本申请涉及大数据和人工智能技术领域,具体而言,涉及一种基于大数据和人工智能的数据防入侵方法及大数据服务器。
背景技术:
计算机技术的飞速发展促使了大数据在许多业务层面的应用。现如今,大数据服务深入到近乎各个领域,但随之而来产生了数据安全的问题。例如,各大应用系统或者云上平台的数据库中的大量业务数据或者用户数据的安全问题、重要数据/隐私数据的防窃取和防篡改问题是现目前人们关注的重点。
防火墙作为应用最为广泛的数据防入侵技术之一,在数据防入侵机制中扮演着非常重要的角色。作为入侵防护的第一道防线,防火墙的实时、精准拦截是确保数据防入侵的关键。然而,常见的数据防入侵技术难以实现防火墙的自适应升级和优化,这使得防火墙在后期运行过程中可能被攻破,从而引发数据入侵风险。
技术实现要素:
首先地,提供一种基于大数据和人工智能的数据防入侵方法,应用于大数据服务器,所述方法包括:获取x组入侵拦截记录,所述x为正整数;将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集;从每组入侵拦截记录包括的至少两个拦截事件集中确定待分析拦截事件所处的拦截事件集;根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据;根据所述至少一组拦截行为数据确定所述待分析拦截事件对应的入侵攻击类别;通过所述入侵攻击类别以及所述x组入侵拦截记录,更新所述大数据服务器的防火墙。
其次地,提供一种大数据服务器,包括处理引擎、网络模块和存储器;所述处理引擎和所述存储器通过所述网络模块通信,所述处理引擎从所述存储器中读取计算机程序并运行,以执行上述的方法。
技术效果:能够对不同的入侵拦截记录进行分析,从而确定出每组入侵拦截记录对应的拦截事件集,进而确定出至少一组拦截行为数据,以实现对待分析拦截事件的入侵攻击类别的分析,可以理解,待分析拦截事件可以为多个,这样能够尽可能多地确定出不同的入侵攻击类别,从而基于入侵攻击类别和入侵拦截记录对防火墙进行更新。如此,能够对入侵拦截记录进行拦截操作层面的解析,进而实现对入侵攻击以及防火墙拦截运行状态的分析,这样能够实现防火墙的智适应升级和优化,避免防火墙的拦截机制在长时间处于不变的状态,这样可以提高防火墙的入侵防御性能,避免防火墙的拦截机制在后期运行过程中被攻破,确保数据入侵防护的可靠性。
在后面的描述中,将部分地陈述其他的特征。在检查后面内容和附图时,本领域的技术人员将部分地发现这些特征,或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面,当前申请中的特征可以被实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
附图中的方法、系统和/或程序将根据示例性实施例进一步描述。这些示例性实施例将参照图纸进行详细描述。这些示例性实施例是非限制的示例性实施例,其中参考数字在附图的各个视图中代表相似的机构。
图1是根据本发明的一些实施例所示的一种示例性基于大数据和人工智能的数据防入侵系统的框图。
图2是根据本发明的一些实施例所示的一种示例性大数据服务器中硬件和软件组成的示意图。
图3是根据本发明的一些实施例所示的一种示例性基于大数据和人工智能的数据防入侵方法和/或过程的流程图。
图4是根据本发明的一些实施例所示的一种示例性基于大数据和人工智能的数据防入侵装置的框图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
在下面的详细描述中,通过实例阐述了许多具体细节,以便提供对相关指导的全面了解。然而,对于本领域的技术人员来说,显然可以在没有这些细节的情况下实施本发明。在其他情况下,公知的方法、程序、系统、组成和/或电路已经在一个相对较高水平上被描述,没有细节,以避免不必要的模糊本发明的方面。
这些和其他特性、当前申请披露的功能、执行的方法、结构中相关元素的功能和部件的组合和生产经济性,在参照附图进行以下描述的考虑中可能会变得更加明显,所有这些形成本申请的一部分。然而,需要理解清楚的是,附图仅仅是为了说明和描述的目的,并不旨在限制本申请的范围。应当了解的是,这些图纸不是按比例绘制的。然而,应当明确理解的是,附图仅用于说明和描述的目的,并不意图限制本发明的范围。应当知晓的是,这些附图并不依照比例。
本申请中使用流程图说明根据本申请的实施例的系统所执行的执行过程。应当明确理解的是,流程图的执行过程可以不按顺序执行。相反,这些执行过程可以以相反的顺序或同时执行。另外,可以将至少一个其他执行过程添加到流程图。一个或多个执行过程可以从流程图中删除。
图1是根据本发明的一些实施例所示的一种示例性基于大数据和人工智能的数据防入侵系统10的框图,基于大数据和人工智能的数据防入侵系统10可以包括大数据服务器100和多个业务访问终端200。其中,业务访问终端200可以访问大数据服务器100中存储的数据,业务访问终端200的访问请求受大数据服务器100的防火墙的检测。
在一些实施例中,如图2所示,大数据服务器100可以包括处理引擎110、网络模块120和存储器130,处理引擎110和存储器130通过网络模块120通信。
处理引擎110可以处理相关的信息和/或数据以执行本申请中描述的一个或多个功能。例如,在一些实施例中,处理引擎110可以包括至少一个处理引擎(例如,单核处理引擎或多核处理器)。仅作为示例,处理引擎110可以包括中央处理单元(centralprocessingunit,cpu)、专用集成电路(application-specificintegratedcircuit,asic)、专用指令集处理器(application-specificinstruction-setprocessor,asip)、图形处理单元(graphicsprocessingunit,gpu)、物理处理单元(physicsprocessingunit,ppu)、数字信号处理器(digitalsignalprocessor,dsp)、现场可编程门阵列(fieldprogrammablegatearray,fpga)、可编程逻辑器件(programmablelogicdevice,pld)、控制器、微控制器单元、精简指令集计算机(reducedinstruction-setcomputer,risc)、微处理器等或其任意组合。
网络模块120可以促进信息和/或数据的交换。在一些实施例中,网络模块120可以是任何类型的有线或无线网络或其组合。仅作为示例,网络模块120可以包括缆线网络、有线网络、光纤网络、电信网络、内部网络、互联网、局域网络(localareanetwork,lan)、广域网(wideareanetwork,wan)、无线局域网络(wirelesslocalareanetwork,wlan)、城域网(metropolitanareanetwork,man)、公用电话交换网(publictelephoneswitchednetwork,pstn)、蓝牙网络、无线个域网络、近场通讯(nearfieldcommunication,nfc)网络等或上述举例的任意组合。在一些实施例中,网络模块120可以包括至少一个网络接入点。例如,网络模块120可以包括有线或无线网路接入点,如基站和/或网路接入点。
存储器130可以是,但不限于,随机存取存储器(randomaccessmemory,ram),只读存储器(readonlymemory,rom),可编程只读存储器(programmableread-onlymemory,prom),可擦除只读存储器(erasableprogrammableread-onlymemory,eprom),电可擦除只读存储器(electricerasableprogrammableread-onlymemory,eeprom)等。其中,存储器130用于存储程序,所述处理引擎110在接收到执行指令后,执行所述程序。
可以理解,图2所示的结构仅为示意,大数据服务器100还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。
发明人对现目前的防火墙技术进行长期研究和分析后发现,常见的防火墙技术在进行入侵拦截后,不会对入侵拦截记录进行分析,更不会分析入侵攻击类别,也不会分析防火墙的拦截运行状态。这样会导致一个问题:入侵攻击方在长时间对防火墙进行攻击后,可能会分析出防火墙的拦截机制,从而制定针对性的破解方案,这样可能使得拦截机制一成不变的防火墙在后面的某个时间点被攻破,进而引发数据入侵风险。也就是说,现有技术难以实现防火墙的自适应升级和优化。为改善上述问题,发明人创新性地提出了基于大数据和人工智能的数据防入侵方法及大数据服务器,能够实现防火墙的自适应升级和优化,从而尽可能避免防火墙在后期运行过程被攻破,确保数据入侵防护的可靠性。
图3是根据本发明的一些实施例所示的一种示例性基于大数据和人工智能的数据防入侵方法和/或过程的流程图,基于大数据和人工智能的数据防入侵方法应用于图1中的大数据服务器100,具体可以包括以下步骤s310-步骤s350。
步骤s310,获取x组入侵拦截记录。例如,所述x为正整数,入侵拦截记录可以是防火墙在运行过程中对各类入侵攻击进行拦截之后的运行记录,入侵拦截记录可以存储在预先分配的存储空间中,以供后续进行调用。又例如,入侵拦截记录可以记录入侵攻击的时间,防火墙的防御方式等,在此不作限定。
步骤s320,将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集。例如,响应耗时用于表征防火墙针对不同的入侵攻击的反应时长,响应耗时1s用于表示防火墙针对某个入侵攻击的反应时长为1s,也就是说,在发起入侵攻击1s之后,防火墙启动防御机制。可以理解,响应耗时越长,表明防火墙的防御机制越不完善。拦截事件集中记载了不同的拦截事件,这些拦截事件可以对应不同的入侵攻击和/或不同的防御方式,在此不作限定。可以理解,不同的入侵拦截记录可以依正常的时间先后顺序区分,也可以依预先配置一些策略区分例如设定的入侵时段(比如22:00~23:00)区分,在此不作限定。
步骤s330,从每组入侵拦截记录包括的至少两个拦截事件集中确定待分析拦截事件所处的拦截事件集;根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据。例如,待分析拦截事件可以是预先选定的拦截事件,也可以是达到某些选择条件的拦截事件。如,待分析拦截事件可以是单位时间内的最多攻击次数对应的拦截事件,也可以是设定时段的持续性入侵攻击对应的拦截事件,在此不作限定。拦截行为数据用于表征防火墙在进行入侵防护或者防御时所作执行的相应程序动作对应的操作数据或者行为数据,包括但不限于一些访问端口的调整,或者访问协议的修改,或者对一些访问请求的拦截或者销毁。
步骤s340,根据所述至少一组拦截行为数据确定所述待分析拦截事件对应的入侵攻击类别。例如,入侵攻击类别包括但不限于欺骗攻击、重发攻击、报文修改攻击、拒绝服务攻击、陷阱门攻击、特洛伊木马攻击、透纳攻击和应用软件攻击等。可以理解,待分析拦截事件对应的入侵攻击类别可以是一个或者多个。
步骤s350,通过所述入侵攻击类别以及所述x组入侵拦截记录,更新所述大数据服务器的防火墙。例如,更新防火墙包括但不限于对配置数据的修改,这样能够改善防火墙在一些层面的性能,如时延性能、吞吐量性能或者缓存性能等。此外,还可以提高防火墙应对不同类型的入侵攻击的能力,例如提高防火墙的检测敏感性。
综上所述,通过应用上述步骤s310-步骤s350,能够对不同的入侵拦截记录进行分析,从而确定出每组入侵拦截记录对应的拦截事件集,进而确定出至少一组拦截行为数据,以实现对待分析拦截事件的入侵攻击类别的分析,可以理解,待分析拦截事件可以为多个,这样能够尽可能多地确定出不同的入侵攻击类别,从而基于入侵攻击类别和入侵拦截记录对防火墙进行更新。如此,能够对入侵拦截记录进行拦截操作层面的解析,进而实现对入侵攻击以及防火墙拦截运行状态的分析,这样能够实现防火墙的智适应升级和优化,避免防火墙的拦截机制在长时间处于不变的状态,这样可以提高防火墙的入侵防御性能,避免防火墙的拦截机制在后期运行过程中被攻破,确保数据入侵防护的可靠性。其中,拦截机制可以是针对不同的入侵攻击而设计的防御措施,例如拒绝响应措施、删除措施、二次验证措施等,在此不做限定。
接下来将对一些可选实施例进行说明,这些实施例应当理解为示例,不应理解为实现本方案所必不可少的技术特征。
在一些可能的示例中,步骤s320所描述的将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集,可以通过实施方式a或实施方式b实现。
实施方式a,按照预先设置的响应耗时与拦截方式之间的配置信息,将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集。例如,配置信息可以是响应耗时与拦截方式之间的映射关系。
实施方式b,通过统计预设时间段内的入侵拦截记录中的每个拦截事件集的响应耗时和拦截方式,确定响应耗时与拦截方式之间的配置信息;根据确定的配置信息将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集。例如,预设时间段可以根据实际情况进行设计,例如几秒或者几分钟,在此不作限定。
在实际实施过程中,拦截行为数据的确定方式可以有多个,为了确保在不同的业务场景下能够快速、准确地确定出拦截行为数据,从而提高防火墙的更新效率,步骤s330所描述的据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据,可以通过以下实施方式c、实施方式d以及实施方式e中的至少一个实现。
实施方式c对应的步骤包括步骤c1-步骤c3。
c1,从所述x组入侵拦截记录包括的待分析拦截事件中,确定处于响应耗时最长的拦截事件集的至少一组入侵拦截交互数据。例如,入侵拦截交互数据可以是防火墙与入侵攻击方的入侵攻击行为之间的数据信息交互所对应的数据。
c2,确定所述至少一组入侵拦截交互数据中每组入侵拦截交互数据的信息流拦截量。例如,信息流拦截量的单位可以是kb或者mb,在此不作限定。信息流拦截量用于表征入侵拦截交互数据对应的对信息流进行拦截的信息量。
c3,根据所述至少一组入侵拦截交互数据的信息流拦截量,从所述至少一组入侵拦截交互数据中确定至少一组拦截行为数据。
实施方式d对应的步骤包括步骤d1和步骤d2。
步骤d1,确定每组入侵拦截记录包括的待分析拦截事件的信息流拦截量。
步骤d2,根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,以及每组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据。
进一步地,所述至少两个拦截事件集包括第一拦截事件集和第二拦截事件集,所述第一拦截事件集的响应耗时高于所述第二拦截事件集的响应耗时,基于此,步骤d2中所描述的根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,以及每组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据,可以包括以下步骤d21-d23所描述的内容。
步骤d21,当所述待分析拦截事件在所述x组入侵拦截记录包括的y组入侵拦截记录中处于所述第一拦截事件集时,根据所述y组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述y组入侵拦截记录包括的待分析拦截事件中,确定信息流拦截量最高的待分析拦截事件作为第一待选择的入侵拦截交互数据,所述y为小于x的正整数。
步骤d21,当所述待分析拦截事件在所述x组入侵拦截记录包括的z组入侵拦截记录中处于所述第二拦截事件集时,根据所述z组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述z组入侵拦截记录包括的待分析拦截事件中,确定信息流拦截量最高的待分析拦截事件作为第二待选择的入侵拦截交互数据,所述z为小于x的正整数,且所述z与所述y之和等于所述x。
步骤d23,根据所述第一待选择的入侵拦截交互数据的信息流拦截量和所述第二待选择的入侵拦截交互数据的信息流拦截量,从所述第一待选择的入侵拦截交互数据和所述第二待选择的入侵拦截交互数据中确定至少一组拦截行为数据。
如此设计,基于上述步骤d21-步骤d23,能够同时考虑信息拦截量和响应耗时,从而确保在不同的业务场景下能够快速、准确地确定出拦截行为数据,以提高防火墙的更新效率。
更进一步地,步骤d23所描述的根据所述第一待选择的入侵拦截交互数据的信息流拦截量和所述第二待选择的入侵拦截交互数据的信息流拦截量,从所述第一待选择的入侵拦截交互数据和所述第二待选择的入侵拦截交互数据中确定至少一组拦截行为数据,可以包括以下步骤d231-步骤d233。
步骤d231,确定第一拦截量比较结果,所述第一拦截量比较结果为所述第二待选择的入侵拦截交互数据的信息流拦截量和所述第一待选择的入侵拦截交互数据的信息流拦截量之间信息流拦截量的差异数据。
步骤d232,当所述第一拦截量比较结果满足拦截量判定条件时,将所述第一待选择的入侵拦截交互数据和所述第二待选择的入侵拦截交互数据均确定为拦截行为数据。
步骤d233,当所述第一拦截量比较结果不满足拦截量判定条件时,确定所述第二待选择的入侵拦截交互数据为所述拦截行为数据,当所述第一拦截量比较结果部分满足所述拦截量判定条件时,确定所述第一待选择的入侵拦截交互数据为所述拦截行为数据。例如,拦截量判定条件可以是第一拦截量比较结果对应的拦截量差值与预设差值之间的大小比较关系。第一拦截量比较结果满足拦截量判定条件可以是拦截量差值与预设差值相同,第一拦截量比较结果不满足拦截量判定条件可以是拦截量差值与预设差值的比例值大于预设比例值,第一拦截量比较结果部分不满足拦截量判定条件可以是拦截量差值与预设差值的比例值小于等于预设比例值。当然,拦截量判定条件也可以是其他条件,在此不作限定。
如此设计,在应用上述步骤d231-步骤d233所描述的内容时,可以将不同的待选择的入侵拦截交互数据的信息流拦截量的差异数据考虑在内,从而基于信息流拦截层面准确获取拦截行为数据。
在一些示例中,所述至少两个拦截事件集包括第一拦截事件集和第二拦截事件集,所述第一拦截事件集的响应耗时高于所述第二拦截事件集的响应耗时,基于此,步骤d1所描述的所述确定每组入侵拦截记录包括的待分析拦截事件的信息流拦截量,可以包括以下步骤d11-步骤d13所描述的内容。
步骤d11,确定当前入侵拦截记录包括的待分析拦截事件的多个信息流拦截策略,所述当前入侵拦截记录为所述x组入侵拦截记录中的任一组入侵拦截记录。例如,信息流拦截策略可以包括用于指导防火墙进行信息流拦截的拦截指导信息或拦截指示信息。
步骤d12,当所述待分析拦截事件在所述当前入侵拦截记录中处于所述第一拦截事件集时,根据所述当前入侵拦截记录包括的待分析拦截事件的多个信息流拦截策略和每个信息流拦截策略的口令检测数据,确定所述当前入侵拦截记录包括的待分析拦截事件的信息流拦截量。例如,口令检测数据可以作为拦截判断指标中的其中一种。
步骤d13,当所述待分析拦截事件在所述当前入侵拦截记录中处于所述第二拦截事件集时,根据所述当前入侵拦截记录包括的待分析拦截事件的多个信息流拦截策略和每个信息流拦截策略的访问权限检测数据,确定所述当前入侵拦截记录包括的待分析拦截事件的信息流拦截量。例如,访问权限检测数据可以作为拦截判断指标中的其中一种。
这样一来,通过应用上述步骤d11-步骤d13,能够对信息流拦截策略进行分析,从而将信息流拦截策略的口令检测数据以及访问权限检测数据分别进行考虑,进而实现基于不同的检测数据确定信息流拦截量,以确保在不同业务场景下能够灵活、准确地确定信息流拦截量。
实施方式e对应的步骤包括步骤e1和步骤e4。
e1,从所述x组入侵拦截记录中确定一组入侵拦截记录,确定确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量。
e2,根据所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集、确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量、上一生命周期内确定的待选择的入侵拦截交互数据所处的拦截事件集,以及上一生命周期内确定的待选择的入侵拦截交互数据的信息流拦截量,确定当前生命周期内的待选择的入侵拦截交互数据。例如,生命周期可以是防火墙处于激活状态的时段。
e3,判断是否已处理完所述x组入侵拦截记录。
e4,如果是,则将当前生命周期内确定出的待选择的入侵拦截交互数据作为所述拦截行为数据,如果否,则从所述x组入侵拦截记录包括的未处理的入侵拦截记录中确定一组入侵拦截记录,返回确定确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量的步骤,直至已处理完所述x组入侵拦截记录。
如此,基于上述步骤e1-步骤e4,能够将防火墙的生命周期考虑在内,从而在确定拦截行为数据时能够避免引入过多的噪声数据,进而实现对拦截行为数据的精简化确定。
进一步地,所述至少两个拦截事件集包括第一拦截事件集和第二拦截事件集,所述第一拦截事件集的响应耗时高于所述第二拦截事件集的响应耗时,基于此,e2所描述的所述根据所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集、确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量、上一生命周期内确定的待选择的入侵拦截交互数据所处的拦截事件集,以及上一生命周期内确定的待选择的入侵拦截交互数据的信息流拦截量,确定当前生命周期内的待选择的入侵拦截交互数据,可以包括以下步骤e21-e23。
e21,当所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集与上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集相同,且确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量与上一生命周期内确定出的待选择的入侵拦截交互数据的信息流拦截量不相同时,从确定出的入侵拦截记录包括的待分析拦截事件和上一生命周期内确定出的待选择的入侵拦截交互数据中,确定信息流拦截量最高的入侵拦截交互数据作为当前生命周期内的待选择的入侵拦截交互数据。
e22,当所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集与上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集不相同,且上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集为所述第一拦截事件集时,确定第二拦截量比较结果,所述第二拦截量比较结果为确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量与上一生命周期内确定出的待选择的入侵拦截交互数据的信息流拦截量之间信息流拦截量的差异数据;当所述第二拦截量比较结果不满足拦截量判定条件时,根据确定出的入侵拦截记录包括的待分析拦截事件确定当前生命周期内的待选择的入侵拦截交互数据。
e23,当所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集与上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集不相同,且所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集为所述第一拦截事件集时,确定第三拦截量比较结果,所述第三拦截量比较结果为上一生命周期内确定出的待选择的入侵拦截交互数据的信息流拦截量与确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量之间信息流拦截量的差异数据;当所述第三拦截量比较结果满足所述拦截量判定条件时,根据确定出的入侵拦截记录包括的待分析拦截事件确定当前生命周期内的待选择的入侵拦截交互数据。
可以理解,通过实施上述步骤e21-步骤e23,能够基于不同的生命周期实现当前生命周期内的待选择的入侵拦截交互数据的确定,从而确保当前生命周期内的待选择的入侵拦截交互数据尽可能与其他生命周期对应的入侵拦截交互数据区分开,避免后续在数据处理时出现互相干扰。
在实际实施过程中发明人发现,为了准确完整地确定入侵攻击类别,需要对不同类别的认证信息进行分析并进行验证,以确定出伪造的认证信息。为实现这一目的,步骤s340所描述的根据所述至少一组拦截行为数据确定所述待分析拦截事件对应的入侵攻击类别,可以包括以下步骤s341-步骤s347。
步骤s341,从所述至少一组拦截行为数据中提取针对预设数据库的查询语句数据、所述查询语句数据中被拦截的异常查询语句以及所述查询语句数据中被放行的正常查询语句,通过所述异常查询语句在所述查询语句数据中的相对时序位置,确定所述异常查询语句的口令认证信息和访问权限认证信息。例如,预设数据库可以是与大数据服务器通信的数据库。相对时序位置可以是时间先后顺序。
步骤s342,通过预先进行配置的认证信息提取模型,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果。例如,认证信息提取模型可以是神经网络模型。
步骤s343,对所述口令认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述口令认证信息的认证伪造信息。
步骤s344,对所述访问权限认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述访问权限认证信息的认证伪造信息。
步骤s345,确定所述口令认证信息的认证伪造信息与所述访问权限认证信息的认证伪造信息之间的隐藏的伪造信息。
步骤s346,基于所述隐藏的伪造信息,遍历解析所述访问权限认证信息中各个认证签名的签名溯源信息,得到并输出入侵检测命中信息。
步骤s347,基于所述入侵检测命中信息确定所述待分析拦截事件的入侵攻击类别;其中,所述入侵攻击类别包括:欺骗攻击、重发攻击、报文修改攻击、拒绝服务攻击、陷阱门攻击、特洛伊木马攻击、透纳攻击和应用软件攻击。
可以理解,通过实施上述步骤s341-步骤s347,能够异常查询语句的口令认证信息和访问权限认证信息进行分析,并利用认证信息提取模型确定对应的认证解密结果,从而得到口令认证信息和访问权限认证信息各自对应的认证伪造信息,并进一步确定出隐藏的伪造信息,这样可以实现对入侵检测命中信息的精准抽取,从而准确完整地确定入侵攻击类别,避免个别的入侵攻击类别被漏检。
对于进一步的实施例而言,步骤s343所描述的对所述口令认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述口令认证信息的认证伪造信息,可以包括如下步骤s3431和步骤s3432。
步骤s3431,确定所述口令认证信息在各个入侵拦截指标下的认证解密结果对应的加密可信度的分析结果。例如,各个入侵拦截指标可以预先进行设置,在此不作限定。加密可信度用于表征认证解密结果是否可靠,加密可信度越高,表面认证解密结果越可靠。
步骤s3432,基于所述加密可信度的分析结果,对所述口令认证信息多个入侵拦截指标下的认证解密结果进行认证信息真伪筛选,得到所述口令认证信息的认证伪造信息。
对于进一步的实施例而言,步骤s344所描述的对所述访问权限认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述访问权限认证信息的认证伪造信息,可以包括如下步骤s3441和步骤s3442。
步骤s3441,确定所述访问权限认证信息在各个入侵拦截指标下的认证解密结果对应的加密可信度的分析结果。
步骤s3442,基于所述加密可信度的分析结果,对所述访问权限认证信息多个入侵拦截指标下的认证解密结果进行认证信息真伪筛选,得到所述访问权限认证信息的认证伪造信息。
对于进一步的实施例而言,步骤s342所描述的通过预先进行配置的认证信息提取模型,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果,包括:通过预先进行配置的认证信息提取模型中的多个信息提取子网络,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果。
在一些实施例中,所述口令认证信息的认证伪造信息包括所述口令认证信息的认证误差数据,所述访问权限认证信息的认证伪造信息包括所述访问权限认证信息的认证误差数据,在此基础上,步骤s345所描述的确定所述口令认证信息的认证伪造信息与所述访问权限认证信息的认证伪造信息之间的隐藏的伪造信息,可以包括:确定所述口令认证信息的认证误差数据和所述访问权限认证信息的认证误差数据之间的相似误差数据;基于所述相似误差数据,确定所述口令认证信息的认证伪造信息与所述访问权限认证信息的认证伪造信息之间的隐藏的伪造信息。例如,相似误差数据可以表征不同类型的认证信息之间的认证误差数据的相似情况。
对于进一步可能的实施例而言,步骤s346所描述的基于所述隐藏的伪造信息,遍历解析所述访问权限认证信息中各个认证签名的签名溯源信息,得到并输出入侵检测命中信息,可以包括以下步骤s3461和步骤s3462。
步骤s3461,当所述隐藏的伪造信息的信息隐藏等级大于预设信息隐藏等级时,基于所述隐藏的伪造信息更新所述访问权限认证信息中各个认证签名的签名溯源信息。例如,信息隐藏等级可以通过对隐藏的伪造信息的获取路径的复杂程度进行分析得到。
步骤s3462将更新后的访问权限认证信息作为新的访问权限认证信息,返回执行通过预先进行配置的认证信息提取模型,对所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果的步骤,直到所述隐藏的伪造信息的信息隐藏等级不大于预设信息隐藏等级,得到并输出入侵检测命中信息。
更进一步地,在步骤s3461中,基于所述隐藏的伪造信息更新所述访问权限认证信息中各个认证签名的签名溯源信息,包括:步骤s3461a,确定所述隐藏的伪造信息相对于所述访问权限认证信息的权限干扰信息;步骤s3461b,基于所述权限干扰信息,更新所述访问权限认证信息中各个认证签名的签名溯源信息。例如,权限干扰信息用于表征隐藏的伪造信息对访问权限认证信息的影响。
更进一步地,在步骤s3461b中,所述基于所述权限干扰信息,更新所述访问权限认证信息中各个认证签名的签名溯源信息,包括:获取所述访问权限认证信息中各个认证签名对应的预设签名溯源信息的信息溯源路径;基于所述权限干扰信息和所述预设签名溯源信息的信息溯源路径,更新所述访问权限认证信息中各个认证签名的签名溯源信息。
对于可选的实施例而言,步骤s342所描述的所述通过预先进行配置的认证信息提取模型,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果之前,还包括:获取所述口令认证信息和所述访问权限认证信息中权限类别认证结果的认证有效性标签;基于所述权限类别认证结果的认证有效性标签,对所述口令认证信息和所述访问权限认证信息进行权限类别剔除,得到权限类别剔除后的口令认证信息和访问权限认证信息。
在一种可替换的实施例中,步骤s350所描述的通过所述入侵攻击类别以及所述x组入侵拦截记录,更新所述大数据服务器的防火墙,可以包括步骤s351-步骤s355所描述的内容。
步骤s351,根据所述入侵攻击类别以及所述x组入侵拦截记录中的至少部分入侵拦截记录,获取多组防火墙运行数据,每组防火墙运行数据包括对应的入侵攻击方进行多次入侵攻击时生成的多个防火墙运行数据,所述每组防火墙运行数据中包括主动防御的防火墙运行数据和被动防御的防火墙运行数据,所述主动防御的防火墙运行数据为具有主动防御的防御标识的防火墙运行数据,所述被动防御的防火墙运行数据为具有除所述主动防御的防御标识以外的其他防御标识的防火墙运行数据。
步骤s352,获取每个防火墙运行数据的链路层数据,所述链路层数据包括所述防火墙运行数据中多个防火墙运行链路的链路属性信息。
步骤s353,根据所述多组防火墙运行数据中多个主动防御的防火墙运行数据的链路层数据,进行网络层数据确定,得到网络层数据,所述网络层数据用于表示持续性入侵攻击在所述主动防御的防御标识下的多个防火墙运行链路的链路属性信息。
步骤s354,确定每个主动防御的防火墙运行数据的链路层数据与所述网络层数据之间的传输层数据,依据所述多个主动防御的防火墙运行数据的传输层数据得到运行状态数据,对所述运行状态数据进行防火墙配置数据提取,得到当前防火墙配置数据,所述运行状态数据用于描述所述多个主动防御的防火墙运行数据所包含已拦截的入侵攻击的入侵攻击拦截数据。
步骤s355,根据主动防御的防火墙运行数据与被动防御的防火墙运行数据的运行数据比对结果,对所述当前防火墙配置数据进行更新。例如,运行数据比对结果可以包括主动防御的防火墙运行数据对应的防御日志记录的数量与被动防御的防火墙运行数据对应的防御日志记录的数量的比例,若该比例低于设定比例,表征防火墙的主动防御功能较弱,这个时候可以对所述当前防火墙配置数据进行更新以完善防火墙的主动防御功能。
例如,主动防御行为可以理解为防火墙在进行入侵检测判断之后直接实施相应的防御措施,被动防御行为可以理解为防火墙在检测到存在数据访问异常之后才实施相应的防御措施。如此,基于上述步骤s351-步骤s355所描述的内容,能够将防火墙的主动防御行为和被动防御行为考虑在内,从而确保对当前防火墙配置数据的更新能够基于防火墙的主动防御进行,从而实现防火墙的智适应升级和优化,避免防火墙的拦截机制在长时间处于不变的状态,这样可以提高防火墙的入侵防御性能,避免防火墙的拦截机制在后期运行过程中被攻破,确保数据入侵防护的可靠性。
图4是根据本发明的一些实施例所示的一种示例性基于大数据和人工智能的数据防入侵装置140的框图,所述基于大数据和人工智能的数据防入侵装置140可以包括以下功能模块。
拦截记录获取模块141,用于获取x组入侵拦截记录,所述x为正整数。
拦截记录拆分模块142,用于将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集。
行为数据确定模块143,用于从每组入侵拦截记录包括的至少两个拦截事件集中确定待分析拦截事件所处的拦截事件集;根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据。
攻击类别确定模块144,用于根据所述至少一组拦截行为数据确定所述待分析拦截事件对应的入侵攻击类别。
防火墙更新模块145,用于通过所述入侵攻击类别以及所述x组入侵拦截记录,更新所述大数据服务器的防火墙。
可以理解,上述功能模块的进一步实施方式可以参照图3所示的方法的描述。
基于上述同样的发明构思,还提供了一种基于大数据和人工智能的数据防入侵系统,进一步描述如下。
一种基于大数据和人工智能的数据防入侵系统,包括互相之间通信的大数据服务器和多个业务访问终端,所述业务访问终端用于访问所述大数据服务器,所述业务访问终端受所述大数据服务器的防火墙的入侵检测;
进一步地,所述大数据服务器用于:
获取x组入侵拦截记录,所述x为正整数;将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集;从每组入侵拦截记录包括的至少两个拦截事件集中确定待分析拦截事件所处的拦截事件集;根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据;根据所述至少一组拦截行为数据确定所述待分析拦截事件对应的入侵攻击类别;通过所述入侵攻击类别以及所述x组入侵拦截记录,更新所述大数据服务器的防火墙。
可以理解,上述系统实施例的进一步实施方式可以参照图3所示的方法的描述。
需要理解的是,针对上述内容没有进行名词解释的技术术语,本领域技术人员可以根据上述所公开的内容进行前后推导毫无疑义地确定其所指代的含义,例如针对一些值、系数、权重、指数、因子等术语,本领域技术人员可以根据前后的逻辑关系进行推导和确定,这些数值的取值范围可以根据实际情况进行选取,例如0~1,又例如1~10,再例如50~100,在此均不作限定。
本领域技术人员可以根据上述已公开的内容毫无疑义对一些预设的、基准的、预定的、设定的以及目标的技术特征/技术术语进行确定,例如阈值、阈值区间、阈值范围等。对于一些未作解释的技术特征术语,本领域技术人员完全能够基于前后文的逻辑关系进行合理地、毫无疑义地推导,从而清楚、完整地实施上述技术方案。未作解释的技术特征术语的前缀,例如“第一”、“第二”、“上一个”、“下一个”、“前一个”、“后一个”、“当前”、“历史”、“最新”、“最佳”、“目标”、“指定”和“实时”等,可以根据前后文进行毫无疑义地推导和确定。未作解释的技术特征术语的后缀,例如“列表”、“特征”、“序列”、“集合”、“矩阵”、“单元”、“元素”、“轨迹”和“清单”等,也可以根据前后文进行毫无疑义地推导和确定。
本发明实施例公开的上述内容对于本领域技术人员而言是清楚完整的。应当理解,本领域技术人员基于上述公开的内容对未作解释的技术术语进行推导和分析的过程是基于本申请所记载的内容进行的,因此上述内容并不是对整体方案的创造性的评判。
上文已对基本概念做了描述,显然,对于本领域技术人员来说,上述详细披露仅作为示例,而并不构成对本申请的限定。虽然此处并没有明确说明,本领域技术人员可以对本申请进行各种修改、改进和修正。该类修改、改进和修正在本申请中被建议,所以该类修改、改进、修正仍属于本申请示范实施例的精神和范围。
同时,本申请使用了特定术语来描述本申请的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本申请至少一个实施例相关的某一特征、结构或特点。因此,应强调并注意的是,本说明书中在不同部分两次或多次提到的“一实施例”或“一个实施例”或“一替代性实施例”并不一定是指同一实施例。此外,本申请的至少一个实施例中的某些特征、结构或特点可以进行适当的组合。
另外,本领域普通技术人员可以理解的是,本申请的各个方面可以通过若干具有可专利性的种类或情况进行说明和描述,包括任何新的和有用的工序、机器、产品或物质的组合,或对他们任何新的和有用的改进。相应地,本申请的各个方面可以完全由硬件执行、可以完全由软件(包括固件、常驻软件、微码等)执行、也可以由硬件和软件组合执行。以上硬件或软件均可以被称为“单元”、“组件”或“系统”。此外,本申请的各方面可以表现为位于至少一个计算机可读介质中的计算机产品,所述产品包括计算机可读程序编码。
计算机可读信号介质可能包含一个内含有计算机程序编码的传播数据信号,例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式,包括电磁形式、光形式等等、或合适的组合形式。计算机可读信号介质可以是除计算机可读存储介质之外的任何计算机可读介质,该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机可读信号介质上的程序编码可以通过任何合适的介质进行传播,包括无线电、电缆、光纤缆线、rf、或类似介质、或任何上述介质的组合。
本申请各方面执行所需的计算机程序码可以用一种或多种程序语言的任意组合编写,包括面向对象程序设计,如java、scala、smalltalk、eiffel、jade、emerald、c++、c#、vb.net,python等,或类似的常规程序编程语言,如"c"编程语言,visualbasic,fortran2003,perl,cobol2002,php,abap,动态编程语言如python,ruby和groovy或其它编程语言。所述程式设计编码可以完全在用户计算机上执行、或作为独立的软体包在用户计算机上执行、或部分在用户计算机上执行部分在远程计算机执行、或完全在远程计算机或服务器上执行。在后种情况下,远程计算机可以通过任何网络形式与用户计算机连接,比如局域网络(lan)或广域网(wan),或连接至外部计算机(例如通过因特网),或在云计算环境中,或作为服务使用如软件即服务(saas)。
此外,除非申请专利范围中明确说明,本申请所述处理元件和序列的顺序、数位字母的使用、或其他名称的使用,并非用于限定本申请流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例,但应当理解的是,该类细节仅起到说明的目的,附加的申请专利范围并不仅限于披露的实施例,相反,申请专利范围旨在覆盖所有符合本申请实施例实质和范围的修正和等价组合。例如,虽然以上所描述的系统组件可以通过硬件装置实现,但是也可以只通过软件的解决方案得以实现,如在现有的服务器或行动装置上安装所描述的系统。
同样应当理解的是,为了简化本申请揭示的表述,从而帮助对至少一个发明实施例的理解,前文对本申请实施例的描述中,有时会将多种特征归并至一个实施例、附图或对其的描述中。但是,这种披露方法幷不意味着本申请对象所需要的特征比权利要求中提及的特征多。实际上,实施例的特征要少于上述披露的单个实施例的全部特征。
1.一种基于大数据和人工智能的数据防入侵方法,其特征在于,应用于大数据服务器,所述方法包括:
获取x组入侵拦截记录,所述x为正整数;
将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集;
从每组入侵拦截记录包括的至少两个拦截事件集中确定待分析拦截事件所处的拦截事件集;根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据;
根据所述至少一组拦截行为数据确定所述待分析拦截事件对应的入侵攻击类别;
通过所述入侵攻击类别以及所述x组入侵拦截记录,更新所述大数据服务器的防火墙。
2.如权利要求1所述的方法,其特征在于,所述将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集,包括:
按照预先设置的响应耗时与拦截方式之间的配置信息,将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集;
或者,
通过统计预设时间段内的入侵拦截记录中的每个拦截事件集的响应耗时和拦截方式,确定响应耗时与拦截方式之间的配置信息;根据确定的配置信息将每组入侵拦截记录拆分为响应耗时存在差异的至少两个拦截事件集。
3.如权利要求1所述的方法,其特征在于,所述根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据,包括:
从所述x组入侵拦截记录包括的待分析拦截事件中,确定处于响应耗时最长的拦截事件集的至少一组入侵拦截交互数据;
确定所述至少一组入侵拦截交互数据中每组入侵拦截交互数据的信息流拦截量;
根据所述至少一组入侵拦截交互数据的信息流拦截量,从所述至少一组入侵拦截交互数据中确定至少一组拦截行为数据。
4.如权利要求1所述的方法,其特征在于,所述根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据,包括:
确定每组入侵拦截记录包括的待分析拦截事件的信息流拦截量;
根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,以及每组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据;
其中,所述至少两个拦截事件集包括第一拦截事件集和第二拦截事件集,所述第一拦截事件集的响应耗时高于所述第二拦截事件集的响应耗时;所述根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,以及每组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据,包括:
当所述待分析拦截事件在所述x组入侵拦截记录包括的y组入侵拦截记录中处于所述第一拦截事件集时,根据所述y组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述y组入侵拦截记录包括的待分析拦截事件中,确定信息流拦截量最高的待分析拦截事件作为第一待选择的入侵拦截交互数据,所述y为小于x的正整数;
当所述待分析拦截事件在所述x组入侵拦截记录包括的z组入侵拦截记录中处于所述第二拦截事件集时,根据所述z组入侵拦截记录包括的待分析拦截事件的信息流拦截量,从所述z组入侵拦截记录包括的待分析拦截事件中,确定信息流拦截量最高的待分析拦截事件作为第二待选择的入侵拦截交互数据,所述z为小于x的正整数,且所述z与所述y之和等于所述x;
根据所述第一待选择的入侵拦截交互数据的信息流拦截量和所述第二待选择的入侵拦截交互数据的信息流拦截量,从所述第一待选择的入侵拦截交互数据和所述第二待选择的入侵拦截交互数据中确定至少一组拦截行为数据;
其中,所述根据所述第一待选择的入侵拦截交互数据的信息流拦截量和所述第二待选择的入侵拦截交互数据的信息流拦截量,从所述第一待选择的入侵拦截交互数据和所述第二待选择的入侵拦截交互数据中确定至少一组拦截行为数据,包括:
确定第一拦截量比较结果,所述第一拦截量比较结果为所述第二待选择的入侵拦截交互数据的信息流拦截量和所述第一待选择的入侵拦截交互数据的信息流拦截量之间信息流拦截量的差异数据;
当所述第一拦截量比较结果满足拦截量判定条件时,将所述第一待选择的入侵拦截交互数据和所述第二待选择的入侵拦截交互数据均确定为拦截行为数据;
当所述第一拦截量比较结果不满足拦截量判定条件时,确定所述第二待选择的入侵拦截交互数据为所述拦截行为数据,当所述第一拦截量比较结果部分满足所述拦截量判定条件时,确定所述第一待选择的入侵拦截交互数据为所述拦截行为数据;
其中,所述至少两个拦截事件集包括第一拦截事件集和第二拦截事件集,所述第一拦截事件集的响应耗时高于所述第二拦截事件集的响应耗时;所述确定每组入侵拦截记录包括的待分析拦截事件的信息流拦截量,包括:
确定当前入侵拦截记录包括的待分析拦截事件的多个信息流拦截策略,所述当前入侵拦截记录为所述x组入侵拦截记录中的任一组入侵拦截记录;
当所述待分析拦截事件在所述当前入侵拦截记录中处于所述第一拦截事件集时,根据所述当前入侵拦截记录包括的待分析拦截事件的多个信息流拦截策略和每个信息流拦截策略的口令检测数据,确定所述当前入侵拦截记录包括的待分析拦截事件的信息流拦截量;
当所述待分析拦截事件在所述当前入侵拦截记录中处于所述第二拦截事件集时,根据所述当前入侵拦截记录包括的待分析拦截事件的多个信息流拦截策略和每个信息流拦截策略的访问权限检测数据,确定所述当前入侵拦截记录包括的待分析拦截事件的信息流拦截量。
5.如权利要求1-4任一项所述的方法,其特征在于,所述根据所述待分析拦截事件在每组入侵拦截记录中所处的拦截事件集,从所述x组入侵拦截记录包括的待分析拦截事件中确定至少一组拦截行为数据,包括:
从所述x组入侵拦截记录中确定一组入侵拦截记录,确定确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量;
根据所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集、确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量、上一生命周期内确定的待选择的入侵拦截交互数据所处的拦截事件集,以及上一生命周期内确定的待选择的入侵拦截交互数据的信息流拦截量,确定当前生命周期内的待选择的入侵拦截交互数据;
判断是否已处理完所述x组入侵拦截记录;
如果是,则将当前生命周期内确定出的待选择的入侵拦截交互数据作为所述拦截行为数据,如果否,则从所述x组入侵拦截记录包括的未处理的入侵拦截记录中确定一组入侵拦截记录,返回确定确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量的步骤,直至已处理完所述x组入侵拦截记录;
其中,所述至少两个拦截事件集包括第一拦截事件集和第二拦截事件集,所述第一拦截事件集的响应耗时高于所述第二拦截事件集的响应耗时;所述根据所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集、确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量、上一生命周期内确定的待选择的入侵拦截交互数据所处的拦截事件集,以及上一生命周期内确定的待选择的入侵拦截交互数据的信息流拦截量,确定当前生命周期内的待选择的入侵拦截交互数据,包括:
当所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集与上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集相同,且确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量与上一生命周期内确定出的待选择的入侵拦截交互数据的信息流拦截量不相同时,从确定出的入侵拦截记录包括的待分析拦截事件和上一生命周期内确定出的待选择的入侵拦截交互数据中,确定信息流拦截量最高的入侵拦截交互数据作为当前生命周期内的待选择的入侵拦截交互数据;
当所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集与上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集不相同,且上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集为所述第一拦截事件集时,确定第二拦截量比较结果,所述第二拦截量比较结果为确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量与上一生命周期内确定出的待选择的入侵拦截交互数据的信息流拦截量之间信息流拦截量的差异数据;当所述第二拦截量比较结果不满足拦截量判定条件时,根据确定出的入侵拦截记录包括的待分析拦截事件确定当前生命周期内的待选择的入侵拦截交互数据;
当所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集与上一生命周期内确定出的待选择的入侵拦截交互数据所处的拦截事件集不相同,且所述待分析拦截事件在确定出的入侵拦截记录中所处的拦截事件集为所述第一拦截事件集时,确定第三拦截量比较结果,所述第三拦截量比较结果为上一生命周期内确定出的待选择的入侵拦截交互数据的信息流拦截量与确定出的入侵拦截记录包括的待分析拦截事件的信息流拦截量之间信息流拦截量的差异数据;当所述第三拦截量比较结果满足所述拦截量判定条件时,根据确定出的入侵拦截记录包括的待分析拦截事件确定当前生命周期内的待选择的入侵拦截交互数据。
6.根据权利要求1-5任一项所述的方法,其特征在于,根据所述至少一组拦截行为数据确定所述待分析拦截事件对应的入侵攻击类别,包括:
从所述至少一组拦截行为数据中提取针对预设数据库的查询语句数据、所述查询语句数据中被拦截的异常查询语句以及所述查询语句数据中被放行的正常查询语句,通过所述异常查询语句在所述查询语句数据中的相对时序位置,确定所述异常查询语句的口令认证信息和访问权限认证信息;
通过预先进行配置的认证信息提取模型,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果;
对所述口令认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述口令认证信息的认证伪造信息;
对所述访问权限认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述访问权限认证信息的认证伪造信息;
确定所述口令认证信息的认证伪造信息与所述访问权限认证信息的认证伪造信息之间的隐藏的伪造信息;
基于所述隐藏的伪造信息,遍历解析所述访问权限认证信息中各个认证签名的签名溯源信息,得到并输出入侵检测命中信息;
基于所述入侵检测命中信息确定所述待分析拦截事件的入侵攻击类别;其中,所述入侵攻击类别包括:欺骗攻击、重发攻击、报文修改攻击、拒绝服务攻击、陷阱门攻击、特洛伊木马攻击、透纳攻击和应用软件攻击。
7.如权利要求6所述的方法,其特征在于,所述对所述口令认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述口令认证信息的认证伪造信息,包括:
确定所述口令认证信息在各个入侵拦截指标下的认证解密结果对应的加密可信度的分析结果;
基于所述加密可信度的分析结果,对所述口令认证信息多个入侵拦截指标下的认证解密结果进行认证信息真伪筛选,得到所述口令认证信息的认证伪造信息;
其中,所述对所述访问权限认证信息在多个入侵拦截指标下的认证解密结果进行密码学验证,得到所述访问权限认证信息的认证伪造信息,包括:
确定所述访问权限认证信息在各个入侵拦截指标下的认证解密结果对应的加密可信度的分析结果;
基于所述加密可信度的分析结果,对所述访问权限认证信息多个入侵拦截指标下的认证解密结果进行认证信息真伪筛选,得到所述访问权限认证信息的认证伪造信息;
其中,所述通过预先进行配置的认证信息提取模型,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果,包括:通过预先进行配置的认证信息提取模型中的多个信息提取子网络,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果;
其中,所述口令认证信息的认证伪造信息包括所述口令认证信息的认证误差数据,所述访问权限认证信息的认证伪造信息包括所述访问权限认证信息的认证误差数据;所述确定所述口令认证信息的认证伪造信息与所述访问权限认证信息的认证伪造信息之间的隐藏的伪造信息,包括:
确定所述口令认证信息的认证误差数据和所述访问权限认证信息的认证误差数据之间的相似误差数据;基于所述相似误差数据,确定所述口令认证信息的认证伪造信息与所述访问权限认证信息的认证伪造信息之间的隐藏的伪造信息。
8.如权利要求6所述的方法,其特征在于,所述基于所述隐藏的伪造信息,遍历解析所述访问权限认证信息中各个认证签名的签名溯源信息,得到并输出入侵检测命中信息,包括:
当所述隐藏的伪造信息的信息隐藏等级大于预设信息隐藏等级时,基于所述隐藏的伪造信息更新所述访问权限认证信息中各个认证签名的签名溯源信息;
将更新后的访问权限认证信息作为新的访问权限认证信息,返回执行通过预先进行配置的认证信息提取模型,对所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果的步骤,直到所述隐藏的伪造信息的信息隐藏等级不大于预设信息隐藏等级,得到并输出入侵检测命中信息;
其中,所述基于所述隐藏的伪造信息更新所述访问权限认证信息中各个认证签名的签名溯源信息,包括:确定所述隐藏的伪造信息相对于所述访问权限认证信息的权限干扰信息;基于所述权限干扰信息,更新所述访问权限认证信息中各个认证签名的签名溯源信息;
其中,所述基于所述权限干扰信息,更新所述访问权限认证信息中各个认证签名的签名溯源信息,包括:获取所述访问权限认证信息中各个认证签名对应的预设签名溯源信息的信息溯源路径;基于所述权限干扰信息和所述预设签名溯源信息的信息溯源路径,更新所述访问权限认证信息中各个认证签名的签名溯源信息。
9.如权利要求6所述的方法,其特征在于,所述通过预先进行配置的认证信息提取模型,分别对所述口令认证信息和所述访问权限认证信息提取多个入侵拦截指标下的认证解密结果之前,还包括:
获取所述口令认证信息和所述访问权限认证信息中权限类别认证结果的认证有效性标签;基于所述权限类别认证结果的认证有效性标签,对所述口令认证信息和所述访问权限认证信息进行权限类别剔除,得到权限类别剔除后的口令认证信息和访问权限认证信息。
10.一种大数据服务器,其特征在于,包括处理引擎、网络模块和存储器;所述处理引擎和所述存储器通过所述网络模块通信,所述处理引擎从所述存储器中读取计算机程序并运行,以执行权利要求1-9任一项所述的方法。
技术总结