CN118094551B - 基于大数据的系统安全分析方法、设备及介质 - Google Patents

基于大数据的系统安全分析方法、设备及介质 Download PDF

Info

Publication number
CN118094551B
CN118094551B CN202410500620.5A CN202410500620A CN118094551B CN 118094551 B CN118094551 B CN 118094551B CN 202410500620 A CN202410500620 A CN 202410500620A CN 118094551 B CN118094551 B CN 118094551B
Authority
CN
China
Prior art keywords
sequence
feature
threat
modal
matrix
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410500620.5A
Other languages
English (en)
Other versions
CN118094551A (zh
Inventor
曾胜群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
LOLAAGE TECHNOLOGIES Inc
Original Assignee
LOLAAGE TECHNOLOGIES Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by LOLAAGE TECHNOLOGIES Inc filed Critical LOLAAGE TECHNOLOGIES Inc
Priority to CN202410500620.5A priority Critical patent/CN118094551B/zh
Publication of CN118094551A publication Critical patent/CN118094551A/zh
Application granted granted Critical
Publication of CN118094551B publication Critical patent/CN118094551B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及安全分析技术,揭露了一种基于大数据的系统安全分析方法、电子设备及计算机可读存储介质,其中方法包括:将系统监测数据序列分层相关线性特征融合成系统多模态特征序列;对系统多模态特征序列进行正态离群威胁标注拆分,得到威胁多模态特征集以及标准多模态特征序列组;利用威胁多模态特征集训练出威胁分析模型,利用标准多模态特征序列组训练出时序分析模型;利用威胁分析模型分析出实时监测数据序列的初级安全分析结果,利用时序分析模型析出实时监测数据序列的次级安全分析结果;利用次级安全分析结果对初级安全分析结果进行关联威胁分析和安全响应。本发明可以应用于系统安全分析领域,能够提高系统安全分析的准确率。

Description

基于大数据的系统安全分析方法、设备及介质
技术领域
本发明涉及安全分析技术领域,尤其涉及一种基于大数据的系统安全分析方法、电子设备及计算机可读存储介质。
背景技术
随着计算机技术的日益发展,越来越多的平台和机构开始利用部署的系统提高工作处理效率,然而系统中往往包含着各式各样的敏感信息,这也使得系统容易遭受恶意攻击,为了识别和解决潜在的安全风险和威胁,保护系统免受恶意攻击和意外事件的影响,需要对系统进行安全分析。
现有的系统安全分析技术通常采用基于大数据聚类的安全分析方法,通过过去的系统数据进行聚类分析,结合标注的威胁数据确定系统威胁的威胁种类,并针对得到的威胁种类进行安全分析,然而,实际应用中,基于大数据聚类的安全分析方法往往存在模型过拟合偏差以及对噪声数据敏感等缺陷,可能导致进行系统安全分析时的准确率较低。
发明内容
本发明提供一种基于大数据的系统安全分析方法、电子设备及计算机可读存储介质,其主要目的在于解决进行系统安全分析时的准确率较低的问题。
为实现上述目的,本发明提供的一种基于大数据的系统安全分析方法,包括:
对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列;
对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组;
利用所述威胁多模态特征集对预设的分类模型进行威胁识别训练,得到威胁分析模型,利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型;
利用所述威胁分析模型对实时获取的实时监测数据序列进行初级威胁分析,得到初级安全分析结果,利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果;
利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,根据所述标准安全分析结果对所述实时监测数据序列进行安全响应。
可选地,所述对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列,包括:
对预先获取的系统监测数据序列进行数据去重以及单位统一操作,得到标准监测数据序列;
对所述标准监测数据序列进行数据分层数据提取,得到用户行为数据序列、组件事件数据序列以及网络流量数据序列;
对所述用户行为数据序列进行行为分类编码以及零均值化操作,得到用户行为特征序列;
对所述组件事件数据序列进行事件分级编码以及零均值化操作,得到组件事件特征序列;
对所述网络流量数据序列进行流量拼接编码以及零均值化操作,得到网络流量特征序列;
对所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列进行相关线性融合,得到系统多模态特征序列。
可选地,所述对所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列进行相关线性融合,得到系统多模态特征序列,包括:
分别将所述用户行为特征序列矩阵化成用户行为矩阵,将所述组件事件特征序列矩阵化成组件事件矩阵以及将所述网络流量特征序列矩阵化成网络流量矩阵;
利用如下的相关分析算法对所述用户行为矩阵、所述组件事件矩阵以及所述网络流量矩阵进行相关性分析,得到相关向量组以及相关系数:其中,是所述用户行为矩阵,是所述组件事件矩阵,是所述网络流量矩阵,是所述用户行为矩阵的协方差矩阵,是所述用户行为矩阵和所述组件事件矩阵的协方差矩阵,是所述用户行为矩阵和所述网络流量矩阵的协方差矩阵,是所述组件事件矩阵和所述用户行为矩阵的协方差矩阵,是所述组件事件矩阵的协方差矩阵,是所述组件事件矩阵和所述网络流量矩阵的协方差矩阵,是所述网络流量矩阵和所述用户行为矩阵的协方差矩阵,是所述网络流量矩阵和所述组件事件矩阵的协方差矩阵,是所述网络流量矩阵的协方差矩阵,是所述相关向量组,是所述相关系数;
利用如下的线性融合算法根据所述相关向量组以及所述相关系数对所述用户行为矩阵、所述组件事件矩阵以及所述网络流量矩阵进行线性融合,得到系统多模态矩阵:其中,是指所述系统多模态矩阵,是向量取模符号,是所述相关系数;
对所述系统多模态矩阵进行逆矩阵化操作,得到系统多模态特征序列。
可选地,所述对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组,包括:
对所述系统多模态特征序列进行威胁标注检测,得到标注威胁特征组;
对所述系统多模态特征序列进行正态离群检测,得到离群威胁特征组;
对根据所述标注威胁特征组和所述离群威胁特征组进行去重威胁重组操作,得到威胁多模态特征集;
根据所述威胁多模态特征集对所述系统多模态特征序列进行拆分筛除,得到标准多模态特征序列组。
可选地,所述对所述系统多模态特征序列进行正态离群检测,得到离群威胁特征组,包括:
对所述系统多模态特征序列进行零均值化操作,得到标准多模态特征序列;
随机在所述标准多模态特征序列中筛选出初级模态中心特征,利用如下的正态特征距离算法计算出所述标准多模态特征序列中各个标准多模态特征到所述初级模态中心特征之间的正态特征距离; 其中,是指所述标准多模态特征序列中第个标准多模态特征的正态特征距离,为序号,是所述标准多模态特征序列的特征总数,是对数函数符号,是归一化函数符号,是向量取模符号,是指所述标准多模态特征序列中第个标准多模态特征,是指所述标准多模态特征序列中第个标准多模态特征,是余弦函数符号,是所述标准多模态特征序列中第个标准多模态特征与所述初级模态中心特征之间的夹角,是预设的夹角偏移,是所述标准多模态特征序列中第个标准多模态特征与所述初级模态中心特征之间的夹角,是反余弦函数,是点积符号,是指所述初级模态中心特征;
根据所有的正态特征距离从所述标准多模态特征序列中筛选出初级正态特征组;
根据所述初级正态特征组将所述标准多模态特征序列随机分组为多个初级标准多模态特征组;
对各个初级标准多模态特征组进行迭代均值聚类,得到多模态特征类集;
根据所述多模态特征类集对所述系统多模态特征序列进行离群特征检测,得到离群威胁特征组。
可选地,所述利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型,包括:
对所述标准多模态特征序列组进行逐位时序门卷积操作,得到时序多模态特征序列组;
对所述时序多模态特征序列组进行位置编码和注意力权重编码操作,得到注意力多模态特征序列组;
利用预设的时序模型对所述注意力多模态特征序列组进行全连接操作,得到分析多模态特征序列组;
对所述分析多模态特征序列组和所述标准多模态特征序列组进行特征损失值计算,得到时序损失值;
根据所述时序损失值对所述时序模型进行迭代参数更新,得到时序分析模型。
可选地,所述利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果,包括:
对所述实时监测数据序列进行数据分层特征提取以及相关线性融合,得到实时多模态特征序列;
对所述实时多模态特征序列进行序列拆解,得到实时特征序列集;
利用所述时序分析模型计算出所述实时特征序列集对应的分析实时特征集;
将所述分析实时特征集时序排序成分析实时特征序列;
对所述分析实时特征序列和所述实时多模态特征序列进行逐位特征偏移计算,得到特征偏移序列;
利用所述特征偏移序列对所述实时监测数据序列进行偏移阈值分析,得到次级安全分析结果。
可选地,所述利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,包括:
对所述初级安全分析结果进行威胁数据提取,得到初级威胁数据序列;
对所述次级安全分析结果进行威胁数据提取,得到次级威胁数据序列;
对所述初级威胁数据序列和所述次级威胁数据序列进行威胁项集重组,得到威胁项集组;
对所述威胁项集组进行支持度计算以及支持度阈值筛选,得到支持项集组;
对所述支持项集组进行关联规则生成以及关联置信度分析,得到标准关联项集组;
根据所述标准关联项集组对所述次级安全分析结果和所述初级安全分析结果进行结果合并筛选,得到标准安全分析结果。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述所述的基于大数据的系统安全分析方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的基于大数据的系统安全分析方法。
本发明实施例通过对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,可以提高系统监测数据的准确性,进而提高后续模型训练的准确性,并实现了不同数据源的监测数据之间的关联分析以及整体特征融合,进而提高安全分析的准确性,通过对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,可以实现将系统多模态特征序列拆分成包含威胁特征的系统多模态特征组成的数据集以及不包含威胁特征的系统多模态特征组成的数据集,从而方便后续的模型训练过程,实现对系统安全分析的双重分析。
所述威胁分析模型可以结合分类算法通过识别所述实时监测数据序列对应的特征类型实现初级威胁分析,所述时序分析模型可以根据所述实时监测数据序列与预测出的监测数据特征趋势实现次级威胁分析,从而实现了系统安全的二重分析,提高了威胁分析的准确性,通过关联威胁分析可以对所述次级安全分析结果对所述初级安全分析结果的威胁进行关联分析,从而扩大安全分析的检测范围,实现对链路攻击的识别度,提高安全分析的准确性。因此本发明提出的基于大数据的系统安全分析方法、电子设备及计算机可读存储介质,可以解决进行系统安全分析时的准确率较低的问题。
附图说明
图1为本发明一实施例提供的基于大数据的系统安全分析方法的流程示意图;
图2为本发明一实施例提供的生成系统多模态特征序列的流程示意图;
图3为本发明一实施例提供的提取威胁多模态特征集以及标准多模态特征序列组的流程示意图;
图4为本发明一实施例提供的实现所述基于大数据的系统安全分析方法的电子设备的结构示意图。
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种基于大数据的系统安全分析方法。所述基于大数据的系统安全分析方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述基于大数据的系统安全分析方法可以由安装在终端设备或服务端设备的软件或硬件来执行。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。所述服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
参照图1所示,为本发明一实施例提供的基于大数据的系统安全分析方法的流程示意图。在本实施例中,所述基于大数据的系统安全分析方法包括:
S1、对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列。
详细地,所述系统监测数据序列是按照时序顺序记录的对系统进行监测得到的各项数据,其中,所述系统监测数据序列中的各个系统监测数据对应一个时间段内记录的系统的用户操作行为数据,系统各个组件的组件日志数据以及系统的网络流量等数据。
本发明实施例中,所述对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列,包括:
对预先获取的系统监测数据序列进行数据去重以及单位统一操作,得到标准监测数据序列;
对所述标准监测数据序列进行数据分层数据提取,得到用户行为数据序列、组件事件数据序列以及网络流量数据序列;
对所述用户行为数据序列进行行为分类编码以及零均值化操作,得到用户行为特征序列;
对所述组件事件数据序列进行事件分级编码以及零均值化操作,得到组件事件特征序列;
对所述网络流量数据序列进行流量拼接编码以及零均值化操作,得到网络流量特征序列;
对所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列进行相关线性融合,得到系统多模态特征序列。
具体地,所述数据去重的方法可以是哈希去重法,所述单位统一是指将事件、流量速度或数据包大小等数据统一到相同的单位,所述数据分层数据提取是指根据所述标准监测数据序列中各个标准监测数据的标签或数据关键词从标准监测数据中提取出用户行为数据、组件事件数据以及网络流量数据,将所有的用户行为数据按时序汇集成用户行为数据序列,将所有的组件事件数据按时序汇集成组件事件数据序列,将所有的网络流量数据按时序汇集成网络流量数据序列。
详细地,所述用户行为数据序列中的各个用户行为数据包括用户的登录次数、操作频率、使用时间段以及访问页面等,所述组件事件数据序列中的各个组件事件数据包括事件的类型、发生时间、事件持续时间以及时间的级别等,所述网络流量数据序列中的各个网络流量数据包括数据包数量、数据包大小、传输速度、流量类型、源IP、目标IP、源端口以及目标端口等。
具体地,所述行为分类编码是指将所述用户行为数据序列中的登录、查看等行为名称分类并编码成向量格式,并拼接登录次数、行为时间以及访问页面等数字编码成用户行为特征序列,所述事件分级编码是指将所述组件事件数据序列中的事件按照优先级等分级编码,并拼接事件发生时间、事件持续时间以及事件级别等数字编码成组件事件特征序列,所述流量拼接编码是指将数据包数量、数据包大小、传输速度、流量类型、源IP、目标IP、源端口以及目标端口等拼接编码成特征向量。
具体地,所述零均值化操作是指将特征序列归一化,且使得归一化后的特征序列的均值和单位方差为零,所述另均值化操作可以确保后续相关线性融合时各个特征具有相似的尺度和范围,减少特征融合的误差。
详细地,参照图2所示,所述对所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列进行相关线性融合,得到系统多模态特征序列,包括:
S21、分别将所述用户行为特征序列矩阵化成用户行为矩阵,将所述组件事件特征序列矩阵化成组件事件矩阵以及将所述网络流量特征序列矩阵化成网络流量矩阵;
S22、对所述用户行为矩阵、所述组件事件矩阵以及所述网络流量矩阵进行相关性分析,得到相关向量组以及相关系数;
S23、根据所述相关向量组以及所述相关系数对所述用户行为矩阵、所述组件事件矩阵以及所述网络流量矩阵进行线性融合,得到系统多模态矩阵;
S24、对所述系统多模态矩阵进行逆矩阵化操作,得到系统多模态特征序列。
详细地,所述矩阵化是指将所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列中的各个特征作为矩阵元素转置成为矩阵。
具体地,利用如下的相关分析算法进行相关性分析,得到相关向量组以及相关系数:其中,是所述用户行为矩阵,是所述组件事件矩阵,是所述网络流量矩阵,是所述用户行为矩阵的协方差矩阵,是所述用户行为矩阵和所述组件事件矩阵的协方差矩阵,是所述用户行为矩阵和所述网络流量矩阵的协方差矩阵,是所述组件事件矩阵和所述用户行为矩阵的协方差矩阵,是所述组件事件矩阵的协方差矩阵,是所述组件事件矩阵和所述网络流量矩阵的协方差矩阵,是所述网络流量矩阵和所述用户行为矩阵的协方差矩阵,是所述网络流量矩阵和所述组件事件矩阵的协方差矩阵,是所述网络流量矩阵的协方差矩阵,是所述相关向量组,是所述相关系数。
详细地,所述相关分析算法可以根据所述用户行为矩阵、所述组件事件矩阵以及所述网络流量矩阵之间的协方差信息的广义特征值分解方法衡量所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列之间的相关性关系。
详细地,利用如下的线性融合算法进行线性融合,得到系统多模态矩阵:其中,是指所述系统多模态矩阵,是向量取模符号,是所述相关系数。
所述线性融合算法可以根据所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列之间的相关性的强弱确定特征融合时的权重大小,进而提高所述系统多模态特征序列中系统特征的表征性。
本发明实施例中,通过对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,可以提高系统监测数据的准确性,进而提高后续模型训练的准确性,并实现了不同数据源的监测数据之间的关联分析以及整体特征融合,进而提高安全分析的准确性。
S2、对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组。
本发明实施例中,所述威胁多模态特征集中的各个威胁多模态特征是所述系统多模态特征序列中标注为具有安全威胁或相对离群的系统多模态特征,所述标准多模态特征序列组中的各个标准多模态特征序列是由所述系统多模态特征序列筛除所述威胁多模态特征集中的各个威胁多模态特征后得到的特征序列。
本发明实施例中,参照图3所示,所述对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组,包括:
S31、对所述系统多模态特征序列进行威胁标注检测,得到标注威胁特征组;
S32、对所述系统多模态特征序列进行正态离群检测,得到离群威胁特征组;
S33、对根据所述标注威胁特征组和所述离群威胁特征组进行去重威胁重组操作,得到威胁多模态特征集;
S34、根据所述威胁多模态特征集对所述系统多模态特征序列进行拆分筛除,得到标准多模态特征序列组。
详细地,所述威胁标注检测是指将所述系统多模态特征序列中标注为存在威胁的系统多模态特征汇集成标注威胁特征组,其中,可以根据系统监测数据序列中标注为存在威胁的系统监测数据进行威胁特征标注。
具体地,所述对所述系统多模态特征序列进行正态离群检测,得到离群威胁特征组,包括:
对所述系统多模态特征序列进行零均值化操作,得到标准多模态特征序列;
随机在所述标准多模态特征序列中筛选出初级模态中心特征,计算出所述标准多模态特征序列中各个标准多模态特征到所述初级模态中心特征之间的正态特征距离;
根据所有的正态特征距离从所述标准多模态特征序列中筛选出初级正态特征组;
根据所述初级正态特征组将所述标准多模态特征序列随机分组为多个初级标准多模态特征组;
对各个初级标准多模态特征组进行迭代均值聚类,得到多模态特征类集;
根据所述多模态特征类集对所述系统多模态特征序列进行离群特征检测,得到离群威胁特征组。
详细地,利用如下的正态特征距离算法计算出正态特征距离; 其中,是指所述标准多模态特征序列中第个标准多模态特征的正态特征距离,为序号,是所述标准多模态特征序列的特征总数,是对数函数符号,是归一化函数符号,是向量取模符号,是指所述标准多模态特征序列中第个标准多模态特征,是指所述标准多模态特征序列中第个标准多模态特征,是余弦函数符号,是所述标准多模态特征序列中第个标准多模态特征与所述初级模态中心特征之间的夹角,是预设的夹角偏移,是所述标准多模态特征序列中第个标准多模态特征与所述初级模态中心特征之间的夹角,是反余弦函数,是点积符号,是指所述初级模态中心特征。
具体地,所述初级模态中心特征是所述标准多模态特征序列中随机一个标准多模态特征,所述正态特征距离算法可以利用特征向量的偏置和计算出所述初级模态中心特征和标准多模态特征序列中各个标准多模态特征的相似度的正态概率分布,从而可以掌握所述标准多模态特征序列中特征相似度的分布情况,方便后续的初级正态特征组的筛选。
具体地,所述初级正态特征组是指所述标准多模态特征序列中正态特征距离相对分布较远的若干初级正态特征组成的特征组,所述初级正态特征组可以防止后续迭代均值聚类过程中出现样本模糊和样本重叠的现象。
详细地,所述初级标准多模态特征组是指以初级正态特征组中的各个初级正态特征为特征中点的特征组,所述迭代均值聚类的方法可以是K均值聚类法或k-means、K-medoids或Fuzzy C-means等聚类方法,所述离群特征检测是指筛选出所述多模态特征类集中的离群特征作为离群多模态特征汇集成离群多模态特征组,将所述系统多模态特征序列中所述离群多模态特征组对应的系统多模态特征汇集成离群威胁特征组。
具体地,所述去重威胁重组是指将所述标注威胁特征组和所述所述离群威胁特征组中的各个特征汇集成一个特征集,并筛除重复特征,所述拆分筛除是指将所述系统多模态特征序列所述威胁多模态特征集中的各个威胁多模态特征从所述系统多模态特征序列中筛除,将得到的多个子序列作为标准多模态特征序列汇集成标准多模态特征序列组。
本发明实施例中,通过对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,可以实现将系统多模态特征序列拆分成包含威胁特征的系统多模态特征组成的数据集以及不包含威胁特征的系统多模态特征组成的数据集,从而方便后续的模型训练过程,实现对系统安全分析的双重分析。
S3、利用所述威胁多模态特征集对预设的分类模型进行威胁识别训练,得到威胁分析模型,利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型。
本发明实施例中,所述分类模型可以是输入是系统的多模态特征,输出是威胁种类的卷积神经网络模型、支持向量机模型或决策树模型,所述威胁识别训练是指获取所述威胁多模态特征集对应的标注威胁集,将所述系统多模态特征序列中除所述威胁多模态特征集之外的多模态特征标注为无威胁,根据所述标注威胁集、所述威胁多模态特征集以及系统多模态特征序列中除所述威胁多模态特征集之外的多模态特征生成威胁识别训练集,利用所述威胁识别训练集对所述分类模型进行训练,其中,所述标注威胁集中的各个标注威胁对应所述威胁多模态特征集中一个威胁多模态特征的具体威胁信息,例如未授权访问、数据泄露以及网络攻击等。
具体地,所述时序模型可以是输入是系统的多模态特征序列,输出是下一时间段的系统的多模态特征的长短期记忆网络 (Long Short-Term Memory,简称LSTM)或循环神经网络 (Recurrent Neural Network,简称RNN)。
本发明实施例中,所述利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型,包括:
对所述标准多模态特征序列组进行逐位时序门卷积操作,得到时序多模态特征序列组;
对所述时序多模态特征序列组进行位置编码和注意力权重编码操作,得到注意力多模态特征序列组;
利用预设的时序模型对所述注意力多模态特征序列组进行全连接操作,得到分析多模态特征序列组;
对所述分析多模态特征序列组和所述标准多模态特征序列组进行特征损失值计算,得到时序损失值;
根据所述时序损失值对所述时序模型进行迭代参数更新,得到时序分析模型。
具体地,所述逐位时序门卷积是指逐个选取所述标准多模态特征序列组中的标准多模态特征序列作为目标多模态特征序列,利用时序模型的门结构对所述多模态特征序列中的各位上的多模态特征进行时序特征提取,将所述目标多模态特征序列的所有时序特征汇集成时序多模态特征序列,将所有的时序多模态特征序列汇集成时序多模态特征序列组。
详细地,可以利用可学习位置编码或相对位置编码的方法进行位置编码,所述注意力权重编码是指利用注意力机制计算出所述时序多模态特征序列组中各个特征所占序列的注意力权重,并根据注意力权重对所述时序多模态特征序列组进行加权运算操作。
具体地,所述特征损失值计算的方法可以是余弦损失值算法或欧式距离算法,所述迭代参数更新的方法可以是随机梯度下降法或快速梯度下降算法。
本发明实施例中,通过利用威胁分析模型分析出系统的多模态特征和对应的威胁种类之间的对应关系,通过所述时序分析模型可以分析出无系统威胁时系统的多模态特征随时间的变化关系,从而方便后续的威胁分析识别。
S4、利用所述威胁分析模型对实时获取的实时监测数据序列进行初级威胁分析,得到初级安全分析结果,利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果。
本发明实施例中,所述初级威胁分析包括对所述实时监测数据序列进行分层数据提取以及相关线性特征融合,得到实时多模态特征序列,利用所述威胁分析模型对所述实时多模态特征序列中的各个实时多模态特征进行威胁识别,得到初级安全分析结果,其中,所述初级安全分析结果包括所述实时监测数据序列中各个实时监测数据是否为威胁以及威胁种类的分析结果,其中,所述相关线性特征融合与上述步骤S1中的相关线性特征融合方法相同。
详细地,所述利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果,包括:
对所述实时监测数据序列进行数据分层特征提取以及相关线性融合,得到实时多模态特征序列;
对所述实时多模态特征序列进行序列拆解,得到实时特征序列集;
利用所述时序分析模型计算出所述实时特征序列集对应的分析实时特征集;
将所述分析实时特征集时序排序成分析实时特征序列;
对所述分析实时特征序列和所述实时多模态特征序列进行逐位特征偏移计算,得到特征偏移序列;
利用所述特征偏移序列对所述实时监测数据序列进行偏移阈值分析,得到次级安全分析结果。
详细地,所述初级安全分析结果和所述次级安全分析结果包括所述实时监测数据序列各个实时监测数据分析出的是否为威胁以及威胁种类,所述所述数据分层特征提取以及相关线性融合的方法与上述步骤S1中的相同,所述序列拆解是指将所述实时多模态特征序列逐位断链,拆解成多个子序列。
具体地,所述逐位特征偏移计算是指逐个选取所述分析实时特征序列中的分析实时特征作为目标分析实时特征,将所述实时多模态特征序列中与所述目标分析实时特征的时间步相同的实时多模态特征作为目标实时多模态特征,计算出所述目标分析实时特征和所述目标实时多模态特征之间的特征偏移,将所有的特征偏移按照时间步顺序排序成特征偏移序列,其中,所述特征偏移的计算方法可以是余弦距离方法或欧式距离方法。
详细地,所述偏移阈值分析是指将所述特征偏移序列超出预设偏移阈值的特征偏移汇集成目标特征偏移组,将所述实时监测数据序列中与所述目标特征偏移组的时间步相同的实时监测数据汇集成偏移监测数据组,将所述偏移监测数据组反馈给安全员,获取所述安全员针对所述偏移监测数据组反馈的次级安全分析结果。
本发明实施例中,所述威胁分析模型可以结合分类算法通过识别所述实时监测数据序列对应的特征类型实现初级威胁分析,所述时序分析模型可以根据所述实时监测数据序列与预测出的监测数据特征趋势实现次级威胁分析,从而实现了系统安全的二重分析,提高了威胁分析的准确性。
S5、利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,根据所述标准安全分析结果对所述实时监测数据序列进行安全响应。
本发明实施例中,所述利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,包括:
对所述初级安全分析结果进行威胁数据提取,得到初级威胁数据序列;
对所述次级安全分析结果进行威胁数据提取,得到次级威胁数据序列;
对所述初级威胁数据序列和所述次级威胁数据序列进行威胁项集重组,得到威胁项集组;
对所述威胁项集组进行支持度计算以及支持度阈值筛选,得到支持项集组;
对所述支持项集组进行关联规则生成以及关联置信度分析,得到标准关联项集组;
根据所述标准关联项集组对所述次级安全分析结果和所述初级安全分析结果进行结果合并筛选,得到标准安全分析结果。
详细地,所述威胁数据提取是指提取出所述初级安全分析结果与所述次级安全分析结果中被标注威胁的监测数据,所述威胁项集重组是指对所述初级威胁数据序列和所述次级威胁数据序列中的各个监测数据进行穷举组合,其中所述威胁项集组中的各个威胁项集包括所述初级威胁数据序列和所述次级威胁数据序列中的各个监测数据的一种组合方式。
具体地,可以利用统计法进行支持度计算,所述支持度是指对应的威胁项集在所述初级威胁数据序列和所述次级威胁数据序列中的频率,所述支持阈值筛选是指筛选出所述威胁项集组中支持度大于预设的支持度阈值的威胁项集汇集成支持项集组。
详细地,可以利用Apriori算法或FP-Growth算法进行关联规则生成,所述关联置信度分析是指利用基于频繁项集的方法计算出所述支持项集组的各个关联规则的置信度,并选取置信度大于预设的置信度阈值的支持项集汇集成标准关联项集组,所述结果合并筛选是指将所述次级安全分析结果和所述初级安全分析结果中所述标准关联项集组对应的各个监测数据以及对应的威胁分析结果汇集成标准安全分析结果。
具体地,所述根据所述标准安全分析结果对所述实时监测数据序列进行安全响应是指根据所述标准安全分析结果中各个监测数据对应的威胁种类筛选出对应的安全响应策略进行响应,例如,当所述监测数据的威胁种类为病毒数据时,对应的安全相应策略是清除监测数据。
本发明实施例中,通过关联威胁分析可以对所述次级安全分析结果对所述初级安全分析结果的威胁进行关联分析,从而扩大安全分析的检测范围,实现对链路攻击的识别度,提高安全分析的准确性。
本发明实施例通过对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,可以提高系统监测数据的准确性,进而提高后续模型训练的准确性,并实现了不同数据源的监测数据之间的关联分析以及整体特征融合,进而提高安全分析的准确性,通过对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,可以实现将系统多模态特征序列拆分成包含威胁特征的系统多模态特征组成的数据集以及不包含威胁特征的系统多模态特征组成的数据集,从而方便后续的模型训练过程,实现对系统安全分析的双重分析。
所述威胁分析模型可以结合分类算法通过识别所述实时监测数据序列对应的特征类型实现初级威胁分析,所述时序分析模型可以根据所述实时监测数据序列与预测出的监测数据特征趋势实现次级威胁分析,从而实现了系统安全的二重分析,提高了威胁分析的准确性,通过关联威胁分析可以对所述次级安全分析结果对所述初级安全分析结果的威胁进行关联分析,从而扩大安全分析的检测范围,实现对链路攻击的识别度,提高安全分析的准确性。因此本发明提出的基于大数据的系统安全分析方法,可以解决进行系统安全分析时的准确率较低的问题。
如图4所示,是本发明一实施例提供的实现基于大数据的系统安全分析方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11、通信总线12以及通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如基于大数据的系统安全分析程序。
其中,所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行基于大数据的系统安全分析程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card, SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如基于大数据的系统安全分析程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述通信总线12可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
所述通信接口13用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图中仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图中示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的基于长度优化的文本分析程序是多个指令的组合,在所述处理器10中运行时,可以实现:
对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列;
对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组;
利用所述威胁多模态特征集对预设的分类模型进行威胁识别训练,得到威胁分析模型,利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型;
利用所述威胁分析模型对实时获取的实时监测数据序列进行初级威胁分析,得到初级安全分析结果,利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果;
利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,根据所述标准安全分析结果对所述实时监测数据序列进行安全响应。
具体地,所述处理器10对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列;
对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组;
利用所述威胁多模态特征集对预设的分类模型进行威胁识别训练,得到威胁分析模型,利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型;
利用所述威胁分析模型对实时获取的实时监测数据序列进行初级威胁分析,得到初级安全分析结果,利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果;
利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,根据所述标准安全分析结果对所述实时监测数据序列进行安全响应。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用装置。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置实施例中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (6)

1.一种基于大数据的系统安全分析方法,其特征在于,所述方法包括:
对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列;
对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组,其中,所述对所述系统多模态特征序列进行正态离群威胁标注以及威胁序列拆分,得到威胁多模态特征集以及标准多模态特征序列组,包括:对所述系统多模态特征序列进行威胁标注检测,得到标注威胁特征组;对所述系统多模态特征序列进行正态离群检测,得到离群威胁特征组;对根据所述标注威胁特征组和所述离群威胁特征组进行去重威胁重组操作,得到威胁多模态特征集;根据所述威胁多模态特征集对所述系统多模态特征序列进行拆分筛除,得到标准多模态特征序列组,其中,所述对所述系统多模态特征序列进行正态离群检测,得到离群威胁特征组,包括:对所述系统多模态特征序列进行零均值化操作,得到标准多模态特征序列;随机在所述标准多模态特征序列中筛选出初级模态中心特征,利用如下的正态特征距离算法计算出所述标准多模态特征序列中各个标准多模态特征到所述初级模态中心特征之间的正态特征距离; 其中,是指所述标准多模态特征序列中第个标准多模态特征的正态特征距离,为序号,是所述标准多模态特征序列的特征总数,是对数函数符号,是归一化函数符号,是向量取模符号,是指所述标准多模态特征序列中第个标准多模态特征,是指所述标准多模态特征序列中第个标准多模态特征,是余弦函数符号,是所述标准多模态特征序列中第个标准多模态特征与所述初级模态中心特征之间的夹角,是预设的夹角偏移,是所述标准多模态特征序列中第个标准多模态特征与所述初级模态中心特征之间的夹角,是反余弦函数,是点积符号,是指所述初级模态中心特征;根据所有的正态特征距离从所述标准多模态特征序列中筛选出初级正态特征组;根据所述初级正态特征组将所述标准多模态特征序列随机分组为多个初级标准多模态特征组;对各个初级标准多模态特征组进行迭代均值聚类,得到多模态特征类集;根据所述多模态特征类集对所述系统多模态特征序列进行离群特征检测,得到离群威胁特征组;
利用所述威胁多模态特征集对预设的分类模型进行威胁识别训练,得到威胁分析模型,利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型;
利用所述威胁分析模型对实时获取的实时监测数据序列进行初级威胁分析,得到初级安全分析结果,利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果,其中,所述初级安全分析结果和所述次级安全分析结果包括所述实时监测数据序列中各个实时监测数据是否为威胁以及威胁种类的分析结果,其中,所述初级威胁分析包括对所述实时监测数据序列进行分层数据提取以及相关线性特征融合,得到实时多模态特征序列,利用所述威胁分析模型对所述实时多模态特征序列中的各个实时多模态特征进行威胁识别,得到初级安全分析结果,其中,所述利用所述时序分析模型对所述实时监测数据序列进行次级威胁分析,得到次级安全分析结果,包括:对所述实时监测数据序列进行数据分层特征提取以及相关线性融合,得到实时多模态特征序列;对所述实时多模态特征序列进行序列拆解,得到实时特征序列集;利用所述时序分析模型计算出所述实时特征序列集对应的分析实时特征集;将所述分析实时特征集时序排序成分析实时特征序列;对所述分析实时特征序列和所述实时多模态特征序列进行逐位特征偏移计算,得到特征偏移序列;利用所述特征偏移序列对所述实时监测数据序列进行偏移阈值分析,得到次级安全分析结果;
利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,根据所述标准安全分析结果对所述实时监测数据序列进行安全响应,其中,所述利用所述次级安全分析结果对所述初级安全分析结果进行关联威胁分析,得到标准安全分析结果,包括:对所述初级安全分析结果进行威胁数据提取,得到初级威胁数据序列;对所述次级安全分析结果进行威胁数据提取,得到次级威胁数据序列;对所述初级威胁数据序列和所述次级威胁数据序列进行威胁项集重组,得到威胁项集组;对所述威胁项集组进行支持度计算以及支持度阈值筛选,得到支持项集组;对所述支持项集组进行关联规则生成以及关联置信度分析,得到标准关联项集组;根据所述标准关联项集组对所述次级安全分析结果和所述初级安全分析结果进行结果合并筛选,得到标准安全分析结果。
2.如权利要求1所述的基于大数据的系统安全分析方法,其特征在于,所述对预先获取的系统监测数据序列进行分层数据清洗以及相关线性特征融合,得到系统多模态特征序列,包括:
对预先获取的系统监测数据序列进行数据去重以及单位统一操作,得到标准监测数据序列;
对所述标准监测数据序列进行数据分层数据提取,得到用户行为数据序列、组件事件数据序列以及网络流量数据序列;
对所述用户行为数据序列进行行为分类编码以及零均值化操作,得到用户行为特征序列;
对所述组件事件数据序列进行事件分级编码以及零均值化操作,得到组件事件特征序列;
对所述网络流量数据序列进行流量拼接编码以及零均值化操作,得到网络流量特征序列;
对所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列进行相关线性融合,得到系统多模态特征序列。
3.如权利要求2所述的基于大数据的系统安全分析方法,其特征在于,所述对所述用户行为特征序列、所述组件事件特征序列以及所述网络流量特征序列进行相关线性融合,得到系统多模态特征序列,包括:
分别将所述用户行为特征序列矩阵化成用户行为矩阵,将所述组件事件特征序列矩阵化成组件事件矩阵以及将所述网络流量特征序列矩阵化成网络流量矩阵;
利用如下的相关分析算法对所述用户行为矩阵、所述组件事件矩阵以及所述网络流量矩阵进行相关性分析,得到相关向量组以及相关系数:其中,是所述用户行为矩阵,是所述组件事件矩阵,是所述网络流量矩阵,是所述用户行为矩阵的协方差矩阵,是所述用户行为矩阵和所述组件事件矩阵的协方差矩阵,是所述用户行为矩阵和所述网络流量矩阵的协方差矩阵,是所述组件事件矩阵和所述用户行为矩阵的协方差矩阵,是所述组件事件矩阵的协方差矩阵,是所述组件事件矩阵和所述网络流量矩阵的协方差矩阵,是所述网络流量矩阵和所述用户行为矩阵的协方差矩阵,是所述网络流量矩阵和所述组件事件矩阵的协方差矩阵,是所述网络流量矩阵的协方差矩阵,是所述相关向量组,是所述相关系数;
利用如下的线性融合算法根据所述相关向量组以及所述相关系数对所述用户行为矩阵、所述组件事件矩阵以及所述网络流量矩阵进行线性融合,得到系统多模态矩阵:其中,是指所述系统多模态矩阵,是向量取模符号,是所述相关系数;
对所述系统多模态矩阵进行逆矩阵化操作,得到系统多模态特征序列。
4.如权利要求1所述的基于大数据的系统安全分析方法,其特征在于,所述利用所述标准多模态特征序列组对预设的时序模型进行注意力时序训练,得到时序分析模型,包括:
对所述标准多模态特征序列组进行逐位时序门卷积操作,得到时序多模态特征序列组;
对所述时序多模态特征序列组进行位置编码和注意力权重编码操作,得到注意力多模态特征序列组;
利用预设的时序模型对所述注意力多模态特征序列组进行全连接操作,得到分析多模态特征序列组;
对所述分析多模态特征序列组和所述标准多模态特征序列组进行特征损失值计算,得到时序损失值;
根据所述时序损失值对所述时序模型进行迭代参数更新,得到时序分析模型。
5.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至4中任意一项所述的基于大数据的系统安全分析方法。
6.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4中任意一项所述的基于大数据的系统安全分析方法。
CN202410500620.5A 2024-04-24 2024-04-24 基于大数据的系统安全分析方法、设备及介质 Active CN118094551B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410500620.5A CN118094551B (zh) 2024-04-24 2024-04-24 基于大数据的系统安全分析方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410500620.5A CN118094551B (zh) 2024-04-24 2024-04-24 基于大数据的系统安全分析方法、设备及介质

Publications (2)

Publication Number Publication Date
CN118094551A CN118094551A (zh) 2024-05-28
CN118094551B true CN118094551B (zh) 2024-07-16

Family

ID=91150349

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410500620.5A Active CN118094551B (zh) 2024-04-24 2024-04-24 基于大数据的系统安全分析方法、设备及介质

Country Status (1)

Country Link
CN (1) CN118094551B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114548399A (zh) * 2022-01-18 2022-05-27 杭州星迈科技有限公司 多模态数据处理方法和多模态数据处理系统
CN117896137A (zh) * 2024-01-10 2024-04-16 广州皮小度科技有限公司 一种基于大数据的计算机网络安全智能分析系统及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111694718A (zh) * 2020-05-27 2020-09-22 平安普惠企业管理有限公司 内网用户异常行为识别方法、装置、计算机设备及可读存储介质
US11902309B1 (en) * 2021-06-25 2024-02-13 Amazon Technologies, Inc. Anomaly prediction for electronic resources
CN113435432B (zh) * 2021-08-27 2021-11-30 腾讯科技(深圳)有限公司 视频异常检测模型训练方法、视频异常检测方法和装置
CN113705714B (zh) * 2021-09-03 2024-06-11 上海观安信息技术股份有限公司 基于行为序列的配电物联网设备异常行为检测方法及装置
CN116319065A (zh) * 2023-04-20 2023-06-23 喻永豪 一种应用于商业运维的威胁态势分析方法和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114548399A (zh) * 2022-01-18 2022-05-27 杭州星迈科技有限公司 多模态数据处理方法和多模态数据处理系统
CN117896137A (zh) * 2024-01-10 2024-04-16 广州皮小度科技有限公司 一种基于大数据的计算机网络安全智能分析系统及方法

Also Published As

Publication number Publication date
CN118094551A (zh) 2024-05-28

Similar Documents

Publication Publication Date Title
CN112507936B (zh) 图像信息审核方法、装置、电子设备及可读存储介质
CN113051356B (zh) 开放关系抽取方法、装置、电子设备及存储介质
CN112052850B (zh) 车牌识别方法、装置、电子设备及存储介质
CN111950621B (zh) 基于人工智能的目标数据检测方法、装置、设备及介质
CN113688923B (zh) 订单异常智能检测方法、装置、电子设备及存储介质
CN113095076A (zh) 敏感词识别方法、装置、电子设备及存储介质
CN111985545B (zh) 基于人工智能的目标数据检测方法、装置、设备及介质
CN112948897B (zh) 一种基于drae与svm相结合的网页防篡改检测方法
CN113658002B (zh) 基于决策树的交易结果生成方法、装置、电子设备及介质
CN113628043B (zh) 基于数据分类的投诉有效性判断方法、装置、设备及介质
CN117155771B (zh) 一种基于工业物联网的设备集群故障溯源方法及装置
CN117648677A (zh) 识别项目开源组件许可风险方法、装置、设备及存储介质
CN113064984A (zh) 意图识别方法、装置、电子设备及可读存储介质
CN118094551B (zh) 基于大数据的系统安全分析方法、设备及介质
CN116578696A (zh) 文本摘要生成方法、装置、设备及存储介质
CN113888760B (zh) 基于软件应用的违规信息监控方法、装置、设备及介质
CN115659401A (zh) 基于大数据的数据安全管控方法、装置、设备及存储介质
CN113268614B (zh) 标签体系更新方法、装置、电子设备及可读存储介质
CN114722146A (zh) 基于人工智能的供应链资产校验方法、装置、设备及介质
CN114676430A (zh) 恶意软件识别方法、装置、设备及计算机可读存储介质
CN113806540A (zh) 文本打标签方法、装置、电子设备及存储介质
CN112597490A (zh) 安全威胁编排响应方法、装置、电子设备及可读存储介质
CN113688924B (zh) 异常订单检测方法、装置、设备及介质
CN117972757B (zh) 基于云平台实现矿山数据的安全分析方法及系统
CN114723488B (zh) 课程推荐方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant