CN113297578B - 基于大数据和人工智能的信息感知方法及信息安全系统 - Google Patents
基于大数据和人工智能的信息感知方法及信息安全系统 Download PDFInfo
- Publication number
- CN113297578B CN113297578B CN202110708100.XA CN202110708100A CN113297578B CN 113297578 B CN113297578 B CN 113297578B CN 202110708100 A CN202110708100 A CN 202110708100A CN 113297578 B CN113297578 B CN 113297578B
- Authority
- CN
- China
- Prior art keywords
- information
- attack
- threat
- situation awareness
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供一种基于大数据和人工智能的信息感知方法及信息安全系统,通过获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报,并确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,以及根据攻击情报关系参数确定安全态势感知关系图谱,并根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制,使得安全态势感知过程更匹配实际威胁攻击情报的深度关联信息,从而可以提高对目标态势感知运行对象进行安全态势感知控制获得的情报关联的态势感知信息量。
Description
技术领域
本公开涉及信息安全技术领域,具体而言,涉及一种基于大数据和人工智能的信息感知方法及信息安全系统。
背景技术
随着互联网信息规模和复杂性不断增大,互联网信息的攻击技术不断革新,新型攻击工具大量涌现,传统的互联网信息安全技术显得力不从心,信息安全攻击行为不可避免,信息安全问题越发严峻,因此需要进行信息安全态势感知。
信息安全态势是指由各种信息互联网服务运行状况、信息行为以及用户行为等因素所构成的整个信息当前状态和变化趋势。信息安全态势感知是指在大规模互联网信息环境中,对能够引起信息安全态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势,进而进行相应的安全处理措施。在相关技术的信息安全态势感知过程中,当前的安全态势感知过程没有考虑到实际实际威胁攻击情报的深度关联情况,导致对目标态势感知运行对象进行安全态势感知控制获得的情报关联的态势感知信息量不足,导致可能会影响后续开发人员进行安全防护配置的效果。
发明内容
为了至少克服现有技术中的上述不足,本公开的目的在于提供一种基于大数据和人工智能的信息感知方法及信息安全系统。
第一方面,本公开提供一种基于大数据和人工智能的信息感知方法,应用于信息安全系统,所述信息安全系统与多个数字化服务平台通信连接,所述方法包括:
获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和所述目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报;
根据所述目标态势感知运行对象的当前威胁攻击情报和所述其它态势感知运行对象的当前威胁攻击情报,确定所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数;
根据所述攻击情报关系参数确定安全态势感知关系图谱,并根据所述安全态势感知关系图谱对所述目标态势感知运行对象进行安全态势感知控制。
第二方面,本公开实施例还提供一种基于大数据和人工智能的信息感知系统,所述基于大数据和人工智能的信息感知系统包括信息安全系统以及与所述信息安全系统通信连接的多个数字化服务平台;
所述信息安全系统,用于:
获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和所述目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报;
根据所述目标态势感知运行对象的当前威胁攻击情报和所述其它态势感知运行对象的当前威胁攻击情报,确定所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数;
根据所述攻击情报关系参数确定安全态势感知关系图谱,并根据所述安全态势感知关系图谱对所述目标态势感知运行对象进行安全态势感知控制。
基于上述任意一个方面,本公开通过获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报,并根据目标态势感知运行对象的当前威胁攻击情报和其它态势感知运行对象的当前威胁攻击情报,确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,以及根据攻击情报关系参数确定安全态势感知关系图谱,并根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制,使得安全态势感知过程更匹配实际威胁攻击情报的深度关联信息,从而可以提高对目标态势感知运行对象进行安全态势感知控制获得的情报关联的态势感知信息量。
附图说明
图1为本公开实施例提供的基于大数据和人工智能的信息感知系统的应用场景示意图;
图2为本公开实施例提供的基于大数据和人工智能的信息感知方法的流程示意图;
图3为本公开实施例提供的用于实现上述的基于大数据和人工智能的信息感知方法的信息安全系统的架构示意框图。
具体实施方式
下面结合说明书附图对本公开进行具体说明,方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。
图1是本公开一种实施例提供的基于大数据和人工智能的信息感知系统10的交互示意图。基于大数据和人工智能的信息感知系统10可以包括信息安全系统100以及与信息安全系统100通信连接的数字化服务平台200。图1所示的基于大数据和人工智能的信息感知系统10仅为一种可行的示例,在其它可行的实施例中,该基于大数据和人工智能的信息感知系统10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的团成部分。
一种可独立实施的实施例中,基于大数据和人工智能的信息感知系统10中的信息安全系统100和数字化服务平台200可以通过配合执行以下方法实施例所描述的基于大数据和人工智能的信息感知方法,具体信息安全系统100和数字化服务平台200的执行步骤部分可以参照以下方法实施例的详细描述。
为了解决前述背景技术中的技术问题,图2为本公开实施例提供的基于大数据和人工智能的信息感知方法的流程示意图,本实施例提供的基于大数据和人工智能的信息感知方法可以由图1中所示的信息安全系统100执行,下面对该基于大数据和人工智能的信息感知方法进行详细介绍。
步骤S110,获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报。
一种可独立实施的实施例中,目标安全态势感知通道是指需要对运行在该安全态势感知通道中的态势感知运行对象进行安全态势感知控制的安全态势感知通道,可包括风险聚合感知通道、风险拆分感知通道、风险迁移感知通道、特定安全态势感知通道等容易引起补充态势感知行为的感知通道。
一种可独立实施的实施例中,目标态势感知运行对象是指位于目标安全态势感知通道中的待进行安全态势感知控制的态势感知运行对象。其它态势感知运行对象是指运行在目标态势感知运行对象所在目标安全态势感知通道中且位于目标态势感知范围内的态势感知运行对象,例如当目标安全态势感知通道的态势感知范围较大时,其它态势感知运行对象可包括目标态势感知运行对象之前第一态势感知范围内的态势感知运行对象和目标态势感知运行对象之后第二态势感知范围内的态势感知运行对象,第一态势感知范围和第二态势感知范围可以相同或不同;当目标安全态势感知通道的态势感知范围较小时,其它态势感知运行对象可包括整个目标安全态势感知通道中除目标态势感知运行对象以外的所有态势感知运行对象。
一种可独立实施的实施例中,威胁攻击情报是指态势感知运行对象可关联的攻击情报特征,可包括正常威胁攻击情报、频繁性威胁攻击情报、衰减威胁攻击情报、突变威胁攻击情报和静态威胁攻击情报等。其中,正常威胁攻击情报是指按照正常情报状态对态势感知运行对象进行反馈,使得态势感知运行对象所获得的攻击情报特征,可包括稳定威胁攻击情报、正常正浮动威胁攻击情报和正常负浮动威胁攻击情报等;频繁性威胁攻击情报是指持续使态势感知运行对象的攻击情报特征处于频繁情报产生状态下,使得态势感知运行对象利用频繁状态特征的攻击情报特征。衰减威胁攻击情报是指持续使态势感知运行对象的攻击情报特征处于一定衰减的攻击情报特征;突变威胁攻击情报是指态势感知运行对象的攻击情报特征的突变节点增加的攻击情报特征。静态威胁攻击情报是指使态势感知运行对象的攻击情报特征处于静止不变状态,使得态势感知运行对象利用当前的攻击情报特征长期保持不变的攻击情报特征。当前威胁攻击情报是指态势感知运行对象当前时序节点获得的威胁攻击情报,可包括上述威胁攻击情报中的任一种。
目标态势感知运行对象的当前威胁攻击情报是指目标态势感知运行对象当前时序节点获得的威胁攻击情报,可由目标态势感知运行对象上的情报采集应用通过情报采集触发器识别获得,具体可采用现有技术实现,这里不做限制。其它态势感知运行对象的当前威胁攻击情报是指其它态势感知运行对象当前时序节点获得的威胁攻击情报,可由其它态势感知运行对象上的情报采集应用通过情报采集触发器识别获得,具体可采用现有技术实现,这里不做限制。
可以理解的是,当本公开的基于大数据和人工智能的信息感知方法应用于任一态势感知运行对象时,当该态势感知运行对象运行于目标安全态势感知通道中时,该态势感知运行对象即作为目标态势感知运行对象,为便于说明,后续描述中所提及的本态势感知运行对象均是指目标态势感知运行对象。例如,当目标安全态势感知通道包括风险聚合感知通道时,当目标态势感知运行对象处于或即将激活到或即将移出该风险聚合感知通道时,目标态势感知运行对象上的情报采集应用通过情报采集触发器识别本态势感知运行对象的当前威胁攻击情报,并在识别完成后,对本态势感知运行对象进行标记,如记本态势感知运行对象标号为k,本态势感知运行对象的当前威胁攻击情报为wk∈{r1,r2,...,rm},其中rm表示态势感知运行对象可关联的第m种威胁攻击情报,同时,目标态势感知运行对象通过API接口向信息安全系统100请求该风险聚合感知通道上其它态势感知运行对象的当前威胁攻击情报,并对其它态势感知运行对象进行标记,如记其它态势感知运行对象的当前威胁攻击情报分别为w1、w2、...、wk-1、wk+1、...、wn,且w1,w2,...,wk-1,wk+1,...,wn∈{r1,r2,...,rm},其中wn表示第n个其它态势感知运行对象的当前威胁攻击情报。
需要说明的是,处于或即将激活到或即将移出上述风险聚合感知通道的每个态势感知运行对象均通过API接口将自身的当前威胁攻击情报上传给信息安全系统100,以便进行安全态势感知控制。其中,即将激活到风险聚合感知通道是指态势感知运行对象正在激活到风险聚合感知通道且与风险聚合感知通道的初始感知时序之间的等候时间在激活等候时间内;即将移出风险聚合感知通道是指态势感知运行对象正在移出风险聚合感知通道且与风险聚合感知通道的终止感知时序之间的等候时间在激活等候时间内,激活等候时间可根据实际需求进行灵活确定。
步骤S120,根据目标态势感知运行对象的当前威胁攻击情报和其它态势感知运行对象的当前威胁攻击情报,确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。
本实施例中,攻击情报关系参数是研究威胁攻击情报之间关系程度的量,可以用来度量威胁攻击情报之间的函数度量关系。威胁攻击情报之间的关系参数是指不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的关系参数,威胁攻击情报之间的攻击情报关系参数是指不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数。目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的关系参数是指目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报导致的以往补充态势感知行为数量之间的关系参数,目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数是指目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用在获得本态势感知运行对象的当前威胁攻击情报wk和其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn后,根据本态势感知运行对象的当前威胁攻击情报wk和其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn,按照预设策略依次确定出本态势感知运行对象的当前威胁攻击情报与每个其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,所获得的攻击情报关系参数的个数与其它态势感知运行对象的个数相同。例如,目标态势感知运行对象先根据本态势感知运行对象的当前威胁攻击情报wk和第1个其它态势感知运行对象的当前威胁攻击情报w1,按照预设策略确定出本态势感知运行对象的当前威胁攻击情报与第1个其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数记为L1,接着,根据本态势感知运行对象的当前威胁攻击情报wk和第2个其它态势感知运行对象的当前威胁攻击情报w2,按照预设策略确定出本态势感知运行对象的当前威胁攻击情报与第2个其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数记为L2,…;以此类推,直至确定出本态势感知运行对象的当前威胁攻击情报与第n个其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数记为最终获得n个攻击情报关系参数,分别为L1、L2、......、Ln。
步骤S130,根据攻击情报关系参数确定安全态势感知关系图谱,并根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制。
通过前述可知,攻击情报关系参数是研究变量之间关系程度的量,目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数是指目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数,因此目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数在一定程度上反映了以当前威胁攻击情报运行的目标态势感知运行对象和其它态势感知运行对象之间引起补充态势感知行为的可能性,攻击情报关系参数越大,说明两态势感知运行对象之间引起补充态势感知行为的可能性越高;攻击情报关系参数越小,说明两态势感知运行对象之间引起补充态势感知行为的可能性越小。因此,可以通过攻击情报关系参数对目标态势感知运行对象进行安全态势感知控制,使得安全态势感知过程更匹配实际威胁攻击情报的深度关联信息,以便提前做出相应决策。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用可按照攻击情报关系参数的大小顺序,对本态势感知运行对象进行安全态势感知控制。其中,当目标态势感知运行对象具有业务标签时,目标态势感知运行对象上的情报采集应用可按照攻击情报关系参数的大小顺序将相应其它态势感知运行对象的态势感知运行对象信息在本态势感知运行对象上进行进行安全态势感知控制,便于进行与其它态势感知运行对象之间的组合安全态势感知;或者,目标态势感知运行对象上的情报采集应用也可按照攻击情报关系参数的大小顺序根据相应其它态势感知运行对象的态势感知运行对象信息进行预判,以便根据态势感知运行对象信息提前做出决策。其中,态势感知运行对象信息可包括其它态势感知运行对象的当前威胁攻击情报、业务标签信息和类型信息等,态势感知运行对象信息可由处于或即将激活到或即将移出上述风险聚合感知通道的每个态势感知运行对象通过API接口上传给信息安全系统100,然后由信息安全系统100通过API接口一并下发给目标态势感知运行对象。
基于以上步骤,本实施例通过获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报,并根据目标态势感知运行对象的当前威胁攻击情报和其它态势感知运行对象的当前威胁攻击情报,确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,以及根据攻击情报关系参数确定安全态势感知关系图谱,并根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制,使得安全态势感知过程更匹配实际威胁攻击情报的深度关联信息,从而可以提高对目标态势感知运行对象进行安全态势感知控制获得的情报关联的态势感知信息量。
一种可独立实施的实施例中,根据目标态势感知运行对象的当前威胁攻击情报和其它态势感知运行对象的当前威胁攻击情报,确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,包括:根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数,获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,其中,预设的威胁攻击情报之间的攻击情报关系参数包括与目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数和/或与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数。
通过前述可知,威胁攻击情报之间的攻击情报关系参数是指不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数,目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数是指在该目标安全态势感知通道中,不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数,与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数是指在与目标安全态势感知通道类型相同的安全态势感知通道中,不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数。
需要说明的是,不同的目标安全态势感知通道,即使相同的态势感知运行对象采用相同的威胁攻击情报,所产生的以往补充态势感知行为数量也是不同的,因此可根据与目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,从而可以使得安全态势感知控制的过程更加准确、更加符合实际安全态势感知的关系特征。但是,由于安全态势感知通道数目较多,不一定每个目标安全态势感知通道都具有相应的威胁攻击情报之间的第一攻击情报关系参数,此时可利用与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,从而可以实现对每个目标安全态势感知通道中目标态势感知运行对象的补充态势感知行为安全态势感知控制,其中类型相同是指安全态势感知通道的通道类别相同或相似,例如均为风险聚合感知通道、风险迁移感知通道等。
其中,目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数和与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数可由信息安全系统100进行获取。一种可独立实施的实施例中,可通过以下方式获取目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数:
第一、获取态势感知运行对象在目标安全态势感知通道中所具有的威胁攻击情报。
即,信息安全系统100先确定态势感知运行对象可关联的威胁攻击情报。例如,信息安全系统100可先获取预设个不同类型态势感知运行对象中每个态势感知运行对象在目标安全态势感知通道中以及与目标安全态势感知通道类型相同的安全态势感知通道中所具备的所有可能威胁攻击情报,然后对预设个不同类型态势感知运行对象的威胁攻击情报进行汇总,以获得态势感知运行对象可关联的威胁攻击情报,假设态势感知运行对象可关联m个威胁攻击情报,那么可将这m个威胁攻击情报分别记为r1、r2、…、rm。以目标安全态势感知通道包括风险聚合感知通道为例,信息安全系统100可获取不同类型态势感知运行对象运行在所有风险聚合感知通道所具备的所有可能威胁攻击情报,然后对所获得的威胁攻击情报进行汇总,以获得态势感知运行对象可关联的威胁攻击情报,包括但不限于正常威胁攻击情报、频繁性威胁攻击情报、衰减威胁攻击情报、风险聚合突变威胁攻击情报和静态威胁攻击情报,其中风险聚合突变威胁攻击情报是指风险聚合时态势感知运行对象的威胁攻击情报的突变节点数量超过一定值。
第二、获取预设以往安全态势感知流程内态势感知运行对象在目标安全态势感知通道中基于威胁攻击情报进行态势感知导致的以往补充态势感知行为数量。
即,信息安全系统100确定目标安全态势感知通道对应的预设以往安全态势感知流程内态势感知运行对象基于威胁攻击情报进行态势感知导致的以往补充态势感知行为数量。例如,信息安全系统100可从相关数据库获取目标安全态势感知通道对应的预设以往安全态势感知流程内态势感知运行对象基于威胁攻击情报进行态势感知导致的以往补充态势感知行为数量(预设以往安全态势感知流程的选取视具体情况而定,以相关数据库能够提供的数据为准)。
第三、根据以往补充态势感知行为数量,确定目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数。
即,信息安全系统100确定目标安全态势感知通道对应的不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的关系参数。一种可独立实施的实施例中,根据以往补充态势感知行为数量,确定目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数可包括:对预设以往安全态势感知流程进行流程拆分以获得多个以往拆分安全态势感知流程;获取每个以往拆分安全态势感知流程内态势感知运行对象在目标安全态势感知通道中基于第一威胁攻击情报进行态势感知导致的以往补充态势感知行为数量以获得多个第一以往补充态势感知行为数量,并获取每个以往拆分安全态势感知流程内态势感知运行对象在目标安全态势感知通道中基于第二威胁攻击情报进行态势感知导致的以往补充态势感知行为数量以获得多个第二以往补充态势感知行为数量;获取多个第一以往补充态势感知行为数量的损失数量(如均方差)以获得第一损失数量,并获取多个第二以往补充态势感知行为数量的损失数量以获得第二损失数量,以及获取多个第一以往补充态势感知行为数量与多个第二以往补充态势感知行为数量之间的全局损失数量(如协方差),然后根据第一损失数量、第二损失数量和全局损失数量,确定目标安全态势感知通道对应的第一威胁攻击情报与第二威胁攻击情报之间的第一攻击情报关系参数。
例如,信息安全系统100在从相关数据库获取到目标安全态势感知通道对应的预设以往安全态势感知流程内态势感知运行对象基于威胁攻击情报进行态势感知导致的以往补充态势感知行为数量后,可将预设以往安全态势感知流程平均分成T(T可以为大于2的任意整数)个以往拆分安全态势感知流程,并将第t个以往拆分安全态势感知流程内由威胁攻击情报r1、r2、…、rm导致的以往补充态势感知行为数量分别记为a1,t、a2,t、…、am,t,即在第t个以往拆分安全态势感知流程内,因威胁攻击情报r1导致的以往补充态势感知行为数量为a1,t,因威胁攻击情报r2导致的以往补充态势感知行为数量为a2,t,以此类推。以目标安全态势感知通道包括风险聚合感知通道为例,信息安全系统100可从相关数据库获取该风险聚合感知通道对应的预设以往安全态势感知流程内态势感知运行对象基于威胁攻击情报进行态势感知导致的以往补充态势感知行为数量,并将预设以往安全态势感知流程平均分成T个以往拆分安全态势感知流程,并将第t个以往拆分安全态势感知流程内由威胁攻击情报r1、r2、…、rm导致的以往补充态势感知行为数量分别记为a1,t、a2,t、…、am,t,那么在整个预设以往安全态势感知流程内,由威胁攻击情报r1导致的以往补充态势感知行为数量包括a1,1、a1,2、…、a1,T,由威胁攻击情报r2导致的以往补充态势感知行为数量包括a2,1、a2,2、…、a2,T,以此类推。
需要说明的是,相关数据库通常会将目标安全态势感知通道的补充态势感知行为变量进行记录,根据这些变量做计数,即可获得第t个以往拆分安全态势感知流程内由威胁攻击情报导致的以往补充态势感知行为数量。其中,如果一个补充态势感知行为是由多个变量导致,那么需要对每个变量进行计数,例如,在第t个以往拆分安全态势感知流程内,某件补充态势感知行为是由一个处于威胁攻击情报ri的态势感知运行对象与另一个处于威胁攻击情报rj的态势感知运行对象共同导致的,那么ai,t和aj,t均加1,因为不同的威胁攻击情报对补充态势感知行为的影响是不一样的,例如,频繁性威胁攻击情报可能导致态势感知运行对象无法针对性进行固定维度的态势感知;衰减威胁攻击情报可能导致安全态势感知数据量为空集,风险聚合突变威胁攻击情报可能导致安全态势感知过程的数据损失,静态威胁攻击情报可能导致所有安全态势感知过程的数据损失。
然后,可以利用前述步骤获得的以往补充态势感知行为数量确定出目标安全态势感知通道对应的态势感知运行对象的任意两个相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数,并将此攻击情报关系参数简称为目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数,该攻击情报关系参数定量反映了任意两个相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的关系参数。
假设当前需要获取威胁攻击情报ri与威胁攻击情报rj之间的第一攻击情报关系参数,则可先通过上述实施例获取整个预设以往安全态势感知流程内由威胁攻击情报ri导致的多个第一以往补充态势感知行为数量分别为ai,1、ai,2、…、ai,T,以及由威胁攻击情报rj导致的多个第二以往补充态势感知行为数量分别为aj,1、aj,2、…、aj,T,然后计算多个第一以往补充态势感知行为数量的损失数量以获得第一方差并计算多个第二以往补充态势感知行为数量的损失数量以获得第二方差以及计算多个第一以往补充态势感知行为数量与多个第二以往补充态势感知行为数量之间的全局损失数量最后根据第一损失数量、第二损失数量和全局损失数量,确定威胁攻击情报ri与威胁攻击情报rj之间的第一攻击情报关系参数,例如可以根据全局损失数量与第一损失数量和第二损失数量之间的乘积的比值确定威胁攻击情报ri与威胁攻击情报rj之间的第一攻击情报关系参数。
需要说明的是,对于目标安全态势感知通道对应的其它威胁攻击情报之间的第一攻击情报关系参数的确定方式与威胁攻击情报ri与威胁攻击情报rj之间的第一攻击情报关系参数的确定方式相同,这里就不再赘述。另外,与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数的确定方式和目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数的确定方式相同,具体可参考目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数的确定方式,这里不再赘述。
最后,信息安全系统100可将目标安全态势感知通道的相关信息、目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数和该攻击情报关系参数对应的威胁攻击情报对应存储至攻击情报关系参数库中,并将与目标安全态势感知通道类型相同的安全态势感知通道的相关信息、与目标安全态势感知通道类型相同的安全态势感知通道对应的威胁攻击情报之间的第二攻击情报关系参数和该攻击情报关系参数对应的威胁攻击情报对应存储至攻击情报关系参数库中。其中,相关信息可包括类型信息、感知通道威胁捕捉向量等,攻击情报关系参数库可位于信息安全系统100或态势感知运行对象中,在使用时直接调用即可。
一种可独立实施的实施例中,当预设的威胁攻击情报之间的攻击情报关系参数包括第一攻击情报关系参数时,根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数,获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,包括:根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和第一攻击情报关系参数,确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用在获得本态势感知运行对象的当前威胁攻击情报wk和其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn后,可查找攻击情报关系参数库中是否预设有目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数,如果存在,则根据本态势感知运行对象的当前威胁攻击情报wk和其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn,从攻击情报关系参数库中查找出本态势感知运行对象的当前威胁攻击情报与每个其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。
在另一种可独立实施的实施例中,当预设的威胁攻击情报之间的攻击情报关系参数包括第二攻击情报关系参数时,根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数,获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,包括:
第一、获取目标安全态势感知通道的第一感知通道威胁捕捉向量和与目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量。
目标安全态势感知通道的第一感知通道威胁捕捉向量是指用于表征目标安全态势感知通道特性的数据,可包括目标安全态势感知通道的安全态势感知范围、安全态势感知跨度和安全态势感知行为数量等,可通过态势感知运行对象上的情报采集应用识别获得,具体可采用现有技术实现,这里不做限制,然后通过API接口发送至信息安全系统100,由信息安全系统100对应存储至预设攻击情报关系参数库中;与目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量是指用于表征与目标安全态势感知通道类型相同的安全态势感知通道特性的数据,可包括与目标安全态势感知通道类型相同的安全态势感知通道的安全态势感知范围、安全态势感知跨度和安全态势感知行为数量等,可通过位于该安全态势感知通道中的态势感知运行对象的情报采集应用识别获得,具体可采用现有技术实现,这里不做限制,然后通过API接口发送至信息安全系统100,由信息安全系统100对应存储至预设攻击情报关系参数库中。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用在获得本态势感知运行对象的当前威胁攻击情报wk和其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn后,可查找攻击情报关系参数库中是否预设有目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数,如果不存在,则通过本态势感知运行对象的情报采集应用获取目标安全态势感知通道的第一感知通道威胁捕捉向量,并从预设攻击情报关系参数库中获取与目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量。
第二、根据第一感知通道威胁捕捉向量和第二感知通道威胁捕捉向量,确定第二攻击情报关系参数对应的参考捕捉信息。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例,第一感知通道威胁捕捉向量可以为目标安全态势感知通道的安全态势感知范围,第二感知通道威胁捕捉向量可以为与目标安全态势感知通道类型相同的安全态势感知通道的安全态势感知范围,然后根据安全态势感知范围的比值确定第二攻击情报关系参数对应的参考捕捉信息,参考捕捉信息的个数与预设攻击情报关系参数库中存储的与目标安全态势感知通道类型相同的安全态势感知通道的个数相同。
第三、根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报、参考捕捉信息和第二攻击情报关系参数,确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例,假设获取的参考捕捉信息为1个其值为K,那么根据本态势感知运行对象的当前威胁攻击情报wk、其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn、参考捕捉信息K和第二攻击情报关系参数,可获得本态势感知运行对象的当前威胁攻击情报与每个其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,分别为其中,分别为根据本态势感知运行对象的当前威胁攻击情报wk和其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn从预设攻击情报关系参数库中获取的与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数。
需要说明的是,当获取的参考捕捉信息为多个时,可选择参考捕捉信息最小的进行计算,也可以选择多个参考捕捉信息的均值进行计算等。
在又一种可独立实施的实施例中,当预设的威胁攻击情报之间的攻击情报关系参数包括第一攻击情报关系参数和第二攻击情报关系参数时,根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数,获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,包括:
第一、获取目标安全态势感知通道的第一感知通道威胁捕捉向量和与目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量。
需要说明的是,该过程可参考以上描述,这里不再赘述。
第二、根据第一感知通道威胁捕捉向量和第二感知通道威胁捕捉向量,确定第一攻击情报关系参数的第一目标权重和第二攻击情报关系参数的第二目标权重。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例,第一感知通道威胁捕捉向量可以为目标安全态势感知通道的安全态势感知范围,第二感知通道威胁捕捉向量可以为与目标安全态势感知通道类型相同的安全态势感知通道的安全态势感知范围,然后根据安全态势感知范围确定第一目标权重和第二目标权重,其中第二目标权重的个数与预设攻击情报关系参数库中存储的与目标安全态势感知通道类型相同的安全态势感知通道的个数相同。
第三、根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报、第一目标权重、第二目标权重、第一攻击情报关系参数和第二攻击情报关系参数,确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例,假设目标安全态势感知通道和与目标安全态势感知通道类型相同的安全态势感知通道的安全态势感知范围分别为0-15(表示安全态势感知节点的标签1到安全态势感知节点的标签15)和0-30(表示安全态势感知节点的标签1到安全态势感知节点的标签30),那么可将第一目标权重p1设置为0.8,第二目标权重p2设置为0.2,具体可根据实际情况进行设置,这里不做限制。然后,根据本态势感知运行对象的当前威胁攻击情报wk、其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn、第一目标权重p1、第二目标权重p2、第一攻击情报关系参数和第二攻击情报关系参数,可获得本态势感知运行对象的当前威胁攻击情报与每个其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。
上述实施例中,基于预设以往安全态势感知流程内态势感知运行对象基于威胁攻击情报进行态势感知导致的以往补充态势感知行为数量来获取威胁攻击情报之间的第一攻击情报关系参数和第二攻击情报关系参数,并基于第一攻击情报关系参数和/或第二攻击情报关系参数获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,使得获得的攻击情报关系参数更加准确、更具有针对性、更符合实际情况,可以提高对目标态势感知运行对象进行安全态势感知控制获得的情报关联的态势感知信息量,且确定方式简单、方便。
一种可独立实施的实施例中,根据攻击情报关系参数对目标态势感知运行对象进行安全态势感知控制可包括以下示例性的实施方式。
第一、对攻击情报关系参数进行分团,得到多个攻击情报关系参数团,其中每个攻击情报关系参数团中的攻击情报关系参数均相同。
补充态势感知行为的发生通常与多种因素有关,例如除了与态势感知运行对象的威胁攻击情报有关,还与态势感知运行对象的数量有关,因此可对攻击情报关系参数进行分团,即对其它态势感知运行对象进行分团,以将具有相同威胁攻击情报的其它态势感知运行对象分为一组,然后确定该组对应的当前威胁攻击情报整体对目标态势感知运行对象的影响,进而基于该影响对目标态势感知运行对象进行安全态势感知控制。
具体来说,当其它态势感知运行对象包括多个(如2个及以上)时,多个其它态势感知运行对象中的部分其它态势感知运行对象的当前威胁攻击情报可能相同,相应的,攻击情报关系参数可能相同,因此可根据当前威胁攻击情报是否相同或者攻击情报关系参数是否相同,对攻击情报关系参数进行分团,得到多个攻击情报关系参数团,其中每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报和攻击情报关系参数均相同,即同一组的攻击情报关系参数和其它态势感知运行对象的当前威胁攻击情报一定相同,不同组的攻击情报关系参数和其它态势感知运行对象的当前威胁攻击情报一定不同。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用可根据其它态势感知运行对象的当前威胁攻击情报w1、w2、...、wk-1、wk+1、...、wn是否相同或者本态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数是否相同来对攻击情报关系参数进行分团,假设分为r个组,分别记为g1、g2、…、gr,其中gr表示第r个攻击情报关系参数团。
第二、对多个攻击情报关系参数团进行排序,以确定安全态势感知关系图谱。
一种可独立实施的实施例中,对多个攻击情报关系参数团进行排序可包括:对每个攻击情报关系参数团进行权重融合以获得第一权重融合参数;根据第一权重融合参数,对多个攻击情报关系参数团进行排序。
例如,可以将每个攻击情报关系参数团的攻击情报关系参数相加或者将攻击情报关系参数乘以该攻击情报关系参数团中攻击情报关系参数的个数,以获得第一权重融合参数,然后根据第一权重融合参数对多个攻击情报关系参数团进行排序,例如可按照第一权重融合参数降序顺序对多个攻击情报关系参数团进行排序,该排序结果代表了每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报与目标态势感知运行对象的当前威胁攻击情报之间的相关程度,第一权重融合参数越大,相关程度越高,其它态势感知运行对象将目标态势感知运行对象参与补充态势感知行为的补充态势感知行为性越高。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用可先依次确定攻击情报关系参数团g1、g2、…、gr中每个攻击情报关系参数团的第一权重融合参数,分别记为p1、p2、…、pr。然后,从攻击情报关系参数团g1、g2、…、gr中选取第一权重融合参数最大的团,记为并将该组对应的其它态势感知运行对象的当前威胁攻击情报作为与本态势感知运行对象第1相关的当前威胁攻击情报;接着,从剩余攻击情报关系参数团中选取第一权重融合参数最大的团,记为并将该组对应的其它态势感知运行对象的当前威胁攻击情报作为与本态势感知运行对象第2相关的当前威胁攻击情报;…;以此类推,最终确定出与本态势感知运行对象第1、2、…、r相关的当前威胁攻击情报。
一种可独立实施的实施例中,根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制可包括:根据排序结果,按照降序顺序从多个攻击情报关系参数团中获取至少部分攻击情报关系参数团对应的其它态势感知运行对象的感知节点信息;根据感知节点信息对目标态势感知运行对象进行安全态势感知控制。
基于以上步骤,通过对攻击情报关系参数进行分团,得到多个攻击情报关系参数团,以将具有相同当前威胁攻击情报的其它态势感知运行对象作为一组,并根据多个攻击情报关系参数团中每个攻击情报关系参数团的攻击情报关系参数进行排序,根据排序结果对目标态势感知运行对象进行安全态势感知控制,即通过确定同一威胁攻击情报的多个其它态势感知运行对象在整体上对目标态势感知运行对象的影响,基于该影响对目标态势感知运行对象进行安全态势感知控制,不仅考虑了威胁攻击情报的类型,还考虑了态势感知运行对象的数量,从而使得安全态势感知控制准确、更加符合实际情况。
在另一种可独立实施的实施例中,对多个攻击情报关系参数团进行排序还可包括:根据第一权重融合参数,确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率。
决策概率是指采用同一类威胁攻击情报的其它态势感知运行对象将目标态势感知运行对象卷入补充态势感知行为的总决策概率,可由目标态势感知运行对象上的情报采集应用根据第一权重融合参数进行确定,且其与第一权重融合参数成正比,原因在于,一方面与目标态势感知运行对象的当前威胁攻击情报的关系参数越大的其它态势感知运行对象的当前威胁攻击情报越容易将目标态势感知运行对象加入补充态势感知行为,另一方面就是否发生补充态势感知行为而言,各种威胁攻击情报应被同等看待。
一种可独立实施的实施例中,根据第一权重融合参数确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率可包括:对多个攻击情报关系参数团进行权重融合以获得第二权重融合参数;根据第一权重融合参数和第二权重融合参数,确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率。
仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用在确定出攻击情报关系参数团g1、g2、…、gr中每个攻击情报关系参数团的第一权重融合参数p1、p2、…、pr后,根据第一权重融合参数依次确定出每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率,分别为p1/(p1+p2+...+pr)、p2/(p1+p2+...+pr)、…、pr/(p1+p2+...+pr)。
进一步地,根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制,包括:根据排序结果,按照降序顺序从多个攻击情报关系参数团中获取至少部分攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率;根据决策概率对目标态势感知运行对象进行安全态势感知控制。
譬如,在根据决策概率对目标态势感知运行对象进行安全态势感知控制的过程中,当决策概率大于预设概率值时,可以将相应的目标态势感知运行对象进行安全态势感知控制,从而先行补充感知相关联的安全态势感知大数据。
上述实施例中,通过根据第一权重融合参数确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率,能够定量分析出同一威胁攻击情报的其它态势感知运行对象从整体上对目标态势感知运行对象的影响,使得对目标态势感知运行对象的安全态势感知控制更加准确。
在又一种可独立实施的实施例中,态势感知运行对象上的情报采集应用可根据排序结果,按照降序顺序中,目标从多个攻击情报关系参数团中获取至少部分攻击情报关系参数团对应的其它态势感知运行对象的感知节点信息以及其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率;根据感知节点信息和决策概率对目标态势感知运行对象进行安全态势感知控制。具体可参考前述,这里不再赘述。
一种可独立实施的实施例中,在以上描述的基础上,本公开实施例所提供的方法还可以包括以下步骤。
步骤S140,信息安全系统100获取根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制后获得的用于生成目标安全态势有效情报的目标安全态势感知大数据。
一种可独立实施的实施例中,信息安全系统100可以响应于安全态势有效情报展示请求令来触发本公开实施例的方法。例如安全态势有效情报展示请求令可以是信息安全系统100基于用户通过相关应用界面检测到的触发行为生成,具体不作限定。
步骤S150,从多个不同防火墙环境的攻击意图挖掘网络,对目标安全态势感知大数据进行攻击意图挖掘,得到目标安全态势感知大数据的攻击意图簇。
需要说明的是,攻击意图挖掘网络为用于目标安全态势感知大数据特性进行一个或一类属性的攻击意图挖掘的人工智能神经网络,本实施例的多个防火墙环境可以包括但不限于智慧医疗、智慧办公、智慧家庭、智慧城市。
一种可独立实施的实施例中,信息安全系统100通过对目标安全态势感知大数据从多个攻击意图挖掘网络进行意图深度挖掘,从而提取出目标安全态势感知大数据的攻击意图簇,该攻击意图簇则包含有目标安全态势感知大数据在多个攻击意图挖掘网络下的攻击意图特征。信息安全系统100识别得到的攻击意图簇可以是多个攻击意图挖掘网络的挖掘类别属性,例如若多个攻击意图挖掘网络的挖掘类别属性分别为办公文档攻击、医疗支付攻击、共享内容访问攻击,那么攻击意图特征可以与办公文档攻击、医疗支付攻击、共享内容访问攻击相关的意图特征信息相关。进一步地,信息安全系统100还将识别得到的挖掘类别属性进行编码,得到编码后的攻击意图簇。其中,可以将挖掘类别属性编码为向量,以向量形式表示攻击意图簇。
步骤S160,分别获取多个已收集威胁情报的情报意图簇,分别将各所述已收集威胁情报的情报意图簇与所述目标安全态势感知大数据的攻击意图簇进行匹配,得到各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度。
这里,多个已收集威胁情报可以存储于信息安全系统100,还可以是存储于与信息安全系统100通信连接的分布式存储节点中,例如数据库服务器内,或者是分散的存储于信息安全系统100本地或分布式存储节点中,例如一部分已收集威胁情报存储于信息安全系统100本地,另一部分存储于分布式存储节点内,或者重复存储于信息安全系统100或者分布式存储节点内。信息安全系统100可以从信息安全系统100中获取存储的所有已收集威胁情报,或者从分布式存储节点内获取其存储的所有已收集威胁情报。
步骤S170,基于各已收集威胁情报与目标安全态势感知大数据的状态匹配度,从多个已收集威胁情报中筛选得到与目标安全态势感知大数据相匹配的目标已收集威胁情报。
本实施例中,信息安全系统100可以通过比较各已收集威胁情报与目标安全态势感知大数据的状态匹配度,得到状态匹配度最高的已收集威胁情报,并将该已收集威胁情报作为目标已收集威胁情报。
一种可独立实施的实施例中,步骤S170可以通过如下方式实现:
信息安全系统100基于各已收集威胁情报与目标安全态势感知大数据的状态匹配度,确定各已收集威胁情报的关键性顺序,基于关键性顺序,对多个已收集威胁情报进行筛选,响应于对多个已收集威胁情报的选择操作,获取选择的目标已收集威胁情报。
一种可独立实施的实施例中,信息安全系统100基于各已收集威胁情报与目标安全态势感知大数据的状态匹配度,对各已收集威胁情报进行排序,然后基于该排序确定各已收集威胁情报的关键性顺序,将已收集威胁情报按照关键性顺序依次呈现在信息安全系统100的情报引用进程内。
示例性的,假设预定义攻击场景订阅的是安全态势有效情报对象,信息安全系统100通过对安全态势有效情报对象进行安全态势有效情报元素的抽取,得到目标安全态势感知大数据并对目标安全态势感知大数据进行攻击意图挖掘得到攻击意图簇后,则可以利用该攻击意图簇对已收集威胁情报内的各已收集威胁情报的情报意图簇进行匹配。其中,已收集威胁情报内各已收集威胁情报的情报意图簇可以是预先提取得到并存储的,在需要生成目标安全态势有效情报时,信息安全系统100只需要从相应的分布式存储区域内获取各已收集威胁情报的情报意图簇即可。例如,假设目标安全态势感知大数据内含有一个办公文档攻击区域,则对应攻击意图簇的挖掘类别属性包括办公文档攻击类别,通过上述的步骤进行已收集威胁情报的匹配后,按照状态匹配度将已收集威胁情报进行筛选,在一些可能的示例中,假设示出了5个参考度前五的已收集威胁情报,预定义攻击场景可以通过选择以使攻击展示界面内生成更多已收集威胁情报。至此,预定义攻击场景则可基于攻击展示界面内推荐的已收集威胁情报触发选择操作,从多个已收集威胁情报内选择想要的目标已收集威胁情报。信息安全系统100响应于该选择操作,获得目标已收集威胁情报。
步骤S180,基于目标安全态势感知大数据和目标已收集威胁情报进行安全态势有效情报生成,得到目标安全态势有效情报。
基于以上步骤,本实施例在获得用于生成目标安全态势有效情报的目标安全态势感知大数据后,从多个维度提取目标安全态势感知大数据的攻击意图簇,并基于多个已收集威胁情报的已收集威胁情报,将各已收集威胁情报的情报意图簇与目标安全态势感知大数据的攻击意图簇进行匹配,基于匹配得到的各状态匹配度得到与目标安全态势感知大数据相匹配的目标已收集威胁情报,然后对目标安全态势感知大数据和目标已收集威胁情报进行安全态势有效情报生成得到目标安全态势有效情报,通过对目标安全态势感知大数据和已收集威胁情报的特征匹配,使得得到的目标已收集威胁情报与当前的目标安全态势感知大数据拥有较高的状态匹配度,从而能够快速生成与当前已收集威胁情报的相关性较高的安全态势有效情报。
一种可独立实施的实施例中,信息安全系统100在获得目标已收集威胁情报后,则将目标安全态势感知大数据与已收集威胁情报进行安全态势有效情报生成得到目标安全态势有效情报。
譬如,针对步骤S180,可以通过以下示例性的子步骤实现,详细描述如下。
子步骤S181,基于预设情报信息引用网络,从目标安全态势感知大数据中获得与目标已收集威胁情报所对应的情报风险内容关联的与预定义攻击场景相关的情报风险感知数据。
子步骤S182,对情报风险感知数据进行特征提取以获取多维度可信情报特征,并根据多维度可信情报特征确定与当前预定义攻击场景对应的可信情报结构信息,提取可信情报结构信息的威胁情报树结构信息。
子步骤S183,对以往可信情报结构信息对应的描述特征及多维度可信情报特征进行特征提取,以获取目标可信情报结构特征信息。
子步骤S184,将威胁情报树结构信息和目标可信情报结构特征信息进行情报节点映射,以获取情报节点映射信息,对情报节点映射信息进行情报结构生成以获取当前可信情报结构信息,并根据当前可信情报结构信息和以往可信情报结构信息确定目标可信情报结构簇,基于目标可信情报结构簇获得目标安全态势有效情报。
譬如,一种可独立实施的实施例中,对情报风险感知数据进行特征提取以获取多维度可信情报特征,包括:对情报风险感知数据中的各类风险攻击事件数据进行特征提取,以获取多个风险攻击特征信息。将各风险攻击特征信息进行多维度情报特征提取,以获取多维度可信情报特征。
譬如,一种可独立实施的实施例中,情报风险感知数据包括:以往情报源感知日志,以及以往情报源感知日志中各情报源感知过程信息所对应的情报源感知标签信息、情报源感知应答信息和预定义攻击场景的标记情报源类别信息。
譬如,对情报风险感知数据中的各类风险攻击事件数据进行特征提取,以获取多个风险攻击特征信息,包括:对以往情报源感知日志中各情报源感知过程信息进行特征提取,以获取与各情报源感知过程信息对应的第一风险攻击特征信息。对情报源感知应答信息进行特征提取以获取情报源感知应答特征,并对情报源感知应答特征进行分类,以获取第二风险攻击特征信息。根据情报源感知标签信息在情报源感知标签引用位图中进行查找,以获取第三风险攻击特征信息。根据标记情报源类别信息在情报源引用位图中进行查找,以获取第四风险攻击特征信息。
譬如,一种可独立实施的实施例中,根据多维度可信情报特征确定与当前预定义攻击场景对应的可信情报结构信息,包括:对多维度可信情报特征进行情报节点拆分,以获取情报节点拆分信息。对情报节点拆分信息中的每个情报节点所包括的可信情报内容进行汇集,得到与当前预定义攻击场景对应的可信情报结构信息。
其中,获取情报节点映射信息还包括:将威胁情报树结构信息、与当前预定义攻击场景对应的情报源感知配置特征和目标可信情报结构特征信息进行情报节点映射,以获取情报节点映射信息。
一种可独立实施的实施例中,对情报节点映射信息进行情报结构生成以获取当前可信情报结构信息,并根据当前可信情报结构信息和以往可信情报结构信息确定目标可信情报结构簇的步骤,包括:获取情报节点映射信息中每个可信情报结构所表征的攻击溯源事件,获取攻击溯源事件的攻击溯源事件描述和前n个以往情报源对象对应的可疑威胁指标描述,n为正整数。获取可疑威胁指标描述中当前个情报元素的情报威胁指标描述,对攻击溯源事件描述、前n个以往情报源对象对应的可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理,得到当前个情报元素对应的可疑威胁指标描述。对当前个情报元素对应的可疑威胁指标描述和攻击溯源事件描述进行证据链传递分析处理,得到当前个情报元素对应的当前可信情报结构信息。将当前可信情报结构信息和以往可信情报结构信息确定为目标可信情报结构簇。
一种可独立实施的实施例中,对攻击溯源事件描述、前n个以往情报源对象对应的可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理,得到当前个情报元素对应的可疑威胁指标描述,包括:获取第i个以往情报源对象对应的第一可疑威胁指标描述,i为正整数且i的起始值为1。对攻击溯源事件描述、第一可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理,输出第i+1个以往情报源对象对应的第二可疑威胁指标描述。
重复上述输出第二可疑威胁指标描述的步骤,将第n+1个以往情报源对象对应的第二可疑威胁指标描述确定为当前个情报元素对应的可疑威胁指标描述。
对攻击溯源事件描述、第一可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理,输出第i+1个以往情报源对象对应的第二可疑威胁指标描述,包括:调用第j个证据链传递分析节点对攻击溯源事件描述、第一可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理,输出第一证据链传递分析信息,第一证据链传递分析信息是第i+1个以往情报源对象对应的知识网络信息。对第j个证据链传递分析节点输出的第一证据链传递分析信息进行证据维度扩展,得到第一证据维度扩展信息。对第一证据维度扩展信息和攻击溯源事件描述进行证据维度扩展,得到第二证据维度扩展信息。对第二证据维度扩展信息和第i个以往情报源对象对应的第一可疑威胁指标描述进行证据维度扩展,得到第三证据维度扩展信息。对第三证据维度扩展信息进行证据维度扩展,得到第j+1个证据链传递分析节点输出的第二证据链传递分析信息,第二证据链传递分析信息是第i+1个以往情报源对象对应的知识网络信息,j+1≤k,j为正整数且j的起始值为1。重复上述输出第二证据链传递分析信息的步骤,将最后一个证据链传递分析节点输出的第二证据链传递分析信息确定为第i+1个以往情报源对象对应的第二可疑威胁指标描述。
一种可独立实施的实施例中,对当前个情报元素对应的可疑威胁指标描述和攻击溯源事件描述进行证据链传递分析处理,得到当前个情报元素对应的当前可信情报结构信息,包括:获取当前个情报元素对应的实际可信情报结构信息中已输出的可信情报结构的可信情报结构特征。对当前个情报元素对应的可疑威胁指标描述、攻击溯源事件描述和可信情报结构特征进行证据链传递分析处理,输出当前个情报元素对应的当前可信情报结构信息。
譬如,对当前个情报元素对应的可疑威胁指标描述、攻击溯源事件描述和可信情报结构特征进行证据链传递分析处理,输出当前个情报元素对应的当前可信情报结构信息,包括:调用第m个证据链传递分析单元对当前个情报元素对应的可疑威胁指标描述、攻击溯源事件描述和可信情报结构特征进行证据链传递分析处理,输出当前个情报元素对应的第三证据链传递分析信息。对第m个证据链传递分析单元输出的第三证据链传递分析信息进行中间传递分析,得到第一证据维度扩展信息。对第一证据维度扩展信息、攻击溯源事件描述和当前个情报元素对应的可疑威胁指标描述进行传递分析,得到第二证据维度扩展信息。对第二证据维度扩展信息进行特征提取,得到第m+1个证据链传递分析单元输出的当前个情报元素对应的第四证据链传递分析信息,m+1≤t,m为正整数且m的起始值为1。重复上述输出第四证据链传递分析信息的步骤,将最后一个证据链传递分析单元输出的可信情报结构确定为当前个情报元素对应的当前可信情报结构信息。
这样,通过对预定义攻击场景的情报风险感知数据进行特征提取,以获取可信情报结构信息,并对以往可信情报结构信息对应的描述特征和特征提取过程中生成的多维度可信情报特征进行处理,以获取目标可信情报结构特征信息;最后根据与可信情报结构信息对应的威胁情报树结构信息和目标可信情报结构特征信息确定目标可信情报结构簇。如此,能够根据与预定义攻击场景相关的情报风险感知数据和威胁情报树结构信息中的特征,并生成与最新的情报源感知日志和情报源感知过程信息对应的可信情报结构簇,提高了对当前预定义攻击场景特征的预测精度,并提高了可信情报结构簇的精准度,从而提高情报挖掘的相关度。
图3示出了本公开实施例提供的用于实现上述的基于大数据和人工智能的信息感知方法的信息安全系统100的硬件结构示意图,如图3所示,信息安全系统100可包括处理器110、机器可读存储介质120、总线130以及收发器140。
在具体实现过程中,至少一个处理器110执行机器可读存储介质120存储的计算机执行指令,使得处理器110可以执行如上方法实施例的基于大数据和人工智能的信息感知方法,处理器110、机器可读存储介质120以及收发器140通过总线130连接,处理器110可以用于控制收发器140的收发动作,从而可以与前述的数字化服务平台200进行数据收发。
处理器110的具体实现过程可参见上述信息安全系统100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
此外,本公开实施例还提供一种可读存储介质,所述可读存储介质中预设有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上基于大数据和人工智能的信息感知方法。
最后,应当理解的是,本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导一致。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。
Claims (9)
1.一种基于大数据和人工智能的信息感知方法,其特征在于,应用于信息安全系统,所述信息安全系统与多个数字化服务平台通信连接,所述方法包括:
获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和所述目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报;
根据所述目标态势感知运行对象的当前威胁攻击情报和所述其它态势感知运行对象的当前威胁攻击情报,确定所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数;
根据所述攻击情报关系参数确定安全态势感知关系图谱,并根据所述安全态势感知关系图谱对所述目标态势感知运行对象进行安全态势感知控制;
所述根据所述目标态势感知运行对象的当前威胁攻击情报和所述其它态势感知运行对象的当前威胁攻击情报,确定所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数的步骤,包括:
根据所述目标态势感知运行对象的当前威胁攻击情报、所述其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数,获取所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数,其中,所述预设的威胁攻击情报之间的攻击情报关系参数包括与所述目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数和/或与所述目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数;
其中,当所述预设的威胁攻击情报之间的攻击情报关系参数包括所述第一攻击情报关系参数时,根据所述目标态势感知运行对象的当前威胁攻击情报、所述其它态势感知运行对象的当前威胁攻击情报和所述第一攻击情报关系参数,确定所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数;
其中,当所述预设的威胁攻击情报之间的攻击情报关系参数包括所述第二攻击情报关系参数时,获取所述目标安全态势感知通道的第一感知通道威胁捕捉向量和与所述目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量,根据所述第一感知通道威胁捕捉向量和所述第二感知通道威胁捕捉向量,确定所述第二攻击情报关系参数对应的参考捕捉信息,根据所述目标态势感知运行对象的当前威胁攻击情报、所述其它态势感知运行对象的当前威胁攻击情报、所述参考捕捉信息和所述第二攻击情报关系参数,确定所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数;
其中,当所述预设的威胁攻击情报之间的攻击情报关系参数包括所述第一攻击情报关系参数和所述第二攻击情报关系参数时,获取所述目标安全态势感知通道的第一感知通道威胁捕捉向量和与所述目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量,根据所述第一感知通道威胁捕捉向量和所述第二感知通道威胁捕捉向量,确定所述第一攻击情报关系参数的第一目标权重和所述第二攻击情报关系参数的第二目标权重,根据所述目标态势感知运行对象的当前威胁攻击情报、所述其它态势感知运行对象的当前威胁攻击情报、所述第一目标权重、所述第二目标权重、所述第一攻击情报关系参数和所述第二攻击情报关系参数,确定所述目标态势感知运行对象的当前威胁攻击情报与所述其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。
2.根据权利要求1所述的基于大数据和人工智能的信息感知方法,其特征在于,通过以下方式获取所述目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数:
获取态势感知运行对象在所述目标安全态势感知通道中所具有的威胁攻击情报;
获取预设以往安全态势感知流程内所述态势感知运行对象在所述目标安全态势感知通道中基于威胁攻击情报进行态势感知导致的以往补充态势感知行为数量;
根据所述以往补充态势感知行为数量,确定所述目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数。
3.根据权利要求2所述的基于大数据和人工智能的信息感知方法,其特征在于,所述根据所述以往补充态势感知行为数量,确定所述目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数,包括:
对所述预设以往安全态势感知流程进行流程拆分以获得多个以往拆分安全态势感知流程;
获取每个以往拆分安全态势感知流程内所述态势感知运行对象在所述目标安全态势感知通道中基于第一威胁攻击情报进行态势感知导致的以往补充态势感知行为数量以获得多个第一以往补充态势感知行为数量,并获取每个以往拆分安全态势感知流程内所述态势感知运行对象在所述目标安全态势感知通道中基于第二威胁攻击情报进行态势感知导致的以往补充态势感知行为数量以获得多个第二以往补充态势感知行为数量;
获取所述多个第一以往补充态势感知行为数量的损失数量以获得第一损失数量,并获取所述多个第二以往补充态势感知行为数量的损失数量以获得第二损失数量,以及获取所述多个第一以往补充态势感知行为数量与所述多个第二以往补充态势感知行为数量之间的全局损失数量;
根据所述第一损失数量、所述第二损失数量和所述全局损失数量,确定所述目标安全态势感知通道对应的所述第一威胁攻击情报与所述第二威胁攻击情报之间的第一攻击情报关系参数。
4.根据权利要求1-3中任意一项所述的基于大数据和人工智能的信息感知方法,其特征在于,所述根据所述攻击情报关系参数确定安全态势感知关系图谱,并根据所述安全态势感知关系图谱对所述目标态势感知运行对象进行安全态势感知控制,包括:
对所述攻击情报关系参数进行分团,得到多个攻击情报关系参数团,其中每个所述攻击情报关系参数团中的攻击情报关系参数均相同;
对所述多个攻击情报关系参数团进行排序,以确定所述安全态势感知关系图谱。
5.根据权利要求4所述的基于大数据和人工智能的信息感知方法,其特征在于,所述对所述多个攻击情报关系参数团进行排序,包括:
对每个所述攻击情报关系参数团进行权重融合以获得第一权重融合参数;
根据所述第一权重融合参数,对多个所述攻击情报关系参数团进行排序。
6.根据权利要求5所述的基于大数据和人工智能的信息感知方法,其特征在于,所述根据所述安全态势感知关系图谱对所述目标态势感知运行对象进行安全态势感知控制,包括:
根据排序结果,按照降序顺序从多个所述攻击情报关系参数团中获取至少部分所述攻击情报关系参数团对应的其它态势感知运行对象的感知节点信息;
根据所述感知节点信息对所述目标态势感知运行对象进行安全态势感知控制。
7.根据权利要求5所述的基于大数据和人工智能的信息感知方法,其特征在于,所述对所述多个攻击情报关系参数团进行排序,还包括:
对多个所述攻击情报关系参数团进行权重融合以获得第二权重融合参数;
根据所述第一权重融合参数和所述第二权重融合参数,确定每个所述攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对所述目标态势感知运行对象产生补充态势感知行为的决策概率;
所述根据所述安全态势感知关系图谱对所述目标态势感知运行对象进行安全态势感知控制,包括:
根据排序结果,按照降序顺序从多个所述攻击情报关系参数团中获取至少部分所述攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对所述目标态势感知运行对象产生补充态势感知行为的决策概率;
根据所述决策概率对所述目标态势感知运行对象进行安全态势感知控制。
8.根据权利要求1-3中任意一项所述的基于大数据和人工智能的信息感知方法,其特征在于,所述方法还包括:
获取根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制后获得的用于生成目标安全态势有效情报的目标安全态势感知大数据,从多个不同防火墙环境的攻击意图挖掘网络,对所述目标安全态势感知大数据进行攻击意图挖掘,得到所述目标安全态势感知大数据的攻击意图簇;
分别获取多个已收集威胁情报的情报意图簇,分别将各所述已收集威胁情报的情报意图簇与所述目标安全态势感知大数据的攻击意图簇进行匹配,得到各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度;
基于各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度,从所述多个已收集威胁情报中筛选得到与所述目标安全态势感知大数据相匹配的目标已收集威胁情报,各所述已收集威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息;
基于所述目标安全态势感知大数据和所述目标已收集威胁情报进行安全态势有效情报生成,得到所述目标安全态势有效情报;
其中,所述基于所述目标安全态势感知大数据和所述目标已收集威胁情报进行安全态势有效情报生成,得到所述目标安全态势有效情报的步骤,包括:
基于预设情报信息引用网络,从所述目标安全态势感知大数据中获得与所述目标已收集威胁情报所对应的情报风险内容关联的与预定义攻击场景相关的情报风险感知数据;
对所述情报风险感知数据进行特征提取以获取多维度可信情报特征,并根据所述多维度可信情报特征确定与当前预定义攻击场景对应的可信情报结构信息,提取所述可信情报结构信息的威胁情报树结构信息;
对以往可信情报结构信息对应的描述特征及所述多维度可信情报特征进行特征提取,以获取目标可信情报结构特征信息;
将所述威胁情报树结构信息和所述目标可信情报结构特征信息进行情报节点映射,以获取情报节点映射信息,对所述情报节点映射信息进行情报结构生成以获取当前可信情报结构信息,并根据所述当前可信情报结构信息和所述以往可信情报结构信息确定目标可信情报结构簇,基于所述目标可信情报结构簇获得所述目标安全态势有效情报;
其中,所述对所述情报节点映射信息进行情报结构生成以获取当前可信情报结构信息,并根据所述当前可信情报结构信息和所述以往可信情报结构信息确定目标可信情报结构簇的步骤,包括:
获取所述情报节点映射信息中每个可信情报结构所表征的攻击溯源事件,获取所述攻击溯源事件的攻击溯源事件描述和前n个以往情报源对象对应的可疑威胁指标描述,n为正整数;
获取所述可疑威胁指标描述中当前个情报元素的情报威胁指标描述,对所述攻击溯源事件描述、所述前n个以往情报源对象对应的可疑威胁指标描述和所述情报威胁指标描述进行证据链传递分析处理,得到所述当前个情报元素对应的可疑威胁指标描述;
对所述当前个情报元素对应的可疑威胁指标描述和所述攻击溯源事件描述进行证据链传递分析处理,得到所述当前个情报元素对应的当前可信情报结构信息;
将所述当前可信情报结构信息和所述以往可信情报结构信息确定为目标可信情报结构簇;
所述对所述攻击溯源事件描述、所述前n个以往情报源对象对应的可疑威胁指标描述和所述情报威胁指标描述进行证据链传递分析处理,得到所述当前个情报元素对应的可疑威胁指标描述,包括:
获取第i个以往情报源对象对应的第一可疑威胁指标描述,i为正整数且i的起始值为1;
对所述攻击溯源事件描述、所述第一可疑威胁指标描述和所述情报威胁指标描述进行证据链传递分析处理,输出第i+1个以往情报源对象对应的第二可疑威胁指标描述;
重复上述输出所述第二可疑威胁指标描述的步骤,将第n+1个以往情报源对象对应的第二可疑威胁指标描述确定为所述当前个情报元素对应的可疑威胁指标描述;
所述对所述攻击溯源事件描述、所述第一可疑威胁指标描述和所述情报威胁指标描述进行证据链传递分析处理,输出第i+1个以往情报源对象对应的第二可疑威胁指标描述,包括:
调用第j个证据链传递分析节点对所述攻击溯源事件描述、所述第一可疑威胁指标描述和所述情报威胁指标描述进行证据链传递分析处理,输出第一证据链传递分析信息,所述第一证据链传递分析信息是所述第i+1个以往情报源对象对应的知识网络信息;
对所述第j个证据链传递分析节点输出的第一证据链传递分析信息进行证据维度扩展,得到第一证据维度扩展信息;
对所述第一证据维度扩展信息和所述攻击溯源事件描述进行证据维度扩展,得到第二证据维度扩展信息;
对所述第二证据维度扩展信息和所述第i个以往情报源对象对应的第一可疑威胁指标描述进行证据维度扩展,得到第三证据维度扩展信息;
对所述第三证据维度扩展信息进行证据维度扩展,得到第j+1个证据链传递分析节点输出的第二证据链传递分析信息,所述第二证据链传递分析信息是所述第i+1个以往情报源对象对应的知识网络信息,j+1≤k,j为正整数且j的起始值为1;
重复上述输出所述第二证据链传递分析信息的步骤,将最后一个证据链传递分析节点输出的第二证据链传递分析信息确定为所述第i+1个以往情报源对象对应的第二可疑威胁指标描述。
9.一种信息安全系统,其特征在于,所述信息安全系统包括机器可读存储介质和处理器,所述机器可读存储介质存储有计算机程序,所述处理器执行所述计算机程序时以执行权利要求1-8中任意一项的基于大数据和人工智能的信息感知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110708100.XA CN113297578B (zh) | 2021-06-25 | 2021-06-25 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110708100.XA CN113297578B (zh) | 2021-06-25 | 2021-06-25 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113297578A CN113297578A (zh) | 2021-08-24 |
CN113297578B true CN113297578B (zh) | 2022-03-04 |
Family
ID=77329555
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110708100.XA Active CN113297578B (zh) | 2021-06-25 | 2021-06-25 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113297578B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114143059B (zh) * | 2021-11-25 | 2022-08-02 | 江苏人加信息科技有限公司 | 基于大数据信息安全的安全防护指标优化方法及人工智能系统 |
CN114338189B (zh) * | 2021-12-31 | 2023-05-26 | 上海纽盾科技股份有限公司 | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
CN114613037B (zh) * | 2022-02-15 | 2023-07-18 | 中国电子科技集团公司第十研究所 | 一种机载融合信息引导传感器提示搜索方法及装置 |
CN114928493B (zh) * | 2022-05-23 | 2023-04-21 | 禅境科技股份有限公司 | 基于威胁攻击大数据的威胁情报生成方法及ai安全系统 |
CN115168844B (zh) * | 2022-06-14 | 2023-03-28 | 胶州市档案馆 | 基于数字化安全的档案信息处理方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
CN112073389A (zh) * | 2020-08-21 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 云主机安全态势感知系统、方法、设备及存储介质 |
CN112217626A (zh) * | 2020-08-24 | 2021-01-12 | 中国人民解放军战略支援部队信息工程大学 | 基于情报共享的网络威胁协同防御系统及方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110717049B (zh) * | 2019-08-29 | 2020-12-04 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
CN111160749B (zh) * | 2019-12-23 | 2023-07-21 | 绿盟科技集团股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
CN111586046B (zh) * | 2020-05-08 | 2021-02-09 | 武汉思普崚技术有限公司 | 一种结合威胁情报和机器学习的网络流量分析方法及系统 |
-
2021
- 2021-06-25 CN CN202110708100.XA patent/CN113297578B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
CN112073389A (zh) * | 2020-08-21 | 2020-12-11 | 苏州浪潮智能科技有限公司 | 云主机安全态势感知系统、方法、设备及存储介质 |
CN112217626A (zh) * | 2020-08-24 | 2021-01-12 | 中国人民解放军战略支援部队信息工程大学 | 基于情报共享的网络威胁协同防御系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113297578A (zh) | 2021-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113297578B (zh) | 基于大数据和人工智能的信息感知方法及信息安全系统 | |
CN113297393A (zh) | 基于态势感知和大数据的情报生成方法及信息安全系统 | |
CN109447180A (zh) | 一种基于大数据和机器学习的电信诈骗上当人发现方法 | |
CN112235327A (zh) | 异常日志检测方法、装置、设备和计算机可读存储介质 | |
CN112329816A (zh) | 数据分类方法、装置、电子设备和可读存储介质 | |
CN111324657A (zh) | 应急预案内容优化方法和计算机设备 | |
KR20190072652A (ko) | 정보 처리 장치 및 정보 처리 방법 | |
CN111491202B (zh) | 一种视频发布方法、装置、设备和存储介质 | |
US20170293625A1 (en) | Intent based clustering | |
CN112733146B (zh) | 基于机器学习的渗透测试方法、装置、设备及存储介质 | |
CN111447224A (zh) | web漏洞扫描方法及漏洞扫描器 | |
CN111611488A (zh) | 基于人工智能的信息推荐方法、装置、电子设备 | |
US8024336B2 (en) | System and method for development of search success metrics | |
CN111506772B (zh) | 基于图像特征提取的以图搜影方法及系统 | |
CN115576999B (zh) | 基于云平台的任务数据处理方法、装置、设备及存储介质 | |
CN106610977B (zh) | 一种数据聚类方法和装置 | |
CN115048370A (zh) | 用于大数据清洗的人工智能处理方法及大数据清洗系统 | |
CN110472659B (zh) | 数据处理方法、装置、计算机可读存储介质和计算机设备 | |
CN113592589B (zh) | 纺织原料推荐方法、装置及处理器 | |
CN107515876B (zh) | 一种特征模型的生成、应用方法及装置 | |
CN115062013A (zh) | 信息推荐方法、装置、设备及存储介质 | |
Khoshnevis et al. | Prioritizing ground‐motion validation metrics using semisupervised and supervised learning | |
CN114386931A (zh) | 一种基于ai技术的图像分析系统及方法 | |
CN116909534B (zh) | 算子流的生成方法、算子流的生成装置及存储介质 | |
CN108460630B (zh) | 基于用户数据进行分类分析的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220214 Address after: 100000 08a36, block D, floor 8, No. a 28, information road, Haidian District, Beijing Applicant after: Mingtai (Beijing) Technology Co.,Ltd. Address before: 518000 Room 101, building B3, Xinqiao Industrial Park, Gonghe Tongfu Industrial Zone, Xinhe Avenue, Gonghe community, Shajing street, Bao'an District, Shenzhen, Guangdong Applicant before: Shenzhen hemeixin Precision Electronics Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |