一种基于网络安全的大数据安全防护系统及方法与流程

1.本发明涉及网络安全技术领域，具体为一种基于网络安全的大数据安全防护系统及方法。


背景技术：

2.随着互联网的快速发展，网络攻击、暴力破解、数据泄密等网络安全事件经常发生，网络信息安全面临严重的挑战，网络信息安全的运行和防护关系到整个数据中心业务系统稳定运行，网络信息安全范围主要包括网络结构、网络边界以及网络设备安全等，通过网络安全的防护，能够为用户信息系统运行提供一个安全的环境；
3.边界完整性检查指的是对非授权设备私自联到内网的行为、内网用户私自联到外网的行为进行检查，准确定出位置并对异常外联行为进行有效阻断，现有的防护方式为：在内网和外网分别设置一台主机，内网主机负责定时向网内所有被检测计算机发送探测包，在检测到计算机异常外联时发送回应包至外网主机，外网主机接收到回应包后确认异常外联行为并对其进行阻断，然而，在边界完整性检查方面，现有的网络信息安全防护方式仍存在一些问题：首先，在数据传输过程中会受到其他计算机数据传输的干扰，导致存在对外联行为进行误判的可能性；其次，内网检测主机随机设置，若多台计算机出现异常外联行为，无法提高检测和阻断异常外联行为的效率。
4.所以，人们需要一种基于网络安全的大数据安全防护系统及方法来解决上述问题。


技术实现要素：

5.本发明的目的在于提供一种基于网络安全的大数据安全防护系统及方法，以解决上述背景技术中提出的问题。
6.为了解决上述技术问题，本发明提供如下技术方案：一种基于网络安全的大数据安全防护系统，其特征在于：所述系统包括：用户信息采集模块、数据库、测试信息分析模块、防护优化模块和安全防护测试模块；
7.所述用户信息采集模块用于采集网络边界完整性检查数据和被检查计算机数据；
8.所述数据库用于存储采集到的所有数据；
9.所述测试信息分析模块用于分析当前检查和处理异常情况的效率；
10.所述防护优化模块用于对数据安全防护方式进行优化；
11.所述安全防护测试模块用于比对优化前后的检查效率，进行二次优化。
12.进一步的，所述用户信息采集模块包括检查数据采集单元、存储信息采集单元，所述检查数据采集单元用于采集过往对边界完整性进行检查的数据；所述存储信息采集单元用于采集被检测计算机的数据存储信息，将采集到的所有数据传输到所述数据库中。
13.进一步的，所述测试信息分析模块包括阻断分析单元、误判分析单元和干扰分析单元，所述阻断方式分析单元用于分析当前对检测到并阻断异常外联行为的效率；所述误
判统计单元用于统计过往进行边界检查时对异常外联行为进行误判的次数；所述干扰分析单元用于对导致误判的干扰原因进行分析。
14.进一步的，所述防护优化模块包括干扰范围预测单元和检查设备设置单元，所述干扰范围预测单元用于预测导致检测主机对外联行为进行误判时受干扰范围；所述检查设备设置单元用于调整并设置合适的检测主机，利用调整后的检测主机对异常外联行为进行检测。
15.进一步的，所述安全防护测试模块包括外联异常测试单元、测试效率比对单元和二次优化单元，所述外联异常测试单元用于对异常外联行为进行检测和阻断；所述测试效率比对单元用于比对调整前后的检测效率和阻断效率；所述二次优化单元用于对检测主机进行二次调整。
16.一种基于网络安全的大数据安全防护方法，其特征在于：包括以下步骤：
17.z01：采集网络边界完整性检查数据和被检查计算机数据；
18.z02：分析当前检查出异常外联行为时阻断行为的效率；
19.z03：预测导致检测主机对异常外联行为进行误判的干扰范围，调整检测主机；
20.z04：利用调整后的检测主机对外联行为进行检测；
21.z05：比对调整前后的异常外联行为检测效率，对检测主机进行二次调整。
22.进一步的，在步骤z01-z02中：采集检测主机ip地址，将ip地址进行解析，对边界完整性检查环境进行建模，得到检测主机的位置坐标为(x，y)，采集内网中被检测计算机的ip地址，解析ip地址，得到被检测计算机的位置坐标集合为(x，y)＝{(x1，y1)，(x2，y2)，...，(xm，ym)}，其中，m表示内网中被检测计算机个数，获取到检测主机检测到内网中被检测计算机出现异常外联行为的次数集合为b＝{b1，b2，...，bm}，因误判而阻断被检测计算机异常外联行为的次数集合为a＝{a1，a2，...，am}，对被检测计算机出现的异常外联行为进行阻断的平均时长集合为t＝{t1，t2，...，tm}，根据下列公式计算检测主机检测到并阻断随机一个被检测计算机异常外联行为的综合效率qi：
[0023][0024]
其中，bi表示检测到内网中随机一个被检测计算机出现异常外联行为的次数，ai表示因误判而阻断对应被检测计算机异常外联行为的次数，ti表示对对应被检测计算机出现的异常外联行为进行阻断的平均时长，xi和yi分别表示对应被检测计算机的横、纵坐标，得到检测主机检测到并阻断被检测计算机异常外联行为的总效率为采集当前检测主机进行边界完整性检查时的历史数据，在分析其过往检测到的计算机出现的异常外联行为次数的基础上对因受到干扰对外联行为进行误判的数据，结合数据传输距离、检测有效数据和阻断需要时长计算检测主机的综合效率的目的在于与调整更换的检测主机检测效率进行比对，在减少干扰、减少误判的基础上提高了安全防护效率。
[0025]
进一步的，在步骤z03中：采集到因误判而阻断随机一个被检测计算机异常外联行为时，对当前检测主机产生干扰的计算机位置坐标集合为(x’，y’)＝{(x1’，y1’)，(x2’，y2’)，...，(xk’，yk’)}，获取到对应计算机的信号发送范围分别为：以对应计算机地址所在
位置为圆心，半径为r＝{r1，r2，...，rk}的圆，其中，k表示对当前检测主机产生干扰的计算机数量，获取到当前检测主机的探测信号发送范围为以主机地址所在位置为圆心、半径为r的圆，当前检测主机的探测信号发送范围与计算机的发送范围重叠面积集合为s＝{s1，s2，...，sk}，预测干扰范围为总面积为的区域，获取除当前检测主机外所有检测主机地址所在位置坐标集合为(x’，y’)＝{(x1’，y1’)，(x2’，y2’)，...，(xn’，yn’)}，共有n 1个检测主机，根据下列公式计算随机一个检测主机的检测可靠系数wj：
[0026][0027]
其中，xj’和yj’分别表示随机一个检测主机地址所在位置的横、纵坐标，xi’和yi’分别表示随机一个对当前检测主机产生干扰的计算机位置的横、纵坐标，si’表示随机一个检测主机的探测信号发送范围与计算机的发送范围重叠面积，得到检测主机的检测可靠系数集合为w＝{w1，w2，...，wn}，设置最高可靠系数对应的检测主机作为新的检测主机，最高可靠系数为wmax，利用新的检测主机进行边界完整性检查，通过对误判数据进行分析，判断对当前检测主机发送探测信号进行干扰的计算机，将信号发送范围重叠部分作为干扰范围，作为选择新的检测主机的依据之一，结合数据传输距离和干扰范围计算检测可靠系数的目的在于：数据传输距离越远，探测信号接收时间越长，干扰范围越大，说明对应检测主机的越不可靠，即越不适合作为新的检测主机，在对多台计算机进行检测时，选择综合传输距离最近、受干扰最小的检测主机进行边界检查，在改善检测延时的基础上减少对异常外联行为进行误判的可能性。
[0028]
进一步的，在步骤z04-z05中：利用新的检测主机对内网中计算机的外联行为进行检测，得到新的检测主机检测到并阻断被检测计算机异常外联行为的总效率为其中，qi’表示新的检测主机检测到并阻断随机一个被检测计算机异常外联行为的综合效率，比较q和q’：若q《q’：说明新的检测主机综合效率超出当前检测主机；若q≥q’：说明新的检测主机综合效率未超出当前检测主机，对检测主机进行二次调整：按可靠系数从大到小的顺序设置除新的检测主机外最高可靠系数对应的检测主机进行边界检查，直至综合效率超出当前检测主机，选定综合效率超出当前检测主机综合效率的主机进行边界检查，选择新的检测主机后进行综合效率比对，对检测主机进行多次调整，有利于实现检测主机的选择最优化，提高了网络安全防护的有效性。
[0029]
与现有技术相比，本发明所达到的有益效果是：
[0030]
本发明通过采集当前检测主机进行边界完整性检查时的历史数据，结合分析数据传输距离、检测有效数据和阻断需要时长计算检测主机的综合效率，与调整更换的检测主机检测效率进行比对，选择新的检测主机进行边界完整性检查，在减少干扰、减少误判的基础上提高了安全防护效率，解决了现有技术中无法减少对外联行为进行误判的问题；结合数据传输距离和干扰范围计算检测可靠系数，在对多台计算机进行检测时，选择综合传输距离最近、受干扰最小的检测主机进行边界检查，在改善检测延时的基础上减少了对异常外联行为进行误判的可能性。
附图说明
[0031]
附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
[0032]
图1是本发明一种基于网络安全的大数据安全防护系统的结构图；
[0033]
图2是本发明一种基于网络安全的大数据安全防护方法的步骤图。
具体实施方式
[0034]
以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。
[0035]
请参阅图1-图2，本发明提供技术方案：一种基于网络安全的大数据安全防护系统，其特征在于：系统包括：用户信息采集模块、数据库、测试信息分析模块、防护优化模块和安全防护测试模块；
[0036]
用户信息采集模块用于采集网络边界完整性检查数据和被检查计算机数据；
[0037]
数据库用于存储采集到的所有数据；
[0038]
测试信息分析模块用于分析当前检查和处理异常情况的效率；
[0039]
防护优化模块用于对数据安全防护方式进行优化；
[0040]
安全防护测试模块用于比对优化前后的检查效率，进行二次优化。
[0041]
用户信息采集模块包括检查数据采集单元、存储信息采集单元，检查数据采集单元用于采集过往对边界完整性进行检查的数据；存储信息采集单元用于采集被检测计算机的数据存储信息，将采集到的所有数据传输到数据库中。
[0042]
测试信息分析模块包括阻断分析单元、误判分析单元和干扰分析单元，阻断方式分析单元用于分析当前对检测到并阻断异常外联行为的效率；误判统计单元用于统计过往进行边界检查时对异常外联行为进行误判的次数；干扰分析单元用于对导致误判的干扰原因进行分析。
[0043]
防护优化模块包括干扰范围预测单元和检查设备设置单元，干扰范围预测单元用于预测导致检测主机对外联行为进行误判时受干扰范围；检查设备设置单元用于调整并设置合适的检测主机，利用调整后的检测主机对异常外联行为进行检测。
[0044]
安全防护测试模块包括外联异常测试单元、测试效率比对单元和二次优化单元，外联异常测试单元用于对异常外联行为进行检测和阻断；测试效率比对单元用于比对调整前后的检测效率和阻断效率；二次优化单元用于对检测主机进行二次调整。
[0045]
一种基于网络安全的大数据安全防护方法，其特征在于：包括以下步骤：
[0046]
z01：采集网络边界完整性检查数据和被检查计算机数据；
[0047]
z02：分析当前检查出异常外联行为时阻断行为的效率；
[0048]
z03：预测导致检测主机对异常外联行为进行误判的干扰范围，调整检测主机；
[0049]
z04：利用调整后的检测主机对外联行为进行检测；
[0050]
z05：比对调整前后的异常外联行为检测效率，对检测主机进行二次调整。
[0051]
在步骤z01-z02中：采集到检测主机ip地址，将ip地址进行解析，对边界完整性检查环境进行建模，得到检测主机的位置坐标为(x，y)，采集内网中被检测计算机的ip地址，解析ip地址，得到被检测计算机的位置坐标集合为(x，y)＝{(x1，y1)，(x2，y2)，...，(xm，
ym)}，其中，m表示内网中被检测计算机个数，获取到检测主机检测到内网中被检测计算机出现异常外联行为的次数集合为b＝{b1，b2，...，bm}，因误判而阻断被检测计算机异常外联行为的次数集合为a＝{a1，a2，...，am}，对被检测计算机出现的异常外联行为进行阻断的平均时长集合为t＝{t1，t2，...，tm}，根据下列公式计算检测主机检测到并阻断随机一个被检测计算机异常外联行为的综合效率qi：
[0052][0053]
其中，bi表示检测到内网中随机一个被检测计算机出现异常外联行为的次数，ai表示因误判而阻断对应被检测计算机异常外联行为的次数，ti表示对对应被检测计算机出现的异常外联行为进行阻断的平均时长，xi和yi分别表示对应被检测计算机的横、纵坐标，得到检测主机检测到并阻断被检测计算机异常外联行为的总效率为在减少干扰、减少误判的基础上提高了安全防护效率。
[0054]
在步骤z03中：采集到因误判而阻断随机一个被检测计算机异常外联行为时，对当前检测主机产生干扰的计算机位置坐标集合为(x’，y’)＝{(x1’，y1’)，(x2’，y2’)，...，(xk’，yk’)}，获取到对应计算机的信号发送范围分别为：以对应计算机地址所在位置为圆心，半径为r＝{r1，r2，...，rk}的圆，其中，k表示对当前检测主机产生干扰的计算机数量，获取到当前检测主机的探测信号发送范围为以主机地址所在位置为圆心、半径为r的圆，当前检测主机的探测信号发送范围与计算机的发送范围重叠面积集合为s＝{s1，s2，...，sk}，预测干扰范围为总面积为的区域，获取除当前检测主机外所有检测主机地址所在位置坐标集合为(x’，y’)＝{(x1’，y1’)，(x2’，y2’)，...，(xn’，yn’)}，共有n 1个检测主机，根据下列公式计算随机一个检测主机的检测可靠系数wj：
[0055][0056]
其中，xj’和yj’分别表示随机一个检测主机地址所在位置的横、纵坐标，xi’和yi’分别表示随机一个对当前检测主机产生干扰的计算机位置的横、纵坐标，si’表示随机一个检测主机的探测信号发送范围与计算机的发送范围重叠面积，得到检测主机的检测可靠系数集合为w＝{w1，w2，...，wn}，设置最高可靠系数对应的检测主机作为新的检测主机，最高可靠系数为wmax，利用新的检测主机进行边界完整性检查，在对多台计算机进行检测时，选择综合传输距离最近、受干扰最小的检测主机进行边界检查，在改善检测延时的基础上减少对异常外联行为进行误判的可能性，同时扩大了边界完整性检查范围。
[0057]
在步骤z04-z05中：利用新的检测主机对内网中计算机的外联行为进行检测，得到新的检测主机检测到并阻断被检测计算机异常外联行为的总效率为其中，qi’表示新的检测主机检测到并阻断随机一个被检测计算机异常外联行为的综合效率，比较q和q’：若q《q’：说明新的检测主机综合效率超出当前检测主机；若q≥q’：说明新的检测主机
综合效率未超出当前检测主机，对检测主机进行二次调整：按可靠系数从大到小的顺序设置除新的检测主机外最高可靠系数对应的检测主机进行边界检查，直至综合效率超出当前检测主机，选定综合效率超出当前检测主机综合效率的主机进行边界检查，实现了检测主机的选择最优化，提高了网络安全防护的有效性。
[0058]
实施例一：采集检测主机ip地址，将ip地址进行解析，对边界完整性检查环境进行建模，得到检测主机的位置坐标为(x，y)＝(20，20)，采集内网中被检测计算机的ip地址，解析ip地址，得到被检测计算机的位置坐标集合为(x，y)＝{(x1，y1)，(x2，y2)，(x3，y3)}＝{(6，6)，(10，10)，(15，15)}，获取到检测主机检测到内网中被检测计算机出现异常外联行为的次数集合为b＝{b1，b2，b3}＝{6，8，4}，因误判而阻断被检测计算机异常外联行为的次数集合为a＝{a1，a2，a3}＝{2，3，0}，对被检测计算机出现的异常外联行为进行阻断的平均时长集合为t＝{t1，t2，t3}＝{8，6，10}，根据公式得到检测主机检测到并阻断被检测计算机异常外联行为的总效率为采集到因误判而阻断随机一个被检测计算机异常外联行为时，对当前检测主机产生干扰的计算机位置坐标集合为(x’，y’)＝{(x1’，y1’)，(x2’，y2’)，(x3’，y3’)}＝{(10，12)，(8，6)，(2，4)}，获取除当前检测主机外所有检测主机地址所在位置坐标集合为(x’，y’)＝{(x1’，y1’)，(x2’，y2’)，(x3’，y3’)}＝{(16，16)，(6，8)，(4，2)}，根据公式得到检测主机的检测可靠系数集合为w＝{w1，w2，w3}＝{0.021，0.038，0.024}，设置最高可靠系数对应的检测主机作为新的检测主机，最高可靠系数为wmax＝0.038，利用新的检测主机进行边界完整性检查，利用新的检测主机对内网中计算机的外联行为进行检测，得到新的检测主机检测到并阻断被检测计算机异常外联行为的总效率为比较q和q’：q《q’：说明新的检测主机综合效率超出当前检测主机，不对检测主机进行二次调整。
[0059]
最后应说明的是：以上所述仅为本发明的优选实例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。