CN115065545B - 基于大数据威胁感知的安全防护构建方法及ai防护系统 - Google Patents

基于大数据威胁感知的安全防护构建方法及ai防护系统 Download PDF

Info

Publication number
CN115065545B
CN115065545B CN202210785999.XA CN202210785999A CN115065545B CN 115065545 B CN115065545 B CN 115065545B CN 202210785999 A CN202210785999 A CN 202210785999A CN 115065545 B CN115065545 B CN 115065545B
Authority
CN
China
Prior art keywords
attack
threat
target
information
learned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210785999.XA
Other languages
English (en)
Other versions
CN115065545A (zh
Inventor
李刚强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Haibo Technology Information System Co ltd
Original Assignee
Shandong Haibo Technology Information System Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Haibo Technology Information System Co ltd filed Critical Shandong Haibo Technology Information System Co ltd
Priority to CN202210785999.XA priority Critical patent/CN115065545B/zh
Publication of CN115065545A publication Critical patent/CN115065545A/zh
Application granted granted Critical
Publication of CN115065545B publication Critical patent/CN115065545B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例提供一种基于大数据威胁感知的安全防护构建方法及AI防护系统,通过对威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,将每个威胁感知事件和对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元,基于每个目标威胁情景标签的威胁感知事件单元,结合威胁情景知识图谱进行威胁感知事件单元之间的知识关系构建,并由此进行安全防护强化构建,可以提高对复杂威胁事件的安全防护能力。

Description

基于大数据威胁感知的安全防护构建方法及AI防护系统
技术领域
本申请涉及大数据技术领域,具体而言,涉及一种基于大数据威胁感知的安全防护构建方法及AI防护系统。
背景技术
网络化信息时代已经不可逆转,几乎各行各业都与之联系,借因特网来运营、宣传、发展,不和网络挂钩的企业终究会被大趋势所淘汰。当互联网服务提供商庆幸因特网给带来的巨大利润与盈利的同时,各种各样的网络安全问题也给互联网服务提供商警示,大量互联网服务器成为被攻击对象,信息隐私与资金安全得不到保障,因此必须重视信息安全问题,重点是构建信息安全防护体系。相关技术中,通过结合威胁感知数据进行针对性的安全防护构建是较为通用的技术手段,然而目前的大多数相关方案都缺乏对复杂威胁事件的安全防护能力。
发明内容
第一方面,本申请提供一种基于大数据威胁感知的安全防护构建方法,应用于AI防护系统,所述AI防护系统与多个威胁感知系统通信连接,所述方法包括:
获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件,并对所述威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,将每个所述威胁感知事件和所述对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元;
基于每个目标威胁情景标签的威胁感知事件单元,以及预先配置的由各个威胁情景标签构成的威胁情景知识图谱,构建每个威胁感知事件单元之间的知识关系;
基于所述每个威胁感知事件单元之间的知识关系以及每个威胁感知事件单元的攻击意图特征,对所述威胁感知进程关联的安全防护进程进行安全防护强化构建。
第二方面,本申请实施例还提供一种基于大数据威胁感知的安全防护构建系统,所述基于大数据威胁感知的安全防护构建系统包括AI防护系统以及与所述AI防护系统通信连接的多个威胁感知系统;
所述AI防护系统,用于:
获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件,并对所述威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,将每个所述威胁感知事件和所述对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元;
基于每个目标威胁情景标签的威胁感知事件单元,以及预先配置的由各个威胁情景标签构成的威胁情景知识图谱,构建每个威胁感知事件单元之间的知识关系;
基于所述每个威胁感知事件单元之间的知识关系以及每个威胁感知事件单元的攻击意图特征,对所述威胁感知进程关联的安全防护进程进行安全防护强化构建。
采用上述任一方面的技术方案,通过对威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,将每个威胁感知事件和对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元,基于每个目标威胁情景标签的威胁感知事件单元,以及预先配置的由各个威胁情景标签构成的威胁情景知识图谱,构建每个威胁感知事件单元之间的知识关系,基于每个威胁感知事件单元之间的知识关系以及每个威胁感知事件单元的攻击意图特征,对威胁感知进程关联的安全防护进程进行安全防护强化构建,从而对威胁感知事件进行关联衍生扩充后,结合威胁情景知识图谱进行威胁感知事件单元之间的知识关系构建,并由此进行安全防护强化构建,可以提高对复杂威胁事件的安全防护能力。
附图说明
图1为本发明实施例提供的基于大数据威胁感知的安全防护构建方法的流程示意图。
具体实施方式
下面介绍本发明一种实施例提供的基于大数据威胁感知的安全防护构建系统10的架构,该基于大数据威胁感知的安全防护构建系统10可以包括AI防护系统100以及与AI防护系统100通信连接的威胁感知系统200。其中,基于大数据威胁感知的安全防护构建系统10中的AI防护系统100和威胁感知系统200可以通过配合执行以下方法实施例所描述的基于大数据威胁感知的安全防护构建方法,具体AI防护系统100和威胁感知系统200的执行步骤部分可以参照以下方法实施例的详细描述。
本实施例提供的基于大数据威胁感知的安全防护构建方法可以由AI防护系统100执行,下面结合图1对该基于大数据威胁感知的安全防护构建方法进行详细介绍。
Process100,获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件,并对所述威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,将每个所述威胁感知事件和所述对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元。
本实施例中,威胁感知进程可以基于预先定义的威胁感知策略对外部访问的访问事件进行威胁感知,并进行大数据统计以获得威胁感知大数据,威胁感知大数据可以包括一个或者多个威胁感知事件。在此基础上,考虑到后续安全防护强化构建需要结合更多的攻击意图特征,因此还需要进一步对所述威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,并将每个所述威胁感知事件和所述对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元。
Process200,基于每个目标威胁情景标签的威胁感知事件单元,以及预先配置的由各个威胁情景标签构成的威胁情景知识图谱,构建每个威胁感知事件单元之间的知识关系。
本实施例中,可以预先配置由各个威胁情景标签构成的威胁情景知识图谱,威胁情景知识图谱可以实时反映各个威胁情景标签之间的威胁关联关系,进而可以基于各个威胁情景标签之间的威胁关联关系同步构建每个威胁感知事件单元之间的知识关系,例如威胁情景标签A与威胁情景标签B之间的威胁关联关系为:威胁情景标签A为威胁情景标签B的前置触发标签,那么可以确定威胁情景标签A的威胁感知事件单元为威胁情景标签B的威胁感知事件单元的前置触发攻击单元。
Process300,基于所述每个威胁感知事件单元之间的知识关系以及每个威胁感知事件单元的攻击意图特征,对所述威胁感知进程关联的安全防护进程进行安全防护强化构建。
本实施例中,可以将每个威胁感知事件单元输入到预先训练的攻击意图特征挖掘模型中,确定每个威胁感知事件单元的攻击意图特征,其中,攻击意图特征可以用于反映每个威胁感知事件单元的攻击意图构成的序列。在此基础上,可以从预先配置的特征规则库中获取每个威胁感知事件单元的攻击意图特征匹配的特征规则信息,然后结合所述每个威胁感知事件单元之间的知识关系对每个特征规则信息进行关系连接,从而输出目标特征规则信息,进而基于目标特征规则信息所述威胁感知进程关联的安全防护进程进行安全防护强化构建。
其中,攻击意图特征挖掘模型可以基于预先搜集的威胁感知事件单元样本和对应的先验攻击意图特征进行训练获得,例如可以将威胁感知事件单元样本输入到初始化攻击意图特征挖掘模型中获得预测攻击意图特征,然后比较预测攻击意图特征和先验攻击意图特征之间的损失函数值,并基于损失函数值进行反向传播训练以调整初始化攻击意图特征挖掘模型的模型权重参数,进而进行迭代训练优化后输出该攻击意图特征挖掘模型,以使得该攻击意图特征挖掘模型具有较为精确的攻击意图特征挖掘能力。
基于以上步骤,本实施例通过对威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,将每个威胁感知事件和对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元,基于每个目标威胁情景标签的威胁感知事件单元,以及预先配置的由各个威胁情景标签构成的威胁情景知识图谱,构建每个威胁感知事件单元之间的知识关系,基于每个威胁感知事件单元之间的知识关系以及每个威胁感知事件单元的攻击意图特征,对威胁感知进程关联的安全防护进程进行安全防护强化构建,从而对威胁感知事件进行关联衍生扩充后,结合威胁情景知识图谱进行威胁感知事件单元之间的知识关系构建,并由此进行安全防护强化构建,可以提高对复杂威胁事件的安全防护能力。
一种示例性的设计思路中,针对前述的Process100中,获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件,并对所述威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件的具体实施方式,可以参见下述描述。
Process101,获取获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件对应的目标入侵攻击情报,分析威胁感知事件所关联的目标威胁情景标签、目标入侵攻击情报对应的目标攻击渗透变量以及目标攻击成分标签。
一些示例性的设计思路中,威胁感知大数据可以包括基于应用蜜罐、虚拟系统、虚拟网络等多种方式的主动、积极、欺骗性质的网络安全检测数据,该威胁感知事件可以是指某一轮探测到的网络安全风险行为所对应的网络安全监测数据,相关技术中,为了便于后续威胁感知事件的关联性分析和挖掘,对于各个威胁感知数据,需要分析是否存在与其它威胁感知数据关联甚至相同的威胁感知字段数据,进而便于结合多种关联的威胁感知数据进行综合性的特征性分析,如攻击源特征、攻击目的特征等。
其中,对于威胁感知事件,需要分析是否存在与之存在关联威胁感知数据(是否存在与之具有关联威胁感知字段数据或相同威胁感知字段数据的威胁感知数据),如果存在,则该关联威胁感知数据即可作为该威胁感知事件的关联威胁感知数据。
一些示例性的设计思路中,在获取到威胁感知事件的目标入侵攻击情报后,可以识别威胁感知事件所关联的目标威胁情景标签、目标入侵攻击情报对应的目标攻击渗透变量以及目标攻击成分标签,其中,威胁情景标签可以是指该某个威胁感知数据所关联的场景类别(如设备接入场景类别)等;攻击成分标签可以是指某个入侵攻击情报包含的攻击成分所关联的攻击类别(如篡改攻击类别),攻击渗透变量可以是指攻击位置响应变量(如针对某几个关联业务数据段的)。其中,本实施例的威胁情景标签与攻击成分标签是两种不同维度的标签。
一些示例性的设计思路中,对于威胁感知事件所关联的目标威胁情景标签、目标入侵攻击情报对应的目标攻击渗透变量以及目标攻击成分标签的分析,可以通过威胁分析网络模型进行分析,其具体实现方式可为:可以将目标入侵攻击情报加载到威胁分析网络模型中,通过威胁分析网络模型中的攻击状态描述编码分支,可以提取目标入侵攻击情报对应的攻击状态描述;随后,可以将攻击状态描述加载到威胁分析网络模型中的攻击渗透编码分支,通过攻击渗透编码分支与攻击状态描述,可以确定目标入侵攻击情报对应的攻击位置响应变量,可以将攻击位置响应变量输出为目标攻击渗透变量;同时,可以将攻击状态描述加载到威胁分析网络模型中的攻击成分标签决策分支,通过攻击成分标签决策分支与攻击状态描述,可以确定目标入侵攻击情报对应的目标攻击成分标签;将攻击状态描述加载到威胁分析网络模型中的威胁情景标签决策分支,通过威胁情景标签决策分支与攻击状态描述,可以确定威胁感知事件所关联的目标威胁情景标签。
其中,以目标入侵攻击情报的数量为L个,L个目标入侵攻击情报中包括目标入侵攻击情报Wx,上述攻击状态描述包括该目标入侵攻击情报Wx对应的攻击状态描述Kx(L、x均为正整数)为例,对于通过威胁情景标签决策分支与攻击状态描述,确定威胁感知事件所关联的目标威胁情景标签的一种示例性的设计思路可以是:通过威胁情景标签决策分支与目标入侵攻击情报Wx对应的攻击状态描述Kx,可以确定目标入侵攻击情报Wx对应的情报威胁情景标签;依据确定目标入侵攻击情报Wx对应的情报威胁情景标签的方式,也可以确定出L个目标入侵攻击情报中除目标入侵攻击情报Wx以外的其它目标入侵攻击情报的情报威胁情景标签,当确定出L个目标入侵攻击情报分别对应的情报威胁情景标签时,可以依据L个情报威胁情景标签对L个目标入侵攻击情报进行聚类,输出K个入侵攻击情报序列;其中,每个入侵攻击情报序列中包含的目标入侵攻击情报所关联的情报威胁情景标签为相同标签;K为正整数;随后,可以统计K个入侵攻击情报序列中,每个入侵攻击情报序列所分别包含的目标入侵攻击情报的数量,输出K个情报数量;可以在K个情报数量中获取最大情报数量,随后即可将最大情报数量对应的入侵攻击情报序列,输出为目标入侵攻击情报序列;进一步地,可以将目标入侵攻击情报序列中包含的目标入侵攻击情报所关联的情报威胁情景标签,输出为威胁感知事件所关联的目标威胁情景标签。
其中,对于威胁感知事件所关联的目标威胁情景标签的识别,通过本实施例的威胁分析网络模型,可以识别每个目标入侵攻击情报的威胁情景标签(可称之为情报威胁情景标签),随后,可以将L个目标入侵攻击情报中属于同一情报威胁情景标签的目标入侵攻击情报,划分到一个序列中(即入侵攻击情报序列),可以统计每个入侵攻击情报序列中包含的目标入侵攻击情报的数量,输出情报数量,可将最大情报数量对应的入侵攻击情报序列,输出为目标入侵攻击情报序列,而该目标入侵攻击情报序列包含的目标入侵攻击情报所关联的情报威胁情景标签,即可为该威胁感知事件所关联的目标威胁情景标签。
Process102,在威胁关联指导参数库中,查找目标威胁情景标签以及目标攻击成分标签共同表征的目标关联指导信息;威胁关联指导参数库包括威胁情景构建标签序列、攻击成分构建标签序列以及关联指导信息序列之间的映射关系,威胁情景构建标签序列中的一个威胁情景构建标签、攻击成分构建标签序列中的一个攻击成分构建标签与关联指导信息序列中的一个关联指导构建信息之间具有映射关系;一个关联指导构建信息表征具有对应的威胁情景构建标签和对应的攻击成分构建标签的入侵攻击情报的攻击渗透变量的关联依据。
一些示例性的设计思路中,可以为不同的威胁情景标签与不同的攻击成分标签,构建不同的关联指导信息,由此可以得到威胁关联指导参数库。其中,为某个威胁情景标签与某个攻击成分标签关联指导构建信息时,每个关联指导信息表征一个关联依据,当为某个威胁情景标签与某个入侵攻击情报关联指导构建信息时,该威胁情景标签即可称之为威胁情景构建标签,该攻击成分标签可称之为攻击成分构建标签,所构建的关联指导信息可称之为关联指导构建信息。通过构建后,即可得到一个威胁关联指导参数库,该威胁关联指导参数库中包括有为各个威胁情景标签与各个攻击成分标签所构建的关联指导信息,本申请可以在为某个威胁情景标签与某个攻击成分标签关联指导构建信息后,可以确定该关联指导信息与该威胁情景标签与该攻击成分标签具有映射关系,那么该威胁关联指导参数库即可包括威胁情景构建标签序列、攻击成分标签序列与关联指导信息序列之间的映射关系,且一个威胁情景构建标签、一个攻击成分标签与一个关联指导信息之间具有映射关系。
其中,在比对两个威胁感知数据是否为关联威胁感知数据时,可以依据威胁感知数据的入侵攻击情报来进行比对,而例如,本申请可以依据入侵攻击情报的攻击渗透变量来进行比对。例如,若要比对两个入侵攻击情报是否关联,可以确定两个入侵攻击情报之间的攻击渗透变量的关联度,若关联度大于门限关联度,则可以将这两个入侵攻击情报输出为关联入侵攻击情报。相对应地,本实施例的每个关联指导构建信息可以包括构建门限关联度,该构建门限关联度即可表征具有其对应的威胁情景标签与攻击成分标签的入侵攻击情报的攻击渗透变量的关联依据(如大于该构建门限关联度),只有两个攻击渗透变量之间的关联度大于该构建门限关联度时,才可以确定两个攻击渗透变量存在关联(为关联攻击渗透变量),其对应的两个入侵攻击情报为关联入侵攻击情报。其中,本申请可以确定两个攻击渗透变量之间的欧式距离,基于该欧式距离即可确定两个攻击渗透变量之间的关联度,欧式距离越大,表示两个攻击渗透变量之间越不关联;那么相应的,该关联指导构建信息可以包括欧式距离阈值,该关联指导构建信息反映的关联依据可为(两个攻击渗透变量之间的欧式距离小于该距离阈值时,确定两个入侵攻击情报关联)。
威胁分析网络模型可以识别每一个目标入侵攻击情报对应的情报威胁情景标签,但是当基于每个目标入侵攻击情报的情报威胁情景标签确定出威胁感知事件所关联的目标威胁情景标签时,本申请可以将所有目标入侵攻击情报所关联的情报威胁情景标签,均调整为该目标威胁情景标签(即每个目标入侵攻击情报所对应的情报威胁情景标签均为该目标威胁情景标签,在使用关联指导信息时,也是该目标威胁情景标签来确定某个目标入侵攻击情报的关联指导信息)。
Process103,基于目标攻击渗透变量与目标关联指导信息,在参考攻击渗透变量序列中获得与目标攻击渗透变量存在关联的关联攻击渗透变量;参考攻击渗透变量序列是由衍生威胁感知事件序列中,每个衍生威胁感知事件所分别对应的攻击渗透变量构成的序列。
一些示例性的设计思路中,以关联指导信息序列中的每个关联指导构建信息包括构建门限关联度,目标关联指导信息包括目标门限关联度为例,对于基于目标攻击渗透变量与目标关联指导信息,在参考攻击渗透变量序列中获得与目标攻击渗透变量存在关联的关联攻击渗透变量的一种示例性的设计思路可以是:可以确定目标攻击渗透变量分别与参考攻击渗透变量序列中,每个参考攻击渗透变量之间的关联度量值,由此可以得到关联度量值序列;随后,可以将关联度量值序列中,大于目标门限关联度的关联度量值,输出为目标关联度量值;可以将目标关联度量值对应的参考攻击渗透变量,输出为与目标攻击渗透变量存在关联的关联攻击渗透变量。
其中,对于关联度量值,可以依据目标攻击渗透变量与参考攻击渗透变量之间的欧式距离所确定,一个欧式距离可以表征一个关联度量值,欧式距离越大,关联度量值越小。对于关联度量值的具体确定方式,本申请不进行限制。
其中,可以在先创建威胁感知数据查找库,对于当前已经获取到的威胁感知数据,可以将之存放至威胁感知数据查找库中作为候选威胁感知数据(也可称之为衍生威胁感知事件),而对于每个衍生威胁感知事件,可以获取到其对应的入侵攻击情报的攻击渗透变量、每个入侵攻击情报的攻击成分标签以及衍生威胁感知事件所关联的威胁情景标签,可以一并将每个衍生威胁感知事件的多个攻击渗透变量、每个入侵攻击情报对应的攻击成分标签(实际上也可理解为每个攻击渗透变量对应的攻击成分标签)、以及衍生威胁感知事件所关联的威胁情景标签均存放至威胁感知数据查找库中,并将每个衍生威胁感知事件的多个攻击渗透变量、每个入侵攻击情报对应的攻击成分标签衍生威胁感知事件所关联的威胁情景标签分别与该衍生威胁感知事件之间建立一个查找标识关系,由此,获取到某个信息时,即可基于该查找标识关系索引到其它信息。同时,对于每个衍生威胁感知事件,也可以将其每个攻击渗透变量所对应的入侵攻击情报的时空域、以及该衍生威胁感知事件的总攻击链节点数量一并存放至威胁感知数据查找库中,以便于后续处理。其中,当某个衍生威胁感知事件的多个攻击渗透变量、每个入侵攻击情报对应的攻击成分标签(实际上也可理解为每个攻击渗透变量对应的攻击成分标签)、以及衍生威胁感知事件所关联的威胁情景标签均存放至威胁感知数据查找库中后,其攻击渗透变量可以称之为候选攻击渗透变量或参考攻击渗透变量,其攻击成分标签可称之为候选攻击成分标签,其威胁情景标签可称之为候选威胁情景标签。而本实施例的参考攻击渗透变量序列即可为各个衍生威胁感知事件分别对应的参考攻击渗透变量构成的序列。
Process104,基于关联攻击渗透变量以及目标攻击渗透变量,在衍生威胁感知事件序列中确定关联衍生威胁感知事件。
一些示例性的设计思路中,结合以上实施例,一个目标入侵攻击情报对应的目标攻击渗透变量,可以匹配一个或多个候选攻击渗透变量,即一个目标攻击渗透变量可以与一个或多个关联攻击渗透变量存在关联上,那么这里将以目标入侵攻击情报的数量为L个,目标入侵攻击情报对应的目标攻击渗透变量包括L(L为正整数)个目标入侵攻击情报分别对应的目标攻击渗透变量(即包括L个目标攻击渗透变量),关联攻击渗透变量的数量为R(R为正整数)个,R个关联攻击渗透变量由与L个目标攻击渗透变量分别存在关联的关联攻击渗透变量构成为例,对确定关联衍生威胁感知事件的具体方式进行说明。对于基于关联攻击渗透变量以及目标攻击渗透变量,在衍生威胁感知事件序列中确定关联衍生威胁感知事件的一种示例性的设计思路可以是,可以在衍生威胁感知事件序列中,获取R个关联攻击渗透变量分别所关联的衍生威胁感知事件;随后,可以依据R个关联攻击渗透变量分别所关联的衍生威胁感知事件,对R个关联攻击渗透变量进行分类,由此可以得到H个关联特征序列;其中,每个关联特征序列中包含的关联攻击渗透变量所关联的衍生威胁感知事件为相关联威胁感知数据;这里以H个关联特征序列中包括关联特征序列Gy(H、y均为正整数)为例;可以统计关联特征序列Gy中包含的关联攻击渗透变量的关联数量(可称之为第一关联数量),基于第一关联数量以及L个目标攻击渗透变量,即可确定关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息(其中,关联特征序列Gy所映射的衍生威胁感知事件,即为关联特征序列Gy中包含的关联攻击渗透变量所关联的衍生威胁感知事件);同理,依据确定关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息的方式,可以确定出H个关联特征序列中,除关联特征序列Gy以外的其它各个关联特征序列分别所映射的衍生威胁感知事件的关联评估信息,在确定出H个关联特征序列分别所映射的衍生威胁感知事件的关联评估信息时,可以将H个关联特征序列分别所映射的衍生威胁感知事件中的关联评估信息为有效关联状态的衍生威胁感知事件,输出为关联衍生威胁感知事件。
其中,以关联特征序列Gy中包含的关联攻击渗透变量包括第一关联攻击渗透变量与第二关联攻击渗透变量为例,对于基于第一关联数量以及L个目标攻击渗透变量,确定关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息的一种示例性的设计思路可以是:可以在L个目标攻击渗透变量中,获取与第一关联攻击渗透变量存在关联的第一目标攻击渗透变量,以及与第二关联攻击渗透变量存在关联的第二目标攻击渗透变量;随后,可以将第一目标攻击渗透变量与第二目标攻击渗透变量所包含的全局数量,输出为第二关联数量;基于第一关联数量、第二关联数量以及威胁感知事件,可以确定关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息。
其中,对于基于第一关联数量、第二关联数量以及威胁感知事件,确定关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息的一种示例性的设计思路可以是:可以获取关联特征序列Gy所映射的衍生威胁感知事件所对应的第一攻击链节点数量,以及威胁感知事件对应的第二攻击链节点数量;随后,可以确定第一关联数量与第一攻击链节点数量之间的第一比较系数值,以及第二关联数量与第二攻击链节点数量之间的第二比较系数值;若第一比较系数值与第二比较系数值中存在至少一个比较系数值大于设定系数值,则可以将关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息,输出为有效关联状态;而若述第一比较系数值与第二比较系数值均小于设定系数值,则可以将关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息,输出为无效关联状态。
其中,当确定出R个关联攻击渗透变量时,可以在上述威胁感知数据查找库中,依据查找标识关系获取到R个关联攻击渗透变量分别所关联的衍生威胁感知事件(可称之为初始关联威胁感知数据),而基于各个关联攻击渗透变量所关联的衍生威胁感知事件,可以统计出每个初始关联威胁感知数据被匹配上了多少个攻击渗透变量。其具体统计方式即可为,可以依据R个关联攻击渗透变量分别所关联的衍生威胁感知事件,对所述R个关联攻击渗透变量进行分类,即将属于同一个衍生威胁感知事件的关联攻击渗透变量划分到一个关联特征序列中,由此可以得到H个关联特征序列,而一个关联特征序列中包含的关联攻击渗透变量的全局数量,即为某个初始关联威胁感知数据被匹配上的攻击渗透变量的数量。对于某个初始关联威胁感知数据(如关联特征序列Gy所映射的衍生威胁感知事件),可以基于其被匹配上的关联攻击渗透变量的全局数量(可称之为第一关联数量),以及L个目标攻击渗透变量来进一步确定其是否为关联衍生威胁感知事件。
例如,这里为便于阐述,将关联特征序列Gy所映射的衍生威胁感知事件称之为初始威胁感知数据C,本申请可以在L个目标攻击渗透变量中,获取到与该初始威胁感知数据C的各个关联攻击渗透变量所匹配上的目标攻击渗透变量(如上述第一目标攻击渗透变量与第二目标攻击渗透变量)。例如,初始威胁感知数据C的关联攻击渗透变量包括关联攻击渗透变量1、关联攻击渗透变量5、关联攻击渗透变量9,而在L个目标攻击渗透变量中,与关联攻击渗透变量1匹配上的目标攻击渗透变量为目标攻击渗透变量1、与关联攻击渗透变量5匹配上的目标攻击渗透变量也为目标攻击渗透变量1、与关联攻击渗透变量9匹配上的目标攻击渗透变量为目标攻击渗透变量3,那么获取到的与该初始威胁感知数据C的各个关联攻击渗透变量所匹配上的目标攻击渗透变量即可包括目标攻击渗透变量1与目标攻击渗透变量3。可以统计出所匹配上的目标攻击渗透变量的全局数量为2,该全局数量即可为第二关联数量。可以在威胁感知数据查找库中获取到初始威胁感知数据C的总攻击链节点数量(该总攻击链节点数量可称之为第一攻击链节点数量),也可以获取到威胁感知事件的总攻击链节点数量(该总攻击链节点数量可称之为第二攻击链节点数量),可以基于上述第一关联数量与初始威胁感知数据C的总攻击链节点数量,确定初始威胁感知数据C的关联系数(即第一比较系数值,第一关联数量/第一攻击链节点数量),还可以基于上述第二关联数量与威胁感知事件的总攻击链节点数量,确定威胁感知事件的关联系数(即第二比较系数值,第二关联数量/第二攻击链节点数量)。若第一比较系数值大于设定系数值(可为认为预设值)且第二比较系数值大于设定系数值,则可以表示该初始威胁感知数据C的关联评估信息为有效关联状态,即初始威胁感知数据C为关联衍生威胁感知事件。若第一比较系数值大于设定系数值(可为认为预设值)且第二比较系数值小于设定系数值,也可以表示该初始威胁感知数据C的关联评估信息为有效关联状态,即初始威胁感知数据C为关联衍生威胁感知事件;若第一比较系数值小于设定系数值(可为认为预设值)且第二比较系数值大于设定系数值,也可以表示该初始威胁感知数据C的关联评估信息为有效关联状态,即初始威胁感知数据C为关联衍生威胁感知事件。
其中,通过上述不同威胁情景标签、不同攻击成分标签的定制化关联指导信息,可以实现为不同攻击成分标签进行针对性地匹配,可以很好地提高匹配准确性;同时,即使存在更新的威胁情景标签或攻击成分标签,也能快速的为该威胁情景标签以及该攻击成分标签进行关联指导信息的构建并快速更新威胁关联指导参数库,进而可以快速地扩展新威胁情景标签。
其中,本申请可以在威胁关联指导参数库中为其它威胁情景标签(当前未考虑到的威胁情景标签,可称之为扩充威胁情景标签)或其它攻击成分标签(当前未考虑到的攻击成分标签,可称之为扩充攻击成分标签)的关联指导信息,对于某个目标入侵攻击情报,当确定出对应的目标威胁情景标签与目标攻击成分标签时,假设威胁关联指导参数库中不存在该目标威胁情景标签与该目标攻击成分标签对应的目标关联指导信息,若该威胁关联指导参数库中存在该目标威胁情景标签,但不存在该目标威胁情景标签下的目标攻击成分标签对应的目标关联指导信息,则可以在威胁关联指导参数库中获取到该目标威胁情景标签下的扩充攻击成分标签的关联指导信息,可以将该关联指导信息作为目标关联指导信息;若该威胁关联指导参数库中不存在该目标威胁情景标签,则可以将扩充威胁情景标签下的扩充攻击成分标签的关联指导构建信息,作为目标关联指导信息。
基于以上步骤,为不同威胁情景标签与攻击成分标签,构建了不同的关联指导信息,从而构建得到一个威胁关联指导参数库,该威胁关联指导参数库中包含有一个威胁情景构建标签、一个攻击成分构建标签与一个关联指导构建信息之间的映射关系;其中,一个关联指导构建信息表征具有对应的威胁情景构建标签和对应的攻击成分构建标签的入侵攻击情报的攻击渗透变量的关联依据。那么当在获取到威胁感知事件时,在针对该威胁感知事件的匹配流程中,可以先识别该威胁感知事件的目标威胁情景标签、目标入侵攻击情报所对应的目标攻击渗透变量以及目标攻击成分标签,随后即可在威胁关联指导参数库中获取到该目标威胁情景标签与该目标攻击成分标签共同表征的目标关联指导信息,基于该目标关联指导信息,即可在参考攻击渗透变量序列中获得与该目标攻击渗透变量存在关联的关联攻击渗透变量,而该关联攻击渗透变量与该目标攻击渗透变量之间是满足于该目标关联指导信息所反映的关联依据的;由于参考攻击渗透变量序列是由衍生威胁感知事件序列中,每个衍生威胁感知事件所分别对应的攻击渗透变量构成的序列,那么通过该关联攻击渗透变量以及该目标攻击渗透变量,即可在衍生威胁感知事件序列中确定出关联衍生威胁感知事件,该关联衍生威胁感知事件即为匹配到的针对该威胁感知事件的关联威胁感知数据。同时利用到威胁感知数据的威胁情景标签信息、威胁感知数据的入侵攻击情报的攻击成分标签信息以及攻击渗透变量信息,通过为不同威胁情景标签以及不同攻击成分标签构建不同的关联指导信息,依据关联指导信息可以查找到符合该攻击成分标签下的关联依据的关联攻击渗透变量,进而可以找到符合关联依据的关联威胁感知数据,可以实现针对不同威胁情景标签以及不同攻击成分标签的针对性匹配,可以很好地基于威胁感知数据的入侵攻击情报中所呈现的入侵攻击情报信息,进行更为精准的情报匹配关联,由此提升关联结果的准确性。由此,可以在威胁感知数据的匹配流程中,依据不同威胁情景标签、攻击成分标签进行针对性情报匹配,提高情报匹配精度。
其中,一些示例性的设计思路中,上述的威胁分析网络模型的模型训练的流程至少可以包括以下Process201-Process206:
Process201,获取待学习威胁感知数据簇,将待学习威胁感知数据簇加载到基础威胁分析网络模型中;待学习威胁感知数据簇中包括目标待学习入侵攻击情报、目标待学习入侵攻击情报对应的第一关联待学习入侵攻击情报以及目标待学习入侵攻击情报对应的第二关联待学习入侵攻击情报。
例如,可以从所有待学习入侵攻击情报中,获得说个待学习入侵攻击情报构成情报簇,其中,该说个待学习入侵攻击情报可以包括锚定待学习入侵攻击情报、与该锚定待学习入侵攻击情报关联的待学习入侵攻击情报(正待学习入侵攻击情报)以及与该锚定待学习入侵攻击情报不关联的待学习入侵攻击情报(为负待学习入侵攻击情报)。其中,对于获取待学习威胁感知数据簇的一种示例性的设计思路可以是:可以获取待学习入侵攻击情报序列;其中,待学习入侵攻击情报序列中包括至少两个关联待学习入侵攻击情报组合,一个关联待学习入侵攻击情报组合中包含两个具有关联关系的待学习入侵攻击情报;可以在至少两个关联待学习入侵攻击情报组合中,获取目标关联待学习入侵攻击情报组合;随后,可以在余下关联待学习入侵攻击情报组合包含的待学习入侵攻击情报中选择标的待学习入侵攻击情报;其中,余下关联待学习入侵攻击情报组合是指至少两个关联待学习入侵攻击情报组合中,除目标关联待学习入侵攻击情报组合以外的关联待学习入侵攻击情报组合;基于标的待学习入侵攻击情报以及目标关联待学习入侵攻击情报组合,即可确定待学习威胁感知数据簇。
其中,对于基于标的待学习入侵攻击情报以及目标关联待学习入侵攻击情报组合,确定待学习威胁感知数据簇的一种示例性的设计思路可以是:可以在目标关联待学习入侵攻击情报组合包含的待学习入侵攻击情报中选择目标待学习入侵攻击情报;随后,可以获取标的待学习入侵攻击情报对应的第一攻击情报特征,以及目标待学习入侵攻击情报对应的第二攻击情报特征;可以确定第一攻击情报特征与第二攻击情报特征之间的特征关联度量值;若特征关联度量值大于预设关联度量值,则可以将余下待学习入侵攻击情报输出为目标待学习入侵攻击情报对应的第一关联待学习入侵攻击情报,将标的待学习入侵攻击情报输出为目标待学习入侵攻击情报对应的第二关联待学习入侵攻击情报,可以将目标待学习入侵攻击情报、第一关联待学习入侵攻击情报以及第二关联待学习入侵攻击情报输出为待学习威胁感知数据簇;余下待学习入侵攻击情报为目标关联待学习入侵攻击情报组合中除目标待学习入侵攻击情报以外的待学习入侵攻击情报。
其中,待学习入侵攻击情报序列可以是指全量待学习入侵攻击情报,也可以是指依据一定数量(如100个)进行划分后,所得到的某个序列(该序列中包含100个待学习入侵攻击情报)。在待学习入侵攻击情报序列中,可以将两个关联的待学习入侵攻击情报,构成一个待学习数据组合(称之为关联待学习入侵攻击情报组合,也可称之为正待学习数据组合);随后,可以将这些关联待学习入侵攻击情报组合中的某个关联待学习入侵攻击情报组合,输出为目标关联待学习入侵攻击情报组合;对该目标关联待学习入侵攻击情报组合,可以随机选择一个待学习入侵攻击情报作为锚定待学习入侵攻击情报(即目标待学习入侵攻击情报),在余下的关联待学习入侵攻击情报组合(称之为余下关联待学习入侵攻击情报组合)中,可以在每个余下关联待学习入侵攻击情报组合中随机选择一个入侵攻击情报,作为标的待学习入侵攻击情报。随后,对于这些标的待学习入侵攻击情报,可以计算每个标的待学习入侵攻击情报分别与该目标待学习入侵攻击情报之间的特征比较代价,例如,可以计算运算待学习入侵攻击情报对应的第一攻击情报特征,以及目标待学习入侵攻击情报对应的第二攻击情报特征之间的特征关联度量值,特征关联度量值越大,证明两个入侵攻击情报的特征比较代价越小,当特征关联度量值大于预设关联度量值时,即可表征该标的待学习入侵攻击情报与该目标待学习入侵攻击情报为关联入侵攻击情报。换言之,本申请最终确定的待学习威胁感知数据簇,可以包括一个锚定待学习入侵攻击情报,一个正待学习入侵攻击情报(与锚定待学习入侵攻击情报关联的待学习入侵攻击情报),一个负待学习入侵攻击情报(另一个与锚定待学习入侵攻击情报关联的待学习入侵攻击情报)。其中,若威胁感知事件与某个衍生威胁感知事件为匹配威胁感知数据,那么该威胁感知事件与该衍生威胁感知事件是极为关联的,如威胁感知事件的入侵攻击情报是对某个衍生威胁感知事件的入侵攻击情报经过一定的攻击变换得到的,那么此时两个入侵攻击情报的实质性特征几乎相同,而实际上从海量待学习入侵攻击情报中随机抽取的入侵攻击情报,常常为与目标待学习入侵攻击情报不相同的入侵攻击情报,那么此时可选择出特征关联度量值大于门限关联度的待学习入侵攻击情报作为正待学习数据组合的负待学习入侵攻击情报,虽然该负待学习入侵攻击情报与目标待学习入侵攻击情报依然不相同,但是是海量待学习入侵攻击情报中与目标待学习入侵攻击情报较为关联的待学习入侵攻击情报,那么仍然可以将其输出为目标待学习入侵攻击情报的关联待学习入侵攻击情报。
本申请可以计算每个标的待学习入侵攻击情报与目标待学习入侵攻击情报之间的特征比较代价,再依据各个特征比较代价的降序顺序将各个标的待学习入侵攻击情报进行排序,然后选取前E个作为正待学习数据组合的负待学习入侵攻击情报,由此即可得到E个待学习威胁感知数据簇。
Process202,通过基础威胁分析网络模型,确定目标待学习入侵攻击情报对应的第一待学习攻击位置响应变量、第一待学习攻击成分标签与第一待学习威胁情景标签、第一关联待学习入侵攻击情报对应的第二待学习攻击位置响应变量、第二待学习攻击成分标签与第二待学习威胁情景标签、第二关联待学习入侵攻击情报对应的第三待学习攻击位置响应变量、第三待学习攻击成分标签与第三待学习威胁情景标签。
例如,通过该基础威胁分析网络模型中的攻击状态描述编码分支,可以提取待学习威胁感知数据簇中每个待学习入侵攻击情报分别对应的待学习攻击状态描述;而通过威胁分析网络模型中的攻击渗透编码分支,与其对应的待学习攻击状态描述,可以输出其对应的待学习攻击渗透变量;通过威胁分析网络模型中的攻击成分标签决策分支,与其对应的待学习攻击状态描述,可以输出其对应的待学习攻击成分标签;通过威胁分析网络模型中的威胁情景标签决策分支,与其对应的待学习攻击状态描述,可以输出其对应的待学习威胁情景标签。
Process203,基于第一待学习攻击位置响应变量、第二待学习攻击位置响应变量、第三待学习攻击位置响应变量确定第一训练收敛评估指标。
例如,对于某个待学习威胁感知数据簇,可以基于第一待学习攻击位置响应变量、第二待学习攻击位置响应变量、第三待学习攻击位置响应变量确定一个特征训练收敛评估指标(即第一训练收敛评估指标)。
Process204,基于第一待学习攻击成分标签、第二待学习攻击成分标签以及第三待学习攻击成分标签确定第二训练收敛评估指标。
例如,对于某个待学习威胁感知数据簇中的每个待学习入侵攻击情报,可以分别标注其对应的先验攻击成分标签(一些示例性的设计思路中,由于正待学习数据组合中的两个待学习入侵攻击情报的特征非常关联,则可以将两个待学习入侵攻击情报的先验攻击成分标签设置为同一攻击成分标签),基于第一待学习攻击成分标签与目标待学习入侵攻击情报对应的先验攻击成分标签,可以确定出一个攻击成分标签子训练收敛评估指标;基于第二待学习攻击成分标签与第一关联待学习入侵攻击情报对应的先验攻击成分标签,可以确定出一个攻击成分标签子训练收敛评估指标;基于第三待学习攻击成分标签与第二关联待学习入侵攻击情报对应的先验攻击成分标签,可以确定出一个攻击成分标签子训练收敛评估指标。将这三个攻击成分标签子训练收敛评估指标进行相加再求取平均值,即可得到该待学习威胁感知数据簇对应的总的攻击成分标签训练收敛评估指标(即第二训练收敛评估指标)。
Process205,基于第一待学习威胁情景标签、第二待学习威胁情景标签以及第三待学习威胁情景标签确定第三训练收敛评估指标。
例如,对于某个待学习威胁感知数据簇中的每个待学习入侵攻击情报,可以分别标注其对应的先验威胁情景标签(一些示例性的设计思路中,由于正待学习数据组合中的两个待学习入侵攻击情报的特征非常关联,则可以将两个待学习入侵攻击情报的先验威胁情景标签设置为同一威胁情景标签),基于第一待学习威胁情景标签与目标待学习入侵攻击情报对应的先验威胁情景标签,可以确定出一个威胁情景标签子训练收敛评估指标;基于第二待学习威胁情景标签与第一关联待学习入侵攻击情报对应的先验威胁情景标签,可以确定出一个威胁情景标签子训练收敛评估指标;基于第三待学习威胁情景标签与第二关联待学习入侵攻击情报对应的先验威胁情景标签,可以确定出一个威胁情景标签子训练收敛评估指标。将这三个威胁情景标签子训练收敛评估指标进行相加再求取平均值,即可得到该待学习威胁感知数据簇对应的总的威胁情景标签训练收敛评估指标(即第二训练收敛评估指标)。
Process206,基于第一训练收敛评估指标、第二训练收敛评估指标以及第三训练收敛评估指标生成目标训练收敛评估指标,基于目标训练收敛评估指标对基础威胁分析网络模型进行模型权重参数调优,输出威胁分析网络模型。
一些实施例中,AI防护系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
处理器110可以依据存储在机器可读存储介质120中的程序而执行各种适当的动作和处理,例如前述实施例所描述的基于大数据威胁感知的安全防护构建方法所相关的程序指令。处理器110、机器可读存储介质120以及通信单元140通过总线130进行信号传输。
特别地,依据本发明的实施例,上文示例性流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信单元140从网络上被下载和安装,在该计算机程序被处理器110执行时,执行本发明实施例的方法中限定的上述功能。
本发明又一实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述任一实施例所述的基于大数据威胁感知的安全防护构建方法。
本发明又一实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如上述任一实施例所述的基于大数据威胁感知的安全防护构建方法。
应该理解的是,虽然本发明实施例的流程图中通过箭头指示各个操作步骤,但是这些步骤的实施顺序并不受限于箭头所指示的顺序。除非本文中有明确的说明,否则在本发明实施例的一些实施场景中,各流程图中的实施步骤可以依据需求以其它的顺序执行。此外,各流程图中的部分或全部步骤依据实际的实施场景,可以包括若干子步骤或者若干阶段。这些子步骤或者阶段中的部分或全部可以在同一时刻被执行,这些子步骤或者阶段中的各个子步骤或者阶段也可以各自在不同的时刻被执行。在执行时刻不同的场景下,这些子步骤或者阶段的执行顺序可以依据需求灵活配置,本发明实施例对此不限制。
以上所述仅是本发明部分实施场景的可选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明的方案技术构思的前提下,依据依据本发明技术思想的其它类似实施手段,同样属于本发明实施例的保护范畴。

Claims (9)

1.一种基于大数据威胁感知的安全防护构建方法,其特征在于,应用于AI防护系统,所述方法包括:
获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件,并对所述威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件,将每个所述威胁感知事件和所述对应的关联衍生威胁感知事件构建为对应目标威胁情景标签的威胁感知事件单元;
基于每个目标威胁情景标签的威胁感知事件单元,以及预先配置的由各个威胁情景标签构成的威胁情景知识图谱,构建每个威胁感知事件单元之间的知识关系;
基于所述每个威胁感知事件单元之间的知识关系以及每个威胁感知事件单元的攻击意图特征,对所述威胁感知进程关联的安全防护进程进行安全防护强化构建;
所述获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件,并对所述威胁感知事件进行关联性搜寻获得对应的关联衍生威胁感知事件的步骤,包括:
获取威胁感知进程所感知到的威胁感知大数据所覆盖的威胁感知事件对应的目标入侵攻击情报,分析所述威胁感知事件所关联的目标威胁情景标签、所述目标入侵攻击情报对应的目标攻击渗透变量以及目标攻击成分标签;
在威胁关联指导参数库中,查找所述目标威胁情景标签以及所述目标攻击成分标签共同表征的目标关联指导信息;所述威胁关联指导参数库包括威胁情景构建标签序列、攻击成分构建标签序列以及关联指导信息序列之间的映射关系,所述威胁情景构建标签序列中的一个威胁情景构建标签、所述攻击成分构建标签序列中的一个攻击成分构建标签与所述关联指导信息序列中的一个关联指导构建信息之间具有映射关系;所述一个关联指导构建信息表征具有对应的威胁情景构建标签和对应的攻击成分构建标签的入侵攻击情报的攻击渗透变量的关联依据;
基于所述目标攻击渗透变量与所述目标关联指导信息,在参考攻击渗透变量序列中获得与所述目标攻击渗透变量存在关联的关联攻击渗透变量;所述参考攻击渗透变量序列是由衍生威胁感知事件序列中,每个衍生威胁感知事件所分别对应的攻击渗透变量构成的序列;
基于所述关联攻击渗透变量以及所述目标攻击渗透变量,在所述衍生威胁感知事件序列中确定关联衍生威胁感知事件。
2.根据权利要求1所述的基于大数据威胁感知的安全防护构建方法,其特征在于,所述分析所述威胁感知事件所关联的目标威胁情景标签、所述目标入侵攻击情报对应的目标攻击渗透变量以及目标攻击成分标签的步骤,具体包括:
将所述目标入侵攻击情报加载到威胁分析网络模型中,基于所述威胁分析网络模型中的攻击状态描述编码分支,解析所述目标入侵攻击情报对应的攻击状态描述;
将所述攻击状态描述加载到所述威胁分析网络模型中的攻击渗透编码分支,基于所述攻击渗透编码分支与所述攻击状态描述,确定所述目标入侵攻击情报对应的攻击位置响应变量,将所述攻击位置响应变量输出为所述目标攻击渗透变量;
将所述攻击状态描述加载到所述威胁分析网络模型中的攻击成分标签决策分支,基于所述攻击成分标签决策分支与所述攻击状态描述,确定所述目标入侵攻击情报对应的目标攻击成分标签;
将所述攻击状态描述加载到所述威胁分析网络模型中的威胁情景标签决策分支,基于所述威胁情景标签决策分支与所述攻击状态描述,确定所述威胁感知事件所关联的目标威胁情景标签。
3.根据权利要求2所述的基于大数据威胁感知的安全防护构建方法,其特征在于,所述目标入侵攻击情报的数量为L个,L个目标入侵攻击情报中包括目标入侵攻击情报Wx,所述攻击状态描述包括所述目标入侵攻击情报Wx对应的攻击状态描述Kx,L、x均为正整数;
所述基于所述威胁情景标签决策分支与所述攻击状态描述,确定所述威胁感知事件所关联的目标威胁情景标签的步骤,具体包括:
基于所述威胁情景标签决策分支与所述目标入侵攻击情报Wx对应的攻击状态描述Kx,确定所述目标入侵攻击情报Wx对应的情报威胁情景标签;
当确定出所述L个目标入侵攻击情报分别对应的情报威胁情景标签时,依据L个情报威胁情景标签对所述L个目标入侵攻击情报进行聚类,输出K个入侵攻击情报序列;每个入侵攻击情报序列中包含的目标入侵攻击情报所关联的情报威胁情景标签为相同标签;K为正整数;
确定所述K个入侵攻击情报序列中,每个入侵攻击情报序列所分别包含的目标入侵攻击情报的数量,输出K个情报数量;
在所述K个情报数量中获取最大情报数量,将所述最大情报数量对应的入侵攻击情报序列,输出为目标入侵攻击情报序列;
将所述目标入侵攻击情报序列中包含的目标入侵攻击情报所关联的情报威胁情景标签,输出为所述威胁感知事件所关联的目标威胁情景标签。
4.根据权利要求1所述的基于大数据威胁感知的安全防护构建方法,其特征在于,所述关联指导信息序列中的每个关联指导构建信息包括构建门限关联度,所述目标关联指导信息包括目标门限关联度;
所述基于所述目标攻击渗透变量与所述目标关联指导信息,在参考攻击渗透变量序列中获得与所述目标攻击渗透变量存在关联的关联攻击渗透变量的步骤,具体包括:
确定所述目标攻击渗透变量分别与所述参考攻击渗透变量序列中,每个参考攻击渗透变量之间的关联度量值,输出关联度量值序列;
将所述关联度量值序列中,大于所述目标门限关联度的关联度量值,输出为目标关联度量值;
将所述目标关联度量值对应的参考攻击渗透变量,输出为与所述目标攻击渗透变量存在关联的关联攻击渗透变量。
5.根据权利要求1所述的基于大数据威胁感知的安全防护构建方法,其特征在于,所述目标入侵攻击情报的数量为L个,所述目标入侵攻击情报对应的目标攻击渗透变量包括L个目标入侵攻击情报分别对应的目标攻击渗透变量,L为正整数;所述关联攻击渗透变量的数量为R个,R个关联攻击渗透变量由与L个目标攻击渗透变量分别存在关联的关联攻击渗透变量构成,R为正整数;
所述基于所述关联攻击渗透变量以及所述目标攻击渗透变量,在所述衍生威胁感知事件序列中确定关联衍生威胁感知事件的步骤,具体包括:
在所述衍生威胁感知事件序列中,获取所述R个关联攻击渗透变量分别所关联的衍生威胁感知事件;
依据所述R个关联攻击渗透变量分别所关联的衍生威胁感知事件,对所述R个关联攻击渗透变量进行分类,输出H个关联特征序列;每个关联特征序列中包含的关联攻击渗透变量所关联的衍生威胁感知事件为相关联威胁感知数据;所述H个关联特征序列中包括关联特征序列Gy,H、y均为正整数;
确定所述关联特征序列Gy中包含的关联攻击渗透变量的第一关联数量,基于所述第一关联数量以及所述L个目标攻击渗透变量,确定所述关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息;
在确定出所述H个关联特征序列分别所映射的衍生威胁感知事件的关联评估信息时,将所述H个关联特征序列分别所映射的衍生威胁感知事件中的关联评估信息为有效关联状态的衍生威胁感知事件,输出为所述关联衍生威胁感知事件。
6.根据权利要求5所述的基于大数据威胁感知的安全防护构建方法,其特征在于,所述关联特征序列Gy中包含的关联攻击渗透变量包括第一关联攻击渗透变量与第二关联攻击渗透变量;
所述基于所述第一关联数量以及所述L个目标攻击渗透变量,确定所述关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息的步骤,具体包括:
在所述L个目标攻击渗透变量中,获取与所述第一关联攻击渗透变量存在关联的第一目标攻击渗透变量,以及与所述第二关联攻击渗透变量存在关联的第二目标攻击渗透变量;
将所述第一目标攻击渗透变量与所述第二目标攻击渗透变量所包含的全局数量,输出为第二关联数量;
基于所述第一关联数量、所述第二关联数量以及所述威胁感知事件,确定所述关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息。
7.根据权利要求6所述的基于大数据威胁感知的安全防护构建方法,其特征在于,所述基于所述第一关联数量、所述第二关联数量以及所述威胁感知事件,确定所述关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息的步骤,具体包括:
获取所述关联特征序列Gy所映射的衍生威胁感知事件所对应的第一攻击链节点数量,以及所述威胁感知事件对应的第二攻击链节点数量;
确定所述第一关联数量与所述第一攻击链节点数量之间的第一比较系数值,以及所述第二关联数量与所述第二攻击链节点数量之间的第二比较系数值;
如果所述第一比较系数值与所述第二比较系数值中存在至少一个比较系数值大于设定系数值,则将所述关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息,输出为有效关联状态;
如果所述第一比较系数值与所述第二比较系数值均小于所述设定系数值,则将所述关联特征序列Gy所映射的衍生威胁感知事件的关联评估信息,输出为无效关联状态。
8.根据权利要求2所述的基于大数据威胁感知的安全防护构建方法,其特征在于,所述方法还包括:
获取待学习威胁感知数据簇,将所述待学习威胁感知数据簇加载到基础威胁分析网络模型中;所述待学习威胁感知数据簇中包括目标待学习入侵攻击情报、所述目标待学习入侵攻击情报对应的第一关联待学习入侵攻击情报以及所述目标待学习入侵攻击情报对应的第二关联待学习入侵攻击情报;
基于所述基础威胁分析网络模型,确定所述目标待学习入侵攻击情报对应的第一待学习攻击位置响应变量、第一待学习攻击成分标签与第一待学习威胁情景标签、所述第一关联待学习入侵攻击情报对应的第二待学习攻击位置响应变量、第二待学习攻击成分标签与第二待学习威胁情景标签、所述第二关联待学习入侵攻击情报对应的第三待学习攻击位置响应变量、第三待学习攻击成分标签与第三待学习威胁情景标签;
基于所述第一待学习攻击位置响应变量、所述第二待学习攻击位置响应变量、所述第三待学习攻击位置响应变量确定第一训练收敛评估指标; 基于所述第一待学习攻击成分标签、所述第二待学习攻击成分标签以及所述第三待学习攻击成分标签确定第二训练收敛评估指标;
基于所述第一待学习威胁情景标签、所述第二待学习威胁情景标签以及所述第三待学习威胁情景标签确定第三训练收敛评估指标;
基于所述第一训练收敛评估指标、所述第二训练收敛评估指标以及所述第三训练收敛评估指标生成目标训练收敛评估指标,基于所述目标训练收敛评估指标对所述基础威胁分析网络模型进行模型权重参数调优,输出所述威胁分析网络模型;
其中,所述获取待学习威胁感知数据簇的步骤,具体包括:
获取待学习入侵攻击情报序列;所述待学习入侵攻击情报序列中包括至少两个关联待学习入侵攻击情报组合,一个关联待学习入侵攻击情报组合中包含两个具有关联关系的待学习入侵攻击情报;
在所述至少两个关联待学习入侵攻击情报组合中,获取目标关联待学习入侵攻击情报组合;
在余下关联待学习入侵攻击情报组合包含的待学习入侵攻击情报中选择标的待学习入侵攻击情报;所述余下关联待学习入侵攻击情报组合是指所述至少两个关联待学习入侵攻击情报组合中,除所述目标关联待学习入侵攻击情报组合以外的关联待学习入侵攻击情报组合;
基于所述标的待学习入侵攻击情报以及所述目标关联待学习入侵攻击情报组合,确定所述待学习威胁感知数据簇;
所述基于所述标的待学习入侵攻击情报以及所述目标关联待学习入侵攻击情报组合,确定所述待学习威胁感知数据簇的步骤,具体包括:
在所述目标关联待学习入侵攻击情报组合包含的待学习入侵攻击情报中选择所述目标待学习入侵攻击情报;
获取所述标的待学习入侵攻击情报对应的第一攻击情报特征,以及所述目标待学习入侵攻击情报对应的第二攻击情报特征;
确定所述第一攻击情报特征与所述第二攻击情报特征之间的特征关联度量值;
如果所述特征关联度量值大于预设关联度量值,则将余下待学习入侵攻击情报输出为所述目标待学习入侵攻击情报对应的所述第一关联待学习入侵攻击情报,将所述标的待学习入侵攻击情报输出为所述目标待学习入侵攻击情报对应的所述第二关联待学习入侵攻击情报,将所述目标待学习入侵攻击情报、所述第一关联待学习入侵攻击情报以及所述第二关联待学习入侵攻击情报输出为所述待学习威胁感知数据簇;所述余下待学习入侵攻击情报为所述目标关联待学习入侵攻击情报组合中除所述目标待学习入侵攻击情报以外的待学习入侵攻击情报。
9.一种AI防护系统,其特征在于,所述AI防护系统包括至少一个存储介质和至少一个处理器,所述至少一个存储介质用于存储计算机指令;所述至少一个处理器用于执行所述计算机指令以执行权利要求1-8中任意一项的基于大数据威胁感知的安全防护构建方法。
CN202210785999.XA 2022-07-06 2022-07-06 基于大数据威胁感知的安全防护构建方法及ai防护系统 Active CN115065545B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210785999.XA CN115065545B (zh) 2022-07-06 2022-07-06 基于大数据威胁感知的安全防护构建方法及ai防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210785999.XA CN115065545B (zh) 2022-07-06 2022-07-06 基于大数据威胁感知的安全防护构建方法及ai防护系统

Publications (2)

Publication Number Publication Date
CN115065545A CN115065545A (zh) 2022-09-16
CN115065545B true CN115065545B (zh) 2023-06-27

Family

ID=83204008

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210785999.XA Active CN115065545B (zh) 2022-07-06 2022-07-06 基于大数据威胁感知的安全防护构建方法及ai防护系统

Country Status (1)

Country Link
CN (1) CN115065545B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115622805B (zh) * 2022-12-06 2023-08-25 深圳慧卡科技有限公司 基于人工智能的安全支付防护方法及ai系统
CN117134999B (zh) * 2023-10-26 2023-12-22 四川万物纵横科技股份有限公司 一种边缘计算网关的安全防护方法、存储介质及网关

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935192B (zh) * 2020-10-12 2021-03-23 腾讯科技(深圳)有限公司 网络攻击事件溯源处理方法、装置、设备和存储介质
CN113961923A (zh) * 2021-10-29 2022-01-21 绿盟科技集团股份有限公司 一种威胁情报获取方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN115065545A (zh) 2022-09-16

Similar Documents

Publication Publication Date Title
CN115065545B (zh) 基于大数据威胁感知的安全防护构建方法及ai防护系统
US10282542B2 (en) Information processing apparatus, information processing method, and computer readable medium
US11888881B2 (en) Context informed abnormal endpoint behavior detection
CN116305168B (zh) 一种多维度信息安全风险评估方法、系统及存储介质
US8813229B2 (en) Apparatus, system, and method for preventing infection by malicious code
US11487882B2 (en) Vulnerability influence evaluation system
US20220222372A1 (en) Automated data masking with false positive detection and avoidance
WO2020210976A1 (en) System and method for detecting anomaly
CN110679114A (zh) 一种估计数据对象可删除性的方法
CN113239065A (zh) 基于大数据的安全拦截规则更新方法及人工智能安全系统
CN112016078A (zh) 一种登录设备的封禁检测方法、装置、服务器和存储介质
EP4111660B1 (en) Cyberattack identification in a network environment
US20240054210A1 (en) Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program
CN115567325B (zh) 一种基于图匹配的威胁狩猎方法
Shah et al. A survey on data mining approaches for dynamic analysis of malwares
CN116248397A (zh) 漏洞检测方法、装置、电子设备及可读存储介质
CN113037714A (zh) 基于网络大数据的网络安全分析方法及区块链金融云系统
CN115208938B (zh) 用户行为管控方法及装置、计算机可读存储介质
KR20120031963A (ko) 악성 코드 차단 장치
KR102465307B1 (ko) 화이트 리스트 생성 방법 및 이를 수행하는 사용자 단말, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
Kamal et al. Prediction of Software Vulnerabilities Using Random Forest Regressor
US20240160744A1 (en) Identifying and assessing costs associated with correcting vulnerabilities in machine learning models
CN118070024A (zh) 基于深度学习的用户行为数据处理方法及系统
CN115859180A (zh) 一种基于工控网络流量数据的防御策略确定方法
CN114826769A (zh) 采用人工智能决策的大数据分析方法及威胁感知系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20230404

Address after: Room 403-8, Building 6A, University Science and Technology Park, North Second Ring Road, Baoding City, Hebei Province, 071000

Applicant after: Li Gangqiang

Address before: Room 403-8, Building 6A, University Science and Technology Park, North Second Ring Road, Baoding City, Hebei Province, 071000

Applicant before: Baoding Chaoyue Electronic Technology Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230602

Address after: 266011 Floors 2-6, 10 #, A South, No. 16, Shangqing Road, Shibei District, Qingdao, Shandong

Applicant after: SHANDONG HAIBO TECHNOLOGY INFORMATION SYSTEM CO.,LTD.

Address before: Room 403-8, Building 6A, University Science and Technology Park, North Second Ring Road, Baoding City, Hebei Province, 071000

Applicant before: Li Gangqiang

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant