CN114866330B - 采用ai和大数据分析的威胁攻击防护决策方法及ai系统 - Google Patents

采用ai和大数据分析的威胁攻击防护决策方法及ai系统 Download PDF

Info

Publication number
CN114866330B
CN114866330B CN202210571928.XA CN202210571928A CN114866330B CN 114866330 B CN114866330 B CN 114866330B CN 202210571928 A CN202210571928 A CN 202210571928A CN 114866330 B CN114866330 B CN 114866330B
Authority
CN
China
Prior art keywords
threat
attack
data
situation
threat attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210571928.XA
Other languages
English (en)
Other versions
CN114866330A (zh
Inventor
运向正
张伟斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Weiyan Technology Co ltd
Original Assignee
Shenzhen Weiyan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Weiyan Technology Co ltd filed Critical Shenzhen Weiyan Technology Co ltd
Priority to CN202210571928.XA priority Critical patent/CN114866330B/zh
Publication of CN114866330A publication Critical patent/CN114866330A/zh
Application granted granted Critical
Publication of CN114866330B publication Critical patent/CN114866330B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例提供一种采用AI和大数据分析的威胁攻击防护决策方法及AI系统,通过获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇,然后依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整,从而以防护关注指标为基础对相关的线上页面进行防护强化调整,相较于相关技术中进行全局统一化防护强化调整而言更具有针对性和准确性。

Description

采用AI和大数据分析的威胁攻击防护决策方法及AI系统
技术领域
本发明涉及信息安全技术领域,具体而言,涉及一种采用AI和大数据分析的威胁攻击防护决策方法及AI系统。
背景技术
大数据信息管理系统固有的脆弱性使其不可避免的面临外在威胁攻击的影响,针对外在动态、变化的威胁开展有效威胁感知,进而对于实施针对性的防护强化方案调整具有重要支撑作用。然而,相关技术中,通常是进行全局统一化防护强化调整,导致针对性和准确性难以满足预期。
发明内容
为了至少克服现有技术中的上述不足,本发明的目的在于提供一种采用AI和大数据分析的威胁攻击防护决策方法及AI系统。
第一方面,本发明实施例提供一种采用AI和大数据分析的威胁攻击防护决策方法,应用于AI系统,所述AI系统与多个威胁感知系统通信连接,所述方法包括:
获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇;
依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整。
其中,所述依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整的步骤,包括:
依据所述威胁感知数据关联的防护关注指标簇,从所述威胁感知数据中获取与所述防护关注指标簇关联的涵盖多个前向威胁攻击活动数据的前向威胁攻击活动数据簇以及涵盖多个后向威胁攻击活动数据的后向威胁攻击活动数据簇;其中,各前向威胁攻击活动数据与各后向威胁攻击活动数据对应相同的威胁攻击源字段信息,每一前向威胁攻击活动数据和后向威胁攻击活动数据均采用多种威胁攻击注入策略的威胁攻击注入行为数据聚合构成,且每一前向威胁攻击活动数据和后向威胁攻击活动数据包括的多个威胁攻击注入行为数据均关联有相应的威胁攻击链特征;
基于所述前向威胁攻击活动数据簇中每个前向威胁攻击活动数据各自关联的威胁攻击链特征,分别从每个前向威胁攻击活动数据中获取涵盖标的线上页面服务的目标循环威胁攻击活动数据,生成目标循环威胁攻击活动数据簇;
依据生成的目标循环威胁攻击活动数据簇,对所述后向威胁攻击活动数据簇中的多个后向威胁攻击活动数据进行针对所述标的线上页面服务的循环威胁要素信息匹配,生成涵盖所述标的线上页面服务的多个后向威胁攻击活动数据;
对涵盖所述标的线上页面服务的多个后向威胁攻击活动数据进行防护脆弱点预测,生成所述标的线上页面服务所关联的防护脆弱点;
依据所述标的线上页面服务所关联的防护脆弱点,对所述标的线上页面服务的防护强化方案进行调整。
其中,基于所述前向威胁攻击活动数据簇中每个前向威胁攻击活动数据各自关联的威胁攻击链特征,分别从每个前向威胁攻击活动数据中获取涵盖标的线上页面服务的目标循环威胁攻击活动数据,生成目标循环威胁攻击活动数据簇,包括:
针对所述每个前向威胁攻击活动数据的威胁攻击链的感知日志数据,生成相应的威胁攻击链特征;
针对每个威胁攻击链特征,确定该威胁攻击链特征中指示的威胁攻击注入行为特征涵盖所述标的线上页面服务时,基于该威胁攻击链特征指示的所述标的线上页面服务的被攻击路径数据,从相应的前向威胁攻击活动数据中依据频繁模式项决策模型生成所述标的线上页面服务关联的目标循环威胁攻击活动数据;
所述依据生成的目标循环威胁攻击活动数据簇,对所述后向威胁攻击活动数据簇中的多个后向威胁攻击活动数据进行针对所述标的线上页面服务的循环威胁要素信息匹配,生成涵盖所述标的线上页面服务的多个后向威胁攻击活动数据,包括:
基于所述后向威胁攻击活动数据簇中每个后向威胁攻击活动数据的威胁攻击链特征,生成所述后向威胁攻击活动数据簇中处于威胁渗透传递状态的所述标的线上页面服务的威胁渗透传递参数以及其它威胁攻击注入行为数据的威胁渗透传递参数;
基于所述标的线上页面服务的威胁渗透传递参数以及所述其它威胁攻击注入行为数据的威胁渗透传递参数,生成所述后向威胁攻击活动数据簇待更新的所述标的线上页面服务的威胁渗透传递参数;
基于待更新的所述标的线上页面服务的威胁渗透传递参数,从所述后向威胁攻击活动数据簇确定所述多个后向威胁攻击活动数据;其中,所述多个后向威胁攻击活动数据中每个后向威胁攻击活动数据关联的标的线上页面服务的威胁渗透传递参数的全局传递参数,与待更新的所述标的线上页面服务的威胁渗透传递参数匹配;
针对所述多个后向威胁攻击活动数据中的每个后向威胁攻击活动数据,基于所述待更新的所述标的线上页面服务的威胁渗透传递参数,为该后向威胁攻击活动数据提取相应威胁渗透传递参数的目标循环威胁攻击活动数据;其中,所述多个后向威胁攻击活动数据中每个后向威胁攻击活动数据待更新的所述标的线上页面服务的威胁渗透传递参数的全局传递参数与待更新的所述标的线上页面服务的威胁渗透传递参数匹配;或者,为该后向威胁攻击活动数据提取设定威胁渗透传递参数的目标循环威胁攻击活动数据,以及将该后向威胁攻击活动数据与所述多个目标循环威胁攻击活动数据进行循环威胁要素信息匹配,生成涵盖所述标的线上页面服务的一个后向威胁攻击活动数据。
其中,所述获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇的步骤,包括:
从威胁感知运行进程中获取威胁感知系统针对目标防护服务器的威胁感知数据;
依据威胁态势决策模型的威胁情报变量挖掘分支,对所述威胁感知数据进行威胁情报变量挖掘,输出所述威胁感知数据关联的威胁情报变量信息;
依据所述威胁态势决策模型的威胁攻击态势决策分支,对所述威胁情报变量信息进行威胁攻击态势决策,输出所述威胁感知数据中的每个持续项威胁攻击事件关联的目标威胁攻击态势;
依据所述威胁感知数据中的每个持续项威胁攻击事件关联的目标威胁攻击态势,以及每个所述目标威胁攻击态势关联的态势估计指标,生成所述威胁感知数据中的每个持续项威胁攻击事件关联的防护评估指标;
依据所述威胁感知数据中的每个持续项威胁攻击事件关联的防护评估指标,生成所述威胁感知数据关联的防护关注指标簇;
其中,所述威胁态势决策模型是以先验威胁态势学习数据簇中的先验威胁感知数据为AI学习特征数据、以所述先验威胁感知数据的每个持续项威胁攻击事件的先验威胁攻击态势为AI学习依据进行模数参数层的调优和选取输出的AI部署网络模型;所述每个所述目标威胁攻击态势关联的态势估计指标是依据所述先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定的。
其中,所述方法还包括:
从训练先验样本库中提取先验威胁感知数据,以及所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的先验威胁攻击态势;
依据威胁态势决策模型的威胁情报变量挖掘分支,对所述先验威胁感知数据进行威胁情报变量挖掘,输出所述先验威胁感知数据关联的先验威胁情报变量信息;
依据所述先验威胁情报变量信息,基于威胁态势决策模型的威胁攻击态势决策分支进行威胁攻击态势决策,生成所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息;
依据所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息,以及所述先验威胁感知数据中的每个先验持续项威胁攻击事件分别关联的先验威胁攻击态势,对所述威胁态势决策模型进行模型参数层的调优和选取。
其中,所述从训练先验样本库中提取先验威胁感知数据,以及所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的先验威胁攻击态势,包括:
获取所述先验威胁态势学习数据簇;所述先验威胁态势学习数据簇中涵盖先验威胁感知数据,以及所述先验威胁感知数据关联的重点决策特征数据;所述重点决策特征数据表征所述先验威胁感知数据中的重点决策特征数据的特征向量簇;
依据所述先验威胁感知数据关联的重点决策特征数据,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇;
依据所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势。
其中,所述依据所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势,包括:
获取所述威胁攻击态势决策分支关联的威胁攻击态势指标;所述威胁攻击态势指标涵盖多个威胁攻击态势细化指标;
依据所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,基于所述威胁攻击态势指标进行威胁态势决策,生成所述先验威胁感知数据中的每个持续项威胁攻击事件关联的先验威胁攻击态势;
其中,所述获取所述威胁攻击态势决策分支关联的威胁攻击态势指标,包括:
依据所述先验威胁态势学习数据簇中的每个先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇的威胁攻击态势特征点,生成威胁攻击态势特征点簇;所述威胁攻击态势特征点簇表征所述威胁攻击态势指标的威胁攻击态势特征点范围;
依据所述威胁攻击态势指标的威胁攻击态势特征点范围,生成分治威胁攻击态势特征点范围;所述分治威胁攻击态势特征点范围表征所述威胁攻击态势指标的范围分治点;所述范围分治点用于将所述威胁攻击态势指标分治为每个威胁攻击态势细化指标;
依据所述威胁攻击态势特征点簇与所述分治威胁攻击态势特征点范围,生成所述威胁攻击态势决策分支关联的威胁攻击态势指标。
其中,所述方法还包括:
获取关联先验持续项威胁攻击事件;所述关联先验持续项威胁攻击事件是所述先验威胁态势学习数据簇中的每个先验威胁感知数据的持续项威胁攻击事件中,与关联先验威胁攻击态势关联的持续项威胁攻击事件;所述关联先验威胁攻击态势是每个所述先验威胁攻击态势中的任意一个;
依据所述关联先验持续项威胁攻击事件中的每个持续项威胁攻击事件分别关联的防护关注指标簇的设定关注度区间的防护关注指标,生成所述关联先验威胁攻击态势关联的态势估计指标。
其中,所述依据所述先验威胁感知数据关联的重点决策特征数据,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,包括:
依据所述先验威胁感知数据,以及所述先验威胁感知数据关联的重点决策特征数据,生成所述先验威胁感知数据关联的先验防护关注指标知识空间;所述先验防护关注指标知识空间表征所述先验威胁感知数据中防护关注指标所对应的知识节点;
依据所述先验防护关注指标知识空间,基于防护关注倾向预测单元进行防护关注倾向预测,生成所述先验威胁感知数据关联的先验防护关注指标的防护关注倾向值;
依据所述先验防护关注指标的防护关注倾向值,分别在所述先验威胁感知数据中的每个持续项威胁攻击事件进行防护关注指标提取,生成所述先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇。
第二方面,本发明实施例还提供一种采用AI和大数据分析的威胁攻击防护决策系统,所述采用AI和大数据分析的威胁攻击防护决策系统包括AI系统以及与所述AI系统通信连接的多个威胁感知系统;
所述AI系统,用于:
获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇;
依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整。
采用以上任意一个方面的技术方案,本申请实施例通过获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇,然后依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整,从而以防护关注指标为基础对相关的线上页面进行防护强化调整,相较于相关技术中进行全局统一化防护强化调整而言更具有针对性和准确性。
附图说明
图1为本发明实施例提供的采用AI和大数据分析的威胁攻击防护决策方法的流程示意图;
图2为本发明实施例提供的用于实现上述的采用AI和大数据分析的威胁攻击防护决策方法的AI系统的功能组件示意框图。
具体实施方式
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“对应于”以及它们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面介绍本发明一种实施例提供的采用AI和大数据分析的威胁攻击防护决策系统10的架构,该采用AI和大数据分析的威胁攻击防护决策系统10可以包括AI系统100以及与AI系统100通信连接的威胁感知系统200。其中,采用AI和大数据分析的威胁攻击防护决策系统10中的AI系统100和威胁感知系统200可以通过配合执行以下方法实施例所描述的采用AI和大数据分析的威胁攻击防护决策方法,具体AI系统100和威胁感知系统200的执行步骤部分可以参照以下方法实施例的详细描述。
本实施例提供的采用AI和大数据分析的威胁攻击防护决策方法可以由AI系统100执行,下面结合图1对该采用AI和大数据分析的威胁攻击防护决策方法进行详细介绍。
Process100,获取威胁感知系统200针对目标防护服务器的威胁感知数据关联的防护关注指标簇。
针对一些可能的设计思路而言,威胁感知系统200可以用于进行威胁感知,例如,可以基于应用蜜罐、虚拟系统、虚拟网络等多种方式的主动、积极、欺骗性质的网络安全检测,进而获得相应威胁感知数据,并在此基础上进行防护关注指标的挖掘,从而生成威胁感知数据关联的防护关注指标簇,其中,防护关注指标可以用于表征针对后续需要进行防护重点关注的威胁指标参数。
Process200,依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整。
在确定所述威胁感知数据关联的防护关注指标簇后,即可获知所述目标防护服务器的标的线上页面服务可能存在的防护脆弱点特征,并由此提示相关开发人员对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整。
基于以上步骤,本实施例通过获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇,然后依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整,从而以防护关注指标为基础对相关的线上页面进行防护强化调整,相较于相关技术中进行全局统一化防护强化调整而言更具有针对性和准确性。
针对一些可能的设计思路而言,上述Process100一种具体实施例可以参见下述内容。
Process101,生成威胁感知系统针对目标防护服务器的威胁感知数据。
例如,威胁感知数据可以包括报文异常监测数据、恶意URL监测数据、深度流监测数据、异常通信行为分析数据、恶意代码监测数据等。
Process102,依据威胁态势决策模型的威胁情报变量挖掘分支,对该威胁感知数据进行威胁情报变量挖掘,生成该威胁感知数据关联的威胁情报变量信息。
针对一些可能的设计思路而言,威胁态势决策模型可以是采用AI训练生成的AI部署模型,威胁情报变量挖掘分支可以用于挖掘该威胁感知数据的威胁情报变量。
Process103,依据该威胁态势决策模型的威胁攻击态势决策分支,对所述威胁情报变量信息进行威胁攻击态势决策,输出该威胁感知数据中的每个持续项威胁攻击事件关联的目标威胁攻击态势。
针对一些可能的设计思路而言,目标威胁攻击态势可以表征该威胁感知数据中的每个持续项威胁攻击事件的当前威胁状态的更新状态画像。
Process104,依据该威胁感知数据中的每个持续项威胁攻击事件关联的目标威胁攻击态势,以及每个该目标威胁攻击态势关联的态势估计指标,生成该威胁感知数据中的每个持续项威胁攻击事件关联的防护评估指标。
针对一些可能的设计思路而言,每个目标威胁攻击态势可以预先对应一种态势估计指标,该态势估计指标可以用于表征该目标威胁攻击态势的防护关注先验度,例如该态势估计指标关联的指标值越大,那么表示该目标威胁攻击态势相关的威胁攻击活动被防护关注的可能性越大。
Process105,依据该威胁感知数据中的每个持续项威胁攻击事件关联的防护评估指标,生成该威胁感知数据关联的防护关注指标簇。
其中,该威胁态势决策模型是以先验威胁态势学习数据簇中的先验威胁感知数据为AI学习特征数据、以先验威胁感知数据的每个持续项威胁攻击事件的先验威胁攻击态势为AI学习依据进行模数参数层的调优和选取输出的AI部署网络模型;该每个该目标威胁攻击态势关联的态势估计指标是依据该威胁态势决策模型关联的先验威胁态势学习数据簇中先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定的。
采用以上技术方案,通过基于先验威胁感知数据,以及该先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势对威胁态势决策模型进行模型参数层的调优和选取,输出满足收敛要求的威胁态势决策模型,基于该威胁态势决策模型确定加载的威胁感知数据的每个先验持续项威胁攻击事件的目标威胁攻击态势,以及每个目标威胁攻击态势关联的态势估计指标,生成该威胁感知数据的防护关注指标簇。基于上述方案,基于威胁态势决策模型关联的先验威胁态势学习数据簇中先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定态势估计指标,可以基于每个持续项威胁攻击事件的关联的防护关注指标簇确定该态势估计指标的态势先验范围,使得每个目标威胁攻击态势关联的态势估计指标更加匹配该目标威胁攻击态势关联的威胁感知数据的实际威胁攻击状态,降低了基于态势估计指标对每个持续项威胁攻击事件进行防护关注指标提取时产生的误差,提高了对威胁感知数据中防护关注指标簇估计的精度。
下面继续介绍本发明实施例一示例性实施例的一种采用AI和大数据分析的威胁攻击防护决策方法的流程,该采用AI和大数据分析的威胁攻击防护决策方法的流程可以包括如下步骤。
Process201,从训练先验样本库中提取先验威胁态势学习数据簇;该先验威胁态势学习数据簇中包括先验威胁感知数据,以及该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的先验威胁攻击态势。
Process202,依据威胁态势决策模型的威胁情报变量挖掘分支,对该先验威胁感知数据进行威胁情报变量挖掘,输出该先验威胁感知数据关联的先验威胁情报变量信息。
Process203,依据该先验威胁情报变量信息,基于威胁态势决策模型的威胁攻击态势决策分支进行威胁攻击态势决策,生成该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息。
Process204,依据该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息,以及该先验威胁感知数据中的每个先验持续项威胁攻击事件分别关联的先验威胁攻击态势,对该威胁态势决策模型进行模型参数层的调优和选取。
例如,满足收敛要求的威胁态势决策模型用于基于加载的威胁感知数据获得该威胁感知数据中的每个持续项威胁攻击事件的目标威胁攻击态势,并基于每个目标威胁攻击态势关联的态势估计指标,生成威胁感知数据关联的防护关注指标簇;每个该目标威胁攻击态势关联的态势估计指标是依据该威胁态势决策模型的先验威胁态势学习数据簇中先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定的。
基于以上步骤,本实施例基于先验威胁感知数据,以及该先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势对威胁态势决策模型进行模型参数层的调优和选取,输出满足收敛要求的威胁态势决策模型,基于该威胁态势决策模型确定加载的威胁感知数据的每个先验持续项威胁攻击事件的目标威胁攻击态势,以及每个目标威胁攻击态势关联的态势估计指标,生成该威胁感知数据的防护关注指标簇。基于上述方案,基于威胁态势决策模型关联的先验威胁态势学习数据簇中先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定态势估计指标,可以基于每个持续项威胁攻击事件的关联的防护关注指标簇确定该态势估计指标的态势先验范围,使得每个目标威胁攻击态势关联的态势估计指标更加匹配该目标威胁攻击态势关联的威胁感知数据的实际威胁攻击状态,降低了基于态势估计指标对每个持续项威胁攻击事件进行防护关注指标提取时产生的误差,提高了对威胁感知数据中防护关注指标簇估计的精度。
下面继续介绍本发明实施例一示例性实施例的一种采用AI和大数据分析的威胁攻击防护决策方法的流程,该采用AI和大数据分析的威胁攻击防护决策方法的流程可以包括如下步骤。
Process301,从训练先验样本库中提取先验威胁感知数据,以及该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的先验威胁攻击态势。
针对一些可能的设计思路而言,从训练先验样本库中提取先验威胁态势学习数据簇;该先验威胁态势学习数据簇中涵盖先验威胁感知数据,以及该先验威胁感知数据关联的重点决策特征数据;该重点决策特征数据表征该先验威胁感知数据中重点决策特征数据的特征向量簇;依据该先验威胁感知数据关联的重点决策特征数据,生成该先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇;依据该先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,生成该先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势。
针对一些可能的设计思路而言,该重点决策特征数据可以是依据该每个先验威胁感知数据上的每个态势特征变量的态势映射节点生成的,即该重点决策特征数据基于每个先验威胁感知数据上的每个态势特征变量的态势映射节点信息确定该先验威胁感知数据上的防护关注指标的定位节点以及防护关注指标信息。
针对一些可能的设计思路而言,依据该先验威胁感知数据关联的重点决策特征数据,生成先验威胁感知数据关联的先验防护关注指标知识空间;该先验防护关注指标知识空间表征该先验威胁感知数据中重点决策特征数据所对应的知识节点;依据该先验防护关注指标知识空间,基于防护关注倾向预测单元进行防护关注倾向预测,生成该先验威胁感知数据关联的先验防护关注指标的防护关注倾向值;依据该先验防护关注指标的防护关注倾向值,分别在该先验威胁感知数据中的每个持续项威胁攻击事件进行防护关注指标提取,生成该先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇。
针对一些可能的设计思路而言,当获取到该先验威胁感知数据以及与该先验威胁感知数据关联的重点决策特征数据时,可以基于该先验威胁感知数据关联的重点决策特征数据,将该先验威胁感知数据上与该重点决策特征数据关联的威胁感知节点进行标注,生成该先验威胁感知数据关联的先验防护关注指标知识空间。例如,该先验防护关注指标知识空间中,考虑图中的N个态势特征变量点 f1至fn。对于每个态势特征变量点fi,可以生成个二维分布的知识空间Hi,该知识空间只有态势特征变量点的位置的分布值为1,其余态势特征变量点的位置均为0,然后将所有态势特征变量点关联的Hi进行汇总得到该先验威胁感知数据对应所有态势特征变量点的知识空间H(即先验防护关注指标知识空间),该知识空间的防护关注指标分布簇即为防护关注指标簇。
由于在对先验威胁感知数据进行威胁感知数据片段分治时,该先验威胁感知数据中的任意一个持续项威胁攻击事件涵盖了某个态势特征变量的态势特征变量点时,但该态势特征变量的所有威胁感知数据部分并不完全位于该持续项威胁攻击事件中,但由于该态势特征变量的态势特征变量点位于该持续项威胁攻击事件内,因此该态势特征变量会被认为全部位于该持续项威胁攻击事件内,因此基于生成该先验威胁感知数据关联的先验防护关注指标知识空间来表示先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标信息是不准确的。此时,可以基于一个归一化的防护关注倾向预测单元对知识空间进行处理得到该先验威胁感知数据关联的先验防护关注指标的防护关注倾向值,该先验防护关注指标的防护关注倾向值是依据该先验威胁感知数据中的每个态势特征变量点形成的知识空间,该先验防护关注指标的防护关注倾向值中的各点的分布值大小表征该先验防护关注指标的防护关注倾向值中的各点的防护关注指标的集中度,因此该先验防护关注指标的防护关注倾向值可以表征该先验威胁感知数据上每个标准化数据区点的防护关注指标的集中度,并且基于防护关注倾向预测单元进行防护关注倾向预测后得到的该先验防护关注指标的防护关注倾向值,防护关注指标提取后得到的值仍然是该先验威胁感知数据中的防护关注指标簇,同理,对该先验威胁感知数据中的每个持续项威胁攻击事件进行防护关注指标提取,可以获得该先验威胁感知数据中的每个持续项威胁攻击事件关联的防护关注指标簇。
针对一些可能的设计思路而言,生成该威胁攻击态势决策分支关联的威胁攻击态势指标;该威胁攻击态势指标涵盖多个威胁攻击态势细化指标;依据该先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,基于该威胁攻击态势指标进行威胁态势决策,生成该先验威胁感知数据中的每个持续项威胁攻击事件关联的先验威胁攻击态势;该先验威胁攻击态势表征该先验威胁感知数据中的每个持续项威胁攻击事件在该威胁攻击态势指标中关联的威胁攻击态势细化指标。
例如,可以基于先验威胁感知数据,以及该先验威胁感知数据关联的重点决策特征数据,生成该先验威胁感知数据关联的先验防护关注指标知识空间,并基于归一化的防护关注倾向预测单元对知识空间进行卷积得到该先验威胁感知数据关联的先验防护关注指标的防护关注倾向值Q1,该先验防护关注指标的防护关注倾向值Q1中的各点的分布值大小可以指示该先验防护关注指标的防护关注倾向值中的各点的防护关注指标的集中度。依据该先验防护关注指标的防护关注倾向值中的每个持续项威胁攻击事件进行防护关注指标提取,输出该先验威胁感知数据每个持续项威胁攻击事件关联的防护关注指标簇QW,并基于该威胁攻击态势决策分支中的威胁攻击态势指标R对该先验威胁感知数据每个持续项威胁攻击事件关联的防护关注指标簇QW进行威胁态势决策,输出该先验威胁感知数据中的每个先验持续项威胁攻击事件分别关联的威胁攻击态势指标,其中该威胁攻击态势指标R包括[GR0,GR1]、[GR1,GR2]、[GR2,GR3]、[GR3,GR4]、[GR4,GR5]每个威胁攻击态势细化指标,该威胁攻击态势指标中的威胁攻击态势细化指标[GR0,GR1]关联的先验威胁攻击态势为S1;该威胁攻击态势指标中的威胁攻击态势细化指标[GR1,GR2]关联的先验威胁攻击态势为S2;该威胁攻击态势指标中的威胁攻击态势细化指标[GR2,GR3]关联的先验威胁攻击态势为S3;该威胁攻击态势指标中的威胁攻击态势细化指标[GR3,GR4]关联的先验威胁攻击态势为S4;该威胁攻击态势指标中的威胁攻击态势细化指标[GR4,GR5]关联的先验威胁攻击态势为S5。例如,对于该先验威胁感知数据中的每个持续项威胁攻击事件关联的防护关注指标簇QW的“GR1.GR2”,基于该威胁攻击态势指标R,可以将其威胁攻击态势决策为[GR0,GR1]威胁攻击态势细化指标,其关联的威胁攻击态势标注为S1;对于该先验威胁感知数据中的每个持续项威胁攻击事件关联的防护关注指标簇QW的“GR4.GR2”,基于该威胁攻击态势指标R,可以将其威胁攻击态势决策为[GR4,GR5]威胁攻击态势细化指标,其关联的威胁攻击态势标注为S4。
针对一些可能的设计思路而言,依据该先验威胁态势学习数据簇中的每个先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇的威胁攻击态势特征点,生成威胁攻击态势特征点簇;该威胁攻击态势特征点簇表征该威胁攻击态势指标的威胁攻击态势特征点范围;依据该威胁攻击态势指标的威胁攻击态势特征点范围,生成该分治威胁攻击态势特征点范围;该分治威胁攻击态势特征点范围表征该威胁攻击态势指标的范围分治点;该范围分治点用于将该威胁攻击态势指标分治为每个威胁攻击态势细化指标;依据该威胁攻击态势特征点簇与该分治威胁攻击态势特征点范围,生成该威胁攻击态势决策分支关联的威胁攻击态势指标。
其中,该威胁攻击态势指标的威胁攻击态势特征点范围,可以是基于该每个先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇的威胁攻击态势特征点确定的。由于该威胁攻击态势决策分支关联的威胁攻击态势指标用于对该先验威胁态势学习数据簇中的每个先验威胁感知数据的持续项威胁攻击事件的防护关注指标簇进行威胁态势决策,因此该威胁攻击态势决策分支关联的威胁攻击态势指标包括该先验威胁态势学习数据簇中的每个先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇的威胁攻击态势特征点。
针对一些可能的设计思路而言,该每个先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇的边缘防护关注指标,是该每个先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇中不为空集的边缘防护关注指标。
针对一些可能的设计思路而言,将该每个先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇的威胁攻击态势特征点获取为该威胁攻击态势特征点簇。
在保证该威胁攻击态势指标能够包括该先验威胁态势学习数据簇中的所有先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇时,该威胁攻击态势指标越多,则威胁攻击态势决策越准确,因此可以直接将该先验威胁态势学习数据簇中的每个先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇的威胁攻击态势特征点确定为该威胁攻击态势决策分支关联的威胁攻击态势指标的威胁攻击态势特征点范围。
当确定了该威胁攻击态势特征点簇后,即确定了该威胁攻击态势决策分支关联的威胁攻击态势指标的威胁攻击态势特征点范围后,可以基于该威胁攻击态势决策分支关联的威胁攻击态势指标的威胁攻击态势特征点范围,生成该威胁攻击态势决策分支关联的威胁攻击态势指标的范围分治点。
针对一些可能的设计思路而言,生成该威胁攻击态势决策分支关联的威胁攻击态势决策数;依据该威胁攻击态势决策分支关联的威胁攻击态势决策数,生成该威胁攻击态势决策分支关联的威胁攻击态势指标的范围分治点。
其中,该威胁攻击态势决策分支关联的威胁攻击态势决策数表征该威胁攻击态势决策分支对于加载的先验威胁感知数据进行威胁态势决策后可能得到的类型的数量。例如,当该威胁攻击态势决策分支关联的威胁攻击态势决策数为N(N大于等于2,且N为正整数)时,即基于该威胁攻击态势决策分支对数据进行威胁态势决策后,可以获得该数据分别为N种类型的支持度,此时该威胁攻击态势决策分支关联的威胁攻击态势指标的范围分治点可以为N-1,基于N-1个范围分治点对威胁攻击态势决策分支关联的威胁攻击态势指标进行分段,可以获得该威胁攻击态势决策分支关联的N个威胁攻击态势细化指标。
针对一些可能的设计思路而言,依据该威胁攻击态势决策分支关联的威胁攻击态势指标,基于该威胁攻击态势决策分支关联的威胁攻击态势决策数,平均分治该威胁攻击态势指标,生成该威胁攻击态势决策分支关联的威胁攻击态势指标的威胁攻击态势特征点范围。
针对另一些可能的设计思路而言,该威胁攻击态势决策分支关联的威胁攻击态势指标的威胁攻击态势特征点范围可以为e^{k*(log(b)-log(a))/K + log(a)},其中,假设除了防护关注指标为0的区域外,最小的防护关注指标簇为a,而最大的防护关注指标簇是b,需要划分的威胁攻击态势细化指标数量为K。此时,该每个威胁攻击态势细化指标的范围大小是非线性分布的,即用于威胁攻击态势决策较小防护关注指标的威胁攻击态势细化指标分布较为密集,威胁攻击态势决策较大防护关注指标的威胁攻击态势细化指标的分布较为分散,以实现对不同集中度的防护关注指标簇都存在较好的威胁攻击态势决策效果。
Process302,依据威胁态势决策模型的威胁情报变量挖掘分支,对该先验威胁感知数据进行威胁情报变量挖掘,输出该先验威胁感知数据关联的先验威胁情报变量信息。
该威胁态势决策模型中的威胁情报变量挖掘分支用于对该先验威胁态势学习数据簇中的先验威胁感知数据进行威胁情报变量挖掘,生成该先验威胁感知数据关联的威胁感知数据特征,其中,基于威胁情报变量挖掘分支进行威胁情报变量挖掘得到的威胁感知数据特征表征该先验威胁感知数据中的防护关注指标信息,因此该先验威胁感知数据关联的先验威胁情报变量信息可以表征该先验威胁感知数据关联的防护关注指标簇以及防护关注指标的集中度。
针对一些可能的设计思路而言,该先验威胁情报变量信息的覆盖区间与该先验威胁感知数据的覆盖区间相同。
即基于该威胁态势决策模型对先验威胁感知数据进行威胁情报变量挖掘后得到的先验威胁情报变量信息,与加载的先验威胁感知数据的标准化数据区大小相同。
Process303,依据该先验威胁情报变量信息,基于威胁态势决策模型的威胁攻击态势决策分支进行威胁攻击态势决策,生成该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息。
针对一些可能的设计思路而言,该威胁攻击态势决策信息表征该先验威胁感知数据中的每个持续项威胁攻击事件与威胁攻击态势决策分支关联的支持度序列。
针对一些可能的设计思路而言,依据该先验威胁情报变量信息,基于该威胁态势决策模型中的威胁攻击态势决策分支进行威胁攻击态势决策,输出该先验威胁感知数据中的每个持续项威胁攻击事件与该威胁攻击态势决策分支关联的支持度序列;其中该支持度序列表征该先验威胁感知数据中的每个持续项威胁攻击事件属于该威胁攻击态势决策分支关联的每个类型的支持度;依据该先验威胁感知数据中的每个持续项威胁攻击事件关联的支持度序列,生成该先验威胁感知数据中的每个持续项威胁攻击事件与威胁攻击态势决策分支关联的目标威胁攻击态势。
例如,基于该威胁攻击态势决策分支对该先验威胁情报变量信息进行处理时,可以得到该先验威胁情报变量信息中的每个持续项威胁攻击事件与该威胁攻击态势决策分支关联的支持度序列,其中,该支持度序列表征该先验威胁感知数据的每个持续项威胁攻击事件属于该威胁攻击态势决策分支的每个类型的支持度(即该每个持续项威胁攻击事件分别属于威胁攻击态势指标的每个威胁攻击态势细化指标的支持度)。
当获取该支持度序列后,可以分别将每个持续项威胁攻击事件关联的该支持度序列中支持度最大的确定为该先验威胁感知数据中的每个持续项威胁攻击事件的威胁攻击态势。
Process304,依据该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息,以及该先验威胁感知数据中的每个先验持续项威胁攻击事件分别关联的先验威胁攻击态势,对该威胁态势决策模型进行模型参数层的调优和选取。
针对一些可能的设计思路而言,生成该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的目标威胁攻击态势;基于该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的目标威胁攻击态势,以及该先验威胁感知数据中的每个持续项威胁攻击事件分别关联的先验威胁攻击态势,对该威胁态势决策模型进行模型参数层的调优和选取。
针对另一些可能的设计思路而言,响应与该威胁攻击态势决策信息表征该先验威胁感知数据中的每个持续项威胁攻击事件与该威胁攻击态势指标的每个威胁攻击态势细化指标关联的支持度分布,依据该先验威胁感知数据中的每个先验持续项威胁攻击事件分别关联的先验威胁攻击态势,以及该支持度分布,对该威胁态势决策模型进行模型参数层的调优和选取。
其中,可以是基于先验威胁感知数据中的每个持续项威胁攻击事件关联的先验威胁攻击态势,以及该持续项威胁攻击事件关联的支持度分布,生成该持续项威胁攻击事件关联的训练学习代价值,并基于该训练学习代价值进行模型参数层的调优和选取,也可以是获取到该先验威胁感知数据中的多个持续项威胁攻击事件关联的先验威胁攻击态势,以及该多个持续项威胁攻击事件分别关联的支持度分布,生成该多个持续项威胁攻击事件关联的训练学习代价,并基于该多个持续项威胁攻击事件关联的训练学习代价进行模型参数层的调优和选取。
Process305,生成威胁感知系统针对目标防护服务器的威胁感知数据。
Process306,依据威胁态势决策模型的威胁情报变量挖掘分支,对该威胁感知数据进行威胁情报变量挖掘,生成该威胁感知数据关联的威胁情报变量信息。
针对一些可能的设计思路而言,该威胁态势决策模型中的威胁情报变量挖掘分支用于对该威胁感知数据进行威胁情报变量挖掘,生成该威胁感知数据关联的威胁感知数据特征,其中,基于威胁情报变量挖掘分支进行威胁情报变量挖掘得到的威胁感知数据特征表征该威胁感知数据中的防护关注指标信息,因此该威胁感知数据关联的威胁情报变量信息可以表征该威胁感知数据关联的防护关注指标簇以及防护关注指标的集中度。
针对一些可能的设计思路而言,该威胁情报变量信息的覆盖区间与该威胁感知数据的覆盖区间相同。
即基于该威胁态势决策模型对该威胁感知数据进行威胁情报变量挖掘后得到的威胁情报变量信息,与加载的威胁感知数据的标准化数据区大小相同。
Process307,依据该威胁情报变量信息,基于威胁态势决策模型的威胁攻击态势决策分支进行威胁攻击态势决策,输出该威胁感知数据每个持续项威胁攻击事件关联的目标威胁攻击态势。
针对一些可能的设计思路而言,依据该威胁情报变量信息,基于威胁态势决策模型的威胁攻击态势决策分支进行威胁攻击态势决策,输出该威胁感知数据每个持续项威胁攻击事件关联的威胁攻击态势决策信息,依据该威胁感知数据每个持续项威胁攻击事件关联的威胁攻击态势决策信息,生成该威胁感知数据中的每个持续项威胁攻击事件关联的威胁攻击态势决策信息。
针对一些可能的设计思路而言,依据该威胁情报变量信息,基于该威胁态势决策模型中的威胁攻击态势决策分支进行威胁攻击态势决策,输出该威胁感知数据中的每个持续项威胁攻击事件与该威胁攻击态势决策分支关联的支持度序列;其中该支持度序列表征该威胁感知数据中的每个持续项威胁攻击事件属于该威胁攻击态势决策分支关联的每个类型的支持度;依据该威胁感知数据中的每个持续项威胁攻击事件关联的支持度序列,生成该威胁感知数据中的每个持续项威胁攻击事件与威胁攻击态势决策分支关联的目标威胁攻击态势。
例如,基于该威胁攻击态势决策分支对该威胁情报变量信息进行处理时,可以得到该威胁情报变量信息中的每个持续项威胁攻击事件与该威胁攻击态势决策分支关联的支持度序列,其中,该支持度序列表征该威胁感知数据的每个持续项威胁攻击事件属于该威胁攻击态势决策分支的每个类型的支持度(即该每个持续项威胁攻击事件分别属于威胁攻击态势指标的每个威胁攻击态势细化指标的支持度)。
当获取该支持度序列后,可以分别将每个持续项威胁攻击事件关联的该支持度序列中支持度最大的确定为该威胁感知数据中的每个持续项威胁攻击事件的威胁攻击态势。
Process308,依据该威胁感知数据每个持续项威胁攻击事件关联的目标威胁攻击态势,以及每个该目标威胁攻击态势关联的态势估计指标,生成该威胁感知数据每个持续项威胁攻击事件关联的防护评估指标。
每个该目标威胁攻击态势关联的态势估计指标是依据该威胁态势决策模型关联的先验威胁态势学习数据簇中先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定的。
其中,该目标威胁攻击态势关联的态势估计指标可以表征该目标威胁攻击态势关联的持续项威胁攻击事件的防护评估指标。即当该持续项威胁攻击事件与该目标威胁攻击态势对应时,可以认为该目标威胁攻击态势关联的态势估计指标即为该持续项威胁攻击事件关联的防护评估指标。
针对一些可能的设计思路而言,生成关联先验持续项威胁攻击事件;该关联先验持续项威胁攻击事件是该先验威胁态势学习数据簇中的每个先验威胁感知数据的持续项威胁攻击事件中,与关联先验威胁攻击态势关联的持续项威胁攻击事件;该关联先验威胁攻击态势是该每个先验威胁攻击态势中的任意一个;依据该关联先验持续项威胁攻击事件中的每个持续项威胁攻击事件分别关联的防护关注指标簇,生成该关联先验威胁攻击态势关联的态势估计指标。
针对一些可能的设计思路而言,依据该关联先验持续项威胁攻击事件中的每个持续项威胁攻击事件分别关联的防护关注指标簇的设定关注度区间的防护关注指标,生成该关联先验威胁攻击态势关联的防护关注指标数据值。
针对一些可能的设计思路而言,该每个先验威胁攻击态势关联的态势估计指标,可以是基于先验威胁态势学习数据簇中的每个先验威胁感知数据的每个持续项威胁攻击事件中,与该先验威胁攻击态势关联的持续项威胁攻击事件关联的防护关注指标簇确定的。即该每个先验威胁攻击态势关联的态势估计指标,可以是该先验威胁态势学习数据簇中的每个先验威胁感知数据的每个持续项威胁攻击事件中,与该先验威胁攻击态势关联的持续项威胁攻击事件关联的防护关注指标簇的设定关注度区间的防护关注指标提取的,此时,每一个先验威胁攻击态势关联的持续项威胁攻击事件的真实防护关注指标,与该态势估计指标之间的差异值之和较小,此时,基于该态势估计指标对真实威胁感知数据进行预测时,产生的差异值也应该较小。
Process309,依据该威胁感知数据中的每个持续项威胁攻击事件关联的防护评估指标,生成该威胁感知数据关联的防护关注指标簇。
针对一些可能的设计思路而言,将该威胁感知数据中的每个先验持续项威胁攻击事件关联的防护关注指标信息进行汇总,输出该威胁感知数据关联的防护关注指标簇。
针对一些可能的设计思路而言,将该威胁感知数据中的每个先验持续项威胁攻击事件关联的防护关注指标信息中,满足指定条件的防护关注指标信息进行汇总,输出该威胁感知数据关联的防护关注指标簇。
其中,该指定条件可以是该威胁感知数据中的每个先验持续项威胁攻击事件关联的全部防护关注指标信息中除去极限防护关注指标与边缘防护关注指标的防护关注指标信息。
采用以上技术方案,基于先验威胁感知数据,以及该先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势对威胁态势决策模型进行模型参数层的调优和选取,输出满足收敛要求的威胁态势决策模型,基于该威胁态势决策模型确定加载的威胁感知数据的每个先验持续项威胁攻击事件的目标威胁攻击态势,以及每个目标威胁攻击态势关联的态势估计指标,生成该威胁感知数据的防护关注指标簇。基于上述方案,基于威胁态势决策模型关联的先验威胁态势学习数据簇中先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定态势估计指标,可以基于每个持续项威胁攻击事件的关联的防护关注指标簇确定该态势估计指标的态势先验范围,使得每个目标威胁攻击态势关联的态势估计指标更加匹配该目标威胁攻击态势关联的威胁感知数据的实际威胁攻击状态,降低了基于态势估计指标对每个持续项威胁攻击事件进行防护关注指标提取时产生的误差,提高了对威胁感知数据中防护关注指标簇估计的精度。
针对一些可能的设计思路而言,上述Process200一种具体实施例可以参见下述内容。
STEP201、依据威胁感知数据关联的防护关注指标簇,从威胁感知数据中获取与防护关注指标簇关联的涵盖多个前向威胁攻击活动数据的前向威胁攻击活动数据簇以及涵盖多个后向威胁攻击活动数据的后向威胁攻击活动数据簇。
针对一些可能的设计思路而言,前向威胁攻击活动数据簇为由前向威胁攻击活动数据组成的数据簇,且前向威胁攻击活动数据簇为涵盖标的线上页面服务的数据簇,后向威胁攻击活动数据簇为由后向威胁攻击活动数据组成的数据簇。
其中,前向威胁攻击活动数据簇和后向威胁攻击活动数据簇可以拥有类似或者相同的威胁攻击源字段信息。
STEP202、基于前向威胁攻击活动数据簇中每个前向威胁攻击活动数据各自关联的威胁攻击链特征,分别从涵盖标的线上页面服务的前向威胁攻击活动数据中采集涵盖标的线上页面服务的目标循环威胁攻击活动数据,生成目标循环威胁攻击活动数据簇。
针对一些可能的设计思路而言,在对前向威胁攻击活动数据簇中的每个前向威胁攻击活动数据进行威胁攻击链触发之后,则每个前向威胁攻击活动数据则会拥有关联的威胁攻击链特征,威胁攻击链特征一般存储于威胁攻击链的感知日志数据中,例如,可以整个前向威胁攻击活动数据簇中多个前向威胁攻击活动数据对应一个威胁攻击链的感知日志数据,例如可以整个前向威胁攻击活动数据簇对应一个威胁攻击链的感知日志数据,即所有前向威胁攻击活动数据的威胁攻击链特征均存储于一个威胁攻击链的感知日志数据中,那么在需要某个前向威胁攻击活动数据的威胁攻击链特征时,则可以从该威胁攻击链的感知日志数据中提取得到。或者,也可以是一个前向威胁攻击活动数据对应一个威胁攻击链的感知日志数据,那么在需要某个前向威胁攻击活动数据的威胁攻击链特征时,则可以从查询得到该前向威胁攻击活动数据的威胁攻击链的感知日志数据,进而获取威胁攻击链特征。威胁攻击链特征可以包括设置威胁攻击链的威胁攻击注入行为数据的特征以及在前向威胁攻击活动数据中的被攻击路径数据。
针对一些可能的设计思路而言,可以基于前向威胁攻击活动数据的威胁攻击链特征,可以确定该前向威胁攻击活动数据中是否包括标的线上页面服务,进而在提取标的线上页面服务时则可以从涵盖标的线上页面服务的前向威胁攻击活动数据中进行提取。针对于每个涵盖标的线上页面服务的前向威胁攻击活动数据,其提取标的线上页面服务的过程是类似的,因而下面以前向威胁攻击活动数据data01为例对该过程进行介绍,以前向威胁攻击活动数据data01为例,从前向威胁攻击活动数据data01中采集目标循环威胁攻击活动数据的具体内容包括以下步骤。
STEP2021、从前向威胁攻击活动数据data01的威胁攻击链的感知日志数据获取前向威胁攻击活动数据data01的威胁攻击链特征。
例如,对于前向威胁攻击活动数据data01而言,威胁攻击链的感知日志数据中存储前向威胁攻击活动数据data01所有的威胁攻击链特征,进而可以基于前向威胁攻击活动数据data01的威胁攻击链的感知日志数据获取其相应的威胁攻击链特征。
STEP2022、基于威胁攻击链特征确定前向威胁攻击活动数据data01是否涵盖标的线上页面服务。
由于威胁攻击链特征中指示了前向威胁攻击活动数据data01已进行威胁攻击链触发的威胁攻击注入行为特征,进而可以基于威胁攻击链特征确定前向威胁攻击活动数据data01是否涵盖标的线上页面服务,当威胁攻击链特征中指示前向威胁攻击活动数据data01的威胁攻击注入行为特征未涵盖标的线上页面服务时,则流程结束。
STEP2023、若STEP2022的确定结果为是,则基于威胁攻击链特征指示的标的线上页面服务的被攻击路径数据,在前向威胁攻击活动数据data01中确定目标频繁项威胁攻击注入行为特征。
当威胁攻击链特征中指示前向威胁攻击活动数据data01的威胁攻击注入行为特征涵盖标的线上页面服务时,则可以基于威胁攻击链特征指示的标的线上页面服务的被攻击路径数据,从前向威胁攻击活动数据data01中确定目标频繁项威胁攻击注入行为特征。
STEP2024、采集前向威胁攻击活动数据data01中标的线上页面服务关联的目标循环威胁攻击活动数据。
STEP203、依据获得的目标循环威胁攻击活动数据簇,对后向威胁攻击活动数据簇中的多个后向威胁攻击活动数据进行针对所述目标防护服务器的标的线上页面服务的循环威胁要素信息匹配,生成涵盖标的线上页面服务的多个后向威胁攻击活动数据。
STEP204、对涵盖所述标的线上页面服务的多个后向威胁攻击活动数据进行防护脆弱点预测,生成所述标的线上页面服务所关联的防护脆弱点。
Process205、依据所述标的线上页面服务所关联的防护脆弱点,对所述标的线上页面服务的防护强化方案进行调整。
依据以上内容,依据获得的目标循环威胁攻击活动数据簇,对后向威胁攻击活动数据簇中的多个后向威胁攻击活动数据进行针对所述目标防护服务器的标的线上页面服务的循环威胁要素信息匹配,具体可以包括以下内容。
STEP2031、从后向威胁攻击活动数据簇中确定多个后向威胁攻击活动数据。
针对一些可能的设计思路而言,可以基于后向威胁攻击活动数据簇的具体情况来选择需要进行循环威胁要素信息匹配的多个后向威胁攻击活动数据。
例如,当后向威胁攻击活动数据簇为完全不涵盖标的线上页面服务的数据簇,例如可以将整个后向威胁攻击活动数据簇中的所有后向威胁攻击活动数据进行循环威胁要素信息匹配,或者,可以按照一定的比例选择多个后向威胁攻击活动数据,例如可以设置对后向威胁攻击活动数据簇中的60%或者75%等比例的后向威胁攻击活动数据进行循环威胁要素信息匹配。
例如,当后向威胁攻击活动数据簇为局部涵盖标的线上页面服务,但威胁攻击注入行为数据威胁渗透传递参数存在严重偏差的数据簇,例如可以将整个后向威胁攻击活动数据簇中的所有威胁攻击活动数据进行循环威胁要素信息匹配,或者,可以提取未涵盖标的线上页面服务的多个后向威胁攻击活动数据。
例如,为了确保后向威胁攻击活动数据簇中各种威胁攻击注入行为数据的威胁渗透传递参数的全面性,因而可以基于后向威胁攻击活动数据簇中已进行威胁攻击链触发的其它威胁攻击注入行为数据的威胁渗透传递参数来确定标的线上页面服务的威胁渗透传递参数。例如,后向威胁攻击活动数据簇中已进行威胁攻击链触发的其它威胁攻击注入行为数据的威胁渗透传递参数可以基于威胁攻击链特征获取,因而可以基于后向威胁攻击活动数据簇中每个后向威胁攻击活动数据的威胁攻击链特征,生成后向威胁攻击活动数据簇中进行威胁攻击链触发的标的线上页面服务的威胁渗透传递参数以及其它威胁攻击注入行为数据的威胁渗透传递参数,进而基于标的线上页面服务的威胁渗透传递参数以及其它威胁攻击注入行为数据的威胁渗透传递参数,生成后向威胁攻击活动数据簇待更新的标的线上页面服务的威胁渗透传递参数。
进而,基于待更新的标的线上页面服务的威胁渗透传递参数,生成需要选择的后向威胁攻击活动数据的威胁渗透传递参数,即从后向威胁攻击活动数据簇确定多个后向威胁攻击活动数据,使得确定出的多个后向威胁攻击活动数据中每个后向威胁攻击活动数据关联的标的线上页面服务的威胁渗透传递参数的全局传递参数,与待更新的标的线上页面服务的威胁渗透传递参数匹配。
例如,还可以将涵盖标的线上页面服务威胁渗透传递参数较少的后向威胁攻击活动数据提取作为多个后向威胁攻击活动数据。例如,可以基于后向威胁攻击活动数据簇中每个后向威胁攻击活动数据的威胁攻击链特征,分别确定每个后向威胁攻击活动数据各自关联的标的线上页面服务的威胁渗透传递参数,进而,将标的线上页面服务的威胁渗透传递参数匹配设定威胁渗透传递参数的后向威胁攻击活动数据确定为多个后向威胁攻击活动数据。
STEP2032、针对每一个后向威胁攻击活动数据,从目标循环威胁攻击活动数据簇中提取多个目标循环威胁攻击活动数据。
在选定多个后向威胁攻击活动数据之后,则可以为选定的多个后向威胁攻击活动数据中每一个后向威胁攻击活动数据从目标循环威胁攻击活动数据簇中提取多个目标循环威胁攻击活动数据。
例如,可以基于待更新的标的线上页面服务的威胁渗透传递参数,为每一个后向威胁攻击活动数据提取相应威胁渗透传递参数的目标循环威胁攻击活动数据,并且,上述多个后向威胁攻击活动数据中每个后向威胁攻击活动数据待更新的标的线上页面服务的威胁渗透传递参数的全局传递参数与待更新的标的线上页面服务的威胁渗透传递参数匹配。。
或者,还可以预先设定每个后向威胁攻击活动数据的威胁渗透传递参数,进而可以为每个后向威胁攻击活动数据提取设定威胁渗透传递参数的目标循环威胁攻击活动数据。
其中,需要进行循环威胁要素信息匹配的后向威胁攻击活动数据提取与每个后向威胁攻击活动数据所关联的目标循环威胁攻击活动数据的提取可以是同时进行的,即STEP2031和STEP2032可以是同时进行的,比如在确定需要添加的标的线上页面服务的威胁渗透传递参数之后,可以同时选定多个后向威胁攻击活动数据的威胁渗透传递参数和每个后向威胁攻击活动数据所关联的目标循环威胁攻击活动数据的威胁渗透传递参数。
STEP2033、将后向威胁攻击活动数据与相应的多个目标循环威胁攻击活动数据进行循环威胁要素信息匹配,生成涵盖标的线上页面服务的后向威胁攻击活动数据。
针对一些可能的设计思路而言,针对多个后向威胁攻击活动数据进行循环威胁要素信息匹配之后,则可以在这些后向威胁攻击活动数据中调整标的线上页面服务,输出经循环威胁要素信息匹配之后的多个后向威胁攻击活动数据。
STEP206、基于后向威胁攻击活动数据关联的多个目标循环威胁攻击活动数据中每个目标循环威胁攻击活动数据各自关联的威胁攻击注入行为特征信息,以及每个目标循环威胁攻击活动数据各自在一个后向威胁攻击活动数据的被攻击路径数据,更新后向威胁攻击活动数据的威胁攻击链的感知日志数据。
针对一些可能的设计思路而言,由于每个后向威胁攻击活动数据是要用于后续的防护强化决策的,因而需要为每个标的线上页面服务调整威胁攻击链特征,威胁攻击链特征包括多个目标循环威胁攻击活动数据中每个目标循环威胁攻击活动数据各自关联的威胁攻击注入行为特征信息以及每个目标循环威胁攻击活动数据各自在一个后向威胁攻击活动数据的被攻击路径数据,进而可以分别在每个后向威胁攻击活动数据的威胁攻击链的感知日志数据中更新各自关联的威胁攻击链特征,以用于后续的防护强化决策。
图2示出了本发明实施例提供的用于实现上述的采用AI和大数据分析的威胁攻击防护决策系统的AI系统100的硬件结构意图,如图2所示,AI系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
处理器110可以基于存储在机器可读存储介质120中的程序而执行各种适当的动作和处理,例如前述实施例所描述的采用AI和大数据分析的威胁攻击防护决策方法所相关的程序指令。处理器110、机器可读存储介质120以及通信单元140通过总线130进行信号传输。
特别地,基于本发明的实施例,上文示例性流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信单元140从网络上被下载和安装,在该计算机程序被处理器110执行时,执行本发明实施例的方法中限定的上述功能。
本发明又一实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述任一实施例所述的采用AI和大数据分析的威胁攻击防护决策方法。
其中,本发明上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(LAM)、只读存储器(LOM)、可擦式可编程只读存储器(EPLOM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-LOM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、LM(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备执行上述实施例所示的方法。
本发明又一实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如上述任一实施例所述的采用AI和大数据分析的威胁攻击防护决策方法。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (7)

1.一种采用AI和大数据分析的威胁攻击防护决策方法,其特征在于,所述方法包括:
获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇;
依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整;
所述获取威胁感知系统针对目标防护服务器的威胁感知数据关联的防护关注指标簇的步骤,包括:
从威胁感知运行进程中获取威胁感知系统针对目标防护服务器的威胁感知数据;
依据威胁态势决策模型的威胁情报变量挖掘分支,对所述威胁感知数据进行威胁情报变量挖掘,输出所述威胁感知数据关联的威胁情报变量信息;
依据所述威胁态势决策模型的威胁攻击态势决策分支,对所述威胁情报变量信息进行威胁攻击态势决策,输出所述威胁感知数据中的每个持续项威胁攻击事件关联的目标威胁攻击态势;
依据所述威胁感知数据中的每个持续项威胁攻击事件关联的目标威胁攻击态势,以及每个所述目标威胁攻击态势关联的态势估计指标,生成所述威胁感知数据中的每个持续项威胁攻击事件关联的防护评估指标;
依据所述威胁感知数据中的每个持续项威胁攻击事件关联的防护评估指标,生成所述威胁感知数据关联的防护关注指标簇;
其中,所述威胁态势决策模型是以先验威胁态势学习数据簇中的先验威胁感知数据为AI学习特征数据、以所述先验威胁感知数据的每个持续项威胁攻击事件的先验威胁攻击态势为AI学习依据进行模数参数层的调优和选取输出的AI部署网络模型;所述每个所述目标威胁攻击态势关联的态势估计指标是依据所述先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇确定的;
所述依据所述威胁感知数据关联的防护关注指标簇,对所述目标防护服务器的标的线上页面服务的防护强化方案进行调整的步骤,包括:
依据所述威胁感知数据关联的防护关注指标簇,从所述威胁感知数据中获取与所述防护关注指标簇关联的涵盖多个前向威胁攻击活动数据的前向威胁攻击活动数据簇以及涵盖多个后向威胁攻击活动数据的后向威胁攻击活动数据簇;其中,各前向威胁攻击活动数据与各后向威胁攻击活动数据对应相同的威胁攻击源字段信息;
基于所述前向威胁攻击活动数据簇中每个前向威胁攻击活动数据各自关联的威胁攻击链特征,分别从每个前向威胁攻击活动数据中获取涵盖标的线上页面服务的目标循环威胁攻击活动数据,生成目标循环威胁攻击活动数据簇;
依据生成的目标循环威胁攻击活动数据簇,对所述后向威胁攻击活动数据簇中的多个后向威胁攻击活动数据进行针对所述标的线上页面服务的循环威胁要素信息匹配,生成涵盖所述标的线上页面服务的多个后向威胁攻击活动数据;
对涵盖所述标的线上页面服务的多个后向威胁攻击活动数据进行防护脆弱点预测,生成所述标的线上页面服务所关联的防护脆弱点;
依据所述标的线上页面服务所关联的防护脆弱点,对所述标的线上页面服务的防护强化方案进行调整。
2.根据权利要求1所述的采用AI和大数据分析的威胁攻击防护决策方法,其特征在于,基于所述前向威胁攻击活动数据簇中每个前向威胁攻击活动数据各自关联的威胁攻击链特征,分别从每个前向威胁攻击活动数据中获取涵盖标的线上页面服务的目标循环威胁攻击活动数据,生成目标循环威胁攻击活动数据簇,包括:
针对所述每个前向威胁攻击活动数据的威胁攻击链的感知日志数据,生成相应的威胁攻击链特征;
针对每个威胁攻击链特征,确定该威胁攻击链特征中指示的威胁攻击注入行为特征涵盖所述标的线上页面服务时,基于该威胁攻击链特征指示的所述标的线上页面服务的被攻击路径数据,从相应的前向威胁攻击活动数据中生成所述标的线上页面服务关联的目标循环威胁攻击活动数据;
所述依据生成的目标循环威胁攻击活动数据簇,对所述后向威胁攻击活动数据簇中的多个后向威胁攻击活动数据进行针对所述标的线上页面服务的循环威胁要素信息匹配,生成涵盖所述标的线上页面服务的多个后向威胁攻击活动数据,包括:
基于所述后向威胁攻击活动数据簇中每个后向威胁攻击活动数据的威胁攻击链特征,生成所述后向威胁攻击活动数据簇中处于威胁渗透传递状态的所述标的线上页面服务的威胁渗透传递参数以及其它威胁攻击注入行为数据的威胁渗透传递参数;
基于所述标的线上页面服务的威胁渗透传递参数以及所述其它威胁攻击注入行为数据的威胁渗透传递参数,生成所述后向威胁攻击活动数据簇待更新的所述标的线上页面服务的威胁渗透传递参数;
基于待更新的所述标的线上页面服务的威胁渗透传递参数,从所述后向威胁攻击活动数据簇确定多个后向威胁攻击活动数据;其中,所述多个后向威胁攻击活动数据中每个后向威胁攻击活动数据关联的标的线上页面服务的威胁渗透传递参数的全局传递参数,与待更新的所述标的线上页面服务的威胁渗透传递参数匹配;
针对所述多个后向威胁攻击活动数据中的每个后向威胁攻击活动数据,基于所述待更新的所述标的线上页面服务的威胁渗透传递参数,为该后向威胁攻击活动数据提取相应威胁渗透传递参数的目标循环威胁攻击活动数据;其中,所述多个后向威胁攻击活动数据中每个后向威胁攻击活动数据待更新的所述标的线上页面服务的威胁渗透传递参数的全局传递参数与待更新的所述标的线上页面服务的威胁渗透传递参数匹配;或者,为该后向威胁攻击活动数据提取设定威胁渗透传递参数的目标循环威胁攻击活动数据,以及将该后向威胁攻击活动数据与多个目标循环威胁攻击活动数据进行循环威胁要素信息匹配,生成涵盖所述标的线上页面服务的一个后向威胁攻击活动数据。
3.根据权利要求1所述的采用AI和大数据分析的威胁攻击防护决策方法,其特征在于,在依据威胁态势决策模型的威胁情报变量挖掘分支,对所述威胁感知数据进行威胁情报变量挖掘,输出所述威胁感知数据关联的威胁情报变量信息的步骤之前,所述方法还包括:
从训练先验样本库中提取先验威胁感知数据,以及所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的先验威胁攻击态势;
依据威胁态势决策模型的威胁情报变量挖掘分支,对所述先验威胁感知数据进行威胁情报变量挖掘,输出所述先验威胁感知数据关联的先验威胁情报变量信息;
依据所述先验威胁情报变量信息,基于威胁态势决策模型的威胁攻击态势决策分支进行威胁攻击态势决策,生成所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息;
依据所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的威胁攻击态势决策信息,以及所述先验威胁感知数据中的每个先验持续项威胁攻击事件分别关联的先验威胁攻击态势,对所述威胁态势决策模型进行模型参数层的调优和选取。
4.根据权利要求3所述的采用AI和大数据分析的威胁攻击防护决策方法,其特征在于,所述从训练先验样本库中提取先验威胁感知数据,以及所述先验威胁感知数据中的每个持续项威胁攻击事件分别关联的先验威胁攻击态势,包括:
获取所述先验威胁态势学习数据簇;所述先验威胁态势学习数据簇中涵盖先验威胁感知数据,以及所述先验威胁感知数据关联的重点决策特征数据;所述重点决策特征数据表征所述先验威胁感知数据中的重点决策特征数据的特征向量簇;
依据所述先验威胁感知数据关联的重点决策特征数据,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇;
依据所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势。
5.根据权利要求4所述的采用AI和大数据分析的威胁攻击防护决策方法,其特征在于,所述依据所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的先验威胁攻击态势,包括:
获取所述威胁攻击态势决策分支关联的威胁攻击态势指标;所述威胁攻击态势指标涵盖多个威胁攻击态势细化指标;
依据所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,基于所述威胁攻击态势指标进行威胁态势决策,生成所述先验威胁感知数据中的每个持续项威胁攻击事件关联的先验威胁攻击态势;
其中,所述获取所述威胁攻击态势决策分支关联的威胁攻击态势指标,包括:
依据所述先验威胁态势学习数据簇中的每个先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇的威胁攻击态势特征点,生成威胁攻击态势特征点簇;所述威胁攻击态势特征点簇表征所述威胁攻击态势指标的威胁攻击态势特征点范围;
依据所述威胁攻击态势指标的威胁攻击态势特征点范围,生成分治威胁攻击态势特征点范围;所述分治威胁攻击态势特征点范围表征所述威胁攻击态势指标的范围分治点;所述范围分治点用于将所述威胁攻击态势指标分治为每个威胁攻击态势细化指标;
依据所述威胁攻击态势特征点簇与所述分治威胁攻击态势特征点范围,生成所述威胁攻击态势决策分支关联的威胁攻击态势指标。
6.根据权利要求4所述的采用AI和大数据分析的威胁攻击防护决策方法,其特征在于,所述依据所述先验威胁感知数据关联的重点决策特征数据,生成所述先验威胁感知数据中的每个持续项威胁攻击事件的防护关注指标簇,包括:
依据所述先验威胁感知数据,以及所述先验威胁感知数据关联的重点决策特征数据,生成所述先验威胁感知数据关联的先验防护关注指标知识空间;所述先验防护关注指标知识空间表征所述先验威胁感知数据中防护关注指标所对应的知识节点;
依据所述先验防护关注指标知识空间,基于防护关注倾向预测单元进行防护关注倾向预测,生成所述先验威胁感知数据关联的先验防护关注指标的防护关注倾向值;
依据所述先验防护关注指标的防护关注倾向值,分别在所述先验威胁感知数据中的每个持续项威胁攻击事件进行防护关注指标提取,生成所述先验威胁感知数据的每个持续项威胁攻击事件的防护关注指标簇。
7.一种AI系统,其特征在于,所述AI系统包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器用于运行所述计算机程序时,执行权利要求1-6中任意一项的采用AI和大数据分析的威胁攻击防护决策方法。
CN202210571928.XA 2022-05-25 2022-05-25 采用ai和大数据分析的威胁攻击防护决策方法及ai系统 Active CN114866330B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210571928.XA CN114866330B (zh) 2022-05-25 2022-05-25 采用ai和大数据分析的威胁攻击防护决策方法及ai系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210571928.XA CN114866330B (zh) 2022-05-25 2022-05-25 采用ai和大数据分析的威胁攻击防护决策方法及ai系统

Publications (2)

Publication Number Publication Date
CN114866330A CN114866330A (zh) 2022-08-05
CN114866330B true CN114866330B (zh) 2023-01-31

Family

ID=82639670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210571928.XA Active CN114866330B (zh) 2022-05-25 2022-05-25 采用ai和大数据分析的威胁攻击防护决策方法及ai系统

Country Status (1)

Country Link
CN (1) CN114866330B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622805B (zh) * 2022-12-06 2023-08-25 深圳慧卡科技有限公司 基于人工智能的安全支付防护方法及ai系统
CN117134999B (zh) * 2023-10-26 2023-12-22 四川万物纵横科技股份有限公司 一种边缘计算网关的安全防护方法、存储介质及网关

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113779582A (zh) * 2021-09-18 2021-12-10 太仓韬信信息科技有限公司 基于大数据的威胁感知方法及系统
CN114443407A (zh) * 2020-11-02 2022-05-06 中移(苏州)软件技术有限公司 一种服务器的检测方法、系统、电子设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3387814B1 (en) * 2015-12-11 2024-02-14 ServiceNow, Inc. Computer network threat assessment
CN108259449B (zh) * 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统
US20190007451A1 (en) * 2017-06-30 2019-01-03 Stp Ventures, Llc System and method of automatically collecting and rapidly aggregating global security threat indicators to customer environments
CN107623697B (zh) * 2017-10-11 2020-07-14 北京邮电大学 一种基于攻防随机博弈模型的网络安全态势评估方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114443407A (zh) * 2020-11-02 2022-05-06 中移(苏州)软件技术有限公司 一种服务器的检测方法、系统、电子设备及存储介质
CN113779582A (zh) * 2021-09-18 2021-12-10 太仓韬信信息科技有限公司 基于大数据的威胁感知方法及系统

Also Published As

Publication number Publication date
CN114866330A (zh) 2022-08-05

Similar Documents

Publication Publication Date Title
RU2758041C2 (ru) Постоянное обучение для обнаружения вторжения
CN114866330B (zh) 采用ai和大数据分析的威胁攻击防护决策方法及ai系统
US11792229B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN114301692B (zh) 攻击预测方法、装置、介质及设备
CN115065545A (zh) 基于大数据威胁感知的安全防护构建方法及ai防护系统
Angelini et al. An attack graph-based on-line multi-step attack detector
US11431748B2 (en) Predictive crowdsourcing-based endpoint protection system
CN113364786A (zh) 基于安全云服务大数据的组件配置方法及ai云服务系统
EP4111660B1 (en) Cyberattack identification in a network environment
CN114928493B (zh) 基于威胁攻击大数据的威胁情报生成方法及ai安全系统
Liu et al. A Markov detection tree-based centralized scheme to automatically identify malicious webpages on cloud platforms
Xuan et al. New approach for APT malware detection on the workstation based on process profile
CN114978765A (zh) 服务于信息攻击防御的大数据处理方法及ai攻击防御系统
CN113536381A (zh) 一种基于终端的大数据分析处理方法及系统
CN113872959A (zh) 一种风险资产等级判定和动态降级方法和装置及设备
Hou et al. Zero-day vulnerability inspired hazard assessment for autonomous driving vehicles
CN116996310B (zh) 基于主动式防御的服务器网络安全保护方法和装置
CN116418587B (zh) 一种数据跨域交换行为审计追踪方法和数据跨域交换系统
CN111967043B (zh) 确定数据相似度的方法、装置、电子设备及存储介质
Hassan et al. Improving of network security via use machine learning
CN114826769A (zh) 采用人工智能决策的大数据分析方法及威胁感知系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220817

Address after: No. 127, Lushan Road, Huangdao District, Qingdao City, Shandong Province, 266000

Applicant after: Qingdao telaishi Machinery Technology Co.,Ltd.

Address before: No. 56, shangyingfang, Donghu District, Nanchang City, Jiangxi Province, 330000

Applicant before: Nanchang Dingqiang Intelligent Technology Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20221014

Address after: No. 236, Minde Road, Donghu District, Nanchang City, Jiangxi Province, 330000

Applicant after: Yun Xiangzheng

Address before: No. 127, Lushan Road, Huangdao District, Qingdao City, Shandong Province, 266000

Applicant before: Qingdao telaishi Machinery Technology Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230106

Address after: Room 1305, 1306, 1307, 1308, 13/F, Cuilin Building, No.10 Kaifeng Road, Maling Community, Meilin Street, Futian District, Shenzhen, Guangdong 518000

Applicant after: SHENZHEN WEIYAN TECHNOLOGY Co.,Ltd.

Address before: No. 236, Minde Road, Donghu District, Nanchang City, Jiangxi Province, 330000

Applicant before: Yun Xiangzheng

GR01 Patent grant
GR01 Patent grant