分布式存储数据安全状态识别与防护方法与流程

1.本技术涉及新兴信息技术领域，具体而言，涉及一种分布式存储数据安全状态识别与防护方法。


背景技术：

2.随着信息技术以及云技术的发展，在信息传输过程以及末端数据存储过程中，对网络与信息安全的重要性程度愈发看重，对于云平台的网络与信息安全以及数据安全的要求也越来越严格。分布式存储系统作为用户核心业务数据的存储介质与集中区，对其安全性有较高要求。
3.目前，常见的分布式存储防护系统，其安全防护的针对性较强，仅能对特定、单一种类或少数几种特定类型的安全攻击行为，进行简单的识别与基础的防护措施，缺乏有效的识别攻击来源以及反制措施与防御能力。而且，该类防护系统，难以有效识别攻击的来源、途径以及类别，导致对网络与信息安全攻击的防护能力较为有限。
4.针对相关技术中的安全防护方法难以有效识别网络攻击行为并采取有效防护措施的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术提供一种分布式存储数据安全状态识别与防护方法，以解决相关技术中的安全防护方法难以有效识别网络攻击行为并采取有效防护措施的问题。
6.根据本技术的一个方面，提供了一种分布式存储数据安全状态识别与防护方法。该方法包括：设置数据处理系统的初始数据安全判断模式，其中，初始数据安全判断模式用于判断数据处理系统的数据安全等级，数据处理系统包含客户端、业务应用系统以及分布式存储集群；获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息；根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级；根据数据安全等级确定分布式存储集群的数据安全响应模式，其中，数据安全响应模式用于响应数据安全等级下的数据安全风险事件；控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作。
7.可选地，设置数据处理系统的初始数据安全判断模式包括：检测在数据处理系统启动之后的预设时间段内是否接收到运维人员输入的设置指令，其中，设置指令用于指示设置初始数据安全判断模式，初始数据安全判断模式为多个等级的数据安全判断模式中的任意一个；在预设时间段内接收到运维人员输入的设置指令的情况下，根据设置指令的内容设置数据处理系统的初始数据安全判断模式；在预设时间段内未接收到运维人员输入的设置指令的情况下，将预设等级的数据安全判断模式设置为数据处理系统的初始数据安全判断模式。
8.可选地，通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定
数据处理系统的数据安全等级包括：在数据读写情况指示同时存在数据读取异常现象与数据写入异常现象的情况下，和/或在至少存在一个目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第一等级，其中，目标数据安全风险事件包括：访问路径入侵窃取数据风险事件、末端入侵非法读取数据风险事件访问路径、访问路径入侵非法写入数据风险事件、末端入侵非法写入数据风险事件；在数据读写情况指示存在数据读取异常现象或数据写入异常现象，且不存在任一目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第二等级，其中，第一等级高于第二等级；在数据读写情况指示数据读取正常数据写入正常，且不存在任一目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第三等级，其中，第二等级高于第三等级。
9.可选地，数据读写信息包含数据读信息，根据获取到的数据读写信息确定数据读写情况和数据安全风险事件包括：在分布式存储集群统计的业务应用系统的数据读取次数之和小于客户端侧的数据读操作次数之和的情况下，确定存在数据读取异常现象；在分布式存储集群统计的业务应用系统的数据读取次数之和等于客户端侧的数据读操作次数之和的情况下，确定数据读取正常；在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，确定存在数据读取异常现象；在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据读取操作次数之和与分布式存储集群采集的数据读操作次数之和相等且大于客户端侧的数据读操作次数之和的情况下，确定存在访问路径入侵窃取数据风险事件；在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据读取操作次数之和与客户端侧的数据读操作次数之和相等的情况下，确定存在末端入侵非法读取数据风险事件。
10.可选地，数据读写信息包含数据写信息，根据获取到的数据读写信息确定数据读写情况和数据安全风险事件包括：在分布式存储集群统计的业务应用系统的数据写入次数之和小于客户端侧的数据写入数据操作次数之和的情况下，确定存在数据写入异常现象；在分布式存储集群统计的业务应用系统的数据写入次数之和等于客户端侧的数据写入数据操作次数之和的情况下，确定数据写入正常；在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，确定存在数据写入异常现象；在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据写入操作次数之和与分布式存储集群采集的数据写操作次数之和相等且大于客户端侧的数据写操作次数之和的情况下，确定存在访问路径入侵非法写入数据风险事件；在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据写入操作次数之和与客户端侧的数据写操作次数之和相等的情况下，确定存在末端入侵非法写入数据风险事件。
11.可选地，在通过初始数据安全判断模式根据获取到的数据读写信息确定数据处理系统的数据安全等级之后，方法还包括：根据数据处理系统的数据安全等级确定预设数据安全判断模式；在数据处理系统的下一防护周期，将预设数据安全判断模式与上一防护周期的初始数据安全判断模式进行对比；在预设数据安全判断模式与初始数据安全判断模式
不同的情况下，更新下一防护周期的数据安全判断模式；在预设数据安全判断模式与初始数据安全判断模式相同的情况下，将初始数据安全判断模式确定为下一防护周期的数据安全判断模式。
12.可选地，控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作包括：将安全响应模式需要分布式存储集群执行的动作转化为操作命令；将操作命令传递给部署在分布式存储集群的控制模块，通过控制模块控制分布式存储集群执行操作命令指示的安全策略动作。
13.根据本技术的另一方面，提供了一种分布式存储数据安全状态识别与防护装置。该装置包括：设置单元，用于设置数据处理系统的初始数据安全判断模式，其中，初始数据安全判断模式用于判断数据处理系统的数据安全等级，数据处理系统包含客户端、业务应用系统以及分布式存储集群；获取单元，用于获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息；第一确定单元，用于根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级；第二确定单元，用于根据数据安全等级确定分布式存储集群的数据安全响应模式，其中，数据安全响应模式用于响应数据安全等级下的数据安全风险事件；控制单元，用于控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作。
14.根据本发明实施例的另一方面，还提供了一种计算机存储介质，计算机存储介质包括存储的程序，其中，程序运行时控制计算机存储介质所在的设备执行一种分布式存储数据安全状态识别与防护方法。
15.根据本发明实施例的另一方面，还提供了一种电子装置，包含处理器和存储器；存储器中存储有计算机可读指令，处理器用于运行计算机可读指令，其中，计算机可读指令运行时执行一种分布式存储数据安全状态识别与防护方法。
16.通过本技术，采用以下步骤：设置数据处理系统的初始数据安全判断模式，其中，初始数据安全判断模式用于判断数据处理系统的数据安全等级，数据处理系统包含客户端、业务应用系统以及分布式存储集群；获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息；根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级；根据数据安全等级确定分布式存储集群的数据安全响应模式，其中，数据安全响应模式用于响应数据安全等级下的数据安全风险事件；控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作，解决了相关技术中未能有效识别网络攻击行为并采取相应有效防护措施的问题，通过利用智能化自动判断基于分布式存储集群的数据安全判断模式策略，调整分布式存储集群中对应地数据安全保障级别与响应模式，进而达到了有效识别网络攻击行为并采取针对性的网络攻击行为措施的效果。
附图说明
17.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
18.图1是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统的示意图；
19.图2是根据本技术实施例提供的分布式存储数据安全状态识别与防护方法的流程图；
20.图3是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的初始化集群数据安全态势模式设置模块的功能示意图；
21.图4是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的系统数据安全态势判断与决策模块的结构示意图；
22.图5是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的读次数数据对比分析模块的算法流程示意图；
23.图6是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的写次数数据对比分析模块的算法流程示意图；
24.图7是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的实时数据安全状态判断模块的算法流程示意图；
25.图8是根据本技术实施例提供的数据安全判断模式变更策略生成模块的算法流程示意图；
26.图9是根据本技术实施例提供的分布式存储数据安全状态识别与防护装置的示意图。
具体实施方式
27.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
28.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
29.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
30.需要说明的是，本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
31.根据本技术的实施例，提供了一种分布式存储数据安全状态识别与防护系统。
32.图1是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统的示意图，如图1所示，系统包括：
33.攻击事件智能识别与处理系统以及系统的作用对象，作用对象中包括应用侧上层业务系统、分布式存储集群网关以及分布式存储集群平台层。
34.其中，攻击事件智能识别与处理系统包括初始化集群数据安全态势模式设置模块、集群系统运行状态信息参数多元化采集模块、数据安全智能分析系统、安全策略执行系统、险来源分析综合呈现示警系统、以及数据安全事件响应综合通信模块。
35.具体的，初始化集群数据安全态势模式设置模块的功能是决定分布式存储集群的数据安全初始模式设置。在系统启动前，通过该模块中的系统初始数据安全判断模式确认子模块，向运维管理人员确认是否要人为设置系统初始数据安全判断模式，也即进行分布式存储集群的初始数据安全判断模式的设置，例如，高级模式、中级模式以及初级模式，若运维管理人员未进行主动人为设置，则默认启动初始数据安全判断模式，也即初级模式。
36.集群系统运行状态信息参数多元化采集模块的功能为采集分布式存储集群侧的用户业务数据读写数据以及客户应用侧的数据读写信息。初始化处理后，通过该模块采集相关读写信息数据，进行分布式存储集群的数据安全判断模式的判断与安全响应模式的决策判断。其中，集群系统运行状态信息参数多元化采集模块通过利用应用侧上层业务系统的客户应用测读写次数采集模块采集客户应用侧的读写行为统计数据，以及利用分布式存储集群网关的网关层读写次数采集模块采集分布式存储集群侧的读写行为统计数据。
37.数据安全智能分析系统包括系统数据安全态势判断与决策模块以及系统数据安全事件综合决策转化模块，其功能是根据集群系统运行状态信息参数多元化采集模块采集的分布式存储集群侧以及客户业务应用侧的读写次数等信息，对基于分布式存储集群的客户业务应用系统的数据安全判断模式进行识别，以对当前系统数据安全的等级进行判断，并对当前系统数据安全情况在下一防护周期中，如何变更或保持进行预判与决策。
38.系统数据安全态势判断与决策模块功能是获取集群系统运行状态信息参数多元化采集模块采集到的分布式存储集群侧以及客户业务应用侧的读写次数等信息，根据获取的信息对基于分布式存储集群的客户业务应用系统的数据安全判断模式进行识别，以对当前系统数据安全的等级进行判断，并对当前系统数据安全情况在下一防护周期中如何变更或保持进行预判与决策。该模块包括系统读写次数信息数据获取模块、系统读写次数信息参数提取处理模块、读次数数据对比分析模块、写次数数据对比分析模块、实时数据安全状态判断模块、数据安全判断模式预测模块以及数据安全判断模式变更策略生成模块。
39.其中，系统读写次数信息数据获取模块的功能是通过集群系统运行状态信息参数多元化采集模块定时或实时的获取系统多层次的读次数与写次数等信息；系统读写次数信息参数提取处理模块的功能是从系统读写次数信息数据获取模块获取的读写次数等信息中提取出用于判断系统数据安全判断模式的核心参数，例如集群侧的读次数、集群侧写次数等；读次数数据对比分析模块的功能是对比分布式存储集群侧以及客户业务应用侧的读次数统计数据，根据对比结果判断数据读取是否处于正常状态；写次数数据对比分析模块的功能是对比分布式存储集群侧以及客户业务应用侧的写次数统计数据，根据对比结果判断数据写入是否处于正常状态；实时数据安全状态判断模块的功能是根据读次数数据对比分析模块与写次数数据对比分析模块的对比判断结果，根据对比结果判断分布式存储集群侧的数据安全判断模式；数据安全判断模式预测模块的功能是将每个判断周期t内的实时数据安全状态判断模块的判断结果进行存储和长期积累，并对当前周期的下一周期的分布
式存储集群的数据安全判断模式进行预测分析，得到预测结果；数据安全判断模式变更策略生成的功能是将数据安全判断模式预测模块的预测结果与实时数据安全状态判断模块的判断结果进行分析，得出系统当前分布式存储集群侧的数据安全判断模式以及是否需要进行模式的变更。
40.系统数据安全事件综合决策转化模块的功能是获取系统数据安全态势判断与决策模块判断出的系统当前分布式存储集群侧的数据安全判断模式，根据获取的信息对分布式存储集群所应采取的安全措施模式进行判断与决策，也即及时启用相对应于数据安全状态等级的分布式存储集群数据安全响应模式作为应对策略，其中，数据安全状态等级用于表示多种数据安全判断模式。
41.安全策略执行系统主要包含数据安全事件处理与控制模块以及数据安全风险防御策略控制模式，其功能是将数据安全智能分析系统输出的分布式存储集群的数据安全判断模式对应的策略转化为可驱动分布式存储集群的相关动作的可执行命令，并将数据安全风险防御策略落实。其中，数据安全事件处理与控制模块主要用于支持多种安全响应模式，将这多种模式的所需分布式存储集群执行的动作转化为具体操作命令，并通过驱动数据安全事件响应综合通信模块，将命令传递给部署在分布式存储集群平台层的分布式存储集群安全模式控制模块，以使其能够控制分布式存储集群执行相应的安全策略动作，例如，高级模式对应数据安全响应模式3，中级模式对应数据安全响应模式2，初级模式对应数据安全响应模式1；数据安全风险防御策略控制模块主要是用于支持高级模式对应的数据安全响应模式3中的安全策略，对分布式存储各个从存储节点的认证密钥由预制的加密算法，重新生成，并重新传送至各子节点进行自动认证链接的操作。
42.风险来源分析呈现综合示警系统的功能是根据数据安全智能分析系统对分布式存储集群的数据安全判断模式的判断结果，受到安全策略执行系统中数据安全事件处理与控制模块的驱动，将当前数据安全判断周期t内的数据安全是否存在潜在的风险隐患，以及通过系统数据安全态势判断与决策模块中的实时数据安全状态判断模块判断分析出的潜在入侵者来源及攻击行为等信息，向用过户或业务应用系统安全管理人员进行高效的展示，并能够就入侵风险进行示警提示。数据安全事件响应综合通信模块，其功能是负责接收来自数据安全事件处理与控制模块和数据安全风险防御策略控制模块的命令与信息，将其根据实际功能需求传送给分布式存储集群平台层的分布式存储集群安全模式控制模块。
43.图2是根据本技术实施例提供的分布式存储数据安全状态识别与防护方法的流程图，应用于上述实施例的分布式存储数据安全状态识别与防护系统中。如图2所示，该方法包括以下步骤：
44.步骤s202，设置数据处理系统的初始数据安全判断模式，其中，初始数据安全判断模式用于判断数据处理系统的数据安全等级，数据处理系统包含客户端、业务应用系统以及分布式存储集群。
45.具体的，分布式存储数据安全状态识别与防护系统用于对数据处理系统进行防护，在数据处理系统是指在分布式存储数据安全状态识别与安全防护系统中，攻击事件智能识别与处理系统的作用对象，可以包括多个客户端、分布式存储集群平台层等多个对象。来自外部的入侵，可以分为两类：一类是攻击者通过数据传输通道进行渗透，并对数据进行窃取，也即通过采集客户端读写次数数据的应用侧上层业务系统进行入侵；另一类，则是攻
击者绕过客户侧的传输通路，也即访问路径，直接对数据存储的末端进行渗透以获取目标数据信息，也即对分布式存储集群网关进行入侵。
46.在通过分布式存储数据安全状态识别与防护系统对数据处理系统进行防护时需要启动攻击事件智能识别与处理系统，在启动攻击事件智能识别与处理系统之前，首先，检测分布式存储集群能够正常运行，并检测在用户侧的业务应用客户端与分布式存储系统的存储路径的挂载是否完成，以及检测分布式存储集群是否能够正常为用户业务应用提供完整服务，并且设定好客户端的相关初始基础参数及相关资源、模式配置。
47.进一步的，在检测完毕上述事项之后，设置初始数据安全判断模式，具体是指通过攻击事件智能识别与处理系统中的初始化集群数据安全态势模式设置模块，对分布式存储集群的数据安全初始模式进行设置，其中，初始数据安全判断模式可以包括初级模式、中级模式以及高级模式。
48.步骤s204，获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息。
49.具体的，读写信息是指读写数据的频度与次数，通过判断客户侧与分布式存储集群侧的读写信息数值，进而得出入侵的具体位置。在攻击事件智能识别与处理系统中，利用集群系统运行状态信息参数多元化采集模块，采集分布式存储集群侧的用户业务数据读写频度与次数，以及客户应用侧的数据读写频度与次数等信息，其中，客户应用侧的数据读写频度与次数是指客户端与业务应用系统之间的数据读写信息，分布式存储集群侧的用户业务数据读写频度与次数是指业务应用系统与分布式存储集群之间的数据读写信息。
50.在分布式存储数据安全状态识别与安全防护系统中，应用侧上层业务系统与分布式存储集群网关，共同位于该系统的数据处理系统中，业务系统通过客户应用测读写次数采集模块，采集用户侧的读写行为统计数据；网关通过网关层读写次数采集模块，采集分布式存储集群侧的读写行为统计数据。
51.步骤s206，根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级。
52.具体的，根据获取到的数据读写信息确定客户端侧和应用侧上层业务系统、应用侧上层业务系统与分布式存储集群网关之间的读写数据情况以及数据安全风险事件，读写数据情况可以包含数据读取正常、数据写入正常、数据读取异常、数据写入异常，数据安全风险事件可以包含软件攻击、数据泄露、数据窃取与贩卖、网络诈骗等，并利用攻击事件智能识别与处理系统中的数据安全智能分析系统对数据处理系统的安全等级进行判断，其中，数据安全智能分析系统中包含系统数据安全态势判断与决策模块，系统数据安全态势判断与决策模块用于对数据处理系统的安全等级进行判断。
53.步骤s208，根据数据安全等级确定分布式存储集群的数据安全响应模式，其中，数据安全响应模式用于响应数据安全等级下的数据安全风险事件。
54.具体的，利用数据安全智能分析系统中的系统数据安全事件综合决策转化模块根据判断出的当前分布式云存储集群层所处于的业务数据安全等级采取对应的安全措施模式，也即采取对应的数据安全响应模式，其中，为有效应对分布式云存储集群所处的业务数据安全等级，数据安全响应模式与安全等级一一对应，分为三种数据安全响应模式：数据安
全响应模式1，也即初级安全响应模式；数据安全响应模式2，也即中级安全响应模式；数据安全响应模式3，也即高级安全响应模式。需要说明的是，各个安全响应模式可供系统运维、安全管理人员根据用户需求进行选择、配置。
55.步骤s210，控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作。
56.具体的，利用攻击事件智能识别与处理系统中的安全策略执行系统，将数据安全智能分析系统输出的分布式存储集群的数据安全判断模式转化为可驱动分布式存储集群的相关动作的操作命令，将数据安全风险防御策略落实，其中，安全策略执行系统主要包含数据安全事件处理与控制模块以及数据安全风险防御策略控制模块。
57.本技术实施例提供的分布式存储数据安全状态识别与防护方法，通过设置数据处理系统的初始数据安全判断模式，其中，初始数据安全判断模式用于判断数据处理系统的数据安全等级，数据处理系统包含客户端、业务应用系统以及分布式存储集群；获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息；根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级；根据数据安全等级确定分布式存储集群的数据安全响应模式，其中，数据安全响应模式用于响应数据安全等级下的数据安全风险事件；控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作，解决了相关技术中的安全防护方法难以有效识别网络攻击行为并采取有效防护措施的问题，通过利用智能化自动判断基于分布式存储集群的数据安全判断模式策略，调整分布式存储集群中对应地数据安全保障级别与响应模式，进而达到了有效识别网络攻击行为并采取针对性的网络攻击行为措施的效果。
58.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护方法中，设置数据处理系统的初始数据安全判断模式包括：检测在数据处理系统启动之后的预设时间段内是否接收到运维人员输入的设置指令，其中，设置指令用于指示设置初始数据安全判断模式，初始数据安全判断模式为多个等级的数据安全判断模式中的任意一个；在预设时间段内接收到运维人员输入的设置指令的情况下，根据设置指令的内容设置数据处理系统的初始数据安全判断模式；在预设时间段内未接收到运维人员输入的设置指令的情况下，将预设等级的数据安全判断模式设置为数据处理系统的初始数据安全判断模式。
59.具体的，图3是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的初始化集群数据安全态势模式设置模块的功能示意图，如图3所示，在攻击事件智能识别与处理系统在开始启动前，进行初始化操作，根据客户业务应用实际场景需求，需要通过该系统中的初始化集群数据安全态势模式设置模块中的系统初始数据安全判断模式确认子模块，人工确认是否要人为设置系统的初始数据安全判断模式，也即模块是否接收到运维人员输入的设置指令，如果系统管理人员在系统默认规定的时限内，未进行初始化参数进行主动设置，也即在预设时间段内未接收到运维人员输入的设置指令时，系统中的系统初始默认数据安全判断模式模块则启用默认的系统初始数据安全判断模式，也即初级模式，对应的，在分布式存储集群平台层上，将初级安全响应模式作为分布式存储集群的响应模式；反之，当运维人员人为设置初始化数据安全判断模式时，系统则启用对应的数据安全判断模式以及对应的分布式存储集群的响应模式。
60.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护方法中，数据读写信息包含数据读信息，根据获取到的数据读写信息确定数据读写情况和数据安全风险事件包括：在分布式存储集群统计的业务应用系统的数据读取次数之和小于客户端侧的数据读操作次数之和的情况下，确定存在数据读取异常现象；在分布式存储集群统计的业务应用系统的数据读取次数之和等于客户端侧的数据读操作次数之和的情况下，确定数据读取正常；在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，确定存在数据读取异常现象；在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据读取操作次数之和与分布式存储集群采集的数据读操作次数之和相等且大于客户端侧的数据读操作次数之和的情况下，确定存在访问路径入侵窃取数据风险事件；在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据读取操作次数之和与客户端侧的数据读操作次数之和相等的情况下，确定存在末端入侵非法读取数据风险事件。
61.具体的，集群系统运行状态信息参数多元化采集模块采集分布式存储集群侧以及客户业务应用侧的读写次数等系统运行状态信息，并将信息发送至数据安全智能分析系统中的系统数据安全态势判断与决策模块，系统数据安全态势判断与决策模块根据接收的信息基于分布式存储集群的客户业务应用系统的当前系统数据安全的等级进行识别，图4是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的系统数据安全态势判断与决策模块的结构示意图，如图4所示，系统数据安全态势判断与决策模块包括系统数据安全态势判断与决策模块包括系统读写次数信息数据获取模块、系统读写次数信息参数提取处理模块、读次数数据对比分析模块、写次数数据对比分析模块、实时数据安全状态判断模块、数据安全判断模式预测模块以及数据安全判断模式变更策略生成模块。
62.具体的，图5是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的读次数数据对比分析模块的算法流程示意图，如图5所示，利用集群系统运行状态信息参数多元化采集模块中的系统读写次数信息数据获取模块，定时或实时的获取系统多层次的读次数参数信息。具体的，利用其中的读次数数据对比分析模块对比分布式存储集群侧以及客户业务应用侧的不同层次的读次数统计数据，判断数据读取是否处于正常状态。
63.在进行对比之前，需要设置判断周期t，是指距离当前判断时间节点前t小时的时间范围。当在分布式存储集群统计的业务应用系统的数据读取次数之和小于客户端侧的数据读操作次数之和，也即出现说明客户端侧发起的读取操作中，有一部分未被分布式存储集群响应，说明在判断周期t内系统存在部分读取数据操作异常，并用sr
t
1表示读取异常，当此情况出现时，sr
t
1＝1，反之则sr
t
1＝0。其中，n为业务应用总数，k＝1，2，...，n；为分布式存储集群在判断周期t内，业务应用系统的数据读取操作次数之和；为在判断周期t内客户端侧的各业务数据读取操作次数之和。
64.当分布式存储集群统计的业务应用系统的数据读取次数之和等于客户端侧的数据读操作次数之和时，也即出现说明在判断周期t内客户端侧发起的读取操作中，全部被分布式存储集群正常响应，也即数据读取正常，用sr
t
2代表读取正常，当此情况出现时该值为1，反之则赋予0。其中，n为业务应用总数，k＝1，2，...，n；为分布式存储集群在判断周期t内，业务应用系统的数据读取操作次数之和；为在判断周期t内，客户端侧的各业务数据读取操作次数之和。
65.当在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和时，也即出现说明客户端侧发起的读取操作被分布式存储集群响应后，分布式存储集群发生了来源未知的数据读取操作，说明在判断周期t内系统存在分布式存储集群部分读取数据响应操作异常，存在数据被攻击者窃取的风险，也即确定存在数据读取异常现象。因此，需要进一步对应用侧上层业务系统的读取数据进行对比来确定潜在入侵者的入侵途径类型。
66.进一步的，当分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和时，应用侧上层业务系统记录采集的数据读取操作次数之和与布式存储集群统计的业务应用系统的数据读取次数之和相等，也即出现说明在分布式存储集群中的不明来源的读取行为发生在访问路径中，入侵者通过应用侧上层业务系统，发动直接从分布式存储系统窃取数据的存储访问路径攻击行为，并用sr
t
3表示，当存在访问路径入侵窃取数据风险时，该值赋值为1，反之为0。其中，表示应用侧上层业务系统记录采集的数据读取操作次数之和。
67.当分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和时，应用侧上层业务系统记录采集的数据读取操作次数之和与客户端侧的数据读操作次数之和相等时，也即出现说明在分布式存储集群中的不明来源的读取行为发生在分布式存储末端，入侵者通过分布式存储网关层，发动直接从分布式存储系统窃取数据的存储末端攻击行为，并用sr
t
4表示，当存在末端入侵窃取数据风险，该值赋值为1，反之为0。
68.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护方法中，数据读写信息包含数据写信息，根据获取到的数据读写信息确定数据读写情况和数据安全风险事件包括：在分布式存储集群统计的业务应用系统的数据写入次数之和小于客户端侧的数据写入数据操作次数之和的情况下，确定存在数据写入异常现象；在分布式存储集群统计的业务应用系统的数据写入次数之和等于客户端侧的数据写入数据操作次数之和的情
况下，确定数据写入正常；在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，确定存在数据写入异常现象；在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，且应用侧上层业务系统记录采集的数据写入操作次数之和与分布式存储集群采集的数据写操作次数之和相等的情况下，确定存在访问路径入侵非法写入数据风险事件；在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，且应用侧上层业务系统记录采集的数据写入操作次数之和与客户端侧的数据写操作次数之和相等的情况下，确定存在末端入侵非法写入数据风险事件。
69.具体的，图6是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的写次数数据对比分析模块算法的流程示意图，如图6所示，利用集群系统运行状态信息参数多元化采集模块中的系统读写次数信息数据获取模块定时或实时的获取系统多层次的写次数参数信息。具体的，利用其中的写次数数据对比分析模块对比分布式存储集群侧以及客户业务应用侧的不同层次的写入次数统计数据，判断数据写入是否处于正常状态。
70.具体的，当分布式存储集群统计的业务应用系统的数据写入次数之和小于客户端侧的数据写入数据操作次数之和时，也即出现说明客户端侧的写入数据操作中，有一部分未被分布式存储集群响应，说明在判断周期t内系统存在部分读写入数据操作异常，并用sw
t
1表示写入异常，若该值为0，则表示正常。
71.其中，n为业务应用总数；表示分布式存储集群在判断周期t内，业务应用系统的数据写入操作次数之和；为在判断周期t内，客户端侧的各业务数据写入操作次数之和。
72.在分布式存储集群统计的业务应用系统的数据写入次数之和等于客户端侧的数据写入数据操作次数之和时，也即出现说明在判断周期t内客户端侧发起的写入数据操作中，全部被分布式存储集群正常响应，确定数据写入正常，用sw
t
2表示写入正常，当该值为0时，表示写入异常。
73.在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和时，也即出现说明客户端侧发起的写入数据被分布式存储集群响应后，分布式存储集群发生了来源未知的数据写入操作，说明在判断周期t内系统存在分布式存储集群部分读取数据响应操作异常，分布式存储集群存在被攻击非法写入数据的风险。因此，需要进一步对应用侧上层业务系统的写入数据进行对比来确定潜在入侵者的入侵途径类型。
74.进一步的，当分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和，且应用侧上层业务系统记录采集的数据写入操作次数之
和与分布式存储集群采集的数据写操作次数之和相等时，也即出现说明发生在分布式存储集群的不明来源的写入行为发生在访问路径中，入侵者很有可能通过应用侧上层业务系统层，发动直接从分布式存储系统非法写入数据的存储访问路径攻击行为，并用sw
t
3表示存在访问路径入侵非法写入数据风险，赋值为1，当该值为0时，则表示无存在访问路径入侵非法写入数据风险。其中，是指判断周期t内，应用侧上层业务系统记录采集的数据写入操作次数之和。
75.当分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和，且应用侧上层业务系统记录采集的数据写入操作次数之和与客户端侧的数据写入数据操作次数之和相等时，也即出现说明发生在分布式存储集群的不明来源的写入数据行为发生在分布式存储末端，入侵者很有可能通过分布式存储网关层，发动直接向分布式存储系统非法写入数据的存储末端攻击行为，并用sw
t
4为1表示存在末端入侵非法写入数据风险，当该值为0时，则表示未存在末端入侵非法写入数据风险。
76.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护方法中，通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级包括：在数据读写情况指示同时存在数据读取异常现象与数据写入异常现象的情况下，和/或在至少存在一个目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第一等级，其中，目标数据安全风险事件包括：访问路径入侵窃取数据风险事件、末端入侵非法读取数据风险事件访问路径、访问路径入侵非法写入数据风险事件、末端入侵非法写入数据风险事件；在数据读写情况指示存在数据读取异常现象或数据写入异常现象，且不存在任一目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第二等级，其中，第一等级高于第二等级；在数据读写情况指示数据读取正常数据写入正常，且不存在任一目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第三等级，其中，第二等级高于第三等级。
77.具体的，第一等级可以为高级模式；第二等级可以为中级模式；第三等级可以为初级模式。根据攻击事件智能识别与处理系统中的对业务应用系统的数据安全情况做出的判断，以及所应启用的数据安全响应模式，控制分布式存储集群平台层及时做出相应的动作，其中，所需要的数据安全事件响应等级，在系统中设置为三个等级：初级模式、中级模式、高级模式，分布式存储集群的数据安全事件响应模式与业务应用系统的数据安全响应模式等级对应关系为“初级模式”对应的分布式存储集群的数据安全响应模式为初级安全响应模式；“中级模式”对应的分布式存储集群的数据安全响应模式为中级安全响应模式；“高级模式”对应的分布式存储集群的数据安全响应模式为高级安全响应模式。
78.具体的，图7是根据本技术实施例提供的分布式存储数据安全状态识别与防护系统中的实时数据安全状态判断模块的算法流程示意图，如图7所示，根据读次数数据对比分析模块以及写次数数据对比分析模块的对比判断结果，对分布式存储集群的业务应用系统
中的数据安全状态的判断。
79.具体的，读次数数据对比分析模块输出结果用sr(t)＝(sr
t
1，sr
t
2，sr
t
3，sr
t
4)表示；写次数数据对比分析模块输出结果用sw(t)＝(sw
t
1，sw
t
2，sw
t
3，sw
t
4)进行表示。
80.当sr
t
1+sw
t
1≥2时，则表明同时存在“读取异常”与“写入异常”，也即发现存在“存在访问路径入侵窃取数据风险”、“存在末端入侵窃取数据风险”、“存在访问路径入侵非法写入数据风险”、“存在末端入侵非法写入数据风险”四种入侵风险中的任何一种或多种。在该情况下，数据安全风险较高，则将数据安全等级设置为高级模式。
81.当1≤sr
t
1+sw
t
1＜2，且sr
t
3＝0，sr
t
4＝0，sw
t
3＝0，sw
t
4＝0，时说明仅存在“读取异常”与“写入异常”中的一种情况，且未发现存在“存在访问路径入侵窃取数据风险”、“存在末端入侵窃取数据风险”、“存在访问路径入侵非法写入数据风险”、“存在末端入侵非法写入数据风险”四种入侵风险中的任何一种。此种情况下分布式存储数据安全风险存在，但是仍处于可控范围，则将数据安全等级设置为中级模式。
82.当sr
t
1+sw
t
1＝0时说明，同时存在“读取正常”与“写入正常”，且未发现存在“存在访问路径入侵窃取数据风险”、“存在末端入侵非法写入数据风险”、“存在访问路径入侵非法写入数据风险”、“存在末端入侵非法写入数据风险”四种入侵风险中的任何一种。此种情况下分布式存储数据安全风险较低，将数据安全等级设置为初级模式。并且，将数据安全状态判断模块最终输出的数据安全等级的判断结果记作st0。
83.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护方法中，在通过初始数据安全判断模式根据获取到的数据读写信息确定数据处理系统的数据安全等级之后，方法还包括：根据数据处理系统的数据安全等级确定预设数据安全判断模式；在数据处理系统的下一防护周期，将预设数据安全判断模式与上一防护周期的初始数据安全判断模式进行对比；在预设数据安全判断模式与初始数据安全判断模式不同的情况下，更新下一防护周期的数据安全判断模式；在预设数据安全判断模式与初始数据安全判断模式相同的情况下，将初始数据安全判断模式确定为下一防护周期的数据安全判断模式。
84.具体的，图8是根据本技术实施例提供的数据安全判断模式变更策略生成模块的算法流程示意图，如图8所示，利用预测周期内数据安全事件预判模块，基于历史数据建立分布式存储集群数据安全状态的数学模型，利用机器学习方法对当前判断周期t的下一个判断周期t1的分布式存储集群数据安全状态进行预判，其预判结果为st1。将数据安全状态判断模块最终输出的数据安全等级的判断结果与该预判结果进行异或运算，也即得到输出结果rst。当rst为0时，则表示当前判断周期t内的数据安全判断模式的判断结果与对下一判断周期t内的数据安全判断模式的预测结果相同，则直接输出目标的数据安全判断模式结果，也即输出结果与数据安全状态判断模块最终输出的数据安全等级的判断结果一致，也即rst＝st0，无需进行数据安全判断模式的变更；反之，当rst为1时，则表示对当前判断周期t内的数据安全判断模式的判断结果与下一判断周期t内的数据安全判断模式的预测结果不同，则在输出实时数据安全状态判断模块的判断结果的同时，需要系统预先做好下一判断周期t1进行分布式存储集群的数据安全判断模式的变更准备。
85.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护方法中，控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作包括：将安全响应
模式需要分布式存储集群执行的动作转化为操作命令；将操作命令传递给部署在分布式存储集群的控制模块，通过控制模块控制分布式存储集群执行操作命令指示的安全策略动作。
86.具体的，利用攻击事件智能识别与处理系统中安全策略执行系统转化的操作命令，并利用安全策略执行系统中的数据安全事件处理与控制模块，将三种安全响应模式所需要的分布式存储集群执行的动作转化为具体的操作命令。
87.对于初级安全响应模式，分布式存储集群会按照常规的业务逻辑运行，并遵循用户对分布式存储集群的配置，进行业务数据的存储与常规的数据副本存储冗余容灾备份，主动操作转换为特定的数据安全判断模式；对于中级安全响应模式，会对分布式存储集群中的结构化数据存储系统与非结构化数据存储系统，原有的数据一致性配置进行备份，并将所有存储系统的数据一致性、灾备模式等配置进行统一设置，自动调整备份副本的原有存储位置分布，以及存储位置元数据的变更，降低副本被损坏或盗取的风险。
88.对于高级安全响应模式，会对分布式存储集群中的所有业务应用数据存储系统原有的数据一致性、灾备模式等配置进行备份，并将所有存储系统的数据一致性、灾备模式等配置进行统一设置，自动调整备份副本的存储位置分布，将原本在同一资源池或数据中心的数据副本按照尽可能分散化的原则进行迁移，降低所有副本被全部损坏的风险，以提高分布式存储数据安全性。其次，分布式存储的密钥将由预制的加密算法，重新生成，并重新传送至各子节点进行自动认证链接。最后，同时将相关动作与数据安全险情通知用户和系统安全管理员，以保障系统不会因突发的数据安全风险而导致云平台上的业务应用出现迟滞或终断。
89.首先，驱动数据安全事件响应综合通信模块，接收来自数据安全事件处理与控制模块和数据安全风险防御策略控制模块的命令与信息，将其根据实际功能需求传送给分布式存储集群平台层的分布式存储集群安全模式控制模块，传递给部署在分布式存储集群平台层的分布式存储集群安全模式控制模块，以使其能够控制分布式存储集群执行相应的安全策略动作，其中，高级安全响应模式所对应的安全策略中，利用数据安全风险防御策略控制模块，对分布式存储各个从存储节点的认证密钥由预制的加密算法，重新生成，并重新传送至各子节点进行自动认证链接的操作，使得在该响应模式下，运维人员可以根据实际业务场景的网络与信息安全需求，加入或清除预制的存储节点认证密钥加密算法。
90.其次，驱动风险来源分析呈现综合示警系统，根据数据安全智能分析系统对分布式存储集群的数据安全判断模式判断结果、当前判断周期t内的数据安全是否存在潜在的风险隐患以及通过实时数据安全状态判断模块判断分析出的潜在入侵者来源及攻击行为等信息，向安全管理人员进行高效的展示，并能够就入侵风险进行示警提示。
91.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
92.数据安全判断模式数据安全判断模式数据安全判断模式数据安全判断模式数据安全判断模式数据安全判断模式数据安全判断模式数据安全判断模式本技术实施例还提供了一种分布式存储数据安全状态识别与防护装置，需要说明的是，本技术实施例的分布式存储数据安全状态识别与防护装置可以用于执行本技术实施例所提供的用于分布式存
储数据安全状态识别与防护方法。以下对本技术实施例提供的分布式存储数据安全状态识别与防护装置进行介绍。
93.图9是根据本技术实施例提供的分布式存储数据安全状态识别与防护装置的示意图。如图9所示，该装置包括：设置单元90、获取单元91、第一确定单元92、第二确定单元93以及控制单元94。
94.设置单元90，用于设置数据处理系统的初始数据安全判断模式，其中，初始数据安全判断模式用于判断数据处理系统的数据安全等级，数据处理系统包含客户端、业务应用系统以及分布式存储集群；
95.获取单元91，用于获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息；
96.第一确定单元92，用于根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级；
97.第二确定单元93，用于根据数据安全等级确定分布式存储集群的数据安全响应模式，其中，数据安全响应模式用于响应数据安全等级下的数据安全风险事件；
98.控制单元94，用于控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作。
99.本技术实施例提供的分布式存储数据安全状态识别与防护装置，通过设置单元90，用于设置数据处理系统的初始数据安全判断模式，其中，初始数据安全判断模式用于判断数据处理系统的数据安全等级，数据处理系统包含客户端、业务应用系统以及分布式存储集群；获取单元91，用于获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息；第一确定单元92，用于根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级；第二确定单元93，用于根据数据安全等级确定分布式存储集群的数据安全响应模式，其中，数据安全响应模式用于响应数据安全等级下的数据安全风险事件；控制单元94，用于控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作，解决了相关技术中的安全防护方法难以有效识别网络攻击行为并采取有效防护措施的问题，通过利用智能化自动判断基于分布式存储集群的数据安全判断模式策略，调整分布式存储集群中对应地数据安全保障级别与响应模式，进而达到了有效识别网络攻击行为并采取针对性的网络攻击行为措施的效果。
100.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护装置中，设置单元90包括：检测模块，用于检测在数据处理系统启动之后的预设时间段内是否接收到运维人员输入的设置指令，其中，设置指令用于指示设置初始数据安全判断模式，初始数据安全判断模式为多个等级的数据安全判断模式中的任意一个；第一设置模块，用于在预设时间段内接收到运维人员输入的设置指令的情况下，根据设置指令的内容设置数据处理系统的初始数据安全判断模式；第二设置模块，用于在预设时间段内未接收到运维人员输入的设置指令的情况下，将预设等级的数据安全判断模式设置为数据处理系统的初始数据安全判断模式。
101.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护装置中，第
一确定单元92包括：第一确定模块，用于在数据读写情况指示同时存在数据读取异常现象与数据写入异常现象的情况下，和/或在至少存在一个目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第一等级，其中，目标数据安全风险事件包括：访问路径入侵窃取数据风险事件、末端入侵非法读取数据风险事件访问路径、访问路径入侵非法写入数据风险事件、末端入侵非法写入数据风险事件；第二确定模块，用于在数据读写情况指示存在数据读取异常现象或数据写入异常现象，且不存在任一目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第二等级，其中，第一等级高于第二等级；第三确定模块，用于在数据读写情况指示数据读取正常数据写入正常，且不存在任一目标数据安全风险事件的情况下，将数据处理系统的数据安全等级确定为第三等级，其中，第二等级高于第三等级。
102.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护装置中，第一确定单元92包括：第四确定模块，用于在分布式存储集群统计的业务应用系统的数据读取次数之和小于客户端侧的数据读操作次数之和的情况下，确定存在数据读取异常现象；第五确定模块，用于在分布式存储集群统计的业务应用系统的数据读取次数之和等于客户端侧的数据读操作次数之和的情况下，确定数据读取正常；第六确定模块，用于在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，确定存在数据读取异常现象；第七确定模块，用于在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据读取操作次数之和与分布式存储集群采集的数据读操作次数之和相等且大于客户端侧的数据读操作次数之和的情况下，确定存在访问路径入侵窃取数据风险事件；第八确定模块，用于在分布式存储集群统计的业务应用系统的数据读取次数之和大于客户端侧的数据读操作次数之和的情况下，且在应用侧上层业务系统记录采集的数据读取操作次数之和与客户端侧的数据读操作次数之和相等的情况下，确定存在末端入侵非法读取数据风险事件。
103.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护装置中，第一确定单元92包括：第九确定模块，用于在分布式存储集群统计的业务应用系统的数据写入次数之和小于客户端侧的数据写入数据操作次数之和的情况下，确定存在数据写入异常现象；第十确定模块，用于在分布式存储集群统计的业务应用系统的数据写入次数之和等于客户端侧的数据写入数据操作次数之和的情况下，确定数据写入正常；第十一确定模块，用于在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，确定存在数据写入异常现象；第十二确定模块，用于在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，且在业务应用系统采集的数据写操作次数之和与分布式存储集群采集的数据写操作次数之和相等且大于客户端侧的数据写操作次数之和的情况下，确定存在访问路径入侵非法写入数据风险事件；第十三确定模块，用于在分布式存储集群统计的业务应用系统数据写入次数之和大于客户端侧的数据写入数据操作次数之和的情况下，且在业务应用系统采集的数据写操作次数之和与客户端侧的数据写操作次数之和相等的情况下，确定存在末端入侵非法写入数据风险事件。
104.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护装置中，装
置包括：第三确定单元，用于在通过初始数据安全判断模式根据获取到的数据读写信息确定数据处理系统的数据安全等级之后，根据数据处理系统的数据安全等级确定预设数据安全判断模式；对比单元，用于在数据处理系统的下一防护周期，将预设数据安全判断模式与上一防护周期的初始数据安全判断模式进行对比；更新单元，用于在预设数据安全判断模式与初始数据安全判断模式不同的情况下，更新下一防护周期的数据安全判断模式；第四确定单元，用于在预设数据安全判断模式与初始数据安全判断模式相同的情况下，将初始数据安全判断模式确定为下一防护周期的数据安全判断模式。
105.可选地，在本技术实施例提供的分布式存储数据安全状态识别与防护装置中，控制单元94包括：转化模块，用于将安全响应模式需要分布式存储集群执行的动作转化为操作命令；执行模块，用于将操作命令传递给部署在分布式存储集群的控制模块，通过控制模块控制分布式存储集群执行操作命令指示的安全策略动作。
106.上述分布式存储数据安全状态识别与防护装置包括处理器和存储器，上述设置单元90、获取单元91、第一确定单元92、第二确定单元93以及控制单元94。等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
107.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决相关技术中未能有效识别网络攻击行为并采取相应有效防护措施的问题。
108.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
109.本技术实施例还提供了一种计算机存储介质，计算机存储介质包括存储的程序，其中，程序运行时控制计算机存储介质所在的设备执行一种分布式存储数据安全状态识别与防护方法。
110.本技术实施例还提供了一种电子装置，包含处理器和存储器；存储器中存储有计算机可读指令，处理器用于运行计算机可读指令，其中，计算机可读指令运行时执行一种分布式存储数据安全状态识别与防护方法。本文中的电子装置可以是服务器、pc、pad、手机等。
111.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
112.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
113.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特
定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
114.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
115.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
116.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
117.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
118.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
119.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种分布式存储数据安全状态识别与防护方法，其特征在于，包括：设置数据处理系统的初始数据安全判断模式，其中，所述初始数据安全判断模式用于判断所述数据处理系统的数据安全等级，所述数据处理系统包含客户端、业务应用系统以及分布式存储集群；获取所述客户端与所述业务应用系统之间的数据读写信息，并获取所述业务应用系统与所述分布式存储集群之间的数据读写信息；根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过所述初始数据安全判断模式根据所述数据读写情况和所述数据安全风险事件确定所述数据处理系统的数据安全等级；根据所述数据安全等级确定所述分布式存储集群的数据安全响应模式，其中，所述数据安全响应模式用于响应所述数据安全等级下的数据安全风险事件；控制所述分布式存储集群按照所述数据安全响应模式对所述数据安全风险事件执行操作。2.根据权利要求1所述的方法，其特征在于，设置数据处理系统的初始数据安全判断模式包括：检测在所述数据处理系统启动之后的预设时间段内是否接收到运维人员输入的设置指令，其中，所述设置指令用于指示设置初始数据安全判断模式，所述初始数据安全判断模式为多个等级的数据安全判断模式中的任意一个；在所述预设时间段内接收到所述运维人员输入的所述设置指令的情况下，根据所述设置指令的内容设置所述数据处理系统的所述初始数据安全判断模式；在所述预设时间段内未接收到所述运维人员输入的所述设置指令的情况下，将预设等级的数据安全判断模式设置为所述数据处理系统的所述初始数据安全判断模式。3.根据权利要求1所述的方法，其特征在于，通过所述初始数据安全判断模式根据所述数据读写情况和所述数据安全风险事件确定所述数据处理系统的数据安全等级包括：在所述数据读写情况指示同时存在数据读取异常现象与数据写入异常现象的情况下，和/或在至少存在一个目标数据安全风险事件的情况下，将所述数据处理系统的数据安全等级确定为第一等级，其中，所述目标数据安全风险事件包括：访问路径入侵窃取数据风险事件、末端入侵非法读取数据风险事件访问路径、访问路径入侵非法写入数据风险事件、末端入侵非法写入数据风险事件；在所述数据读写情况指示存在数据读取异常现象或数据写入异常现象，且不存在任一所述目标数据安全风险事件的情况下，将所述数据处理系统的数据安全等级确定为第二等级，其中，所述第一等级高于所述第二等级；在所述数据读写情况指示数据读取正常数据写入正常，且不存在任一所述目标数据安全风险事件的情况下，将所述数据处理系统的数据安全等级确定为第三等级，其中，所述第二等级高于所述第三等级。4.根据权利要求3所述的方法，其特征在于，所述数据读写信息包含数据读信息，根据获取到的数据读写信息确定数据读写情况和数据安全风险事件包括：在所述分布式存储集群统计的所述业务应用系统的数据读取次数之和小于客户端侧的数据读操作次数之和的情况下，确定存在所述数据读取异常现象；
在所述分布式存储集群统计的所述业务应用系统的数据读取次数之和等于所述客户端侧的数据读操作次数之和的情况下，确定数据读取正常；在所述分布式存储集群统计的所述业务应用系统的数据读取次数之和大于所述客户端侧的数据读操作次数之和的情况下，确定存在所述数据读取异常现象；在所述分布式存储集群统计的所述业务应用系统的数据读取次数之和大于所述客户端侧的数据读操作次数之和的情况下，且在所述业务应用系统记录采集的数据读取操作次数之和与所述分布式存储集群采集的数据读操作次数之和相等且大于所述客户端侧的数据读操作次数之和的情况下，确定存在所述访问路径入侵窃取数据风险事件；在所述分布式存储集群统计的所述业务应用系统的数据读取次数之和大于所述客户端侧的数据读操作次数之和的情况下，且在所述业务应用系统记录采集的数据读取操作次数之和与所述客户端侧的数据读操作次数之和相等的情况下，确定存在所述末端入侵非法读取数据风险事件。5.根据权利要求3所述的方法，其特征在于，所述数据读写信息包含数据写信息，根据获取到的数据读写信息确定数据读写情况和数据安全风险事件包括：在所述分布式存储集群统计的所述业务应用系统的数据写入次数之和小于客户端侧的数据写入数据操作次数之和的情况下，确定存在所述数据写入异常现象；在所述分布式存储集群统计的所述业务应用系统的数据写入次数之和等于所述客户端侧的数据写入数据操作次数之和的情况下，确定数据写入正常；在所述分布式存储集群统计的所述业务应用系统数据写入次数之和大于所述客户端侧的数据写入数据操作次数之和的情况下，确定存在所述数据写入异常现象；在所述分布式存储集群统计的所述业务应用系统数据写入次数之和大于所述客户端侧的数据写入数据操作次数之和的情况下，且在所述业务应用系统采集的数据写操作次数之和与所述分布式存储集群采集的数据写操作次数之和相等且大于所述客户端侧的数据写操作次数之和的情况下，确定存在所述访问路径入侵非法写入数据风险事件；在所述分布式存储集群统计的所述业务应用系统数据写入次数之和大于所述客户端侧的数据写入数据操作次数之和的情况下，且在所述业务应用系统采集的数据写操作次数之和与所述客户端侧的数据写操作次数之和相等的情况下，确定存在所述末端入侵非法写入数据风险事件。6.根据权利要求1所述的方法，其特征在于，在通过所述初始数据安全判断模式根据获取到的数据读写信息确定所述数据处理系统的数据安全等级之后，所述方法还包括：根据所述数据处理系统的数据安全等级确定预设数据安全判断模式；在所述数据处理系统的下一防护周期，将所述预设数据安全判断模式与上一防护周期的所述初始数据安全判断模式进行对比；在所述预设数据安全判断模式与所述初始数据安全判断模式不同的情况下，更新所述下一防护周期的数据安全判断模式；在所述预设数据安全判断模式与所述初始数据安全判断模式相同的情况下，将所述初始数据安全判断模式确定为所述下一防护周期的数据安全判断模式。7.根据权利要求1所述的方法，其特征在于，控制所述分布式存储集群按照所述数据安全响应模式对所述数据安全风险事件执行操作包括：
将所述安全响应模式需要所述分布式存储集群执行的动作转化为操作命令；将所述操作命令传递给部署在所述分布式存储集群的控制模块，通过所述控制模块控制所述分布式存储集群执行所述操作命令指示的安全策略动作。8.一种分布式存储数据安全状态识别与防护装置，其特征在于，包括：设置单元，用于设置数据处理系统的初始数据安全判断模式，其中，所述初始数据安全判断模式用于判断所述数据处理系统的数据安全等级，所述数据处理系统包含客户端、业务应用系统以及分布式存储集群；获取单元，用于获取所述客户端与所述业务应用系统之间的数据读写信息，并获取所述业务应用系统与所述分布式存储集群之间的数据读写信息；第一确定单元，用于根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过所述初始数据安全判断模式根据所述数据读写情况和所述数据安全风险事件确定所述数据处理系统的数据安全等级；第二确定单元，用于根据所述数据安全等级确定所述分布式存储集群的数据安全响应模式，其中，所述数据安全响应模式用于响应所述数据安全等级下的数据安全风险事件；控制单元，用于控制所述分布式存储集群按照所述数据安全响应模式对所述数据安全风险事件执行操作。9.一种计算机存储介质，其特征在于，所计算机存储介质包括存储的程序，其中，所述程序运行时控制所述计算机存储介质所在的设备执行权利要求1至7中任意一项所述的分布式存储数据安全状态识别与防护方法。10.一种电子装置，其特征在于，包含处理器和存储器，所述存储器中存储有计算机可读指令，所述处理器用于运行所述计算机可读指令，其中，所述计算机可读指令运行时执行权利要求1至7中任意一项所述的分布式存储数据安全状态识别与防护方法。

技术总结
本申请公开了一种分布式存储数据安全状态识别与防护方法。该方法包括：设置数据处理系统的初始数据安全判断模式；获取客户端与业务应用系统之间的数据读写信息，并获取业务应用系统与分布式存储集群之间的数据读写信息；根据获取到的数据读写信息确定数据读写情况和数据安全风险事件，并通过初始数据安全判断模式根据数据读写情况和数据安全风险事件确定数据处理系统的数据安全等级；根据数据安全等级确定分布式存储集群的数据安全响应模式；控制分布式存储集群按照数据安全响应模式对数据安全风险事件执行操作。通过本申请，解决了相关技术中的安全防护方法难以有效识别网络攻击行为并采取有效防护措施的问题。络攻击行为并采取有效防护措施的问题。络攻击行为并采取有效防护措施的问题。


技术研发人员：侯永进 田生军 刘刚 刘悦 陈克岚
受保护的技术使用者：中国电信股份有限公司
技术研发日：2022.12.28
技术公布日：2023/7/12