一种大数据信息安全验证与异常溯源方法与流程

本发明涉及大数据安全，尤其涉及一种大数据信息安全验证与异常溯源方法。

背景技术：

1、随着大数据的快速发展，尤其是在云计算、物联网和社交媒体的应用背景下，数据量呈指数级增长，这对数据的安全管理提出了更高的要求。传统的数据安全管理依赖于静态的管理机制，通常采取事后补救和被动防御，导致对安全威胁的响应不够及时。现阶段已有部分研发团队着力于研究数据安全管理的主动管理机制，但是都集中于在固定的网络架构中进行安全验证和异常溯源，在面对动态变化的网络环境时缺乏有效性和准确度，鉴于此，需要一种新的方法，以实现在动态变化的网络环境中对大数据信息安全验证和异常溯源的高效管理。

技术实现思路

1、本发明的目的在于提供一种大数据信息安全验证与异常溯源方法，实现在动态变化的网络环境中对大数据信息安全和异常溯源的高效管理。

2、为实现上述目的，本发明提供一种大数据信息安全验证与异常溯源方法，所述方法包括：

3、获取原始数据包并进行多重散列处理将原始数据包转换为数据包散列值，根据数据包散列值通过预设安全验证规则进行安全验证得到数据包目标数据。

4、将数据包目标数据根据自适应数据存储模型进行存储得到数据包存储数据，提取数据包存储数据特征信息并加载至行为检测模型得到数据包行为检测数据；所述行为检测模型是根据历史收集的数据包存储数据特征信息通过多层感知机算法建立的数据包预处理特征和数据包异常类别及数据包异常比例值的映射关系。

5、根据数据包行为检测数据生成溯源请求并发送至上游目标节点，上游目标节点根据溯源请求生成溯源数据包，通过动态网络适应模型传递溯源数据包直到源节点，源节点生成并返回溯源数据至溯源请求发出节点，获取溯源数据包中的数据信息得到异常目标源。

6、进一步地，所述获取原始数据包并进行多重散列处理将原始数据包转换为数据包散列值，根据数据包散列值通过预设安全验证规则进行安全验证得到数据包目标数据的方法包括：

7、将原始数据包的每个数据字段进行多重散列运算生成数据包散列值。

8、将数据包散列值与预设的散列白名单和散列黑名单进行匹配，当遍历结果显示数据包散列值在散列白名单中则通过散列匹配得到初步验证数据包，当遍历结果显示散列黑名单则拦截数据包，并触发安全警报。

9、将初步验证数据包根据端口号规则校验是否符合传输协议的预期端口，当初步验证数据包不符合传输协议的预期端口时标记该数据包为异常数据并将数据包进行隔离并触发重新验证，当初步验证数据包符合传输协议的预期端口时标记为通过安全验证得到数据包目标数据。

10、进一步地，所述将原始数据包的每个数据字段进行多重散列运算生成数据包散列值的方法包括：

11、提取原始数据包关键信息，根据数据包关键信息通过sha-1算法进行首次散列处理得到数据包第一散列数据。

12、将数据包第一散列值通过sha-512算法进行二次散列处理得到数据包第二散列数据，将数据包第一散列数据和数据包第二散列数据进行组合并通过sha-256算法进行最终散列处理得到数据包散列值。

13、进一步地，所述将数据包目标数据根据自适应数据存储模型进行存储得到数据包存储数据的方法包括：

14、将存储空间按预设层数量进行储存层划分并将储存层按预设块数量进行储存块划分得到储存分配矩阵。

15、将数据包目标数据按储存分配矩阵层索引地址计算规则进行计算得到储存层索引地址，将数据包目标数据按储存分配矩阵层内地址计算规则进行计算得到储存层内地址。

16、按储存层索引地址和储存层内地址将数据包目标数据进行存储作为数据包存储数据并将对应位置设置为1。

17、动态检测储存分配矩阵中各层储存块的饱和率，当空闲层的储存块存储达到预设的饱和率阈值时将该空闲层更新为饱和层，并选择另一空闲层储存块替换饱和层的储存块，更新索引地址将指向饱和层储存块的索引指向空闲层储存块。

18、记录饱和层储存块中数据包目标数据留存时间，当留存时间达到设定的保存期限时进行储存块释放，将对应位置设置为0并将该饱和层更新为空闲层。

19、进一步地，所述储存分配矩阵层索引地址计算规则的方法包括：

20、将数据包散列值与左移预设数量位的全1的16位掩码进行位“与”运算，保留数据包散列值的高位部分作为储存分配矩阵层索引地址。

21、所述储存分配矩阵层内地址计算规则的方法包括：

22、将数据包散列值与预设数量位的低位掩码进行位“与”运算，保留数据包散列值的低位部分得到储存分配矩阵层内地址。

23、进一步地，所述提取数据包存储数据特征信息并加载至行为检测模型得到数据包行为检测数据的方法包括：

24、提取数据包存储数据特征信息包括数据包大小、数据包时间间隔、源ip连接频率、数据包流量速率、协议类型、端口类型，将数据包存储数据特征信息中的数据包大小、数据包时间间隔、源ip连接频率、数据包流量速率进行归一化处理并将数据包存储数据特征信息中的协议类型、端口类型进行独热编码处理得到数据包预处理特征。

25、将数据包预处理特征加载至行为检测模型得到数据包异常类别和数据包异常比例值；所述异常类别包括：恶意软件传播、钓鱼攻击、sql注入、跨站脚本攻击、拒绝服务攻击。

26、将数据包异常比例值按对应的异常类别容忍度阈值进行比对，当数据包异常比例值大于异常类别容忍度阈值时判定为异常数据包并将对应异常类别作为行为检测结果。

27、所述行为检测模型训练步骤包括：

28、设置输入层，输入训练集；其中是数据包预处理特征训练集，为样本的数据包预处理特征,为样本的数据包异常类别，n是样本数。

29、隐藏层激活函数设置为softmax函数。

30、输出层设置5个神经元节点，分别输出5类数据包异常类别。

31、通过二元交叉熵损失函数编译模型，对于模型预测的每类目标数据包信息特征数据异常判定信息，其损失计算如下：

32、。

33、其中，是样本数，是数据包异常类别数，是训练集样本在数据包异常类别的真实值,是训练集样本在数据包异常类别的预测值。

34、使用adam优化器调整学习率进行参数拟合。

35、使用交叉验证集数据对模型验证，基于验证集数据表现调整模型架构对模型参数进行迭代优化。

36、进一步地，所述根据数据包行为检测数据生成溯源请求并发送至上游目标节点，上游目标节点根据溯源请求生成溯源数据包，通过动态网络适应模型传递溯源数据包直到源节点，源节点生成并返回溯源数据至溯源请求发出节点，获取溯源数据包中的数据信息得到异常目标源的方法包括：

37、根据数据包行为检测数据从预设的异常类别溯源请求信息列表获取与其异常类别匹配的请求信息并发送至上游目标节点。

38、获取上游节点与节点之间路径段的网络指标，将上游节点与节点之间路径段的网络指标输入动态网络适应模型通过最短路径算法得到溯源路径，根据溯源路径进行溯源数据包切片得到溯源数据包切片集，根据溯源数据包切片集中溯源数据包切片数量确定溯源数据包发出频率，各上游节点根据溯源数据包发出频率将溯源数据包切片集依次按溯源路径向前传递直到源节点。

39、源节点生成并返回溯源数据至溯源请求发出节点，获取溯源数据包中的数据信息得到异常目标源。

40、进一步地，所述上游节点与节点之间路径段的网络指标包括带宽、延迟和负载；所述将上游节点与节点之间路径段的网络指标输入动态网络适应模型通过最短路径算法得到溯源路径，根据溯源路径进行溯源数据包切片得到溯源数据包切片集，根据溯源数据包切片集中溯源数据包切片数量确定溯源数据包发出频率的方法包括：

41、通过网络节点交换信息获取节点与节点之间路径段的带宽、延迟和负载并进行最大最小值归一化处理得到归一化后的带宽值、延迟值和负载值，根据归一化后的带宽值、延迟值和负载值得到路径段效能为：

42、。

43、其中是节点到节点之间路径段的归一化后的带宽值，是节点到节点之间路径段的归一化后的负载值，是节点到节点之间路径段的归一化后的延迟值，是路径段效能。

44、初始化综合路径段效能为零，从溯源请求发出节点开始，计算所有直接相连的节点的路径段效能，将溯源请求发出节点标记为已访问，选择相邻节点的路径段效能中的最小值对应的节点作为迭代目标节点并根据该路径段效能对综合路径段效能进行更新得到综合路径段效能迭代值。

45、将与溯源请求发出节点直接相连的节点标记为已访问，从迭代目标节点开始，计算所有直接相连的节点的路径段效能并重复下一个迭代目标节点选择和综合路径段效能迭代值更新，直到遍历所有节点停止迭代，当所有节点都被标记为已访问时将当前综合路径段效能迭代值作为最终综合路径段效能，获取最终综合路径段效能对应的各迭代目标节点之间的路径段得到溯源路径。

46、选择溯源路径中路径段效能最小值的路径作为瓶颈路径段，根据瓶颈路径段的带宽和负载进行溯源数据包切片得到溯源数据包切片数量为：

47、。

48、其中是瓶颈路径段的带宽，是瓶颈路径段的负载，是第个节点溯源数据包的大小，是第个节点溯源数据包的切片数量，是将向上取整。

49、按溯源数据包切片数量对溯源数据包进行切片得到源数据包切片集，根据溯源数据包切片集中溯源数据包切片数量、瓶颈路径段的带宽和负载得到切片传输时间为：

50、。

51、其中是第个节点溯源数据包的切片传输时间。

52、根据切片传输时间和瓶颈路径段延迟得到溯源数据包发出频率为：

53、。

54、其中是第个节点溯源数据包的发出频率,是瓶颈路径段延迟。

55、本发明与现有技术相比，有益效果是：通过自适应数据存储模型对数据包目标数据进行存储实现数据的动态存储与高效管理，通过多层感知机算法构建行为检测模型实现对数据包异常行为识别，通过动态网络适应模型实现最优溯源路径确定，进一步结合动态网络指标对溯源数据包进行切片并动态调整发出频率，实现高效异常溯源。