一种基于大数据的智能网络安全防护方法和系统与流程

本发明涉及网络安全监控的，尤其是涉及一种基于大数据的智能网络安全防护方法和系统。

背景技术：

1、大数据指规模庞大、类型多样且高速生成的数据集合，大数据集合的规模通常超出传统数据处理工具的能力范围；大数据涵盖多种数据类型，包括结构化数据（如数据库表格）、半结构化数据（如xml、json）和非结构化数据（如文本、图像、音频、视频）等，大数据以极快的速度产生，需要实时或近实时的处理和分析。

2、而现有的高校通常拥有大量的学生和教职员工，他们在校园网络上产生大量的数据。通过对这些数据进行收集、存储和分析，可以获得对学生学习行为、教学质量、校园安全等方面的深入了解，因此大数据分析可以帮助高校提高教学质量和学生服务、帮助高校评估教学方法和课程设计的效果，优化教学过程，提高学生的学习成果等。

3、针对上述中的相关技术，存在有以下缺陷：随着数据量和用户数量增多，高校所受到的网络威胁也随之增加，现有的高校乏有效的监测和响应机制，难以实时监测网络流量和用户行为，及时发现异常活动并采取相应的响应措施，导致高校存在数据泄露的情况，降低高校的网络信息安全性。

技术实现思路

1、为了提高高校的网络信息安全性，本技术提供一种基于大数据的智能网络安全防护方法和系统。

2、第一方面，本技术的上述发明目的是通过以下技术方案得以实现的：

3、一种基于大数据的智能网络安全防护方法，所述一种基于大数据的智能网络安全防护方法包括步骤：

4、获取高校内的数据库信息，并对高校内的所有数据库做标记；

5、获取高校网络中的安全数据信息，所述安全数据信息包括网络流量数据、日志数据、安全事件数据，并将所述安全数据信息存储至预设置的安全数据信息数据库中，对所述安全数据信息数据库中的异常数据进行标记，所述安全数据信息数据库中的异常数据被标记为网络安全异常数据；

6、预设置的异常数据筛选模型对所述网络安全异常数据与相关的数据库进行关联，分析所述网络安全异常数据对应的威胁情报源信息，所述威胁情报源信息包括已知的攻击方式、恶意软件样本、漏洞情报，即对高校内的数据库标记有所述威胁情报源信息；

7、预设置的网络威胁数据分析模型对所述网络安全异常数据进行分析，以提取所述网络安全异常数据的相关异常特征，根据所述威胁情报源信息对所述网络安全异常数据进行分类，并根据所述网络安全异常数据的相关异常特征对所述网络安全异常数据进行危险因数标记；

8、基于所述网络安全异常数据、所述网络安全异常数据的危险因数、所述威胁情报源信息和高校内的被标记的数据库建立训练集数据库，预设置的网络安全防护模型基于所述训练集数据库进行自学习和模型训练，以获得识别所述网络安全异常数据的能力；

9、所述网络安全防护模型获取高校网络中的实时所述安全数据信息，并对实时所述安全数据信息进行监控，若所述网络安全防护模型从所述安全数据信息提取到所述相关异常特征，则拦截相应的所述安全数据信息，并向运维人员发送预警报告。

10、通过采用上述技术方案，收集高校网络中的安全数据信息，并将其存储至安全数据信息数据库，并将安全数据信息中的异常数据标记为网络安全异常数据，用于在后续的分析和处理中识别和应对网络安全威胁，将数据库与网络安全异常数据进行关联，并将其标记为与异常数据相关的数据库，这样在后续的分析和处理中，利用这些标记的数据库信息来辅助识别和应对网络安全威胁，提高网络安全防护的准确性和效果，相比现有的只简单地对异常数据进行统计分析，本方案基于大数据的方法可以通过建立复杂的网络威胁数据分析模型和网络安全防护模型，并对网络安全异常数据进行危险因数标记，从而更准确地评估网络安全威胁的危险程度，网络安全防护模型基于危险程度做出相应的拦截或放行，以此对高校中的网络数据进行监控和响应，提高网络安全防护的智能性和响应效率，提高用高校户体验的同时保证高校的数据库和网络信息安全性，且当网络安全防护模型从实时安全数据信息中提取到异常特征时，网络安全防护模型会生成一份预警报告，并将其发送给运维人员，运维人员收到预警报告后，会对报告进行评估和判断，在网络安全防护模型的判断基础上增加人工的判断，对网络安全异常数据快速响应的同时进一步减少误判事件，提高了高校的网络信息安全性的同时提高用户的使用体验。

11、本技术在一较佳示例中可以进一步配置为：在所述网络安全防护模型获取高校网络中的实时所述安全数据信息，并对实时所述安全数据信息进行监控，若所述网络安全防护模型从所述安全数据信息提取到所述相关异常特征，则拦截相应的所述安全数据信息，并向运维人员发送预警报告这一步骤之后，包括步骤如下：

12、获取高校内的用户端的网络行为数据，所述网络行为数据包括登录信息、访问记录、文件传输信息；

13、预设置的网络行为分析模型对所述网络行为数据进行分析，并根据所述网络行为数据构建用户的正常行为画像；

14、所述网络行为分析模型获取用户的实际行为数据，并根据所述实际行为数据构建相应的实际行为画像，将所述实际行为画像与所述正常行为画像进行对比，以判断是否存在异常用户行为；

15、若存在异常用户行为，所述网络安全防护模型拦截相应的用户端数据，并向运维人员发送预警报告。

16、通过采用上述技术方案，获取用户端的网络行为数据，全面了解用户在高校网络中的活动和行为，并以此构建用户的正常行为画像，建立一个比较基准，用于判断后续实际行为是否异常，这有助于提高网络安全防护模型的准确性和精确性，通过将实际行为画像与正常行为画像进行对比，及时发现和识别用户的异常行为，从而提高网络安全防护模型对潜在威胁的检测能力，提高网络防护的反应效率。

17、本技术在一较佳示例中可以进一步配置为：在预设置的网络行为分析模型对所述网络行为数据进行分析，并根据所述网络行为数据构建用户的正常行为画像这一步骤之中，包括步骤如下：

18、所述网络行为分析模型对所述网络行为数据进行特征提取得到网络行为特征，并将所述网络行为特征与对应的所述用户端关联，通过分析所述用户端的全部所述网络行为特征以获得所述用户端的网络使用习惯及并生成相应的用户行为画像；

19、所述网络行为分析模型分析全部所述用户行为画像并结合预设置的相似度，构建用户的正常行为画像。

20、通过采用上述技术方案，通过特征提取和关联，网络行为分析模型可以将用户的网络行为转化为可量化的特征，进而分析用户的网络使用习惯和行为模式，便于建立用户的行为画像，为后续的异常检测提供基础，大数据分析全部用户的行为画像并结合相似度标准，网络行为分析模型可以建立用户的正常行为画像，这样的行为画像可以作为基准，用于判断后续实际行为是否异常，同时，通过考虑多个用户的行为，网络行为分析模型可以减少误判和提高准确。

21、本技术在一较佳示例中可以进一步配置为：在若存在异常用户行为，所述网络安全防护模型拦截相应的用户端数据，并向运维人员发送预警报告这一步骤之后，包括步骤如下：

22、获取运维人员的判断反馈，确定所述异常用户行为是否构成安全威胁；

23、若所述异常用户行为不构成安全威胁，则收集所述异常用户行为并输入至预设置的偏差行为数据库，所述偏差行为数据库用于存储被初步判断为异常用户行为而实际判断不构成安全威胁的网络行为数据；

24、预设置的偏差行为纠正模型基于所述偏差行为数据库的所述异常用户行为进行分析，结合所述正常行为画像，生成偏差行为画像，所述偏差行为画像用于优化对所述异常用户行为的判断。

25、通过采用上述技术方案，将实际不构成安全威胁的异常用户行为数据输入至偏差行为数据库，建立一个实例库，为优化和改进提供数据基础，有助于提高网络安全防护模型对异常行为的判断准确性。

26、本技术在一较佳示例中可以进一步配置为：在获取运维人员的判断反馈，确定所述异常用户行为是否构成安全威胁这一步骤之后，包括步骤如下：

27、若所述异常用户行为构成安全威胁，则收集所述异常用户行为并输入至预设置的威胁行为数据库，所述威胁行为数据库用于存储判断为构成安全威胁的网络行为数据；

28、预设置的威胁行为预测模型基于所述威胁行为数据库的网络行为数据进行分析和自学习，当所述实际行为画像与所述正常行为画像进行对比存在差异时，所述威胁行为预测模型对所述实际行为画像进行预测，以生成构成安全威胁的异常用户行为，若所述实际行为数据存在所预测的所述异常用户行为，则将所述实际行为数据判断为构成安全威胁。

29、通过采用上述技术方案，通过将构成安全威胁的异常用户行为数据输入至威胁行为数据库，可以建立一个威胁行为的实例库，为后续的威胁行为预测提供数据基础，这有助于模型对新出现的威胁行为进行预测和识别。

30、本技术在一较佳示例中可以进一步配置为：在预设置的异常数据筛选模型对所述网络安全异常数据与相关的数据库进行关联，分析所述网络安全异常数据对应的威胁情报源信息，所述威胁情报源信息包括已知的攻击方式、恶意软件样本、漏洞情报，即对高校内的数据库标记有所述威胁情报源信息这一步骤之后，包括步骤如下：

31、获取高校内的所述数据库的标记信息，并根据所述数据库的标记信息对所述威胁情报源信息进行溯源，以获得所述威胁情报源信息对应的所述网络行为数据；

32、获取所述网络行为数据中的登入信息以及登入日志，以了解所述网络行为数据如何登入所述高校内的数据库；

33、根据所述网络行为数据中的登入信息以及登入日志优化所述数据库的防火墙设置，以阻挡相似所述网络行为数据的威胁行为。

34、通过采用上述技术方案，网络安全防护模型根据威胁情报源信息对应的所述网络行为数据优化数据库的防火墙设置，如增加远程访问的限制、加强身份验证等，以阻挡相似的网络行为数据的威胁行为，以此提升高校内的数据库的安全性，阻止潜在的威胁行为的发生，保护高校内的数据库免受恶意攻击和未授权访问，提高高校的网络信息安全性。

35、第二方面，本技术的上述发明目的是通过以下技术方案得以实现的：

36、一种基于大数据的智能网络安全防护装置，所述一种基于大数据的智能网络安全防护装置包括：

37、安全数据信息获取模块，用于获取高校网络中的安全数据信息，所述安全数据信息包括网络流量数据、日志数据、安全事件数据，并将所述安全数据信息存储至预设置的安全数据信息数据库中，对所述安全数据信息数据库中的异常数据进行标记，所述安全数据信息数据库中的异常数据被标记为网络安全异常数据；

38、异常数据筛选模块，用于预设置异常数据筛选模型以对所述网络安全异常数据与相关的数据库进行关联，分析所述网络安全异常数据对应的威胁情报源信息，所述威胁情报源信息包括已知的攻击方式、恶意软件样本、漏洞情报，即对高校内的数据库标记有所述威胁情报源信息；

39、网络威胁数据分析模块，用于预设置网络威胁数据分析模型以对所述网络安全异常数据进行分析，以提取所述网络安全异常数据的相关异常特征，根据所述威胁情报源信息对所述网络安全异常数据进行分类，并根据所述网络安全异常数据的相关异常特征对所述网络安全异常数据进行危险因数标记；

40、网络安全防护模块，用于预设置网络安全防护模型，所述网络安全防护模型基于所述网络安全异常数据、所述网络安全异常数据的危险因数、所述威胁情报源信息和高校内的被标记的数据库建立训练集数据库，所述网络安全防护模型基于所述训练集数据库进行自学习和模型训练，以获得识别所述网络安全异常数据的能力。

41、可选的，所述一种基于大数据的智能网络安全防护装置还包括：

42、网络行为数据获取模块，用于获取高校内的用户端的网络行为数据，所述网络行为数据包括登录信息、访问记录、文件传输信息；

43、网络行为分析模块，用于预设置网络行为分析模型以对所述网络行为数据进行分析以构建用户的正常行为画像；并获取用户的实际行为数据以构建相应的实际行为画像，将所述实际行为画像与所述正常行为画像进行对比，以判断是否存在异常用户行为。

44、第三方面，本技术的上述目的是通过以下技术方案得以实现的：

45、一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述一种基于大数据的智能网络安全防护方法的步骤。

46、第四方面，本技术的上述目的是通过以下技术方案得以实现的：

47、一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述一种基于大数据的智能网络安全防护方法的步骤。

48、综上所述，本技术包括以下至少一种有益技术效果：

49、1、相比现有的只简单地对异常数据进行统计分析，本方案基于大数据的方法可以通过建立复杂的网络威胁数据分析模型和网络安全防护模型，并对网络安全异常数据进行危险因数标记，从而更准确地评估网络安全威胁的危险程度，网络安全防护模型基于危险程度做出相应的拦截或放行，以此对高校中的网络数据进行监控和响应，提高网络安全防护的智能性和响应效率，提高用高校户体验的同时保证高校的数据库和网络信息安全性，且当网络安全防护模型从实时安全数据信息中提取到异常特征时，网络安全防护模型会生成一份预警报告，并将其发送给运维人员，运维人员收到预警报告后，会对报告进行评估和判断，在网络安全防护模型的判断基础上增加人工的判断，对网络安全异常数据快速响应的同时进一步减少误判事件，提高了高校的网络信息安全性的同时提高用户的使用体验；

50、2、获取用户端的网络行为数据，全面了解用户在高校网络中的活动和行为，并以此构建用户的正常行为画像，建立一个比较基准，用于判断后续实际行为是否异常，这有助于提高网络安全防护模型的准确性和精确性，通过将实际行为画像与正常行为画像进行对比，及时发现和识别用户的异常行为，从而提高网络安全防护模型对潜在威胁的检测能力，提高网络防护的反应效率；

51、3、通过特征提取和关联，网络行为分析模型可以将用户的网络行为转化为可量化的特征，进而分析用户的网络使用习惯和行为模式，便于建立用户的行为画像，为后续的异常检测提供基础，大数据分析全部用户的行为画像并结合相似度标准，网络行为分析模型可以建立用户的正常行为画像，这样的行为画像可以作为基准，用于判断后续实际行为是否异常，同时，通过考虑多个用户的行为，网络行为分析模型可以减少误判和提高准确；

52、4、将实际不构成安全威胁的异常用户行为数据输入至偏差行为数据库，建立一个实例库，为优化和改进提供数据基础，有助于提高网络安全防护模型对异常行为的判断准确性；通过将构成安全威胁的异常用户行为数据输入至威胁行为数据库，可以建立一个威胁行为的实例库，为后续的威胁行为预测提供数据基础，这有助于模型对新出现的威胁行为进行预测和识别。