CN114928493B - 基于威胁攻击大数据的威胁情报生成方法及ai安全系统 - Google Patents

基于威胁攻击大数据的威胁情报生成方法及ai安全系统 Download PDF

Info

Publication number
CN114928493B
CN114928493B CN202210561689.XA CN202210561689A CN114928493B CN 114928493 B CN114928493 B CN 114928493B CN 202210561689 A CN202210561689 A CN 202210561689A CN 114928493 B CN114928493 B CN 114928493B
Authority
CN
China
Prior art keywords
threat
attack
activity
knowledge graph
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210561689.XA
Other languages
English (en)
Other versions
CN114928493A (zh
Inventor
李伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zen King Technology Co ltd
Original Assignee
Zen King Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zen King Technology Co ltd filed Critical Zen King Technology Co ltd
Priority to CN202210561689.XA priority Critical patent/CN114928493B/zh
Publication of CN114928493A publication Critical patent/CN114928493A/zh
Application granted granted Critical
Publication of CN114928493B publication Critical patent/CN114928493B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • G06F16/367Ontology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Technology Law (AREA)
  • Animal Behavior & Ethology (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请实施例提供一种基于威胁攻击大数据的威胁情报生成方法及AI安全系统,依据目标威胁情报提取模型提取针对威胁攻击大数据的第一威胁攻击活动知识图谱,并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征,依据攻击实例连通特征和所述第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据,从而考虑了攻击实例连通维度进行威胁攻击活动知识图谱更新后,再进行威胁情报数据提取,可以提高威胁情报提取的可靠性。

Description

基于威胁攻击大数据的威胁情报生成方法及AI安全系统
技术领域
本申请涉及信息安全分析技术领域,具体而言,涉及一种基于威胁攻击大数据的威胁情报生成方法及AI安全系统。
背景技术
随着互联网的快速发展,威胁攻击活动不断加剧,针对各个互联网服务商的信息安全隐患越来越多,为减少安全隐患,相关的互联网服务商都会配置相应的信息安全服务器进行安全防护,在安全防护运行过程会产生威胁攻击大数据的日志以便于进行威胁情报(某种基于证据的知识,包括上下文、机制、标示、含义等)分析。相关技术中,可以通过AI训练的威胁情报提取模型进行关键的威胁情报分析,然而现有技术没有考虑到攻击实例连通维度,而仅考虑独立的攻击实例的特征维度,从而导致威胁情报分析可靠性受到较大影响。
发明内容
为了至少克服现有技术中的上述不足,本申请的目的在于提供一种基于威胁攻击大数据的威胁情报生成方法及AI安全系统。
第一方面,本申请提供一种基于威胁攻击大数据的威胁情报生成方法,所述方法应用于AI安全系统,所述AI安全系统与信息安全服务器通信,所述方法包括:
依据目标威胁情报提取模型提取威胁攻击大数据的第一威胁攻击活动知识图谱,并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征;
依据攻击实例连通特征和第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据。
譬如一些实施方式中,在获得所述威胁攻击大数据的威胁情报数据之后,还可以进一步包括下述步骤:将所述威胁情报数据下发至所述信息安全服务器;响应于所述信息安全服务器依据所述威胁情报数据进行威胁防护强化时生成的威胁防护测试数据,对所述威胁防护测试数据进行威胁防护异常特征挖掘,得到所述威胁防护测试数据的威胁防护异常特征分布;依据所述威胁防护异常特征分布,确定所述信息安全服务器依据所述威胁情报数据进行威胁防护强化的有效性评估信息。
信息安全服务器在获得威胁情报数据之后,可以根据威胁情报数据从威胁防护强化方案库中提取对应关联的威胁防护强化方案,并根据威胁防护强化方案对相关威胁防护模型进行威胁防护强化,并将威胁防护强化后的威胁防护测试流程中生成的威胁防护测试数据反馈给AI安全系统,以供AI安全系统进行有效性评估信息确定。例如,对所述威胁防护测试数据进行威胁防护异常特征挖掘,得到所述威胁防护测试数据的威胁防护异常特征分布同样可以依据深度学习网络实现,由此可以依据威胁防护异常特征分布对应的异常定位点与威胁情报数据中的威胁定位点之间的关系,确定对应的有效性评估信息数据。
譬如一些实施方式中,所述对所述威胁防护测试数据进行威胁防护异常特征挖掘,得到所述威胁防护测试数据的威胁防护异常特征分布的步骤,包括:
获取所述威胁防护测试数据的第一异常特征序列、第二异常特征序列和第三异常特征序列,所述第一异常特征序列为威胁防护异常活动内目标防护节点的异常特征,所述第二异常特征序列为衍生防护节点相对于所述目标防护节点的衍生异常特征,所述衍生防护节点为所述目标防护节点的防护子节点分布上衍生于所述目标防护节点的衍生子节点分布;所述第三异常特征序列为威胁防护异常活动内所述目标防护节点的防护调度异常特征;
基于所述第一异常特征序列,获得第一推导异常特征簇,所述第一推导异常特征簇为衍生防护节点的循环异常特征变量构成的集合;
将所述第一推导异常特征簇、所述第二异常特征序列和所述第三异常特征序列输入完成训练的防护异常特征挖掘模型中,获得第二推导异常特征簇,所述第二推导异常特征簇包括第四推导异常特征子簇和第五推导异常特征子簇,所述第四推导异常特征子簇为所述衍生防护节点的防护传播路径的异常特征变量构成的集合,所述第五推导异常特征子簇包括所述目标防护节点的调度防护传播路径的传播异常特征变量和所述目标防护节点的防护传播路径的异常特征变量构成的集合;
基于所述第一异常特征序列和所述第二推导异常特征簇进行异常特征点定位,获得所述衍生防护节点的异常特征点定位信息;
基于所述衍生防护节点的异常特征点定位信息和所述第一异常特征序列,获得目标防护节点存在异常渗透的威胁防护异常特征分布。
譬如一些实施方式中,所述防护异常特征挖掘模型的训练方法,包括:
获取第三推导异常特征簇和标的威胁防护异常特征,所述第三推导异常特征簇包括已从标的防护节点上异常渗透后的异常渗透路径相对于所述标的防护节点的异常特征子簇和所述标的防护节点防护边界的异常特征子簇,所述异常渗透路径为已从所述标的防护节点上异常渗透后形成的渗透路径,所述标的防护节点为样本防护节点对象;所述标的威胁防护异常特征为引起所述异常渗透路径异常渗透的关键异常特征点;
基于所述第三推导异常特征簇和所述标的威胁防护异常特征训练防护异常特征挖掘模型,获得训练后的防护异常特征挖掘模型,所述第三推导异常特征簇作为所述防护异常特征挖掘模型的输入,所述标的威胁防护异常特征作为所述防护异常特征挖掘模型的输出。
譬如一些实施方式中,所述获取第三推导异常特征簇的具体实现方式包括:
获取第四异常特征序列、第五异常特征序列和设定异常特征序列,所述第四异常特征序列为所述异常渗透路径的防护异常特征序列;所述第五异常特征序列为所述异常渗透路径从所述标的防护节点上异常渗透后所述标的防护节点的防护异常特征序列;所述设定异常特征序列为所述异常渗透路径未从所述标的防护节点异常渗透前相对于所述标的防护节点的联合防护异常特征序列;基于所述第四异常特征序列、所述第五异常特征序列和所述设定异常特征序列,构建样本防护节点对象簇,所述样本防护节点对象簇中包括至少一个样本防护节点对象,每个所述样本防护节点对象均由所述第四异常特征序列、所述第五异常特征序列和所述设定异常特征序列中的各个特征成员进行组合构建而成,所述样本防护节点对象为所述异常渗透路径未从所述标的防护节点异常渗透前所述标的防护节点的防护节点对象; 基于所述标的威胁防护异常特征,对所述样本防护节点对象簇中的所有所述样本防护节点对象进行异常特征点定位,获得第三推导异常特征簇。
譬如一些实施方式中,所述标的威胁防护异常特征的具体实现方式包括: 获取至少两个实际威胁防护事件中动态防护节点进行威胁渗透的防护活动的威胁渗透防护数据;基于所述威胁渗透防护数据,获得表达动态防护节点进行威胁渗透的防护活动的威胁防护轨迹簇,所述威胁防护轨迹簇中包括至少两个威胁防护轨迹,每个所述威胁防护轨迹与一个防护感知单元序列相对应,所述防护感知单元序列中包括至少一个防护感知单元,所述防护感知单元为所述威胁渗透防护数据中的各个感知节点;对所述威胁防护轨迹簇中的所有威胁防护轨迹的各个所述防护感知单元的防护感知失败信息进行统计,获得标的威胁防护异常特征,所述标的威胁防护异常特征为在所有威胁防护事件序列中的所有威胁防护轨迹中均出现的所述防护感知单元所对应的异常特征变量集。
第二方面,本申请实施例还提供一种基于威胁攻击大数据的威胁情报生成系统,所述基于威胁攻击大数据的威胁情报生成系统包括AI安全系统以及与所述AI安全系统通信连接的多个信息安全服务器;
所述AI安全系统,用于:
依据目标威胁情报提取模型提取威胁攻击大数据的第一威胁攻击活动知识图谱,并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征;
依据攻击实例连通特征和第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据。
采用以上任意方面的技术方案,依据目标威胁情报提取模型提取针对威胁攻击大数据的第一威胁攻击活动知识图谱,并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征,依据攻击实例连通特征和所述第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据,从而考虑了攻击实例连通维度进行威胁攻击活动知识图谱更新后,再进行威胁情报数据提取,可以提高威胁情报提取的可靠性。
附图说明
图1为本申请实施例提供的基于威胁攻击大数据的威胁情报生成方法的流程示意图;
图2为本申请实施例提供的用于实现上述的基于威胁攻击大数据的威胁情报生成方法的AI安全系统的结构示意框图。
具体实施方式
下面介绍本申请一种实施例提供的基于威胁攻击大数据的威胁情报生成系统10的架构,该基于威胁攻击大数据的威胁情报生成系统10可以包括AI安全系统100以及与AI安全系统100通信连接的信息安全服务器200。其中,基于威胁攻击大数据的威胁情报生成系统10中的AI安全系统100和信息安全服务器200可以依据配合执行以下方法实施例所描述的基于威胁攻击大数据的威胁情报生成方法,具体AI安全系统100和信息安全服务器200的执行步骤部分可以参照以下方法实施例的详细描述。
本实施例提供的基于威胁攻击大数据的威胁情报生成方法可以由AI安全系统100执行,下面结合图1对该基于威胁攻击大数据的威胁情报生成方法进行详细介绍。
Process101、针对所述信息安全服务器的威胁情报挖掘指示,从威胁攻击数据库中提取对应字段区间的威胁攻击大数据。
一些实施例中,威胁攻击大数据可以包括若干个存在威胁攻击联动行为的目标威胁攻击联动事件数据,其中,威胁攻击联动行为可以是指某次威胁攻击行为的触发或者结束以另一个或者多个威胁攻击行为的触发或结束为基础所构成的威胁攻击行为组合。
一些实施例中,威胁攻击大数据可以是信息安全服务器在进行安全防护过程中实时监测到威胁攻击事件时记录每个威胁攻击事件所对应的威胁攻击数据构成的数据集合,威胁攻击事件可以是指对该信息安全服务器所关联的业务服务器发起各种形式的威胁攻击行为的访问事件。
Process102、依据目标威胁情报提取模型对所述威胁攻击大数据进行威胁活动实体成员以及威胁活动实体成员之间的攻击活动关系特征提取,确定第一威胁攻击活动知识图谱。
一些实施例中,目标威胁情报提取模型可以是采用相关技术中的深度学习模型,具体不作限定,例如可以选用卷积神经网络、循环神经网络、图卷积神经网络等等。
一些实施例中,第一威胁攻击活动知识图谱包括与威胁攻击大数据对应的衍生攻击实例(不同的联合攻击实例)下的威胁攻击活动知识图谱。
Process103、依据预设攻击实例连通策略对所述第一威胁攻击活动知识图谱进行可连通性变量分析,确定攻击实例连通特征。
一些实施例中,依据预设攻击实例连通策略处理得到攻击实例连通特征,以在之后依据该攻击实例连通特征进行联合攻击实例连通。
例如,可以依据预设攻击实例连通策略,提取所述第一威胁攻击活动知识图谱中任意一个存在威胁攻击调度关系(例如互为威胁攻击调度关系、或者单向的威胁攻击调度关系)的至少两个威胁攻击实例,并将每个所述至少两个威胁攻击实例所对应的威胁攻击调度关系变量(例如威胁攻击调度关系类别以及具体的关系变量序列)作为可连通性变量,汇总构建为所述攻击实例连通特征。
一些实施例中,可以依据预设攻击实例连通策略的时空多维特征提取单元对第一威胁攻击活动知识图谱进行时空多维特征提取,确定时空多维特征分布。一些实施例中,第一威胁攻击活动知识图谱的连通维度包括联合攻击实例连通维度和扩展连通维度(比如攻击实例触发点连通维度)。
Process104、依据攻击实例连通特征对第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱。
一些实施例中,至少部分威胁攻击活动知识图谱可以依据扩展连通维度(比如,攻击实例触发点连通维度)进行表达而得到的。另外,还可以依据攻击实例连通特征对第一威胁攻击活动知识图谱的所有威胁攻击活动知识图谱进行联合攻击实例连通。
一些实施例中,还可以依据扩展连通维度(比如攻击实例触发点连通维度)从第一威胁攻击活动知识图谱中提取多个扩展威胁攻击活动知识图谱,其中,每个扩展威胁攻击活动知识图谱包括相同扩展连通维度(比如攻击实例触发点连通维度)上匹配衍生攻击实例的威胁攻击活动知识图谱。
在依据攻击实例连通特征对第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通之后,可以将联合攻击实例联合攻击实例连通的至少部分威胁攻击活动知识图谱与第一威胁攻击活动知识图谱中尚未进行联合攻击实例连通的至少部分威胁攻击活动知识图谱进行组合,由此生成对应的第二威胁攻击活动知识图谱。
Process105、依据目标威胁情报提取模型对第二威胁攻击活动知识图谱进行威胁情报提取,确定威胁攻击大数据的威胁情报数据。
其中在本实施例中,威胁情报数据可以表达威胁攻击大数据对应的存在关键威胁风险的情报数据,如渗透字段的轨迹数据等,由此该AI安全系统可以将威胁情报数据下发至信息安全服务器,由此可以便于信息安全服务器依据威胁情报数据进行威胁防护的强化配置,以提高后续信息安全服务器的信息安全防护可靠性。
基于以上步骤,依据对威胁攻击大数据进行威胁活动轨迹特征点提取,确定第一威胁攻击活动知识图谱,且第一威胁攻击活动知识图谱包括与威胁攻击大数据对应的衍生攻击实例下的威胁攻击活动知识图谱,并依据预设攻击实例连通策略对所述第一威胁攻击活动知识图谱进行可连通性变量分析,确定攻击实例连通特征,从而依据攻击实例连通特征对第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,考虑了威胁攻击大数据的联合攻击实例信息,也即考虑了攻击实例连通维度进行威胁攻击活动知识图谱更新后,再进行威胁情报数据提取,可以提高威胁情报提取的可靠性。
一些实施例中,攻击实例连通特征包括W个连通特征,还可以将第一威胁攻击活动知识图谱的至少部分沿扩展连通维度(比如,攻击实例触发点连通维度)表达为W个第一威胁攻击活动知识图谱,则可以依据攻击实例连通特征中第R个连通特征对第R个第一威胁攻击活动知识图谱在联合攻击实例连通维度下进行连通,确定第R个第二威胁攻击活动知识图谱,其中,R为小于或等于W的正整数。比如,第一威胁攻击活动知识图谱的至少部分包括两个第一威胁攻击活动知识图谱,则可以依据攻击实例连通特征中的第一个连通特征对第一个第一威胁攻击活动知识图谱在联合攻击实例连通维度下进行连通,确定第一个第二威胁攻击活动知识图谱,并依据攻击实例连通特征中的第二个连通特征对第二个第一威胁攻击活动知识图谱在联合攻击实例连通维度下进行连通,确定第二个第二威胁攻击活动知识图谱。
一些实施例中,以上实施例还可以包括下述步骤。
Process1041、确定第R个连通特征映射的威胁活动连通区间,且威胁活动连通区间的第一连通节点数据与第二连通节点数据的连通区间数据为完整威胁活动数据。
Process1042、依据联合攻击实例连通维度,以及与第一连通节点数据对应的连通节点位置,对第R个第一威胁攻击活动知识图谱进行处理,确定第R个第三威胁攻击活动知识图谱,并依据联合攻击实例连通维度,以及与第二连通节点数据对应的连通节点位置,对第R个第一威胁攻击活动知识图谱进行处理,确定第R个第四威胁攻击活动知识图谱。
Process1043、以第R个连通特征与第二连通节点数据的连通代价信息作为威胁权重参数对第R个第三威胁攻击活动知识图谱进行威胁权重更新,确定第R个第一威胁权重更新知识图谱,并以第一连通节点数据与第R个连通特征的连通代价信息作为威胁权重参数对第R个第四威胁攻击活动知识图谱进行威胁权重更新,确定第R个第二威胁权重更新知识图谱。
Process1044、依据第R个第一威胁权重更新知识图谱和第R个第二威胁权重更新知识图谱之间的组合分析信息,生成第R个第二威胁攻击活动知识图谱。
基于以上步骤,依据确定第R个连通特征映射的威胁活动连通区间,且该威胁活动连通区间的第一连通节点数据与第二连通节点数据的连通区间数据为完整威胁活动数据,依据联合攻击实例连通维度,以及与第一连通节点数据对应的连通节点位置,对第R个第一威胁攻击活动知识图谱进行处理,确定第R个第三威胁攻击活动知识图谱,并依据联合攻击实例连通维度,以及与第二连通节点数据对应的连通节点位置,对第R个第一威胁攻击活动知识图谱进行处理,确定第R个第四威胁攻击活动知识图谱;以第R个连通特征与第二连通节点数据的连通代价信息作为威胁权重参数对第R个第一威胁攻击活动知识图谱进行威胁权重更新,确定第R个第一威胁权重更新知识图谱,并以第一连通节点数据与第R个连通特征的连通代价信息作为威胁权重参数对第R个第四威胁攻击活动知识图谱进行威胁权重更新,确定第R个第二威胁权重更新知识图谱;依据第R个第一威胁权重更新知识图谱和第R个第二威胁权重更新知识图谱之间的组合分析信息,生成第R个第二威胁攻击活动知识图谱,由此通过对第一威胁攻击活动知识图谱进行连通优化处理,可提高后续威胁攻击数据的分析可靠性。
一些实施例中,本申请基于威胁攻击大数据的威胁情报生成方法另一实施例可以包括如下内容。
Process51、针对所述信息安全服务器的威胁情报挖掘指示,从威胁攻击数据库中提取对应字段区间的威胁攻击大数据。
Process52、依据目标威胁情报提取模型对所述威胁攻击大数据进行威胁活动实体成员以及威胁活动实体成员之间的攻击活动关系特征提取,确定第一威胁攻击活动知识图谱。
Process53、依据预设攻击实例连通策略对所述第一威胁攻击活动知识图谱进行可连通性变量分析,确定攻击实例连通特征。
Process54、依据频繁活动项挖掘模型对第一威胁攻击活动知识图谱进行频繁活动项挖掘,确定频繁活动项。
一些实施例中,可以依据频繁活动项挖掘模型的时空多维特征提取单元对第一威胁攻击活动知识图谱进行时空多维特征提取,确定时空多维特征分布,依据所述频繁活动项挖掘模型的频繁活动特征解析单元对所述威胁活动轨迹特征点分布进行频繁活动特征解析,确定所述频繁活动项。
Process55、依据攻击实例连通特征对第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通。
Process56、依据频繁活动项对联合攻击实例连通的威胁攻击活动知识图谱进行威胁权重更新。
一些实施例中,威胁攻击大数据可以为包括S个目标威胁攻击联动事件数据,频繁活动项可以包括S个频繁活动变量。因此在威胁权重更新时,可以对联合攻击实例连通的每个扩展威胁攻击活动知识图谱,分别依据频繁活动项中的第L个频繁活动变量对当前个扩展威胁攻击活动知识图谱中的第L个联合攻击实例对应的威胁标签字段进行威胁权重更新,确定威胁权重更新后的目标扩展威胁攻击活动知识图谱,其中,L为小于或等于S的正整数。
Process57、依据威胁权重更新后的威胁攻击活动知识图谱,确定第二威胁攻击活动知识图谱。
经过联合攻击实例连通和威胁权重更新之后,即可得到与第一威胁攻击活动知识图谱对应的第二威胁攻击活动知识图谱。一些实施例中,可以依据威胁权重更新后的威胁攻击活动知识图谱以及第一威胁攻击活动知识图谱中尚未联合攻击实例连通的威胁攻击活动知识图谱,确定第二威胁攻击活动知识图谱。一些实施例中,可以将威胁权重更新后的威胁攻击活动知识图谱与第一威胁攻击活动知识图谱中尚未联合攻击实例连通的威胁攻击活动知识图谱进行组合处理,确定第二威胁攻击活动知识图谱。得到的第二威胁攻击活动知识图谱与第一威胁攻击活动知识图谱具有相同的维度。另外,若第一威胁攻击活动知识图谱中的威胁攻击活动知识图谱均进行了联合攻击实例连通处理,则可以直接将威胁权重更新后的威胁攻击活动知识图谱进行组合,作为第二威胁攻击活动知识图谱。
Process58、依据目标威胁情报提取模型对第二威胁攻击活动知识图谱进行威胁情报提取,确定威胁攻击大数据的威胁情报数据。
由此,依据频繁活动项挖掘模型对第一威胁攻击活动知识图谱进行频繁活动项挖掘,确定频繁活动项,并依据攻击实例连通特征对第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,且依据频繁活动项对联合攻击实例连通的威胁攻击活动知识图谱进行威胁权重更新,并依据威胁权重更新后的威胁攻击活动知识图谱,确定第二威胁攻击活动知识图谱。
譬如,一些实施例中,以上实施例的目标威胁情报提取模型的训练步骤可以如下。
Process71、获取标的威胁攻击数据。
一些实施例中,标的威胁攻击数据包括标的训练标签数据,标的训练标签数据可以包括标的威胁情报数据。
其中,标的威胁攻击数据可以包括多个目标威胁攻击联动事件数据,比如,可以包括4个目标威胁攻击联动事件数据,或者,也可以包括8个目标威胁攻击联动事件数据,或者,还可以包括12个目标威胁攻击联动事件数据。
Process72、依据目标威胁情报提取模型对标的威胁攻击数据进行威胁活动轨迹特征点提取,确定第一标的威胁攻击活动知识图谱。
第一标的威胁攻击活动知识图谱包括与标的威胁攻击数据对应的衍生攻击实例下的威胁攻击活动知识图谱。一些实施例中,可以依据目标威胁情报提取模型分别对标的威胁攻击数据的多个目标威胁攻击联动事件数据进行威胁活动轨迹特征点提取,确定每个目标威胁攻击联动事件数据对应的标的威胁活动轨迹特征点序列,可以将多个标的威胁活动轨迹特征点序列按照与该标的威胁活动轨迹特征点序列对应的目标威胁攻击联动事件数据在标的威胁攻击数据中的联合攻击实例进行组合,确定第一标的威胁攻击活动知识图谱。比如,标的威胁攻击数据包括4个目标威胁攻击联动事件数据,则可以依据目标威胁情报提取模型分别对这4个目标威胁攻击联动事件数据进行威胁活动轨迹特征点提取,确定每个目标威胁攻击联动事件数据的标的威胁活动轨迹特征点序列,由此直接将4个标的威胁活动轨迹特征点序列按照与该标的威胁活动轨迹特征点序列对应的目标威胁攻击联动事件数据在标的威胁攻击数据中的联合攻击实例进行组合,确定第一标的威胁攻击活动知识图谱。
Process73、依据预设攻击实例连通策略对第一标的威胁攻击活动知识图谱进行处理,确定攻击实例连通特征。
Process74、依据攻击实例连通特征对第一标的威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的威胁攻击活动知识图谱生成第二标的威胁攻击活动知识图谱。
一些实施例中,目标威胁情报提取模型可以包括至少一个威胁活动轨迹特征点提取单元,则可以依据目标威胁情报提取模型的一威胁活动轨迹特征点提取单元对标的威胁攻击数据进行威胁活动轨迹特征点提取,确定第一标的威胁攻击活动知识图谱。一些实施例中,目标威胁情报提取模型的威胁活动轨迹特征点提取单元的数目可以为多个,则可以依据目标威胁情报提取模型中尚未完成威胁活动轨迹特征点提取的威胁活动轨迹特征点提取单元对第二标的威胁攻击活动知识图谱进行威胁活动轨迹特征点提取,确定新的第一标的威胁攻击活动知识图谱,并实施依据预设攻击实例连通策略对新的第一标的威胁攻击活动知识图谱进行处理,确定攻击实例连通特征的对应步骤,由此确定更新后的第二标的威胁攻击活动知识图谱,遍历执行以上实施方式,直到目标威胁情报提取模型的所有威胁活动轨迹特征点提取单元均完成对最新的第二标的威胁攻击活动知识图谱的威胁活动轨迹特征点提取步骤。
Process75、依据目标威胁情报提取模型对第二标的威胁攻击活动知识图谱进行威胁情报提取,确定标的威胁攻击数据的威胁情报数据。
一些实施例中,可以依据目标威胁情报提取模型的威胁情报预测单元对第二标的威胁攻击活动知识图谱进行威胁情报提取,确定标的威胁攻击数据的威胁情报数据。
Process76、依据标的训练标签数据和威胁情报数据确定训练收敛指标。
一些实施例中,可以依据各类相关技术中的任意可行的损失函数对标的训练标签数据和威胁情报数据进行训练收敛指标确定。
Process77、依据训练收敛指标,更新目标威胁情报提取模型和预设攻击实例连通策略的配置信息。
一些实施例中,还可以依据频繁活动项挖掘模型对第一标的威胁攻击活动知识图谱进行频繁活动项挖掘,确定频繁活动项,从而依据频繁活动项对联合攻击实例连通的威胁攻击活动知识图谱进行威胁权重更新,并依据威胁权重更新后的威胁攻击活动知识图谱,确定第二标的威胁攻击活动知识图谱,因此,依据训练收敛指标,还可以更新目标威胁情报提取模型和预设攻击实例连通策略、频繁活动项挖掘模型的配置信息。一些实施例中,可以更新目标威胁情报提取模型中的威胁活动轨迹特征点提取单元、威胁情报预测单元的配置信息,并更新预设攻击实例连通策略中的威胁活动轨迹特征点提取单元、威胁情报预测单元的配置信息,并更新频繁活动项挖掘模型中的威胁活动轨迹特征点提取单元的配置信息。一些实施例中,可以依据梯度下降法来更新配置信息。
一些实施例中,在更新配置信息之后,还可以再次实施以上Process72以及之后步骤,直到确定得到的训练收敛指标满足训练终止条件。一些实施例中,训练终止条件可以包括:训练收敛指标小于一预设收敛指标,且训练收敛指标不再继续下降。
其中,依据对标的威胁攻击数据进行威胁活动轨迹特征点提取,确定第一标的威胁攻击活动知识图谱,且第一标的威胁攻击活动知识图谱包括与标的威胁攻击数据对应的衍生攻击实例下的威胁攻击活动知识图谱,并依据预设攻击实例连通策略对第一标的威胁攻击活动知识图谱进行处理,确定攻击实例连通特征,从而依据攻击实例连通特征对第一标的威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的威胁攻击活动知识图谱生成第二标的威胁攻击活动知识图谱,由此重点考虑了标的威胁攻击数据的联合攻击实例信息,有助于提高训练精度,提高威胁情报数据的预测可靠性。
譬如一些实施方式中,在获得所述威胁攻击大数据的威胁情报数据之后,还可以进一步包括下述步骤:将所述威胁情报数据下发至所述信息安全服务器;响应于所述信息安全服务器依据所述威胁情报数据进行威胁防护强化时生成的威胁防护测试数据,对所述威胁防护测试数据进行威胁防护异常特征挖掘,得到所述威胁防护测试数据的威胁防护异常特征分布;依据所述威胁防护异常特征分布,确定所述信息安全服务器依据所述威胁情报数据进行威胁防护强化的有效性评估信息。
信息安全服务器在获得威胁情报数据之后,可以根据威胁情报数据从威胁防护强化方案库中提取对应关联的威胁防护强化方案,并根据威胁防护强化方案对相关威胁防护模型进行威胁防护强化,并将威胁防护强化后的威胁防护测试流程中生成的威胁防护测试数据反馈给AI安全系统,以供AI安全系统进行有效性评估信息确定。例如,对所述威胁防护测试数据进行威胁防护异常特征挖掘,得到所述威胁防护测试数据的威胁防护异常特征分布同样可以依据深度学习网络实现,由此可以依据威胁防护异常特征分布对应的异常定位点与威胁情报数据中的威胁定位点之间的关系,确定对应的有效性评估信息数据。
譬如一些实施方式中,所述对所述威胁防护测试数据进行威胁防护异常特征挖掘,得到所述威胁防护测试数据的威胁防护异常特征分布的步骤,包括:
获取所述威胁防护测试数据的第一异常特征序列、第二异常特征序列和第三异常特征序列,所述第一异常特征序列为威胁防护异常活动内目标防护节点的异常特征,所述第二异常特征序列为衍生防护节点相对于所述目标防护节点的衍生异常特征,所述衍生防护节点为所述目标防护节点的防护子节点分布上衍生于所述目标防护节点的衍生子节点分布;所述第三异常特征序列为威胁防护异常活动内所述目标防护节点的防护调度异常特征;
基于所述第一异常特征序列,获得第一推导异常特征簇,所述第一推导异常特征簇为衍生防护节点的循环异常特征变量构成的集合;
将所述第一推导异常特征簇、所述第二异常特征序列和所述第三异常特征序列输入完成训练的防护异常特征挖掘模型中,获得第二推导异常特征簇,所述第二推导异常特征簇包括第四推导异常特征子簇和第五推导异常特征子簇,所述第四推导异常特征子簇为所述衍生防护节点的防护传播路径的异常特征变量构成的集合,所述第五推导异常特征子簇包括所述目标防护节点的调度防护传播路径的传播异常特征变量和所述目标防护节点的防护传播路径的异常特征变量构成的集合;
基于所述第一异常特征序列和所述第二推导异常特征簇进行异常特征点定位,获得所述衍生防护节点的异常特征点定位信息;
基于所述衍生防护节点的异常特征点定位信息和所述第一异常特征序列,获得目标防护节点存在异常渗透的威胁防护异常特征分布。
譬如一些实施方式中,所述防护异常特征挖掘模型的训练方法,包括:
获取第三推导异常特征簇和标的威胁防护异常特征,所述第三推导异常特征簇包括已从标的防护节点上异常渗透后的异常渗透路径相对于所述标的防护节点的异常特征子簇和所述标的防护节点防护边界的异常特征子簇,所述异常渗透路径为已从所述标的防护节点上异常渗透后形成的渗透路径,所述标的防护节点为样本防护节点对象;所述标的威胁防护异常特征为引起所述异常渗透路径异常渗透的关键异常特征点;
基于所述第三推导异常特征簇和所述标的威胁防护异常特征训练防护异常特征挖掘模型,获得训练后的防护异常特征挖掘模型,所述第三推导异常特征簇作为所述防护异常特征挖掘模型的输入,所述标的威胁防护异常特征作为所述防护异常特征挖掘模型的输出。
譬如一些实施方式中,所述获取第三推导异常特征簇的具体实现方式包括:
获取第四异常特征序列、第五异常特征序列和设定异常特征序列,所述第四异常特征序列为所述异常渗透路径的防护异常特征序列;所述第五异常特征序列为所述异常渗透路径从所述标的防护节点上异常渗透后所述标的防护节点的防护异常特征序列;所述设定异常特征序列为所述异常渗透路径未从所述标的防护节点异常渗透前相对于所述标的防护节点的联合防护异常特征序列;基于所述第四异常特征序列、所述第五异常特征序列和所述设定异常特征序列,构建样本防护节点对象簇,所述样本防护节点对象簇中包括至少一个样本防护节点对象,每个所述样本防护节点对象均由所述第四异常特征序列、所述第五异常特征序列和所述设定异常特征序列中的各个特征成员进行组合构建而成,所述样本防护节点对象为所述异常渗透路径未从所述标的防护节点异常渗透前所述标的防护节点的防护节点对象; 基于所述标的威胁防护异常特征,对所述样本防护节点对象簇中的所有所述样本防护节点对象进行异常特征点定位,获得第三推导异常特征簇。
譬如一些实施方式中,所述标的威胁防护异常特征的具体实现方式包括: 获取至少两个实际威胁防护事件中动态防护节点进行威胁渗透的防护活动的威胁渗透防护数据;基于所述威胁渗透防护数据,获得表达动态防护节点进行威胁渗透的防护活动的威胁防护轨迹簇,所述威胁防护轨迹簇中包括至少两个威胁防护轨迹,每个所述威胁防护轨迹与一个防护感知单元序列相对应,所述防护感知单元序列中包括至少一个防护感知单元,所述防护感知单元为所述威胁渗透防护数据中的各个感知节点;对所述威胁防护轨迹簇中的所有威胁防护轨迹的各个所述防护感知单元的防护感知失败信息进行统计,获得标的威胁防护异常特征,所述标的威胁防护异常特征为在所有威胁防护事件序列中的所有威胁防护轨迹中均出现的所述防护感知单元所对应的异常特征变量集。
图2示出了本申请实施例提供的用于实现上述的基于威胁攻击大数据的威胁情报生成系统的AI安全系统100的硬件结构意图,如图2所示,AI安全系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
处理器110可以根据存储在机器可读存储介质120中的程序而执行各种适当的动作和处理,例如前述实施例所描述的基于威胁攻击大数据的威胁情报生成方法所对应的程序指令。处理器110、机器可读存储介质120以及通信单元140通过总线130进行信号传输。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信单元140从网络上被下载和安装,在该计算机程序被处理器110执行时,执行本公开实施例的方法中限定的上述功能。
本公开又一实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述任一实施例所述的基于威胁攻击大数据的威胁情报生成方法。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(LAM)、只读存储器(LOM)、可擦式可编程只读存储器(EPLOM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-LOM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、LM(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备执行上述实施例所示的方法。
本公开又一实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如上述任一实施例所述的基于威胁攻击大数据的威胁情报生成方法。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。

Claims (9)

1.一种基于威胁攻击大数据的威胁情报生成方法,其特征在于,应用于与信息安全服务器通信的AI安全系统,所述方法包括:
依据目标威胁情报提取模型提取针对威胁攻击大数据的第一威胁攻击活动知识图谱,并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征;
依据攻击实例连通特征和所述第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据;
所述依据目标威胁情报提取模型提取针对威胁攻击大数据的第一威胁攻击活动知识图谱,并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征,包括:
针对所述信息安全服务器的威胁情报挖掘指示,从威胁攻击数据库中提取对应字段区间的威胁攻击大数据;
依据目标威胁情报提取模型对所述威胁攻击大数据进行威胁活动实体成员以及威胁活动实体成员之间的攻击活动关系特征提取,确定第一威胁攻击活动知识图谱;其中,所述第一威胁攻击活动知识图谱包括与所述威胁攻击大数据对应的衍生攻击实例下的威胁攻击活动知识图谱;
依据预设攻击实例连通策略对所述第一威胁攻击活动知识图谱进行可连通性变量分析,确定攻击实例连通特征;
所述依据攻击实例连通特征和第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据,包括:
依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的所述至少部分威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱;
依据所述目标威胁情报提取模型对所述第二威胁攻击活动知识图谱进行威胁情报提取,确定所述威胁攻击大数据的威胁情报数据。
2.根据权利要求1所述的基于威胁攻击大数据的威胁情报生成方法,其特征在于,在所述依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的所述至少部分威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱之前,还包括:
依据频繁活动项挖掘模型对所述第一威胁攻击活动知识图谱进行频繁活动项挖掘,确定频繁活动项;
所述依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的所述至少部分威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱,包括:
依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通;
依据所述频繁活动项对联合攻击实例连通的所述至少部分威胁攻击活动知识图谱进行威胁权重更新;
依据完成威胁权重更新的所述至少部分威胁攻击活动知识图谱,确定第二威胁攻击活动知识图谱。
3.根据权利要求2所述的基于威胁攻击大数据的威胁情报生成方法,其特征在于,所述第一威胁攻击活动知识图谱的连通维度包括联合攻击实例连通维度和扩展连通维度;
所述依据所述攻击实例连通特征对所述第一威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,包括:
依据扩展连通维度从第一威胁攻击活动知识图谱中提取多个扩展威胁攻击活动知识图谱,每个扩展威胁攻击活动知识图谱包括相同的扩展连通维度下匹配衍生攻击实例的威胁攻击活动知识图谱;
依据所述攻击实例连通特征对所述多个扩展威胁攻击活动知识图谱在联合攻击实例连通维度下进行连通。
4.根据权利要求3所述的基于威胁攻击大数据的威胁情报生成方法,其特征在于,所述扩展连通维度为攻击实例触发点连通维度,并且所述攻击实例连通特征包括W个连通特征,所述多个扩展威胁攻击活动知识图谱包括W个第一威胁攻击活动知识图谱;
所述依据所述攻击实例连通特征对所述多个扩展威胁攻击活动知识图谱在联合攻击实例连通维度下进行连通的步骤,包括:
依据所述攻击实例连通特征中第R个所述连通特征对第R个所述第一威胁攻击活动知识图谱在所述联合攻击实例连通维度下进行连通,确定第R个第二威胁攻击活动知识图谱,所述R为小于或等于所述W的正整数;
其中,所述依据所述攻击实例连通特征中第R个所述连通特征对第R个所述第一威胁攻击活动知识图谱在所述联合攻击实例连通维度下进行连通,确定第R个第二威胁攻击活动知识图谱的步骤,包括:
确定第R个所述连通特征映射的威胁活动连通区间,且所述威胁活动连通区间的第一连通节点数据与第二连通节点数据的连通区间数据为完整威胁活动数据;
依据所述联合攻击实例连通维度,以及与所述第一连通节点数据对应的连通节点位置,对第R个所述第一威胁攻击活动知识图谱进行联合防护实例连通处理,确定第R个第三威胁攻击活动知识图谱,并依据所述联合攻击实例连通维度,以及与所述第二连通节点数据对应的连通节点位置,对第R个所述第一威胁攻击活动知识图谱进行联合防护实例连通处理,确定第R个第四威胁攻击活动知识图谱;
以第R个所述连通特征与所述第二连通节点数据的连通代价信息作为威胁权重参数对第R个所述第三威胁攻击活动知识图谱进行威胁权重更新,确定第R个第一威胁权重更新知识图谱,并以所述第一连通节点数据与第R个所述连通特征的连通代价信息作为威胁权重参数对第R个所述第四威胁攻击活动知识图谱进行威胁权重更新,确定第R个第二威胁权重更新知识图谱;
依据所述第R个第一威胁权重更新知识图谱和第R个第二威胁权重更新知识图谱之间的组合分析信息,生成第R个所述第二威胁攻击活动知识图谱。
5.根据权利要求3所述的基于威胁攻击大数据的威胁情报生成方法,其特征在于,所述威胁攻击大数据包括S个目标威胁攻击联动事件数据,所述频繁活动项包括S个频繁活动变量;
所述依据所述频繁活动项对联合攻击实例连通的所述至少部分威胁攻击活动知识图谱进行威胁权重更新包括:
对联合攻击实例连通的每个扩展威胁攻击活动知识图谱,分别依据所述频繁活动项中第L个频繁活动变量对当前个扩展威胁攻击活动知识图谱中的第L个联合攻击实例对应的威胁标签字段进行威胁权重更新,确定威胁权重更新后的目标扩展威胁攻击活动知识图谱;其中,所述L为小于或等于所述S的正整数。
6.根据权利要求2所述的基于威胁攻击大数据的威胁情报生成方法,其特征在于,所述依据频繁活动项挖掘模型对所述第一威胁攻击活动知识图谱进行频繁活动项挖掘,确定频繁活动项,包括:
依据所述频繁活动项挖掘模型的时空多维特征提取单元对所述第一威胁攻击活动知识图谱进行时空多维特征提取,确定时空多维特征分布;
依据所述频繁活动项挖掘模型的威胁活动轨迹特征点提取单元对所述时空多维特征分布进行威胁活动轨迹特征点提取,确定威胁活动轨迹特征点分布;
依据所述频繁活动项挖掘模型的频繁活动特征解析单元对所述威胁活动轨迹特征点分布进行频繁活动特征解析,确定所述频繁活动项;
其中,所述依据完成威胁权重更新的所述至少部分威胁攻击活动知识图谱,确定第二威胁攻击活动知识图谱,包括:
依据完成威胁权重更新的所述至少部分威胁攻击活动知识图谱以及所述第一威胁攻击活动知识图谱中尚未联合攻击实例连通的威胁攻击活动知识图谱,确定所述第二威胁攻击活动知识图谱。
7.根据权利要求1所述的基于威胁攻击大数据的威胁情报生成方法,其特征在于,所述依据预设攻击实例连通策略对所述第一威胁攻击活动知识图谱进行可连通性变量分析,确定攻击实例连通特征,包括:
依据预设攻击实例连通策略,提取所述第一威胁攻击活动知识图谱中任意一个存在威胁攻击调度关系的至少两个威胁攻击实例,并将每个所述至少两个威胁攻击实例所对应的威胁攻击调度关系变量作为可连通性变量,汇总构建为所述攻击实例连通特征。
8.根据权利要求1-7中任意一项所述的基于威胁攻击大数据的威胁情报生成方法,其特征在于,所述方法还包括:
获取标的威胁攻击数据,所述标的威胁攻击数据包括标的训练标签数据,所述标的训练标签数据包括标的威胁情报数据;
依据目标威胁情报提取模型对标的威胁攻击数据进行威胁活动轨迹特征点提取,确定第一标的威胁攻击活动知识图谱;
依据预设攻击实例连通策略对第一标的威胁攻击活动知识图谱进行处理,确定攻击实例连通特征;
依据攻击实例连通特征对第一标的威胁攻击活动知识图谱的至少部分威胁攻击活动知识图谱进行联合攻击实例连通,而后依据联合攻击实例连通处理后的威胁攻击活动知识图谱生成第二标的威胁攻击活动知识图谱;
依据目标威胁情报提取模型对第二标的威胁攻击活动知识图谱进行威胁情报提取,确定标的威胁攻击数据的威胁情报数据;
依据标的训练标签数据和威胁情报数据确定训练收敛指标;
依据训练收敛指标,更新目标威胁情报提取模型和预设攻击实例连通策略的配置信息。
9.一种AI安全系统,其特征在于,所述AI安全系统包括处理器和机器可读存储介质,所述机器可读存储介质中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现权利要求1-8中任意一项的基于威胁攻击大数据的威胁情报生成方法。
CN202210561689.XA 2022-05-23 2022-05-23 基于威胁攻击大数据的威胁情报生成方法及ai安全系统 Active CN114928493B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210561689.XA CN114928493B (zh) 2022-05-23 2022-05-23 基于威胁攻击大数据的威胁情报生成方法及ai安全系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210561689.XA CN114928493B (zh) 2022-05-23 2022-05-23 基于威胁攻击大数据的威胁情报生成方法及ai安全系统

Publications (2)

Publication Number Publication Date
CN114928493A CN114928493A (zh) 2022-08-19
CN114928493B true CN114928493B (zh) 2023-04-21

Family

ID=82810397

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210561689.XA Active CN114928493B (zh) 2022-05-23 2022-05-23 基于威胁攻击大数据的威胁情报生成方法及ai安全系统

Country Status (1)

Country Link
CN (1) CN114928493B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622805B (zh) * 2022-12-06 2023-08-25 深圳慧卡科技有限公司 基于人工智能的安全支付防护方法及ai系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108259449B (zh) * 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统
CN113297578B (zh) * 2021-06-25 2022-03-04 铭台(北京)科技有限公司 基于大数据和人工智能的信息感知方法及信息安全系统
CN113961923A (zh) * 2021-10-29 2022-01-21 绿盟科技集团股份有限公司 一种威胁情报获取方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114928493A (zh) 2022-08-19

Similar Documents

Publication Publication Date Title
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
KR20220141276A (ko) 샌드박스 및 인공지능을 사용한 블록체인 스마트 계약 기반 디지털 자산에 대한 지속적인 취약점 관리 시스템
CN110414242A (zh) 用于检测业务逻辑漏洞的方法、装置、设备及介质
CN108347430A (zh) 基于深度学习的网络入侵检测和漏洞扫描方法及装置
CN114095273A (zh) 基于深度学习的互联网漏洞挖掘方法及大数据挖掘系统
CN114422224B (zh) 面向攻击溯源的威胁情报智能分析方法及系统
CN103577514A (zh) 用于自动数据探索的方法和装置
CN115174231B (zh) 一种基于AI Knowledge Base的网络欺诈分析方法及服务器
CN114866330B (zh) 采用ai和大数据分析的威胁攻击防护决策方法及ai系统
CN115048370B (zh) 用于大数据清洗的人工智能处理方法及大数据清洗系统
CN114928493B (zh) 基于威胁攻击大数据的威胁情报生成方法及ai安全系统
CN109522221A (zh) 一种提高模糊测试效率的方法和系统
CN112016138A (zh) 一种车联网自动化安全建模的方法、装置和电子设备
CN114691665B (zh) 基于大数据分析的采集噪声点挖掘方法及大数据采集系统
CN113468520A (zh) 应用于区块链业务的数据入侵检测方法及大数据服务器
CN113722719A (zh) 针对安全拦截大数据分析的信息生成方法及人工智能系统
CN114826768A (zh) 应用大数据和ai技术的云端漏洞处理方法及ai分析系统
CN112783508B (zh) 文件的编译方法、装置、设备以及存储介质
CN114978765B (zh) 服务于信息攻击防御的大数据处理方法及ai攻击防御系统
CN114780967B (zh) 基于大数据漏洞挖掘的挖掘评估方法及ai漏洞挖掘系统
US20200127973A1 (en) Integrated behavior-based infrastructure command validation
CN115964701A (zh) 应用安全检测方法、装置、存储介质及电子设备
CN111190813B (zh) 基于自动化测试的安卓应用网络行为信息提取系统及方法
CN114331349A (zh) 一种基于物联网技术的科研项目管理方法及系统
CN112653683A (zh) 基于大数据和云计算的数据流式处理方法及云服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20221107

Address after: No. 289, Chuanjin Road North Station New Village, Panlong District, Kunming, Yunnan 650000

Applicant after: Li Rui

Address before: No. 608, Guannan Square, Jincheng, Guandu District, Kunming City, Yunnan Province, 650000

Applicant before: Kunming Yuanxu Network Technology Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230209

Address after: 100084 no.cg05-030, 1st floor, building 8, yard 1, Zhongguancun East Road, Haidian District, Beijing

Applicant after: ZEN KING TECHNOLOGY Co.,Ltd.

Address before: No. 289, Chuanjin Road North Station New Village, Panlong District, Kunming, Yunnan 650000

Applicant before: Li Rui

GR01 Patent grant
GR01 Patent grant