发明内容
为改善相关技术中存在的技术问题,本发明提供了一种数据安全分享方法及系统。
第一方面,本发明实施例提供了一种数据安全分享方法,应用于数据安全分享系统,所述方法包括:在接收到共享安全分析指令的前提下,获取触发共享安全分析条件的数据共享会话记录以及共享会话参考记录;对所述触发共享安全分析条件的数据共享会话记录进行会话行为知识提取,得到所述触发共享安全分析条件的数据共享会话记录的第一行为知识关系网,并对所述共享会话参考记录进行会话行为知识提取,得到与所述共享会话参考记录对应的第二行为知识关系网;通过所述第一行为知识关系网以及所述第二行为知识关系网进行关系网重构处理,得到已重构知识关系网;对所述已重构知识关系网进行安全隐患挖掘,获得所述触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告。
应用于上述实施例,通过将触发共享安全分析条件的数据共享会话记录的第一行为知识关系网和共享会话参考记录的第二行为知识关系网进行关系网重构处理,来改善第一行为知识关系网和第二行为知识关系网之间存在的一系列知识特征偏移和扰动,然后可以基于已重构知识关系网,得到第一行为知识关系网对应的准确可信的数据安全挖掘报告,从而及时地为后续的数据共享提供信息安全防范指导和参考。
在一些示例下,所述对所述触发共享安全分析条件的数据共享会话记录进行会话行为知识提取,得到所述触发共享安全分析条件的数据共享会话记录的第一行为知识关系网包括:对所述触发共享安全分析条件的数据共享会话记录进行多轮会话行为知识提取,获取与每轮会话行为知识提取对应的第一行为知识关系网;所述对所述共享会话参考记录进行会话行为知识提取,得到与所述共享会话参考记录对应的第二行为知识关系网,包括:对所述共享会话参考记录进行多轮会话行为知识提取,获取与各个所述第一行为知识关系网对应的第二行为知识关系网;所述通过所述第一行为知识关系网以及所述第二行为知识关系网进行关系网重构处理,得到已重构知识关系网,包括:针对各个第一行为知识关系网,对所述各个第一行为知识关系网、以及与所述各个第一行为知识关系网对应的第二行为知识关系网进行关系网重构处理,得到所述各个第一行为知识关系网对应的已重构知识关系网。
应用于上述实施例,通过对触发共享安全分析条件的数据共享会话记录和共享会话参考记录分别进行多轮会话行为知识提取,使得得到的已重构知识关系网中,包括了触发共享安全分析条件的数据共享会话记录和共享会话参考记录中的丰富细节,进而结合已重构知识关系网确定触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告时,可以保障数据安全挖掘报告的准确性和可靠性。
在一些示例下,对所述已重构知识关系网进行安全隐患挖掘,获得所述触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告,包括:结合所述各个第一行为知识关系网对应的已重构知识关系网,得到所述各个第一行为知识关系网的数据安全挖掘报告;结合与多轮会话行为知识提取分别对应的第一行为知识关系网的数据安全挖掘报告,得到所述触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告。
应用于上述实施例,通过得到多轮会话行为知识提取分别对应的数据安全挖掘报告,这样,利用多轮会话行为知识提取分别对应的数据安全挖掘报告确定的触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告的完整性能够得到保证。
在一些示例下,对所述触发共享安全分析条件的数据共享会话记录进行多轮会话行为知识提取,获取与每轮会话行为知识提取对应的待定行为知识关系网;倘若所述每轮会话行为知识提取为最后一轮会话行为知识提取,将最后一轮会话行为知识提取对应的待定行为知识关系网,作为该最后一轮会话行为知识提取对应的第一行为知识关系网;倘若所述每轮会话行为知识提取为除最后一轮会话行为知识提取的剩余轮会话行为知识提取,将与所述每轮会话行为知识提取对应的待定行为知识关系网与该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网进行行为知识拼接,得到与所述每轮会话行为知识提取对应的第一行为知识关系网。
应用于上述实施例,通过对触发共享安全分析条件的数据共享会话记录进行多轮会话行为知识提取,使得不同轮会话行为知识提取所得到的第一行为知识关系网中包含了触发共享安全分析条件的数据共享会话记录中各异的细节信息,进而使得结合多轮会话行为知识提取分别对应的第一行为知识关系网的数据安全挖掘报告,确定的触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告的丰富性和完整性得以保障。
在一些示例下,所述将与每轮会话行为知识提取对应的待定行为知识关系网,与该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网进行行为知识拼接,得到与所述每轮会话行为知识提取对应的第一行为知识关系网,包括:将与该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网进行关系网衍生,得到关系网衍生结果;将所述关系网衍生结果与该轮会话行为知识提取对应的待定行为知识关系网进行组合后,得到该轮会话行为知识提取对应的第一行为知识关系网。
应用于上述实施例,通过关系网衍生,对第一行为知识关系网和对应待定行为知识关系网的关系网尺寸进行调整处理,能够提高关系网拼接的准确性。
在一些示例下,所述对所述各个第一行为知识关系网、以及与所述各个第一行为知识关系网对应的第二行为知识关系网进行关系网重构处理,包括:结合所述各个第一行为知识关系网、以及与所述各个第一行为知识关系网对应的第二行为知识关系网,对所述第一行为知识关系网对应的第二行为知识关系网进行知识标注处理,得到该第一行为知识关系网对应的第二行为知识关系网的已标注知识关系网;以及结合所述各个第一行为知识关系网、以及与所述各个第一行为知识关系网对应的第二行为知识关系网,得到与所述各个第一行为知识关系网对应的数据安全识别矩阵;其中,所述数据安全识别矩阵中任一成员的描述值,表示该第一行为知识关系网中定位标签与所述任一成员配对的第一行为知识单元具有安全风险的识别变量;结合所述已标注知识关系网、以所述数据安全识别矩阵,得到所述各个第一行为知识关系网对应的已重构知识关系网。
应用于上述实施例,通过对共享会话参考记录的第二行为知识关系网进行知识标注,能够改善由于触发共享安全分析条件的数据共享会话记录存在的会话扰动,所带来的触发共享安全分析条件的数据共享会话记录和共享会话参考记录之间的差异,提高对触发共享安全分析条件的数据共享会话记录的安全分析准确性。
进一步地,通过生成触发共享安全分析条件的数据共享会话记录的第一行为知识关系网对应的数据安全识别矩阵,该数据安全识别矩阵中的每个成员的描述值,表示了在第一行为知识关系网中对应定位标签的第一行为知识单元是否具有安全风险的识别变量,然后根据数据安全识别矩阵,确定得到的第一行为知识关系网的数据安全挖掘报告的丰富性和完整性得以保障。
在一些示例下,所述结合该第一行为知识关系网、以及与该第一行为知识关系网对应的第二行为知识关系网,对该第一行为知识关系网对应的第二行为知识关系网进行知识标注处理,包括:针对该第一行为知识关系网中的每个第一行为知识单元,从该第一行为知识关系网对应的第二行为知识关系网的多个第二行为知识单元中,确定与该第一行为知识单元对应的多个上下游行为知识单元;其中,该第一行为知识单元对应的各个上下游行为知识单元,与该第一行为知识单元定位标签配对的目标第二行为知识单元之间的差异度满足目标条件;结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度,对与该第一行为知识单元定位标签配对的目标第二行为知识单元进行知识标注处理。
应用于上述实施例,通过为每个第一行为知识单元确定上下游行为知识单元,并结合多个上下游行为知识单元分别与对应第一行为知识单元之间的向量相关度来确定该对应第三成员识别变量,进而得到与该第三成员对应的第二成员的识别变量,使得第二成员的识别变量受到共享会话参考记录中多个成员的影响,以改善不同会话扰动等对触发共享安全分析条件的数据共享会话记录中第二成员的数据安全挖掘报告的影响,提高对触发共享安全分析条件的数据共享会话记录的安全分析准确性。
在一些示例下,所述结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度,对与该第一行为知识单元定位标签配对的目标第二行为知识单元进行知识标注处理,包括:结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度、以及每个上下游行为知识单元的知识语义值,对与该第一行为知识单元定位标签配对的目标第二行为知识单元进行知识标注处理。
应用于上述实施例,通过上下游行为知识单元与第一行为知识单元的向量相关度、以及每个上下游行为知识单元的知识语义值,再次确定第一行为知识单元定位标签配对的目标第二行为知识单元的知识语义值,使得再次确定后的知识语义值能够改善与第一行为知识单元之间存在的多类偏移,以在结合已标注知识关系网进行安全分析时的丰富性和完整性得以保障。
在一些示例下,所述结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度、以及每个上下游行为知识单元的知识语义值,对与该第一行为知识单元定位标签配对的目标第二行为知识单元进行知识标注处理,包括:结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度,对该第一行为知识单元对应的多个上下游行为知识单元分别对应的知识语义值进行第一目标运算,得到第一运算结果;对多个上下游行为知识单元分别对应的向量相关度进行第二目标运算,得到第二运算结果;基于所述第一运算结果和所述第二运算结果确定对所述目标第二行为知识单元进行知识标注处理后的知识语义值。
应用于上述实施例,通过两类目标运算得到的加权结果进行比值处理,能够提高确定得到的知识语义值得精度。
在一些示例下,所述结合该第一行为知识关系网、以及与该第一行为知识关系网对应的第二行为知识关系网,得到与该第一行为知识关系网对应的数据安全识别矩阵,包括:针对该第一行为知识关系网中的每个第一行为知识单元,从该第一行为知识关系网对应的第二行为知识关系网的多个第二行为知识单元中,确定与该第一行为知识单元对应的多个上下游行为知识单元;其中,该第一行为知识单元对应的各个上下游行为知识单元,与该第一行为知识单元定位标签配对的目标第二行为知识单元之间的差异度满足目标条件;结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度,确定该第一行为知识单元的识别变量;结合所述第一行为知识关系网中各个第一行为知识单元对应的识别变量,得到所述数据安全识别矩阵。
应用于上述实施例,能够结合向量相关度和识别变量确保数据安全识别矩阵的完整性和可信度。
在一些示例下,所述结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度,确定该第一行为知识单元的识别变量,包括:确定多个上下游行为知识单元分别与该第一行为知识单元之间的向量相关度的向量相关度最大值;结合所述向量相关度最大值,确定该第一行为知识单元的识别变量。
应用于上述实施例,可以提高计算识别变量的精度。
在一些示例下,确定第一行为知识单元、和与该第一行为知识单元对应的任一上下游行为知识单元之间的向量相关度,包括:结合所述第一行为知识单元在所述第一行为知识关系网中的定位标签、以及预设的差异度判定值,得到第一局部知识关系网;以及结合与该第一行为知识单元对应的任一上下游行为知识单元在所述第二行为知识关系网中的定位标签、以及所述差异度判定值,得到第二局部知识关系网;结合所述第一局部知识关系网、以及所述第二局部知识关系网,确定所述第一行为知识单元与该第一行为知识单元对应的所述任一上下游行为知识单元之间的向量相关度。
应用于上述实施例,能够考虑上下游行为知识单元的关联特征,从而确保向量相关度的准确性和可靠性。
在一些示例下,所述结合所述已标注知识关系网、以所述数据安全识别矩阵,得到该第一行为知识关系网对应的已重构知识关系网,包括:对所述已标注知识关系网、以及该第一行为知识关系网进行关系网融合,得到该第一行为知识关系网对应的已融合行为知识关系网;结合所述数据安全识别矩阵、以及所述已融合行为知识关系网,得到所述已重构知识关系网。
应用于上述实施例,可以确保已重构知识关系网能够完整记载不同的行为知识关系网中的细节信息,提高后续安全分析的可信度。
第二方面,本发明还提供了一种数据安全分享系统,包括处理器和存储器;所述处理器和所述存储器通信连接,所述处理器用于从所述存储器中读取计算机程序并执行,以实现上述所述的方法。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本发明实施例所提供的方法实施例可以在数据安全分享系统、计算机设备或者类似的运算装置中执行。以运行在数据安全分享系统上为例,图1是本发明实施例的实施一种数据安全分享方法的数据安全分享系统的硬件结构框图。如图1所示,数据安全分享系统10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述数据安全分享系统还可以包括用于通信功能的传输装置106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述数据安全分享系统的结构造成限定。例如,数据安全分享系统10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种数据安全分享方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至数据安全分享系统10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括数据安全分享系统10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(RadioFrequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
基于此,请参阅图2,图2是本发明实施例所提供的一种数据安全分享方法的流程示意图,该方法应用于数据安全分享系统,进一步可以包括以下内容描述的技术方案。
步骤101、在接收到共享安全分析指令的前提下,获取触发共享安全分析条件的数据共享会话记录以及共享会话参考记录。
在本发明实施例中,共享安全分析指令可以是信息安防服务系统向数据安全分享系统上传的对数据共享会话记录进行共享安全分析的申请。触发共享安全分析条件的数据共享会话记录可以理解为待分析的数据共享会话记录,该共享安全分析条件可以与共享安全分析指令匹配,比如根据共享安全分析指令对应的时段要求选择对应的数据共享会话记录。相应的,共享会话参考记录可以理解为参考/模板数据共享会话记录。举例而言,数据共享会话记录比如可以是办公资源共享会话记录、政企业务数据共享会话记录、虚拟现实服务共享会话记录等,在此不作限定。
步骤102、对所述触发共享安全分析条件的数据共享会话记录进行会话行为知识提取,得到所述触发共享安全分析条件的数据共享会话记录的第一行为知识关系网,并对所述共享会话参考记录进行会话行为知识提取,得到与所述共享会话参考记录对应的第二行为知识关系网。
在本发明实施例中,对触发共享安全分析条件的数据共享会话记录进行会话行为知识提取可以理解为对数据共享会话记录进行会话行为特征提取,进而得到第一行为知识分布情况/特征分布(即第一行为知识关系网),相应的,对共享会话参考记录进行会话行为知识提取可以理解为对参考/模板数据共享会话记录进行会话行为特征提取,进而得到第二行为知识分布情况(即第二行为知识关系网)。此外,第一行为知识关系网和第二行为知识关系网均可通过特征图/向量分布等形式进行记录。
步骤103、通过所述第一行为知识关系网以及所述第二行为知识关系网进行关系网重构处理,得到已重构知识关系网。
在本发明实施例中,关系网重构处理可以理解为对第一行为知识关系网以及第二行为知识关系网进行关系网混合,从而可以实现不同行为知识关系网中的细节信息的混合和组合,进而将整体层面的数据信息偏移进行分治处理,以改善不同会话记录之间的干扰和影响。
步骤104、对所述已重构知识关系网进行安全隐患挖掘,获得所述触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告。
在本发明实施例中,对已重构知识关系网进行安全隐患挖掘比如可以是对已重构知识关系网中的潜在风险行为知识进行挖掘,进而将潜在风险行为知识对应的知识单元进行标记或者统计从而得到数据安全挖掘报告。进一步地,数据安全挖掘报告可以通过表格或者图文的形式进行表达,该数据安全挖掘报告可以反应数据共享过程中哪些行为可能导致数据信息风险(比如个体隐私信息泄露、重要数据资产篡改等)。因此,数据安全挖掘报告能够作为后续数据共享的安全防范的依据和参考。
可以理解的是,可以通过如下描述内容对步骤101-步骤104所记录的技术方案进行进一步阐述。
对于步骤101而言,共享会话参考记录可以是指在数据共享中当作参考的共享会话记录,或对触发共享安全分析条件的共享数据集进行安全分析时所涉及的符合要求的共享数据集采集的数据共享会话记录,进一步地,符合要求的共享数据集可以理解为不具有安全风险的共享数据集。触发共享安全分析条件的数据共享会话记录可以是指对触发共享安全分析条件的共享数据集获取的数据共享会话记录。
在对触发共享安全分析条件的会话日志进行安全分析时,比如:首先可以获取触发共享安全分析条件的会话日志的关键词或者标签信息;然后根据会话日志的关键词或者标签信息,从事先设置的共享会话参考记录集合中获取与触发共享安全分析条件的会话日志对应的共享会话参考记录;又比如:在共享会话参考记录集合中不存在触发共享安全分析条件的会话日志的共享会话参考记录时,比如:可以首先从多个触发共享安全分析条件的会话日志中确定一未具有安全风险的参考会话日志,然后获取该参考会话日志的数据共享会话记录,以得到共享会话参考记录。
触发共享安全分析条件的数据共享会话记录比如可以通过数据安全分享系统中的会话记录采集线程来获取,也可以接收其他系统获取的触发共享安全分析条件的数据共享会话记录。
对于步骤102而言,对触发共享安全分析条件的数据共享会话记录进行会话行为知识提取,比如可以通过如下思路进行实现:对所述触发共享安全分析条件的数据共享会话记录进行多轮会话行为知识提取,获取与每轮会话行为知识提取对应的第一行为知识关系网。
举例而言,每轮会话行为知识提取都可以得到触发共享安全分析条件的数据共享会话记录的一组待定行为知识关系网。其中,对于其中邻近的两轮会话行为知识提取,上一轮会话行为知识提取得到的待定行为知识关系网,为下一轮会话行为知识提取的输入,换言之,下一轮会话行为知识提取结合上一轮会话行为知识提取得到的待定行为知识关系网进行该下一轮会话行为知识提取,得到该下一轮会话行为知识提取的待定行为知识关系网。针对多轮会话行为知识提取中的最后一轮会话行为知识提取,将最后一轮会话行为知识提取对应的待定行为知识关系网,作为该最后一轮会话行为知识提取对应的第一行为知识关系网;针对多轮会话行为知识提取中除最后一轮会话行为知识提取的剩余轮会话行为知识提取,将与每轮会话行为知识提取对应的待定行为知识关系网,与该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网进行行为知识拼接,得到与所述每轮会话行为知识提取对应的第一行为知识关系网。
进一步地,在将与每轮会话行为知识提取对应的待定行为知识关系网,与该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网进行行为知识拼接时,若该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网的知识规模,小于该轮会话行为知识提取对应的待定行为知识关系网,则将该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网进行关系网衍生,得到关系网衍生数据共享会话记录,该关系网衍生数据共享会话记录的知识规模(比如信息量、特征维度等),与该轮会话行为知识提取对应的待定行为知识关系网的知识规模一致,后将该关系网衍生数据共享会话记录和该轮会话行为知识提取对应的待定行为知识关系网组合后,得到该轮会话行为知识提取对应的第一行为知识关系网。
进一步地,在将与每轮会话行为知识提取对应的待定行为知识关系网,与该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网进行行为知识拼接(也可以理解成行为知识特征融合)时,如果该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网的知识规模,等于该轮会话行为知识提取对应的待定行为知识关系网,则比如可以直接将该轮会话行为知识提取的后一轮会话行为知识提取对应的第一行为知识关系网和该轮会话行为知识提取对应的待定行为知识关系网进行组合,得到该轮会话行为知识提取对应的第一行为知识关系网。
在一些示例性的实施例中,比如可以通过事先调试的会话行为知识提取模型对触发共享安全分析条件的数据共享会话记录进行多轮会话行为知识提取。
举例而言,会话行为知识提取模型可以包括4个AI单元层,该4个AI单元层依次涵盖:第一AI单元层、第二AI单元层、第三AI单元层以及第四AI单元层。
通过4个AI单元层对触发共享安全分析条件的数据共享会话记录record_A进行4轮会话行为知识提取,每轮AI单元层都可以生成与该轮AI单元层对应的待定行为知识关系网,其中,第一AI单元层对触发共享安全分析条件的数据共享会话记录进行第1轮会话行为知识提取,得到待定行为知识关系网Network distribution_a1,第二AI单元层对待定行为知识关系网Network distribution_a1进行第2轮会话行为知识提取,得到待定行为知识关系网Network distribution_a2;第三AI单元层对待定行为知识关系网Networkdistribution_a2进行第3轮会话行为知识提取,得到待定行为知识关系网Networkdistribution_a3;第四AI单元层对待定行为知识关系网Network distribution_a3进行第4轮会话行为知识提取,得到待定行为知识关系网Network distribution_a4。
对于第四AI单元层,将待定行为知识关系网Network distribution_a4作为第4轮会话行为知识提取对应的第一行为知识关系网Network distribution_a4’。
对于第三AI单元层,将第4轮会话行为知识提取对应的第一行为知识关系网Network distribution_a4’进行关系网衍生后,与第3轮会话行为知识提取对应的待定行为知识关系网Network distribution_a3进行组合,得到第3轮会话行为知识提取对应的第一行为知识关系网Network distribution_a3’。
针对第二AI单元层,将第3轮会话行为知识提取对应的第一行为知识关系网Network distribution_a3’进行关系网衍生后,与第2轮会话行为知识提取对应的待定行为知识关系网Network distribution_a2进行组合,得到第2轮会话行为知识提取对应的第一行为知识关系网Network distribution_a2’。
针对第一AI单元层,将第2轮会话行为知识提取对应的第一行为知识关系网Network distribution_a2’进行关系网衍生后,与第1轮会话行为知识提取对应的待定行为知识关系网Network distribution_a1进行组合,得到第1轮会话行为知识提取对应的第一行为知识关系网Network distribution_a1’。
在对共享会话参考记录进行会话行为知识提取时,比如也可以对共享会话参考记录进行多轮会话行为知识提取,获取与各个第一行为知识关系网对应的第二行为知识关系网;获取第二行为知识关系网的思路与获取第一行为知识关系网的思路相似。
进一步地,还可以通过预调试的会话行为知识提取模型对共享会话参考记录进行多轮会话行为知识提取,以得到多轮会话行为知识提取分别对应的第二行为知识关系网。该会话行为知识提取模型,与上述得到第一行为知识关系网的会话行为知识提取模型可以是相同模型,也可以是双生模型的两个会话行为知识提取子模型。在两个会话行为知识提取模型为双生模型的两个会话行为知识提取子模型的情况下,两个会话行为知识提取子模型的模型变量一致。可以理解的是,用于得到第二行为知识关系网的会话行为知识提取模型,与用于得到第一行为知识关系网的会话行为知识提取模型相同,也包括4个AI单元层,4个AI单元层涵盖:第一AI单元层、第二AI单元层、第三AI单元层、以及第四AI单元层。
通过上述4个AI单元层对共享会话参考记录session_B进行4轮会话行为知识提取,每轮AI单元层都可以生成与该轮AI单元层对应的待定行为知识关系网,其中,第一AI单元层对共享会话参考记录进行第1轮会话行为知识提取,得到待定行为知识关系网Networkdistribution_B1,第二AI单元层对待定行为知识关系网Network distribution_B1进行第2轮会话行为知识提取,得到待定行为知识关系网Network distribution_B2;第三AI单元层对待定行为知识关系网Network distribution_B2进行第3轮会话行为知识提取,得到待定行为知识关系网Network distribution_B3;第四AI单元层对待定行为知识关系网Network distribution_B3进行第4轮会话行为知识提取,得到待定行为知识关系网Network distribution_B4。
针对第四AI单元层,将待定行为知识关系网Network distribution_B4作为第4轮会话行为知识提取对应的第二行为知识关系网distribution_B4’。针对第三AI单元层,将第4轮会话行为知识提取对应的第二行为知识关系网distribution_B4’进行关系网衍生后,与第3轮会话行为知识提取对应的待定行为知识关系网Network distribution_B3进行组合,得到第3轮会话行为知识提取对应的第二行为知识关系网distribution_B3’。
针对第二AI单元层,将第3轮会话行为知识提取对应的第二行为知识关系网distribution_B3’进行关系网衍生后,与第2轮会话行为知识提取对应的待定行为知识关系网Network distribution_B2进行组合,得到第2轮会话行为知识提取对应的第二行为知识关系网distribution_B2’。
针对第一AI单元层,将第2轮会话行为知识提取对应的第二行为知识关系网distribution_B2’进行关系网衍生后,与第1轮会话行为知识提取对应的待定行为知识关系网Network distribution_B1进行组合,得到第1轮会话行为知识提取对应的第二行为知识关系网distribution_B1’。
在本发明另一实施例中,在对若干个相同的会话日志进行安全分析时,鉴于多个会话日志对应的共享会话参考记录一般情况下都一致,则可以针对多个相同的会话日志所对应的同一共享会话参考记录,可以只进行一次多轮会话行为知识提取的过程,并在获得多轮会话行为知识提取分别对应的第二行为知识关系网后,将各轮会话行为知识提取分别对应的第二行为知识关系网进行缓存。在对某个会话日志进行安全分析时,若当前存在该会话日志对应的共享会话参考记录的第二行为知识关系网,可以直接调取,而不需要再次对共享会话参考记录进行多轮会话行为知识提取,从而提高处理效率。
对于另一些示例而言,也可以对触发共享安全分析条件的数据共享会话记录进行至少一轮会话行为知识提取,将最后一轮会话行为知识提取的输出,作为触发共享安全分析条件的数据共享会话记录的第一行为知识关系网;对共享会话参考记录进行至少一轮会话行为知识提取,将最后一轮会话行为知识提取的输出,作为共享会话参考记录的第二行为知识关系网
在步骤103中,在将第一行为知识关系网和第二行为知识关系网进行关系网重构处理的时候,比如可以针对各个第一行为知识关系网,对所述各个第一行为知识关系网、以及与所述各个第一行为知识关系网对应的第二行为知识关系网进行关系网重构处理,得到所述各个第一行为知识关系网对应的已重构知识关系网。
本发明实施例还提供一种对第一行为知识关系网、以及与该第一行为知识关系网对应的第二行为知识关系网进行关系网重构处理的方法,相关技术方案如下。
步骤301、结合该第一行为知识关系网、以及与该第一行为知识关系网对应的第二行为知识关系网,对该第一行为知识关系网对应的第二行为知识关系网进行知识标注处理,得到该第一行为知识关系网对应的第二行为知识关系网的已标注知识关系网。
比如可以通过如下思路进行实现对该第一行为知识关系网对应的第二行为知识关系网进行知识标注处理:针对该第一行为知识关系网中的每个第一行为知识单元,从该第一行为知识关系网对应的第二行为知识关系网的多个第二行为知识单元中,确定与该第一行为知识单元对应的多个上下游行为知识单元;其中,该第一行为知识单元对应的各个上下游行为知识单元,与该第一行为知识单元定位标签配对的目标第二行为知识单元之间的差异度满足目标条件;结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度,对与该第一行为知识单元定位标签配对的目标第二行为知识单元进行知识标注处理。
针对每个第一行为知识单元,第一行为知识关系网和第二行为知识关系网的知识规模可以为k*k。任一第一行为知识单元对应的多个上下游行为知识单元,比如是在第二行为知识关系网中,与目标第二行为知识单元之间的差异度小于预设的某一差异度判定值的第二行为知识单元。举例而言,该差异度比如余弦距离。
进一步地,在为每个第一行为知识单元确定多个上下游行为知识单元时,首先从第二行为知识关系网中,为该第一行为知识单元确定定位标签配对的目标第二行为知识单元,然后将第二行为知识关系网中,与目标第二行为知识单元之间的差异度满足目标条件的所有第二行为知识单元均作为该第一行为知识单元对应的多个上下游行为知识单元。也可以将第二行为知识关系网中,与目标第二行为知识单元之间的差异度满足目标条件的所有第二行为知识单元作为候选行为知识单元,然后从多个候选行为知识单元中采样得到多个上下游行为知识单元。
在确定了第一行为知识单元的多个上下游行为知识单元后,比如可以通过如下思路进行实现确定各个上下游行为知识单元和第一行为知识单元之间的向量相关度(相似度):结合所述第一行为知识单元在所述第一行为知识关系网中的定位标签、以及预设的差异度判定值,得到第一局部知识关系网;以及结合与该第一行为知识单元对应的任一上下游行为知识单元在所述第二行为知识关系网中的定位标签、以及所述差异度判定值,得到第二局部知识关系网;结合所述第一局部知识关系网、以及所述第二局部知识关系网,确定所述第一行为知识单元与该第一行为知识单元对应的所述任一上下游行为知识单元之间的向量相关度。在获得第一局部知识关系网和第二局部知识关系网后,结合第一局部知识关系网确定第一行为知识单元和该第一行为知识单元对应的任一上下游行为知识单元之间的向量相关度。
进一步地,在获得第一行为知识单元和每个上下游行为知识单元之间的向量相关度后,比如可以结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度、以及每个上下游行为知识单元的知识语义值,对与该第一行为知识单元定位标签配对的目标第二行为知识单元进行知识标注处理。
举例而言,比如可以结合所述每个上下游行为知识单元与第一行为知识单元之间的向量相关度,对多个所述上下游行为知识单元分别对应的知识语义值进行第一目标运算,得到第一运算结果;以及,对多个上下游行为知识单元分别对应的向量相关度进行第二目标运算,得到第二运算结果;基于所述第一运算结果和所述第二运算结果确定对与第一行为知识单元定位标签配对的目标第二行为知识单元进行知识标注处理后的知识语义值(比如可以是特征值)。
在针对第一行为知识关系网中的每个第一行为知识单元定位标签配对的目标第二行为知识单元分别进行知识标注后,得到第二行为知识关系网的已标注知识关系网。
进一步地,本发明实施例提供的关系网重构处理的技术思路还包括如下内容。
步骤302、结合该第一行为知识关系网、以及与该第一行为知识关系网对应的第二行为知识关系网,得到与该第一行为知识关系网对应的数据安全识别矩阵;其中,所述数据安全识别矩阵中任一成员的描述值,表示该第一行为知识关系网中定位标签与所述任一成员配对的第一行为知识单元具有安全风险的识别变量。
比如可以通过如下思路进行实现得到与任一个第一行为知识关系网对应的数据安全识别矩阵:针对该第一行为知识关系网中的每个第一行为知识单元,从该第一行为知识关系网对应的第二行为知识关系网的多个第二行为知识单元中,确定与该第一行为知识单元对应的多个上下游行为知识单元;其中,该第一行为知识单元对应的各个上下游行为知识单元,与该第一行为知识单元定位标签配对的目标第二行为知识单元之间的差异度满足目标条件;结合该第一行为知识单元与每个上下游行为知识单元之间的向量相关度,确定该第一行为知识单元的识别变量。
在本发明实施例中,第一行为知识单元对应的上下游行为知识单元的示例型思路、以及确定第一行为知识单元与上下游行为知识单元之间的向量相关度的思路,与上述步骤301相似。
在确定了第一行为知识单元与每个上下游行为知识单元之间的向量相关度后,比如可以确定多个上下游行为知识单元分别与该第一行为知识单元之间的向量相关度的向量相关度最大值;结合所述向量相关度最大值,确定该第一行为知识单元的识别变量(用于评估风险等级的量化值,取值范围可以为0~1)。又比如,可以根据多个关联成员分别与该第一成员之间的向量相关度,确定向量相关度均值,并结合该向量相关度均值,确定该第一成员的识别变量。
在确定了第一行为知识关系网中每个第一行为知识单元对应的识别变量后,结合所述第一行为知识关系网中各个第一行为知识单元对应的识别变量,得到所述数据安全识别矩阵。比如可以将所有第一行为知识单元分别对应的识别变量构成的数据共享会话记录,作为数据安全识别矩阵。
步骤303、结合所述已标注知识关系网、以所述数据安全识别矩阵,得到该第一行为知识关系网对应的已重构知识关系网。
比如可以对所述已标注知识关系网、以及该第一行为知识关系网进行关系网融合,得到该第一行为知识关系网对应的已融合行为知识关系网;后结合所述数据安全识别矩阵、以及所述已融合行为知识关系网,得到所述已重构知识关系网。
进一步地,比如可以将已标注知识关系网和第一行为知识关系网进行组合,得到已融合行为知识关系网。在结合数据安全识别矩阵、以及已融合行为知识关系网得到已重构知识关系网时,比如可以对将数据安全识别矩阵和已融合行为知识关系网进行点积运算,得到已重构知识关系网。
在本发明实施例中,对第一行为知识关系网和判定值对应的第二行为知识关系网进行关系网重构处理的设计思路,比如可以通过事先调试的关系网重构策略(关系网重构网络)来实现。本发明实施例还提供一种关系网重构策略的示例性架构,包括:知识标注节点、以及安全分析节点。其中,安全分析节点,用于结合上述步骤302对应的思路,得到第一行为知识关系网的数据安全识别矩阵。知识标注节点,用于结合上述步骤302对应的思路,得到与第一行为知识关系网对应的第二行为知识关系网对应的已标注知识关系网。然后将已标注知识关系网、和第一行为知识关系网进行组合,得到已融合行为知识关系网;并结合数据安全识别矩阵和已融合行为知识关系网,得到已重构知识关系网。
在步骤104中,在对已重构知识关系网进行安全隐患挖掘,获得所述触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告时,在获得多轮处理分别对应的第一行为知识关系网和第二行为知识关系网的基础上,比如可以结合所述各个第一行为知识关系网对应的已重构知识关系网,得到所述各个第一行为知识关系网的数据安全挖掘报告;结合与多轮会话行为知识提取分别对应的第一行为知识关系网的数据安全挖掘报告,得到所述触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告。
举例而言可以采用预调试的分类器,对已重构知识关系网进行安全分析处理,得到与触发共享安全分析条件的数据共享会话记录对应的数据安全挖掘报告。
在一些示例下,该数据安全挖掘报告包括:隐患行为标签、隐患行为后果、隐患行为分布的定位标签。
在获得多轮会话行为知识提取中每轮会话行为知识提取对应的第一行为知识关系网的分析信息后,可以将多轮会话行为知识提取分别对应的第一行为知识关系网的分析信息进行关系网融合,得到触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告。又比如,还可以取多轮会话行为知识提取分别对应的第一行为知识关系网的分析信息的重叠信息,来确定触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告。
本发明实施例通过对触发共享安全分析条件的数据共享会话记录进行多轮会话行为知识提取,获取与每轮会话行为知识提取对应的第一行为知识关系网数据共享会话记录,并对共享会话参考记录进行多轮会话行为知识提取,获取各个第一行为知识关系网对应的第二行为知识关系网,然后针对各个第一行为知识关系网,对该第一行为知识关系网、以及与该第一行为知识关系网对应的第二行为知识关系网,进行关系网重构处理,得到该第一行为知识关系网对应的已重构知识关系网,从而通过将触发共享安全分析条件的数据共享会话记录和共享会话参考记录中知识的联动分析,来改善第一行为知识关系网和第二行为知识关系网之间存在的一系列知识特征偏移和扰动,然后利用已重构知识关系网,得到第一行为知识关系网的数据安全挖掘报告,进而权衡多轮会话行为知识提取分别对应的第一行为知识关系网的数据安全挖掘报告,从而准确可靠地获得触发共享安全分析条件的数据共享会话记录的数据安全挖掘报告。
基于上述相同或相似的发明构思,还提供了一种数据安全分享方法的应用环境30的架构示意图,包括互相之间通信的数据安全分享系统10和数据共享端20,数据安全分享系统10和数据共享端20在运行时实现或者部分实现上述方法实施例所描述的技术方案。
进一步地,还提供了一种可读存储介质,其上存储有程序,该程序被处理器执行时实现上述的方法。
在本发明实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,媒体业务服务器10,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。