CN115037497A - 采用人工智能和大数据分析的安全情报分析方法及系统 - Google Patents

采用人工智能和大数据分析的安全情报分析方法及系统 Download PDF

Info

Publication number
CN115037497A
CN115037497A CN202210249067.3A CN202210249067A CN115037497A CN 115037497 A CN115037497 A CN 115037497A CN 202210249067 A CN202210249067 A CN 202210249067A CN 115037497 A CN115037497 A CN 115037497A
Authority
CN
China
Prior art keywords
information
safety
attack
linkage
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210249067.3A
Other languages
English (en)
Inventor
崔志龙
梁勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ren Zhigui
Original Assignee
Linyi Sorbond Electronics Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Linyi Sorbond Electronics Co ltd filed Critical Linyi Sorbond Electronics Co ltd
Priority to CN202210249067.3A priority Critical patent/CN115037497A/zh
Publication of CN115037497A publication Critical patent/CN115037497A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请实施例提供一种采用人工智能和大数据分析的安全情报分析方法及系统,依据获取针对目标云端配置业务的安全事件大数据,并将安全事件大数据输入到安全情报分析模型中,获得目标云端配置业务对应的安全情报数据,对安全情报数据进行基于攻击联动关系特征的特征提取,获得安全情报数据所对应的攻击情报联动关系特征,基于安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于攻击联动知识图谱对目标云端配置业务的安全防护固件进行对应配置文件的更新。如此,以攻击联动关系维度进行相应的特征提取以建立攻击联动知识图谱,由此进行安全防护固件进行对应配置文件的更新,可以保证更高的安全防护可靠性。

Description

采用人工智能和大数据分析的安全情报分析方法及系统
技术领域
本申请涉及信息安全分析技术领域,具体而言,涉及一种采用人工智能和大数据分析的安全情报分析方法及系统。
背景技术
随着互联网和5G通讯技术的飞速发展,也带来了信息安全的隐患,大部分的安全问题都是通过互联网进行传播扩散。信息攻击事件的范围已经涉及到各个领域,严重威胁了网络信息安全。
安全情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识,通过提供准确的安全情报可以及时提示相关开发人员进行安全防护固件的更新优化。然而,相关技术中在进行安全情报分析后,缺乏攻击联动关系维度的进一步考虑,导致后续在为开发人员提供安全防护固件的更新优化的过程中缺乏可靠的依据,进而影响安全防护可靠性。
发明内容
为了至少克服现有技术中的上述不足,本申请的目的在于提供一种采用人工智能和大数据分析的安全情报分析方法及系统。
第一方面,本申请提供一种采用人工智能和大数据分析的安全情报分析方法,应用于信息安全系统,所述方法包括:
获取针对目标云端配置业务的安全事件大数据,并将所述安全事件大数据输入到安全情报分析模型中,获得所述目标云端配置业务对应的安全情报数据;
对所述安全情报数据进行基于攻击联动关系特征的特征提取,获得所述安全情报数据所对应的攻击情报联动关系特征;
基于所述安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于所述攻击联动知识图谱对所述目标云端配置业务的安全防护固件进行对应配置文件的更新。
在第一方面的一些可能的实施方式中,所述基于所述安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于所述攻击联动知识图谱对所述目标云端配置业务的安全防护固件进行对应配置文件的更新的步骤,包括:
从所述安全情报数据所对应的攻击情报联动关系特征中获得每个攻击情报联动实体以及每个攻击情报联动实体之间的关系特征属性,并基于所述每个攻击情报联动实体以及每个攻击情报联动实体之间的关系特征属性构建对应的攻击联动知识图谱,从所述攻击联动知识图谱中获得每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据;
对所述每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据进行特征挖掘,以获得携带不同攻击情报联动实体对应的攻击联动触发数据中的攻击联动价值信息以及攻击联动频繁项信息的攻击联动挖掘特征,其中,所述攻击联动价值信息用于表征在攻击联动过程中结合的攻击节点数量;
基于所述攻击联动挖掘特征确定用于进行安全防护固件更新的攻击联动触发数据,以基于所述用于进行安全防护固件更新的攻击联动触发数据对所述目标云端配置业务的安全防护固件进行对应配置文件的更新;其中,所述安全防护固件更新为针对与所述信息安全系统具有信息安全绑定关系的云端服务系统执行的进程。
譬如,在第一方面的一些可能的实施方式中,从所述攻击联动知识图谱中获得每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据,包括:
从所述攻击联动知识图谱中获得解析的每个攻击联动单元的第一攻击联动触发数据和每个攻击联动单元的第二攻击联动触发数据;第一攻击联动触发数据和第二攻击联动触发数据皆覆盖目标攻击联动活动,且目标攻击联动活动在所述第一攻击联动触发数据和第二攻击联动触发数据中的触发节点匹配,所述第一攻击联动触发数据为云端订阅系统对应的攻击联动触发数据,所述第二攻击联动触发数据为云端被订阅系统对应的攻击联动触发数据;
对所述每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据进行特征挖掘,以获得携带不同攻击情报联动实体对应的攻击联动触发数据中的攻击联动价值信息以及攻击联动频繁项信息的攻击联动挖掘特征,包括:
对第一攻击联动触发数据和第二攻击联动触发数据进行特征挖掘,以获得第三攻击联动触发数据以及目标攻击联动活动的目标触发节点信息,所述第三攻击联动触发数据汇聚了第一攻击联动触发数据的攻击联动价值信息和第二攻击联动触发数据的攻击联动频繁项信息;
基于所述攻击联动挖掘特征确定用于进行安全防护固件更新的攻击联动触发数据,包括:
从所述第二攻击联动触发数据中确定所述目标触发节点信息对应的共享攻击联动活动数据,获得每个攻击联动单元的第一共享攻击联动活动簇,对所述第一共享攻击联动活动簇执行路径拼接得到用于目标攻击联动活动分析的第四攻击联动触发数据。
譬如,在第一方面的一些可能的实施方式中,对第一攻击联动触发数据和第二攻击联动触发数据进行特征挖掘,以获得第三攻击联动触发数据以及目标攻击联动活动的目标触发节点信息,包括:
分别对所述第一攻击联动触发数据和第二攻击联动触发数据进行数据挖掘第五攻击联动触发数据和第六攻击联动触发数据,所述第五攻击联动触发数据为攻击联动价值数据,所述第六攻击联动触发数据为攻击联动频繁项数据;
对所述第五攻击联动触发数据与所述第六攻击联动触发数据执行特征聚合得到聚合攻击联动触发数据;
从所述聚合攻击联动触发数据中挖掘所述目标攻击联动活动在所述聚合攻击联动触发数据中的触发节点信息,从所述聚合攻击联动触发数据中确定挖掘的触发节点信息对应的共享攻击联动活动数据得到所述第三攻击联动触发数据,并将挖掘的触发节点信息确定为所述目标触发节点信息。
譬如,在第一方面的一些可能的实施方式中,对所述第五攻击联动触发数据与所述第六攻击联动触发数据执行特征聚合得到聚合攻击联动触发数据,包括:
获得所述第五攻击联动触发数据中的前向触发数据、后向触发数据和注意力触发数据,并获得所述第六攻击联动触发数据中的前向触发数据;聚合所述第五攻击联动触发数据与所述第六攻击联动触发数据中的前向触发数据得到目标前向触发数据;
基于所述目标前向触发数据、所述第五攻击联动触发数据中的后向触发数据与注意力触发数据生成所述聚合攻击联动触发数据。
譬如,在第一方面的一些可能的实施方式中,对第一攻击联动触发数据和第二攻击联动触发数据进行特征挖掘,以获得第三攻击联动触发数据以及目标攻击联动活动的目标触发节点信息,包括:
分别对所述第一攻击联动触发数据和第二攻击联动触发数据进行数据挖掘的第五攻击联动触发数据和第六攻击联动触发数据,所述第五攻击联动触发数据为攻击联动价值数据,所述第六攻击联动触发数据为攻击联动频繁项数据;
从所述第五攻击联动触发数据中挖掘所述目标攻击联动活动的触发节点信息,或者,从所述第六攻击联动触发数据中挖掘所述目标攻击联动活动的触发节点信息;
分别从所述第五攻击联动触发数据、第六攻击联动触发数据中确定挖掘的触发节点信息对应的共享攻击联动活动数据,获得第二共享攻击联动活动簇和第三共享攻击联动活动簇,并将挖掘的触发节点信息视作所述目标触发节点信息;
获得所述第二共享攻击联动活动簇中的前向触发数据、后向触发数据和注意力触发数据,并获得所述第三共享攻击联动活动簇中的前向触发数据;
聚合所述第二共享攻击联动活动簇和第三共享攻击联动活动簇中的前向触发数据得到目标前向触发数据;
基于所述目标前向触发数据、所述第二共享攻击联动活动簇中的后向触发数据与注意力触发数据生成所述第三攻击联动触发数据。
第二方面,本申请实施例还提供一种采用人工智能和大数据分析的安全情报分析系统,所述采用人工智能和大数据分析的安全情报分析系统包括信息安全系统以及与该信息安全系统通信连接的多个安全防护节点;
所述信息安全系统,用于:
获取针对目标云端配置业务的安全事件大数据,并将所述安全事件大数据输入到安全情报分析模型中,获得所述目标云端配置业务对应的安全情报数据;
对所述安全情报数据进行基于攻击联动关系特征的特征提取,获得所述安全情报数据所对应的攻击情报联动关系特征;
基于所述安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于所述攻击联动知识图谱对所述目标云端配置业务的安全防护固件进行对应配置文件的更新。
基于前述方面,本申请依据获取针对目标云端配置业务的安全事件大数据,并将安全事件大数据输入到安全情报分析模型中,获得目标云端配置业务对应的安全情报数据,对安全情报数据进行基于攻击联动关系特征的特征提取,获得安全情报数据所对应的攻击情报联动关系特征,基于安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于攻击联动知识图谱对目标云端配置业务的安全防护固件进行对应配置文件的更新。如此,在进行安全情报分析后,进一步以攻击联动关系维度进行相应的特征提取以建立攻击联动知识图谱,由此进行安全防护固件进行对应配置文件的更新,可以保证更高的安全防护可靠性。
附图说明
图1为本申请实施例提供的采用人工智能和大数据分析的安全情报分析方法的流程示意图;
图2为本申请实施例提供的用于实现上述的采用人工智能和大数据分析的安全情报分析方法的信息安全系统的结构示意框图。
具体实施方式
下面介绍本申请一种实施例提供的采用人工智能和大数据分析的安全情报分析系统10。采用人工智能和大数据分析的安全情报分析系统10可以包括信息安全系统100以及与信息安全系统100通信连接的安全防护节点200。一些设计思路中,采用人工智能和大数据分析的安全情报分析系统10中的信息安全系统100和安全防护节点200可以依据配合执行以下方法实施例所描述的采用人工智能和大数据分析的安全情报分析方法,具体信息安全系统100和安全防护节点200的执行步骤部分可以参照以下方法实施例的详细描述。
下面介绍本申请实施例提供的另一种采用人工智能和大数据分析的安全情报分析方法,请参阅图1,该采用人工智能和大数据分析的安全情报分析方法可以包括如下步骤。
步骤S110,获取针对目标云端配置业务的安全事件大数据,并将所述安全事件大数据输入到安全情报分析模型中,获得所述目标云端配置业务对应的安全情报数据。
本实施例中,目标云端配置业务可以是任意指定的用于进行后续安全防护优化的云端配置业务,云端配置业务可以是指应用于云端上的任意上线业务,例如智慧医疗业务、智慧电商业务以及任何互联网业务。安全事件大数据可以用于表征与信息安全相关的事件构成的数据集。安全情报分析模型可以是预先训练的,具体用于执行安全情报分析,具体训练流程可以参见后续的相关实施例的描述。安全情报数据可以用于表征安全事件大数据中与信息安全相关的关键情报数据,例如存在敏感数据访问、存在非法侵入访问的情报数据。
步骤S120,对所述安全情报数据进行基于攻击联动关系特征的特征提取,获得所述安全情报数据所对应的攻击情报联动关系特征。
本实施例中,本申请发明人考虑到相关技术中通常攻击情报会具有一定的联动关系,也即并不是独立存在的,因此在本方案中,提取获得的攻击情报联动关系特征可以用于表示不同攻击情报联动实体以及每个攻击情报联动实体之间的关系特征属性,攻击情报联动实体可以用于表示攻击情报的情报对象,比如某次攻击流程所映射的数据节点,关系特征属性可以表示不同数据节点的攻击路径关系。
步骤S130,基于所述安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于所述攻击联动知识图谱对所述目标云端配置业务的安全防护固件进行对应配置文件的更新。
本实施例中,通过构建攻击联动知识图谱,可以表征攻击联动维度的特点,从而针对性对所述目标云端配置业务的安全防护固件进行对应配置文件的更新。
基于以上步骤,依据获取针对目标云端配置业务的安全事件大数据,并将安全事件大数据输入到安全情报分析模型中,获得目标云端配置业务对应的安全情报数据,对安全情报数据进行基于攻击联动关系特征的特征提取,获得安全情报数据所对应的攻击情报联动关系特征,基于安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于攻击联动知识图谱对目标云端配置业务的安全防护固件进行对应配置文件的更新。如此,在进行安全情报分析后,进一步以攻击联动关系维度进行相应的特征提取以建立攻击联动知识图谱,由此进行安全防护固件进行对应配置文件的更新,可以保证更高的安全防护可靠性。
一种示例性的设计思路中,步骤S110中安全情报分析模型可以通过以下步骤进行训练确定。
步骤S101:获取参考安全事件数据序列,所述参考安全事件数据序列中的参考安全事件数据包括前向参考域的携带情报安全事件数据和后向参考域的未携带情报安全事件数据。
前向参考域(源域)和后向参考域(目标域)属于不同的参考域,该参考域所表征的特征粒度大小可以依据具体安全需求进行确定,例如该参考域可以表征一个攻击防护场景、安全防护进程等。例如后向参考域可以为一个安全防护拦截进程等。
该目标安全事件可以是不同存在安全触发行为的事件对象,本申请不做限定,例如可以是敏感事件访问事件、非白名单访问事件等。具体针对何种目标安全事件进行安全情报分析可以依据后向参考域的类型、实际需求等确定。
前向参考域的携带情报安全事件数据具有携带情报事件的携带参考情报,该携带参考情报表示所述携带情报安全事件数据中目标安全事件的安全情报数据。即依据携带参考情报可以明确携带情报安全事件数据中是否具有目标安全事件,以及在具有目标安全事件时,目标安全事件在携带情报安全事件数据中的具体情报节点。
其中,前向参考域可以是除了后向参考域以外的至少一个其它参考域。
针对后向参考域的目标安全事件的安全情报分析,为了更准确的使用其它参考域的携带情报安全事件数据,可以依据所需检测的目标安全事件来确定前向参考域,以及前向参考域的携带情报安全事件数据。
一些示例性的设计思路中,所述方法还包括:
针对所述后向参考域的安全情报分析需求,确定等待安全情报分析的所述目标安全事件;
基于所述目标安全事件确定具有所述目标安全事件的所述前向参考域。
也即,基于明确需要进行安全情报分析的目标安全事件,可以从其它参考域中确定出具有目标安全事件的参考域作为前向参考域。由此训练出的安全情报训练模型对后向参考域中的目标安全事件的安全情报分析性能更强。
例如,当针对后向参考域需要进行安全情报分析的目标安全事件为“敏感事件攻击事件”,已知参考域有三个,分别为参考域1、参考域2和参考域3,这三个参考域中只有参考域3的安全事件数据里具有敏感事件攻击事件,且对安全事件数据中的敏感事件攻击事件已经进行了情报数据携带标定,故可以依据目标安全事件“敏感事件攻击事件”从这三个参考域中确定参考域2为前向参考域,将参考域2中已经对敏感事件攻击事件进行了情报数据携带标定的安全事件数据作为前向参考域的携带情报安全事件数据。
步骤S102:基于所述参考安全事件数据对参考安全情报训练模型进行权重信息优化,其中,如果确定所述参考安全事件数据为所述携带情报安全事件数据,基于针对所述目标安全事件的安全情报分析数据和所述携带参考情报对所述参考安全情报训练模型进行权重信息优化以得到安全情报训练模型。
其中,所述参考安全情报训练模型包括用于深度挖掘所述参考安全事件数据的安全事件数据变量的深度挖掘分支,参考安全情报训练模型可以依据所提取的安全事件数据变量进行安全情报分析,获得安全情报分析数据。
由于参考安全事件数据序列中包括了一部分具有携带参考情报的参考安全事件数据,即前向参考域的携带情报安全事件数据,故依据参考安全情报训练模型确定这类参考安全事件数据的安全情报分析数据时,可以依据携带情报安全事件数据的携带参考情报与安全情报分析数据的特征区别信息对参考安全情报训练模型进行权重信息优化,以使得参考安全情报训练模型在权重信息优化过程中学习到针对目标安全事件的安全情报分析能力。
从而所述安全情报训练模型可以用于对所述后向参考域的安全事件数据进行所述目标安全事件的安全情报分析。
由此可见,依据作为参考安全事件数据的携带情报安全事件数据进行权重信息优化时,可以基于安全情报分析数据和所述携带参考情报对所述参考安全情报训练模型进行权重信息优化,使得收敛优化的安全情报训练模型能够实现对目标安全事件的精确情报分析,使得前向参考域的大量携带情报数据在后向参考域的安全情报分析中得以有效使用。
接下来说明在权重信息优化过程中,如何使得前向参考域的携带情报安全事件数据可以应用到后向参考域中。下述步骤S103-步骤S105可以在依据步骤S102完成对参考安全情报训练模型的训练之前执行,而且并不需要参考安全事件数据是否具有携带参考情报,即可以对前向参考域的参考安全事件数据和后向参考域的参考安全事件数据均进行下述的GAN模型训练。
步骤S103:在所述权重信息优化的流程中,基于所述深度挖掘分支的第一挖掘单元的第一挖掘变量,依据第一应用场景预测分支确定所述第一挖掘变量对应的第一训练安全应用场景特征。
深度挖掘分支包括有多个挖掘单元,每一个挖掘单元都会对上一个挖掘单元的输出进行相应的处理,在进行安全事件数据变量提取的过程中,作为参考安全事件数据的安全事件数据变量的变量维度会逐步降低,最终输出用于表达该安全事件数据的安全事件数据变量。例如第W个挖掘单元为多个挖掘单元中的一层,第W个挖掘单元的加载变量可以为第W-1个挖掘单元的挖掘变量,第W个挖掘单元的挖掘变量可以为第W+1个挖掘单元的加载变量。本申请不限定第一挖掘单元为该多个挖掘单元中的哪一层。
第一挖掘单元的第一挖掘变量中携带有参考安全事件数据在第一挖掘单元所对应变量维度的安全事件数据信息,依据第一应用场景预测分支可以确定对应的第一训练安全应用场景特征。
第一挖掘单元对应的变量维度可以相对较高(例如更接近深度挖掘分支的输入层),例如是集中变量挖掘单元,其第一挖掘变量为参考安全事件数据的低维特征向量,第一挖掘单元对应的变量维度可以相对较低(例如更接近深度挖掘分支的输出层),例如是全量变量挖掘单元,其第一挖掘变量为参考安全事件数据的高维特征向量。
步骤S104:基于所述参考安全事件数据的实际安全应用场景特征和所述第一训练安全应用场景特征的特征区别信息确定第一模型训练代价值。
第一应用场景预测分支可以是二分类模型,用于确定模型加载数据属于前向参考域或者后向参考域。
由于不论参考安全事件数据是否具有携带参考情报,均可以明确该训练原本是前向参考域的还是后向参考域的,故可以依据此确定与第一训练安全应用场景特征间的特征区别信息,从而确定第一模型训练代价值。
步骤S105:依据所述第一模型训练代价值更新所述第一应用场景预测分支的预测权重信息,并依据所述第一模型训练代价值的反向传播值更新所述第一挖掘单元的预测权重信息。
第一模型训练代价值的反向传播值可以依据对第一模型训练代价值乘以一个负数(例如-1)得到。由于第一模型训练代价值所标识的特征区别信息越大,第一模型训练代价值的反向传播值所标识的特征区别信息就越小,从而以完全反向传播对第一应用场景预测分支和第一挖掘单元进行权重信息更新。
依据第一模型训练代价值更新所述第一应用场景预测分支的预测权重信息,可提高第一应用场景预测分支对前向参考域和后向参考域的预测性能。依据第一模型训练代价值的反向传播值更新第一挖掘单元的预测权重信息,以指导第一挖掘单元在挖掘变量时降低前向参考域和后向参考域的特征变量距离,由此起到分辩前向参考域和后向参考域的目的。
也即,第一模型训练代价值对第一应用场景预测分支的优化方向是让第一应用场景预测分支能够基于第一挖掘单元的第一挖掘变量更准确的分辨出所对应参考域为前向参考域或后向参考域,而依据第一模型训练代价值的反向传播值对第一挖掘单元的优化方向是让深度挖掘分支的第一挖掘单元在提取第一挖掘变量时,尽量弱化其中能够体现所属参考域的参考域特征,使得尽可能让第一应用场景预测分支无法分析第一挖掘变量所对应安全事件数据来自哪个参考域。由此实现了第一挖掘单元和第一应用场景预测分支之间的GAN模型训练。
例如,在第一应用场景预测分支和第一挖掘单元之间的逆向传播路径上设置有GRL,如前所述,GRL是梯度反转层,可以将加载的第一模型训练代价值乘以一个负数(例如-1),使得第一模型训练代价值在依据第一应用场景预测分支后被赋予负号,获得第一模型训练代价值的反向传播值,该第一模型训练代价值的反向传播值依据第一挖掘单元。使得第一应用场景预测分支和第一挖掘单元被依据逆向进行训练。
其中,第一应用场景预测分支仅在对参考安全情报训练模型的训练过程中使用,也并不属于参考安全情报训练模型的一部分,在收敛优化安全情报训练模型并为后向参考域提供安全情报分析服务时,并不会使用到第一应用场景预测分支。
一种示例性的设计思路中,第一挖掘单元可以是前述的集中变量挖掘单元,也可以是前述的全量变量挖掘单元。
如前步骤S103中的说明,集中变量挖掘单元是深度挖掘分支的多个挖掘单元中变量维度较高的挖掘单元,在模型结构上为距离深度挖掘分支的输入层较近的挖掘单元。由于集中变量挖掘单元所对应的变量维度较高,输入集中变量挖掘单元的安全事件数据变量中具有参考安全事件数据中大量的安全事件数据细节信息(或者说集中信息),故集中变量挖掘单元在进行特征提取时更关注安全事件数据细节,使得得到的挖掘变量中携带有丰富的安全事件数据细节信息。
全量变量挖掘单元是深度挖掘分支的多个挖掘单元中变量维度较低的挖掘单元,在模型结构上为距离深度挖掘分支的输出层较近的挖掘单元。由于全量变量挖掘单元所对应的变量维度较低,输入全量变量挖掘单元的安全事件数据变量中具有参考安全事件数据中大量的安全事件数据全量信息,而具有较少安全事件数据细节信息,故全量变量挖掘单元在进行特征提取时更关注安全事件数据全量,使得得到的挖掘变量中携带有丰富的安全事件数据全量信息。
一些示例性的设计思路中,如果确定所述第一挖掘单元为集中变量挖掘单元,步骤S103包括:
基于所述深度挖掘分支的第一挖掘单元的第一挖掘变量,依据第一应用场景预测分支确定所述第一挖掘变量所包括挖掘知识点分别对应的挖掘知识点场景特征;
基于所述挖掘知识点场景特征确定所述第一训练安全应用场景特征。
例如第一挖掘变量为一个H*W的安全事件数据变量,其中具有H*W个挖掘知识点,每个挖掘知识点都会依据第一应用场景预测分支确定对应的挖掘知识点场景特征,即每个挖掘知识点分别属于前向参考域或者后向参考域的识别结果。依据综合各个挖掘知识点场景特征确定第一训练安全应用场景特征,从而能够考虑到整体挖掘知识点的特征区别信息,可以提高第一训练安全应用场景特征的精度。
依据以上步骤,将前向参考域中具有携带参考情报的携带情报安全事件数据和后向参考域中未携带情报安全事件数据均作为参考安全事件数据,对参考安全情报训练模型进行权重信息优化。参考安全情报训练模型包括用于深度挖掘所述参考安全事件数据的安全事件数据变量的深度挖掘分支,在权重信息优化过程中,基于深度挖掘分支的第一挖掘单元的第一挖掘变量,依据第一应用场景预测分支确定其对应的第一训练安全应用场景特征,并依据与参考安全事件数据实际安全应用场景特征的特征区别信息确定第一模型训练代价值,依据第一模型训练代价值的更新,可提高第一应用场景预测分支对前向参考域和后向参考域的预测性能,依据第一模型训练代价值的反向传播值的调整,以指导第一挖掘单元在挖掘变量时降低前向参考域和后向参考域的特征变量距离,由此起到分辩前向参考域和后向参考域的目的。由此依据逆向,依据GAN模型训练的思路对第一应用场景预测分支和第一挖掘单元进行权重信息更新,指导深度挖掘分支在提取参考安全事件数据变量时弱化前向参考域和后向参考域下的分别特有的信息,降低特征中能被用于区分前向参考域还是后向参考域的信息,使得不论是前向参考域的参考安全事件数据还是后向参考域的参考安全事件数据,依据深度挖掘分支所提取的安全事件数据变量中与参考域相关的信息被弱化,实现了参考域模糊学习的作用。依据该类安全事件数据变量进行训练时,还可以在所述参考安全事件数据为所述携带情报安全事件数据时,基于安全情报分析数据和所述携带参考情报对所述参考安全情报训练模型进行权重信息优化,使得收敛优化的安全情报训练模型不仅可以针对后向参考域的安全事件数据有效提取安全事件数据变量,并能够实现对目标安全事件的精确情报分析,使得前向参考域的大量携带情报数据在后向参考域的安全情报分析中得以有效使用,大大提高了后向参考域中安全情报训练模型的模型优化速度和安全情报分析效果。
为了更好的起到让深度挖掘分支模糊学习前向参考域和后向参考域的目的,一些示例性的设计思路中,在所述权重信息优化的流程中,所述方法还包括:
S11:基于所述深度挖掘分支的第二挖掘单元的第二挖掘变量,依据第二应用场景预测分支确定所述第二挖掘变量对应的第二训练安全应用场景特征。
第二挖掘单元与第一挖掘单元为深度挖掘分支的多个挖掘单元中不同的两个挖掘单元。第二挖掘单元的加载变量为深度挖掘分支的多个挖掘单元中第二挖掘单元的前一个挖掘单元,第二挖掘单元基于该加载变量,依据所对应变量维度对加载变量进行安全事件数据变量的提取,从而形成第二挖掘单元的输出,作为第二挖掘变量。
S12:基于所述参考安全事件数据的实际安全应用场景特征和所述第二训练安全应用场景特征的特征区别信息确定第二模型训练代价值。
第二应用场景预测分支可以是二分类模型,用于确定模型加载数据属于前向参考域或者后向参考域。
S13:依据所述第二模型训练代价值更新所述第二应用场景预测分支的预测权重信息,并依据所述第二模型训练代价值的反向传播值更新所述第二挖掘单元的预测权重信息。
也即,在对第一挖掘单元进行依据应用场景预测分支的GAN模型训练的基础上,还可以对深度挖掘分支中与第一挖掘单元不同的第二挖掘单元进行类似的GAN模型训练,以强化深度挖掘分支对前向参考域和后向参考域的特征模糊学习的能力。
例如,在第二应用场景预测分支和第二挖掘单元之间的逆向传播路径上设置有GRL,使得第二模型训练代价值在依据第二应用场景预测分支后被赋予负号,然后依据第二挖掘单元。使得第二应用场景预测分支和第二挖掘单元被依据逆向进行训练。
依据GAN模型训练的方法依据应用场景预测分支(如第一应用场景预测分支和第二应用场景预测分支)来度量前向参考域和后向参考域间的特征区别信息,依据梯度反转层(GRL)使得深度挖掘分支和应用场景预测分支之间进行GAN模型训练,来鼓励前向参考域的特征和后向参考域的特征之间的参考域模糊学习,从而实现参考安全情报训练模型中的深度挖掘分支在对后向参考域或前向参考域的参考安全事件数据进行特征提取时,所提取的安全事件数据变量中用于区分参考域的安全事件数据变量被弱化,并且,用于目标安全事件的安全事件数据变量被强化,使得收敛优化的安全情报训练模型在针对后向参考域的安全事件数据进行目标安全事件的安全情报分析时,可以更为关注该安全事件数据中与目标安全事件相关的安全事件数据变量,提升对后向参考域的安全情报分析效果。
应用场景预测分支的主要作用是判别加载变量是来自于前向参考域还是后向参考域。依据将深度挖掘分支的挖掘单元的特征输入应用场景预测分支,应用场景预测分支的作用是对加载变量进行二分类,判断特征是来自于前向参考域还是后向参考域。
其中,第二应用场景预测分支仅在对参考安全情报训练模型的训练过程中使用,也并不属于参考安全情报训练模型的一部分,在收敛优化安全情报训练模型并为后向参考域提供安全情报分析服务时,并不会使用到第二应用场景预测分支。
一些示例性的设计思路中,所述第一挖掘单元为集中变量挖掘单元,所述第二挖掘单元为全量变量挖掘单元;或者,
所述第一挖掘单元为全量变量挖掘单元,所述第二挖掘单元为集中变量挖掘单元。
也即,当第一挖掘单元和第二挖掘单元分别为集中变量挖掘单元和全量变量挖掘单元时,在分别与第一应用场景预测分支和第二应用场景预测分支进行前述GAN模型训练后,深度挖掘分支的集中变量挖掘单元和全量变量挖掘单元能够学习到在特征提取时模糊学习前向参考域和后向参考域的能力,在多个特征层次上提高深度挖掘分支对前向参考域和后向参考域的参考域模糊学习能力,降低了第一挖掘变量和第二挖掘变量中能被用于区分前向参考域还是后向参考域的信息,使得不论是前向参考域的参考安全事件数据还是后向参考域的参考安全事件数据,依据深度挖掘分支所提取的安全事件数据变量中与参考域相关的信息被弱化,收敛优化的安全情报训练模型不论针对前向参考域还是后向参考域均能够依据深度挖掘分支输出的安全事件数据变量进行准确的目标安全事件的安全情报分析,实现了参考域模糊学习的作用。
应用场景预测分支除了可以协助对深度挖掘分支的挖掘单元进行GAN模型训练,以帮助深度挖掘分支学习对前向参考域和后向参考域的模糊学习能力外,应用场景预测分支还可以进一步为提高安全情报分析精度提供协助。
一些示例性的设计思路中,所述方法还包括:
步骤S11:获取所述第一应用场景预测分支的第一挖掘单元变量。
步骤S12:基于所述第一挖掘单元变量和所述安全事件数据变量确定所述参考安全情报训练模型中安全情报训练分支的加载变量,依据所述安全情报训练分支确定针对所述目标安全事件的安全情报分析数据。
第一应用场景预测分支的第一挖掘单元变量为第一应用场景预测分支在对模型加载数据进行参考域分类前处理得到的特征,特征中携带有用于参考域分类的信息,而且基于深度挖掘分支中第一挖掘单元所对应的变量维度,第一应用场景预测分支的第一挖掘单元变量还可以包括该变量维度下信息。
依据参考安全情报训练模型的安全情报训练分支对参考安全事件数据进行安全情报分析的过程中,将第一挖掘单元变量与参考安全情报训练模型的深度挖掘分支所输出的安全事件数据变量一并作为安全情报分析的依据,可以丰富第一挖掘单元所对应变量维度的信息,并提供一部分与参考域相关的信息,从而可以提高安全情报分析所能参考的信息维度,对于安全情报分析数据的质量有所保障。
在前述对深度挖掘分支中多个挖掘单元(例如第一挖掘单元和第二挖掘单元)进行GAN模型训练的场景中,除了可以将第一应用场景预测分支的第一挖掘单元变量作为安全情报分析的依据以外,还可以将第二应用场景预测分支的第二挖掘单元变量加入安全情报分析中。
一些示例性的设计思路中,所述方法还包括:
S31:获取所述第一应用场景预测分支的第一挖掘单元变量和所述第二应用场景预测分支的第二挖掘单元变量.
S32:基于所述第一挖掘单元变量、所述第二挖掘单元变量和所述安全事件数据变量确定所述参考安全情报训练模型中安全情报训练分支的加载变量,依据所述安全情报训练分支确定针对所述目标安全事件的安全情报分析数据。
由此当参考安全情报训练模型的第一挖掘单元和第二挖掘单元分别为集中变量挖掘单元和全量变量挖掘单元时,两个应用场景预测分支的挖掘单元变量可以强化安全情报分析时所依据的集中特征和全量特征,从而全面的增强了安全情报分析所依据特征的数据维度和信息量,提高了对象安全情报分析数据的质量。
第一挖掘单元变量和安全事件数据变量可以依据融合的方式得到一个完整的特征用于安全情报分析,同理,第一挖掘单元变量、第二挖掘单元变量和安全事件数据变量可以依据融合的方式得到一个完整的特征用于安全情报分析。
本申请不限定融合的具体实现手段,例如可以依据融合的方式将挖掘单元变量融合到安全事件数据变量之后以完成融合。
由于当参考安全事件数据为前向参考域的携带情报安全事件数据时,携带情报安全事件数据具有已知的携带参考情报,当参考安全情报训练模型确定出携带情报安全事件数据的安全情报分析数据后,该携带参考情报可以作为评价安全情报分析数据的依据,从而实现对参考安全情报训练模型的权重信息优化。
当在确定安全情报分析数据前,安全事件数据变量与第一挖掘单元变量和第二挖掘单元变量进行了融合时,在权重信息优化时还可以对第一应用场景预测分支和第二应用场景预测分支进行相应调整。
一些示例性的设计思路中,步骤S102包括:
步骤S1021:基于针对所述目标安全事件的安全情报分析数据和所述携带参考情报确定情报分析训练代价值。
步骤S1022:基于所述情报分析训练代价值对所述参考安全情报训练模型、所述第一应用场景预测分支和所述第二应用场景预测分支进行权重信息优化。
以上计算过程例如可以是:
作为模型加载数据的参考安全事件数据首先依据参考安全情报训练模型的深度挖掘分支,依据深度挖掘分支的第一挖掘单元和第二挖掘单元提取到不同特征层次的挖掘变量(如第一挖掘变量和第二挖掘变量)。
第一挖掘变量和第二挖掘变量被分别送入第一应用场景预测分支和第二应用场景预测分支中,用于判别对应的挖掘变量是来自于前向参考域还是后向参考域,并在此分析计算对应的第一模型训练代价值和第二模型训练代价值。同时会把第一应用场景预测分支的第一挖掘单元变量和第二应用场景预测分支的第二挖掘单元变量作为前后关联变量与由深度挖掘分支输出安全事件数据变量进行融合,获得融合特征。
融合特征用于进一步的目标安全事件分类和情报定位点的回归,输出的安全情报分析数据和携带参考情报共同计算情报分析训练代价值。
为了进一步增强安全情报训练模型对前向参考域和后向参考域中参考域特征的模糊学习能力,一些示例性的设计思路中,所述参考安全情报训练模型中包括用于基于所述安全事件数据变量确定所述安全情报分析数据的安全情报训练分支,在所述权重信息优化的流程中,所述方法还包括:
S41:获取所述安全情报训练分支的挖掘单元挖掘的情报定位点特征,所述情报定位点特征中包括了用于安全情报分析的情报定位点;
S42:基于第三应用场景预测分支确定所述情报定位点特征对应的第三训练安全应用场景特征;
S43:基于所述参考安全事件数据的实际安全应用场景特征和所述第三训练安全应用场景特征的特征区别信息确定第三模型训练代价值;
S44:依据所述第三模型训练代价值更新所述第三应用场景预测分支的预测权重信息,并依据所述第三模型训练代价值的反向传播值更新所述安全情报训练分支的预测权重信息。
参考安全情报训练模型在进行针对目标安全事件的安全情报分析时,会在加载变量上依据检测目的确定可能包括目标安全事件的安全情报分析框,然后依据情报定位点包括的信息确定是否具有目标安全事件,以及目标安全事件的可能位置。
依据第三应用场景预测分支对情报定位点特征进行参考域分类并依据与第一应用场景预测分支和第二应用场景预测分支类似的GAN模型训练思路,依据调整安全情报训练分支的预测权重信息,使得安全情报训练分支在标注情报定位点的过程中弱化前向参考域的参考域特征对情报定位点标注的影响,进一步的实现情报定位点特征的对齐,从而实现了参考安全情报训练模型中更多尺度的特征对齐目标。
其中,第三应用场景预测分支仅在对参考安全情报训练模型的训练过程中使用,也并不属于参考安全情报训练模型的一部分,在收敛优化安全情报训练模型并为后向参考域提供安全情报分析服务时,并不会使用到第三应用场景预测分支。
下面进一步介绍另一种可能的实施例所提供的安全情报训练模型训练流程,可以包括:
S601:获取针对所述前向参考域和所述后向参考域的安全事件场景转换模型。
S602:依据所述安全事件场景转换模型将所述携带情报安全事件数据的安全事件场景从前向参考域转换到所述后向参考域,获得参考场景转换安全事件数据。
所述参考场景转换安全事件数据的携带参考情报为转换前所述携带情报安全事件数据的携带参考情报。
S603:基于所述参考场景转换安全事件数据对所述参考安全情报训练模型进行权重信息优化,获得依据安全事件场景的安全情报训练模型。
由于后续提及的携带情报安全事件数据本身具有表示所述携带情报安全事件数据中目标安全事件的携带参考情报,且场景转换后的参考场景转换安全事件数据的携带参考情报为转换前所述携带情报安全事件数据的携带参考情报。故当将参考场景转换安全事件数据或携带情报安全事件数据作为该参考安全情报训练模型的参考安全事件数据输入参考安全情报训练模型后,可以基于安全情报分析数据和所输入参考安全事件数据的携带参考情报间的特征区别信息,确定相应的模型训练代价值并对参考安全情报训练模型进行权重信息优化。
参考安全情报训练模型与前述实施例中提及的参考安全情报训练模型可以为相同的模型,但是不需要额外依据应用场景预测分支对参考安全情报训练模型中的深度挖掘分支进行GAN模型训练。
该参考安全情报训练模型用于对加载的参考安全事件数据进行针对目标安全事件的安全情报分析,获得对应的安全情报分析数据,该安全情报分析数据标识参考安全事件数据中是否具有目标安全事件,以及在有目标安全事件的情况下目标安全事件处于参考安全事件数据的位置。
依据上述训练可以得到依据安全事件场景的安全情报训练模型,依据安全事件场景的安全情报训练模型用于对所述后向参考域的安全事件数据进行安全情报分析。
由此可见,依据获取前向参考域的携带情报安全事件数据,依据场景转换模型得到转换为后向参考域安全事件场景的参考场景转换安全事件数据,在依据参考场景转换安全事件数据对参考安全情报训练模型进行权重信息优化时,可以基于安全情报分析数据和所述携带参考情报对所述参考安全情报训练模型进行权重信息优化,使得收敛优化的安全情报训练模型能够实现对后向参考域的安全事件数据进行目标安全事件的精确情报分析,使得前向参考域的大量携带情报数据在后向参考域的安全情报分析中得以有效使用。
由于场景转换得到的参考场景转换安全事件数据的细节信息往往会有损失,例如携带情报安全事件数据中具有的目标安全事件在场景转换后,获得的参考场景转换安全事件数据中虽然也具有在后向参考域场景下的目标安全事件,但是目标安全事件的情报定位点等可能随着场景转换发生了变化。可是参考场景转换安全事件数据的携带参考情报还是原携带情报安全事件数据的携带参考情报,由此导致携带参考情报所标注目标安全事件的安全情报数据与参考场景转换安全事件数据中目标安全事件的具体情报节点可能并不相符,从而导致训练出的依据安全事件场景的安全情报训练模型在对目标安全事件进行安全情报分析时,对目标安全事件的安全情报节点的识别能力学习不足。
为此,一些示例性的设计思路中,S603包括:基于所述参考场景转换安全事件数据和所述携带情报安全事件数据对所述参考安全情报训练模型进行权重信息优化,获得依据安全事件场景的安全情报训练模型。
在对参考安全情报训练模型的训练中,依据加入未转换安全事件场景的前向参考域的携带情报安全事件数据,加强参考安全情报训练模型对目标安全事件的安全情报节点识别能力的学习,从而依据权重信息优化,提高依据安全事件场景的安全情报训练模型对目标安全事件的安全情报节点的定位能力。
在训练参考安全情报训练模型时,会将参考场景转换安全事件数据和来自前向参考域的携带情报安全事件数据进行组合,构成组合训练数据集并对参考安全情报训练模型进行训练。由此收敛优化的依据安全事件场景的安全情报训练模型针对后向参考域,不仅具有较好的安全情报分析能力,还可以依据前向参考域的携带情报安全事件数据保持精确的情报分析,从而有效的提升安全情报训练模型的安全情报分析效果。
一种示例性的设计思路中,步骤S130可以通过以下步骤实现。
步骤A110,从所述安全情报数据所对应的攻击情报联动关系特征中获得每个攻击情报联动实体以及每个攻击情报联动实体之间的关系特征属性,并基于所述每个攻击情报联动实体以及每个攻击情报联动实体之间的关系特征属性构建对应的攻击联动知识图谱,从所述攻击联动知识图谱中获得每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据;
步骤A120,对所述每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据进行特征挖掘,以获得携带不同攻击情报联动实体对应的攻击联动触发数据中的攻击联动价值信息以及攻击联动频繁项信息的攻击联动挖掘特征,其中,所述攻击联动价值信息用于表征在攻击联动过程中结合的攻击节点数量;
步骤A130,基于所述攻击联动挖掘特征确定用于进行安全防护固件更新的攻击联动触发数据,以基于所述用于进行安全防护固件更新的攻击联动触发数据对所述目标云端配置业务的安全防护固件进行对应配置文件的更新;其中,所述安全防护固件更新为针对与所述信息安全系统具有信息安全绑定关系的云端服务系统执行的进程。例如,可以基于用于进行安全防护固件更新的攻击联动触发数据中的相关攻击联动触发节点,针对性获取开发人员针对该攻击联动触发节点提交的更新配置文件,从而对所述目标云端配置业务的安全防护固件进行对应配置文件的更新。
一种示例性的设计思路中,步骤A110中从所述攻击联动知识图谱中获得每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据,包括:从所述攻击联动知识图谱中获得解析的每个攻击联动单元的第一攻击联动触发数据和每个攻击联动单元的第二攻击联动触发数据;第一攻击联动触发数据和第二攻击联动触发数据皆覆盖目标攻击联动活动,且目标攻击联动活动在所述第一攻击联动触发数据和第二攻击联动触发数据中的触发节点匹配,所述第一攻击联动触发数据为云端订阅系统对应的攻击联动触发数据,所述第二攻击联动触发数据为云端被订阅系统对应的攻击联动触发数据。
在此基础上,步骤A120对所述每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据进行特征挖掘,以获得携带不同攻击情报联动实体对应的攻击联动触发数据中的攻击联动价值信息以及攻击联动频繁项信息的攻击联动挖掘特征,包括:对第一攻击联动触发数据和第二攻击联动触发数据进行特征挖掘,以获得第三攻击联动触发数据以及目标攻击联动活动的目标触发节点信息,所述第三攻击联动触发数据汇聚了第一攻击联动触发数据的攻击联动价值信息和第二攻击联动触发数据的攻击联动频繁项信息.
在此基础上,步骤A130基于所述攻击联动挖掘特征确定用于进行安全防护固件更新的攻击联动触发数据,包括:从所述第二攻击联动触发数据中确定所述目标触发节点信息对应的共享攻击联动活动数据,获得每个攻击联动单元的第一共享攻击联动活动簇,对所述第一共享攻击联动活动簇执行路径拼接得到用于目标攻击联动活动分析的第四攻击联动触发数据。
一种示例性的设计思路中,对第一攻击联动触发数据和第二攻击联动触发数据进行特征挖掘,以获得第三攻击联动触发数据以及目标攻击联动活动的目标触发节点信息,包括:分别对所述第一攻击联动触发数据和第二攻击联动触发数据进行数据挖掘第五攻击联动触发数据和第六攻击联动触发数据,所述第五攻击联动触发数据为攻击联动价值数据,所述第六攻击联动触发数据为攻击联动频繁项数据;对所述第五攻击联动触发数据与所述第六攻击联动触发数据执行特征聚合得到聚合攻击联动触发数据;从所述聚合攻击联动触发数据中挖掘所述目标攻击联动活动在所述聚合攻击联动触发数据中的触发节点信息,从所述聚合攻击联动触发数据中确定挖掘的触发节点信息对应的共享攻击联动活动数据得到所述第三攻击联动触发数据,并将挖掘的触发节点信息确定为所述目标触发节点信息。
一种示例性的设计思路中,对所述第五攻击联动触发数据与所述第六攻击联动触发数据执行特征聚合得到聚合攻击联动触发数据,包括:获得所述第五攻击联动触发数据中的前向触发数据、后向触发数据和注意力触发数据,并获得所述第六攻击联动触发数据中的前向触发数据;聚合所述第五攻击联动触发数据与所述第六攻击联动触发数据中的前向触发数据得到目标前向触发数据;基于所述目标前向触发数据、所述第五攻击联动触发数据中的后向触发数据与注意力触发数据生成所述聚合攻击联动触发数据。
一种示例性的设计思路中,对第一攻击联动触发数据和第二攻击联动触发数据进行特征挖掘,以获得第三攻击联动触发数据以及目标攻击联动活动的目标触发节点信息,包括:分别对所述第一攻击联动触发数据和第二攻击联动触发数据进行数据挖掘的第五攻击联动触发数据和第六攻击联动触发数据,所述第五攻击联动触发数据为攻击联动价值数据,所述第六攻击联动触发数据为攻击联动频繁项数据;从所述第五攻击联动触发数据中挖掘所述目标攻击联动活动的触发节点信息,或者,从所述第六攻击联动触发数据中挖掘所述目标攻击联动活动的触发节点信息;分别从所述第五攻击联动触发数据、第六攻击联动触发数据中确定挖掘的触发节点信息对应的共享攻击联动活动数据,获得第二共享攻击联动活动簇和第三共享攻击联动活动簇,并将挖掘的触发节点信息视作所述目标触发节点信息;获得所述第二共享攻击联动活动簇中的前向触发数据、后向触发数据和注意力触发数据,并获得所述第三共享攻击联动活动簇中的前向触发数据;聚合所述第二共享攻击联动活动簇和第三共享攻击联动活动簇中的前向触发数据得到目标前向触发数据;基于所述目标前向触发数据、所述第二共享攻击联动活动簇中的后向触发数据与注意力触发数据生成所述第三攻击联动触发数据。
基于以上步骤,本实施例攻击联动挖掘特征结合了不同攻击情报联动实体对应的攻击联动触发数据中的攻击联动价值信息和攻击联动频繁项信息,基于攻击联动挖掘特征获取到的用于进行安全防护固件更新的攻击联动触发数据包括更可靠的安全防护固件更新的基础依据数据,在安全防护固件更新时综合分析了攻击联动价值信息以及攻击联动频繁项信息,由此提高安全防护固件更新的准确性。
图2示出了本申请实施例提供的用于实现上述的采用人工智能和大数据分析的安全情报分析方法的信息安全系统100的硬件结构意图,如图2所示,信息安全系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
一种可能的设计中,信息安全系统100可以是单个服务器,也可以是服务器组。所述服务器组可以是集中式的,也可以是分布式的(例如,信息安全系统100可以是分布式的系统)。在一些实施例中,信息安全系统100可以是本地的,也可以是远程的。例如,信息安全系统100可以经由网络访问存储于机器可读存储介质120中的信息和/或数据。又例如,信息安全系统100可以直接连接到机器可读存储介质120以访问存储的信息和/或数据。在一些实施例中,信息安全系统100可以在云平台上实施。仅作为示例,该云平台可以包括私有云、公共云、混合云、社区云、分布云、内部云、多层云等或其任意组合。
机器可读存储介质120可以存储数据和/或指令。在一些实施例中,机器可读存储介质120可以存储从外部终端获取的数据。在一些实施例中,机器可读存储介质120可以存储信息安全系统100用来执行或使用来完成本申请中描述的示例性方法的数据及/或指令。在一些实施例中,机器可读存储介质120可包括大容量存储器、可移动存储器、易失性读写存储器、只读存储器(ROM)等或其任意组合。示例性的大容量存储器可以包括磁盘、光盘、固态磁盘等。示例性可移动存储器可以包括闪存驱动器、软盘、光盘、存储卡、压缩盘、磁带等。示例性易失性读写存储器可以包括随机存取内存(RAM)。示例性RAM可包括主动随机存取存储器(DRAM)、双倍数据速率同步主动随机存取存储器(DDR SDRAM)、被动随机存取存储器(SRAM)、晶闸管随机存取存储器(T-RAM)和零电容随机存取存储器(Z-RAM)等。示例性只读存储器可以包括掩模型只读存储器(MROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(PEROM)、电可擦除可编程只读存储器(EEPROM)、光盘只读存储器(CD-ROM)和数字多功能磁盘只读存储器等。在一些实施例中,机器可读存储介质120可以在云平台上实现。仅作为示例,云平台可以包括私有云、公共云、混合云、社区云、分布云、内部云,多层云等,或其任意组合。
在具体实现过程中,一个或多个处理器110执行机器可读存储介质120存储的计算机可执行指令,使得处理器110可以执行如上方法实施例的采用人工智能和大数据分析的安全情报分析方法,处理器110、机器可读存储介质120以及通信单元140依据总线130连接,处理器110可以用于控制通信单元140的收发动作。
处理器110的具体实现过程可参见上述信息安全系统100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
此外,本申请实施例还提供一种可读存储介质,所述可读存储介质中预设有计算机可执行指令,当处理器执行所述计算机可执行指令时,实现如上采用人工智能和大数据分析的安全情报分析方法。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以依据程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:Read-only Memory,缩写:ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
其中,本说明书中的每个实施例均采用递进的方式描述,每个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种采用人工智能和大数据分析的安全情报分析方法,其特征在于,应用于所述信息安全系统,所述方法包括:
获取针对目标云端配置业务的安全事件大数据,并将所述安全事件大数据输入到安全情报分析模型中,获得所述目标云端配置业务对应的安全情报数据;
对所述安全情报数据进行基于攻击联动关系特征的特征提取,获得所述安全情报数据所对应的攻击情报联动关系特征;
基于所述安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于所述攻击联动知识图谱对所述目标云端配置业务的安全防护固件进行对应配置文件的更新。
2.根据权利要求1所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,所述安全情报分析模型的训练步骤,包括:
获取参考安全事件数据序列,所述参考安全事件数据序列中的参考安全事件数据包括前向参考域的携带情报安全事件数据和后向参考域的未携带情报安全事件数据,所述携带情报安全事件数据的携带参考情报表示所述携带情报安全事件数据中目标安全事件的安全情报数据;
基于所述参考安全事件数据对参考安全情报训练模型进行权重信息优化,其中,如果确定所述参考安全事件数据为所述携带情报安全事件数据,基于针对所述目标安全事件的安全情报分析数据和所述携带参考情报对所述参考安全情报训练模型进行权重信息优化以得到安全情报训练模型,所述参考安全情报训练模型包括用于深度挖掘所述参考安全事件数据的安全事件数据变量的深度挖掘分支,所述安全情报训练模型用于对所述后向参考域的安全事件数据进行所述目标安全事件的安全情报分析;
在所述权重信息优化的流程中,基于所述深度挖掘分支的第一挖掘单元的第一挖掘变量,依据第一应用场景预测分支确定所述第一挖掘变量对应的第一训练安全应用场景特征;
基于所述参考安全事件数据的实际安全应用场景特征和所述第一训练安全应用场景特征的特征区别信息确定第一模型训练代价值;
依据所述第一模型训练代价值更新所述第一应用场景预测分支的预测权重信息,并依据所述第一模型训练代价值的反向传播值更新所述第一挖掘单元的预测权重信息。
3.根据权利要求2所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,在所述权重信息优化的流程中,所述方法还包括:
基于所述深度挖掘分支的第二挖掘单元的第二挖掘变量,依据第二应用场景预测分支确定所述第二挖掘变量对应的第二训练安全应用场景特征;
基于所述参考安全事件数据的实际安全应用场景特征和所述第二训练安全应用场景特征的特征区别信息确定第二模型训练代价值;
依据所述第二模型训练代价值更新所述第二应用场景预测分支的预测权重信息,并依据所述第二模型训练代价值的反向传播值更新所述第二挖掘单元的预测权重信息;
其中,所述第一挖掘单元为集中变量挖掘单元,所述第二挖掘单元为全量变量挖掘单元;或者,所述第一挖掘单元为全量变量挖掘单元,所述第二挖掘单元为集中变量挖掘单元。
4.根据权利要求2所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,如果确定所述第一挖掘单元为集中变量挖掘单元,所述基于所述深度挖掘分支的第一挖掘单元的第一挖掘变量,依据第一应用场景预测分支确定所述第一挖掘变量对应的第一训练安全应用场景特征,包括:
基于所述深度挖掘分支的第一挖掘单元的第一挖掘变量,依据第一应用场景预测分支确定所述第一挖掘变量所包括挖掘知识点分别对应的挖掘知识点场景特征;
基于所述挖掘知识点场景特征确定所述第一训练安全应用场景特征。
5.根据权利要求2所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,所述方法还包括:
获取所述第一应用场景预测分支的第一挖掘单元变量;
基于所述第一挖掘单元变量和所述安全事件数据变量确定所述参考安全情报训练模型中安全情报训练分支的加载变量,依据所述安全情报训练分支确定针对所述目标安全事件的安全情报分析数据。
6.根据权利要求3所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,所述方法还包括:
获取所述第一应用场景预测分支的第一挖掘单元变量和所述第二应用场景预测分支的第二挖掘单元变量;
基于所述第一挖掘单元变量、所述第二挖掘单元变量和所述安全事件数据变量确定所述参考安全情报训练模型中安全情报训练分支的加载变量,依据所述安全情报训练分支确定针对所述目标安全事件的安全情报分析数据;
其中,所述基于针对所述目标安全事件的安全情报分析数据和所述携带参考情报对所述参考安全情报训练模型进行权重信息优化以得到安全情报训练模型,包括:
基于针对所述目标安全事件的安全情报分析数据和所述携带参考情报确定情报分析训练代价值;
基于所述情报分析训练代价值对所述参考安全情报训练模型、所述第一应用场景预测分支和所述第二应用场景预测分支进行权重信息优化。
7.根据权利要求2所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,所述参考安全情报训练模型中包括用于基于所述安全事件数据变量确定所述安全情报分析数据的安全情报训练分支,在所述权重信息优化的流程中,所述方法还包括:
获取所述安全情报训练分支的挖掘单元挖掘的情报定位点特征,所述情报定位点特征中包括了用于安全情报分析的情报定位点;
基于第三应用场景预测分支确定所述情报定位点特征对应的第三训练安全应用场景特征;
基于所述参考安全事件数据的实际安全应用场景特征和所述第三训练安全应用场景特征的特征区别信息确定第三模型训练代价值;
依据所述第三模型训练代价值更新所述第三应用场景预测分支的预测权重信息,并依据所述第三模型训练代价值的反向传播值更新所述安全情报训练分支的预测权重信息。
8.根据权利要求2-7任意一项所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,所述方法还包括:
针对所述后向参考域的安全情报分析需求,确定等待安全情报分析的所述目标安全事件;
基于所述目标安全事件确定具有所述目标安全事件的所述前向参考域;以及
获取针对所述前向参考域和所述后向参考域的安全事件场景转换模型;
依据所述安全事件场景转换模型将所述携带情报安全事件数据的安全事件场景从前向参考域转换到所述后向参考域,获得参考场景转换安全事件数据,所述参考场景转换安全事件数据的携带参考情报为转换前所述携带情报安全事件数据的携带参考情报;
基于所述参考场景转换安全事件数据对所述参考安全情报训练模型进行权重信息优化,获得依据安全事件场景的安全情报训练模型,所述依据安全事件场景的安全情报训练模型用于对所述后向参考域的安全事件数据进行安全情报分析;
其中,所述基于所述参考场景转换安全事件数据对所述参考安全情报训练模型进行权重信息优化,获得依据安全事件场景的安全情报训练模型,包括:
基于所述参考场景转换安全事件数据和所述携带情报安全事件数据对所述参考安全情报训练模型进行权重信息优化,获得所述依据安全事件场景的安全情报训练模型。
9.根据权利要求1-7任意一项所述的采用人工智能和大数据分析的安全情报分析方法,其特征在于,所述基于所述安全情报数据所对应的攻击情报联动关系特征构建攻击联动知识图谱,并基于所述攻击联动知识图谱对所述目标云端配置业务的安全防护固件进行对应配置文件的更新的步骤,包括:
从所述安全情报数据所对应的攻击情报联动关系特征中获得每个攻击情报联动实体以及每个攻击情报联动实体之间的关系特征属性,并基于所述每个攻击情报联动实体以及每个攻击情报联动实体之间的关系特征属性构建对应的攻击联动知识图谱,从所述攻击联动知识图谱中获得每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据;
对所述每个攻击联动单元下的不同攻击情报联动实体对应的攻击联动触发数据进行特征挖掘,以获得携带不同攻击情报联动实体对应的攻击联动触发数据中的攻击联动价值信息以及攻击联动频繁项信息的攻击联动挖掘特征,其中,所述攻击联动价值信息用于表征在攻击联动过程中结合的攻击节点数量;
基于所述攻击联动挖掘特征确定用于进行安全防护固件更新的攻击联动触发数据,以基于所述用于进行安全防护固件更新的攻击联动触发数据对所述目标云端配置业务的安全防护固件进行对应配置文件的更新;其中,所述安全防护固件更新为针对与所述信息安全系统具有信息安全绑定关系的云端服务系统执行的进程。
10.一种信息安全系统,其特征在于,所述信息安全系统包括处理器,适于实现一条或多条指令;以及,计算机存储介质,所述计算机存储介质存储有一条或多条指令;其中,所述一条或多条指令适于由所述处理器加载并执行权利要求1-9中任意一项的采用人工智能和大数据分析的安全情报分析方法。
CN202210249067.3A 2022-03-15 2022-03-15 采用人工智能和大数据分析的安全情报分析方法及系统 Pending CN115037497A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210249067.3A CN115037497A (zh) 2022-03-15 2022-03-15 采用人工智能和大数据分析的安全情报分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210249067.3A CN115037497A (zh) 2022-03-15 2022-03-15 采用人工智能和大数据分析的安全情报分析方法及系统

Publications (1)

Publication Number Publication Date
CN115037497A true CN115037497A (zh) 2022-09-09

Family

ID=83119899

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210249067.3A Pending CN115037497A (zh) 2022-03-15 2022-03-15 采用人工智能和大数据分析的安全情报分析方法及系统

Country Status (1)

Country Link
CN (1) CN115037497A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115550077A (zh) * 2022-12-02 2022-12-30 宁波华自智能科技有限公司 一种实时在线检测危险源数据并触发自动防御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115550077A (zh) * 2022-12-02 2022-12-30 宁波华自智能科技有限公司 一种实时在线检测危险源数据并触发自动防御方法

Similar Documents

Publication Publication Date Title
CN111401558A (zh) 数据处理模型训练方法、数据处理方法、装置、电子设备
Dufrenot et al. The trade-growth nexus in the developing countries: A quantile regression approach
CN111681091B (zh) 基于时间域信息的金融风险预测方法、装置及存储介质
CN112749749B (zh) 基于分类决策树模型的分类方法、装置及电子设备
WO2021174827A1 (zh) 文本生成方法、装置、计算机设备及可读存储介质
Tian et al. MANE: Model-agnostic non-linear explanations for deep learning model
CN114531298B (zh) 基于ai和大数据分析的威胁漏洞预测方法及云端ai系统
CN111371767A (zh) 恶意账号识别方法、恶意账号识别装置、介质及电子设备
CN113706180B (zh) 欺诈社团识别方法及系统
CN112241549B (zh) 安全的隐私计算方法、服务器、系统以及存储介质
KR102330423B1 (ko) 이미지 인식 딥러닝 알고리즘을 이용한 온라인 부도 예측 시스템
KR102429372B1 (ko) 3d 시뮬레이터 기반의 과실비율 산정 장치 및 방법
CN109711974A (zh) 贷款产品自动匹配方法、装置、计算机设备和存储介质
CN113221104A (zh) 用户异常行为的检测方法及用户行为重构模型的训练方法
CN115037497A (zh) 采用人工智能和大数据分析的安全情报分析方法及系统
CN109377347B (zh) 基于特征选择的网络信用预警方法、系统及电子设备
Khan et al. Enhancement of neural networks model’s predictions of currencies exchange rates by phase space reconstruction and Harris Hawks’ optimization
Zhang et al. C 3-GAN: Complex-Condition-Controlled Urban Traffic Estimation through Generative Adversarial Networks
CN113689291A (zh) 基于异常移动的反欺诈识别方法及系统
CN115049397A (zh) 识别社交网络中的风险账户的方法及装置
CN115086002A (zh) 网络安全防护方法及系统
CN115482084A (zh) 用于生成风控规则集的方法及装置
CN115328786A (zh) 一种基于区块链的自动化测试方法、装置和存储介质
CN115526315A (zh) 评分卡模型的生成方法和装置
CN113159778B (zh) 一种金融欺诈的检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230109

Address after: 271000 No. 53 Wenquan Road, Taishan District, Tai'an City, Shandong Province

Applicant after: Ren Zhigui

Address before: No. WG120, Taoyuan Cyberport, Mengshan Avenue, Lanshan District, Linyi City, Shandong Province, 276000

Applicant before: Linyi Sorbond Electronics Co.,Ltd.

RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20220909