本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)測(cè)，具體為一種基于大數(shù)據(jù)分析的計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)測(cè)方法、系統(tǒng)及其介質(zhì)。

背景技術(shù)：

1、隨著信息技術(shù)的飛速發(fā)展和教育信息化的推進(jìn)，教務(wù)系統(tǒng)作為學(xué)生信息服務(wù)的重要平臺(tái)，其網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到關(guān)注。教務(wù)系統(tǒng)存儲(chǔ)學(xué)生的課程安排、課程成績(jī)和學(xué)分等信息，容易受到網(wǎng)絡(luò)攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)措施，如防火墻、入侵檢測(cè)系統(tǒng)和病毒掃描，雖然對(duì)已知的攻擊手段具有一定的防護(hù)能力，但對(duì)于新型或復(fù)雜的安全威脅往往顯得不夠靈活和有效。

2、近年來(lái)，基于大數(shù)據(jù)分析的計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)測(cè)逐漸成為提升網(wǎng)絡(luò)安全防護(hù)能力的重要手段，包括流量異常監(jiān)測(cè)和用戶行為分析等，其中，用戶行為分析（uba，userbehavior?analytics）作為一種新興的安全防護(hù)技術(shù)，通過(guò)對(duì)用戶的行為模式進(jìn)行深入分析和建模，能夠有效識(shí)別異常行為和潛在的安全威脅。這一技術(shù)的核心在于不再僅依賴于已知的攻擊特征或靜態(tài)規(guī)則，而是通過(guò)實(shí)時(shí)監(jiān)測(cè)用戶的實(shí)際操作行為，動(dòng)態(tài)識(shí)別出不符合正常模式的異常活動(dòng)。

3、現(xiàn)有基于用戶行為分析的文獻(xiàn)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全的預(yù)測(cè)，但是未充分考慮教務(wù)系統(tǒng)中不同用戶（如學(xué)生、教師和教務(wù)系統(tǒng)管理人員）的獨(dú)特行為模式，導(dǎo)致對(duì)用戶行為的理解較為泛化，因此現(xiàn)有的基于用戶行為的網(wǎng)絡(luò)安全預(yù)測(cè)方法無(wú)法對(duì)教務(wù)系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行有效的預(yù)測(cè)，進(jìn)而降低教務(wù)系統(tǒng)的網(wǎng)絡(luò)安全性。

4、為此，提出一種基于大數(shù)據(jù)分析的計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)測(cè)方法、系統(tǒng)及其介質(zhì)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于大數(shù)據(jù)分析的計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)測(cè)方法、系統(tǒng)及其介質(zhì)，首先，依據(jù)用戶在教務(wù)系統(tǒng)的登錄界面輸入的登錄賬號(hào)，獲取所述用戶對(duì)應(yīng)的身份信息、實(shí)時(shí)登錄信息和歷史登錄信息；其次，依據(jù)所述身份信息、所述實(shí)時(shí)登錄信息和所述歷史登錄信息獲取所述用戶的當(dāng)前登錄異常等級(jí)；再次，依據(jù)所述當(dāng)前登錄異常等級(jí)對(duì)所述用戶進(jìn)行身份驗(yàn)證；然后，當(dāng)所述身份驗(yàn)證通過(guò)時(shí)，監(jiān)測(cè)用戶在教務(wù)系統(tǒng)中的操作行為；最后，依據(jù)所述操作行為和所述當(dāng)前登錄異常等級(jí)獲取用戶的當(dāng)前異常行為等級(jí)并進(jìn)行預(yù)警。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

3、一種基于大數(shù)據(jù)分析的計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)測(cè)方法，包括：

4、依據(jù)用戶在教務(wù)系統(tǒng)的登錄界面輸入的登錄賬號(hào)，獲取所述用戶對(duì)應(yīng)的身份信息、實(shí)時(shí)登錄信息和歷史登錄信息。

5、進(jìn)一步地，所述用戶對(duì)應(yīng)的身份信息、實(shí)時(shí)登錄信息和歷史登錄信息包括：

6、所述身份信息包括用戶姓名、職位和初始權(quán)限；所述實(shí)時(shí)登錄信息包括用戶登錄教務(wù)系統(tǒng)的實(shí)時(shí)時(shí)間、實(shí)時(shí)ip地址、實(shí)時(shí)登錄設(shè)備；所述職位包括教師、學(xué)生和教務(wù)系統(tǒng)管理人員；

7、所述歷史登錄信息包括在所述實(shí)時(shí)時(shí)間之前，用戶每次登錄教務(wù)系統(tǒng)且通過(guò)了身份驗(yàn)證對(duì)應(yīng)的登錄教務(wù)系統(tǒng)的登錄信息；所述歷史登錄信息包括歷史正常登錄信息和歷史異常登錄信息；所述歷史登錄信息中的所述登錄信息包括登錄的時(shí)間、ip地址、登錄設(shè)備和登錄異常等級(jí)。

8、依據(jù)所述身份信息、所述實(shí)時(shí)登錄信息和所述歷史登錄信息獲取所述用戶的當(dāng)前登錄異常等級(jí)。

9、進(jìn)一步地，所述用戶的當(dāng)前登錄異常等級(jí)的獲取過(guò)程包括：

10、獲取所述實(shí)時(shí)登錄信息中的實(shí)時(shí)ip地址，判斷所述實(shí)時(shí)ip地址是否為異常ip地址，具體過(guò)程包括：

11、將所述實(shí)時(shí)ip地址和教務(wù)系統(tǒng)中存儲(chǔ)的異常ip地址庫(kù)中的ip地址進(jìn)行對(duì)比；當(dāng)所述實(shí)時(shí)ip地址屬于所述異常ip地址庫(kù)時(shí)，判斷所述實(shí)時(shí)ip地址為異常ip地址；否則，判斷所述實(shí)時(shí)ip地址不為異常ip地址；

12、當(dāng)所述ip地址為異常ip地址時(shí)，則不允許所述用戶的此次登錄；

13、否則，獲取所述用戶對(duì)應(yīng)的歷史登錄信息；當(dāng)所述歷史登錄信息的條數(shù)不小于設(shè)定的第一閾值時(shí)，依據(jù)所述用戶的所述歷史登錄信息構(gòu)建歷史登錄信息集合；

14、當(dāng)所述歷史登錄信息的條數(shù)小于設(shè)定的第一閾值時(shí)，獲取所有與所述用戶職位相同用戶的歷史登錄信息，構(gòu)建歷史登錄信息集合；

15、獲取所述實(shí)時(shí)登錄信息和所述歷史登錄信息集合中每條所述歷史登錄信息的登錄信息相似度；依據(jù)所述登錄信息相似度、設(shè)定時(shí)間段內(nèi)請(qǐng)求登錄的次數(shù)和登錄失敗的次數(shù)，獲取實(shí)時(shí)登錄異常值；根據(jù)所述實(shí)時(shí)登錄異常值獲取所述用戶對(duì)應(yīng)的當(dāng)前登錄異常等級(jí)。

16、依據(jù)所述當(dāng)前登錄異常等級(jí)對(duì)所述用戶進(jìn)行身份驗(yàn)證。

17、當(dāng)所述身份驗(yàn)證通過(guò)時(shí)，監(jiān)測(cè)用戶在教務(wù)系統(tǒng)中的操作行為；

18、進(jìn)一步地，監(jiān)測(cè)所述用戶在教務(wù)系統(tǒng)中的操作行為包括點(diǎn)擊路徑異常監(jiān)測(cè)和界面操作異常監(jiān)測(cè)：

19、當(dāng)所述用戶的點(diǎn)擊路徑為異常和/或界面操作為異常時(shí)，將所述用戶的操作行為判斷為異常；所述點(diǎn)擊路徑異常監(jiān)測(cè)的流程為：

20、記錄在通過(guò)身份驗(yàn)證之后，所述用戶按照時(shí)間順序在教務(wù)系統(tǒng)依次點(diǎn)擊的頁(yè)面以及點(diǎn)擊時(shí)間，構(gòu)建教務(wù)系統(tǒng)點(diǎn)擊集合；

21、依據(jù)所述教務(wù)系統(tǒng)點(diǎn)擊集合獲取實(shí)時(shí)點(diǎn)擊路徑；所述實(shí)時(shí)點(diǎn)擊路徑包含多個(gè)路徑節(jié)點(diǎn)，多個(gè)路徑節(jié)點(diǎn)依次相連；第一個(gè)路徑節(jié)點(diǎn)為所述教務(wù)系統(tǒng)點(diǎn)擊集合中第一個(gè)點(diǎn)擊的頁(yè)面；第二個(gè)路徑節(jié)點(diǎn)為所述教務(wù)系統(tǒng)點(diǎn)擊集合中第二個(gè)點(diǎn)擊的頁(yè)面；以此類推，最后一個(gè)路徑節(jié)點(diǎn)為所述教務(wù)系統(tǒng)點(diǎn)擊集合中最后點(diǎn)擊的頁(yè)面；相鄰兩個(gè)路徑節(jié)點(diǎn)的路徑長(zhǎng)度為兩個(gè)路徑節(jié)點(diǎn)對(duì)應(yīng)點(diǎn)擊的頁(yè)面的點(diǎn)擊時(shí)間差；

22、對(duì)所述實(shí)時(shí)點(diǎn)擊路徑進(jìn)行調(diào)整，具體包括：當(dāng)相鄰兩個(gè)路徑節(jié)點(diǎn)的路徑長(zhǎng)度小于設(shè)定的閾值，將相鄰兩個(gè)路徑節(jié)點(diǎn)中的前一個(gè)路徑節(jié)點(diǎn)刪除；

23、所述教務(wù)系統(tǒng)點(diǎn)擊集合為實(shí)時(shí)更新；所述實(shí)時(shí)點(diǎn)擊路徑和所述教務(wù)系統(tǒng)點(diǎn)擊集合同步更新；在所述用戶通過(guò)身份驗(yàn)證之后，每間隔t時(shí)，對(duì)所述用戶的實(shí)時(shí)點(diǎn)擊路徑進(jìn)行識(shí)別，判斷所述用戶的點(diǎn)擊路徑是否為異常，具體步驟包括：

24、獲取所述用戶對(duì)應(yīng)的歷史用戶點(diǎn)擊路徑集合；所述歷史用戶點(diǎn)擊路徑集合包含了多條歷史點(diǎn)擊路徑；計(jì)算每次識(shí)別的所述實(shí)時(shí)點(diǎn)擊路徑和每條所述歷史點(diǎn)擊路徑的相似度，并獲取相似度最大值；所述相似度的取值范圍為[0，1]；

25、當(dāng)?shù)趇次識(shí)別獲取的相似度最大值小于設(shè)定的相似度閾值，且第i次識(shí)別之前的連續(xù)k次識(shí)別獲取的k個(gè)相似度最大值均小于設(shè)定的相似度閾值時(shí)，判斷第i次識(shí)別獲取的所述用戶的操作行為是異常；否則，判斷所述用戶的操作行為是正常。

26、進(jìn)一步地，所述歷史用戶點(diǎn)擊路徑集合包括：

27、記錄所述用戶在實(shí)時(shí)時(shí)間之前，每次登錄教務(wù)系統(tǒng)開(kāi)始到退出登錄之間的點(diǎn)擊路徑，記為歷史點(diǎn)擊路徑；當(dāng)所述歷史點(diǎn)擊路徑的條數(shù)不小于設(shè)定的路徑數(shù)量閾值時(shí)；依據(jù)所述用戶的所述歷史點(diǎn)擊路徑構(gòu)建歷史用戶點(diǎn)擊路徑集合；

28、當(dāng)所述歷史點(diǎn)擊路徑的條數(shù)小于設(shè)定的路徑數(shù)量閾值時(shí)；獲取所有目標(biāo)職位用戶對(duì)應(yīng)的歷史點(diǎn)擊路徑，構(gòu)建歷史用戶點(diǎn)擊路徑集合；

29、所述目標(biāo)職位用戶的職位和所述用戶的職位相同。

30、進(jìn)一步地，所述界面操作異常監(jiān)測(cè)包括：

31、獲取所述用戶在教務(wù)系統(tǒng)中每個(gè)所述界面的界面操作行為；依據(jù)所述用戶的初始權(quán)限判斷所述界面操作行為的類別；所述類別包括超權(quán)限操作和非超權(quán)限操作；當(dāng)所述類別為超權(quán)限操作時(shí)，將所述界面操作行為判定為異常；否則，將所述界面操作行為判定為正常。

32、依據(jù)所述操作行為和所述當(dāng)前登錄異常等級(jí)獲取用戶的當(dāng)前異常行為等級(jí)；

33、進(jìn)一步地，所述當(dāng)前異常行為等級(jí)的獲取步驟包括：

34、依據(jù)所述用戶的操作行為，獲取操作行為異常值；當(dāng)識(shí)別出所述用戶的操作行為是異常，則將操作行為異常值設(shè)為固定值，且；

35、當(dāng)識(shí)別出所述用戶的操作行為是正常，則將此次識(shí)別和此次之前連續(xù)k次識(shí)別獲取的k+1個(gè)相似度最大值的均值作為操作行為異常值；

36、依據(jù)所述操作行為異常值和所述當(dāng)前登錄異常等級(jí)獲取用戶的當(dāng)前異常行為等級(jí)并進(jìn)行預(yù)警。

37、一種基于大數(shù)據(jù)分析的計(jì)算機(jī)網(wǎng)絡(luò)安全預(yù)測(cè)系統(tǒng)，包括：

38、第一信息獲取單元：用于獲取用戶在教務(wù)系統(tǒng)的登錄界面輸入的登錄賬號(hào)；

39、第二信息獲取單元：用于依據(jù)用戶在教務(wù)系統(tǒng)的登錄界面輸入的登錄賬號(hào)，獲取所述用戶對(duì)應(yīng)的身份信息、實(shí)時(shí)登錄信息和歷史登錄信息；

40、當(dāng)前登錄異常等級(jí)獲取單元：用于依據(jù)所述身份信息、所述實(shí)時(shí)登錄信息和所述歷史登錄信息獲取所述用戶的當(dāng)前登錄異常等級(jí)；

41、身份驗(yàn)證單元：用于依據(jù)所述當(dāng)前登錄異常等級(jí)對(duì)所述用戶進(jìn)行身份驗(yàn)證；

42、操作行為監(jiān)測(cè)單元：當(dāng)所述身份驗(yàn)證通過(guò)時(shí)，監(jiān)測(cè)所述用戶的操作行為；

43、當(dāng)前異常行為等級(jí)獲取單元：依據(jù)所述操作行為和所述當(dāng)前登錄異常等級(jí)獲取用戶的當(dāng)前異常行為等級(jí)；

44、預(yù)警單元：用于依據(jù)所述當(dāng)前異常行為等級(jí)進(jìn)行預(yù)警。

45、進(jìn)一步地，所述用戶對(duì)應(yīng)的身份信息、實(shí)時(shí)登錄信息和歷史登錄信息包括：

46、所述身份信息包括用戶姓名、職位和初始權(quán)限；所述實(shí)時(shí)登錄信息包括用戶登錄教務(wù)系統(tǒng)的實(shí)時(shí)時(shí)間、實(shí)時(shí)ip地址、實(shí)時(shí)登錄設(shè)備；所述職位包括教師、學(xué)生和教務(wù)系統(tǒng)管理人員；

47、所述歷史登錄信息包括在所述實(shí)時(shí)時(shí)間之前，用戶每次登錄教務(wù)系統(tǒng)且通過(guò)了身份驗(yàn)證對(duì)應(yīng)的登錄教務(wù)系統(tǒng)的登錄信息；所述歷史登錄信息包括歷史正常登錄信息和歷史異常登錄信息；所述歷史登錄信息中的所述登錄信息包括登錄的時(shí)間、ip地址、登錄設(shè)備和登錄異常等級(jí)。

48、進(jìn)一步地，所述當(dāng)前登錄異常等級(jí)的獲取過(guò)程包括：

49、獲取所述實(shí)時(shí)登錄信息中的實(shí)時(shí)ip地址，判斷所述實(shí)時(shí)ip地址是否為異常ip地址；

50、當(dāng)所述ip地址為異常ip地址時(shí)，則不允許所述用戶的此次登錄；

51、否則，獲取所述用戶對(duì)應(yīng)的歷史登錄信息；當(dāng)所述歷史登錄信息的條數(shù)不小于設(shè)定的第一閾值時(shí)，依據(jù)所述用戶的所述歷史登錄信息構(gòu)建歷史登錄信息集合；

52、當(dāng)所述歷史登錄信息的條數(shù)小于設(shè)定的第一閾值時(shí)，獲取所有與所述用戶職位相同用戶的歷史登錄信息，構(gòu)建歷史登錄信息集合；

53、獲取所述實(shí)時(shí)登錄信息和所述歷史登錄信息集合中每條所述歷史登錄信息的登錄信息相似度，并結(jié)合設(shè)定時(shí)間段內(nèi)請(qǐng)求登錄的次數(shù)和登錄失敗的次數(shù)判斷所述用戶對(duì)應(yīng)的當(dāng)前登錄異常等級(jí)。

54、一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述方法的步驟。

55、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果為：

56、1、本發(fā)明對(duì)于將要登錄教務(wù)系統(tǒng)的用戶進(jìn)行當(dāng)前登錄異常等級(jí)判斷，獲取用戶的實(shí)時(shí)登錄信息，并將所述實(shí)時(shí)登錄信息和歷史登錄信息進(jìn)行比較，包括登錄時(shí)間對(duì)比、ip地址對(duì)比和登錄設(shè)備對(duì)比，并結(jié)合歷史登錄信息對(duì)應(yīng)的歷史登錄異常等級(jí)，獲取當(dāng)前登錄異常等級(jí)。此方法能夠結(jié)合用戶登錄的各項(xiàng)信息，準(zhǔn)確地判斷出用戶登錄教務(wù)系統(tǒng)時(shí)的當(dāng)前登錄異常等級(jí)，提升教務(wù)系統(tǒng)的網(wǎng)絡(luò)安全。

57、2、新生或者新入職的教師和教務(wù)系統(tǒng)管理人員的登錄教務(wù)系統(tǒng)次數(shù)較少，會(huì)導(dǎo)致對(duì)應(yīng)的歷史用戶點(diǎn)擊路徑集合數(shù)據(jù)不足，進(jìn)而影響用戶操作行為的判斷結(jié)果。因此，本發(fā)明對(duì)于數(shù)據(jù)較少的用戶，通過(guò)同職位用戶的歷史用戶點(diǎn)擊路徑構(gòu)建歷史用戶點(diǎn)擊路徑集合，并對(duì)于身份驗(yàn)證成功后用戶的行為進(jìn)行點(diǎn)擊路徑異常監(jiān)測(cè)和界面操作異常監(jiān)測(cè)，通過(guò)用戶點(diǎn)擊的界面和停留的時(shí)間，獲取點(diǎn)擊路徑，并間隔固定時(shí)間將點(diǎn)擊路徑和歷史用戶點(diǎn)擊路徑集合中的歷史點(diǎn)擊路徑進(jìn)行比對(duì)，判斷所述用戶的點(diǎn)擊路徑是否為異常。同時(shí)，監(jiān)測(cè)用戶在每個(gè)界面的界面操作，判斷是否存在界面操作異常。此方法能夠結(jié)合用戶在進(jìn)入教務(wù)系統(tǒng)后的各項(xiàng)行為，進(jìn)而準(zhǔn)確地獲取用戶的操作行為是否為異常，提升教務(wù)系統(tǒng)的網(wǎng)絡(luò)安全。

58、3、本發(fā)明結(jié)合了用戶的操作行為和當(dāng)前登錄異常等級(jí)獲取操作行為異常值，并獲取用戶的當(dāng)前異常行為等級(jí)。此方法根據(jù)用戶的具體行為模式和登錄情況，能夠準(zhǔn)確地衡量不同用戶登錄教務(wù)系統(tǒng)后，其各項(xiàng)行為對(duì)于教務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)，提升教務(wù)系統(tǒng)的網(wǎng)絡(luò)安全。