2. 专利技术
  3. 一种聚焦信息安全的大数据处理方法及存储介质与流程

一种聚焦信息安全的大数据处理方法及存储介质与流程

专利2023-07-22  113

一种聚焦信息安全的大数据处理方法及存储介质
1.本发明是申请号为“cn202111479183.6”、申请日为“2021年12月06日”、发明名称为“一种应对大数据办公的信息安全处理方法及存储介质”的分案申请。
技术领域
2.本发明实施例涉及大数据技术领域,具体涉及一种聚焦信息安全的大数据处理方法及存储介质。


背景技术:

3.随着移动互联网、物联网和云计算技术的迅速发展,开启了移动云时代的序幕,大数据(bigdata)也逐渐吸引人们的视线。现目前,大数据技术所应用的领域越来越广泛,比如在线支付、数字化医疗、智慧教育、在线办公等。以在线办公为例,大数据+在线办公的模式能够显著提高办公效率,使有限的办公资源发挥出尽可能大的价值。因此,越来越多的企业开始向大数据办公模式转型,这也使得大数据办公的规模越来越大。
4.在大数据办公不断发展的过程中,所衍生出来的办公信息安全问题受到越来越多的关注。对于办公信息的安全防护而言,大到企业小到个人都非常重视。为此,相关的办公信息安全处理技术也逐渐投入应用。然而在实际应用过程中发明人发现,相关技术在进行信息安全处理的过程中,对于一些办公会话的安全分析角度较为单一,这样难以为后续的办公安全防护提供丰富全面的数据分析基础和依据。


技术实现要素:

5.有鉴于此,本发明实施例提供了一种聚焦信息安全的大数据处理方法及存储介质。
6.第一方面,本发明实施例提供了一种聚焦信息安全的大数据处理方法,包括:确定依次配置于若干云办公服务场景的办公会话监测线程记录的可视化办公会话信息;结合所述记录的可视化办公会话信息,挖掘存在于所述可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征;所述多维会话特征涵盖所述待进行安全分析的云办公客户端依次对应于每个所述云办公服务场景的会话互动延时特征、办公交互意图特征以及异常会话习惯特征中的两项或者多于两项;结合所述待进行安全分析的云办公客户端的多维会话特征,指示辅助安防服务器输出旨在表达所述待进行安全分析的云办公客户端依次对应于每个所述云办公服务场景的多维会话特征的信息安全监测结果。
7.如此设计,可以通过对记录的可视化办公会话信息进行挖掘,得到待进行安全分析的云办公客户端的多维会话特征,结合待进行安全分析的云办公客户端中的两项或者多于两项多维会话特征,指示辅助安防服务器输出旨在表达待进行安全分析的云办公客户端依次对应于各个云办公服务场景的多维会话特征的信息安全监测结果,输出的待进行安全分析的云办公客户端的各个目标云办公服务场景的多维会话特征的信息安全监测结果,能够简洁精准地确定出待进行安全分析的云办公客户端对云办公服务场景的目标办公资源
的调用偏好评价,进而在一定程度上准确生成待进行安全分析的云办公客户端依次对应于每个云办公服务场景的多维会话特征的信息安全监测结果,通过指示辅助安防服务器输出信息安全监测结果,能够为后续的办公安全防护提供尽可能丰富和全面的数据基础。
8.在一种可独立实施的技术方案中,所述会话互动延时特征包括延时统计结果和延时触发记录中的至少一项;所述结合所述记录的可视化办公会话信息,挖掘存在于所述可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征,包括:对于其中一个所述云办公服务场景,挖掘所述云办公服务场景指向的若干可视化办公会话信息中绑定于所述待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标;结合所述目标可视化办公会话信息的记录指标,确定所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点;结合所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的延时触发记录和延时统计结果中的至少一项。
9.如此设计,通过结合待进行安全分析的云办公客户端每一轮匹配云办公服务场景的启动时序节点,确定待进行安全分析的云办公客户端在云办公服务场景的延时触发记录和延时统计结果中的至少一项,得到多维会话特征中的会话互动延时特征,为确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价提供分析依据。
10.在一种可独立实施的技术方案中,所述结合所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的延时触发记录和延时统计结果中的至少一项,包括:在所述待进行安全分析的云办公客户端两轮匹配所述云办公服务场景的启动时序节点之间的量化时序差异大于第一设定时序差异的前提下,确定所述待进行安全分析的云办公客户端在所述云办公服务场景存在一次异常延时,和/或,将所述两轮匹配所述云办公服务场景的启动时序节点之间的量化时序差异作为所述待进行安全分析的云办公客户端在所述云办公服务场景存在一次异常延时的延时统计结果。
11.如此设计,可以对待进行安全分析的云办公客户端在云办公服务场景中不存在异常延时的情形进行清除,使得得到的会话互动延时特征相对精准,进而能够相对精准地确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价。
12.在一种可独立实施的技术方案中,所述办公交互意图特征包括持续性局部偏好记录和意图变化累计值中的至少一项;所述结合所述记录的可视化办公会话信息,挖掘存在于所述可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征,包括:对于其中一个所述云办公服务场景,挖掘所述云办公服务场景指向的若干可视化办公会话信息中绑定于所述待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标,以及,所述目标可视化办公会话信息中所述待进行安全分析的云办公客户端的客户端会话响应;在捕捉到所述客户端会话响应反映所述待进行安全分析的云办公客户端访问所述云办公服务场景的目标办公资源的前提下,将所述目标可视化办公会话信息指向的记录指标确定为所述待进行安全分析的云办公客户端请求所述目标办公资源的启动时序节点;结合确定的所述待进行安全分析的云办公客户端若干轮请求所述目标办公资源的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的意图变化累计
值和持续性局部偏好记录中的至少一项。
13.如此设计,通过结合待进行安全分析的云办公客户端每一轮匹配云办公服务场景的启动时序节点,确定待进行安全分析的云办公客户端在云办公服务场景的意图变化累计值和持续性局部偏好记录中的至少一项,得到多维会话特征中的办公交互意图特征,为确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价提供分析依据。
14.在一种可独立实施的技术方案中,所述结合确定的所述待进行安全分析的云办公客户端若干轮请求所述目标办公资源的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的意图变化累计值和持续性局部偏好记录中的至少一项,包括:在所述待进行安全分析的云办公客户端两轮请求所述目标办公资源的启动时序节点之间的量化时序差异大于第二设定时序差异的前提下,确定所述待进行安全分析的云办公客户端存在一轮对所述云办公服务场景的访问,和/或,将所述两轮请求所述云办公服务场景的启动时序节点之间的量化时序差异作为所述待进行安全分析的云办公客户端存在一轮对所述云办公服务场景的访问的持续性局部偏好记录。
15.如此设计,将待进行安全分析的云办公客户端请求目标办公资源的量化时序差异较小(在待进行安全分析的云办公客户端请求目标办公资源的量化时序差异较小时,则表明该待进行安全分析的云办公客户端未访问目标办公资源)的情形进行丢弃,使得得到的办公交互意图特征相对精准,进而能够相对精准地确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价。
16.在一种可独立实施的技术方案中,所述客户端会话响应涵盖云办公客户端的权限防护等级和网络扰动评价;所述捕捉到所述客户端会话响应反映所述待进行安全分析的云办公客户端访问所述云办公服务场景的目标办公资源,包括:在所述权限防护等级落入第一量化约束区间内、且所述网络扰动评价落入第二量化约束区间内的前提下,确定所述客户端会话响应反映所述待进行安全分析的云办公客户端访问所述云办公服务场景的目标办公资源。
17.如此设计,确定待进行安全分析的云办公客户端是否访问云办公服务场景的目标办公资源,能够保障云办公客户端、云办公服务长以及目标办公资源之间的一一对应,从而保障办公安全分析的可信度。
18.在一种可独立实施的技术方案中,所述待进行安全分析的云办公客户端在对于其中一个所述云办公服务场景中的异常会话习惯特征涵盖如下特征中的一项或一项以上:所述待进行安全分析的云办公客户端关联于所述云办公服务场景的全局延时统计结果内存在最大激活次数的操作习惯描述;所述待进行安全分析的云办公客户端访问所述云办公服务场景的全局持续性局部偏好记录内存在最大激活次数的操作习惯描述;所述云办公服务场景指向的当前可视化办公会话信息中所述待进行安全分析的云办公客户端的操作习惯描述。
19.如此设计,确定待进行安全分析的云办公客户端在指向的云办公服务场景中的操作习惯描述,可以结合多维会话特征中的操作习惯描述确定云办公客户端对云办公服务场景的目标办公资源的调用偏好评价,准确确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价。
20.在一种可独立实施的技术方案中,所述结合所述待进行安全分析的云办公客户端的多维会话特征,指示辅助安防服务器输出旨在表达所述待进行安全分析的云办公客户端依次对应于每个所述云办公服务场景的多维会话特征的信息安全监测结果,包括:结合所述待进行安全分析的云办公客户端在每个所述云办公服务场景的会话互动延时特征和异常会话习惯特征,指示所述辅助安防服务器输出与每个所述云办公服务场景各自相关的存在分布差异的网络攻击监测结果;或者,结合所述待进行安全分析的云办公客户端在每个所述云办公服务场景的办公交互意图特征和异常会话习惯特征,指示所述辅助安防服务器输出与每个所述云办公服务场景各自相关的存在分布差异的网络攻击监测结果。
21.在一种可独立实施的技术方案中,每个网络攻击监测结果通过可视化关系网表达;所述办公交互意图特征反映所述待进行安全分析的云办公客户端访问所述云办公服务场景的持续性局部偏好记录或意图变化累计值,与所述云办公服务场景指向的所述可视化关系网的关系网节点复杂度存在设定关系、所述云办公服务场景指向的所述可视化关系网的办公主题与所述操作习惯描述存在对应;或者,所述会话互动延时特征反映所述待进行安全分析的云办公客户端在所述云办公服务场景的延时统计结果或延时触发记录,与所述云办公服务场景指向的所述可视化关系网的关系网节点复杂度存在设定关系、所述云办公服务场景指向的所述可视化关系网的办公主题与所述操作习惯描述存在对应。
22.如此设计,通过确定表现相关网络攻击监测结果的可视化关系网的复杂度以及表现相关网络攻击监测结果的可视化关系网的办公主题,能够实现用不同复杂程度和/或不同办公主题的可视化关系网,表示不同的网络攻击监测结果,使得辅助安防服务器输出指向的存在分布差异的网络攻击监测结果时,能够尽可能确保网络攻击监测结果的完整性。
23.在一种可独立实施的技术方案中,在确定依次配置于若干云办公服务场景的办公会话监测线程记录的可视化办公会话信息之后,还包括:对于其中一个所述云办公服务场景,挖掘所述云办公服务场景指向的若干可视化办公会话信息中绑定于所述待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标;结合各个云办公服务场景指向的所述记录指标,确定所述待进行安全分析的云办公客户端在每个所述云办公服务场景的流式办公操作信息;结合所述流式办公操作信息,指示所述辅助安防服务器输出所述待进行安全分析的云办公客户端在每个所述云办公服务场景的动态交互行为。
24.如此设计,可以结合得到的待进行安全分析的云办公客户端的动态交互行为,相对精准地确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价。
25.本发明实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
26.相较于现有技术,本发明实施例提供的一种聚焦信息安全的大数据处理方法及存储介质具有以下技术效果:通过对记录的可视化办公会话信息进行挖掘,得到待进行安全分析的云办公客户端的多维会话特征,结合待进行安全分析的云办公客户端中的两项或者多于两项多维会话特征,指示辅助安防服务器输出旨在表达待进行安全分析的云办公客户端依次对应于各个云办公服务场景的多维会话特征的信息安全监测结果,输出的待进行安全分析的云办公客户端的各个目标云办公服务场景的多维会话特征的信息安全监测结果,能够简洁精准地确定出待进行安全分析的云办公客户端对云办公服务场景的目标办公资
源的调用偏好评价,进而在一定程度上准确生成待进行安全分析的云办公客户端依次对应于每个云办公服务场景的多维会话特征的信息安全监测结果,通过指示辅助安防服务器输出信息安全监测结果,能够为后续的办公安全防护提供尽可能丰富和全面的数据基础。
27.在后面的描述中,将部分地陈述其他的特征。在检查后面内容和附图时,本领域的技术人员将部分地发现这些特征,或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面,当前申请中的特征可以被实现和获得。
附图说明
28.为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
29.图1为本发明实施例所提供的一种办公信息安全处理系统的方框示意图。
30.图2为本发明实施例所提供的一种聚焦信息安全的大数据处理方法的流程图。
31.图3为本发明实施例所提供的一种聚焦信息安全的大数据处理装置的框图。
具体实施方式
32.为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
33.因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
34.应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
35.图1示出了本发明实施例所提供的一种办公信息安全处理系统10的方框示意图。本发明实施例中的办公信息安全处理系统10可以为具有数据存储、传输、处理功能的服务端,如图1所示,办公信息安全处理系统10包括:存储器1011、处理器1012、网络模块1013和聚焦信息安全的大数据处理装置20。
36.存储器1011、处理器1012和网络模块1013之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器1011中存储有聚焦信息安全的大数据处理装置20,所述聚焦信息安全的大数据处理装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器1011中的软件功能模块,所述处理器1012通过运行存储在存储器1011内的软件程序以及模块,例如本发明实施例中的聚焦信息安全的大数据处理装置20,从而执行各种功能应用以及数据处理,即实现本发明实施例中的基于人工智能的新媒体资源处理方法。
37.其中,所述存储器1011可以是,但不限于,随机存取存储器(random access memory,ram),只读存储器(read only memory,rom),可编程只读存储器(programmable read-only memory,prom),可擦除只读存储器(erasable programmable read-only memory,eprom),电可擦除只读存储器(electric erasable programmable read-only memory,eeprom)等。其中,存储器1011用于存储程序,所述处理器1012在接收到执行指令后,执行所述程序。
38.所述处理器1012可能是一种集成电路芯片,具有数据的处理能力。上述的处理器1012可以是通用处理器,包括中央处理器 (central processing unit,cpu)、网络处理器 (network processor,np)等。可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
39.网络模块1013用于通过网络建立办公信息安全处理系统10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
40.可以理解,图1所示的结构仅为示意,办公信息安全处理系统10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
41.本发明实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
42.图2示出了本发明实施例所提供的一种聚焦信息安全的大数据处理方法的流程图。所述方法有关的流程所定义的方法步骤应用于办公信息安全处理系统10,可以由所述处理器1012实现,所述方法包括以下步骤101-步骤103。
43.步骤101,确定依次配置于若干云办公服务场景的办公会话监测线程记录的可视化办公会话信息。
44.步骤102,结合记录的可视化办公会话信息,挖掘存在于可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征;多维会话特征包括待进行安全分析的云办公客户端依次对应于各个云办公服务场景的会话互动延时特征、办公交互意图特征以及异常会话习惯特征中的两项或者多于两项。
45.步骤103,结合待进行安全分析的云办公客户端的多维会话特征,指示辅助安防服务器输出旨在表达待进行安全分析的云办公客户端依次对应于各个云办公服务场景的多维会话特征的信息安全监测结果。
46.执行上述步骤101-步骤103所记录的技术方案,通过对记录的可视化办公会话信息进行挖掘,得到待进行安全分析的云办公客户端的多维会话特征,结合待进行安全分析的云办公客户端中的两项或者多于两项多维会话特征,指示辅助安防服务器输出旨在表达待进行安全分析的云办公客户端依次对应于各个云办公服务场景的多维会话特征的信息安全监测结果,输出的待进行安全分析的云办公客户端的各个目标云办公服务场景的多维会话特征的信息安全监测结果,能够简洁精准地确定出待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价,进而在一定程度上准确生成待进行安全分析的云办公客户端依次对应于每个云办公服务场景的多维会话特征的信息安全监测结果,通过指示辅助安防服务器输出信息安全监测结果,能够为后续的办公安全防护提供尽
可能丰富和全面的数据基础。
47.可以理解,具体可以根据以下技术方案对步骤101-步骤103所记录的技术方案进行说明。
48.对于步骤101,在本发明实施例中,可以在每个云办公服务场景中设置不低于一个办公会话监测线程,确定每个云办公服务场景设置的不低于一个办公会话监测线程记录的可视化办公会话信息。其中,辅助安防服务器可以实时确定办公会话监测线程记录的可视化办公会话信息,也可以从云端记录的办公信息中确定办公会话监测线程记录的可视化办公会话信息,还可以从其他线程获取到的的办公信息中确定办公会话监测线程记录的可视化办公会话信息。
49.对于步骤102,在本发明实施例中,结合记录的可视化办公会话信息,可以通过办公信息挖掘网络挖掘存在于可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征。多维会话特征中的会话互动延时特征可以理解待进行安全分析的云办公客户端关联于指向的云办公服务场景的特征,比如:会话互动延时特征包括延时统计结果以及延时触发记录等;办公交互意图特征可以理解为待进行安全分析的云办公客户端访问指向的云办公服务场景的特征,比如:办公交互意图特征包括访问对象以及意图变化累计值等;异常会话习惯特征可以理解为待进行安全分析的云办公客户端在指向的云办公服务场景时的关键会话内容。
50.在本发明实施例中,待进行安全分析的云办公客户端可以为任一存在于可视化办公会话信息中的云办公客户端;也可以为根据云办公客户端的信息确定的待进行安全分析的云办公客户端;还可以为根据实际指标从若干云办公客户端中挑选其中一个云办公客户端作为待进行安全分析的云办公客户端。其中,对于待进行安全分析的云办公客户端而言,可以基于实际应用环境进行确定,本发明实施例不作过多限定。
51.在一种可独立实施的技术方案中,会话互动延时特征(可以理解为会话互动掉线状态)包括延时统计结果(可以理解为掉线时长)和延时触发记录(可以理解为暂停次数)中的至少一项。基于此,步骤102所记录的结合记录的可视化办公会话信息,挖掘存在于可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征,具体可以包括如下内容步骤201-步骤203所记录的技术方案。
52.步骤201,对于任一云办公服务场景,挖掘云办公服务场景指向的若干可视化办公会话信息中出现待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标。
53.步骤202,结合目标可视化办公会话信息的记录指标,确定待进行安全分析的云办公客户端每一轮匹配云办公服务场景的启动时序节点。
54.步骤203,结合待进行安全分析的云办公客户端每一轮匹配云办公服务场景的启动时序节点,确定待进行安全分析的云办公客户端在云办公服务场景的延时触发记录和延时统计结果中的至少一项。
55.可以理解的是,记录指标为待进行安全分析的云办公客户端存在于目标可视化办公会话信息时指向的指标。示例性的,可以将待进行安全分析的云办公客户端存在于目标可视化办公会话信息的记录指标,作为待进行安全分析的云办公客户端每一轮匹配云办公服务场景的启动时序节点(开始时间)。还可以事先设置阶段性时序值(时间间隔),并在捕捉到下一个记录指标(目标记录指标)与邻近的前一个记录指标之间量化时序差异值不大
于设置的阶段性时序值时,则确定目标记录指标不能作为启动时序节点;在捕捉到目标记录指标与邻近的前一个记录指标之间量化时序差异值大于设置的阶段性时序值时,则目标记录指标能够作为启动时序节点。其中,阶段性时序值可以结合云办公服务场景的会话热度、待进行安全分析的云办公客户端的业务响应延时等信息确定。
56.在一种可独立实施的技术方案中,在确定待进行安全分析的云办公客户端在云办公服务场景的延时触发记录和延时统计结果中的至少一项时,可以通过以下步骤进行实施:在待进行安全分析的云办公客户端两轮匹配云办公服务场景的启动时序节点之间的量化时序差异大于第一设定时序差异的前提下,确定待进行安全分析的云办公客户端在云办公服务场景存在一次异常延时,和/或,将两轮匹配云办公服务场景的启动时序节点之间的量化时序差异作为待进行安全分析的云办公客户端在云办公服务场景存在一次异常延时的延时统计结果。
57.可以理解,若待进行安全分析的云办公客户端若干轮匹配云办公服务场景的启动时序节点为:t1、t2、t3,第一设定时序差异为x1,则第一次匹配云办公服务场景的启动时序节点与第二次匹配云办公服务场景的启动时序节点之间的量化时序差异为x2,大于第一设定时序差异,则确定待进行安全分析的云办公客户端在云办公服务场景存在一次异常延时,指向的延时统计结果为x2;第二次进入云办公服务场景的启动时序节点与第三次进入云办公服务场景的启动时序节点之间的量化时序差异为x3,小于第一设定时序差异,则确定待进行安全分析的云办公客户端在云办公服务场景中不存在交互暂停。
58.通过上述所描述的实施例,可以将待进行安全分析的云办公客户端在云办公服务场景中不存在异常延时的情形进行清除,使得得到的会话互动延时特征相对精准,进而确定的待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价也相对精准。
59.在一种可独立实施的技术方案中,办公交互意图特征包括持续性局部偏好记录(可以理解为关注偏好记录)和意图变化累计值(可以理解为意图变化次数)中的至少一项。基于此,结合记录的可视化办公会话信息,挖掘存在于可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征,具体可以包括如下步骤301-步骤303所记录的技术方案。
60.步骤301,对于任一云办公服务场景,挖掘云办公服务场景指向的若干可视化办公会话信息中出现待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标,以及,目标可视化办公会话信息中待进行安全分析的云办公客户端的客户端会话响应。
61.步骤302,在捕捉到客户端会话响应指示待进行安全分析的云办公客户端关注云办公服务场景的目标办公资源的前提下,将目标可视化办公会话信息指向的记录指标确定为待进行安全分析的云办公客户端请求目标办公资源的启动时序节点。
62.步骤303,结合确定的待进行安全分析的云办公客户端若干轮请求目标办公资源的启动时序节点,确定待进行安全分析的云办公客户端在云办公服务场景的意图变化累计值和持续性局部偏好记录中的至少一项。
63.在本发明实施例中,客户端会话响应为表征待进行安全分析的云办公客户端在记录指标(可以理解为记录时间点)的请求会话响应信息,若在捕捉到客户端会话响应指示待进行安全分析的云办公客户端未访问云办公服务场景的目标办公资源,则不将目标可视化
办公会话信息指向的记录指标确定为待进行安全分析的云办公客户端请求目标办公资源的启动时序节点。
64.通过上述所描述的实施例,可以将待进行安全分析的云办公客户端在云办公服务场景中不存在异常延时的情形进行清除,使得得到的会话互动延时特征相对精准,进而能够相对精准地确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价。
65.在一种可独立实施的技术方案中,结合确定的待进行安全分析的云办公客户端若干轮请求目标办公资源的启动时序节点,确定待进行安全分析的云办公客户端在云办公服务场景的意图变化累计值和持续性局部偏好记录中的至少一项,包括:在待进行安全分析的云办公客户端两轮请求目标办公资源的启动时序节点之间的量化时序差异大于第二设定时序差异的前提下,确定待进行安全分析的云办公客户端存在一轮对所述云办公服务场景的访问,和/或,将两轮请求云办公服务场景的启动时序节点之间的量化时序差异作为所述待进行安全分析的云办公客户端存在一轮对所述云办公服务场景的访问的持续性局部偏好记录。
66.在实际实施时,若待进行安全分析的云办公客户端若干轮请求目标办公资源的启动时序节点为:t4、t5、t6,第二设定时序差异为x1,则第一轮请求目标办公资源的启动时序节点与第二轮请求目标办公资源的启动时序节点之间的量化时序差异为x2,大于第二设定时序差异,则待进行安全分析的云办公客户端存在一轮对所述云办公服务场景的访问,指向的持续性局部偏好记录为x2;第二轮请求目标办公资源的启动时序节点与第二轮请求目标办公资源的启动时序节点之间的量化时序差异为x3,小于第一设定时序差异,则确定待进行安全分析的云办公客户端未访问云办公服务场景。
67.实施上述所描述的内容,可以将两轮请求目标办公资源的启动时序节点之间的量化时序差异小于第二设定时序差异的情形进行丢弃,即将待进行安全分析的云办公客户端请求目标办公资源量化时序差异较小(在待进行安全分析的云办公客户端请求目标办公资源量化时序差异较小时,则表明该待进行安全分析的云办公客户端未访问目标办公资源)的情形进行丢弃,使得得到的办公交互意图特征相对精准,进而能够相对精准地确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价。
68.在一种可独立实施的技术方案中,客户端会话响应涵盖云办公客户端的权限防护等级和网络扰动评价。基于此,上述步骤302所记录的捕捉到客户端会话响应指示待进行安全分析的云办公客户端关注云办公服务场景的目标办公资源,具体可以包括如下内容:在权限防护等级落入第一量化约束区间内、且网络扰动评价落入第二量化约束区间内的前提下,确定客户端会话响应指示待进行安全分析的云办公客户端访问云办公服务场景的目标办公资源。
69.在本发明实施例中,在权限防护等级未落入第一量化约束区间内,和/或,网络扰动评价未落入第二量化约束区间内的前提下,则确定客户端会话响应指示待进行安全分析的云办公客户端未访问云办公服务场景的目标办公资源。
70.通过上述所描述的实施例来确定待进行安全分析的云办公客户端是否访问云办公服务场景的目标办公资源,能够保障云办公客户端、云办公服务长以及目标办公资源之间的一一对应,从而保障办公安全分析的可信度。
71.在一种可独立实施的技术方案中,待进行安全分析的云办公客户端在任一云办公服务场景中的异常会话习惯特征涵盖如下特征中的一项或一项以上:待进行安全分析的云办公客户端关联于云办公服务场景的全局延时统计结果内存在最大激活次数的操作习惯描述;待进行安全分析的云办公客户端访问云办公服务场景的全局持续性局部偏好记录内存在最大激活次数的操作习惯描述;云办公服务场景指向的当前可视化办公会话信息中待进行安全分析的云办公客户端的操作习惯描述。
72.在本发明实施例中,操作习惯描述可以包括触控操作习惯描述、语音操作习惯描述、文字操作习惯描述等。可以理解,可以通过完成调试的大数据挖掘模型对包括待进行安全分析的云办公客户端的目标可视化办公会话信息进行挖掘,得到目标可视化办公会话信息中待进行安全分析的云办公客户端指向的操作习惯描述。进一步地,确定待进行安全分析的云办公客户端在指向的云办公服务场景中的操作习惯描述,可以结合多维会话特征中的操作习惯描述确定云办公客户端对云办公服务场景的目标办公资源的调用偏好评价,进而使得结合异常会话习惯特征,确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价较准确。
73.在一种可独立实施的技术方案中,上述所描述的结合待进行安全分析的云办公客户端的多维会话特征,指示辅助安防服务器输出旨在表达待进行安全分析的云办公客户端依次对应于各个云办公服务场景的多维会话特征的信息安全监测结果,具体可以包括如下内容:结合待进行安全分析的云办公客户端在各个云办公服务场景的会话互动延时特征和异常会话习惯特征,指示辅助安防服务器输出与各个云办公服务场景各自相关的存在分布差异的网络攻击监测结果;或者,结合待进行安全分析的云办公客户端在各个云办公服务场景的办公交互意图特征和异常会话习惯特征,指示辅助安防服务器输出与各个云办公服务场景各自相关的存在分布差异的网络攻击监测结果。
74.在本发明实施例中,可以结合待进行安全分析的云办公客户端在各个云办公服务场景的会话互动延时特征和异常会话习惯特征,或者,结合待进行安全分析的云办公客户端在各个云办公服务场景的办公交互意图特征和异常会话习惯特征,指示辅助安防服务器输出与各个云办公服务场景各自相关的存在分布差异的网络攻击监测结果。
75.在一种可独立实施的技术方案中,每个网络攻击监测结果可以通过可视化关系网表达;办公交互意图特征表示待进行安全分析的云办公客户端关注云办公服务场景的持续性局部偏好记录或意图变化累计值,与云办公服务场景指向的可视化关系网(可以理解为知识图谱)的关系网节点复杂度存在设定关系、云办公服务场景指向的可视化关系网的办公主题与操作习惯描述存在对应;或者,会话互动延时特征表示待进行安全分析的云办公客户端在云办公服务场景的延时统计结果或延时触发记录,与云办公服务场景指向的可视化关系网的关系网节点复杂度存在设定关系、云办公服务场景指向的可视化关系网的办公主题与操作习惯描述存在对应。
76.在本发明实施例中,可以将待进行安全分析的云办公客户端持续性局部偏好记录相对较久或意图变化累计值相对较高的云办公服务场景,指向的可视化关系网的复杂度设置的相对较难;将待进行安全分析的云办公客户端持续性局部偏好记录相对较短或意图变化累计值相对较低的云办公服务场景,指向的可视化关系网的复杂度设置的相对较简单;同时,还可以为结合不同的操作习惯描述,为可视化关系网设置不同的办公主题。进一步
的,对于某一云办公服务场景,根据待进行安全分析的云办公客户端的持续性局部偏好记录或意图变化累计值,以及待进行安全分析的云办公客户端请求该云办公服务场景的操作习惯描述,确定了该云办公服务场景指向的网络攻击监测结果。其中,结合会话互动延时特征,确定云办公服务场景指向的可视化关系网的复杂度可结合上述内容,在此不作过多描述。
77.在本发明实施例中,还可以为每个操作习惯描述设置指向的视觉型特征信息,使得云办公服务场景指向的可视化关系网上设置的视觉型特征信息与操作习惯描述存在对应。例如,若操作习惯描述为触控操作习惯描述,则可视化关系网上指向的视觉型特征信息可以为操作轨迹特征。在本发明实施例中,还可以结合根据设定步长确定出的待进行安全分析的云办公客户端的多维会话特征,来不断改进与多维会话特征指向的可视化关系网的视觉型描述,比如,不断改进可视化关系网的尺寸,或者不断改进可视化关系网的办公主题等。如此设计,通过确定表现相关网络攻击监测结果的可视化关系网的复杂度以及表现相关网络攻击监测结果的可视化关系网的办公主题,实现用不同复杂程度和/或不同办公主题的可视化关系网,表示不同的网络攻击监测结果,使得辅助安防服务器输出指向的存在分布差异的网络攻击监测结果时,能够尽可能确保网络攻击监测结果的完整性。
78.在一种可独立实施的技术方案中,在确定依次配置于若干云办公服务场景的办公会话监测线程记录的可视化办公会话信息之后,具体还可以包括以下内容:对于任一云办公服务场景,挖掘云办公服务场景指向的若干可视化办公会话信息中出现待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标;结合各个云办公服务场景指向的记录指标,确定待进行安全分析的云办公客户端在各个云办公服务场景的流式办公操作信息;结合流式办公操作信息,指示辅助安防服务器显示待进行安全分析的云办公客户端在各个云办公服务场景的动态交互行为。
79.在本发明实施例中,对于结合各个云办公服务场景指向的记录指标,可以确定待进行安全分析的云办公客户端在各个云办公服务场景的优先级比较结果(即流式办公操作信息);结合优先级比较结果,指示辅助安防服务器输出待进行安全分析的云办公客户端在各个云办公服务场景的动态交互行为。
80.在本发明实施例中,还可以根据得到的待进行安全分析的云办公客户端的动态交互行为,相对精准地确定待进行安全分析的云办公客户端对云办公服务场景的目标办公资源的调用偏好评价。
81.在上述内容的基础上,对于一些可独立实施的设计思路而言,在得到多维会话特征之后,该方法还可以包括以下内容:根据所述多维会话特征获得触发威胁行为分析条件的远程办公行为日志;通过所述远程办公行为日志确定多个关键标签;基于所述多个关键标签确定所述远程办公行为日志的威胁行为检测结果;基于所述威胁行为检测结果进行反威胁处理。
82.在上述内容的基础上,对于一些可独立实施的设计思路而言,根据所述多维会话特征获得触发威胁行为分析条件的远程办公行为日志;通过所述远程办公行为日志确定多个关键标签,可以通过以下实施方式实现。
83.s101,确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集。
84.在本发明实施例中,威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容;偏好定位内容集用于表达涵盖满足挖掘指标的行为偏好的局部日志内容,也可以理解为携带显著行为偏好信息的局部日志内容;相关性定位内容集旨在反映存在互相影响情况的两个威胁操作事件的局部日志内容,也可以理解为包含两个威胁操作事件的内容量最少的局部日志内容。
85.在申请本实施例中,首先可以同时确定威胁操作事件内容集和偏好定位内容集,在依据威胁操作事件内容集通过整理,依据确定的每两个威胁操作事件内容集之间的上下游描述确定相关性定位内容集,因此,相关性定位内容集是通过两个威胁操作事件内容集综合确定的。
86.此外,威胁操作事件包括一系列的异常操作事件比如频繁文件下载和频繁登录,行为偏好包括办公行为的意图信息,相关性定位内容集对应于关联的两个威胁操作事件,用于表达不同威胁操作事件之间的关联。
87.s102,依据威胁操作事件内容集挖掘基础威胁操作事件关键标签,依据偏好定位内容集挖掘基础行为偏好关键标签,依据相关性定位内容集挖掘基础相关性关键标签。
88.在本发明实施例中,每个基础威胁操作事件关键标签旨在反映一个威胁操作事件内容集,一个威胁操作事件内容集中一般仅涵盖一个威胁操作事件,鉴于此,通过对应该威胁操作事件的基础威胁操作事件关键标签便可以表达该威胁操作事件内容集,该基础威胁操作事件关键标签对应相关的威胁操作事件解析;每个基础行为偏好关键标签旨在反映一个偏好定位内容集,一个偏好定位内容集通常仅涵盖一个满足挖掘指标的行为偏好,由此,通过对应该满足挖掘指标的行为偏好的行为偏好关键标签便可以表达该偏好定位内容集,该基础行为偏好关键标签对应相关的行为偏好内容注释;每个基础相关性关键标签旨在反映一个相关性定位内容集,一个相关性定位内容集通常涵盖一个由两个威胁操作事件,且这两个威胁操作事件可以形成一个主动型事件、传递型事件和被动型事件形成的相关性,可以理解的是,通过对应该相关性的基础相关性关键标签便可以表达该相关性定位内容集并用于判定两威胁操作事件之间的上下游描述,基础相关性关键标签对应相关的视觉型知识库创建。
89.在本发明实施例中,基础可以理解为初始,上下游描述可以理解为关系,视觉型知识库可以是知识图谱。进一步地,相关的关键标签可以理解为特征信息。
90.s104,依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录,依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新,得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
91.在本发明实施例中,对远程办公行为日志进行威胁操作事件解析、视觉型知识库创建和行为偏好内容注释是彼此影响的,且又各有关注的办公威胁操作项目;威胁操作事件解析侧重于识别行为偏好中的威胁操作事件,而视觉型知识库创建则指向通过“每一威胁操作事件二元组之间的上下游描述(关系)”来将一组行为偏好信息映射变换为一系列威胁操作事件以及其上下游描述组成的“视觉型知识库(visual recognition)”,行为偏好内容注释可以通过一组办公操作行为记录一种办公行为偏好或者一种行为偏好中的一个局部日志内容中的关键内容(包括:威胁操作事件、上下游描述以及类型等)。可以理解的是,
通过借助存在差异的ai模型线程确定出的关键标签之间的互相关联,确保关键标签的丰富程度。
92.实施s101-s104所记录的技术,能够达到如下有益效果:通过同时确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集,实现同时对远程办公行为日志进行威胁操作事件解析、行为偏好内容注释和视觉型知识库创建;分别依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签,依据所述偏好定位内容集挖掘基础行为偏好关键标签,依据所述相关性定位内容集挖掘基础相关性关键标签,由于威胁操作事件解析、视觉型知识库创建和行为偏好内容注释是分别从不同维度对远程办公行为日志进行记录,威胁操作事件解析、视觉型知识库创建和行为偏好内容注释之间存在相关性;依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的上下游描述,依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新;使每个关键标签尽可能涵盖相对更多切更具高价值的标签信息,进而能够提高对触发威胁行为分析条件的远程办公行为日志的威胁操作事件解析、视觉型知识库创建和行为偏好内容注释的精确性。
93.在一种可独立实施的实施例中,标签传递记录包括行为偏好传递评价及相对分布传递评价,s102和s104之间还可以包括如下技术方案(比如可以理解为s103):依据威胁操作事件内容集和相关性定位内容集之间的行为偏好传递评价(可以理解为行为偏好关系),确定威胁操作事件关键标签和相关性关键标签之间的标签传递记录;依据相关性定位内容集和偏好定位内容集之间的相对分布传递评价,确定行为偏好关键标签和相关性关键标签之间的标签传递记录。可选的,标签传递记录可以理解为不同关键标签之间的连接情况。
94.在本发明实施例中,威胁操作事件关键标签和相关性关键标签之间的标签传递记录旨在反映威胁操作事件关键标签和相关性关键标签之间是否具有传递性;行为偏好关键标签和相关性关键标签之间的标签传递记录旨在反映所述行为偏好关键标签和相关性关键标签之间是否具有传递性;相关性定位内容集和偏好定位内容集之间的相对分布传递评价示例性地可以包括:偏好定位内容集与相关性定位内容集的交叉内容在相关性定位内容集中的占比,可以预设一个指定占比,当偏好定位内容集与相关性定位内容集的交叉内容在相关性定位内容集中的占比符合或大于指定占比,确定在行为偏好关键标签和相关性关键标签之间关联。
95.在一种可独立实施的实施例中,s101所记录技术方案示例性可以包括如下内容:依据ai模型挖掘触发威胁行为分析条件的远程办公行为日志中每个具有设定存在概率的威胁操作事件的局部日志内容视为威胁操作事件内容集,挖掘触发威胁行为分析条件的远程办公行为日志中每个携带满足挖掘指标的行为偏好的局部日志内容视为偏好定位内容集;将全部威胁操作事件内容集进行整理,每两个威胁操作事件内容集对形成相关性定位内容集。
96.在本发明实施例中,依据ai模型同时实现对威胁操作事件内容集和偏好定位内容集的挖掘,具体挖掘可以采用rpn网络,挖掘具有设定存在概率的威胁操作事件的威胁操作事件内容集和有热度行为偏好的偏好定位内容集,威胁操作事件内容集和偏好定位内容集分别用于威胁操作事件解析和局部日志内容注释,依次对应于威胁操作事件层面和描述局部日志内容层面的内容解析,而相关性层面的相关性定位内容集则通过整理威胁操作事件
内容集得出,可以理解的是,不同的内容集依次对应于存在差异的网络功能线程。
97.在另一种可独立实施的实施例中,该实施例方法可以包括如下s201-s204所记录的技术方案。
98.s201,确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集。
99.在本发明实施例中,威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容;偏好定位内容集表征涵盖满足挖掘指标的行为偏好的局部日志内容;相关性定位内容集表征存在互相影响情况的两个威胁操作事件的局部日志内容。其中挖掘内容集的网络可以基于rpn网络实现,挖掘具有设定存在概率的威胁操作事件的内容集和有热度行为偏好的局部日志内容分别用于威胁操作事件解析和局部日志内容注释,得到的威胁操作事件内容集和偏好定位内容集依次对应于威胁操作事件层面和描述局部日志内容层面的内容解析。而相关性定位内容集则通过整理威胁操作事件内容集得出,并应用于相关性层面的内容解析。
100.s202,依据威胁操作事件内容集挖掘基础威胁操作事件关键标签,依据偏好定位内容集挖掘基础行为偏好关键标签,依据相关性定位内容集挖掘基础相关性关键标签。
101.在本发明实施例中,每个基础威胁操作事件关键标签旨在反映一个威胁操作事件内容集;每个基础行为偏好关键标签旨在反映一个偏好定位内容集;每个基础相关性关键标签旨在反映一个相关性定位内容集。
102.s203,将基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签分别视为威胁操作事件知识单元、行为偏好知识单元和相关性知识单元,将基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录视为单元连线,生成视觉型知识库。
103.s204,依据视觉型知识库,依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新,得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
104.本发明实施例中通过建立视觉型知识库,明确了基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的上下游描述,并通过一方面把基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间整合起来,另一方面依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的资源共享,尽可能借助了三个网络功能线程之间的互相关联,提高关键标签的丰富程度,使更新后的目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签能更好的表达远程办公行为日志信息。
105.在一种可独立实施的实施例中,s203中生成视觉型知识库的过程示例性可以包括如下内容:对全部威胁操作事件知识单元进行整理,其中两个威胁操作事件知识单元集对应于一个相关性知识单元,依据威胁操作事件知识单元与相关性知识单元的上下游描述,将存在上下游关联的两个威胁操作事件知识单元与对应该上下游描述的相关性知识单元通过一条单元连线关联;当偏好定位内容集与相关性定位内容集的交叉内容满足相关性定位内容集的指定占比,将偏好定位内容集对应的行为偏好知识单元与相关性定位内容集对应的相关性知识单元通过一条单元连线关联。
106.进一步地,相关性知识单元和行为偏好知识单元之间的关联可以基于映射列表得到。当偏好定位内容集与相关性定位内容集交叉的部分满足相关性定位内容集的指定占比(如:设定为0.6,即偏好定位内容集与相关性定位内容集交叉的部分大于或等于相关性定位内容集的60%)时,便确定相关性知识单元与行为偏好知识单元之间的关联。由于威胁操作事件知识单元与行为偏好知识单元之间可以通过相关性知识单元建立联系,为了减少资源开销,可以省掉威胁操作事件知识单元与行为偏好知识单元之间的直接型映射。
107.在一种可独立实施的实施例中,依据威胁操作事件内容集挖掘基础威胁操作事件关键标签,依据偏好定位内容集挖掘基础行为偏好关键标签,依据相关性定位内容集挖掘基础相关性关键标签。
108.在另一种可独立实施的实施例中,基于上述内容,s104中的更新过程,示例性可以包括如下内容:基础相关性关键标签获得依据视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签,依据基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新。基础威胁操作事件关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签,依据基础相关性关键标签对基础威胁操作事件关键标签进行更新。基础行为偏好关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签,依据基础相关性关键标签对基础行为偏好关键标签进行更新。
109.在本发明实施例中,对于基础相关性关键标签、基础威胁操作事件关键标签和基础行为偏好关键标签的更新可以并行实施,也可以异步实施。
110.在一种可示性的实施例中,上述所记录的基础相关性关键标签获得依据视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签,依据基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新,示例性可以包括如下内容:依次对基础威胁操作事件关键标签和基础行为偏好关键标签进行无量纲简化(可以理解为归一化处理),将完成无量纲简化的基础威胁操作事件关键标签和基础行为偏好关键标签依次进行动态映射,分别确定威胁操作事件偏移和行为偏好偏移;将威胁操作事件偏移和行为偏好偏移与基础相关性关键标签加权确定更新相关性关键标签;将更新相关性关键标签视为基础相关性关键标签,反复实施更新步骤,直至更新累计值达到指定累计值,导出最后完成更新的更新相关性关键标签视为目标相关性关键标签。
111.在本发明实施例中,由于相关性知识单元与威胁操作事件知识单元存在两种关联情况,即“主动型-传递型事件”和“传递型事件-被动型”,相关性偏移包括主动型偏移和被动型偏移。因此,基础威胁操作事件关键标签包括与基础相关性关键标签存在互相影响情况的基础主动型关键标签和基础被动型关键标签,依据基础主动型关键标签和基础被动型关键标签确定的威胁操作事件偏移包括主动型偏移和被动型偏移。
112.本发明实施例中进行无量纲简化的根源在于与相关性知识单元存在关联的威胁操作事件知识单元和行为偏好知识单元的数目是不确定的,可能存在数目较多的情况,由此对全部威胁操作事件知识单元对应的威胁操作事件关键标签进行无量纲简化,确定量化均值,使完成无量纲简化的威胁操作事件关键标签对应于设定的数值区间,以减少不必要的资源开销。可以理解的是,对与相关性知识单元存在关联的威胁操作事件知识单元进行无量纲简化,可以得到无量纲简化的主动型关键标签和被动型关键标签。
113.在一种可独立实施的实施例中,上述所描述的基础威胁操作事件关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签,依据基础相关性关键标签对基础威胁操作事件关键标签进行更新,示例性可以包括如下内容:对基础相关性关键标签进行无量纲简化,将完成无量纲简化的基础相关性关键标签进行动态映射,得到相关性威胁操作事件偏移;将相关性威胁操作事件偏移与基础威胁操作事件关键标签加权确定更新威胁操作事件关键标签;反复实施更新步骤,直至更新累计值达到指定累计值,导出最后完成更新的更新威胁操作事件关键标签视为目标威胁操作事件关键标签。
114.在本发明实施例中,通过对与基础威胁操作事件关键标签存在强相关的基础相关性关键标签进行无量纲简化和动态映射(可以理解为非线性变换),并将得到的相关性威胁操作事件偏移发送给威胁操作事件知识单元,基础威胁操作事件关键标签与相关性威胁操作事件偏移加权后确定更新威胁操作事件关键标签。
115.在一种可独立实施的实施例中,上述所描述的基础行为偏好关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签对基础行为偏好关键标签进行更新,示例性可以包括如下内容:对基础相关性关键标签进行无量纲简化,将完成无量纲简化的基础相关性关键标签进行动态映射,得到相关性行为偏好偏移;将相关性行为偏好偏移与基础行为偏好关键标签加权确定更新行为偏好关键标签;将更新行为偏好关键标签视为基础行为偏好关键标签,反复实施更新步骤,直至更新累计值达到指定累计值,导出最后完成更新的更新行为偏好关键标签视为目标行为偏好关键标签。
116.在本发明实施例中,通过对与基础行为偏好关键标签存在强相关的基础相关性关键标签进行无量纲简化和动态映射,并将得到的相关性行为偏好偏移发送给行为偏好知识单元,基础行为偏好关键标签与相关性行为偏好偏移加权后确定更新行为偏好关键标签以下为本发明结合人工智能的远程办公威胁行为分析方法的又一个可独立实施的实施例。基于上述内容,该方法可以包括以下内容。
117.s401,确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集。
118.在本发明实施例中,威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容;偏好定位内容集表征涵盖满足挖掘指标的行为偏好的局部日志内容;相关性定位内容集表征存在互相影响情况的两个威胁操作事件的局部日志内容。
119.s402,依据威胁操作事件内容集挖掘基础威胁操作事件关键标签,依据偏好定位内容集挖掘基础行为偏好关键标签,依据相关性定位内容集挖掘基础相关性关键标签。
120.在本发明实施例中,每个基础威胁操作事件关键标签旨在反映一个威胁操作事件内容集;每个基础行为偏好关键标签旨在反映一个偏好定位内容集;每个基础相关性关键标签旨在反映一个相关性定位内容集。
121.s404,依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录,依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新,得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
122.s405,对目标威胁操作事件关键标签进行解析以获得触发威胁行为分析条件的远程办公行为日志中涵盖的威胁操作事件种类;和/或对目标行为偏好关键标签进行解析以
获得触发威胁行为分析条件的远程办公行为日志中具有满足挖掘指标的行为偏好的局部日志内容的行为偏好表达;和/或对目标相关性关键标签进行解析以获得触发威胁行为分析条件的远程办公行为日志中威胁操作事件之间的上下游描述种类。
123.在本发明实施例中,目标威胁操作事件关键标签用于判定威胁操作事件类别,目标相关性关键标签用于判定与之相连的两个威胁操作事件之间的上下游描述种类,目标行为偏好关键标签用于输入到一个依据ai智能模型用于生成对应于局部日志内容的特征,在这种情况下,可以识别出一组远程办公行为日志中的威胁操作事件,解析出威胁操作事件之间的上下游描述,并对该远程办公行为日志中热度局部日志内容的进行行为偏好表达。
124.在一种可独立实施的实施例中,依据上述内容,本发明实施例方法还可以包括如下调试过程:触发威胁行为分析条件的远程办公行为日志包括范例远程办公行为日志,范例远程办公行为日志注释有远程办公行为日志中威胁操作事件分布及种类、威胁操作事件之间的种类上下游描述和有热度行为偏好局部日志内容的行为偏好表达;反复执行上述任一实施例结合人工智能的远程办公威胁行为分析方法的操作,直至最后导出的依据目标威胁操作事件关键标签得到的威胁操作事件种类、依据目标相关性关键标签得到的相应威胁操作事件之间的上下游描述种类和依据目标行为偏好关键标签得到的行为偏好表达与范例远程办公行为日志具有的注释内容的量化比较结果不大于指定判定值。
125.通过本发明实施例提供的调试方法对结合人工智能的远程办公威胁行为分析方法涉及的ai网络进行调试,使得到导出结果更加全面,并且能够简化ai网络调试的反馈步骤,提高网络调试的时效性。
126.在上述内容的基础上,基于所述多个关键标签确定所述远程办公行为日志的威胁行为检测结果,可以包括以下内容:根据所述目标威胁操作事件关键标签、所述目标行为偏好关键标签和所述目标相关性关键标签确定所述远程办公行为日志的威胁行为检测结果。
127.在本发明实施例中,反威胁处理包括办公行为权限认证处理,办公行为拦截操作,办公用户身份验证,办公信息匿名化处理等反威胁处理。
128.在上述内容的基础上,对于一些可独立实施的设计思路而言,根据所述目标威胁操作事件关键标签、所述目标行为偏好关键标签和所述目标相关性关键标签确定所述远程办公行为日志的威胁行为检测结果,可以包括以下内容:结合所述目标威胁操作事件关键标签、所述目标行为偏好关键标签和所述目标相关性关键标签确定显著办公行为描述以及参考办公行为描述;对所述显著办公行为描述进行行为节点识别,得到所述显著办公行为描述的第一行为节点关键词,并对所述参考办公行为描述进行行为节点识别,得到与所述参考办公行为描述对应的第二行为节点关键词;将所述第一行为节点关键词、以及所述第二行为节点关键词进行关键词拼接操作处理,得到全局办公行为描述;基于所述全局办公行为描述,得到所述显著办公行为描述的威胁行为检测结果。如此设计,能够基于不同的关键标签确定尽可能丰富的显著办公行为描述,并结合参考办公行为描述确定不同的行为节点关键词,然后根据行为节点关键词得到全局办公行为描述,从而保障得到的威胁行为检测结果的可信度。
129.在上述内容的基础上,对于一些可独立实施的设计思路而言,所述对所述显著办公行为描述进行行为节点识别,得到所述显著办公行为描述的第一行为节点关键词,包括:对所述显著办公行为描述进行阶段性行为节点识别,确定与每级行为节点识别对应的第一
行为节点关键词;所述对所述参考办公行为描述进行行为节点识别,得到与所述参考办公行为描述对应的第二行为节点关键词,包括:对所述参考办公行为描述进行阶段性行为节点识别,确定与每组所述第一行为节点关键词对应的第二行为节点关键词;所述将所述第一行为节点关键词、以及所述第二行为节点关键词进行关键词拼接操作处理,得到全局办公行为描述,包括:针对每组第一行为节点关键词,对所述每组第一行为节点关键词、以及与所述每组第一行为节点关键词对应的第二行为节点关键词进行关键词拼接操作处理,得到所述每组第一行为节点关键词对应的全局办公行为描述。如此设计,能够确保得到的第一行为节点关键词的准确性。
130.在上述内容的基础上,对于一些可独立实施的设计思路而言,所述基于所述全局办公行为描述,得到所述显著办公行为描述的威胁行为检测结果,包括:基于所述每组第一行为节点关键词对应的全局办公行为描述,得到所述每组第一行为节点关键词的威胁行为检测结果;基于与阶段性行为节点识别分别对应的第一行为节点关键词的威胁行为检测结果,得到所述显著办公行为描述的威胁行为检测结果。如此设计,能够提高威胁行为检测结果的可信度。
131.基于上述同样的发明构思,还提供了一种聚焦信息安全的大数据处理装置20,应用于办公信息安全处理系统10,所述装置包括:信息确定模块21,用于确定依次配置于若干云办公服务场景的办公会话监测线程记录的可视化办公会话信息;特征挖掘模块22,用于结合记录的可视化办公会话信息,挖掘存在于可视化办公会话信息中的待进行安全分析的云办公客户端的多维会话特征;多维会话特征包括待进行安全分析的云办公客户端依次对应于各个云办公服务场景的会话互动延时特征、办公交互意图特征以及异常会话习惯特征中的两项或者多于两项;会话分析模块23,用于结合待进行安全分析的云办公客户端的多维会话特征,指示辅助安防服务器输出旨在表达待进行安全分析的云办公客户端依次对应于各个云办公服务场景的多维会话特征的信息安全监测结果。
132.在本发明实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
133.另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
134.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说
对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,办公信息安全处理系统10,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-only memory)、随机存取存储器(ram,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
135.以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

技术特征:
1.一种聚焦信息安全的大数据处理方法,其特征在于,应用于办公信息安全处理系统,所述方法至少包括:对于其中一个云办公服务场景,挖掘所述云办公服务场景指向的若干可视化办公会话信息中绑定于待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标;结合所述目标可视化办公会话信息的记录指标,确定所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点;结合所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的延时触发记录和延时统计结果中的至少一项。2.根据权利要求1所述的方法,其特征在于,所述结合所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的延时触发记录和延时统计结果中的至少一项,包括以下至少一项:在所述待进行安全分析的云办公客户端两轮匹配所述云办公服务场景的启动时序节点之间的量化时序差异大于第一设定时序差异的前提下,确定所述待进行安全分析的云办公客户端在所述云办公服务场景存在一次异常延时;将所述两轮匹配所述云办公服务场景的启动时序节点之间的量化时序差异作为所述待进行安全分析的云办公客户端在所述云办公服务场景存在一次异常延时的延时统计结果。3.根据权利要求1所述的方法,其特征在于,在对于其中一个云办公服务场景,挖掘所述云办公服务场景指向的若干可视化办公会话信息中绑定于待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标之前,所述方法还包括:确定依次配置于若干云办公服务场景的办公会话监测线程记录的可视化办公会话信息;在结合所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的延时触发记录和延时统计结果中的至少一项之后,所述方法还包括:结合所述待进行安全分析的云办公客户端的多维会话特征,指示辅助安防服务器输出旨在表达所述待进行安全分析的云办公客户端依次对应于每个所述云办公服务场景的多维会话特征的信息安全监测结果。4.如权利要求3所述的方法,其特征在于,所述待进行安全分析的云办公客户端在对于其中一个所述云办公服务场景中的异常会话习惯特征涵盖如下特征中的一项或一项以上:所述待进行安全分析的云办公客户端关联于所述云办公服务场景的全局延时统计结果内存在最大激活次数的操作习惯描述;所述待进行安全分析的云办公客户端访问所述云办公服务场景的全局持续性局部偏好记录内存在最大激活次数的操作习惯描述;所述云办公服务场景指向的当前可视化办公会话信息中所述待进行安全分析的云办公客户端的操作习惯描述。5.如权利要求4所述的方法,其特征在于,所述结合所述待进行安全分析的云办公客户端的多维会话特征,指示辅助安防服务器输出旨在表达所述待进行安全分析的云办公客户端依次对应于每个所述云办公服务场景的多维会话特征的信息安全监测结果,包括以下其中一项:
结合所述待进行安全分析的云办公客户端在每个所述云办公服务场景的会话互动延时特征和异常会话习惯特征,指示所述辅助安防服务器输出与每个所述云办公服务场景各自相关的存在分布差异的网络攻击监测结果;结合所述待进行安全分析的云办公客户端在每个所述云办公服务场景的办公交互意图特征和异常会话习惯特征,指示所述辅助安防服务器输出与每个所述云办公服务场景各自相关的存在分布差异的网络攻击监测结果。6.如权利要求5所述的方法,其特征在于,每个网络攻击监测结果通过可视化关系网表达;所述办公交互意图特征反映所述待进行安全分析的云办公客户端访问所述云办公服务场景的持续性局部偏好记录或意图变化累计值,与所述云办公服务场景指向的所述可视化关系网的关系网节点复杂度存在设定关系、所述云办公服务场景指向的所述可视化关系网的办公主题与所述操作习惯描述存在对应;或者,所述会话互动延时特征反映所述待进行安全分析的云办公客户端在所述云办公服务场景的延时统计结果或延时触发记录,与所述云办公服务场景指向的所述可视化关系网的关系网节点复杂度存在设定关系、所述云办公服务场景指向的所述可视化关系网的办公主题与所述操作习惯描述存在对应。7.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现权利要求1-6任一项所述的方法。

技术总结
本发明涉及大数据技术领域,具体而言,涉及一种聚焦信息安全的大数据处理方法及存储介质,对于其中一个云办公服务场景,挖掘所述云办公服务场景指向的若干可视化办公会话信息中绑定于待进行安全分析的云办公客户端的目标可视化办公会话信息的记录指标;结合所述目标可视化办公会话信息的记录指标,确定所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点;结合所述待进行安全分析的云办公客户端每一轮匹配所述云办公服务场景的启动时序节点,确定所述待进行安全分析的云办公客户端在所述云办公服务场景的延时触发记录和延时统计结果中的至少一项。一项。一项。


技术研发人员:钟润森
受保护的技术使用者:钟润森
技术研发日:2021.12.06
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-4062.html

专利

最新回复(0)