CN114896401B - 一种结合ai的云计算业务威胁分析方法及服务器 - Google Patents
一种结合ai的云计算业务威胁分析方法及服务器 Download PDFInfo
- Publication number
- CN114896401B CN114896401B CN202210561497.9A CN202210561497A CN114896401B CN 114896401 B CN114896401 B CN 114896401B CN 202210561497 A CN202210561497 A CN 202210561497A CN 114896401 B CN114896401 B CN 114896401B
- Authority
- CN
- China
- Prior art keywords
- event
- data security
- threat
- security threat
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/279—Recognition of textual entities
- G06F40/284—Lexical analysis, e.g. tokenisation or collocates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种结合AI的云计算业务威胁分析方法及服务器,通过结合威胁事件分析网络以及攻击倾向挖掘网络的联合分析思路,能够实现对数据安全威胁事件的二次威胁定位分析,从而提高数据安全威胁事件的分析精度和可信度。首先基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据,能够实现初步的定位处理,其次利用潜在威胁分布数据进行深度挖掘,能够准确得到攻击倾向知识字段,这样可以利用潜在威胁分布数据和攻击倾向知识字段进行联合匹配处理,从而得到更加完整精确的二次威胁分析报告,以便于后续基于该二次威胁分析报告进行针对性的威胁防护处理。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种结合AI的云计算业务威胁分析方法及服务器。
背景技术
云计算不断改变着各行各业的数据使用、数据存储和数据共享等方式,并改善着应用程序和网络负载的方式。随着各类业务的云端化升级,大量业务数据在云端进行传输和使用,这给云计算技术带来了一系列增加的安全威胁和挑战。以公共云服务为例,这类云计算架构由于承载了大量的用户数据/业务数据,其安全性和抗攻击性是关注的重点。相关的云计算安全处理技术通常包括信息攻击分析和信息攻击防护两个阶段,但是发明人经研究发现,这些技术在信息攻击分析阶段难以保障信息攻击分析的精度和完整性,这样难以保障后续信息攻击防护的针对性。
发明内容
本发明提供一种结合AI的云计算业务威胁分析方法及服务器,为实现上述技术目的,本发明采用如下技术方案。
第一方面是一种结合AI的云计算业务威胁分析方法,应用于云计算服务器,方法包括:
基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据;
基于攻击倾向挖掘网络以及潜在威胁分布数据确定所述第一数据安全威胁事件的攻击倾向知识字段;
结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告。
对于一种可能性的实施例而言,所述基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据,包括:
确定包含X组第一远程协同业务交互记录的云计算业务会话日志;其中,各个所述第一远程协同业务交互记录中具有不少于一个第一数据安全威胁事件;
将各个所述第一远程协同业务交互记录加载到威胁事件分析网络,获得各个所述第一远程协同业务交互记录中不少于一个第一数据安全威胁事件的潜在威胁分布数据。
对于一种可能性的实施例而言,所述基于攻击倾向挖掘网络以及潜在威胁分布数据确定所述第一数据安全威胁事件的攻击倾向知识字段,包括:将各个所述第一远程协同业务交互记录中不少于一个所述潜在威胁分布数据对应的第一业务交互会话文本集加载到攻击倾向挖掘网络,获得所述第一业务交互会话文本集中第一数据安全威胁事件的攻击倾向知识字段;
其中,所述结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告,包括:依据各个所述第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得二次威胁分析报告,所述二次威胁分析报告中具有不少于一个第一数据安全威胁事件对应的区分短语,以及各个所述区分短语对应的潜在威胁分布数据;其中,所述威胁事件分析网络和所述攻击倾向挖掘网络通过衍生的网络配置模板集配置获得,所述衍生的网络配置模板集具有不少于一个包括第二数据安全威胁事件的第二远程协同业务交互记录,以及各个所述第二远程协同业务交互记录中不少于一个所述第二数据安全威胁事件的先验攻击倾向知识和先验区分短语。
对于一种可能性的实施例而言,所述依据各个所述第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得二次威胁分析报告包括:
依据各个所述第一远程协同业务交互记录在所述云计算业务会话日志中的时序关系,按序对连续第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得连续第一远程协同业务交互记录中一致的第一数据安全威胁事件;
为各个第一数据安全威胁事件添加对应的区分短语,并依据连续第一远程协同业务交互记录中一致的第一数据安全威胁事件,确定各个所述区分短语对应的第一数据安全威胁事件在各个所述第一远程协同业务交互记录中的潜在威胁分布数据;
依据反映各个第一数据安全威胁事件的区分短语,以及各个所述区分短语对应的不少于一个潜在威胁分布数据确定二次威胁分析报告。
对于一种可能性的实施例而言,所述依据各个所述第一远程协同业务交互记录在所述云计算业务会话日志中的时序关系,按序对连续第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得连续第一远程协同业务交互记录中一致的第一数据安全威胁事件包括:
依据各个所述第一远程协同业务交互记录在所述云计算业务会话日志中的时序关系按序确定关联交互记录,以及所述关联交互记录后一组的目标交互记录;
确定所述关联交互记录的不少于一个第一数据安全威胁事件对应的关联潜在威胁分布数据和关联攻击倾向知识字段;
确定所述目标交互记录的不少于一个第一数据安全威胁事件对应的目标潜在威胁分布数据和目标攻击倾向知识字段;
对于所述关联交互记录中的各个所述第一数据安全威胁事件,依据对应的所述关联潜在威胁分布数据和对应的关联攻击倾向知识字段分别与各个所述目标潜在威胁分布数据和对应目标攻击倾向知识字段进行联合分析,获得所述目标交互记录中一致的第一数据安全威胁事件。
对于一种可能性的实施例而言,所述衍生的网络配置模板集的获得步骤如下:
确定包含第二数据安全威胁事件的衍生云计算业务进程;
通过业务大数据采集模块在所述衍生云计算业务进程中进行交互记录收集,获得不少于一个携带所述第二数据安全威胁事件的第二远程协同业务交互记录;
确定各个所述第二远程协同业务交互记录中所述第二数据安全威胁事件的先验攻击倾向知识和先验区分短语。
对于一种可能性的实施例而言,所述确定包含第二数据安全威胁事件的衍生云计算业务进程,包括:
确定第二数据安全威胁事件关系网和对应的事件细节特征,所述第二数据安全威胁事件关系网为知识关系网,所述事件细节特征包括威胁意图特征、事件状态特征和先验区分短语;
创建衍生云计算业务进程,并依据所述事件细节特征将所述第二数据安全威胁事件关系网传输至所述衍生云计算业务进程,获得携带所述第二数据安全威胁事件的衍生云计算业务进程,所述第二数据安全威胁事件依据所述事件细节特征更新所述第二数据安全威胁事件关系网确定。
对于一种可能性的实施例而言,所述通过业务大数据采集模块在所述衍生云计算业务进程中进行交互记录收集,获得不少于一个携带所述第二数据安全威胁事件的第二远程协同业务交互记录,包括:确定所述第二数据安全威胁事件对应的第一事件行为描述,所述第一事件行为描述用于反映所述第二数据安全威胁事件在所述衍生云计算业务进程中的事件行为变化;确定所述业务大数据采集模块对应的第二事件行为描述,所述第二事件行为描述用于反映所述业务大数据采集模块在所述衍生云计算业务进程中的事件行为变化;在交互记录收集启动的前提下,依据所述第一事件行为描述和所述第二事件行为描述激活所述第二数据安全威胁事件和所述业务大数据采集模块;在所述第二数据安全威胁事件和所述业务大数据采集模块的激活状态下中进行交互记录收集,获得不少于一个携带所述第二数据安全威胁事件的第二远程协同业务交互记录;
其中,所述第一事件行为描述中具有若干个用作确定所述第二数据安全威胁事件分布以及事件状态特征的主题向量的不间断第一描述文本集,所述第二事件行为描述中具有若干个用作确定所述业务大数据采集模块分布和主题向量的不间断第二描述文本集;所述依据所述第一事件行为描述和所述第二事件行为描述激活所述第二数据安全威胁事件和所述业务大数据采集模块包括:依据若干个不间断的所述第一描述文本集依次调整所述第二数据安全威胁事件在所述衍生云计算业务进程中的分布特征以及主题向量;依据若干个不间断的所述第二描述文本集依次调整所述业务大数据采集模块在所述衍生云计算业务进程中的分布特征以及主题向量;
其中,所述业务大数据采集模块还用作获得反映所述第二数据安全威胁事件在所述衍生云计算业务进程中分布特征的局部交互大数据;所述确定各个所述第二远程协同业务交互记录中所述第二数据安全威胁事件的先验攻击倾向知识和先验区分短语,包括:依据与各个所述第二远程协同业务交互记录并行获得的局部交互大数据确定对应的先验攻击倾向知识;获得各个所述第二远程协同业务交互记录中第二数据安全威胁事件细节特征中的先验区分短语。
对于一种可能性的实施例而言,所述攻击倾向挖掘网络的配置步骤为:
将所述衍生的网络配置模板集中的所述第二远程协同业务交互记录中第二数据安全威胁事件所对应的业务交互会话文本集作为配置模板,将各个所述第二数据安全威胁事件所对应的业务交互会话文本集中第二数据安全威胁事件的先验区分短语作为积极模板配置AI网络,所述AI网络中具有攻击倾向挖掘单元和全连接单元;
获得配置获得的所述AI网络中的攻击倾向挖掘单元作为攻击倾向挖掘网络。
第二方面是一种云计算服务器,包括存储器和处理器;所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;其中,当所述处理器执行所述计算机指令时,使得所述云计算服务器执行第一方面的方法。
第三方面是一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在运行时执行第一方面的方法。
根据本发明的一个实施例,通过结合威胁事件分析网络以及攻击倾向挖掘网络的联合分析思路,能够实现对数据安全威胁事件的二次威胁定位分析,从而提高数据安全威胁事件的分析精度和可信度。首先基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据,能够实现初步的定位处理,其次利用潜在威胁分布数据进行深度挖掘,能够准确得到攻击倾向知识字段,这样可以利用潜在威胁分布数据和攻击倾向知识字段进行联合匹配处理,从而得到更加完整精确的二次威胁分析报告,以便于后续基于该二次威胁分析报告进行针对性的威胁防护处理。
附图说明
图1为本发明实施例提供的一种结合AI的云计算业务威胁分析方法的流程示意图。
图2为本发明实施例提供的一种结合AI的云计算业务威胁分析装置的模块框图。
具体实施方式
以下,术语“第一”、“第二”和“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”或“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。
图1示出了本发明实施例提供的一种结合AI的云计算业务威胁分析方法的流程示意图,结合AI的云计算业务威胁分析方法可以通过云计算服务器实现,云计算服务器可以包括存储器和处理器;所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;其中,当所述处理器执行所述计算机指令时,使得所述云计算服务器执行如下步骤所描述的技术方案。
本发明实施例的总体设计思路如下:基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据;基于攻击倾向挖掘网络以及潜在威胁分布数据确定所述第一数据安全威胁事件的攻击倾向知识字段;结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告。
如此一来,通过结合威胁事件分析网络以及攻击倾向挖掘网络的联合分析思路,能够实现对数据安全威胁事件的二次威胁定位分析,从而提高数据安全威胁事件的分析精度和可信度。首先基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据,能够实现初步的定位处理,其次利用潜在威胁分布数据进行深度挖掘,能够准确得到攻击倾向知识字段,这样可以利用潜在威胁分布数据和攻击倾向知识字段进行联合匹配处理,从而得到更加完整精确的二次威胁分析报告,以便于后续基于该二次威胁分析报告进行针对性的威胁防护处理。
针对上述整体设计思路,以下通过示例性的技术方案进行说明。
首先,基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据,可以包括如下内容:确定包含X组第一远程协同业务交互记录的云计算业务会话日志;其中,各个所述第一远程协同业务交互记录中具有不少于一个第一数据安全威胁事件;将各个所述第一远程协同业务交互记录加载到威胁事件分析网络,获得各个所述第一远程协同业务交互记录中不少于一个第一数据安全威胁事件的潜在威胁分布数据。
其次,基于攻击倾向挖掘网络以及潜在威胁分布数据确定所述第一数据安全威胁事件的攻击倾向知识字段,可以包括如下内容:将各个所述第一远程协同业务交互记录中不少于一个所述潜在威胁分布数据对应的第一业务交互会话文本集加载到攻击倾向挖掘网络,获得所述第一业务交互会话文本集中第一数据安全威胁事件的攻击倾向知识字段。
最后,结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告,可以包括如下内容:依据各个所述第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得二次威胁分析报告,所述二次威胁分析报告中具有不少于一个第一数据安全威胁事件对应的区分短语,以及各个所述区分短语对应的潜在威胁分布数据。
在上述技术方案中,所述威胁事件分析网络和所述攻击倾向挖掘网络通过衍生的网络配置模板集配置获得,所述衍生的网络配置模板集具有不少于一个包括第二数据安全威胁事件的第二远程协同业务交互记录,以及各个所述第二远程协同业务交互记录中不少于一个所述第二数据安全威胁事件的先验攻击倾向知识和先验区分短语。
示例性地,关于上述技术方案的进一步说明,可以结合如下相关步骤实现。
Node10:确定包含X组第一远程协同业务交互记录的云计算业务会话日志。
对于一些实施例而言,通过云计算服务器确定云计算业务会话日志,该技术思路可以是接收第三方服务设备收集后传输的云计算业务会话日志,或者基于相关的交互记录收集模块直接获得云计算业务会话日志。示例性地,云计算业务会话日志中具有X组第一远程协同业务交互记录,各个第一远程协同业务交互记录中具有不少于一个第一数据安全威胁事件。其中,云计算业务会话日志可以通过一个交互记录收集模块不间断地收集不少于一个第一数据安全威胁事件,获得的X组具有时序关系的第一远程协同业务交互记录组成。此外,还可以由若干个业务大数据采集模块分别采集第一数据安全威胁事件获得第一远程协同业务交互记录,再依据若干个第一远程协同业务交互记录的收集时刻先后获得云计算业务会话日志。
示例性地,第一远程协同业务交互记录中的第一数据安全威胁事件可以依据具体业务交互会话确定,比如:在需要对支付信息安全威胁事件进行定位的具体业务交互会话下,第一远程协同业务交互记录中具有的第一数据安全威胁事件可以是支付信息安全威胁事件。在需要对云计算业务进行分析的具体业务交互会话下,第一远程协同业务交互记录中具有的第一数据安全威胁事件可以是用户数据窃取、业务信息篡改等,可通过静态交互记录收集模块收集获得。
Node20:将各个所述第一远程协同业务交互记录加载到威胁事件分析网络,获得各个所述第一远程协同业务交互记录中不少于一个第一数据安全威胁事件的潜在威胁分布数据。
对于一些实施例而言,对云计算业务会话日志中的各个第一远程协同业务交互记录进行分析,获得各个第一远程协同业务交互记录中的第一数据安全威胁事件的潜在威胁分布数据,潜在威胁分布数据反映对应的第一数据安全威胁事件在第一远程协同业务交互记录中的分布特征(比如第一数据安全威胁事件在第一远程协同业务交互记录中的相对位置分布)。简单的理解,可以对云计算业务会话日志进行分析获得各个第一远程协同业务交互记录中第一数据安全威胁事件所对应的定位信息。示例性地,本发明实施例可以通过将各个第一远程协同业务交互记录加载到威胁事件分析网络的思路,获得各个第一远程协同业务交互记录中不少于一个第一数据安全威胁事件的潜在威胁分布数据。威胁事件分析网络可以是任意进行威胁事件分析的AI神经网络,比如:CNN、GCN、RNN或者LSTM等。
进一步地,各个潜在威胁分布数据还携带对应的可信系数(置信度),可信系数用于反映潜在威胁分布数据中具有第一数据安全威胁事件的概率。当可信系数超过设定系数时确定该潜在威胁分布数据中具有对应的第一数据安全威胁事件,在可信系数未超过设定系数时确定该潜在威胁分布数据中不包含对应的第一数据安全威胁事件。
在本发明实施例中,威胁事件分析网络可以通过衍生的网络配置模板集(比如镜像/映射模板集,也可以理解为模拟的模板集)配置获得。其中,衍生的网络配置模板集具有不少于一个包括第二数据安全威胁事件的第二远程协同业务交互记录,以及各个第二远程协同业务交互记录中不少于一个第二数据安全威胁事件的先验攻击倾向知识(比如已知的威胁分布数据)和先验区分短语(比如已知的事件分类关键词)。
可以理解的是,在威胁事件分析网络的配置过程中,各个第二远程协同业务交互记录作为配置模板,各个第二远程协同业务交互记录中第二数据安全威胁事件的先验攻击倾向知识作为积极模板。可以简单的理解,将衍生的网络配置模板集中的第二远程协同业务交互记录加载到威胁事件分析网络,再依据威胁事件分析网络导出的潜在威胁分布数据和第二远程协同业务交互记录对应的先验攻击倾向知识确定威胁事件分析网络的代价(线程代价算法),依据该代价更新所述威胁事件分析网络直至符合设定指标。
对于一些实施例而言,本发明实施例的衍生的网络配置模板集可以通过根据衍生业务处理程序获取的若干组第二远程协同业务交互记录、各个第二远程协同业务交互记录的先验攻击倾向知识和先验区分短语确定。
对于一种可独立实施的实施例而言,确定衍生的网络配置模板集的过程可以包括如下Node301-Node303。
Node301:确定包含第二数据安全威胁事件的衍生云计算业务进程。
Node302:通过业务大数据采集模块在衍生云计算业务进程中进行交互记录收集,获得不少于一个包括第二数据安全威胁事件的第二远程协同业务交互记录。
Node303:确定各个第二远程协同业务交互记录中第二数据安全威胁事件的先验攻击倾向知识和先验区分短语。
在本发明实施例中,第二数据安全威胁事件可以是通过衍生数据创建程序创建的衍生数据安全威胁事件。衍生云计算业务进程可以是通过衍生数据创建程序创建的业务会话,比如模拟跨境支付会话、模拟数字办公支付会话。示例性地,第二数据安全威胁事件可以是二元注意力或者三元注意力的木马攻击事件,衍生云计算业务进程可以是二元注意力或者三元注意力业务进程。在第二数据安全威胁事件和衍生云计算业务进程为三元木马攻击事件和三元支付交互会话时,衍生数据创建程序可以是事先编写的智能软件,可以理解为三元衍生云计算业务进程和三元第二数据安全威胁事件可以通过事先编写的智能软件创建。或者,还可以通过其他程序创建三元衍生云计算业务进程和三元第二数据安全威胁事件,然后传输至事先编写的智能软件,其中二元和三元可以理解为二维和三维,二元注意力可以理解为二维指标或者二维角度。
对于一种可独立实施的实施例而言,通过衍生数据创建程序创建第二数据安全威胁事件和衍生云计算业务进程的过程可以包括如下内容。
Node3011:确定第二数据安全威胁事件关系网和对应的事件细节特征。
在本发明实施例中,第二数据安全威胁事件关系网为知识关系网(通过将数据安全威胁事件进行知识图谱化处理得到的可视化模型),事件细节特征包括威胁意图特征、事件状态特征和先验区分短语。事件细节特征可以理解为第二数据安全威胁事件关系网对应的事件属性特征。
Node3012:创建衍生云计算业务进程,并依据事件细节特征将第二数据安全威胁事件关系网传输至衍生云计算业务进程,获得包括第二数据安全威胁事件的衍生云计算业务进程,第二数据安全威胁事件依据事件细节特征更新第二数据安全威胁事件关系网确定。
在本发明实施例中,事件细节特征中的事件状态特征、威胁意图特征和知识关系网可以通过一致的程序创建确定,或者存在差异的程序创建确定。第二数据安全威胁事件关系网对应的事件状态特征用于作为第二数据安全威胁事件运行的参考,由若干个关系要素(如图谱要素)和有向连线组成。第二数据安全威胁事件关系网对应的威胁意图特征用于反映第二数据安全威胁事件的威胁意图。先验区分短语用于反映第二数据安全威胁事件,可以是第二数据安全威胁事件的类别。第二数据安全威胁事件关系网的知识关系网用于反映第二数据安全威胁事件的知识图谱,并包括若干个图谱实体。在依据事件细节特征将第二数据安全威胁事件关系网传输至设定的衍生云计算业务进程的同时,可以将事件状态特征中的特征单元与知识关系网中的若干个图谱实体对应。
进一步地,设定的衍生云计算业务进程可以是静态进程或者动态进程,其中可包括若干个进程节点以及对应的检测模块。基于以上思路确定的第二数据安全威胁事件和第二数据安全威胁事件所对应的进程可以随机改变,便可以通过确定包括存在差异的标签信息、存在差异的类别信息、存在差异的主题向量的第二数据安全威胁事件的多种会话进行配置交互记录收集,获得木马攻击事件类别和会话类别均丰富的衍生的网络配置模板集。并行,由于第二数据安全威胁事件和衍生云计算业务进程通过衍生数据创建程序确定,因而可以提高整体方案的执行效率。
对于一些实施例而言,在交互记录收集的过程中,业务大数据采集模块和第二数据安全威胁事件中不少于一个处于实时进程。对于一种可独立实施的实施例而言,交互记录收集过程可以如下Node3021-Node3024所记录的内容。
Node3021:确定第二数据安全威胁事件对应的第一事件行为描述。
在本发明实施例中,第一事件行为描述用于反映第二数据安全威胁事件在衍生云计算业务进程中的事件行为变化。
Node3022:确定业务大数据采集模块对应的第二事件行为描述。
在本发明实施例中,第二事件行为描述用于反映业务大数据采集模块在衍生云计算业务进程中的事件行为变化。
Node3023:在交互记录收集启动的前提下,依据第一事件行为描述和第二事件行为描述激活第二数据安全威胁事件和业务大数据采集模块。
Node3024:在第二数据安全威胁事件和业务大数据采集模块的激活状态下中,指示业务大数据采集模块进行交互记录收集,获得不少于一个包括第二数据安全威胁事件的第二远程协同业务交互记录。
对于一种可独立实施的实施例而言,第一事件行为描述中具有若干个用作确定第二数据安全威胁事件分布以及事件状态特征的主题向量的不间断第一描述文本集,第二事件行为描述中具有若干个用作确定业务大数据采集模块分布和主题向量的不间断第二描述文本集。基于此,依据第一事件行为描述和第二事件行为描述激活第二数据安全威胁事件和业务大数据采集模块,可以包括如下Node30231和Node30232。
Node30231:依据若干个不间断的第一描述文本集依次调整第二数据安全威胁事件在衍生云计算业务进程中的分布特征以及主题向量。
Node30232:依据若干个不间断的第二描述文本集依次调整业务大数据采集模块在衍生云计算业务进程中的分布特征以及主题向量。
对于一些实施例而言,本发明实施例指示第二数据安全威胁事件和业务大数据采集模块运行的过程还可以依据设定的第一会话流程规则和第二会话流程规则确定,可以理解,第二数据安全威胁事件可以在最先交互记录收集时依据第一会话流程规则优化在特征列表中的分布特征,业务大数据采集模块可以依据第二会话流程规则优化在特征列表中的分布特征。进一步地,在第二数据安全威胁事件和业务大数据采集模块依据第一事件行为描述和第二事件行为描述依次调整分布特征和主题向量时,第一事件行为描述中每一个第一描述文本集和第二事件行为描述中各个第二描述文本集都具备相应的时序信息,用于反映第二数据安全威胁事件或业务大数据采集模块从上一个描述文本集切换至当前描述文本集的耗时。------
对于一种可独立实施的实施例而言,在通过业务大数据采集模块进行交互记录收集后,获得不少于一个第二远程协同业务交互记录record_20。其中,第二远程协同业务交互记录record_20中具有衍生云计算业务进程架构process_21和第二数据安全威胁事件case_22。鉴于业务大数据采集模块在衍生云计算业务进程中进行交互记录收集,采集到第二远程协同业务交互记录record_20中的衍生云计算业务进程架构process_21可以是第二数据安全威胁事件case_22所在衍生云计算业务进程中的局部业务交互会话文本集,或整体业务交互会话文本集。
对于一些实施例而言,在收集获得不少于一个第二远程协同业务交互记录后,确定各个第二远程协同业务交互记录中第二数据安全威胁事件的先验攻击倾向知识和先验区分短语。进一步地,先验区分短语可以通过采集的第二远程协同业务交互记录中衍生威胁事件的事件细节特征直接获得。同时,在本发明实施例的衍生云计算业务进程和衍生威胁事件通过事先编写的智能软件等衍生数据创建程序创建的基础上,基于衍生数据创建程序的特征,业务大数据采集模块还用作获得反映衍生威胁事件在衍生云计算业务进程中分布特征的局部交互大数据。示例性地,该局部交互大数据可以通过业务大数据采集模块事先设置的第二数据安全威胁事件的攻击影响指数为零之外的攻击影响指数,除了第二数据安全威胁事件之外的攻击影响指数为零。可以理解,在获得配置业务交互记录的同时,还获得一个除了第二数据安全威胁事件之外的其他业务交互会话文本集对应的攻击影响指数皆为零的局部交互大数据。由此,可以在获得配置业务交互记录的并行获得先验攻击倾向知识。
对于一种可独立实施的实施例而言,确定各个第二远程协同业务交互记录中第二数据安全威胁事件的先验攻击倾向知识和先验区分短语,可以包括如下描述内容:依据与各个第二远程协同业务交互记录并行获得的局部交互大数据确定对应的先验攻击倾向知识,获得各个第二远程协同业务交互记录中第二数据安全威胁事件细节特征中的先验区分短语。
在本发明实施例中,先验攻击倾向知识还可以依据业务大数据采集模块采集第二远程协同业务交互记录时的分布特征、主题向量以及采集第二远程协同业务交互记录时第二数据安全威胁事件的分布特征和主题向量确定第二数据安全威胁事件在第二远程协同业务交互记录中的先验攻击倾向知识。在实际实施时,可以依据采集衍生静态业务交互记录时业务大数据采集模块的主题向量确定业务大数据采集模块的第一模块配置,可以理解为业务大数据采集模块在特征列表的采集指标和误差指标。通过业务大数据采集模块的第一模块配置将第二数据安全威胁事件在特征列表定位分布中的分布特征值,转换为在业务大数据采集模块的模块定位分布中的分布特征值。再通过第二数据安全威胁事件在业务大数据采集模块的模块定位分布中的分布特征值以及业务大数据采集模块的第二模块配置,将第二数据安全威胁事件在业务大数据采集模块的模块定位分布中的分布特征值转换为特征值二元组,获得第二数据安全威胁事件在第二远程协同业务交互记录中的先验攻击倾向知识。
Node30:将各个所述第一远程协同业务交互记录中不少于一个所述潜在威胁分布数据对应的第一业务交互会话文本集加载到攻击倾向挖掘网络,获得所述第一业务交互会话文本集中第一数据安全威胁事件的攻击倾向知识字段。
对于一些实施例而言,在确定各个实际威胁事件业务交互记录的不少于一个潜在威胁分布数据后,挖掘各个潜在威胁分布数据反映的文本集作为一个第一业务交互会话文本集,并且将第一业务交互会话文本集加载到配置获得的攻击倾向挖掘网络,获得第一业务交互会话文本集中第一数据安全威胁事件的攻击倾向知识字段。示例性地,攻击倾向知识字段可以表示为一个特征数组或一张攻击倾向知识集。
示例性地,攻击倾向挖掘网络通过衍生的网络配置模板集配置获得,衍生的网络配置模板集具有不少于一个包括第二数据安全威胁事件的第二远程协同业务交互记录,以及各个第二远程协同业务交互记录中不少于一个第二数据安全威胁事件的先验攻击倾向知识和先验区分短语。其中,在攻击倾向挖掘网络的配置过程中,各个第二远程协同业务交互记录中第二数据安全威胁事件所对应的业务交互会话文本集作为配置模板,各个第二数据安全威胁事件所对应的业务交互会话文本集中第二数据安全威胁事件的先验区分短语作为积极模板。该衍生的网络配置模板集的确定过程与Node20中类似。
对于一种可独立实施的实施例而言,攻击倾向挖掘网络的配置过程可以包括Node401和Node402
Node401:将衍生的网络配置模板集中的第二远程协同业务交互记录中第二数据安全威胁事件所对应的业务交互会话文本集作为配置模板,将各个第二数据安全威胁事件所对应的业务交互会话文本集中第二数据安全威胁事件的先验区分短语作为积极模板配置AI网络。
可以简单的理解,将衍生的网络配置模板集中的第二远程协同业务交互记录中第二数据安全威胁事件所对应的业务交互会话文本集加载到AI网络,再依据AI网络导出的处理结果和各个第二数据安全威胁事件所对应的业务交互会话文本集中第二数据安全威胁事件的先验区分短语确定AI网络的代价,依据该代价更新AI网络直至符合设定指标。其中,AI网络中具有攻击倾向挖掘单元和全连接单元。
Node402:在AI网络配置完成后,获得配置获得的AI网络中的攻击倾向挖掘单元作为攻击倾向挖掘网络。
Node40:依据各个所述第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得二次威胁分析报告。
对于一些实施例而言,在确定云计算业务会话日志中各个第一远程协同业务交互记录的潜在威胁分布数据和攻击倾向知识字段后,依据各个第一远程协同业务交互记录的潜在威胁分布数据和攻击倾向知识字段进行配对,可获得二次威胁分析报告。进一步地,二次威胁分析报告中具有不少于一个第一数据安全威胁事件对应的区分短语,以及各个区分短语对应的潜在威胁分布数据。二次威胁分析报告为云计算业务会话日志中具有的每一个第一数据安全威胁事件在不同第一远程协同业务交互记录中的分布特征,基于不同第一远程协同业务交互记录的时序关系,二次威胁分析报告实现了对各个第一数据安全威胁事件的分析定位。
对于一种可独立实施的实施例而言,对若干个第一远程协同业务交互记录的潜在威胁分布数据和攻击倾向知识字段进行联合分析获得二次威胁分析报告的过程可以包括Node501-Node503。
Node501:依据各个第一远程协同业务交互记录在云计算业务会话日志中的时序关系,按序对连续第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得连续第一远程协同业务交互记录中一致的第一数据安全威胁事件。
Node502:为各个第一数据安全威胁事件添加对应的区分短语,并依据连续第一远程协同业务交互记录中一致的第一数据安全威胁事件,确定各个区分短语对应的第一数据安全威胁事件在各个第一远程协同业务交互记录中的潜在威胁分布数据。
Node503:依据反映各个第一数据安全威胁事件的区分短语,以及各个区分短语对应的不少于一个潜在威胁分布数据确定二次威胁分析报告。
对于一种可独立实施的实施例而言,依据各个第一远程协同业务交互记录在云计算业务会话日志中的时序关系,按序对连续第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得连续第一远程协同业务交互记录中一致的第一数据安全威胁事件,可以包括如下Node5011-Node5014所记录的内容。
Node5011:依据各个第一远程协同业务交互记录在云计算业务会话日志中的时序关系按序确定关联交互记录,以及关联交互记录后一组的目标交互记录。
Node5012:确定关联交互记录的不少于一个第一数据安全威胁事件对应的关联潜在威胁分布数据和关联攻击倾向知识字段。
Node5013:确定目标交互记录的不少于一个第一数据安全威胁事件对应的目标潜在威胁分布数据和目标攻击倾向知识字段。
Node5014:对于关联交互记录中的各个第一数据安全威胁事件,依据对应的关联潜在威胁分布数据和对应的关联攻击倾向知识字段分别与各个目标潜在威胁分布数据和对应目标攻击倾向知识字段进行联合分析,获得目标交互记录中一致的第一数据安全威胁事件。
可以简单的理解,关联交互记录为目标交互记录在云计算业务会话日志中存在联系的上一组业务交互记录,用于与目标交互记录进行相同第一数据安全威胁事件的配对。
对于一些实施例而言,依据关联潜在威胁分布数据和各个目标潜在威胁分布数据进行联合分析的过程可以包括如下内容:依据云计算业务会话日志中在关联交互记录之前的不少于一个第一远程协同业务交互记录中,与关联潜在威胁分布数据中一致的第一数据安全威胁事件对应的潜在威胁分布数据,以及关联潜在威胁分布数据共同评估实际威胁事件在目标交互记录中可能的分布特征,获得评估潜在威胁分布数据。再进一步确定评估潜在威胁分布数据和各个目标潜在威胁分布数据反映业务交互会话文本集的量化比较结果,当量化比较结果大于第一判定值时确定关联潜在威胁分布数据和该目标潜在威胁分布数据配对,即关联潜在威胁分布数据和该目标潜在威胁分布数据中的实际威胁事件可能为相同实际威胁事件。示例性地,该评估潜在威胁分布数据可以通过KALMAN FILTER思路确定。
进一步地,依据关联攻击倾向知识字段和各个目标攻击倾向知识字段进行联合分析的过程可以是直接确定关联攻击倾向知识字段和各个目标攻击倾向知识字段的共性指数,比如:确定字段差异值,当字段差异值小于第二判定值时确定关联攻击倾向知识字段与该目标攻击倾向知识字段配对,即关联攻击倾向知识字段对应的实际威胁事件与该目标攻击倾向知识字段对应的第一数据安全威胁事件可能为相同第一数据安全威胁事件。
示例性地,对于关联交互记录中一个关联第一数据安全威胁事件的关联潜在威胁分布数据和关联攻击倾向知识字段,当目标交互记录中存在一个目标实际威胁事件的目标潜在威胁分布数据与该关联潜在威胁分布数据配对,且该实际威胁事件的目标攻击倾向知识字段与该关联攻击倾向知识字段配对时,确定该关联第一数据安全威胁事件与该目标第一数据安全威胁事件为相同第一数据安全威胁事件。
在确定存在联系的两个第一远程协同业务交互记录中一致的第一数据安全威胁事件后,为各个第一数据安全威胁事件添加对应的区分短语,并依据连续第一远程协同业务交互记录中一致的第一数据安全威胁事件,确定各个区分短语对应的第一数据安全威胁事件在各个第一远程协同业务交互记录中的潜在威胁分布数据。区分短语与各个第一数据安全威胁事件一一对应,比如:在确定各个连续第一远程协同业务交互记录中相同第一数据安全威胁事件后获得P组一致的第一数据安全威胁事件,确定区分短语按序为“第一数据安全威胁事件item_1”、“第一数据安全威胁事件item_2”直至“第一数据安全威胁事件P”。并且依据各个区分短语以及各个区分短语反映的第一数据安全威胁事件在各个第一远程协同业务交互记录中的潜在威胁分布数据确定二次威胁分析报告,实现对云计算业务会话日志中各个第一数据安全威胁事件的分析定位。
进一步地,还可以依据云计算业务会话日志中前P组第一远程协同业务交互记录中每一个第一数据安全威胁事件的潜在威胁分布数据,确定第P+1组第一远程协同业务交互记录中该参考业务交互记录的评估潜在威胁分布数据,再依据第P+1组第一远程协同业务交互记录中该第一数据安全威胁事件的潜在威胁分布数据与预存潜在威胁分布数据进行联合分析。进一步地,再对第P组第一远程协同业务交互记录和第P+1组参考业务交互记录中每两个匹配的第一数据安全威胁事件对应的攻击倾向知识字段进行联合分析,以确定潜在威胁分布数据和攻击倾向知识字段都匹配的第一数据安全威胁事件为同一第一数据安全威胁事件。
在一些可能的示例下,云计算服务器在确定云计算业务会话日志journal40后,将云计算业务会话日志journal40中各个第一远程协同业务交互记录加载到威胁事件分析网络networks41,获得对应的潜在威胁分布数据location data42。进一步地,各个潜在威胁分布数据location data42具有对应的可信系数,在对应的可信系数大于设定系数时,确定该潜在威胁分布数据location data42中具有第一数据安全威胁事件。依据各个包括第一远程协同业务交互记录的潜在威胁分布数据location data42提取其中的第一业务交互会话文本集text43,将第一业务交互会话文本集text43加载到攻击倾向挖掘网络NN44获得各个第一业务交互会话文本集text43对应的攻击倾向知识字段vector45。按各个第一远程协同业务交互记录在云计算业务会话日志journal40中的时序关系,按序对连续的第一远程协同业务交互记录不少于一个第一数据安全威胁事件的潜在威胁分布数据locationdata42和攻击倾向知识字段vector45进行配对处理,获得二次威胁分析报告reportII。
示例性地,云计算服务器在确定云计算业务会话日志后,通过威胁事件分析网络获得潜在威胁分布数据,并通过攻击倾向挖掘网络提取获得可信系数大于可信系数阈值的潜在威胁分布数据中第一数据安全威胁事件的攻击倾向知识字段。按序将云计算业务会话日志中每一个第一远程协同业务交互记录的潜在威胁分布数据和攻击倾向知识字段加载到监测线程中进行特征配对获得二次威胁分析报告。其中,监测线程在获取到第一个第一远程协同业务交互记录后将其中各个潜在威胁分布数据中的第一数据安全威胁事件作为一组第一数据安全威胁事件并生成对应的区分短语,并行确定各个区分短语对应的潜在威胁分布数据和攻击倾向知识字段。在获取到后一组第一远程协同业务交互记录后,依据其中各个第一数据安全威胁事件的潜在威胁分布数据和攻击倾向知识字段与上一组中每一组第一数据安全威胁事件的潜在威胁分布数据和攻击倾向知识字段进行联合分析。在一个第一数据安全威胁事件与上一组中的一组第一数据安全威胁事件匹配时,确定该当前组中该第一数据安全威胁事件对应的潜在威胁分布数据和攻击倾向知识字段与该组第一数据安全威胁事件匹配,并将该第一数据安全威胁事件对应的潜在威胁分布数据和攻击倾向知识字段与区分短语的映射列表传递至监测线程中。并行,还可以在当前组存在不与上一组中任意的一个类别第一数据安全威胁事件匹配的第一数据安全威胁事件时,确定该第一数据安全威胁事件为增加的第一数据安全威胁事件类别,生成增加的区分短语,并将增加的区分短语和对应第一数据安全威胁事件的攻击倾向知识字段和潜在威胁分布数据更新至监测线程中。直至云计算业务会话日志中的全部第一数据安全威胁事件完成配对,监测线程确定各个区分短语对应的不少于一个潜在威胁分布数据作为最后的二次威胁分析报告。
应用以上实施例,本发明实施例通过生成衍生云计算业务进程和第二数据安全威胁事件确定配置模板量大且多样化的衍生的网络配置模板集,并依据衍生的网络配置模板集配置获得高性能的威胁事件分析网络以及攻击倾向挖掘网络,从而保障威胁事件分析网络和攻击倾向挖掘网络的配置时效性和精度。进一步地,通过威胁事件分析网络和攻击倾向挖掘网络对云计算业务会话日志进行处理,实现了对第一数据安全威胁事件的分析定位,从而保障威胁分析的可靠性。
示例性地,在结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告之后,该方法还可以包括如下内容:通过所述二次威胁分析报告确定所述第一远程协同业务交互记录的威胁应对策略;基于所述威胁应对策略进行威胁防护处理。
在本发明实施例中,二次威胁分析报告记载了第一数据安全威胁事件对应的区分短语,以及各个所述区分短语对应的潜在威胁分布数据,也即包括了第一数据安全威胁事件对应的类别以及分布信息,因此可以基于第一数据安全威胁事件对应的类别以及分布信息针对性地确定威胁应对策略,并结合第一远程协同业务交互记录对应的交互终端的算力进行策略部署,比如第一远程协同业务交互记录对应的交互终端为服务侧终端,因而可以将威胁应对策略部署在服务侧终端。
示例性地,通过所述二次威胁分析报告确定所述第一远程协同业务交互记录的威胁应对策略,可以包括如下内容:基于所述二次威胁分析报告中各所述第一数据安全威胁事件对应的区分短语以及各所述区分短语对应的潜在威胁分布数据确定第一威胁攻击模拟数据;通过采用完成调参的第一威胁策略生成线程对所述第一威胁攻击模拟数据进行处理,得到所述第一威胁攻击模拟数据的威胁应对策略。
如此设计,通过进行攻击模拟处理,能够准确得到威胁攻击模拟数据,然后利用第一威胁策略生成线程精准可靠地确定出威胁应对策略。
示例性地,所述第一威胁策略生成线程包括存在连接关系的攻击行为挖掘子线程和策略定制子线程,所述第一威胁策略生成线程的调参步骤包括:获取第一线程调参示例,所述第一线程调参示例包括多个第一已认证模拟数据;将每个所述第一已认证模拟数据中包含的至少一个数据块进行更新,得到各所述第一已认证模拟数据对应的第二已认证模拟数据;基于各所述第一已认证模拟数据和各所述第二已认证模拟数据,对初始攻击行为挖掘子线程进行调参,直至所述初始攻击行为挖掘子线程对应的线程代价算法处于稳定状态,得到预调参后的攻击行为挖掘子线程,其中,所述初始攻击行为挖掘子线程的原料包括各所述第二已认证模拟数据,输出信息包含各所述第二已认证模拟数据对应的模拟攻击行为字段,所述线程代价算法的计算数据表征了各所述第一已认证模拟数据的模拟攻击行为字段和对应的第二已认证模拟数据的模拟攻击行为字段之间的比对结果;获取第二线程调参示例,基于所述第二线程调参示例对所述预调参后的攻击行为挖掘子线程和初始策略定制子线程进行调参,得到所述第一威胁策略生成线程。
示例性地,所述通过采用完成调参的第一威胁策略生成线程对所述第一威胁攻击模拟数据进行处理,得到所述第一威胁攻击模拟数据的威胁应对策略,包括:将所述第一威胁攻击模拟数据输入至所述第一威胁策略生成线程的攻击行为挖掘子线程,得到所述第一威胁攻击模拟数据的模拟攻击行为字段;将所述第一威胁攻击模拟数据的模拟攻击行为字段输入至所述第一威胁策略生成线程的策略定制子线程,得到所述第一威胁攻击模拟数据的威胁应对策略;其中,所述第一威胁攻击模拟数据的模拟攻击行为字段由所述攻击行为挖掘子线程通过实施如下步骤得到的:提取所述第一威胁攻击模拟数据包含的各数据块的初始行为偏好字段;对于每一数据块的初始行为偏好字段,由不少于一个第一字段分析节点基于该数据块的初始行为偏好字段以及处于该数据块的指定区间内的各数据块的初始行为偏好字段,提取得到该数据块的第一行为偏好字段;基于各所述数据块对应的第一行为偏好字段得到所述模拟攻击行为字段。
基于同样的发明构思,图2示出了本发明实施例提供的结合AI的云计算业务威胁分析装置的模块框图,结合AI的云计算业务威胁分析装置可以包括实施图1所示的相关方法步骤的威胁分布确定模块21,用于基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据;攻击倾向确定模块22,用于基于攻击倾向挖掘网络以及潜在威胁分布数据确定所述第一数据安全威胁事件的攻击倾向知识字段;二次威胁分析模块23,用于结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告。
应用于本发明的相关实施例可以达到如下技术效果:通过结合威胁事件分析网络以及攻击倾向挖掘网络的联合分析思路,能够实现对数据安全威胁事件的二次威胁定位分析,从而提高数据安全威胁事件的分析精度和可信度。首先基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据,能够实现初步的定位处理,其次利用潜在威胁分布数据进行深度挖掘,能够准确得到攻击倾向知识字段,这样可以利用潜在威胁分布数据和攻击倾向知识字段进行联合匹配处理,从而得到更加完整精确的二次威胁分析报告,以便于后续基于该二次威胁分析报告进行针对性的威胁防护处理。
以上所述,仅为本发明的具体实施方式。熟悉本技术领域的技术人员根据本发明提供的具体实施方式,可想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (7)
1.一种结合AI的云计算业务威胁分析方法,其特征在于,应用于云计算服务器,方法包括:
基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据;
基于攻击倾向挖掘网络以及潜在威胁分布数据确定所述第一数据安全威胁事件的攻击倾向知识字段;
结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告;
其中,所述基于威胁事件分析网络确定第一远程协同业务交互记录对应的第一数据安全威胁事件的潜在威胁分布数据,包括:确定包含X组第一远程协同业务交互记录的云计算业务会话日志;其中,各个所述第一远程协同业务交互记录中具有不少于一个第一数据安全威胁事件;将各个所述第一远程协同业务交互记录加载到威胁事件分析网络,获得各个所述第一远程协同业务交互记录中不少于一个第一数据安全威胁事件的潜在威胁分布数据;
其中,所述基于攻击倾向挖掘网络以及潜在威胁分布数据确定所述第一数据安全威胁事件的攻击倾向知识字段,包括:将各个所述第一远程协同业务交互记录中不少于一个所述潜在威胁分布数据对应的第一业务交互会话文本集加载到攻击倾向挖掘网络,获得所述第一业务交互会话文本集中第一数据安全威胁事件的攻击倾向知识字段;其中,所述结合所述潜在威胁分布数据以及所述攻击倾向知识字段确定二次威胁分析报告,包括:依据各个所述第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得二次威胁分析报告,所述二次威胁分析报告中具有不少于一个第一数据安全威胁事件对应的区分短语,以及各个所述区分短语对应的潜在威胁分布数据;其中,所述威胁事件分析网络和所述攻击倾向挖掘网络通过衍生的网络配置模板集配置获得,所述衍生的网络配置模板集具有不少于一个包括第二数据安全威胁事件的第二远程协同业务交互记录,以及各个所述第二远程协同业务交互记录中不少于一个所述第二数据安全威胁事件的先验攻击倾向知识和先验区分短语;
其中,所述依据各个所述第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得二次威胁分析报告包括:
依据各个所述第一远程协同业务交互记录在所述云计算业务会话日志中的时序关系,按序对连续第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得连续第一远程协同业务交互记录中一致的第一数据安全威胁事件;
为各个第一数据安全威胁事件添加对应的区分短语,并依据连续第一远程协同业务交互记录中一致的第一数据安全威胁事件,确定各个所述区分短语对应的第一数据安全威胁事件在各个所述第一远程协同业务交互记录中的潜在威胁分布数据;
依据反映各个第一数据安全威胁事件的区分短语,以及各个所述区分短语对应的不少于一个潜在威胁分布数据确定二次威胁分析报告。
2.根据权利要求1所述的方法,其特征在于,所述依据各个所述第一远程协同业务交互记录在所述云计算业务会话日志中的时序关系,按序对连续第一远程协同业务交互记录对应的潜在威胁分布数据和攻击倾向知识字段进行联合分析,获得连续第一远程协同业务交互记录中一致的第一数据安全威胁事件包括:
依据各个所述第一远程协同业务交互记录在所述云计算业务会话日志中的时序关系按序确定关联交互记录,以及所述关联交互记录后一组的目标交互记录;
确定所述关联交互记录的不少于一个第一数据安全威胁事件对应的关联潜在威胁分布数据和关联攻击倾向知识字段;
确定所述目标交互记录的不少于一个第一数据安全威胁事件对应的目标潜在威胁分布数据和目标攻击倾向知识字段;
对于所述关联交互记录中的各个所述第一数据安全威胁事件,依据对应的所述关联潜在威胁分布数据和对应的关联攻击倾向知识字段分别与各个所述目标潜在威胁分布数据和对应目标攻击倾向知识字段进行联合分析,获得所述目标交互记录中一致的第一数据安全威胁事件。
3.根据权利要求1所述的方法,其特征在于,所述衍生的网络配置模板集的获得步骤如下:
确定包含第二数据安全威胁事件的衍生云计算业务进程;
通过业务大数据采集模块在所述衍生云计算业务进程中进行交互记录收集,获得不少于一个携带所述第二数据安全威胁事件的第二远程协同业务交互记录;
确定各个所述第二远程协同业务交互记录中所述第二数据安全威胁事件的先验攻击倾向知识和先验区分短语。
4.根据权利要求3所述的方法,其特征在于,所述确定包含第二数据安全威胁事件的衍生云计算业务进程,包括:
确定第二数据安全威胁事件关系网和对应的事件细节特征,所述第二数据安全威胁事件关系网为知识关系网,所述事件细节特征包括威胁意图特征、事件状态特征和先验区分短语;
创建衍生云计算业务进程,并依据所述事件细节特征将所述第二数据安全威胁事件关系网传输至所述衍生云计算业务进程,获得携带所述第二数据安全威胁事件的衍生云计算业务进程,所述第二数据安全威胁事件依据所述事件细节特征更新所述第二数据安全威胁事件关系网确定。
5.根据权利要求4所述的方法,其特征在于,所述通过业务大数据采集模块在所述衍生云计算业务进程中进行交互记录收集,获得不少于一个携带所述第二数据安全威胁事件的第二远程协同业务交互记录,包括:确定所述第二数据安全威胁事件对应的第一事件行为描述,所述第一事件行为描述用于反映所述第二数据安全威胁事件在所述衍生云计算业务进程中的事件行为变化;确定所述业务大数据采集模块对应的第二事件行为描述,所述第二事件行为描述用于反映所述业务大数据采集模块在所述衍生云计算业务进程中的事件行为变化;在交互记录收集启动的前提下,依据所述第一事件行为描述和所述第二事件行为描述激活所述第二数据安全威胁事件和所述业务大数据采集模块;在所述第二数据安全威胁事件和所述业务大数据采集模块的激活状态下中进行交互记录收集,获得不少于一个携带所述第二数据安全威胁事件的第二远程协同业务交互记录;
其中,所述第一事件行为描述中具有若干个用作确定所述第二数据安全威胁事件分布以及事件状态特征的主题向量的不间断第一描述文本集,所述第二事件行为描述中具有若干个用作确定所述业务大数据采集模块分布和主题向量的不间断第二描述文本集;所述依据所述第一事件行为描述和所述第二事件行为描述激活所述第二数据安全威胁事件和所述业务大数据采集模块包括:依据若干个不间断的所述第一描述文本集依次调整所述第二数据安全威胁事件在所述衍生云计算业务进程中的分布特征以及主题向量;依据若干个不间断的所述第二描述文本集依次调整所述业务大数据采集模块在所述衍生云计算业务进程中的分布特征以及主题向量;
其中,所述业务大数据采集模块还用作获得反映所述第二数据安全威胁事件在所述衍生云计算业务进程中分布特征的局部交互大数据;所述确定各个所述第二远程协同业务交互记录中所述第二数据安全威胁事件的先验攻击倾向知识和先验区分短语,包括:依据与各个所述第二远程协同业务交互记录并行获得的局部交互大数据确定对应的先验攻击倾向知识;获得各个所述第二远程协同业务交互记录中第二数据安全威胁事件细节特征中的先验区分短语。
6.根据权利要求1所述的方法,其特征在于,所述攻击倾向挖掘网络的配置步骤为:
将所述衍生的网络配置模板集中的所述第二远程协同业务交互记录中第二数据安全威胁事件所对应的业务交互会话文本集作为配置模板,将各个所述第二数据安全威胁事件所对应的业务交互会话文本集中第二数据安全威胁事件的先验区分短语作为积极模板配置AI网络,所述AI网络中具有攻击倾向挖掘单元和全连接单元;
获得配置获得的所述AI网络中的攻击倾向挖掘单元作为攻击倾向挖掘网络。
7.一种云计算服务器,其特征在于,包括:存储器和处理器;所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;其中,当所述处理器执行所述计算机指令时,使得所述云计算服务器执行如权利要求1-6中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210561497.9A CN114896401B (zh) | 2022-05-23 | 2022-05-23 | 一种结合ai的云计算业务威胁分析方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210561497.9A CN114896401B (zh) | 2022-05-23 | 2022-05-23 | 一种结合ai的云计算业务威胁分析方法及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114896401A CN114896401A (zh) | 2022-08-12 |
| CN114896401B true CN114896401B (zh) | 2023-07-04 |
Family
ID=82722953
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210561497.9A Active CN114896401B (zh) | 2022-05-23 | 2022-05-23 | 一种结合ai的云计算业务威胁分析方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114896401B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113949580A (zh) * | 2021-10-20 | 2022-01-18 | 广州市信恒软件技术有限公司 | 一种结合云计算服务的入侵检测分析方法及云计算系统 |
| WO2022046365A1 (en) * | 2020-08-24 | 2022-03-03 | Qomplx, Inc. | Advanced detection of identity-based attacks |
| CN114139210A (zh) * | 2021-12-15 | 2022-03-04 | 智谷互联网科技(廊坊)有限公司 | 一种基于智慧业务的大数据安全威胁处理方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11295020B2 (en) * | 2019-08-05 | 2022-04-05 | Bank Of America Corporation | System for integrated natural language processing and event analysis for threat detection in computing systems |
| CN113706149A (zh) * | 2021-09-01 | 2021-11-26 | 杨思亭 | 一种应对在线支付数据威胁的大数据风控处理方法及系统 |
| CN113706177B (zh) * | 2021-09-02 | 2022-04-29 | 广东奥飞数据科技股份有限公司 | 一种基于大数据安防的威胁识别方法及数据安防服务器 |
| CN113949577A (zh) * | 2021-10-19 | 2022-01-18 | 广州酷风技术开发有限公司 | 一种应用于云服务的数据攻击分析方法及服务器 |
| CN115225404A (zh) * | 2021-12-13 | 2022-10-21 | 蔡忠铸 | 一种基于网络安全的大数据分析方法及系统 |
-
2022
- 2022-05-23 CN CN202210561497.9A patent/CN114896401B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022046365A1 (en) * | 2020-08-24 | 2022-03-03 | Qomplx, Inc. | Advanced detection of identity-based attacks |
| CN113949580A (zh) * | 2021-10-20 | 2022-01-18 | 广州市信恒软件技术有限公司 | 一种结合云计算服务的入侵检测分析方法及云计算系统 |
| CN114139210A (zh) * | 2021-12-15 | 2022-03-04 | 智谷互联网科技(廊坊)有限公司 | 一种基于智慧业务的大数据安全威胁处理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114896401A (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3693886A1 (en) | Optimizations for verification of interactions system and method | |
| CN106650799B (zh) | 一种电子证据分类提取方法及系统 | |
| CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
| CN114139209B (zh) | 一种应用于业务用户大数据的信息防窃取方法及系统 | |
| CN113949577A (zh) | 一种应用于云服务的数据攻击分析方法及服务器 | |
| CN114218568B (zh) | 一种应用于云服务的大数据攻击处理方法及系统 | |
| CN114553658B (zh) | 一种基于云计算的资源共享安全处理方法及服务器 | |
| CN113918993A (zh) | 一种基于人工智能的用户隐私保护方法及系统 | |
| CN114205816B (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
| CN117390657A (zh) | 数据加密方法、装置、计算机设备和存储介质 | |
| US11539730B2 (en) | Method, device, and computer program product for abnormality detection | |
| CN114124484A (zh) | 网络攻击识别方法、系统、装置、终端设备以及存储介质 | |
| CN113158069A (zh) | 基于大数据的互动话题场景分析方法、服务器及介质 | |
| CN114896401B (zh) | 一种结合ai的云计算业务威胁分析方法及服务器 | |
| CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
| CN111917848A (zh) | 基于边缘计算和云计算协同的数据处理方法及云服务器 | |
| CN115328786A (zh) | 一种基于区块链的自动化测试方法、装置和存储介质 | |
| CN115834231A (zh) | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 | |
| CN115022063A (zh) | 网空威胁行为体攻击意图分析方法、系统、电子设备及存储介质 | |
| CN114661998A (zh) | 基于互联网热点话题的大数据处理方法及系统 | |
| CN110489568B (zh) | 生成事件图的方法、装置、存储介质和电子设备 | |
| CN110119337A (zh) | 一种数据分析方法、装置及服务器 | |
| LU501931B1 (en) | Data exception analysis method and device | |
| CN112785320B (zh) | 信用风险的确定方法及装置、存储介质和电子设备 | |
| CN114528550B (zh) | 一种应用于电商大数据威胁识别的信息处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20221118 Address after: 272000 Building 21, Wanda Plaza, Taibai Road, Jining City, Shandong Province Applicant after: Jining Ink Network Technology Co.,Ltd. Address before: Shop 108, Sanjiang Avenue, Xinzhou District, Shangrao City, Jiangxi Province 334000 Applicant before: Jiangxi Yiyun Data Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230112 Address after: 665000 No. 79, Zhenxing Avenue, Simao District, Pu'er City, Yunnan Province Applicant after: Chen Jing Address before: 272000 Building 21, Wanda Plaza, Taibai Road, Jining City, Shandong Province Applicant before: Jining Ink Network Technology Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230419 Address after: 050000 Golden Collar Building, 106-1 Yuhua East Road, Yuhua District, Shijiazhuang City, Hebei Province, 2-2-1403 Applicant after: Hebei Nengrui Technology Co.,Ltd. Address before: 665000 No. 79, Zhenxing Avenue, Simao District, Pu'er City, Yunnan Province Applicant before: Chen Jing |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |