一种查询风险识别方法及装置与流程

1.本发明涉及信息安全技术领域，更具体的，涉及一种查询风险识别方法及装置。


背景技术：

2.随着分布式系统的广泛应用，很多组织或机构开始使用分布式系统的方式来完成系统与数据的部署。以前需要去一个服务器查询的数据，使用分布式系统之后可能需要去多个服务器查询。
3.为了提高分布式系统数据的安全性，如何及时准确的识别分布式系统的查询风险，成为本领域亟待解决的技术问题。


技术实现要素：

4.有鉴于此，本发明提供了一种查询风险识别方法及装置，通过及时准确的识别查询风险，提高了分布式系统数据的安全性。
5.为了解决上述技术问题，本发明提供的具体技术方案如下：
6.一种查询风险识别方法，包括：
7.在接收到对分布式系统的查询请求的情况下，获取查询操作数据；
8.判断所述查询操作数据是否与所述分布式系统的存储方式全景图中的必要性规则冲突；
9.若所述查询操作数据与任意一条必要性规则冲突，确定本次查询存在风险；
10.若所述查询操作数据与每一条必要性规则都不冲突，判断所述查询操作数据是否与所述分布式系统的存储方式全景图中的非必要性规则冲突；
11.若所述查询操作数据与每一条非必要性规则都不冲突，确定本次查询不存在风险；
12.若所述查询操作数据与非必要性规则冲突，确定与所述查询操作数据冲突的非必要性规则；
13.将所述查询操作数据以及与所述查询操作数据冲突的非必要性规则的相关数据输入预先构建的查询风险识别模型，根据所述查询风险识别模型的输出结果确定本次查询是否存在风险。
14.可选的，构建所述分布式系统的存储方式全景图的方法包括：
15.获取历史查询操作数据；
16.分别将每条所述历史查询操作数据转换为数学表达式；
17.利用非监督归纳模型对每个所述数学表达式进行查询规律总结，得到至少一条必要性规则和至少一条非必要性规则。
18.可选的，在所述利用非监督归纳模型对每个所述数学表达式进行查询规律总结，得到至少一条必要性规则和至少一条非必要性规则之后，所述方法还包括：
19.针对每条非必要性规则，统计与该非必要性规则冲突且存在风险的所述历史查询
操作数据的数量以及与该非必要性规则冲突且不存在风险的所述历史查询操作数据的数量；
20.针对每条非必要性规则，根据与该非必要性规则冲突且存在风险的所述历史查询操作数据的数量以及与该非必要性规则冲突且不存在风险的所述历史查询操作数据的数量，确定所述历史查询操作数据与该非必要性规则冲突且存在风险的概率；
21.根据所述历史查询操作数据与每条非必要性规则冲突且存在风险的概率以及预先设定的概率区间与风险等级之间的对应关系，确定每条非必要性规则的风险等级。
22.可选的，构建所述查询风险识别模型的方法包括：
23.获取所述分布式系统的存储方式全景图中与非必要性规则冲突的所述历史查询操作数据，作为样本数据；
24.分别标记每条样本数据是否存在风险，并分别标记每条样本冲突的非必要性规则的标识以及非必要性规则的风险等级；
25.将标记后的样本数据划分为训练集和验证集；
26.利用所述训练集对神经网络模型进行训练；
27.利用所述验证集对训练后的神经网络模型进行验证，在验证结果满足预设要求的情况下，所述查询风险识别模型构建完成。
28.可选的，将所述查询操作数据以及与所述查询操作数据冲突的非必要性规则的相关数据输入预先构建的查询风险识别模型，根据所述查询风险识别模型的输出结果确定本次查询是否存在风险，包括：
29.将所述查询操作数据以及与所述查询操作数据冲突的非必要性规则的标识和风险等级输入所述查询风险识别模型，根据所述查询风险识别模型的输出结果确定本次查询是否存在风险。
30.可选的，在确定本次查询存在风险之后，所述方法还包括：
31.提示本次查询存在风险。
32.一种查询风险识别装置，包括：
33.数据获取单元，用于在接收到对分布式系统的查询请求的情况下，获取查询操作数据；
34.第一判断单元，用于判断所述查询操作数据是否与所述分布式系统的存储方式全景图中的必要性规则冲突；若所述查询操作数据与任意一条必要性规则冲突，确定本次查询存在风险；若所述查询操作数据与每一条必要性规则都不冲突，触发第二判断单元；
35.所述第二判断单元，用于判断所述查询操作数据是否与所述分布式系统的存储方式全景图中的非必要性规则冲突；若所述查询操作数据与每一条非必要性规则都不冲突，确定本次查询不存在风险；若所述查询操作数据与非必要性规则冲突，触发非必要性规则确定单元；
36.所述非必要性规则确定单元，具体用于确定与所述查询操作数据冲突的非必要性规则；
37.风险识别单元，用于将所述查询操作数据以及与所述查询操作数据冲突的非必要性规则的相关数据输入预先构建的查询风险识别模型，根据所述查询风险识别模型的输出结果确定本次查询是否存在风险。
38.可选的，所述装置还包括存储方式全景图构建单元，具体用于：
39.获取历史查询操作数据；
40.分别将每条所述历史查询操作数据转换为数学表达式；
41.利用非监督归纳模型对每个所述数学表达式进行查询规律总结，得到至少一条必要性规则和至少一条非必要性规则。
42.可选的，所述存储方式全景图构建单元，还用于：
43.针对每条非必要性规则，统计与该非必要性规则冲突且存在风险的所述历史查询操作数据的数量以及与该非必要性规则冲突且不存在风险的所述历史查询操作数据的数量；
44.针对每条非必要性规则，根据与该非必要性规则冲突且存在风险的所述历史查询操作数据的数量以及与该非必要性规则冲突且不存在风险的所述历史查询操作数据的数量，确定所述历史查询操作数据与该非必要性规则冲突且存在风险的概率；
45.根据所述历史查询操作数据与每条非必要性规则冲突且存在风险的概率以及预先设定的概率区间与风险等级之间的对应关系，确定每条非必要性规则的风险等级。
46.可选的，所述装置还包括查询风险识别模型构建单元，具体用于：
47.获取所述分布式系统的存储方式全景图中与非必要性规则冲突的所述历史查询操作数据，作为样本数据；
48.分别标记每条样本数据是否存在风险，并分别标记每条样本冲突的非必要性规则的标识以及非必要性规则的风险等级；
49.将标记后的样本数据划分为训练集和验证集；
50.利用所述训练集对神经网络模型进行训练；
51.利用所述验证集对训练后的神经网络模型进行验证，在验证结果满足预设要求的情况下，所述查询风险识别模型构建完成。
52.可选的，所述风险识别单元，具体用于将所述查询操作数据以及与所述查询操作数据冲突的非必要性规则的标识和风险等级输入所述查询风险识别模型，根据所述查询风险识别模型的输出结果确定本次查询是否存在风险。
53.可选的，所述装置还包括风险提示单元，用于在确定本次查询存在风险之后，提示本次查询存在风险。
54.相对于现有技术，本发明的有益效果如下：
55.本发明公开的一种查询风险识别方法，利用预先构建分布式系统的存储方式全景图中的必要性规则和非必要性规则，及时对查询操作数据进行初步风险识别，在利用分布式系统的存储方式全景图中的必要性规则和非必要性规则无法准确识别查询风险的情况下，再利用预先构建的查询风险识别模型进一步对查询操作数据进行风险识别，在提高分布式系统查询风险识别效率的同时提高了查询风险识别的准确性。
附图说明
56.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据
提供的附图获得其他的附图。
57.图1为本发明实施例公开的一种查询风险识别方法的流程示意图；
58.图2为本发明实施例公开的一种构建分布式系统的存储方式全景图的方法的流程示意图；
59.图3为本发明实施例公开的一种构建查询风险识别模型的方法的流程示意图；
60.图4为本发明实施例公开的一种查询风险识别装置的结构示意图。
具体实施方式
61.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
62.本发明提供了一种查询风险识别方法，应用于分布式系统，请参阅图1，该查询风险识别方法具体包括以下步骤：
63.s101：在接收到对分布式系统的查询请求的情况下，获取查询操作数据；
64.分布式系统部署在多台服务器上，分布式系统可能包括一个以上子系统。
65.查询操作数据包括：所访问服务器的数量、所访问服务器的地址、所访问服务器的顺序、所访问的子系统、所访问的数据，访问时间等。
66.s102：判断查询操作数据是否与分布式系统的存储方式全景图中的必要性规则冲突；
67.需要说明的是，分布式系统的存储方式全景图是预先根据历史查询操作数据构建的，包括至少一条必要性规则和至少一条非必要性规则。
68.请参阅图2，本实施例提供了一种构建分布式系统的存储方式全景图的方法，具体包括以下步骤：
69.s201：获取历史查询操作数据；
70.s202：分别将每条历史查询操作数据转换为数学表达式；
71.具体的，分别将每条历史查询操作数据转换为数学表达式，即将历史查询操作数据中的所访问服务器的数量、所访问服务器的地址、所访问服务器的顺序、所访问的子系统、所访问的数据，访问时间等都分别转换为数学表达式。
72.s203：利用非监督归纳模型对每个数学表达式进行查询规律总结，得到至少一条必要性规则和至少一条非必要性规则。
73.具体的，采用非监督归纳模型对每个数学表达式进行查询规律总结，例如人力资源系统人名查询时得到的查询规律是系统会在所有姓名服务中的三台查找，每次查找的三台服务器不会重复，多数会在第二台服务器查到所需要的数据，最多不会超过三台服务器，又或者贵金属存储的预约信息数据查询的规律为每次的起点从上一次的终点服务器开始轮询查询对应的客户预约信息，记录每次查询的时间以及查询服务器的台数。
74.在规律总结完成后，将总结后得到的规则信息按照必要性与非必要性划分得到必要性规则和非必要规则。其中，历史查询操作数据中访问的边界值与硬性规律，包括最大访问服务器数量、最长访问时间、每次访问必须哪个服务器在哪个服务器的后面执行等，即为
必要规则。对于其他非必要规则的归纳方法和必要规则一致，只是非必要规则存在多种情况，例如顺序规律则a服务器可能在b服务器后面，b服务器也可能在a服务器后面，只是存在的概率不一样。
75.在判断查询操作数据是否与分布式系统的存储方式全景图中的必要性规则冲突的过程中，首先将查询操作数据转换为数学表达式，即将所访问服务器的数量、所访问服务器的地址、所访问服务器的顺序、所访问的子系统、所访问的数据，访问时间等都分别转换为数学表达式。然后将转换后的数学表达式分别与必要性规则进行匹配，判断是否存在与必要性规则冲突的数学表达式，如本次查询所访问服务器的数量大于必要性规则中访问服务器数量边界值，则确定本次查询操作数据与分布式系统的存储方式全景图中的必要性规则冲突。
76.若查询操作数据与任意一条必要性规则冲突，执行s103：确定本次查询存在风险；
77.若查询操作数据与每一条必要性规则都不冲突，执行s104：判断查询操作数据是否与分布式系统的存储方式全景图中的非必要性规则冲突；
78.判断查询操作数据是否与分布式系统的存储方式全景图中的非必要性规则冲突的方法与上述判断查询操作数据是否与分布式系统的存储方式全景图中的必要性规则冲突的方法相同，在此不再赘述。
79.若查询操作数据与每一条非必要性规则都不冲突，执行s105：确定本次查询不存在风险；
80.若查询操作数据与非必要性规则冲突，执行s106：确定与查询操作数据冲突的非必要性规则；
81.具体的，确定与查询操作数据冲突的非必要性规则标识。
82.s107：将查询操作数据以及与查询操作数据冲突的非必要性规则的相关数据输入预先构建的查询风险识别模型，根据查询风险识别模型的输出结果确定本次查询是否存在风险。
83.进一步，由于与不同非必要性规则冲突的查询操作所存在查询风险的概率不同，因此，为了准确识别查询风险，本实施例根据与不同非必要性规则冲突的查询操作所存在查询风险的概率，确定每条非必要性规则的风险等级。
84.具体的，针对每条非必要性规则，统计与该非必要性规则冲突且存在风险的历史查询操作数据的数量以及与该非必要性规则冲突且不存在风险的历史查询操作数据的数量。
85.针对每条非必要性规则，根据与该非必要性规则冲突且存在风险的历史查询操作数据的数量以及与该非必要性规则冲突且不存在风险的历史查询操作数据的数量，确定历史查询操作数据与该非必要性规则冲突且存在风险的概率。
86.根据历史查询操作数据与每条非必要性规则冲突且存在风险的概率以及预先设定的概率区间与风险等级之间的对应关系，确定每条非必要性规则的风险等级。
87.将查询操作数据以及与查询操作数据冲突的非必要性规则的标识和风险等级输入查询风险识别模型，根据查询风险识别模型的输出结果确定本次查询是否存在风险。
88.进一步，还可以在查询风险识别模型的输入数据中加入发起查询请求的ip地址以及该ip地址历史查询记录中的存在风险的非必要性规则的标识和风险等级。
89.查询风险识别模型为预先构建的，查询风险识别模型的输入数据为查询操作数据以及与查询操作数据冲突的非必要性规则的标识和风险等级，查询风险识别模型的输出数据为是否存在风险。
90.在确定本次查询存在风险之后，提示本次查询存在风险。
91.请参阅图3，本实施例公开了一种构建查询风险识别模型的方法，具体包括以下步骤：
92.s301：获取分布式系统的存储方式全景图中与非必要性规则冲突的历史查询操作数据，作为样本数据；
93.s302：分别标记每条样本数据是否存在风险，并分别标记每条样本冲突的非必要性规则的标识以及非必要性规则的风险等级；
94.s303：将标记后的样本数据划分为训练集和验证集；
95.s304：利用训练集对神经网络模型进行训练；
96.s305：利用验证集对训练后的神经网络模型进行验证，在验证结果满足预设要求的情况下，查询风险识别模型构建完成。
97.在验证结束后，获取验证结果中的评价指标，在评价指标满足预设要求的情况下，查询风险识别模型构建完成。
98.本实施例公开的一种查询风险识别方法，利用预先构建分布式系统的存储方式全景图中的必要性规则和非必要性规则，及时对查询操作数据进行初步风险识别，在利用分布式系统的存储方式全景图中的必要性规则和非必要性规则无法准确识别查询风险的情况下，再利用预先构建的查询风险识别模型进一步对查询操作数据进行风险识别，在提高分布式系统查询风险识别效率的同时提高了查询风险识别的准确性。
99.基于上述实施例公开的一种查询风险识别方法，本实施例对应公开了一种查询风险识别装置，请参阅图4，该查询风险识别装置具体包括：
100.数据获取单元401，用于在接收到对分布式系统的查询请求的情况下，获取查询操作数据；
101.第一判断单元402，用于判断所述查询操作数据是否与所述分布式系统的存储方式全景图中的必要性规则冲突；若所述查询操作数据与任意一条必要性规则冲突，确定本次查询存在风险；若所述查询操作数据与每一条必要性规则都不冲突，触发第二判断单元403；
102.所述第二判断单元403，用于判断所述查询操作数据是否与所述分布式系统的存储方式全景图中的非必要性规则冲突；若所述查询操作数据与每一条非必要性规则都不冲突，确定本次查询不存在风险；若所述查询操作数据与非必要性规则冲突，触发非必要性规则确定单元404；
103.所述非必要性规则确定单元405，具体用于确定与所述查询操作数据冲突的非必要性规则；
104.风险识别单元405，用于将所述查询操作数据以及与所述查询操作数据冲突的非必要性规则的相关数据输入预先构建的查询风险识别模型，根据所述查询风险识别模型的输出结果确定本次查询是否存在风险。
105.可选的，所述装置还包括存储方式全景图构建单元，具体用于：
106.获取历史查询操作数据；
107.分别将每条所述历史查询操作数据转换为数学表达式；
108.利用非监督归纳模型对每个所述数学表达式进行查询规律总结，得到至少一条必要性规则和至少一条非必要性规则。
109.可选的，所述存储方式全景图构建单元，还用于：
110.针对每条非必要性规则，统计与该非必要性规则冲突且存在风险的所述历史查询操作数据的数量以及与该非必要性规则冲突且不存在风险的所述历史查询操作数据的数量；
111.针对每条非必要性规则，根据与该非必要性规则冲突且存在风险的所述历史查询操作数据的数量以及与该非必要性规则冲突且不存在风险的所述历史查询操作数据的数量，确定所述历史查询操作数据与该非必要性规则冲突且存在风险的概率；
112.根据所述历史查询操作数据与每条非必要性规则冲突且存在风险的概率以及预先设定的概率区间与风险等级之间的对应关系，确定每条非必要性规则的风险等级。
113.可选的，所述装置还包括查询风险识别模型构建单元，具体用于：
114.获取所述分布式系统的存储方式全景图中与非必要性规则冲突的所述历史查询操作数据，作为样本数据；
115.分别标记每条样本数据是否存在风险，并分别标记每条样本冲突的非必要性规则的标识以及非必要性规则的风险等级；
116.将标记后的样本数据划分为训练集和验证集；
117.利用所述训练集对神经网络模型进行训练；
118.利用所述验证集对训练后的神经网络模型进行验证，在验证结果满足预设要求的情况下，所述查询风险识别模型构建完成。
119.可选的，所述风险识别单元，具体用于将所述查询操作数据以及与所述查询操作数据冲突的非必要性规则的标识和风险等级输入所述查询风险识别模型，根据所述查询风险识别模型的输出结果确定本次查询是否存在风险。
120.可选的，所述装置还包括风险提示单元，用于在确定本次查询存在风险之后，提示本次查询存在风险。
121.本实施例公开的一种查询风险识别装置，利用预先构建分布式系统的存储方式全景图中的必要性规则和非必要性规则，及时对查询操作数据进行初步风险识别，在利用分布式系统的存储方式全景图中的必要性规则和非必要性规则无法准确识别查询风险的情况下，再利用预先构建的查询风险识别模型进一步对查询操作数据进行风险识别，在提高分布式系统查询风险识别效率的同时提高了查询风险识别的准确性。
122.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
123.还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵
盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
124.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom、或技术领域内所公知的任意其它形式的存储介质中。
125.上述各个实施例之间可任意组合，对所公开的实施例的上述说明，本说明书中各实施例中记载的特征可以相互替换或者组合，使本领域专业技术人员能够实现或使用本技术。
126.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。