CN113297582A - 基于信息安全大数据的安全画像生成方法及大数据*** - Google Patents

基于信息安全大数据的安全画像生成方法及大数据*** Download PDF

Info

Publication number
CN113297582A
CN113297582A CN202110682305.5A CN202110682305A CN113297582A CN 113297582 A CN113297582 A CN 113297582A CN 202110682305 A CN202110682305 A CN 202110682305A CN 113297582 A CN113297582 A CN 113297582A
Authority
CN
China
Prior art keywords
information
security
protection
data
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110682305.5A
Other languages
English (en)
Inventor
刘忠辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110682305.5A priority Critical patent/CN113297582A/zh
Publication of CN113297582A publication Critical patent/CN113297582A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/906Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/40Business processes related to the transportation industry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Software Systems (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Health & Medical Sciences (AREA)
  • Educational Administration (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Game Theory and Decision Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Automation & Control Theory (AREA)
  • Molecular Biology (AREA)
  • Bioethics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Primary Health Care (AREA)
  • Storage Device Security (AREA)

Abstract

本公开实施例提供一种基于信息安全大数据的安全画像生成方法及大数据***,在得到信息安全大数据时,可以解析出上线访问应用中的安全反馈风险数据以得到访问异常风险触发数据,当从信息安全大数据中识别目标安全反馈日志时,提取访问异常风险触发数据中与目标安全反馈日志相关联的访问异常风险触发数据,然后计算该风险数据排查信息的风险应用上线业务数与信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定上线访问应用的安全画像参数后,由此更新上线访问应用的安全画像信息,从而使得安全画像特征与实际异常风险情况关联,能够提高后续安全策略更新的指向性。

Description

基于信息安全大数据的安全画像生成方法及大数据***
技术领域
本公开涉及信息安全技术领域,示例性地,涉及一种基于信息安全大数据的安全画像生成方法及大数据***。
背景技术
随着5G技术的飞快发展,信息技术已经触及到各个高速发展的产业领域,全球性信息化浪潮日益深刻,用户日常生活和信息网络日益密切。由于5G网络具有实时、方便、快捷及低成本的特性,每一个5G网络用户均可方便地与另一端的网络用户进行通讯,企业用户可以利用网络进行信息发布、广告、营销、客户支持等,同时也可以直接与商业伙伴直接进行合同签订和商品交易,用户通过网络可以获得各种信息资源和服务,如购物、求职、教育、投资等。
网络信息安全指的是网络遭受恶意或偶然破坏和攻击、泄漏和更改网络整体***的数据和硬件时,依旧可以正常运行,提供服务。网络信息安全的核心是对网络信息进行保护,信息得到很好地保护,网络才能安全,网络信息安全主要是保证网络信息的保密性、真实性和完整性,此外能够随时对网络信息展开控制也是网络信息安全所包含的内容。网络信息的安全防范是为了避免信息受到恶意或偶然地攻击和破坏,通过安全预防能够保证网络安全正常的运行。而在各种上线访问应用的具体业务场景中,其信息安全性设计到其安全策略的完善性,通常会基于大量与上线访问应用相关安全防护过程中的安全策略基础数据集对安全策略不断进行优化和调整,如基于安全策略基础数据集可知具体需要优化的策略规则,以及需要新增的策略规则,进而由开发人员重新进行开发后更新。基于此,如何提高上线访问应用的安全策略基础数据集的指向性,是亟待解决的技术问题。
发明内容
为了至少克服现有技术中的上述不足,本公开的目的在于提供一种基于信息安全大数据的安全画像生成方法及大数据***。
第一方面,本公开提供一种基于信息安全大数据的安全画像生成方法,应用于大数据***,所述大数据***与多个信息安全防护设备通信连接,所述方法包括:
获取对上线访问应用进行信息安全防护生成的信息安全大数据,从所述信息安全大数据解析出所述上线访问应用因访问异常风险触发形成的访问异常风险触发数据;
在所述信息安全大数据中解析出目标安全反馈日志,提取所述访问异常风险触发数据中与所述目标安全反馈日志相关联的安全反馈风险数据,得到风险数据排查信息;
根据所述风险数据排查信息的风险应用上线业务数与所述信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定所述上线访问应用的安全画像参数;
根据所述上线访问应用的安全画像参数,更新所述上线访问应用的安全画像信息后,将所述上线访问应用的安全画像信息添加到所述信息安全防护设备集群对应的安全策略基础数据集。
第二方面,本公开实施例还提供一种基于信息安全大数据的安全画像生成***,所述基于信息安全大数据的安全画像生成***包括大数据***以及与所述大数据***通信连接的多个信息安全防护设备;
所述大数据***,用于:
获取对上线访问应用进行信息安全防护生成的信息安全大数据,从所述信息安全大数据解析出所述上线访问应用因访问异常风险触发形成的访问异常风险触发数据;
在所述信息安全大数据中解析出目标安全反馈日志,提取所述访问异常风险触发数据中与所述目标安全反馈日志相关联的安全反馈风险数据,得到风险数据排查信息;
根据所述风险数据排查信息的风险应用上线业务数与所述信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定所述上线访问应用的安全画像参数;
根据所述上线访问应用的安全画像参数,更新所述上线访问应用的安全画像信息后,将所述上线访问应用的安全画像信息添加到所述信息安全防护设备集群对应的安全策略基础数据集。
根据上述任意一个方面,本公开提供的实施方式中,在经过访问异常风险触发的上线访问应用中会形成安全反馈风险数据,从而可以通过信息安全防护程序可以对该上线访问应用进行信息安全防护。在得到信息安全大数据时,可以解析出上线访问应用中的安全反馈风险数据以得到访问异常风险触发数据,当从信息安全大数据中识别目标安全反馈日志时,提取访问异常风险触发数据中与目标安全反馈日志相关联的访问异常风险触发数据,然后计算该风险数据排查信息的风险应用上线业务数与信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定上线访问应用的安全画像参数后,由此更新上线访问应用的安全画像信息,从而使得安全画像特征与实际异常风险情况关联,能够提高后续安全策略更新的指向性。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要调用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本公开实施例提供的基于信息安全大数据的安全画像生成***的应用场景示意图;
图2为本公开实施例提供的基于信息安全大数据的安全画像生成方法的流程示意图;
图3为本公开实施例提供的基于信息安全大数据的安全画像生成装置的功能模块示意图;
图4为本公开实施例提供的用于实现上述的基于信息安全大数据的安全画像生成方法的大数据***的结构示意框图。
具体实施方式
下面结合说明书附图对本公开进行具体说明,方法实施例中的具体操作方法也可以应用于装置实施例或***实施例中。
图1是本公开一种实施例提供的基于信息安全大数据的安全画像生成***10的应用场景示意图。基于信息安全大数据的安全画像生成***10可以包括大数据***100以及与大数据***100通信连接的信息安全防护设备200。图1所示的基于信息安全大数据的安全画像生成***10仅为一种可行的示例,在其它可行的实施例中,该基于信息安全大数据的安全画像生成***10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的组成部分。
一种实施例中,基于信息安全大数据的安全画像生成***10中的大数据***100和信息安全防护设备200可以通过配合执行以下方法实施例所描述的基于信息安全大数据的安全画像生成方法,具体大数据***100和信息安全防护设备200的执行步骤部分可以参照以下方法实施例的详细描述。
为了解决前述背景技术中的技术问题,图2为本公开实施例提供的基于信息安全大数据的安全画像生成方法的流程示意图,本实施例提供的基于信息安全大数据的安全画像生成方法可以由图1中所示的大数据***100执行,下面对该基于信息安全大数据的安全画像生成方法进行详细介绍。
步骤S110,获取对上线访问应用进行信息安全防护生成的信息安全大数据,从信息安全大数据解析出上线访问应用因访问异常风险触发形成的访问异常风险触发数据。
其中,上线访问应用可以是各种基于不同软件需求及开发的线上软件应用,如在线业务协同应用、在线电子商务应用等。
对应地,上线访问应用即为配置于云端计算服务中的基于不同软件需求及开发的线上软件应用,通过信息安全防护程序可以对该上线访问应用中的访问行为进行安全防护处理。上线访问应用可以具有不同预设的应用软件模块,例如该上线访问应用可以是执行某种电子商务直播的基于不同软件需求及开发的线上软件应用,如执行特定电子商务直播的在线业务协同应用,或在线业务协同过程某个协同视频会议的会议数据管理等。该上线访问应用可以是经过安全态势感知的线上软件应用,在安全态势感知后的上线访问应用中,某些具有安全态势信息的安全态势感知信息将会完成安全态势感知,完成安全态势感知的具有安全态势信息的安全态势感知信息则称为安全反馈风险信息,在功能上可以区别于其它未完成安全态势感知的具有安全态势信息的安全态势感知信息和非具有安全态势信息的安全态势感知信息。多个安全反馈风险信息汇总在一起则形成安全反馈风险数据。
一种实施例中,大数据***与信息安全防护程序建立软件通信接口,当信息安全防护程序对上线访问应用进行信息安全防护处理得到信息安全大数据时,信息安全防护程序可以实时地将生成的信息安全大数据发送给大数据***;大数据***则可以实时获得信息安全防护程序发送的信息安全大数据。此外,信息安全防护程序对上线访问应用进行信息安全防护处理得到防护数据流集合,然后将防护数据流集合实时发送给大数据***;大数据***则可以实时获得信息安全防护程序发送的防护数据流集合,然后对获得的防护数据流集合进行解析,得到多个信息安全大数据,然后从该多个信息安全大数据中提取至少一个信息安全大数据用于进行信息安全大数据的处理过程。
譬如,在获取到信息安全大数据之后,大数据***还可以对获取到的信息安全大数据进行数据差异检测,以确定该信息安全大数据的数据差异是否满足设定的数据差异条件。当数据差异不满足设定的数据差异条件时,则重新获取对上线访问应用进行信息安全防护生成的信息安全大数据,直至新获取到的信息安全大数据的数据差异满足数据差异条件,从而可以避免因数据差异低而导致处理压力增大。
一种实施例中,大数据***还可以对获取的信息安全大数据进行临时噪声数据识别,以判断该信息安全大数据是否包含有临时噪声数据,若包含临时噪声数据且临时噪声数据的噪声数据量超过预设噪声数据量,则确定噪声剔除策略,向信息安全防护程序发送携带噪声剔除策略的指令,以使该信息安全防护程序在采集包含有上线访问应用的信息安全大数据数据时,按照该噪声剔除策略对生成的信息安全大数据数据进行噪声剔除,得到优化后的信息安全大数据,然后将优化后的信息安全大数据发送给大数据***,从而大数据***可以利用优化后的信息安全大数据计算安全画像参数。
其中,临时噪声数据可以指在信息安全防护过程中,出现了一些上线访问应用本身不存在的、但却出现在信息安全大数据上而使数据分析价值下降的噪声数据。
其中,上线访问应用中的一些具有安全态势信息的安全态势感知信息完成安全态势感知之后,该上线访问应用中将会形成安全反馈风险数据,该安全反馈风险数据的数量可以是一个或多个。当对上线访问应用进行信息安全防护处理时,该安全反馈风险数据呈现于信息安全大数据中,大数据***从该信息安全大数据中解析出安全反馈风险数据,从而得到访问异常风险触发数据。
一种实施例中,大数据***可以对信息安全大数据进行意图互动识别,以解析出上线访问应用中的安全反馈风险数据,从而得到访问异常风险触发数据。
一种实施例中,大数据***可以将该信息安全大数据划分为多个阶段安全防护数据分块,然后确定每个阶段安全防护数据分块分别属于安全反馈风险数据的漏洞攻击爆发率信息,该漏洞攻击爆发率信息中各数据值表示在相应阶段安全防护数据分块中的阶段安全防护行为匹配安全反馈风险数据的漏洞攻击爆发率;将确定的漏洞攻击爆发率信息进行融合,得到漏洞攻击爆发率信息;根据该漏洞攻击爆发率信息对信息安全大数据进行相关数据定位,得到访问异常风险触发数据。
在对信息安全大数据进行划分之前,大数据***可以对该信息安全大数据进行聚类,然后对目标信息安全大数据进行划分,得到多个阶段安全防护数据分块,并根据生成的阶段安全防护数据分块得到对应的漏洞攻击爆发率信息。在进行相关数据定位时,大数据***可以根据该漏洞攻击爆发率信息对信息安全大数据或目标信息安全大数据进行相关数据定位,得到访问异常风险触发数据。
此外,在进行聚类之后,大数据***还可以对目标信息安全大数据进行去噪,即剔除目标信息安全大数据的噪声数据,并对去噪后的目标信息安全大数据进行规则化处理,得到规则化信息安全大数据。然后对规则化信息安全大数据进行划分,得到多个阶段安全防护数据分块,并根据生成的阶段安全防护数据分块得到对应的漏洞攻击爆发率信息。在进行相关数据定位时,大数据***可以根据该漏洞攻击爆发率信息对信息安全大数据、目标信息安全大数据或规则化信息安全大数据进行相关数据定位,得到访问异常风险触发数据。
步骤S120,在信息安全大数据中解析出目标安全反馈日志S,提取访问异常风险触发数据中与目标安全反馈日志相关联的安全反馈风险数据,得到风险数据排查信息。
其中,安全态势感知信息可以是上线访问应用中目标类型的具有安全态势信息的安全态势感知信息,如发生电子商务直播的具有安全态势信息的安全态势感知信息(如具有攻击某个直播业务组件的安全态势信息的安全态势感知信息),或具有特定属性的具有安全态势信息的安全态势感知信息。目标反馈成分即为安全态势感知信息的感知成分特征,也即多个安全态势感知信息之间的感知风险场景。
目标反馈成分部分可以指上线访问应用中目标反馈成分的数据展现区域,当对上线访问应用进行信息安全防护处理时,该目标反馈成分部分呈现于信息安全大数据中,大数据***从该信息安全大数据中解析出目标反馈成分部分,从而得到目标安全反馈日志。可以理解的,该目标安全反馈日志主要指关于目标反馈成分部分的记录日志,在该目标安全反馈日志中,目标反馈成分部分可以以不同的形式呈现。
一种实施例中,大数据***对获取的信息安全大数据进行安全态势感知信息检测,以得到该信息安全大数据的网络安全态势感知数据,该网络安全态势感知数据可以指上线访问应用中安全态势感知信息在信息安全大数据中所处的特点数据部分;然后,对该网络安全态势感知数据寻找目标感知反馈成分得到目标感知反馈成分数据,然后根据目标感知反馈成分数据和信息安全大数据确定安全态势感知信息与目标反馈成分之间的安全反馈关系数据,根据该安全反馈关系数据确定目标安全反馈日志。
例如,在对信息安全大数据进行安全态势感知信息或网络安全态势感知数据的检测时,可以根据机器学习的识别方式,检测出信息安全大数据中的网络安全态势感知数据,如采用预训练的机器学习单元对信息安全大数据进行网络安全态势感知数据进行解析。
一种实施例中,大数据***可以将访问异常风险触发数据和目标安全反馈日志进行叠加,然后对访问异常风险触发数据中的安全反馈风险数据和目标安全反馈日志中的目标反馈成分部分计算关联数据,相关联的安全反馈风险数据即为安全态势感知部分具有安全态势信息的安全态势感知漏洞,从而得到风险数据排查信息。
步骤S130,根据风险数据排查信息的风险应用上线业务数与信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定所述上线访问应用的安全画像参数。
其中,风险应用上线业务数指的是风险数据排查信息中安全态势感知过程具有互动业务安全态势信息的应用上线业务数。上线访问应用的总应用上线业务数指的是上线访问应用在信息安全大数据中的应用上线业务数。需要指出的是,未出现在信息安全大数据或信息安全防护处理范围内的上线访问应用,其应用上线业务数不会包含在上述的上线访问应用的总应用上线业务数内。
上述的安全画像参数指的是具有安全态势信息的安全态势感知信息在信息安全防护处理范围内上线访问应用中的占比。
例如,大数据***计算风险数据排查信息中具有安全态势信息的安全态势感知漏洞的应用上线业务数,得到风险应用上线业务数;大数据***计算位于信息安全大数据中的上线访问应用的应用上线业务数,得到上线访问应用的总应用上线业务数,然后计算风险应用上线业务数与上线访问应用的总应用上线业务数之间的业务数关系,即可得到安全画像参数。
一种实施例中,大数据***在信息安全大数据中,将与风险数据排查信息中威胁态势感知对象或威胁态势感知区匹配的应用节点进行标注;将标注的信息安全大数据和安全画像参数进行输出,以使安全画像参数关联于信息安全大数据对应的属性信息中。
例如,在得到安全画像参数之后,大数据***可以以具有安全态势信息的安全态势感知信息为单位,在信息安全大数据中,将与风险数据排查信息中威胁态势感知对象匹配的应用节点进行标注;将标注的信息安全大数据和安全画像参数进行输出,以使安全画像参数关联于信息安全大数据对应的属性信息中。或者,大数据***还可以以具有安全态势信息的安全态势感知信息块为单位,在信息安全大数据中,将与风险数据排查信息中威胁态势感知区匹配的应用节点进行标注;将标注的信息安全大数据和安全画像参数进行输出,以使安全画像参数关联于信息安全大数据对应的属性信息中。此外,大数据***也可以同时采用上述两种方式进行标注,以得到标注的信息安全大数据。
步骤S140,根据所述上线访问应用的安全画像参数,更新所述上线访问应用的安全画像信息后,将所述上线访问应用的安全画像信息添加到所述信息安全防护设备集群对应的安全策略基础数据集。
其中,所述信息安全防护设备集群对应的安全策略基础数据集可以用于后续对安全策略进行更新,具体更新的方式不是本公开实施例旨在表述的重点,可以根据常规的安全策略确定方式,或者人为确定方式即可,具体不作限定。
这样,在经过访问异常风险触发的上线访问应用中会形成安全反馈风险数据,从而可以通过信息安全防护程序可以对该上线访问应用进行信息安全防护。在得到信息安全大数据时,可以解析出上线访问应用中的安全反馈风险数据以得到访问异常风险触发数据,当从信息安全大数据中识别目标安全反馈日志时,提取访问异常风险触发数据中与目标安全反馈日志相关联的访问异常风险触发数据,然后计算该风险数据排查信息的风险应用上线业务数与信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定上线访问应用的安全画像参数后,由此更新上线访问应用的安全画像信息,从而使得安全画像特征与实际异常风险情况关联,能够提高后续安全策略更新的指向性。
为了更清楚更直观地理解上述方法,结合具体应用场景对上述方法进行阐述,这里假设安全态势感知信息为关于电子商务直播的安全态势感知信息,那么目标反馈成分即为电商直播感知成分特征,在一种实施例中,提供另一种基于信息安全大数据的安全画像生成方法,上述方法具体包括:
步骤S210,信息安全防护程序对电商直播服务的上线访问应用进行信息安全防护处理,得到关于电商直播服务的信息安全大数据。
步骤S220,大数据***接收信息安全防护程序发送的关于电商直播服务的信息安全大数据。
步骤S230,大数据***从信息安全大数据解析出电商直播服务的上线访问应用因访问异常风险触发形成的访问异常风险触发数据。
由于电商直播服务的上线访问应用进行访问异常风险触发,关于电子商务直播的安全态势感知信息完成安全态势感知,从而关于电子商务直播的安全态势感知信息与其它具有安全态势信息的安全态势感知信息之间的标注形式不同,因此大数据***可以通过识别的方式将完成安全态势感知的区域解析出来,得到访问异常风险触发数据。
步骤S240,大数据***在信息安全大数据中解析出电商直播感知成分特征的特点数据部分。
步骤S250,大数据***提取访问异常风险触发数据中与目标安全反馈日志相关联的安全反馈风险数据,得到风险数据排查信息。
步骤S260,大数据***根据风险数据排查信息的风险应用上线业务数与信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定具有安全态势信息的安全态势感知信息在该电商直播业务范围内的比例。
其中,关于电子商务直播的安全态势感知信息在该电商直播业务范围内的比例即为上述的安全画像参数。需要指出的是,该安全画像参数是关于电子商务直播的安全态势感知信息在信息安全防护处理范围内电商直播业务范围的比例。
步骤S270,大数据***将与风险数据排查信息中威胁态势感知对象或威胁态势感知区匹配的应用节点进行标注。
步骤S280,大数据***将标注的信息安全大数据和安全画像参数进行输出。
步骤S290,大数据***将安全画像参数关联于信息安全大数据对应的属性信息中。
上述实施例中,在经过访问异常风险触发的上线访问应用中会形成安全反馈风险数据,从而可以通过信息安全防护程序可以对该上线访问应用进行信息安全防护,得到具有安全态势信息的安全态势感知漏洞的信息安全大数据,在得到对该上线访问应用进行信息安全防护生成的信息安全大数据时,可以从该信息安全大数据解析出上线访问应用中的安全反馈风险数据以得到访问异常风险触发数据,当从信息安全大数据中识别目标安全反馈日志时,提取访问异常风险触发数据中与目标安全反馈日志相关联的访问异常风险触发数据,然后计算该风险数据排查信息的风险应用上线业务数与信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,从而便于后续更新上线访问应用的安全画像信息,提高后续安全策略更新的指向性。
一种实施例中,获得访问异常风险触发数据的步骤如下所述:
步骤S310,对信息安全大数据进行聚类,得到目标信息安全大数据。
其中,对信息安全大数据进行聚类,从而可以时处理后的信息安全大数据中完成安全态势感知部分与未完成安全态势感知部分更加具有区分程度。
步骤S320,通过第一风险触发解析单元对目标信息安全大数据进行特征提取,得到上线访问应用因访问异常风险触发形成的访问异常风险触发特征。
其中,第一风险触发解析单元即为用于预测安全反馈风险数据的机器学习单元。
一种实施例中,大数据***可以将该目标信息安全大数据输入第一风险触发解析单元,该第一风险触发解析单元提取目标信息安全大数据的阶段安全防护数据特征,根据该阶段安全防护数据特征确定目标信息安全大数据中的阶段安全防护数据分别属于安全反馈风险数据的漏洞攻击爆发率,得到漏洞攻击爆发率信息。其中,该漏洞攻击爆发率信息即为访问异常风险触发特征。
目标信息安全大数据在输入第一风险触发解析单元之前,大数据***还可以划分为多个阶段安全防护数据分块,然后依次将各阶段安全防护数据分块输入至第一风险触发解析单元。该第一风险触发解析单元从各阶段安全防护数据分块中提取阶段安全防护数据特征,根据提取的阶段安全防护数据特征确定对应阶段安全防护数据分块的阶段安全防护数据分别属于安全反馈风险数据的漏洞攻击爆发率,得到漏洞攻击爆发率信息;将生成的漏洞攻击爆发率信息进行融合,得到漏洞攻击爆发率信息。
一种实施例中,在进行特征提取之前,大数据***还可以对目标信息安全大数据进行去噪处理,对去噪后的目标信息安全大数据进行规则化处理,得到规则化信息安全大数据。S320具体可以包括:大数据***通过第一风险触发解析单元对规则化信息安全大数据进行特征提取,得到访问异常风险触发特征。其中,从规则化信息安全大数据提取特征的过程可参考上述从目标信息安全大数据中提取特征的步骤。
一种实施例中,大数据***获取信息安全防护程序在进行信息安全防护过程中所采用的安全防护阶段信息;将安全防护阶段信息依次输入至第一风险触发解析单元,以使第一风险触发解析单元获取与安全防护阶段信息对应的阶段特征信息,按照阶段特征信息调整目标信息安全大数据各阶段安全防护数据的安全防护区间,从而第一风险触发解析单元可以把目标信息安全大数据的各阶段安全防护数据转换成第一风险触发解析单元本身能处理的阶段特征信息。
对于安全防护阶段信息的获取方式,可以参考以下2种方式:
方式1,用户输入的方式。
例如,大数据***获取输入的、针对信息安全防护程序在进行信息安全防护过程中所采用安全防护阶段信息。例如,用户读取信息安全防护程序上的安全防护阶段信息,然后将该安全防护阶段信息输入至大数据***。
方式2,阶段特征信息计算的方式。
例如,大数据***对信息安全防护程序生成的信息安全大数据进行阶段特征信息计算,查找与计算出的第一阶段特征信息匹配的安全防护阶段信息。这种方式是直接计算单个阶段安全防护数据的阶段特征信息,然后根据阶段特征信息来查找匹配的安全防护阶段信息。
在另一个实施例中,大数据***计算信息安全防护程序生成的信息安全大数据的云安全防护区间和在云安全防护区间下的阶段安全防护属性,根据云安全防护区间和阶段安全防护属性确定第二阶段特征信息,查找与第二阶段特征信息匹配的安全防护阶段信息。
步骤S330,根据访问异常风险触发特征对目标信息安全大数据进行相关数据定位,得到访问异常风险触发数据。
例如,大数据***通过第一风险触发解析单元来进行相关数据定位过程,即第一风险触发解析单元在目标信息安全大数据中将与访问异常风险触发特征匹配的特征区域分割出来,从而得到访问异常风险触发数据。
上述实施例中,首先对信息安全大数据进行聚类,从而可以时处理后的信息安全大数据中完成安全态势感知部分与未完成安全态势感知部分更加具有区分程度,以提升拆分的目标信息安全大数据得到访问异常风险触发数据的准确性,进而结合访问异常风险触发数据与目标安全反馈日志所确定的安全画像参数准确性也更高。
一种实施例中,获得目标安全反馈日志的步骤如下所述:
步骤S410,对信息安全大数据进行聚类,得到目标信息安全大数据。
其中,对信息安全大数据进行聚类,从而可以使得处理后的信息安全大数据中完成安全态势感知部分与未完成安全态势感知部分更加具有区分程度。
步骤S420,对目标信息安全大数据中的网络安全态势感知数据进行解析。
例如,大数据***可以采用基于机器学习的安全态势感知漏洞检测方式,检测出目标信息安全大数据中的网络安全态势感知数据。基于机器学习的安全态势感知漏洞检测方式基于人工智能实现,如可以为根据机器学习模型实现安全态势感知漏洞检测。例如,可以通过FCN型、SegNet模型、Linknet模型等算法模型对安全态势感知漏洞进行解析,得到目标信息安全大数据中的安全态势感知漏洞。
例如,在对目标信息安全大数据进行安全态势感知漏洞检时,基于机器学习的安全态势感知漏洞检测方式,如采用预训练的机器学习单元对目标信息安全大数据进行安全态势感知漏洞检测方式,检测出目标信息安全大数据中的安全态势感知漏洞,得到网络安全态势感知数据。
步骤S430,通过第二风险触发解析单元对解析的网络安全态势感知数据寻找目标感知反馈成分,得到目标感知反馈成分数据。
例如,在基于机器学习的安全态势感知漏洞检测方式检测出目标信息安全大数据中的安全态势感知漏洞后,大数据***对该安全态势感知漏洞寻找目标感知反馈成分,具体可以通过融合各安全态势感知漏洞,寻找到能够包括各安全态势感知漏洞的目标感知反馈成分节点,根据目标感知反馈成分节点覆盖的成分元素生成目标感知反馈成分数据。通过对网络安全态势感知数据寻找目标感知反馈成分,可以减小处理过程中误差的影响,得到准确的目标感知反馈成分数据。
在具体实现时,大数据***可以将安全态势感知漏洞进行融合,获得威胁情报关联区,再由大数据***将威胁情报关联区的范围内的非安全态势感知漏洞剔除,从而确保威胁情报关联区范围内均为准确的安全态势感知信息识别结果,最后由大数据***对剔除了非安全态势感知漏洞的威胁情报关联区进行处理,如通过成分分析进行处理,获得目标感知反馈成分数据,同时通过成分分析对较小的区域进行去噪处理,提高了安全态势感知信息目标感知反馈成分部分识别划分的准确性。
一种实施例中,大数据***获取信息安全防护程序在进行信息安全防护过程中所采用的安全防护阶段信息;将安全防护阶段信息依次输入至第二风险触发解析单元,以使第二风险触发解析单元获取与安全防护阶段信息对应的阶段特征信息,按照阶段特征信息调整目标信息安全大数据各阶段安全防护数据的安全防护区间,从而第二风险触发解析单元可以把目标信息安全大数据的各阶段安全防护数据转换成第一风险触发解析单元本身能处理的阶段特征信息。
对于本实施例中安全防护阶段信息的获取方式,可以参考前述实施例两种安全防护阶段信息获取方式。
步骤S440,融合目标信息安全大数据和目标感知反馈成分数据,获得安全态势感知信息与目标反馈成分之间的安全反馈关系数据。
得到目标感知反馈成分数据后,将目标感知反馈成分数据和目标信息安全大数据进行关联,得到安全态势感知信息与目标反馈成分之间的安全反馈关系数据,其整体展现了安全态势感知信息和目标反馈成分在目标信息安全大数据中的分布情况。例如,大数据***可以求取安全态势感知漏洞和安全态势感知信息目标感知反馈成分部分之间的关联数据,将目标信息安全大数据和安全态势感知信息目标感知反馈成分部分的关联数据确定为安全反馈关系数据。安全反馈关系数据综合了目标信息安全大数据进行安全态势感知漏洞解析的检测结果和目标信息安全大数据基于机器学习的安全态势感知漏洞检测结果,能够有效减小单一检测方式中的误差影响,安全态势感知漏洞细节检测划分的精度高。
步骤S450,根据安全反馈关系数据确定目标安全反馈日志。
其中,安全反馈关系数据内的部分为安全态势感知漏洞,安全反馈关系数据外的部分为目标反馈成分部分,从而可以根据安全反馈关系数据确定目标反馈成分部分,根据目标反馈成分部分生成目标安全反馈日志。
上述实施例中,首先对信息安全大数据进行聚类,从而可以时处理后的信息安全大数据中完成安全态势感知部分与未完成安全态势感知部分更加具有区分程度,以提升分割目标信息安全大数据得到目标安全反馈日志的准确性,进而结合目标安全反馈日志和访问异常风险触发数据所确定的安全画像参数准确性也更高。
对于上述S430寻找目标感知反馈成分的步骤,具体可以根据以下两种方式进行目标感知反馈成分寻找:
方式1,上述S430具体可以包括:大数据***将对目标信息安全大数据划分生成的各信息安全数据分块数据输入第二风险触发解析单元;通过第二风险触发解析单元对输入的信息安全数据分块数据进行安全态势感知信息检测,得到对应的安全态势感知信息的漏洞攻击爆发率信息;将安全态势感知信息的漏洞攻击爆发率信息进行融合,得到安全态势感知信息集的漏洞攻击爆发率信息;对安全态势感知信息集的漏洞攻击爆发率信息进行安全态势感知漏洞判定,并根据判定信息确定目标信息安全大数据中的目标感知反馈成分数据。
本实施例中,在将目标信息安全大数据划分成各安全态势感知信息后,由安全态势感知漏洞机器学习单元分别对各安全态势感知信息进行安全态势感知漏洞检测,并将各安全态势感知信息对应的检测结果融合,得到目标信息安全大数据对应的安全态势感知漏洞检测结果。其中,安全态势感知信息通过对目标信息安全大数据进行安全态势感知得到,如可以按照预设的感知策略对目标信息安全大数据进行安全态势感知,从而将目标信息安全大数据划分为若干个安全态势感知信息,降低了单次安全态势感知的数据量,提高安全态势感知的效率。
例如,在通过安全态势感知漏洞机器学习单元对目标信息安全大数据进行安全态势感知漏洞检测时,大数据***获取目标信息安全大数据经过安全态势感知处理获得的各安全态势感知信息。其中,安全态势感知信息的安全态势感知可以在对目标信息安全大数据进行解析时实现,则在对目标信息安全大数据进行解析时,直接获取检测时安全态势感知得到的各安全态势感知信息。大数据***将各安全态势感知信息输入安全态势感知漏洞机器学习单元中进行安全态势感知漏洞检测,获得由安全态势感知漏洞机器学习单元输出的各安全态势感知信息的漏洞攻击爆发率信息。安全态势感知信息的漏洞攻击爆发率信息记录了对应安全态势感知信息中的阶段安全防护行为检测为安全态势感知漏洞的漏洞攻击爆发率。大数据***将各安全态势感知信息分别对应的安全态势感知信息的漏洞攻击爆发率信息进行融合,得到目标信息安全大数据对应的安全态势感知信息集的漏洞攻击爆发率信息,从而实现对目标信息安全大数据的安全态势感知漏洞检测。
本实施例中,通过安全态势感知漏洞机器学习单元分别对安全态势感知信息进行安全态势感知漏洞检测,并将各安全态势感知信息对应的检测结果融合,得到目标信息安全大数据对应的安全态势感知漏洞检测结果,可以减少单次安全态势感知漏洞检测处理的数据量,而且可以对各安全态势感知信息进行并行处理,能够有效提高安全态势感知漏洞解析的处理效率。
例如,上述对安全态势感知信息集的漏洞攻击爆发率信息进行安全态势感知漏洞判定,并根据判定信息确定目标信息安全大数据中的目标感知反馈成分数据的步骤,具体可以包括:大数据***获取预设漏洞攻击爆发率阈值;根据预设漏洞攻击爆发率阈值和安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为对应的漏洞攻击爆发率,对安全态势感知信息集的漏洞攻击爆发率信息进行趋势分析,得到安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为的漏洞趋势分析信息;根据安全态势感知信息集的漏洞攻击爆发率信息各阶段安全防护行为的漏洞趋势分析信息获得目标信息安全大数据中的目标感知反馈成分数据。
其中,预设漏洞攻击爆发率阈值根据实际需要预先设置,如可以设置为0.5,预设漏洞攻击爆发率阈值用于对安全态势感知信息集的漏洞攻击爆发率信息进行安全态势感知漏洞判定,根据安全态势感知漏洞判定确定目标信息安全大数据中的安全态势感知漏洞。例如,在得到安全态势感知漏洞机器学习单元输出的安全态势感知信息集的漏洞攻击爆发率信息后,大数据***获取预设的预设漏洞攻击爆发率阈值,预设漏洞攻击爆发率阈值用于对安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为的漏洞攻击爆发率进行趋势分析。大数据***根据预设漏洞攻击爆发率阈值和安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为对应的漏洞攻击爆发率,对安全态势感知信息集的漏洞攻击爆发率信息进行漏洞攻击爆发率趋势分析,具体可以由大数据***分别比较安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为对应的漏洞攻击爆发率和预设漏洞攻击爆发率阈值的大小,根据比较结果将各阶段安全防护行为进行漏洞攻击爆发率趋势分析,获得安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为的漏洞趋势分析信息。
例如,预设漏洞攻击爆发率阈值为0.5,若安全态势感知信息集的漏洞攻击爆发率信息中阶段安全防护行为A的漏洞攻击爆发率为0.8,阶段安全防护行为B的漏洞攻击爆发率为0.2,则将阶段安全防护行为A的数据值映射为白色数据值,将阶段安全防护行为A的数据值映射为黑色数据值,从而实现对阶段安全防护行为A和阶段安全防护行为B的趋势分析,在游走所有阶段安全防护行为后,实现对安全态势感知信息集的漏洞攻击爆发率信息的趋势分析。得到安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为的漏洞趋势分析信息后,大数据***根据各漏洞趋势分析信息得到所述目标信息安全大数据中的安全态势感知漏洞,如大数据***可以根据各漏洞趋势分析信息中映射为安全态势感知信息数据值的阶段安全防护行为确定为安全态势感知信息阶段安全防护行为,并根据所有安全态势感知信息阶段安全防护行为确定目标信息安全大数据中的安全态势感知漏洞。
本实施例中,通过预设的预设漏洞攻击爆发率阈值对安全态势感知信息集的漏洞攻击爆发率信息进行漏洞攻击爆发率趋势分析,以根据安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为的漏洞趋势分析信息确定目标信息安全大数据中的安全态势感知漏洞,通过对趋势分析可以直观对目标信息安全大数据中的安全态势感知漏洞和目标反馈成分部分进行准确划分,确保了生成的目标安全反馈日志的精度。
方式2,上述S430具体可以包括:对目标信息安全大数据中的网络安全态势感知数据进行威胁情报关联,得到威胁情报关联数据;从威胁情报关联数据中剔除非安全态势感知漏洞,得到筛选后的威胁情报关联数据;对筛选后的威胁情报关联数据进行成分分析,获得目标感知反馈成分数据。其中,非安全态势感知漏洞可以指非安全态势感知信息的区域,对应地,剔除非安全态势感知漏洞可以指剔除非安全态势感知信息的区域。例如,剔除非关于电子商务直播的安全态势感知信息的区域。
本实施例中,将所检测出的安全态势感知漏洞进行威胁情报关联后,剔除威胁情报关联区内的非安全态势感知信息,从而对威胁情报关联区的范围内部进行非安全态势感知信息过滤,再通过成分分析对威胁情报关联区的边缘进行平滑处理,同时实现对威胁情报关联区边较小区域的去噪,从而实现了对所检测出的安全态势感知漏洞寻找目标感知反馈成分,得到了识别划分准确性高的目标感知反馈成分数据。
例如,在检测出目标信息安全大数据中的安全态势感知漏洞后,大数据***对目标信息安全大数据中的安全态势感知漏洞进行威胁情报关联,具体可以通过游走目标信息安全大数据中的安全态势感知漏洞和非目标区域(即目标反馈成分部分),以通过威胁情报关联模板将目标信息安全大数据中的安全态势感知漏洞进行威胁情报关联,生成安全态势感知信息威胁情报关联区。大数据***再对生成的安全态势感知信息威胁情报关联区范围内非安全态势感知信息进行剔除,从而确保安全态势感知信息威胁情报关联区内部均为安全态势感知信息。例如,大数据***剔除处于安全态势感知信息威胁情报关联区内的非安全态势感知漏洞,如大数据***可以直接将处于安全态势感知信息威胁情报关联区内的非安全态势感知漏洞更新为安全态势感知漏洞,得到更新后的安全态势感知信息威胁情报关联区。更新后的安全态势感知信息威胁情报关联区的内部均为安全态势感知漏洞。进一步地,大数据***对更新后的安全态势感知信息威胁情报关联区进行成分分析,得到目标感知反馈成分数据。通过对更新后的安全态势感知信息威胁情报关联区进行成分分析,同时针对更新后的安全态势感知信息威胁情报关联区的边缘区进行有效去噪,进一步提高了目标感知反馈成分数据的识别划分精度。
一种实施例中,访问异常风险触发数据是第一风险触发解析单元生成的;第一风险触发解析单元是对第一基准风险触发解析单元进行训练优化获得;对第一基准风险触发解析单元进行训练优化的步骤,具体可以包括:
步骤S510,获取对参考上线访问应用进行信息安全防护生成的参考信息安全大数据。
一种实施例中,大数据***可以从参考数据库中获取对参考上线访问应用进行信息安全防护生成的参考信息安全大数据。此外,参考信息安全大数据获取的过程可以参考上述实施例中S120的获取方式。
步骤S520,当对参考信息安全大数据经过聚类后,通过第一基准风险触发解析单元对经过聚类的参考信息安全大数据进行特征提取,得到参考上线访问应用因访问异常风险触发形成的参考访问异常风险触发特征。
步骤S530,根据参考访问异常风险触发特征对经过聚类的参考信息安全大数据进行相关数据定位,得到参考访问异常风险触发数据。
其中,上述步骤S510-步骤S530的步骤可以参考上述实施例中步骤S310-步骤S330。
步骤S540,根据参考访问异常风险触发数据与对应的基准访问异常风险触发数据之间的单元评估指标,对第一基准风险触发解析单元的单元配置信息进行优化,直至达到单元收敛要求。
一种实施例中,步骤S540具体可以包括:大数据***计算参考访问异常风险触发数据与对应的基准访问异常风险触发数据之间的单元评估指标,然后将计算的单元评估指标反向传播到第一基准风险触发解析单元的各层,获得对于各层参数的梯度;根据梯度调整第一基准风险触发解析单元中各层的参数,直至达到单元收敛要求,得到第一风险触发解析单元。
上述实施例中,在获取到参考信息安全大数据时,对参考信息安全大数据进行聚类,从而可以时处理后的参考信息安全大数据中完成安全态势感知部分与未完成安全态势感知部分更加具有区分程度,以提升分割目标参考信息安全大数据得到参考访问异常风险触发数据的准确性。通过处理后的参考信息安全大数据对第一基准风险触发解析单元进行训练,获得参考访问异常风险触发数据,根据参考访问异常风险触发数据与对应的基准访问异常风险触发数据之间的单元评估指标,调整第一基准风险触发解析单元的单元配置信息,获得第一风险触发解析单元,采用第一风险触发解析单元来解析出访问异常风险触发数据,提高了安全反馈风险数据识别的准确性,有利于提高安全画像参数的计算准确性。
一种实施例中,目标安全反馈日志是第二风险触发解析单元生成的;第二风险触发解析单元是对第二基准风险触发解析单元进行训练优化获得;对第二基准风险触发解析单元进行训练优化包括:
步骤S610,对经过聚类的参考信息安全大数据中的参考网络安全态势感知数据进行解析。
步骤S620,通过第二风险触发解析单元对参考网络安全态势感知数据寻找目标感知反馈成分,得到参考目标感知反馈成分数据。
步骤S630,对参考目标感知反馈成分数据和经过聚类的参考信息安全大数据进行关联,获得安全态势感知信息与目标反馈成分之间的参考安全反馈关系数据。
步骤S640,根据参考安全反馈关系数据确定的参考目标安全反馈日志与对应的基准目标安全反馈日志之间的单元评估指标,对第二基准风险触发解析单元的单元配置信息进行优化,直至达到单元收敛要求。
一种实施例中,步骤S640具体可以包括:大数据***计算参考目标安全反馈日志与对应的基准目标安全反馈日志之间的单元评估指标,然后将计算的单元评估指标反向传播到第二基准风险触发解析单元的各层,获得对于各层参数的梯度;根据梯度调整第二基准风险触发解析单元中各层的参数,直至达到单元收敛要求,得到第二风险触发解析单元。
上述实施例中,通过处理后的参考信息安全大数据对第二基准风险触发解析单元进行训练,获得参考安全反馈关系数据,根据参考安全反馈关系数据确定参考目标安全反馈日志,根据参考目标安全反馈日志与对应的基准目标安全反馈日志之间的单元评估指标,调整第二基准风险触发解析单元的单元配置信息,获得第二风险触发解析单元,采用第二风险触发解析单元来解析出目标安全反馈日志,提高了目标反馈成分部分识别的准确性,有利于提高安全画像参数的计算准确性。
在一种实施例中,对于步骤S140,当上线访问应用的安全画像参数匹配预设安全画像参数时,可以按照第一画像生成策略生成上线访问应用的安全画像信息。再例如,当上线访问应用的安全画像参数不匹配预设安全画像参数时,可以按照第二画像生成策略生成上线访问应用的安全画像信息。
其中,在一种实施例中,按照第一画像生成策略生成上线访问应用的安全画像信息,例如可以是按照预设的与当前安全防护阶段匹配的安全防护指令集对上线访问应用的安全画像信息进行生成。也就是说,安全防护阶段可以具有多个预设阶段,具体可以根据实际业务情况而定,如果上线访问应用的安全画像参数匹配预设安全画像参数,表明当前上线访问应用的安全性能较好,那么只需要按照预设的与当前安全防护阶段匹配的安全防护指令集对上线访问应用的安全画像信息进行生成即可,无需特殊处理。
其中,在一种独立的实施例中,按照第二画像生成策略生成上线访问应用的安全画像信息,具体可以通过以下示例性的步骤实现。
步骤S101,获取信息安全防护设备集群中的多个信息安全防护设备针对上线访问应用的参考安全防护大数据。
步骤S102,根据参考安全防护大数据中每个安全防护维度下的各个目标参考安全态势感知信息的安全防护倾向序列,获取每个安全防护维度下的多个防护倾向目标。
步骤S103,确定多个防护倾向目标的倾向属性信息,多个防护倾向目标中存在多种倾向属性的防护倾向目标,倾向属性信息指示多个防护倾向目标中每种倾向属性的防护倾向目标的数量,多个防护倾向目标中不同倾向属性的防护倾向目标的数量呈对应关系。
步骤S104,根据多个防护倾向目标的倾向属性信息,确定划分目标数。
步骤S105,根据多个防护倾向目标中每种倾向属性的防护倾向目标的数量和划分目标数,确定防护倾向目标划分簇中每种倾向属性的防护倾向目标的数量。
步骤S106,根据防护倾向目标划分簇中多种倾向属性的防护倾向目标的数量,对多个防护倾向目标执行至少两次划分操作得到至少两个防护倾向目标划分簇,每次划分操作用于确定一个防护倾向目标划分簇的多种倾向属性的防护倾向目标。
步骤S107,根据至少两个防护倾向目标划分簇中的每个防护倾向目标划分簇所包括的防护倾向目标的防护倾向标签,对至少两个防护倾向目标划分簇进行初始安全防护配置。
步骤S108,同步关联至少两个防护倾向目标划分簇中的每个防护倾向目标划分簇的安全防护节点和安全防护范围中的至少一种,使至少两个防护倾向目标划分簇中位于同一防护类型的防护倾向目标划分簇关联对应的安全防护指令集,位于同一漏洞利用类型的防护倾向目标划分簇关联对应的安全防护指令集。
这样,通过确定多个防护倾向目标的倾向属性信息后,可以根据该多个防护倾向目标倾向属性信息,对该多个防护倾向目标进行划分得到至少两个防护倾向目标划分簇,之后对该至少两个防护倾向目标划分簇进行安全防护配置,使该至少两个防护倾向目标划分簇中位于同一防护类型的防护倾向目标划分簇关联对应的安全防护指令集,位于同一漏洞利用类型的防护倾向目标划分簇关联对应的安全防护指令集。如此,可以简化防护倾向目标同步关联过程,提高同步关联精度,并且结合防护倾向目标的倾向属性信息进行安全防护配置,由此提高后续的安全防护效果。
譬如,在一种实施例中,在步骤S107中,对于至少两个防护倾向目标划分簇中的每个防护倾向目标划分簇,根据防护倾向目标划分簇中的防护倾向目标在目标防护连通图中的位置信息,确定防护倾向目标划分簇在目标防护连通图中的位置信息,然后根据至少两个防护倾向目标划分簇的位置信息,对至少两个防护倾向目标划分簇进行排序,得到防护倾向目标划分簇集合。
接下来,以防护倾向目标划分簇集合为聚类目标执行防护类型聚类过程,防护类型聚类过程包括:
依次对聚类目标中的每个防护倾向目标划分簇执行第一流程,对聚类目标中的第i个防护倾向目标划分簇执行的第一流程包括:确定聚类目标的前i个防护倾向目标划分簇中,与聚类目标中第1个防护倾向目标划分簇位于同一防护类型的防护倾向目标划分簇的应用节点与第i个防护倾向目标划分簇的应用节点的应用跨度,i≥1。当应用跨度小于目标应用跨度阈值时,确定第i个防护倾向目标划分簇与第1个防护倾向目标划分簇位于同一防护类型。当应用跨度不小于目标应用跨度阈值时,确定第i个防护倾向目标划分簇与第1个防护倾向目标划分簇位于不同防护类型。当聚类目标存在与第1个防护倾向目标划分簇位于不同防护类型的至少一个防护倾向目标划分簇时,将聚类目标更新为至少一个防护倾向目标划分簇构成的集合,重复执行防护类型聚类过程,直至确定出至少两个防护倾向目标划分簇中的每个防护倾向目标划分簇所在防护类型。
譬如,在一种实施例中,在步骤S108中,例如可以根据对至少两个防护倾向目标划分簇进行初始安全防护配置的结果,确定至少两个防护倾向目标划分簇的防护类型分布信息,防护类型分布信息指示每个防护类型的防护倾向目标划分簇的数量。然后,根据同步关联服务的同步关联参数、目标防护跨度间隔和每个防护类型的防护倾向目标划分簇的数量,确定每个防护类型的防护倾向目标划分簇中的各个防护倾向目标划分簇的目标同步关联参数。接着,确定每个防护类型的防护倾向目标划分簇中,每种倾向属性的防护倾向目标的目标配置关联安全防护区间。
由此,可以同步关联至少两个防护倾向目标划分簇中的每个防护倾向目标划分簇的安全防护节点和安全防护范围中的至少一种,使每个防护类型的防护倾向目标划分簇中的各个防护倾向目标划分簇的同步关联参数匹配目标同步关联参数,每个防护类型的防护倾向目标划分簇中每种倾向属性的防护倾向目标的配置关联安全防护区间匹配目标配置关联安全防护区间,相关联的防护倾向目标划分簇的防护跨度间隔匹配目标防护跨度间隔,且防护倾向目标划分簇中的相关联防护倾向目标的防护跨度间隔匹配目标防护跨度间隔。
在一种实施例中,在以上描述的基础上,本公开实施例还提供一种基于信息安全大数据的防护控制方法,该方法可以包括以下步骤。
步骤S150,根据更新后的所述上线访问应用的安全画像信息,向所述信息安全防护设备配置安全防护指令集信息。
例如,更新后的所述上线访问应用的安全画像信息可以表征所述上线访问应用的安全画像序列,用于刻画所述上线访问应用在不同安全防护场景下的安全性能,如针对不同攻击手段的防护效果评估等。基于更新后的所述上线访问应用的安全画像信息,可以生成对应于不同威胁网络信息安全的因素(如常见人为因素、自然因素或者病毒因素等)的安全防护指令集信息,这些安全防护指令集信息可以是预先配置的,也可以是临时由模拟开发人员上传的,具体不作限定。
步骤S160,获取多个模拟防护实例的模拟防护实例数据,并获取与所述多个模拟防护实例相关的多个参考模拟防护行为数据,任一参考模拟防护行为数据包括模拟防护感知区和模拟防护感知对象集。
例如,大数据***获取多个待关联的模拟防护实例的模拟防护实例数据,其中每个模拟防护实例数据都包括应用节点和模拟防护实例的感知区,应用节点是模拟防护实例的应用业务(如电商直播中的商品支付业务),模拟防护实例的感知区是模拟防护实例的应用业务逻辑区(如电商直播中的商品支付业务的逻辑区)。例如,一个电商直播应用的模拟防护实例可以用该电商直播应用的模拟防护实例的每个维度的关键感知部分构成的感知区表示其模拟防护实例的感知区。
大数据***获取与这多个模拟防护实例相关的多个参考模拟防护行为数据,任意参考模拟防护行为数据都包括模拟防护感知区和模拟防护感知对象集,模拟防护感知对象集包括多个模拟防护感知对象,模拟防护感知对象即是具体进行攻击态势感知的运行业务(例如电商直播下的橱窗商品支付业务),参考模拟防护行为数据中的模拟防护感知区包括感知区的业务位置。下面对如何获取多个参考模拟防护行为数据的过程进行具体说明:
大数据***获取包含多个基础模拟防护行为数据的基础模拟防护行为数据序列,每个基础模拟防护行为数据都包括模拟防护感知区和模拟防护感知对象集。大数据***从基础模拟防护行为数据序列中确定与多个模拟防护实例中的至少一个模拟防护实例数据匹配的基础模拟防护行为数据,将匹配的多个基础模拟防护行为数据均作为参考模拟防护行为数据。对任一个基础模拟防护行为数据来说,若该基础模拟防护行为数据的模拟防护感知区和目标应用节点匹配,则确定该基础模拟防护行为数据是与目标应用节点对应的模拟防护实例匹配的基础模拟防护行为数据,即该基础模拟防护行为数据可以作为参考模拟防护行为数据。目标应用节点是多个模拟防护实例的应用节点中的一个应用节点。
或者,若基础模拟防护行为数据中的模拟防护感知区和目标模拟防护实例的感知区之间的感知区差异小于预设的预设差异,则确定该基础模拟防护行为数据是与目标模拟防护实例的感知区对应的模拟防护实例匹配的基础模拟防护行为数据,即该基础模拟防护行为数据可以作为参考模拟防护行为数据。目标模拟防护实例的感知区是多个模拟防护实例的模拟防护实例的感知区中的一个模拟防护实例的感知区。
步骤S170,根据每个参考模拟防护行为数据的模拟防护感知区和多个模拟防护实例的模拟防护实例数据,确定每个参考模拟防护行为数据所匹配的模拟防护实例。
例如,大数据***根据每个参考模拟防护行为数据的模拟防护感知区和多个模拟防护实例的模拟防护实例数据,确定每个参考感知对象所属的模拟防护实例。对任一参考模拟防护行为数据来说,确定该参考模拟防护行为数据所匹配的模拟防护实例的具体过程如下:
大数据***从多模拟防护实例的模拟防护实例数据中确定与参考模拟防护行为数据中的模拟防护感知区匹配的模拟防护实例数据(称为目标模拟防护实例数据),将目标模拟防护实例数据对应的模拟防护实例作为该参考模拟防护行为数据所匹配的模拟防护实例。此处判断参考模拟防护行为数据与某个模拟防护实例数据是否匹配的方式和前述判断基础模拟防护行为数据是否与某个模拟防护实例数据匹配的方式相同,即若参考模拟防护行为数据中的模拟防护感知区和多个模拟防护实例数据中的目标应用节点匹配,则说明该参考模拟防护行为数据属于目标应用节点对应的模拟防护实例;或者,若参考模拟防护行为数据中的模拟防护感知区和多个模拟防护实例数据中的目标模拟防护实例的感知区之间的感知区差异小于预设的预设差异,则说明该参考模拟防护行为数据属于目标模拟防护实例的感知区对应的模拟防护实例。
换句话说,在步骤S170中确定多个参考模拟防护行为数据时,就可以一并确定每个参考模拟防护行为数据所匹配的模拟防护实例。
步骤S180,根据每个参考模拟防护行为数据的模拟防护感知对象集以及每个参考模拟防护行为数据所匹配的模拟防护实例,对所述多个参考模拟防护行为数据进行划分,得到多个划分对象分别所属的模拟防护实例。
例如,大数据***获取预设的第一预设划分比例,根据每个参考模拟防护行为数据的参考模拟防护行为列表和第一预设划分比例,将多个参考模拟防护行为数据划分为多个基础模拟防护行为数据库,大数据***根据每个基础模拟防护行为数据库中的参考模拟防护行为数据所匹配的模拟防护实例,确定多个参考模拟防护行为数据库以及每个参考模拟防护行为数据库所属的模拟防护实例。
确定参考模拟防护行为数据库所属的模拟防护实例即是确定划分对象中的参考模拟防护行为数据所匹配的模拟防护实例,这是因为,前面步骤是根据参考模拟防护行为数据中的模拟防护感知区初步确定了每个参考模拟防护行为数据所匹配的模拟防护实例,由于参考模拟防护行为数据的模拟防护感知区的精度较低,根据模拟防护感知区所确定的模拟防护实例精度也不高。因此还需要通过划分来调整每个参考模拟防护行为数据真正所属的模拟防护实例。本公开所采取的划分策略是迭代划分,需要不断地调整第一预设划分比例,以提高划分精度,进而提高确定每个参考模拟防护行为数据所匹配模拟防护实例的精度。
迭代划分是指先确定一个预设划分比例,根据该预设划分比例进行划分,得到多个基础模拟防护行为数据库。若基础模拟防护行为数据库中的大部分参考模拟防护行为数据属于同一个模拟防护实例,那么基础模拟防护行为数据库可以作为划分对象,且划分对象中大部分参考模拟防护行为数据所匹配的模拟防护实例是该划分对象所属的模拟防护实例(或者说划分对象中大部分参考模拟防护行为数据所匹配的模拟防护实例是该划分对象所有参考模拟防护行为数据所匹配的模拟防护实例)。
若基础模拟防护行为数据库中的参考模拟防护行为数据分布在不同的模拟防护实例并未集中在某一个模拟防护实例中,那么就需要调整预设划分比例,根据调整后的预设划分比例将基础模拟防护行为数据库中的参考模拟防护行为数据进行重新划分。
步骤S190,根据多个划分对象分别所属的模拟防护实例,确定所述多个参考模拟防护行为数据中每个模拟防护感知对象所属的模拟防护实例,为每个模拟防护感知对象和每个模拟防护感知对象所属的模拟防护实例建立映射信息后,根据建立的映射信息对所述上线访问应用进行模拟防护后,将模拟防护日志添加到所述信息安全防护设备集群对应的安全策略基础数据集。
其中,所述信息安全防护设备集群对应的安全策略基础数据集可以用于后续对安全策略进行更新,具体更新的方式不是本公开实施例旨在表述的重点,可以根据常规的安全策略确定方式,或者人为确定方式即可,具体不作限定。
具体的,大数据***确定了每个划分对象所属的模拟防护实例,将划分对象所属的模拟防护实例作为该划分对象中所有参考模拟防护行为数据所匹配的模拟防护实例,即是修正每个参考模拟防护行为数据所匹配的模拟防护实例。
由于每个参考攻击态势感知簇会包含至少一个参考模拟防护行为数据,且每个参考模拟防护行为数据中会包含模拟防护感知对象集,因此同一个模拟防护感知对象可能出现在不同的参考模拟防护行为数据中,同一个模拟防护感知对象可能出现在不同的模拟防护实例中。对任一个模拟防护感知对象来说,大数据***根据每个划分对象所属的模拟防护实例,统计该模拟防护感知对象在每个模拟防护实例的防护频度(称为模拟防护次数),以及统计模拟防护感知对象在所有模拟防护实例的总模拟防护次数。若多个模拟防护次数中的最大模拟防护次数和总模拟防护次数之间的次数比例大于预设的次数比例(次数比例可以等于55%),则大数据***可以将该最大模拟防护次数对应的模拟防护实例作为该模拟防护感知对象所属的模拟防护实例。
反之,多个模拟防护次数中的最大模拟防护次数和总模拟防护次数的比值不大于预设的次数比例之和,暂时不能确定该模拟防护感知对象所属的模拟防护实例。
可选的,对任一个模拟防护感知对象来说,大数据***根据每个划分对象所属的模拟防护实例,统计该模拟防护感知对象在每个模拟防护实例的防护频度(称为模拟防护次数),大数据***直接将多个模拟防护次数中最大模拟防护次数对应的模拟防护实例作为该模拟防护感知对象所属的模拟防护实例。
可选的,对任一个模拟防护感知对象来说,大数据***根据每个划分对象所属的模拟防护实例,统计该模拟防护感知对象在每个模拟防护实例的防护频度(称为模拟防护次数),大数据***确定多个模拟防护次数中最大模拟防护次数和多个模拟防护次数中第大二模拟防护次数之间的次数比例,若该业务数关系大于或等于预设比值,则将多个模拟防护次数中最大模拟防护次数对应的模拟防护实例作为该模拟防护感知对象所属模拟防护实例。
可选的,大数据***根据每个参考模拟防护行为数据中包含的模拟防护感知对象集,将多个模拟防护感知对象进行划分,得到多个模拟防护感知对象簇,也就是说那些经常一起出现在同一个参考模拟防护行为数据中的模拟防护感知对象会被划分为一个模拟防护感知对象簇。对任一模拟防护感知对象簇来说,大数据***根据每个划分对象所属的模拟防护实例,统计该模拟防护感知对象簇中的模拟防护感知对象在同一个模拟防护实例的总模拟防护次数,将该总模拟防护次数作为模拟防护感知对象簇在每个模拟防护实例的模拟防护次数。将多个模拟防护次数中最大模拟防护次数对应的模拟防护实例作为该模拟防护感知对象簇中的所有模拟防护感知对象所属的模拟防护实例。
具体的,至此,大数据***就确定了多个参考感知对象中的每个模拟防护感知对象所属的模拟防护实例,大数据***可以为每个模拟防护感知对象和每个模拟防护感知对象所属的模拟防护实例建立映射信息,并存储该映射信息。该映射信息可以用于攻击态势感知对象当前所处的模拟防护实例。
可选的,大数据***响应于针对目标防护流程的目标模拟防护行为数据,目标模拟防护行为数据包括目标模拟防护感知对象,其中,目标模拟防护感知对象属于多个参考模拟防护行为数据中的模拟防护感知对象集,即目标模拟防护感知对象属于上述已建立映射信息的模拟防护感知对象。
再例如,在以上基础上,可以按照建立的映射信息中的每个模拟防护感知对象和每个模拟防护感知对象所属的模拟防护实例,生成与每个模拟防护感知对象对应的模拟防护进程序列,并按照每个模拟防护感知对象所属的模拟防护实例从模拟防护进程序列中获取对应的应用模拟防护数据后,根据应用模拟防护数据对上线访问应用进行模拟防护。
这样,通过分析多个参考模拟防护行为数据和多个模拟防护实例的模拟防护实例数据,首先确定每个参考模拟防护行为数据所匹配的模拟防护实例,将多个参考模拟防护行为数据进行划分,以调整每个参考模拟防护行为数据所匹配的模拟防护实例。根据调整后的参考模拟防护行为数据所匹配的模拟防护实例,确定参考模拟防护行为数据中的模拟防护感知对象所属的模拟防护实例。可见,本公开由大数据***100自动确定每个模拟防护感知对象所属的模拟防护实例进而建立映射信息,提高模拟效率;进一步地,本公开通过多个参考模拟防护行为数据划分以调整每个参考模拟防护行为数据所匹配的模拟防护实例,可以提高每个参考模拟防护行为数据所匹配的模拟防护实例的精度,进而可以提高后续确定每个模拟防护感知对象所属的模拟防护实例的精度。
图3为本公开实施例提供的基于信息安全大数据的安全画像生成装置300的功能模块示意图,下面分别对该基于信息安全大数据的安全画像生成装置300的各个功能模块的功能进行详细阐述。
获取模块310,用于获取对上线访问应用进行信息安全防护生成的信息安全大数据,从信息安全大数据解析出上线访问应用因访问异常风险触发形成的访问异常风险触发数据。
提取模块320,用于在信息安全大数据中解析出目标安全反馈日志,提取访问异常风险触发数据中与目标安全反馈日志相关联的安全反馈风险数据,得到风险数据排查信息。
确定模块330,用于根据风险数据排查信息的风险应用上线业务数与信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定上线访问应用的安全画像参数。
添加模块340,用于根据上线访问应用的安全画像参数,更新上线访问应用的安全画像信息后,将所述上线访问应用的安全画像信息添加到所述信息安全防护设备集群对应的安全策略基础数据集。
图4示出了本公开实施例提供的用于实现上述的基于信息安全大数据的安全画像生成方法的大数据***100的硬件结构意图,如图4所示,大数据***100可包括处理器110、机器可读存储介质120、总线130以及收发器140。
在具体实现过程中,至少一个处理器110执行机器可读存储介质120存储的计算机可执行指令,使得处理器110可以执行如上方法实施例的基于信息安全大数据的安全画像生成方法,处理器110、机器可读存储介质120以及收发器140通过总线130连接,处理器110可以用于控制收发器140的收发动作,从而可以与前述的信息安全防护设备200进行数据收发。
处理器110的具体实现过程可参见上述大数据***100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
此外,本公开实施例还提供一种可读存储介质,所述可读存储介质中预设有计算机可执行指令,当处理器执行所述计算机可执行指令时,实现如上基于信息安全大数据的安全画像生成方法。
最后,应当理解的是,本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导匹配。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。

Claims (10)

1.一种基于信息安全大数据的安全画像生成方法,其特征在于,应用于大数据***,所述大数据***与信息安全防护设备集群中的多个信息安全防护设备通信连接,所述方法包括:
获取对上线访问应用进行信息安全防护生成的信息安全大数据,从所述信息安全大数据解析出所述上线访问应用因访问异常风险触发形成的访问异常风险触发数据;
在所述信息安全大数据中解析出目标安全反馈日志,提取所述访问异常风险触发数据中与所述目标安全反馈日志相关联的安全反馈风险数据,得到风险数据排查信息;
根据所述风险数据排查信息的风险应用上线业务数与所述信息安全大数据中的上线访问应用的总应用上线业务数之间的业务数关系,确定所述上线访问应用的安全画像参数;
根据所述上线访问应用的安全画像参数,更新所述上线访问应用的安全画像信息后,将所述上线访问应用的安全画像信息添加到所述信息安全防护设备集群对应的安全策略基础数据集。
2.根据权利要求1所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述方法还包括:
对所述信息安全大数据进行聚类,得到目标信息安全大数据;
所述从所述信息安全大数据解析出所述上线访问应用因访问异常风险触发形成的访问异常风险触发数据的步骤,包括:
通过第一风险触发解析单元对所述目标信息安全大数据进行特征提取,得到所述上线访问应用因访问异常风险触发形成的访问异常风险触发特征;
根据所述访问异常风险触发特征对所述目标信息安全大数据进行相关数据定位,得到访问异常风险触发数据。
3.根据权利要求1所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述方法还包括:
对所述信息安全大数据进行聚类,得到目标信息安全大数据;
所述在所述信息安全大数据中解析出目标安全反馈日志的步骤,包括:
对所述目标信息安全大数据中的网络安全态势感知数据进行解析;
通过第二风险触发解析单元对解析的所述网络安全态势感知数据寻找目标感知反馈成分,得到目标感知反馈成分数据;
融合所述目标信息安全大数据和所述目标感知反馈成分数据,获得安全态势感知信息与目标反馈成分之间的安全反馈关系数据;
根据所述安全反馈关系数据确定目标安全反馈日志。
4.根据权利要求3所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述信息安全大数据是通过信息安全防护程序对所述上线访问应用进行信息安全防护过程中记录的;所述方法还包括:
获取所述信息安全防护程序在进行信息安全防护过程中所采用的安全防护阶段信息;
将所述安全防护阶段信息依次输入至第一风险触发解析单元和所述第二风险触发解析单元,以使所述第一风险触发解析单元和所述第二风险触发解析单元获取与所述安全防护阶段信息对应的阶段特征信息,按照所述阶段特征信息调整所述目标信息安全大数据各阶段安全防护数据的安全防护区间;
其中,所述获取所述信息安全防护程序在进行信息安全防护过程中所采用的安全防护阶段信息的步骤,包括:
获取输入的、针对所述信息安全防护程序在进行信息安全防护过程中所采用安全防护阶段信息;
或者,对所述信息安全防护程序生成的信息安全大数据进行阶段特征信息计算,查找与计算出的第一阶段特征信息匹配的安全防护阶段信息;
或者,计算所述信息安全防护程序生成的信息安全大数据的云安全防护区间和在所述云安全防护区间下的阶段安全防护属性,根据所述云安全防护区间和所述阶段安全防护属性确定第二阶段特征信息,查找与所述第二阶段特征信息匹配的安全防护阶段信息。
5.根据权利要求3所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述通过第二风险触发解析单元对检测出的所述网络安全态势感知数据寻找目标感知反馈成分,得到目标感知反馈成分数据的步骤,包括:
将对所述目标信息安全大数据划分生成的各信息安全数据分块数据输入第二风险触发解析单元;
通过所述第二风险触发解析单元对输入的所述信息安全数据分块数据进行安全态势感知信息检测,得到对应的安全态势感知信息的漏洞攻击爆发率信息;
将所述安全态势感知信息的漏洞攻击爆发率信息进行融合,得到安全态势感知信息集的漏洞攻击爆发率信息;
对所述安全态势感知信息集的漏洞攻击爆发率信息进行安全态势感知漏洞判定,并根据判定信息确定所述目标信息安全大数据中的目标感知反馈成分数据;
其中,所述对所述安全态势感知信息集的漏洞攻击爆发率信息进行安全态势感知漏洞判定,并根据判定信息确定所述目标信息安全大数据中的目标感知反馈成分数据的步骤,包括:
获取预设漏洞攻击爆发率阈值;
根据所述预设漏洞攻击爆发率阈值和所述安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为对应的漏洞攻击爆发率,对所述安全态势感知信息集的漏洞攻击爆发率信息进行趋势分析,得到所述安全态势感知信息集的漏洞攻击爆发率信息中各阶段安全防护行为的漏洞趋势分析信息;
根据所述安全态势感知信息集的漏洞攻击爆发率信息各阶段安全防护行为的漏洞趋势分析信息获得所述目标信息安全大数据中的目标感知反馈成分数据。
6.根据权利要求3所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述通过第二风险触发解析单元对检测出的所述网络安全态势感知数据寻找目标感知反馈成分,得到目标感知反馈成分数据的步骤,包括:
对所述目标信息安全大数据中的网络安全态势感知数据进行威胁情报关联,得到威胁情报关联数据;
从所述威胁情报关联数据中剔除非安全态势感知漏洞,得到筛选后的威胁情报关联数据;
对筛选后的威胁情报关联数据进行成分分析,获得目标感知反馈成分数据。
7.根据权利要求1-6中任意一项所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述方法还包括:
在所述信息安全大数据中,将与所述风险数据排查信息中威胁态势感知对象或威胁态势感知区匹配的应用节点进行标注;
将标注的所述信息安全大数据和所述安全画像参数进行输出,以使所述安全画像参数关联于所述信息安全大数据对应的属性信息中。
8.根据权利要求1-6中任意一项所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述访问异常风险触发数据是第一风险触发解析单元生成的;所述第一风险触发解析单元是对第一基准风险触发解析单元进行训练优化获得;所述对第一基准风险触发解析单元进行训练优化的步骤,包括:
获取对参考上线访问应用进行信息安全防护生成的参考信息安全大数据;
当对所述参考信息安全大数据经过聚类后,通过所述第一基准风险触发解析单元对经过聚类的所述参考信息安全大数据进行特征提取,得到所述参考上线访问应用因访问异常风险触发形成的参考访问异常风险触发特征;
根据所述参考访问异常风险触发特征对经过聚类的所述参考信息安全大数据进行相关数据定位,得到参考访问异常风险触发数据;
根据所述参考访问异常风险触发数据与对应的基准访问异常风险触发数据之间的单元评估指标,对所述第一基准风险触发解析单元的单元配置信息进行优化,直至达到单元收敛要求;
其中,所述目标安全反馈日志是第二风险触发解析单元生成的;所述第二风险触发解析单元是对第二基准风险触发解析单元进行训练优化获得;所述对第二基准风险触发解析单元进行训练优化的步骤,包括:
对经过聚类的所述参考信息安全大数据中的参考网络安全态势感知数据进行解析;
通过第二风险触发解析单元对所述参考网络安全态势感知数据寻找目标感知反馈成分,得到参考目标感知反馈成分数据;
对所述参考目标感知反馈成分数据和经过聚类的所述参考信息安全大数据进行关联,获得安全态势感知信息与目标反馈成分之间的参考安全反馈关系数据;
根据所述参考安全反馈关系数据确定的参考目标安全反馈日志与对应的基准目标安全反馈日志之间的单元评估指标,对所述第二基准风险触发解析单元的单元配置信息进行优化,直至达到单元收敛要求。
9.根据权利要求1-6中任意一项所述的基于信息安全大数据的安全画像生成方法,其特征在于,所述根据所述上线访问应用的安全画像参数,更新所述上线访问应用的安全画像信息后,将所述上线访问应用的安全画像信息添加到所述信息安全防护设备集群对应的安全策略基础数据集的步骤,包括:
当所述上线访问应用的安全画像参数匹配预设安全画像参数时,按照第一画像生成策略生成所述上线访问应用的安全画像信息;
当所述上线访问应用的安全画像参数不匹配预设安全画像参数时,按照第二画像生成策略生成所述上线访问应用的安全画像信息;
其中,所述按照第一画像生成策略生成所述上线访问应用的安全画像信息的步骤,包括:
按照预设的与当前安全防护阶段匹配的安全防护指令集对所述上线访问应用的安全画像信息进行生成;
其中,所述按照第二画像生成策略生成所述上线访问应用的安全画像信息的步骤,包括:
获取所述信息安全防护设备集群中的多个信息安全防护设备针对所述上线访问应用的参考安全防护大数据;
根据所述参考安全防护大数据中每个安全防护维度下的各个目标参考安全态势感知信息的安全防护倾向序列,获取每个安全防护维度下的多个防护倾向目标;
确定所述多个防护倾向目标的倾向属性信息,所述多个防护倾向目标中存在多种倾向属性的防护倾向目标,所述倾向属性信息指示所述多个防护倾向目标中每种倾向属性的防护倾向目标的数量,所述多个防护倾向目标中不同倾向属性的防护倾向目标的数量呈对应关系;
根据所述多个防护倾向目标的倾向属性信息,确定划分目标数;
根据所述多个防护倾向目标中每种倾向属性的防护倾向目标的数量和所述划分目标数,确定所述防护倾向目标划分簇中所述每种倾向属性的防护倾向目标的数量;
根据所述防护倾向目标划分簇中所述多种倾向属性的防护倾向目标的数量,对所述多个防护倾向目标执行至少两次划分操作得到所述至少两个防护倾向目标划分簇,每次划分操作用于确定一个所述防护倾向目标划分簇的所述多种倾向属性的防护倾向目标;
根据所述至少两个防护倾向目标划分簇中的每个防护倾向目标划分簇所包括的防护倾向目标的防护倾向标签,对所述至少两个防护倾向目标划分簇进行初始安全防护配置;
同步关联所述至少两个防护倾向目标划分簇中的每个防护倾向目标划分簇的安全防护节点和安全防护范围中的至少一种,使所述至少两个防护倾向目标划分簇中位于同一防护类型的所述防护倾向目标划分簇关联对应的安全防护指令集,位于同一漏洞利用类型的所述防护倾向目标划分簇关联对应的安全防护指令集。
10.一种大数据***,其特征在于,所述大数据***包括处理器和机器可读存储介质,所述机器可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现权利要求1-9中任意一项基于信息安全大数据的安全画像生成方法。
CN202110682305.5A 2021-06-20 2021-06-20 基于信息安全大数据的安全画像生成方法及大数据*** Withdrawn CN113297582A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110682305.5A CN113297582A (zh) 2021-06-20 2021-06-20 基于信息安全大数据的安全画像生成方法及大数据***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110682305.5A CN113297582A (zh) 2021-06-20 2021-06-20 基于信息安全大数据的安全画像生成方法及大数据***

Publications (1)

Publication Number Publication Date
CN113297582A true CN113297582A (zh) 2021-08-24

Family

ID=77328889

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110682305.5A Withdrawn CN113297582A (zh) 2021-06-20 2021-06-20 基于信息安全大数据的安全画像生成方法及大数据***

Country Status (1)

Country Link
CN (1) CN113297582A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114817377A (zh) * 2022-06-29 2022-07-29 深圳红途科技有限公司 基于用户画像的数据风险检测方法、装置、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114817377A (zh) * 2022-06-29 2022-07-29 深圳红途科技有限公司 基于用户画像的数据风险检测方法、装置、设备及介质
CN114817377B (zh) * 2022-06-29 2022-09-20 深圳红途科技有限公司 基于用户画像的数据风险检测方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
EP3136249B1 (en) Log analysis device, attack detection device, attack detection method and program
US20240129327A1 (en) Context informed abnormal endpoint behavior detection
US20160239661A1 (en) Information processing apparatus, information processing method, and program
CN111931179B (zh) 基于深度学习的云端恶意程序检测***及方法
CN110881050A (zh) 安全威胁检测方法及相关产品
CN113821793B (zh) 基于图卷积神经网络的多阶段攻击场景构建方法及***
EP3905084A1 (en) Method and device for detecting malware
CN105630656A (zh) 基于日志模型的***健壮性分析方法及装置
CN114422271A (zh) 数据处理方法、装置、设备及可读存储介质
CN113297582A (zh) 基于信息安全大数据的安全画像生成方法及大数据***
CN113468524B (zh) 基于rasp的机器学习模型安全检测方法
CN108229175B (zh) 一种多维异构取证信息的关联分析***及方法
CN115706671A (zh) 网络安全防御方法、装置以及存储介质
CN116827656A (zh) 网络信息安全防护***及其方法
CN116938587A (zh) 基于溯源图行为语义提取的威胁检测方法及***
US11956256B2 (en) Priority determination apparatus, priority determination method, and computer readable medium
CN111368128A (zh) 目标图片的识别方法、装置和计算机可读存储介质
CN108540471B (zh) 移动应用网络流量聚类方法、计算机可读存储介质和终端
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
CN115859305A (zh) 一种基于知识图谱的工控安全态势感知方法及***
CN115098864A (zh) 一种图像识别模型的评测方法、装置、介质及电子设备
CN113935034A (zh) 基于图神经网络的恶意代码家族分类方法、装置和存储介质
CN113032774B (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN110197066B (zh) 一种云计算环境下的虚拟机监控方法及监控***
CN113098884A (zh) 基于大数据的网络安全监控方法、云平台***及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20210824