一种应用系统的健康评级方法、装置、设备及介质与流程

1.本说明书涉及计算机技术领域，尤其涉及一种应用系统的健康评级方法、装置、设备及介质。


背景技术：

2.在经济全球化的今天，信息技术已经成为促进经济发展、社会进步的巨大推动力，当今社会高度的计算机化信息资源对任何人在任何时候、任何地方都变得极有价值。不管实在存储在工作站中、服务器里还是流通于互联网上的信息都已转变为一个关系事业成败关键的策略点，这就是的保证信息安全变得格外重要，随着互联网的发展，网络入侵及安全威胁也日益严重。
3.现有的安全扫描监测技术也较为成熟，可以有效对系统风险进行评估，寻找可能对系统造成损害的安全漏洞。但整体安全系统成本较高，不适用于小规模企业。在网络信息系统安全异常检测溯源过程中，普遍存在检测工具不能快速分析系统的安全异常，可能对系统造成不可避免的损失。


技术实现要素：

4.本说明书一个或多个实施例提供了一种应用系统的健康评级方法、装置、设备及介质，用于解决背景技术提出的技术问题。
5.本说明书一个或多个实施例采用下述技术方案：
6.本说明书一个或多个实施例提供的一种应用系统的健康评级方法，包括：
7.在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据；
8.通过所述安全终端监控所述指定应用系统的状况信息；
9.根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算；
10.将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
11.本说明书一个或多个实施例提供的一种应用系统的健康评级装置，所述装置包括：
12.异常数据采集单元，在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据；
13.状况信息监测单元，通过所述安全终端监控所述指定应用系统的状况信息；
14.关联计算单元，根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算；
15.健康评级单元，将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
16.本说明书一个或多个实施例提供的一种应用系统的健康评级设备，包括：
17.至少一个处理器；以及，
18.与所述至少一个处理器通信连接的存储器；其中，
19.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：
20.在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据；
21.通过所述安全终端监控所述指定应用系统的状况信息；
22.根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算；
23.将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
24.本说明书一个或多个实施例提供的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：
25.在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据；
26.通过所述安全终端监控所述指定应用系统的状况信息；
27.根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算；
28.将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
29.本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：
30.本说明书实施例通过安全终端采集安全相关的异常数据，以及监控指定应用系统的状况信息，并根据决策树模型对异常数据与状况信息进行关联计算，得到指定应用系统的异常情况及危险级别，以完成指定应用系统的健康度评级，可以有效监控应用系统及主机运行状态，并根据异常情况进行紧急处理，提升内网整体安全性。
附图说明
31.为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。在附图中：
32.图1为本说明书一个或多个实施例提供的一种应用系统的健康评级方法的流程示意图
33.图2为本说明书一个或多个实施例提供的异常数据关联性分析的示意图；
34.图3为本说明书一个或多个实施例提供的决策树模型的结构示意图；
35.图4为本说明书一个或多个实施例提供的server监控系统的结构示意图；
36.图5为本说明书一个或多个实施例提供的一种应用系统的健康评级装置的结构示意图；
37.图6为本说明书一个或多个实施例提供的一种应用系统的健康评级设备的结构示意图。
具体实施方式
38.本说明书实施例提供一种应用系统的健康评级方法、装置、设备及介质。
39.为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。
40.图1为本说明书一个或多个实施例提供的一种应用系统的健康评级方法的流程示意图，该流程可以由应用系统的健康评级系统执行，可以快速分析系统的安全异常，并对系统的健康进行评级。流程中的某些输入参数或者中间结果允许人工干预调节，以帮助提高准确性。
41.本说明书实施例的方法流程步骤如下：
42.s102，在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据。
43.在本说明书实施例中，异常数据可以包括访问日志、流量信息及建立的连接信息中的一项或多项。安全终端可以采用现有技术已有的终端，用于采集安全相关的异常数据与监控指定应用系统的状态信息。
44.s104，通过所述安全终端监控所述指定应用系统的状况信息。
45.在本说明书实施例中，通过所述安全终端监控所述指定应用系统的状况信息时，可以通过所述安全终端监控所述指定应用系统中文件的路径信息与内容信息；过程中判断所述文件的路径信息与内容信息是否发生篡改，得到所述指定应用系统的状况信息。若路径信息与内容信息中的一项发生篡改，即可认为指定应用系统存在风险，具体的风险等级可以根据后续的决策树模型对异常数据与状态信息进行关联计算得出。
46.s106，根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算，确定关联结果。
47.在本说明书实施例中，决策树模型可以包括决策节点、策略节点及结果节点。本说明书实施例结合决策树模型的上述结构，根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算时，可以先根据所述决策节点对所述异常数据与所述状况信息进行计算，确定方案分歧；再将所述方案分歧发送至所述策略节点，确定概率分歧；最后，将所述概率分歧发送至所述结果节点。
48.具体的，决策模型通过上述方式进行关联计算过程中，可以是以最大收益期望值或最低期望成本作为决策准则，并通过图解方式求解在不同条件下各类方案的效益值，并通过比较做出决策。
49.s108，将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
50.在本说明书实施例中，预先设定的结果可以为系统预制的数据模型，将关联计算后的结果与数据模型进行对比，完成正常情况或异常情况的筛选，从而判断出指定应用系统当前的异常情况及危险级别。
51.进一步的，在本说明书实施例中，完成所述指定应用系统的健康度评级后，还可以
根据所述指定应用系统的异常情况及危险级别，确定对应的处理策略；最后，将所述处理策略发送至所述安全终端。
52.在本说明书实施例中，处理策略可以包括流量控制、网络隔断、文件权限锁定与紧急关闭业务中的一项或多项，处理时可以根据指定应用系统的异常情况及危险级别确定所需的处理策略。
53.需要说明的是，信息安全是企业发展的基石，通过一定的技术手段发现主机及应用的状态和安全漏洞，从而做到及时潜在问题进行整改，提升整体安全性能。本发明提出一种基于嵌入式终端的异常访问及权限控制方法，能够对信息系统安全多个状况信息进行实时监控，有效监控业务系统及主机运行状态，并根据异常情况进行紧急处理，提升内网整体安全性。
54.需要说明的是，上述技术特征可以为一种基于嵌入式终端的异常访问及权限控制方法，过程中可以采用server+终端的方式进行实现，通过嵌入终端探针进行系统访问链接监测、访问日志分析及文件权限控制，可以有效分析出应用系统异常，并紧急进行授权范围内的处理及阻断。同时终端会及时通知server服务端进行状态记录。同时也可以通过服务端对终端进行安全配置及释放锁定资源。
55.本说明书实施例可以运用server+client架构方式进行部署，可以实时监测内网应用系统面临的已知及未知威胁，精准定位异常网络行为的风险主机及服务器，并根据安全策略及时进行处理；适用于高安全性需求的业务系统，同时从海量的内网威胁中，突出有价值的高风险信息。
56.进一步的，本说明书实施例针对上述技术特征，可以通过下述具体内容实施：
57.第一步，在内网核业务服务器安装安全终端，在不影响特定应用系统的正常业务运行的情况下，有效采集访问日志、流量信息及建立的连接等安全关联项的各类异常数据。
58.第二步，安全终端可以监控并限制特定应用系统路径的访问权限，如图片、文件、源代码等重要路径，记录原始权限信息，并定时监测文件信息完整性。
59.第三步，将第一步及第二步实时监测到的相关信息如包、流、文件、协议元数据、网络行为、文件行为等多维数据存储到数据库。通过深度智能关联分析技术，采用决策树模型对实时监测的多维度数据进行组合并进行关联性计算，将关联计算后的结果与系统预制的数据模型进行对比，完成正常情况或异常情况的筛选，从而判断出服务器当前的异常情况及危险级别，完成业务及服务器的健康度评价及攻击行为检测甄别。安全终端获取特定应用系统相关信息，并进行异常数据关联性分析的示意图参见图2，决策树模型的结构示意图参见附图3。
60.本说明书实施例采用的决策树模型可以作为进行序列决策分析的有效工具，将图片、文件、源代码等重要路径，记录原始权限信息作为输入，并结合包、流、文件、协议元数据、网络行为、文件行为的多维数据输入进决策树模型，通过多维数据的关联计算生成服务器状态信息，进而与安全模型进行匹配，从而计算出当前服务器的监控度及攻击的程序。需要说明的是，本说明书实施例的服务器与应用系统可以等同看待。
61.需要说明的是，本说明书实施例的决策树模型可以是一种能帮助决策者进行序列决策分析的有效工具，其方法是将问题中有关策略、自然状态、概率及收益值等通过线条和图形用类似于树状的形式表示出来。决策树模型就是由决策接点、策略节点(事件点)及结
果节点构成的树形图，一般应用于序列决策中，通常以最大收益期望值或最低期望成本作为决策准则，通过图解方式求解在不同条件下各类方案的效益值，然后通过比较，做出决策。
62.决策树模型在针对内网核心重要业务服务器异常情况判断的复杂的决策情况中，往往需要多个维度服务器及网络相关的数据作为输入及判断，实现多层次或多阶段的决策。当一个阶段的信息决策完成后，可能有n种新的不同自然状态发生，即可能会有多种可能的安全状况发生；每种自然状态下，都有n个新的策略及判断依据可选择，即可能产生多个不同的事件解决方案，选择后产生不同的结果并再次面临新的自然状态，继续产生一系列的决策过程。
63.第四步，步骤三完成后，server监控系统可以获取client终端及探针信息，系统会根据分析结果对筛选出高危可能危害到业务及服务器的情况进行紧急处理，通过服务端发送特定指令到client终端，进行流量控制、网络隔断、文件权限锁定、紧急关闭业务等操作。同时根据异常危险级别按照系统既定策略通过告警平台紧急上报通知管理员，催促管理员进行验证及进一步处理。server监控系统的结构示意图可以参见图4。
64.第五步，系统服务端支持对不同的业务系统配置信息进行定制化监控配置，并通过远程方式实时更新到client终端。
65.针对上述技术特征，本说明书实施例提出一种基于嵌入式终端的异常访问及权限控制方法，可以对应用系统多个状况信息进行实时监控，有效监控应用系统及主机运行状态，并根据异常情况进行紧急处理，提升内网整体安全性。
66.需要说明的是，本说明书实施例针对现有技术中无法解决高成本、异常采集工具适配性较差及不适用特定及小场景，本说明书实施例可以利用以分流器的工作原理设计探针，设计了一种基于嵌入式终端+探针方法，在不影响企业现行应用系统正常运行的前提下，对服务器的流量进行监控，通过包、日志、网络行为、文件行为等多维数据进多维度获取数据，并由特定的计算模型进行综合评估，根据评估结果进行紧急处理。
67.需要说明的是，本说明书实施例针对安全监测软件无法进行多场景的信息联动情况，设计了一种基于嵌入式终端重要文件及路径状态监测的方法，能够实时监测状态信息，对文件变化进行精准定位，防止信息异常被篡改。实时透视监测的关联分析和比对分析与异常功能安全模型匹配，实现实体的健康度评价、攻击行为检测。
68.图5为本说明书一个或多个实施例提供的一种应用系统的健康评级装置的结构示意图，所述装置包括：异常数据采集单元502、状况信息监测单元504、关联计算单元506与健康评级单元508。
69.异常数据采集单元502，在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据；
70.状况信息监测单元504，通过所述安全终端监控所述指定应用系统的状况信息；
71.关联计算单元506，根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算；
72.健康评级单元508，将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
73.图6为本说明书一个或多个实施例提供的一种应用系统的健康评级设备的结构示
意图，包括：
74.至少一个处理器；以及，
75.与所述至少一个处理器通信连接的存储器；其中，
76.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：
77.在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据；
78.通过所述安全终端监控所述指定应用系统的状况信息；
79.根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算；
80.将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
81.本说明书一个或多个实施例提供的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：
82.在指定应用系统中安装安全终端，并通过所述安全终端采集安全相关的异常数据；
83.通过所述安全终端监控所述指定应用系统的状况信息；
84.根据预先训练的决策树模型对所述异常数据与所述状况信息进行关联计算；
85.将关联计算后的结果与预先设定的结果进行对比，以确定出所述指定应用系统的异常情况及危险级别，完成所述指定应用系统的健康度评级。
86.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、设备、非易失性计算机存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
87.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
88.以上所述仅为本说明书的一个或多个实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。