CN113505375A - 一种基于大数据安防的在线办公漏洞识别方法及服务器 - Google Patents

一种基于大数据安防的在线办公漏洞识别方法及服务器 Download PDF

Info

Publication number
CN113505375A
CN113505375A CN202110877982.2A CN202110877982A CN113505375A CN 113505375 A CN113505375 A CN 113505375A CN 202110877982 A CN202110877982 A CN 202110877982A CN 113505375 A CN113505375 A CN 113505375A
Authority
CN
China
Prior art keywords
content distribution
office
abnormal
message content
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110877982.2A
Other languages
English (en)
Inventor
冯春梅
赵琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dongguan Daojiao Hongnuo Computer Technology Development Service Center
Original Assignee
Dongguan Daojiao Hongnuo Computer Technology Development Service Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dongguan Daojiao Hongnuo Computer Technology Development Service Center filed Critical Dongguan Daojiao Hongnuo Computer Technology Development Service Center
Priority to CN202110877982.2A priority Critical patent/CN113505375A/zh
Publication of CN113505375A publication Critical patent/CN113505375A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

应用本申请的基于大数据安防的在线办公漏洞识别方法及服务器,能够提取办公场景所对应的实际应答记录和示例性应答记录的异常消息内容分布,并关联分析两个异常消息内容分布之间的漏洞风险影响度,得到针对性风险影响分布,进一步地,将两个异常消息内容分布进行全局调整后再结合针对性风险影响分布进行二次全局调整,以通过全局调整得到的第一全局性异常内容分布进行办公操作漏洞识别,从而基于局部针对性的漏洞风险识别方式提高对不同办公场景在整体层面上的办公漏洞状态的针对性追踪强度,这样从基于局部层面的漏洞风险识别延伸到全局层面的漏洞风险识别,以提高办公环境下的操作漏洞识别的精度和完整性,避免漏检。

Description

一种基于大数据安防的在线办公漏洞识别方法及服务器
技术领域
本申请实施例涉及大数据安防和办公漏洞处理技术领域,具体涉及一种基于大数据安防的在线办公漏洞识别方法及服务器。
背景技术
漏洞(bug)是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。例如芯片逻辑错误、代码编程错误、协议认证盲点、服务配置冲突等问题,这些问题都可能被攻击者使用,从而威胁相关系统的数据信息安全。
随着大数据的不断发展,各行业的漏洞威胁不断被放大,以在线办公为例,由于在线办公的数据信息资料的暴露程度增大,如果遇到一些办公进程中的漏洞,很可能导致重要的数据信息资料的损失,为此,需要对这些办公漏洞进行检测并进行响应的漏洞修复。然而,发明人发现相关技术在进行办公漏洞检测时难以应对如何应答交互等不同的办公互动情况,从而很难实现度办公漏洞的针对性识别,这样可能导致办公漏洞识别的精度和完整性欠缺。
发明内容
有鉴于此,本申请实施例提供了一种基于大数据安防的在线办公漏洞识别方法,应用于办公漏洞识别服务器,所述方法至少包括:
获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与所述办公场景应答记录存在对应关系的示例型应答记录;
对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,得到所述办公场景应答记录的第一异常消息内容分布以及所述示例型应答记录的第二异常消息内容分布;
对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布;
基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布;
对所述第一全局性异常内容分布进行办公操作漏洞识别,得到所述办公场景应答记录的操作漏洞识别情况。
在一些可独立实施的设计思路下,在获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与所述办公场景应答记录存在对应关系的示例型应答记录之前,所述方法还包括:
对所述办公场景应答记录和原始示例型应答记录分别进行消息事件抽取,得到所述办公场景应答记录中第一设定数目的第一消息事件,以及所述原始示例型应答记录中所述第一设定数目的第二消息事件;
对所述第一消息事件与所述第二消息事件进行事件绑定分析,确定出所述办公场景应答记录与所述原始示例型应答记录中的会话绑定结果,每个会话绑定结果包括存在对应关系的一个第一消息事件和一个第二消息事件;
在所述会话绑定结果的数目不小于设定数目的基础上,根据所述会话绑定结果中消息事件的状态信息,确定所述原始示例型应答记录到所述办公场景应答记录的记录调整策略;
根据所述记录调整策略,对所述原始示例型应答记录进行多维度调整,得到所述示例型应答记录。
在一些可独立实施的设计思路下,在确定出所述办公场景应答记录与所述原始示例型应答记录中的会话绑定结果之后,所述方法还包括:
在所述会话绑定结果的数目小于所述设定数目的基础上,继续对所述办公场景应答记录和原始示例型应答记录分别进行消息事件抽取,得到所述办公场景应答记录中第二设定数目的第一消息事件,以及所述原始示例型应答记录中所述第二设定数目的第二消息事件,其中,所述第二设定数目大于所述第一设定数目。
在一些可独立实施的设计思路下,所述方法通过会话消息解析线程对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,所述会话消息解析线程包括第一阶段性线程、第二阶段性线程及第三阶段性线程,其中,所述对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,得到所述办公场景应答记录的第一异常消息内容分布以及所述示例型应答记录的第二异常消息内容分布,包括:
将所述办公场景应答记录及所述示例型应答记录分别加载至所述第一阶段性线程中处理,得到所述办公场景应答记录的第一过渡异常消息内容分布及所述示例型应答记录的第二过渡异常消息内容分布;
将所述第一过渡异常消息内容分布加载至所述第二阶段性线程中处理,得到所述第一异常消息内容分布;
将所述第二过渡异常消息内容分布加载至所述第三阶段性线程中处理,得到所述第二异常消息内容分布。
在一些可独立实施的设计思路下,所述对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布,包括:
对于所述第一异常消息内容分布中的随机的一个第三消息事件,分别确定所述第三消息事件与所述第二异常消息内容分布中的多个邻居消息事件之间的量化关联程度,其中,所述邻居消息事件包括所述第二异常消息内容分布中,与所述第三消息事件状态信息对应的第四消息事件,以及与所述第四消息事件之间的量化差异小于或等于量化差异阈值的消息事件;
根据所述第三消息事件与所述多个邻居消息事件之间的量化关联程度,确定所述第三消息事件的漏洞风险影响度的局部权重;
根据所述第一异常消息内容分布的多个第三消息事件的漏洞风险影响度的局部权重,确定所述针对性风险影响分布。
在一些可独立实施的设计思路下,所述基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布,包括:
对所述第一异常消息内容分布与所述第二异常消息内容分布进行全局调整,得到第二全局性异常内容分布;
对所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到所述第一全局性异常内容分布;
相应的,所述对所述第一异常消息内容分布与所述第二异常消息内容分布进行全局调整,得到第二全局性异常内容分布,包括:
对所述第二异常消息内容分布进行特征挖掘处理,得到第三异常消息内容分布;
对所述第一异常消息内容分布与所述第三异常消息内容分布进行加权或组合,得到所述第二全局性异常内容分布;
相应的,所述对所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到所述第一全局性异常内容分布,包括:
将所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到第三全局性异常内容分布;
将所述第二全局性异常内容分布与所述第三全局性异常内容分布全局调整,得到所述第一全局性异常内容分布。
在一些可独立实施的设计思路下,所述第一异常消息内容分布包括至少两层第一局部异常消息内容分布,所述第二异常消息内容分布包括至少两层第二局部异常消息内容分布,其中,所述对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布,包括:
基于相同层次的第三局部异常消息内容分布与第四局部异常消息内容分布之间的漏洞风险影响度分析,得到当前层次的针对性风险影响分布;
其中,当前层次的第三局部异常消息内容分布通过当前层次的第一局部异常消息内容分布确定,或当前层次的第一局部异常消息内容分布与关联层次的第一局部异常消息内容分布的全局调整结果确定;
当前层次的第四局部异常消息内容分布通过当前层次的第二局部异常消息内容分布确定,或当前层次的第二局部异常消息内容分布与关联层次的第二局部异常消息内容分布的全局调整结果确定;
相应的,所述基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布,包括:
基于相同层次的第三局部异常消息内容分布与第四局部异常消息内容分布的全局调整,得到当前层次的第二全局性异常内容分布;
将当前层次的第二全局性异常内容分布与当前层次的针对性风险影响分布进行全局调整,得到当前层次的第一全局性异常内容分布;
相应的,所述方法通过操作漏洞识别策略实现,所述操作漏洞识别策略是根据事先选定的策略配置原料配置所得的,所述策略配置原料包括不存在办公漏洞的办公场景的参考示例型应答记录以及存在办公漏洞的办公场景的参考办公场景应答记录,其中,所述方法还包括:
获取存在对应关系的参考应答记录二元组,每个参考应答记录二元组包括参考办公场景应答记录及存在对应关系的参考示例型应答记录;
针对随机的一个参考应答记录二元组,从所述参考应答记录二元组中确定与所述办公漏洞状态对应的目标应答记录二元组;
基于将所述目标应答记录二元组添加到至少另一参考应答记录二元组中,得到优化后的参考应答记录二元组;
根据优化后的多个参考应答记录二元组,配置所述操作漏洞识别策略。
在一些可独立实施的设计思路下,所述从所述参考应答记录二元组中确定与所述办公漏洞状态对应的目标应答记录二元组,包括:
根据事先选定的辐射描述,对所述参考办公场景应答记录中的办公漏洞状态进行辐射,得到辐射影响结果;
从所述参考应答记录二元组的参考办公场景应答记录和参考示例型应答记录中,分别确定出与所述辐射影响结果对应的目标应答记录,得到所述目标应答记录二元组。
本申请实施例还提供了一种办公漏洞识别服务器,包括处理器、通信总线和存储器;所述处理器和所述存储器通过所述通信总线通信,所述处理器从所述存储器中读取计算机程序并运行,以执行上述的方法。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
在本申请实施例中,能够提取办公场景所对应的实际应答记录和示例性应答记录的异常消息内容分布,并关联分析两个异常消息内容分布之间的漏洞风险影响度,得到针对性风险影响分布,进一步地,将两个异常消息内容分布进行全局调整后再结合针对性风险影响分布进行二次全局调整,以通过全局调整得到的第一全局性异常内容分布进行办公操作漏洞识别,从而基于局部针对性的漏洞风险识别方式提高对不同办公场景在整体层面上的办公漏洞状态的针对性追踪强度,这样从基于局部层面的漏洞风险识别延伸到全局层面的漏洞风险识别,以提高办公环境下的操作漏洞识别的精度和完整性,避免漏检。
根据本申请实施例的基于大数据安防的在线办公漏洞识别方法,可应用于多端远程办公的场景中,结合人工智能的相关技术,将办公场景所对应的实际应答记录与其示例性应答记录一并视为输入信息,通过应答会话消息解析以及示例型比对局部针对性的漏洞风险识别方式,能够准确有效地识别出对应于不同办公场景在整体层面上的操作漏洞状态信息,并尽可能削弱其他非关键型的干扰,比如办公用户自身的错误操作等,从而提高办公环境下的操作漏洞识别的精度和完整性,避免漏检。
在后面的描述中,将部分地陈述其他的特征。在检查后面内容和附图时,本领域的技术人员将部分地发现这些特征,或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面,当前申请中的特征可以被实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例所提供的一种办公漏洞识别服务器的方框示意图。
图2为本申请实施例所提供的一种基于大数据安防的在线办公漏洞识别方法的流程图。
图3为本申请实施例所提供的一种基于大数据安防的在线办公漏洞识别装置的框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本申请的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
图1示出了本申请实施例所提供的一种办公漏洞识别服务器10的方框示意图。本申请实施例中的办公漏洞识别服务器10可以为具有数据存储、传输、处理功能的服务端,如图1所示,办公漏洞识别服务器10包括:存储器11、处理器12、通信总线13和基于大数据安防的在线办公漏洞识别装置20。
存储器11、处理器12和通信总线13之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有基于大数据安防的在线办公漏洞识别装置20,所述基于大数据安防的在线办公漏洞识别装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器11中的软件功能模块,所述处理器12通过运行存储在存储器11内的软件程序以及模块,例如本申请实施例中的基于大数据安防的在线办公漏洞识别装置20,从而执行各种功能应用以及数据处理,即实现本申请实施例中的基于大数据安防的在线办公漏洞识别方法。
其中,所述存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器11用于存储程序,所述处理器12在接收到执行指令后,执行所述程序。
所述处理器12可能是一种集成电路芯片,具有数据的处理能力。上述的处理器12可以是通用处理器,包括中央处理器 (Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
通信总线13用于通过网络建立办公漏洞识别服务器10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
可以理解,图1所示的结构仅为示意,办公漏洞识别服务器10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
图2示出了本申请实施例所提供的一种基于大数据安防的在线办公漏洞识别的流程图。所述方法有关的流程所定义的方法步骤应用于办公漏洞识别服务器10,可以由所述处理器12实现,所述方法包括以下内容所描述的技术方案。
在STEP11中,获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与所述办公场景应答记录存在对应关系的示例型应答记录。
在STEP12中,对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,得到所述办公场景应答记录的第一异常消息内容分布以及所述示例型应答记录的第二异常消息内容分布。
在STEP13中,对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布。
在STEP14中,基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布。
在STEP15中,对所述第一全局性异常内容分布进行办公操作漏洞识别,得到所述办公场景应答记录的操作漏洞识别情况。
对于一些可能的实施例而言,所述基于大数据安防的在线办公漏洞识别方法可以由办公漏洞识别服务器之类的计算机设备执行,该方法可以通过计算机设备的处理器调用存储器中存储的计算机可读存介质的方式来实现,亦或者通过办公漏洞识别服务器执行所述方法。
以示例性的角度来看待,响应于目标识别需求而选定的待识别互动办公场景可为多端互动办公场景,本申请对响应于目标识别需求而选定的待识别互动办公场景的具体类别不作限制。进一步地,该目标识别需求可以是多端互动办公场景中的任一办公节点设备发起的,也可以是办公漏洞识别服务器自动触发的,还可以是与该多端互动办公场景关联的其他办公设备(经过授权和安全验证)发起的,本申请实施例不作限定。
对于一些可能的实施例而言,可在响应于目标识别需求而选定的待识别互动办公场景的系统架构中存在至少一组应答记录采集程序(比如相关的功能模块或者应用软件),以便采集响应于目标识别需求而选定的待识别互动办公场景所对应办公进程(比如文件协同编辑、办公会议记录)的应答记录,并从采集的应答记录中确定出响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录。可以理解,基于目标识别需求可以从采集的应答记录定位出办公场景应答记录。
对于一些可独立实施的实施例而言,在STEP11中,可获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与该办公场景应答记录存在对应关系的示例型应答记录。其中,示例型应答记录可为与该响应于目标识别需求而选定的待识别互动办公场景相同类型的不存在办公漏洞的办公场景的应答记录,且办公场景应答记录与示例型应答记录的应答记录量相同(例如所记录的会话消息数)。在本申请实施例中,与该办公场景应答记录存在对应关系的示例型应答记录可以理解为与该办公场景应答记录匹配的示例型应答记录。
对于一些可独立实施的实施例而言,可在实施STEP11之前对得到的示例性应答记录(例如可以理解为原始示例型应答记录)与办公场景应答记录进行会话消息配对。例如,在办公场景应答记录与原始示例型应答记录上各提取一定数目(例如100个)的消息事件,查询这些消息事件的事件描述中最类似的事件描述二元组;根据这些类似的事件描述二元组对确定原始示例型应答记录与办公场景应答记录之间的记录匹配策略(亦可理解为对应关系);进而根据记录匹配策略,对原始示例型应答记录进行应答记录多维度调整,得到与办公场景应答记录存在对应关系的示例型应答记录,从而完成前置操作。其中,应答记录多维度调整可包括应答记录的格式调整、消息事件排序中的至少一种处理。本申请对办公场景应答记录与原始示例型应答记录的实际配对方式不作限制。
对于一些可独立实施的实施例而言,经过对应关系绑定后,可在STEP12中对办公场景应答记录和示例型应答记录分别进行应答会话消息解析(比如对应答记录进行挖掘分析,以提取对应的异常消息内容),得到办公场景应答记录的异常消息内容分布(可称为第一异常消息内容分布)以及示例型应答记录的异常消息内容分布(可称为第二异常消息内容分布)。其中,异常消息内容分布可以理解为异常消息内容的统计结果,比如通过图谱形式、图形化形式对异常消息内容进行统计。
对于一些可独立实施的实施例而言,可通过共用偏向(权重)或部分共用偏向的会话消息解析线程,实现办公场景应答记录和示例型应答记录的应答会话消息解析。该会话消息解析线程可例如为AI人工智能模型,本申请对会话消息解析线程的线程类别及实际线程配置皆不作限制。
对于一些可独立实施的实施例而言,在采用满负荷共用偏向的会话消息解析线程的基础上,可直接将办公场景应答记录和示例型应答记录分别加载至该会话消息解析线程中处理,通过一致的会话消息解析线程得到第一异常消息内容分布和第二异常消息内容分布。
对于一些可独立实施的实施例而言,在采用部分共用偏向的会话消息解析线程的基础上,会话消息解析线程可包括一个共用偏向的阶段性线程(可称为第一阶段性线程)和两个不共用偏向的阶段性线程(可称为第二阶段性线程和第三阶段性线程)。在处理时,可将办公场景应答记录加载至第一阶段性线程,得到过渡内容分布,再将过渡内容分布加载至第二阶段性线程,得到第一异常消息内容分布;将示例型应答记录加载至第一阶段性线程,得到过渡内容分布,再将过渡内容分布加载至第三阶段性线程,得到第二异常消息内容分布。
其中,第一阶段性线程、第二阶段性线程及第三阶段性线程均可以为AI人工智能模型,可包括多个模型单元或多个神经元节点,例如多个特征挖掘处理层、多个激活单元等。本申请对第一阶段性线程、第二阶段性线程及第三阶段性线程的实际线程配置不作限制。应当理解,也可以采用其他方式实现部分共用偏向的会话消息解析线程,本申请对此不作限制。
对于一些可独立实施的实施例而言,在STEP13中,根据第一异常消息内容分布和第二异常消息内容分布,可对第一异常消息内容分布与第二异常消息内容分布中的各个消息事件之间的漏洞风险影响度进行处理。例如,可通过两个异常消息内容分布中随机两个消息事件之间的相关性系数,来确定两个消息事件之间的量化关联程度(也可称为漏洞风险影响度、共性程度、邻居状态量化数据)。在实际处理中,可确定第一异常消息内容分布中随机的一个消息事件与第二异常消息内容分布中对应状态信息的消息事件所关联的量化关联程度,得到该消息事件的量化关联程度列表;根据量化关联程度列表,确定出该消息事件的漏洞风险影响度的局部权重。例如,设定该消息事件case_x的漏洞风险影响度的局部权重weight(case_x)=1-消息事件case_x所关联的量化关联程度的均值结果。进而,根据第一异常消息内容分布中各个消息事件的漏洞风险影响度的局部权重,确定出针对性风险影响分布。
可以理解的是,基于上述内容,能够基于局部针对性的漏洞风险识别方式提高对存在办公漏洞的的办公场景的针对性追踪强度,使得相关功能线程能够更高效地捕捉到办公场景应答记录中的办公漏洞状态,从而提高操作漏洞识别的精度。
对于一些可独立实施的实施例而言,在STEP14中,可基于所述针对性风险影响分布,对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整(比如进行融合或者整合)。可先将第一异常消息内容分布和第二异常消息内容分布进行全局调整,得到初阶的全局性异常内容分布(可称为第二全局性异常内容分布);再将第二全局性异常内容分布与针对性风险影响分布进行全局调整,得到最后的全局性异常内容分布(可称为第一全局性异常内容分布)。其中,可通过对应消息事件加权或按需求组合等方式实现全局调整,本申请对实际的全局调整方式不作限制。
对于一些可独立实施的实施例而言,在STEP15中,可对第一全局性异常内容分布进行办公操作漏洞识别。可例如通过相关识别线程对第一全局性异常内容分布进行处理,得到办公场景应答记录的操作漏洞识别情况。该操作漏洞识别情况可包括办公场景应答记录中是否存在办公漏洞状态,并在存在办公漏洞状态的基础上给出办公漏洞状态的种类及状态信息。该相关识别线程可以为应答记录差异分析线程或应答记录分治线程,本申请对相关识别线程所采用的线程类别及线程配置均不作限制。这样一来,在得到办公漏洞状态的种类及状态信息之后,可以针对性地进行漏洞修复,从而确保相关办公进程的正常运行。
根据本申请的实施例,能够提取办公场景所对应的实际应答记录和示例性应答记录的异常消息内容分布,并关联分析两个异常消息内容分布之间的漏洞风险影响度,得到针对性风险影响分布,进一步地,将两个异常消息内容分布进行全局调整后再结合针对性风险影响分布进行二次全局调整,以通过全局调整得到的第一全局性异常内容分布进行办公操作漏洞识别,从而基于局部针对性的漏洞风险识别方式提高对不同办公场景在整体层面上的办公漏洞状态的针对性追踪强度,这样从基于局部层面的漏洞风险识别延伸到全局层面的漏洞风险识别,以提高办公环境下的操作漏洞识别的精度和完整性,避免漏检。
在本申请实施例中,操作漏洞识别不限于用户基于办公设备的操作漏洞识别、服务商对服务器的操作漏洞识别等。
下面对本申请的实施例的基于大数据安防的在线办公漏洞识别方法的相关内容进行适应性展开说明。
基于上述内容,在进行办公操作漏洞识别之前,可在实施STEP11之前对办公场景应答记录与原始示例型应答记录进行配对,实现会话消息配对。
对于一些可独立实施的实施例而言,在STEP11中获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与所述办公场景应答记录存在对应关系的示例型应答记录之前,根据本申请实施例的基于大数据安防的在线办公漏洞识别方法还可包括:对所述办公场景应答记录和原始示例型应答记录分别进行消息事件抽取,得到所述办公场景应答记录中第一设定数目的第一消息事件,以及所述原始示例型应答记录中所述第一设定数目的第二消息事件;对所述第一消息事件与所述第二消息事件进行事件绑定分析,确定出所述办公场景应答记录与所述原始示例型应答记录中的会话绑定结果,每个会话绑定结果包括存在对应关系的一个第一消息事件和一个第二消息事件;在所述会话绑定结果的数目不小于设定数目的基础上,根据所述会话绑定结果中消息事件的状态信息,确定所述原始示例型应答记录到所述办公场景应答记录的记录调整策略;根据所述记录调整策略,对所述原始示例型应答记录进行多维度调整,得到所述示例型应答记录。
对于一些可能的实施例而言,可事先部署待提取的消息事件数目(可称为第一设定数目),例如100个。可将办公场景应答记录和原始示例型应答记录分别加载至应答会话消息解析模块中处理,得到办公场景应答记录中第一设定数目的第一消息事件及第一消息事件的第一关键信息描述,以及原始示例型应答记录中第一设定数目的第二消息事件及第二消息事件的第二关键信息描述。本申请对第一设定数目的实际取值不作限制。
对于一些可独立实施的实施例而言,通过消息事件的关键信息描述的类似程度,确定第一消息事件与第二消息事件是否为存在对应关系的会话绑定结果。例如:对于随机的一个第一消息事件,可确定该第一消息事件的第一关键信息描述与多个第二消息事件的第二关键信息描述之间的类似程度;将类似程度最大且超过类似程度阈值(例如设为0.7)的第二消息事件,确定为与该第一事件绑定分析,从而得到一组会话绑定结果。这样,可确定出办公场景应答记录与原始示例型应答记录中的多个会话绑定结果,每个会话绑定结果包括存在对应关系的一个第一消息事件和一个第二消息事件。
对于一些可能的实施例而言,如果会话绑定结果的数目不小于设定数目(例如,取值为20),则可认为存在对应关系的消息事件较多,办公场景应答记录与原始示例型应答记录可以配对;反之,则可认为存在对应关系的消息事件较少,办公场景应答记录与原始示例型应答记录不能够配对,可继续进行消息事件抽取。本申请对设定数目的实际取值不作限制。
对于一些可能的实施例而言,对于记录调整策略而言,在会话绑定结果的数目不小于设定数目的基础上,可根据会话绑定结果中消息事件的状态信息对应关系进行拟合。如此设计,可以实现办公场景应答记录与示例型应答记录之间快速的会话消息配对,提高应答记录配对处理效率和质量。
对于一些可独立实施的实施例而言,在确定出所述办公场景应答记录与所述原始示例型应答记录中的会话绑定结果的步骤之后,根据本申请实施例的基于大数据安防的在线办公漏洞识别方法还可包括:在所述会话绑定结果的数目小于所述设定数目的基础上,继续对所述办公场景应答记录和原始示例型应答记录分别进行消息事件抽取,得到所述办公场景应答记录中第二设定数目的第一消息事件及,以及所述原始示例型应答记录中所述第二设定数目的第二消息事件,其中,所述第二设定数目大于所述第一设定数目。
换言之,如果办公场景应答记录与原始示例型应答记录中存在对应关系的消息事件较少,办公场景应答记录与原始示例型应答记录难以配对,则可继续进行消息事件抽取。该情况下,可提高待提取的消息事件数目(可称为第二设定数目),例如1000个。可以理解的是,可根据实际情况设置第二设定数目的取值,本申请对此不作限制。
对于一些可独立实施的实施例而言,可将办公场景应答记录和原始示例型应答记录分别加载至应答会话消息解析模块中处理,得到办公场景应答记录中第二设定数目的第一消息事件及第一消息事件的第一关键信息描述,以及原始示例型应答记录中第二设定数目的第二消息事件及第二消息事件的第二关键信息描述。
基于与上述类似的实现步骤,可根据第一关键信息描述和第二关键信息描述,对第一消息事件与第二消息事件进行事件绑定分析,确定出办公场景应答记录与原始示例型应答记录中的会话绑定结果;根据会话绑定结果中消息事件的状态信息,确定原始示例型应答记录到办公场景应答记录的记录调整策略;根据记录调整策略,对原始示例型应答记录进行多维度调整,得到与办公场景应答记录存在对应关系的示例型应答记录,在此不再重复描述。
可以理解,基于上述内容,能够在配对失败时,提高所提取的消息事件数目,并继续执行之前的应答记录配对方法,从而提高应答记录配对的可靠性。
在实际实施过程中,可根据实际情况设置第一设定数目和第二设定数目的取值,可将第一设定数目设置为较小(例如100个),使得大部分应答记录能够完成配对,从而减少服务器的运算开销,提高配对时效性;并且,可将第二设定数目设置为较大(例如1000个),从而保证继续配对时能够成功,提高继续进行应答记录配对的质量。
在STEP11中获取到办公场景应答记录以及存在对应关系的示例型应答记录后,可在STEP12中进行应答会话消息解析。
对于一些可独立实施的实施例而言,根据本申请实施例的基于大数据安防的在线办公漏洞识别方法可通过会话消息解析线程对办公场景应答记录及示例型应答记录分别进行应答会话消息解析,会话消息解析线程包括第一阶段性线程、第二阶段性线程及第三阶段性线程,其中,STEP12可包括:将所述办公场景应答记录及所述示例型应答记录分别加载至所述第一阶段性线程中处理,得到所述办公场景应答记录的第一过渡异常消息内容分布及所述示例型应答记录的第二过渡异常消息内容分布;将所述第一过渡异常消息内容分布加载至所述第二阶段性线程中处理,得到所述第一异常消息内容分布;将所述第二过渡异常消息内容分布加载至所述第三阶段性线程中处理,得到所述第二异常消息内容分布。
基于上述内容,可通过共用偏向或部分共用偏向的会话消息解析线程,实现办公场景应答记录和示例型应答记录的应答会话消息解析。该会话消息解析线程可例如采用激活子线程(例如残差线程),包括多个激活单元。
对于一些可能的实施例而言,在采用完全共用偏向的会话消息解析线程的基础上,可直接将办公场景应答记录和示例型应答记录分别加载至该会话消息解析线程中处理,得到第一异常消息内容分布和第二异常消息内容分布。
对于一些可能的实施例而言,在部分共用偏向的基础上,会话消息解析线程可包括一个共用偏向的阶段性线程(第一阶段性线程)和两个不共用偏向的阶段性线程(第二阶段性线程和第三阶段性线程)。其中,第一阶段性线程、第二阶段性线程和第三阶段性线程均可包括至少一个激活单元,本申请对各个阶段性线程的实际线程配置不作限制。
在实际应用时,可将办公场景应答记录加载至第一阶段性线程,得到过渡异常消息内容分布(称为第一过渡异常消息内容分布);再将第一过渡异常消息内容分布加载至第二阶段性线程,得到第一异常消息内容分布;将示例型应答记录加载至第一阶段性线程,得到过渡异常消息内容分布(称为第二过渡异常消息内容分布),再将第二过渡异常消息内容分布加载至第三阶段性线程,得到第二异常消息内容分布。
可以理解的是,基于部分共用偏向的形式,使得线程能够既提取到办公场景应答记录和示例型应答记录中相似的事件描述信息,又提取到办公场景应答记录和示例型应答记录中不同的事件描述信息,从而在一定程度上保障应答会话消息解析的质量。
在STEP12中提取到异常消息内容分布后,可在STEP13中分析异常消息内容分布之间的漏洞风险影响度。
对于一些可独立实施的实施例而言,STEP13可包括:对于所述第一异常消息内容分布中的随机的一个第三消息事件,分别确定所述第三消息事件与所述第二异常消息内容分布中的多个邻居消息事件之间的量化关联程度,所述邻居消息事件包括所述第二异常消息内容分布中,与所述第三消息事件状态信息对应的第四消息事件,以及与所述第四消息事件之间的量化差异小于或等于量化差异阈值的消息事件;根据所述第三消息事件与所述多个邻居消息事件之间的量化关联程度,确定所述第三消息事件的漏洞风险影响度的局部权重;根据所述第一异常消息内容分布的多个第三消息事件的漏洞风险影响度的局部权重,确定所述针对性风险影响分布。
以示例性的角度来看待,可通过第一异常消息内容分布和第二异常消息内容分布中随机两个消息事件之间的相关性系数,来计算两个消息事件之间的量化关联程度。第一异常消息内容分布中的随机的一个消息事件case_x1和第二异常消息内容分布中的随机的一个消息事件case_x2之间的相关性系数的计算方式可以基于皮尔森相关性系数(personcorrelation coefficient)、斯皮尔曼相关性系数(spearman correlation coefficient)或者肯德尔相关性系数(kendall correlation coefficient)实现,相关公式在此不一一列举。
对于一些可能的实施例而言,针对第一异常消息内容分布中的随机的一个消息事件(称为第三消息事件),可通过上述相关的算法确定该第三消息事件与第二异常消息内容分布中的多个邻居消息事件之间的量化关联程度。其中,邻居消息事件包括第二异常消息内容分布中与第三消息事件状态信息对应的消息事件(称为第四消息事件),以及与第四消息事件之间的量化差异小于或等于量化差异阈值的消息事件。也即,邻居消息事件处于设定规模的异常消息内容分布范围内,共有k个邻居消息事件。
对于一些可能的实施例而言,经处理后,可得到第三消息事件的k个量化关联程度,可理解为该第三消息事件与第二异常消息内容分布中对应点所关联的量化关联程度,也可称为消息事件的局部漏洞风险影响度列表。这样,对第一异常消息内容分布的每个消息事件进行相关性确定后,可得到整个第一异常消息内容分布的漏洞风险影响度列表。这样一来,对第一异常消息内容分布的每个第三消息事件进行处理后,根据多个第三消息事件的漏洞风险影响度的局部权重,可得到针对性风险影响分布。
可以理解,基于上述内容,能够基于局部针对性的漏洞风险识别方式提高对存在办公漏洞的的办公场景的针对性追踪强度,使得相关线程能够更高效地查询到办公场景应答记录中的办公漏洞状态,从而提高后续操作漏洞识别的效果。
在得到针对性风险影响分布后,可在STEP14中基于所述针对性风险影响分布对第一异常消息内容分布、第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布。对于一些可独立实施的实施例而言,STEP14可包括:将所述第一异常消息内容分布与所述第二异常消息内容分布进行全局调整,得到第二全局性异常内容分布;将所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到所述第一全局性异常内容分布。
换言之,可先将第一异常消息内容分布和第二异常消息内容分布进行全局调整,得到初阶的第二全局性异常内容分布;再将第二全局性异常内容分布与第一全局性异常内容分布全局调整,得到最后的第一全局性异常内容分布。
对于一些可独立实施的实施例而言,将所述第一异常消息内容分布与所述第二异常消息内容分布进行全局调整,得到第二全局性异常内容分布的步骤,可包括:对所述第二异常消息内容分布进行特征挖掘处理,得到第三异常消息内容分布;对所述第一异常消息内容分布与所述第三异常消息内容分布进行加权或组合,得到所述第二全局性异常内容分布。
对于一些可能的实施例而言,可通过至少一层特征挖掘处理层对示例型应答记录的第二异常消息内容分布进行特征挖掘处理处理,得到第三异常消息内容分布。该处理过程可理解为第二异常消息内容分布的独立聚焦调整,以便实现第一异常消息内容分布与第二异常消息内容分布的事件描述绑定。其中,第三异常消息内容分布的规模与第二异常消息内容分布的规模相同。
对于一些可能的实施例而言,可将第一异常消息内容分布与第三异常消息内容分布进行一对一的加权,或者将第一异常消息内容分布与第三异常消息内容分布按需求进行组合,从而实现异常消息内容分布的全局调整,本申请对实际的全局调整方式不作限制。
以下相关内容为根据本申请实施例的基于大数据安防的在线办公漏洞识别方法的事件描述全局调整的技术方案,可以理解,第二异常消息内容分布经过特征挖掘处理处理后,与第一异常消息内容分布进行全局调整,得到第二全局性异常内容分布。
可以理解,基于上述内容,能够提高初阶全局调整的异常消息内容分布的精度,避免异常消息内容分布出现缺失。
对于一些可独立实施的实施例而言,可将第二全局性异常内容分布与针对性风险影响分布进行全局调整,得到第一全局性异常内容分布。其中,第二全局性异常内容分布与针对性风险影响分布进行全局调整的步骤可包括:将所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到第三全局性异常内容分布;将所述第二全局性异常内容分布与所述第三全局性异常内容分布全局调整,得到所述第一全局性异常内容分布。
以示例性的角度来看待,可先将第二全局性异常内容分布与针对性风险影响分布相乘,得到第三全局性异常内容分布;再将第二全局性异常内容分布与第三全局性异常内容分布加权,得到第一全局性异常内容分布。
在得到第一全局性异常内容分布后,可在STEP15中对第一全局性异常内容分布进行办公操作漏洞识别。例如通过相关识别线程对第一全局性异常内容分布进行处理,得到办公场景应答记录的操作漏洞识别情况。该操作漏洞识别情况可包括办公场景应答记录中是否存在办公漏洞状态,并在存在办公漏洞状态的基础上给出办公漏洞状态的类型及状态信息。该相关识别线程可以为应答记录差异分析线程或应答记录分治线程,本申请对相关识别线程所采用的线程类别及线程配置均不作限制。
以下为根据本申请实施例的基于大数据安防的在线办公漏洞识别方法的处理过程的相关内容。例如,实现该方法的智能化线程可包括会话消息解析线程thread_1、漏洞风险影响度关注线程thread_2以及漏洞识别线程thread_3,其中,会话消息解析线程thread_1为共用偏向或部分共用偏向的线程。
在进行操作漏洞识别时,可将办公场景应答记录Q-A_List1和存在对应关系的示例型应答记录Q-A_List2分别加载至会话消息解析线程thread_1中,得到第一异常消息内容分布和第二异常消息内容分布;将第一异常消息内容分布和第二异常消息内容分布加载至漏洞风险影响度关注线程thread_2中,一方面对第一异常消息内容分布和第二异常消息内容分布的进行漏洞风险影响度局部关注处理,得到针对性风险影响分布;另一方面将第一异常消息内容分布和第二异常消息内容分布进行特征全局调整,得到第二全局性异常内容分布;再将第二全局性异常内容分布与针对性风险影响分布进行基于局部关注的全局调整,得到第一全局性异常内容分布;然后,将第一全局性异常内容分布加载至漏洞识别线程thread_3中,得到办公场景应答记录的操作漏洞识别情况,从而实现操作漏洞识别的完整处理流程。
对于一些可能的实施例而言,会话消息解析线程可包括多规模线程架构(例如特征金字塔),使得提取到的异常消息内容分布包括至少两层局部异常消息内容分布。在该情况下,办公场景应答记录的第一异常消息内容分布包括至少两层第一局部异常消息内容分布,示例型应答记录的第二异常消息内容分布包括至少两层第二局部异常消息内容分布。其中,不同层次的局部异常消息内容分布的规模存在差异,相同层次的第一局部异常消息内容分布与第二局部异常消息内容分布的规模一直。本申请对局部异常消息内容分布的层数不作限制。
对于一些可独立实施的实施例而言,STEP13可包括:基于相同层次的第三局部异常消息内容分布与第四局部异常消息内容分布之间的漏洞风险影响度分析,得到当前层次的针对性风险影响分布;其中,当前层次的第三局部异常消息内容分布通过当前层次的第一局部异常消息内容分布确定,或当前层次的第一局部异常消息内容分布与关联层次的第一局部异常消息内容分布的全局调整结果确定;当前层次的第四局部异常消息内容分布通过当前层次的第二局部异常消息内容分布确定,或当前层次的第二局部异常消息内容分布与关联层次的第二局部异常消息内容分布的全局调整结果确定。
以示例性的角度来看待,可分别对相同层次的局部异常消息内容分布之间的漏洞风险影响度进行处理,得到对应层次的针对性风险影响分布。其中,可直接对相同层次的局部异常消息内容分布进行漏洞风险影响度分析;也可先对相同层次的局部异常消息内容分布分别进行处理,再进行漏洞风险影响度分析。
对于一些可独立实施的实施例而言,在直接对当前层次的局部异常消息内容分布进行漏洞风险影响度分析的基础上,针对待分析的当前层次,可通过当前层次的第一局部异常消息内容分布,直接确定当前层次的第三局部异常消息内容分布;通过当前层次的第二局部异常消息内容分布,直接确定当前层次的第四局部异常消息内容分布。将当前层次的第三局部异常消息内容分布与当前层次的第四局部异常消息内容分布进行全局调整(例如加权或组合),得到当前层次的针对性风险影响分布。这样,分别对各层次进行漏洞风险影响度分析,可得到各层次的针对性风险影响分布,从而便于针对性风险影响分布的差异化分析和处理。
对于一些可独立实施的实施例而言,在先对当前层次的局部异常消息内容分布处理再进行漏洞风险影响度分析的基础上,针对待分析的当前层次,可通过当前层次的第一局部异常消息内容分布与关联层次的第一局部异常消息内容分布的全局调整结果,确定当前层次的第三局部异常消息内容分布;通过当前层次的第二局部异常消息内容分布与关联层次的第二局部异常消息内容分布的全局调整结果,确定当前层次的第四局部异常消息内容分布。
其中,关联层次的局部异常消息内容分布可包括当前层次局部异常消息内容分布的上游局部异常消息内容分布和/或下游局部异常消息内容分布。
对于一些可能的实施例而言,可以将上游第一局部异常消息内容分布规模扩增,再与当前层次的第一局部异常消息内容分布进行全局调整,作为当前层次的第三局部异常消息内容分布;将上游第二局部异常消息内容分布规模扩增,再与当前层次的第二局部异常消息内容分布进行全局调整,作为当前层次的第四局部异常消息内容分布。可以理解,基于上述内容,既利用上游异常消息内容分布较强的区别性描述,又利用了当前层次异常消息内容分布的强识别度信息,能够提高全局调整得到的异常消息内容分布中信息的完整性和丰富程度。
以下为根据本申请实施例的基于大数据安防的在线办公漏洞识别方法的多层异常消息内容分布的全局调整过程的实施方案。例如,办公场景应答记录的第一异常消息内容分布和示例型应答记录的第二异常消息内容分布分别包括4层局部异常消息内容分布。
例如,对于第一异常消息内容分布的第二层第一局部异常消息内容分布,可对第一层第一局部异常消息内容分布进行内容插值,将第一层第一局部异常消息内容分布的规模扩展到与第二层第一局部异常消息内容分布的规模相同;再将规模扩展后的第一层第一局部异常消息内容分布与第二层第一局部异常消息内容分布进行全局调整,得到第二层第三局部异常消息内容分布。对于第二异常消息内容分布的第二层第二局部异常消息内容分布,可对第一层第二局部异常消息内容分布进行内容插值,将第一层第二局部异常消息内容分布的规模扩展到与第二层第二局部异常消息内容分布的规模相同;再将规模扩展后的第一层第二局部异常消息内容分布与第二层第二局部异常消息内容分布进行全局调整,得到第二层第四局部异常消息内容分布。这样,可对第二层-第四层局部异常消息内容分布皆进行同样的处理。
对于一些可能的实施例而言,也可以将上游第一局部异常消息内容分布规模扩展,下游第一局部异常消息内容分布规模削减,再将这两个第一局部异常消息内容分布与当前层次的第一局部异常消息内容分布进行全局调整,作为当前层次的第三局部异常消息内容分布;并且,将上游第二局部异常消息内容分布规模扩展,下游第二局部异常消息内容分布规模削减,再将这两个第二局部异常消息内容分布与当前层次的第二局部异常消息内容分布进行全局调整,作为当前层次的第四局部异常消息内容分布。
对于一些可能的实施例而言,还可以将下游的第一局部异常消息内容分布规模削减,与当前层次的第一局部异常消息内容分布进行全局调整,作为当前层次的第三局部异常消息内容分布;并且,将下游的第二局部异常消息内容分布规模削减,与当前层次的第二局部异常消息内容分布进行全局调整,作为当前层次的第四局部异常消息内容分布。
在实际应用过程中,可根据实际情况设置局部异常消息内容分布的具体全局调整方式,只要第一异常消息内容分布和第二异常消息内容分布的局部异常消息内容分布的全局调整方式相同即可,本申请对此不作限制。
对于一些可能的实施例而言,可基于相同层次的第三局部异常消息内容分布与第四局部异常消息内容分布之间的漏洞风险影响度分析,得到当前层次的针对性风险影响分布。
换言之,针对待分析的当前层次,可通过消息事件之间的相关性系数,对当前层次的第三局部异常消息内容分布与当前层次的第四局部异常消息内容分布的各个消息事件进行相关性分析,得到当前层次的第三局部异常消息内容分布的各个消息事件与该消息事件的邻居消息事件之间的量化关联程度;根据量化关联程度确定该消息事件的漏洞风险影响度的局部权重;进而确定出当前层次的针对性风险影响分布。该处理过程与前面描述的第一异常消息内容分布与第二异常消息内容分布之间的漏洞风险影响度分析过程一致,在此不再进行说明。这样,对各层局部异常消息内容分布分别进行处理,可得到各层的针对性风险影响分布。如此,可以便于后续进行全局层面或者局部封面的漏洞风险影响分析。
可以理解,基于上述内容,可将应答会话消息解析的相关功能架构与漏洞风险影响度关注的处理相结合,提高异常消息内容分布中信息的丰富程度,从而进一步提高局部针对性的漏洞风险识别方式对办公漏洞状态的针对性追踪强度,进一步提高后续操作漏洞识别的效果。
对于一些可独立实施的实施例而言,在采用多尺度功能架构的基础上,STEP14的全局调整过程可包括:基于相同层次的第三局部异常消息内容分布与第四局部异常消息内容分布的全局调整,得到当前层次的第二全局性异常内容分布;将当前层次的第二全局性异常内容分布与当前层次的针对性风险影响分布进行全局调整,得到当前层次的第一全局性异常内容分布。
以示例性的角度来看待,可对各级局部异常消息内容分布分别进行全局调整处理。针对待全局调整的当前层次,可通过至少一层特征挖掘处理层,对示例型应答记录的当前层次第四局部异常消息内容分布进行特征挖掘处理,得到当前层次的第五局部异常消息内容分布,以便实现当前层次的第三局部异常消息内容分布与当前层次的第四局部异常消息内容分布之间的事件描述绑定;然后,可对当前层次的第三局部异常消息内容分布与当前层次的第五局部异常消息内容分布进行一对一的加权,或者将当前层次的第三局部异常消息内容分布与当前层次的第五局部异常消息内容分布按需求进行组合,得到当前层次的第二全局性异常内容分布,从而实现当前层次局部异常消息内容分布的初阶全局调整。
对于一些可能的实施例而言,可将当前层次的第二全局性异常内容分布与当前层次的针对性风险影响分布进行全局调整,得到当前层次的第一全局性异常内容分布。
这样,对各级局部异常消息内容分布分别进行处理,可得到各层的第一全局性异常内容分布,完成整个全局调整过程。例如,可分别对各层全局调整后的局部异常消息内容分布进行基于局部关注的全局调整(包括漏洞风险影响度分析及两次全局调整过程),得到多层第一全局性异常内容分布。进而,可在STEP15中对各层的第一全局性异常内容分布进行办公操作漏洞识别,得到办公场景应答记录的操作漏洞识别情况。
可以理解,基于上述内容,能够进一步提高办公行为操作漏洞识别的效果。
对于一些可能的实施例而言,根据本申请实施例的基于大数据安防的在线办公漏洞识别方法可通过操作漏洞识别策略实现,该操作漏洞识别策略可包括上述的会话消息解析线程thread_1、漏洞风险影响度关注线程thread_2以及漏洞识别线程thread_3。
对于一些可能的实施例而言,该操作漏洞识别策略是根据事先选定的策略配置原料配置所得的,所述策略配置原料包括不存在办公漏洞的办公场景的参考示例型应答记录以及存在办公漏洞的办公场景的参考办公场景应答记录。其中,参考办公场景应答记录中标定存在办公漏洞的区域的状态信息。
对于一些可独立实施的实施例而言,根据本申请实施例的基于大数据安防的在线办公漏洞识别方法还可包括:获取存在对应关系的参考应答记录二元组,每个参考应答记录二元组包括参考办公场景应答记录及存在对应关系的参考示例型应答记录;针对随机的一个参考应答记录二元组,从所述参考应答记录二元组中确定与所述办公漏洞状态对应的目标应答记录二元组;基于将所述目标应答记录二元组添加到至少另一参考应答记录二元组中,得到优化后的参考应答记录二元组;根据优化后的多个参考应答记录二元组,配置所述操作漏洞识别策略。
以示例性的角度来看待,可将策略配置原料中的参考办公场景应答记录与参考示例型应答记录进行配对,得到配对后的参考示例型应答记录。该配对过程可与上述的配对过程一致,在此不再进行说明。其中,配对后的参考示例型应答记录可与策略配置原料中的参考示例型应答记录相同或不同,本申请对此不作限制。
经过对应关系绑定后,每个参考办公场景应答记录与存在对应关系的参考示例型应答记录组成参考应答记录二元组,从而可得到多个参考应答记录二元组。其中,每个参考应答记录二元组可理解为4种需求的应答记录(参考办公场景应答记录2种需求+参考示例型应答记录2种需求)。
对于一些可能的实施例而言,针对随机的一个参考应答记录二元组,根据该参考应答记录二元组中的参考办公场景应答记录中办公漏洞状态的标定状态信息,可从该参考应答记录二元组中确定出与所述办公漏洞状态对应的目标应答记录二元组。其中,可直接将办公漏洞状态的应答记录作为目标应答记录;也可对办公漏洞状态进行辐射,将辐射后的应答记录作为目标应答记录。
对于一些可独立实施的实施例而言,从所述参考应答记录二元组中确定与所述办公漏洞状态对应的目标应答记录二元组的步骤,可包括:根据事先选定的辐射描述,对所述参考办公场景应答记录中的办公漏洞状态进行辐射,得到辐射影响结果;从所述参考应答记录二元组的参考办公场景应答记录和参考示例型应答记录中,分别确定出与所述辐射影响结果对应的目标应答记录,得到所述目标应答记录二元组。
换言之,可事先部署办公漏洞状态的辐射描述(影响系数),例如辐射描述取值为3-6倍。根据辐射描述对参考办公场景应答记录中的办公漏洞状态进行辐射,得到辐射影响结果;根据辐射影响结果的状态信息,分别从参考办公场景应答记录和参考示例型应答记录中确定出与辐射影响结果对应的目标应答记录,得到目标应答记录二元组,从而完成确定目标应答记录二元组的步骤。本申请对辐射描述的实际取值不作限制。可以理解,基于上述内容,可以适应性地增加目标应答记录中的会话消息事件数目和会话消息内容量,从而提高线程配置的效果。
对于一些可能的实施例而言,在得到目标应答记录二元组后,可将该目标应答记录二元组添加到至少另一个参考应答记录二元组中的任意应答记录状态信息处,得到优化后的参考应答记录二元组,从而完成“迁移-添加”的处理过程。
对于一些可能的实施例而言,可以对全部或部分的参考应答记录二元组分别进行“迁移-添加”处理,并对参与处理的每个参考应答记录二元组进行一次或多次的“迁移-添加”处理,得到优化后的多个参考应答记录二元组。
可以理解,基于上述内容,可扩增参考应答记录中办公漏洞状态的数目,降低操作漏洞识别对象对办公环境的粘度,增加线程对不同办公环境的适应能力,从而显著提升操作漏洞识别策略的配置速度和配置效果。
例如,将优化后的参考应答记录二元组加载至操作漏洞识别策略中处理,得到参考操作漏洞识别情况;根据参考操作漏洞识别情况中办公漏洞状态的状态信息与办公漏洞状态的标定状态信息之间的偏差,确定操作漏洞识别策略的策略评估结果;根据策略评估结果反馈调整操作漏洞识别策略的策略配置信息;经过多次迭代,在符合配置要求(例如策略处于稳定状态)的基础上,可得到配置后的操作漏洞识别策略。本申请对操作漏洞识别策略的具体配置方式不作限制。
根据本申请实施例的基于大数据安防的在线办公漏洞识别方法,将办公场景所对应的实际应答记录与其示例性应答记录一并视为输入信息,通过应答会话消息解析以及示例型比对局部针对性的漏洞风险识别方式,能够准确有效地识别出对应于不同办公场景在整体层面上的操作漏洞状态信息,并尽可能削弱其他非关键型的干扰,比如办公用户自身的错误操作,从而显著这样从基于局部层面的漏洞风险识别延伸到全局层面的漏洞风险识别,以提高办公环境下的操作漏洞识别的精度和完整性,避免漏检。
对于一些可独立实施的实施例而言,在得到办公场景应答记录的操作漏洞识别情况之后,所述方法还包括:根据所述操作漏洞识别情况确定所述待识别互动办公场景的操作漏洞类别;在所述操作漏洞类别为安全风险类别时,对所述待识别互动办公场景进行信息安防预处理,得到信息安防预处理结果;根据所述信息安防预处理结果进行针对待识别互动办公场景的安全防护处理。
例如,可以通过预设的分类模型对操作漏洞识别情况进行分类识别以得到操作漏洞类别。进一步地,对于一些可独立实施的实施例而言,对所述待识别互动办公场景进行信息安防预处理,得到信息安防预处理结果,可以包括:收集设定数量组存在反欺诈关联分析需求的云办公行为信息;逐一对每组所述云办公行为信息进行协作行为事项解析,得到每组所述云办公行为信息的办公协作事项记录,其中,所述办公协作事项记录包括多个第一活跃性协作事项;对所述第一活跃性协作事项进行映射处理,得到携带所述云办公行为信息的迁移性办公场景数据的第一场景化办公行为数据;对所述设定数量组存在反欺诈关联分析需求的云办公行为信息中的所述第一场景化办公行为数据进行反欺诈关联分析,得到所述设定数量组存在反欺诈关联分析需求的云办公行为信息的第一反欺诈关联分析情况;其中,云办公行为信息对应于所述待识别互动办公场景。
步骤S11:收集设定数量组存在反欺诈关联分析需求的云办公行为信息。
在本申请实施例中,设定数量组可以是两组或两组以上,也即至少两组。而获取存在反欺诈关联分析需求的云办公行为信息的形式可以是通过启动用于反欺诈处理的大数据办公信息分析方法的办公漏洞识别服务器中的爬虫线程(在获取云办公行为信息之前获得云办公行为信息对应的办公业务终端的授权)获取得到,还可以是通过其他业务端或者服务端以其他网络通信方式传输到执行用于反欺诈处理的大数据办公信息分析方法的办公漏洞识别服务器中。
进一步地,办公漏洞识别服务器可以理解为云服务器、大数据服务器或者计算机设备。其他网络通信方式包括但不限于局域网通信、无线网络通信、热点通信或者有线光纤通信等。
此外,本申请实施例中的存在反欺诈关联分析需求的云办公行为信息可以理解为经过各种信息优化(比如信息除噪、信息缺失项修复)之后的云办公行为信息,可以是未经过信息优化的云办公行为信息。云办公行为信息可以反映办公用户的操作行为习惯、操作行为意图或者操作行为内容。此外,存在反欺诈关联分析需求的云办公行为信息的信息记录形式可以相同,也可以存在差异,例如其中一组云办公行为信息为文本形式的云办公行为信息,另一组云办公行为信息为语音形式的云办公行为信息。
设定数量组存在反欺诈关联分析需求的云办公行为信息的规模(比如信息量的大小)、量化显著性评估数据(特征识别度)等信息可以相同也可以存在差异。即任意两组云办公行为信息皆可以作为存在反欺诈关联分析需求的云办公行为信息。本申请实施例以两组存在反欺诈关联分析需求的云办公行为信息为例,当然,在其他实施例中,存在反欺诈关联分析需求的云办公行为信息可以是三组及以上均可,关于存在反欺诈关联分析需求的云办公行为信息的数量此处不作进一步限制。
步骤S12:逐一对每个存在反欺诈关联分析需求的云办公行为信息进行协作行为事项解析,得到每个存在反欺诈关联分析需求的云办公行为信息的办公协作事项记录,其中,办公协作事项记录包括多个第一活跃性协作事项。
在本申请实施例中,协作行为事项解析的方式可以有多种,例如,可以通过各种智能化线程(比如机器学习算法)进行协作行为事项解析,协作行为事项可以理解为云办公行为信息对应的其中一类特征,因此协作行为事项解析也可以理解为特征提取。办公协作事项记录包括多个第一活跃性协作事项,这里的办公协作事项记录可以是以信息表格的形式展现。活跃性协作事项是指不包含云办公行为信息的迁移性办公场景数据的场景化办公行为数据,换言之,活跃性协作事项可以理解为包括存在反欺诈关联分析需求的云办公行为信息的片段化内容的事项。从另外的角度来看待,活跃性协作事项可以是交互热度较高的行为信息片段所对应的特征。
步骤S13:对第一活跃性协作事项进行映射处理,得到携带云办公行为信息的迁移性办公场景数据的第一场景化办公行为数据。
通过对第一活跃性协作事项进行映射处理,使得映射处理之后的第一场景化办公行为数据能够携带存在反欺诈关联分析需求的云办公行为信息的迁移性办公场景数据。换言之,第一场景化办公行为数据涵盖存在反欺诈关联分析需求的云办公行为信息的办公场景信息。其中,映射处理可以按照预设的映射规则或者映射列表实现,比如按照映射关系查询或者匹配第一活跃性协作事项对应的第一场景化办公行为数据,这样能够在办公事项层面上增加对办公场景的整体性考虑,从而提高第一场景化办公行为数据的丰富程度。从某种意义上讲,第一场景化办公行为数据可以理解为云办公行为信息的另一类信息特征。
步骤S14:对设定数量组存在反欺诈关联分析需求的云办公行为信息中的第一场景化办公行为数据进行反欺诈关联分析,得到设定数量组存在反欺诈关联分析需求的云办公行为信息的第一反欺诈关联分析情况。
在本申请实施例中,场景化办公行为数据的反欺诈关联分析的方式可以有多种,例如,通过设定处理指示(比如最优模式算法)进行场景化办公行为数据的反欺诈关联分析等,当然,这仅是举例,在其他实施例中,可以采用其他反欺诈关联分析方式。
此外,反欺诈关联分析可以理解为对不同的第一场景化办公行为数据进行匹配关联分析,这样可以从不同的角度出发,将不同的云办公行为信息进行联系,从而得到信息内容更加丰富、信息量更庞大的第一反欺诈关联分析情况(反欺诈关联分析结果),该第一反欺诈关联分析情况能够用作后续的反欺诈分析,从而实现办公交互过程中的反欺诈检测的准确性和可靠性。
可以理解的是,基于上述技术方案,通过获取存在反欺诈关联分析需求的云办公行为信息中涵盖迁移性办公场景数据的场景化办公行为数据,进而通过涵盖迁移性办公场景数据的场景化办公行为数据进行场景化办公行为数据的反欺诈关联分析,使得在场景化办公行为数据的反欺诈关联分析的过程中能够将存在反欺诈关联分析需求的云办公行为信息的办公场景层面的信息考虑在内,从而在挖掘云办公行为信息的第一反欺诈关联分析情况的过程中,能够尽量保证反欺诈关联分析情况的完整性,避免由于对办公场景的忽略而导致反欺诈关联分析出现遗漏,这样,在后续对云办公行为信息进行反欺诈检测时,能够以完整准确的反欺诈关联分析情况为依据,以确保反欺诈检测的准确性和可信度。
对于一些可独立实施的实施例而言,根据所述信息安防预处理结果进行针对待识别互动办公场景的安全防护处理,可以包括以下内容:对所述第一反欺诈关联分析情况进行解析,得到所述第一反欺诈关联分析情况对应的关联分析项目;通过所述关联分析项目判断所述设定数量组存在反欺诈关联分析需求的云办公行为信息是否存在行为安全风险;在所述设定数量组存在反欺诈关联分析需求的云办公行为信息存在行为安全风险时,对所述设定数量组存在反欺诈关联分析需求的云办公行为信息所对应的操作行为请求进行拦截。
对于一些可独立实施的实施例而言,对所述第一反欺诈关联分析情况进行解析,得到所述第一反欺诈关联分析情况对应的关联分析项目,可以包括以下内容:获取针对所述第一反欺诈关联分析情况的关联分析项目集,所述关联分析项目集包括至少两条关联分析项目;获得所述关联分析项目集中的各条关联分析项目与所述所述第一反欺诈关联分析情况之间的安全影响系数;根据所述各条关联分析项目对应的安全影响系数,以及所述各条关联分析项目的项目内容权限描述,对所述各条关联分析项目进行调整,得到相应的关联分析项目整理结果;基于所述关联分析项目整理结果生成针对所述所述第一反欺诈关联分析情况的目标安全风险极性记录,所述安全风险极性记录包括至少两个目标风险极性表达。
在本申请实施例中,关联分析项目对应不同的分析维度和分析层面,包括但不限于办公对象地址、办公对象身份、办公业务类型、办公业务场景等。进一步地,安全影响系数可以理解为各条关联分析项目与所述所述第一反欺诈关联分析情况之间的关联度或者影响程度,基于此,项目内容权限描述可以理解为关联分析项目对应的权限安全层面的特征信息,这样一来,通过所述各条关联分析项目对应的安全影响系数,以及所述各条关联分析项目的项目内容权限描述,能够实现对各条关联分析项目的排序,从而得到与所述第一反欺诈关联分析情况高度匹配的目标安全风险极性记录,而目标安全风险极性记录中的目标风险极性表达可以通过数值形式表征第一反欺诈关联分析情况对应的安全等级,这样一来,可以通过安全等级判断所述设定数量组存在反欺诈关联分析需求的云办公行为信息是否存在行为安全风险。
例如,通过对目标风险极性表达进行由高到低的权重分配并进行加权,可以得到云办公行为信息对应的综合风险指数,如果综合安全指数大于设定安全知识,则判定云办公行为信息存在行为安全风险,这样可以提高行为安全风险判断的精度和可信度。
对于一些可独立实施的实施例而言,所述根据所述各条关联分析项目对应的安全影响系数,以及所述各条关联分析项目的项目内容权限描述,对所述各条关联分析项目进行调整,得到相应的关联分析项目整理结果,具体包括:根据所述各条关联分析项目对应的安全影响系数,以及所述各条关联分析项目的项目内容权限描述,对所述各条关联分析项目进行拆解,得到至少两个关联分析项目子集;对各个关联分析项目子集进行调整,并分别对所述各个关联分析项目子集中的各条关联分析项目进行调整,得到所述关联分析项目整理结果。如此设计,能够确保关联分析项目整理结果的完整性。
对于一些可独立实施的实施例而言,所述根据所述各条关联分析项目对应的安全影响系数,以及所述各条关联分析项目的项目内容权限描述,对所述各条关联分析项目进行拆解,得到至少两个关联分析项目子集,具体包括:分别根据所述各条关联分析项目对应的安全影响系数,对所述各条关联分析项目的项目内容权限描述进行优化,得到所述各条关联分析项目的热点项目内容权限描述;根据所述各条关联分析项目的热点项目内容权限描述对所述各条关联分析项目进行项目分析,得到至少两个关联分析项目子集。如此设计,可以尽可能确保关联分析项目子集不会出现缺失。
对于一些可独立实施的实施例而言,所述对各个关联分析项目子集之间进行调整,并分别对所述各个关联分析项目子集中的各条关联分析项目进行调整,得到所述关联分析项目整理结果,具体包括:根据各个关联分析项目子集所包含的关联分析项目的数量,对所述各个关联分析项目子集进行调整;以及,针对所述各个关联分析项目子集,分别执行以下操作:根据所述关联分析项目子集中各条关联分析项目的项目内容权限描述与所述关联分析项目子集的相关性系数,对所述关联分析项目子集中的各条关联分析项目进行调整;基于所述各个关联分析项目子集之间的调整结果,以及所述各个关联分析项目子集中各条关联分析项目的调整结果,生成所述关联分析项目整理结果。如此设计,能够确保关联分析项目整理结果的完整性。
基于上述同样的发明构思,还提供了一种基于大数据安防的在线办公漏洞识别装置20,应用于办公漏洞识别服务器10,所述装置包括:
应答记录获取模块21,用于获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与所述办公场景应答记录存在对应关系的示例型应答记录;
会话消息解析模块22,用于对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,得到所述办公场景应答记录的第一异常消息内容分布以及所述示例型应答记录的第二异常消息内容分布;
漏洞风险处理模块23,用于对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布;
内容分布调整模块24,用于基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布;
操作漏洞识别模块25,用于对所述第一全局性异常内容分布进行办公操作漏洞识别,得到所述办公场景应答记录的操作漏洞识别情况。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,办公漏洞识别服务器10,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种基于大数据安防的在线办公漏洞识别方法,其特征在于,应用于办公漏洞识别服务器,所述方法至少包括:
获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与所述办公场景应答记录存在对应关系的示例型应答记录;
对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,得到所述办公场景应答记录的第一异常消息内容分布以及所述示例型应答记录的第二异常消息内容分布;
对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布;
基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布;
对所述第一全局性异常内容分布进行办公操作漏洞识别,得到所述办公场景应答记录的操作漏洞识别情况。
2.根据权利要求1所述的方法,其特征在于,在获取响应于目标识别需求而选定的待识别互动办公场景的办公场景应答记录以及与所述办公场景应答记录存在对应关系的示例型应答记录之前,所述方法还包括:
对所述办公场景应答记录和原始示例型应答记录分别进行消息事件抽取,得到所述办公场景应答记录中第一设定数目的第一消息事件,以及所述原始示例型应答记录中所述第一设定数目的第二消息事件;
对所述第一消息事件与所述第二消息事件进行事件绑定分析,确定出所述办公场景应答记录与所述原始示例型应答记录中的会话绑定结果,每个会话绑定结果包括存在对应关系的一个第一消息事件和一个第二消息事件;
在所述会话绑定结果的数目不小于设定数目的基础上,根据所述会话绑定结果中消息事件的状态信息,确定所述原始示例型应答记录到所述办公场景应答记录的记录调整策略;
根据所述记录调整策略,对所述原始示例型应答记录进行多维度调整,得到所述示例型应答记录。
3.根据权利要求2所述的方法,其特征在于,在确定出所述办公场景应答记录与所述原始示例型应答记录中的会话绑定结果之后,所述方法还包括:
在所述会话绑定结果的数目小于所述设定数目的基础上,继续对所述办公场景应答记录和原始示例型应答记录分别进行消息事件抽取,得到所述办公场景应答记录中第二设定数目的第一消息事件,以及所述原始示例型应答记录中所述第二设定数目的第二消息事件,其中,所述第二设定数目大于所述第一设定数目。
4.根据权利要求1-3中任意一项所述的方法,其特征在于,所述方法通过会话消息解析线程对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,所述会话消息解析线程包括第一阶段性线程、第二阶段性线程及第三阶段性线程,其中,所述对所述办公场景应答记录及所述示例型应答记录分别进行应答会话消息解析,得到所述办公场景应答记录的第一异常消息内容分布以及所述示例型应答记录的第二异常消息内容分布,包括:
将所述办公场景应答记录及所述示例型应答记录分别加载至所述第一阶段性线程中处理,得到所述办公场景应答记录的第一过渡异常消息内容分布及所述示例型应答记录的第二过渡异常消息内容分布;
将所述第一过渡异常消息内容分布加载至所述第二阶段性线程中处理,得到所述第一异常消息内容分布;
将所述第二过渡异常消息内容分布加载至所述第三阶段性线程中处理,得到所述第二异常消息内容分布。
5.根据权利要求1-3中任意一项所述的方法,其特征在于,所述对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布,包括:
对于所述第一异常消息内容分布中的随机的一个第三消息事件,分别确定所述第三消息事件与所述第二异常消息内容分布中的多个邻居消息事件之间的量化关联程度,其中,所述邻居消息事件包括所述第二异常消息内容分布中,与所述第三消息事件状态信息对应的第四消息事件,以及与所述第四消息事件之间的量化差异小于或等于量化差异阈值的消息事件;
根据所述第三消息事件与所述多个邻居消息事件之间的量化关联程度,确定所述第三消息事件的漏洞风险影响度的局部权重;
根据所述第一异常消息内容分布的多个第三消息事件的漏洞风险影响度的局部权重,确定所述针对性风险影响分布。
6.根据权利要求1-3中任意一项所述的方法,其特征在于,所述基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布,包括:
对所述第一异常消息内容分布与所述第二异常消息内容分布进行全局调整,得到第二全局性异常内容分布;
对所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到所述第一全局性异常内容分布;
相应的,所述对所述第一异常消息内容分布与所述第二异常消息内容分布进行全局调整,得到第二全局性异常内容分布,包括:
对所述第二异常消息内容分布进行特征挖掘处理,得到第三异常消息内容分布;
对所述第一异常消息内容分布与所述第三异常消息内容分布进行加权或组合,得到所述第二全局性异常内容分布;
相应的,所述对所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到所述第一全局性异常内容分布,包括:
将所述第二全局性异常内容分布与所述针对性风险影响分布进行全局调整,得到第三全局性异常内容分布;
将所述第二全局性异常内容分布与所述第三全局性异常内容分布全局调整,得到所述第一全局性异常内容分布。
7.根据权利要求1所述的方法,其特征在于,所述第一异常消息内容分布包括至少两层第一局部异常消息内容分布,所述第二异常消息内容分布包括至少两层第二局部异常消息内容分布,其中,所述对所述第一异常消息内容分布与所述第二异常消息内容分布之间的漏洞风险影响度进行处理,得到所述第一异常消息内容分布与所述第二异常消息内容分布之间的针对性风险影响分布,包括:
基于相同层次的第三局部异常消息内容分布与第四局部异常消息内容分布之间的漏洞风险影响度分析,得到当前层次的针对性风险影响分布;
其中,当前层次的第三局部异常消息内容分布通过当前层次的第一局部异常消息内容分布确定,或当前层次的第一局部异常消息内容分布与关联层次的第一局部异常消息内容分布的全局调整结果确定;
当前层次的第四局部异常消息内容分布通过当前层次的第二局部异常消息内容分布确定,或当前层次的第二局部异常消息内容分布与关联层次的第二局部异常消息内容分布的全局调整结果确定;
相应的,所述基于所述针对性风险影响分布对所述第一异常消息内容分布、所述第二异常消息内容分布进行全局调整,得到第一全局性异常内容分布,包括:
基于相同层次的第三局部异常消息内容分布与第四局部异常消息内容分布的全局调整,得到当前层次的第二全局性异常内容分布;
将当前层次的第二全局性异常内容分布与当前层次的针对性风险影响分布进行全局调整,得到当前层次的第一全局性异常内容分布;
相应的,所述方法通过操作漏洞识别策略实现,所述操作漏洞识别策略是根据事先选定的策略配置原料配置所得的,所述策略配置原料包括不存在办公漏洞的办公场景的参考示例型应答记录以及存在办公漏洞的办公场景的参考办公场景应答记录,其中,所述方法还包括:
获取存在对应关系的参考应答记录二元组,每个参考应答记录二元组包括参考办公场景应答记录及存在对应关系的参考示例型应答记录;
针对随机的一个参考应答记录二元组,从所述参考应答记录二元组中确定与所述办公漏洞状态对应的目标应答记录二元组;
基于将所述目标应答记录二元组添加到至少另一参考应答记录二元组中,得到优化后的参考应答记录二元组;
根据优化后的多个参考应答记录二元组,配置所述操作漏洞识别策略。
8.根据权利要求7所述的方法,其特征在于,所述从所述参考应答记录二元组中确定与所述办公漏洞状态对应的目标应答记录二元组,包括:
根据事先选定的辐射描述,对所述参考办公场景应答记录中的办公漏洞状态进行辐射,得到辐射影响结果;
从所述参考应答记录二元组的参考办公场景应答记录和参考示例型应答记录中,分别确定出与所述辐射影响结果对应的目标应答记录,得到所述目标应答记录二元组。
9.一种办公漏洞识别服务器,其特征在于,包括处理器、通信总线和存储器;所述处理器和所述存储器通过所述通信总线通信,所述处理器从所述存储器中读取计算机程序并运行,以执行权利要求1-8任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现权利要求1-8任一项所述的方法。
CN202110877982.2A 2021-08-02 2021-08-02 一种基于大数据安防的在线办公漏洞识别方法及服务器 Withdrawn CN113505375A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110877982.2A CN113505375A (zh) 2021-08-02 2021-08-02 一种基于大数据安防的在线办公漏洞识别方法及服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110877982.2A CN113505375A (zh) 2021-08-02 2021-08-02 一种基于大数据安防的在线办公漏洞识别方法及服务器

Publications (1)

Publication Number Publication Date
CN113505375A true CN113505375A (zh) 2021-10-15

Family

ID=78015470

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110877982.2A Withdrawn CN113505375A (zh) 2021-08-02 2021-08-02 一种基于大数据安防的在线办公漏洞识别方法及服务器

Country Status (1)

Country Link
CN (1) CN113505375A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114510725A (zh) * 2022-03-04 2022-05-17 泰安佳永信计算机有限公司 一种基于数字化服务的漏洞信息处理方法及服务器

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114510725A (zh) * 2022-03-04 2022-05-17 泰安佳永信计算机有限公司 一种基于数字化服务的漏洞信息处理方法及服务器

Similar Documents

Publication Publication Date Title
CN112003942B (zh) 链下数据请求响应方法、系统、节点设备与存储介质
US10609087B2 (en) Systems and methods for generation and selection of access rules
CN111400758B (zh) 应用于物联网的访问权限验证方法、设备及系统
CN105791255A (zh) 基于账户聚类的计算机风险识别方法及其系统
KR102433831B1 (ko) 보안관제 의사결정 지원 시스템 및 방법
CN105740667A (zh) 一种基于用户行为的信息识别方法及装置
CN114218568B (zh) 一种应用于云服务的大数据攻击处理方法及系统
CN113643033B (zh) 一种用于大数据风控分析的信息处理方法及服务器
CN114138872A (zh) 一种应用于数字金融的大数据入侵分析方法及存储介质
CN113449011A (zh) 基于大数据预测的信息推送更新方法及大数据预测系统
CN113918621A (zh) 一种基于互联网金融的大数据防护处理方法及服务器
CN113536303A (zh) 一种大数据信息防护的数据处理方法及人工智能服务器
CN113313478A (zh) 应用于在线支付的大数据安全处理方法及服务器
CN112581129A (zh) 区块链交易数据治理方法及装置、计算机设备及存储介质
CN113505375A (zh) 一种基于大数据安防的在线办公漏洞识别方法及服务器
CN113434857A (zh) 一种应用深度学习的用户行为安全解析方法及系统
CN116595224B (zh) 针对在线业务会话的大数据存储优化方法及服务器
CN112766960A (zh) 应用于区块链金融和在线支付的信息安全防护方法及系统
CN113051603A (zh) 结合云计算和信息数字化的云业务交互方法及大数据平台
CN114816964B (zh) 风险模型构建方法、风险检测方法、装置、计算机设备
CN113448806B (zh) 数据库集群异常检测方法、装置、终端设备及存储介质
CN113098883B (zh) 基于区块链和大数据的安全防护方法及区块链服务系统
CN113946819A (zh) 一种基于云计算的在线支付信息入侵检测方法及服务器
CN113364881A (zh) 应用于大数据的云业务互动分析方法、服务器及存储介质
CN111866001A (zh) 基于大数据和云计算的智能设备数据处理方法及云服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20211015