取得的可调参数，w_i,j是X中两个实例X_i和X_j之间的欧式距离在高斯核上的投影，S_i和S_j是矩阵S中的两个向量，B_i,j是矩阵B中第i行和第j列的元素，i＝1,2,3，……，n为表示实例的记号，j＝1,2,3，……k表示基向量的标号，n是实例的个数，k是基向量的个数，s＞0表示S中每个元素非负；

步骤4：对数据库中还没得到二进制代码的实例进行二进制编码，过称谓对每一个实例x，通过s=(B’B+2I)^-1B’x得到x的低维实数值，然后通过哈希函数得到它的低维二进制代码，其中B是步骤2-2中定义的基空间，I是跟B同维度的单位矩阵，对整个数据库进行编码，完成数据的二维化；

步骤5：去掉不必要的条件属性，从而分析所得到约简中的条件属性对于决策属性的决策规则；

步骤6：消除数据中的不一致对象和冗余对象，其中不一致对象是指条件属性相同而决策属性不同的对象，冗余对象为条件属性相同而决策属性也相同的对象

步骤7：确定神经元网络模型；

步骤8：训练神经元网络模型，并通过运行算法实现数据分析处理；

步骤9：显示输出结果。

本发明中所述安全防护单元6中的DNS服务器包括获取解析模块、正常解析模块，其特征在于还设有黑名单查询模块、黑名单索引数据库、控制策略模块以及日志模块，其中所述获取解析模块与黑名单查询模块相连接，黑名单查询模块与黑名单索引数据库建立通信，黑名单查询模块的输出端分别与正常解析模块、控制策略模块相连接，控制策略模块与日志模块相连接，所述控制策略模块内设有隔离与阻断策略模块、欺骗策略模块、重定向策略模块，所述日志模块内设有日志记录模块以及日志统计模块。

本发明中所述本地监控终端2设有控制器、数据采集模块、数据存储模块、数据发送模块，其中控制器分别与数据采集模块、数据存储模块、数据发送模块相连接，数据采集模块和数据发送模块分别与数据存储模块相连接；所述本地监控终端还设有与控制器相连接的网络拥塞检测模块和数据通信快速切换模块，其中网络拥塞检测模块包括传输延时变化率获取模块、基准值调整模块、判断是否重置基准值模块、基准值重置模块、抖动值计算模块，其中传输延时变化率获取模块、基准值调整模块、判断是否重置基准值模块依次连接，判断是否重置基准值模块的输出端分别与基准值重置模块和抖动值计算模块相连接，基准值重置模块的输出端与基准值调整模块相连接。

本发明中网络拥塞检测模块的输出端与数据通信快速切换模块相连接，数据通信快速切换模块的输入端与网络拥塞检测模块中抖动值计算模块的输出端相连接，数据通信快速切换模块包括门限值比对模块、地址分配模块、当前服务网络信号强度接收模块、当前节点与基站距离判断模块、边缘触发模块、通信通道更新/建立模块，其中抖动值计算模块的输出端与门限值比对模块相连接，门限值比对模块的输出端与地址分配模块相连接，地址分配模块与当前节点与基站距离判断模块、边缘触发模块、通信通道更新/建立模块依次相连接，当前服务网络信号强度接收模块的额输出端与门限值比对模块相连接。

本发明所述传输延时变化率获取模块把连续的时间离散化，以帧作为离散化的时间单位，T_i至T_i+1时间间隔内共20帧，用D_i表示数据包的传输延时，传输时延D_i的计算公式为：D_i＝(R_i‐S_i)，其中R_i为接收端收到数据包的时间，S_i为数据包自带的发送时间，计算T_i‐1到T_i时间内传输延时的平均值和T_i到T_i+1时间内传输延时的平均值根据和得到传输延时的变化率DR_i。

本发明所述基准值调整模块进行每单位时间调整基准值：E＝E+DR_i×Δt，其中，E为期望值，Δt为两帧间的时间差。

本发明所述判断是否重置基准值模块判断是否需要重置基准值：若是，则通过基准值重置模块将基准值重置为：E＝D_i+DR_i×(T_i+1‐T_i)/2，然后送入抖动值计算模块，否则直接送入抖动值计算模块。

本发明中抖动值计算模块求平均值与基准值的差值，并对这个差值的绝对值做指数平滑，计算抖动值J_i为：J_i＝(15×J_i‐₁+|D_i‐E|)/16，用抖动值表征网络拥塞情况，抖动值越大则即将发生的网络拥塞越严重。

本发明与现有技术相比，能够克服现有监控***中数据无法实时高效传播、信息数据库易受到恶意攻击的问题，具有结构合理、工作可靠等显著的优点。

Claims (6)

1.一种基于云计算的安全用户数据处理***，其特征在于设有管控平台以及两个以上的本地监控终端，管控平台与本地监控终端经网络通信电路相连接，其中所述管控平台包括服务器、数据接收机构、数据分析机构，数据分析机构和数据接收机构分别与服务器相连接，数据分析机构与数据接收机构相连接，所述管控平台还设有安全防护单元，所述安全防护单元包括用于实现对域名解析请求处理的DNS服务器、用于实现对用户管理和域名管理和对结果进行查看分析的管理单元、用于实现管理单元与DNS服务器双向通信的安全通信模块以及DNS数据库，所述管理单元设有黑名单更新模块、用户信息管理模块以及访问信息查询模块；所述安全通信模块内设有认证模块、密钥协商模块、数据加密传输模块、数据一致性检查模块；DNS服务器经安全通信模块与管理单元建立双向通信，DNS服务器内的能够实现向DNS数据库内写入日志记录信息的日志模块与DNS数据库相连接，管理单元分别与黑名单索引数据库和DNS数据库相连接；所述数据处理机构还设有数据挖掘单元，所述数据挖掘单元对获取的数据进行如下处理：

步骤1：从数据库中抽取数据，对抽取的数据进行离散化处理；

步骤2：从步骤1所获取的数据库中抽取数据组成训练集X，用于训练哈希函数，训练集的大小n由决定，其中t_α/2表示置信度的值，可以通过t分布临界值获得，ε表示最大的允许误差；

步骤3：用X训练哈希函数，首先涉及目标函数转高位实数数据到低维数据，目标函数定义为：

$\begin{array}{cc}\underset{B,S}{min}& \left|\right|X-BS|{|}_2+{\mathrm{\λ}}_1{\mathrm{\Σ}}_{i,j}{w}_{i,j}||s_i-s_j|{|}^2+{\mathrm{\λ}}_2\left|\right|S|{|}_1,s.t.,S>0,{\mathrm{\Σ}}_i{B}_{i,j}^2\≤1\end{array}$ ，

其中X为训练集，B为基空间，B的每一个向量均为训练集X中训练出来的基向量，S是X被投影在基空间B上的低维实数值，λ₁和λ₂是通过十折交叉验证方法取得的可调参数，w_i,j是X中两个实例X_i和X_j之间的欧式距离在高斯核上的投影，S_i和S_j是矩阵S中的两个向量，B_i,j是矩阵B中第i行和第j列的元素，i＝1,2,3，……，n为表示实例的记号，j＝1,2,3，……k表示基向量的标号，n是实例的个数，k是基向量的个数，s＞0表示S中每个元素非负；

步骤4：对数据库中还没得到二进制代码的实例进行二进制编码，过称谓对每一个实例x，通过s＝(B’B+2I)^-1B’x得到x的低维实数值，然后通过哈希函数得到它的低维二进制代码，其中B是步骤2-2中定义的基空间，I是跟B同维度的单位矩阵，对整个数据库进行编码，完成数据的二维化；

步骤5：去掉不必要的条件属性，从而分析所得到约简中的条件属性对于决策属性的决策规则；

步骤6：消除数据中的不一致对象和冗余对象，其中不一致对象是指条件属性相同而决策属性不同的对象，冗余对象为条件属性相同而决策属性也相同的对象

步骤7：确定神经元网络模型；

步骤8：训练神经元网络模型，并通过运行算法实现数据分析处理；

步骤9：显示输出结果。

2.根据权利要求1所述的一种基于云计算的安全用户数据处理***，其特征在于所述安全防护单元中的DNS服务器包括获取解析模块、正常解析模块，其特征在于还设有黑名单查询模块、黑名单索引数据库、控制策略模块以及日志模块，其中所述获取解析模块与黑名单查询模块相连接，黑名单查询模块与黑名单索引数据库建立通信，黑名单查询模块的输出端分别与正常解析模块、控制策略模块相连接，控制策略模块与日志模块相连接，所述控制策略模块内设有隔离与阻断策略模块、欺骗策略模块、重定向策略模块，所述日志模块内设有日志记录模块以及日志统计模块。

3.根据权利要求1所述的一种基于云计算的安全用户数据处理***，其特征在于所述本地监控终端设有控制器、数据采集模块、数据存储模块、数据发送模块，其中控制器分别与数据采集模块、数据存储模块、数据发送模块相连接，数据采集模块和数据发送模块分别与数据存储模块相连接；所述本地监控终端还设有与控制器相连接的网络拥塞检测模块和数据通信快速切换模块，其中网络拥塞检测模块包括传输延时变化率获取模块、基准值调整模块、判断是否重置基准值模块、基准值重置模块、抖动值计算模块，其中传输延时变化率获取模块、基准值调整模块、判断是否重置基准值模块依次连接，判断是否重置基准值模块的输出端分别与基准值重置模块和抖动值计算模块相连接，基准值重置模块的输出端与基准值调整模块相连接。

4.根据权利要求1所述的一种基于云计算的安全用户数据处理***，其特征在于网络拥塞检测模块的输出端与数据通信快速切换模块相连接，数据通信快速切换模块的输入端与网络拥塞检测模块中抖动值计算模块的输出端相连接，数据通信快速切换模块包括门限值比对模块、地址分配模块、当前服务网络信号强度接收模块、当前节点与基站距离判断模块、边缘触发模块、通信通道更新/建立模块，其中抖动值计算模块的输出端与门限值比对模块相连接，门限值比对模块的输出端与地址分配模块相连接，地址分配模块与当前节点与基站距离判断模块、边缘触发模块、通信通道更新/建立模块依次相连接，当前服务网络信号强度接收模块的额输出端与门限值比对模块相连接。

5.根据权利要求1所述的一种基于云计算的安全用户数据处理***，其特征在于所述传输延时变化率获取模块把连续的时间离散化，以帧作为离散化的时间单位，T_i至T_i+1时间间隔内共20帧，用D_i表示数据包的传输延时，传输时延D_i的计算公式为：D_i＝(R_i‐S_i)，其中R_i为接收端收到数据包的时间，S_i为数据包自带的发送时间，计算T_i‐₁到T_i时间内传输延时的平均值和T_i到T_i+1时间内传输延时的平均值根据和得到传输延时的变化率DR_i。

6.根据权利要求1所述的一种基于云计算的安全用户数据处理***，其特征在于所述基准值调整模块进行每单位时间调整基准值：E＝E+DR_i×Δt，其中，E为期望值，Δt为两帧间的时间差；所述判断是否重置基准值模块判断是否需要重置基准值：若是，则通过基准值重置模块将基准值重置为：E＝D_i+DR_i×(T_i+1‐T_i)/2，然后送入抖动值计算模块，否则直接送入抖动值计算模块。