基于大数据的网络安全分析方法、设备、系统及介质与流程

1.本技术涉及网络安全的技术领域，尤其是涉及一种基于大数据的网络安全分析方法、设备、系统及介质。


背景技术：

2.当代信息技术的发展推动了数据的产生、收集、传输、共享与分析，使得科学与工程研究日益成为数据密集型的工作。人类社会的信息化程度越来越高，整个社会对网络信息的依赖程度也越来越高，从而网络安全的重要性也越来越高；但是，伴随着网络流量的日益增加，网络违法、突发事件层出不穷，因此，亟需一种对网络安全进行监控、分析的方案。


技术实现要素：

3.为了能够对网络设备的网络安全进行监控、分析，降低网络设备被病毒攻击的可能性，本技术提供一种基于大数据的网络安全分析方法、设备、系统及介质。
4.第一方面，本技术提供一种基于大数据的网络安全分析方法，采用如下的技术方案：一种基于大数据的网络安全分析方法，包括：基于本地病毒防御库构建风险信息识别模型；采集网络访问的当前访问信息，将所述当前访问信息输入所述风险信息识别模型，基于所述风险信息识别模型判断所述当前访问信息是否存在风险；若所述当前访问信息存在风险，则对所述当前访问信息进行标记，并生成第一安全预警；获取防御策略，基于所述防御策略对所述当前访问信息进行防御。
5.通过采用上述技术方案，对网络设备的网络访问的当前访问信息进行监控、分析，降低网络设备被病毒攻击的可能性。
6.可选的，所述获取防御策略包括：接收大数据平台发送的多个其他网络设备的运行信息，所述运行信息包括被攻击信息和防御信息；将多个所述其他网络设备中与所述当前网络设备的预设类别相同的网络设备作为目标网络设备，获取所述目标网络设备对应的运行信息；将所述当前访问信息与多个所述被攻击信息进行对比，生成对比结果，基于所述对比结果判断是否存在与所述当前访问信息相同的所述被攻击信息；若至少一个所述被攻击信息与所述当前访问信息相同，则生成第二安全预警，判断所述被攻击信息对应的防御信息是否防御成功；若至少一个所述防御信息防御成功，则基于所述防御信息对所述当前访问信息进行防御；若所述防御信息均防御失败，则基于所述本地病毒防御库获取防御策略。
7.通过采用上述技术方案，基于大数据平台获取其他网络设备的运行信息，并获取其他网络设备对与当前访问信息相同的被攻击信息的防御成功的防御信息，通过上述的防御信息当前访问信息进行防御，提高了当前网络设备对当前访问信息防御成功的可能性。由于大数据平台发送的数据量较大，为了降低当前网络设备获取防御信息的处理量，需要先对大量的其他网络设备进行筛选，而预设类别相同的网络设备遭遇相同网络病毒攻击的可能性高于不同预设类别的网络设备遭遇相同网络病毒攻击的可能性，因此，本实施例中，需要按照预设类别从大量的其他网络设备中筛选出目标网络设备，然后再对目标网络设备的运行信息进行分析。
8.可选的，所述获取所述目标网络设备对应的运行信息包括：获取所述当前网络设备的预设等级和位置信息；基于所述预设等级获取所述目标网络设备的预设范围及预设数量；基于所述预设范围和预设数量选择目标网络设备，获取选择后的所述目标网络设备对应的运行信息。
9.通过采用上述技术方案，根据当前网络设备的预设等级不同对目标网络设备进行差异化分析，使得重要程度高的网络设备的目标网络设备数据更多，从而重要程度高的网络设备获取到防御成功的防御信息的可能性更高。
10.可选的，若存在多个所述防御信息防御成功，则所述基于所述防御信息对所述当前访问信息进行防御包括：接收所述大数据平台发送预设统计周期内的所述目标网络设备防御成功的总次数；将防御成功总次数最多的所述目标网络设备作为最优目标网络设备，并将所述最优目标网络设备对应的所述防御信息作为最优防御信息；基于所述最优防御信息对所述当前访问信息进行防御。
11.通过采用上述技术方案，当多个防御信息防御成功时，获取防御成功的防御信息对应的目标网络设备在统计周期内防御成功的总次数，统计周期内防御成功的总次数最多的目标网络设备制定的防御信息更为合理、防御成功率更高，因此，将总次数最多的目标网络设备作为最优目标网络设备，并获取最优目标网络设备中与当前访问信息相同的被攻击信息对应的防御信息，将防御信息作为最优防御信息。
12.可选的，所述方法还包括：接收所述大数据平台发送的所述其他网络设备对应的其他病毒防御库；基于所述其他病毒防御库生成所述本地病毒防御库的更新策略。
13.可选的，所述基于所述其他病毒防御库生成所述本地病毒防御库的更新策略包括：基于所述其他病毒防御库生成所述本地病毒防御库的更新提醒并等待用户的更新操作；响应于用户的更新操作，对所述本地病毒防御库进行更新。
14.通过采用上述技术方案，周期性的接收大数据平台发送的其他网络设备的其他病毒防御库的信息，根据更新提醒对用户进行提醒，便于用户及时对本地病毒防御库进行更新，提高了本地病毒防御库中网络安全基础数据的数据量，从而提高了风险信息识别模型
识别结果的准确性。
15.可选的，在所述基于所述其他病毒防御库生成所述本地病毒防御库的更新提醒并等待用户的更新操作之后，还包括：获取所述本地病毒防御库的历史更新习惯，判断所述历史更新习惯是否为更新不及时；若是，则对所述本地病毒防御库进行自动更新。
16.通过采用上述技术方案，对历史更新习惯为更新不及时的网络设备的本地病毒防御库进行自动更新，提高了本地病毒防御库更新的及时性。
17.第二方面，本技术提供一种应用于第一方面所述基于大数据的网络安全分析方法的网络设备，采用如下的技术方案：一种当前网络设备，包括处理器，所述处理器与存储器耦合；所述处理器用于执行所述存储器中存储的计算机程序，以使得所述网络设备执行第一方面所述基于大数据的网络安全分析方法。
18.第三方面，本技术提供一种基于大数据的网络安全分析系统，采用如下的技术方案：一种基于大数据的网络安全分析系统，包括第二方面所述的网络设备、大数据平台以及其他网络设备；所述大数据平台对所述网络设备及所述其他网络设备的被攻击信息和防御信息进行处理。
19.第四方面，本技术提供一种计算机可读存储介质，采用如下的技术方案：一种计算机可读存储介质，存储有能够被处理器加载并执行第一方面所述基于大数据的网络安全分析方法的计算机程序。
附图说明
20.图1是本技术实施例的一种基于大数据的网络安全分析方法的流程示意图。
21.图2是本技术实施例的一种基于大数据的网络安全分析装置的结构框图。
22.图3是本技术实施例的一种当前网络设备的结构框图。
23.图4是本技术实施例的一种基于大数据的网络安全分析系统的结构框图。
具体实施方式
24.以下结合附图对本技术作进一步详细说明。
25.随着用户数据的容量和类型的增长，对用户数据进行分析、追踪潜在的问题、发现错误变得越来越难，尤其是在多用户相关性分析出现之后。即便在最佳状态下，也需要经验丰富的操作人员跟踪事件链、过滤噪音，并最终诊断出导致复杂问题产生的根本原因。海量的用户数据对用户分析处理的效率提出了更高的要求，使得传统的用户数据存储和分析方法已经不能胜任了。随着大数据时代的来临，大数据平台也应运而生，大数据平台是指对规模巨大的数据进行分析。
26.因此，本技术实施例提供一种基于大数据的网络安全分析方法，该方法可由设备执行，该设备可以为服务器也可以为终端设备，其中该服务器可以是独立的物理服务器，也
可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云计算服务的云服务器。终端设备可以是智能手机、平板电脑、台式计算机等，但并不局限于此。
27.参照图1，一种基于大数据的网络安全分析方法，该网络安全分析方法的主要流程描述如下（步骤s101～s104）：步骤s101：基于本地病毒防御库构建风险信息识别模型；本实施例中，构建风险信息识别模型包括：基于本地病毒防御库进行网络安全基础数据提取，并对提取的数据进行数据分析；对提取的网络安全基础数据进行聚类和筛选，得到可疑特征数据簇；基于对可疑特征数据簇交的判断结果，对可疑特征数据簇中的每一条数据进行标记；建立风险信息识别模型，并初始化模型参数；对可疑特征数据簇中的数据进行标准化处理和归一化处理；对可疑特征数据簇中的数据进行z-score标准化；对可疑特征数据簇中的数据进行均一化处理；根据处理后的特征数据对建立的模型进行训练，得到风险信息识别模型。
28.步骤s102：采集网络访问的当前访问信息，将当前访问信息输入风险信息识别模型；步骤s103：基于风险信息识别模型判断当前访问信息是否存在风险，若是，则转入步骤s1031，若否，则转入步骤s1032；调取网络访问中的当前访问信息，然后通过风险信息识别模型对待防护的网络访问中的当前访问信息进行识别，当发现当前访问信息中存在可疑特征数据时，则风险信息识别模型输出当前访问信息存在风险的分析结果。
29.步骤s1031：对当前访问信息进行标记，并生成第一安全预警；本实施例中，第一安全预警可以是通过网络终端向用户进行反馈的预警。
30.步骤s1032：接收网络访问；步骤s104：获取防御策略，基于防御策略对当前访问信息进行防御。
31.步骤s104中的获取防御策略包括如下处理：步骤s1041：接收大数据平台发送的多个其他网络设备的运行信息，运行信息包括被攻击信息和防御信息；步骤s1042：将多个其他网络设备中与当前网络设备的预设类别相同的网络设备作为目标网络设备，获取目标网络设备对应的运行信息；步骤s1043：将当前访问信息与多个被攻击信息进行对比，生成对比结果，基于对比结果判断是否存在与当前访问信息相同的被攻击信息；步骤s1044：若至少一个被攻击信息与当前访问信息相同，则生成第二安全预警，判断被攻击信息对应的防御信息是否防御成功；步骤s1045：若至少一个防御信息防御成功，则基于防御信息对当前访问信息进行防御；步骤s1046：若防御信息均防御失败，则基于本地病毒防御库获取防御策略。
32.网络设备均按照应用环境和应用内容设有预设类别，示例性地，政务需要所使用的网络设备的预设类别为政务类网络设备，教学办公所使用的网络设备的预设类别为教培类网络设备，企业办公所使用的网络设备的预设类别为企业类网络设备。
33.由于大数据平台发送的数据量较大，为了降低当前网络设备获取防御信息的处理
量，需要先对大量的其他网络设备进行筛选，而预设类别相同的网络设备遭遇相同网络病毒攻击的可能性高于不同预设类别的网络设备遭遇相同网络病毒攻击的可能性，因此，本实施例中，需要按照预设类别从大量的其他网络设备中筛选出目标网络设备，然后再对目标网络设备的运行信息进行分析。
34.本实施例中，步骤s1042还包括如下处理：获取当前网络设备的预设等级和位置信息；基于预设等级获取目标网络设备的预设范围及预设数量；基于预设范围和预设数量选择目标网络设备，获取选择后的目标网络设备对应的运行信息。
35.网络设备均按照设备的重要程度设有预设等级，预设等级均对应有目标网络设备再次筛选的预设范围和预设数量。预设范围为以当前网络设备所在位置为圆心、预设等级对应的半径形成的圆形范围。
36.示例性地，预设等级按照设备的重要程度的由高至低为：第一等级、第二等级和第三等级；第一等级对应的半径为50公里、预设数量为50，第一等级对应的预设范围为以当前网络设备所在位置为圆心、50公里为半径形成的圆形范围，从而在预设范围内选择50台目标网络设备进行分析，若预设范围内的目标网络设备少于50台，则将预设范围内的所有目标网络设备全部进行分析；第二等级对应的半径为30公里、预设数量为30，第二等级对应的预设范围为以当前网络设备所在位置为圆心、30公里为半径形成的圆形范围，从而在预设范围内选择30台目标网络设备进行分析，若预设范围内的目标网络设备少于30台，则将预设范围内的所有目标网络设备全部进行分析；第三等级对应的半径为10公里、预设数量为10，第三等级对应的预设范围为以当前网络设备所在位置为圆心、10公里为半径形成的圆形范围，从而在预设范围内选择10台目标网络设备进行分析，若预设范围内的目标网络设备少于10台，则将预设范围内的所有目标网络设备全部进行分析。
37.根据当前网络设备的预设等级不同对目标网络设备进行差异化分析，使得重要程度高的网络设备的目标网络设备数据更多，从而重要程度高的网络设备获取到防御成功的防御信息的可能性更高。重要程度高的网络设备的预设范围更大，从而能够对其他区域的网络设备的防御信息进行采集。
38.本实施例中，若存在多个防御信息防御成功，需要在多个防御成功的防御信息中挑选出最优的防御信息对当前访问信息进行防御，因此基于防御信息对当前访问信息进行防御还包括如下处理：接收大数据平台发送预设统计周期内的目标网络设备防御成功的总次数；将防御成功总次数最多的目标网络设备作为最优目标网络设备，并将最优目标网络设备对应的防御信息作为最优防御信息；基于最优防御信息对当前访问信息进行防御。
39.当多个防御信息防御成功时，获取防御成功的防御信息对应的目标网络设备在统计周期内防御成功的总次数，统计周期内防御成功的总次数最多的目标网络设备制定的防御信息更为合理、防御成功率更高，因此，将总次数最多的目标网络设备作为最优目标网络设备，并获取最优目标网络设备中与当前访问信息相同的被攻击信息对应的防御信息，将防御信息作为最优防御信息。
40.统计周期可以通过用户进行设定，示例性地，统计周期为6个月，即自当前网络设备被当前访问信息攻击的时间前的6个月为统计周期。
41.本实施例中，该网络安全分析方法还包括如下处理：步骤s105：接收大数据平台发送的其他网络设备对应的其他病毒防御库；
步骤s106：基于其他病毒防御库生成本地病毒防御库的更新策略。
42.步骤s106包括如下处理：基于其他病毒防御库生成本地病毒防御库的更新提醒并等待用户的更新操作；响应于用户的更新操作，对本地病毒防御库进行更新。
43.周期性的接收大数据平台发送的其他网络设备的其他病毒防御库的信息，根据更新提醒对用户进行提醒，便于用户及时对本地病毒防御库进行更新，提高了本地病毒防御库中网络安全基础数据的数据量，从而提高了风险信息识别模型识别结果的准确性。
44.在基于其他病毒防御库生成本地病毒防御库的更新提醒并等待用户的更新操作之后，还包括：获取本地病毒防御库的历史更新习惯，判断历史更新习惯是否为更新不及时；若是，则对本地病毒防御库进行自动更新。
45.历史更新习惯根据更新时间差进行判断，历史更新习惯包括更新及时和更新不及时，更新时间差为历史更新时间与更新提醒发布时间的时间差。当历史更新操作中，更新时间差超过预设时间差的次数大于预设次数阈值时，则该当前网络设备对应的历史更新习惯为更新不及时。示例性地，时间差为48小时，预设次数阈值为5次。
46.通过对历史更新习惯为更新不及时的网络设备的本地病毒防御库进行自动更新，提高了本地病毒防御库更新的及时性。
47.基于相同的技术构思，参照图2，本技术还提供一种基于大数据的网络安全分析装置，该网络安全分析装置200主要包括：构建模块201，用于基于本地病毒防御库构建风险信息识别模型；采集模块202，用于采集网络访问的当前访问信息，将当前访问信息输入风险信息识别模型；判断模块203，用于基于风险信息识别模型判断当前访问信息是否存在风险，若是，则转入标记生成模块；标记生成模块204，用于对当前访问信息进行标记，并生成第一安全预警；获取防御模块205，用于获取防御策略，基于防御策略对当前访问信息进行防御；接收模块206，用于接收大数据平台发送的其他网络设备对应的其他病毒防御库；生成模块207，用于基于其他病毒防御库生成本地病毒防御库的更新策略。
48.可选的，获取防御模块205包括：接收子模块，用于接收大数据平台发送的多个其他网络设备的运行信息，运行信息包括被攻击信息和防御信息；第一获取子模块，用于将多个其他网络设备中与当前网络设备的预设类别相同的网络设备作为目标网络设备，获取目标网络设备对应的运行信息；对比子模块，用于将当前访问信息与多个被攻击信息进行对比，生成对比结果；第一判断子模块，用于基于对比结果判断是否存在与当前访问信息相同的被攻击信息；生成子模块，用于在至少一个所述被攻击信息与所述当前访问信息相同时，生成第二安全预警；第二判断子模块，用于判断被攻击信息对应的防御信息是否防御成功；第一防御子模块，用于在至少一个所述防御信息防御成功时，基于防御信息对当前访问信息进行防御；
第二防御子模块，用于在防御信息均防御失败时，则基于本地病毒防御库获取防御策略。
49.可选的，第一获取子模块包括：第二获取子模块，用于获取当前网络设备的预设等级和位置信息；第三获取子模块，用于基于预设等级获取目标网络设备的预设范围及预设数量；第三获取子模块，用于基于预设范围和预设数量选择目标网络设备，获取选择后的目标网络设备对应的运行信息。
50.在一个例子中，以上任一装置中的模块可以是被配置成实施以上基于大数据的网络安全分析方法的一个或多个集成电路，例如：一个或多个专用集成电路(application specific integratedcircuit，asic)，或，一个或多个数字信号处理器(digital signal processor，dsp)，或，一个或者多个现场可编程门阵列(field programmable gate array，fpga)，或这些集成电路形式中至少两种的组合。
51.再如，当装置中的模块可以通过处理元件调度程序的形式实现时，该处理元件可以是通用处理器，例如中央处理器(central processing unit，cpu)或其它可以调用程序的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，soc)的形式实现。
52.在本技术中可能出现的对各种消息/信息/设备/网元/系统/装置/动作/操作/流程/概念等各类客体进行了赋名，可以理解的是，这些具体的名称并不构成对相关客体的限定，所赋名称可随着场景，语境或者使用习惯等因素而变更，对本技术中技术术语的技术含义的理解，应主要从其在技术方案中所体现/执行的功能和技术效果来确定。
53.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
54.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
55.基于相同的技术构思，参照图3，本技术实施例还公开了一种当前网络设备，当前网络设备300包括处理器301和存储器302，还可以进一步包括信息输入/信息输出(i/o)接口303、通信组件304中的一种或多种以及通信总线305。
56.其中，处理器301用于控制当前网络设备300的整体操作，以完成上述的基于大数据的网络安全分析方法中的全部或部分步骤；存储器302用于存储各种类型的数据以支持在当前网络设备300的操作，这些数据例如可以包括用于在该当前网络设备300上操作的任何应用程序或方法的指令，以及应用程序相关的数据。该存储器302可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(static random access memory，sram)、电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、可擦除可编程只读存储器(erasable programmable read-only memory，eprom)、可编程只读存储器(programmable read-only memory，prom)、只读存储器(read-onlymemory，rom)、磁存储器、快闪存储器、磁盘或光盘中
的一种或多种。
57.i/o接口303为处理器301和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件304用于测试当前网络设备300与其他设备之间进行有线或无线通信。无线通信，例如wi-fi，蓝牙，近场通信(near field communication，简称nfc)，2g、3g或4g，或它们中的一种或几种的组合，因此相应的该通信组件304可以包括：wi-fi部件，蓝牙部件，nfc部件。
58.通信总线305可包括一通路，在上述组件之间传送信息。通信总线305可以是pci(peripheral component interconnect，外设部件互连标准)总线或eisa (extended industry standard architecture，扩展工业标准结构)总线等。通信总线305可以分为地址总线、数据总线、控制总线等。
59.当前网络设备300可以被一个或多个应用专用集成电路 (application specificintegrated circuit，简称asic)、数字信号处理器(digital signal processor，简称dsp)、数字信号处理设备(digital signal processing device，简称dspd)、可编程逻辑器件(programmable logic device，简称pld)、现场可编程门阵列(field programmable gate array，简称fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述实施例给出的基于大数据的网络安全分析方法。
60.当前网络设备300可以包括但不限于数字广播接收器、pda（个人数字助理）、pmp（便携式多媒体播放器）等等的移动终端以及诸如数字tv、台式计算机等等的固定终端，还可以为服务器等。
61.基于相同的技术构思，参照图4，本技术实施例还提供一种基于大数据的网络安全分析系统，该网络安全分析系统400包括上述实施例中的当前网络设备300、大数据平台401以及其他网络设备402；大数据平台401对当前网络设备300及其他网络设备402的被攻击信息和防御信息进行处理。大数据平台包括大数据前端服务器。
62.基于相同的技术构思，本技术实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的基于大数据的网络安全分析方法的步骤。
63.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器 (r ead-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
64.术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
65.以上描述仅为本技术的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本技术中所涉及的申请范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离前述申请构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本技术中申请的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。