一种基于大数据分析的智能网络安全系统及方法与流程

本发明涉及网络安全智能管理，具体为一种基于大数据分析的智能网络安全系统及方法。

背景技术：

1、大数据是指规模庞大、类型复杂、价值密度低的数据集合，使用大数据分析对网络安全管理上发挥着重要的作用，主要体现在以下几点，1、威胁检测和预测，通过对网络流量、网络安全事件和网络安全日志进行实时监测和分析，大数据分析可以从中识别出潜在的威胁和网络攻击行为，并且还可以对网络攻击进行预测；2、网络异常行为检测，大数据分析可以帮助识别网络中的异常行为，如异常的网络数据传输和访问模式等；3、日志分析和溯源，大数据可以对大量的日志数据进行分析和处理，帮助发现日志中异常行为和事件，通过对日志数据的分析，去追溯攻击者的行为路径，了解攻击者的方式和目的，从而采取相应的对策和防范措施；4、用户行为智能分析，通过对用户的行为进行分析，可以识别出用户的异常行为，如用户的异常登录、异常访问等，通过对用户行为的分析，可以提高对恶意用户的内容识别能力，从而及时采取相应的防范和响应措施。

2、随着技术的高速发展，网络安全也越来越重要，对于网络安全的防护主要方式是对于对网络攻击进行提前预警，从而达到提前发现潜在的网络攻击的目的，目前常规的对于网络攻击的预警，通常是对网络攻击的发生时间和发生强度进行预测，但是随着网络攻击形式越来越复杂，计算机设备可能会在同一时间段受到多个网络攻击，但是目前，计算机设备如何对多个网络攻击进行预警，保证计算机设备的网络安全，却没有一个较为完美的方案。

技术实现思路

1、本发明的目的在于提供一种基于大数据分析的智能网络安全系统及方法，以解决上述背景技术中提出的问题。

2、为了解决上述技术问题，本发明提供如下技术方案：一种基于大数据分析的智能网络安全方法，方法包括：

3、步骤s100：构建网络安全管理云平台，对计算机设备的各个历史网络安全事件进行获取，从各个历史网络安全事件中提取出计算机设备各项网络数据，对计算机设备各个历史网络安全事件各项网络数据变化的时段进行分析，得到计算机设备中历史网络安全事件的数据采集时长；

4、步骤s200：基于历史网络安全事件和历史网络安全事件的数据采集时长，对计算机设备内各项网络数据对网络安全影响程度评估，得出计算机设备的第一网络安全数据；

5、步骤s300：获取各个历史网络安全事件中各个网络攻击源，并对计算机设备受到网络攻击时，不同网络攻击源相互影响状态进行分析，得到计算机设备对应的网络标记数据；

6、步骤s400：对当前周期内计算机设备的网络状态进行监测，并结合第一网络安全数据和网络标记数据，网络安全管理云平台对计算机设备在当前周期内受到的网络攻击进行趋势预测，并对计算机设备网络安全进行智能管理。

7、进一步的，步骤s100包括：

8、步骤s101：设置单位时长，网络安全管理云平台，每间隔单位时长对计算机设备的各项网络数据进行数据采集，得到计算机设备每间隔单位时长的各项网络数据；

9、步骤s102：获取计算机安全事件中计算机设备的各项网络数据，计算第a个单位时长第b项网络数据的第一变化值其中，为第a个单位时长内计算机设备的第b项网络数据对应的数值，为第a-1个单位时长内算机设备第b项网络数据对应的数值；

10、步骤s103：由工作人员进行评估，得到各个历史网络安全事件发生的时间点，设置计算机设备各项网络数据的第一变化值阈值，获取计算机设备的各项网络数据的第一变化值，当第a个单位时长内存在第b项网络数据的第一变化值，大于第b项网络数据的第一变化值阈值，获取第a个单位时长所处的时段，获取各个历史网络安全事件与第a个单位时长所处的时段之间距离的时长，选取所述时长最小的历史网络安全事件，作为受第a个单位时长内第b项网络数据影响的历史网络安全事件，并将历史网络安全事件与第a个单位时长所处时段之间时间距离对应的数值，作为历史网络安全事件的第一时长对应数值；

11、步骤s104：获取计算机设备各个历史网络安全事件的第一时长，从中选取时长对应的数值的最大值，作为计算机设备中历史网络安全事件的数据采集时长；

12、上述步骤获取历史网络安全事件的数据采集时长，是因为在实际生活中，计算机设备往往会受到多种网络攻击，但是大部分的网络攻击对是无法对计算机设备的网络造成实际伤害的，为了更加精准的找出造成计算机设备网络安全事件的网络攻击，所以才对计算机设备的各项网络数据进行分析，去获取历史网络安全事件的数据采集时长。

13、进一步的，步骤s200包括：

14、步骤s201：获取第c个历史网络安全事件的数据采集周期wc∈[tc-tduration,tc]，其中，tc为第c个历史网络安全事件发生的时间点，tduration为计算机设备中历史网络安全事件的数据采集时长；

15、步骤s202：获取各个历史网络安全事件对应的数据采集周期，网络安全管理云平台在各个历史网络安全事件对应数据采集周期内，每间隔单位时长对计算机设备的各项网络数据进行记录并汇集，得到计算机设备的网络数据集合；

16、步骤s203：当第μ个历史网络安全事件内第δ项网络数据在第φ个单位时长内的第一变化值大于第一变化值阈值，对第δ项网络数据在第φ个单位时长内的数值进行获取，并记为第μ个历史网络安全事件内第δ项网络数据的第一特征数值；

17、步骤s204：获取网络数据集合内各个历史网络安全事件中，各项网络数据的第一变化值大于第一变化值阈值的各项网络数据，从网络数据集合中随机选取若干项网络数据，并记为特征网络数据组，计算特征网络数据组的第一网络数据占比值u：

18、

19、其中，ssum为网络数据集合中含有特征网络数据组的历史网络安全事件总个数；sα为特征网络数据组中各项网络数据的第一变化值，均大于第一变化阈值的历史网络安全事件个数；

20、步骤s205：从网络数据集合中随机选取出若干个特征网络数据组，其中，若干个特征网络数据组含有的网络数据项数各不相同，获取若干个特征网络数据组的第一网络数据占比值，从中选取第一网络数据占比值最大的特征网络数据组，并将特征网络数据组中包含的各项网络数据，记为特征网络数据；

21、步骤s206：对各个历史网络安全事件中各项特征网络数据的第一特征数值进行获取，选取各项特征网络数据对应的第一特征数值最小值，作为特征网络数据的特征数值，并对特征网络数据组中各项特征网络数据对应的特征数值进行汇集，得到计算机设备网络安全的第一网络安全数据。

22、进一步的，步骤s300包括：

23、步骤s301：获取对计算机设备进行网络攻击的ip地址，将ip地址作为网络攻击源的身份标识，获取在各个历史网络安全事件的数据采集周期内，各个网络攻击源的各项网络攻击数据；

24、步骤s302：获取由专业人员进行评估后，得到的计算机设备各个历史网络安全事件的网络事件等级和网络攻击源强度，计算计算机设备第d个历史网络安全事件的第一攻击源强度值wd：

25、

26、其中，表示为第d个历史网络安全事件的第i个网络攻击源的网络攻击源强度；n为第d个历史网络安全事件内网络攻击源总个数；

27、步骤s303：设置网络事件等级阈值，获取计算机设备各个历史网络安全事件对应的第一攻击源强度值，当计算机设备的某一个历史网络安全事件的网络事件等级，大于网络事件等级阈值，并且同时某一个历史网络安全事件的第一攻击源强度值，大于第一攻击源强度值阈值，获取某一个历史网络安全事件中各个网络攻击源的各项网络攻击数据，并记为计算机设备的网络特征数据；

28、步骤s304：获取计算机设备的各个网络特征数据，并随机选取第e项网络攻击数据，获取历史网络安全事件中含有第e项网络攻击数据的网络攻击源个数，计算第e项网络攻击数据对计算机设备的标记网络安全影响值

29、

30、其中，j为含有第e项网络攻击数据的历史网络安全事件总个数；为第x个历史网络安全事件内含有第e项网络攻击数据的网络攻击源个数；为第x个历史网络安全事件内网络攻击源总个数；

31、步骤s305：获取各项网络攻击数据的网络安全影响值，设置标记网络安全影响阈值，当第e项网络攻击数据对应的网络安全影响值，大于相应的网络安全影响值，将第e项网络攻击数据，记为网络标记攻击数据；

32、步骤s306：从网络特征数据中随机选取若干项网络攻击数据，组成第一网络攻击数据组，获取含有第一网络攻击数据组内各项网络攻击数据的历史网络安全事件个数，计算第一网络攻击数据组的第二网络安全事件占比值y＝l÷ssum；其中，lβ为含有第一网络攻击数据组的历史网络安全事件个数，ssum为网络数据集合中含有的历史网络安全事件总个数；

33、步骤s307：获取各个第一网络攻击数据组的第二网络安全事件占比值，设置第二网络安全事件占比值阈值，当某一个第一网络攻击数据组的第二网络安全事件占比值，大于第二网络安全事件占比值阈值，将某一个第一网络攻击数据组，作为网络标记攻击数据组；

34、步骤s308：获取计算机设备的各个网络标记攻击数据组和各个网络标记攻击数据并进行汇集，得到计算机设备对应的网络标记数据；

35、上述步骤中对历史网络安全事件的第一攻击源强度值进行计算，是因为计算机设备虽然发生了很多网络安全事件，但是这些网络安全事件对计算机设备造成的影响各不相同，所以要对网络安全事件进行区分，使用第一攻击源强度值，作为历史网络安全事件的判断标准，使得对于历史网络安全事件分析有实际的数值对应，使得对计算机设备的历史网络安全事件，分析更加科学、更加精准。

36、进一步的，步骤s400包括：

37、步骤s401：网络安全管理云平台，对当前周期内计算机设备的网络数据进行监测，获得计算机设备的各项网络数据，当计算机设备的各项网络数据对应数值，大于计算机设备的第一网络安全数据中各项特征网络数据对应的特征数值，判定计算机设备存在网络安全风险；

38、步骤s402：当计算机设备在当前周期内被判定为存在网络安全风险时，网络安全管理云平台对计算机设备进行网络攻击的各个网络攻击源的网络攻击行为进行监测，设置网络攻击源个数阈值，当某一个网络攻击源对应的各项网络攻击数据中，存在与网络标记数据中某个网络标记攻击数据组或某个网络标记攻击数据相同时，将某一个网络攻击源，记为目标网络攻击源；

39、步骤s403：获取计算机设备在当前周期内的目标网络攻击源总个数，当计算机设备在当前周期内的目标网络攻击源总个数，大于网络攻击源个数阈值，判定计算机设备当前周期内会发生网络安全事件，网络管理云平台对计算机设备进行网络安全预警，向用户发出网络安全提示，并对计算机设备网络安全进行智能管理。

40、为了更好的实现上述方法还提出了智能网络安全方法的智能网络安全系统，安全系统包括数据采集时长模块、第一网络安全数据模块、网络标记数据模块、网络安全智能管理模块；

41、数据采集时长模块，用于对计算机设备各项网络数据变化状态进行分析，得到计算机设备的各项网络数据的第一变化值，并对计算机设备各个历史网络安全事件各项网络数据变化的时段进行分析，得到计算机设备中历史网络安全事件的数据采集时长；

42、第一网络安全数据模块，用于对计算机设备内各项网络数据对网络安全优先程度进行评估，得出计算机设备的第一网络安全数据；

43、网络标记数据模块，用于对用电设备在当前周期内设备使用状态进行分析，得到当前周期内用电设备的网络标记数据；

44、网络安全智能管理模块，用于对计算机设备在当前周期内受到的网络攻击趋势进行预测，网络安全管理云平台对计算机设备网络安全进行智能管理。

45、进一步的，数据采集时长模块包括第一变化值单元、数据采集时长单元；

46、第一变化值单元，用于对计算机安全事件中的计算机设备的各项网络数据进行获取，计算第一变化值；

47、数据采集时长单元，用于对计算机设备各个历史网络安全事件的第一时长进行获取，并从中选取时长对应的数值的最大值，作为计算机设备中历史网络安全事件的数据采集时长。

48、进一步的，第一网络安全数据模块包括第一网络数据占比值单元、第一网络安全数据单元；

49、第一网络数据占比值单元，用于获取网络数据集合内各个历史网络安全事件中，各项网络数据的第一变化值大于第一变化值阈值的网络数据，从网络数据集合中随机选取若干项网络数据，并记为特征网络数据组，计算特征网络数据组的第一网络数据占比值；

50、第一网络安全数据单元，用于对特征网络数据组中各项特征网络数据对应的特征数值进行汇集，得到计算机设备网络安全的第一网络安全数据。

51、进一步的，网络标记数据模块包括第一攻击源强度值单元、网络标记数据单元；

52、第一攻击源强度值单元，用于对计算机设备的各个网络特征数据进行获取，并随机选取网络攻击数据，获取历史网络安全事件中含有网络攻击数据的网络攻击源个数，计算网络攻击数据对计算机设备的标记网络安全影响值；

53、网络标记数据单元，用于对计算机设备的各个网络标记攻击数据组和各个网络标记攻击数据进行获取并汇集，得到计算机设备对应的网络标记数据。

54、进一步的，网络安全智能管理模块包括网络安全智能管理单元；

55、网络安全智能管理单元，用于对当前周期内计算机设备的网络数据进行监测，获得计算机设备的各项网络数据，当计算机设备在当前周期内的目标网络攻击源总个数，大于网络攻击源个数阈值，判定计算机设备当前周期内会发生网络安全事件，网络管理云平台对计算机设备进行网络安全预警，向用户发出网络安全提示，并对计算机设备网络安全进行智能管理。

56、与现有技术相比，本发明所达到的有益效果是：本发明实现了对网络安全的智能管理，不仅仅可以提前发现潜在的网络攻击，而且还可以针对同种网络安全事件下不同网络攻击源进行分析，从而实现计算机设备在受到不同网络攻击源进行网络攻击时，可以根据具体的网络攻击情况，实现对网络安全的智能防护，大大提升了计算机设备的网络安全性。