基于大数据平台的网络安全分析方法、系统及大数据平台

摘要

本公开实施例提供一种基于大数据平台的网络安全分析方法、系统及大数据平台，通过获取每个大数据服务终端在预设时间段内的历史网络数据，并从每个大数据服务终端中获取其在预设时间段内的网络环境配置信息，由此具体考虑到该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及网络环境更新元素的网络协议标签，从而结合每个大数据服务终端的网络环境配置信息对其对应的历史网络数据进行数据分析，从而有效适配不同大数据服务终端的网络环境配置过程的不确定性，提高网络安全分析准确性。

说明书

技术领域

本公开涉及大数据及网络安全技术领域，具体而言，涉及一种基于大数据平台的网络安全分析方法、系统及大数据平台。

背景技术

随着5G和互联网技术的快速发展，大数据平台可以为用户提供集中数据处理和海量数据存储方案，并为用户提供诸多优质的大数据服务，例如信息推荐、画像分析等服务。然而，作为存储有海量大数据的大数据平台而言，其网络安全问题显得至关重要。在传统方案中，通常是单一地对大数据平台的实时网络行为数据或者历史网络行为数据进行分析从而判断数据平台是否存在网络安全异常。然而经本发明人研究发现，由于网络传输过程中往往存在网络环境配置过程的不确定性，也即，针对不同的服务对象而言，其网络环境配置情况可能各有不同，从而可能导致传统方案的网络安全分析准确性较低。

发明内容

为了至少克服现有技术中的上述不足，本公开的目的在于提供一种基于大数据平台的网络安全分析方法、系统及大数据平台，通过结合每个大数据服务终端的网络环境配置信息对其对应的历史网络数据进行数据分析，从而有效适配不同大数据服务终端的网络环境配置过程的不确定性，提高网络安全分析准确性。

第一方面，本公开提供一种基于大数据平台的网络安全分析方法，应用于大数据平台服务器，所述大数据平台服务器与多个大数据服务终端通信连接， 所述方法包括：

获取每个大数据服务终端在预设时间段内的历史网络数据，并从每个大数据服务终端中获取其在所述预设时间段内的网络环境配置信息，所述网络环境配置信息包括该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及所述网络环境更新元素的网络协议标签；

根据所述网络环境配置信息对所述历史网络数据进行数据分析，得到每个大数据服务终端的网络安全分析结果。

在第一方面的一种可能的实现方式中，所述根据所述网络环境配置信息对所述历史网络数据进行数据分析，得到每个大数据服务终端的网络安全分析结果的步骤，包括：

根据所述网络环境更新元素与原始网络环境元素之间的元素差异信息，确定所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域；

根据所述每个网络环境更新元素的网络协议标签，对所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到每个大数据服务终端的网络安全分析结果。

在第一方面的一种可能的实现方式中，所述根据所述网络环境更新元素与原始网络环境元素之间的元素差异信息，确定所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域的步骤，包括：

分别检测所述网络环境更新元素在网络环境中的第一环境元素访问目标和对应的原始网络环境元素在所述网络环境中的第二环境元素访问目标，所述第一环境元素访问目标和所述第二环境元素访问目标分别用于表示所述网络环境更新元素和对应的原始网络环境元素被配置时的源路径所对应的访问目标；

根据每个所述第一环境元素访问目标和对应的所述第二环境元素访问目标确定所述网络环境更新元素与原始网络环境元素之间的元素差异信息，所述元素差异信息包括至少一个元素差异节点，每个元素差异节点用于表示所述网络环境更新元素与原始网络环境元素之间存在被更新情况的配置表项；

从所述元素差异信息中获取每个元素差异节点所对应的网络配置更新组件，并根据所述网络配置更新组件确定所述历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书；

根据所述历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书确定所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

在第一方面的一种可能的实现方式中，所述根据所述网络配置更新组件确定所述历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书的步骤，包括：

从所述网络配置更新组件中获取各个配置更新行为，其中，每个配置更新行为用于表示每次发起配置更新访问时的网络行为；

提取各个配置更新行为的行为溯源结果并构建对应的行为溯源矩阵，针对所述历史网络数据中的每个数据访问区域，根据所述行为溯源矩阵对所述数据访问区域的访问产生记录进行处理，得到所述行为溯源矩阵的多个不同溯源对象的匹配结果作为所述访问产生记录的待定数据访问异常项，以得到每个数据访问区域的待定数据访问异常项；

基于所述每个数据访问区域的待定数据访问异常项，匹配出所述待定数据访问异常项的每个异常项为网络攻击异常项的置信度、以及每个异常项为网络攻击异常项时该异常项相对于其所在的溯源对象的数据访问区域的访问态势；

确定置信度高于预设置信度阈值的异常项为网络攻击异常项，并基于确定出的各网络攻击异常项的访问态势相对于其所在的溯源对象的数据访问区域的访问态势的态势趋势，确定由所述网络攻击异常项确定出的溯源对象的数据访问区域的访问态势；

去掉各网络攻击异常项确定出的溯源对象的数据访问区域的访问态势中被超过两次确定的溯源对象的数据访问区域的访问态势，得到各待定溯源对象的数据访问区域的访问态势；

根据各待定溯源对象的数据访问区域的访问态势确定所述历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书。

在第一方面的一种可能的实现方式中，所述根据各待定溯源对象的数据访问区域的访问态势确定所述历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书的步骤，包括：

将所述访问产生记录的待定数据访问异常项输入到溯源对象决策模型，基于各待定溯源对象的数据访问区域的访问态势对所述溯源对象决策模型输出的决策异常特征进行处理，生成用于表征所述待定溯源对象的决策异常特征趋势的态势特征向量；

基于所述待定溯源对象的数据访问区域的访问态势，在所述访问产生记录中确定各待定溯源对象的组合待定溯源对象，并计算所述待定溯源对象的态势特征向量与对应的各组合待定溯源对象的态势特征向量之间的汉明距离，作为所述待定溯源对象与对应的各组合待定溯源对象之间的关联值；

将与所述待定溯源对象之间的关联值小于预设关联值阈值的组合待定溯源对象作为与所述待定溯源对象相关的组合待定溯源对象，将各待定溯源对象与相关的组合待定溯源对象组合并为溯源对象关联组合；

基于所述溯源对象关联组合中各待定溯源对象的数据访问区域的访问态势确定所述溯源对象关联组合中所有溯源对象所对应的异常项作为每个数据访问区域的数据访问异常项；

从确定的每个数据访问区域的数据访问异常项的访问信息中获取每个数据访问区域的数据访问验证证书。

在第一方面的一种可能的实现方式中，所述基于各待定溯源对象的数据访问区域的访问态势对所述溯源对象决策模型输出的决策异常特征进行处理，生成用于表征所述待定溯源对象的决策异常特征趋势的态势特征向量的步骤，包括：

基于各待定溯源对象的数据访问区域的访问态势从所述溯源对象决策模型输出的决策异常特征中提取对应的异常攻击行为，得到异常攻击行为单元，并基于所述异常攻击行为单元包括的异常攻击行为的攻击行为来源，确定每个攻击行为来源映射空间，其中，所述每个攻击行为来源映射空间涵盖的范围包含每个异常攻击行为单元中的每个异常攻击行为的攻击行为来源；

对于所述每个攻击行为来源映射空间，将包括的异常攻击行为的攻击行为来源处于该攻击行为来源映射空间的异常攻击行为单元合并为异常攻击行为单元集合，对于每个异常攻击行为单元集合中的每个异常攻击行为单元，确定该异常攻击行为单元包括的异常攻击行为的关联异常攻击行为，其中，所述关联异常攻击行为为各个异常攻击行为中的相同类型的异常攻击行为关联后构成的异常攻击行为；

确定每两个关联异常攻击行为之间的攻击联合区域，并将所确定出的关联异常攻击行为之间的攻击联合区域确定为对应的异常攻击行为单元之间的关键行为区域；

将各异常攻击行为单元之间的关键行为区域所对应的攻击向量构成的向量集合作为用于表征所述待定溯源对象的决策异常特征趋势的态势特征向量。

在第一方面的一种可能的实现方式中，所述根据所述历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书确定所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域的步骤，包括：

根据所述历史网络数据中每个数据访问区域的数据访问异常项确定所述历史网络数据对应于每个网络环境更新元素的网络数据区域；

根据所述历史网络数据中每个数据访问区域的数据访问验证证书所对应的验证目标区域，分别从所述历史网络数据对应于每个网络环境更新元素的网络数据区域中确定所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

在第一方面的一种可能的实现方式中，所述根据所述每个网络环境更新元素的网络协议标签，对所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到每个大数据服务终端的网络安全分析结果的步骤，包括：

根据所述每个网络环境更新元素的网络协议标签，获取每个网络环境更新元素的协议调用节点序列以及各协议特征项，所述协议调用节点序列用于记录每个网络环境更新元素的协议调用节点，所述协议特征项用于表征每个网络环境更新元素在不同协议调用节点下的匹配特征项；

根据所述协议调用节点序列对所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到每个网络环境更新元素对应的频繁调用数据区域下的目标协议特征项，其中，所述频繁调用数据区域包括被设定数量范围的协议调用节点调用的区域；

根据每个网络环境更新元素对应的所述频繁调用数据区域下的目标协议特征项得到每个大数据服务终端的网络安全分析结果。

在第一方面的一种可能的实现方式中，所述根据所述协议调用节点序列对所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到每个网络环境更新元素对应的频繁调用数据区域下的目标协议特征的步骤，包括：

根据所述协议调用节点序列对所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，在确定出所述每个网络环境更新元素的目标网络数据区域中包含有频繁调用数据区域的情况下，根据每个网络环境更新元素在对应的所述频繁调用数据区域下的协议特征项及其特征项比例，确定每个网络环境更新元素在对应的非频繁调用数据区域下的各协议特征项与在该网络环境更新元素对应的频繁调用数据区域下的各协议特征项之间的特征项关联关系，并将每个网络环境更新元素在对应的非频繁调用数据区域下的与在该网络环境更新元素对应的频繁调用数据区域下的协议特征项存在特征项强关联关系的协议特征项转移到该网络环境更新元素对应的频繁调用数据区域下，其中，所述特征项强关联关系用于表示特征项之间的互相调用比例大于设定比例阈值所对应的关联关系。

在第一方面的一种可能的实现方式中，所述根据每个网络环境更新元素对应的所述频繁调用数据区域下的目标协议特征项得到每个大数据服务终端的网络安全分析结果的步骤，包括：

针对每个网络环境更新元素，根据该网络环境更新元素对应的频繁调用数据区域下的各个协议特征项的调用次数建立对应的调用热力图，所述调用热力图为分热力单元图，每个热力单元对应一个热力单元权重，每个热力单元权重具有至少一个调用次数分布；

确定该网络环境更新元素对应的每个协议特征项的特定权限访问进程，并确定出每个协议特征项的特定权限访问进程所对应的特定权限业务标识；

将每个特定权限业务标识映射至所述调用热力图中并确定每个特定权限业务标识所处的热力单元，根据每个特定权限业务标识所处的热力单元的热力单元权重确定该热力单元对应的协议特征项与该特定权限业务标识之间的攻击置信度，基于所述攻击置信度确定该特定权限业务标识对应的协议特征项的网络安全匹配参数；

根据确定出的所有网络安全匹配参数得到每个大数据服务终端的网络安全分析结果。

在第一方面的一种可能的实现方式中，所述根据确定出的所有网络安全匹配参数得到每个大数据服务终端的网络安全分析结果的步骤，包括：

对确定出的所有网络安全匹配参数进行正则表达式匹配，确定所述所有网络安全匹配参数中存在预设正则表达格式的网络安全匹配参数的比例，所述预设正则表达格式用于表征网络安全匹配参数存在异常安全参数；

判断所述所有网络安全匹配参数中存在预设正则表达格式的网络安全匹配参数的比例是否达到设定比例阈值，所述设定比例阈值根据每个大数据服务终端的历史异常状态次数确定；

在所述所有网络安全匹配参数中存在预设正则表达格式的网络安全匹配参数的比例是否达到设定比例阈值达到所述设定比例阈值时，确定对应的大数据服务终端存在网络安全异常，否则确定该大数据服务终端不存在网络安全异常；以及

在确定该大数据服务终端存在网络安全异常时，从该大数据服务终端所对应的存在预设正则表达格式的网络安全匹配参数中提取对应的目标网络安全异常参数，并提取所述目标网络安全异常参数的异常定位项目后从所述异常定位项目中定位出每个异常通道对应的第一异常表项；

判断所述异常定位项目中的每个异常通道对应的第一异常表项相对于所述异常定位项目中的第二异常表项是否存在关联的表项节点，所述第二异常表项是所述异常定位项目中除所述第一异常表项以外的表项；

如果所述异常定位项目中的每个异常通道对应的第一异常表项相对于所述异常定位项目中的第二异常表项存在关联的表项节点，将从所述异常定位项目中定位出的每个异常通道对应的第一异常表项确定为所述异常定位项目的有效异常表项，否则，将从所述异常定位项目中定位出的每个异常通道对应的第一异常表项与所述异常定位项目中的第二异常表项进行融合后得到所述异常定位项目的有效异常表项；

针对每个异常通道，提取该异常通道处于所述服务器的网络协议层中的第一运行记录，并将所述异常定位项目的有效异常表项中的部分表项与所述第一运行记录进行融合得到第二运行记录；

在所述网络协议层对应的协议进程中分别模拟所述第一运行记录和所述第二运行记录，得到对应的第一运行结果和第二运行结果，并判断所述第一运行结果和所述第二运行结果的相似度是否达到预设相似度阈值，在所述第一运行结果和所述第二运行结果的相似度达到所述预设相似度阈值时启动该异常通道以运行模拟第二运行记录，得到所述第二运行记录对应的第三运行结果，提取所述第三运行结果中的异常类别标签并根据所述异常类别标签得到该异常通道对应的异常修复策略，在所述第一运行结果和所述第二运行结果的相似度没有达到所述预设阈值时，返回将所述异常定位项目的有效异常表项中的部分表项与所述第一运行记录进行融合得到第二运行记录的操作。

第二方面，本公开实施例还提供一种基于大数据平台的网络安全分析装置，应用于大数据平台服务器，所述大数据平台服务器与多个大数据服务终端通信连接，所述装置包括：

获取模块，用于获取每个大数据服务终端在预设时间段内的历史网络数据，并从每个大数据服务终端中获取其在所述预设时间段内的网络环境配置信息，所述网络环境配置信息包括该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及所述网络环境更新元素的网络协议标签；

数据分析模块，用于根据所述网络环境配置信息对所述历史网络数据进行数据分析，得到每个大数据服务终端的网络安全分析结果。

第三方面，本公开实施例还提供一种基于大数据平台的网络安全分析系统，所述基于大数据平台的网络安全分析系统包括大数据平台服务器以及与所述大数据平台服务器通信连接的多个大数据服务终端；

所述大数据服务终端，用于向所述大数据平台服务器发送其在预设时间段内的历史网络数据；

所述大数据平台服务器，用于获取每个大数据服务终端在预设时间段内的历史网络数据，并从每个大数据服务终端中获取其在所述预设时间段内的网络环境配置信息，所述网络环境配置信息包括该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及所述网络环境更新元素的网络协议标签；

所述大数据平台服务器，用于根据所述网络环境配置信息对所述历史网络数据进行数据分析，得到每个大数据服务终端的网络安全分析结果。

第四方面，本公开实施例还提供一种大数据平台服务器，所述大数据平台服务器包括处理器、机器可读存储介质和网络接口，所述机器可读存储介质、所述网络接口以及所述处理器之间通过总线系统相连，所述网络接口用于与至少一个大数据服务终端通信连接，所述机器可读存储介质用于存储程序、指令或代码，所述处理器用于执行所述机器可读存储介质中的程序、指令或代码，以执行第一方面或者第一方面中任意一个可能的实现方式中的基于大数据平台的网络安全分析方法。

第五方面，本公开实施例提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其被执行时，实现上述第一方面或者第一方面中任意一个可能的实现方式中的基于大数据平台的网络安全分析方法。

基于上述任意一个方面，本公开通过获取每个大数据服务终端在预设时间段内的历史网络数据，并从每个大数据服务终端中获取其在预设时间段内的网络环境配置信息，由此具体考虑到该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及网络环境更新元素的网络协议标签，从而结合每个大数据服务终端的网络环境配置信息对其对应的历史网络数据进行数据分析，从而有效适配不同大数据服务终端的网络环境配置过程的不确定性，提高网络安全分析准确性。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本公开实施例提供的基于大数据平台的网络安全分析系统的应用场景示意图；

图2为本公开实施例提供的基于大数据平台的网络安全分析方法的流程示意图；

图3为本公开实施例提供的基于大数据平台的网络安全分析装置的功能模块示意图；

图4为本公开实施例提供的用于实现上述的基于大数据平台的网络安全分析方法的大数据平台服务器的结构示意框图。

具体实施方式

下面结合说明书附图对本公开进行具体说明，以下方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。

图1是本公开实施例提供的基于大数据平台的网络安全分析系统10的交互示意图。基于大数据平台的网络安全分析系统10可以包括大数据平台服务器100以及与所述大数据平台服务器100通信连接的大数据服务终端200。图1所示的基于大数据平台的网络安全分析系统10仅为一种可行的示例，在其它可行的实施例中，该基于大数据平台的网络安全分析系统10也可以仅包括图1所示组成部分的其中一部分或者还可以包括其它的组成部分。

本实施例中，大数据服务终端200可以包括移动设备、平板计算机、膝上型计算机等或其任意组合。在一些实施例中，移动设备可以包括智能家居设备、可穿戴设备、智能移动设备、虚拟现实设备、或增强现实设备等，或其任意组合。在一些实施例中，智能家居设备可以包括智能电器设备的控制设备、智能监控设备、智能电视、智能摄像机等，或其任意组合。在一些实施例中，可穿戴设备可包括智能手环、智能鞋带、智能玻璃、智能头盔、智能手表、智能服装、智能背包、智能配件等，或其任何组合。在一些实施例中，智能移动设备可以包括智能手机、个人数字助理、游戏设备等，或其任意组合。在一些实施例中，虚拟现实设备和/或增强现实设备可以包括虚拟现实头盔、虚拟现实玻璃、虚拟现实贴片、增强现实头盔、增强现实玻璃、或增强现实贴片等，或其任意组合。例如，虚拟现实设备和/或增强现实设备可以包括各种虚拟现实产品等。

本实施例中，基于大数据平台的网络安全分析系统10中的大数据平台服务器100和大数据服务终端200可以通过配合执行以下方法实施例所描述的物联网移动基站的网络安全防护方法，具体大数据平台服务器100和大数据服务终端200的执行步骤部分可以参照以下方法实施例的详细描述。

值得说明的是，大数据平台服务器100可以是单一的服务器，也可以是服务器集群，具体可以根据实际的计算需求进行灵活设计。大数据平台服务器100可以为每个大数据服务终端200提供大数据服务，例如图像大数据服务、订单大数据服务（例如应用于区块链网络中的订单大数据服务）等，在此不作具体限定。

为了解决前述背景技术中的技术问题，图2为本公开实施例提供的基于大数据平台的网络安全分析方法的流程示意图，本实施例提供的基于大数据平台的网络安全分析方法可以由图1中所示的大数据平台服务器100执行，下面对该基于大数据平台的网络安全分析方法进行详细介绍。

步骤S110，获取每个大数据服务终端200在预设时间段内的历史网络数据，并从每个大数据服务终端200中获取其在预设时间段内的网络环境配置信息。

步骤S120，根据网络环境配置信息对历史网络数据进行数据分析，得到每个大数据服务终端200的网络安全分析结果。

本实施例中，预设时间段可以由大数据平台的运营人员进行灵活配置，例如，可以设置每隔7天为一个预设时间段。在此基础上，网络环境配置信息可以包括该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及网络环境更新元素的网络协议标签。

其中，网络环境元素是指网络环境中构成的一系列影响网络数据传输的元素，例如网络静态属性元素、网络动态属性元素、网络接口属性元素等等，在此不作具体限定。由此可知，原始网络环境元素可以是指最初网络环境中的网络环境元素，而网络环境更新元素可以是指后续增加或者更改的网络环境元素。

此外，网络协议标签可以用于表示该网络环境更新元素对应的网络协议类型，例如TCP(Transmission Control Protocol，传输控制协议) 类型等，在此不作具体限定。

本实施例中，历史网络数据可以记录有多个不同的网络数据区域，不同的网络数据区域可以用于记录不同统计节点或者统计项目的网络数据信息。

基于上述步骤，本实施例通过结合每个大数据服务终端200的网络环境配置信息对其对应的历史网络数据进行数据分析，从而可以有效适配不同大数据服务终端200的网络环境配置过程的不确定性，提高网络安全分析准确性。

在一种可能的实现方式中，针对步骤S120，进一步可以通过如下子步骤实现，详细描述如下。

子步骤S121，根据网络环境更新元素与原始网络环境元素之间的元素差异信息，确定历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

子步骤S122，根据每个网络环境更新元素的网络协议标签，对历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到每个大数据服务终端200的网络安全分析结果。

其中，示例性地，针对步骤S121，以下将给出一种可能的实施例对其具体的实施方案进行非限制性阐述，除此之外，本领域技术人员也可以设计其它可能的实施例来具体确定历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

子步骤S1211，分别检测网络环境更新元素在网络环境中的第一环境元素访问目标和对应的原始网络环境元素在网络环境中的第二环境元素访问目标。

值得说明的是，第一环境元素访问目标和第二环境元素访问目标可分别用于表示网络环境更新元素和对应的原始网络环境元素被配置时的源路径所对应的访问目标。例如，访问目标可以是一些协议配置表项、防护等级配置表项等信息。

子步骤S1212，根据每个第一环境元素访问目标和对应的第二环境元素访问目标确定网络环境更新元素与原始网络环境元素之间的元素差异信息。

值得说明的是，元素差异信息可以包括至少一个元素差异节点，每个元素差异节点用于表示网络环境更新元素与原始网络环境元素之间存在被更新情况的配置表项。

例如，如果元素差异信息包括元素差异节点A、元素差异节点B以及元素差异节点C，那么元素差异节点A、元素差异节点B以及元素差异节点C用于表示网络环境更新元素与原始网络环境元素之间存在被更新情况的配置表项A、配置表项B以及配置表项C。

子步骤S1213，从元素差异信息中获取每个元素差异节点所对应的网络配置更新组件，并根据网络配置更新组件确定历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书。

子步骤S1214，根据历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书确定历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

在一种可能的实现方式中，在该子步骤S1213中，可以基于以下具体实施方式来实现。

（1）从网络配置更新组件中获取各个配置更新行为。

本实施例中，每个配置更新行为可以用于表示每次发起配置更新访问时的网络行为，例如网络修改行为、网络删除行为等。

（2）提取各个配置更新行为的行为溯源结果并构建对应的行为溯源矩阵，针对历史网络数据中的每个数据访问区域，根据行为溯源矩阵对数据访问区域的访问产生记录进行处理，得到行为溯源矩阵的多个不同溯源对象的匹配结果作为访问产生记录的待定数据访问异常项，以得到每个数据访问区域的待定数据访问异常项。

（3）基于每个数据访问区域的待定数据访问异常项，匹配出待定数据访问异常项的每个异常项为网络攻击异常项的置信度、以及每个异常项为网络攻击异常项时该异常项相对于其所在的溯源对象的数据访问区域的访问态势。

（4）确定置信度高于预设置信度阈值的异常项为网络攻击异常项，并基于确定出的各网络攻击异常项的访问态势相对于其所在的溯源对象的数据访问区域的访问态势的态势趋势，确定由网络攻击异常项确定出的溯源对象的数据访问区域的访问态势。

（5）去掉各网络攻击异常项确定出的溯源对象的数据访问区域的访问态势中被超过两次确定的溯源对象的数据访问区域的访问态势，得到各待定溯源对象的数据访问区域的访问态势。

（6）根据各待定溯源对象的数据访问区域的访问态势确定历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书。

例如，可以将访问产生记录的待定数据访问异常项输入到溯源对象决策模型，然后基于各待定溯源对象的数据访问区域的访问态势对溯源对象决策模型输出的决策异常特征进行处理，生成用于表征待定溯源对象的决策异常特征趋势的态势特征向量。

在以上过程中，作为一种可能的非限制性示例，本实施例可以基于各待定溯源对象的数据访问区域的访问态势从溯源对象决策模型输出的决策异常特征中提取对应的异常攻击行为，得到异常攻击行为单元，并基于异常攻击行为单元包括的异常攻击行为的攻击行为来源，确定每个攻击行为来源映射空间。

其中，每个攻击行为来源映射空间涵盖的范围可以包含每个异常攻击行为单元中的每个异常攻击行为的攻击行为来源。

接下来，对于每个攻击行为来源映射空间，将包括的异常攻击行为的攻击行为来源处于该攻击行为来源映射空间的异常攻击行为单元合并为异常攻击行为单元集合，对于每个异常攻击行为单元集合中的每个异常攻击行为单元，确定该异常攻击行为单元包括的异常攻击行为的关联异常攻击行为，其中，关联异常攻击行为为各个异常攻击行为中的相同类型的异常攻击行为关联后构成的异常攻击行为。

然后，确定每两个关联异常攻击行为之间的攻击联合区域，并将所确定出的关联异常攻击行为之间的攻击联合区域确定为对应的异常攻击行为单元之间的关键行为区域，并将各异常攻击行为单元之间的关键行为区域所对应的攻击向量构成的向量集合作为用于表征待定溯源对象的决策异常特征趋势的态势特征向量。

进一步地，可以基于待定溯源对象的数据访问区域的访问态势，在访问产生记录中确定各待定溯源对象的组合待定溯源对象，并计算待定溯源对象的态势特征向量与对应的各组合待定溯源对象的态势特征向量之间的汉明距离，作为待定溯源对象与对应的各组合待定溯源对象之间的关联值，并且将与待定溯源对象之间的关联值小于预设关联值阈值的组合待定溯源对象作为与待定溯源对象相关的组合待定溯源对象，将各待定溯源对象与相关的组合待定溯源对象组合并为溯源对象关联组合。由此，可以基于溯源对象关联组合中各待定溯源对象的数据访问区域的访问态势确定溯源对象关联组合中所有溯源对象所对应的异常项作为每个数据访问区域的数据访问异常项，并从确定的每个数据访问区域的数据访问异常项的访问信息中获取每个数据访问区域的数据访问验证证书。

在一种可能的实现方式中，在该子步骤S1214中，可以基于以下具体实施方式来实现。

（1）根据历史网络数据中每个数据访问区域的数据访问异常项确定历史网络数据对应于每个网络环境更新元素的网络数据区域。

本实施例中，通过确定历史网络数据中每个数据访问区域的数据访问异常项，即可确定历史网络数据对应于每个网络环境更新元素的数据访问异常项，由此可以直接定位到历史网络数据对应于每个网络环境更新元素的数据访问异常项的网络数据区域中。

（2）根据历史网络数据中每个数据访问区域的数据访问验证证书所对应的验证目标区域，分别从历史网络数据对应于每个网络环境更新元素的网络数据区域中确定历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

本实施例中，可以基于数据访问验证证书确定相对应的验证目标区域，也即，针对不同的数据访问验证证书，可以定位到不同的验证目标区域中，由此可以从上述（1）中所确定的网络数据区域进一步确定历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

在一种可能的实现方式中，针对子步骤S122，以下将进一步给出一种可能的实施例对其具体的实施方案进行非限制性阐述。

子步骤S1221，根据每个网络环境更新元素的网络协议标签，获取每个网络环境更新元素的协议调用节点序列以及各协议特征项。

本实施例中，协议调用节点序列可以用于记录每个网络环境更新元素的协议调用节点，协议特征项用于表征每个网络环境更新元素在不同协议调用节点下的匹配特征项。其中，协议调用节点可以是指每次调用网络协议时的业务程序组件，具体可以根据实时的业务需求进行确定。

子步骤S1222，根据协议调用节点序列对历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到每个网络环境更新元素对应的频繁调用数据区域下的目标协议特征项。

本实施例中，频繁调用数据区域可以包括被设定数量范围的协议调用节点调用的区域。

子步骤S1223，根据每个网络环境更新元素对应的频繁调用数据区域下的目标协议特征项得到每个大数据服务终端200的网络安全分析结果。

示例性地，在子步骤S1222中，本实施例具体可以根据协议调用节点序列对历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，在确定出每个网络环境更新元素的目标网络数据区域中包含有频繁调用数据区域的情况下，根据每个网络环境更新元素在对应的频繁调用数据区域下的协议特征项及其特征项比例，确定每个网络环境更新元素在对应的非频繁调用数据区域下的各协议特征项与在该网络环境更新元素对应的频繁调用数据区域下的各协议特征项之间的特征项关联关系，并将每个网络环境更新元素在对应的非频繁调用数据区域下的与在该网络环境更新元素对应的频繁调用数据区域下的协议特征项存在特征项强关联关系的协议特征项转移到该网络环境更新元素对应的频繁调用数据区域下。

其中，特征项强关联关系可以用于表示特征项之间的互相调用比例大于设定比例阈值所对应的关联关系。

示例性地，在子步骤S1223中，可以基于以下具体实施方式来实现。

（1）针对每个网络环境更新元素，根据该网络环境更新元素对应的频繁调用数据区域下的各个协议特征项的调用次数建立对应的调用热力图。

本实施例中，上述的调用热力图为可以理解分热力单元图，每个热力单元对应一个热力单元权重，每个热力单元权重具有至少一个调用次数分布。例如，上述的调用热力图可包括热力单元A、热力单元B、热力单元C以及热力单元D，那么热力单元A、热力单元B、热力单元C以及热力单元D各自对应的热力单元权重不同，也即热力单元A、热力单元B、热力单元C以及热力单元D各自对应的调用次数分布不同。

（2）确定该网络环境更新元素对应的每个协议特征项的特定权限访问进程，并确定出每个协议特征项的特定权限访问进程所对应的特定权限业务标识。

本实施例中，特定权限访问进程可以理解为在访问相关的权限时存在一定网络安全问题的权限访问进程，具体可以预先进行配置，例如可以配置协议特征项与特定权限访问进程的映射关系。

（3）将每个特定权限业务标识映射至调用热力图中并确定每个特定权限业务标识所处的热力单元，根据每个特定权限业务标识所处的热力单元的热力单元权重确定该热力单元对应的协议特征项与该特定权限业务标识之间的攻击置信度，基于攻击置信度确定该特定权限业务标识对应的协议特征项的网络安全匹配参数。

（4）根据确定出的所有网络安全匹配参数得到每个大数据服务终端200的网络安全分析结果。

在一种可能的示例中，在本子步骤S1223的（4）部分描述中，可以对确定出的所有网络安全匹配参数进行正则表达式匹配，确定所有网络安全匹配参数中存在预设正则表达格式的网络安全匹配参数的比例。

本实施例中，预设正则表达格式可以用于表征网络安全匹配参数存在异常安全参数。其中，正则表达式是对字符串（包括普通字符（例如，a 到 z 之间的字母）和特殊字符（称为“元字符”））操作的一种逻辑公式，可以通过使用事先定义好的一些特定字符、及这些特定字符的组合，组成一个“规则字符串”，这个“规则字符串”用来表达对字符串的一种过滤逻辑。

在此基础上，可以判断所有网络安全匹配参数中存在预设正则表达格式的网络安全匹配参数的比例是否达到设定比例阈值，设定比例阈值根据每个大数据服务终端200的历史异常状态次数确定，例如，可以设置设定比例阈值与大数据服务终端200的历史异常状态次数之间的预设映射关系，如历史异常状态次数越多，那么设定比例阈值越小。

接下来，在所有网络安全匹配参数中存在预设正则表达格式的网络安全匹配参数的比例是否达到设定比例阈值达到设定比例阈值时，确定对应的大数据服务终端200存在网络安全异常，否则确定该大数据服务终端200不存在网络安全异常。

值得说明的是，在确定该大数据服务终端200存在网络安全异常时，本实施例还可以进一步从该大数据服务终端200所对应的存在预设正则表达格式的网络安全匹配参数中提取对应的目标网络安全异常参数，并提取目标网络安全异常参数的异常定位项目后从异常定位项目中定位出每个异常通道对应的第一异常表项，由此判断异常定位项目中的每个异常通道对应的第一异常表项相对于异常定位项目中的第二异常表项是否存在关联的表项节点，第二异常表项是异常定位项目中除第一异常表项以外的表项。

如果异常定位项目中的每个异常通道对应的第一异常表项相对于异常定位项目中的第二异常表项存在关联的表项节点，将从异常定位项目中定位出的每个异常通道对应的第一异常表项确定为异常定位项目的有效异常表项，否则，将从异常定位项目中定位出的每个异常通道对应的第一异常表项与异常定位项目中的第二异常表项进行融合后得到异常定位项目的有效异常表项。

接着，针对每个异常通道，提取该异常通道处于服务器的网络协议层中的第一运行记录，并将异常定位项目的有效异常表项中的部分表项与第一运行记录进行融合得到第二运行记录，然后在网络协议层对应的协议进程中分别模拟第一运行记录和第二运行记录，得到对应的第一运行结果和第二运行结果，并判断第一运行结果和第二运行结果的相似度是否达到预设相似度阈值，在第一运行结果和第二运行结果的相似度达到预设相似度阈值时启动该异常通道以运行模拟第二运行记录，得到第二运行记录对应的第三运行结果，提取第三运行结果中的异常类别标签并根据异常类别标签得到该异常通道对应的异常修复策略，在第一运行结果和第二运行结果的相似度没有达到预设阈值时，返回将异常定位项目的有效异常表项中的部分表项与第一运行记录进行融合得到第二运行记录的操作。

在同一发明构思下，图3为本公开实施例提供的基于大数据平台的网络安全分析装置300的功能模块示意图，本实施例可以根据上述大数据平台服务器100执行的方法实施例对该基于大数据平台的网络安全分析装置300进行功能模块的划分，也即该基于大数据平台的网络安全分析装置300所对应的以下各个功能模块可以用于执行上述大数据平台服务器100执行的各个方法实施例。其中，该基于大数据平台的网络安全分析装置300可以包括获取模块310和数据分析模块320，下面分别对该基于大数据平台的网络安全分析装置300的各个功能模块的功能进行详细阐述。

获取模块310，用于获取每个大数据服务终端200在预设时间段内的历史网络数据，并从每个大数据服务终端200中获取其在预设时间段内的网络环境配置信息，网络环境配置信息包括该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及网络环境更新元素的网络协议标签。其中，获取模块310可以用于执行上述的步骤S110，关于获取模块310的详细实现方式可以参照上述针对步骤S110的详细描述即可。

数据分析模块320，用于根据网络环境配置信息对历史网络数据进行数据分析，得到每个大数据服务终端200的网络安全分析结果。其中，数据分析模块320可以用于执行上述的步骤S120，关于数据分析模块320的详细实现方式可以参照上述针对步骤S120的详细描述即可。

在同一发明构思下，进一步地，图4为本公开实施例提供的用于执行上述基于大数据平台的网络安全分析方法的大数据平台服务器100的结构示意图。如图4所示，该大数据平台服务器100可包括网络接口110、机器可读存储介质120、处理器130以及总线140。处理器130可以是一个或多个，图4中以一个处理器130为例。网络接口110、机器可读存储介质120以及处理器130可以通过总线140或其它方式连接，图4中以通过总线140连接为例。

机器可读存储介质120作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本公开实施例中的基于大数据平台的网络安全分析方法对应的程序指令/模块（例如图3中所示的基于大数据平台的网络安全分析装置300的获取模块310和数据分析模块320）。处理器130通过检测存储在机器可读存储介质120中的软件程序、指令以及模块，从而执行终端设备的各种功能应用以及数据处理，即实现上述的基于大数据平台的网络安全分析方法，在此不再赘述。

机器可读存储介质120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序。存储数据区可存储根据终端的使用所创建的数据等。此外，机器可读存储介质120可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-OnlyMemory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合发布节点的存储器。在一些实例中，机器可读存储介质120可进一步包括相对于处理器130远程设置的存储器，这些远程存储器可以通过网络连接至大数据平台服务器100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器130可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器130中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器130可以是通用处理器、数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。

大数据平台服务器100可以通过网络接口110和其它设备（例如大数据服务终端200）进行信息交互。网络接口110可以是电路、总线、收发器或者其它任意可以用于进行信息交互的装置。处理器130可以利用网络接口110收发信息。

最后应说明的是：本领域内的技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、光学存储器等）上实施的计算机程序产品的形式。

对于上述装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未申请的本技术领域中的公知常识或惯用技术手段。

显然，本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的范围。这样，倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内，则本公开也意图包含这些改动和变型在内。