CN113691557A - 一种基于人工智能的信息安全威胁处理方法及服务器 - Google Patents

一种基于人工智能的信息安全威胁处理方法及服务器 Download PDF

Info

Publication number
CN113691557A
CN113691557A CN202111028017.4A CN202111028017A CN113691557A CN 113691557 A CN113691557 A CN 113691557A CN 202111028017 A CN202111028017 A CN 202111028017A CN 113691557 A CN113691557 A CN 113691557A
Authority
CN
China
Prior art keywords
global
log
key content
security threat
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202111028017.4A
Other languages
English (en)
Inventor
朱刚
邓俊宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202111028017.4A priority Critical patent/CN113691557A/zh
Publication of CN113691557A publication Critical patent/CN113691557A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请涉及人工智能和信息安防技术领域,具体而言,涉及基于人工智能的信息安全威胁处理方法及服务器,能够实现结合业务会话的互动状态特征和互动时段特征来对满足安全威胁检测条件的云服务日志进行云服务日志抽取,通过上述处理方式,能够使得满足安全威胁检测条件的云服务日志的服务日志关键内容不会被目标业务会话消息中的其他业务会话内容的显著性表达所影响,从而提高安全威胁日志抽取结果的准确性和可靠性,进而改善业务会话消息中目标业务会话内容的显著性表达被其他业务会话内容的显著性表达所影响导致的安全威胁日志抽取结果部分缺失或者可信度低下的问题。

Description

一种基于人工智能的信息安全威胁处理方法及服务器
技术领域
本申请实施例涉及人工智能和信息安防技术领域,具体涉及一种基于人工智能的信息安全威胁处理方法及服务器。
背景技术
人工智能的发展正不断推进信息安防朝着智能化方向转型,以实现针对各类云计算业务和大数据业务的数据信息安全防护处理。现目前,随着业务量的不断激增和业务规模的不断扩大,针对各类业务的安全威胁处理需求给智能化信息安防带来了不小的挑战。发明人在研究和分析过程中发现,为了提高智能化信息安防的处理效率,需要实现针对性的对象(比如相关日志或者会话信息)检测处理。然而相关的针对待检测对象的确定技术容易受到非检测对象的影响,难以确保对象检测处理的准确性和可靠性。
发明内容
有鉴于此,本申请实施例提供了一种基于人工智能的信息安全威胁处理方法及服务器。
本申请实施例提供了一种基于人工智能的信息安全威胁处理方法,应用于信息安全威胁处理服务器,所述方法包括:确定涵盖满足安全威胁检测条件的云服务日志的目标业务会话消息,和所述满足安全威胁检测条件的云服务日志对应的信息安防检测需求;逐一挖掘所述满足安全威胁检测条件的云服务日志对应的目标服务日志关键内容、所述目标业务会话消息对应的目标业务会话热点信息、以及所述信息安防检测需求对应的第一检测需求显著事项;将所述目标服务日志关键内容和所述目标业务会话热点信息分别与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息;按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果。
基于上述技术方案,在本申请实施例中,通过结合满足安全威胁检测条件的云服务日志的目标服务日志关键内容和包含满足安全威胁检测条件的云服务日志的目标业务会话消息的目标业务会话热点信息,来确定满足安全威胁检测条件的云服务日志的安全威胁日志抽取结果的形式,能够实现结合业务会话的互动状态特征和互动时段特征来对满足安全威胁检测条件的云服务日志进行云服务日志抽取,通过上述处理方式,能够使得满足安全威胁检测条件的云服务日志的服务日志关键内容不会被目标业务会话消息中的其他业务会话内容的显著性表达所影响,从而提高安全威胁日志抽取结果的准确性和可靠性,进而改善业务会话消息中目标业务会话内容的显著性表达被其他业务会话内容的显著性表达所影响导致的安全威胁日志抽取结果部分缺失或者可信度低下的问题。
对于一些可独立实施的技术方案而言,所述信息安防检测需求包含多个信息安防倾向主题;所述将所述目标服务日志关键内容与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容,包括:按照所述目标服务日志关键内容和所述第一检测需求显著事项,确定每个信息安防倾向主题与所述满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性;按照所述多个目标量化相关性和所述第一检测需求显著事项,确定所述信息安防检测需求的场景显著性表达数据;所述场景显著性表达数据用于表征所述满足安全威胁检测条件的云服务日志的互动要素显著性表达;将所述场景显著性表达数据和所述目标服务日志关键内容进行全局化处理,获得所述全局日志关键内容。
基于上述技术方案,场景显著性表达数据可以理解为信息安防检测需求中与满足安全威胁检测条件的云服务日志的互动要素相关联的显著性表达,因此,在本申请实施例中,能够精准及时的定位信息安防检测需求中的可用需求,从而智能化的挖掘信息安防检测需求中与满足安全威胁检测条件的云服务日志的互动要素相关联的部分。在将该场景显著性表达数据和目标服务日志关键内容进行全局化处理,获得全局日志关键内容时,可以更准确地根据全局日志关键内容从满足安全威胁检测条件的云服务日志中对待抽取对象进行查找,从而提高云服务日志抽取的准确性。
对于一些可独立实施的技术方案而言,所述按照所述目标服务日志关键内容和所述第一检测需求显著事项,确定每个信息安防倾向主题与所述满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性,包括:确定所述目标服务日志关键内容和所述第一检测需求显著事项之间的迁移化局部聚焦数据;所述迁移化局部聚焦数据用于表征每个信息安防倾向主题和满足安全威胁检测条件的云服务日志中每个服务事件状态之间的关联情况;按照所述迁移化局部聚焦数据,确定每个所述信息安防倾向主题与所述满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性。
对于一些可独立实施的技术方案而言,所述第一检测需求显著事项中包含:所述信息安防检测需求的多个倾向信息中每个信息安防倾向主题的显著性表达数据;所述按照所述多个目标量化相关性和所述第一检测需求显著事项,确定所述信息安防检测需求的场景显著性表达数据,包括:对所述多个目标量化相关性和所述每个信息安防倾向主题的显著性表达数据进行基于重要性指数的整合处理,获得所述场景显著性表达数据。
基于上述技术方案,通过确定每个信息安防倾向主题和每个服务事件状态之间的局部聚焦系数,进而根据该局部聚焦系数确定信息安防倾向主题和满足安全威胁检测条件的云服务日志之间的局部聚焦系数,以根据该局部聚焦系数确定场景显著性表达数据,可以利用局部聚焦策略智能化挖掘信息安防检测需求中与满足安全威胁检测条件的云服务日志的互动要素相关联显著性表达,从而能够有效定位信息安防检测需求中的可用需求并进行结果测试的指示,以提高查找的可信度。
对于一些可独立实施的技术方案而言,所述将所述场景显著性表达数据和所述目标服务日志关键内容进行全局化处理,获得所述全局日志关键内容,包括:按照所述场景显著性表达数据对所述目标服务日志关键内容进行噪声清洗处理,获得与所述场景显著性表达数据所适配的服务日志关键内容;将确定出的所述所适配的服务日志关键内容和所述目标服务日志关键内容进行拼接,获得所述全局日志关键内容。
基于上述技术方案,通过对目标服务日志关键内容进行噪声清洗,可以获得与场景显著性表达数据所适配的服务日志关键内容,从而能够准确的对待抽取对象进行抽取,再确定出的所适配的服务日志关键内容和目标服务日志关键内容进行求和处理的形式,可以在全局日志关键内容中保留满足安全威胁检测条件的云服务日志的目标服务日志关键内容,从而有利于对本申请所提供的基于人工智能的信息安全威胁处理方法进行持续性改进。
对于一些可独立实施的技术方案而言,所述目标服务日志关键内容包含第一人工智能模型的多个模型单元对所述满足安全威胁检测条件的云服务日志进行处理获得的多个阶段的服务日志关键内容;所述目标业务会话热点信息包含第二人工智能模型的多个模型单元对所述目标业务会话消息进行处理获得的多个阶段的业务会话热点信息;所述将所述目标服务日志关键内容和所述目标业务会话热点信息分别与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息,包括:将所述多个阶段的服务日志关键内容中每个阶段的服务日志关键内容与所述第一检测需求显著事项进行全局化处理,获得所述全局日志关键内容;将所述多个阶段的业务会话热点信息中每个阶段的业务会话热点信息与所述第一检测需求显著事项进行全局化处理,获得所述全局会话热点信息。
在本申请实施例中,通过分阶段的形式对目标服务日志关键内容和第一检测需求显著事项进行阶段性全局化处理,可以获取更加丰富服务日志关键内容,从而进一步提高云服务日志抽取的准确性。通过分阶段的形式对目标业务会话消息的目标业务会话热点信息和第一检测需求显著事项进行阶段性全局化处理,可以获取更加丰富业务会话热点信息,从而进一步提高云服务日志抽取的准确性。
对于一些可独立实施的技术方案而言,按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果,包括:在多阶段全局日志关键内容和多阶段全局会话热点信息中确定对应相同阶段的全局日志关键内容和全局会话热点信息,获得多个全局化显著性表达集;其中,所述多阶段全局日志关键内容包括通过第一人工智能模型的多个模型单元对所述满足安全威胁检测条件的云服务日志进行处理获得的各个阶段的服务日志关键内容和所述第一检测需求显著事项进行全局化处理获得的多个阶段的全局日志关键内容;所述多阶段全局会话热点信息包括通过第二人工智能模型的多个模型单元对所述目标业务会话消息进行处理获得的各个阶段的业务会话热点信息和所述第一检测需求显著事项进行全局化处理获得的多个阶段的全局日志关键内容;将每个全局化显著性表达集的全局化显著性表达与第二检测需求显著事项进行全局化处理,获得每个阶段的目标全局化处理结果;所述第二检测需求显著事项用于表征所述信息安防检测需求中所有信息安防倾向主题的显著性表达;根据多阶段中每个阶段的目标全局化处理结果对满足安全威胁检测条件的云服务日志进行抽取,获得所述安全威胁日志抽取结果。
基于上述技术方案,通过分阶段的对全局日志关键内容、全局会话热点信息和第二检测需求显著事项进行全局化处理的形式,可以获得包含更加丰富的显著性表达的目标全局化处理结果,从而获得包含完整安全威胁事件集的安全威胁日志抽取结果。
对于一些可独立实施的技术方案而言,所述根据多阶段中每个阶段的目标全局化处理结果对满足安全威胁检测条件的云服务日志进行抽取,获得所述安全威胁日志抽取结果,包括:对所述每个阶段的目标全局化处理结果进行特征插值处理,获得目标扩展结果;通过所述目标扩展结果对满足安全威胁检测条件的云服务日志进行抽取,获得所述安全威胁日志抽取结果。
基于上述技术方案,通过对目标全局化处理结果进行特征插值处理,可以获得与满足安全威胁检测条件的云服务日志的信息量相同的目标扩展结果,同时,目标扩展结果中包含各个阶段的显著性表达,因此,目标扩展结果中所携带的显著性表达更加丰富,在根据目标扩展结果确定安全威胁日志抽取结果时,可以获得描述待抽取对象的完整丰富的抽取结果。
对于一些可独立实施的技术方案而言,所述按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果,包括:按照所述第一检测需求显著事项分别确定与所述全局日志关键内容和所述全局会话热点信息所适配的检测需求显著事项,获得与所述全局日志关键内容所适配的第三检测需求显著事项和与所述全局会话热点信息所适配的第四检测需求显著事项;将所述全局日志关键内容和所述第三检测需求显著事项进行标签配对处理,获得第一特征处理结果;并将所述全局会话热点信息和所述第四检测需求显著事项进行标签配对处理,获得第二特征处理结果;将所述第一特征处理结果和所述第二特征处理结果进行合并,根据合并特征处理结果确定所述安全威胁日志抽取结果。
对于一些可独立实施的技术方案而言,所述按照所述第一检测需求显著事项分别确定与所述全局日志关键内容和所述全局会话热点信息所适配的检测需求显著事项,获得与所述全局日志关键内容所适配的第三检测需求显著事项和与所述全局会话热点信息所适配的第四检测需求显著事项,包括:对所述第一检测需求显著事项中所携带的每个信息安防倾向主题的显著性表达数据进行统一化处理,获得目标去极性显著性表达;分别确定所述全局日志关键内容和所述全局会话热点信息所对应的特征分类单元,获得第一特征分类单元和第二特征分类单元;分别通过所述第一特征分类单元和所述第二特征分类单元逐一对所述目标去极性显著性表达进行处理,获得所述与所述全局日志关键内容所适配的第三检测需求显著事项和所述与所述全局会话热点信息所适配的第四检测需求显著事项。
基于上述技术方案,在本申请实施例中,由于目标业务会话热点信息和目标服务日志关键内容为关注层面不相同的显著性表达数据,因此,在将目标业务会话热点信息(或者目标服务日志关键内容)与第一检测需求显著事项进行全局化处理时,需要将第一检测需求显著事项调整为分布不同的检测需求显著事项,通过该处理方式,可以提高安全威胁日志抽取结果的精度,从而获得包含待抽取对象的完整安全威胁事件集的安全威胁日志抽取结果。
本申请实施例还提供了一种信息安全威胁处理服务器,包括处理器、通信总线和存储器;所述处理器和所述存储器通过所述通信总线通信,所述处理器从所述存储器中读取计算机程序并运行,以执行上述的方法。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
在后面的描述中,将部分地陈述其他的特征。在检查后面内容和附图时,本领域的技术人员将部分地发现这些特征,或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面,当前申请中的特征可以被实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例所提供的一种信息安全威胁处理服务器的方框示意图。
图2为本申请实施例所提供的一种基于人工智能的信息安全威胁处理方法的流程图。
图3为本申请实施例所提供的一种基于人工智能的信息安全威胁处理装置的框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本申请的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
图1示出了本申请实施例所提供的一种信息安全威胁处理服务器10的方框示意图。本申请实施例中的信息安全威胁处理服务器10可以为具有数据存储、传输、处理功能的服务端,如图1所示,信息安全威胁处理服务器10包括:存储器11、处理器12、通信总线13和基于人工智能的信息安全威胁处理装置20。
存储器11、处理器12和通信总线13之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有基于人工智能的信息安全威胁处理装置20,所述基于人工智能的信息安全威胁处理装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器11中的软件功能模块,所述处理器12通过运行存储在存储器11内的软件程序以及模块,例如本申请实施例中的基于人工智能的信息安全威胁处理装置20,从而执行各种功能应用以及数据处理,即实现本申请实施例中的基于人工智能的信息安全威胁处理方法。
其中,所述存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器11用于存储程序,所述处理器12在接收到执行指令后,执行所述程序。
所述处理器12可能是一种集成电路芯片,具有数据的处理能力。上述的处理器12可以是通用处理器,包括中央处理器 (Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
通信总线13用于通过网络建立信息安全威胁处理服务器10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
可以理解,图1所示的结构仅为示意,信息安全威胁处理服务器10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
图2示出了本申请实施例所提供的一种基于人工智能的信息安全威胁处理的流程图。所述方法有关的流程所定义的方法步骤应用于信息安全威胁处理服务器10,可以由所述处理器12实现,所述方法包括以下内容。
步骤101:确定涵盖满足安全威胁检测条件的云服务日志的目标业务会话消息,和所述满足安全威胁检测条件的云服务日志对应的信息安防检测需求。
在本申请实施例中,在信息安全威胁处理服务器中,可以设置会话采集线程,进而通过该会话采集线程采集业务会话消息。其中,目标业务会话消息可以为会话采集线程采集到的业务会话消息的部分消息。
例如,满足安全威胁检测条件的云服务日志为会话采集线程所采集业务会话消息中的第U组云服务日志,那么目标业务会话消息中所携带的云服务日志组为:业务会话消息中第U组云服务日志的前u组云服务日志,以及业务会话消息中第U组云服务日志的后U-1组云服务日志,其中,u的取值本申请对此不作具体限定。
信息安防检测需求可以为相关信息安防处理端输入的与满足安全威胁检测条件的云服务日志匹配的相关信息的检测需求表示,还可以为满足安全威胁检测条件的云服务日志中的可视化内容,本申请对信息安防检测需求的进一步形式不作限定。
另外,满足安全威胁检测条件的云服务日志可以理解为需要进行安全威胁检测,该安全威胁检测条件可以依据云服务时段、云服务场景或者其他判定方式进行确定,本申请实施例不作限制。进一步地,云服务日志所涉及的服务可以是在线支付、数字化办公、远程教育、智慧医疗、云游戏等。
步骤103:逐一挖掘所述满足安全威胁检测条件的云服务日志对应的目标服务日志关键内容、所述目标业务会话消息对应的目标业务会话热点信息、以及所述信息安防检测需求对应的第一检测需求显著事项。
在本申请实施例中,所述满足安全威胁检测条件的云服务日志对应的目标服务日志关键内容、所述目标业务会话消息对应的目标业务会话热点信息、以及所述信息安防检测需求对应的第一检测需求显著事项分别可以理解为满足安全威胁检测条件的云服务日志对应的目标服务日志特征、目标业务会话消息对应的目标业务会话特征、信息安防检测需求对应的第一检测需求特征,上述对应特征可以通过特征向量或者特征图的形式进行表达。
步骤105:将所述目标服务日志关键内容和所述目标业务会话热点信息分别与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息。
进一步地,可以将目标服务日志关键内容于第一检测需求显著事项进行全局化处理,获得全局日志关键内容,并且将目标业务会话热点信息与第一检测需求显著事项进行全局化处理,获得全局会话热点信息。在本申请实施例中,全局化处理可以理解为融合处理,例如可以是特征融合处理。
步骤107:按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果。
在本申请实施例中,安全威胁日志抽取结果中可以包括安全威胁事件,安全威胁事件可以是存在信息安全风险的、或者存在异常操作意图的服务事件,安全威胁日志抽取结果与信息安防检测需求对应,因而可以作为迎合信息安防检测需求的检测对象,后续可以基于安全威胁日志抽取结果进行针对信息安防检测需求层面的入侵防护检测或者信息安全风控检测。
例如,获取满足安全威胁检测条件的云服务日志及其信息安防检测需求,以及包含满足安全威胁检测条件的云服务日志的目标业务会话消息,其中,满足安全威胁检测条件的云服务日志的信息安防检测需求可以为“短互动时段内互动操作习惯突变”。之后,可以根据满足安全威胁检测条件的云服务日志、信息安防检测需合并目标业务会话消息确定满足安全威胁检测条件的云服务日志的安全威胁日志抽取结果,例如,安全威胁日志抽取结果可以为包含待抽取对象的安全威胁事件集的抽取结果,其中,待抽取对象为信息安防检测需求中所指示的抽取对象,例如:短互动时段内突变的互动操作习惯对应的服务事件。这样一来,通过确定安全威胁事件集,不仅能够抽取待抽取对象,还可以抽取关联的安全威胁事件,从而为后续的入侵检测分析和信息防护分析提供完整可信的决策依据。
基于上述技术方案,在本申请实施例中,通过结合满足安全威胁检测条件的云服务日志的目标服务日志关键内容和包含满足安全威胁检测条件的云服务日志的目标业务会话消息的目标业务会话热点信息,来确定满足安全威胁检测条件的云服务日志的安全威胁日志抽取结果的形式,能够实现结合业务会话的互动状态特征和互动时段特征来对满足安全威胁检测条件的云服务日志进行云服务日志抽取,通过上述处理方式,能够使得满足安全威胁检测条件的云服务日志的服务日志关键内容不会被目标业务会话消息中的其他业务会话内容的显著性表达所影响,从而提高安全威胁日志抽取结果的准确性和可靠性,进而改善业务会话消息中目标业务会话内容的显著性表达被其他业务会话内容的显著性表达所影响导致的安全威胁日志抽取结果部分缺失或者可信度低下的问题。
基于上述技术方案,在本申请实施例中,首先确定涵盖满足安全威胁检测条件的云服务日志的目标业务会话消息,和满足安全威胁检测条件的云服务日志对应的信息安防检测需求。之后,可以逐一挖掘满足安全威胁检测条件的云服务日志对应的目标服务日志关键内容、目标业务会话消息对应的目标业务会话热点信息、以及信息安防检测需求对应的第一检测需求显著事项。
在本申请实施例中,可以通过CNN(卷积神经网络)对满足安全威胁检测条件的云服务日志和目标业务会话消息进行处理,分别获得目标服务日志关键内容和目标业务会话热点信息。进一步地,可以通过局部CNN(卷积核尺寸较小的卷积神经网络)挖掘满足安全威胁检测条件的云服务日志的显著性表达,获得目标服务日志关键内容;并通过全局CNN(卷积核尺寸较大的卷积神经网络)挖掘目标业务会话消息的显著性表达,获得目标业务会话热点信息;可以通过门控循环单元对信息安防检测需求进行处理,获得第一检测需求显著事项。另外,还可以通过其他类型的RNN(循环神经网络)对信息安防检测需求进行处理,获得第一检测需求显著事项。
可以理解的是,第一检测需求显著事项可以为信息安防检测需求中每个信息安防倾向主题或者信息安防倾向主题的显著性表达数据,其中,信息安防倾向主题可以理解为信息安防检测需求中的每个需求关键词,信息安防倾向主题可以理解为信息安防检测需求中的每个意图标签,本申请对此不作具体限定。
在基于上述所描述的形式挖掘获得目标服务日志关键内容、目标业务会话热点信息和第一检测需求显著事项之后,可以将目标服务日志关键内容和目标业务会话热点信息分别与第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息。
在本申请实施例中,在信息安防检测需求中包含多个信息安防倾向主题的情况下,步骤105,将所述目标服务日志关键内容与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容,示例性地可以包括如下内容。
步骤11、根据目标服务日志关键内容和第一检测需求显著事项,确定每个信息安防倾向主题与满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性。
在该步骤中,可以确定每个信息安防倾向主题与满足安全威胁检测条件的云服务日志之间的局部聚焦系数(比如注意力值),进而通过该局部聚焦系数确定每个信息安防倾向主题与满足安全威胁检测条件的云服务日志之间的量化相关性,从而获得多个目标量化相关性(比如适配度或者匹配度)。
可以理解的是,在确定第一检测需求显著事项之前,可以对信息安防检测需求进行主题拆分操作,获得多个主题拆分意图标签;之后,对多个主题拆分意图标签进行筛分,以清洗掉多个主题拆分意图标签中的无效意图标签,获得多个信息安防倾向主题,其中,无效意图标签可以为包含非业务型意图的意图标签,每个信息安防倾向主题可以是单个关键词,也可以是由多个关键词组成的意图标签。
在本申请实施例中,可以通过下述过程确定每个信息安防倾向主题与满足安全威胁检测条件的云服务日志之间的局部聚焦系数,进一步可以包括以下内容。
首先,确定目标服务日志关键内容和第一检测需求显著事项之间的迁移化局部聚焦数据;迁移化局部聚焦数据用于表征每个信息安防倾向主题和满足安全威胁检测条件的云服务日志中每个服务事件状态之间的关联情况。其中,每个服务事件状态可以为满足安全威胁检测条件的云服务日志中的每个云服务互动事件所对应的分布情况。
进一步地,可以通过相关公式确定迁移化局部聚焦数据data,迁移化局部聚焦数据data中的每个子数据用于表征每个信息安防倾向主题和每个服务事件状态之间的局部聚焦系数(比如,关联情况)。其中,确定迁移化局部聚焦数据data可以根据实际需求进行选择和配置,本申请实施例在次不作更多说明。
在确定出上述迁移化局部聚焦数据data之后,可以根据迁移化局部聚焦数据,确定每个信息安防倾向主题与所述满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性。
进一步地,可以将迁移化局部聚焦数据data中每个信息安防倾向主题的所有局部聚焦系数进行合并处理,并对合并特征处理结果进行逻辑回归处理(比如softmax归一化处理),从而获得每个信息安防倾向主题与满足安全威胁检测条件的云服务日志之间的局部聚焦系数attention(比如,每个信息安防倾向主题和满足安全威胁检测条件的云服务日志之间的量化相关性),从而获得多个局部聚焦系数attention(比如,多个目标量化相关性)。
步骤12、根据多个目标量化相关性和所述第一检测需求显著事项,确定信息安防检测需求的场景显著性表达数据;场景显著性表达数据用于表征满足安全威胁检测条件的云服务日志的互动要素显著性表达。
在本申请实施例中,在确定出多个目标量化相关性之后,可以将多个目标量化相关性和第一检测需求显著事项进行基于重要性指数的整合处理,获得信息安防检测需求的场景显著性表达数据。场景显著性表达数据可以理解为信息安防检测需求中用于表征对应云服务日志(例如,满足安全威胁检测条件的云服务日志)的互动要素的显著性表达数据。其中,互动要素包括不同服务互动层面的要素信息,比如互动内容信息、互动对象信息、身份验证信息、服务网络环境信息等,本申请实施例不作限制。
基于上述技术方案,第一检测需求显著事项中包含:每个信息安防倾向主题的显著性表达数据,基于此,将多个目标量化相关性和第一检测需求显著事项进行基于重要性指数的整合处理可以理解为加权求和处理。
步骤13、将场景显著性表达数据和目标服务日志关键内容进行全局化处理,获得全局日志关键内容。
可以理解的是,在按照上述所描述的方法获得场景显著性表达数据之后,可以根据场景显著性表达数据对目标服务日志关键内容进行噪声清洗处理,获得目标服务日志关键内容中与场景显著性表达数据所适配的服务日志关键内容。
进一步地,可以对目标服务日志关键内容和场景显著性表达数据进行逐一匹配处理,从而根据逐一匹配处理的处理方式对目标服务日志关键内容进行噪声清洗处理。对目标服务日志关键内容进行噪声清洗处理的目的是剔除掉目标服务日志关键内容中与场景显著性表达数据不匹配的显著性表达,从而获得与场景显著性表达数据所适配的服务日志关键内容,比如,可以在目标服务日志关键内容中噪声清洗出与场景显著性表达数据所对应的互动要素所适配的服务日志关键内容。通过场景显著性表达数据对满足安全威胁检测条件的云服务日志的互动要素显著性表达进行挖掘的形式,可以准确的从满足安全威胁检测条件的云服务日志中查找到待抽取对象,获得不包含无效信息的安全威胁日志抽取结果,从而提高云服务日志抽取的抽取精度,其中,该无效信息是指与待抽取对象不相关的信息。
在获得目标服务日志关键内容中与场景显著性表达数据所适配的服务日志关键内容之后,可以将确定出的所适配的服务日志关键内容和目标服务日志关键内容进行拼接,例如,可以进行合并处理。在进行拼接之后,可以获得全局日志关键内容,其中,目标服务日志关键内容可以理解为全局日志关键内容中的偏移显著性表达(比如可以理解为残差特征)。
由于确定出的所适配的服务日志关键内容为目标服务日志关键内容中的部分显著性表达,因此,为了提高本申请技术方案的抗干扰性和稳定性,需要再将确定出的所适配的服务日志关键内容和目标服务日志关键内容进行拼接,从而通过设置偏移显著性表达的形式提高本申请技术方案的实施可靠性。
基于上述技术方案,场景显著性表达数据可以理解为信息安防检测需求中用于表征对应云服务日志(例如,满足安全威胁检测条件的云服务日志)的互动要素的显著性表达数据。因此,对多个目标量化相关性和每个信息安防倾向主题的显著性表达数据进行基于重要性指数的整合处理,获得场景显著性表达数据的形式,能够精准及时的定位信息安防检测需求中与互动要素相关联的可用需求,从而智能化的挖掘信息安防检测需求中与满足安全威胁检测条件的云服务日志的互动要素相关联的部分。在将场景显著性表达数据和目标服务日志关键内容进行全局化处理获得全局日志关键内容时,可以更加准确的根据全局日志关键内容在满足安全威胁检测条件的云服务日志中查找到待抽取对象,以提高云服务日志抽取的准确性。
在本申请实施例中,在信息安防检测需求中包含多个信息安防倾向主题的情况下,步骤105,将目标业务会话热点信息与所述第一检测需求显著事项进行全局化处理,获得全局会话热点信息的具体过程与上述步骤11至步骤13所描述的过程相同,相关描述如下。
步骤21,按照所述目标业务会话热点信息和所述第一检测需求显著事项,确定每个信息安防倾向主题与目标业务会话消息之间的量化相关性,获得多个目标量化相关性。
针对上述步骤21,首先,确定所述目标业务会话热点信息和所述第一检测需求显著事项之间的迁移化局部聚焦数据;所述迁移化局部聚焦数据用于表征每个信息安防倾向主题和目标业务会话消息中每个业务会话内容中每个服务事件状态之间的关联情况;然后,按照所述迁移化局部聚焦数据,确定每个所述信息安防倾向主题与目标业务会话消息之间的量化相关性,获得多个目标量化相关性。
步骤22,按照所述多个目标量化相关性和所述第一检测需求显著事项,确定所述信息安防检测需求的场景显著性表达数据;所述场景显著性表达数据用于表征目标业务会话消息的行为显著性表达。
针对步骤22,对所述多个目标量化相关性和所述每个信息安防倾向主题的显著性表达数据进行基于重要性指数的整合处理,获得所述场景显著性表达数据。
步骤23,将所述场景显著性表达数据和所述目标业务会话热点信息进行全局化处理,获得所述全局会话热点信息。
针对步骤23,按照所述场景显著性表达数据对所述目标业务会话热点信息进行噪声清洗处理,获得与所述场景显著性表达数据所适配的业务会话热点信息;将确定出的所述所适配的业务会话热点信息和所述目标业务会话热点信息进行拼接,例如,求和处理,获得所述全局会话热点信息。
基于上述技术方案,场景显著性表达数据可以理解为信息安防检测需求中与目标业务会话消息的行为显著性表达相关联的显著性表达,因此,对多个目标量化相关性和每个信息安防倾向主题的显著性表达数据进行基于重要性指数的整合处理,获得场景显著性表达数据的形式,能够精准及时的定位信息安防检测需求中与业务会话行为显著性表达相关联的场景显著性表达数据。在将场景显著性表达数据和目标业务会话热点信息进行全局化处理获得全局会话热点信息之后,可以噪声清洗出目标业务会话热点信息中与场景显著性表达数据所描述的业务会话行为显著性表达所适配的业务会话热点信息。在根据全局会话热点信息和全局日志关键内容对满足安全威胁检测条件的云服务日志进行抽取时,可以根据全局会话热点信息挖掘目标业务会话消息中的行为显著性表达,并根据全局日志关键内容挖掘满足安全威胁检测条件的云服务日志中的互动要素显著性表达,在对行为显著性表达和互动要素显著性表达进行全局化处理获得安全威胁日志抽取结果时,可以精准的对待抽取对象进行定位,进而获得包含待抽取对象的完整安全威胁事件集的安全威胁日志抽取结果,以提高云服务日志抽取的准确性。
在一个可独立实施的实施方式中,目标服务日志关键内容包含第一人工智能模型的多个模型单元对满足安全威胁检测条件的云服务日志进行处理获得的多个阶段的服务日志关键内容,在此情况下,将所述目标服务日志关键内容与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容,包括如下过程:将所述多个阶段的服务日志关键内容中每个阶段的服务日志关键内容与所述第一检测需求显著事项进行全局化处理,获得所述全局日志关键内容。
在本申请实施例中,第一人工智能模型可以选择为局部CNN,进而,根据该局部CNN挖掘满足安全威胁检测条件的云服务日志的显著性表达,获得多个维度顺次降低服务日志关键内容,其中,每个维度对应一个阶段。此时,可以将每个维度的服务日志关键内容和第一检测需求显著事项进行全局化处理,获得每个维度的服务日志关键内容所对应的全局日志关键内容,该全局化处理过程可以描述为以下过程:根据每个维度的服务日志关键内容和第一检测需求显著事项,确定每个信息安防倾向主题和每个维度的服务日志关键内容之间的局部聚焦系数(比如量化相关性),获得多个局部聚焦系数attention_1。然后,根据多个局部聚焦系数attention_1和第一检测需求显著事项,确定信息安防检测需求的场景显著性表达数据,进而将场景显著性表达数据和每个维度的服务日志关键内容进行全局化处理,获得与每个维度的服务日志关键内容相对应的全局日志关键内容。
在本申请实施例中,维度越大云服务日志就越粗糙,比如云服务日志的特征识别度越低;维度越小云服务日志就越细致,比如云服务日志的特征识别度越高。通过对满足安全威胁检测条件的云服务日志进行分阶段处理的形式,可以获得不同特征识别度的服务日志关键内容,例如,可以获得满足安全威胁检测条件的云服务日志所包含目标的显著性表达,还可以获得满足安全威胁检测条件的云服务日志中每个云服务互动事件的显著性表达,通过分阶段的形式对目标服务日志关键内容和第一检测需求显著事项进行阶段性全局化处理,可以获取更加丰富服务日志关键内容,从而进一步提高云服务日志抽取的准确性。
在一个可独立实施的实施方式中,目标业务会话热点信息包含第二人工智能模型的多个模型单元对所述目标业务会话消息进行处理获得的多个阶段的业务会话热点信息;在此情况下,将所述目标业务会话热点信息与所述第一检测需求显著事项进行全局化处理,获得全局会话热点信息,包括如下过程:将所述多个阶段的业务会话热点信息中每个阶段的业务会话热点信息与所述第一检测需求显著事项进行全局化处理,获得所述全局会话热点信息。
在一个可独立实施的实施方式中,第二人工智能模型可以选择为全局CNN,此时,可以通过全局CNN挖掘目标业务会话消息的显著性表达,获得多个维度顺次降低业务会话热点信息,其中,每个维度对应一个阶段。此时,可以将每个维度的业务会话热点信息和第一检测需求显著事项进行全局化处理,获得每个维度的业务会话热点信息所对应的全局会话热点信息,该在此情况下,上述全局化处理过程可以描述为以下过程:根据目标业务会话热点信息和第一检测需求显著事项,确定每个信息安防倾向主题和每个维度的业务会话热点信息之间的量化相关性(比如,局部聚焦系数),获得多个目标量化相关性。然后,根据多个目标量化相关性和第一检测需求显著事项,确定信息安防检测需求的场景显著性表达数据,进而将场景显著性表达数据和每个维度的业务会话热点信息进行全局化处理,获得与每个维度的业务会话热点信息相对应的全局会话热点信息。
在本申请实施例中,维度越大云服务日志就越粗糙,比如云服务日志的特征识别度越低;维度越小云服务日志就越细致,比如云服务日志的特征识别度越高。通过分阶段的形式对目标业务会话消息进行显著性表达挖掘,并对目标业务会话热点信息和第一检测需求显著事项进行阶段性全局化处理,可以获取更加丰富的业务会话热点信息,从而进一步提高云服务日志抽取的准确性。
在本申请实施例中,在按照上述所描述的过程将目标服务日志关键内容和目标业务会话热点信息分别与第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息之后,可以根据全局日志关键内容和全局会话热点信息对满足安全威胁检测条件的云服务日志进行抽取,获得与信息安防检测需求所适配的安全威胁日志抽取结果。
在一个可独立实施的实施方式中,全局日志关键内容包括多阶段全局日志关键内容,全局会话热点信息包括多阶段全局会话热点信息,则上述步骤可以描述为以下内容。
步骤1071,在多阶段全局日志关键内容和多阶段全局会话热点信息中确定对应相同阶段的全局日志关键内容和全局会话热点信息,获得多个全局化显著性表达集。
可以理解的是,上述多阶段全局日志关键内容包括通过第一人工智能模型的多个模型单元对满足安全威胁检测条件的云服务日志进行处理获得的各个阶段的服务日志关键内容和第一检测需求显著事项进行全局化处理获得的多个阶段的全局日志关键内容;多阶段全局会话热点信息包括通过第二人工智能模型的多个模型单元对目标业务会话消息进行处理获得的各个阶段的业务会话热点信息和第一检测需求显著事项进行全局化处理获得的多个阶段的全局日志关键内容。
在本申请实施例中,多阶段全局日志关键内容和多阶段全局会话热点信息所对应的阶段数量相同,且相同阶段下的全局日志关键内容和全局会话热点信息所对应的显著性表达特征识别度相同。
基于此,可以在多阶段全局日志关键内容和多阶段全局会话热点信息中确定对应相同阶段的全局日志关键内容和全局会话热点信息,获得多个全局化显著性表达集。
比如,多个阶段分别为period_1至period_5,此时,可以将所属于阶段period_1的全局日志关键内容和全局会话热点信息确定为一个全局化显著性表达集,针对阶段period_2至period_5的处理过程与阶段period_1的处理过程相同,这里不再进行更多说明。
步骤1072,将每个全局化显著性表达集的全局化显著性表达与第二检测需求显著事项进行全局化处理,获得每个阶段的目标全局化处理结果;所述第二检测需求显著事项用于表征所述信息安防检测需求中所有信息安防倾向主题的显著性表达。
在本申请实施例中,在确定出多个全局化显著性表达集之后,可以将第一检测需求显著事项中所携带的每个信息安防倾向主题的显著性表达数据进行求平均,获得用于表征信息安防检测需求中所有信息安防倾向主题的第二检测需求显著事项。之后,将每个全局化显著性表达集中的全局化显著性表达与第二检测需求显著事项进行全局化处理,获得每个阶段的目标全局化处理结果。
步骤1073,按照所述多个阶段中每个阶段的目标全局化处理结果对满足安全威胁检测条件的云服务日志进行抽取,获得所述安全威胁日志抽取结果。
在获得每个阶段的目标全局化处理结果之后,可以按照特征识别度降序的顺序对每个阶段的目标全局化处理结果进行特征插值处理,获得目标扩展结果;进而,通过所述目标扩展结果对满足安全威胁检测条件的云服务日志进行抽取,获得安全威胁日志抽取结果。
在获得目标扩展结果之后,可以通过预先设定的CNN对目标扩展结果进行卷积处理,获得满足安全威胁检测条件的云服务日志的安全威胁日志抽取结果,例如,可以获得如上述所示的安全威胁日志抽取结果。
基于上述技术方案,通过分阶段的对全局日志关键内容、全局会话热点信息和第二检测需求显著事项进行全局化处理的形式,可以获得包含显著性表达更加丰富的目标全局化处理结果,从而获得包含待抽取对象的完整安全威胁事件集的安全威胁日志抽取结果。
在本申请实施例中,将每个阶段所对应的全局日志关键内容和全局会话热点信息进行全局化处理的过程可以描述为下述内容。
(1)、按照所述第一检测需求显著事项分别确定与所述全局日志关键内容和所述全局会话热点信息所适配的检测需求显著事项,获得与所述全局日志关键内容所适配的第三检测需求显著事项和与所述全局会话热点信息所适配的第四检测需求显著事项。
进一步地,可以对第一检测需求显著事项中所携带的每个信息安防倾向主题的显著性表达数据进行统一化处理,获得目标去极性显著性表达。然后,分别确定全局日志关键内容和所述全局会话热点信息所对应的特征分类单元,获得第一特征分类单元和第二特征分类单元。
第一特征分类单元和第二特征分类单元为变量不相同的特征分类单元。由于目标服务日志关键内容为互动状态显著性表达,目标业务会话热点信息为互动时段显著性表达,互动状态显著性表达和互动时段显著性表达为两种关注层面的显著性表达,此时就需要为满足安全威胁检测条件的云服务日志和目标业务会话消息分别设置对应的特征分类单元,即:第一特征分类单元和第二特征分类单元。
之后,可以分别通过第一特征分类单元和第二特征分类单元逐一对目标去极性显著性表达进行处理,获得与所述全局日志关键内容所适配的第三检测需求显著事项和与所述全局会话热点信息所适配的第四检测需求显著事项。
进一步地,上述过程可以描述为如下算法。
feature_3=F3(vector);
feature_4=F4(vector)。
其中,feature_3表示第三检测需求显著事项,feature_4表示第四检测需求显著事项,vector表示目标去极性显著性表达,F3(XXX)表示第一特征分类单元,F4(XXX)表示第二特征分类单元。
(2)、将所述全局日志关键内容和所述第三检测需求显著事项进行标签配对处理,获得第一特征处理结果;并将所述全局会话热点信息和所述第四检测需求显著事项进行标签配对处理,获得第二特征处理结果。
需要说明的是,在本申请实施例中,在计算获得第三检测需求显著事项和第四检测需求显著事项之后,还可以按照相关算法对第三检测需求显著事项和第四检测需求显著事项进行去量纲处理。
在本申请实施例中,在获得去量纲处理之后的第三检测需求显著事项和获得去量纲处理之后的第四检测需求显著事项之后,可以按照相关算法将全局日志关键内容和第三检测需求显著事项进行标签配对处理,获得第一特征处理结果;并按照相关算法将全局会话热点信息和第四检测需求显著事项进行标签配对处理,获得第二特征处理结果。
(3)、将所述第一特征处理结果和所述第二特征处理结果进行求和处理,根据合并特征处理结果确定所述安全威胁日志抽取结果。
在本申请实施例中,可以通过求和处理获得合并特征处理结果 之后,对合并特征处理结果进行卷积计算,获得安全威胁日志抽取结果。
基于上述技术方案,在本申请实施例中,由于目标业务会话热点信息和目标服务日志关键内容为关注层面不相同的显著性表达数据,因此,在将目标业务会话热点信息(或者目标服务日志关键内容)与第一检测需求显著事项进行全局化处理时,需要将第一检测需求显著事项调整为分布不同的检测需求显著事项,通过该处理方式,可以提高安全威胁日志抽取结果的精度,从而获得包含待抽取对象的完整安全威胁事件集的安全威胁日志抽取结果。
基于上述技术方案,在本申请实施例中,可以智能化的进行场景信息整合,利用局部聚焦策略分别智能化挖掘场景中与服务事件行为及互动要素相关的成分,更有效定位场景中的可用需求并进行结果测试的指示,提升查找的准确性。
本申请实施例还可以结合满足安全威胁检测条件的云服务日志的互动状态特征和目标业务会话消息的互动时段特征来对云服务日志进行抽取,从而获得准确的抽取结果。本申请实施例对于输入业务会话的信息量要求更低,可以有效减少日志抽取的运算负荷,并且可以针对不同检测需求进行适应性处理,确保了方案的灵活性和应用广泛性。
应当理解,本领域技术人员可以基于上述所记载的内容,以及结合相关现有技术确定出上述相关算法的具体实现方式,因此本申请实施例在次不再对各算法或者公式进行进一步说明。
选择性地,在一些可独立实施的技术方案中,在获得与所述信息安防检测需求所适配的安全威胁日志抽取结果之后,还可以通过安全威胁日志抽取结果进行针对信息安防检测需求层面的入侵威胁分析,相关实现步骤如下:根据所述信息安防检测需求,对所述安全威胁日志抽取结果中的安全威胁事件进行排序,得到安全威胁事件队列;获取所述安全威胁日志抽取结果的威胁特征图谱,根据所述威胁特征图谱从所述安全威胁事件队列中确定设定数目的目标安全威胁事件;对所述目标安全威胁事件进行入侵威胁分析,得到入侵威胁分析结果;在所述入侵威胁分析结果触发预警条件时,输出预警提示。
在本申请实施例中,可以根据信息安防检测需求的关键主题标签确定安全威胁事件的匹配程度,并按照匹配程度的降序进行排序,得到安全威胁事件队列。进一步地,通过知识图谱化处理对安全威胁日志抽取结果的不同威胁特征进行可视化处理,以便通过威胁特征图谱中的特征图谱单元之间的连接关系和传递关系确定出设定数目的目标安全威胁事件,目标安全威胁事件可以是安全威胁事件队列中排序靠前的前设定数目个目标安全威胁事件。基于此,可以对目标安全威胁事件进行入侵威胁分析,并根据入侵威胁分析结果输出相应的文本提示、语音提示或者图形提示。
选择性地,在一些可独立实施的技术方案中,对所述目标安全威胁事件进行入侵威胁分析,得到入侵威胁分析结果,可以包括如下内容:确定所述设定数目的所述目标安全威胁事件之间的事件关联关系,根据所述事件关联关系将每个目标安全威胁事件对应的事件特征输入到入侵威胁分析网络中,得到所述入侵威胁分析结果。
在本申请实施例中,事件关联关系可以是目标安全威胁事件之间的时序先后关系或者服务流程传递关系等,如此,能够基于事件关联关系实现事件特征的有序分析,从而确保入侵威胁分析结果的完整性和可靠性。
选择性地,在一些可独立实施的技术方案中,根据所述事件关联关系将每个目标安全威胁事件对应的事件特征输入到入侵威胁分析网络中,得到所述入侵威胁分析结果,可以包括以下内容:通过所述入侵威胁分析网络对每个事件特征进行融合,得到待分析事件描述;将所述待分析事件描述传递至第一异常操作检测单元,得到所述待分析事件描述的第一异常检测结果;所述第一异常检测结果为与所述待分析事件描述所对应的入侵威胁类型相关的层次化事件描述;确定所述第一异常检测结果与设定入侵威胁类型中每个入侵威胁类型的范例事件描述的第二异常检测结果之间的共性程度,得到所述待分析事件描述与所述设定入侵威胁类型中每个入侵威胁类型对应的共性程度值;所述第二异常检测结果为与所述范例事件描述所对应的入侵威胁类型相关的层次化事件描述;根据所述共性程度值,从所述设定入侵威胁类型中识别出所述待分析事件描述所对应的入侵威胁类型。
在本申请实施例中,共性程度可以理解为相似度,层次化事件描述可以理解为局部事件描述。如此,能够基于层次化事件描述、入侵威胁类型以及共性程度准确定位待分析事件描述所对应的入侵威胁类型,以确保入侵威胁分析结果的准确度和可信度。
选择性地,在一些可独立实施的技术方案中,所述第一异常检测结果至少为一个,所述第二异常检测结果至少为一个;所述确定所述第一异常检测结果与设定入侵威胁类型中每个入侵威胁类型的范例事件描述的第二异常检测结果之间的共性程度,得到所述待分析事件描述与所述设定入侵威胁类型中每个入侵威胁类型对应的共性程度值,包括:确定目标第一异常检测结果与每个入侵威胁类型的目标第二异常检测结果之间的共性程度,得到第一共性程度值;所述目标第一异常检测结果为所述至少一个第一异常检测结果中的其中一个;所述目标第二异常检测结果为所述至少一个第二异常检测结果中的其中一个;将所述第一共性程度值,确定为所述待分析事件描述与所述设定入侵威胁类型中每个入侵威胁类型对应的所述共性程度值。如此,可以确保共性程度值的精度。
选择性地,在一些可独立实施的技术方案中,所述第一异常检测结果至少为一个,所述第二异常检测结果至少为一个;所述确定所述第一异常检测结果与设定入侵威胁类型中每个入侵威胁类型的范例事件描述的第二异常检测结果之间的共性程度,得到所述待分析事件描述与所述设定入侵威胁类型中每个入侵威胁类型对应的共性程度值,包括:确定每个第一异常检测结果与每个入侵威胁类型的所有第二异常检测结果之间的共性程度,分别得到至少一个第二共性程度值;基于所述至少一个第二共性程度值中程度值最大的前设定数目的第二共性程度值,得到所述每个第一异常检测结果与每个入侵威胁类型的所有第二异常检测结果的局部共性程度值;基于所有第一异常检测结果的所述局部共性程度值的融合结果,确定所述待分析事件描述与所述设定入侵威胁类型中每个入侵威胁类型对应的所述共性程度值。如此,可以确保共性程度值与入侵威胁类型的一一匹配,从而提高不同共性程度值的可信度。
基于上述同样的发明构思,还提供了一种基于人工智能的信息安全威胁处理装置20,应用于信息安全威胁处理服务器10,所述装置包括:
特征挖掘模块21,用于确定涵盖满足安全威胁检测条件的云服务日志的目标业务会话消息,和所述满足安全威胁检测条件的云服务日志对应的信息安防检测需求;逐一挖掘所述满足安全威胁检测条件的云服务日志对应的目标服务日志关键内容、所述目标业务会话消息对应的目标业务会话热点信息、以及所述信息安防检测需求对应的第一检测需求显著事项;
日志抽取模块22,用于将所述目标服务日志关键内容和所述目标业务会话热点信息分别与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息;按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,信息安全威胁处理服务器10,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种基于人工智能的信息安全威胁处理方法,其特征在于,应用于信息安全威胁处理服务器,所述方法包括:
确定涵盖满足安全威胁检测条件的云服务日志的目标业务会话消息,和所述满足安全威胁检测条件的云服务日志对应的信息安防检测需求;逐一挖掘所述满足安全威胁检测条件的云服务日志对应的目标服务日志关键内容、所述目标业务会话消息对应的目标业务会话热点信息、以及所述信息安防检测需求对应的第一检测需求显著事项;
将所述目标服务日志关键内容和所述目标业务会话热点信息分别与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息;按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果。
2.根据权利要求1所述的方法,其特征在于,所述信息安防检测需求包含多个信息安防倾向主题;所述将所述目标服务日志关键内容与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容,包括:
按照所述目标服务日志关键内容和所述第一检测需求显著事项,确定每个信息安防倾向主题与所述满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性;
按照所述多个目标量化相关性和所述第一检测需求显著事项,确定所述信息安防检测需求的场景显著性表达数据;所述场景显著性表达数据用于表征所述满足安全威胁检测条件的云服务日志的互动要素显著性表达;
将所述场景显著性表达数据和所述目标服务日志关键内容进行全局化处理,获得所述全局日志关键内容。
3.根据权利要求2所述的方法,其特征在于,所述按照所述目标服务日志关键内容和所述第一检测需求显著事项,确定每个信息安防倾向主题与所述满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性,包括:
确定所述目标服务日志关键内容和所述第一检测需求显著事项之间的迁移化局部聚焦数据;所述迁移化局部聚焦数据用于表征每个信息安防倾向主题和满足安全威胁检测条件的云服务日志中每个服务事件状态之间的关联情况;
按照所述迁移化局部聚焦数据,确定每个所述信息安防倾向主题与所述满足安全威胁检测条件的云服务日志之间的量化相关性,获得多个目标量化相关性。
4.根据权利要求3所述的方法,其特征在于,所述第一检测需求显著事项中包含:所述信息安防检测需求的多个倾向信息中每个信息安防倾向主题的显著性表达数据;所述按照所述多个目标量化相关性和所述第一检测需求显著事项,确定所述信息安防检测需求的场景显著性表达数据,包括:
对所述多个目标量化相关性和所述每个信息安防倾向主题的显著性表达数据进行基于重要性指数的整合处理,获得所述场景显著性表达数据。
5.根据权利要求4所述的方法,其特征在于,所述将所述场景显著性表达数据和所述目标服务日志关键内容进行全局化处理,获得所述全局日志关键内容,包括:
按照所述场景显著性表达数据对所述目标服务日志关键内容进行噪声清洗处理,获得与所述场景显著性表达数据所适配的服务日志关键内容;
将确定出的所述所适配的服务日志关键内容和所述目标服务日志关键内容进行拼接,获得所述全局日志关键内容。
6.根据权利要求1所述的方法,其特征在于,所述目标服务日志关键内容包含第一人工智能模型的多个模型单元对所述满足安全威胁检测条件的云服务日志进行处理获得的多个阶段的服务日志关键内容;所述目标业务会话热点信息包含第二人工智能模型的多个模型单元对所述目标业务会话消息进行处理获得的多个阶段的业务会话热点信息;所述将所述目标服务日志关键内容和所述目标业务会话热点信息分别与所述第一检测需求显著事项进行全局化处理,获得全局日志关键内容和全局会话热点信息,包括:
将所述多个阶段的服务日志关键内容中每个阶段的服务日志关键内容与所述第一检测需求显著事项进行全局化处理,获得所述全局日志关键内容;
将所述多个阶段的业务会话热点信息中每个阶段的业务会话热点信息与所述第一检测需求显著事项进行全局化处理,获得所述全局会话热点信息。
7.根据权利要求1所述的方法,其特征在于,所述按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果,包括:
在多阶段全局日志关键内容和多阶段全局会话热点信息中确定对应相同阶段的全局日志关键内容和全局会话热点信息,获得多个全局化显著性表达集;其中,所述多阶段全局日志关键内容包括通过第一人工智能模型的多个模型单元对所述满足安全威胁检测条件的云服务日志进行处理获得的各个阶段的服务日志关键内容和所述第一检测需求显著事项进行全局化处理获得的多个阶段的全局日志关键内容;所述多阶段全局会话热点信息包括通过第二人工智能模型的多个模型单元对所述目标业务会话消息进行处理获得的各个阶段的业务会话热点信息和所述第一检测需求显著事项进行全局化处理获得的多个阶段的全局日志关键内容;
将每个全局化显著性表达集的全局化显著性表达与第二检测需求显著事项进行全局化处理,获得每个阶段的目标全局化处理结果;所述第二检测需求显著事项用于表征所述信息安防检测需求中所有信息安防倾向主题的显著性表达;
根据多阶段中每个阶段的目标全局化处理结果对满足安全威胁检测条件的云服务日志进行抽取,获得所述安全威胁日志抽取结果;
其中,所述根据多阶段中每个阶段的目标全局化处理结果对满足安全威胁检测条件的云服务日志进行抽取,获得所述安全威胁日志抽取结果,包括:
对所述每个阶段的目标全局化处理结果进行特征插值处理,获得目标扩展结果;
通过所述目标扩展结果对满足安全威胁检测条件的云服务日志进行抽取,获得所述安全威胁日志抽取结果。
8.根据权利要求1所述的方法,其特征在于,所述按照所述全局日志关键内容和所述全局会话热点信息对所述满足安全威胁检测条件的云服务日志进行抽取,获得与所述信息安防检测需求所适配的安全威胁日志抽取结果,包括:
按照所述第一检测需求显著事项分别确定与所述全局日志关键内容和所述全局会话热点信息所适配的检测需求显著事项,获得与所述全局日志关键内容所适配的第三检测需求显著事项和与所述全局会话热点信息所适配的第四检测需求显著事项;
将所述全局日志关键内容和所述第三检测需求显著事项进行标签配对处理,获得第一特征处理结果;
并将所述全局会话热点信息和所述第四检测需求显著事项进行标签配对处理,获得第二特征处理结果;
将所述第一特征处理结果和所述第二特征处理结果进行合并,根据合并特征处理结果确定所述安全威胁日志抽取结果;
其中,所述按照所述第一检测需求显著事项分别确定与所述全局日志关键内容和所述全局会话热点信息所适配的检测需求显著事项,获得与所述全局日志关键内容所适配的第三检测需求显著事项和与所述全局会话热点信息所适配的第四检测需求显著事项,包括:
对所述第一检测需求显著事项中所携带的每个信息安防倾向主题的显著性表达数据进行统一化处理,获得目标去极性显著性表达;
分别确定所述全局日志关键内容和所述全局会话热点信息所对应的特征分类单元,获得第一特征分类单元和第二特征分类单元;
分别通过所述第一特征分类单元和所述第二特征分类单元逐一对所述目标去极性显著性表达进行处理,获得所述与所述全局日志关键内容所适配的第三检测需求显著事项和所述与所述全局会话热点信息所适配的第四检测需求显著事项。
9.一种信息安全威胁处理服务器,其特征在于,包括处理器、通信总线和存储器;所述处理器和所述存储器通过所述通信总线通信,所述处理器从所述存储器中读取计算机程序并运行,以执行权利要求1-8任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现权利要求1-8任一项所述的方法。
CN202111028017.4A 2021-09-02 2021-09-02 一种基于人工智能的信息安全威胁处理方法及服务器 Withdrawn CN113691557A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111028017.4A CN113691557A (zh) 2021-09-02 2021-09-02 一种基于人工智能的信息安全威胁处理方法及服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111028017.4A CN113691557A (zh) 2021-09-02 2021-09-02 一种基于人工智能的信息安全威胁处理方法及服务器

Publications (1)

Publication Number Publication Date
CN113691557A true CN113691557A (zh) 2021-11-23

Family

ID=78585111

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111028017.4A Withdrawn CN113691557A (zh) 2021-09-02 2021-09-02 一种基于人工智能的信息安全威胁处理方法及服务器

Country Status (1)

Country Link
CN (1) CN113691557A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114022049A (zh) * 2021-12-10 2022-02-08 萍乡市圣迈互联网科技有限公司 一种基于云计算的智慧业务信息风险处理方法及系统
CN114139210A (zh) * 2021-12-15 2022-03-04 智谷互联网科技(廊坊)有限公司 一种基于智慧业务的大数据安全威胁处理方法及系统
CN114219427A (zh) * 2021-12-06 2022-03-22 辽宁融汇互联网科技有限公司 一种应对大数据办公的信息安全处理方法及存储介质
CN114218566A (zh) * 2021-12-06 2022-03-22 辽宁融汇互联网科技有限公司 一种结合人工智能的远程办公威胁行为分析方法及介质
CN114329454A (zh) * 2022-01-12 2022-04-12 云南云数据科技有限公司 一种基于应用软件大数据的威胁分析方法及系统
CN114422223A (zh) * 2022-01-12 2022-04-29 普洱蓝海数据服务有限公司 一种应用于云业务大数据的信息攻击处理方法及系统
CN114490302A (zh) * 2022-03-04 2022-05-13 大庆火兔网络科技有限公司 一种基于大数据分析的威胁行为分析方法及服务器
CN114528550A (zh) * 2022-03-03 2022-05-24 黑龙江卓成智能科技有限公司 一种应用于电商大数据威胁识别的信息处理方法及系统
CN114567505A (zh) * 2022-03-07 2022-05-31 滕州市启迪智国计算机有限公司 一种应用于数字办公的异常会话大数据处理方法及服务器

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114219427A (zh) * 2021-12-06 2022-03-22 辽宁融汇互联网科技有限公司 一种应对大数据办公的信息安全处理方法及存储介质
CN114218566A (zh) * 2021-12-06 2022-03-22 辽宁融汇互联网科技有限公司 一种结合人工智能的远程办公威胁行为分析方法及介质
CN114218566B (zh) * 2021-12-06 2022-12-13 北京环球国广媒体科技有限公司 一种结合人工智能的远程办公威胁行为分析方法及介质
CN114022049A (zh) * 2021-12-10 2022-02-08 萍乡市圣迈互联网科技有限公司 一种基于云计算的智慧业务信息风险处理方法及系统
CN114022049B (zh) * 2021-12-10 2022-07-22 佛山市蜂王人力资源有限公司 一种基于云计算的智慧业务信息风险处理方法及系统
CN114139210A (zh) * 2021-12-15 2022-03-04 智谷互联网科技(廊坊)有限公司 一种基于智慧业务的大数据安全威胁处理方法及系统
CN114329454B (zh) * 2022-01-12 2022-07-19 宁夏网信创安信息技术服务有限公司 一种基于应用软件大数据的威胁分析方法及系统
CN114422223A (zh) * 2022-01-12 2022-04-29 普洱蓝海数据服务有限公司 一种应用于云业务大数据的信息攻击处理方法及系统
CN114329454A (zh) * 2022-01-12 2022-04-12 云南云数据科技有限公司 一种基于应用软件大数据的威胁分析方法及系统
CN114528550A (zh) * 2022-03-03 2022-05-24 黑龙江卓成智能科技有限公司 一种应用于电商大数据威胁识别的信息处理方法及系统
CN114528550B (zh) * 2022-03-03 2022-12-23 北京优天下科技股份有限公司 一种应用于电商大数据威胁识别的信息处理方法及系统
CN114490302A (zh) * 2022-03-04 2022-05-13 大庆火兔网络科技有限公司 一种基于大数据分析的威胁行为分析方法及服务器
CN114490302B (zh) * 2022-03-04 2023-04-11 深圳市众成信息技术有限公司 一种基于大数据分析的威胁行为分析方法及服务器
CN114567505A (zh) * 2022-03-07 2022-05-31 滕州市启迪智国计算机有限公司 一种应用于数字办公的异常会话大数据处理方法及服务器

Similar Documents

Publication Publication Date Title
CN113691557A (zh) 一种基于人工智能的信息安全威胁处理方法及服务器
CN106557695B (zh) 一种恶意应用检测方法和系统
CN113691556A (zh) 一种应用于信息防护检测的大数据处理方法及服务器
CN112464084A (zh) 基于大数据定位和人工智能的业务优化方法及云计算中心
CN111612037A (zh) 异常用户检测方法、装置、介质及电子设备
CN113901089A (zh) 一种应用于大数据防护的威胁行为识别方法及系统
CN113032525A (zh) 虚假新闻检测方法、装置、电子设备以及存储介质
CN113918621A (zh) 一种基于互联网金融的大数据防护处理方法及服务器
CN113918993A (zh) 一种基于人工智能的用户隐私保护方法及系统
WO2011092182A1 (en) Systems and methods for finding star structures as communities in networks
CN114547254A (zh) 一种基于大数据话题分析的风险识别方法及服务器
CN114780606A (zh) 一种大数据挖掘方法及系统
CN113434857A (zh) 一种应用深度学习的用户行为安全解析方法及系统
Jan et al. Semi-supervised labeling: a proposed methodology for labeling the twitter datasets
CN113590751A (zh) 基于人工智能的话题大数据分析方法及话题分析服务器
CN108875060B (zh) 一种网站识别方法及识别系统
CN110633408B (zh) 智能商业资讯的推荐方法和系统
CN114329454B (zh) 一种基于应用软件大数据的威胁分析方法及系统
CN113688240B (zh) 威胁要素提取方法、装置、设备及存储介质
CN116089616A (zh) 主题文本获取方法、装置、设备及存储介质
CN112866295B (zh) 一种大数据防爬虫处理方法及云平台系统
CN114186272A (zh) 一种基于数字办公的大数据威胁防护方法及系统
CN113836534B (zh) 一种病毒家族识别方法、系统、设备及计算机存储介质
CN116049893B (zh) 一种应对云服务的敏感软件大数据处理方法及服务器
CN112949752B (zh) 业务预测系统的训练方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20211123

WW01 Invention patent application withdrawn after publication