一种基于大数据的计算机网络安全监管系统及方法与流程

本发明涉及计算机数据安全监管领域，具体为一种基于大数据的计算机网络安全监管系统及方法。

背景技术：

1、当前，我们已经进入到了一个大数据时代。近年来，有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜，保护数据资产已引起社会各界高度重视。在我国数字经济进入快车道的时代背景下，如何开展数据安全治理，提升全社会的“安全感”，已成为普遍关注的问题。随着物联网、大数据和人工智能等技术的不断发展与应用，无论是个人的数据存储设备，还是云端存储系统，都存在着数据外泄的可能。

2、数据保护是在进行数字化转型的大背景下不可回避的一个问题，在数据流动和使用状态中的传统数据保护方式往往使用防火墙式的静态保护方法，这样的保护方法不仅需要大量专业技术人员的人工投入，而且静态保护方法容易产生固化的防护策略，导致被不法分子找到信息保护策略上的漏洞，最终仍有造成数据泄露的风险。

技术实现思路

1、本发明的目的在于提供一种基于大数据的计算机网络安全监管系统及方法，以解决上述背景技术中提出的问题。

2、为了解决上述技术问题，本发明提供如下技术方案：一种基于大数据的计算机网络安全监管方法，方法包括：

3、步骤s100：通过调取用户计算机的历史运行日志，提取用户对目标文件进行查看前做出的操作步骤和用户对目标文件进行处理的操作过程，根据相关操作步骤和操作过程提取对应目标指数；

4、步骤s200:通过对当前用户的目标操作捕捉，结合目标指数判断当前用户对目标文件的操作习惯；

5、步骤s300:设置评价函数，对当前用户的目标操作行为进行评价；

6、步骤s400：根据评价函数得出的结果，对当前用户的操作权限进行限制，对超出限制的操作进行告警；

7、步骤s500：安全监管系统对产生的告警进行处理。

8、进一步的，步骤s100包括：

9、步骤s101：用户在计算机内对目标文件进行选定，将用户对所述目标文件进行查看前做出的操作步骤设定为第一目标操，在所述计算机的历史运行日志中捕捉用户对所述目标文件进行操作前t1时段内执行的所有第一目标操作，汇入集合a1；

10、步骤s102：从集合a1中提取各种第一目标操作的历史发生次数和各种操作产生时间与对所述目标文件进行查看的历史平均间隔时间，将提取结果汇入集合a2，，a2＝{a1(ia1，ta1)，a2(ia2，ta2)，a3(ia3，ta3)，……，an(ian，tan)}，其中用a1(ia1，ta1)，a2(ia2，ta2)，a3(ia3，ta3)，……，an(ian，tan)表示操作种类分别为a1，a2，a3，……，an的第一目标操作的历史发生次数和各个操作产生时间到对所述目标文件进行查看的历史平均间隔时间分别对应为(ia1，ta1)，(ia2，ta2)，(ia3，ta3)，……，(ian，tan)；

11、步骤s103：计算a2中各第一目标操作的第一目标指数λa，记计算机的历史运行日志中的第一目标操作的总次数为总次数i总a，每个操作对应的第一目标指数为该种操作历史发生次数占总次数的比例乘该操作与第一目标操作的历史平均间隔时间，a1，a2，a3，……，an对应的第一目标指数分别记为λa1，λa2，λa3，……λan，其中第n个操作种类对应的第一目标指数的计算方法为：其中i总a＝ia1+ia2+ia3+……+ian；

12、步骤s104：将用户对所述目标文件进行处理的操作设为第二目标操作，所述处理包括浏览、编辑、写入、修订、调取、和传输，在所述计算机的历史运行日志中，对所有的第二目标操作进行捕捉；

13、步骤s105：提取计算机的历史运行日志中用户执行第二目标操作时，后台中未结束进程的操作，记入集合b1；

14、步骤s106：从集合b1中提取各个操作与用户执行第二目标操作时的历史保留次数和各个操作保留时间与用户对所述目标文件进行第二目标操作重合时间长度的历史平均值，结果汇入b2，b2＝{b1(ib1，tb1)，b2(ib2，tb2)，b3(ib3，tb3)，……，bq(ibq，tbq)}，其中用b1(ib1，tb1)，b2(ib2，tb2)，b3(ib3，tb3)，……，bq(ibq，tbq)表示用户执行第二目标操作时，后台未结束进程的操作种类为b1，b2，b3，……，bq的保留次数和各个未结束进程保留的时间与用户进行第二目标操作的历史平均重合时间对应为(ib2，tb2)，(ib3，tb3)，……，(ibq，tbq)；

15、步骤s107：计算b2中操作的第二目标指数λb，记计算机的历史运行日志中第二目标操作后保留操作进程的所有次数为总次数i总b，每个操作对应的第二目标指数为该种操作历史保留次数占总次数的比例乘该操作与第二目标操作的历史平均重合时间，b1，b2，b3，……，bq对应的第二目标指数分别记为λb1，λb2，λb3，……，λbq，其中第n个操作种类对应的第二目标指数的计算方法为：其中i总b＝ib1+ib2+ib3+……+ibn。

16、进一步的，步骤s200包括：

17、步骤s201：系统对当前用户的第一目标操作进行捕捉，记入集合a client，记录当前用户进行第二目标操作时后台保留进程的操作，记入集合bclient，计算mclient＝a client∩bclient；

18、步骤s202：计算a client∩a2，遍寻a client中与a2对应的同种操作，计算当前用户进行该操作到对所述目标文件进行查看前的时间与历史平均间隔时间差值的绝对值，该差值的绝对值乘以对应操作第一目标指数，结果记为第一相似指数α，设a client中与a2对应的同种操作有j项，α＝α1+α2+α3+…+αj，其中第j项的相似指数αj为，αj＝λaj×|tclient-taj|,其中tclientj表示当前用户进行的第j项操作到对所述目标文件进行查看前的时间，taj表示当前用户进行的第j项操作对应a2中的历史平均间隔时间，λaj表示当前用户进行的第j项操作对应的第一目标指数；

19、步骤s203：计算bclient∩b2,遍寻b client中与b2对应的同种操作，计算当前用户执行第二目标操作时各个后台操作进程保留时间与当前用户对所述目标文件进行第二目标操作重合的时间长度，b client中与b2对应的同种操作保留进程的与当前用户执行第二目标操作重合时间长度与b2中对应历史平均重合长度差值的绝对值乘以对应第二目标指数，结果记为第二相似指数β，设b client中与b2对应的同种操作有k项，β＝β1+β2+β3+…+βk，其中第k项的相似指数βk为，βk＝λbk×|tclient-tbk|,其中tclientk表示当前用户进行的第k项操作到对所述目标文件进行查看前的时间，tbk表示当前用户进行的第k项操作对应b2中的历史平均间隔时间，λbk表示当前用户进行的第k项操作对应的第二目标指数。

20、进一步的，步骤s300包括：

21、步骤s301：设置第一关联集合m，m＝a2∩b2，设置用于评价当前用户操作行为的评价函数f，评价系数γ1和γ2，

22、通过取目标操作一和目标操作二的交集，得到用户对目标文件的历史操作记录中，对目标文件具有关联性操作的集合，着这个集合是系统评价当前用户操作目标文件是否与历史习惯相符的依据；

23、对于评价用户的操作行为，通过计算出当前用户对目标文件进行的所有操作中与历史操作习惯一致操作的占比，从而得到当前用户对目标文件进行的操作中与历史操作习惯一致性；

24、步骤s302：当前用户行为评价函数f计算当前用户对所述目标文件的操作习惯，结果记为ω；

25、步骤s303：设置习惯评价阈值ω0，当ω＜ω0时认为当前用户对目标文件的操作时保持和历史记录中有相同的习惯，当ω＞ω0时认为当前用户对目标文件进行的操作时与以往习惯产生差异；

26、步骤s304：设置容限系数ε1，第一干预系数ε2，

27、进一步的，步骤s400包括：

28、步骤s401：提取计算机的历史运行日志中用户执行第二目标操作的历史总时长记为d，分别计算第二目标操作中的第1，第2，第3，……，第r项操作各项历史操作时长占d的比例，记为d1，d2，d3，……，dr；

29、步骤s402：捕捉当前用户的第二目标操作行为，记录当前用户在d*时间段内执行第二目标操作中的第1，第2，第3，……，第r项操作的时长占d*的比例为d*1，d*2，d*3，……，d*r；

30、步骤s403：对当前用户的第二目标操作行为进行评价，记录第1，第2，第3，……，第r个操作项与各项平均历史时长占比差值的绝对值，分别用的σ1，σ2，σ3，……，σr表示当前用户对目标文件进行的第1，第2，第3，……，第r项操作与对应项平均历史时长占比的差值；

31、步骤s404：对于步骤s302中所述ω＜ω0的情况，对各项操作设置告警容限，其中第r项操作产生的操作行为差值σr在对应项告警容限范围wr内系统不产生告警，当σr超出wr范围系统产生告警u1，其中第r项操作的告警容限wr为：wr＝(dr×(1ε1)，dr×(1+ε1))；

32、当前用户的第一目标操作行为与历史运行日志中提取到的操作习惯越接近，在进行第二目标操作时的告警容限值就越大，告警容限指安全监管系统在对当前用户的第二目标操作与历史操作习惯不一致时的宽容程度，考虑到单次操作是具有偶然性的，采用对异常值的容限程度更具有操作性；

33、步骤s405：对于步骤s302中所述ω＜ω0的情况，系统产生告警u2。

34、进一步的，步骤s500包括：

35、步骤s501：系统产生告警u1后，计算第二干预系数ε3，ε3为产生告警的操作项占d*的比例减去容限系数ε1；

36、步骤s502：将步骤s401中得到的d1，d2，d3，……，dr由高至低排列记入集合g，g＝{g1，g2，g3，……，gx}，其中g1，g2，g3，……，gx表示d1，d2，d3，……，dr由高至低排列的结果；

37、步骤s503：在集合g中定位产生告警的操作项，该操作项之前的所有操作项以及该操作项后ε3·x(向上取整)个操作项将不再允许被操作；

38、步骤s504：将习惯评价阈值ω0调整为ω1，ω1＝(1-ε3)·ω1,ω1将替代ω0用于下一次对当前用户的操作习惯评价，当习惯评价阈值小于0时系统将强制当前用户下线。

39、为更好实现上述方法，还提出一种基于大数据的计算机网络安全监管系统，计算机网络安全监管系统包括：目标文件选定模块、计算机运行日志提取模块、目标操作捕捉模块、目标指数计算模块、当前用户操作行为评价模块和安全监管模块，目标文件选定模块用于对目标文件进行选定，计算机运行日志提取模块用于在计算机历史运行日志中提取第一目标操作和第二目标操作的历史运行数据，目标操作捕捉模块用于对当前用户操作过程中产生的第一目标操作和第二目标操作行为进行捕捉，目标指数计算模块用对第一目标操作和第二目标指数进行计算，当前用户操作行为评价模块用于结合评价函数及评价函数计算结果对当前用户的操作行为进行评价，安全监管模块用于对产生的告警进行处理。

40、进一步的，所述目标指数计算模块包括：目标操作历史记录统计单元、第一目标指数计算单元和第二目标指数计算单元，目标操作历史记录统计单元用于统计第一目标操作和第二目标操作产生次数和时间信息，第一目标指数计算单元用于计算集合a2中各第一目标操作的第一目标指数，第二目标指数计算单元用于计算b2中操作的第二目标指数。

41、进一步的，所述当前用户操作行为评价模块包括：第一相似指数计算单元、第二相似指数计算单元、评价函数运算单元、容限系数生成单元、第一干预系数生成单元、告警容限生成单元和告警单元，第一相似指数计算单元用于计算第一相似指数，第二相似指数计算单元用于计算第二相似指数，评价函数运算单元用于通过评价函数计算当前用户的操作习惯，容限系数生成单元用于生成容限系数，第一干预系数生成单元用于生成第一干预系数，告警容限生成单元用于生成告警容限，告警单元用于对满足告警条件的情况生成对应告警信息。

42、进一步的，所述安全监管模块包括：第二干预系数生成单元、历史第二目标操作排序单元，第二目标操作保护单元和习惯评价阈值调整单元，第二干预系数生成单元用于生成第二干预系数，历史第二目标操作排序单元用于对历史运行日志中第二目标操作中各操作项按时间占比由多到少进行排序，第二目标操作保护单元用于对目标文件当前第二目标操作中的操作项进行保护，习惯评价阈值调整单元用于根据当前用户的操作对习惯评价阈值进行调整。

43、与现有技术相比，本发明所达到的有益效果是：本发明筛选出与目标文件有关联的操作，通过对这些与目标文件有关联的操作进行评价，得出用户在操作目标文件时的习惯，安全监管系统通过捕捉当前用户对目标文件的操作习惯于历史记录中的习惯进行比对，判断当前用户的操作是否为习惯性操作，在产生非习惯性操作时对计算机进行安全保护，相较于静态安全保护策略，如：设置访问密码和配置防火墙权限，一旦保护策略被攻击人知晓，会造成在此静态安全保护策略下的保护全部失效，而且及时重新部署的难度较大，通过捕捉用户操作习惯动态对计算机实现保护安全性更高更易灵活部署。