一种信息安全风险预警方法及系统与流程

1.本技术涉及基于特定计算机模型的风险预测技术领域，尤其涉及一种信息安全风险预警方法及系统。


背景技术：

2.随着信息技术的发展，为人们的生活提供了较大的便利，另一方面，由信息安全带来的风险也有可能带来一定的损失。在现实生活中，信息管理方会采取一系列手段用于规避风险，例如建立信息防火墙等。于此同时，不法分子攻击信息系统的手段也不断更新换代，试图绕过信息防火墙，例如，不法分子会对其生成的攻击数据进行伪装，以实现攻击目的。
3.可见，如何有效地识别这些经过伪装的数据，并进行风险预警，成为亟待解决的问题。


技术实现要素：

4.本技术实施例提供了一种信息安全风险预警方法及系统，以至少部分的解决上述技术问题。
5.本技术实施例采用下述技术方案：第一方面，本技术实施例提供一种信息安全风险预警方法，所述方法应用于信息安全风险预警系统，所述方法包括：将指定时间段内从预设的数据源获取的数据，作为待分析数据；其中，所述数据源包含参照数据源和待定数据源；所述参照数据源是安全等级高于所述待定数据源的数据源；所述数据包含若干个字段，不同的所述字段用于从不同的维度对信息进行表征；从所述待定数据源处获取的所述待分析数据中，确定出第一数据；其中，所述第一数据是：与包含所述指定时间段在内的历史上从所述参照数据源处获取的所述待分析数据相比较，仅在某一个所述维度存在差异的所述待分析数据；且针对某一所述维度，存在所述差异的从所述待定数据源处获取的所述待分析数据的量大于预设的第一数量阈值；对所述第一数据中存在所述差异的维度进行标记；将预设的风险数据库管理的风险数据对应于所述标记的字段，替换至所述第一数据中被标记的字段，得到第二数据；并将从所述参照数据源获取到的、对应有所述第一数据的所述待分析数据，也作为所述第二数据；将从所述待定数据源获取到的、与所述第二数据相似度大于预设的相似度阈值的所述待分析数据，作为第三数据；采用预设的风险预测模型，基于所述第二数据和所述第三数据进行风险预测；基于所述风险预测的结果，进行风险预警。
6.在本说明书一个可选的实施例中，所述方法还包括：若距当前时刻第一时长的历史时间段内，获取到的所述待分析数据的量小于预设
的第一量，则将历史上基于安全数据构建的安全数据源也作为所述参照数据源；其中，所述第一时长大于所述指定时间段的时长。
7.在本说明书一个可选的实施例中，所述方法还包括：若距当前时刻第一时长的历史时间段内，获取到的所述待分析数据的量小于预设的第一量、且所述历史时间段内确定出的所述第一数据的量大于预设的第二数量阈值，则将历史上基于安全数据构建的安全数据源也作为所述参照数据源；其中，所述第一时长大于所述指定时间段的时长。
8.在本说明书一个可选的实施例中，所述方法还包括：将所述安全数据源作为所述参照数据源之后，若在此后第二时长的时间段内，确定出的所述第一数据的量不大于预设的第三数量阈值、且从所述参照数据源和所述待定数据源获取到的所述待分析数据的量不小于所述第一量，则不再将所述安全数据源作为所述参照数据源；其中，所述第三数量阈值大于所述第二数量阈值。
9.在本说明书一个可选的实施例中，所述方法还包括：将所述安全数据源作为所述参照数据源之后，若在此后第二时长的时间段内，确定出的所述第一数据的量不大于预设的第三数量阈值、且从所述参照数据源和所述待定数据源获取到的所述待分析数据的量不小于所述第一量，则判断所述第二数据相较于所述第三数据多出的量，是否满足预设条件；若是，则不再将所述安全数据源作为所述参照数据源；若否，则继续将所述安全数据源作为所述参照数据源；其中，所述预设条件是以下任一种：所述第二数据相较于所述第三数据多出的量大于预设的增量阈值，所述增量阈值与所述第二数量阈值负相关；所述第二数据相较于所述第三数据多出的量与所述第三数据的比值大于预设比例阈值。
10.在本说明书一个可选的实施例中，所述维度包括：所述数据源的标识、发送所述待分析数据的设备的标识、所述设备发送所述待分析数据的时刻、所述信息安全风险预警系统接收所述待分析数据的时刻、所述待分析数据所属的数据包的标识、所述数据包的大小、所述待分析数据被所述信息安全风险预警系统获取到所采用的链路。
11.第二方面，本技术实施例还提供一种信息安全风险预警系统，所述系统包括：数据获取模块，配置为：将指定时间段内从预设的数据源获取的数据，作为待分析数据；其中，所述数据源包含参照数据源和待定数据源；所述参照数据源是安全等级高于所述待定数据源的数据源；所述数据包含若干个字段，不同的所述字段用于从不同的维度对信息进行表征；第一数据确定模块，配置为：从所述待定数据源处获取的所述待分析数据中，确定出第一数据；其中，所述第一数据是：与包含所述指定时间段在内的历史上从所述参照数据源处获取的所述待分析数据相比较，仅在某一个所述维度存在差异的所述待分析数据；且针对某一所述维度，存在所述差异的从所述待定数据源处获取的所述待分析数据的量大于预设的第一数量阈值；标记模块，配置为：对所述第一数据中存在所述差异的维度进行标记；第二数据确定模块，配置为：将预设的风险数据库管理的风险数据对应于所述标记的字段，替换至所述第一数据中被标记的字段，得到第二数据；并将从所述参照数据源获
取到的、对应有所述第一数据的所述待分析数据，也作为所述第二数据；第三数据确定模块，配置为：将从所述待定数据源获取到的、与所述第二数据相似度大于预设的相似度阈值的所述待分析数据，作为第三数据；预测模块，配置为：采用预设的风险预测模型，基于所述第二数据和所述第三数据进行风险预测；预警模块，配置为：基于所述风险预测的结果，进行风险预警。
12.第三方面，本技术实施例还提供一种电子设备，包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行第一方面所述的方法步骤。
13.第四方面，本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行第一方面所述的方法步骤。
14.本技术实施例采用的上述至少一个技术方案能够达到以下有益效果：本说明书中的方法及系统，预先地为接入的数据源划分了安全等级，将安全等级较高的参照数据源和待定数据源的待分析数据均纳入考察范围，一方面，即便是安全等级较高的数据源对应的数据的安全性也会被考察到，能够扩大识别到的风险的范围，若参照数据源对应的待定数据有风险，将会在第一数据中有所体现；另一方面，在确定第三数据时仅考察了待定数据源的待分析数据，而没有考察参照数据源的待分析数据，能够有效地降低数据处理的量。此外，在得到第二数据时，采用了风险数据库中的风险数据对第一数据的某些字段进行了重构。实际应用中，风险数据通常是对安全数据进行改造得到的，而对于这些疑似风险数据的第一数据进行的字段替换，能够还原其是风险数据的情况下的本来面目，使其风险性更加突出，便于识别。由此进行的风险预警也更加准确。
附图说明
15.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：图1为本说明书实施例提供的一种信息安全风险预警方法的过程示意图；图2为本说明书实施例中一种电子设备的结构示意图。
具体实施方式
16.下面通过具体实施方式结合附图对本发明作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中，很多细节描述是为了使得本技术能被更好的理解。然而，本领域技术人员可以毫不费力的认识到，其中部分特征在不同情况下是可以省略的，或者可以由其它元件、材料、方法所替代。在某些情况下，本技术相关的一些操作并没有在说明书中显示或者描述，这是为了避免本技术的核心部分被过多的描述所淹没，而对于本领域技术人员而言，详细描述这些相关操作并不是必要的，他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。
17.另外，说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各
种实施方式。同时，方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此，说明书和附图中的各种顺序只是为了清楚描述某一个实施例，并不意味着是必须的顺序，除非另有说明其中某个顺序是必须遵循的。
18.本文中为部件所编序号本身，例如“第一”、“第二”等，仅用于区分所描述的对象，不具有任何顺序或技术含义。而本技术所说“连接”、“联接”，如无特别说明，均包括直接和间接连接(联接)。
19.以下结合附图，详细说明本技术各实施例提供的技术方案。
20.本说明书中的方法用于信息安全风险预警系统，由构成用于信息安全风险预警系统的各个模块执行方法步骤。本说明书中的方法旨在识别那些经过改造的、较为隐蔽的风险数据，并以此为据进行预警。而对于那些风险性较为明显的、易于识别的风险数据，则不在本说明书中的方法的考察范围之内。
21.如图1所示，本说明书中的信息安全风险预警方法包含以下步骤：s100：将指定时间段内从预设的数据源获取的数据，作为待分析数据，本说明书中的数据源包含参照数据源和待定数据源。参照数据源是安全等级高于所述待定数据源的数据源。至于何种数据源的安全等级较高，何种数据源的安全等级较低，可以由技术人员根据实际需求自行定义。例如，在本说明书中的技术手段应用于银行业务场景中时，可以将银行内部数据源作为安全等级较高的数据源，将其他银行、企业、或者个人的数据源作为安全等级较低的数据源。
22.参照数据源可能不唯一，待定数据源也可能不唯一。在某些情况下，待定属于可能转换为参照数据源，参照数据源也可能转换为待定数据源。
23.本说明书中的数据包含若干个字段，不同的所述字段用于从不同的维度对信息进行表征。示例性地，所述维度包括：所述数据源的标识、发送所述待分析数据的设备的标识、所述设备发送所述待分析数据的时间、所述信息安全风险预警系统接收所述待分析数据的时间、所述待分析数据所属的数据包的标识、所述数据包的大小、所述待分析数据被所述信息安全风险预警系统获取到所采用的链路中的至少一种。至于需要考察的维度的增减，可以根据实际的情况确定。
24.本说明书中的指定时间段可以是距当前时刻某一时长的历史上的某一时间段。该时长可以根据经验确定。本说明书在确定第一数据时采用的是指定时间段内获取的数据，而不是所有的历史数据，一方面，所有的历史数据的量较大，数据处理时消耗的资源也较多。另一方面，随着系统的更新，历史上被发现的风险也会建立相应的预防措施，则历史上更早时期的风险系统已经有了相应的对策，无需为其耗费过多资源。将风险识别关注的重点集中在指定时间段内，能够避免先验对风险识别的负面干扰，也能够更加机敏地识别团伙攻击行为。
25.s102：从所述待定数据源处获取的待分析数据中，确定出第一数据。
26.本说明书中的第一数据有可能是参照数据源对应的数据，也有可能是待定数据源对应的数据。第一数据即为疑似的风险数据。
27.符合以下条件的待分析数据即为第一数据：与包含所述指定时间段在内的历史上从所述参照数据源处获取的待分析数据相比较，仅在某一个所述维度存在差异的待分析数据；且针对某一所述维度，存在差异的从所述待定数据源处获取的待分析数据的量大于预
设的第一数量阈值。
28.本说明书中的“历史上”是包含“指定时间段”在内的、时长更长的时间段。由于攻击不大可能是一蹴而就的，而是由多个攻击行为、或者持续性的攻击行为实现的，则本说明书能够结合历史的数据识别攻击。该历史上对应的时长，可以根据经验确定。
29.示例性地，假如第一数量阈值是2。历史上，参照数据源向系统发送过数据[账号a，提款金额b，账户余额c，时刻0]，其中，逗号表示字段之间的间隔。而待分析数据1是[账号a，提款金额b，账户余额c，时刻1]，待分析数据2是[账号a，提款金额b，账户余额c，时刻2]，待分析数据3是[账号a，提款金额b，账户余额c，时刻3]。可见，内容相同，仅仅在发送时刻这一维度不同的待分析数据的量超过了2条，此时，待分析数据1至3均为第一数据。
[0030]
此处确定第一数据的过程，是以历史上参照数据源作为比较，倘若参照数据源如上述示例所示，在重复的发送内容相同的数据，即便是其安全等级较高，也有攻击系统的嫌疑。假如待分析数据4是[账号a，提款金额b，账户余额d，时刻0]，这很有可能是对历史数据进行篡改得到的虚假的数据，毕竟时刻0是历史中的时刻，在同一时刻对同一账号a执行相同的提款金额b，这是难以实现的。
[0031]
可见，本说明书中的方法旨在从信息之间的相同因素中察觉风险，对于那些被篡改、隐蔽性较高的风险数据能够具有较好的识别能力。
[0032]
s104：对所述第一数据中存在所述差异的维度进行标记。
[0033]
相关技术中个，能够使得数据的某一字段被标识出来的技术手段均适用于本说明书。
[0034]
s106：将预设的风险数据库管理的风险数据对应于所述标记的字段，替换至所述第一数据中被标记的字段，得到第二数据。并将从所述参照数据源获取到的、对应有所述第一数据的所述待分析数据，也作为所述第二数据。
[0035]
前述示例中的[账号a，提款金额b，账户余额c，时刻0]是参照数据源的数据，其对应有第一数据，则该数据也是第二数据。
[0036]
本说明书中的风险数据库用于对风险数据进行关系。风险数据库中的风险数据仅用于风险识别，风险数据库与系统之间存在一定的隔离，以避免风险数据库中的风险数据污染系统。其中，风险数据是对历史数据进行筛选得到的。该筛选的过程可以是基于机器执行的数据处理，之后由人工筛选实现的。
[0037]
示例性地，假如风险数据是[账号a，提款金额b，账户余额e，时刻-1]，待分析数据4（第一数据）[账号a，提款金额b，账户余额d（标记），时刻0]，替换得到的第二数据是[账号a，提款金额b，账户余额e，时刻0]。在该示例中，经替换后的第二数据相较于第一数据与风险数据更加相似，则能够实现假设该第一数据是风险数据的情况下（假设该第一数据是由风险数据篡改而来的），其风险被放大后可以由其对应的第二数据表现出来。
[0038]
在本说明书一个可选的实施例中，可以从风险数据中匹配出与所述第一数据匹配度最大的，作为目标数据。然后，将目标数据中对应于所述标记的字段替换至第一数据中。也可能存在某一个维度需要多个字段进行表征的情况。在安全数据源未接入的情况下，可以将用于表征该维度的字段均进行替换，则得到的第二数据在和第一数据一一对应的基础上再加一个（从参照数据源获取的与第一数据对应的待分析数据）。在安全数据源接入的情况下，可以将用于表征该维度的字段进行逐一替换，则该维度由n个字段进行表征，该第一
数据就对应有n！+1个第二数据。
[0039]
s108：将从所述待定数据源获取到的、与所述第二数据相似度大于预设的相似度阈值的待分析数据，作为第三数据。
[0040]
考虑到攻击行为可能具备团伙性，则有可能存在与该较为隐蔽的风险数据相配合的数据共同进行攻击。也就是说，针对团伙性的攻击行为可以由第三数据体现出来。
[0041]
s110：采用预设的风险预测模型，基于所述第二数据和所述第三数据进行风险预测。
[0042]
在本说明书一个可选的实施例中，风险预测模型可以是人工智能模型。相关技术中，能够实现基于数据的风险预测的模型，在条件允许的情况下，均适用于本说明书。
[0043]
相较于全部的待分析数据，第一数据和第三数据的量是较少的，可见，通过本说明书中的方法，能够减少数据处理的量，有利于节约数据处理资源。
[0044]
s112：基于所述风险预测的结果，进行风险预警。
[0045]
风险预测的结果用于表征风险存在的可能性，若风险较大，则可以进行风险预警。若风险较小，则可以忽略。至于何种程度的风险是较大的风险，可以根据经验确定。相关技术中，能够实现风险预警的技术手段均适用于本说明书。例如，可以向与系统连接的至少部分端发送消息的方式进行风险预警。
[0046]
本说明书中的方法及系统，预先地为接入的数据源划分了安全等级，将安全等级较高的参照数据源和待定数据源的待分析数据均纳入考察范围，一方面，即便是安全等级较高的数据源对应的数据的安全性也会被考察到，能够扩大识别到的风险的范围，若参照数据源对应的待定数据有风险，将会在第一数据中有所体现；另一方面，在确定第三数据时仅考察了待定数据源的待分析数据，而没有考察参照数据源的待分析数据，能够有效地降低数据处理的量。此外，在得到第二数据时，采用了风险数据库中的风险数据对第一数据的某些字段进行了重构。实际应用中，风险数据通常是对安全数据进行改造得到的，而对于这些疑似风险数据的第一数据进行的字段替换，能够还原其是风险数据的情况下的本来面目，使其风险性更加突出，便于识别。由此进行的风险预警也更加准确。
[0047]
本说明书中的技术方案假设对系统的攻击是必然存在的，则需要保持对风险的警惕性。若某一时间段内获取到的待分析的数据的量比较少，则用于通过对比的方式确定第一数据的样本也较少。若不法分子使用了隐蔽性更好的攻击手段，则识别的难度会增加。
[0048]
有鉴于此，在本说明书一个可选的实施例中，若距当前时刻第一时长的历史时间段内，获取到的待分析数据的量小于预设的第一量，则将历史上基于安全数据构建的安全数据源作为参照数据源。其中，所述第一时长大于所述指定时间段的时长。安全数据源管理的是历史上的安全数据，其本身不会对系统造成攻击，不会对后续的风险识别造成干扰。能够增加识别第一数据时提供的样本的量。虽然本说明书中的技术方案较为关注识别集中的攻击行为，但将安全数据源作为参照数据源能够有利于识别通过在一定时期内分散实现的几波攻击行为。其中，第一时长可以根据经验确定。所述第一量也可以是经验值。此外，本说明书涉及的各个阈值，在无特别说明的情况下，也可以是经验值。
[0049]
在本说明书另一个可选的实施例中，若距当前时刻第一时长的历史时间段内获取到的待分析数据的量小于预设的第一量、且所述历史时间段内确定出的第一数据的量大于预设的第二数量阈值，则将历史上基于安全数据构建的安全数据源作为参照数据源；其中，
所述第一时长大于所述指定时间段的时长。本实施增加了引入安全数据源的条件，历史时间段内确定出的第一数据的量大于预设的第二数量阈值的情况下，表明攻击行为呈增长态势，此时攻击行为较为密集。若采用风险数据之间进行比较，由于风险数据很有可能是经篡改的数据，若存在篡改的程度较大的情况，则这种攻击有可能绕过本说明书中的方案。该条件的设置，能够较大程度的在攻击出现增长的阶段，及时地识别攻击行为。
[0050]
在将安全数据源作为参照数据源之后，也应适时地将安全数据源切出，以避免增加数据处理的量。
[0051]
在本说明书一个可选的实施例中，将所述安全数据源作为参照数据源之后，若在此后第二时长的时间段内，确定出的所述第一数据的量不大于预设的第三数量阈值（表明攻击行为没有加剧）、且从所述参照数据源和所述待定数据源获取到的待分析数据的量不小于预设的第一量（表明依据当前的数据情况，若发生攻击行为也能够灵敏的识别出），则不再将所述安全数据源作为参照数据源。其中，所述第三数量阈值大于所述第二数量阈值。
[0052]
在本说明书另一个可选的实施例中，将所述安全数据源作为参照数据源之后，若在此后第二时长的时间段内，确定出的所述第一数据的量不大于预设的第三数量阈值、且从所述参照数据源和所述待定数据源获取到的待分析数据的量不小于所述第一量，则判断所述第二数据相较于所述第三数据多出的量，是否满足预设条件。若是，则不再将所述安全数据源作为参照数据源；若否，则继续将所述安全数据源作为参照数据源该实施例增加将安全数据源切出的条件。其中，所述预设条件是以下任一种：所述第二数据相较于所述第三数据多出的量大于预设的增量阈值（表明当前识别疑似风险数据的灵敏度较高），所述增量阈值与所述第二数量阈值负相关（表明在接入安全数据源的举措下，识别出的疑似风险数据的增量明显，新增的疑似风险数据是历史上已经被识别的风险的可能性较大，对其在历史上已经采取了相应的对策的可能性也较大）；所述第二数据相较于所述第三数据多出的量与所述第三数据的比值大于预设比例阈值（表明疑似风险数据特征较为鲜明，本案中的技术手段对其进行识别的准确度较高）。
[0053]
进一步地，本说明书还提供一种信息安全风险预警系统，该系统用于实现本说明书中的方法，所述系统包括：数据获取模块，配置为：将指定时间段内从预设的数据源获取的数据，作为待分析数据；其中，所述数据源包含参照数据源和待定数据源；所述参照数据源是安全等级高于所述待定数据源的数据源；所述数据包含若干个字段，不同的所述字段用于从不同的维度对信息进行表征；第一数据确定模块，配置为：从所述待定数据源处获取的所述待分析数据中，确定出第一数据；其中，所述第一数据是：与包含所述指定时间段在内的历史上从所述参照数据源处获取的所述待分析数据相比较，仅在某一个所述维度存在差异的所述待分析数据；且针对某一所述维度，存在所述差异的从所述待定数据源处获取的所述待分析数据的量大于预设的第一数量阈值；标记模块，配置为：对所述第一数据中存在所述差异的维度进行标记；第二数据确定模块，配置为：将预设的风险数据库管理的风险数据对应于所述标记的字段，替换至所述第一数据中被标记的字段，得到第二数据；并将从所述参照数据源获取到的、对应有所述第一数据的所述待分析数据，也作为所述第二数据；
第三数据确定模块，配置为：将从所述待定数据源获取到的、与所述第二数据相似度大于预设的相似度阈值的所述待分析数据，作为第三数据；预测模块，配置为：采用预设的风险预测模型，基于所述第二数据和所述第三数据进行风险预测；预警模块，配置为：基于所述风险预测的结果，进行风险预警。
[0054]
该系统能够执行前述任一实施例中的方法，并能够获得相同或相似的技术效果，此处不再赘述。
[0055]
图2是本技术的一个实施例电子设备的结构示意图。请参考图2，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(random-access memory，ram)，也可能还包括非易失性存储器（non-volatile memory），例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。
[0056]
处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是isa(industry standard architecture，工业标准体系结构）总线、pci(peripheral component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构）总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图2中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。
[0057]
存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。
[0058]
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成一种信息安全风险预警装置。处理器，执行存储器所存放的程序，并具体用于执行前述任意一种信息安全风险预警方法。
[0059]
上述如本技术图1所示实施例揭示的一种信息安全风险预警方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器（central processing unit，cpu）、网络处理器（network processor，np）等；还可以是数字信号处理器（digital signal processor，dsp）、专用集成电路（application specific integrated circuit，asic）、现场可编程门阵列（field－programmable gate array，fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本技术实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。
[0060]
该电子设备还可执行图1中一种信息安全风险预警方法，并实现图1所示实施例的功能，本技术实施例在此不再赘述。
[0061]
本技术实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的电子设备执行时，执行前述的任意一种信息安全风险预警方法。
[0062]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。
[0063]
本技术是参照根据本技术实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
[0064]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。
[0065]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。
[0066]
在一个典型的配置中，计算设备包括一个或多个处理器 (cpu)、输入/输出接口、网络接口和内存。
[0067]
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器 (ram) 和/或非易失性内存等形式，如只读存储器 (rom) 或闪存(flash ram)。内存是计算机可读介质的示例。
[0068]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存 (pram)、静态随机存取存储器 (sram)、动态随机存取存储器 (dram)、其他类型的随机存取存储器 (ram)、只读存储器 (rom)、电可擦除可编程只读存储器 (eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器 (cd-rom)、数字多功能光盘 (dvd) 或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体 (transitory media)，如调制的数据信号和载波。
[0069]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要
素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0070]
本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。
[0071]
以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种信息安全风险预警方法，其特征在于，所述方法应用于信息安全风险预警系统，所述方法包括：将指定时间段内从预设的数据源获取的数据，作为待分析数据；其中，所述数据源包含参照数据源和待定数据源；所述参照数据源是安全等级高于所述待定数据源的数据源；所述数据包含若干个字段，不同的所述字段用于从不同的维度对信息进行表征；从所述待定数据源处获取的所述待分析数据中，确定出第一数据；其中，所述第一数据是：与包含所述指定时间段在内的历史上从所述参照数据源处获取的所述待分析数据相比较，仅在某一个所述维度存在差异的所述待分析数据；且针对某一所述维度，存在所述差异的从所述待定数据源处获取的所述待分析数据的量大于预设的第一数量阈值；对所述第一数据中存在所述差异的维度进行标记；将预设的风险数据库管理的风险数据对应于所述标记的字段，替换至所述第一数据中被标记的字段，得到第二数据；并将从所述参照数据源获取到的、对应有所述第一数据的所述待分析数据，也作为所述第二数据；将从所述待定数据源获取到的、与所述第二数据相似度大于预设的相似度阈值的所述待分析数据，作为第三数据；采用预设的风险预测模型，基于所述第二数据和所述第三数据进行风险预测；基于所述风险预测的结果，进行风险预警。2.如权利要求1所述方法，其特征在于，所述方法还包括：若距当前时刻第一时长的历史时间段内，获取到的所述待分析数据的量小于预设的第一量，则将历史上基于安全数据构建的安全数据源也作为所述参照数据源；其中，所述第一时长大于所述指定时间段的时长。3.如权利要求1所述方法，其特征在于，所述方法还包括：若距当前时刻第一时长的历史时间段内，获取到的所述待分析数据的量小于预设的第一量、且所述历史时间段内确定出的所述第一数据的量大于预设的第二数量阈值，则将历史上基于安全数据构建的安全数据源也作为所述参照数据源；其中，所述第一时长大于所述指定时间段的时长。4.如权利要求3所述方法，其特征在于，所述方法还包括：将所述安全数据源作为所述参照数据源之后，若在此后第二时长的时间段内，确定出的所述第一数据的量不大于预设的第三数量阈值、且从所述参照数据源和所述待定数据源获取到的所述待分析数据的量不小于所述第一量，则不再将所述安全数据源作为所述参照数据源；其中，所述第三数量阈值大于所述第二数量阈值。5.如权利要求3所述方法，其特征在于，所述方法还包括：将所述安全数据源作为所述参照数据源之后，若在此后第二时长的时间段内，确定出的所述第一数据的量不大于预设的第三数量阈值、且从所述参照数据源和所述待定数据源获取到的所述待分析数据的量不小于所述第一量，则判断所述第二数据相较于所述第三数据多出的量，是否满足预设条件；若是，则不再将所述安全数据源作为所述参照数据源；若否，则继续将所述安全数据源作为所述参照数据源；其中，所述预设条件是以下任一种：所述第二数据相较于所述第三数据多出的量大于
预设的增量阈值，所述增量阈值与所述第二数量阈值负相关；所述第二数据相较于所述第三数据多出的量与所述第三数据的比值大于预设比例阈值。6.如权利要求1所述方法，其特征在于，所述维度包括：所述数据源的标识、发送所述待分析数据的设备的标识、所述设备发送所述待分析数据的时刻、所述信息安全风险预警系统接收所述待分析数据的时刻、所述待分析数据所属的数据包的标识、所述数据包的大小、所述待分析数据被所述信息安全风险预警系统获取到所采用的链路。7.一种信息安全风险预警系统，其特征在于，所述系统包括：数据获取模块，配置为：将指定时间段内从预设的数据源获取的数据，作为待分析数据；其中，所述数据源包含参照数据源和待定数据源；所述参照数据源是安全等级高于所述待定数据源的数据源；所述数据包含若干个字段，不同的所述字段用于从不同的维度对信息进行表征；第一数据确定模块，配置为：从所述待定数据源处获取的所述待分析数据中，确定出第一数据；其中，所述第一数据是：与包含所述指定时间段在内的历史上从所述参照数据源处获取的所述待分析数据相比较，仅在某一个所述维度存在差异的所述待分析数据；且针对某一所述维度，存在所述差异的从所述待定数据源处获取的所述待分析数据的量大于预设的第一数量阈值；标记模块，配置为：对所述第一数据中存在所述差异的维度进行标记；第二数据确定模块，配置为：将预设的风险数据库管理的风险数据对应于所述标记的字段，替换至所述第一数据中被标记的字段，得到第二数据；并将从所述参照数据源获取到的、对应有所述第一数据的所述待分析数据，也作为所述第二数据；第三数据确定模块，配置为：将从所述待定数据源获取到的、与所述第二数据相似度大于预设的相似度阈值的所述待分析数据，作为第三数据；预测模块，配置为：采用预设的风险预测模型，基于所述第二数据和所述第三数据进行风险预测；预警模块，配置为：基于所述风险预测的结果，进行风险预警。8.一种电子设备，包括：处理器；以及被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行所述权利要求1~6之任一所述方法。9.一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行所述权利要求1~6之任一所述方法。

技术总结
本申请公开了一种信息安全风险预警方法及系统，预先地为接入的数据源划分了安全等级，将安全等级较高的参照数据源和待定数据源的待分析数据均纳入考察范围，一方面，即便是安全等级较高的数据源对应的数据的安全性也会被考察到，能够扩大识别到的风险的范围，若参照数据源对应的待定数据有风险，将会在第一数据中有所体现；另一方面，在确定第三数据时仅考察了待定数据源的待分析数据，而没有考察参照数据源的待分析数据，能够有效地降低数据处理的量。此外，在得到第二数据时，采用了风险数据库中的风险数据对第一数据的某些字段进行了重构。行了重构。行了重构。


技术研发人员：吴倩 许应成 陆小伟 宁秀丽 李亚 吴芳 宋荷靓 王双
受保护的技术使用者：中国标准化研究院
技术研发日：2023.06.29
技术公布日：2023/8/5