CN113468540A - 基于网络安全大数据的安全画像处理方法及网络安全系统 - Google Patents

基于网络安全大数据的安全画像处理方法及网络安全系统 Download PDF

Info

Publication number
CN113468540A
CN113468540A CN202110665637.2A CN202110665637A CN113468540A CN 113468540 A CN113468540 A CN 113468540A CN 202110665637 A CN202110665637 A CN 202110665637A CN 113468540 A CN113468540 A CN 113468540A
Authority
CN
China
Prior art keywords
network security
security
behavior
network
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110665637.2A
Other languages
English (en)
Inventor
丁祥云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110665637.2A priority Critical patent/CN113468540A/zh
Publication of CN113468540A publication Critical patent/CN113468540A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/232Non-hierarchical techniques
    • G06F18/2321Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
    • G06F18/23213Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Evolutionary Biology (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本公开实施例提供一种基于网络安全大数据的安全画像处理方法及网络安全系统,能够基于各个网络安全行为事件与网络安全防护云业务之间的行为转移概率,以及各个网络安全行为事件的安全行为描述分量,对一组网络安全行为事件进行次序整理,进而基于有序的网络安全行为事件集合,自动生成针对该网络安全防护云业务的一组有序的安全画像。如此,可以自动生成更加合理准确的网络安全画像列表,能够降低网络安全防护云业务的配置学习成本,减少了初步了解大量网络安全行为事件的时间代价,有效提高安全画像的精度和生成效率;另外,生成的安全画像存在次序,可以进一步提高最终安全画像的参考价值。

Description

基于网络安全大数据的安全画像处理方法及网络安全系统
技术领域
本公开涉及网络安全技术领域,示例性地,涉及一种基于网络安全大数据的安全画像处理方法及网络安全系统。
背景技术
经济飞速发展的同时,科学技术也在不断地进步,网络已经成为当前社会生产生活中不可或缺的重要组成部分,给用户带来了极大的便利。与此同时,网络系统也遭受着一定的安全威胁,这给人们正常使用网络系统带来了不利影响。尤其是在大数据时代,在网络系统中均存储着大量重要的信息,一旦网络系统出现安全问题,那么将会造成极大的损失。
基于此,相关技术中,针对一些重点关注的网络安全防护云业务,需要用户对这些网络安全防护云业务的网络安全大数据进行数据分析,了解这些网络安全防护云业务的安全画像,进而了解网络安全云业务的安全运行情况后以便于进行针对性地防护规则配置和/或更新。然而,相关技术的方案中,由用户基于数据分析工具进行单独分析整理的方式,安全画像的精度和生成效率均非常有限。
发明内容
为了至少克服现有技术中的上述不足,本公开的目的在于提供一种基于网络安全大数据的安全画像处理方法及网络安全系统。
第一方面,本公开提供一种基于网络安全大数据的安全画像处理方法,应用于网络安全系统,所述网络安全系统与多个网络安全监控终端通信连接,所述方法包括:
获取针对网络安全防护云业务的网络安全大数据,所述网络安全大数据包括至少两个网络安全行为事件;
获得所述网络安全大数据中的各个网络安全行为事件与所述网络安全防护云业务之间的行为转移概率;
根据所述各个网络安全行为事件对应的行为转移概率,以及所述各个网络安全行为事件的安全行为描述分量,对所述各个网络安全行为事件进行次序整理,得到相应的网络安全行为事件集合;
基于所述网络安全行为事件集合生成针对所述网络安全防护云业务的安全画像集,所述安全画像集包括至少两个标示安全画像。
其次,本公开提供一种基于网络安全大数据的安全画像分类网络配置方法,应用于网络安全系统,所述网络安全系统与多个网络安全监控终端通信连接,所述方法包括:
所述安全画像分类网络是通过如下过程配置获得:
获取针对至少一个参照网络安全云业务的所述标示网络安全行为事件集;
根据所述标示网络安全行为事件集中的标示网络安全行为事件,对未配置的安全画像分类网络执行遍历执行配置,以获得所述配置完成的安全画像分类网络;其中,每一次遍历执行配置过程包括如下步骤:
从所述标示网络安全行为事件集中选取针对同一参照网络安全云业务的一组标示网络安全行为事件,分别将选取的各个标示网络安全行为事件包含的标示网络安全行为事件输入所述未配置的安全画像分类网络中的行为转移概率分类层,获得所述行为转移概率分类层输出的各个标示网络安全行为事件对应的行为转移概率;
基于所述各个标示网络安全行为事件对应的行为转移概率与对应的标示信息之间的差异,构建第一差异参数;
以及分别将选取的各个标示网络安全行为事件中的标示网络安全行为事件,以及所述各个标示网络安全行为事件对应的行为转移概率输入所述未配置的安全画像分类网络中的分簇次序整理网络层,基于所述分簇次序整理网络层对所述各个标示网络安全行为事件进行分簇,获得至少两个网络安全行为事件分簇;
基于所述分簇次序整理网络层对各个网络安全行为事件分簇进行次序整理,获得所述分簇次序整理网络层输出的事件维度的第二组合描述分量;
将所述第二组合描述分量输入所述未配置的安全画像分类网络中的安全画像分类层,基于所述安全画像分类层进行安全画像特征提取,获得所述安全画像分类层输出的一组分类安全画像清单,所述分类安全画像清单包括至少两个分类安全画像;
对于任意一个分类安全画像,基于所述分类安全画像在预设的安全画像集合中的评价置信度,以及所述分类安全画像在所述网络安全大数据中的评价置信度,确定所述分类安全画像清单中的分类安全画像与真实安全画像集中的实际安全画像的评价置信度差异;
基于确定的评价置信度差异构建所述第二差异参数;
基于各个网络安全行为事件分簇中网络安全行为事件元素的注意力值,构建第三差异参数;
根据所述第一差异参数,所述第二差异参数和所述第三差异参数,对所述未配置的安全画像分类网络进行网络权重更新。
第二方面,本公开实施例还提供一种基于网络安全大数据的安全画像处理系统,所述基于网络安全大数据的安全画像处理系统包括网络安全系统以及与所述网络安全系统通信连接的多个网络安全监控终端;
所述网络安全系统,用于:
获取针对网络安全防护云业务的网络安全大数据,所述网络安全大数据包括至少两个网络安全行为事件;
获得所述网络安全大数据中的各个网络安全行为事件与所述网络安全防护云业务之间的行为转移概率;
根据所述各个网络安全行为事件对应的行为转移概率,以及所述各个网络安全行为事件的安全行为描述分量,对所述各个网络安全行为事件进行次序整理,得到相应的网络安全行为事件集合;
基于所述网络安全行为事件集合生成针对所述网络安全防护云业务的安全画像集,所述安全画像集包括至少两个标示安全画像。
根据上述任意一个方面,本公开提供的实施方式中,能够基于各个网络安全行为事件与网络安全防护云业务之间的行为转移概率,以及各个网络安全行为事件的安全行为描述分量,对一组网络安全行为事件进行次序整理,进而基于有序的网络安全行为事件集合,自动生成针对该网络安全防护云业务的一组有序的安全画像。如此,可以自动生成更加合理准确的网络安全画像列表,能够降低网络安全防护云业务的配置学习成本,减少了初步了解大量网络安全行为事件的时间代价,有效提高安全画像的精度和生成效率;另外,生成的安全画像存在次序,可以进一步提高最终安全画像的参考价值。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要调用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本公开实施例提供的基于网络安全大数据的安全画像处理系统的应用场景示意图;
图2为本公开实施例提供的基于网络安全大数据的安全画像处理方法的流程示意图;
图3为本公开实施例提供的基于网络安全大数据的安全画像处理装置的功能模块示意图;
图4为本公开实施例提供的用于实现上述的基于网络安全大数据的安全画像处理方法的网络安全系统的结构示意框图。
具体实施方式
下面结合说明书附图,对本公开实施例的方案进行详细说明。
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透彻理解本公开具体实施例。
在网络安全分析领域,安全画像是刻画安全服务用户对某个网络安全防护云业务的整体了解知识的有序画像序列,能够帮助安全服务用户快速了解一个网络安全防护云业务,减少了初步了解大量网络安全行为事件的时间代价。当前用于生成安全画像的技术常常依赖于手动提取安全画像,耗时低效。
以下给出本公开实施例的部分术语解释,以使得本领域技术人员能够更清楚地理解下述实施例的方案。
安全画像:指刻画整体了解网络安全云业务的安全运行情况的有序画像序列。对于一个网络安全云业务(如文件传输安全云业务、音视频互动安全云业务等)往往伴随着大数据级别的网络安全行为事件。安全画像是指从这些冗杂的网络安全行为事件信息中提取出能够描述此网络安全云业务的关键态势信息。基于本公开实施例中的安全画像的生成方法,可以快速准确的生成针对网络安全防护云业务的安全画像集,即一组有序的安全画像。
安全画像分类网络:为本公开实施例中提出的用于生成一组有序的安全画像的人工智能网络。
图1是本公开一种实施例提供的基于网络安全大数据的安全画像处理系统10的解释示意图。基于网络安全大数据的安全画像处理系统10可以包括网络安全系统100以及与网络安全系统100通信连接的网络安全监控终端200。图1所示的基于网络安全大数据的安全画像处理系统10仅为一种可行的示例,在其它可行的实施例中,该基于网络安全大数据的安全画像处理系统10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的组成部分。
本实施例中,基于网络安全大数据的安全画像处理系统10中的网络安全系统100和网络安全监控终端200可以通过配合执行以下方法实施例所描述的基于网络安全大数据的安全画像处理方法,具体网络安全系统100和网络安全监控终端200的执行步骤部分可以参照以下方法实施例的详细描述。
为了解决前述背景技术中的技术问题,图2为本公开实施例提供的基于网络安全大数据的安全画像处理方法的流程示意图,本实施例提供的基于网络安全大数据的安全画像处理方法可以由图1中所示的网络安全系统100执行,下面对该基于网络安全大数据的安全画像处理方法进行详细介绍。
步骤S110,获取针对网络安全防护云业务的网络安全大数据,网络安全大数据包括至少两个网络安全行为事件。
其中,网络安全大数据中包含有多个网络安全行为事件,这些网络安全行为事件可以是来自不同的网络服务对象,但是都是针对同一网络安全防护云业务的网络安全行为事件。
本公开实施例中的网络安全防护云业务主要是指网络安全防护云业务,该网络安全防护云业务可以指已经开发运营或者已开发但是待运营的软件或服务,例如文件传输安全云业务、音视频互动安全云业务等。
步骤S120,获得网络安全大数据中的各个网络安全行为事件与网络安全防护云业务之间的行为转移概率。
步骤S130,根据各个网络安全行为事件对应的行为转移概率,以及各个网络安全行为事件的安全行为描述分量,对各个网络安全行为事件进行次序整理,得到对应的网络安全行为事件集合。
步骤S140,基于网络安全行为事件集合生成针对网络安全防护云业务的一组安全画像集,安全画像集包括至少两个标示安全画像。
其中,行为转移概率也可以理解为行为相关性置信度,表示网络安全行为事件与网络安全防护云业务之间的相关程度,一般情况下生成的网络安全行为事件还会包含大量噪声特征,噪声特征越多,网络安全行为事件与网络安全防护云业务之间的行为转移概率也相对较小。
一种实施例中,依据各个网络安全行为事件与网络安全防护云业务之间的行为转移概率,以及各个网络安全行为事件的安全行为描述分量,可以将网络安全行为事件分簇为多个网络安全行为事件分簇,这样,同一网络安全行为事件分簇中的各个网络安全行为事件网络时序特征较为相似,且这些网络安全行为事件与网络安全防护云业务之间的行为转移概率也较为相似。因而在分簇得到网络安全行为事件分簇之后,对各个网络安全行为事件分簇进行次序整理,并分别对各个网络安全行为事件分簇中的各个网络安全行为事件进行次序整理,得到网络安全行为事件集合,基于该有序的网络安全行为事件集合来生成有序的目标安全画像。
在本公开实施例中,若将网络安全大数据分簇为了多个网络安全行为事件分簇,则在基于网络安全行为事件集合生成标示安全画像时,可一个网络安全行为事件分簇对应生成一个目标安全画像,也可多个网络安全行为事件分簇对应生成一个目标安全画像,或者一个网络安全行为事件分簇对应生成多个目标安全画像。在实际应用中,若网络安全大数据中的网络安全行为事件可能有很多,但实际上生成的安全画像集中一般会包含几个目标安全画像,所以一般都是多个网络安全行为事件分簇对应生成一个目标安全画像。
一种实施例中,对各个网络安全行为事件进行分簇时,主要采用的是分簇的方法,具体过程为:分别根据各个网络安全行为事件对应的行为转移概率,对各个网络安全行为事件的安全行为描述分量进行权重融合,得到各个网络安全行为事件的融合安全行为描述分量;根据各个网络安全行为事件的融合安全行为描述分量对各个网络安全行为事件进行分簇,得到至少两个网络安全行为事件分簇。
由于行为转移概率又称为行为相关性置信度,基于行为转移概率对网络安全行为事件的安全行为描述分量进行权重融合,可计算得到网络安全行为事件与网络安全防护云业务的显著性信息,从而达到对大量网络安全行为事件降噪的目标,有助于选择显著性网络安全行为事件,弱化不相关的网络安全行为事件。
另外,在根据各个网络安全行为事件的融合安全行为描述分量对各个网络安全行为事件进行分簇时,有很多种分簇方法,在本实施例中是以K-Means分簇算法为例进行举例说明的,K-Means是一种迭代求解的无监督分簇算法。对所有网络安全行为事件的融合安全行为描述分量应用K-Means分簇算法,将所有网络安全行为事件分组至k个网络安全行为事件分簇。
需要说明的是,本公开实施例中所列举的分簇方法只是举例说明,也可以使用其它分簇算法代替,如基于深度学习的分簇算法等,在此不做具体限定。
在本公开实施例中,基于分簇算法将网络安全大数据分簇为多个网络安全行为事件分簇之后,即可对网络安全行为事件分簇以及网络安全行为事件分簇内的网络安全行为事件进行次序整理,以形成网络安全行为事件集合。
一种实施例中,对各个网络安全行为事件分簇之间进行次序整理,并分别对各个网络安全行为事件分簇中的各个网络安全行为事件进行次序整理,得到一组网络安全行为事件集合的步骤,包括:
根据各个网络安全行为事件分簇所包含的网络安全行为事件的数量,对各个网络安全行为事件分簇进行次序整理;以及,针对各个网络安全行为事件分簇,分别执行如下步骤:根据网络安全行为事件分簇中各个网络安全行为事件的安全行为描述分量与网络安全行为事件分簇中心网络安全行为事件的行为匹配参数,对网络安全行为事件分簇中的各个网络安全行为事件进行次序整理。最终,在对网络安全行为事件分簇之间进行次序整理,对网络安全行为事件分簇内的网络安全行为事件之间也进行次序整理后,基于按照各个网络安全行为事件分簇之间的次序整理信息,以及各个网络安全行为事件分簇中各个网络安全行为事件的次序整理信息,生成网络安全行为事件集合。
例如,一共分簇得到4个网络安全行为事件分簇,k=4,这4个网络安全行为事件分簇分别标记为T1,T2,T3和T4。其中,T1中有3个网络安全行为事件,T2中有5个网络安全行为事件,T3中有7个网络安全行为事件,T4中有3个网络安全行为事件。此时,依据各个网络安全行为事件分簇中的网络安全行为事件的数量,对各个网络安全行为事件分簇之间进行次序整理,假设按照网络安全行为事件数量由大到小的次序,网络安全行为事件数量越多越靠前,则次序整理信息为:T3,T2,T1和T4(或者T3,T2,T4和T1)。其中,T1和T4所包含的网络安全行为事件的数量相同,因为这两个网络安全行为事件分簇之间可随机次序整理,或者进一步结合其它指标来次序整理,比如网络安全行为事件总元素等,在此不做具体限定。
在本公开实施例中,可在对各个网络安全行为事件分簇之间次序整理之后,进一步对各个网络安全行为事件分簇中的各个网络安全行为事件进行次序整理,也可在对各个网络安全行为事件分簇之间次序整理之前,对各个网络安全行为事件分簇中的各个网络安全行为事件进行次序整理,或者同时次序整理等,在此不做具体限定。例如,对于每个网络安全行为事件分簇,在对该网络安全行为事件分簇中的各个网络安全行为事件进行次序整理时,主要是依据该网络安全行为事件分簇中每一个网络安全行为事件的安全行为描述分量与该网络安全行为事件分簇的行为匹配参数,比如行为匹配参数越高,次序越靠前,行为匹配参数越低,次序整理越靠后。
假设最终得到的网络安全行为事件集合为:[QT3,1,…,QT3,7,QT2,1,…,QT2,5,QT1,1,…,QT1,3,QT4,1,…,QT4,3]。
其中,QT3,1表示T3这个网络安全行为事件分簇中次序整理最靠前的网络安全行为事件,QT3,7则表示T3这个网络安全行为事件分簇中次序整理最靠后的网络安全行为事件,在于T3的行为匹配参数上,QT3,1最高,QT3,7最低,以此类推即可。最终,基于该网络安全行为事件集合可生成一组有序的安全画像。
本公开实施例中的安全画像的生成方法也可结合人工智能技术来实现,例如步骤为:分别将各个网络安全行为事件输入配置完成的安全画像分类网络中,基于配置完成的安全画像分类网络中的行为转移概率分类层对各个网络安全行为事件进行特征提取,获得行为转移概率分类层输出的各个网络安全行为事件对应的行为转移概率。之后,分别将各个网络安全行为事件以及各个网络安全行为事件对应的行为转移概率输入配置完成的安全画像分类网络中的分簇次序整理网络层,基于分簇次序整理网络层对各个网络安全行为事件进行分簇和次序整理,获得分簇次序整理网络层输出的事件维度的第一组合描述分量,第一组合描述分量中的各个网络安全行为事件元素组合形成网络安全行为事件集合;最后,将第一组合描述分量输入配置完成的安全画像分类网络中的安全画像分类层,基于安全画像分类层进行安全画像特征提取,获得安全画像分类层输出的安全画像集。
在本公开实施例中所提出的安全画像分类网络主要包括行为转移概率分类层,分簇次序整理网络层和安全画像分类层。其中,行为转移概率分类层主要是为了和后边的事件维度进行区分,在行为转移概率分类层中得到的都是网络安全行为事件的事件轨迹表示,而在分簇次序整理网络层最终得到的第一组合描述分量是事件维度的,主要是指按次序拼接网络安全行为事件集合中的各个网络安全行为事件的向量表示后,再转换为事件维度所得到的向量表示。
其中,该安全画像模型是根据标示网络安全行为事件集配置获得,标示网络安全行为事件集中的标示网络安全行为事件包括已添加标示信息的标示网络安全行为事件,其中标示信息表示标示网络安全行为事件与参照网络安全云业务是否存在行为转移可能,可以是一个二分类标签。需要说明的是,本公开实施例中的标示网络安全行为事件集中所包含的标示网络安全行为事件中的标示网络安全行为事件可以是针对同一参照网络安全云业务的,也可以是针对多个参照网络安全云业务的,一般同一参照网络安全云业务对应有多条标示网络安全行为事件。进一步地,本公开实施例中的安全画像分类网络则是通过采用多组标示网络安全行为事件利用机器学习配置得出。
例如,本公开实施例针对安全画像分类网络进行以下示例性说明,该安全画像分类网络可以包括三个部分:行为转移概率分类层,分簇次序整理网络层,安全画像分类的安全画像分类层。
首先,输入一个网络安全防护云业务的一组网络安全行为事件(X1,X2,…,XM),M表示网络安全行为事件的总数量,经过行为转移概率分类层,可为每个网络安全行为事件预测一个行为相关性置信度来评估每个网络安全行为事件与网络安全防护云业务相关的特征,也就是网络安全行为事件对应的行为转移概率。
在本公开实施例中,行为转移概率分类层的目的是为每个网络安全行为事件Xi计算一个行为相关性置信度。该行为转移概率分类层强调与网络安全防护云业务的特征相关的网络安全行为事件并弱化噪声特征。把每个网络安全行为事件可以看作是一个事件轨迹节点序列,首先使用双向循环神经网络把每个网络安全行为事件映射到连续特征向量空间,得到各个网络安全行为事件的事件描述特征,并通过深度特征编码将事件描述特征转换为编码特征信息本公开实施例引入事件轨迹级别的自注意力机制,建模所有网络安全行为事件编码特征信息之间的复杂访问攻击。例如,采用事件轨迹级别的自注意力机制分别提取各个网络安全行为事件的编码特征信息与除自身之外的其它网络安全行为事件的编码特征信息之间的安全画像特征,基于各个网络安全行为事件对应的安全画像特征获得各个网络安全行为事件与网络安全防护云业务之间的行为转移概率,为每个网络安全行为事件计算得到一个行为相关性置信度zi。
需要说明的是,以上双向循环神经网络作为事件描述提取层,当然也可以替换为其它事件轨迹表示的模型,在此不做具体限定。
在基于行为转移概率分类层计算得到各个网络安全行为事件对应的zi之后,即可基于配置完成的安全画像分类网络中的分簇次序整理网络层来对各个网络安全行为事件进行分簇次序整理,本公开提出的分簇次序整理网络层通过把网络安全行为事件组织成有序的分簇来学习网络安全行为事件的重要性次序,这是准确生成有序的安全画像的前提。具体过程如下:
首先需要将各个网络安全行为事件映射至连续特征向量空间得到各个网络安全行为事件对应的事件元素特征集,并通过时域特征提取操作对各个网络安全行为事件对应的事件元素特征集进行时域信息提取,得到各个网络安全行为事件的时域事件描述特征;之后分别根据各个网络安全行为事件对应的行为转移概率,对各个网络安全行为事件的时域事件描述特征进行权重融合,得到各个网络安全行为事件的融合时域事件描述特征Xi′。
进而,即可对所有网络安全行为事件的融合时域事件描述特征应用K-Means分簇算法进行分簇,将所有网络安全行为事件分组至k个分簇;将所有的分簇按照所包含的网络安全行为事件数量从大到小次序整理,每个分簇内按照网络安全行为事件到簇中心的距离从小到大次序整理,最终得到有序的网络安全行为事件集合。本公开实施例按次序拼接网络安全行为事件得向量表示后,进行事件维度转换,平铺成事件维度的第一组合描述分量,
最后,在次序增强的安全画像分类层中,采用了两个映射标准限制,即映射标准特征和映射标准损失,使得安全画像分类网络能够根据网络安全行为事件的时域事件描述特征生成有序的安全画像。具体过程如下:
采用遍历策略,依次生成安全画像集中的各个安全画像,安全画像集中的一个安全画像至少包括一个安全画像。
其中,每生成一个安全画像看作是一次遍历执行,也可称作一个时间步骤。例如在一次遍历执行过程中,执行如下步骤:
步骤S210,将上一次输出的标示安全画像输入安全画像分类层,其中,第一次输入安全画像分类层的为预先设置的起始安全画像对象。
考虑到准确生成有次序的安全画像是很有挑战的。本公开实施例中提出安全画像分类层来生成有序的安全画像。根据真实数据分析,安全画像的次序和分簇的次序有很强的相关性,即第j个安全画像往往会和第j个分簇及其邻居有强相关性,因而本公开实施例中将第j个分簇及其邻居表示为聚焦的分簇,其它分簇表示为外部的分簇。为了在每个生成时间步骤的时候,增加安全画像和分簇之间的次序约束,本公开涉及了两个映射标准机制:
本公开实施例引入映射标准特征至安全画像和分簇的编码特征信息表示中,例如,具体映射标准过程参见下述步骤:
步骤S220,将本次选取的目标分簇以及目标分簇的邻居作为聚焦的分簇,将其它的分簇作为外部的分簇,其中每次选取的目标分簇是基于各个分簇之间的次序确定的。
步骤S230,为网络安全行为事件集合中位于聚焦的分簇中的网络安全行为事件元素增加第一映射标准特征,为网络安全行为事件集合中位于外部的分簇中的网络安全行为事件元素增加第二映射标准特征,得到网络安全行为事件中的各个网络安全行为事件元素对应的第一映射标准编码特征信息;以及,为上一次输出的标示安全画像增加第一映射标准特征,得到对应的第二映射标准编码特征信息。
假设上一次输出的标示安全画像为yj,q-1,则对应yj,q-1而言,整合了第一映射标准特征的安全画像的编码特征信息,即第二映射标准编码特征信息,例如可以表示为:
yj,q-1=WrtAln(1)+Embed(yj,q-1)+Pos(yj,q-1);其中,Wrt是预先设置的模型参数,Aln(1)即第一映射标准特征的特征向量。对于第i个分簇中的第p个网络安全行为事件元素xi,p,考虑到位于聚焦的分簇FOC中的网络安全行为事件元素,与位于外部的分簇中的网络安全行为事件元素,对应增加的映射标准特征不同。
为了从有序的分簇中捕捉网络时序特征和映射标准信息,本公开实施例中为网络安全行为事件元素与上一次输出的安全画像之间的注意力值,具体实现过程如下:
步骤S240,结合网络安全行为事件中的各个网络安全行为事件元素对应的第一映射标准向量与上一次输出的标示安全画像对应的第二映射标准编码特征信息,基于注意力机制分析上一次输出的标示安全画像与网络安全行为事件中的各个网络安全行为事件元素的映射置信度,其中,映射置信度表示网络安全行为事件元素与上一次输出的安全画像之间的注意力值。
步骤S250,将映射置信度和网络安全行为事件集合中的网络安全行为事件元素的编码特征信息序列进行权重融合,并输入到前向神经网络中,获得本次输出的网络安全行为事件集合的目标时域事件描述特征。
步骤S260,基于上一次输出的标示安全画像以及目标时域事件描述特征,生成本次输出的标示安全画像。
进一步地,本公开实施例中的安全画像分类网络是通过采用多组标示网络安全行为事件利用机器学习配置得出。具体配置过程如下:
获取针对至少一个参照网络安全云业务的标示网络安全行为事件集,根据标示网络安全行为事件集中的标示网络安全行为事件,对未配置的安全画像分类网络执行遍历执行配置,以获得配置完成的安全画像分类网络;
其中,每一次遍历执行配置过程包括如下步骤:
(1)首先从标示网络安全行为事件集中选取针对同一参照网络安全云业务的一组标示网络安全行为事件,将这一组标示网络安全行为事件作为网络安全大数据,与上述所列举的应用过程相似,也是分别将选取的各个标示网络安全行为事件包含的标示网络安全行为事件输入未配置的安全画像分类网络中的行为转移概率分类层,获得行为转移概率分类层输出的各个标示网络安全行为事件对应的行为转移概率;进而,基于各个标示网络安全行为事件对应的行为转移概率与对应的标示信息之间的差异,构建第一差异参数。
例如,行为转移概率分类层可以借助网络安全行为事件编码特征信息之间的关联关系,判断每个网络安全行为事件与其它网络安全行为事件的相关性,计算每个网络安全行为事件的与网络安全防护云业务相关的显著性信息,从而达到对大量网络安全行为事件降噪的目标,选择显著性网络安全行为事件,弱化不相关的网络安全行为事件。
(2)分别将选取的各个标示网络安全行为事件中的标示网络安全行为事件,以及各个标示网络安全行为事件对应的行为转移概率输入未配置的安全画像分类网络中的分簇次序整理网络层,基于分簇次序整理网络层对各个标示网络安全行为事件进行分簇,获得至少两个分簇后,对各个分簇进行次序整理,获得分簇次序整理网络层输出的事件维度的第二组合描述分量。之后,即可将第二组合描述分量输入未配置的安全画像分类网络中的安全画像分类层,基于安全画像分类层进行安全画像特征提取,获得安全画像分类层输出的一组分类安全画像清单,其中分类安全画像清单包括至少两个分类安全画像。
(3)对于分簇次序整理网络层和次序增强的安全画像分类层而言,主要是基于分类安全画像清单中的分类安全画像与真实安全画像集中的实际安全画像的评价置信度差异,构建第二差异参数;基于各个分簇中网络安全行为事件元素的注意力值,构建第三差异参数。
(4)对于任意一个分类安全画像,基于分类安全画像在预设的安全画像集合中的评价置信度,以及分类安全画像在网络安全大数据中的评价置信度,确定分类安全画像清单中的分类安全画像与真实安全画像集中的实际安全画像的评价置信度差异;基于确定的评价置信度差异构建第二差异参数。
基于上述所列举的差异参数对安全画像分类网络不断地进行网络权重更新,最终直至模型满足训练终止条件,或者是迭代次数达到上限时停止迭代,得到配置完成的安全画像分类网络。
(5)在配置好安全画像分类网络之后,即可基于配置好的安全画像分类网络来生成安全画像集。例如,将一组针对网络安全防护云业务的多个网络安全行为事件输入配置好的安全画像分类网络中,基于该安全画像分类网络生成一组安全画像集,最终将生成的安全画像集返回。
一种实施例中,下面介绍本公开实施例中的一种基于网络安全大数据的安全画像分类网络的配置方法的流程,该方法的具体实施流程如下:
步骤S300,获取针对至少一个参照网络安全云业务的标示网络安全行为事件集。
步骤S301,从标示网络安全行为事件集中选取针对同一参照网络安全云业务的一组标示网络安全行为事件。
步骤S302,分别将选取的各个标示网络安全行为事件包含的标示网络安全行为事件输入未配置的安全画像分类网络中的行为转移概率分类层,获得行为转移概率分类层输出的各个标示网络安全行为事件对应的行为转移概率。
步骤S303,基于各个标示网络安全行为事件对应的行为转移概率与对应的标示信息之前的差异,构建第一差异参数。
步骤S304,分别将选取的各个标示网络安全行为事件中的标示网络安全行为事件,以及各个标示网络安全行为事件对应的行为转移概率输入未配置的安全画像分类网络中的分簇次序整理网络层,基于分簇次序整理网络层对各个标示网络安全行为事件进行分簇,获得至少两个分簇。
步骤S305,基于分簇次序整理网络层对各个分簇进行次序整理,获得分簇次序整理网络层输出的事件维度的第二组合描述分量。
步骤S306,将第二组合描述分量输入未配置的安全画像分类网络中的次序增强的安全画像分类层,基于安全画像分类层进行安全画像特征提取,获得安全画像分类层输出的一组分类安全画像清单。
步骤S307,基于分类安全画像清单中的分类安全画像与真实安全画像集中的实际安全画像的评价置信度差异,构建第二差异参数。
步骤S308,基于各个分簇中网络安全行为事件元素的注意力值,构建第三差异参数。
步骤S309,根据第一差异参数,第二差异参数和第三差异参数,对未配置的安全画像分类网络的网络权重进行更新。
步骤S310,判断安全画像分类网络是否满足训练终止条件,如果是,则结束本流程,否则,返回步骤S301。
一种实施例中,下面介绍本公开实施例提供的另一种基于网络安全大数据的安全防护配置方法,该方法可以由图1中所示的网络安全系统100执行,下面对该方法的具体步骤进行说明。
步骤S410,基于目标安全画像获得第一预测网络安全防护规则。
例如,目标安全画像可以对应多个安全防护策略的防护规则,第一预测网络安全防护规则用于指示如何对目标安全画像进行防护规则的配置。
一种实施例中,上述步骤所描述的“基于目标安全画像获得第一预测网络安全防护规则”,可以包括以下内容:获取对应有初始网络安全防护规则的目标安全画像;对所述目标安全画像中包括的所述初始网络安全防护规则进行整体安全防护规则识别,得到所述第一预测网络安全防护规则。
例如,初始网络安全防护规则可以是在先存在的网络安全防护规则,用于记录目标安全画像的防护规则分布情况,包括但不限于防护规则分布量、防护规则分布类型、防护规则分布时段以及防护规则分布对象等。对所述初始网络安全防护规则进行整体安全防护规则识别,可以理解为对初始网络安全防护规则进行连续不间断的安全防护规则识别,进一步地,整体安全防护规则识别可以对初始网络安全防护规则进行不断遍历更新,从而根据遍历更新结果生成第一预测网络安全防护规则。
步骤S420,利用预先获得的所述网络安全防护云业务相关的多个第二预测网络安全防护规则对所述第一预测网络安全防护规则进行防护规则匹配,得到多个第二预测网络安全防护规则分别对应的目标防护规则信息。
例如,第二预测网络安全防护规则不同于第一预测网络安全防护规则,第二预测网络安全防护规则的配置业务节点可以在第一预测网络安全防护规则的配置业务节点之前,也可以在第一预测网络安全防护规则的配置业务节点之后。防护规则匹配用于从第一预测网络安全防护规则中提取多个第二预测网络安全防护规则分别对应的目标防护规则信息。
一种实施例中,上述步骤所描述的“利用预先获得的所述网络安全防护云业务相关的多个第二预测网络安全防护规则对所述第一预测网络安全防护规则进行防护规则匹配,得到多个第二预测网络安全防护规则分别对应的目标防护规则信息”,可以包括以下内容:对所述多个第二预测网络安全防护规则以及所述第一预测网络安全防护规则进行防护规则分布引用,得到所述多个第二预测网络安全防护规则分别对应的目标防护规则信息。
例如,防护规则分布引用可以理解为对已配置的防护规则的流向进行查询和统计,从而可以确保对已配置的防护规则的完整收集,这样可以通过已配置的防护规则确定所述多个第二预测网络安全防护规则与所述第一预测网络安全防护规则之间的存在关联的防护规则,这样可以准确完整地得到所述多个第二预测网络安全防护规则分别对应的目标防护规则信息。
一种实施例中,可以根据以下方式预先获得所述多个第二预测网络安全防护规则:获取多组对应有样本网络安全防护规则的样本安全画像;针对多组所述样本安全画像中的每组样本安全画像,对所述每组样本安全画像中包括的样本网络安全防护规则进行整体安全防护规则识别,得到所述每组样本安全画像对应的第二预测网络安全防护规则。
例如,关于“获取多组对应有样本网络安全防护规则的样本安全画像;针对多组所述样本安全画像中的每组样本安全画像,对所述每组样本安全画像中包括的样本网络安全防护规则进行整体安全防护规则识别,得到所述每组样本安全画像对应的第二预测网络安全防护规则”的进一步说明可以参阅上述对“获取对应有初始网络安全防护规则的目标安全画像;对所述目标安全画像中包括的所述初始网络安全防护规则进行整体安全防护规则识别,得到所述第一预测网络安全防护规则”的说明,在此不作赘述。
步骤S430,基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、所述多个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则,获得目标防护规则关键字段以及目标联动防护规则信息。
例如,预设规则属性用于对不同的防护规则进行区分,比如音视频流防护规则、资金流防护规则、隐私行为流防护规则或者文档服务流防护规则等。而挖掘网络安全防护规则用于表征第二预测网络安全防护规则对应的延时性或者隐性网络安全防护规则,相较于第二预测网络安全防护规则具有较高的挖掘价值。进一步地,目标防护规则关键字段可以用于表征对防护规则的字段情况,比如对音视频流防护规则、资金流防护规则、隐私行为流防护规则或者文档服务流防护规则的字段情况。此外,目标联动防护规则信息用于表征第一预测网络安全防护规则和第二预测网络安全防护规则之间在时序上存在关联关系,且该关联关系处于实时更新状态的防护规则信息。
一种实施例中,所述目标防护规则关键字段可以包括以下至少一种:目标防护规则攻击识别字段、目标防护规则攻击库调用字段、以及目标防护规则攻击更新字段。进一步地,所述多个挖掘网络安全防护规则分别对应的防护规则关键字段包括以下至少一种:所述挖掘网络安全防护规则的多组已配置防护规则中每组已配置防护规则对应的防护规则攻击更新字段、防护规则攻击识别字段、防护规则攻击库调用字段。防护规则攻击识别字段、防护规则攻击库调用字段以及防护规则攻击更新字段分别对应不同的防护规则操作行为。在上述基础上,可以根据不同情况确定获得目标防护规则关键字段。在实际实施时,可以但不限于通过以下三种实施方式获得目标防护规则关键字段。
第一种实施方式,若所述目标防护规则关键字段包括目标防护规则攻击识别字段,则所述基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、所述多个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则,获得目标防护规则关键字段,包括:基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息,对所述多个挖掘网络安全防护规则分别对应的防护规则攻击识别字段进行攻击识别字段检测,得到所述目标防护规则攻击识别字段。
在第一种实施方式中,在目标防护规则关键字段包括目标防护规则攻击识别字段时,可以对多个挖掘网络安全防护规则分别对应的防护规则攻击识别字段进行攻击识别字段检测,通过攻击识别字段检测,能够确保防护规则攻击识别字段的合法性,从而确保得到的目标防护规则攻击识别字段的安全性和合法性。比如,攻击识别字段检测可以是签名检测、身份检测或者数字证书检测中的一种或多种,也可以是其它的检测方式。可以理解,目标防护规则攻击识别字段是通过攻击识别字段检测的挖掘网络安全防护规则分别对应的防护规则攻击识别字段。
第二种实施方式,若所述目标防护规则关键字段包括目标防护规则攻击库调用字段,则所述基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、所述多个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则,获得目标防护规则关键字段,包括:基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息,对所述多个挖掘网络安全防护规则分别对应的防护规则攻击库调用字段进行攻击库调用字段检测,得到所述目标防护规则攻击库调用字段。
第三种实施方式,若所述目标防护规则关键字段包括目标防护规则攻击更新字段,则所述基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、所述多个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则,获得目标防护规则关键字段,包括:将所述多个挖掘网络安全防护规则分别对应的防护规则攻击更新字段更新为规则更新字段,并对所述规则更新字段进行规则对象识别处理,得到携带规则对象标签的规则更新字段;基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息,对所述多个挖掘网络安全防护规则分别对应的携带规则对象标签的规则更新字段进行字段筛选处理,得到所述目标防护规则攻击更新字段。
在第三种实施方式中,由于目标防护规则关键字段包括目标防护规则攻击更新字段,而目标防护规则攻击更新字段涉及较大幅度的防护规则的修改和调整,为此,在获得目标防护规则关键字段时,需要将多个挖掘网络安全防护规则分别对应的防护规则攻击更新字段更新为规则更新字段,从而确保在先的防护规则攻击更新字段之间的一致性。这样可以对所述规则更新字段进行规则对象识别处理,得到携带规则对象标签的规则更新字段。例如,规则对象标签可以用于对规则对象进行区分,规则对象标签可以是名称或者编号等标识,携带规则对象标签的规则更新字段能够用于追溯规则对象/库对象,如此,可以基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息,对所述多个挖掘网络安全防护规则分别对应的携带规则对象标签的规则更新字段进行字段筛选处理,得到所述目标防护规则攻击更新字段,也即将携带规则对象标签的规则更新字段进行考虑,便于后续在出现攻击更新行为时对规则对象/库对象的有效追溯。
一种实施例中,所述挖掘网络安全防护规则可以包括:所述挖掘网络安全防护规则的防御场景属性相对于预先获得的过往挖掘网络安全防护规则的过往防御场景属性的联动防护规则信息。例如,防御场景属性可以理解为防御场景下的防御类别信息(如网购过程中的防御类别、浏览隐私数据过程中的防御类别等)。在此基础上,上述内容所描述的基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、所述多个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则,获得目标联动防护规则信息,可以通过以下实施方式实现:基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、以及多个所述挖掘网络安全防护规则分别包括的联动防护规则信息,获得所述目标挖掘网络安全防护规则的目标防御场景属性相对于所述过往防御场景属性的所述目标联动防护规则信息。
例如,可以对所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、以及多个所述挖掘网络安全防护规则分别包括的联动防护规则信息进行防护规则信息整合,从而筛分出相关度较高的待处理防护规则信息,然后通过待处理防护规则信息确定所述目标挖掘网络安全防护规则的目标防御场景属性相对于所述过往防御场景属性的所述目标联动防护规则信息。如此一来,由于目标联动防护规则信息与目标挖掘网络安全防护规则的目标防御场景属性相关联,因而在后续可以通过目标联动防护规则信息确定目标挖掘网络安全防护规则的目标防御场景属性,进而确保后续生成的目标挖掘网络安全防护规则的实时防护规则分配字段的高匹配性。
在另一些可能的实施例中,上述步骤“基于所述多个第二预测网络安全防护规则分别对应的目标防护规则信息、以及多个所述挖掘网络安全防护规则分别包括的联动防护规则信息,获得所述目标挖掘网络安全防护规则的目标防御场景属性相对于所述过往防御场景属性的所述目标联动防护规则信息”,可以包括以下内容:对所述多个第二预测网络安全防护规则分别对应的目标防护规则信息进行网络攻击模拟更新测试;基于网络攻击模拟更新测试后的目标防护规则信息、以及所述挖掘网络安全防护规则分别包括的联动防护规则信息,得到所述目标联动防护规则信息。
例如,对所述多个第二预测网络安全防护规则分别对应的目标防护规则信息进行网络攻击模拟更新测试可以理解为对所述多个第二预测网络安全防护规则分别对应的目标防护规则信息进行除噪,如此,在后续对网络攻击模拟更新测试后的目标防护规则信息、以及所述挖掘网络安全防护规则分别包括的联动防护规则信息进行防护规则信息整合时,能够尽可能减少噪声信息的影响。
在另外的一些实施例中,还可以采用下述方式获取所述多个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则:获得所述多个第二预测网络安全防护规则中每个第二预测网络安全防护规则对应的具有预设规则属性的单元挖掘网络安全防护规则;基于相对于过往挖掘网络安全防护规则的多组预设联动防护规则信息,获得与所述每个第二预测网络安全防护规则对应的挖掘网络安全防护规则相对于所述过往挖掘网络安全防护规则的联动防护规则信息;利用所述联动防护规则信息,对所述单元挖掘网络安全防护规则中的单元防御场景属性进行更新,并基于更新后的单元防御场景属性、以及所述单元挖掘网络安全防护规则的单元防护规则关键字段,获得所述每个第二预测网络安全防护规则的挖掘网络安全防护规则。
例如,单元挖掘网络安全防护规则可以按照时段划分得到。而相对于过往挖掘网络安全防护规则的多组预设联动防护规则信息可以理解为与过往挖掘网络安全防护规则存在关联的预设联动防护规则信息。如此,能够基于相对于过往挖掘网络安全防护规则的多组预设联动防护规则信息,获得与所述每个第二预测网络安全防护规则对应的挖掘网络安全防护规则相对于所述过往挖掘网络安全防护规则的联动防护规则信息。其中,每个第二预测网络安全防护规则对应的挖掘网络安全防护规则相对于所述过往挖掘网络安全防护规则的联动防护规则信息可以理解为每个第二预测网络安全防护规则对应的挖掘网络安全防护规则与所述过往挖掘网络安全防护规则之间存在关联的防护规则信息。如此设计,可以利用所述联动防护规则信息,对所述单元挖掘网络安全防护规则中的单元防御场景属性进行时间层面的更新,进而确保更新后的单元防御场景属性的准确性。进而结合更新前后的单元防护规则关键字段获得每个第二预测网络安全防护规则的挖掘网络安全防护规则,这样可以考虑时序偏差对每个第二预测网络安全防护规则的挖掘网络安全防护规则的影响,确保每个第二预测网络安全防护规则的挖掘网络安全防护规则在时间顺序上的可信度。
步骤S440,基于所述目标防护规则关键字段以及所述目标联动防护规则信息,获得与所述第一预测网络安全防护规则对应的目标挖掘网络安全防护规则。
在本实施例中,能够通过目标防护规则信息以及每个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则获得目标防护规则关键字段以及目标联动防护规则信息,从而实现对目标防护规则关键字段的深度挖掘并确保目标联动防护规则信息的完整性。如此,在确定第一预测网络安全防护规则对应的目标挖掘网络安全防护规则时,能够尽可能将挖掘的防护规则关键字段考虑在内,从而确保目标挖掘网络安全防护规则与挖掘的防护规则关键字段的相关性,提高后续防护规则的配置精度和效率。
一种实施例中,上述步骤“基于所述目标防护规则关键字段以及所述目标联动防护规则信息,获得与所述第一预测网络安全防护规则对应的目标挖掘网络安全防护规则”,可以通过以下实施方式实现:基于所述目标防护规则关键字段、以及过往挖掘网络安全防护规则中过往防护规则关键字段与过往防御场景属性之间的场景属性相关性信息,对所述过往防御场景属性进行字段分类处理,获得单元防御场景属性;基于所述目标联动防护规则信息,对所述单元防御场景属性进行关联处理,得到目标防御场景属性;基于所述目标防护规则关键字段、以及所述目标防御场景属性,生成所述目标挖掘网络安全防护规则。
例如,可以确定所述目标防护规则关键字段与过往防御场景属性之间的第一场景属性相关性信息,以及过往挖掘网络安全防护规则中过往防护规则关键字段与过往防御场景属性之间的第二场景属性相关性信息。其中,场景属性相关性信息可以通过预先训练的相关性识别模型(比如神经网络模型)实现,如此,可以根据第一场景属性相关性信息和第二场景属性相关性信息中的相关性识别事项,对所述过往防御场景属性进行字段分类处理获得单元防御场景属性。比如可以按照相关性识别事项对过往防御场景属性进行拆分,然后对拆分得到的不同字段进行分类处理,得到单元防御场景属性。也即,单元防御场景属性为过往防御场景属性中的其中一部分。这样,可以结合目标联动防护规则信息,对所述单元防御场景属性进行关联处理得到目标防御场景属性,由于目标防御场景属性存在较强的关联性,因而在通过所述目标防护规则关键字段、以及所述目标防御场景属性生成所述目标挖掘网络安全防护规则的过程中,能够综合考虑防护字段的连续性以及防护字段的深度,从而确保目标挖掘网络安全防护规则与挖掘的防护规则关键字段的相关性,提高后续防护规则的配置精度和效率。
综上,本公开实施例所提供的基于网络安全大数据的安全防护配置方法及服务器,能够基于多个第二预测网络安全防护规则对第一预测网络安全防护规则进行防护规则匹配以得到每个第二预测网络安全防护规则分别对应的目标防护规则信息,这样能够通过目标防护规则信息以及每个第二预测网络安全防护规则分别对应的具有预设规则属性的挖掘网络安全防护规则获得目标防护规则关键字段以及目标联动防护规则信息,从而实现对目标防护规则关键字段的深度挖掘并确保目标联动防护规则信息的完整性。如此,在确定第一预测网络安全防护规则对应的目标挖掘网络安全防护规则时,能够尽可能将挖掘的防护规则关键字段考虑在内,从而确保目标挖掘网络安全防护规则与挖掘的防护规则关键字段的相关性,提高后续防护规则的配置精度和效率。
譬如,对于一些选择性的实施例而言,该方法还可以包括以下内容:根据所述目标挖掘网络安全防护规则向与所述网络安全监控终端下发目标配置防护规则;在下发了所述目标配置防护规则之后,通过不同的候选防护操作记录中的防护行为轨迹信息,确定所述防护行为轨迹信息对应的关联防护事件;基于所述防护行为轨迹信息对应的关联防护事件,确定所述防护行为轨迹信息对应的轨迹时序信息,以对所述防护行为轨迹信息进行威胁态势信息分析得到威胁态势信息;根据所述防护行为轨迹信息及所述防护行为轨迹信息对应的轨迹时序信息和威胁态势信息,生成目标防护行为轨迹信息;其中,所述目标防护行为轨迹信息用于进行所述目标配置防护规则的安全性能分析。
可以理解,在下发了所述目标配置防护规则之后,网络安全监控终端能够基于所述目标配置防护规则进行相关的防护规则配置,在这个情况下,网络安全系统可以对网络安全监控终端对应的候选防护操作记录进行分析,从而确定出能够为网络安全监控终端所用的目标防护行为轨迹信息,便于在网络安全监控终端进行所述目标配置防护规则的安全性能分析。
鉴于上述内容,步骤“通过不同的候选防护操作记录中的防护行为轨迹信息,确定所述防护行为轨迹信息对应的关联防护事件;基于所述防护行为轨迹信息对应的关联防护事件,确定所述防护行为轨迹信息对应的轨迹时序信息,以对所述防护行为轨迹信息进行威胁态势信息分析得到威胁态势信息;根据所述防护行为轨迹信息及所述防护行为轨迹信息对应的轨迹时序信息和威胁态势信息,生成目标防护行为轨迹信息;其中,所述目标防护行为轨迹信息用于进行所述目标配置防护规则的安全性能分析”可以通过以下实施例实现。
步骤S510,通过不同的候选防护操作记录中的防护行为轨迹信息,确定所述防护行为轨迹信息对应的关联防护事件。
步骤S520,基于所述防护行为轨迹信息对应的关联防护事件,确定所述防护行为轨迹信息对应的轨迹时序信息,以对所述防护行为轨迹信息进行威胁态势信息分析得到威胁态势信息。
步骤S530,根据所述防护行为轨迹信息及所述防护行为轨迹信息对应的轨迹时序信息和威胁态势信息,生成目标防护行为轨迹信息;其中,所述目标防护行为轨迹信息用于进行所述目标配置防护规则的安全性能分析。
可以理解,上述步骤S510-步骤S530应用于与网络安全监控终端通信的网络安全系统,网络安全监控终端的数据处理能力较弱,而网络安全系统的数据处理能力较强,因此,通过网络安全系统生成用于进行所述目标配置防护规则的安全性能分析的目标防护行为轨迹信息,能够在确保与分析的安全性能相关性的前提下尽可能减少目标防护行为轨迹信息的数据量规模,这样在将目标防护行为轨迹信息下发给网络安全监控终端时,网络安全监控终端也能够通过目标防护行为轨迹信息进行精准的所述目标配置防护规则的安全性能分析。
基于此,在上述内容的基础上,还可以包括以下步骤S540所描述的内容,步骤S540,向网络安全监控终端发送所述目标防护行为轨迹信息,指示所述网络安全监控终端根据所述目标防护行为轨迹信息确定当前分析的安全性能并通过所述分析的安全性能进行云业务网络安全防护云业务输出。
一般而言,分析的安全性能可以通过对目标防护行为轨迹信息进行大数据挖掘得到,由于目标防护行为轨迹信息的数据量规模较小且数据特征识别度较高,因而通过前端的网络安全监控终端也能够快速地挖掘出分析的安全性能并依据分析的安全性能进行相关的云业务网络安全防护云业务输出。这样能够将分析的安全性能的挖掘从云端下沉到业务端,从而实现分析的安全性能的挖掘的分布式处理,提高分析的安全性能的挖掘效率。
譬如,接下来将对一些可选实施例进行说明,以下实施例应当理解为示例,不应理解为实现本方案所必不可少的技术特征。应当理解,在技术方案不冲突的前提下,以下实施例可以和上述实施例进行适应性组合以构成新的且能够完整实施的技术方案。
对于步骤S510而言,该步骤是用于确定防护行为轨迹信息对应的关联防护事件,在本实施例中,网络安全系统可以基于与网络安全监控终端的数据通信记录获取候选防护操作记录,候选防护操作记录可以是具体可用于展现的日志信息。进一步地,步骤S510中的防护行为轨迹信息用于表征基于网络安全监控终端所执行的防护操作所对应的记录数据,比如防护阻拦、放行、进一步二次确认过程等业务节点的执行过程信息。在此基础上,关联防护事件则可以理解为与防护行为轨迹信息在规则更新层面存在相关性的防护相关记录,关联防护事件可以按照时序先后顺序记录行为轨迹数据的变化情况。
对于步骤S510而言,一种实施例中,步骤“通过不同的候选防护操作记录中的防护行为轨迹信息,确定所述防护行为轨迹信息对应的关联防护事件”所描述的内容,可以通过以下方式实现:根据第一候选防护操作记录中的第一防护行为轨迹信息,确定与所述第一防护行为轨迹信息对应的关联防护事件作为初始防护事件,所述第一候选防护操作记录包括至少一组防护行为轨迹信息;根据第二候选防护操作记录确定与所述第二候选防护操作记录对应的关联防护事件作为目标防护事件;所述第二候选防护操作记录用于表征目标防护行为轨迹信息的轨迹元素信息和/或轨迹元素引用信息。
一种实施例中,第一候选防护操作记录和第二候选防护操作记录分别表征不同的内容,第一候选防护操作记录侧重于防护行为轨迹信息,而第二候选防护操作记录侧重于目标防护行为轨迹信息的轨迹元素信息和/或轨迹元素引用信息。其中,轨迹元素信息可以理解为在隐私行为流互动业务中的倾向,轨迹元素引用信息可以理解为防护操作行为倾向。
如此,通过第一候选防护操作记录和第二候选防护操作记录,能够确定出确定与所述第一防护行为轨迹信息对应的关联防护事件作为初始防护事件以及与所述第二候选防护操作记录对应的关联防护事件作为目标防护事件,从而实现对第一候选防护操作记录和第二候选防护操作记录各自对应的关联防护事件的分类处理,避免第一候选防护操作记录和第二候选防护操作记录各自对应的关联防护事件之间的互相影响。
在一些示例中,所述第一候选防护操作记录包括属于同一访问源的多组不同的第一防护行为轨迹信息,基于此,上述步骤“确定与所述第一防护行为轨迹信息对应的关联防护事件作为初始防护事件”,可以包括以下内容:针对所述第一候选防护操作记录中的每组第一防护行为轨迹信息,确定与所述第一防护行为轨迹信息对应的关联防护事件,作为与所述第一防护行为轨迹信息对应的初始防护事件。
譬如,在另一些可能的实施例中,上述步骤“根据第二候选防护操作记录确定与所述第二候选防护操作记录对应的关联防护事件作为目标防护事件”所描述的内容,可以通过以下方式实现:当第二候选防护操作记录中包括目标防护源对象时,根据所述目标防护源对象确定关联防护事件,作为目标防护事件;或者,当所述第二候选防护操作记录为第二防护行为轨迹信息时,根据所述第二防护行为轨迹信息确定关联防护事件,作为目标防护事件;其中,所述第二防护行为轨迹信息与所述第一防护行为轨迹信息之间不完全相同。
在另一些可能的实施例中,目标防护源对象用于表征较为频繁的数字化业务对应的防护源对象。
在另一些可能的实施例中,若所述第二候选防护操作记录为与所述第一防护行为轨迹信息之间不完全相同的第二防护行为轨迹信息时,可以根据所述第二防护行为轨迹信息确定关联防护事件,这样可以实现对目标防护事件以及初始防护事件的有效区分,从而便于后续的目标防护行为轨迹信息的生成。
对于步骤S520而言,在一些实施例中,步骤“基于所述防护行为轨迹信息对应的关联防护事件,确定所述防护行为轨迹信息对应的轨迹时序信息,以对所述防护行为轨迹信息进行威胁态势信息分析得到威胁态势信息”所描述的内容,可以通过以下方式实现:根据所述初始防护事件和所述目标防护事件,确定所述第一防护行为轨迹信息对应的轨迹时序信息,并根据所述轨迹时序信息对所述第一防护行为轨迹信息进行威胁态势信息分析得到所述第一防护行为轨迹信息对应的威胁态势信息。
在一些实施例中,可以分别对所述初始防护事件和所述目标防护事件进行特征提取,以得到防护事件特征,然后结合所述第一防护行为轨迹信息的时序特征,确定所述第一防护行为轨迹信息对应的轨迹时序信息。一般而言,轨迹时序信息可以与防护源对象对应,因而可以在精准表征防护行为轨迹信息的含义的前提下减少轨迹时序信息的数据量规模,在此基础上,通过轨迹时序信息对所述第一防护行为轨迹信息进行威胁态势信息分析,能够确保威胁态势信息在精准表征威胁态势信息的前提下减少数据量规模。
对于步骤S530而言,目标防护行为轨迹信息能够被网络安全监控终端所使用,因此,为了确保目标防护行为轨迹信息的精简性,需要对所述防护行为轨迹信息及所述防护行为轨迹信息对应的轨迹时序信息和威胁态势信息进行整体性的分析和处理,为此,步骤“根据所述防护行为轨迹信息及所述防护行为轨迹信息对应的轨迹时序信息和威胁态势信息,生成目标防护行为轨迹信息;其中,所述目标防护行为轨迹信息用于进行所述目标配置防护规则的安全性能分析”,可以包括以下内容:根据所述第一防护行为轨迹信息及所述第一防护行为轨迹信息对应的轨迹时序信息和威胁态势信息,通过机器决策网络获得所述第一防护行为轨迹信息对应的轨迹异常标签信息和频繁情报属性信息;根据所述第一防护行为轨迹信息及所述第一防护行为轨迹信息对应的轨迹时序信息、轨迹异常标签信息和频繁情报属性信息,生成所述目标防护行为轨迹信息。
举例而言,机器决策网络可以通过预先训练得到,用于对轨迹异常标签信息和频繁情报属性信息进行识别和提取,而轨迹异常标签信息用于表征访问源的存留意图,频繁情报属性信息可以通过图数据的形式表达,用于记录不同的频繁防护行为的时序分布情况、场景分布情况和访问源对象分布情况,如此,能够结合所述第一防护行为轨迹信息及所述第一防护行为轨迹信息对应的轨迹时序信息、轨迹异常标签信息和频繁情报属性信息精准地生成所述目标防护行为轨迹信息,以确保目标防护行为轨迹信息的精简性,如此,可以保证目标防护行为轨迹信息能够被网络安全监控终端所使用。
在另外的一些实施例中,上述步骤“根据所述第一防护行为轨迹信息及所述第一防护行为轨迹信息对应的轨迹时序信息、轨迹异常标签信息和频繁情报属性信息,生成所述目标防护行为轨迹信息”,可以包括以下内容:根据所述第一防护行为轨迹信息对应的轨迹异常标签信息对所述第一防护行为轨迹信息对应的轨迹时序信息进行时序特征优化,得到所述第一防护行为轨迹信息对应的时序特征内容;根据所述第一防护行为轨迹信息对应的时序特征内容对所述第一防护行为轨迹信息进行威胁态势信息分析得到所述第一防护行为轨迹信息对应的目标威胁态势信息;根据所述第一防护行为轨迹信息对应的目标威胁态势信息和频繁情报属性信息,生成所述目标防护行为轨迹信息。
举例而言,所述第一防护行为轨迹信息对应的轨迹异常标签信息可以用于表征第一防护行为轨迹信息的轨迹异常特征的变化情况。这样,能够结合轨迹异常标签信息实现对轨迹时序信息的时序特征优化,从而准确得到所述第一防护行为轨迹信息对应的时序特征内容。在此基础上,可以通过所述第一防护行为轨迹信息对应的时序特征内容对所述第一防护行为轨迹信息进行威胁态势信息分析,从而确保得到的所述第一防护行为轨迹信息对应的目标威胁态势信息与最新的时序特征相匹配。然后,可以通过目标威胁态势信息和频繁情报属性信息生成所述目标防护行为轨迹信息以便于下发给网络安全监控终端使用。
譬如,在一些示例中,在上述步骤S510-步骤S530的基础上,还可以包括以下内容:通过访问源字段识别网络对所述目标防护行为轨迹信息进行威胁强化字段识别,获得所述访问源字段识别网络输出的威胁强化字段信息。其中,网络安全系统可以调用预先训练完成的访问源字段识别网络对目标防护行为轨迹信息进行威胁强化字段识别从而得到威胁强化字段信息,威胁强化字段信息可以包括一般威胁强化字段和挖掘威胁强化字段,通俗而言,在一些可能的情况下,挖掘威胁强化字段的挖掘可以由网络安全系统执行,而得到的威胁强化字段信息可以用于进行相关在线服务的优化升级,也可以直接下发给对应的网络安全监控终端。
在另外的一些实施例中,所述第二候选防护操作记录可以包括多组存在防护行为的顺序的目标防护源对象或者多组存在防护行为的顺序的第二防护行为轨迹信息,防护行为的顺序可以理解为存在时间先后顺序。基于此,上述步骤“根据第二候选防护操作记录确定与所述第二候选防护操作记录对应的关联防护事件作为目标防护事件”所描述的内容,可以包括以下步骤:当所述第二候选防护操作记录包括多组存在防护行为的顺序的目标防护源对象时,按照防护行为的顺序针对每组目标防护源对象,确定与所述目标防护源对象对应的关联防护事件,作为所述目标防护源对象对应的目标防护事件;当所述第二候选防护操作记录包括多组存在防护行为的顺序的第二防护行为轨迹信息时,按照防护行为的顺序针对每组第二防护行为轨迹信息,确定与所述第二防护行为轨迹信息对应的关联防护事件,作为所述第二防护行为轨迹信息对应的目标防护事件。
可以理解,在确定第二候选防护操作记录对应的关联防护事件时,可以根据多组存在防护行为的顺序的目标防护源对象或者多组存在防护行为的顺序的第二防护行为轨迹信息分别进行确定,这样可以保证目标防护源对象和第二防护行为轨迹信息各自对应的关联防护事件之间的区分度,便于后续针对性地进行不同的关联防护事件分析,避免目标防护源对象和第二防护行为轨迹信息各自对应的关联防护事件之间的互相影响。
在上述“第二候选防护操作记录可以包括多组存在防护行为的顺序的目标防护源对象或者多组存在防护行为的顺序的第二防护行为轨迹信息”的基础上,可以按照防护行为的顺序针对每个所述目标防护事件执行以下步骤:根据所述初始防护事件和所述目标防护事件,确定所述第一防护行为轨迹信息对应的轨迹时序信息。可以理解,关于“根据所述初始防护事件和所述目标防护事件,确定所述第一防护行为轨迹信息对应的轨迹时序信息”的进一步实施方式可以参阅前述的实施例,在此不再进行说明。
在上述“第二候选防护操作记录可以包括多组存在防护行为的顺序的目标防护源对象或者多组存在防护行为的顺序的第二防护行为轨迹信息”的基础上,该方法还可以包括以下内容:根据所述目标防护事件的防护行为的顺序和基于每个所述目标防护事件生成的所述目标防护行为轨迹信息,生成在时序上关联的轨迹数据集。在时序上关联的轨迹数据集可以理解为一连串连续的防护行为轨迹信息,由于轨迹数据集具有时序特性,因而可以用于对访问源的动态存留情况进行分析。基于此,网络安全系统还可以接收针对所述在时序上关联的轨迹数据集的调用指令,并根据所述调用指令调用所述在时序上关联的轨迹数据集。这样,可以基于在时序上关联的轨迹数据集进行访问源的动态存留情况的分析。
图3为本公开实施例提供的基于网络安全大数据的安全画像处理装置300的功能模块示意图,下面分别对该基于网络安全大数据的安全画像处理装置300的各个功能模块的功能进行详细阐述。
获取模块310,用于获取针对网络安全防护云业务的网络安全大数据,网络安全大数据包括至少两个网络安全行为事件。
获得模块320,用于获得网络安全大数据中的各个网络安全行为事件与网络安全防护云业务之间的行为转移概率。
整理模块330,用于根据各个网络安全行为事件对应的行为转移概率,以及各个网络安全行为事件的安全行为描述分量,对各个网络安全行为事件进行次序整理,得到相应的网络安全行为事件集合。
生成模块340,用于基于网络安全行为事件集合生成针对网络安全防护云业务的安全画像集,安全画像集包括至少两个标示安全画像。
图4示出了本公开实施例提供的用于实现上述的基于网络安全大数据的安全画像处理方法的网络安全系统100的硬件结构示意图,如图4所示,网络安全系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
在具体实现过程中,至少一个处理器110执行机器可读存储介质120存储的计算机执行指令,使得处理器110可以执行如上方法实施例的基于网络安全大数据的安全画像处理方法,处理器110、机器可读存储介质120以及通信单元140通过总线130连接,处理器110可以用于控制通信单元140的收发动作,从而可以与前述的网络安全监控终端200进行数据收发。
处理器110的具体实现过程可参见上述网络安全系统100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
此外,本公开实施例还提供一种可读存储介质,所述可读存储介质中预设有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上基于网络安全大数据的安全画像处理方法。
最后,应当理解的是,本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导匹配。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。

Claims (10)

1.一种基于网络安全大数据的安全画像处理方法,其特征在于,应用于网络安全系统,所述网络安全系统与所述多个网络安全监控终端通信连接,所述方法包括:
获取针对网络安全防护云业务的网络安全大数据,所述网络安全大数据包括至少两个网络安全行为事件;
获得所述网络安全大数据中的各个网络安全行为事件与所述网络安全防护云业务之间的行为转移概率;
根据所述各个网络安全行为事件对应的行为转移概率,以及所述各个网络安全行为事件的安全行为描述分量,对所述各个网络安全行为事件进行次序整理,得到相应的网络安全行为事件集合;
基于所述网络安全行为事件集合生成针对所述网络安全防护云业务的安全画像集,所述安全画像集包括至少两个标示安全画像。
2.根据权利要求1所述的基于网络安全大数据的安全画像处理方法,其特征在于,所述根据所述各个网络安全行为事件对应的行为转移概率,以及所述各个网络安全行为事件的安全行为描述分量,对所述各个网络安全行为事件进行次序整理,得到相应的网络安全行为事件集合的步骤,包括:
根据所述各个网络安全行为事件对应的行为转移概率,以及所述各个网络安全行为事件的安全行为描述分量,对所述各个网络安全行为事件进行分簇,得到至少两个网络安全行为事件分簇;
对各个网络安全行为事件分簇进行次序整理,并分别对所述各个网络安全行为事件分簇中的各个网络安全行为事件进行次序整理,得到所述网络安全行为事件集合。
3.根据权利要求2所述的基于网络安全大数据的安全画像处理方法,其特征在于,所述根据所述各个网络安全行为事件对应的行为转移概率,以及所述各个网络安全行为事件的安全行为描述分量,对所述各个网络安全行为事件进行分簇,得到至少两个网络安全行为事件分簇的步骤,包括:
分别根据所述各个网络安全行为事件对应的行为转移概率,对所述各个网络安全行为事件的安全行为描述分量进行权重融合,得到所述各个网络安全行为事件的融合安全行为描述分量;
根据所述各个网络安全行为事件的融合安全行为描述分量对所述各个网络安全行为事件进行分簇,得到至少两个网络安全行为事件分簇。
4.根据权利要求2所述的基于网络安全大数据的安全画像处理方法,其特征在于,所述对各个网络安全行为事件分簇之间进行次序整理,并分别对所述各个网络安全行为事件分簇中的各个网络安全行为事件进行次序整理,得到所述网络安全行为事件集合的步骤,包括:
根据各个网络安全行为事件分簇所包含的网络安全行为事件的数量,对所述各个网络安全行为事件分簇进行次序整理;
以及,针对所述各个网络安全行为事件分簇,分别执行如下步骤:
根据所述网络安全行为事件分簇中各个网络安全行为事件的安全行为描述分量与所述网络安全行为事件分簇的行为匹配参数,对所述网络安全行为事件分簇中的各个网络安全行为事件进行次序整理;
基于所述各个网络安全行为事件分簇之间的次序整理信息,以及所述各个网络安全行为事件分簇中各个网络安全行为事件的次序整理信息,生成所述网络安全行为事件集合。
5.根据权利要求1所述的基于网络安全大数据的安全画像处理方法,其特征在于,所述获得所述网络安全大数据中的各个网络安全行为事件与所述网络安全防护云业务之间的行为转移概率的步骤,包括:
分别将所述各个网络安全行为事件输入配置完成的安全画像分类网络中,基于所述配置完成的安全画像分类网络中的行为转移概率分类层对所述各个网络安全行为事件进行特征提取,获得所述行为转移概率分类层输出的所述各个网络安全行为事件对应的行为转移概率;
所述根据所述各个网络安全行为事件对应的行为转移概率,以及所述各个网络安全行为事件的安全行为描述分量,对所述各个网络安全行为事件进行次序整理,得到相应的网络安全行为事件集合的步骤,包括:
分别将所述各个网络安全行为事件,以及所述各个网络安全行为事件对应的行为转移概率输入所述配置完成的安全画像分类网络中的分簇次序整理网络层,基于所述分簇次序整理网络层对所述各个网络安全行为事件进行分簇和次序整理,获得所述分簇次序整理网络层输出的事件维度的第一组合描述分量,所述第一组合描述分量中的各个网络安全行为事件元素组合形成所述网络安全行为事件集合;
所述基于所述网络安全行为事件集合生成针对所述网络安全防护云业务的安全画像集的步骤,包括:
将所述组合描述分量输入所述配置完成的安全画像分类网络中的安全画像分类层,基于所述安全画像分类层进行安全画像特征提取,获得所述安全画像分类层输出的所述安全画像集;其中,所述配置完成的安全画像分类网络是根据标示网络安全行为事件集配置获得,所述标示网络安全行为事件集中的标示网络安全行为事件包括已添加标示信息的标示网络安全行为事件,所述标示信息表示所述标示网络安全行为事件与参照网络安全云业务是否存在行为转移可能。
6.根据权利要求5所述的基于网络安全大数据的安全画像处理方法,其特征在于,所述分别将所述各个网络安全行为事件输入配置完成的安全画像分类网络中,基于所述配置完成的安全画像分类网络中的行为转移概率分类层,获得所述行为转移概率分类层输出的各个标示网络安全行为事件对应的行为转移概率的步骤,包括:
分别将所述各个网络安全行为事件输入所述行为转移概率分类层,基于所述行为转移概率分类层中的事件描述提取层将所述各个网络安全行为事件映射至连续特征向量空间,得到所述各个网络安全行为事件的事件描述特征;
通过深度特征编码将所述各个网络安全行为事件的事件描述特征分别转换为对应的编码特征信息;
基于所述行为转移概率分类层,分别提取所述各个网络安全行为事件的编码特征信息与除自身之外的其它网络安全行为事件的编码特征信息之间的安全画像特征;
基于所述各个网络安全行为事件对应的安全画像特征获得所述各个网络安全行为事件与所述网络安全防护云业务之间的行为转移概率。
7.根据权利要求5所述的基于网络安全大数据的安全画像处理方法,其特征在于,所述基于所述分簇次序整理网络层对所述各个网络安全行为事件进行分簇并次序整理,获得所述分簇次序整理网络层输出的事件维度的第一组合描述分量的步骤,包括:
基于所述配置完成的安全画像分类网络中的分簇次序整理网络层,将所述各个网络安全行为事件映射至连续特征向量空间得到所述各个网络安全行为事件对应的事件元素特征集;
通过时域特征提取操作对所述各个网络安全行为事件对应的事件元素特征集进行时域信息提取,得到所述各个网络安全行为事件的时域事件描述特征;
分别根据所述各个网络安全行为事件对应的行为转移概率,对所述各个网络安全行为事件的时域事件描述特征进行权重融合,得到所述各个网络安全行为事件的融合时域事件描述特征;
基于所述各个网络安全行为事件的融合时域事件描述特征进行分簇,得到至少两个网络安全行为事件分簇;
将所有网络安全行为事件分簇进行次序整理,并将每个网络安全行为事件分簇中的各个网络安全行为事件进行次序整理后,将各个网络安全行为事件的融合时域事件描述特征拼接并进行事件维度转换得到所述第一组合描述分量。
8.根据权利要求5所述的基于网络安全大数据的安全画像处理方法,其特征在于,所述将所述组合描述分量输入所述配置完成的安全画像分类网络中的安全画像分类层,基于所述安全画像分类层进行安全画像特征提取,获得所述安全画像分类层输出的所述安全画像集的步骤,包括:
采用遍历策略,依次生成所述安全画像集中的各个安全画像,所述安全画像集中的一个安全画像至少包括一个安全画像;其中,在一次遍历执行过程中,执行如下步骤:
将上一次输出的标示安全画像输入所述安全画像分类层,其中,第一次输入所述安全画像分类层的为预先设置的起始安全画像对象;
通过注意力机制分析所述上一次输出的标示安全画像和网络安全行为事件中的各个网络安全行为事件元素的映射置信度,其中,所述映射置信度表示所述网络安全行为事件元素与所述上一次输出的安全画像之间的注意力值;
将所述映射置信度和所述网络安全行为事件集合中的网络安全行为事件元素的编码特征信息序列进行权重融合,并输入到前向神经网络中,获得本次输出的所述网络安全行为事件集合的目标时域事件描述特征;
基于所述上一次输出的标示安全画像以及所述目标时域事件描述特征,生成本次输出的标示安全画像。
9.根据权利要求8所述的基于网络安全大数据的安全画像处理方法,其特征在于,在所述通过注意力机制分析上一次输出的标示安全画像和所述网络安全行为事件中的各个网络安全行为事件元素的映射置信度之前,还包括:
将本次选取的目标网络安全行为事件分簇以及所述目标网络安全行为事件分簇的邻居作为聚焦的网络安全行为事件分簇,将其它的网络安全行为事件分簇作为外部的网络安全行为事件分簇,其中每次选取的目标网络安全行为事件分簇是基于各个网络安全行为事件分簇之间的次序确定的;
为所述网络安全行为事件集合中位于聚焦的网络安全行为事件分簇中的网络安全行为事件元素增加第一映射标准特征,为所述网络安全行为事件集合中位于外部的网络安全行为事件分簇中的网络安全行为事件元素增加第二映射标准特征,得到所述网络安全行为事件中的各个网络安全行为事件元素对应的第一映射标准编码特征信息;
以及为所述上一次输出的标示安全画像增加所述第一映射标准特征,得到对应的第二映射标准编码特征信息;
所述通过注意力机制分析所述上一次输出的标示安全画像和所述网络安全行为事件中的各个网络安全行为事件元素的映射置信度的步骤,包括:
结合所述网络安全行为事件中的各个网络安全行为事件元素对应的第一映射标准向量与上一次输出的标示安全画像对应的第二映射标准编码特征信息,基于注意力机制分析所述上一次输出的标示安全画像与所述网络安全行为事件中的各个网络安全行为事件元素的映射置信度。
10.一种网络安全系统,其特征在于,所述网络安全系统包括处理器、机器可读存储介质和通信单元,所述机器可读存储介质、所述通信单元以及所述处理器之间通过总线系统相关联,所述通信单元用于与至少一个网络安全监控终端通信连接,所述机器可读存储介质用于存储计算机指令,所述处理器用于执行所述机器可读存储介质中的计算机指令,以执行权利要求1-9中任意一项的基于网络安全大数据的安全画像处理方法。
CN202110665637.2A 2021-06-16 2021-06-16 基于网络安全大数据的安全画像处理方法及网络安全系统 Withdrawn CN113468540A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110665637.2A CN113468540A (zh) 2021-06-16 2021-06-16 基于网络安全大数据的安全画像处理方法及网络安全系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110665637.2A CN113468540A (zh) 2021-06-16 2021-06-16 基于网络安全大数据的安全画像处理方法及网络安全系统

Publications (1)

Publication Number Publication Date
CN113468540A true CN113468540A (zh) 2021-10-01

Family

ID=77870224

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110665637.2A Withdrawn CN113468540A (zh) 2021-06-16 2021-06-16 基于网络安全大数据的安全画像处理方法及网络安全系统

Country Status (1)

Country Link
CN (1) CN113468540A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116095683A (zh) * 2023-04-11 2023-05-09 微网优联科技(成都)有限公司 无线路由器的网络安全防护方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116095683A (zh) * 2023-04-11 2023-05-09 微网优联科技(成都)有限公司 无线路由器的网络安全防护方法及装置
CN116095683B (zh) * 2023-04-11 2023-06-13 微网优联科技(成都)有限公司 无线路由器的网络安全防护方法及装置

Similar Documents

Publication Publication Date Title
Meng et al. A survey on machine learning for data fusion
US20220232029A1 (en) Systems and methods for machine learning-based digital content clustering, digital content threat detection, and digital content threat remediation in machine learning-based digital threat mitigation platform
CN111652290B (zh) 一种对抗样本的检测方法及装置
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN111327608B (zh) 基于级联深度神经网络的应用层恶意请求检测方法及系统
US20130291108A1 (en) Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining
CN113806746B (zh) 基于改进cnn网络的恶意代码检测方法
CN113472754A (zh) 基于网络安全大数据的安全防护配置方法及网络安全系统
CN111818198B (zh) 域名检测方法、域名检测装置和设备以及介质
CN111143838B (zh) 数据库用户异常行为检测方法
Adhao et al. Feature selection using principal component analysis and genetic algorithm
CN111709028A (zh) 一种网络安全状态评估和攻击预测方法
CN113449012A (zh) 基于大数据预测的互联网服务挖掘方法及大数据预测系统
CN114579397A (zh) 一种基于数据挖掘的异常检测方法及系统
CN113722719A (zh) 针对安全拦截大数据分析的信息生成方法及人工智能系统
CN115225336A (zh) 一种面向网络环境的漏洞可利用性的计算方法及装置
Moskal et al. Translating intrusion alerts to cyberattack stages using pseudo-active transfer learning (PATRL)
CN113468540A (zh) 基于网络安全大数据的安全画像处理方法及网络安全系统
CN116827656A (zh) 网络信息安全防护系统及其方法
CN116595486A (zh) 风险识别方法、训练风险识别模型的方法及对应装置
CN115225373B (zh) 一种信息不完备条件下的网络空间安全态势表达方法及装置
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN114528908A (zh) 网络请求数据分类模型训练方法、分类方法及存储介质
CN112115996B (zh) 图像数据的处理方法、装置、设备及存储介质
CN115964478A (zh) 网络攻击检测方法、模型训练方法及装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20211001

WW01 Invention patent application withdrawn after publication