一种基于大数据的计算机网络信息安全防护系统
本发明属于计算机网络信息安全控制领域,涉及大数据技术,具体是一种基于大数据的计算机网络信息安全防护系统。
背景技术:
网络信息资源是指以电子资源数据的形式,将文字、图像、声音、动画等多种形式的信息存储在光、磁等非印刷质的介质中,利用计算机通过网络进行发布、传递、储存的各类信息资源的总和。但是,现有网络信息的通信过程中,丢失了信息源头和传递过程中接收双方的相关信息,导致对方用户不能获知该信息的源头,而且不能对网络信息进行甄别,助长了谣言的传播,为用户造成了很大的困扰。
公开号为cn109873809a的发明专利公开了一种计算机网络信息安全控制系统及方法,所述计算机网络信息安全控制系统包括:网络信息采集系统、网络信息传输系统、主控模块、网络信息识别模块、加密模块、入侵检测模块、报警模块、云存储模块和显示模块;本发明通过网络信息传输模块接收到所述待转发信息后,将所述待转发信息转发给下一级信息接收方;从而使得在信息的多级传输过程中每一级信息接收方均可获知信息的源头、信息的传输路径及每一级中信息发送方和信息接收方之间的关系;同时,通过网络信息识别模块后台可以确定待识别网络信息是否可信,即利用相似度确定待识别网络信息是否可信。
上述方案解决了现有的信息传输技术无法选择最优接收者的问题,利用相似度确定待识别网络信息是否可信,能够自动、有效地识别谣言;但是,上述方案中并没有从网络信息本身对网络信息进行甄别,且没有对网络信息的传输路径进行有效保存,导致网络信息的安全性得不到保证,传播也不受控制;因此,上述方案仍需进一步改进。
技术实现要素:
为了解决上述方案存在的问题,本发明提供了一种基于大数据的计算机网络信息安全防护系统。
本发明的目的可以通过以下技术方案实现:一种基于大数据的计算机网络信息安全防护系统,包括处理器、信息整合模块、模型评估模块、攻击检测模块、路径保存模块、预警管理模块和数据存储模块;
所述信息整合模块获取网络节点的信息数据包,并对信息数据包进行整合分析;
所述模型评估模块用于对可疑信息进行真实性判断,包括:
模型评估模块接收到可疑信息时,通过数据存储模块获取分类模型;
将可疑信息处理之后输入到分类模型中获取输出结果;所述输出结果为可以信息对应的分类标签;
当输出结果为a、b和c中的任一项时,则将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为初筛信息;当输出结果为d时,将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为恶意信息;
将初筛信息发送至病毒检测单元;
所述路径保存模块用于生成并保存通讯信息的发送路径,包括:
路径保存模块接收到安全信息之后将安全信息进行发送,并记录安全信息的发送路径;所述发送路径包括经过的网络节点和网络节点的停留时长;
将发送路径存储至区块链中。
优选的,所述攻击检测模块包括病毒检测单元和入侵检测单元,所述病毒检测单元用于检测初筛信息中的病毒,包括:
通过hash算法计算初筛信息的数字文摘;
将计算得到的数字文摘与数字文摘数据库中对应初筛信息的数字文摘进行对比分析;当二者一致时,则判定初筛信息不包含病毒文件,将初筛信息标记为安全信息;
将安全信息发送至路径保存模块。
优选的,所述入侵检测单元用于对网络节点进行入侵检测,包括:
通过对黑客入侵方式进行分析建立黑客入侵特征库;
对网络节点接收到的信息数据包进行分析获取分析结果;将分析结果与黑客入侵特征库中的攻击方式进行对比匹配,当二者匹配成功时,则发送黑客攻击信号至预警管理模块,且将对应的黑客攻击方式也发送至预警管理模块;
将黑客入侵特征库和黑客攻击信号的发送记录通过处理器发送至数据存储模块进行存储。
优选的,所述分类模型的具体获取步骤包括:
通过互联网获取数据包训练集;所述数据包训练集包括若干个信息数据包;
为数据包训练集中的信息数据包设置分类标签;所述分类标签包括a、b、c和d;
构建融合模型;所述融合模型通过svm、lr和gbdt三种基线模型结合融合方式构建的模型,所述融合方式包括线性加权融合法、交叉融合法、瀑布融合法、特征融合法和预测融合法;
将数据包训练集中的信息数据包和分类标签经过处理之后按照设定比例划分为训练集和测试集;所述设定比例包括4:1、3:2和2:1;
将训练集和测试集输入到融合模型中对融合模型进行训练、测试和校验,将训练完成的融合模型标记为分类模型;
通过处理器将分类模型发送至数据存储模块进行存储。
优选的,所述信息数据包进行整合分析的具体步骤包括:
获取通讯网络中网络节点的信息数据包;
提取信息数据包中的表征信息;所述表征信息包括发送方唯一识别码、接收方唯一识别码和信息数据包的大小;
根据发送方唯一识别码获取发送方对应的信誉评分并标记为xp;
为信息数据包设置完整性标签并标记为wq;所述完整性标签的取值为0和1,当完整性标签取值为0时,则表示信息数据包的表征信息不完整,当完整性标签取值为1时,则表示信息数据包的表征信息完整;
通过公式scx=α3×wq×xp获取数据包初筛系数scx;其中α3为比例系数,且α3为大于0的实数;
当数据包初筛系数scx满足0≤scx<l1时,则将对应的信息数据包标记为恶意信息;当数据包初筛系数scx满足l1≤scx<l2时,则将对应的信息数据包标记为可疑信息;当数据包初筛系数scx满足l2≤scx≤1时,则将对应的信息数据包标记为安全信息;其中l1和l2为数据包初筛系数,且l1的取值范围为[0,0.3],l2的取值范围为[0.8,1];
将可疑信息及对应的表征信息发送至模型评估模块;
阻止恶意信息的发送,通过处理器将安全信息发送路径保存模块;
通过处理器将数据包初筛系数及表征信息发送至数据存储模块。
优选的,所述发送方的信誉评分的具体获取步骤包括:
获取发送方发送网络信息至信息数据包对应网络节点的总发送次数并标记为zc;所述网络信息包括声音、文字、视频和动画;
获取发送方发送恶意信息至信息数据包对应网络节点的总发送次数并标记为ec;
通过公式
取信誉评估系数的倒数,并将信誉评估系数的倒数经过数据归一化处理之后标记为信誉评分;
通过处理器将发送方的信誉评分发送至数据存储模块进行存储。
优选的,所述处理器分别与信息整合模块、模型评估模块、攻击检测模块、路径保存模块、预警管理模块和数据存储模块通信连接;所述预警管理模块分别与数据存储模块和路径保存模块通信连接,所述模型评估模块分别与信息整合模块和攻击检测模块通信连接,所述攻击检测模块和路径保存模块通信连接。
优选的,所述信息数据包的表征信息完整指表征信息中发送方唯一识别码、接收方唯一识别码和信息数据包的大小均存在,且信息数据包的大小大于0。
优选的,所述分类标签为a时指对应的信息数据包安全;所述分类标签为b时指对应的信息数据包中包含虚假信息;所述分类标签为c时指对应的信息数据包中包含限制信息,所述限制信息包括暴力、血腥和贷款;所述分类标签为d时指对应的信息数据包中包含违法信息,所述违法信息包括涉黄信息、涉毒信息和涉及邪教的信息。
与现有技术相比,本发明的有益效果是:
1、本发明设置了信息整合模块,该设置获取网络节点的信息数据包,并对信息数据包进行整合分析;获取通讯网络中网络节点的信息数据包;提取信息数据包中的表征信息;根据发送方唯一识别码获取发送方对应的信誉评分并标记为xp;为信息数据包设置完整性标签并标记为wq;通过公式scx=α3×wq×xp获取数据包初筛系数scx;当数据包初筛系数scx满足0≤scx<l1时,则将对应的信息数据包标记为恶意信息;当数据包初筛系数scx满足l1≤scx<l2时,则将对应的信息数据包标记为可疑信息;当数据包初筛系数scx满足l2≤scx<1时,则将对应的信息数据包标记为安全信息;将可疑信息及对应的表征信息发送至模型评估模块;阻止恶意信息的发送,通过处理器将安全信息发送路径保存模块;信息整合模块对信息数据包进行评分,对信息数据包进行初步筛选,为后续评估工作奠定基础,降低了本发明的工作量;
2、本发明设置了模型评估模块,该设置用于对可疑信息进行真实性判断;模型评估模块接收到可疑信息时,通过数据存储模块获取分类模型;将可疑信息处理之后输入到分类模型中获取输出结果;所述输出结果为可以信息对应的分类标签;当输出结果为a、b和c中的任一项时,则将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为初筛信息;当输出结果为d时,将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为恶意信息;将初筛信息发送至病毒检测单元;模型评估模块通过人工智能模型对可疑信息进行分类,并将分类标签添加至对应可疑信息的表征信息中,有助于提高可疑信息的辨识度;
3、本发明设置了攻击检测模块,该设置用于检测病毒和黑客入侵;通过hash算法计算初筛信息的数字文摘;将计算得到的数字文摘与数字文摘数据库中对应初筛信息的数字文摘进行对比分析;当二者一致时,则判定初筛信息不包含病毒文件,将初筛信息标记为安全信息;通过对黑客入侵方式进行分析建立黑客入侵特征库;对网络节点接收到的信息数据包进行分析获取分析结果;将分析结果与黑客入侵特征库中的攻击方式进行对比匹配,当二者匹配成功时,则发送黑客攻击信号至预警管理模块,且将对应的黑客攻击方式也发送至预警管理模块;攻击检测模块对信息数据包和网络节点进行检测并及时预警,有助于保证信息数据包和通讯网络的安全;
4、本发明设置了路径保存模块,该设置用于保存安全信息的发送路径;路径保存模块接收到安全信息之后将安全信息进行发送,并记录安全信息的发送路径;将发送路径存储至区块链中;路径保存模块利用区块链保存安全信息的发送路径,提高了对信息数据包的追溯能力,能够降低恶意信息的数量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的原理示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,一种基于大数据的计算机网络信息安全防护系统,包括处理器、信息整合模块、模型评估模块、攻击检测模块、路径保存模块、预警管理模块和数据存储模块;
信息整合模块获取网络节点的信息数据包,并对信息数据包进行整合分析;
模型评估模块用于对可疑信息进行真实性判断,包括:
模型评估模块接收到可疑信息时,通过数据存储模块获取分类模型;
将可疑信息处理之后输入到分类模型中获取输出结果;输出结果为可以信息对应的分类标签;
当输出结果为a、b和c中的任一项时,则将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为初筛信息;当输出结果为d时,将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为恶意信息;
将初筛信息发送至病毒检测单元;
路径保存模块用于生成并保存通讯信息的发送路径,包括:
路径保存模块接收到安全信息之后将安全信息进行发送,并记录安全信息的发送路径;发送路径包括经过的网络节点和网络节点的停留时长;
将发送路径存储至区块链中。
进一步地,攻击检测模块包括病毒检测单元和入侵检测单元,病毒检测单元用于检测初筛信息中的病毒,包括:
通过hash算法计算初筛信息的数字文摘;
将计算得到的数字文摘与数字文摘数据库中对应初筛信息的数字文摘进行对比分析;当二者一致时,则判定初筛信息不包含病毒文件,将初筛信息标记为安全信息;
将安全信息发送至路径保存模块。
进一步地,入侵检测单元用于对网络节点进行入侵检测,包括:
通过对黑客入侵方式进行分析建立黑客入侵特征库;
对网络节点接收到的信息数据包进行分析获取分析结果;将分析结果与黑客入侵特征库中的攻击方式进行对比匹配,当二者匹配成功时,则发送黑客攻击信号至预警管理模块,且将对应的黑客攻击方式也发送至预警管理模块;
将黑客入侵特征库和黑客攻击信号的发送记录通过处理器发送至数据存储模块进行存储。
进一步地,分类模型的具体获取步骤包括:
通过互联网获取数据包训练集;数据包训练集包括若干个信息数据包;
为数据包训练集中的信息数据包设置分类标签;分类标签包括a、b、c和d;
构建融合模型;融合模型通过svm、lr和gbdt三种基线模型结合融合方式构建的模型,融合方式包括线性加权融合法、交叉融合法、瀑布融合法、特征融合法和预测融合法;
将数据包训练集中的信息数据包和分类标签经过处理之后按照设定比例划分为训练集和测试集;设定比例包括4:1、3:2和2:1;
将训练集和测试集输入到融合模型中对融合模型进行训练、测试和校验,将训练完成的融合模型标记为分类模型;
通过处理器将分类模型发送至数据存储模块进行存储。
进一步地,信息数据包进行整合分析的具体步骤包括:
获取通讯网络中网络节点的信息数据包;
提取信息数据包中的表征信息;表征信息包括发送方唯一识别码、接收方唯一识别码和信息数据包的大小;
根据发送方唯一识别码获取发送方对应的信誉评分并标记为xp;
为信息数据包设置完整性标签并标记为wq;完整性标签的取值为0和1,当完整性标签取值为0时,则表示信息数据包的表征信息不完整,当完整性标签取值为1时,则表示信息数据包的表征信息完整;
通过公式scx=α3×wq×xp获取数据包初筛系数scx;其中α3为比例系数,且α3为大于0的实数;
当数据包初筛系数scx满足0≤scx<l1时,则将对应的信息数据包标记为恶意信息;当数据包初筛系数scx满足l1≤scx<l2时,则将对应的信息数据包标记为可疑信息;当数据包初筛系数scx满足l2≤scx≤1时,则将对应的信息数据包标记为安全信息;其中l1和l2为数据包初筛系数,且l1的取值范围为[0,0.3],l2的取值范围为[0.8,1];
将可疑信息及对应的表征信息发送至模型评估模块;
阻止恶意信息的发送,通过处理器将安全信息发送路径保存模块;
通过处理器将数据包初筛系数及表征信息发送至数据存储模块。
进一步地,发送方的信誉评分的具体获取步骤包括:
获取发送方发送网络信息至信息数据包对应网络节点的总发送次数并标记为zc;网络信息包括声音、文字、视频和动画;
获取发送方发送恶意信息至信息数据包对应网络节点的总发送次数并标记为ec;
通过公式
取信誉评估系数的倒数,并将信誉评估系数的倒数经过数据归一化处理之后标记为信誉评分;
通过处理器将发送方的信誉评分发送至数据存储模块进行存储。
进一步地,处理器分别与信息整合模块、模型评估模块、攻击检测模块、路径保存模块、预警管理模块和数据存储模块通信连接;预警管理模块分别与数据存储模块和路径保存模块通信连接,模型评估模块分别与信息整合模块和攻击检测模块通信连接,攻击检测模块和路径保存模块通信连接。
进一步地,信息数据包的表征信息完整指表征信息中发送方唯一识别码、接收方唯一识别码和信息数据包的大小均存在,且信息数据包的大小大于0。
进一步地,分类标签为a时指对应的信息数据包安全;分类标签为b时指对应的信息数据包中包含虚假信息;分类标签为c时指对应的信息数据包中包含限制信息,限制信息包括暴力、血腥和贷款;分类标签为d时指对应的信息数据包中包含违法信息,违法信息包括涉黄信息、涉毒信息和涉及邪教的信息。
进一步地,黑客入侵方式包括land攻击、tcpsyn攻击、pingofdeath攻击、winnuke攻击、teardrop攻击和tcp/udp端口扫描攻击,黑客入侵方式的具体判断步骤为:
当数据包的源地址和目标地址相同时,判断该攻击方式为land攻击,并标记为l;
当单位时间内收到的syn连接超过系统设定的阈值时,判断该攻击方式为tcpsyn攻击,并标记为s;
当数据包的大小大于65535个字节时,判断该攻击方式为pingofdeath攻击,并标记为d;
当数据包的目标端口为137、138或139,且urg位为“1”时,判断该方式为winnuke攻击,并标记为w;
当数据包中分片数据的片偏移量错误时,判断该攻击方式为teardrop攻击,并标记为t;
当数据包对非常用端口发送连接请求时,判断该攻击方式为tcp/udp端口扫描攻击,并标记为u。
上述公式均是去除量纲取其数值计算,公式是由采集大量数据进行软件模拟得到最接近真实情况的一个公式,公式中的预设参数和预设阈值由本领域的技术人员根据实际情况设定或者大量数据模拟获得。
本发明的工作原理:
获取通讯网络中网络节点的信息数据包;提取信息数据包中的表征信息;根据发送方唯一识别码获取发送方对应的信誉评分并标记为xp;为信息数据包设置完整性标签并标记为wq;通过公式scx=α3×wq×xp获取数据包初筛系数scx;当数据包初筛系数scx满足0≤scx<l1时,则将对应的信息数据包标记为恶意信息;当数据包初筛系数scx满足l1≤scx<l2时,则将对应的信息数据包标记为可疑信息;当数据包初筛系数scx满足l2≤scx≤1时,则将对应的信息数据包标记为安全信息;将可疑信息及对应的表征信息发送至模型评估模块;阻止恶意信息的发送,通过处理器将安全信息发送路径保存模块;
模型评估模块接收到可疑信息时,通过数据存储模块获取分类模型;将可疑信息处理之后输入到分类模型中获取输出结果;所述输出结果为可以信息对应的分类标签;当输出结果为a、b和c中的任一项时,则将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为初筛信息;当输出结果为d时,将输出结果添加至对应可疑信息的表征信息中,并将可疑信息标记为恶意信息;将初筛信息发送至病毒检测单元;
通过hash算法计算初筛信息的数字文摘;将计算得到的数字文摘与数字文摘数据库中对应初筛信息的数字文摘进行对比分析;当二者一致时,则判定初筛信息不包含病毒文件,将初筛信息标记为安全信息;通过对黑客入侵方式进行分析建立黑客入侵特征库;对网络节点接收到的信息数据包进行分析获取分析结果;将分析结果与黑客入侵特征库中的攻击方式进行对比匹配,当二者匹配成功时,则发送黑客攻击信号至预警管理模块,且将对应的黑客攻击方式也发送至预警管理模块;路径保存模块接收到安全信息之后将安全信息进行发送,并记录安全信息的发送路径;将发送路径存储至区块链中。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上内容仅仅是对本发明结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!