CN114866344B - 信息系统数据安全防护方法、系统及云平台 - Google Patents
信息系统数据安全防护方法、系统及云平台 Download PDFInfo
- Publication number
- CN114866344B CN114866344B CN202210781287.0A CN202210781287A CN114866344B CN 114866344 B CN114866344 B CN 114866344B CN 202210781287 A CN202210781287 A CN 202210781287A CN 114866344 B CN114866344 B CN 114866344B
- Authority
- CN
- China
- Prior art keywords
- intrusion
- attack
- tendency
- field
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供的信息系统数据安全防护方法、系统及云平台,可以在对数据入侵防护日志进行全面的入侵攻击倾向识别的条件下,兼顾主动型攻击意图向量之外的入侵攻击的识别处理,这样能够同时考虑不同类型的入侵攻击,进而实现全面丰富的入侵攻击倾向识别和分析,以在一定程度上保障入侵攻击分析报告的完整性和分析深度。此外,由于被动攻击通常容易被忽视,采用本方案能够尽可能避免入侵攻击分析的遗漏,进而避免后续信息防护出现异常。
Description
技术领域
本发明涉及数据安防技术领域,特别涉及一种信息系统数据安全防护方法、系统及云平台。
背景技术
随着信息系统的广泛建立和各种不同网络的互连、互通,人们意识到,不能再从安全功能、单个网络来个别的考虑安全问题,而必须从系统上、从体系结构上全面的考虑安全问题。当下,在各类业务交互中,需要确保信息在存储、处理和传输过程中免受偶然或恶意的非法泄密、转移或破坏。然而在实际应用过程中,大部分技术都过于关注个别类型的网络攻击,这样可能导致网络攻击分析的完整度和深度受限,从而造成信息防护的异常。
发明内容
为改善相关技术中存在的技术问题,本发明提供了一种信息系统数据安全防护方法、系统及云平台。
第一方面,本发明实施例提供了一种信息系统数据安全防护方法,应用于数据安全防护云平台,所述方法包括:基于信息安全防护请求,对获取的数据入侵防护日志进行入侵攻击倾向识别,得到第一入侵攻击倾向关系网;利用所述第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,所述衍生攻击倾向解析包括场景化攻击倾向识别;依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,利用所述第一入侵攻击倾向关系网进行抽样;获得抽样数据中的第二入侵攻击倾向字段;经由所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段,得到所述数据入侵防护日志的入侵攻击分析报告。
应用于以上实施例,可以在对数据入侵防护日志进行全面的入侵攻击倾向识别的条件下,兼顾主动型攻击意图向量之外的入侵攻击(例如被动攻击)的识别处理,这样能够同时考虑不同类型的入侵攻击,进而实现全面丰富的入侵攻击倾向识别和分析,以在一定程度上保障入侵攻击分析报告的完整性和分析深度。此外,由于被动攻击通常容易被忽视,采用本方案能够尽可能避免入侵攻击分析的遗漏,进而避免后续信息防护出现异常。
对于一些可能的实施例而言,所述获得抽样数据中的第二入侵攻击倾向字段,包括:调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网;所述调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网,包括:对所述抽样数据进行字段挖掘得到目标攻击字段,对所述目标攻击字段进行衍生攻击倾向解析得到第一目标入侵攻击倾向字段,以及依据所述第一目标入侵攻击倾向字段中的主动型攻击意图向量,对所述目标攻击字段进行抽样,得到所述第二入侵攻击倾向关系网;在没有满足设定的处理指标的基础上,通过所述第二入侵攻击倾向关系网优化所述抽样数据,跳转至所述调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网的步骤;在满足所述处理指标的基础上,将确定出的各所述第一目标入侵攻击倾向字段皆视为所述第二入侵攻击倾向字段。
应用于以上实施例,能够反复实现对主动攻击事件标签之外的入侵攻击的倾向分析,从而保障第二入侵攻击倾向字段的精度和完整性。
对于一些可能的实施例而言,所述获得抽样数据中的第二入侵攻击倾向字段,还包括:采集目标第二入侵攻击倾向关系网,所述目标第二入侵攻击倾向关系网为满足所述处理指标的基础上确定出的第二入侵攻击倾向关系网;对所述目标第二入侵攻击倾向关系网进行衍生攻击倾向解析,得到第二目标入侵攻击倾向字段;将所述第二目标入侵攻击倾向字段视为所述第二入侵攻击倾向字段。
应用于以上实施例,能够提高第二入侵攻击倾向字段的可信度和多样化程度。
对于一些可能的实施例而言,所述依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,利用所述第一入侵攻击倾向关系网进行抽样,包括:依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,确定主动攻击事件标签;对所述第一入侵攻击倾向关系网中对应于所述主动攻击事件标签的入侵攻击倾向字段进行抽样。
应用于以上实施例,通过确定出的主动攻击事件标签进行字段抽样,能够避免入侵攻击分析过程中的信息丢失和遗漏,从而确保入侵攻击分析报告的完整性。
对于一些可能的实施例而言,所述依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,确定主动攻击事件标签,包括:对所述第一入侵攻击倾向字段进行基于事件标签的划分,得到字段划分集;确定所述字段划分集中每个字符信息对应向量簇的主动攻击系数,得到主动攻击系数分布;通过所述主动攻击系数分布,确定所述主动攻击事件标签。
应用于以上实施例,可以准确确定主动攻击事件标签,便于后续通过调节主动攻击事件标签的字段信息,实现主动攻击事件标签之外的事件标签对应的入侵攻击倾向字段的识别,保障入侵攻击分析报告中的完整性。
对于一些可能的实施例而言,所述对所述第一入侵攻击倾向关系网中对应于所述主动攻击事件标签的入侵攻击倾向字段进行抽样,包括:通过所述主动攻击事件标签创建攻击倾向抽样集,所述攻击倾向抽样集用于筛选所述主动攻击事件标签对应的入侵攻击倾向字段;基于所述攻击倾向抽样集对所述第一入侵攻击倾向关系网进行处理。
应用于以上实施例,可以基于攻击倾向抽样集及时得到第一入侵攻击倾向关系网,提高确定第一入侵攻击倾向关系网的效率。
对于一些可能的实施例而言,所述利用所述第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,包括:利用所述第一入侵攻击倾向关系网进行入侵攻击倾向识别,得到第一倾向识别数据;利用所述第一入侵攻击倾向关系网进行场景化攻击识别,得到第二倾向识别数据;对所述第一倾向识别数据和所述第二倾向识别数据进行拼接,获得所述第一入侵攻击倾向字段。
应用于以上实施例,可以使得得到的第一入侵攻击倾向字段能够同时记载不同特征特征识别度的倾向字段,从而保障第一入侵攻击倾向字段的完整性和全面性。
对于一些可能的实施例而言,所述方法利用入侵攻击倾向识别算法实现,所述入侵攻击倾向识别算法的配置思路为:将具有算法注释的示例型数据入侵防护日志加载到所述入侵攻击倾向识别算法的至少两个入侵攻击倾向识别节点,得到第一示例型入侵攻击倾向字段和第二示例型入侵攻击倾向字段;依据所述第一示例型入侵攻击倾向字段、所述第二示例型入侵攻击倾向字段和所述算法注释,确定所述入侵攻击倾向识别算法对应的算法代价;依据所述算法代价改进所述入侵攻击倾向识别算法;其中,所述算法代价包括如下至少一项:各所述入侵攻击倾向识别节点对应的场景识别代价、各所述入侵攻击倾向识别节点之间的关联识别代价、基于对所述入侵攻击倾向识别节点的导出信息的主动攻击事件标签评估对应的评估代价、基于对各所述入侵攻击倾向识别节点的导出信息的拼接对应的拼接代价。
应用于以上实施例,可以基于算法代价改进入侵攻击倾向识别算法,使得配置得到的入侵攻击倾向识别算法可以对数据入侵防护日志进行全面的入侵攻击倾向识别,得到完整可信的字段信息。
对于一些可能的实施例而言,所述方法还包括确定所述场景识别代价,所述确定所述场景识别代价,包括:通过所述第一示例型入侵攻击倾向字段和所述算法注释,确定第一场景识别代价;通过所述第二示例型入侵攻击倾向字段和所述算法注释,确定第二场景识别代价;通过所述第一场景识别代价和所述第二场景识别代价,确定所述场景识别代价。
应用于以上实施例,通过确定各个字段挖掘单元对应的场景识别代价,可以便于对单一字段挖掘单元的字段挖掘性能进行优化,最终提升入侵攻击倾向识别算法的字段挖掘质量。
对于一些可能的实施例而言,所述方法还包括确定所述关联识别代价,所述确定所述关联识别代价,包括:对所述第一示例型入侵攻击倾向字段和所述第二示例型入侵攻击倾向字段进行标准化操作,得到多个示例型标准化字段;确定所述多个示例型标准化字段之间的关联识别代价,所述关联识别代价包括涵盖如下至少一项:所述多个示例型标准化字段之间的入侵意图关联识别代价、所述多个示例型标准化字段之间的防护日志关联识别代价。
应用于以上实施例,通过得到示例型标准化字段,能够实现不同字段的统一处理,并且确定示例型标准化字段对应的入侵意图关联识别代价和防护日志关联识别代价。通过对不同字段挖掘单元的挖掘对象的联合分析,能够提高入侵攻击倾向识别的质量。
对于一些可能的实施例而言,所述算法注释用于表征所述示例型数据入侵防护日志中的入侵意图,所述方法还包括确定所述入侵意图关联识别代价,所述确定所述入侵意图关联识别代价,包括:对所述多个示例型标准化字段进行基于入侵意图的分团,得到入侵意图分团信息,所述入侵意图分团信息的相同分团簇中的示例型标准化字段对应于相同的入侵意图;通过所述入侵意图分团信息确定第一分团相关性和第二分团相关性;通过所述第一分团相关性和所述第二分团相关性的相关性之差,得到所述入侵意图关联识别代价。
应用于以上实施例,通过确定以上入侵意图关联识别代价从入侵意图的层面描述示例型标准化字段之间的关联,提升了算法代价确定的精度。
对于一些可能的实施例而言,所述算法注释用于表征所述示例型数据入侵防护日志中的入侵意图,所述方法还包括确定所述防护日志关联识别代价,所述确定所述防护日志关联识别代价,包括:确定其中两个第一上下游倾向字段之间的第一词向量差异度,所述两个第一上下游倾向字段为对应于不同示例型数据入侵防护日志中相同入侵意图的两个示例型标准化字段;确定其中两个第二上下游倾向字段之间的第二词向量差异度;所述两个第二上下游倾向字段为对应于相同示例型数据入侵防护日志中相同入侵意图的两个示例型标准化字段;确定所述第一词向量差异度中的最小第一词向量差异度;确定所述第二词向量差异度中的最大第二词向量差异度;通过所述最小第一词向量差异度和所述最大第二词向量差异度的差,得到所述防护日志关联识别代价。
应用于以上实施例,通过计算防护日志关联识别代价可以使得在配置过程中不同字段挖掘单元的倾向识别数据之间的词向量差异度尽可能明显,从而有效区分不同字段挖掘单元所对应的挖掘对象。
对于一些可能的实施例而言,所述方法还包括确定所述评估代价,所述确定所述评估代价,包括:通过所述第一示例型入侵攻击倾向字段和所述第二示例型入侵攻击倾向字段,确定每一主动攻击解析单元的输入信息;确定所述每一主动攻击解析单元输出的主动攻击系数分布,所述主动攻击系数分布表征所述输入信息对应的主动攻击事件标签;对所述输入信息进行基于事件标签的主动攻击识别,得到主动攻击系数基准分布;通过所述主动攻击系数基准分布和所述主动攻击系数分布,确定所述评估代价。
应用于以上实施例,可以提升对评估代价的确定精度,基于该评估代价可以赶紧入侵攻击倾向识别算法,提升主动攻击事件标签的定位质量。
对于一些可能的实施例而言,所述对所述输入信息进行基于事件标签的主动攻击识别,得到主动攻击系数基准分布,包括:对所述输入信息进行基于防护日志内容集的调节,根据调节数据确定第一命中指数列表;对所述输入信息依次进行基于交互场景的滤波处理和基于联合攻击的滤波处理,得到第二命中指数列表;通过所述第一命中指数列表和所述第二命中指数列表,确定所述主动攻击系数基准分布。
应用于以上实施例,通过确定第一命中指数列表,并结合输入信息确定第二命中指数列表,然后将根据所述第一命中指数列表和所述第二命中指数列表得到的主动攻击系数基准分布视为评估依据确定所述主动攻击解析单元对应的评估代价,可以提升对评估代价的确定精度。
对于一些可能的实施例而言,所述方法还包括确定拼接代价,所述确定拼接代价,包括:确定各入侵攻击倾向识别节点对应的配置指标;确定所述各入侵攻击倾向识别节点对应的识别评估度;通过所述配置指标和所述识别评估度,确定所述拼接代价。
应用于以上实施例,通过在算法代价中涵盖所述拼接代价,可以实现入侵攻击倾向识别算法的迭代配置,从而保障入侵攻击倾向识别算法的字段挖掘质量。
第二方面,本发明还提供了一种信息系统数据安全防护系统,包括互相之间通信的数据安全防护云平台和业务交互终端;所述数据安全防护云平台用于:基于信息安全防护请求,对获取的数据入侵防护日志进行入侵攻击倾向识别,得到第一入侵攻击倾向关系网;利用所述第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,且所述衍生攻击倾向解析包括场景化攻击倾向识别;依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,利用所述第一入侵攻击倾向关系网进行抽样,并获得抽样数据中的第二入侵攻击倾向字段;经由所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段,得到所述数据入侵防护日志的入侵攻击分析报告;将所述入侵攻击分析报告下发至所述业务交互终端。
第三方面,本发明还提供了一种数据安全防护云平台,包括处理器和存储器;所述处理器和所述存储器通信连接,所述处理器用于从所述存储器中读取计算机程序并执行,以实现上述所述的方法。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1是本发明实施例提供的一种数据安全防护云平台的硬件结构示意图。
图2是本发明实施例提供的一种信息系统数据安全防护方法的流程示意图。
图3是本发明实施例提供的一种信息系统数据安全防护系统的通信架构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本发明实施例所提供的方法实施例可以在数据安全防护云平台、计算机设备或者类似的运算装置中执行。以运行在数据安全防护云平台上为例,图1是本发明实施例的实施一种信息系统数据安全防护方法的数据安全防护云平台的硬件结构框图。如图1所示,数据安全防护云平台10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述数据安全防护云平台还可以包括用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述数据安全防护云平台的结构造成限定。例如,数据安全防护云平台10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种信息系统数据安全防护方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至数据安全防护云平台10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括数据安全防护云平台10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
基于此,请参阅图2,图2是本发明实施例所提供的一种信息系统数据安全防护方法的流程示意图,该方法应用于数据安全防护云平台,进一步可以包括以下内容描述的技术方案。
步骤10、基于信息安全防护请求,对获取的数据入侵防护日志进行入侵攻击倾向识别,得到第一入侵攻击倾向关系网。
对于本发明实施例而言,信息安全防护请求可以是第三方系统向数据安全防护云平台上传的信息安全防护处理指示。进一步地,数据安全防护云平台对获取的数据入侵防护日志进行入侵攻击特征提取,进而得到第一入侵攻击倾向关系网,而第一入侵攻击倾向关系网例如可以通过特征图/特征关系网的形式进行表达。此外,获取的数据入侵防护日志例如可以是数据漏洞防护日志。
在本发明实施例中,对于入侵攻击倾向识别的具体思路不进行限定,举例而言,可以对所述数据入侵防护日志进行不低于一层的特征挖掘操作,得到第一入侵攻击倾向关系网。在进行特征挖掘操作时,可以得到多个维度不同的入侵攻击倾向识别结果,可以拼接不低于两个维度不同的的入侵攻击倾向识别结果,进而得到第一入侵攻击倾向关系网。
步骤20、对第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,衍生攻击倾向解析包括场景化攻击倾向识别。
对于本发明实施例而言,对第一入侵攻击倾向关系网进行衍生攻击倾向解析可以理解为对第一入侵攻击倾向关系网进行关联攻击特征提取,进而得到第一入侵攻击特征信息(即第一入侵攻击倾向字段/第一入侵攻击特征向量),进一步地,场景化攻击倾向识别可以理解为不同通道/关注/角度层面的特征提取。
对于一些可示性实施例而言,对第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,可以包括如下内容:对所述第一入侵攻击倾向关系网进行入侵攻击倾向识别,得到第一倾向识别数据。对所述第一入侵攻击倾向关系网进行场景化攻击识别,得到第二倾向识别数据。拼接所述第一倾向识别数据和所述第二倾向识别数据,得到所述第一入侵攻击倾向字段。
在本发明实施例中,对所述第一入侵攻击倾向关系网进行入侵攻击倾向识别的思路不进行限定,举例而言,其可以对所述第一入侵攻击倾向关系网进行不低于一层的特征挖掘操作,得到所述第一倾向识别数据。
在本发明实施例中,场景化攻击识别可以关注第一入侵攻击倾向关系网中的各个场景之间的关系的识别。举例而言,其可以基于对多场景的字段信息进行拼接实现。本发明实施例对拼接对象不进行限定,例如,可以根据场景化标签进行场景划分,对属于相同标签的场景化攻击的字段信息进行拼接。举例而言,可以对业务场景1~10的字段信息进行第一拼接,对业务场景11~20的字段信息进行第二拼接,第一拼接和第二拼接可以通过同一拼接策略或者相异拼接策略实现,本发明实施例对在进行场景化攻击识别时所使用的拼接策略的类别以及数目不限定,拼接也可以作特征融合理解。
在本发明实施例中,衍生攻击倾向解析可以通过拼接所述第一倾向识别数据和所述第二倾向识别数据,不仅缓存第一入侵攻击倾向关系网自身的低热度信息,还可以完整地挖掘出高热度信息,这样能够显著提高挖掘出的第一入侵攻击倾向字段的信息多样性。在实施衍生攻击倾向解析时,可能用到至少一种拼接策略,本发明实施例对该拼接策略不进行限定,比如:可以基于下采样操作、统计操作、加权操作、向量运算操作、特征提取操作中的一种或多种进行特征特征融合。
步骤30、基于所述第一入侵攻击倾向字段中的主动型攻击意图向量,对所述第一入侵攻击倾向关系网进行抽样。
对于本发明实施例而言,主动型攻击意图向量可以理解为第一入侵攻击倾向字段中的显著/关注度较高的攻击意图特征信息,通常可以包括一系列较为明显的攻击意图,比如数据篡改、ddos攻击等。对第一入侵攻击倾向关系网进行抽样可以理解为对第一入侵攻击倾向关系网进行过滤/筛选处理,从而在一定程度上忽略对主动型攻击意图向量的重点处理。
在本发明实施例中,可以根据所述第一入侵攻击倾向字段确定所述第一入侵攻击倾向关系网中关注度较高的部分和关注度较低的部分,并将关注度较高的部分中的信息进行暂时忽略(抽取出关注度较低的部分,比如一些被动攻击或者潜在攻击对应的入侵攻击倾向),得到抽样数据。
对于一些可示性实施例而言,步骤30中基于所述第一入侵攻击倾向字段中的主动型攻击意图向量,对所述第一入侵攻击倾向关系网进行抽样,可以包括如下步骤31和步骤32。
步骤31、基于所述第一入侵攻击倾向字段中的主动型攻击意图向量,确定主动攻击事件标签。
在本发明实施例中,主动攻击事件标签可以理解用于区分不同主动攻击事件所对应的内容集,比如主动攻击事件标签可以指示主动攻击事件在入侵攻击倾向关系网中的相对分布位置。
对于一些可示性实施例而言,所述基于所述第一入侵攻击倾向字段中的主动型攻击意图向量,确定主动攻击事件标签,可以包括如下步骤311-步骤313所记录的内容。
步骤311、对所述第一入侵攻击倾向字段进行基于事件标签的划分,得到字段划分集。
举例而言,可以对于所述第一入侵攻击倾向字段进行基于事件标签的划分/拆解,将其划分为WxW的分布列表,本发明实施例并不限定W的大小,W可以是低于设定判定值的整数,举例而言,W可以取值为16,即可得到16x16的字段划分集,进一步的,所述字段划分集的每个字符信息可以投射至第一入侵攻击倾向字段中的部分向量簇。
步骤312、确定所述字段划分集中每个字符信息对应向量簇的主动攻击系数,得到主动攻击系数分布。
本发明实施例对于主动攻击系数的处理思路并不限定,举例而言,可以基于完成配置的主动攻击解析单元输出该主动攻击系数分布。对于一些可示性实施例而言,对于任一字符信息对应向量簇,可以将所述第一入侵攻击倾向字段中对应于该向量簇的入侵攻击倾向字段调节后得到调节数据,通过所述调节数据被用于识别所述数据入侵防护日志中的入侵意图的精度表现,确定被调节的所述向量簇的主动攻击等级,基于评判出的主动攻击等级运算得到所述主动攻击系数(攻击显著性系数)。如果基于所述调节数据分析出的对象的精度较高,则可以说明被调节的所述向量簇的主动攻击等级较低,否则主动攻击等级较高。在另一些示例中,还可以对所述第一入侵攻击倾向字段进行基于交互场景的滤波处理和基于联合攻击的滤波处理,得到所述主动攻击系数。
步骤313、根据所述主动攻击系数分布,确定所述主动攻击事件标签。
对于一些可示性实施例而言,可以逐一访问主动攻击系数分布,将主动攻击系数大于设定主动攻击评判值的向量簇确定为所述主动攻击事件标签。在另一些示例中,可以逐一访问所述主动攻击系数分布,将主动攻击系数进行从大到小的顺序进行整理,将序列号大于设定顺序的向量簇确定为所述主动攻击事件标签,本发明实施例对设定主动攻击评判值以及设定顺序的具体值不进行限定,可以根据实际情况灵活设置。
步骤32、对所述第一入侵攻击倾向关系网中对应于所述主动攻击事件标签的入侵攻击倾向字段进行抽样。
对于一些可示性实施例而言,可以根据所述主动攻击事件标签创建攻击倾向抽样集,所述攻击倾向抽样集用于筛选所述主动攻击事件标签对应的入侵攻击倾向字段。拼接所述攻击倾向抽样集与所述第一入侵攻击倾向关系网便可以实现抽样。举例而言,该攻击倾向抽样集可以与所述字段划分集的大小相同,基于以上示例,该攻击倾向抽样集也可以被表达为一个WxW的分布列表,将主动攻击事件标签对应的向量簇在所述攻击倾向抽样集中所对应的字符信息设为0,将其它向量簇对应的字符信息设为1,从而创建所述攻击倾向抽样集。将所述攻击倾向抽样集更新至与所述第一入侵攻击倾向关系网同一大小后与所述第一入侵攻击倾向关系网进行全局字符信息加权处理(比如逐个字符匹配的加权处理),得到对应的抽样数据。
在本发明实施例中,通过计算每个向量簇对应的主动攻击系数可以精准确定出主动攻击事件标签。通过得到的主动攻击事件标签可以抽样所述第一入侵攻击倾向关系网中的上下游倾向字段(可以理解为相关特征),得到准确的抽样数据,这样方便在之后操作时对于该抽样数据进一步进行数据提取,从而能够提取出潜在的数据,提高数据入侵防护日志的入侵攻击分析报告准确表达该数据入侵防护日志的能力。
步骤40、获得抽样数据中的第二入侵攻击倾向字段。
在本发明实施例中,提取抽样数据的具体思路不限定,举例而言,其可以基于不低于一层衍生攻击倾向解析实现。对于一些可示性实施例而言,所述获得抽样数据中的第二入侵攻击倾向字段,可以包括如下步骤41-步骤46所记录的内容。
步骤41、调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网;所述调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网,可以包括:对所述抽样数据进行字段挖掘得到目标攻击字段,对所述目标攻击字段进行衍生攻击倾向解析得到第一目标入侵攻击倾向字段,以及基于所述第一目标入侵攻击倾向字段中的主动型攻击意图向量,对所述目标攻击字段进行抽样,得到所述第二入侵攻击倾向关系网。
在本发明实施例中,可以参阅步骤10中的信息系统数据安全防护方法对所述抽样数据进行字段挖掘得到目标攻击字段,参阅步骤20中的衍生攻击倾向解析思路对所述目标攻击字段进行衍生攻击倾向解析得到第一目标入侵攻击倾向字段。参阅步骤30中的抽样思路基于所述第一目标入侵攻击倾向字段中的主动型攻击意图向量,对所述目标攻击字段进行抽样,得到所述第二入侵攻击倾向关系网。
步骤42、在没有满足设定的处理指标的基础上,根据所述第二入侵攻击倾向关系网优化所述抽样数据,重复所述调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网的步骤。
步骤43、在满足所述处理指标的基础上,将确定出的每一所述第一目标入侵攻击倾向字段皆视为所述第二入侵攻击倾向字段。
在本发明实施例中。所述入侵攻击倾向识别算法可以涵盖多个算法架构类似的入侵攻击倾向识别节点,以算法20为例,如果以所述抽样数据为输入,其中,算法1用作对所述抽样数据进行入侵攻击倾向识别,得到目标攻击字段;算法2用作对所述目标攻击字段进行衍生攻击倾向解析,得到第一目标入侵攻击倾向字段。所述算法2可以包括一个场景化攻击倾向识别节点node22,在一些示例中,算法2还包括设置在场景化攻击倾向识别节点node22之前的至少一个入侵攻击倾向识别节点node21。算法10用作得到所述第一入侵攻击倾向字段,算法20和算法30用作得到所述第二入侵攻击倾向字段,本发明实施例中可以将用于得到所述第二入侵攻击倾向字段的入侵攻击倾向识别节点所构成的算法称为第二入侵攻击倾向字段识别算法。
在一些示例中,可以通过将所述抽样数据输入字段挖掘单元unit100。所述字段挖掘单元unit100可以对所述抽样数据进行字段挖掘得到目标攻击字段,对所述目标攻击字段进行衍生攻击倾向解析得到第一目标入侵攻击倾向字段。进而可以基于所述第一目标入侵攻击倾向字段中的主动型攻击意图向量,对所述目标攻击字段进行抽样,得到所述第二入侵攻击倾向关系网。
进一步地,所述字段挖掘单元unit100并不是第二入侵攻击倾向字段识别算法的末尾第二个单元,因此可以认为还没有满足该设定的处理指标。鉴于此,可以将该第二入侵攻击倾向关系网视为新的抽样数据输入下一个字段挖掘单元(字段挖掘单元node200)。
对于字段挖掘单元node200,可以将基于字段挖掘单元unit100和字段挖掘单元node200得到第一目标入侵攻击倾向字段皆视为所述第二入侵攻击倾向字段。
在一些示例中,所述第二入侵攻击倾向字段中还可以包括基于所述第二入侵攻击倾向字段识别算法的末尾一个单元得到的入侵攻击倾向字段,举例而言,所述获得抽样数据中的第二入侵攻击倾向字段,还可以包括如下内容。
步骤44、采集目标第二入侵攻击倾向关系网,所述目标第二入侵攻击倾向关系网为达到所述处理指标的基础上确定出的第二入侵攻击倾向关系网。
步骤45、对所述目标第二入侵攻击倾向关系网进行衍生攻击倾向解析,得到第二目标入侵攻击倾向字段。
基于字段挖掘单元node200得到的第二入侵攻击倾向关系网即为所述目标第二入侵攻击倾向关系网。本发明实施例中,可以将所述目标第二入侵攻击倾向关系网输入字段挖掘单元node300进行衍生攻击倾向解析,得到第二目标入侵攻击倾向字段。
步骤46、将所述第二目标入侵攻击倾向字段视为所述第二入侵攻击倾向字段。
对应的,将该第二目标入侵攻击倾向字段也视为所述第二入侵攻击倾向字段,换言之,所述第二入侵攻击倾向字段可以包括所述第二入侵攻击倾向字段识别算法中各个非末尾单元导出的第一目标入侵攻击倾向字段,也包括末尾单元导出的第二目标入侵攻击倾向字段。
应用于以上实施例,可以基于阶段化规则抽样主动型攻击意图向量,并基于抽样数据进行包括场景化攻击识别的衍生攻击倾向解析,得到包括多个目标入侵攻击倾向字段的第二入侵攻击倾向字段,这样可以提高第二入侵攻击倾向字段的精度和可信度。
步骤50、拼接所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段,得到所述数据入侵防护日志的入侵攻击分析报告。
本发明实施例中通过特征字段拼接,可以进一步提升所述数据入侵防护日志的入侵攻击分析报告的准确度。进一步地,所述拼接所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段,得到所述数据入侵防护日志的入侵攻击分析报告,可以包括如下步骤51-步骤55所记录的内容。
步骤51、获取至少一种拼接策略。
步骤52、对于每种所述拼接策略,使用所述拼接策略对所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段进行拼接,得到对应的拼接对象。
在一种可能的示例中,对于任一拼接策略,所述拼接对象可以为基于该拼接策略拼接所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段后得到的所述数据入侵防护日志的入侵攻击分析报告。
步骤53、基于所述拼接对象,确定对应的拼接策略的质量评价,所述质量评价表征所述拼接策略对所述数据入侵防护日志中的字段信息进行处理的性能。
步骤54、将质量评价最高的拼接策略确定为目标拼接策略。
举例而言,基于拼接策略t1得到的电商数据入侵防护日志的质量评价为0.9,基于拼接策略t2得到的电商数据入侵防护日志的质量评价为0.86,则将所述拼接策略t1确定为目标拼接策略。
步骤55、使用所述目标拼接策略对所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段进行拼接,得到所述数据入侵防护日志的入侵攻击分析报告。
本发明实施例提供的信息系统数据安全防护方法可以利用入侵攻击倾向识别算法实现,对于一种可能的实施例而言,本发明实施例的入侵攻击倾向识别算法配置的方法可以包括步骤101-步骤103。
步骤101、将具有算法注释的示例型数据入侵防护日志输入所述入侵攻击倾向识别算法的至少两个入侵攻击倾向识别节点,得到第一示例型入侵攻击倾向字段和第二示例型入侵攻击倾向字段。
对于本发明实施例而言,示例型数据入侵防护日志可以理解为样本数据入侵防护日志。入侵攻击倾向识别节点可以理解为入侵攻击倾向识别算法中的入侵攻击倾向识别分支。
举例而言,本发明实施例中的示例型数据入侵防护日志可以以示例型数据入侵防护日志集形成,以示例型数据入侵防护日志作为原料信息进行配置。本发明实施例中示例型数据入侵防护日志集中包括具备相同入侵意图的不同数据入侵防护日志,也包括具备不同目标的不同数据入侵防护日志。示例型数据入侵防护日志的算法注释可以用于表征所述示例型数据入侵防护日志中的入侵意图所对应的类别。
在本发明实施例中,可以以示例型数据入侵防护日志集的形式构成示例型数据入侵防护日志,所述入侵攻击倾向识别算法对所述示例型数据入侵防护日志进行处理,得到第一示例型入侵攻击倾向字段和第二示例型入侵攻击倾向字段的具体方式,可以参阅上述步骤10-步骤40,在此不做过多描述。假设一个示例型数据入侵防护日志集包括64组数据入侵防护日志,则可以基于算法10得到示例型第一入侵攻击倾向关系网,该示例型第一入侵攻击倾向关系网可以被表示为【64,64,128,128】,其中第一个“64”反映示例型第一入侵攻击倾向关系网来自64组示例型数据入侵防护日志,第二个“64”反映每个示例型第一入侵攻击倾向关系网对应64个场景,并且每个示例型第一入侵攻击倾向关系网的横纵约束都是128,进一步地对示例型第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一示例型入侵攻击倾向字段。
步骤102、基于所述第一示例型入侵攻击倾向字段、所述第二示例型入侵攻击倾向字段和所述算法注释,确定所述入侵攻击倾向识别算法对应的算法代价。
在本发明实施例中,所述算法代价包括如下至少一项:每一所述入侵攻击倾向识别节点对应的场景识别代价、每一所述入侵攻击倾向识别节点之间的关联识别代价、基于对所述入侵攻击倾向识别节点的导出信息的主动攻击事件标签评估对应的评估代价、基于对每一所述入侵攻击倾向识别节点的导出信息的拼接对应的拼接代价。
步骤103、基于所述算法代价改进所述入侵攻击倾向识别算法。
对于本发明实施例而言,对于具体的改进思路不进行限定,举例而言,可以使用最优算法(比如:梯度下降法)对入侵攻击倾向识别算法的算法变量进行调整。在所述算法代价低于代价判定值的基础上,可以评判改进符合指标,鉴于此,入侵攻击倾向识别算法可以部署应用。在该算法代价大于或者等于所述代价判定值的基础上,可以迭代优化所述入侵攻击倾向识别算法的算法变量,直到得到的所述算法代价小于所述代价判定值。其中所述代价判定值可以为灵活设置,如可以为0.3。
应用于以上实施例,可以基于算法代价改进入侵攻击倾向识别算法,使得配置得到的入侵攻击倾向识别算法可以对数据入侵防护日志进行全面的入侵攻击倾向识别,得到完整可信的字段信息。
对于一些可示性实施例而言,确定所述场景识别代价的方法可以包括如下步骤201-步骤203。
步骤201、根据所述第一示例型入侵攻击倾向字段和所述算法注释,确定第一场景识别代价。
步骤202、根据所述第二示例型入侵攻击倾向字段和所述算法注释,确定第二场景识别代价。
在本发明实施例中,每个字段挖掘单元都会输出场景识别代价,其包括三个字段挖掘单元,其中,算法10输出第一示例型入侵攻击倾向字段,因此,算法10对应的场景识别代价可以为所述第一场景识别代价,算法20输出的示例型第一目标入侵攻击倾向字段和算法30输出的示例型第二目标入侵攻击倾向字段生成所述第二示例型入侵攻击倾向字段,因此第二场景识别代价包括算法20对应的场景识别代价和算法30对应的场景识别代价。
对于算法10,可以根据示例型数据入侵防护日志集的所述入侵意图评估信息和所述示例型数据入侵防护日志集中示例型数据入侵防护日志携带的入侵意图,计算第一分团相关性和第二分团相关性。根据所述第一分团相关性和所述第二分团相关性的相关性之差,计算得到所述意图识别代价。具体地,根据所述示例型数据入侵防护日志集中示例型数据入侵防护日志携带的入侵意图可以确定示例型数据入侵防护日志的类别,示例型数据入侵防护日志集的入侵意图评估信息中包含每个示例型数据入侵防护日志对应的入侵意图评估信息,获取属于相同分团簇的任意两个示例型数据入侵防护日志对应的入侵意图评估信息之间的词向量差异度,将取值最高的所述词向量差异度确定为该分团簇对应的第一分团相关性,将各个第一分团相关性的最大值确定为所述第一分团相关性。将属于不同分团簇的任意两个示例型数据入侵防护日志对应的入侵意图评估信息之间的词向量差异度的max确定为所述第二分团相关性(比如可以是相似度或者相似值)。
步骤203、根据所述第一场景识别代价和所述第二场景识别代价,确定所述场景识别代价。
在本发明实施例中,通过确定各个字段挖掘单元对应的场景识别代价,可以便于对单一字段挖掘单元的字段挖掘性能进行显著提高,以提高入侵攻击倾向识别算法的字段挖掘性能。
不同的字段挖掘单元的输出内容对应不同的字段信息空间,由此产生关联识别代价,确定所述关联识别代价的方法可以包括如下步骤301和步骤302。
步骤301、对所述第一示例型入侵攻击倾向字段和所述第二示例型入侵攻击倾向字段进行标准化操作,得到多个示例型标准化字段。
对于一些可示性实施例而言,所述第一示例型入侵攻击倾向字段和所述第二示例型入侵攻击倾向字段在进行标准化操作之前,还可以进行滤波处理,进而能够减少得到的示例型标准化字段的维度。
步骤302、确定所述多个示例型标准化字段之间的关联识别代价,所述关联识别代价包括涵盖如下至少一项:所述多个示例型标准化字段之间的入侵意图关联识别代价、所述多个示例型标准化字段之间的防护日志关联识别代价。
对于本发明实施例而言,通过整体进行标准化操作后得到的多个示例型标准化字段可以被视作对应于相同的字段信息空间。虽然示例型标准化字段都对应于相同的字段信息空间,但是其来自于不同的字段挖掘单元,因此,多个示例型标准化字段之间产生入侵意图关联识别代价和防护日志关联识别代价。
一般而言,通过标准化操作后各入侵攻击倾向字段被变更为示例型标准化字段,本发明实施例认为以入侵意图视为基准,换言之,对应于相同入侵意图的示例型标准化字段之间的词向量差异度,应该小于对应于不同入侵意图的示例型标准化字段之间的词向量差异度,从这一层面对于示例型标准化字段进行描述即产生了入侵意图关联识别代价。
本发明实施例中步骤302确定得到的所述关联识别代价可以为入侵意图关联识别代价和防护日志关联识别代价的全局代价,本发明实施例对此不作限定。本发明实施例中通过得到示例型标准化字段,能够实现不同字段的统一处理,并且确定示例型标准化字段对应的入侵意图关联识别代价和防护日志关联识别代价。通过对不同字段挖掘单元的挖掘对象的联合分析,能够提高入侵攻击倾向识别的质量。
对于一些可示性实施例而言,所述入侵意图关联识别代价的计算方法可以包括如下内容:对所述多个示例型标准化字段进行基于入侵意图的分团,得到入侵意图分团信息,所述入侵意图分团信息的相同分团簇中的示例型标准化字段对应于相同的入侵意图;根据所述入侵意图分团信息确定第一分团相关性和第二分团相关性;根据所述第一分团相关性和所述第二分团相关性的相关性之差,得到所述入侵意图关联识别代价。其中,第一分团相关性和第二分团相关性的确定思路可以参阅以上描述。
对于一些可示性实施例而言,确定所述防护日志关联识别代价,包括步骤401-步骤405所记录的内容。
步骤401、确定其中两个第一上下游倾向字段之间的第一词向量差异度,所述两个第一上下游倾向字段为对应于不同示例型数据入侵防护日志中相同入侵意图的两个示例型标准化字段。
步骤402、确定其中两个第二上下游倾向字段之间的第二词向量差异度;所述两个第二上下游倾向字段为对应于相同示例型数据入侵防护日志中相同入侵意图的两个示例型标准化字段。
步骤403、确定所述第一词向量差异度中的最小第一词向量差异度。
步骤404、确定所述第二词向量差异度中的最大第二词向量差异度。
步骤405、根据所述最小第一词向量差异度和所述最大第二词向量差异度的差,得到所述防护日志关联识别代价。
本发明实施例中的入侵攻击倾向识别算法除去最后一个字段挖掘单元之外,每个字段挖掘单元对应的入侵攻击倾向字段都可以被输入对应的主动攻击解析单元,每个主动攻击解析单元也可以对应产生代价,该代价可以理解为基于对所述入侵攻击倾向识别节点的导出信息的主动攻击事件标签评估对应的评估代价。本发明实施例公开一种确定所述评估代价的思路,可以包括步骤501-步骤504所记录的内容。
步骤501、根据所述第一示例型入侵攻击倾向字段和所述第二示例型入侵攻击倾向字段,确定每一主动攻击解析单元的输入信息。
举例而言,算法10对应的主动攻击解析单元unit_y10的输入信息可以为所述第一示例型入侵攻击倾向字段,算法20对应的主动攻击解析单元unit_y20的输入信息可以为所述第二示例型入侵攻击倾向字段中的示例型第一目标入侵攻击倾向字段。
步骤502、确定所述每一主动攻击解析单元输出的主动攻击系数分布,所述主动攻击系数分布表征所述输入信息对应的主动攻击事件标签。
步骤503、对所述输入信息进行基于事件标签的主动攻击识别,得到主动攻击系数基准分布。
结合上述内容,可以将输入信息进行基于事件标签的划分,得到多个向量簇,进行逐一向量簇的入侵攻击倾向字段调节后得到调节数据,通过所述调节数据被用于识别所述示例型数据入侵防护日志中的入侵意图的精度表现,确定所述主动攻击系数基准分布。还可以对所述输入信息进行基于交互场景的滤波处理和基于联合攻击的滤波处理,得到所述主动攻击系数基准分布。例如,滤波处理可以理解为下采样处理或者池化处理。
对于一些可示性实施例而言,所述确定主动攻击系数基准分布,可以包括如下步骤5031-步骤5033。
步骤5031、对所述输入信息进行基于防护日志内容集的调节,根据调节数据确定第一命中指数列表。
对于本发明实施例而言,将所述输入信息进行基于事件标签的划分,可以得到字段划分集,对所述字段划分集中每个字符信息对应的向量簇进行调节,得到对应的向量簇调节数据,将其缓存于向量簇调节数据库中。
步骤5032、对所述输入信息依次进行基于交互场景的滤波处理和基于联合攻击的滤波处理,得到第二命中指数列表。
对于本发明实施例而言,将输入信息直接进行基于交互场景的滤波处理,可以得到第一滤波结果。举例而言,如果所述输入信息可以为【a,b,c,d】,则所述第一滤波结果可以为【a,b/4,c,d】,即第一滤波结果仅涵盖一个交互场景。通过将所述第一滤波结果进行基于联合攻击的滤波处理,可以得到第二滤波结果,可以理解,通过对所述第一滤波结果进一步进行滤波处理,使得得到的第二滤波结果与所述第一命中指数列表的参数规模匹配一致。
步骤5033、根据所述第一命中指数列表和所述第二命中指数列表,确定所述主动攻击系数基准分布。
对于一些可示性实施例而言,可以对第一命中指数列表和第二命中指数列表进行拼接,得到所述主动攻击系数基准分布。举例而言,可以将所述第一命中指数列表和所述第二命中指数列表的逐字符信息拼接结果视为所述主动攻击系数基准分布。本发明实施例并不对逐字符信息拼接的思路进行限定。举例而言,可以将所述第一命中指数列表和所述第二命中指数列表逐字符信息求均值所得的数据,确定为主动攻击系数基准分布。
步骤504、根据所述主动攻击系数基准分布和所述主动攻击系数分布,确定所述评估代价。
对于本发明实施例而言,对于每个主动攻击解析单元,都可以确定其输出的主动攻击系数分布和对应的主动攻击系数基准分布,根据该主动攻击系数分布和对应的主动攻击系数基准分布的比较结果可以确定该主动攻击解析单元对应的代价。
在本发明实施例中,通过从意图分析代价的层面确定第一命中指数列表,从输入信息的层面确定第二命中指数列表,并将根据所述第一命中指数列表和所述第二命中指数列表得到的主动攻击系数基准分布视为评估依据确定所述主动攻击解析单元对应的评估代价,可以提升对评估代价的确定精度,基于该评估代价可以优化主动攻击解析单元,提升主动攻击事件标签的定位质量。
进一步地,为了规避直接对各字段挖掘单元输出的入侵攻击倾向字段进行拼接而可能对应的噪声,本发明实施例提供确定拼接代价的思路。所述确定拼接代价,可以包括如下内容:确定各入侵攻击倾向识别节点对应的配置指标;获取所述各入侵攻击倾向识别节点对应的识别评估度;根据所述配置指标和所述识别评估度,确定所述拼接代价。
基于上述相同或相似的发明构思,如图3所示,本发明实施例还提供了一种信息系统数据安全防护系统30的架构示意图,包括互相之间通信的数据安全防护云平台10和业务交互终端20,数据安全防护云平台10和业务交互终端20在运行时实现或者部分实现上述方法实施例所描述的技术方案。
进一步地,本发明实施例还提供了一种可读存储介质,其上存储有程序,该程序被处理器执行时实现上述的方法。
在本发明实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,媒体业务服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种信息系统数据安全防护方法,其特征在于,应用于数据安全防护云平台,所述方法包括:
基于信息安全防护请求,对获取的数据入侵防护日志进行入侵攻击倾向识别,得到第一入侵攻击倾向关系网;
利用所述第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,且所述衍生攻击倾向解析包括场景化攻击倾向识别;
依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,利用所述第一入侵攻击倾向关系网进行抽样,并获得抽样数据中的第二入侵攻击倾向字段;
经由所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段,得到所述数据入侵防护日志的入侵攻击分析报告;
其中,所述方法利用入侵攻击倾向识别算法实现,所述入侵攻击倾向识别算法的配置思路为:将具有算法注释的示例型数据入侵防护日志加载到所述入侵攻击倾向识别算法的至少两个入侵攻击倾向识别节点,得到第一示例型入侵攻击倾向字段和第二示例型入侵攻击倾向字段;依据所述第一示例型入侵攻击倾向字段、所述第二示例型入侵攻击倾向字段和所述算法注释,确定所述入侵攻击倾向识别算法对应的算法代价;依据所述算法代价改进所述入侵攻击倾向识别算法;其中,所述算法代价包括如下至少一项:各所述入侵攻击倾向识别节点对应的场景识别代价、各所述入侵攻击倾向识别节点之间的关联识别代价、基于对所述入侵攻击倾向识别节点的导出信息的主动攻击事件标签评估对应的评估代价、基于对各所述入侵攻击倾向识别节点的导出信息的拼接对应的拼接代价。
2.如权利要求1所述的方法,其特征在于,所述获得抽样数据中的第二入侵攻击倾向字段,包括:调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网;
所述调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网,包括:
对所述抽样数据进行字段挖掘得到目标攻击字段,对所述目标攻击字段进行衍生攻击倾向解析得到第一目标入侵攻击倾向字段,以及依据所述第一目标入侵攻击倾向字段中的主动型攻击意图向量,对所述目标攻击字段进行抽样,得到所述第二入侵攻击倾向关系网;
在没有满足设定的处理指标的基础上,通过所述第二入侵攻击倾向关系网优化所述抽样数据,跳转至所述调节所述抽样数据中的主动型攻击意图向量,得到第二入侵攻击倾向关系网的步骤;
在满足所述处理指标的基础上,将确定出的各所述第一目标入侵攻击倾向字段皆视为所述第二入侵攻击倾向字段;
其中,所述获得抽样数据中的第二入侵攻击倾向字段,还包括:采集目标第二入侵攻击倾向关系网,所述目标第二入侵攻击倾向关系网为满足所述处理指标的基础上确定出的第二入侵攻击倾向关系网;对所述目标第二入侵攻击倾向关系网进行衍生攻击倾向解析,得到第二目标入侵攻击倾向字段;将所述第二目标入侵攻击倾向字段视为所述第二入侵攻击倾向字段。
3.如权利要求1所述的方法,其特征在于,所述依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,利用所述第一入侵攻击倾向关系网进行抽样,包括:依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,确定主动攻击事件标签;对所述第一入侵攻击倾向关系网中对应于所述主动攻击事件标签的入侵攻击倾向字段进行抽样;
其中,所述依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,确定主动攻击事件标签,包括:对所述第一入侵攻击倾向字段进行基于事件标签的划分,得到字段划分集;确定所述字段划分集中每个字符信息对应向量簇的主动攻击系数,得到主动攻击系数分布;通过所述主动攻击系数分布,确定所述主动攻击事件标签;
其中,所述对所述第一入侵攻击倾向关系网中对应于所述主动攻击事件标签的入侵攻击倾向字段进行抽样,包括:通过所述主动攻击事件标签创建攻击倾向抽样集,所述攻击倾向抽样集用于筛选所述主动攻击事件标签对应的入侵攻击倾向字段;基于所述攻击倾向抽样集对所述第一入侵攻击倾向关系网进行处理。
4.如权利要求1所述的方法,其特征在于,所述利用所述第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,包括:
利用所述第一入侵攻击倾向关系网进行入侵攻击倾向识别,得到第一倾向识别数据;
利用所述第一入侵攻击倾向关系网进行场景化攻击识别,得到第二倾向识别数据;
对所述第一倾向识别数据和所述第二倾向识别数据进行拼接,获得所述第一入侵攻击倾向字段。
5.如权利要求1所述的方法,其特征在于,所述方法还包括确定所述场景识别代价;其中,所述确定所述场景识别代价,包括:通过所述第一示例型入侵攻击倾向字段和所述算法注释,确定第一场景识别代价;通过所述第二示例型入侵攻击倾向字段和所述算法注释,确定第二场景识别代价;通过所述第一场景识别代价和所述第二场景识别代价,确定所述场景识别代价;
其中,所述方法还包括确定所述关联识别代价,所述确定所述关联识别代价,包括:对所述第一示例型入侵攻击倾向字段和所述第二示例型入侵攻击倾向字段进行标准化操作,得到多个示例型标准化字段;确定所述多个示例型标准化字段之间的关联识别代价,所述关联识别代价包括涵盖如下至少一项:所述多个示例型标准化字段之间的入侵意图关联识别代价、所述多个示例型标准化字段之间的防护日志关联识别代价;
其中,所述算法注释用于表征所述示例型数据入侵防护日志中的入侵意图,所述方法还包括确定所述入侵意图关联识别代价,所述确定所述入侵意图关联识别代价,包括:对所述多个示例型标准化字段进行基于入侵意图的分团,得到入侵意图分团信息,所述入侵意图分团信息的相同分团簇中的示例型标准化字段对应于相同的入侵意图;通过所述入侵意图分团信息确定第一分团相关性和第二分团相关性;通过所述第一分团相关性和所述第二分团相关性的相关性之差,得到所述入侵意图关联识别代价;
其中,所述算法注释用于表征所述示例型数据入侵防护日志中的入侵意图,所述方法还包括确定所述防护日志关联识别代价,所述确定所述防护日志关联识别代价,包括:确定其中两个第一上下游倾向字段之间的第一词向量差异度,所述两个第一上下游倾向字段为对应于不同示例型数据入侵防护日志中相同入侵意图的两个示例型标准化字段;确定其中两个第二上下游倾向字段之间的第二词向量差异度;所述两个第二上下游倾向字段为对应于相同示例型数据入侵防护日志中相同入侵意图的两个示例型标准化字段;确定所述第一词向量差异度中的最小第一词向量差异度,并确定所述第二词向量差异度中的最大第二词向量差异度;通过所述最小第一词向量差异度和所述最大第二词向量差异度的差,得到所述防护日志关联识别代价。
6.如权利要求1所述的方法,其特征在于,所述方法还包括确定所述评估代价,所述确定所述评估代价,包括:通过所述第一示例型入侵攻击倾向字段和所述第二示例型入侵攻击倾向字段,确定每一主动攻击解析单元的输入信息;确定所述每一主动攻击解析单元输出的主动攻击系数分布,所述主动攻击系数分布表征所述输入信息对应的主动攻击事件标签;对所述输入信息进行基于事件标签的主动攻击识别,得到主动攻击系数基准分布;通过所述主动攻击系数基准分布和所述主动攻击系数分布,确定所述评估代价;
其中,所述对所述输入信息进行基于事件标签的主动攻击识别,得到主动攻击系数基准分布,包括:对所述输入信息进行基于防护日志内容集的调节,根据调节数据确定第一命中指数列表;对所述输入信息依次进行基于交互场景的滤波处理和基于联合攻击的滤波处理,得到第二命中指数列表;通过所述第一命中指数列表和所述第二命中指数列表,确定所述主动攻击系数基准分布。
7.如权利要求1所述的方法,其特征在于,所述方法还包括确定拼接代价,所述确定拼接代价,包括:
确定各入侵攻击倾向识别节点对应的配置指标;
确定所述各入侵攻击倾向识别节点对应的识别评估度;
通过所述配置指标和所述识别评估度,确定所述拼接代价。
8.一种信息系统数据安全防护系统,其特征在于,包括互相之间通信的数据安全防护云平台和业务交互终端;
所述数据安全防护云平台用于:
基于信息安全防护请求,对获取的数据入侵防护日志进行入侵攻击倾向识别,得到第一入侵攻击倾向关系网;
利用所述第一入侵攻击倾向关系网进行衍生攻击倾向解析,得到第一入侵攻击倾向字段,且所述衍生攻击倾向解析包括场景化攻击倾向识别;
依据所述第一入侵攻击倾向字段中的主动型攻击意图向量,利用所述第一入侵攻击倾向关系网进行抽样,并获得抽样数据中的第二入侵攻击倾向字段;
经由所述第一入侵攻击倾向字段和所述第二入侵攻击倾向字段,得到所述数据入侵防护日志的入侵攻击分析报告;
将所述入侵攻击分析报告下发至所述业务交互终端;
其中,所述数据安全防护云平台的功能利用入侵攻击倾向识别算法实现,所述入侵攻击倾向识别算法的配置思路为:将具有算法注释的示例型数据入侵防护日志加载到所述入侵攻击倾向识别算法的至少两个入侵攻击倾向识别节点,得到第一示例型入侵攻击倾向字段和第二示例型入侵攻击倾向字段;依据所述第一示例型入侵攻击倾向字段、所述第二示例型入侵攻击倾向字段和所述算法注释,确定所述入侵攻击倾向识别算法对应的算法代价;依据所述算法代价改进所述入侵攻击倾向识别算法;其中,所述算法代价包括如下至少一项:各所述入侵攻击倾向识别节点对应的场景识别代价、各所述入侵攻击倾向识别节点之间的关联识别代价、基于对所述入侵攻击倾向识别节点的导出信息的主动攻击事件标签评估对应的评估代价、基于对各所述入侵攻击倾向识别节点的导出信息的拼接对应的拼接代价。
9.一种数据安全防护云平台,其特征在于,包括处理器和存储器;所述处理器和所述存储器通信连接,所述处理器用于从所述存储器中读取计算机程序并执行,以实现上述权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210781287.0A CN114866344B (zh) | 2022-07-05 | 2022-07-05 | 信息系统数据安全防护方法、系统及云平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210781287.0A CN114866344B (zh) | 2022-07-05 | 2022-07-05 | 信息系统数据安全防护方法、系统及云平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866344A CN114866344A (zh) | 2022-08-05 |
| CN114866344B true CN114866344B (zh) | 2022-09-27 |
Family
ID=82625709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210781287.0A Active CN114866344B (zh) | 2022-07-05 | 2022-07-05 | 信息系统数据安全防护方法、系统及云平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866344B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116208418A (zh) * | 2022-09-14 | 2023-06-02 | 曹小芳 | 一种基于深度学习的入侵攻击事件识别方法及存储介质 |
| CN115967548B (zh) * | 2022-12-04 | 2024-04-09 | 深圳市众志天成科技有限公司 | 一种基于大数据信息安全的安全防护指标优化方法及人工智能系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808020A (zh) * | 2010-04-19 | 2010-08-18 | 吉林大学 | 基于不完全信息动态博弈的入侵响应决策方法 |
| US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
| WO2019109743A1 (zh) * | 2017-12-07 | 2019-06-13 | 阿里巴巴集团控股有限公司 | Url攻击检测方法、装置以及电子设备 |
| CN111865960A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络入侵场景分析处理方法、系统、终端及存储介质 |
| CN114500099A (zh) * | 2022-03-04 | 2022-05-13 | 青岛德鑫网络技术有限公司 | 一种针对云服务的大数据攻击处理方法及服务器 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003100617A1 (en) * | 2002-05-22 | 2003-12-04 | Lucid Security Corporation | Adaptive intrusion detection system |
| US20150172302A1 (en) * | 2013-12-13 | 2015-06-18 | Vahna, Inc. | Interface for analysis of malicious activity on a network |
| CN106375331B (zh) * | 2016-09-23 | 2020-02-14 | 北京网康科技有限公司 | 一种攻击组织的挖掘方法及装置 |
| DE102016222740A1 (de) * | 2016-11-18 | 2018-05-24 | Continental Automotive Gmbh | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
| CN110011982B (zh) * | 2019-03-19 | 2020-08-25 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN113688382B (zh) * | 2021-08-31 | 2022-05-03 | 中科柏诚科技(北京)股份有限公司 | 基于信息安全的攻击意图挖掘方法及人工智能分析系统 |
| CN114598547A (zh) * | 2022-03-24 | 2022-06-07 | 苏州市中拓互联信息科技有限公司 | 应用于网络攻击识别的数据分析方法及电子设备 |
| CN114679341B (zh) * | 2022-05-27 | 2022-08-16 | 江苏益柏锐信息科技有限公司 | 结合erp系统的网络入侵攻击分析方法、设备及介质 |
-
2022
- 2022-07-05 CN CN202210781287.0A patent/CN114866344B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7865954B1 (en) * | 2007-08-24 | 2011-01-04 | Louisiana Tech Research Foundation; A Division Of Louisiana Tech University Foundation, Inc. | Method to detect SYN flood attack |
| CN101808020A (zh) * | 2010-04-19 | 2010-08-18 | 吉林大学 | 基于不完全信息动态博弈的入侵响应决策方法 |
| WO2019109743A1 (zh) * | 2017-12-07 | 2019-06-13 | 阿里巴巴集团控股有限公司 | Url攻击检测方法、装置以及电子设备 |
| CN111865960A (zh) * | 2020-07-15 | 2020-10-30 | 北京市燃气集团有限责任公司 | 一种网络入侵场景分析处理方法、系统、终端及存储介质 |
| CN114500099A (zh) * | 2022-03-04 | 2022-05-13 | 青岛德鑫网络技术有限公司 | 一种针对云服务的大数据攻击处理方法及服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 网络攻击图生成算法研究;李玲娟等;《计算机技术与发展》;20101010(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866344A (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114866344B (zh) | 信息系统数据安全防护方法、系统及云平台 | |
| CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
| CN111212053B (zh) | 一种面向工控蜜罐的同源攻击分析方法 | |
| CN111506599B (zh) | 基于规则匹配和深度学习的工控设备识别方法及系统 | |
| CN100444075C (zh) | 用于移动/智能终端的病毒特征提取和检测系统及方法 | |
| CN102414683A (zh) | 基于媒体内容的分类来存储和检索从媒体内容中导出的指纹 | |
| CN108829715A (zh) | 用于检测异常数据的方法、设备和计算机可读存储介质 | |
| Dini et al. | Design and testing novel one-class classifier based on polynomial interpolation with application to networking security | |
| CN111740946B (zh) | Webshell报文的检测方法及装置 | |
| CN117216660A (zh) | 基于时序网络流量集成异常点和异常集群检测方法及装置 | |
| CN113722719A (zh) | 针对安全拦截大数据分析的信息生成方法及人工智能系统 | |
| CN112187812A (zh) | 应用于在线办公网络的数据安全检测方法及系统 | |
| US20230087309A1 (en) | Cyberattack identification in a network environment | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| CN115271407A (zh) | 基于人工智能的工业互联网数据处理方法及系统 | |
| CN115035347A (zh) | 图片识别方法、装置及电子设备 | |
| CN113434857A (zh) | 一种应用深度学习的用户行为安全解析方法及系统 | |
| CN112116018B (zh) | 样本分类方法、装置、计算机设备、介质和程序产品 | |
| CN115795466A (zh) | 一种恶意软件组织识别方法及设备 | |
| CN112115443B (zh) | 一种终端用户鉴权方法及系统 | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| CN117081727B (zh) | 一种弱口令检测方法以及装置 | |
| CN116743473B (zh) | 一种基于并行度量学习的入侵检测方法、电子设备及存储介质 | |
| CN116488947B (zh) | 一种安全要素的治理方法 | |
| CN114866329B (zh) | 应用ai和大数据分析的威胁态势预测方法及威胁感知系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |