一种应用于智慧教育系统的大数据审计场景分析方法和系统

技术领域

本发明提出一种应用于智慧教育系统的大数据审计场景分析方法和系统，属于智慧教育技术领域。

背景技术

大数据Hadoop生态体系下各种多样化的工具带来最直接的问题便是多样化的程序设计语言，多样性的程序编程接口，增大了大数据安全审计覆盖面，增强了大数据的数据解析难度。因此，在Hadoop大数据架构环境下要实现有效审计，必须同时对各种UI管理界面、编程接口同时审计，具备Hadoop架构各种协议解析、编程语言解析能力。其审计难点可总结为：

1、Hadoop大数据非结构化数据(NO SQL)，传统方案无法实现此类数据的综合安全监控；

2、Hadoop中数据库连接工具的多样化，传统方案只能对典型的C/S客户端访问方式进行安全监控，缺乏综合管理手段；

3、Hadoop开放的接口和平台，加之信息网络共享导致数据风险点增加，窃密、泄密渠道增加；

当Hadoop应用于大型智慧教育平台系统时，时常由于上述审计难点造成风险监控管理能力较低，导致大型智慧教育平台的数据访问风险增大的问题。

发明内容

本发明提供了一种应用于智慧教育系统的大数据审计场景分析方法和系统，用以解决现有智慧教育系统的风险管理能力较低的问题，所采取的技术方案如下：

一种应用于智慧教育系统的大数据审计场景分析方法，所述方法包括：

将智慧教育平台根据实现功能的不同分为k各审计单元，其中，k为自然数；

针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并对发往目标窗口的消息进行拦截获取；

对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险。

进一步地，所述针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并进行消息截获，包括：

在满足规定需求的智慧教育系统中的系统对象中查找Java层作为hook点；

将所述hook函数放入智慧教育系统对象需要处理分析的业务逻辑中执行；

通过hook函数监视智慧教育系统中需要处理分析的业务逻辑在执行过程中的事件消息，同时截获发往目标窗口的消息。

进一步地，所述规定要求的hook点满足如下条件：所述系统对象为静态的对象。

进一步地，对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险，包括：

在智慧教育系统的存储区域中设置消息存储单元，并且将消息存储单元进行存储区域划分，所述存储区域与审计单元一一对应；

按照消息的生成时间依次将发往目标窗口的消息内容进行复制，并根据复制好的消息内容生成对应的消息文件，并按照消息的生成时间由早到晚的顺序依次存储至消息存储单元中的各个存储区域中；

对每个存储区域的消息文件中的消息进行扫描分析识别，识别消息中的信息或代码是否存在数据库中已存储的风险信息或代码，如果不存在数据库中已存储的风险信息或代码，则说明消息安全，允许该消息向目标窗口发送；如果存在数据库中已存储的风险信息或代码，则拒绝该消息向目标窗口发送，并将消息拦截提醒信息反馈至该消息的发送节点；

对所述发送过带有风险消息的发送节点进行标记，针对该发送节点设置监控时段，并对该发送节点产生的事件消息进行单独监控；

在设置的监控时段内，实时监控所述发送节点所发送的每个消息信息，并对每个消息信息进行风险处理，当风险指数达到风险阈值时，智慧教育系统进行报警，提示运维人员进行风险处理。

进一步地，所述监控时间通过如下过程进行设置：

判断发送带有风险消息的发送节点是否为第一次出发送带有风险的消息信息，如果所述方节点当前是在智慧教育系统当天运行过程中第一次发送带有风险的消息信息时，则通过监控时间第一设置模型设置监控时段长度，其中，监控时间第一设置模型如下：

当n＝1时，n-1＝1，且

其中，T

如果所述方节点当前不是在智慧教育系统当天运行过程中第一次发送带有风险的消息信息时，则通过监控时间第二设置模型设置监控时段长度，其中，监控时间第二设置模型如下：

其中，T

进一步地，所述发送节点的风险指数通过如下公式计算：

其中，H表示风险指数，T表示当天智慧教育系统的运行时长，L

一种应用于智慧教育系统的大数据审计场景分析系统，所述系统包括：

单元划分模块，用于将智慧教育平台根据实现功能的不同分为k各审计单元，其中，k为自然数；

hook嵌入模块，用于针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并对发往目标窗口的消息进行拦截获取；

风险处理模块，用于对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险。

进一步地，所述hook嵌入模块包括：

查找模块，用于在满足规定需求的智慧教育系统中的系统对象中查找Java层作为hook点；

执行模块，用于将所述hook函数放入智慧教育系统对象需要处理分析的业务逻辑中执行；

消息获取模块，用于通过hook函数监视智慧教育系统中需要处理分析的业务逻辑在执行过程中的事件消息，同时截获发往目标窗口的消息。

进一步地，所述规定要求的hook点满足如下条件：所述系统对象为静态的对象。

进一步地，所述风险处理模块包括：

存储划分模块，用于在智慧教育系统的存储区域中设置消息存储单元，并且将消息存储单元进行存储区域划分，所述存储区域与审计单元一一对应；

信息划分模块，用于按照消息的生成时间依次将发往目标窗口的消息内容进行复制，并根据复制好的消息内容生成对应的消息文件，并按照消息的生成时间由早到晚的顺序依次存储至消息存储单元中的各个存储区域中；

扫描识别模块，用于对每个存储区域的消息文件中的消息进行扫描分析识别，识别消息中的信息或代码是否存在数据库中已存储的风险信息或代码，如果不存在数据库中已存储的风险信息或代码，则说明消息安全，允许该消息向目标窗口发送；如果存在数据库中已存储的风险信息或代码，则拒绝该消息向目标窗口发送，并将消息拦截提醒信息反馈至该消息的发送节点；

标记模块，用于对所述发送过带有风险消息的发送节点进行标记，针对该发送节点设置监控时段，并对该发送节点产生的事件消息进行单独监控；

监控模块，用于在设置的监控时段内，实时监控所述发送节点所发送的每个消息信息，并对每个消息信息进行风险处理，当风险指数达到风险阈值时，智慧教育系统进行报警，提示运维人员进行风险处理。

本发明有益效果：

本发明提出的一种应用于智慧教育系统的大数据审计场景分析方法和系统，通过以功能为基础的审计单元的划分，能够有效提高审计管理的管理效率和消息监控力度。同时，通过hook函数的嵌入能够有效提高智慧教育系统的各节点发送消息的捕捉效率，并有效提高智慧教育系统的各节点发送消息的捕捉成功率，降低消息捕捉遗漏数量。另一方面，本发明提出的一种应用于智慧教育系统的大数据审计场景分析方法和系统能够有效提高消息信息风险的监控处理效率和力度，进入提高整个智慧教育系统的凤霞监控力度，极大程度上提高了智慧教育系统的数据访问大安全性。

附图说明

图1为本发明所述方法的流程图；

图2为本发明所述系统的系统框图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明实施例提出了一种应用于智慧教育系统的大数据审计场景分析方法，如图1所示，所述方法包括：

S1、将智慧教育平台根据实现功能的不同分为k各审计单元，其中，k为自然数；

S2、针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并对发往目标窗口的消息进行拦截获取；

S3、对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险。

其中，所述针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并进行消息截获，包括：

S201、在满足规定需求的智慧教育系统中的系统对象中查找Java层作为hook点；

S202、将所述hook函数放入智慧教育系统对象需要处理分析的业务逻辑中执行；

S203、通过hook函数监视智慧教育系统中需要处理分析的业务逻辑在执行过程中的事件消息，同时截获发往目标窗口的消息。

其中，所述规定要求的hook点满足如下条件：所述系统对象为静态的对象。

上述技术方案的工作原理为：为实现大数据的审计效果，采用Hook技术，Hook技术又叫做钩子函数，是一种特殊的消息处理机制，它可以监视系统或者进程中的各种事件消息，截获发往目标窗口的消息并进行处理。所以说，我们可以在系统中自定义钩子，用来监视系统中特定事件的发生，完成特定功能，如屏幕取词，监视日志，截获键盘、鼠标输入等等。Hook核心可划分为线程钩子与系统钩子，线程钩子监视指定线程的事件消息。系统钩子监视系统中的所有线程的事件消息。具体的：

首先，将智慧教育平台根据实现功能的不同分为k各审计单元，其中，k为自然数；然后，针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并对发往目标窗口的消息进行拦截获取；最后，对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险。

其中，Hook技术实现的步骤也分为两步，第一步找到hook点(Java层)，该hook点必须满足以下的条件：需要hook的方法，所属的对象必须是静态的，因为Hook技术是通过反射来获取对象的，Hook技术获取的是系统的对象，所以不能够new一个新的对象，必须用系统创建的那个对象，所以只有静态的才能保证和系统的对象一致。第二步是将hook方法放到系统之外执行，即放入需要处理分析的业务逻辑，基于上述的解决思路，大数据审计系统的设计将对大数据Hadoop核心生态组件进行二次开发，在原有代码基础上融合Hook技术，以获取在组件内的操作事件消息，从而实现对操作应用的审计。具体包括：

首先，在满足规定需求的智慧教育系统中的系统对象中查找Java层作为hook点；然后，将所述hook函数放入智慧教育系统对象需要处理分析的业务逻辑中执行；最后，通过hook函数监视智慧教育系统中需要处理分析的业务逻辑在执行过程中的事件消息，同时截获发往目标窗口的消息。

上述技术方案的效果为：通过以功能为基础的审计单元的划分，能够有效提高审计管理的管理效率和消息监控力度。同时，通过hook函数的嵌入能够有效提高智慧教育系统的各节点发送消息的捕捉效率，并有效提高智慧教育系统的各节点发送消息的捕捉成功率，降低消息捕捉遗漏数量。另一方面，能够有效提高消息信息风险的监控处理效率和力度，进入提高整个智慧教育系统的凤霞监控力度，极大程度上提高了智慧教育系统的数据访问大安全性。

本发明的一个实施例，对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险，包括：

S301、在智慧教育系统的存储区域中设置消息存储单元，并且将消息存储单元进行存储区域划分，所述存储区域与审计单元一一对应；

S302、按照消息的生成时间依次将发往目标窗口的消息内容进行复制，并根据复制好的消息内容生成对应的消息文件，并按照消息的生成时间由早到晚的顺序依次存储至消息存储单元中的各个存储区域中；

S303、对每个存储区域的消息文件中的消息进行扫描分析识别，识别消息中的信息或代码是否存在数据库中已存储的风险信息或代码，如果不存在数据库中已存储的风险信息或代码，则说明消息安全，允许该消息向目标窗口发送；如果存在数据库中已存储的风险信息或代码，则拒绝该消息向目标窗口发送，并将消息拦截提醒信息反馈至该消息的发送节点；

S304、对所述发送过带有风险消息的发送节点进行标记，针对该发送节点设置监控时段，并对该发送节点产生的事件消息进行单独监控；

S305、在设置的监控时段内，实时监控所述发送节点所发送的每个消息信息，并对每个消息信息进行风险处理，当风险指数达到风险阈值时，智慧教育系统进行报警，提示运维人员进行风险处理。

上述技术方案的工作原理为：首先，在智慧教育系统的存储区域中设置消息存储单元，并且将消息存储单元进行存储区域划分，所述存储区域与审计单元一一对应；然后，按照消息的生成时间依次将发往目标窗口的消息内容进行复制，并根据复制好的消息内容生成对应的消息文件，并按照消息的生成时间由早到晚的顺序依次存储至消息存储单元中的各个存储区域中；随后，对每个存储区域的消息文件中的消息进行扫描分析识别，识别消息中的信息或代码是否存在数据库中已存储的风险信息或代码，如果不存在数据库中已存储的风险信息或代码，则说明消息安全，允许该消息向目标窗口发送；如果存在数据库中已存储的风险信息或代码，则拒绝该消息向目标窗口发送，并将消息拦截提醒信息反馈至该消息的发送节点；之后，对所述发送过带有风险消息的发送节点进行标记，针对该发送节点设置监控时段，并对该发送节点产生的事件消息进行单独监控；最后，在设置的监控时段内，实时监控所述发送节点所发送的每个消息信息，并对每个消息信息进行风险处理，当风险指数达到风险阈值时，智慧教育系统进行报警，提示运维人员进行风险处理。

上述技术方案的效果为：通过上述方式进行风险监控，能够有效提高消息信息风险的监控处理效率和力度，进入提高整个智慧教育系统的凤霞监控力度，极大程度上提高了智慧教育系统的数据访问大安全性。

本发明的一个实施例，所述监控时间通过如下过程进行设置：

判断发送带有风险消息的发送节点是否为第一次出发送带有风险的消息信息，如果所述方节点当前是在智慧教育系统当天运行过程中第一次发送带有风险的消息信息时，则通过监控时间第一设置模型设置监控时段长度，其中，监控时间第一设置模型如下：

当n＝1时，n-1＝1，且

其中，T

如果所述方节点当前不是在智慧教育系统当天运行过程中第一次发送带有风险的消息信息时，则通过监控时间第二设置模型设置监控时段长度，其中，监控时间第二设置模型如下：

其中，T

上述技术方案的效果为：通过上述公式获取的监控时间能够根据消息发送节点的实际运行情况对监控时间进行针对性设置，使设置后的监控时间长度能够有效满足监控模块对风险消息发送节点进行有效的监控，并且监控时长能够满足风险指数获取的判断时长，有效提高后续发送节点的风险指数获取的准确性，避免固定的监控时长出现时间长度不足而造成发送节点监控效率和力度不足的问题发生，进而导致对后续消息发送节点的风险指数评估的准确性造成不良影响。

另一方面，通过上述公式获取的监控时间长度，由于与消息发送节点的实际消息发送情况的高度匹配，使监控时间长度的设置既能够保证对该发送节点进行有效监控，又能够保证监控模块的运行时长的合理性，能够在提高发送节点的监控力度的同时有效降低教育系统的过度资源消耗，防止过长的监控时间消耗过多的系统资源，增加系统运行负担。

所述发送节点的风险指数通过如下公式计算：

其中，H表示风险指数，T表示当天智慧教育系统的运行时长，L

上述技术方案的效果为：通过上述风险指数能够对智慧教育系统的各消息发送节点进行有效准确的风险评估。

本发明实施例提出了一种应用于智慧教育系统的大数据审计场景分析系统，如图2所示，所述系统包括：

单元划分模块，用于将智慧教育平台根据实现功能的不同分为k各审计单元，其中，k为自然数；

hook嵌入模块，用于针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并对发往目标窗口的消息进行拦截获取；

风险处理模块，用于对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险。

其中，所述hook嵌入模块包括：

查找模块，用于在满足规定需求的智慧教育系统中的系统对象中查找Java层作为hook点；

执行模块，用于将所述hook函数放入智慧教育系统对象需要处理分析的业务逻辑中执行；

消息获取模块，用于通过hook函数监视智慧教育系统中需要处理分析的业务逻辑在执行过程中的事件消息，同时截获发往目标窗口的消息。

其中，所述规定要求的hook点满足如下条件：所述系统对象为静态的对象。

上述技术方案的工作原理为：首先，通过单元划分模块将智慧教育平台根据实现功能的不同分为k各审计单元，其中，k为自然数；然后，利用hook嵌入模块针对每个审计单元进行扫描，获取hook点，并在hook点中嵌入hook函数，监控每个审计单元产生的事件消息，并对发往目标窗口的消息进行拦截获取；随后，采用风险处理模块对所述发往目标窗口的消息进行分析处理，确定大数据处理过程中是否存在风险。

其中，所述hook嵌入模块的运行过程包括：

首先，通过查找模块在满足规定需求的智慧教育系统中的系统对象中查找Java层作为hook点；然后，利用执行模块将所述hook函数放入智慧教育系统对象需要处理分析的业务逻辑中执行；最后，采用消息获取模块通过hook函数监视智慧教育系统中需要处理分析的业务逻辑在执行过程中的事件消息，同时截获发往目标窗口的消息。

上述技术方案的效果为：通过以功能为基础的审计单元的划分，能够有效提高审计管理的管理效率和消息监控力度。同时，通过hook函数的嵌入能够有效提高智慧教育系统的各节点发送消息的捕捉效率，并有效提高智慧教育系统的各节点发送消息的捕捉成功率，降低消息捕捉遗漏数量。另一方面，能够有效提高消息信息风险的监控处理效率和力度，进入提高整个智慧教育系统的凤霞监控力度，极大程度上提高了智慧教育系统的数据访问大安全性。

本发明的一个实施例，所述风险处理模块包括：

存储划分模块，用于在智慧教育系统的存储区域中设置消息存储单元，并且将消息存储单元进行存储区域划分，所述存储区域与审计单元一一对应；

信息划分模块，用于按照消息的生成时间依次将发往目标窗口的消息内容进行复制，并根据复制好的消息内容生成对应的消息文件，并按照消息的生成时间由早到晚的顺序依次存储至消息存储单元中的各个存储区域中；

扫描识别模块，用于对每个存储区域的消息文件中的消息进行扫描分析识别，识别消息中的信息或代码是否存在数据库中已存储的风险信息或代码，如果不存在数据库中已存储的风险信息或代码，则说明消息安全，允许该消息向目标窗口发送；如果存在数据库中已存储的风险信息或代码，则拒绝该消息向目标窗口发送，并将消息拦截提醒信息反馈至该消息的发送节点；

标记模块，用于对所述发送过带有风险消息的发送节点进行标记，针对该发送节点设置监控时段，并对该发送节点产生的事件消息进行单独监控；

监控模块，用于在设置的监控时段内，实时监控所述发送节点所发送的每个消息信息，并对每个消息信息进行风险处理，当风险指数达到风险阈值时，智慧教育系统进行报警，提示运维人员进行风险处理。

上述技术方案的工作原理为：首先，通过存储划分模块在智慧教育系统的存储区域中设置消息存储单元，并且将消息存储单元进行存储区域划分，所述存储区域与审计单元一一对应；然后，利用信息划分模块按照消息的生成时间依次将发往目标窗口的消息内容进行复制，并根据复制好的消息内容生成对应的消息文件，并按照消息的生成时间由早到晚的顺序依次存储至消息存储单元中的各个存储区域中；随后，采用扫描识别模块对每个存储区域的消息文件中的消息进行扫描分析识别，识别消息中的信息或代码是否存在数据库中已存储的风险信息或代码，如果不存在数据库中已存储的风险信息或代码，则说明消息安全，允许该消息向目标窗口发送；如果存在数据库中已存储的风险信息或代码，则拒绝该消息向目标窗口发送，并将消息拦截提醒信息反馈至该消息的发送节点；之后，利用标记模块对所述发送过带有风险消息的发送节点进行标记，针对该发送节点设置监控时段，并对该发送节点产生的事件消息进行单独监控；最后，通过监控模块在设置的监控时段内，实时监控所述发送节点所发送的每个消息信息，并对每个消息信息进行风险处理，当风险指数达到风险阈值时，智慧教育系统进行报警，提示运维人员进行风险处理。

上述技术方案的效果为：通过上述方式进行风险监控，能够有效提高消息信息风险的监控处理效率和力度，进入提高整个智慧教育系统的凤霞监控力度，极大程度上提高了智慧教育系统的数据访问大安全性。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。