数据安全性的确定方法和装置与流程
本发明涉及互联网技术应用领域,具体而言,涉及一种数据安全性的确定方法和装置。
背景技术:
随着信息化进程的不断发展,各项生产经营活动与信息技术也实现紧密融合,这时,对信息安全会更加的重视,通常为保证信息系统的安全性,一般会采用防火墙、入侵检测系统、入侵防御系统、安全管理平台等安全措施,但是这些安全防护措施往往仅能防御小型的网络攻击,对于关系国家民生的大型企业或者国家经济命脉而言,仅仅依靠上述的安全防护技术是远远不够的。
另外,传统信息安全预警系统大都从网络攻击源角度对网络安全情况进行预警监测,实现对网络攻击源、病毒源的侦测和预知。然而,上述信息预警措施存在局限性,在预警对象方面缺少全面性,不能够对网络设备中没有侦测代理的区域进行全面监测。同时,对网络安全事件、状态的分析缺少有效的智能决策支持。对于信息安全防护,需要给出合理化的安全策略建议,满足对已知的与未知的安全攻击的分析和预警,不断增强大数据环境下的信息安全事前防范、事中监控和事后取证的能力。
针对上述的现有技术中从网络攻击源角度进行数据监测时,数据安全性检测准确度低的技术问题,目前尚未提出有效的解决方案。
技术实现要素:
本发明实施例提供了一种数据安全性的确定方法和装置,以至少解决现有技术中从网络攻击源角度进行数据监测时,检测数据安全性准确度低的技术问题。
根据本发明实施例的一个方面,提供了一种数据安全性的确定方法,包括:获取日志数据;确定所述日志数据的模式串的长度;判断所述日志数据的模式串的长度是否大于预设阈值;在判断出所述日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果;在判断出所述日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与所述关联数据库中的数据进行模式匹配,得到第二模式匹配结果;根据所述第一模式匹配结果或所述第二模式匹配结果,确定所述日志数据的安全性。
进一步地,还包括:根据模糊评价法建立数据风险评估模型;根据所述数据风险评估模型划分多个数据风险等级,其中,每个数据风险等级对应有风险评估指标。
进一步地,在根据所述第一模式匹配结果或所述第二模式匹配结果,确定所述日志数据的安全性之后,还包括:根据所述日志数据的数据风险等级、所述关联数据库以及日志数据的模式匹配结果,确定所述日志数据的安全等级;根据所述日志数据的安全等级,确定发出预警信号的级别,其中,根据日志数据的预警类型确定所述日志数据的预警信号类型,所述预警信号类型中包括多个级别的预警信号,每个预警信号对应有相应的日志数据的安全等级。
进一步地,在根据所述第一模式匹配结果或所述第二模式匹配结果,确定所述日志数据的安全性之后,还包括:通过聚类分析算法,对所述日志数据的报文的多个维度特征进行分析,得到所述日志数据的维度特征信息;通过静态分析方法和所述日志数据的维度特征信息,确定与所述日志数据对应的终端的网络安全性。
进一步地,所述第一模式算法为字符串搜索算法bm,所述第二模式算法为字符串匹配算法kmp。
根据本发明实施例的另一方面,还提供了一种数据安全性的确定装置,包括:获取单元,用于获取日志数据;第一确定单元,用于确定所述日志数据的模式串的长度;判断单元,用于判断所述日志数据的模式串的长度是否大于预设阈值;第一匹配单元,用于在判断出所述日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果;第二匹配单元,用于在判断出所述日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与所述关联数据库中的数据进行模式匹配,得到第二模式匹配结果;第二确定单元,用于根据所述第一模式匹配结果或所述第二模式匹配结果,确定所述日志数据的安全性。
进一步地,上述装置还包括:建立单元,用于在获取日志数据之前,根据模糊评价法建立数据风险评估模型;划分单元,用于根据所述数据风险评估模型划分多个数据风险等级,其中,每个数据风险等级对应有风险评估指标。
进一步地,上述装置还包括:第三确定单元,用于在根据所述第一模式匹配结果或所述第二模式匹配结果,确定所述日志数据的安全性之后,根据所述日志数据的数据风险等级、所述关联数据库以及日志数据的模式匹配结果,确定所述日志数据的安全等级;第四确定单元,用于根据所述日志数据的安全等级,确定发出预警信号的级别,其中,根据日志数据的预警类型确定所述日志数据的预警信号类型,所述预警信号类型中包括多个级别的预警信号,每个预警信号对应有相应的日志数据的安全等级。
进一步地,上述装置还包括:分析单元,用于在根据所述第一模式匹配结果或所述第二模式匹配结果,确定所述日志数据的安全性之后,通过聚类分析算法,对所述日志数据的报文的多个维度特征进行分析,得到所述日志数据的维度特征信息;第四确定单元,用于通过静态分析装置和所述日志数据的维度特征信息,确定与所述日志数据对应的终端的网络安全性。
进一步地,所述第一模式算法为字符串搜索算法bm,所述第二模式算法为字符串匹配算法kmp。
在本发明实施例中,可以通过获取日志数据,并确定出日志数据的模式串的长度,然后判断出日志数据的模式串的长度是否大于预设阈值,在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果,在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果,然后根据模式匹配结果确定日志数据的安全性。在本申请实施方式中,通过日志数据的模式串,将日志数据与关联数据库的数据进行模式匹配,从而得到相应的模式匹配结果,根据模式匹配结果,确定出该日志数据的安全性,不是从网络攻击源方面对日志数据进行监测,而是对日志的数据进行监测,直接根据日志数据得到日志数据的安全性,提高检测日志数据安全性的准确度,根据解决现有技术中从网络攻击源角度进行数据监测时,检测数据安全性准确度低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的数据安全性的确定方法的流程图;
图2是根据本发明实施例的另一种可选的数据安全性的确定方法的流程图;
图3是根据本发明实施例的另一种可选的数据安全性的监测流程图;
图4是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图;
图5是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图一;
图6是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图二;
图7是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图三。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面对本发明实施例中涉及的部分术语或名词做出如下解释:
bm(boyer-moore)算法,字符串搜索算法,是一种非常高效的字符串搜索算法。此算法仅对搜索目标字符串(关键字)进行预处理,而非被搜索的字符串。虽然boyer-moore算法的执行时间同样线性依赖于被搜索字符串的大小,但是通常仅为其它算法的一小部分:它不需要对被搜索的字符串中的字符进行逐一比较,而会跳过其中某些部分。通常搜索关键字越长,算法速度越快。
kmp(d.e.knuth,j.h.morris和v.r.pratt)算法,是一种改进的字符串匹配算法,kmp算法的关键是利用匹配失败后的信息,尽量减少模式串与主串的匹配次数以达到快速匹配的目的。具体实现就是实现一个next()函数,函数本身包含了模式串的局部匹配信息。
防火墙(firewall),也称防护墙,是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
bf(bruteforce)算法,即暴风算法,是普通的模式匹配算法,bf算法的思想就是将目标串s的第一个字符与模式串t的第一个字符进行匹配,若相等,则继续比较s的第二个字符和t的第二个字符;若不相等,则比较s的第二个字符和t的第一个字符,依次比较下去,直到得出最后的匹配结果。
模糊综合评价法,是一种基于模糊数学的综合评价方法,该综合评价法根据模糊数学的隶属度理论把定性评价转化为定量评价,即用模糊数学对受到多种因素制约的事物或对象做出一个总体的评价。它具有结果清晰,系统性强的特点,能较好地解决模糊的、难以量化的问题,适合各种非确定性问题的解决。
hmm(hiddenmarkovmodel),即隐马尔可夫模型是一种统计模型,它用来描述一个含有隐含未知参数的马尔可夫过程。其难点是从可观察的参数中确定该过程的隐含参数。然后利用这些参数作进一步的分析。
贝叶斯分类算法,是统计学的一种分类方法,它是一类利用概率统计知识进行分类的算法。在许多场合,朴素贝叶斯分类算法可以与决策树和神经网络分类算法相媲美,该算法能运用到大型数据库中,而且方法简单、分类准确率高、速度快。
聚类分析算法,是研究(样品或指标)分类问题的一种统计分析方法,同时也是数据挖掘的一个重要算法。聚类(cluster)分析是由若干模式(pattern)组成的,通常,模式是一个度量(measurement)的向量,或者是多维空间中的一个点。聚类分析以相似性为基础,在一个聚类中的模式之间比不在同一聚类中的模式之间具有更多的相似性。
apt(advancedpersistentthreat),是指高级持续性威胁,利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,apt攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在apt在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
根据本发明实施例,提供了一种数据安全性的确定方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的数据安全性的确定方法的流程图,如图1所示,该方法包括如下步骤:
步骤s102,获取日志数据;
步骤s104,确定日志数据的模式串的长度;
步骤s106,判断日志数据的模式串的长度是否大于预设阈值;
步骤s108,在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果;
步骤s110,在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果;
步骤s112,根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性。
通过上述实施方式,可以通过获取日志数据,并确定出日志数据的模式串的长度,然后判断出日志数据的模式串的长度是否大于预设阈值,在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果,在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果,然后根据模式匹配结果确定日志数据的安全性。在本申请实施方式中,通过日志数据的模式串,将日志数据与关联数据库的数据进行模式匹配,从而得到相应的模式匹配结果,根据模式匹配结果,确定出该日志数据的安全性,不是从网络攻击源方面对日志数据进行监测,而是对日志的数据进行监测,直接根据日志数据得到日志数据的安全性,提高检测日志数据安全性的准确度,根据解决现有技术中从网络攻击源角度进行数据监测时,检测数据安全性准确度低的技术问题。
可选的,上述的日志数据可以是用户在生活日程中记载的数据,也可以是各个公司的流程数据,例如,电网公司为了对电网的安全性进行评估,需要先查询日常记录的数据,通过日志数据来确定电网的安全性。本申请中的实施例可以应用于电网公司的安全性检测中,通过对日志数据的检测,得到电网的安全级别,从而在安全性较低时,发出预警信号,以通知电网公司的业务人员对出现危险的电网进行检修。
可选的,上述的日志数据可以预先存储在服务器中,用户在工作中,记录相关数据,并将该数据通过应用程序录入到服务器中。在用户不断将日志数据录入到服务器后,会产生较大的数据包,通过分析这些数据可以预先建立数据的安全模型,并对实时获取的日志数据进行分析,从而确定出实时获取到的日志数据的安全性。
其中,日志数据的模式串可以是对日志的各项数据进行传递的字符串,也可以是一对括号内用双引号括起来的字符串,括号里的数据用于传递参数。每个日志数据的模式串的长度是不同的,在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果,在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果。其中,预设阈值可以用户预先设置的长度值,例如,30。通过将日志数据的模式串的长度与预设阈值进行比较,确定模式算法,以进行模式匹配。
其中,模式匹配可以是数据结构中字符串的一种基本运算,给定一个子串,要求在某个字符串中找出与该子串相同的所有子串。在本申请中,通过日志数据的模式串与关联数据库中的数据进行匹配,以快速得到数据的安全性。
可选的,第一模式算法为字符串搜索算法bm,第二模式算法为字符串匹配算法kmp。通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果。
可选的,上述的关联数据库可以分为长关联数据库和短关联数据库,通过标准值对关联数据库进行划分。在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与长关联数据库中的数据进行模式匹配,以得到第一模式匹配结果,在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与短关联数据库中的数据进行模式匹配,得到第二模式匹配结果。
上述实施例中,通过长关联数据库和短关联数据库可以更加快速进行模式匹配,提高模式匹配的效率。
另一种可选的实施方式,本申请实施例还包括:根据模糊评价法建立数据风险评估模型;根据数据风险评估模型划分多个数据风险等级,其中,每个数据风险等级对应有风险评估指标。
其中,通过数据风险评估模型中可以划分多个数据风险等级,例如,该数据风险等级可以包括:安全度优、安全度良、安全度低、危险。每个数据风险等级都对应有相应的风险评估指标,其中,数据风险评估指标可以包括:数据粘度、数据病毒等。通过对数据风险评估指标的划分得到对应的数据风险等级。
可选的,在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,还包括:根据日志数据的数据风险等级、关联数据库以及日志数据的模式匹配结果,确定日志数据的安全等级;根据日志数据的安全等级,确定发出预警信号的级别,其中,根据日志数据的预警类型确定日志数据的预警信号类型,预警信号类型中包括多个级别的预警信号,每个预警信号对应有相应的日志数据的安全等级。
在上述实施例中,可以结合数据风险等级的评估指标、关联数据库和上述的日志数据的模式匹配结果确定出日志数据的安全性,例如,确定该次获取的日志数据的安全度为0,可以确定该次日志数据中有病毒攻击源,从而及时的发出报警信号,以调整日志数据,排除危险数据。每一个日志数据的安全等级都可以对应有预警等级,例如,确定日志数据的安全等级为4,对应有预警等级为4,该安全等级4是数据处于安全状态,预警等级4就是不需要发出报警信息。
可选的,上述的预警信号可以包括:颜色预警、声音预警、提醒框。其中,颜色预警可以包括红色危险预警、绿色安全预警等;声音预警可以包括危险响铃预警、公告安全预警等;提醒框可以包括:安全框预警、危险框预警等。其中,上述的预警信号也可以是通过聊天工具(例如,微信)、邮件发送相应的预警信息至用户所使用的终端中。也可以通过发送短信的方式通知用户。
可选的,在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,还包括:通过聚类分析算法,对日志数据的报文的多个维度特征进行分析,得到日志数据的维度特征信息;通过静态分析方法和日志数据的维度特征信息,确定与日志数据对应的终端的网络安全性。
通过上述实施方式,可以对日志数据的多个维度特征进行分析,从而根据分析出的维度特征信息确定出终端的网络安全性。其中,上述的维度特征可以包括数据报文的流量、幅值、源地址、目的地址、使用协议、端口等。通过对日志数据的维度特征的分析,可以确定出各个维度特征所对应的安全等级,以综合分析日志数据的安全性。
可选的,静态分析方法可以是在不执行程序的情况下对程序行为进行分析的理论、技术。
可选的,在确定日志数据的安全性之前,可以通过马尔科夫时变模型对电网的风险进行预测,以辅助安全预警。
另一种可选的实施方式,在得到模式匹配结果后,可以将模式匹配结果存储在日志审计数据库中,以供下次判断日志数据的安全性作参考。
对于上述实施方式,可以在确定日志数据的安全性低的情况下,给出日志数据的apt攻击可信度评估参数,并根据该评估参数确定是否发出预警信号。也可以是在实时监控日志数据时,通过流分析方法结合数据事件关联分析确定日志数据的安全性。
通过上述实施方式,可以通过分析日志数据的安全性结合关联数据库,确定网络安全性,并对网络攻击进行全面检测和预警,保障用户使用的系统的安全。
下面是根据本发明的具体实施例。
图2是根据本发明实施例的另一种可选的数据安全性的确定方法的流程图,如图2所示,该方法包括:
步骤s201,读取日志;
步骤s203,通过预设规则调用关联规则库;
步骤s205,判断日志的数据的模式串是否大于预设阈值n;
若是,执行步骤s207,若否,执行步骤s209。
步骤s207,调用bm算法与日志的数据的模式串进行匹配;
步骤s209,调用kmp算法与日志的数据的模式串进行匹配;
步骤s211,根据匹配结果确定日志的数据的安全性。
其中,上述的实施环境可以是在电网中,电网数据不断产生,需要对电网数据进行监控,该部分在关联规则库构建的基础上,研究模式匹配的算法,以提高数据监测的能力,及时有效地保障电网的信息安全。具体的研究包括主流模式匹配算法的研究和基于模式匹配的实时审计建模技术研究两部分。
其中,上述主流模式匹配算法的技术,可以通过对电网日志模式匹配常用的bf算法、bm算法和kmp算法三种算法的研究,对比三种算法的性能,对不同算法的优缺点进行分析,得到在单模式匹配中,当模式串较短时,kmp算法匹配较bm算法速度快,而bm算法在一般情况下,模式串长度越大,其算法的匹配速度就越快。因此选择kmp算法与bm算法结合的来进行电网安全数据的监测。
可选的,可以建立基于模式匹配的实时审计建模技术,可以是在主流模式匹配算法研究的基础上,对于不同长度的模式串采用不同的匹配算法,以提高日志数据的监测效率。
上述实施例中,可以将关联规则库,按照规则的长短进行划分,设定长度阈值为n,大于n的归为长关联规则库,小于n的归入短关联规则库;当新的日志数据产生时,如果该日志的模式串大于所设定的阈值n,就采用bm算法将与长关联规则库中的数据进行模式匹配;如果实时日志的模式串小于所设定的阈值n,就采用kmp算法将与短关联规则库中的数据进行模式匹配;依据模式匹配的结果,将日志数据的监测结果存入日志数据库中。
通过上述实施方式,可以通过检测日志数据信息、网络监控信息等采用关联分析等大数据技术深入检测高级威胁。该实施例对各类攻击威胁进行了全面的检测及预警,从而保障了系统安全的全面性。
图3是根据本发明实施例的另一种可选的数据安全性的监测流程图,如图3所示,该实施例应用于电网中,首先会对电网安全风险的各项因素进行研究,并基于模糊评价方法建立风险评估模型,以进行数据风险等级划分,同时通过关联规则库和实施日志进行匹配,以进行风险状态转移矩阵构建,在关联规则和实施日志匹配成功的情况下,可以进行预警分类模型的建立,其中,建立预警分类模型时,可以是基于贝叶斯的建立的。其中,在建立预警分类模型之前,可以基于马尔科夫时变模型进行日志数据风险预测,并将风险预测的结果发送至预警分类模型中,以让预警分类模型与电网的安全预警类型划分确定电网安全预警信号模型,进而对实时获取到的日志数据进行监测,确定发出的预警信号,并提供相应的处理方式和决策建议。
上述实施例中,包括安全风险评估、风险预测和安全预警三大部分。安全风险评估可以是研究电力公司电网可能存在的风险因素,对风险进行等级划分,采用模糊评价法构建风险评估模型,进行电网的风险评估。风险预测主要是结合安全风险评估的指标、关联规则库和实时审计的结果,采用马尔科夫时变模型对电网的风险进行预测,以辅助安全预警。安全预警是在风险评估和风险预测的基础上,构建安全预警的模型,对不同的安全状态发出不同预警信号,采取相应的措施。比如:实时审计监测到异常行为,评估其风险,发出预警并对异常行为采取限制访问等措施;如果风险预测到可能会发生安全问题,就发出预警并及时采用邮件、短信等方式通知电力公司相关部门等。
通过上述实施例,可以建立一整套的电网的风险评估、风险预测和风险预警的系统,从而对实时获取到的日志数据进行监测,保证电网的运行安全。
另外,还可以通过日志数据的网络访问行为确定日志数据的安全性,其中,网络行为可以包括定向入侵和命令控制阶段,网络行为主要是针对网络流量特征、数据包特征等,网络行为是apt攻击的系统渗透阶段和命令控制阶段的主要方式,若未知apt成功潜入系统后会在日志数据的网络上表现出一些异常信息,例如,为了传输信息的需要会维持控制端和服务器之间的连接,连接的时间是空闲的,此时为了确保控制端和服务器连接的存活性,双方会周期地发送包含特定信息的数据包以试探对方是否在线,这种有规律的试探性数据包被称为心跳数据包。由于用户行为通常是不规律的、随机的,而这些心跳包呈现出来的规律性明显区别于正常的用户行为。采用大数据技术对这些数据进行分析可有效检测出危险信息。
通过上述实施例,可以基于采用过滤的方式,通过数据检测、异常检测等,确定日志数据的安全性,在未知威胁apt攻击未造成严重危害前,检测到出现危险的数据,并发出预警信号。
图4是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图,如图4所示,该装置包括:获取单元41,用于获取日志数据;第一确定单元42,用于确定日志数据的模式串的长度;判断单元43,用于判断日志数据的模式串的长度是否大于预设阈值;第一匹配单元44,用于在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果;第二匹配单元45,用于在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果;第二确定单元46,用于根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性。
通过上述实施,可以通过获取单元41获取日志数据,并通过第一确定单元42确定出日志数据的模式串的长度,然后通过判断单元43判断出日志数据的模式串的长度是否大于预设阈值,在判断出日志数据的模式串的长度大于预设阈值的情况下,利用第一匹配单元44通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果,在判断出日志数据的模式串的长度不大于预设阈值的情况下,利用第二匹配单元45通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果,然后通过第二确定单元46根据模式匹配结果确定日志数据的安全性。在本申请实施方式中,通过日志数据的模式串,将日志数据与关联数据库的数据进行模式匹配,从而得到相应的模式匹配结果,根据模式匹配结果,确定出该日志数据的安全性,不是从网络攻击源方面对日志数据进行监测,而是对日志的数据进行监测,直接根据日志数据得到日志数据的安全性,提高检测日志数据安全性的准确度,根据解决现有技术中从网络攻击源角度进行数据监测时,检测数据安全性准确度低的技术问题。
图5是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图一,如图5所示,该装置还包括:建立单元51,用于在获取日志数据之前,根据模糊评价法建立数据风险评估模型;划分单元53,用于根据数据风险评估模型划分多个数据风险等级,其中,每个数据风险等级对应有风险评估指标。
图6是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图二,如图6所示,该装置还包括:第三确定单元61,用于在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,根据日志数据的数据风险等级、关联数据库以及日志数据的模式匹配结果,确定日志数据的安全等级;第四确定单元63,用于根据日志数据的安全等级,确定发出预警信号的级别,其中,根据日志数据的预警类型确定日志数据的预警信号类型,预警信号类型中包括多个级别的预警信号,每个预警信号对应有相应的日志数据的安全等级。
图7是根据本发明实施例的另一种可选的数据安全性的确定装置的结构图三,如图7所示,该装置可选的,还包括:分析单元72,用于在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,通过聚类分析算法,对日志数据的报文的多个维度特征进行分析,得到日志数据的维度特征信息;第四确定单元74,用于通过静态分析装置和日志数据的维度特征信息,确定与日志数据对应的终端的网络安全性。
其中,第一模式算法为字符串搜索算法bm,第二模式算法为字符串匹配算法kmp。
上述数据安全性的确定装置包括处理器和存储器,上述获取单元41,第一确定单元42,判断单元43,第一匹配单元44,第二匹配单元45,第二确定单元46等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来生成配置界面。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flashram),存储器包括至少一个存储芯片。
本申请实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现数据安全性的确定方法。
本申请实施例提供了一种处理器,处理器用于运行程序,其中,程序运行时执行数据安全性的确定方法。
本申请实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:获取日志数据;确定日志数据的模式串的长度;判断日志数据的模式串的长度是否大于预设阈值;在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果;在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果;根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性。
上述实施方式还包括:根据模糊评价法建立数据风险评估模型;根据数据风险评估模型划分多个数据风险等级,其中,每个数据风险等级对应有风险评估指标。
在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,还包括:根据日志数据的数据风险等级、关联数据库以及日志数据的模式匹配结果,确定日志数据的安全等级;根据日志数据的安全等级,确定发出预警信号的级别,其中,根据日志数据的预警类型确定日志数据的预警信号类型,预警信号类型中包括多个级别的预警信号,每个预警信号对应有相应的日志数据的安全等级。
在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,还包括:通过聚类分析算法,对日志数据的报文的多个维度特征进行分析,得到日志数据的维度特征信息;通过静态分析方法和日志数据的维度特征信息,确定与日志数据对应的终端的网络安全性。
第一模式算法为字符串搜索算法bm,第二模式算法为字符串匹配算法kmp。本文中的设备可以是服务器、pc、pad、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取日志数据;确定日志数据的模式串的长度;判断日志数据的模式串的长度是否大于预设阈值;在判断出日志数据的模式串的长度大于预设阈值的情况下,通过第一模式算法与关联数据库中的数据进行模式匹配,得到第一模式匹配结果;在判断出日志数据的模式串的长度不大于预设阈值的情况下,通过第二模式算法与关联数据库中的数据进行模式匹配,得到第二模式匹配结果;根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性。
还包括:根据模糊评价法建立数据风险评估模型;根据数据风险评估模型划分多个数据风险等级,其中,每个数据风险等级对应有风险评估指标。
在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,还包括:根据日志数据的数据风险等级、关联数据库以及日志数据的模式匹配结果,确定日志数据的安全等级;根据日志数据的安全等级,确定发出预警信号的级别,其中,根据日志数据的预警类型确定日志数据的预警信号类型,预警信号类型中包括多个级别的预警信号,每个预警信号对应有相应的日志数据的安全等级。
在根据第一模式匹配结果或第二模式匹配结果,确定日志数据的安全性之后,还包括:通过聚类分析算法,对日志数据的报文的多个维度特征进行分析,得到日志数据的维度特征信息;通过静态分析方法和日志数据的维度特征信息,确定与日志数据对应的终端的网络安全性。
第一模式算法为字符串搜索算法bm,第二模式算法为字符串匹配算法kmp。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!