CN115941265B - 一种应用于云服务的大数据攻击处理方法及*** - Google Patents
一种应用于云服务的大数据攻击处理方法及*** Download PDFInfo
- Publication number
- CN115941265B CN115941265B CN202211354644.1A CN202211354644A CN115941265B CN 115941265 B CN115941265 B CN 115941265B CN 202211354644 A CN202211354644 A CN 202211354644A CN 115941265 B CN115941265 B CN 115941265B
- Authority
- CN
- China
- Prior art keywords
- user
- information
- abnormal
- attack
- intention
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 16
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 152
- 230000002159 abnormal effect Effects 0.000 claims abstract description 142
- 238000000034 method Methods 0.000 claims abstract description 97
- 230000003993 interaction Effects 0.000 claims abstract description 67
- 230000008569 process Effects 0.000 claims abstract description 57
- 238000005065 mining Methods 0.000 claims abstract description 14
- 238000012423 maintenance Methods 0.000 claims description 89
- 238000004364 calculation method Methods 0.000 claims description 59
- 230000006399 behavior Effects 0.000 claims description 36
- 238000004422 calculation algorithm Methods 0.000 claims description 33
- 238000007621 cluster analysis Methods 0.000 claims description 19
- 238000012937 correction Methods 0.000 claims description 17
- 238000010586 diagram Methods 0.000 claims description 15
- 238000010276 construction Methods 0.000 claims description 12
- 238000013135 deep learning Methods 0.000 claims description 11
- 238000012549 training Methods 0.000 claims description 9
- 238000002372 labelling Methods 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 8
- 238000012544 monitoring process Methods 0.000 abstract 1
- 238000004458 analytical method Methods 0.000 description 21
- 230000005856 abnormality Effects 0.000 description 8
- 238000009826 distribution Methods 0.000 description 6
- 238000003066 decision tree Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000009545 invasion Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- XOFYZVNMUHMLCC-ZPOLXVRWSA-N prednisone Chemical compound O=C1C=C[C@]2(C)[C@H]3C(=O)C[C@](C)([C@@](CC4)(O)C(=O)CO)[C@@H]4[C@@H]3CCC2=C1 XOFYZVNMUHMLCC-ZPOLXVRWSA-N 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 231100000279 safety data Toxicity 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及云计算的安全技术领域,尤其涉及一种应用于云服务的大数据攻击处理方法及***。该方法包括以下步骤:持续监督云服务进程生成的事务交互日志,并根据预设的异常事务模型进行对比,生成异常事务交互日志;根据预设的用户异常行为模型以及预设的***异常日志模型对异常事务交互日志进行扫描比对,生成用户异常行为信息;对用户异常行为信息进行大数据攻击意图挖掘以及识别,生成云会话攻击意图特征集;根据云会话攻击意图特征集的云会话攻击意图特征以及对应的云会话进程信息进行整合,生成异常云会话攻击意图全特征。本发明通过实时监控云服务生成事务交互日志,从而分析并判断用户行为的攻击意图,以实现对大数据攻击处理。
Description
技术领域
本发明涉及云计算的安全技术领域,尤其涉及一种应用于云服务的大数据攻击处理方法及***。
背景技术
大数据以及云计算已经逐步应用于产业发展、政府治理、民生改善等领域,大幅度提高了人们的生产效率和生活水平。于此同时,大数据的数据量大且相互关联,一次成功的大数据攻击能够获得海量数据从而捕捉到有价值的信息,尤其是个人敏感信息,另一方面,大数据技术在大数据技术的应用过程中,无法提供精准可靠的大数据攻击技术识别及其处理服务。
发明内容
本发明为解决上述技术问题,提出了一种应用于云服务的大数据攻击处理方法及***,以解决至少一个上述技术问题。
在本说明书的一个实施例中,提供一种应用于云服务的大数据攻击处理方法,包括以下步骤:
步骤S1:持续监督云服务进程生成的事务交互日志,并根据预设的异常事务模型进行对比,生成异常事务交互日志;
步骤S2:根据预设的用户异常行为模型以及预设的***异常日志模型对异常事务交互日志进行扫描比对,生成用户异常行为信息;
步骤S3:对用户异常行为信息进行大数据攻击意图挖掘以及识别,生成云会话攻击意图特征集;
步骤S4:根据云会话攻击意图特征集的云会话攻击意图特征以及对应的云会话进程信息进行整合,生成异常云会话攻击意图全特征,以供云计算安全防护***进行云计算安全防护作业。
本实施例通过实施监督并分析云服务进程生成的事务交互日志,生成用户异常行为信息,并对用户异常行为信息进行用户攻击意图识别挖掘,生成异常云会话攻击意图全特征,以供大数据安全***做大数据安全决策,从而提供一种准确可靠的应用于云服务的大数据攻击处理方法。
在本说明书的一个实施例中,步骤S1具体为:
获取用户操作数据并根据存储在本地的历史安全详细日志进行审查,以判断用户操作数据是否为安全用户操作数据;
确定用户操作数据为安全用户操作数据时,建立用户云服务进程;
根据用户云服务进程,生成事务交互日志;
对事务交互日志进行字段扫描,生成事务字段日志信息;
对事务交互日志进行参数提取,生成事务参数日志信息;
对事务交互日志进行反馈提取,生成事务反馈日志信息;
根据预设的安全字段对事务字段日志信息进行比对,生成异常事务字段日志信息;
根据预设的安全参数对事务参数日志信息进行比对,生成异常事务参数日志信息;
根据预设的安全反馈对事务反馈日志信息进行比对,生成异常事务反馈日志信息,其中异常事务交互日志包括异常事务字段日志信息、异常事务参数日志信息以及异常事务反馈日志信息。
本实施例通过对用户操作数据以及用户历史操作数据进行比对,以判断是否具备异常操作数据,在判断为用户操作数据为安全操作数据时,对事务交互日志进行字段、参数以及反馈扫描提取并比对预设的安全事务交互日志,以生成异常事务交互日志,从而为下一步做好前提准备工作。
在本说明书的一个实施例中,步骤S2具体为:
根据异常事务交互日志以及***日志生成用户事务交互日志;
根据用户事务交互日志生成用户行为特征信息以及用户特征信息;
根据预存在本地的历史事务交互日志生成历史用户行为信息以及历史用户主体信息;
根据用户特征信息对历史用户主体信息进行比对,生成用户特征异常主体信息;
根据用户行为特征信息对历史用户行为信息进行比对,生成用户特征异常行为信息,其中用户异常行为信息包括用户特征异常主体信息以及用户特征异常行为信息。
本实施例通过对异常事务交互日志深度分析生成用户异常行为信息,以提供准确可靠的用户异常行为信息,其中深度分析的步骤包括对用户主体异常分析以及用户行为异常分析,寻找其中异常特征点并进行关联,生成用户异常行为信息。
在本说明书的一个实施例中,步骤S2还包括以下步骤:
根据用户异常行为模型对异常事务交互日志进行扫描,生成用户异常行为信息;
其中用户异常行为模型的构建步骤如下:
获取用户异常行为信息以及用户异常行为云服务日志信息;
对用户异常行为信息进行聚类分析,生成用户异常行为特征信息;
根据用户异常行为特征信息对用户异常行为云服务日志信息标记,生成用户异常行为特征日志信息;
通过异常加权生成计算公式对用户异常行为特征日志进行计算,生成异常加权特征序列,其中用户异常行为模型包括异常加权特征序列:
异常加权生成计算公式具体为:
Pn为用户异常行为特征日志信息中的第n个字符的加权信息,xn为用户异常行为特征日志信息中的第n个字符,xi为用户异常行为特征日志信息中的从第一个到第n个字符,N为用户异常行为特征日志信息的字符数总和,k为常数调整项,δ为调整项。
本实施例通过异常加权生成计算公式对用户异常行为特征日志分析生成异常加权特征序列,以构建能够分析解构以生成更加贴近用户异常行为信息的用户异常行为模型。
本实施例提供了一种异常加权生成计算公式,该计算公式充分考虑了用户异常行为特征日志信息中的字符信息xn、用户异常行为特征日志信息中的从第一个到第n个字符的字符信息xi、用户异常行为特征日志信息的字符数总和N以及调整项k,同时考虑到了相互之间的深层联动关系,如xi随xn变化而变化,以扫描计算生成更加符合异常信息意义的字符段信息,从而实现准确捕捉具备异常行为意义的日志信息。
在本说明书的一个实施例中,步骤S3具体为:
对用户异常行为信息进行攻击行为意向挖掘,得到第一用户攻击意向;
根据用户异常行为信息通过基于用户异常行为树或者用户异常行为图进行计算,生成第一异常攻击意向;
对第一异常攻击意向进行攻击意向图优化,生成对应云服务进程的优化异常攻击意向图;
根据第一用户攻击意向以及第一用户行为结果信息对第一异常攻击意向进行修正计算,生成第二用户攻击意向;
根据预设的攻击意向识别序列对第二用户攻击意向生成第二异常攻击意向;
根据优化异常攻击意向图以及第二异常攻击意向生成云会话攻击意图特征集;
其中用户异常行为树或者用户异常行为图的构建包括以下步骤:
获取一般用户异常行为信息;
根据一般用户异常行为信息通过深度学习算法,生成用户异常行为树或者用户异常行为图。
本实施例通过对用户异常行为信息进行攻击意向挖掘,得到第一用户攻击意向,以优化生成优化异常攻击意向图并根据第一用户攻击意向以及预设的攻击意向识别序列生成第二异常攻击意向,以实现对用户异常行为的攻击意向识别的多层次分析,其中第一攻击意向基于用户异常行为历史经验进行训练以及攻击意向图优化生成的,第二攻击意向根据预设的攻击意向识别序列生成,将优化异常攻击意向图以及第二异常攻击意向进行拼接生成云会话攻击意图特征集,为下一步以实现推理攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析,进而感知网络空间安全态势做好前提准备。
在本说明书的一个实施例中,第一用户攻击意向包括用户历史攻击目标、用户意向攻击目标曲线、其他用户类似意向攻击目标的确定攻击目标以及预训练常规攻击目标曲线,其中对第一异常攻击意向进行修正计算的修正偏差计算公式具体为:
ΔE为修正计算结果,τ为用户历史攻击目标,σ为用户意向攻击目标曲线,ρ为其他用户类似意向攻击目标的确定攻击目标,μ为预训练常规攻击目标曲线,Pn为用户异常行为特征日志信息中的第n个字符的加权信息,常数。
本实施例提供一种对第一异常攻击意向进行修正计算的修正偏差计算公式,其计算公式充分考虑了用户历史攻击目标τ、用户意向攻击目标曲线σ、其他用户类似意向攻击目标的确定攻击目标ρ、预训练常规攻击目标曲线μ以及用户异常行为特征日志信息中的字符信息的加权信息Pn,其中用户历史攻击目标根据云会话历史记录生成,通过用户历史攻击目标预估用户攻击目标范畴,通过用户意向攻击目标曲线以及其他用户类似意向攻击目标的确定攻击目标进行修正,并利用训练常规攻击目标曲线进行预估加权以及用户异常行为特征日志信息的第n个字符的加权信息Pn进行加权,通过重积分来实现修正计算结果的全运算,以对函数进行增强,有利于生成更加准确的数值信息。
在本说明书的一个实施例中,步骤S4具体为:
根据云会话攻击意图特征集进行聚类分析,生成云会话攻击意图聚类特征集,其中云会话攻击意图聚类特征集包括云会话攻击意图聚类特征;
根据云会话进程信息进行聚类分析,生成云会话聚类进程信息;
根据云会话攻击意图聚类特征集的云会话攻击意图聚类特征以及对应的云会话进程信息生成异常云会话攻击意图全特征。
本实施例通过聚类分析将云会话攻击意图特征集以及云会话进程信息进行深度特征分析生成云会话攻击意图聚类特征集以及云会话聚类进程信息,其中云会话攻击意图聚类特征集包含了攻击者身份、攻击速度以及攻击意图,云会话聚类进程信息包含入侵行为以及攻击意图,将两者进行深度连接并评估威胁分析,进而感知云计算过程中大数据攻击带来安全隐患,以做到对大数据攻击的实施应对,进而保证了云计算的网络空间安全态势。
在本说明书的一个实施例中,步骤S1之前还包括:
获取用户数据以及用户操作数据;
根据用户数据生成用户主体信息;
判断用户主体信息是否为运维用户信息;
确定用户主体信息为运维用户信息时,生成运维申请控件;
通过运维申请控件信息获取运维申请信息,其中所述运维申请信息包括运维时间、目标数据库、操作对象以及操作内容;
根据自主审批模型或者获取的审批意见对运维申请信息,生成运维申请反馈信息;
根据运维申请反馈信息生成大数据库开放权限信息,其中大数据库开放权限信息包括合法访问权限、警告访问权限以及禁止访问权限;
根据大数据库开放权限信息以及用户操作数据进行大数据运维作业;
其中自主审批模型的构建步骤如下:
获取运维信息,并进行安全标注作业,生成运维标注信息,其中安全标注作业包括安全标注、警示标注以及高危标注;
将运维标注信息通过生成树算法,生成运维判断树模型,其中所述自主审批模型为运维判断树模型;
其中获取的审批意见的生成步骤具体为:
生成大数据库审批白名单表单控件,其中所述大数据库审批白名单表单包括运维时间白名单控件、目标数据库白名单控件、操作对象白名单控件以及操作内容白名单控件;
根据大数据库审批白名单表单控件获取大数据库审批白名单数据;
根据大数据库审批白名单数据对运维申请信息进行对比匹配,生成第一审批意见,其中第一审批意见包括审批警示信息,审批警示信息包括安全警示信息、警告警示信息以及高危警示信息;
判断第一审批意见中的审批警示信息是否包含高危警示信息;
确定第一审批意见中的审批警示信息不包含高危警示信息时,生成第二审批意见获取控件;
根据第二审批意见获取控件获取第二审批意见;
其中匹配对比的步骤具体为:
根据大数据审批白名单数据以及运维申请信息生成第一对比度以及第二对比度;
根据第一对比度以及第二对比度通过安全对比度计算公式,生成安全对比度;
判断安全对比度是否在第一安全对比度阈值范围内;
确定安全对比度在第一安全对比度阈值范围内时,生成安全警示信息;
确定安全对比度不在第一安全对比度阈值范围内时,判断安全对比度是否在第二安全对比度阈值范围内;
确定安全对比度在第二阈值范围内时,生成警告警示信息;
确定安全对比度不在第二阈值范围内时,判断安全对比度是否在第三安全对比度阈值范围内时;
确定安全对比度在第三安全对比度阈值范围内,生成高危警示信息;
确定安全对比度不在第三安全对比度阈值范围内,判断安全对比度是否在第一安全对比度阈值范围内。
本实施例通过自主审批或智能审批以实现对运维人员的运维申请作业的深度分析,以形成符合大数据库安全运维原则的反馈信息,从而保证大数据库的安全运维作业,降低内部人员因为意外或者其他原因造成数据泄露或者数据损失,从而造成避免运维工作可能产生的大数据资产流失。
在本说明书的一个实施例中,其中安全对比度计算公式具体为:
S为安全对比度,x为第一对比度,y为第二对比度,α为第一对比度的权重信息,β为第二对比度的权重信息,δ为常数调整项,θ为计算修正项。
本实施例提供一种安全对比度计算公式,该公式充分考虑了第一对比度x及第一对比度的权重信息α、第二对比度y以及第二对比度的权重信息β,同时在计算过程中将第一对比度、第二对比度以及本身蕴含的信息量形成函数关系通过计算修正项对结果进行修正,以提供更加有效的计算依据。
在本说明书的一个实施例中,一种应用于云服务的大数据攻击处理***,所述***包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述中任意一项所述的应用于云服务的大数据攻击处理方法。
本实施例提供一种应用于云服务的大数据攻击处理***,该***能够实现本发明所述任意一种应用于云服务的大数据攻击处理方法,以实现对攻击对象的攻击意图挖掘以及运维人员的运维工作的审查以及可靠性的保证,一方面通过优化后的攻击意图挖掘生成异常云会话攻击意图全特征来实现对攻击意图的准确识别,从而为后续的云服务安全防护提供有效准确的数据支持,另一方面通过对运维人员的自主审批的监督,从而避免内部人员的不当操作造成的数据泄露以及数据损失。
本发明通过对事务交互日志进行大数据攻击意图识别生成云会话攻击意图特征集,并将其通过深度学习算法进行深度挖掘以找出数据的深度关联,进而推理识别大数据攻击者身份信息、攻击速度、入侵行为以及攻击意图,从而进行威胁分析以提供准确有效的大数据攻击安全数据给云服务安全防护做好安全防护工作,进而保障了云服务网络空间安全态势,另一方面,本发明提供对运维人员的运维申请信息的自主审批或智能审批,从而保证避免运维工作潜在的不当操作导致的数据泄露以及数据损失,以保证大数据安全运维工作的有效开展。
附图说明
通过阅读参照以下附图所作的对非限制性实施所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1示出了一实施例的一个应用于云服务的大数据攻击处理方法的步骤流程图;
图2示出了一实施例的一个异常事务交互日志生成方法的步骤流程图;
图3示出了一实施例的一个用户异常行为信息生成方法的步骤流程图;
图4示出了一实施例的一个用户异常行为模型构建方法的步骤流程图;
图5示出了一实施例的一个云会话攻击意图特征集生成方法的步骤流程图;
图6示出了一实施例的一个异常云会话攻击意图全特征生成方法的步骤流程图;
图7示出了一实施例的一个大数据库运维审批方法的步骤流程图;
图8示出了一实施例的一个审批意见生成方法的步骤流程图;
图9a-9b示出了一实施例的一个审批意见中匹配对比方法的步骤流程图。
具体实施方式
下面结合附图对本发明专利的技术方法进行清楚、完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域所属的技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器方法和/或微控制器方法中实现这些功能实体。
应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。
在本说明书的一个实施例中,如图1所示,提供一种应用于云服务的大数据攻击处理方法,包括以下步骤:
步骤S1:持续监督云服务进程生成的事务交互日志,并根据预设的异常事务模型进行对比,生成异常事务交互日志;
具体地,例如获取云服务进程生成的事务交互日志,并将其通过自定义的云服务异常捕捉语句对产生异常的云服务进程进行捕捉并且将对应事务交互日志标记为异常事务交互日志。
具体地,例如事务交互日志刷新时,不断获取更新后的事务交互日志信息,并将事务交互日志信息通过预设的异常事务模型进行比对,生成异常事务交互日志,其中预设的异常事务模型的构建方法如:获取常规异常事务日志,将常规异常事务日志通过深度学习算法生成常规事务日志模型,所述深度学习算法包括线性模型算法、生成决策树算法、神经网络、支持向量机、贝叶斯分类以及集成学习算法。
步骤S2:根据预设的用户异常行为模型以及预设的***异常日志模型对异常事务交互日志进行扫描比对,生成用户异常行为信息;
具体地,例如所述预设的用户异常行为模型以及预设的***异常日志模型为预设条件的异常审查方式,如字段审查、参数审查以及反馈审查,其中预设条件的异常审查方式根据异常行为的事务交互日志进行分析生成的,所述分析可采用深度学习算法生成。
步骤S3:对用户异常行为信息进行大数据攻击意图挖掘以及识别,生成云会话攻击意图特征集;
具体地,例如对用户异常行为信息通过规则模板解析生成云会话攻击意图特征集。
具体地,例如采用基于解释的意图识别方法,生成云会话攻击意图特征集。
具体地,例如采用基于决策理论的意图的识别方法,生成云会话攻击意图特征集。
具体地,例如采用基于规划图分析的意图识别方法,生成云会话攻击意图特征集。
具体地,例如采用基于概率推理的意图识别方法,生成云会话攻击意图特征集。
具体地,例如通过统计的方式,如卡方检验,生成云会话攻击意图特征集。
步骤S4:根据云会话攻击意图特征集的云会话攻击意图特征以及对应的云会话进程信息进行整合,生成异常云会话攻击意图全特征,以供云计算安全防护***进行云计算安全防护作业。
具体地,例如根据云会话攻击意图特征集中的云会话攻击意图特征以及对应的云会话进程信息通过深度学习算法模型进行识别并拼接,生成异常云会话攻击意图全特征,以提供大数据安全防护***提供数据支持。
具体地,例如根据用户行为信息进行攻击意图挖掘,生成用户攻击意图,所述用户攻击意图包含攻击目标、攻击偏向目标、攻击路径以及攻击频率;
根据用户攻击意图进行向量化,生成攻击意图特征向量;
将攻击意图特征向量进行可视化计算,生成攻击意图特征图像信息;
对攻击意图特征图像信息进行修正,生成修正攻击意图特征图像信息;
将修正攻击意图特征图像信息进行高斯分布计算,生成攻击意图高斯分布特征集;
将攻击意图高斯分布特征集跟预存的准确攻击意图高斯分布特征集进行匹配,生成匹配攻击意图分布特征集;
根据匹配攻击意图分布特征集进行显著化处理,生成攻击意图显著特征;
根据攻击意图显著特征生成用户攻击意图显著信息,以给予云服务安全防护***以数据支持。
本实施例通过实施监督并分析云服务进程生成的事务交互日志,生成用户异常行为信息,并对用户异常行为信息进行用户攻击意图识别挖掘,生成异常云会话攻击意图全特征,以供大数据安全***做大数据安全决策,从而提供一种准确可靠的应用于云服务的大数据攻击处理方法。
在本说明书的一个实施例中,如图2所示,步骤S1具体为:
步骤S11:获取用户操作数据并根据存储在本地的历史安全详细日志进行审查,以判断用户操作数据是否为安全用户操作数据;
具体地,例如获取用户操作数据,所述用户操作数据包括用户数据以及操作数据,将用户数据根据历史用户数据集进行比对,以判断是否为合法用户;确定为合法用户时,将操作数据根据初级操作筛选作业进行筛选,以判断是否为合法操作,所述所述审查为根据历史用户数据以及初级筛选规则进行判断用户数据是否为合法用户并判断操作数据是否为合法操作的过程。
步骤S12:确定用户操作数据为安全用户操作数据时,建立用户云服务进程;
具体地,例如通过云服务构建工具进行构建用户云服务进程,如可采用互联网现有提供的云服务构建工具进行构建,或者采用互联网编译技术生成云服务进程。
步骤S13:根据用户云服务进程,生成事务交互日志;
具体地,例如配置用户云服务进程中具备自主生成事务交互日志的过程,在用户云服务进程的运行过程自动生成事务交互日志。
步骤S14:对事务交互日志进行字段扫描,生成事务字段日志信息;
具体地,例如事务交互日志中的数据检索语句进行字段扫描,提取数据检索语句的字段信息。
步骤S15:对事务交互日志进行参数提取,生成事务参数日志信息;
具体地,例如事务交互日志中的数据检索语句进行参数提取,提取数据检索语句的字段信息。
步骤S16:对事务交互日志进行反馈提取,生成事务反馈日志信息;
具体地,例如事务交互日志中根据事务交互产生反馈信息进行反馈提取,生成事务反馈日志信息。
步骤S17:根据预设的安全字段对事务字段日志信息进行比对,生成异常事务字段日志信息;
具体地,例如所述预设的安全字段为数据敏感字段信息,其中数据敏感字段信息包括高数据敏感字段信息、中数据敏感字段信息以及低数据敏感字段信息,根据用户信息中的权限信息进行比对,若确定用户信息中的权限不能够使用该数据敏感级别的字段信息,则生成异常事务字段日志信息。
步骤S18:根据预设的安全参数对事务参数日志信息进行比对,生成异常事务参数日志信息;
具体地,例如所述预设的安全参数为数据敏感参数信息,其中数据敏感参数信息包括高数据敏感参数信息、中数据敏感参数信息以及低数据敏感参数信息,根据用户信息中的权限信息进行比对,若确定用户信息中的权限不能够使用该数据敏感级别的参数信息,则生成异常事务参数日志信息。
步骤S19:根据预设的安全反馈对事务反馈日志信息进行比对,生成异常事务反馈日志信息,其中异常事务交互日志包括异常事务字段日志信息、异常事务参数日志信息以及异常事务反馈日志信息。
具体地,例如所述预设的安全反馈为数据敏感反馈信息,其中数据敏感反馈信息包括高数据敏感反馈信息、中数据敏感反馈信息以及低数据敏感反馈信息,根据用户信息中的权限信息进行比对,若确定用户信息中的权限不能够使用该数据敏感级别的反馈信息,则生成异常事务反馈日志信息。
本实施例通过对用户操作数据以及用户历史操作数据进行比对,以判断是否具备异常操作数据,在判断为用户操作数据为安全操作数据时,对事务交互日志进行字段、参数以及反馈扫描提取并比对预设的安全事务交互日志,以生成异常事务交互日志,从而为下一步做好前提准备工作。
在本说明书的一个实施例中,如图3所示,步骤S2具体为:
步骤S21:根据异常事务交互日志以及***日志生成用户事务交互日志;
具体地,例如:将异常事务交互日志以及云服务***日志进行拼接生成用户事务交互日志,其中拼接为根据对应时间顺序进行整合。
步骤S22:根据用户事务交互日志生成用户行为特征信息以及用户特征信息;
具体地,例如根据用户行为特征的结构生成用户行为正则表达式,并通过用户行为正则表达式进行用户行为特征信息获取作业,生成用户行为特征信息;根据用户特征信息的结构生成用户特征信息正则表达式,并通过用户特征信息正则表达式进行用户特征信息获取作业,生成用户特征信息。
步骤S23:根据预存在本地的历史事务交互日志生成历史用户行为信息以及历史用户主体信息;
具体地,例如根据历史用户行为信息的结构生成历史用户行为正则表达式,并通过历史用户行为正则表达式进行历史用户行为信息获取作业,生成历史用户行为信息;根据历史用户主体信息的结构生成历史用户主体信息正则表达式,并通过历史用户主体信息正则表达式进行历史用户主体信息获取作业,生成历史用户主体信息。
步骤S24:根据用户特征信息对历史用户主体信息进行比对,生成用户特征异常主体信息;
具体地,例如所述用户特征信息包括IP地址、用户账号信息以及机器码信息,将用户特征信息跟历史用户主体信息进行一一比对作业,生成不重合的用户特征信息,并标记为用户特征异常主体信息。
步骤S25:根据用户行为特征信息对历史用户行为信息进行比对,生成用户特征异常行为信息,其中用户异常行为信息包括用户特征异常主体信息以及用户特征异常行为信息。
具体地,例如将历史用户行为信息向量化,生成历史用户行为特征信息,将用户特征信息与历史用户行为特征信息进行比对,比对不成功的部分为用户特征异常行为信息。
本实施例通过对异常事务交互日志深度分析生成用户异常行为信息,以提供准确可靠的用户异常行为信息,其中深度分析的步骤包括对用户主体异常分析以及用户行为异常分析,寻找其中异常特征点并进行关联,生成用户异常行为信息。
在本说明书的一个实施例中,如图3及图4所示,步骤S2还包括以下步骤:
根据用户异常行为模型对异常事务交互日志进行扫描,生成用户异常行为信息;
具体地,例如所述用户异常行为模型根据一般用户异常行为信息通过深度学习算法生成,所述深度学习算法包括线性模型、决策树生成算法、神经网络算法、支持向量机算法、贝叶斯分类算法以及集成学习算法。
其中用户异常行为模型的构建步骤如下:
步骤S201:获取用户异常行为信息以及用户异常行为云服务日志信息;
具体地,例如根据云服务进程生成用户异常行为信息以及用户异常行为云服务日志信息。
具体地,例如通过自定义方式以及随机生成方式,生成异常云服务进程;根据异常云服务进程生成用户异常行为信息以及用户异常行为云服务日志信息。
步骤S202:对用户异常行为信息进行聚类分析,生成用户异常行为特征信息;
具体地,例如进行标签通过K-MEANS算法进行计算生成用户异常行为特征信息。
步骤S203:根据用户异常行为特征信息对用户异常行为云服务日志信息标记,生成用户异常行为特征日志信息;
具体地,例如将用户异常行为特征信息根据相应的与用户异常行为云服务日志信息进行标记作业,生成用户行为特征日志信息。
步骤S204:通过异常加权生成计算公式对用户异常行为特征日志进行计算,生成异常加权特征序列,其中用户异常行为模型包括异常加权特征序列。
具体地,例如如通过发明内容中异常加权生成计算公式进行计算。
异常加权生成计算公式具体为:
Pn为用户异常行为特征日志信息中的第n个字符的加权信息,xn为用户异常行为特征日志信息中的第n个字符,xi为用户异常行为特征日志信息中的从第一个到第n个字符,N为用户异常行为特征日志信息的字符数总和,k为常数调整项,δ为调整项。
本实施例通过异常加权生成计算公式对用户异常行为特征日志分析生成异常加权特征序列,以构建能够分析解构以生成更加贴近用户异常行为信息的用户异常行为模型。
本实施例提供了一种异常加权生成计算公式,该计算公式充分考虑了用户异常行为特征日志信息中的字符信息xn、用户异常行为特征日志信息中的从第一个到第n个字符的字符信息xi、用户异常行为特征日志信息的字符数总和N以及调整项k,同时考虑到了相互之间的深层联动关系,如xi随xn变化而变化以及用户异常行为特征日志信息的字符数总和N对整体的影响,以扫描计算生成更加符合异常信息意义的字符段信息,从而实现准确捕捉具备异常行为意义的日志信息。
在本说明书的一个实施例中,如图5所示,步骤S3具体为:
步骤S31:对用户异常行为信息进行攻击行为意向挖掘,得到第一用户攻击意向;
具体地,例如对用户异常行为信息进行攻击节点分析计算以及攻击偏向变量计算,生成第一用户攻击意向。
步骤S32:根据用户异常行为信息通过基于用户异常行为树或者用户异常行为图进行计算,生成第一异常攻击意向;
具体地,例如所述用户异常行为树根据用户异常历史行为信息通过决策树生成算法生成基于用户异常行为树。
具体地,例如用户异常行为图的生成步骤包括将用户异常行为信息进行重合关联并拼接生成用户异常行为图。
步骤S33:对第一异常攻击意向进行攻击意向图优化,生成对应云服务进程的优化异常攻击意向图;
具体地,例如对第一异常攻击意向的攻击目标、攻击目标偏向以及攻击规划生成攻击意向图优化规划,根据攻击意向优化规划对第一异常攻击意向进行攻击意向图优化,生成对应云服务进程的优化异常攻击意向图。
步骤S34:根据第一用户攻击意向以及第一用户行为结果信息对第一异常攻击意向进行修正计算,生成第二用户攻击意向;
具体地,例如参考本发明中修正计算公式对第一异常攻击意向进行修正计算。
步骤S35:根据预设的攻击意向识别序列对第二用户攻击意向生成第二异常攻击意向;
具体地,例如预设的攻击意向识别序列通过获取自定义或者随机生成的方式生成符合常规攻击意向识别意义的攻击意向识别序列,从而对第二用户攻击意向进行识别生成第二异常攻击意向。
步骤S36:根据优化异常攻击意向图以及第二异常攻击意向生成云会话攻击意图特征集;
具体地,例如将优化异常攻击意向图以及第二异常攻击意向进行整合生成云会话攻击意图特征集。
其中用户异常行为树或者用户异常行为图的构建包括以下步骤:
获取一般用户异常行为信息;
具体地,例如通过用户异常行为自主生成规则以及随机生成算法生成一般用户异常行为信息。
根据一般用户异常行为信息通过深度学习算法,生成用户异常行为树或者用户异常行为图。
具体地,例如通过决策树生成算法生成用户异常行为树。
本实施例通过对用户异常行为信息进行攻击意向挖掘,得到第一用户攻击意向,以优化生成优化异常攻击意向图并根据第一用户攻击意向以及预设的攻击意向识别序列生成第二异常攻击意向,以实现对用户异常行为的攻击意向识别的多层次分析,其中第一攻击意向基于用户异常行为历史经验进行训练以及攻击意向图优化生成的,第二攻击意向根据预设的攻击意向识别序列生成,将优化异常攻击意向图以及第二异常攻击意向进行拼接生成云会话攻击意图特征集,为下一步以实现推理攻击者身份、攻击速度、入侵行为、攻击意图和进行威胁分析,进而感知网络空间安全态势做好前提准备。
在本说明书的一个实施例中,第一用户攻击意向包括用户历史攻击目标、用户意向攻击目标曲线、其他用户类似意向攻击目标的确定攻击目标以及预训练常规攻击目标曲线,其中对第一异常攻击意向进行修正计算的修正偏差计算公式具体为:
ΔE为修正计算结果,τ为用户历史攻击目标,σ为用户意向攻击目标曲线,ρ为其他用户类似意向攻击目标的确定攻击目标,μ为预训练常规攻击目标曲线,Pn为用户异常行为特征日志信息中的第n个字符的加权信息,常数。
本实施例提供一种对第一异常攻击意向进行修正计算的修正偏差计算公式,其计算公式充分考虑了用户历史攻击目标τ、用户意向攻击目标曲线σ、其他用户类似意向攻击目标的确定攻击目标ρ、预训练常规攻击目标曲线μ以及用户异常行为特征日志信息中的字符信息的加权信息Pn,其中用户历史攻击目标根据云会话历史记录生成,通过用户历史攻击目标预估用户攻击目标范畴,通过用户意向攻击目标曲线以及其他用户类似意向攻击目标的确定攻击目标进行修正,以产生贴近该云服务可能产生的意向攻击目标攻击向量,并利用训练常规攻击目标曲线进行预估加权以及用户异常行为特征日志信息的第n个字符的加权信息Pn进行加权,通过重积分来实现修正计算结果的全运算,以对函数进行增强,有利于生成更加准确的数值信息。
在本说明书的一个实施例中,如图6所示,步骤S4具体为:
步骤S41:根据云会话攻击意图特征集进行聚类分析,生成云会话攻击意图聚类特征集,其中云会话攻击意图聚类特征集包括云会话攻击意图聚类特征;
具体地,例如采用K-MEANS算法进行聚类分析计算。
具体地,例如采用层次聚类算法进行聚类分析计算。
具体地,例如采用其他聚类分析算法进行计算,如混合高斯聚类分析计算,在实际分析过程中,如果遇到数据量过大,可先进行数据降维以及分层计算的方式进行迭代。
步骤S42:根据云会话进程信息进行聚类分析,生成云会话聚类进程信息;
具体地,例如采用K-MEANS算法进行聚类分析计算。
具体地,例如采用层次聚类算法进行聚类分析计算。
具体地,例如采用其他聚类分析算法进行计算,如混合高斯聚类分析计算,在实际分析过程中,如果遇到数据量过大,可先进行数据降维以及分层计算的方式进行迭代。
步骤S43:根据云会话攻击意图聚类特征集的云会话攻击意图聚类特征以及对应的云会话进程信息生成异常云会话攻击意图全特征。
具体地,例如将云会话攻击意图聚类特征跟预存的异常云会话攻击意图聚类特征集进行对比,其中云会话攻击意图聚类特征包括攻击者速度以及攻击目标,同时对云会话进程信息进行实时监控,以根据***参数是否在安全指数范围内如是否发生数据泄露、机器宏机以及内存不足的问题,生成异常云会话攻击意图全特征,以给云服务安全防护***提供数据支持。
本实施例通过聚类分析将云会话攻击意图特征集以及云会话进程信息进行深度特征分析生成云会话攻击意图聚类特征集以及云会话聚类进程信息,其中云会话攻击意图聚类特征集包含了攻击者身份、攻击速度以及攻击意图,云会话聚类进程信息包含入侵行为以及攻击意图,将两者进行深度连接并评估威胁分析,进而感知云计算过程中大数据攻击带来安全隐患,以做到对大数据攻击的实施应对,进而保证了云计算的网络空间安全态势。
在本说明书的一个实施例中,如图7、图8以及图9a至9b所示,步骤S1之前还包括:
步骤S01:获取用户数据以及用户操作数据;
具体地,例如生成用户数据获取控件以进行用户数据获取作业,生成用户操作数据获取控件以进行用户操作数据获取作业。
步骤S02:根据用户数据生成用户主体信息;
具体地,例如根据用户数据中的账户数据比对存储在本地服务器的用户主体数据,生成用户主体信息,其中用户主体信息包括是否为运维用户信息。
步骤S03:判断用户主体信息是否为运维用户信息;
具体地,例如运维用户信息在数据表对应栏中给予相应的编号,如01、YW以及其他自定义标签,以进行比对作业从而判断用户主体信息是否为运维用户信息。
步骤S04:确定用户主体信息为运维用户信息时,生成运维申请控件;
具体地,例如通过***接口编程技术生成运维申请控件。
步骤S05:通过运维申请控件信息获取运维申请信息,其中所述运维申请信息包括运维时间、目标数据库、操作对象以及操作内容;
具体地,例如表单控件生成技术包括表单栏生成技术,对表单栏生成技术内部进行调整。
步骤S06:根据自主审批模型或者获取的审批意见对运维申请信息,生成运维申请反馈信息;
具体地,例如自主审批模型根据大数据库安全开放条例进行生成,如安全运维时间段、安全运维大数据库表以及安全运维大数据人员审核。
具体地,例如获取的审批意见可以通过审批意见表单控件进行审批意见获取作业。
步骤S07:根据运维申请反馈信息生成大数据库开放权限信息,其中大数据库开放权限信息包括合法访问权限、警告访问权限以及禁止访问权限;
具体地,例如运维申请反馈信息包括合法访问权限授予、警告访问权限授予以及禁止访问权限授予。
步骤S08:根据大数据库开放权限信息以及用户操作数据进行大数据运维作业;
具体地,例如根据大数据开放权限信息对相应用户操作数据进行约束,如对不同表、相同表的不同项的查询或者修改的通过与否。
其中自主审批模型的构建步骤如下:
获取运维信息,并进行安全标注作业,生成运维标注信息,其中安全标注作业包括安全标注、警示标注以及高危标注;
具体地,例如安全标注作业可以根据关键词搜索方式进行自动化标注作业,如通过正则表达式抓取关键词,并根据预设的关键词匹配生成不同等级的运维信息,对不同等级运维信息进行相应的标注作业。
将运维标注信息通过生成树算法,生成运维判断树模型,其中所述自主审批模型为运维判断树模型;
具体地,例如所述生成树算法可参考决策生成树算法,根据信息熵公式计算,将相对信息熵从高到低生成决策树的树叶。
其中获取的审批意见的生成步骤具体为:
步骤S61:生成大数据库审批白名单表单控件,其中所述大数据库审批白名单表单包括运维时间白名单控件、目标数据库白名单控件、操作对象白名单控件以及操作内容白名单控件;
具体地,例如根据***接口编程技术生成控件,可以通过网页编译技术生成控件。
具体地,例如通过控件生成软件进行控件生成作业。
步骤S62:根据大数据库审批白名单表单控件获取大数据库审批白名单数据;
具体地,例如根据***接口编程技术生成控件。
步骤S63:根据大数据库审批白名单数据对运维申请信息进行对比匹配,生成第一审批意见,其中第一审批意见包括审批警示信息,审批警示信息包括安全警示信息、警告警示信息以及高危警示信息;
具体地,例如所述大数据审批白名单为预先设定的大数据白名单。
步骤S64:判断第一审批意见中的审批警示信息是否包含高危警示信息;
具体地,例如根据比较函数符号进行比较,以进行判断第一审批意见中的审批警示信息是否包含高危警示信息。
步骤S65:确定第一审批意见中的审批警示信息不包含高危警示信息时,生成第二审批意见获取控件;
具体地,例如通过***接口编程技术生成控件。
步骤S66:根据第二审批意见获取控件获取第二审批意见;
具体地,例如第二审批意见获取控件为表单控件,获取输入的审批意见表单信息,以生成第二审批意见。
其中匹配对比的步骤具体为:
步骤S631:根据大数据审批白名单数据以及运维申请信息生成第一对比度以及第二对比度;
具体地,例如根据大数据审批白名单数据对运维申请信息进行比对,将符合的部分进行数值化并标记为第一对比度,将不符合的部分标记进行数值化并标记为第二对比度,其数值化操作包括根据拟合度以及重要程度进行加权计算。
步骤S632:根据第一对比度以及第二对比度通过安全对比度计算公式,生成安全对比度;
具体地,例如生成的安全对比度为0.5;
步骤S633:判断安全对比度是否在第一安全对比度阈值范围内;
具体地,例如所述第一安全对比度阈值为0-0.3。
步骤S634:确定安全对比度在第一安全对比度阈值范围内时,生成安全警示信息;
具体地,例如生成的安全对比度为0.2,在预设的第一安全对比度阈值范围为0-0.3范围内时,生成安全警示信息。
步骤S635:确定安全对比度不在第一安全对比度阈值范围内时,判断安全对比度是否在第二安全对比度阈值范围内;
具体地,例如生成的安全对比度为0.5,不在第一安全对比度阈值范围内如0-0.3范围内,判断安全对比度是否在第二安全对比度阈值范围如0.3-0.6内。
步骤S636:确定安全对比度在第二阈值范围内时,生成警告警示信息;
具体地,例如确定安全对比度为0.5在第二阈值范围内如0.3-0.6范围内,生成警告警示信息。
步骤S637:确定安全对比度不在第二阈值范围内时,判断安全对比度是否在第三安全对比度阈值范围内时;
具体地,例如确定安全对比度如0.7不在第二阈值范围内如0.3-0.6内,判断安全对比度是否在第三安全对比度阈值范围内时。
步骤S638:确定安全对比度在第三安全对比度阈值范围内,生成高危警示信息;
具体地,例如确定安全对比度如0.7在第三安全对比度阈值范围内如0.6-1.0范围内,生成高危警示信息。
步骤S639:确定安全对比度不在第三安全对比度阈值范围内,判断安全对比度是否在第一安全对比度阈值范围内。
具体地,例如确定安全对比度如0.1不在第三安全对比度阈值范围内如0.6-1.0内,判断安全对比度如0.1是否在第一安全对比度阈值范围内如0-0.3内。
本实施例通过自主审批或智能审批以实现对运维人员的运维申请作业的深度分析,以形成符合大数据库安全运维原则的反馈信息,从而保证大数据库的安全运维作业,降低内部人员因为意外或者其他原因造成数据泄露或者数据损失,从而造成避免运维工作可能产生的大数据资产流失。
在本说明书的一个实施例中,其中安全对比度计算公式具体为:
S为安全对比度,x为第一对比度,y为第二对比度,α为第一对比度的权重信息,β为第二对比度的权重信息,δ为常数调整项,θ为计算修正项。
本实施例提供一种安全对比度计算公式,该公式充分考虑了第一对比度x及第一对比度的权重信息α、第二对比度y以及第二对比度的权重信息β,只考虑第一对比度x或者第二对比度y容易造成结果支撑不够,考虑第一对比度x以及第二对比度y的同时考虑其蕴涵的信息量通过权重信息进行纠偏,同时在计算过程中形成函数关系通过计算修正项对结果进行修正,以提供更加有效的计算依据。/>
在本说明书的一个实施例中,一种应用于云服务的大数据攻击处理***,所述***包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述中任意一项所述的应用于云服务的大数据攻击处理方法。
本实施例提供一种应用于云服务的大数据攻击处理***,该***能够实现本发明所述任意一种应用于云服务的大数据攻击处理方法,以实现对攻击对象的攻击意图挖掘以及运维人员的运维工作的审查以及可靠性的保证,一方面通过优化后的攻击意图挖掘生成异常云会话攻击意图全特征来实现对攻击意图的准确识别,从而为后续的云服务安全防护提供有效准确的数据支持,另一方面通过对运维人员的自主审批的监督,从而避免内部人员的不当操作造成的数据泄露以及数据损失。
本发明通过对事务交互日志进行大数据攻击意图识别生成云会话攻击意图特征集,并将其通过深度学习算法进行深度挖掘以找出数据的深度关联,进而推理识别大数据攻击者攻击身份、攻击目标以及攻击意图,从而进行威胁分析以提供准确有效的大数据攻击安全数据给云服务安全防护做好安全防护工作,进而保障了云服务网络空间安全态势,另一方面,本发明提供对运维人员的运维申请信息的自主审批或智能审批,从而保证避免运维工作潜在的不当操作导致的数据泄露以及数据损失,以保证大数据安全运维工作的有效开展。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所发明的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种应用于云服务的大数据攻击处理方法,其特征在于,包括以下步骤:
步骤S1:持续监督云服务进程生成的事务交互日志,并根据预设的异常事务模型进行对比,生成异常事务交互日志;
步骤S2,包括:
根据用户异常行为模型对异常事务交互日志进行扫描,生成用户异常行为信息;
其中用户异常行为模型的构建步骤如下:
获取用户异常行为信息以及用户异常行为云服务日志信息;
对用户异常行为信息进行聚类分析,生成用户异常行为特征信息;
根据用户异常行为特征信息对用户异常行为云服务日志信息标记,生成用户异常行为特征日志信息;
通过异常加权生成计算公式对用户异常行为特征日志进行计算,生成异常加权特征序列,其中用户异常行为模型包括异常加权特征序列;
其中异常加权生成计算公式具体为:
;
为用户异常行为特征日志信息中的第/>个字符的加权信息,/>为用户异常行为特征日志信息中的第/>个字符,/>为用户异常行为特征日志信息中的从第一个到第/>个字符,/>为用户异常行为特征日志信息的字符数总和,/>为常数调整项,/>为调整项;
步骤S3:对用户异常行为信息进行大数据攻击意图挖掘以及识别,生成云会话攻击意图特征集;
步骤S4:根据云会话攻击意图特征集的云会话攻击意图特征以及对应的云会话进程信息进行整合,生成异常云会话攻击意图全特征,以供云计算安全防护***进行云计算安全防护作业。
2.根据权利要求1所述的方法,其特征在于,步骤S1具体为:
获取用户操作数据并根据存储在本地的历史安全详细日志进行审查,以判断用户操作数据是否为安全用户操作数据;
确定用户操作数据为安全用户操作数据时,建立用户云服务进程;
根据用户云服务进程,生成事务交互日志;
对事务交互日志进行字段扫描,生成事务字段日志信息;
对事务交互日志进行参数提取,生成事务参数日志信息;
对事务交互日志进行反馈提取,生成事务反馈日志信息;
根据预设的安全字段对事务字段日志信息进行比对,生成异常事务字段日志信息;
根据预设的安全参数对事务参数日志信息进行比对,生成异常事务参数日志信息;
根据预设的安全反馈对事务反馈日志信息进行比对,生成异常事务反馈日志信息,其中异常事务交互日志包括异常事务字段日志信息、异常事务参数日志信息以及异常事务反馈日志信息。
3.根据权利要求1所述的方法,其特征在于,步骤S3具体为:
对用户异常行为信息进行攻击行为意向挖掘,得到第一用户攻击意向;
根据用户异常行为信息通过基于用户异常行为树或者用户异常行为图进行计算,生成第一异常攻击意向;
对第一异常攻击意向进行攻击意向图优化,生成对应云服务进程的优化异常攻击意向图;
根据第一用户攻击意向以及第一用户行为结果信息对第一异常攻击意向进行修正计算,生成第二用户攻击意向;
根据预设的攻击意向识别序列对第二用户攻击意向生成第二异常攻击意向;
根据优化异常攻击意向图以及第二异常攻击意向生成云会话攻击意图特征集;
其中用户异常行为树或者用户异常行为图的构建包括以下步骤:
获取一般用户异常行为信息;
根据一般用户异常行为信息通过深度学习算法,生成用户异常行为树或者用户异常行为图。
4.根据权利要求1所述的方法,其特征在于,第一用户攻击意向包括用户历史攻击目标、用户意向攻击目标曲线、其他用户类似意向攻击目标的确定攻击目标以及预训练常规攻击目标曲线,其中对第一异常攻击意向进行修正计算的修正偏差计算公式具体为:
;
为修正计算结果,/>为用户历史攻击目标,/>为用户意向攻击目标曲线,/>为其他用户类似意向攻击目标的确定攻击目标,/>为预训练常规攻击目标曲线,/>为用户异常行为特征日志信息中的第/>个字符的加权信息,/>为常数。
5.根据权利要求1所述的方法,其特征在于,步骤S4具体为:
根据云会话攻击意图特征集进行聚类分析,生成云会话攻击意图聚类特征集,其中云会话攻击意图聚类特征集包括云会话攻击意图聚类特征;
根据云会话进程信息进行聚类分析,生成云会话聚类进程信息;
根据云会话攻击意图聚类特征集的云会话攻击意图聚类特征以及对应的云会话进程信息生成异常云会话攻击意图全特征。
6.根据权利要求1所述的方法,其特征在于,步骤S1之前还包括:
获取用户数据以及用户操作数据;
根据用户数据生成用户主体信息;
判断用户主体信息是否为运维用户信息;
确定用户主体信息为运维用户信息时,生成运维申请控件;
通过运维申请控件信息获取运维申请信息,其中所述运维申请信息包括运维时间、目标数据库、操作对象以及操作内容;
根据自主审批模型或者获取的审批意见对运维申请信息,生成运维申请反馈信息;
根据运维申请反馈信息生成大数据库开放权限信息,其中大数据库开放权限信息包括合法访问权限、警告访问权限以及禁止访问权限;
根据大数据库开放权限信息以及用户操作数据进行大数据运维作业;
其中自主审批模型的构建步骤如下:
获取运维信息,并进行安全标注作业,生成运维标注信息,其中安全标注作业包括安全标注、警示标注以及高危标注;
将运维标注信息通过生成树算法,生成运维判断树模型,其中所述自主审批模型为运维判断树模型;
其中获取的审批意见的生成步骤具体为:
生成大数据库审批白名单表单控件,其中所述大数据库审批白名单表单包括运维时间白名单控件、目标数据库白名单控件、操作对象白名单控件以及操作内容白名单控件;
根据大数据库审批白名单表单控件获取大数据库审批白名单数据;
根据大数据库审批白名单数据对运维申请信息进行对比匹配,生成第一审批意见,其中第一审批意见包括审批警示信息,审批警示信息包括安全警示信息、警告警示信息以及高危警示信息;
判断第一审批意见中的审批警示信息是否包含高危警示信息;
确定第一审批意见中的审批警示信息不包含高危警示信息时,生成第二审批意见获取控件;
根据第二审批意见获取控件获取第二审批意见;
其中匹配对比的步骤具体为:
根据大数据审批白名单数据以及运维申请信息生成第一对比度以及第二对比度;
根据第一对比度以及第二对比度通过安全对比度计算公式,生成安全对比度;
判断安全对比度是否在第一安全对比度阈值范围内;
确定安全对比度在第一安全对比度阈值范围内时,生成安全警示信息;
确定安全对比度不在第一安全对比度阈值范围内时,判断安全对比度是否在第二安全对比度阈值范围内;
确定安全对比度在第二阈值范围内时,生成警告警示信息;
确定安全对比度不在第二阈值范围内时,判断安全对比度是否在第三安全对比度阈值范围内时;
确定安全对比度在第三安全对比度阈值范围内,生成高危警示信息;
确定安全对比度不在第三安全对比度阈值范围内,判断安全对比度是否在第一安全对比度阈值范围内。
7.根据权利要求1所述的方法,其特征在于,其中安全对比度计算公式具体为:
;
S为安全对比度,为第一对比度,/>为第二对比度,/>为第一对比度的权重信息,/>为第二对比度的权重信息,/>为常数调整项,/>为计算修正项。
8.一种应用于云服务的大数据攻击处理***,其特征在于,所述***包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的应用于云服务的大数据攻击处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211354644.1A CN115941265B (zh) | 2022-11-01 | 2022-11-01 | 一种应用于云服务的大数据攻击处理方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211354644.1A CN115941265B (zh) | 2022-11-01 | 2022-11-01 | 一种应用于云服务的大数据攻击处理方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115941265A CN115941265A (zh) | 2023-04-07 |
| CN115941265B true CN115941265B (zh) | 2023-10-03 |
Family
ID=86651704
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211354644.1A Active CN115941265B (zh) | 2022-11-01 | 2022-11-01 | 一种应用于云服务的大数据攻击处理方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115941265B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关*** |
| WO2018177247A1 (zh) * | 2017-03-28 | 2018-10-04 | 瀚思安信(北京)软件技术有限公司 | 用于检测计算机网络***用户的异常行为的方法 |
| CN109861844A (zh) * | 2018-12-07 | 2019-06-07 | 中国人民大学 | 一种基于日志的云服务问题细粒度智能溯源方法 |
| CN109918279A (zh) * | 2019-01-24 | 2019-06-21 | 平安科技(深圳)有限公司 | 电子装置、基于日志数据识别用户异常操作的方法及存储介质 |
| CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
| KR20210132545A (ko) * | 2020-04-27 | 2021-11-04 | (주)세이퍼존 | 이상행위 탐지 장치, 방법 및 이를 포함하는 시스템 |
| CN114500099A (zh) * | 2022-03-04 | 2022-05-13 | 青岛德鑫网络技术有限公司 | 一种针对云服务的大数据攻击处理方法及服务器 |
| CN114765584A (zh) * | 2020-12-30 | 2022-07-19 | 苏州国双软件有限公司 | 一种用户行为监测方法、装置、电子设备及存储介质 |
-
2022
- 2022-11-01 CN CN202211354644.1A patent/CN115941265B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753936A (zh) * | 2015-03-24 | 2015-07-01 | 西北工业大学 | Opc安全网关*** |
| WO2018177247A1 (zh) * | 2017-03-28 | 2018-10-04 | 瀚思安信(北京)软件技术有限公司 | 用于检测计算机网络***用户的异常行为的方法 |
| CN109861844A (zh) * | 2018-12-07 | 2019-06-07 | 中国人民大学 | 一种基于日志的云服务问题细粒度智能溯源方法 |
| CN109918279A (zh) * | 2019-01-24 | 2019-06-21 | 平安科技(深圳)有限公司 | 电子装置、基于日志数据识别用户异常操作的方法及存储介质 |
| KR20210132545A (ko) * | 2020-04-27 | 2021-11-04 | (주)세이퍼존 | 이상행위 탐지 장치, 방법 및 이를 포함하는 시스템 |
| CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
| CN114765584A (zh) * | 2020-12-30 | 2022-07-19 | 苏州国双软件有限公司 | 一种用户行为监测方法、装置、电子设备及存储介质 |
| CN114500099A (zh) * | 2022-03-04 | 2022-05-13 | 青岛德鑫网络技术有限公司 | 一种针对云服务的大数据攻击处理方法及服务器 |
Non-Patent Citations (1)
| Title |
|---|
| "基于数据挖掘的数据库入侵检测***的设计与实现";石冬冬;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115941265A (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110070141B (zh) | 一种网络入侵检测方法 | |
| CN111639497B (zh) | 一种基于大数据机器学习的异常行为发现方法 | |
| Hosseini et al. | Anomaly process detection using negative selection algorithm and classification techniques | |
| CN111143838B (zh) | 数据库用户异常行为检测方法 | |
| CN116305168B (zh) | 一种多维度信息安全风险评估方法、***及存储介质 | |
| CN111047173B (zh) | 基于改进d-s证据理论的社团可信度评估方法 | |
| CN112632609B (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| Jia et al. | A zest of lime: Towards architecture-independent model distances | |
| CN115691034A (zh) | 一种智能家居异常情况告警方法、***及存储介质 | |
| CN117972783A (zh) | 基于联邦学习的大数据隐私保护方法及*** | |
| CN110716957B (zh) | 类案可疑对象智能挖掘分析方法 | |
| Venkateswaran et al. | Hybridized Wrapper Filter Using Deep Neural Network for Intrusion Detection. | |
| CN117992953A (zh) | 基于操作行为跟踪的异常用户行为识别方法 | |
| Sathya | Ensemble Machine Learning Techniques for Attack Prediction in NIDS Environment | |
| CN115941265B (zh) | 一种应用于云服务的大数据攻击处理方法及*** | |
| CN114285587A (zh) | 域名鉴别方法和装置、域名分类模型的获取方法和装置 | |
| CN117014193A (zh) | 一种基于行为基线的未知Web攻击检测方法 | |
| CN116451194A (zh) | 一种基于客户端行为特征的人机校验模型及方法 | |
| Ma et al. | Enhanced fairness testing via generating effective initial individual discriminatory instances | |
| Adams et al. | Grouper: Optimizing crowdsourced face annotations | |
| Olga et al. | Big data analysis methods based on machine learning to ensure information security | |
| CN113469816A (zh) | 基于多组学技术的数字货币识别方法、***和存储介质 | |
| Zuhayr et al. | Detection Model for URL Phishing with Comparison Between Shallow Machine Learning and Deep Learning Models | |
| Mishra et al. | A Review of Machine Learning-based Intrusion Detection System | |
| CN117521042B (zh) | 基于集成学习的高危授权用户识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |