技术特征:
1.一种金融信息系统的入侵检测方法,其特征在于,包括:基于分布式消息队列采集金融信息系统中的目标数据;其中,所述目标数据包括:客户的基本信息、客户的资产信息、客户的社会和经济背景;采用关联分析算法对所述目标数据进行处理,得到有效特征信息;将所述有效特征信息输入至入侵检测模型,输出得到分析结果;其中,所述入侵检测模型由训练样本集对自回归积分滑动平均模型和循环神经网络的组合模型进行训练得到;若分析结果表明当前发生入侵,则生成异常告警信息。2.根据权利要求1所述的入侵检测方法,其特征在于,所述基于分布式消息队列采集金融信息系统中的目标数据,包括:消息发布者通过切面拦截用户的请求,并从切面中提取请求头的基本信息;提取请求的接口参数信息,并提取返回值中信息;将提取得到的信息封装成json字符串,放到阻塞队列中;异步线程从本地阻塞队列中获取数据,并将信息组装发送到kafka的代理中;消息接收者实时从kafka的代理中批量拉取消息,并将拉取的消息转化成对象;解析数据包对应的信息,并对不同理财类型的信息进一步解析;将日志信息转化成json字符串,持久化到日志文件中,得到目标数据。3.根据权利要求1所述的入侵检测方法,其特征在于,所述采用关联分析算法对所述目标数据进行处理,得到有效特征信息,包括:将所述目标数据作为一个事务集合;其中,所述事务集合中的每个事务表示一个包含不同数量特征的数据包;第一次扫描所述事务集合,计算每个项出现的支持度;删除第一目标项;其中,所述第一目标项为支持度小于初始阈值的项;将第二目标项放入项头表,并按照支持度降序排列;其中,所述第二目标项为除了所述第一目标项的项;第二次扫描所述事务集合,删除所有事务中包含的第一目标项;将所述事务中剩余的项按照支持度降序排列,得到预处理事务集合;根据所述预处理事务集合构建fp树;逆序遍历所述项头表,生成所述项头表中每一个项对应的条件模式基;其中,所述条件模式基是以查找元素项为结尾的路径集合;从条件模式基递归挖掘,得到所述项头表的频繁项集合;根据每一个频繁项对应的条件模式基,生成所述频繁项对应的条件fp树,并删除所述条件fp树中节点计数不满足第一阈值的节点;针对每一个条件fp树,生成所有的从根节点到叶子节点的路径,由路径中的集合生成其所有非空子集;其中,所有所述非空子集和每一个频繁项集合中的元素共同构成了原始数据集中的频繁集合,即得到预处理后的标识数据异常与否的所有特征集;对所述特征集中的数据进行预处理,将每一个数据包处理成一条标准化的向量,得到有效特征信息。4.根据权利要求1所述的入侵检测方法,其特征在于,所述入侵检测模型的构建方法,包括:
获取历史时间序列数据集;其中,所述时间序列数据集包含所有标准化数据包向量;所述数据包根据是否异常进行标注;将正常数据作为训练样本,得到训练样本集;利用自回归积分滑动平均模型对所述训练样本进行训练,得到第一预测值;利用循环神经网络对非线性误差因素建模,进行迭代训练,得到第二预测值;将所述第一预测值和第二预测值的和作为最终预测值;根据所述最终预测值与所述训练样本的真实异常情况的误差,对所述自回归积分滑动平均模型和所述循环神经网络进行调整,直至所述所述最终预测值与所述训练样本的真实异常情况的误差满足预设的收敛条件,将所述自回归积分滑动平均模型和循环神经网络的组合模型作为入侵检测模型。5.一种金融信息系统的入侵检测装置,其特征在于,包括:采集单元,用于基于分布式消息队列采集金融信息系统中的目标数据;其中,所述目标数据包括:客户的基本信息、客户的资产信息、客户的社会和经济背景;处理单元,用于采用关联分析算法对所述目标数据进行处理,得到有效特征信息;第一输入单元,用于将所述有效特征信息输入至入侵检测模型,输出得到分析结果;其中,所述入侵检测模型由训练样本集对自回归积分滑动平均模型和循环神经网络的组合模型进行训练得到;第一生成单元,用于若分析结果表明当前发生入侵,则生成异常告警信息。6.根据权利要求5所述的入侵检测装置,其特征在于,所述采集单元,包括:拦截单元,用于消息发布者通过切面拦截用户的请求,并从切面中提取请求头的基本信息;第一提取单元,用于提取请求的接口参数信息,并提取返回值中信息;封装单元,用于将提取得到的信息封装成json字符串,放到阻塞队列中;第一获取单元,用于异步线程从本地阻塞队列中获取数据,并将信息组装发送到kafka的代理中;第一转化单元,用于消息接收者实时从kafka的代理中批量拉取消息,并将拉取的消息转化成对象;解析单元,用于解析数据包对应的信息,并对不同理财类型的信息进一步解析;第二解析单元,用于将日志信息转化成json字符串,持久化到日志文件中,得到目标数据。7.根据权利要求5所述的入侵检测装置,其特征在于,所述处理单元,包括:第一确定单元,用于将所述目标数据作为一个事务集合;其中,所述事务集合中的每个事务表示一个包含不同数量特征的数据包;第一扫描单元,用于第一次扫描所述事务集合,计算每个项出现的支持度;删除单元,用于删除第一目标项;其中,所述第一目标项为支持度小于初始阈值的项;第一排列单元,用于将第二目标项放入项头表,并按照支持度降序排列;其中,所述第二目标项为除了所述第一目标项的项;第二扫描单元,用于第二次扫描所述事务集合,删除所有事务中包含的第一目标项;第二排序单元,用于将所述事务中剩余的项按照支持度降序排列,得到预处理事务集
合;第一构建单元,用于根据所述预处理事务集合构建fp树;第二生成单元,用于逆序遍历所述项头表,生成所述项头表中每一个项对应的条件模式基;其中,所述条件模式基是以查找元素项为结尾的路径集合;挖掘单元,用于从条件模式基递归挖掘,得到所述项头表的频繁项集合;第二构建单元,用于根据每一个频繁项对应的条件模式基,生成所述频繁项对应的条件fp树,并删除所述条件fp树中节点计数不满足第一阈值的节点;第三生成单元,用于针对每一个条件fp树,生成所有的从根节点到叶子节点的路径,由路径中的集合生成其所有非空子集;其中,所有所述非空子集和每一个频繁项集合中的元素共同构成了原始数据集中的频繁集合,即得到预处理后的标识数据异常与否的所有特征集;处理子单元,用于对所述特征集中的数据进行预处理,将每一个数据包处理成一条标准化的向量,得到有效特征信息。8.根据权利要求5所述的入侵检测装置,其特征在于,所述入侵检测模型的构建单元,包括:第二获取单元,用于获取历史时间序列数据集;其中,所述时间序列数据集包含所有标准化数据包向量;所述数据包根据是否异常进行标注;第二确定单元,用于将正常数据作为训练样本,得到训练样本集;第一训练单元,用于利用自回归积分滑动平均模型对所述训练样本进行训练,得到第一预测值;第二训练单元,用于利用循环神经网络对非线性误差因素建模,进行迭代训练,得到第二预测值;第三确定单元,用于将所述第一预测值和第二预测值的和作为最终预测值;调整单元,用于根据所述最终预测值与所述训练样本的真实异常情况的误差,对所述自回归积分滑动平均模型和所述循环神经网络进行调整,直至所述所述最终预测值与所述训练样本的真实异常情况的误差满足预设的收敛条件,将所述自回归积分滑动平均模型和循环神经网络的组合模型作为入侵检测模型。9.一种电子设备,其特征在于,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至4中任一所述的金融信息系统的入侵检测方法。10.一种存储介质,其特征在于,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至4中任一所述的金融信息系统的入侵检测方法。
技术总结
本申请提供一种金融信息系统的入侵检测方法、相关装置及存储介质,所述金融信息系统的入侵检测方法包括:首先,基于分布式消息队列采集金融信息系统中的目标数据;其中,所述目标数据包括:客户的基本信息、客户的资产信息、客户的社会和经济背景;然后,采用关联分析算法对所述目标数据进行处理,得到有效特征信息;再将所述有效特征信息输入至入侵检测模型,输出得到分析结果;其中,所述入侵检测模型由训练样本集对自回归积分滑动平均模型和循环神经网络的组合模型进行训练得到;若分析结果表明当前发生入侵,则生成异常告警信息。有效防止非法入侵,提高信息安全性和保密性。提高信息安全性和保密性。提高信息安全性和保密性。
技术研发人员:丁晓倩 陈洁 王雪萌 祝黎
受保护的技术使用者:中国建设银行股份有限公司
技术研发日:2022.11.21
技术公布日:2023/3/28