CN114866329B - 应用ai和大数据分析的威胁态势预测方法及威胁感知系统 - Google Patents
应用ai和大数据分析的威胁态势预测方法及威胁感知系统 Download PDFInfo
- Publication number
- CN114866329B CN114866329B CN202210566007.4A CN202210566007A CN114866329B CN 114866329 B CN114866329 B CN 114866329B CN 202210566007 A CN202210566007 A CN 202210566007A CN 114866329 B CN114866329 B CN 114866329B
- Authority
- CN
- China
- Prior art keywords
- attack
- threat
- threat situation
- cooperative
- activity data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种应用AI和大数据分析的威胁态势预测方法及威胁感知系统,通过在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,提取被攻击云端应用的攻击活动大数据,如果检测到攻击活动大数据中具有频繁攻击活动数据,输出频繁攻击活动数据相对应的协同攻击活动数据;对频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,输出频繁攻击活动数据的协同攻击威胁态势信息,从而针对频繁攻击活动从协同攻击方向进行多个类型的威胁态势维度的威胁态势预测,由此提高威胁态势预测的全面性。
Description
技术领域
本申请涉及AI和大数据技术领域,具体而言,涉及一种应用AI和大数据分析的威胁态势预测方法及威胁感知系统。
背景技术
在大数据、云计算、互联网等新型信息技术飞速发展的背景下,信息空间威胁也朝泛化和复杂化的趋势在发展,各类威胁攻击也更加具有持续性和隐蔽性,通过基于攻击活动大数据能够及时分析已发生的入侵,从而对威胁态势进行决策,并据此评估潜在的安全风险以指导用户制定有效的安全决策,系统化增强信息空间防御能力。然而相关技术中在进行威胁态势预测时,缺乏从协同攻击方向进行多个类型的威胁态势维度的威胁态势预测,导致威胁态势预测的全面性不佳。
发明内容
为了至少克服现有技术中的上述不足,本申请的目的在于提供一种应用AI和大数据分析的威胁态势预测方法及威胁感知系统。
第一方面,本申请提供一种应用AI和大数据分析的威胁态势预测方法,所述方法应用于威胁感知系统,所述威胁感知系统与攻击检测服务器通信,所述方法包括:
在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,从所述攻击检测服务器的攻击检测进程中提取被攻击云端应用的攻击活动大数据;
如果检测到所述攻击活动大数据中具有频繁攻击活动数据,输出所述频繁攻击活动数据相对应的协同攻击活动数据;
对所述频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,生成所述频繁攻击活动数据的协同攻击威胁态势信息。
第二方面,本申请实施例还提供一种应用AI和大数据分析的威胁态势预测系统,所述应用AI和大数据分析的威胁态势预测系统包括威胁感知系统以及与所述威胁感知系统通信连接的多个攻击检测服务器;
所述威胁感知系统,用于:
在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,从所述攻击检测服务器的攻击检测进程中提取被攻击云端应用的攻击活动大数据;
如果检测到所述攻击活动大数据中具有频繁攻击活动数据,输出所述频繁攻击活动数据相对应的协同攻击活动数据;
对所述频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,生成所述频繁攻击活动数据的协同攻击威胁态势信息。
依据以上任意方面的技术方案,通过在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,提取被攻击云端应用的攻击活动大数据,如果检测到攻击活动大数据中具有频繁攻击活动数据,输出频繁攻击活动数据相对应的协同攻击活动数据;对频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,输出频繁攻击活动数据的协同攻击威胁态势信息,从而针对频繁攻击活动从协同攻击方向进行多个类型的威胁态势维度的威胁态势预测,由此提高威胁态势预测的全面性。
附图说明
图1为本申请实施例提供的应用AI和大数据分析的威胁态势预测方法的流程示意图;
图2为本申请实施例提供的用于实现上述的应用AI和大数据分析的威胁态势预测方法的威胁感知系统的结构示意框图。
具体实施方式
下面介绍本申请一种实施例提供的应用AI和大数据分析的威胁态势预测系统10的架构,该应用AI和大数据分析的威胁态势预测系统10可以包括威胁感知系统100以及与威胁感知系统100通信连接的攻击检测服务器200。其中,应用AI和大数据分析的威胁态势预测系统10中的威胁感知系统100和攻击检测服务器200可以通过配合执行以下方法实施例所描述的应用AI和大数据分析的威胁态势预测方法,具体威胁感知系统100和攻击检测服务器200的执行步骤部分可以参照以下方法实施例的详细描述。
本实施例提供的应用AI和大数据分析的威胁态势预测方法可以由威胁感知系统100执行,下面结合图1对该应用AI和大数据分析的威胁态势预测方法进行详细介绍。
Process101、在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,提取被攻击云端应用的攻击活动大数据。
针对一些可能的实施方式,被攻击云端应用的攻击活动大数据可以经由攻击检测服务器中的数据记录单元向威胁感知系统提供,例如,数据记录单元可以向威胁感知系统实时或者每隔预设时间段传输记录到的被攻击云端应用的攻击活动大数据。其中,攻击活动大数据可以经由任何能够获取到被攻击云端应用的攻击活动大数据的数据记录单元向威胁感知系统提供。
针对一些可能的实施方式,攻击检测服务器通过发起攻击态势预测指令,从而使得威胁感知系统进行攻击事件分析和威胁态势预测。
Process102、如果检测到所述攻击活动大数据中具有频繁攻击活动数据,输出所述频繁攻击活动数据相对应的协同攻击活动数据。
针对一些可能的实施方式,频繁攻击活动数据可以是指攻击活动大数据中频率较高的攻击活动数据,例如可以是指支持度大于等于最小支持度(min_sup)的攻击活动数据,其中支持度是指某个攻击活动数据在攻击活动大数据中出现的频率。
针对一些可能的实施方式,对于提取到的攻击活动大数据,威胁感知系统可以提取频繁攻击活动数据相对应的协同攻击活动数据。协同攻击活动数据可以是指与频繁攻击活动数据对应的存在协同攻击关系的攻击活动数据。
Process103、对频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,输出频繁攻击活动数据的协同攻击威胁态势信息。
针对一些可能的实施方式,对频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测可以是指对频繁攻击活动数据相对应的协同攻击活动数据进行预设的至少两个类型的威胁态势类别/属性(如网络危险性、网络脆弱性、网络可用性、网络可靠性等)的预测,以得到协同攻击威胁态势信息。而协同攻击威胁态势信息可以用于表征该频繁攻击活动所对应的协同攻击活动的威胁态势信息,如网络危险性的威胁态势类别/属性为例,可以包括:报警数目以及类别、安全事件历史发生频率、数据流入量、数据流入量增长率等,具体可以威胁态势信息所涵盖的威胁态势指标可以由相关用户预先进行指定和配置。
针对一些可能的实施方式,对频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,输出频繁攻击活动数据的协同攻击威胁态势信息,实现方式可以参照下述方案:对频繁攻击活动数据相对应的协同攻击活动数据进行攻击趋势性特征提取,输出第一攻击趋势性特征集合;依据至少两个类型的威胁态势维度中各个威胁态势维度对应的基础威胁态势预测模型分别对第一攻击趋势性特征集合进行威胁态势预测,输出频繁攻击活动数据对于各个威胁态势维度的协同攻击威胁态势信息。
针对一些可能的实施方式,对频繁攻击活动数据相对应的协同攻击活动数据进行攻击趋势性特征提取可以是指对频繁攻击活动数据相对应的协同攻击活动数据进行具有趋势性变化的特征进行提取,以得到第一攻击趋势性特征集合。
针对一些可能的实施方式,对频繁攻击活动数据相对应的协同攻击活动数据进行攻击趋势性特征提取,输出第一攻击趋势性特征集合,实现方式可以参照下述方案:对频繁攻击活动数据相对应的协同攻击活动数据进行协同攻击节点跟踪,输出第一协同攻击节点路径;对第一协同攻击节点路径进行q个攻击阶段的异动攻击节点跟踪,输出q个量级的协同攻击节点路径,q个量级的协同攻击节点路径与q个攻击阶段的异动攻击节点跟踪具有一一对应关系,q为大于或者等于2的整数;对第一协同攻击节点路径和q个量级的协同攻击节点路径中的t个目标协同攻击节点路径进行攻击趋势变量标注,输出r个第二协同攻击节点路径,t为大于或者等于2且不超过q的整数;结合r个第二协同攻击节点路径对q个量级的协同攻击节点路径中目标量级的协同攻击节点路径进行q个攻击阶段的攻击趋势变量连通,输出第一攻击趋势性特征集合。
针对一些可能的实施方式,对频繁攻击活动数据相对应的协同攻击活动数据进行协同攻击节点跟踪可以是指对频繁攻击活动数据相对应的协同攻击活动数据进行协同攻击节点路径提取,以得到第一协同攻击节点路径。
针对攻击趋势性特征提取的过程对第一协同攻击节点路径进行了q个攻击阶段的异动攻击节点跟踪,进而对第一协同攻击节点路径和q个量级的协同攻击节点路径进行攻击趋势变量标注,结合完成攻击趋势变量标注的r个第二协同攻击节点路径对q个量级的协同攻击节点路径中目标量级的协同攻击节点路径进行q个攻击阶段的攻击趋势变量连通,例如,可将r个第二协同攻击节点路径中攻击标签分布与攻击趋势变量连通得到的同一攻击标签分布的协同攻击节点路径延伸,以扩展异动攻击节点跟踪的数据范围,由此提高第一攻击趋势性特征集合中的特征丰富性。
针对一些可能的实施方式,结合r个第二协同攻击节点路径对q个量级的协同攻击节点路径中目标量级的协同攻击节点路径进行q个攻击阶段的攻击趋势变量连通,输出第一攻击趋势性特征集合,实现方式可以参照下述方案:对目标量级的协同攻击节点路径进行首个攻击阶段的攻击趋势变量连通;对于q个攻击阶段的攻击趋势变量连通中第k个攻击阶段的攻击趋势变量连通,若r个第二协同攻击节点路径中存在待延伸的第二协同攻击节点路径,则将待延伸的第二协同攻击节点路径与第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径进行延伸,输出第一已延伸协同攻击节点路径,待延伸的第二协同攻击节点路径为与第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径的攻击标签分布匹配的第二协同攻击节点路径,k为大于或者等于1且不大于q-1的整数;对第一已延伸协同攻击节点路径或第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径,进行第v个攻击阶段的攻击趋势变量连通,直到完成第q个攻击阶段的攻击趋势变量连通;将第q个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径与r个第二协同攻击节点路径中攻击标签分布匹配的协同攻击节点路径进行延伸,输出第二已延伸协同攻击节点路径;对第二已延伸协同攻击节点路径进行攻击趋势性特征提取,输出第一攻击趋势性特征集合。
针对一些可能的实施方式,目标量级的协同攻击节点路径可以是第四攻击阶段的异动攻击节点跟踪所得的协同攻击节点路径,对目标量级的协同攻击节点路径进行首个攻击阶段的攻击趋势变量连通,鉴于r个第二协同攻击节点路径中不存在与首个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径攻击标签分布匹配的待延伸的第二协同攻击节点路径,由此,直接对首个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径进行第二攻击阶段的攻击趋势变量连通。r个第二协同攻击节点路径中具有与第二攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径攻击标签分布匹配的待延伸的第二协同攻击节点路径,则将第二攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径与r个第二协同攻击节点路径中攻击标签分布匹配的待延伸的第二协同攻击节点路径(例如,第二攻击阶段的异动攻击节点跟踪所得的协同攻击节点路径通过AI基础网络架构的攻击趋势变量标注,输出的第二协同攻击节点路径)进行延伸,输出首个第一已延伸协同攻击节点路径。对首个第一已延伸协同攻击节点路径进行第三攻击阶段的攻击趋势变量连通,r个第二协同攻击节点路径中具有与第三攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径攻击标签分布匹配的待延伸的第二协同攻击节点路径,则将第三攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径与r个第二协同攻击节点路径中攻击标签分布匹配的待延伸的第二协同攻击节点路径(可以是指首个攻击阶段的异动攻击节点跟踪所得的协同攻击节点路径通过AI基础网络架构的攻击趋势变量标注,输出的第二协同攻击节点路径)进行延伸,输出第二个第一已延伸协同攻击节点路径。
其中,对于q个攻击阶段的攻击趋势变量连通中第k个攻击阶段的攻击趋势变量连通,如果r个第二协同攻击节点路径中具有攻击标签分布匹配的待延伸的第二协同攻击节点路径,则将第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径与该待延伸的第二协同攻击节点路径进行延伸,对延伸所得的协同攻击节点路径进行下一攻击阶段的攻击趋势变量连通;如果r个第二协同攻击节点路径中不存在攻击标签分布匹配的待延伸的第二协同攻击节点路径,则直接对第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径进行下一攻击阶段的攻击趋势变量连通,一直实施直到完成第q个攻击阶段的攻击趋势变量连通,可以是指第四攻击阶段的攻击趋势变量连通。
针对一些可能的实施方式,对于第q个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径,r个第二协同攻击节点路径中通常存在攻击标签分布匹配的待延伸的第二协同攻击节点路径(可以是指第一协同攻击节点路径通过AI基础网络架构的攻击趋势变量标注,输出的第二协同攻击节点路径),则将它们进行延伸,所得的协同攻击节点路径可以是指第二已延伸协同攻击节点路径,再对第二已延伸协同攻击节点路径进行攻击趋势性特征提取,输出第一攻击趋势性特征集合。
针对一些可能的实施方式,对第一协同攻击节点路径和q个量级的协同攻击节点路径中的t个目标协同攻击节点路径进行攻击趋势变量标注,实现方式可以参照下述方案:对于第一协同攻击节点路径和t个目标协同攻击节点路径中的每个协同攻击节点路径,对每个协同攻击节点路径进行首次往复攻击趋势变量标注处理,输出首次完成攻击趋势变量标注的协同攻击节点路径;对第g次完成攻击趋势变量标注的协同攻击节点路径进行第h次往复攻击趋势变量标注处理,输出第h次完成攻击趋势变量标注的协同攻击节点路径,g为不小于1的整数;基于两次以上的往复攻击趋势变量标注处理,输出与每个协同攻击节点路径匹配预设标注结束要求的第二协同攻击节点路径,r个第二协同攻击节点路径包括第二协同攻击节点路径。
其中,本实施例可以依据不少于两个往复更新单元进行攻击趋势变量标注,以第一协同攻击节点路径为例,第一协同攻击节点路径通过首个往复更新单元的攻击趋势变量标注,输出首次完成攻击趋势变量标注的协同攻击节点路径,首次完成攻击趋势变量标注的协同攻击节点路径通过第二个往复更新单元的攻击趋势变量标注,输出第二次完成攻击趋势变量标注的协同攻击节点路径,以此类推,第g次完成攻击趋势变量标注的协同攻击节点路径通过第h次往复更新单元的攻击趋势变量标注得到第h次完成攻击趋势变量标注的协同攻击节点路径,经过不低于两次的往复攻击趋势变量标注处理,输出对应的第二协同攻击节点路径。
采用以上技术方案,本申请实施例通过在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,提取被攻击云端应用的攻击活动大数据,如果检测到攻击活动大数据中具有频繁攻击活动数据,输出频繁攻击活动数据相对应的协同攻击活动数据;对频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,输出频繁攻击活动数据的协同攻击威胁态势信息,从而针对频繁攻击活动从协同攻击方向进行多个类型的威胁态势维度的威胁态势预测,由此提高威胁态势预测的全面性。
针对一些可能的实施方式,作为另一种实施例,可以包括如下Process201-Process204的实现步骤。
Process201、在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,提取被攻击云端应用的攻击活动大数据。
Process202、如果检测到所述攻击活动大数据中具有频繁攻击活动数据,输出所述频繁攻击活动数据相对应的协同攻击活动数据。
Process203、对频繁攻击活动数据相对应的协同攻击活动数据进行攻击趋势性特征提取,输出第一攻击趋势性特征集合。
Process204、依据预先配置的至少两个类型的威胁态势维度中各个威胁态势维度对应的基础威胁态势预测模型分别对第一攻击趋势性特征集合进行威胁态势预测,输出频繁攻击活动数据对于各个威胁态势维度的协同攻击威胁态势信息。
其中,Process203和Process204是结合威胁态势预测模型实现的,威胁态势预测模型是基于对AI基础网络架构进行参数层信息的调优和选取输出的,AI基础网络架构包括特征提取模型和被配置于分别对至少两个类型的威胁态势维度进行区分预测的多个基础威胁态势预测模型。
其中,该威胁态势预测模型的容参数层信息的调优和选取过程包括:收集频繁攻击活动数据的第一模板攻击活动数据和第一模板攻击活动数据对于至少两个类型的威胁态势维度的模板威胁态势;将第一模板攻击活动数据输入特征提取模型进行攻击趋势性特征提取,输出第二攻击趋势性特征集合;将第二攻击趋势性特征集合分别传送至多个基础威胁态势预测模型进行威胁态势预测,输出第一模板攻击活动数据对于至少两个类型的威胁态势维度的协同攻击威胁态势信息;根据第一模板攻击活动数据对于至少两个类型的威胁态势维度的协同攻击威胁态势信息和第一模板攻击活动数据对于至少两个类型的威胁态势维度的模板威胁态势,输出第一威胁态势预测能力指标;根据第一威胁态势预测能力指标更新特征提取模型和多个基础威胁态势预测模型的模型参数层信息,迭代处理第一模板攻击活动数据,以使第一威胁态势预测能力指标达到收敛状态,输出威胁态势预测模型。
针对一些可能的实施方式,第二攻击趋势性特征集合可以是参数层信息的调优和选取过程中结合特征提取模型对第一模板攻击活动数据进行攻击趋势性特征提取所得的协同攻击节点路径,AI基础网络架构的参数层信息的调优和选取需要一定量级的训练样本数据,第一模板攻击活动数据可以是训练样本数据中的其中一组模板攻击活动数据,特征提取模型对第一模板攻击活动数据的特征提取方式可以参见前述对频繁攻击活动数据相对应的协同攻击活动数据进行攻击趋势性特征提取的部分。在通过基础威胁态势预测模型得到第一模板攻击活动数据对于至少两个类型的威胁态势维度下多个威胁态势维度标签的威胁态势预测信息后,可根据各个威胁态势维度下多个威胁态势维度标签的威胁态势预测信息和该威胁态势维度的模板威胁态势预测对应的损失函数值,根据第一模板攻击活动数据在至少两个类型的威胁态势维度下的多个损失函数值得到第一威胁态势预测能力指标。
其中,在第一威胁态势预测能力指标未达到收敛状态的基础上,可以更新特征提取模型和多个基础威胁态势预测模型的模型参数层信息,不断迭代处理模板攻击活动数据集(可以是第一模板攻击活动数据),直到第一威胁态势预测能力指标达到收敛状态,输出模型参数层信息收敛的威胁态势预测模型。
针对一些可能的实施方式,该方法还可以包括下述步骤。
Process301、若存在需要扩展的目标威胁态势维度,则在威胁态势预测模型中扩展目标威胁态势维度的目标基础威胁态势预测模型。
Process302、搜集所述频繁攻击活动数据的第二模板攻击活动数据和第二模板攻击活动数据对于目标威胁态势维度的模板威胁态势。
Process303、将第二模板攻击活动数据传送至特征提取模型进行攻击趋势性特征提取,输出第三攻击趋势性特征集合。
Process304、将第三攻击趋势性特征集合传送至目标基础威胁态势预测模型进行威胁态势预测,输出第二模板攻击活动数据对于目标威胁态势维度的威胁态势预测信息。
Process305、根据第二模板攻击活动数据对于目标威胁态势维度的威胁态势预测信息和第二模板攻击活动数据对于目标威胁态势维度的模板威胁态势,输出目标基础威胁态势预测模型的第二威胁态势预测能力指标。
Process306、根据第二威胁态势预测能力指标更新目标基础威胁态势预测模型的模型参数层信息,迭代处理第二模板攻击活动数据,以使第二威胁态势预测能力指标达到收敛状态。
第三攻击趋势性特征集合可以是参数层信息的调优和选取目标基础威胁态势预测模型时通过特征提取模型对第二模板攻击活动数据进行攻击趋势性特征提取所得的协同攻击节点路径,特征提取模型对第二模板攻击活动数据的处理思路同理可以参阅对频繁攻击活动数据进行攻击趋势性特征提取的相关描述。目标基础威胁态势预测模型在得到第二模板攻击活动数据对于目标威胁态势维度的威胁态势预测信息后,输出该结果与第二模板攻击活动数据对于目标威胁态势维度的模板威胁态势的损失函数值,可以是指第二威胁态势预测能力指标,在该威胁态势预测能力指标不达到收敛状态的前提下,更新目标基础威胁态势预测模型的模型参数层信息,确保特征提取模型和之前的多个基础威胁态势预测模型的模型参数层信息保持不变,迭代处理第二模板攻击活动数据,跟踪第二威胁态势预测能力指标,直到第二威胁态势预测能力指标达到收敛状态。其中,第三攻击趋势性特征集合同理会分配到之前的多个基础威胁态势预测模型进行区分预测。
针对一些可能的实施方式,在获得所述频繁攻击活动数据的协同攻击威胁态势信息之后,该方法还可以包括下述步骤:
Process104,根据所述被攻击云端应用所对应的各个频繁攻击活动数据的协同攻击威胁态势信息,确定所述被攻击云端应用所对应的威胁攻击意图分布。
Process105,基于所述被攻击云端应用所对应的威胁攻击意图分布对所述被攻击云端应用所对应的信息防护服务系统进行防护固件优化。
例如,可以从预先配置的防护固件中提取与该威胁攻击意图分布相关的防护固件信息下发至所述被攻击云端应用所对应的信息防护服务系统进行防护固件优化。
Process104的一种示例性的实现方式可以参见下述实施例。
Process1041,从所述协同攻击威胁态势信息中解析至少一个显著性威胁态势信息,其中,每个所述显著性威胁态势信息是一个候选威胁攻击意图的关联威胁态势信息。
Process1042,对每个所述显著性威胁态势信息进行显著性指标分析,确定预设威胁攻击意图位置图谱中与每个所述显著性威胁态势信息对应的显著性指标信息。
Process1043,对所述显著性威胁态势信息进行关注态势特征提取,确定所述显著性威胁态势信息中至少一个持续性关注态势信息的关注态势特征信息,其中,每个所述持续性关注态势信息是一个持续性关注时空域的关联威胁态势信息。
Process1044,依据所述显著性威胁态势信息中每个所述持续性关注态势信息的关注态势特征信息、以及所述显著性威胁态势信息对应的所述显著性指标信息进行关注态势特征映射关联,确定所述显著性威胁态势信息中每个所述持续性关注态势信息与所述显著性威胁态势信息对应的所述显著性指标信息的持续性关注时空域之间的持续性关注关系。
Process1045,依据每个所述显著性威胁态势信息对应的所述显著性指标信息以及所述持续性关注关系,生成所述协同攻击威胁态势信息的威胁攻击意图。
例如,可以将每个所述显著性威胁态势信息对应的所述显著性指标信息以及所述持续性关注关系输入到预先训练获得的威胁攻击意图决策模型,确定所述协同攻击威胁态势信息的威胁攻击意图;
其中,所述威胁攻击意图决策模型的训练步骤可以是:获取样本协同攻击威胁态势信息所对应的每个样本显著性威胁态势信息的样本威胁攻击意图,所述每个样本显著性威胁态势信息的对应的样本显著性指标信息,以及所述样本显著性威胁态势信息中每个样本持续性关注态势信息与所述样本显著性威胁态势信息对应的样本显著性指标信息的样本持续性关注时空域之间的样本持续性关注关系;将所述样本协同攻击威胁态势信息所对应的每个样本显著性威胁态势信息的所述样本显著性指标信息以及所述样本持续性关注关系输入到初始化威胁攻击意图决策模型中,预测所述样本协同攻击威胁态势信息所对应的威胁攻击预测意图;基于所述威胁攻击预测意图和所述样本威胁攻击意图之间的预测损失函数值对所述初始化威胁攻击意图决策模型进行迭代训练,输出训练完成的威胁攻击意图决策模型。
图2示出了本申请实施例提供的用于实现上述的应用AI和大数据分析的威胁态势预测系统的威胁感知系统100的硬件结构意图,如图2所示,威胁感知系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
处理器110可以根据存储在机器可读存储介质120中的程序而执行各种适当的动作和处理,例如前述实施例所描述的应用AI和大数据分析的威胁态势预测方法所对应的程序指令。处理器110、机器可读存储介质120以及通信单元140通过总线130进行信号传输。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信单元140从网络上被下载和安装,在该计算机程序被处理器110执行时,执行本公开实施例的方法中限定的上述功能。
本公开又一实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述任一实施例所述的应用AI和大数据分析的威胁态势预测方法。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(LAM)、只读存储器(LOM)、可擦式可编程只读存储器(EPLOM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-LOM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以依据多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、LM(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备执行上述实施例所示的方法。
本公开又一实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如上述任一实施例所述的应用AI和大数据分析的威胁态势预测方法。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。
Claims (7)
1.一种应用AI和大数据分析的威胁态势预测方法,其特征在于,应用于与攻击检测服务器通信的威胁感知系统,所述方法包括:
在所述攻击检测服务器检测到敏感攻击活动时,响应所述攻击检测服务器发起的攻击态势预测指令,从所述攻击检测服务器的攻击检测进程中提取被攻击云端应用的攻击活动大数据;
如果检测到所述攻击活动大数据中具有频繁攻击活动数据,输出所述频繁攻击活动数据相对应的协同攻击活动数据;
对所述频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,生成所述频繁攻击活动数据的协同攻击威胁态势信息;
所述对所述频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,生成所述频繁攻击活动数据的协同攻击威胁态势信息是结合威胁态势预测模型实现的,所述威胁态势预测模型是基于对AI基础网络架构进行参数层信息的调优和选取输出的,所述AI基础网络架构包括特征提取模型和被配置于分别对预先配置的至少两个类型的威胁态势维度进行区分预测的多个基础威胁态势预测模型,所述威胁态势预测模型的容参数层信息的调优和选取过程包括:
搜集所述频繁攻击活动数据的第一模板攻击活动数据和所述第一模板攻击活动数据对应于所述至少两个类型的威胁态势维度的模板威胁态势;
将所述第一模板攻击活动数据传送至所述特征提取模型进行攻击趋势性特征提取,输出第二攻击趋势性特征集合;
将所述第二攻击趋势性特征集合分别传送至所述多个基础威胁态势预测模型进行威胁态势预测,生成所述第一模板攻击活动数据对应于所述至少两个类型的威胁态势维度的协同攻击威胁态势信息;
依据所述第一模板攻击活动数据对应于所述至少两个类型的威胁态势维度的协同攻击威胁态势信息和所述第一模板攻击活动数据对应于所述至少两个类型的威胁态势维度的模板威胁态势,输出第一威胁态势预测能力指标;
依据所述第一威胁态势预测能力指标更新所述特征提取模型和所述多个基础威胁态势预测模型的模型参数层信息,迭代处理所述第一模板攻击活动数据,以使得所述第一威胁态势预测能力指标达到收敛状态,生成所述威胁态势预测模型;
所述方法还包括:
若存在需要扩展的目标威胁态势维度,则在所述威胁态势预测模型中扩展所述目标威胁态势维度的目标基础威胁态势预测模型;
搜集所述频繁攻击活动数据的第二模板攻击活动数据和所述第二模板攻击活动数据对应于所述目标威胁态势维度的模板威胁态势;
将所述第二模板攻击活动数据传送至所述特征提取模型进行攻击趋势性特征提取,输出第三攻击趋势性特征集合;
将所述第三攻击趋势性特征集合传送至所述目标基础威胁态势预测模型进行威胁态势预测,生成所述第二模板攻击活动数据对应于所述目标威胁态势维度的协同攻击威胁态势信息;
依据所述第二模板攻击活动数据对应于所述目标威胁态势维度的协同攻击威胁态势信息和所述第二模板攻击活动数据对应于所述目标威胁态势维度的模板威胁态势,输出所述目标基础威胁态势预测模型的第二威胁态势预测能力指标;
依据所述第二威胁态势预测能力指标更新所述目标基础威胁态势预测模型的模型参数层信息,迭代处理所述第二模板攻击活动数据,以使得迭代输出的所述第二威胁态势预测能力指标达到收敛状态;
所述对所述频繁攻击活动数据相对应的协同攻击活动数据进行预先配置的至少两个类型的威胁态势维度的威胁态势预测,生成所述频繁攻击活动数据的协同攻击威胁态势信息,包括:
对所述频繁攻击活动数据相对应的协同攻击活动数据进行攻击趋势性特征提取,输出第一攻击趋势性特征集合;
结合所述至少两个类型的威胁态势维度中各个威胁态势维度对应的基础威胁态势预测模型分别对所述第一攻击趋势性特征集合进行威胁态势预测,生成所述频繁攻击活动数据对应于所述各个威胁态势维度的协同攻击威胁态势信息。
2.根据权利要求1所述的应用AI和大数据分析的威胁态势预测方法,其特征在于,所述对所述频繁攻击活动数据相对应的协同攻击活动数据进行攻击趋势性特征提取,输出第一攻击趋势性特征集合,包括:
对所述频繁攻击活动数据相对应的协同攻击活动数据进行协同攻击节点跟踪,输出第一协同攻击节点路径;
对所述第一协同攻击节点路径进行q个攻击阶段的异动攻击节点跟踪,输出q个量级的协同攻击节点路径,所述q个量级的协同攻击节点路径与所述q个攻击阶段的异动攻击节点跟踪具有一一对应关系,q为大于或者等于2的整数;
对所述第一协同攻击节点路径和所述q个量级的协同攻击节点路径中的t个目标协同攻击节点路径进行攻击趋势变量标注,输出r个第二协同攻击节点路径,t为大于或者等于2且不超过q的整数,r=t+1;
结合所述r个第二协同攻击节点路径对所述q个量级的协同攻击节点路径中目标量级的协同攻击节点路径进行q个攻击阶段的攻击趋势变量连通,生成所述第一攻击趋势性特征集合。
3.根据权利要求2所述的应用AI和大数据分析的威胁态势预测方法,其特征在于,所述结合所述r个第二协同攻击节点路径对所述q个量级的协同攻击节点路径中目标量级的协同攻击节点路径进行q个攻击阶段的攻击趋势变量连通,生成所述第一攻击趋势性特征集合,包括:
对所述目标量级的协同攻击节点路径进行首个攻击阶段的攻击趋势变量连通;
针对于所述q个攻击阶段的攻击趋势变量连通中第k个攻击阶段的攻击趋势变量连通,如果所述r个第二协同攻击节点路径中存在待延伸的第二协同攻击节点路径,则将所述待延伸的第二协同攻击节点路径与所述第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径进行延伸,输出第一已延伸协同攻击节点路径,所述待延伸的第二协同攻击节点路径为与所述第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径的攻击标签分布匹配的第二协同攻击节点路径,k为大于或者等于1且不大于q-1的整数;
对所述第一已延伸协同攻击节点路径或所述第k个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径,进行第v个攻击阶段的攻击趋势变量连通,直到完成第q个攻击阶段的攻击趋势变量连通,v=k+1;
将所述第q个攻击阶段的攻击趋势变量连通所获得的协同攻击节点路径与所述r个第二协同攻击节点路径中攻击标签分布匹配的协同攻击节点路径进行延伸,输出第二已延伸协同攻击节点路径;
对所述第二已延伸协同攻击节点路径进行攻击趋势性特征提取,生成所述第一攻击趋势性特征集合。
4.根据权利要求2所述的应用AI和大数据分析的威胁态势预测方法,其特征在于,所述对所述第一协同攻击节点路径和所述q个量级的协同攻击节点路径中的t个目标协同攻击节点路径进行攻击趋势变量标注,包括:
针对于所述第一协同攻击节点路径和所述t个目标协同攻击节点路径中的每个协同攻击节点路径,对所述每个协同攻击节点路径进行首次往复攻击趋势变量标注处理,输出首次完成攻击趋势变量标注的协同攻击节点路径;
对第g次完成攻击趋势变量标注的协同攻击节点路径进行第h次往复攻击趋势变量标注处理,输出第h次完成攻击趋势变量标注的协同攻击节点路径,g为大于或等1的整数且h=g+1;
基于两次以上的往复攻击趋势变量标注处理,输出与所述每个协同攻击节点路径匹配预设标注结束要求的第二协同攻击节点路径,所述r个第二协同攻击节点路径包括所述第二协同攻击节点路径。
5.根据权利要求1-4中任意一项所述的应用AI和大数据分析的威胁态势预测方法,其特征在于,所述方法还包括:
根据所述被攻击云端应用所对应的各个频繁攻击活动数据的协同攻击威胁态势信息,确定所述被攻击云端应用所对应的威胁攻击意图分布;
基于所述被攻击云端应用所对应的威胁攻击意图分布对所述被攻击云端应用所对应的信息防护服务系统进行防护固件优化。
6.根据权利要求5所述的应用AI和大数据分析的威胁态势预测方法,其特征在于,所述根据所述被攻击云端应用所对应的各个频繁攻击活动数据的协同攻击威胁态势信息,确定所述被攻击云端应用所对应的威胁攻击意图分布的步骤,包括:
从所述协同攻击威胁态势信息中解析至少一个显著性威胁态势信息,其中,每个所述显著性威胁态势信息是一个候选威胁攻击意图的关联威胁态势信息;
对每个所述显著性威胁态势信息进行显著性指标分析,确定预设威胁攻击意图位置图谱中与每个所述显著性威胁态势信息对应的显著性指标信息;
对所述显著性威胁态势信息进行关注态势特征提取,确定所述显著性威胁态势信息中至少一个持续性关注态势信息的关注态势特征信息,其中,每个所述持续性关注态势信息是一个持续性关注时空域的关联威胁态势信息;
依据所述显著性威胁态势信息中每个所述持续性关注态势信息的关注态势特征信息、以及所述显著性威胁态势信息对应的所述显著性指标信息进行关注态势特征映射关联,确定所述显著性威胁态势信息中每个所述持续性关注态势信息与所述显著性威胁态势信息对应的所述显著性指标信息的持续性关注时空域之间的持续性关注关系;
依据每个所述显著性威胁态势信息对应的所述显著性指标信息以及所述持续性关注关系,生成所述协同攻击威胁态势信息的威胁攻击意图;
其中,所述依据每个所述显著性威胁态势信息对应的所述显著性指标信息以及所述持续性关注关系,生成所述协同攻击威胁态势信息的威胁攻击意图的步骤,包括:
将每个所述显著性威胁态势信息对应的所述显著性指标信息以及所述持续性关注关系输入到预先训练获得的威胁攻击意图决策模型,确定所述协同攻击威胁态势信息的威胁攻击意图;
其中,所述威胁攻击意图决策模型的训练步骤包括:
获取样本协同攻击威胁态势信息所对应的每个样本显著性威胁态势信息的样本威胁攻击意图,所述每个样本显著性威胁态势信息的对应的样本显著性指标信息,以及所述样本显著性威胁态势信息中每个样本持续性关注态势信息与所述样本显著性威胁态势信息对应的样本显著性指标信息的样本持续性关注时空域之间的样本持续性关注关系;
将所述样本协同攻击威胁态势信息所对应的每个样本显著性威胁态势信息的所述样本显著性指标信息以及所述样本持续性关注关系输入到初始化威胁攻击意图决策模型中,预测所述样本协同攻击威胁态势信息所对应的威胁攻击预测意图;
基于所述威胁攻击预测意图和所述样本威胁攻击意图之间的预测损失函数值对所述初始化威胁攻击意图决策模型进行迭代训练,输出训练完成的威胁攻击意图决策模型。
7.一种威胁感知系统,其特征在于,所述威胁感知系统包括处理器和机器可读存储介质,所述机器可读存储介质中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现权利要求1-6中任意一项的应用AI和大数据分析的威胁态势预测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210566007.4A CN114866329B (zh) | 2022-05-24 | 2022-05-24 | 应用ai和大数据分析的威胁态势预测方法及威胁感知系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210566007.4A CN114866329B (zh) | 2022-05-24 | 2022-05-24 | 应用ai和大数据分析的威胁态势预测方法及威胁感知系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866329A CN114866329A (zh) | 2022-08-05 |
| CN114866329B true CN114866329B (zh) | 2023-02-07 |
Family
ID=82638400
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210566007.4A Active CN114866329B (zh) | 2022-05-24 | 2022-05-24 | 应用ai和大数据分析的威胁态势预测方法及威胁感知系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866329B (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106341414B (zh) * | 2016-09-30 | 2019-04-23 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
| CN108259449B (zh) * | 2017-03-27 | 2020-03-06 | 新华三技术有限公司 | 一种防御apt攻击的方法和系统 |
| CN109995793B (zh) * | 2019-04-12 | 2021-08-03 | 中国人民解放军战略支援部队信息工程大学 | 网络动态威胁跟踪量化方法及系统 |
| CN111641653A (zh) * | 2020-05-29 | 2020-09-08 | 北京中超伟业信息安全技术股份有限公司 | 基于云平台的网络安全威胁态势感知系统 |
| CN113422721B (zh) * | 2021-08-24 | 2021-11-09 | 之江实验室 | 一种拟态工业边缘计算网关的实现方法 |
-
2022
- 2022-05-24 CN CN202210566007.4A patent/CN114866329B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866329A (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10412105B2 (en) | Automatic detection of network threats based on modeling sequential behavior in network traffic | |
| CN109922032B (zh) | 用于确定登录账户的风险的方法、装置、设备及存储介质 | |
| US11743276B2 (en) | Methods, systems, articles of manufacture and apparatus for producing generic IP reputation through cross protocol analysis | |
| CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
| CN111428817B (zh) | 一种面向无线电信号识别对抗攻击的防御方法 | |
| US20220030017A1 (en) | Cybersecurity investigation tools utilizing information graphs | |
| CN114697128B (zh) | 通过人工智能决策的大数据去噪方法及大数据采集系统 | |
| CN111506599A (zh) | 基于规则匹配和深度学习的工控设备识别方法及系统 | |
| CN112351031A (zh) | 攻击行为画像的生成方法、装置、电子设备和存储介质 | |
| CN113496033A (zh) | 访问行为识别方法和装置及存储介质 | |
| US20200125900A1 (en) | Selecting an algorithm for analyzing a data set based on the distribution of the data set | |
| CN111935185B (zh) | 基于云计算构建大规模诱捕场景的方法及系统 | |
| CN111368289A (zh) | 一种恶意软件检测方法和装置 | |
| CN117216660A (zh) | 基于时序网络流量集成异常点和异常集群检测方法及装置 | |
| CN114866344B (zh) | 信息系统数据安全防护方法、系统及云平台 | |
| CN111147300B (zh) | 一种网络安全告警置信度评估方法及装置 | |
| CN116992299A (zh) | 区块链交易异常检测模型的训练方法、检测方法及装置 | |
| CN114866329B (zh) | 应用ai和大数据分析的威胁态势预测方法及威胁感知系统 | |
| US11689550B2 (en) | Methods and apparatus to analyze network traffic for malicious activity | |
| CN114928493B (zh) | 基于威胁攻击大数据的威胁情报生成方法及ai安全系统 | |
| CN117130906A (zh) | 嵌入式设备中网络服务器的模糊测试方法及装置 | |
| CN111405563A (zh) | 保护用户隐私的风险检测方法和装置 | |
| KR20210059991A (ko) | IoT 악성행위 분석 방법 및 이를 수행하기 위한 컴퓨팅 장치 | |
| CN113992371B (zh) | 一种流量日志的威胁标签生成方法、装置及电子设备 | |
| CN115098864A (zh) | 一种图像识别模型的评测方法、装置、介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20221028 Address after: No. 5-45, chundengli, Donghua community, Guandu District, Kunming, Yunnan 650000 Applicant after: Ruan Libin Address before: No. 18, Tengfei Road, Junliangcheng Street, Dongli District, Tianjin, 300000 Applicant before: Tianjin Fengshang Communication Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230113 Address after: Room 102, 1F, Building 2, Yard 56, Jiujingzhuang, Dahongmen, Fengtai District, Beijing, 100071 Applicant after: Beijing Haokuan Network Technology Co.,Ltd. Address before: No. 5-45, chundengli, Donghua community, Guandu District, Kunming, Yunnan 650000 Applicant before: Ruan Libin |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |