发明内容
有鉴于此,本申请实施例提供了一种基于智慧业务的大数据安全威胁处理方法及***。
第一方面,本申请实施例提供了一种基于智慧业务的大数据安全威胁处理方法,包括:从智慧业务服务日志队列中确定涵盖指定的疑似入侵威胁场景的不少于两组智慧业务活动数据;结合所述不少于两组智慧业务活动数据的时序标签,以及对所述不少于两组智慧业务活动数据的潜在威胁型业务项目的定位与持续性挖掘,确定所述疑似入侵威胁场景指向的业务活动热度描述;结合所述疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,确定业务项目紧急程度;结合所述业务活动热度描述和所述业务项目紧急程度,确定所述疑似入侵威胁场景指向的信息威胁安全评价。
如此设计,可以借助智慧业务环境下事先配置的大数据处理线程采集的智慧业务活动数据,尽可能及时准确地确定信息威胁安全评价,避免采用额外的信息威胁检测方式所带来的不必要资源开销,有效提高了信息威胁安全评价的确定效率;此外,能够改善复杂的疑似入侵威胁场景对信息威胁检测的干扰。进一步地,上述业务活动热度描述反映疑似入侵威胁场景内的全部潜在威胁型业务项目的在疑似入侵威胁场景内的全局活动热度,相比于疑似入侵威胁场景内全部潜在威胁型业务项目的当前活动热度的全局统计结果,该业务活动热度描述更能精准反馈疑似入侵威胁场景内的信息威胁情况;在业务活动热度描述的前提下结合业务项目紧急程度,可以显著提升信息威胁安全评价的准确度和可信度。
对于一些可独立实施的设计思路而言,所述结合所述业务活动热度描述和所述业务项目紧急程度,确定所述疑似入侵威胁场景指向的信息威胁安全评价,包括:确定紧急程度判定值和活动热度判定值;在所述业务活动热度描述指向的量化值小于所述活动热度判定值,并且所述业务项目紧急程度指向的量化值大于所述紧急程度判定值的前提下,确定所述疑似入侵威胁场景的信息威胁安全评价为存在威胁风险。
如此设计,以上业务活动热度描述反映疑似入侵威胁场景内的全部潜在威胁型业务项目的在疑似入侵威胁场景内的全局活动热度;上述业务项目紧急程度能够反应疑似入侵威胁场景内潜在威胁型业务项目的紧急程度,结合业务活动热度描述和业务项目紧急程度可以显著提高确定疑似入侵威胁场景的信息威胁安全评价的准确性及可信度。
对于一些可独立实施的设计思路而言,所述信息威胁安全评价包括威胁风险指数;所述结合所述业务活动热度描述和所述业务项目紧急程度,确定所述疑似入侵威胁场景指向的信息威胁安全评价,还包括:在确定所述疑似入侵威胁场景的信息威胁安全评价为存在威胁风险的前提下,确定所述疑似入侵威胁场景指向的活动热度约束特征;结合所述活动热度约束特征,确定不同威胁风险指数指向的活动热度条件;结合所述业务活动热度描述和所述活动热度条件,确定所述疑似入侵威胁场景指向的威胁风险指数。
如此设计,活动热度约束特征不同,指向的活动热度条件也不相同,在判定威胁风险指数时,结合疑似入侵威胁场景的活动热度约束特征确定活动热度条件,再根据活动热度条件能够提高确定的目标威胁风险指数的准确性及可信度。
对于一些可独立实施的设计思路而言,所述结合所述不少于两组智慧业务活动数据的时序标签,以及对所述不少于两组智慧业务活动数据的潜在威胁型业务项目的定位与持续性挖掘,确定所述疑似入侵威胁场景指向的业务活动热度描述,包括:对所述不少于两组智慧业务活动数据进行定位,得到所述智慧业务活动数据中携带的潜在威胁型业务项目;对所述不少于两组智慧业务活动数据中定位出的潜在威胁型业务项目进行持续性挖掘,将不同智慧业务活动数据中定位出的相同潜在威胁型业务项目进行绑定;结合所述相同潜在威胁型业务项目在任意两组智慧业务活动数据中的分布标签,确定所述潜在威胁型业务项目的项目变化情况;结合所述任意两组智慧业务活动数据的时序标签以及所述潜在威胁型业务项目的项目变化情况,确定每组所述潜在威胁型业务项目的当前活动热度;基于每组所述潜在威胁型业务项目的当前活动热度,确定所述疑似入侵威胁场景指向的业务活动热度描述。
如此设计,基于两组智慧业务活动数据的时序标签和潜在威胁型业务项目的项目变化情况,可以精确地确定同时存在于两组智慧业务活动数据中疑似入侵威胁场景内的潜在威胁型业务项目的当前活动热度;基于每组潜在威胁型业务项目的当前活动热度,可以精确地确定疑似入侵威胁场景指向的业务活动热度描述。
对于一些可独立实施的设计思路而言,所述基于每组所述潜在威胁型业务项目的当前活动热度,确定所述疑似入侵威胁场景指向的业务活动热度描述,包括:对于每组所述潜在威胁型业务项目,基于该潜在威胁型业务项目在所述疑似入侵威胁场景内的若干当前活动热度,确定该潜在威胁型业务项目在所述疑似入侵威胁场景内的第一全局活动热度;基于每组所述潜在威胁型业务项目在所述疑似入侵威胁场景内的第一全局活动热度,确定全部的所述潜在威胁型业务项目在所述疑似入侵威胁场景内的第二全局活动热度和所述第一全局活动热度指向的离散度评价;结合所述第二全局活动热度和所述离散度评价,确定所述疑似入侵威胁场景指向的业务活动热度描述。
如此设计,基于每个潜在威胁型业务项目在疑似入侵威胁场景内的全局活动热度,以及每个潜在威胁型业务项目的全局活动热度的离散度评价,可以精确地确定反映疑似入侵威胁场景内的全部潜在威胁型业务项目的在疑似入侵威胁场景内的业务活动热度描述。
对于一些可独立实施的设计思路而言,所述结合所述疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,确定业务项目紧急程度,包括:结合所述疑似入侵威胁场景在所述智慧业务活动数据中的分布标签信息以及定位得到的所述智慧业务活动数据中携带的潜在威胁型业务项目,确定所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果;结合所述疑似入侵威胁场景在所述智慧业务活动数据中的分布标签信息和采集所述智慧业务活动数据的大数据处理线程的线程配置,确定所述疑似入侵威胁场景的维度特征;结合所述疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,确定业务项目紧急程度。
如此设计,基于疑似入侵威胁场景在智慧业务活动数据中的分布标签信息以及定位得到的智慧业务活动数据中携带的潜在威胁型业务项目,可以将对应于疑似入侵威胁场景的冷门会话的潜在威胁型业务项目丢弃,或者可以确定出对应于疑似入侵威胁场景的热门会话的潜在威胁型业务项目,这样可以相对精准地确定疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果;基于大数据处理线程的线程配置和疑似入侵威胁场景在智慧业务活动数据中的分布标签信息,可以相对精准地确定疑似入侵威胁场景的在迁移变换空间中的维度特征;基于相对精准地的维度特征和潜在威胁型业务项目的量化统计结果,可以相对精准地确定业务项目紧急程度。
对于一些可独立实施的设计思路而言,所述疑似入侵威胁场景的维度特征包括:所述疑似入侵威胁场景在迁移变换空间中的第一维度主题和所述疑似入侵威胁场景在迁移变换空间中的第二维度主题;所述结合所述疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,确定业务项目紧急程度,包括:结合所述第二维度主题和指定的项目关注度,确定所述疑似入侵威胁场景内的项目类型量化统计结果;结合所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果、所述项目类型量化统计结果和所述第一维度主题,确定所述疑似入侵威胁场景指向的业务项目紧急程度。
如此设计,疑似入侵威胁场景内的业务项目紧急程度不仅与其内部的潜在威胁型业务项目的量化统计结果存在关联,还与项目类型量化统计结果和疑似入侵威胁场景的第一维度主题存在关联,因此,借助疑似入侵威胁场景内潜在威胁型业务项目的量化统计结果、项目类型量化统计结果和疑似入侵威胁场景的第一维度主题,可以相对精准地确定疑似入侵威胁场景内的业务项目紧急程度。
对于一些可独立实施的设计思路而言,所述结合所述相同潜在威胁型业务项目在任意两组智慧业务活动数据中的分布标签,确定所述潜在威胁型业务项目的项目变化情况,包括:对于每组所述潜在威胁型业务项目,结合所述潜在威胁型业务项目在所述任意两组智慧业务活动数据中的每组所述智慧业务活动数据中的分布标签信息和采集所述智慧业务活动数据的大数据处理线程的线程配置,确定所述潜在威胁型业务项目在迁移变换空间中的第一迁移分布标签信息和第二迁移分布标签信息;结合所述第一迁移分布标签信息和所述第二迁移分布标签信息,确定所述潜在威胁型业务项目的项目变化情况。
如此设计,基于大数据处理线程的线程配置和潜在威胁型业务项目在每组智慧业务活动数据中的分布标签信息,可以精确地确定潜在威胁型业务项目对应于每组智慧业务活动数据的迁移分布标签信息,即上述第一迁移分布标签信息和第二迁移分布标签信息,可以精确地确定潜在威胁型业务项目的项目变化情况。
对于一些可独立实施的设计思路而言,所述大数据处理线程的线程配置可以借助以下实施例确定:确定所述大数据处理线程采集的配置智慧业务活动数据;检测所述配置智慧业务活动数据中的若干配置目标;结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征和所述显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程的线程配置。
如此设计,借助配置目标在配置智慧业务活动数据中的分布特征和配置目标在迁移变换空间中的迁移分布特征,能够准确的确定大数据处理线程的线程配置。
对于一些可独立实施的设计思路而言,配置目标包括潜在威胁型业务项目;所述配置目标的显著性描述包括潜在威胁型业务项目的兴趣偏好指向的显著性描述。如此设计,由于潜在威胁型业务项目的兴趣偏好之间的差异处于一个事先设置的区间内,因此借助潜在威胁型业务项目的兴趣偏好的显著性描述对大数据处理线程进行变量配置,能够有助于提高线程处理效率以及变量配置的精准性。
对于一些可独立实施的设计思路而言,所述结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征和所述显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程的线程配置,包括:结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征,确定所述配置智慧业务活动数据中所述配置目标的设定会话状态的会话消息量化统计结果;在所述会话消息量化统计结果与设定量化统计结果不相同的前提下,结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征和所述显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程的线程配置。
如此设计,配置目标的设定会话状态的会话消息量化统计结果与设定量化统计结果不一致,说明大数据处理线程的线程配置在一定程度上产生偏差,此时需要大数据处理线程的线程配置进行配置,进而可能提高信息威胁安全评价的准确度和可信度。
对于一些可独立实施的设计思路而言,所述在所述会话消息量化统计结果与设定量化统计结果不相同的前提下,结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征和所述显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程的线程配置,包括:在所述会话消息量化统计结果与设定量化统计结果不相同的前提下,结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征和所述显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程指向的辅助变换空间和迁移变换空间之间的迁移变换损失;结合所述迁移变换损失,确定所述大数据处理线程的线程配置。如此设计,借助显著性描述在辅助变换空间和迁移变换空间之间的迁移变换损失,能够较为准确的进行变量配置。
对于一些可独立实施的设计思路而言,所述线程配置包括所述大数据处理线程的被动型配置数据和主动型配置数据;所述结合所述迁移变换损失,确定所述大数据处理线程的线程配置,包括:将所述大数据处理线程的主动型配置数据调整为指定数据,结合所述迁移变换损失,确定所述大数据处理线程的被动型配置数据;和/或,将所述大数据处理线程的被动型配置数据调整为指定数据,结合所述迁移变换损失,确定所述大数据处理线程的主动型配置数据。
如此设计,将大数据处理线程的主动型配置数据设置为不可更改状态,结合迁移变换损失,可以在一定程度上准确地确定大数据处理线程的被动型配置数据;此外,将大数据处理线程的被动型配置数据设置为不可更改状态,结合迁移变换损失,可以在一定程度上准确地确定大数据处理线程的主动型配置数据。
第二方面,本申请实施例还提供了一种大数据安全威胁处理***,包括处理器、网络模块和存储器;所述处理器和所述存储器通过所述网络模块通信,所述处理器从所述存储器中读取计算机程序并运行,以执行上述的方法。
具体实施方式
图1示出了本申请实施例所提供的一种大数据安全威胁处理***10的方框示意图。本申请实施例中的大数据安全威胁处理***10可以为具有数据存储、传输、处理功能的服务端,如图1所示,大数据安全威胁处理***10包括:存储器1011、处理器1012、网络模块1013和基于人工智能的新媒体资源处理装置20。
存储器1011、处理器1012和网络模块1013之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器1011中存储有基于人工智能的新媒体资源处理装置20,所述基于人工智能的新媒体资源处理装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器1011中的软件功能模块,所述处理器1012通过运行存储在存储器1011内的软件程序以及模块,例如本申请实施例中的基于人工智能的新媒体资源处理装置20,从而执行各种功能应用以及数据处理,即实现本申请实施例中的基于人工智能的新媒体资源处理方法。
其中,所述存储器1011可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,存储器1011用于存储程序,所述处理器1012在接收到执行指令后,执行所述程序。
所述处理器1012可能是一种集成电路芯片,具有数据的处理能力。上述的处理器1012可以是通用处理器,包括中央处理器 (Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
网络模块1013用于通过网络建立大数据安全威胁处理***10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
可以理解,图1所示的结构仅为示意,大数据安全威胁处理***10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
图2示出了本申请实施例所提供的一种基于智慧业务的大数据安全威胁处理方法的流程图。所述方法有关的流程所定义的方法步骤应用于大数据安全威胁处理***10,可以由所述处理器1012实现,所述方法包括以下步骤11-步骤14所记录的技术方案。
步骤11、从智慧业务服务日志队列中确定涵盖指定的疑似入侵威胁场景的不少于两组智慧业务活动数据。
在本申请实施例中,采集智慧业务活动数据的大数据处理线程可以理解为智慧业务环境下事先记录的智慧业务活动数据的大数据处理线程,比如:大数据处理线程可以理解为线上支付业务对应的智慧业务环境下的数据采集端以及数据监控模块等,避免采用额外的信息威胁检测方式所带来的不必要资源开销。疑似入侵威胁场景可以理解为通过对信息进行威胁场景检测所得到的,智慧业务活动数据中包括该疑似入侵威胁场景。两组智慧业务活动数据的时序标签步长可以理解为预先设置的标签步长,比如:可以理解为0.8s。
在本申请实施例中,智慧业务包括但不限于在线支付、数字化医疗、智慧教育、区块链、自动化生产、云办公、云游戏等。
步骤12、结合所述不少于两组智慧业务活动数据的时序标签,以及对所述不少于两组智慧业务活动数据的潜在威胁型业务项目的定位与持续性挖掘,确定所述疑似入侵威胁场景指向的业务活动热度描述。
在本申请实施例中,业务活动热度描述反映疑似入侵威胁场景内的全部潜在威胁型业务项目在疑似入侵威胁场景内的全局活动热度,其与疑似入侵威胁场景内全部潜在威胁型业务项目的当前活动热度的全局统计结果不同,其更能精准反馈疑似入侵威胁场景内的信息威胁情况。
可以理解,在确定业务活动热度描述时,首先需要对所述不少于两组智慧业务活动数据进行定位,得到所述智慧业务活动数据中携带的潜在威胁型业务项目;其次对所述不少于两组智慧业务活动数据中定位出的潜在威胁型业务项目进行持续性挖掘,将不同智慧业务活动数据中定位出的相同潜在威胁型业务项目进行绑定,确定同时处于两组智慧业务活动数据中疑似入侵威胁场景内的潜在威胁型业务项目;结合所述相同潜在威胁型业务项目在任意两组智慧业务活动数据中的分布标签,确定所述潜在威胁型业务项目的项目变化情况;结合所述任意两组智慧业务活动数据的时序标签(采集时间)以及所述潜在威胁型业务项目的项目变化情况,确定每组所述潜在威胁型业务项目的当前活动热度;最后基于每组所述潜在威胁型业务项目的当前活动热度,确定所述疑似入侵威胁场景指向的业务活动热度描述。
举例而言,首先可以借助信息威胁检测方式,检测每组智慧业务活动数据中的潜在威胁型业务项目,并对检测出的潜在威胁型业务项目进行持续性挖掘,从而确定同时存在于两组智慧业务活动数据中疑似入侵威胁场景内的潜在威胁型业务项目。基于两组智慧业务活动数据的时序标签和潜在威胁型业务项目的项目变化情况,可以精确地确定同时存在于两组智慧业务活动数据中疑似入侵威胁场景内的潜在威胁型业务项目的当前活动热度;基于每组潜在威胁型业务项目的当前活动热度,可以精确地确定疑似入侵威胁场景指向的业务活动热度描述。
举例而言,确定当前活动热度所用的两组智慧业务活动数据可以理解为时序标签步长较短的两组智慧业务活动数据,比如:可以理解为时序标签步长为0.8S的两组智慧业务活动数据。
步骤13、结合所述疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果(可以理解为数量或者数目),确定业务项目紧急程度。
在本申请实施例中,业务项目紧急程度可以理解为疑似入侵威胁场景内潜在威胁型业务项目的紧急程度,相对于疑似入侵威胁场景内的潜在威胁型业务项目数量,可以更加精确地反映疑似入侵威胁场景内的信息威胁情况。
可以理解的是,在确定业务项目紧急程度时,首先检测智慧业务活动数据中的潜在威胁型业务项目,其次基于疑似入侵威胁场景的分布标签信息,整理处于疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,最后结合疑似入侵威胁场景的维度特征和整理得到的疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,确定疑似入侵威胁场景的业务项目紧急程度。
举例而言,可以首先确定疑似入侵威胁场景在所述智慧业务活动数据中的分布标签信息,其次结合所述疑似入侵威胁场景在所述智慧业务活动数据中的分布标签信息和采集所述智慧业务活动数据的大数据处理线程的线程配置,确定所述疑似入侵威胁场景的维度特征。
基于疑似入侵威胁场景在智慧业务活动数据中的分布标签信息以及定位得到的智慧业务活动数据中携带的潜在威胁型业务项目,可以将对应于疑似入侵威胁场景的冷门会话的潜在威胁型业务项目丢弃,或者可以确定出对应于疑似入侵威胁场景的热门会话的潜在威胁型业务项目,这样可以相对精准地确定疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果;基于大数据处理线程的线程配置和疑似入侵威胁场景在智慧业务活动数据中的分布标签信息,可以相对精准地确定疑似入侵威胁场景的在迁移变换空间中的维度特征;最后基于较为准确的维度特征和潜在威胁型业务项目的量化统计结果,可以相对精准地确定业务项目紧急程度。
此外,疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果也可以借助其他方式确定,比如:可以理解为从大数据处理线程处确定的,大数据处理线程为AI大数据处理线程,可以根据其采集到的智慧业务活动数据,确定上述维度特征和疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果。
步骤14、结合所述业务活动热度描述和所述业务项目紧急程度,确定所述疑似入侵威胁场景指向的信息威胁安全评价。
在本申请实施例中,在符合上列两个指标时,可以确定疑似入侵威胁场景指向的信息威胁安全评价为存在威胁风险:所述业务活动热度描述指向的量化值小于活动热度判定值;所述业务项目紧急程度指向的量化值大于紧急程度判定值的前提下。符合以上两个指标表明疑似入侵威胁场景内潜在威胁型业务项目相对紧急,并且全部潜在威胁型业务项目的全局活动热度较低,此时疑似入侵威胁场景处于存在威胁风险。若只符合以上两个指标中的其中一个指标,都不能确定疑似入侵威胁场景处于存在威胁风险。进一步地,只符合以上两个指标中的一个指标或者两个指标均不满足时,可以确定疑似入侵威胁场景处于不紧急状态。
可以理解,不同智慧业务的活动热度约束特征不同,活动热度约束特征不同,指向的活动热度条件也不相同。威胁风险指数不仅与活动热度存在关联,还与活动热度约束特征有直接关联,因此在确定威胁风险指数时,需要结合指向的活动热度约束特征,具体地,在疑似入侵威胁场景处于存在威胁风险时,可以借助以下实施例疑似入侵威胁场景的目标威胁风险指数:在确定所述疑似入侵威胁场景的信息威胁安全评价为存在威胁风险的前提下,确定所述疑似入侵威胁场景指向的活动热度约束特征;结合所述活动热度约束特征,确定不同威胁风险指数指向的活动热度条件;结合所述业务活动热度描述和所述活动热度条件,确定所述疑似入侵威胁场景指向的威胁风险指数。
举例而言,可以事先记录有若干疑似入侵威胁场景指向的活动热度约束特征,具体可以理解为记录疑似入侵威胁场景的显著性主题(比如标识)与活动热度约束特征的转换列表(映射关系),在确定了需要进行信息威胁检测的疑似入侵威胁场景之后,可以根据该疑似入侵威胁场景的显著性主题和转换列表确定该疑似入侵威胁场景指向的活动热度约束特征。
在本申请实施例中,疑似入侵威胁场景可以理解为事先设置的,也可以理解为通过对智慧业务活动数据进行检测来确定的。
可以理解,以上每个活动热度条件皆对应一个威胁风险指数,举例而言,从每个威胁风险指数中挑选与业务活动热度描述指向的活动热度相绑定的威胁风险指数,并将挑选得到威胁风险指数作为目标威胁风险指数。
可以理解,不同的活动热度约束特征,活动热度条件不同,结合疑似入侵威胁场景的活动热度约束特征确定活动热度条件,再根据活动热度条件能够提高确定的目标威胁风险指数的准确性。
比如,目标威胁风险指数包括第一威胁风险指数、第二威胁风险指数和第三威胁风险指数。进一步地,第一威胁风险指数可以对应存在严重威胁风险,第二威胁风险指数可以对应存在一般威胁风险,第三威胁风险指数可以对应存在轻微威胁风险。
上述业务活动热度描述反映疑似入侵威胁场景内的全部潜在威胁型业务项目的在疑似入侵威胁场景内的全局活动热度;上述业务项目紧急程度能够反应疑似入侵威胁场景内潜在威胁型业务项目的紧急程度,结合业务活动热度描述和业务项目紧急程度可以显著提高确定疑似入侵威胁场景的信息威胁安全评价的准确性及可信度。
在一种可独立实施的实施例而言,可以借助以下实施例确定潜在威胁型业务项目的当前活动热度:首先,基于潜在威胁型业务项目在所述任意两组智慧业务活动数据中的每组所述智慧业务活动数据中的分布标签信息和采集所述智慧业务活动数据的大数据处理线程的线程配置,确定所述潜在威胁型业务项目在迁移变换空间中的第一迁移分布标签信息和第二迁移分布标签信息;其次,结合所述第一迁移分布标签信息和所述第二迁移分布标签信息,确定所述潜在威胁型业务项目的项目变化情况;最后,基于上述项目变化情况和每组所述智慧业务活动数据的时序标签,确定潜在威胁型业务项目的当前活动热度。
基于大数据处理线程的线程配置和潜在威胁型业务项目在每组智慧业务活动数据中的分布标签信息,可以精确地确定潜在威胁型业务项目对应于每组智慧业务活动数据的迁移分布标签信息,即上述第一迁移分布标签信息和第二迁移分布标签信息,进而可以精确地确定潜在威胁型业务项目的项目变化情况。
在一种可独立实施的实施例而言,基于每组所述潜在威胁型业务项目的当前活动热度,确定所述疑似入侵威胁场景指向的业务活动热度描述,可以借助以下实施例进行说明。
步骤31、对于每组所述潜在威胁型业务项目,基于该潜在威胁型业务项目在所述疑似入侵威胁场景内的若干当前活动热度,确定该潜在威胁型业务项目在所述疑似入侵威胁场景内的第一全局活动热度。
在本申请实施例中,在确定潜在威胁型业务项目P的当前活动热度之后,可以基于该潜在威胁型业务项目P在所述疑似入侵威胁场景内的若干当前活动热度,确定该潜在威胁型业务项目P在所述疑似入侵威胁场景内的第一全局活动热度。
步骤32、基于每组所述潜在威胁型业务项目在所述疑似入侵威胁场景内的第一全局活动热度,确定全部的所述潜在威胁型业务项目在所述疑似入侵威胁场景内的第二全局活动热度和所述第一全局活动热度指向的离散度评价。
步骤33、结合所述第二全局活动热度和所述离散度评价(可以理解为方差),确定所述疑似入侵威胁场景指向的业务活动热度描述。
实施步骤31-步骤33所记录的内容,基于每组潜在威胁型业务项目在疑似入侵威胁场景内的全局活动热度,以及每组潜在威胁型业务项目的全局活动热度的离散度评价,可以精确地确定反映疑似入侵威胁场景内的全部潜在威胁型业务项目的在疑似入侵威胁场景内的业务活动热度描述。该业务活动热度描述的确定过程结合了第一全局活动热度指向的离散度评价和全部潜在威胁型业务项目在疑似入侵威胁场景内的全局活动热度,即第二全局活动热度,能够更准确的表示疑似入侵威胁场景内潜在威胁型业务项目的运行情况,进而能够更加准确地确定疑似入侵威胁场景的信息威胁安全评价。
在一种可独立实施的实施例而言,结合所述疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,确定业务项目紧急程度,可以借助以下实施例确定:首先,结合所述第二维度主题和指定的项目关注度,确定所述疑似入侵威胁场景内的项目类型量化统计结果(可以理解为项目数量);其次,结合所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果、所述项目类型量化统计结果和所述第一维度主题,确定所述疑似入侵威胁场景指向的业务项目紧急程度。
在本申请实施例中,可以首先借助信息威胁检测方式,检测智慧业务活动数据中的潜在威胁型业务项目,其次,基于疑似入侵威胁场景在所述智慧业务活动数据中的分布标签信息,整理处于疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果。在确定项目类型量化统计结果时,可以结合所述疑似入侵威胁场景在所述智慧业务活动数据中的分布标签信息,确定所述疑似入侵威胁场景在迁移变换空间中的第二维度主题;再结合所述第二维度主题和指定的项目关注度,确定所述疑似入侵威胁场景内的项目类型量化统计结果。
举列而言,借助采集智慧业务活动数据的大数据处理线程的线程配置和疑似入侵威胁场景在所述智慧业务活动数据中的分布标签信息,确定疑似入侵威胁场景在迁移变换空间中的维度特征,之后,基于疑似入侵威胁场景在迁移变换空间中的维度特征确定疑似入侵威胁场景在迁移变换空间中的第一维度主题和第二维度主题。
进一步地,迁移变换空间可以理解为映射空间或者映射坐标系,第一维度主题和第二维度主题分别对应不同层面的维度比如互动热度、互动时段或者互动样本等中的任意两种。
基于上述实施例,疑似入侵威胁场景内的业务项目紧急程度不仅与其内部的潜在威胁型业务项目的量化统计结果存在关联,还与项目类型量化统计结果和疑似入侵威胁场景的第一维度主题存在关联,因此,借助疑似入侵威胁场景内潜在威胁型业务项目的量化统计结果、项目类型量化统计结果和疑似入侵威胁场景的第一维度主题,可以相对精准地确定疑似入侵威胁场景内的业务项目紧急程度。
基于上述实施例可知,在确定当前活动热度以及在确定疑似入侵威胁场景在迁移变换空间中的第一维度主题和第二维度主题时,均用到了采集智慧业务活动数据的大数据处理线程的线程配置。相关技术中线程配置需要手动配置,手动配置的方法不仅工作效率低,并且影响信息威胁检测的可信度和准确度。
本申请提供了一种自动配置大数据处理线程的线程配置的方法。该方法有效提高了大数据处理线程线程配置的配置效率,减少了手动配置的资源开销,实现自适应配置,增加了信息威胁检测的灵活性。
对于一些可独立实施的设计思路而言,可以借助以下实施例配置大数据处理线程的线程配置。
步骤41、确定所述大数据处理线程采集的配置智慧业务活动数据。在本申请实施例中,配置智慧业务活动数据的采集分布标签可以与智慧业务活动数据的采集分布标签一致。
步骤42、检测所述配置智慧业务活动数据中的若干配置目标。
在本申请实施例中,可以借助信息威胁检测方式,检测所述配置智慧业务活动数据中的各个目标,以及各个目标的目标属性;并基于各个目标的目标属性,将具有设定目标属性的目标作为配置目标。
在定位出配置智慧业务活动数据中的潜在威胁型业务项目之后,还需要对潜在威胁型业务项目的属性进行检测,即确定定位得到的各个潜在威胁型业务项目的目标属性。在确定了配置目标之后,还需要对配置目标进行进一步地挑选,以提高线程配置配置的准确度,进一步地,具体可以借助以下实施例对配置目标的挑选进行说明。
首先,确定具有设定目标属性的样本,即配置目标的显著性描述;之后,基于显著性描述的可信系数,从所述具有设定目标属性的样本中挑选最后的配置目标。
举例而言,在确定了显著性描述之后,将可信系数大于设定可信系数的显著性描述作为有效显著性描述。之后将有效显著性描述的量化统计结果大于设定量化统计结果的配置目标作为最后的配置目标。最后的配置目标用于进行线程配置的确定。上述设定可信系数可以调整为0.8,设定量化统计结果可以调整为5。
借助显著性描述的可信系数,能够确定出具有较高可信系数的显著性描述的配置目标,从而能够提高线程配置的准确性和可靠性。
步骤43、结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征和所述显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程的线程配置。
在本申请实施例中,需要首先确定哪些显著性描述可以用于进行配置。举例而言,可以将配置目标中可信系数最高的设定量化统计结果个显著性描述作为目标显著性描述,并基于目标显著性描述在所述配置智慧业务活动数据中的分布特征和所述目标显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程的线程配置。
举例而言,可信系数最高的设定量化统计结果个显著性描述可以理解为可信系数最高的5个显著性描述。
在确定了目标显著性描述之后,可以借助以下实施例进行配置:首先结合所述若干配置目标的目标显著性描述在所述配置智慧业务活动数据中的分布特征,和所述目标显著性描述在迁移变换空间中的迁移分布特征,确定所述大数据处理线程指向的辅助变换空间和迁移变换空间之间的迁移变换损失;最后结合所述迁移变换损失,确定所述大数据处理线程的线程配置。
举例而言,在确定了迁移变换损失之后,可以借助以下实施例确定所述大数据处理线程的被动型配置数据:将所述大数据处理线程的主动型配置数据调整为指定数据,结合所述迁移变换损失,确定所述大数据处理线程的被动型配置数据。举例而言,在确定了迁移变换损失之后,可以借助以下实施例确定所述大数据处理线程的主动型配置数据:将所述大数据处理线程的非指定数据调整为指定数据,结合所述迁移变换损失,确定所述大数据处理线程的主动型配置数据。
举例而言,可以在大数据处理线程的状态发生变化时进行配置,也可以按照如下方式确定是否进行配置。
首先,结合所述若干配置目标的显著性描述在所述配置智慧业务活动数据中的分布特征,确定所述配置智慧业务活动数据中所述配置目标的设定会话状态的会话消息量化统计结果;之后,在所述会话消息量化统计结果与设定量化统计结果不相同的前提下,对所述大数据处理线程进行配置。
配置目标的设定会话状态的会话消息量化统计结果与设定量化统计结果不相同,表明大数据处理线程的线程配置在一定程度上产生偏差,此时需要大数据处理线程进行配置,进而可能提高信息威胁安全评价的准确度和可信度。
除此之外,在上述内容的基础上,对于一些可独立实施的技术方案而言,在确定所述疑似入侵威胁场景指向的信息威胁安全评价之后,该方法还可以包括以下内容:在所述信息威胁安全评价表征所述疑似入侵威胁场景存在信息窃取风险时,确定待分析用户业务互动记录中涵盖的已标记互动行为事件的异常会话行为描述并根据所述异常会话行为描述确定风险事件知识库;根据所述风险事件知识库生成信息保护策略。
除此之外,对于一些可独立实施的技术方案而言,确定待分析用户业务互动记录中涵盖的已标记互动行为事件的异常会话行为描述并根据所述异常会话行为描述确定风险事件知识库可以通过以下实施方式实现。
STEP101,确定待分析用户业务互动记录中涵盖的已标记互动行为事件的异常会话行为描述。
STEP102,借助若干辅助型用户业务互动记录各自指向的第一辅助型互动行为事件的异常会话行为描述拼接已标记互动行为事件的异常会话行为描述,获得不少于一组第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标。
STEP103,结合存在设定业务场景主题的第二辅助型互动行为事件的异常会话行为描述、及不少于一组第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标,确定风险事件知识库的异常会话行为描述;第二辅助型互动行为事件是结合辅助型用户业务互动记录中的第一辅助型互动行为事件所确定。
STEP104,结合风险事件知识库的异常会话行为描述,创建与待分析用户业务互动记录的已标记互动行为事件对应的风险事件知识库。
本申请实施例借助若干辅助型用户业务互动记录各自指向的第一辅助型互动行为事件的异常会话行为描述拼接待分析用户业务互动记录中已标记互动行为事件的异常会话行为描述时,所确定的知识映射指标,以及结合辅助型用户业务互动记录中第一辅助型互动行为事件所确定且存在设定业务场景主题的第二辅助型互动行为事件的异常会话行为描述,得到风险事件知识库的异常会话行为描述,并结合风险事件知识库的异常会话行为描述,创建与待分析用户业务互动记录对应的风险事件知识库,该过程通过以知识映射指标作为参考,确定已标记互动行为事件的异常会话行为描述与不少于一组第一辅助型互动行为事件的异常会话行为描述之间的匹配关系,该匹配关系,能够表明结合第一辅助型互动行为事件的异常会话行为确定的第二辅助型互动行为事件的异常会话行为、和结合已标记互动行为事件的异常会话行为描述建立的风险事件知识库的异常会话行为描述之间的关联,使得所确定风险事件知识库的异常会话行为描述既具有待分析用户业务互动记录中已标记互动行为事件的特征(如异常描述内容等),与已标记互动行为事件之间存在相对完整的匹配度,又能够使所确定风险事件知识库具有设定的业务场景主题,进而基于风险事件知识库中所携带已标记互动行为事件对应的信息窃取意图关系网进行信息窃取防护处理。
可以理解,对于上述STEP101-STEP104所描述的技术方案可以根据以下实施例进行说明。
对于以上STEP101,待分析用户业务互动记录可以理解为事先确定的包括互动行为事件的用户业务互动记录,或者在借助相关互动记录处理线程的采集模块对某一业务会话项目进行采集时确定的包括互动行为事件的用户业务互动记录。例如:可以将用户业务互动记录中涵盖的任一组互动行为事件确定为已标记互动行为事件,并将已标记互动行为事件作为互动行为事件生成的业务会话项目。
进一步地,在将本申请实施例提供的应用于业务用户大数据的信息防窃取方法应用于不同的业务环节下时,待分析用户业务互动记录的确定方法也有所差异。例如,在将该应用于业务用户大数据的信息防窃取方法应用于在线支付中的前提下,可以通过在线支付终端中设置的用户业务互动记录生成模块确定包括了在线支付用户对应的互动行为事件的用户业务互动记录、或者从在线支付终端中的本在储存空间中指定包括了在线支付用户对应的互动行为事件的用户业务互动记录、并将确定的包括了在线支付用户对应的互动行为事件的用户业务互动记录作为待分析用户业务互动记录。
对于一种可独立实施的技术方案而言,上述STEP101所记录的确定待分析用户业务互动记录中涵盖的已标记互动行为事件的异常会话行为描述,具体可以包括如下内容:确定携带已标记互动行为事件的待分析用户业务互动记录;借助事先完成调试的AI智能模型对待分析用户业务互动记录进行处理,得到待分析用户业务互动记录中已标记互动行为事件的异常会话行为描述。
对于一种可独立实施的技术方案而言,本申请实施例提供了一种调试AI智能模型的具体实施方法,可以包括如下STEP201和STEP202所记录的内容。
STEP201:确定范例用户业务互动记录集(可以理解为样本用户业务互动记录集);范例用户业务互动记录集包括第一范例互动行为事件的若干第一范例用户业务互动记录以及第二范例互动行为事件的第二范例用户业务互动记录;若干第一范例用户业务互动记录包括若干第一范例用户业务互动记录队列,每个第一范例用户业务互动记录队列中涵盖从多个设定爬取条件分别爬取得到的存在相同会话互动习惯的第一范例互动行为事件的用户业务互动记录。
在本申请实施例中,对于范例用户业务互动记录集涵盖的第一范例互动行为事件的若干第一范例用户业务互动记录,对应的第一范例互动行为事件可以理解为事先确定的用于确定互动行为事件用户业务互动记录以调试AI智能模型的不少于一个单一业务会话项目的互动行为事件。
示例性地,在对第一范例互动行为事件进行采集确定第一范例用户业务互动记录队列时,例如可以针对多个不同的会话互动习惯确定多个第一范例用户业务互动记录队列。其中,多个不同的会话互动习惯可以理解为操作习惯、聊天文本习惯等。在本申请实施例中,在确定第一范例用户业务互动记录时,不同的第一范例用户业务互动记录中第一范例互动行为事件的业务环境可以一致。同理,通过类似的实施技术确定第一范例互动行为事件在不同的会话互动习惯下各自指向的第一范例用户业务互动记录队列,在此不作更多描述。进一步地,在确定多个不同会话互动习惯各自指向的第一范例用户业务互动记录队列后,即可以确定第一范例互动行为事件的若干第一范例用户业务互动记录。
比如,在确定第一范例用户业务互动记录时,可以借助用户业务互动记录采集模块(比如相关的功能性线程)进行采集确定用户业务互动记录。由于在确定第一范例用户业务互动记录的前提下,获得用户业务互动记录中的采集目标为不同维度下,导出不同会话互动习惯的多个采集单一业务会话项目对应的互动行为事件,因此借助第一范例用户业务互动记录可以调试AI智能模型对用户业务互动记录中多维度下的互动行为事件对应的异常会话行为描述的获取效果。第二范例用户业务互动记录可以针对不同的单一业务会话项目任意采集得到。
比如,在针对不同的单一业务会话项目任意采集得到第二范例用户业务互动记录的前提下,可以借助神经网络或者其他用户业务互动记录采集模块对多个第二范例互动行为事件进行采集确定第二范例用户业务互动记录;或者,直接获取事先采集得到的若干第二范例用户业务互动记录。第二范例用户业务互动记录可以包括获取的多组包括非关键内容的互动行为事件用户业务互动记录;其中,第二范例用户业务互动记录中包含的非关键内容等对解析互动行为事件生成影响的部分,用以调试AI智能模型在对待分析用户业务互动记录中互动行为事件进行解析以确定异常会话行为描述的前提下,对除互动行为事件以外的剩余内容的影响削弱性能。
在本申请另一实施例中,范例用户业务互动记录集中还包括第三范例用户业务互动记录,第三范例用户业务互动记录可以通过对第一范例用户业务互动记录进行注意力优化(特征加强或者特征显著性处理)得到。借助注意力优化的方法能够提升AI智能模型在确定异常会话行为描述时的稳定性和鲁棒性。
基于上述内容,第三范例用户业务互动记录对应的范例互动行为事件的异常会话行为描述,与创建第三范例用户业务互动记录的第一范例用户业务互动记录对应的范例互动行为事件的异常会话行为描述相同。
基于上述STEP201所描述的内容,调试AI智能模型的相关内容还可以包括如下内容。
STEP202,确定范例用户业务互动记录集中的第一范例用户业务互动记录的第一范例互动行为事件的异常会话行为描述以及第二范例用户业务互动记录的第二范例互动行为事件的异常会话行为描述。
对于本申请实施例而言,在确定范例用户业务互动记录集中的第一范例用户业务互动记录的第一范例互动行为事件的异常会话行为描述以及第二范例用户业务互动记录的第二范例互动行为事件的异常会话行为描述时,可以通过如下STEP进行实施:确定范例用户业务互动记录集中第一范例用户业务互动记录的第一范例互动行为事件的异常会话行为描述、第二范例用户业务互动记录的第二范例互动行为事件的异常会话行为描述、以及第三范例用户业务互动记录的第三范例互动行为事件的异常会话行为描述。
在本申请实施例中,针对范例用户业务互动记录集中的第一范例用户业务互动记录,可以在对第一范例互动行为事件进行采集确定对应的第一范例用户业务互动记录后,确定各组第一范例用户业务互动记录中第一范例互动行为事件的范例互动行为事件的异常会话行为描述。在借助深度神经网络确定第一范例用户业务互动记录的前提下,例如可以结合深度神经网络确定的深度用户业务互动记录,得到第一范例互动行为事件的范例互动行为事件的异常会话行为描述。
对于一种可独立实施的实施例而言,针对范例用户业务互动记录集中的第二范例用户业务互动记录,本申请实施例提供了一种确定第二范例用户业务互动记录的第二范例互动行为事件的异常会话行为描述的相关内容,可以具体包括如下STEP401和STEP402所记录的内容。
STEP401,确定每一第二范例用户业务互动记录的互动行为事件特征。STEP402,借助第二范例用户业务互动记录的互动行为事件特征以及第二范例用户业务互动记录,拼接创建第二范例用户业务互动记录的第二范例互动行为事件的异常会话行为描述。
在本申请实施例中,第二范例用户业务互动记录可以理解为包括确定的多组包括非关键内容的互动行为事件用户业务互动记录(行为事件记录),且每一第二范例用户业务互动记录皆包括确定的互动行为事件特征。其中,第二范例用户业务互动记录中涵盖的互动行为事件特征用于确定第二范例用户业务互动记录对应的范例互动行为事件的异常会话行为描述。
可以理解,在获得第二范例用户业务互动记录的互动行为事件特征的前提下,可以借助拼接策略创建第二范例用户业务互动记录的第二范例互动行为事件的异常会话行为描述。
STEP203:借助基础AI智能模型,对范例用户业务互动记录集中的第一范例用户业务互动记录和第二范例用户业务互动记录进行描述挖掘,得到第一范例用户业务互动记录的第一范例互动行为事件的估计型异常会话行为描述以及第二范例用户业务互动记录的第二范例互动行为事件的估计型异常会话行为描述。
在本申请实施例中,在确定第一范例用户业务互动记录的第一范例互动行为事件的估计型异常会话行为描述(预测关键点信息)以及第二范例用户业务互动记录的第二范例互动行为事件的估计型异常会话行为描述时,可以通过如下STEP进行实施:借助基础AI智能模型,对范例用户业务互动记录集中的第一范例用户业务互动记录、第二范例用户业务互动记录、以及第三范例用户业务互动记录进行描述挖掘,得到第一范例用户业务互动记录的第一范例互动行为事件的估计型异常会话行为描述、第二范例用户业务互动记录的第二范例互动行为事件的估计型异常会话行为描述、以及第三范例用户业务互动记录的第三范例互动行为事件的估计型异常会话行为描述。
可以理解,确定第一范例用户业务互动记录、第二范例用户业务互动记录、以及第三范例用户业务互动记录中至少一种范例用户业务互动记录的STEP可以与借助基础AI智能模型对第一范例用户业务互动记录、第二范例用户业务互动记录、以及第三范例用户业务互动记录中至少一种进行描述挖掘的STEP同步执行,也即可以直接得到借助基础AI智能模型对第一范例用户业务互动记录、第二范例用户业务互动记录、以及第三范例用户业务互动记录中至少一种进行描述挖掘后各自指向的估计型异常会话行为描述。
另外,在借助基础AI智能模型对第一范例用户业务互动记录、第二范例用户业务互动记录、以及第三范例用户业务互动记录中至少一种进行描述挖掘时,可以同时对第一范例用户业务互动记录、第二范例用户业务互动记录、以及第三范例用户业务互动记录中至少一种进行描述挖掘;或者,根据真实指标对第一范例用户业务互动记录、第二范例用户业务互动记录、以及第三范例用户业务互动记录中至少一种按照顺序进行描述挖掘,以得到第一范例用户业务互动记录的第一范例互动行为事件的估计型异常会话行为描述、第二范例用户业务互动记录的第二范例互动行为事件的估计型异常会话行为描述、以及第三范例用户业务互动记录的第三范例互动行为事件的估计型异常会话行为描述。
在本申请实施例中,对于范例用户业务互动记录集中涵盖的第一范例用户业务互动记录和第二范例用户业务互动记录,可以按照设定的占比挑选不同数目的第一范例用户业务互动记录、第二范例用户业务互动记录,并将选定的第一范例用户业务互动记录和第二范例用户业务互动记录导入到基础AI智能模型中;在范例用户业务互动记录集包括第一范例用户业务互动记录、第二范例用户业务互动记录和第三范例用户业务互动记录的前提下,可以按照设定的占比挑选不同数目的第一范例用户业务互动记录、第二范例用户业务互动记录、和第三范例用户业务互动记录,并将选定的第一范例用户业务互动记录、第二范例用户业务互动记录和第三范例用户业务互动记录导入到基础AI智能模型中。占比选定不同时,对AI智能模型调试的偏向点也有所不同。当第一范例用户业务互动记录和/或第三范例用户业务互动记录的所占份额较高时,调试得到的AI智能模型对用户业务互动记录中不同维度的互动行为事件对应的互动行为事件异常会话行为获取精度较佳;当第二范例用户业务互动记录的所占份额较高时,调试得到的AI智能模型对用户业务互动记录中互动行为事件外的其他非关键内容部分影响削弱性能更强,进而能够满足不同用户所提的不同应用需求。
在本申请实施例中,在将范例用户业务互动记录导入到基础AI智能模型后,基础AI智能模型能够对范例用户业务互动记录进行描述挖掘,并导出每一范例用户业务互动记录的估计型互动行为事件的异常会话行为描述;借助估计型互动行为事件的异常会话行为描述,和每一范例用户业务互动记录对应的范例互动行为事件的异常会话行为描述,确定AI智能模型的偏差(模型损失),该偏差用于兼容(权衡)AI智能模型在创建互动行为事件的异常会话行为描述时的精准性。
STEP204,借助第一范例互动行为事件的异常会话行为描述和估计型异常会话行为描述、第二范例互动行为事件的异常会话行为描述和估计型异常会话行为描述,对基础AI智能模型进行调试,以获得完成调试的所述AI智能模型。
在本申请实施例中,在对基础AI智能模型进行调试以得到AI智能模型时,可以能够以下操作STEP进行实施:借助第一范例互动行为事件的异常会话行为描述和估计型异常会话行为描述、第二范例互动行为事件的异常会话行为描述和估计型异常会话行为描述、以及第三范例互动行为事件的异常会话行为描述和估计型异常会话行为描述,对基础AI智能模型进行调试,调试完成后得到AI智能模型。
可以理解,可以结合估计型互动行为事件的异常会话行为描述、以及范例互动行为事件的异常会话行为描述的对比结果确定AI智能模型的偏差,并借助偏差对AI智能模型进行调试,调试的目的是为了使得偏差降低,以使AI智能模型在对用户业务互动记录进行处理时,得到的估计型互动行为事件的异常会话行为描述,能够在一定程度上与实际互动行为事件的异常会话行为描述接近。在得到调试好的AI智能模型的前提下,即可将待分析用户业务互动记录导入AI智能模型,得到待分析用户业务互动记录中已标记互动行为事件对应的异常会话行为描述。
对于以上STEP102,辅助型用户业务互动记录可以为不同单一业务会话项目各自指向的互动行为事件,不同单一业务会话项目对应的互动行为事件不同。进一步地,确定每个业务会话项目的互动行为事件用户业务互动记录,并将确定的互动行为事件用户业务互动记录作为第二范例用户业务互动记录。这样,结合第二范例用户业务互动记录所确定第二范例互动行为事件的异常会话行为描述,能够捕捉到尽可能丰富的互动行为事件异常描述内容。
在本申请实施例中,在确定若干辅助型用户业务互动记录对应的多个第一辅助型互动行为事件的异常会话行为描述时,可以通过如下方式进行实施:确定包括第一辅助型互动行为事件的若干辅助型用户业务互动记录;针对若干辅助型用户业务互动记录中的每一辅助型用户业务互动记录,借助事先完成调试的AI智能模型确定每一辅助型用户业务互动记录中第一辅助型互动行为事件的第一辅助型互动行为事件的异常会话行为描述。其中,借助事先完成调试的AI智能模型确定多个第一辅助型异常互动会话行为事件的实施技术与上述借助事先完成调试的AI智能模型确定已标记异常互动会话行为事件的实施技术相似,在此不作更多描述。
可以理解,在确定已标记互动行为事件的异常会话行为描述、及第一辅助型互动行为事件的异常会话行为描述的前提下,可以借助第一辅助型互动行为事件的异常会话行为描述拼接已标记互动行为事件的异常会话行为描述,以确定与若干辅助型用户业务互动记录各自指向的第一辅助型互动行为事件的异常会话行为描述的知识映射指标。其中,知识映射指标可以作为基准,建立待分析用户业务互动记录中的已标记互动行为事件的异常会话行为描述与若干辅助型用户业务互动记录各自指向的第一辅助型互动行为事件的异常会话行为描述之间的匹配关系。
对于一种可独立实施的技术方案而言,上述STEP102所记录的借助若干辅助型用户业务互动记录各自指向的第一辅助型互动行为事件的异常会话行为描述拼接所述已标记互动行为事件的异常会话行为描述,获得不少于一组所述第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标,具体可以包括如下STEP601和STEP602所记录的内容。
STEP601,对已标记互动行为事件的异常会话行为描述以及第一辅助型互动行为事件的异常会话行为描述进行向量投影操作,获得不少于一组第一辅助型互动行为事件的异常会话行为描述各自指向的过渡映射指标(可以理解为中间指标)。
在本申请实施例中,在通过第一辅助型互动行为事件的异常会话行为描述拼接已标记互动行为事件的异常会话行为描述的过程中,要使得通过知识映射指标对第一辅助型互动行为事件的异常会话行为描述进行全局整理后的特征信息,与已标记互动行为事件的异常会话行为描述的特征信息尽可能的接近。该知识映射指标,又可以理解为用多个辅助型用户业务互动记录对应的第一辅助型互动行为事件的异常会话行为描述表达已标记互动行为事件的异常会话行为描述时,每个第一辅助型互动行为事件的异常会话行为描述的量化指标。
STEP602,结合不少于一组第一辅助型互动行为事件的异常会话行为描述中每组第一辅助型互动行为事件的异常会话行为描述对应的过渡映射指标,确定每组第一辅助型互动行为事件的异常会话行为描述对应的知识映射指标。
对于一种可独立实施的技术方案而言,上述STEP602所记录的结合不少于一组所述第一辅助型互动行为事件的异常会话行为描述中每组第一辅助型互动行为事件的异常会话行为描述对应的过渡映射指标,确定各组所述第一辅助型互动行为事件的异常会话行为描述对应的知识映射指标,具体还可以包括如下STEP701-STEP704所描述的内容。
STEP701,从每组第一辅助型互动行为事件的异常会话行为描述中确定表明第一辅助型互动行为事件中与风险事件知识库的局部特征对应的第一种异常会话行为描述。
对于一些可独立实施的设计思路而言,为了使得知识映射指标可以更精准地表明第一辅助型互动行为事件的异常会话行为描述拼接已标记互动行为事件的异常会话行为描述的情况,可以对局部互动行为事件局部特征对应的知识映射指标进行优化,以使得结合知识映射指标和多个对应的第一辅助型互动行为事件的异常会话行为描述拼接得到的异常会话行为描述与待分析用户业务互动记录对应的已标记互动行为事件的异常会话行为描述相近。此时,需要优化知识映射指标对应的局部互动行为事件局部特征即为风险事件知识库局部特征。实际的风险事件知识库(视觉型知识图谱)的局部特征可以根据需求确定,在此不作更多描述。
STEP702,对第一辅助型互动行为事件的异常会话行为描述中第一种异常会话行为描述对应的过渡映射指标进行优化,得到第一知识映射指标。
STEP703,将第一辅助型互动行为事件的异常会话行为描述中第二种异常会话行为描述对应的过渡映射指标,确定为第二知识映射指标;第二种异常会话行为描述为第一辅助型互动行为事件的异常会话行为描述中除第一种异常会话行为描述之外的异常会话行为描述。
在本申请实施例中,可以将第一辅助型互动行为事件的异常会话行为描述中第二种异常会话行为描述对应的过渡映射指标,确定为第二知识映射指标。并且,还可以将每组第一辅助型互动行为事件的异常会话行为描述中除目标局部特征外的第一种异常会话行为描述外的异常会话行为描述,作为第二种异常会话行为描述。由于第二种异常会话行为描述对应的知识映射指标对拼接结果的影响较小,或者,在拼接时拼接结果较优,因此可以不对第二种异常会话行为描述对应的知识映射指标进行优化,以在保证拼接效果的前提下提高效率。
STEP704,结合第一知识映射指标和第二知识映射指标,得到每组第一辅助型互动行为事件的异常会话行为描述的知识映射指标。
在本申请实施例中,由于第一知识映射指标对应风险事件知识库局部特征,第二知识映射指标对应多个互动行为事件局部特征中除风险事件知识库局部特征的其他互动行为事件局部特征,因此将第一知识映射指标、以及第二知识映射指标进行融合可以确定对应与不少于一组互动行为事件局部特征的知识映射指标,也即每组第一辅助型互动行为事件的异常会话行为描述的知识映射指标。
对于以上STEP103,设定业务场景主题可以为跨境业务场景主题、境内业务场景主题或测试业务场景主题等,具体可以根据实际的需要进行设定。比如,针对设定业务场景主题为跨境业务场景主题的情况,存在设定业务场景主题的第二辅助型互动行为事件可以为跨境互动行为事件。
在一种可独立实施的技术方案而言,在借助存在设定业务场景主题的第二辅助型互动行为事件创建第二辅助型互动行为事件的异常会话行为描述时,可以通过如下方式进行实施:对辅助型用户业务互动记录中第一辅助型互动行为事件的第一辅助型互动行为事件的异常会话行为描述进行优化,得到存在设定业务场景主题的第二辅助型互动行为事件的异常会话行为描述;或者,结合辅助型用户业务互动记录中的第一辅助型互动行为事件,创建包括存在设定业务场景主题的第二辅助型互动行为事件的衍生行为事件记录;借助事先完成调试的AI智能模型创建衍生行为事件记录中第二辅助型互动行为事件的第二辅助型互动行为事件的异常会话行为描述。
在本申请实施例中,在对第一辅助型异常互动会话行为事件进行优化得到存在设定业务场景主题的第二辅助型互动行为事件的异常会话行为描述的前提下,可以依据设定的业务场景主题对第一辅助型互动行为事件的异常会话行为描述中的全部异常会话行为描述或者部分异常会话行为描述进行优化,以使得到的第二辅助型互动行为事件的异常会话行为描述反应出的互动行为事件具有设定的业务场景主题。
可以理解,在结合第一辅助型互动行为事件创建衍生行为事件记录,并借助预先调试得到的AI智能模型创建第二辅助型互动行为事件的异常会话行为描述的前提下,可以依据设定业务场景主题对辅助型用户业务互动记录中的第一辅助型互动行为事件进行视觉用户业务互动记录处理,以创建存在设定业务场景主题的第二辅助型互动行为事件(参加事件)的衍生行为事件记录(模拟记录)。
在获得存在设定业务场景主题的第二辅助型互动行为事件的衍生行为事件记录的前提下,可以借助预先调试得到的AI智能模型确定对应的第二辅助型互动行为事件的异常会话行为描述。其中,借助预先调试得到的AI智能模型确定第二辅助型互动行为事件的异常会话行为描述的方法,与上述借助事先完成调试的AI智能模型确定已标记互动行为事件的异常会话行为描述、及第一辅助型互动行为事件的异常会话行为描述的方法相似,在此不作更多描述。
在确定了存在设定业务场景主题的第二辅助型互动行为事件的异常会话行为描述、及不少于一组第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标后,即可以确定风险事件知识库的异常会话行为描述。
对于一种可独立实施的技术方案而言,STEP103所记录的结合存在设定业务场景主题的第二辅助型互动行为事件的异常会话行为描述、及不少于一组所述第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标,确定风险事件知识库的异常会话行为描述,具体可以包括如下STEP801和STEP802所记录的内容。
STEP801,结合不少于一组第二辅助型互动行为事件的异常会话行为描述,创建不少于一组第二辅助型互动行为事件的异常会话行为描述的整体性分析结果。
对于一些可独立实施的设计思路而言,可以结合第二辅助型互动行为事件的异常会话行为描述中对应局部特征的特征值进行全局计算处理(比如求平均),以创建第二辅助型互动行为事件的异常会话行为描述的整体性分析结果。其中,整体性分析结果用于表明不少于一组第二辅助型互动行为事件的异常会话行为描述的整体性行为内容(平均特征)。
STEP802,结合不少于一组第二辅助型互动行为事件的异常会话行为描述、整体性分析结果、以及不少于一组第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标,创建风险事件知识库的异常会话行为描述。
对于一种可独立实施的技术方案而言,上述STEP802所记录的结合不少于一组所述第二辅助型互动行为事件的异常会话行为描述、所述整体性分析结果、以及不少于一组所述第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标,创建所述风险事件知识库的异常会话行为描述,具体可以包括以下STEP901-STEP903所记录的内容。
STEP901,结合不少于一组第二辅助型互动行为事件的异常会话行为描述中每组第二辅助型互动行为事件的异常会话行为描述、以及整体性分析结果,确定各组第二辅助型互动行为事件的异常会话行为描述的比较情况(差值信息)。
STEP902,结合不少于一组第一辅助型互动行为事件的异常会话行为描述各自指向的知识映射指标,对不少于一组第二辅助型互动行为事件的异常会话行为描述各自指向的比较情况进行扩展操作。
在本申请实施例中,可以将知识映射指标作为不少于一组第二辅助型互动行为事件的异常会话行为描述对应的重要性描述,对不少于一组第二辅助型互动行为事件的异常会话行为描述各自指向的比较情况进行全局整理处理,实现作差处理的过程。
STEP903,结合扩展操作的结果以及整体性分析结果,创建风险事件知识库的异常会话行为描述。
基于上述内容,可得到既包含待分析用户业务互动记录中的互动行为事件特征,又包含第二辅助型互动行为事件的异常会话行为描述反应出的设定业务场景主题的风险事件知识库的异常会话行为描述。
对于以上STEP104所描述的借助风险事件知识库的异常会话行为描述,可以创建与待分析用户业务互动记录对应的风险事件知识库。
在本申请实施中,可以结合风险事件知识库的异常会话行为描述借助视觉优化的思路创建对应的风险事件知识库,从而保障风险事件知识库的丰富程度和高可视化性。
除此之外,对于一些可独立实施的技术方案而言,根据所述风险事件知识库生成信息保护策略,可以通过以下实施方式实现:根据所述风险事件知识库,确定所述已标记互动行为事件的行为意图数据;从所述信息窃取意图关系网中确定与所述行为意图数据匹配的信息窃取意图节点;根据所述信息窃取意图节点生成针对所述已标记互动行为事件的信息保护策略。
在本申请实施例中,可以根据风险事件知识库的上下游实体传递关系确定已标记互动行为事件的行为意图数据,然后通过对信息窃取意图关系网中的信息窃取意图节点的目标特征向量进行计算,并与行为意图数据对应的待分析特征向量进行相似度匹配以得到与所述行为意图数据匹配的信息窃取意图节点,这样一来,可以根据信息窃取意图节点精准地生成针对所述已标记互动行为事件的信息保护策略,从而实现对相关业务信息的防窃取保护。
除此之外,对于一些可独立实施的设计思路而言,根据所述信息窃取意图节点生成针对所述已标记互动行为事件的信息保护策略,可以包括以下内容:确定所述信息窃取意图节点的风险意图索引分布信息以及各意图偏好属性;在根据所述风险意图索引分布信息确定出所述信息窃取意图节点中包含有间接型风险意图索引的前提下,根据多个历史威胁事件的目标意图节点的间接型风险意图索引下的意图偏好属性及其风险意图索引关键词确定信息窃取意图节点的直接型风险意图索引下的各意图偏好属性与信息窃取意图节点的间接型风险意图索引下的各意图偏好属性之间的共性评价,并将信息窃取意图节点的直接型风险意图索引下的与间接型风险意图索引下的意图偏好属性存在关联的意图偏好属性更新到相应的间接型风险意图索引下;在信息窃取意图节点的当前直接型风险意图索引下包含有多个意图偏好属性的前提下,根据多个历史威胁事件的目标意图节点的间接型风险意图索引下的意图偏好属性及其风险意图索引关键词确定信息窃取意图节点的当前直接型风险意图索引下的各意图偏好属性之间的共性评价,并根据所述各意图偏好属性之间的共性评价对当前直接型风险意图索引下的各意图偏好属性进行特征分析整合;根据多个历史威胁事件的目标意图节点的间接型风险意图索引下的意图偏好属性及其风险意图索引关键词为上述特征分析整合获得的每一类意图偏好属性设置间接型风险意图索引关键词,并将所述每一类意图偏好属性更新到所述间接型风险意图索引关键词所表示的间接型风险意图索引下;通过所述间接型风险意图索引下对应的意图偏好属性确定所述信息窃取意图节点对应的信息窃取行为清单并针对所述信息窃取行为清单制定信息保护策略。
在本申请实施例中,信息保护策略可以是针对信息窃取行为清单中的指向的目标信息的匿名户化处理,这样能够避免目标信息被窃取。可以理解的是,通过考虑不同类别的风险意图索引的意图偏好属性的更新和迁移,能够实现对间接型风险意图索引下的意图偏好属性的更新和优化,从而确保所得到的信息保护策略的可信度。
基于上述同样的发明构思,还提供了一种基于智慧业务的大数据安全威胁处理装置20,应用于大数据安全威胁处理***10,所述装置包括:活动数据指定模块21,用于从智慧业务服务日志队列中确定涵盖指定的疑似入侵威胁场景的不少于两组智慧业务活动数据;业务项目挖掘模块22,用于结合所述不少于两组智慧业务活动数据的时序标签,以及对所述不少于两组智慧业务活动数据的潜在威胁型业务项目的定位与持续性挖掘,确定所述疑似入侵威胁场景指向的业务活动热度描述;项目紧急确定模块23,用于结合所述疑似入侵威胁场景的维度特征和所述疑似入侵威胁场景内的潜在威胁型业务项目的量化统计结果,确定业务项目紧急程度;信息安全评价模块24,用于结合所述业务活动热度描述和所述业务项目紧急程度,确定所述疑似入侵威胁场景指向的信息威胁安全评价。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。