基于可信计算的大数据信息网络自适应安全防护系统的制作方法

本发明涉及网络安全技术领域，具体涉及基于可信计算的大数据信息网络自适应安全防护系统。

背景技术：

可信计算是一种运算和防护并存的主动免疫的新计算模式，以密码为基因，实施身份识别、状态度量、保密存储等功能。及时识别“自己”和“非己”成份，从而破坏与排斥进入机体的有害物质，相当于为计算机信息系统培育了免疫能力。

网络基础设施、云计算、大数据、工业控制、物联网等新型计算环境必须进行可信度量、识别和控制，以确保数据存储可信、操作行为可信、体系结构可信、资源配置可信和策略管理可信。结合主动免疫的主动防御思想和等级保护的防御体系，构建可信安全管理中心支持下的主动免疫三重防护框架。

基于可信计算技术设计自适应安全防护系统，可以有效保障信息网络的安全性，是一种很好的增强信息安全的解决方案。可信计算技术提供基于硬件和加密的终端安全保护，对于信息安全大数据资源管理系统而言，可以有效保证数据不会传递给恶意终端，保障数据安全，是一种很好的增强信息安全大数据资源管理系统可信性的解决方案。

一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。可信计算的基本思路是在硬件平台上引入安全芯片(可信平台模块)来提高终端系统的安全性，也就是说在每个终端平台上植入一个信任根，让计算机从BIOS到操作系统内核层，再到应用层都构建信任关系；以此为基础，扩大到网络上，建立相应的信任链，从而进入计算机免疫时代。当终端受到攻击时，可实现自我保护、自我管理和自我恢复。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性，可信计算为行为安全而生，行为安全应该包括:行为的机密性、行为的完整性、行为的真实性等特征。

基于可信计算的大数据信息网络自适应安全防护系统可以为云计算、大数据、物联网、工业系统等新型信息技术应用所需要的可信免疫体系提供基础支撑，确保操作行为、资源配置、数据存储盒策略管理的可信，以达到攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息篡改不了、系统工作瘫不成和攻击行为赖不掉的防护效果。当前大部分网络安全系统主要是由防火墙、入侵监测和病毒防范等组成，称为“老三样”。

但是，这些消极被动的封堵查杀治标不治本，与“老三样”相比，可信计算能够实现计算机体系结构的主动免疫，就像人体免疫一样，能及时识别“自己”和“非己”成分，使漏洞不被攻击者利用，在此提出一种基于可信计算的大数据信息网络自适应安全防护系统。

技术实现要素：

(一)解决的技术问题

针对现有技术的不足，本发明提供了基于可信计算的大数据信息网络自适应安全防护系统，用于解决目前的大部分网络安全系统主要是由防火墙、入侵监测和病毒防范等组成，这些消极被动的封堵查杀治标不治本的问题；本发明通过以下技术方案予以实现：

(二)技术方案

为实现以上目的，本发明通过以下技术方案予以实现：

基于可信计算的大数据信息网络自适应安全防护系统，包括用户终端、基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块。

优选的，所述基于可信的数据集储模块用于收集并加密存储所述用户终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系。

优选的，所述基于可信的数据传输模块用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取。

优选的，所述风险分析反馈模块根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；(2)基于改进k-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元。

优选的，数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；数据挖掘单元用于采用改进k-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型。

优选的，用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息。

优选的，所述风险检测模块用于在已验证的安全网络环境下根据所述反馈信息对正在运行的所述用户终端进行实时检测并输出检测结果，所述风级险评估模块用于对所述风险检测模块输出的所述检测结果进行评估并输出评估结果，具体为：(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等；(2)输出评估结果:进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果。

优选的，所述预警模块包括安全开关和报警器，当风险超过自防御系统防御能力或者所述安全防御模块出现故障时，所述安全开关会自动将切断电源，同时所述报警器发出警报。

(三)有益效果

本发明提供了基于可信计算的大数据信息网络自适应安全防护系统：

1、基于可信技术，设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，保证了数据的安全存储和安全传输，且对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全和可信度，又避免了系统资源的闲置。

2、设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性，解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度。

3、设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的主要组成结构示意图；

图2是本发明的风险评估模块对风险等级的划分示意图；

图3是本发明的安全防御模块核心工作流程。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例：

基于可信计算的大数据信息网络自适应安全防护系统，包括用户终端、基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块。

所述基于可信的数据集储模块用于收集并加密存储所述用户终端的含有用户相关信息的有用数据，收集时对收集有用数据的网络节点进行认证，确保数据采集环境可信任，建立信任关系。

所述基于可信的数据传输模块用于实现各模块的有用数据的加密传递，确保有用数据不会被任意获取。

所述风险分析反馈模块根据传递的有用数据和已经验证的风险管理经验进行风险分析并输出反馈信息，包括：(1)数据预处理子模块，用于对所述有用数据进行数据清理和清洗，过滤掉包含噪音和异常的数据，形成用户行为分析的有效数据集；(2)基于改进k-means聚类方法的数据分析子模块，用于对所述有效数据集进行分类整理和分析，并对用户的行为进行分析，输出用户行为分析结果，其包括依次连接的数据准备单元、数据挖掘单元和用户行为分析单元。

数据准备单元用于对剔除效数据集中的缺失值和异常值，并进一步进行归一化处理，其中异常值采用统计学中的常用异常点判别方法GESR进行判别；数据挖掘单元用于采用改进k-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，并建立用户分群模型。

用户行为分析单元用于采用决策树算法对所述分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测并输出用户行为分析结果；反馈子模块，用于根据用户行为分析结果，识别风险操作，并从知识库提取相应的安全策略，再汇总风险操作和相应的安全策略打包成反馈信息。

所述风险检测模块用于在已验证的安全网络环境下根据所述反馈信息对正在运行的所述用户终端进行实时检测并输出检测结果，所述风级险评估模块用于对所述风险检测模块输出的所述检测结果进行评估并输出评估结果，具体为：(1)确定风险等级：将风险划分为蓝色风险、黄色风险、橙色风险和红色风险四个等级，检测结果根据相应阈值范围确定风险等；(2)输出评估结果:进一步地，在相应风险等级内确定风险破坏度和可修复程度，并输出评估结果。

所述预警模块包括安全开关和报警器，当风险超过自防御系统防御能力或者所述安全防御模块出现故障时，所述安全开关会自动将切断电源，同时所述报警器发出警报。

系统设置基于可信的数据集储模块、基于可信的数据传输模块、风险分析反馈模块、风险检测模块、风险评估模块、安全防御模块和预警模块，对用户相关信息进行分析，得出用户潜在的风险操作，并针对该风险操作调用相应且合适的安全策略，保证了系统的安全，又避免了系统资源的闲置；设置基于改进K-means聚类方法的数据分析子模块，采用改进K-means聚类方法对由数据准备单元处理过的有效数据集进行聚类，有效避免单一采取随机抽样方法所带来的偶然性，解决原有算法在选取k值以及初始化聚类中心时所存在的问题，提高了聚类稳定性，进一步提高了用户行为分析精度；设置的用户行为分析单元采用决策树算法对分群模型进行标识区分，识别用户身份，并根据标识区分识别结果建立人工神经网络模型，进而对用户行为进行预测，识别效果好，预测精度较高；设置风险评估模块和安全防御模块，便于及时发现风险，防范风险；设置预警模块，能够及时有效防止安全防御模块失效的情况下带来信息安全风险，有效提升了安全防护系统防御能力。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。