CN113779582A - 基于大数据的威胁感知方法及系统 - Google Patents

Abstract

本发明实施例提供了一种基于大数据的威胁感知方法及系统，通过基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息，从而可以决策获得的各威胁感知变量是否匹配训练数据搜集要求。若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。如此，可以对防护行为轨迹进行威胁感知后进行训练数据搜集。

Description

基于大数据的威胁感知方法及系统

技术领域

本发明涉及大数据技术领域，具体而言，涉及一种基于大数据的威胁感知方法及系统。

背景技术

对于基于AI的威胁感知技术而言，训练基础数据显得尤为重要，防护行为轨迹，如何对防护行为轨迹进行威胁感知后进行训练数据搜集，是亟待解决的技术问题。

发明内容

有鉴于此，本发明实施例的目的在于提供一种一种基于大数据的威胁感知方法，应用于威胁感知服务器，所述威胁感知服务器与业务服务器通信连接，所述方法包括：

获取所述业务服务器关联的攻击防护大数据，所述攻击防护大数据包括所述业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹；

基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；

将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息；

基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求，若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。

其中，所述获取所述业务服务器关联的攻击防护大数据，包括：

获取所述业务服务器关联的多个防护关联场景的防护热点数据属性，且不同的防护关联场景的防护热点数据属性之间具有相同的防护行为的防护行为轨迹相关的业务节点标签；

基于所述防护热点数据属性对所述业务服务器关联的攻击防护大数据进行防护行为轨迹搜集。

其中，所述基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘，包括：

对所述防护行为轨迹中设定的威胁感知变量的防护行为轨迹进行挖掘，得到具有与所述设定的威胁感知变量的支持度的变量挖掘信息。

其中，所述基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求的步骤，具体包括：

基于所述变量配对信息中所述各个防护行为的防护行为轨迹及预设搜集要求，计算变量配对信息相关的配对支持度；

决策所述配对支持度是否在在先配置的预设支持度范围，若在所述在先配置的预设支持度范围，则确定所述威胁感知变量匹配训练数据搜集要求。

本发明实施例还提供一种基于大数据的威胁感知系统，应用于威胁感知服务器，所述威胁感知服务器与业务服务器通信连接，所述系统包括：

获取模块，用于获取所述业务服务器关联的攻击防护大数据，所述攻击防护大数据包括所述业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹；

挖掘模块，用于基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；

配对模块，用于将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息；

上传模块，用于基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求，若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。

其中，所述获取模块具体用于：

获取所述业务服务器关联的多个防护关联场景的防护热点数据属性，且不同的防护关联场景的防护热点数据属性之间具有相同的防护行为的防护行为轨迹相关的业务节点标签；

基于所述防护热点数据属性对所述业务服务器关联的攻击防护大数据进行防护行为轨迹搜集。

其中，所述挖掘模块具体用于：

对所述多个防护行为中设定的防护行为的防护行为轨迹进行挖掘，得到具有与所述设定的威胁感知变量的支持度的变量挖掘信息。

其中，所述上传模块具体用于：

基于所述变量配对信息中所述各个防护行为的防护行为轨迹及预设搜集要求，计算变量配对信息相关的配对支持度；

决策所述配对支持度是否在在先配置的预设支持度范围，若在所述在先配置的预设支持度范围，则确定所述威胁感知变量匹配训练数据搜集要求。

相较于现有技术而言，本发明实施例提供的基于大数据的威胁感知方法及系统，通过获取业务服务器关联的攻击防护大数据，攻击防护大数据包括业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹，然后通过基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息，从而可以决策获得的各威胁感知变量是否匹配训练数据搜集要求。若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。如此，可以对防护行为轨迹进行威胁感知后进行训练数据搜集。

为使本发明实施例的上述目的、特征和优点能更明显易懂，下面将结合实施例，并配合所附附图，作详细说明。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以基于这些附图获得其他相关的附图。

图1示出了本发明实施例所提供的威胁感知服务器的组件示意图；

图2示出了本发明实施例所提供的基于大数据的威胁感知方法的流程示意图；

图3示出了本发明实施例所提供的基于大数据的威胁感知系统的功能模块框图。

具体实施方式

为了使本技术领域的学员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等(若存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

图1示出了威胁感知服务器100的示例性组件示意图。威胁感知服务器100可以可以是一种服务器，其包括一个或多个处理器104，诸如一个或多个中央处理单元(CPU)，各个处理单元可以实现一个或多个硬件线程。威胁感知服务器100还可以包括任何存储介质106，其用于存储诸如代码、设置、数据等之类的任何种类的信息。非限制性的，比如，存储介质106可以包括以下任一项或多种组合：任何类型的RAM，任何类型的ROM，闪存设备，硬盘，光盘等。更一般地，任何存储介质都可以使用任何技术来存储信息。进一步地，任何存储介质可以提供信息的易失性或非易失性保留。进一步地，任何存储介质可以表示威胁感知服务器100的固定或可移除部件。在一种情况下，当处理器104执行被存储在任何存储介质或存储介质的组合中的相关联的指令时，威胁感知服务器100可以执行相关联指令的任一操作。威胁感知服务器100还包括用于与任何存储介质交互的一个或多个驱动单元108，诸如硬盘驱动单元、光盘驱动单元等。

威胁感知服务器100还包括输入/输出110（I/O），其用于接收各种输入(经由输入单元112)和用于提供各种输出(经由输出单元114))。一个具体输出机构可以包括呈现设备116和相关联的图形用户接口(GUI)118。威胁感知服务器100还可以包括一个或多个网络接口120，其用于经由一个或多个通信单元122与其他设备交换数据。一个或多个通信总线124将上文所描述的部件耦合在一起。

通信单元122可以以任何方式实现，例如，通过局域网、广域网(例如，因特网)、点对点连接等、或其任何组合。通信单元122可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能等的任何组合。

图2示出了本发明实施例提供的基于大数据的威胁感知方法的流程示意图，该基于大数据的威胁感知方法可由图1中所示的威胁感知服务器100执行，该基于大数据的威胁感知方法的详细步骤介绍如下。

步骤S21，获取所述业务服务器关联的攻击防护大数据，所述攻击防护大数据包括所述业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹；

步骤S22，基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；

步骤S23，将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息；

步骤S24，基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求，若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。

基于上述步骤，通过获取业务服务器关联的攻击防护大数据，攻击防护大数据包括业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹，然后通过基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息，从而可以决策获得的各威胁感知变量是否匹配训练数据搜集要求。若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。如此，可以对防护行为轨迹进行威胁感知后进行训练数据搜集。

本实施例中，针对步骤S21，本实施例具体可以获取所述业务服务器关联的多个防护关联场景的防护热点数据属性，且不同的防护关联场景的防护热点数据属性之间具有相同的防护行为的防护行为轨迹相关的业务节点标签； 然后，基于所述防护热点数据属性对所述业务服务器关联的攻击防护大数据进行防护行为轨迹搜集。

本实施例中，针对步骤S22，本实施例具体可以对所述防护行为轨迹中设定的威胁感知变量的防护行为轨迹进行内容。

本实施例中，针对步骤S24，本实施例可以基于所述变量配对信息中所述各个防护行为的防护行为轨迹及预设搜集要求，计算变量配对信息相关的配对支持度；然后，决策所述配对支持度是否在在先配置的预设支持度范围，若在所述在先配置的预设支持度范围，则确定所述威胁感知变量匹配训练数据搜集要求。

图3示出了本发明实施例提供的基于大数据的威胁感知系统300的功能模块图，该基于大数据的威胁感知系统300实现的功能可以对应上述方法执行的步骤。该基于大数据的威胁感知系统300可以理解为上述威胁感知服务器100，或威胁感知服务器100的处理器，也可以理解为独立于上述威胁感知服务器100或处理器之外的在威胁感知服务器100控制下实现本发明功能的组件，如图3所示，下面分别对该基于大数据的威胁感知系统300的各个功能模块的功能进行详细阐述。

获取模块310，用于获取所述业务服务器关联的攻击防护大数据，所述攻击防护大数据包括所述业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹；

挖掘模块220，用于基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；

配对模块230，用于将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息；

上传模块240，用于基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求，若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。

作为一种可能的示例，其中，所述获取模块310具体用于：

获取所述业务服务器关联的多个防护关联场景的防护热点数据属性，且不同的防护关联场景的防护热点数据属性之间具有相同的防护行为的防护行为轨迹相关的业务节点标签；

基于所述防护热点数据属性对所述业务服务器关联的攻击防护大数据进行防护行为轨迹搜集。

其中，所述挖掘模块220具体用于：

对所述多个防护行为中设定的防护行为的防护行为轨迹进行挖掘，得到具有与所述设定的威胁感知变量的支持度的变量挖掘信息。

其中，所述上传模块240具体用于：

基于所述变量配对信息中所述各个防护行为的防护行为轨迹及预设搜集要求，计算变量配对信息相关的配对支持度；

决策所述配对支持度是否在在先配置的预设支持度范围，若在所述在先配置的预设支持度范围，则确定所述威胁感知变量匹配训练数据搜集要求。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了基于本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以多个模块集成形成一个独立的部分。

需要说明的是，在本文中，术语"包括"、"包含"或者其任何其它变体意在涵盖非排它性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句"包括一个……"限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其它的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图进销存确认视为限制所涉及的权利要求。

Claims (8)

1.一种基于大数据的威胁感知方法，其特征在于，应用于威胁感知服务器，所述威胁感知服务器与业务服务器通信连接，所述方法包括：

获取所述业务服务器关联的攻击防护大数据，所述攻击防护大数据包括所述业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹；

基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；

将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息；

基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求，若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。

2.根据权利要求1所述的方法，其特征在于，所述获取所述业务服务器关联的攻击防护大数据，包括：

获取所述业务服务器关联的多个防护关联场景的防护热点数据属性，且不同的防护关联场景的防护热点数据属性之间具有相同的防护行为的防护行为轨迹相关的业务节点标签；

基于所述防护热点数据属性对所述业务服务器关联的攻击防护大数据进行防护行为轨迹搜集。

3.根据权利要求2所述的方法，其特征在于，所述基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘，包括：

对所述防护行为轨迹中设定的威胁感知变量的防护行为轨迹进行挖掘，得到具有与所述设定的威胁感知变量的支持度的变量挖掘信息。

4.根据权利要求1所述的方法，其特征在于，所述基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求的步骤，具体包括：

基于所述变量配对信息中所述各个防护行为的防护行为轨迹及预设搜集要求，计算变量配对信息相关的配对支持度；

决策所述配对支持度是否在在先配置的预设支持度范围，若在所述在先配置的预设支持度范围，则确定所述威胁感知变量匹配训练数据搜集要求。

5.一种基于大数据的威胁感知系统，其特征在于，应用于威胁感知服务器，所述威胁感知服务器与业务服务器通信连接，所述系统包括：

获取模块，用于获取所述业务服务器关联的攻击防护大数据，所述攻击防护大数据包括所述业务服务器相关的业务防护激活场景的多个防护行为的防护行为轨迹；

挖掘模块，用于基于设定的针对防护行为的防护行为数据进行特征获得的威胁感知模型对所述防护行为轨迹进行威胁感知变量挖掘；

配对模块，用于将威胁感知模型生成的各个防护行为的威胁感知变量分别与在先配置的目标参考防护行为轨迹的威胁感知变量进行配对，得到变量配对信息；

上传模块，用于基于变量配对信息决策获得的各威胁感知变量是否匹配训练数据搜集要求，若匹配训练数据搜集要求，则将相关的防护行为轨迹进行区块链上传。

6.根据权利要求5所述的系统，其特征在于，所述获取模块具体用于：

获取所述业务服务器关联的多个防护关联场景的防护热点数据属性，且不同的防护关联场景的防护热点数据属性之间具有相同的防护行为的防护行为轨迹相关的业务节点标签；

基于所述防护热点数据属性对所述业务服务器关联的攻击防护大数据进行防护行为轨迹搜集。

7.根据权利要求5所述的系统，其特征在于，所述挖掘模块具体用于：

对所述多个防护行为中设定的防护行为的防护行为轨迹进行挖掘，得到具有与所述设定的威胁感知变量的支持度的变量挖掘信息。

8.根据权利要求5所述的系统，其特征在于，所述上传模块具体用于：

基于所述变量配对信息中所述各个防护行为的防护行为轨迹及预设搜集要求，计算变量配对信息相关的配对支持度；

决策所述配对支持度是否在在先配置的预设支持度范围，若在所述在先配置的预设支持度范围，则确定所述威胁感知变量匹配训练数据搜集要求。

Images