CN113949580A - 一种结合云计算服务的入侵检测分析方法及云计算系统 - Google Patents

一种结合云计算服务的入侵检测分析方法及云计算系统 Download PDF

Info

Publication number
CN113949580A
CN113949580A CN202111223395.8A CN202111223395A CN113949580A CN 113949580 A CN113949580 A CN 113949580A CN 202111223395 A CN202111223395 A CN 202111223395A CN 113949580 A CN113949580 A CN 113949580A
Authority
CN
China
Prior art keywords
detection
threat
intrusion detection
data intrusion
item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202111223395.8A
Other languages
English (en)
Inventor
张士光
田爱心
赵天硕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Xinheng Software Technology Co ltd
Original Assignee
Guangzhou Xinheng Software Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Xinheng Software Technology Co ltd filed Critical Guangzhou Xinheng Software Technology Co ltd
Priority to CN202111223395.8A priority Critical patent/CN113949580A/zh
Publication of CN113949580A publication Critical patent/CN113949580A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2465Query processing support for facilitating data mining operations in structured databases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Alarm Systems (AREA)

Abstract

本申请涉及结合云计算服务的入侵检测分析方法及云计算系统,可以依据携带一致的或者存在联系的代表性描述的不少于两个数据入侵检测报告的威胁检测结果识别出不少于两个数据入侵检测报告之间的威胁传递风险,从而可以提高对威胁检测结果的传递性识别性能,以便能够更好地挖掘威胁检测结果中的潜在价值,并能确保针对大量威胁检测结果的风险传递性分析的效率和可信度,以尽可能减少威胁检测所带来的资源开销并尽量提高威胁检测分析的时效性。

Description

一种结合云计算服务的入侵检测分析方法及云计算系统
技术领域
本申请实施例涉及云计算和入侵检测技术领域,具体涉及一种结合云计算服务的入侵检测分析方法及云计算系统。
背景技术
云计算服务(Cloud Computing Services),指可以拿来作为服务提供使用的云计算产品。包括云主机、云空间、云开发、云测试和综合类产品等。对于云计算的服务类型来说,一般可分为三个层面,分别是:IaaS、PaaS和SaaS。这三个层次组成了云计算技术层面的整体架构,这其中可能包含了一些虚拟化的技术和应用、自动化的部署以及分布式计算等技术,这种技术架构的优势就是可以对外表现出非常优秀的并行计算能力以及大规模的伸缩性和灵活性等特点。
随着科技的不断发展,云计算服务的应用领域越来越广泛,区块链、智慧办公、在线教育、数字化医疗、智慧城市、工业智能化等领域几乎都会涉及云计算服务。伴随云计算服务规模的不断庞大,由此引发的数据信息安全(比如非法入侵等问题)不容忽视。现阶段,为了应对此类数据信息安全问题,通常需要进行入侵检测分析,然而相关的入侵检测分析技术难以挖掘不同检测报告之间的潜在价值,这样难以减少入侵检测分析的资源开销,并难以保障入侵检测分析的时效性。
发明内容
有鉴于此,本申请实施例提供了一种结合云计算服务的入侵检测分析方法及云计算系统。
本申请实施例提供了一种结合云计算服务的入侵检测分析方法,应用于云计算系统,包括:确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,所述不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,各所述威胁检测事项列表中包括不低于一个威胁检测事项;对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组;其中,各所述检测事项二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项;在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
对于一些可独立实施的技术方案而言,各所述检测事项二元组携带一语义关键字,各所述检测事项二元组的语义关键字反映所述检测事项二元组相关的不低于一个威胁检测事项所指向的数据入侵检测报告的语义特征;所述在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险,包括:在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定各所述检测事项二元组的语义关键字;在不低于一个所述检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
对于一些可独立实施的技术方案而言,所述不少于两个数据入侵检测报告包括不低于一个携带第一代表性描述的数据入侵检测报告和不低于一个携带第二代表性描述的数据入侵检测报告,所述不少于两个数据入侵检测报告具有的威胁传递风险涵盖携带所述第一代表性描述的数据入侵检测报告与携带所述第二代表性描述的数据入侵检测报告之间触发信息非法收集风险;所述在不低于一个所述检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险,包括:确定所述不低于一个检测事项二元组携带的语义关键字中存在差异的语义关键字的统计结果;在所述存在差异的语义关键字的统计结果大于语义关键字统计结果判定值的前提下,确定携带所述第一代表性描述的数据入侵检测报告与携带所述第二代表性描述的数据入侵检测报告之间触发信息非法收集风险。
对于一些可独立实施的技术方案而言,所述不少于两个数据入侵检测报告包括第一数据入侵检测报告和第二数据入侵检测报告,所述不少于两个数据入侵检测报告具有的威胁传递风险涵盖所述第一数据入侵检测报告与所述第二数据入侵检测报告之间触发信息异常修改风险;所述在不低于一个所述检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险,包括:在不低于一个所述检测事项二元组的语义关键字反映所述检测事项二元组相关的不少于两个威胁检测事项分别对应于所述第一数据入侵检测报告和所述第二数据入侵检测报告的前提下,确定所述第一数据入侵检测报告与所述第二数据入侵检测报告之间触发信息异常修改风险。
对于一些可独立实施的技术方案而言,各所述威胁检测事项皆携带时序主题,所述从所述不低于一个服务场景二元组中,将相关的各所述数据入侵检测报告的不低于一个威胁检测事项在时序上符合事先设置的时序要求的服务场景二元组确定为检测事项二元组,包括:依据各所述服务场景二元组相关的两个威胁检测事项的时序主题,确定各所述服务场景二元组相关的两个威胁检测事项之间的时序步长;对于每一服务场景二元组,在确定所述服务场景二元组相关的指向于不同数据入侵检测报告的威胁检测事项之间的最小时序步长小于共性时序判定值的前提下,将所述服务场景二元组确定为检测事项二元组。
对于一些可独立实施的技术方案而言,各所述威胁检测事项是依据接收的云计算服务日志确定的前提下,所述服务场景主题包括以下一个或两个:获得威胁检测事项相关的云计算服务日志的服务互动终端的主题、获得威胁检测事项相关的云计算服务日志的服务互动终端的区分特征;所述时序主题包括以下一个或两个:威胁检测事项相关的云计算服务日志的创建时段、威胁检测事项相关的云计算服务日志的创建节点;各所述威胁检测事项是依据接收的标定服务日志确定的前提下,所述服务场景主题包括威胁检测事项相关的标记分布的区分特征;所述时序主题包括以下一个或两个:威胁检测事项相关的标定服务日志的创建时段、威胁检测事项相关的标定服务日志的创建节点。
对于一些可独立实施的技术方案而言,所述方法还包括:在确定所述不少于两个数据入侵检测报告之间具有威胁传递风险的前提下,依据所述不低于一个检测事项二元组中检测事项二元组的统计结果,确定与所述威胁传递风险相关的风险预警信息;依据所述风险预警信息,创建并输出入侵防护指示。
本申请实施例还提供了一种云计算系统,包括处理器、网络模块和存储器;所述处理器和所述存储器通过所述网络模块通信,所述处理器从所述存储器中读取计算机程序并运行,以执行上述的方法。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
相较于现有技术,本申请实施例中,确定不少于两个数据入侵检测报告中每一数据入侵检测报告的威胁检测事项列表,其中,不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,每一威胁检测事项列表中包括不低于一个威胁检测事项;对不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组,其中,每一检测事项二元组对应每一数据入侵检测报告的不低于一个威胁检测事项;在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。这样,可以依据携带一致的或者存在联系的代表性描述的不少于两个数据入侵检测报告的威胁检测结果识别出不少于两个数据入侵检测报告之间的威胁传递风险,从而可以提高对威胁检测结果的传递性识别性能,以便能够更好地挖掘威胁检测结果中的潜在价值,并能确保针对大量威胁检测结果的风险传递性分析的效率和可信度,以尽可能减少威胁检测所带来的资源开销并尽量提高威胁检测分析的时效性。
在后面的描述中,将部分地陈述其他的特征。在检查后面内容和附图时,本领域的技术人员将部分地发现这些特征,或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面,当前申请中的特征可以被实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例所提供的一种云计算系统的方框示意图。
图2为本申请实施例所提供的一种结合云计算服务的入侵检测分析方法的流程图。
图3为本申请实施例所提供的一种结合云计算服务的入侵检测分析装置的框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本申请的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
图1示出了本申请实施例所提供的一种云计算系统10的方框示意图。本申请实施例中的云计算系统10可以为具有数据存储、传输、处理功能的服务端,如图1所示,云计算系统10包括:存储器11、处理器12、网络模块13和结合云计算服务的入侵检测分析装置20。
存储器11、处理器12和网络模块13之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有结合云计算服务的入侵检测分析装置20,所述结合云计算服务的入侵检测分析装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器11中的软件功能模块,所述处理器12通过运行存储在存储器11内的软件程序以及模块,例如本申请实施例中的结合云计算服务的入侵检测分析装置20,从而执行各种功能应用以及数据处理,即实现本申请实施例中的结合云计算服务的入侵检测分析方法。
其中,所述存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器11用于存储程序,所述处理器12在接收到执行指令后,执行所述程序。
所述处理器12可能是一种集成电路芯片,具有数据的处理能力。上述的处理器12可以是通用处理器,包括中央处理器 (Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
网络模块13用于通过网络建立云计算系统10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
可以理解,图1所示的结构仅为示意,云计算系统10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
图2示出了本申请实施例所提供的一种结合云计算服务的入侵检测分析的流程图。所述方法有关的流程所定义的方法步骤应用于云计算系统10,可以由所述处理器12实现,所述方法包括以下内容。
步骤101,确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表。
在本申请实施例中,所述不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,各所述威胁检测事项列表中包括不低于一个威胁检测事项。其中,代表性描述可以理解为显著特征或者代表性特征,威胁检测事项包括不同角度的入侵威胁检测项目。
在本申请实施例中,每一数据入侵检测报告的威胁检测事项列表中可以包括该数据入侵检测报告的不低于一个威胁检测事项。在实际应用过程中,可以通过相关技术获得每一数据入侵检测报告在不同时段匹配于不同的服务场景的记录情况,得到各所述数据入侵检测报告的不低于一个威胁检测事项,以便得到每一数据入侵检测报告的威胁检测事项列表。对于一些可能的实施例而言,可以直接确定接收的每一数据入侵检测报告的威胁检测事项得到每一数据入侵检测报告的威胁检测事项列表。对于另一些可能的实施例而言,可以先将接收的每一数据入侵检测报告的威胁检测事项进行缓存,再通过从缓存的大量的数据入侵检测报告的威胁检测事项数据中检索得到该不少于两个数据入侵检测报告中每一数据入侵检测报告的威胁检测事项列表。
数据入侵检测报告携带的代表性描述可以包括数据入侵检测报告类别,如支付业务检测报告、办公业务检测报告、医疗服务检测报告等,也可以包括数据入侵检测报告的语义特征的代表性描述,如数据入侵检测报告的语义关键字、数据入侵检测报告所指向的的语义特征类别、数据入侵检测报告携带的语义特征标签等。
不少于两个数据入侵检测报告之间可以携带一致的代表性描述,也可以携带不同但存在联系的代表性描述。一致的代表性描述可以包括但不限于一致的数据入侵检测报告类别、一致的数据入侵检测报告的语义特征的代表性描述等。存在联系的代表性描述可以包括存在联系的数据入侵检测报告类别,也可以包括存在联系的数据入侵检测报告的语义特征的代表性描述,还可以包括存在联系的语义特征类别,如事先设置的第一语义特征类别与事先设置的第二语义特征类别。在实际应用过程中。
步骤102,对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组;其中,各所述检测事项二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项。
在本申请实施例中,每一个检测事项二元组可以表示不少于两个数据入侵检测报告在一致或者相关的多维状态下完成了一次检测,也即不少于两个数据入侵检测报告的持续性检测结果在多维状态下完成了一次检测部分重合或者类似的情况,其中每一检测事项二元组可以对应不少于两个数据入侵检测报告中每一数据入侵检测报告的不低于一个威胁检测事项。对不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,可以用于反映在多维状态下对不少于两个数据入侵检测报告中一个数据入侵检测报告的威胁检测事项列表中的不低于一个威胁检测事项与另一个数据入侵检测报告的威胁检测事项列表中的不低于一个威胁检测事项进行绑定。通过对不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,可以得到这两个数据入侵检测报告之间的检测事项二元组,以便可以得到不少于两个数据入侵检测报告之间的不低于一个检测事项二元组。在实际应用过程中,可以通过适应的技术对不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组。
步骤103,在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
在本申请实施例中,威胁传递风险可以是表征不少于两个数据入侵检测报告之间携带关联的可能的影响关系,可以包含但不限于不少于两个数据入侵检测报告在服务场景层面上的威胁传递风险、在代表性描述上的威胁传递风险等。
二元组统计结果判定值可以是事先配置的,也可以是固定的。在实际应用过程中,可以根据实际的威胁传递风险确定合适的二元组统计结果判定值。在不少于两个数据入侵检测报告的检测事项二元组的统计结果高于二元组统计结果判定值的前提下,可以确定不少于两个数据入侵检测报告之间具有威胁传递风险。
不少于两个数据入侵检测报告之间不同的设定威胁传递情况会对应不同的检测事项二元组的特征,因此,对不低于一个检测事项二元组进行分析,可以确定不少于两个数据入侵检测报告之间是否触发设定威胁传递情况。例如,可以对不低于一个检测事项二元组的统计结果、每一检测事项二元组相关的不低于一个威胁检测事项所述数据入侵检测报告的语义特征、类别等进行分析,确定不少于两个数据入侵检测报告之间是否触发设定威胁传递情况,以便确定不少于两个数据入侵检测报告是否具有威胁传递风险。
对于一些示例而言,还可以依据设定威胁传递情况相关的检测事项二元组的设定描述,对不低于一个检测事项二元组进行特征绑定,从而确定不少于两个数据入侵检测报告之间是否触发设定威胁传递情况。
可以理解的是,确定不少于两个数据入侵检测报告中每一数据入侵检测报告的威胁检测事项列表,其中,不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,每一威胁检测事项列表中包括不低于一个威胁检测事项;对不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组,其中,每一检测事项二元组对应每一数据入侵检测报告的不低于一个威胁检测事项;在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。这样,可以依据携带一致的或者存在联系的代表性描述的不少于两个数据入侵检测报告的威胁检测结果识别出不少于两个数据入侵检测报告之间的威胁传递风险,从而可以提高对威胁检测结果的传递性识别性能,以便能够更好地挖掘威胁检测结果中的潜在价值,并能确保针对大量威胁检测结果的风险传递性分析的效率和可信度,以尽可能减少威胁检测所带来的资源开销并尽量提高威胁检测分析的时效性。
对于一些可独立实施的技术方案而言,提供一种结合云计算服务的入侵检测分析方法,包括如下步骤201至步骤204。
步骤201,依据不少于一种代表性描述,从待定数据入侵检测报告列表中确定所述不少于两个数据入侵检测报告;其中,各所述数据入侵检测报告携带所述不少于一种代表性描述中的任一代表性描述。
在本申请实施例中,待定数据入侵检测报告列表可以是任意适应性的包含需要进行威胁传递风险识别的不少于两个数据入侵检测报告的列表。不少于一种代表性描述包括一种代表性描述或多种存在联系的代表性描述,可以是事先设置的,也可以是默认固定的。从待定数据入侵检测报告列表中确定的不少于两个数据入侵检测报告分别携带该不少于一种代表性描述中的任一代表性描述,也即从待定数据入侵检测报告列表中确定的不少于两个数据入侵检测报告携带相同或存在联系的代表性描述。在实际应用过程中,所属领域人员可以根据实际需求通过适应性的技术从待定数据入侵检测报告列表中确定不少于两个数据入侵检测报告。例如,待定数据入侵检测报告列表中的每一数据入侵检测报告都可以携带一个代表性描述主题,每一代表性描述主题可以表示一种代表性描述,可以通过对每一数据入侵检测报告的代表性描述主题与该不少于一种代表性描述中的每一代表性描述进行比较,确定该数据入侵检测报告是否携带该不少于一种代表性描述中的任一代表性描述。
步骤202,依据事先配置的时序约束条件,确定所述不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,各所述数据入侵检测报告的威胁检测事项列表中涵盖所述数据入侵检测报告在所述时序约束条件内的不低于一个威胁检测事项。
时序约束条件可以是事先配置的固定的范围,也可以是系统依据当前时序灵活配置的,一般可以理解为时间范围。依据事先配置的时序约束条件,可以确定不少于两个数据入侵检测报告中每一数据入侵检测报告在该时序约束条件内的不低于一个威胁检测事项,从而可以得到每一数据入侵检测报告的威胁检测事项列表。在实际应用过程中,可以通过相关技术确定不少于两个数据入侵检测报告中每一数据入侵检测报告在该时序约束条件内的不低于一个威胁检测事项,得到每一数据入侵检测报告的威胁检测事项列表。
步骤203,对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组;其中,各所述检测事项二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项。
步骤204,在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
可以理解的是,上述步骤203至步骤204对应于上述步骤102至步骤103,在实际应用过程中可以结合上述步骤102至步骤103的相关实施方式。
可以理解的是,依据不少于一种代表性描述,从待定数据入侵检测报告列表中确定不少于两个数据入侵检测报告,其中,每一数据入侵检测报告携带不少于一种代表性描述中的任一代表性描述;依据事先配置的时序约束条件,确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,每一数据入侵检测报告的威胁检测事项列表中包括数据入侵检测报告在该时序约束条件内的不低于一个威胁检测事项。这样,可以高效精准地确定携带一致的或者存在联系的代表性描述的不少于两个数据入侵检测报告在事先配置的时序约束条件内的威胁检测结果,从而可以识别出在该时序约束条件内不少于两个数据入侵检测报告之间的威胁传递风险。
对于一些示例而言,上述步骤202可以包括如下步骤211至步骤212。
步骤211,对所述时序约束条件进行局部拆解,得到多个时序拆解结果。在本申请实施例中,可以对时序约束条件进行均匀拆解,例如通过事先配置的步长将时序约束条件划分成多个时间长度一致的时序拆解结果;也可以对时序约束条件进行非均匀拆解,得到多个时间长度不一致的时序拆解结果。在实际应用过程中,所属领域人员可以根据实际需求通过适应性的技术对时序约束条件进行局部拆解,在本申请实施例中并不限定。
步骤212,通过设定共享策略,同步确定所述不少于两个数据入侵检测报告中各所述数据入侵检测报告在各所述时序拆解结果内的不低于一个威胁检测事项,得到所述不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表。在本申请实施例中,可以通过同步执行策略确定不少于两个数据入侵检测报告中每一数据入侵检测报告在每一时序拆解结果内的不低于一个威胁检测事项。
在实际应用过程中,可以根据实际需求通过适应的技术确定不低于一个用于确定威胁检测事项的阶段性进程,通过执行每一阶段性进程,可以得到不少于两个数据入侵检测报告中每一数据入侵检测报告在每一时序拆解结果内的不低于一个威胁检测事项,以便可以得到不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表。每一阶段性进程可以是依据相关服务器执行的。每一个阶段性进程可以确定不少于两个数据入侵检测报告中每一数据入侵检测报告在一个时序拆解结果内的不低于一个威胁检测事项,也可以仅确定一个数据入侵检测报告在一个时序拆解结果内的不低于一个威胁检测事项,在本申请实施例中并不限定。
对于相关实施例而言,对时序约束条件进行局部拆解,得到多个时序拆解结果,并通过设定共享策略,同步确定不少于两个数据入侵检测报告中每一数据入侵检测报告在每一时序拆解结果内的不低于一个威胁检测事项,得到不少于两个数据入侵检测报告中每一数据入侵检测报告的威胁检测事项列表。这样,通过设定共享策略,可以进一步提高确定不少于两个数据入侵检测报告中每一数据入侵检测报告的威胁检测事项列表的效率,以便可以进一步提高对不少于两个数据入侵检测报告之间的威胁传递风险进行识别的效率。
对于一些示例而言,上述步骤202可以包括:步骤221,依据事先配置的时序约束条件和场景约束条件,确定所述不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,各所述数据入侵检测报告的威胁检测事项列表中涵盖所述数据入侵检测报告在所述时序约束条件内且在所述场景约束条件内的不低于一个威胁检测事项。
在本申请实施例中,场景约束条件可以是事先配置的固定的范围,也可以是系统依据当前服务场景分布灵活配置的范围,在本申请实施例中并不限定。
依据事先配置的时序约束条件和场景约束条件,可以确定不少于两个数据入侵检测报告中每一数据入侵检测报告在该时序约束条件内的不低于一个威胁检测事项,从而可以得到每一数据入侵检测报告的威胁检测事项列表。在实际应用过程中,可以通过相关的大数据适应性技术,确定不少于两个数据入侵检测报告中每一数据入侵检测报告在该时序约束条件内且在该场景约束条件内的不低于一个威胁检测事项,得到每一数据入侵检测报告的威胁检测事项列表,在本申请实施例中并不限定。
对于一些示例而言,上述步骤221可以包括:步骤231,对所述时序约束条件和所述场景约束条件中的一个或两个进行局部拆解,得到多个混合型约束子条件;步骤232,通过设定共享策略,同步确定所述不少于两个数据入侵检测报告中各所述数据入侵检测报告在各所述混合型约束子条件内的不低于一个威胁检测事项,得到所述不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表。在本申请实施例中,每一混合型约束子条件包括一个指定的量化时序约束和一个指定的服务场景。可以仅对时序约束条件进行局部拆解,得到多个时序拆解结果;对于每一时序拆解结果,依据该时序拆解结果相关的量化时序约束与该场景约束条件相关的服务场景,确定一个混合型约束子条件。也可以仅对场景约束条件进行局部拆解,得到多个局部服务场景;对于每一局部服务场景,依据该局部服务场景相关的服务场景与该时序约束条件相关的量化时序约束,确定一个混合型约束子条件。还可以对时序约束条件和场景约束条件均进行局部拆解,得到多个时序拆解结果和多个局部服务场景;对于每一组时序拆解结果和局部服务场景,依据该时序拆解结果相关的量化时序约束与该局部服务场景相关的服务场景,确定一个混合型约束子条件。
对于相关实施例而言,对时序约束条件和场景约束条件中的一个或两个进行局部拆解,得到多个混合型约束子条件;通过设定共享策略,同步确定不少于两个数据入侵检测报告中每一数据入侵检测报告在每一混合型约束子条件内的不低于一个威胁检测事项,得到不少于两个数据入侵检测报告中每一数据入侵检测报告的威胁检测事项列表。这样,通过设定共享策略,可以进一步提高确定不少于两个数据入侵检测报告中每一数据入侵检测报告的威胁检测事项列表的效率,以便可以进一步提高对不少于两个数据入侵检测报告之间的威胁传递风险进行识别的效率。
对于一些可独立实施的技术方案而言,本申请实施例提供一种结合云计算服务的入侵检测分析方法包括如下步骤301至步骤304。
步骤301,确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,所述不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,各所述威胁检测事项列表中包括不低于一个威胁检测事项。
在本申请实施例中,上述步骤301对应于上述步骤101,在实际应用过程中可以结合上述步骤101的相关实施方式。
步骤302,对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项,在服务场景上进行绑定,得到不低于一个服务场景二元组;其中,各所述服务场景二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项。
在本申请实施例中,每一个服务场景二元组可以表示不少于两个数据入侵检测报告在一致或者相关的服务场景分布上完成了一次检测,也即不少于两个数据入侵检测报告的持续性检测结果在服务场景上完成了一次检测部分重合或者类似的情况,其中每一服务场景二元组可以对应不少于两个数据入侵检测报告中每一数据入侵检测报告的不低于一个威胁检测事项。
通过在服务场景上对不少于两个数据入侵检测报告中一个数据入侵检测报告的威胁检测事项列表中的每一威胁检测事项与另一个数据入侵检测报告的威胁检测事项列表中的每一威胁检测事项进行绑定,可以得到这两个数据入侵检测报告之间的服务场景二元组,以便可以得到不少于两个数据入侵检测报告之间的不低于一个服务场景二元组。在实际应用过程中,可以通过适应的技术对不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项在服务场景上进行绑定,得到不低于一个检测事项二元组,本申请实施例对此并不限定。例如,不少于两个数据入侵检测报告中每一数据入侵检测报告都可以携带一个服务场景主题,每一服务场景主题可以表示一个服务场景分布,可以对不少于两个数据入侵检测报告中一个数据入侵检测报告的威胁检测事项列表中的每一威胁检测事项与另一个数据入侵检测报告的威胁检测事项列表中的每一威胁检测事项进行比较,在两个威胁检测事项的服务场景主题对应一致或者相关的服务场景分布的前提下,确定两个威胁检测事项在服务场景上绑定,从而可以得到一个对应于这两个威胁检测事项的服务场景二元组。
步骤303,从所述不低于一个服务场景二元组中,将相关的各所述数据入侵检测报告的不低于一个威胁检测事项在时序上符合事先设置的时序要求的服务场景二元组确定为检测事项二元组。
在本申请实施例中,服务场景二元组表示的是两个数据入侵检测报告在一致或者相关的服务场景分布上激活了,这两个数据入侵检测报告可以是同时激活的,也可以不是同时激活的,也即服务场景二元组相关的两个威胁检测事项在时序上可能存在关联性也可能不存在关联性。由于检测事项二元组表示的是两个数据入侵检测报告在一致或者相关的多维状态下激活了,因此,可以依据相关的两个威胁检测事项在时序上是否符合事先设置的时序要求,对不低于一个服务场景主题中的每一服务场景主题进行筛选,得到不低于一个检测事项二元组。
事先设置的时序要求可以包括但不限于两个威胁检测事项在时序上的步长小于事先设置的时序步长判定值、两个威胁检测事项在一致或者相关服务场景分布处共同维持状态不变的时长大于事先设置的时长判定值等。例如,每一威胁检测事项都可以携带一个表征该威胁检测事项所指向的数据入侵检测报告激活在相应的服务场景分布处的时间节点的时序主题,依据两个威胁检测事项的时序主题可以确定两个威胁检测事项在时序上的步长,在该步长小于事先设置的时序步长判定值的前提下,可以将对应于这两个威胁检测事项的服务场景二元组确定为检测事项二元组。
又如,每一威胁检测事项都可以携带一个表征该威胁检测事项所指向的数据入侵检测报告在相应的服务场景分布处维持状态不变的时序约束条件的时序主题,可以通过两个威胁检测事项的时序主题相关的时序约束条件之间的重叠结果确定两个威胁检测事项在一致或者相关服务场景分布处共同维持状态不变的时长,在该时长大于事先设置的时长判定值的前提下,可以将对应于这两个威胁检测事项的服务场景二元组确定为检测事项二元组。
步骤304,在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
在本申请实施例中,上述步骤304对应于上述步骤103,在实际应用过程中可以结合上述步骤103的相关实施方式。
可以理解的是,对不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项,在服务场景上进行绑定,得到不低于一个服务场景二元组,再从不低于一个服务场景二元组中,将相关的每一数据入侵检测报告的不低于一个威胁检测事项在时序上符合事先设置的时序要求的服务场景二元组确定为检测事项二元组。这样,可以高效精准地确定不少于两个数据入侵检测报告之间的检测事项二元组。
对于一些示例而言,所述不少于两个数据入侵检测报告包括不低于一个携带第一代表性描述的数据入侵检测报告和不低于一个携带第二代表性描述的数据入侵检测报告,所述第一代表性描述与第二代表性描述一致或者存在联系,各所述威胁检测事项皆携带服务场景主题,上述步骤302可以包括如下步骤311至步骤313。
步骤311,将各所述携带第一代表性描述的数据入侵检测报告的威胁检测事项列表中的每一威胁检测事项确定为待绑定威胁检测事项。
在本申请实施例中,第一代表性描述和第二代表性描述可以是任意适应性的相同或存在联系的代表性描述。每一威胁检测事项的服务场景主题对应一个服务场景分布,可以是一个分布标签,也可以是一个分布集,在本申请实施例中并不限定。
步骤312,对于各待绑定威胁检测事项,从各所述携带第二代表性描述的数据入侵检测报告的威胁检测事项列表中,确定与所述待绑定威胁检测事项的服务场景主题绑定的目标威胁检测事项。
在本申请实施例中,两个威胁检测事项的服务场景主题绑定的情况可以包括但不限于两个威胁检测事项的服务场景主题相关的服务场景分布为同一分布标签、两个威胁检测事项的服务场景主题相关的服务场景分布指向于同一分布集或者两个威胁检测事项的服务场景主题相关的服务场景分布之间的量化差异小于事先配置的量化差异判定值等中的一种或多种。在实际应用过程中,所属领域人员可以根据实际需求通过适应的技术确定两个威胁检测事项的服务场景主题是否绑定,在本申请实施例中并不限定。
步骤313,依据各所述目标威胁检测事项以及与所述目标威胁检测事项相关的待绑定威胁检测事项,确定不低于一个服务场景二元组。
在本申请实施例中,对于每一目标威胁检测事项,该目标威胁检测事项以及与该目标威胁检测事项相关的待绑定威胁检测事项可以对应一个服务场景二元组。在实际应用过程中,可以根据实际需求确定服务场景二元组中需要涵盖的内容,并根据服务场景二元组中需要涵盖的内容通过适应的技术确定每一目标威胁检测事项以及与该目标威胁检测事项相关的待绑定威胁检测事项相关的服务场景二元组,在本申请实施例中并不限定。例如,对于一组服务场景主题绑定的目标威胁检测事项与待绑定威胁检测事项,可以将该目标威胁检测事项作为服务场景二元组,也可以将该待绑定威胁检测事项作为服务场景二元组,还可以依据该目标威胁检测事项与该待绑定威胁检测事项中涵盖的内容创建一组新的数据作为服务场景二元组。
对于一些示例而言,还可以对确定的不低于一个服务场景二元组进行优化,得到综合的不低于一个服务场景二元组。例如,可以将时序或服务场景上存在上下游联系的多个服务场景二元组整理为一个服务场景二元组,也可以对时序或服务场景上一致的多个服务场景二元组进行精简,得到一个服务场景二元组。
对于一些示例而言,各所述威胁检测事项皆携带时序主题,上述步骤303可以包括如下步骤321至步骤322。
步骤321,依据各所述服务场景二元组相关的两个威胁检测事项的时序主题,确定各所述服务场景二元组相关的两个威胁检测事项之间的时序步长。
在本申请实施例中,每一威胁检测事项的时序主题可以对应一个时间节点,两个威胁检测事项之间的时序步长可以是这两个威胁检测事项的时序主题相关的时间节点的比较结果。每一威胁检测事项的时序主题也可以对应一个时序约束条件,两个威胁检测事项之间的时序步长可以是这两个威胁检测事项的时序主题相关的时序约束条件之间的步长。在实际应用过程中,所属领域人员可以根据实际需求通过适应性的技术确定每一服务场景二元组相关的两个威胁检测事项之间的时序步长,在本申请实施例中并不限定。
步骤322,对于每一服务场景二元组,在确定所述服务场景二元组相关的指向于不同数据入侵检测报告的威胁检测事项之间的最小时序步长小于共性时序判定值的前提下,将所述服务场景二元组确定为检测事项二元组。
在本申请实施例中,对于每一服务场景二元组,可以确定该服务场景二元组对应每一威胁检测事项的时序主题,依据每一威胁检测事项的时序主题可以确定指向于不同数据入侵检测报告的威胁检测事项之间的时序步长,其中最小的时序步长即为指向于不同数据入侵检测报告的威胁检测事项之间的最小时序步长,在该最小时序步长小于共性时序判定值的前提下,可以将该服务场景二元组确定为检测事项二元组。
共性时序判定值可以是事先配置的,也可以是固定的。在实际应用过程中,可以根据实际情况下需要识别的威胁传递风险确定合适的共性时序判定值,在本申请实施例中并不限定。
对于相关实施例而言,依据每一服务场景二元组相关的两个威胁检测事项的时序主题,确定每一服务场景二元组相关的各所述数据入侵检测报告的不低于一个威胁检测事项之间的时序步长;对于每一服务场景二元组,在确定服务场景二元组相关的指向于不同数据入侵检测报告的两个威胁检测事项之间的最小时序步长小于共性时序判定值的前提下,将服务场景二元组确定为检测事项二元组。这样,可以准确地确定在存在上下游联系时序激活在一致或者相关服务场景分布处的每一数据入侵检测报告的不低于一个数据入侵检测报告之间的检测事项二元组,以便进一步提高对不少于两个数据入侵检测报告之间的威胁传递风险进行识别的精度。
对于一些示例而言,各所述威胁检测事项是依据接收的云计算服务日志确定的前提下,所述服务场景主题包括以下一个或两个:获得威胁检测事项相关的云计算服务日志的服务互动终端的主题、获得威胁检测事项相关的云计算服务日志的服务互动终端的区分特征;所述时序主题包括以下一个或两个:威胁检测事项相关的云计算服务日志的创建时段、威胁检测事项相关的云计算服务日志的创建节点。在本申请实施例中,云计算服务日志可以是服务互动终端接收的包括数据入侵检测报告的局部的云计算服务日志,也可以是包括数据入侵检测报告的整体的云计算服务日志。
对于相关实施例而言,可以依据设置于不同服务场景分布处的服务互动终端接收的大量的云计算服务日志,确定不少于两个数据入侵检测报告的威胁检测事项,可以提高获得的威胁检测事项在多维状态下的涉及范围,以便可以进一步提高对不少于两个数据入侵检测报告之间的威胁传递风险进行识别的精度。
对于一些示例而言,各所述威胁检测事项是依据接收的标定服务日志确定的前提下,所述服务场景主题包括威胁检测事项相关的标记分布的区分特征;所述时序主题包括以下一个或两个:威胁检测事项相关的标定服务日志的创建时段、威胁检测事项相关的标定服务日志的创建节点。
对于相关实施例而言,可以依据辅助型服务器接收的大量的标定服务日志确定不少于两个数据入侵检测报告的威胁检测事项,可以进一步提高获得的威胁检测事项在多维状态下的涉及范围,以便可以进一步提高对不少于两个数据入侵检测报告之间的威胁传递风险进行识别的精度。
对于一些可独立实施的技术方案而言,本申请实施例提供一种结合云计算服务的入侵检测分析方法包括如下步骤401至步骤404。
步骤401,确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,所述不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,各所述威胁检测事项列表中包括不低于一个威胁检测事项。
步骤402,对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组;其中,各所述检测事项二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项。
在本申请实施例中,上述步骤401至步骤402对应于上述步骤101至步骤102,在实际应用过程中可以结合上述步骤101至步骤102的相关实施方式。
步骤403,在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定各所述检测事项二元组的语义关键字。
步骤404,在不低于一个所述检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
在本申请实施例中,各所述检测事项二元组携带一语义关键字,各所述检测事项二元组的语义关键字反映所述检测事项二元组相关的不低于一个威胁检测事项所指向的数据入侵检测报告的语义特征。在实际应用过程中,每一检测事项二元组的语义关键字可以包括检测事项二元组相关的两个威胁检测事项中任意一个威胁检测事项所指向的数据入侵检测报告的语义关键字,也可以同时包括检测事项二元组相关的两个威胁检测事项分别所指向的数据入侵检测报告的语义关键字,在本申请实施例中并不限定。数据入侵检测报告的语义关键字可以是任意适应性的用于表征数据入侵检测报告的不重复主题。
事先设置的风险识别要求可以是不低于一个检测事项二元组的语义关键字中存在差异的语义关键字的统计结果需要符合的条件,如大于事先设置的语义关键字统计结果判定值、与事先设置的语义关键字统计结果判定值绑定等,也可以是不低于一个检测事项二元组中每一检测事项二元组的语义关键字需要符合的条件,如不低于一个检测事项二元组的语义关键字与事先设置的语义关键字绑定、不少于两个检测事项二元组的语义关键字之间是关联的等。在实际应用过程中,所属领域人员可以是根据实际情况下需要识别的威胁传递风险确定的任意适应性的风险识别要求,在本申请实施例中并不限定。
对于一些示例而言,所述不少于两个数据入侵检测报告包括不低于一个携带第一代表性描述的数据入侵检测报告和不低于一个携带第二代表性描述的数据入侵检测报告,所述不少于两个数据入侵检测报告具有的威胁传递风险涵盖携带所述第一代表性描述的数据入侵检测报告与携带所述第二代表性描述的数据入侵检测报告之间触发信息非法收集风险,上述步骤403可以包括如下步骤411至步骤412。
步骤411,确定所述不低于一个检测事项二元组携带的语义关键字中存在差异的语义关键字的统计结果。
步骤412,在所述存在差异的语义关键字的统计结果大于语义关键字统计结果判定值的前提下,确定携带所述第一代表性描述的数据入侵检测报告与携带所述第二代表性描述的数据入侵检测报告之间触发信息非法收集风险。在本申请实施例中,语义关键字统计结果判定值可以是事先配置的,也可以是固定的。在实际应用过程中,可以根据实际的设定威胁传递情况确定合适的语义关键字统计结果判定值,在本申请实施例中并不限定。信息非法收集风险可以用于反映携带第一代表性描述和携带第二代表性描述的两种数据入侵检测报告之间的信息非法收集风险。
对于一些示例而言,所述不少于两个数据入侵检测报告包括第一数据入侵检测报告和第二数据入侵检测报告,所述不少于两个数据入侵检测报告具有的威胁传递风险涵盖所述第一数据入侵检测报告与所述第二数据入侵检测报告之间触发信息异常修改风险,上述步骤403可以包括:在不低于一个所述检测事项二元组的语义关键字反映所述检测事项二元组相关的不少于两个威胁检测事项分别对应于所述第一数据入侵检测报告和所述第二数据入侵检测报告的前提下,确定所述第一数据入侵检测报告与所述第二数据入侵检测报告之间触发信息异常修改风险。
本申请实施例中,在检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定每一检测事项二元组的语义关键字,在不低于一个检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,可以确定不少于两个数据入侵检测报告之间的威胁传递风险,从而可以进一步提高对威胁检测结果的传递性识别性能,以便能够更好地挖掘威胁检测结果中的潜在价值。
对于一些可独立实施的技术方案而言,本申请实施例提供一种结合云计算服务的入侵检测分析方法包括如下步骤501至步骤505。
步骤501,确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,所述不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,各所述威胁检测事项列表中包括不低于一个威胁检测事项。
步骤502,对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组;其中,各所述检测事项二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项。
步骤503,在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
在本申请实施例中,上述步骤501至步骤503对应于上述步骤101至步骤103,在实际应用过程中可以结合上述步骤101至步骤103的相关实施方式。
步骤504,在确定所述不少于两个数据入侵检测报告之间具有威胁传递风险的前提下,依据所述不低于一个检测事项二元组中检测事项二元组的统计结果,确定与所述威胁传递风险相关的风险预警信息。
步骤505,依据所述风险预警信息,创建并输出入侵防护指示。
在本申请实施例中,可以事先根据实际应用场景确定合适的检测事项二元组的统计结果与风险预警信息之间的映射列表,从而可以依据不低于一个检测事项二元组中检测事项二元组的统计结果,确定与具有威胁传递风险相关的风险预警信息。
本申请实施例中,在确定不少于两个数据入侵检测报告之间具有威胁传递风险的前提下,依据不低于一个检测事项二元组中检测事项二元组的统计结果,确定与该威胁传递风险相关的风险预警信息;依据风险预警信息,创建并输出入侵防护指示。这样,可以在不少于两个数据入侵检测报告之间具有威胁传递风险的前提下,根据不少于两个数据入侵检测报告之间检测事项二元组的统计结果的不同,按照不同的风险预警信息输出入侵防护指示,以对该威胁传递风险进行提示。
进一步地,以依据威胁检测结果对事先设置的两种数据入侵检测报告之间的信息异常修改风险进行分析的示例说明如下。
本申请实施例提供一种结合云计算服务的入侵检测分析方法,对于进行语义特征标示后的事先设置的两种数据入侵检测报告的威胁检测结果在多维状态下进行绑定,确定事先设置的两种数据入侵检测报告之间是否存在检测事项二元组,在某一多维状态下事先设置的两种数据入侵检测报告之间不少于两个数据入侵检测报告具有的检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定事先设置的两种数据入侵检测报告之间不少于两个数据入侵检测报告触发信息异常修改风险。
除此之外,对于一些可独立实施的技术方案而言,在确定所述不少于两个数据入侵检测报告具有威胁传递风险之后,该方法还可以包括以下内容:根据所述不少于两个数据入侵检测报告确定触发标记条件的云服务操作行为记录;确定与所述触发标记条件的云服务操作行为记录相关的入侵风险标记评价;基于所述入侵风险标记评价对所述触发标记条件的云服务操作行为记录中的目标事件进行标记,得到所述触发标记条件的云服务操作行为记录对应的待处理入侵操作事件集;根据所述待处理入侵操作事件集确定针对所述触发标记条件的云服务操作行为记录的入侵防护策略。
如此设计,能够针对触发标记条件的云服务操作行为记录中进行精准的目标事件进行标记,从而保障待处理入侵操作事件集的完整性和准确性,这样能够基于待处理入侵操作事件集针对性地确定出入侵防护策略,从而尽可能减少大数据入侵风险的发生。
可以理解的是,确定与所述触发标记条件的云服务操作行为记录相关的入侵风险标记评价,可以通过以下技术方案实现。
step11:确定用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录。
对于一些可能的示例而言,触发标记条件的云服务操作行为记录可以是相关合法的采集线程采集到的云服务操作行为记录。比如,在跨境支付、数字化办公等云计算服务应用场景中,触发标记条件的云服务操作行为记录可以是智能计算机设备所采集到的云服务操作行为记录;或者,在在线教育应用场景中,触发标记条件的云服务操作行为记录可以是在线教育服务系统所采集到的云服务操作行为记录,在此不做限定。此外,触发标记条件的云服务操作行为记录的状态可以是实时状态,即触发标记条件的云服务操作行为记录可以是实时行为记录。
对于一些可能的示例而言,用于进行辅助标记的云服务操作行为记录可以理解为目标云服务操作行为记录,该行为记录可以是事先得到的,触发标记条件的云服务操作行为记录可以理解为待标记的云服务操作行为记录。此外,云服务操作行为记录包括用户的各类交互行为或者操作行为对应的记录信息,包括但不限于各类会话行为或者业务行为,所涉及的领域包括但不限于在线支付、数字化办公、在线教育、智慧医疗等。
step12:通过用于进行辅助标记的云服务操作行为记录,创建设定状态的样本云服务操作行为记录,并确定样本云服务操作行为记录中的第一疑似入侵操作事件的描述标签。
对于一些可能的示例而言,可以按照设定状态生成用于进行辅助标记的云服务操作行为记录,得到涵盖用于进行辅助标记的云服务操作行为记录且为设定状态的样本云服务操作行为记录(样本云服务操作行为记录可以作为参考)。对于一些可能的示例而言,设定状态可以更新为与触发标记条件的云服务操作行为记录的状态相同。比如,在触发标记条件的云服务操作行为记录为实时行为记录的前提下,设定状态可以更新为实时状态。
对于本申请实施例而言,第一疑似入侵操作事件的描述标签旨在表征第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录。示例性地,描述标签可以示例性地涵盖第一疑似入侵操作事件的主题描述信息,在主题描述信息为第一量化描述值(比如“Y”)的前提下,反映第一疑似入侵操作事件组应于用于进行辅助标记的云服务操作行为记录,而在主题描述信息为第二量化描述值(比如“N”)的前提下,反映第一疑似入侵操作事件不对应于用于进行辅助标记的云服务操作行为记录。此外,疑似入侵操作事件可以是事先根据相关规则或者指标确定出的可能存在异常的操作事件。
step13:结合样本云服务操作行为记录和触发标记条件的云服务操作行为记录的视觉型记录内容以及描述标签,得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价。
对于一些可能的示例而言,可以挖掘样本云服务操作行为记录中的第一行为习惯描述,并结合描述标签确定第一行为习惯描述的第一行为倾向,以及挖掘触发标记条件的云服务操作行为记录中的第二行为习惯描述及其第二行为倾向,基于此,可以结合第一行为习惯描述及第一行为倾向和第二行为习惯描述及第二行为倾向,得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价。换言之,可以通过依次挖掘样本云服务操作行为记录和触发标记条件的云服务操作行为记录中的行为习惯描述及其行为倾向,来得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价。
一般而言,入侵风险标记评价可以通过标签或者数值的形式进行表达,这样可以为触发标记条件的云服务操作行为记录提供标记参考,从而实现对触发标记条件的云服务操作行为记录中的相关操作事件的标记处理,以便于后续的入侵风险应对,继而为入侵风险应对提供准确可靠的决策依据。此外,入侵风险标记评价还可以包括不同类型的评价,比如低风险、中风险或者高风险,又比如本地风险、异地风险等,但不限于此。
对于一些可能的实施例而言,上述通过依次挖掘样本云服务操作行为记录和触发标记条件的云服务操作行为记录中的行为习惯描述及其行为倾向,来得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价,示例性可以应用于用于进行辅助标记的云服务操作行为记录的云服务操作行为记录信息量大于设定信息量的情况,即上述入侵风险标记分析方式示例性可以应用于用于进行辅助标记的云服务操作行为记录的云服务操作行为记录信息量相对较大的情况,基于此,可以挖掘到较为丰富和完整的第一行为习惯描述,且第一行为倾向的精度相对较高,从而能够便于提升入侵风险标记评价的精度。
在另一些可能的示例中,可以确定第一行为记录内容集相对样本云服务操作行为记录的第一行为习惯变化特征,并确定第二行为记录内容集相对触发标记条件的云服务操作行为记录的第二行为习惯变化特征,且第一行为记录内容集的至少部分疑似入侵操作事件在样本云服务操作行为记录中,第二行为记录内容集的至少部分疑似入侵操作事件在触发标记条件的云服务操作行为记录中,基于此,可以结合第一行为习惯变化特征和第二行为习惯变化特征,得到待定入侵风险标记评价,并结合待定入侵风险标记评价,得到用于进行辅助标记的云服务操作行为记录与触发标记条件的云服务操作行为记录之间的综合入侵风险标记评价。
对于一些可能的实施例而言,上述通过确定行为习惯变化特征的方式来确定入侵风险标记评价,示例性可以应用于用于进行辅助标记的云服务操作行为记录的云服务操作行为记录信息量不大于设定信息量的情况,即上述入侵风险标记分析方式示例性可以应用于用于进行辅助标记的云服务操作行为记录的云服务操作行为记录信息量不是太严重的情况,基于此,由于可以挖掘到的第一行为习惯描述完整性和丰富程度欠佳,且也无法确保第一行为倾向的精度,而云服务操作行为记录信息量对于行为习惯变化特征的影响不是太严重,一般可以忽视,因此通过确定行为习惯变化特征的方式来确定入侵风险标记评价,能够便于提升入侵风险标记评价的精度。
对于另外的一些实施例而言,可以在入侵风险标记分析过程中,挑选设定数目个不同分布的第二行为记录内容集,从而可以通过上述过程得到设定数目个待定入侵风险标记评价,基于此,对于各个待定入侵风险标记评价,可以借助待定入侵风险标记评价,确定触发标记条件的云服务操作行为记录和用于进行辅助标记的云服务操作行为记录之间的共性评价值,以得到待定入侵风险标记评价的第一量化统计情况,并结合设定数目个待定入侵风险标记评价的第一量化统计情况,得到综合入侵风险标记评价。此外,在共性评价值大于设定共性指标的前提下,可以认为第一量化统计情况符合设定要求,并将待定入侵风险标记评价作为综合入侵风险标记评价,或者在共性评价值不大于设定共性指标的前提下,可以认为第一量化统计情况不符合设定要求,则可以丢弃待定入侵风险标记评价。
对于一些可能的示例而言,在得到上述入侵风险标记评价之后,可以借助入侵风险标记评价对用于进行辅助标记的云服务操作行为记录进行处理,得到用于进行辅助标记的云服务操作行为记录在触发标记条件的云服务操作行为记录中的事件配对情况。
基于上述技术方案,确定用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录,基于此,通过用于进行辅助标记的云服务操作行为记录,创建设定状态的样本云服务操作行为记录,并确定样本云服务操作行为记录中的第一疑似入侵操作事件的描述标签,且第一疑似入侵操作事件的描述标签旨在表征第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录,从而结合样本云服务操作行为记录和触发标记条件的云服务操作行为记录的视觉型记录内容以及描述标签,得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价,进而能够通过通过用于进行辅助标记的云服务操作行为记录所创建的样本云服务操作行为记录来实现用于进行辅助标记的云服务操作行为记录与触发标记条件的云服务操作行为记录之间的入侵风险标记分析,这样能够实现不同云服务状态的云服务操作行为记录的入侵风险标记分析,继而根据入侵风险标记评价实现对触发标记条件的云服务操作行为记录的针对性标记,以实现为后续的入侵风险应对提供准确可靠的决策依据。
对于一些可独立实施的技术方案而言,step13的一实施例可以包括如下步骤。
step41:挖掘样本云服务操作行为记录中的第一行为习惯描述,并结合描述标签确定第一行为习惯描述的第一行为倾向。
对于一些可能的示例而言,可以借助AI挖掘技术挖掘样本云服务操作行为记录中的第一行为习惯描述(特征向量)。
对于一些可能的示例而言,可以在样本云服务操作行为记录的行为记录内容集中,挑选设定数目个疑似入侵操作事件组,且行为记录内容集涵盖第一行为习惯描述,并结合疑似入侵操作事件组的描述标签,得到疑似入侵操作事件组的第一事件差异分析情况,从而可以借助设定数目个疑似入侵操作事件组的第一事件差异分析情况,得到第一行为习惯描述的第一行为倾向,进而能够便于提升第一行为倾向的精度。
对于另外的一些实施例而言,在疑似入侵操作事件组的描述标签反映不对应于用于进行辅助标记的云服务操作行为记录的前提下,可以将疑似入侵操作事件组的第一事件差异分析情况更新为设定关键词,而在疑似入侵操作事件组的描述标签皆反映对应于用于进行辅助标记的云服务操作行为记录的前提下,可以结合疑似入侵操作事件组之间的比较情况,得到疑似入侵操作事件组的第一事件差异分析情况。可以理解的是,疑似入侵操作事件组的描述标签涵盖疑似入侵操作事件组中每一第一疑似入侵操作事件的描述标签。
step42:挖掘触发标记条件的云服务操作行为记录中的第二行为习惯描述及其第二行为倾向。
对于一些可能的示例而言,基于上述内容,可以借助AI挖掘技术挖掘触发标记条件的云服务操作行为记录中的第二行为习惯描述及其第二行为倾向。
可以理解的是,第二行为倾向的确定过程可以与第一行为倾向的确定过程类似。即可以在触发标记条件的云服务操作行为记录内涵盖第二行为习惯描述的行为记录内容集中,挑选设定数目个疑似入侵操作事件组,并得到疑似入侵操作事件组的第二事件差异分析情况,从而可以借助设定数目个疑似入侵操作事件组的第二事件差异分析情况,得到第二行为习惯描述的第二行为倾向。
step43:结合第一行为习惯描述及第一行为倾向和第二行为习惯描述及第二行为倾向,得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价。
可以理解的是,第一行为倾向包括设定数目个疑似入侵操作事件组的第一事件差异分析情况,设定数目个疑似入侵操作事件组涵盖于样本云服务操作行为记录内涵盖第一行为习惯描述的行为记录内容集内,且疑似入侵操作事件组的描述标签存在反映不对应于用于进行辅助标记的云服务操作行为记录的前提下,疑似入侵操作事件组第一事件差异分析情况为设定关键词。基于此,可以结合第一行为倾向中除设定关键词外的第一事件差异分析情况和第二行为倾向中的第二事件差异分析情况,得到第一行为习惯描述和第二行为习惯描述之间的共性描述指标,基于此,可以将共性描述指标符合设定要求的第一行为习惯描述和第二行为习惯描述,作为行为习惯描述二元组,并结合行为习惯描述二元组,确定用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价。这样,能够在确定第一行为习惯描述和第二行为习惯描述之间的共性描述指标的过程中,不考虑设定关键词之外的第一事件差异分析情况,即能够不考虑不对应于用于进行辅助标记的云服务操作行为记录的疑似入侵操作事件组于共性描述指标的影响,因而能够便于提升入侵风险标记评价的精度。
对于一些可能的实施例而言,可以理解的是,第二行为倾向包括设定数目个第二事件差异分析情况,则可以确定第一行为倾向中除设定关键词外的第一事件差异分析情况与第二行为倾向中第二事件差异分析情况配对的数目,并结合配对的数目,得到第一行为习惯描述和第二行为习惯描述之间的共性描述指标。以第一行为倾向为[a,b,a,a]为例,在第二行为倾向为[a,b,c]的前提下,第一行为倾向和第二行为倾向存在3组配对的事件差异分析情况,且由于第一行为倾向中不存在设定关键词,因此可以认为两者之间的共性描述指标为0.75。
此外,设定要求可以更新为共性描述指标大于设定共性指标,设定共性指标可以通过实际需求进行调整。比如,在对入侵风险标记评价的精度要求较为严格的前提下,可以将设定共性指标增大,如可以更新为0.9、0.95等等,反之在对入侵风险标记评价的精度要求较为不严格的前提下,可以将设定共性指标减少,如可以更新为0.8、0.85等等。
可以理解的是,通过挖掘样本云服务操作行为记录中的第一行为习惯描述,并结合描述标签确定第一行为习惯描述的第一行为倾向,从而能够结合样本云服务操作行为记录中的第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录来确定第一行为习惯描述的第一行为倾向,进而能够便于提升第一行为倾向的精度,与此同时挖掘触发标记条件的云服务操作行为记录中的第二行为习惯描述及其第二行为倾向,再结合第一行为习惯描述及第一行为倾向和第二行为习惯描述及第二行为倾向,得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价,能够便于提升入侵风险标记评价的精度。
对于一些可独立实施的技术方案而言,step13的另一实施例可以包括如下步骤。
step61:结合描述标签,创建与样本云服务操作行为记录具有同一约束条件的基准云服务操作行为记录。
对于本申请实施例而言,基准云服务操作行为记录中每个第二疑似入侵操作事件的事件量化描述数据反映样本云服务操作行为记录中对应第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录。示例性地,可以按照第一量化描述值(比如“Y”)反映样本云服务操作行为记录中所指向的第一疑似入侵操作事件组应于用于进行辅助标记的云服务操作行为记录,并按照第二量化描述值(比如“N”)反映样本云服务操作行为记录中所指向的第一疑似入侵操作事件不对应于用于进行辅助标记的云服务操作行为记录。
step62:结合基准云服务操作行为记录,确定样本云服务操作行为记录中第一行为习惯描述的第一行为倾向。
对于一些可能的示例而言,可以在样本云服务操作行为记录内涵盖第一行为习惯描述的行为记录内容集中,挑选设定数目个疑似入侵操作事件组,并结合基准云服务操作行为记录确定疑似入侵操作事件组是否对应于用于进行辅助标记的云服务操作行为记录,示例性地,借助疑似入侵操作事件组在基准云服务操作行为记录中所指向的疑似入侵操作事件的事件量化描述数据,确定疑似入侵操作事件组是否对应于用于进行辅助标记的云服务操作行为记录。比如,疑似入侵操作事件组在基准云服务操作行为记录中所指向的疑似入侵操作事件的事件量化描述数据均为第一量化描述值(比如,“Y”),可以确定疑似入侵操作事件组对应于用于进行辅助标记的云服务操作行为记录,反之,疑似入侵操作事件组在基准云服务操作行为记录中所指向的疑似入侵操作事件的事件量化描述数据均为第二量化描述值(比如,“N”),可以确定疑似入侵操作事件组不对应于用于进行辅助标记的云服务操作行为记录。基于此,在疑似入侵操作事件组均对应于用于进行辅助标记的云服务操作行为记录情况下,可以结合疑似入侵操作事件组的事件量化描述数据之间的比较情况,得到疑似入侵操作事件组的第一事件差异分析情况,而在疑似入侵操作事件组任一者不对应于用于进行辅助标记的云服务操作行为记录的前提下,可以将疑似入侵操作事件组的第一事件差异分析情况更新为设定关键词,综合可以借助设定数目个疑似入侵操作事件组的第一事件差异分析情况,得到第一行为习惯描述的第一行为倾向。
在另一些可能的示例中,还可以依次按照不少于一种量化调整指示对样本云服务操作行为记录进行调整,得到不少于一个完成调整的样本云服务操作行为记录,并结合不少于一种量化调整指示,得到不少于一个完成调整的基准云服务操作行为记录,且不少于一个完成调整的基准云服务操作行为记录依次与不少于一个完成调整的样本云服务操作行为记录具有同一约束条件,基于此,可以结合未完成调整的基准云服务操作行为记录,确定未完成调整的样本云服务操作行为记录中的第一行为习惯描述的第一行为倾向,以及结合完成调整的样本云服务操作行为记录的信息量的基准云服务操作行为记录,确定完成调整的样本云服务操作行为记录中的第一行为习惯描述的第一行为倾向。这样,能够便于通过不少于一种量化调整指示,挖掘得到不同信息量的样本云服务操作行为记录中第一行为习惯描述及其第一行为倾向,从而能够便于提升入侵风险标记评价的精度。
对于一些可能的实施例而言,不少于一种量化调整指示可以通过实际应用需要调整。比如,不少于一种量化调整指示可以包括但不限于0.3、0.5、0.7、0.9等等。
此外,依次按照不少于一种量化调整指示对未完成调整的基准云服务操作行为记录进行调整,得到不少于一个第一待定云服务操作行为记录,并对于每一第一待定云服务操作行为记录,结合第一待定云服务操作行为记录中各个第三疑似入侵操作事件的事件量化描述数据与设定事件量化描述数据之间的比较情况,依次确定与第一待定云服务操作行为记录具有同一约束条件的基准云服务操作行为记录中所指向的第二疑似入侵操作事件的事件量化描述数据。这样,能够直接通过不少于一种量化调整指示对未完成调整的基准云服务操作行为记录进行调整并进行对应操作,得到不少于一个完成调整的基准云服务操作行为记录,能够便于削弱确定不少于一个完成调整的基准云服务操作行为记录的难度。
可以理解的是,在第三疑似入侵操作事件的事件量化描述数据大于设定事件量化描述数据的前提下,将与第一待定云服务操作行为记录具有同一约束条件的基准云服务操作行为记录中所指向的第二疑似入侵操作事件的事件量化描述数据确定为第一量化描述值,并在第三疑似入侵操作事件的事件量化描述数据不大于设定事件量化描述数据的前提下,将与第一待定云服务操作行为记录具有同一约束条件的基准云服务操作行为记录中所指向的第二疑似入侵操作事件的事件量化描述数据确定为第二量化描述值,可以理解的是,第一量化描述值旨在表征样本云服务操作行为记录中所指向的第一疑似入侵操作事件组应于用于进行辅助标记的云服务操作行为记录,而第二量化描述值旨在表征样本云服务操作行为记录中所指向的第一疑似入侵操作事件不对应于用于进行辅助标记的云服务操作行为记录。设定事件量化描述数据可以通过实际需求调整,比如可以更新为0.6但不限于此。
对于另外的一些实施例而言,区别于上述确定完成调整的基准云服务操作行为记录的方式,还可以依次按照不少于一种量化调整指示对用于进行辅助标记的云服务操作行为记录进行调整,得到不少于一个第二待定云服务操作行为记录,并依次通过每一第二待定云服务操作行为记录,创建涵盖设定状态的样本云服务操作行为记录,并创建与样本云服务操作行为记录具有同一约束条件的基准云服务操作行为记录,结合上述内容,可以按照设定状态依次对每一第二待定云服务操作行为记录进行生成,得到涵盖第二待定云服务操作行为记录且为设定状态的样本云服务操作行为记录。这样,能够便于提升不少于一种完成调整的基准云服务操作行为记录的质量。
示例性地,以不少于一种量化调整指示包括0~1为例,可以依次按照上述量化调整指示对用于进行辅助标记的云服务操作行为记录record_A进行调整,得到以量化调整指示indication_1调整得到的第二待定云服务操作行为记录record01,以及以量化调整指示indication_2调整得到的第二待定云服务操作行为记录record02,以及以量化调整指示indication_3调整得到的第二待定云服务操作行为记录record03,以及以量化调整指示indication_4调整得到的第二待定云服务操作行为记录record04。基于此,对于第二待定云服务操作行为记录record01,可以借助基于上述内容的方式,创建涵盖第二待定云服务操作行为记录record01的样本云服务操作行为记录,并借助如对于本申请实施例而言上述所述的方式,创建涵盖样本云服务操作行为记录的基准云服务操作行为记录record01。以此类推,可以创建得到与第二待定云服务操作行为记录record02所指向的基准云服务操作行为记录record02,以及与第二待定云服务操作行为记录record03所指向的基准云服务操作行为记录record03,以及与第二待定云服务操作行为记录record04所指向的基准云服务操作行为记录record04。
对于另外的一些实施例而言,结合未完成调整的基准云服务操作行为记录,确定未完成调整的样本云服务操作行为记录中的第一行为习惯描述的第一行为倾向的示例性过程,以及结合与完成调整的样本云服务操作行为记录具有同一约束条件的基准云服务操作行为记录,确定完成调整的样本云服务操作行为记录中的第一行为习惯描述的第一行为倾向的示例性过程,可以结合上述相关描述。
step63:挖掘触发标记条件的云服务操作行为记录中的第二行为习惯描述及其第二行为倾向。
step64:结合第一行为习惯描述及第一行为倾向和第二行为习惯描述及第二行为倾向,得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价。
可以理解的是,通过结合描述标签,创建与样本云服务操作行为记录具有同一约束条件的基准云服务操作行为记录,且基准云服务操作行为记录中每个第二疑似入侵操作事件的事件量化描述数据反映样本云服务操作行为记录中对应第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录,基于此,通过基准云服务操作行为记录,确定样本云服务操作行为记录中第一行为习惯描述的第一行为倾向,这样能够通过基准云服务操作行为记录旨在表征第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录的描述标签,能够便于削弱挖掘第一行为倾向的难度。
对于一些可独立实施的技术方案而言,本申请针对信息安全的大数据入侵应对方法另一实施例可以包括如下步骤。
step71:确定用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录。
step72:通过用于进行辅助标记的云服务操作行为记录,创建设定状态的样本云服务操作行为记录,并确定样本云服务操作行为记录中的第一疑似入侵操作事件的描述标签。
对于本申请实施例而言,第一疑似入侵操作事件的描述标签旨在表征第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录。
step73:结合样本云服务操作行为记录和触发标记条件的云服务操作行为记录的视觉型记录内容以及描述标签,得到用于进行辅助标记的云服务操作行为记录和触发标记条件的云服务操作行为记录之间的入侵风险标记评价
step74:借助入侵风险标记评价,在触发标记条件的云服务操作行为记录中确定与对应于用于进行辅助标记的云服务操作行为记录的第一疑似入侵操作事件组应的第四疑似入侵操作事件。
示例性地,对于对应于用于进行辅助标记的云服务操作行为记录的第一疑似入侵操作事件case的分布标签,可以借助入侵风险标记评价evaluation对其进行映射,得到触发标记条件的云服务操作行为记录中与第一疑似入侵操作事件case所指向的第四疑似入侵操作事件的分布标签,基于此,可以得到第四疑似入侵操作事件的事件量化描述数据。换言之,在对入侵风险标记评价进行判断的过程中,需不考虑样本云服务操作行为记录中不对应于用于进行辅助标记的云服务操作行为记录的疑似入侵操作事件,从而能够便于提升判断的精度。
对于一些可能的示例而言,基于上述内容,可以结合描述标签创建与样本云服务操作行为记录具有同一约束条件的基准云服务操作行为记录,且基准云服务操作行为记录中每个第二疑似入侵操作事件的事件量化描述数据反映样本云服务操作行为记录中对应第一疑似入侵操作事件是否对应于用于进行辅助标记的云服务操作行为记录。基于此,可以结合基准云服务操作行为记录,确定样本云服务操作行为记录中对应于用于进行辅助标记的云服务操作行为记录的第一疑似入侵操作事件。
step75:结合第一疑似入侵操作事件及其所指向的第四疑似入侵操作事件之间的事件量化描述差别,判断入侵风险标记评价是否达标。
对于一些可能的示例而言,对于每一第一疑似入侵操作事件,可以确定第一疑似入侵操作事件的事件量化描述数据及其所指向的第四疑似入侵操作事件的事件量化描述数据的量化差异,并确定所有第一疑似入侵操作事件组应的量化差异的全局化处理结果,得到事件量化描述差别。
在另一些可能的示例中,在事件量化描述差别大于设定差别判定值的前提下,可以判断入侵风险标记评价未达标,反之在事件量化描述差别不大于设定差别判定值的前提下,可以判断入侵风险标记评价达标。示例性地,设定差别判定值可以通过实际需求调整,比如,在对入侵风险标记评价的精度条件严格的前提下,可以将设定差别判定值适应性减小,反之在对入侵风险标记评价的精度条件不严格的前提下,可以将设定差别判定值适应性增大,设定差别判定值的示例性量化描述值在此不做限定。
基于上述内容,通过借助入侵风险标记评价,在触发标记条件的云服务操作行为记录中确定与对应于用于进行辅助标记的云服务操作行为记录的第一疑似入侵操作事件组应的第四疑似入侵操作事件,从而结合第一疑似入侵操作事件及其所指向的第四疑似入侵操作事件之间的事件量化描述差别,判断入侵风险标记评价是否达标,能够便于提升入侵风险标记评价的可信度。
除此之外,对于一些可能的实施例而言,根据所述待处理入侵操作事件集确定针对所述触发标记条件的云服务操作行为记录的入侵防护策略,可以通过以下步骤实现:根据所述待处理入侵操作事件集确定威胁偏好主题集,其中,所述威胁偏好主题集涵盖存在时序先后关系的X组威胁偏好主题,所述X为不小于1的整数;根据所述威胁偏好主题集确定误差主题集,其中,所述误差主题集涵盖存在时序先后关系的X组误差主题;借助所述威胁偏好主题集,通过威胁偏好分析线程所涵盖的第一描述挖掘子线程确定威胁偏好视觉描述集,其中,所述威胁偏好视觉描述集涵盖X个威胁偏好视觉描述;借助所述误差主题集,通过所述威胁偏好分析线程所涵盖的第二描述挖掘子线程确定误差视觉描述集,其中,所述误差视觉描述集涵盖X个误差视觉描述;借助所述威胁偏好视觉描述集以及所述误差视觉描述集,通过所述威胁偏好分析线程所涵盖的分类子线程确定所述威胁偏好主题所相关的入侵防护指数;根据所述入侵防护指数确定所述威胁偏好主题集的入侵防护策略。
可以理解的是,通过考虑不同的误差主题,能够将不同主题之间的干扰和噪声考虑在内,这样可以确保得到的入侵防护指数的可信度,从而基于入侵防护指数确定威胁偏好主题集所对应的入侵防护策略。如此,能够基于待处理入侵操作事件集针对性地确定出入侵防护策略,从而尽可能减少大数据入侵风险的发生。
基于上述同样的发明构思,还提供了一种结合云计算服务的入侵检测分析装置20,应用于云计算系统10,所述装置包括:
检测事项确定模块21,用于确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,所述不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,各所述威胁检测事项列表中包括不低于一个威胁检测事项;
威胁传递分析模块22,用于对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组;其中,各所述检测事项二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项;在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种结合云计算服务的入侵检测分析方法,其特征在于,应用于云计算系统,所述方法包括:
确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,所述不少于两个数据入侵检测报告携带一致的或者存在联系的代表性描述,各所述威胁检测事项列表中包括不低于一个威胁检测事项;
对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组;其中,各所述检测事项二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项;在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
2.如权利要求1所述的方法,其特征在于,各所述检测事项二元组携带一语义关键字,各所述检测事项二元组的语义关键字反映所述检测事项二元组相关的不低于一个威胁检测事项所指向的数据入侵检测报告的语义特征;
所述在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险,包括:
在所述检测事项二元组的统计结果高于二元组统计结果判定值的前提下,确定各所述检测事项二元组的语义关键字;
在不低于一个所述检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险。
3.如权利要求2所述的方法,其特征在于,所述不少于两个数据入侵检测报告包括不低于一个携带第一代表性描述的数据入侵检测报告和不低于一个携带第二代表性描述的数据入侵检测报告,所述不少于两个数据入侵检测报告具有的威胁传递风险涵盖携带所述第一代表性描述的数据入侵检测报告与携带所述第二代表性描述的数据入侵检测报告之间触发信息非法收集风险;
所述在不低于一个所述检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险,包括:
确定所述不低于一个检测事项二元组携带的语义关键字中存在差异的语义关键字的统计结果;
在所述存在差异的语义关键字的统计结果大于语义关键字统计结果判定值的前提下,确定携带所述第一代表性描述的数据入侵检测报告与携带所述第二代表性描述的数据入侵检测报告之间触发信息非法收集风险。
4.如权利要求2所述的方法,其特征在于,所述不少于两个数据入侵检测报告包括第一数据入侵检测报告和第二数据入侵检测报告,所述不少于两个数据入侵检测报告具有的威胁传递风险涵盖所述第一数据入侵检测报告与所述第二数据入侵检测报告之间触发信息异常修改风险;
所述在不低于一个所述检测事项二元组的语义关键字符合事先设置的风险识别要求的前提下,确定所述不少于两个数据入侵检测报告具有威胁传递风险,包括:
在不低于一个所述检测事项二元组的语义关键字反映所述检测事项二元组相关的不少于两个威胁检测事项分别对应于所述第一数据入侵检测报告和所述第二数据入侵检测报告的前提下,确定所述第一数据入侵检测报告与所述第二数据入侵检测报告之间触发信息异常修改风险。
5.如权利要求1-4中任一项所述的方法,其特征在于,所述确定不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表,包括:依据不少于一种代表性描述,从待定数据入侵检测报告列表中确定所述不少于两个数据入侵检测报告;其中,各所述数据入侵检测报告携带所述不少于一种代表性描述中的任一代表性描述;依据事先配置的时序约束条件和场景约束条件,确定所述不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表;其中,各所述数据入侵检测报告的威胁检测事项列表中涵盖所述数据入侵检测报告在所述时序约束条件内且在所述场景约束条件内的不低于一个威胁检测事项;
其中,所述依据事先配置的时序约束条件和场景约束条件,确定所述不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表,包括:对所述时序约束条件和所述场景约束条件中的一个或两个进行局部拆解,得到多个混合型约束子条件;通过设定共享策略,同步确定所述不少于两个数据入侵检测报告中各所述数据入侵检测报告在各所述混合型约束子条件内的不低于一个威胁检测事项,得到所述不少于两个数据入侵检测报告中各所述数据入侵检测报告的威胁检测事项列表。
6.如权利要求1所述的方法,其特征在于,所述对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项执行配对分析处理,得到不低于一个检测事项二元组,包括:
对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项,在服务场景上进行绑定,得到不低于一个服务场景二元组;其中,各所述服务场景二元组对应各所述数据入侵检测报告的不低于一个威胁检测事项;
从所述不低于一个服务场景二元组中,将相关的各所述数据入侵检测报告的不低于一个威胁检测事项在时序上符合事先设置的时序要求的服务场景二元组确定为检测事项二元组。
7.如权利要求6所述的方法,其特征在于,所述不少于两个数据入侵检测报告包括不低于一个携带第一代表性描述的数据入侵检测报告和不低于一个携带第二代表性描述的数据入侵检测报告,所述第一代表性描述与第二代表性描述一致或者存在联系,各所述威胁检测事项皆携带服务场景主题;
所述对所述不少于两个数据入侵检测报告的威胁检测事项列表中的威胁检测事项,在服务场景上进行绑定,得到不低于一个服务场景二元组,包括:将各所述携带第一代表性描述的数据入侵检测报告的威胁检测事项列表中的每一威胁检测事项确定为待绑定威胁检测事项;对于各待绑定威胁检测事项,从各所述携带第二代表性描述的数据入侵检测报告的威胁检测事项列表中,确定与所述待绑定威胁检测事项的服务场景主题绑定的目标威胁检测事项;依据各所述目标威胁检测事项以及与所述目标威胁检测事项相关的待绑定威胁检测事项,确定不低于一个服务场景二元组;
其中,各所述威胁检测事项皆携带时序主题,所述从所述不低于一个服务场景二元组中,将相关的各所述数据入侵检测报告的不低于一个威胁检测事项在时序上符合事先设置的时序要求的服务场景二元组确定为检测事项二元组,包括:依据各所述服务场景二元组相关的两个威胁检测事项的时序主题,确定各所述服务场景二元组相关的两个威胁检测事项之间的时序步长;对于每一服务场景二元组,在确定所述服务场景二元组相关的指向于不同数据入侵检测报告的威胁检测事项之间的最小时序步长小于共性时序判定值的前提下,将所述服务场景二元组确定为检测事项二元组;
其中,各所述威胁检测事项是依据接收的云计算服务日志确定的前提下,所述服务场景主题包括以下一个或两个:获得威胁检测事项相关的云计算服务日志的服务互动终端的主题、获得威胁检测事项相关的云计算服务日志的服务互动终端的区分特征;所述时序主题包括以下一个或两个:威胁检测事项相关的云计算服务日志的创建时段、威胁检测事项相关的云计算服务日志的创建节点;各所述威胁检测事项是依据接收的标定服务日志确定的前提下,所述服务场景主题包括威胁检测事项相关的标记分布的区分特征;所述时序主题包括以下一个或两个:威胁检测事项相关的标定服务日志的创建时段、威胁检测事项相关的标定服务日志的创建节点。
8.如权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述不少于两个数据入侵检测报告之间具有威胁传递风险的前提下,依据所述不低于一个检测事项二元组中检测事项二元组的统计结果,确定与所述威胁传递风险相关的风险预警信息;
依据所述风险预警信息,创建并输出入侵防护指示。
9.一种云计算系统,其特征在于,包括处理器、网络模块和存储器;所述处理器和所述存储器通过所述网络模块通信,所述处理器从所述存储器中读取计算机程序并运行,以执行权利要求1-8任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现权利要求1-8任一项所述的方法。
CN202111223395.8A 2021-10-20 2021-10-20 一种结合云计算服务的入侵检测分析方法及云计算系统 Withdrawn CN113949580A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111223395.8A CN113949580A (zh) 2021-10-20 2021-10-20 一种结合云计算服务的入侵检测分析方法及云计算系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111223395.8A CN113949580A (zh) 2021-10-20 2021-10-20 一种结合云计算服务的入侵检测分析方法及云计算系统

Publications (1)

Publication Number Publication Date
CN113949580A true CN113949580A (zh) 2022-01-18

Family

ID=79331728

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111223395.8A Withdrawn CN113949580A (zh) 2021-10-20 2021-10-20 一种结合云计算服务的入侵检测分析方法及云计算系统

Country Status (1)

Country Link
CN (1) CN113949580A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114896401A (zh) * 2022-05-23 2022-08-12 江西省易云数据科技有限公司 一种结合ai的云计算业务威胁分析方法及服务器

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114896401A (zh) * 2022-05-23 2022-08-12 江西省易云数据科技有限公司 一种结合ai的云计算业务威胁分析方法及服务器
CN114896401B (zh) * 2022-05-23 2023-07-04 河北能瑞科技有限公司 一种结合ai的云计算业务威胁分析方法及服务器

Similar Documents

Publication Publication Date Title
CN114139210B (zh) 一种基于智慧业务的大数据安全威胁处理方法及系统
KR101013264B1 (ko) 컴퓨터 보안 위협 상황을 판정하는 방법, 장치, 컴퓨터 판독 가능한 저장 매체 및 프로세서
CN113706176B (zh) 一种结合云计算的信息反欺诈处理方法及服务平台系统
CN114139209B (zh) 一种应用于业务用户大数据的信息防窃取方法及系统
CN112115468B (zh) 基于大数据和云计算的业务信息检测方法及云计算中心
CN113918621A (zh) 一种基于互联网金融的大数据防护处理方法及服务器
CN114138872A (zh) 一种应用于数字金融的大数据入侵分析方法及存储介质
CN112738040A (zh) 一种基于dns日志的网络安全威胁检测方法、系统及装置
CN112163008A (zh) 基于大数据分析的用户行为数据处理方法及云计算平台
CN113468520A (zh) 应用于区块链业务的数据入侵检测方法及大数据服务器
CN110347568A (zh) 用户行为数据的处理方法和装置
CN115065545B (zh) 基于大数据威胁感知的安全防护构建方法及ai防护系统
CN113901089A (zh) 一种应用于大数据防护的威胁行为识别方法及系统
CN114997880A (zh) 一种针对业务风险的大数据分析方法及系统
CN114154990A (zh) 一种基于在线支付的大数据防攻击方法及存储介质
CN113949580A (zh) 一种结合云计算服务的入侵检测分析方法及云计算系统
CN115269981A (zh) 一种结合人工智能的异常行为分析方法及系统
CN114356257A (zh) 日志打印方法、装置、计算机设备、存储介质和程序产品
Pavlov et al. Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems
US20190156024A1 (en) Method and apparatus for automatically classifying malignant code on basis of malignant behavior information
CN113946819A (zh) 一种基于云计算的在线支付信息入侵检测方法及服务器
CN113312671A (zh) 应用于大数据挖掘的数字化业务操作安全处理方法及系统
CN114422225A (zh) 一种基于网络信息安全的云游戏大数据分析方法及系统
CN114218566B (zh) 一种结合人工智能的远程办公威胁行为分析方法及介质
CN117688564B (zh) 一种用于智能合约事件日志的检测方法、装置和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20220118