一种应用于大数据智能的网络安全分析方法及系统转让专利
申请号 : CN202210026475.2
文献号 : CN114500009B
文献日 : 2022-11-04
发明人 : 李静
申请人 : 杭州泽傲网络科技有限公司
摘要 :
本申请涉及大数据安全技术领域,具体而言,涉及一种应用于大数据智能的网络安全分析方法及系统,可以实现通过指示型会话风险检测结果启用第一云会话风险检测结果的衍生处理,即便第一云会话风险检测结果存在一部分信息缺失,鉴于综合了指示型会话风险检测结果,同样能够得到尽可能完整丰富的衍生风险检测结果,保障了衍生处理的质量,以便尽可能地挖掘潜在的、隐藏的会话风险,这样能够确保云会话风险检测的可信度,从而为网络安全防护提供坚实的分析依据和决策依据。
权利要求 :
1.一种应用于大数据智能的网络安全分析方法,其特征在于,应用于网络安全分析系统,所述方法至少包括:确定第一云会话风险检测结果,以及确定所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果,所述指示型会话风险检测结果携带所述第一云会话风险检测结果中的目标云服务互动事件的指示型大数据;
通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果;
其中:
所述第一云会话风险检测结果为待处理的云会话风险检测结果对应的云服务互动事件;
所述指示型会话风险检测结果为高特征识别度的云会话风险检测结果;
所述指示型大数据为指引信息或者提示信息;
所述目标云服务互动事件为政企云服务互动事件;
所述衍生风险检测结果为高质量的云会话风险检测结果;
所述监督衍生处理为基于标签、指示或者提醒信息的衍生扩展操作。
2.根据权利要求1所述的方法,其特征在于,所述确定所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果,包括:确定所述第一云会话风险检测结果的会话风险分布,所述会话风险分布携带所述第一云会话风险检测结果中目标云服务互动事件的不低于一组显著性内容;
通过所述第一云会话风险检测结果的会话风险分布确定与所述目标云服务互动事件的不低于一个目标在线业务行为绑定的指示型会话风险检测结果;
其中:
所述显著性内容为特征信息;
所述会话风险分布还包括第一云会话风险检测结果中的云服务互动事件的认证权限信息。
3.根据权利要求2所述的方法,其特征在于,所述通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果,包括:结合所述第一云会话风险检测结果中所述目标云服务互动事件的当前网络状态,对所述不低于一个指示型会话风险检测结果启用转化处理,得到所述当前网络状态下与所述指示型会话风险检测结果对应的映射会话风险检测结果;
通过所述不低于一个指示型会话风险检测结果中与所述目标云服务互动事件绑定的不低于一个目标在线业务行为,从所述指示型会话风险检测结果对应的映射会话风险检测结果中确定所述不低于一个目标在线业务行为的局部会话风险检测结果;
基于确定的所述局部会话风险检测结果和所述第一云会话风险检测结果得到所述衍生风险检测结果;
其中,所述基于确定的所述局部会话风险检测结果和所述第一云会话风险检测结果得到所述衍生风险检测结果,包括:结合确定的所述局部会话风险检测结果变更所述第一云会话风险检测结果中与所述局部会话风险检测结果中目标在线业务行为对应的在线业务行为,得到所述衍生风险检测结果,或者对所述局部会话风险检测结果和所述第一云会话风险检测结果进行潜在特征挖掘操作,得到所述衍生风险检测结果。
4.根据权利要求2所述的方法,其特征在于,所述通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果,包括:对所述第一云会话风险检测结果启用热点风险检测衍生操作,得到第二云会话风险检测结果,所述第二云会话风险检测结果的特征识别度大于所述第一云会话风险检测结果的特征识别度;
结合所述第二云会话风险检测结果中所述目标云服务互动事件的当前网络状态,对所述不低于一个指示型会话风险检测结果启用转化处理,得到所述当前网络状态下与所述指示型会话风险检测结果对应的映射会话风险检测结果;
通过所述不低于一个指示型会话风险检测结果中与所述云服务互动事件绑定的不低于一个目标在线业务行为,从所述指示型会话风险检测结果对应的映射会话风险检测结果中确定所述不低于一个目标在线业务行为的局部会话风险检测结果;
基于确定的所述局部会话风险检测结果和所述第二云会话风险检测结果得到所述衍生风险检测结果;
其中,所述基于确定的所述局部会话风险检测结果和所述第二云会话风险检测结果得到所述衍生风险检测结果,包括:结合确定的所述局部会话风险检测结果变更所述第二云会话风险检测结果中与所述局部会话风险检测结果中目标在线业务行为对应的在线业务行为,得到所述衍生风险检测结果,或者通过所述局部会话风险检测结果和所述第二云会话风险检测结果进行潜在特征挖掘操作,得到所述衍生风险检测结果;
其中,所述方法还包括:结合所述衍生风险检测结果启用认证权限解析,确定与所述云服务互动事件绑定的认证权限信息;
其中:
所述热点风险检测衍生操作包括:对第一云会话风险检测结果启用上采样处理,对上采样得到的云会话风险检测结果启用至少一次潜在特征挖掘操作,潜在特征挖掘操作为滑动平均处理。
5.根据权利要求4所述的方法,其特征在于,通过第一机器学习模型启用所述对所述第一云会话风险检测结果启用热点风险检测衍生操作,得到所述第二云会话风险检测结果,所述方法还包括调试所述第一机器学习模型的步骤,其包括:确定第一调试型会话风险检测结果集,所述第一调试型会话风险检测结果集涵盖多个第一调试型会话风险检测结果,以及与所述第一调试型会话风险检测结果对应的第一注释信息;
将所述第一调试型会话风险检测结果集中的不低于一个第一调试型会话风险检测结果传入到所述第一机器学习模型启用所述热点风险检测衍生操作,得到所述第一调试型会话风险检测结果对应的测试型热点风险检测结果;
将所述测试型热点风险检测结果分别传入到第一检测扰动层、第一描述解析层以及第一检测结果拆解层,得到针对所述测试型热点风险检测结果的区分情况、描述解析情况以及检测结果拆解情况;
依据所述测试型热点风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到第一模型期望偏移,通过所述第一模型期望偏移反馈优化所述第一机器学习模型的模型变量,直到符合第一调试指标;
其中:
所述检测扰动层为对抗神经网络;
所述描述解析层为特征提取网络;
所述检测结果拆解层为分割网络;
所述模型期望偏移为网络损失。
6.根据权利要求5所述的方法,其特征在于,所述依据所述第一调试型会话风险检测结果对应的测试型热点风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到第一模型期望偏移,包括:通过所述第一调试型会话风险检测结果对应的测试型热点风险检测结果和所述第一注释信息中与所述第一调试型会话风险检测结果对应的第一基础云会话风险检测结果,确定第一风险内容偏移;
通过所述测试型热点风险检测结果的区分情况,以及所述第一检测扰动层对所述第一基础云会话风险检测结果的区分情况,得到第一扰动偏移;
通过所述测试型热点风险检测结果和所述第一基础云会话风险检测结果的回归操作,确定第一置信度偏移;
通过所述测试型热点风险检测结果的描述解析情况和所述第一注释信息中的第一基础标签,得到第一全局热点分布偏移;
通过所述测试型热点风险检测结果的检测结果拆解情况和所述第一注释信息中与第一调试范例对应的第一基础拆解情况,得到第一拆解偏移;
结合所述第一扰动偏移、第一风险内容偏移、第一置信度偏移、第一全局热点分布偏移和第一拆解偏移的整合结果,得到所述第一模型期望偏移;
其中:
所述拆解偏移为拆解损失;
所述全局热点分布偏移为视觉图损失。
7.根据权利要求2‑4中任意一项所述的方法,其特征在于,通过第二机器学习模型启用所述监督衍生处理,得到所述衍生风险检测结果,所述方法还包括调试所述第二机器学习模型的步骤,其包括:确定第二调试型会话风险检测结果集,所述第二调试型会话风险检测结果集包括第二调试型会话风险检测结果、所述第二调试型会话风险检测结果对应的指示型调试型会话风险检测结果和第二注释信息;
结合所述第二调试型会话风险检测结果对所述指示型调试型会话风险检测结果进行转化处理得到调试映射会话风险检测结果,并将所述调试映射会话风险检测结果和所述第二调试型会话风险检测结果传入到所述第二机器学习模型,对所述第二调试型会话风险检测结果启用监督衍生处理,得到所述第二调试型会话风险检测结果的测试型衍生风险检测结果;
将所述测试型衍生风险检测结果分别传入到第二检测扰动层、第二描述解析层以及第二检测结果拆解层,得到针对所述测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况;
依据所述测试型衍生风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到所述第二机器学习模型的第二模型期望偏移,并通过所述第二模型期望偏移反馈优化所述第二机器学习模型的模型变量,直到符合第二调试指标;
其中,所述依据所述调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到所述第二机器学习模型的第二模型期望偏移,包括:通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况得到第一期望偏移和第二期望偏移;
通过所述第一期望偏移和第二期望偏移的整合结果得到所述第二模型期望偏移。
8.根据权利要求7所述的方法,其特征在于,通过所述调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况得到第一期望偏移,包括:通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果和所述第二注释信息中与所述第二调试型会话风险检测结果对应的第二基础云会话风险检测结果,确定第二风险内容偏移;
通过所述测试型衍生风险检测结果的区分情况,以及所述第二检测扰动层对所述第二基础云会话风险检测结果的区分情况,得到第二扰动偏移;
通过所述测试型衍生风险检测结果和所述第二基础云会话风险检测结果的回归操作,确定第二置信度偏移;
通过所述测试型衍生风险检测结果的描述解析情况和所述第二注释信息中的第二基础标签,得到第二全局热点分布偏移;
通过所述测试型衍生风险检测结果的检测结果拆解情况和所述第二注释信息中的第二基础拆解情况,得到第二拆解偏移;
结合所述第二扰动偏移、第二风险内容偏移、第二置信度偏移、第二全局热点分布偏移和第二拆解偏移的整合结果,得到所述第一期望偏移。
9.根据权利要求7所述的方法,其特征在于,通过所述调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况得到第二期望偏移,包括:确定所述测试型衍生风险检测结果中不低于一个在线业务行为的在线业务行为局部会话风险检测结果,将不低于一个在线业务行为的在线业务行为局部会话风险检测结果分别传入到检测扰动层、描述解析层以及检测结果拆解层,得到所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况、描述解析情况以及检测结果拆解情况;
通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,以及所述第二检测扰动层对所述第二调试型会话风险检测结果对应的第二基础云会话风险检测结果中所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,确定所述不低于一个在线业务行为的第三扰动偏移;
通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的描述解析情况和所述第二注释信息中所述不低于一个在线业务行为的基础标签,得到不低于一个在线业务行为的第三全局热点分布偏移;
通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的检测结果拆解情况和所述第二注释信息中所述不低于一个在线业务行为的基础拆解情况,得到不低于一个在线业务行为的第三拆解偏移;
结合所述不低于一个在线业务行为的第三扰动偏移、第三全局热点分布偏移和第三拆解偏移的整合结果,得到所述机器学习模型的第二期望偏移。
10.一种网络安全分析系统,其特征在于,包括处理器、网络模块和存储器;所述处理器和所述存储器通过所述网络模块通信,所述处理器从所述存储器中读取计算机程序并运行,以执行权利要求1‑9任一项所述的方法。
说明书 :
一种应用于大数据智能的网络安全分析方法及系统
技术领域
[0001] 本申请实施例涉及大数据和网络安全技术领域,具体涉及一种应用于大数据智能的网络安全分析方法及系统。
背景技术
[0002] 网络安全(Network Stepecurity),指网络系统的软硬件及其数据信息受到安全保护,不因恶意/偶然的问题遭到更改、破坏和泄露,从而保障网络系统的正常可靠运行。随着大数据及互联网及网络技术的飞快发展,网络技术的应用范围日益扩增且应用环境的复杂度与日俱增。同时,网络安全已经成为互联网及网络技术应用所面临的重要问题。与此同时,网络攻击技术也日新月异,使得在大数据场景下的网络安全防护难度激增。
发明内容
[0003] 有鉴于此,本申请实施例提供了一种应用于大数据智能的网络安全分析方法及系统。
[0004] 根据本申请的一方面,提供了一种应用于大数据智能的网络安全分析方法,其包括:确定第一云会话风险检测结果;确定所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果,所述指示型会话风险检测结果携带所述第一云会话风险检测结果中的目标云服务互动事件的指示型大数据;通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果。如此设计,可以实现通过指示型会话风险检测结果启用第一云会话风险检测结果的衍生处理,即便第一云会话风险检测结果存在一部分信息缺失,鉴于综合了指示型会话风险检测结果,同样能够得到尽可能完整丰富的衍生风险检测结果,保障了衍生处理的质量,以便尽可能地挖掘潜在的、隐藏的会话风险,这样能够确保云会话风险检测的可信度,从而为网络安全防护提供坚实的分析依据和决策依据。
[0005] 在一些可能的设计思路下,所述确定所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果,包括:确定所述第一云会话风险检测结果的会话风险分布;通过所述第一云会话风险检测结果的会话风险分布确定与所述目标云服务互动事件的不低于一个目标在线业务行为绑定的指示型会话风险检测结果。如此设计,可以根据不同的会话风险分布得到不同目标在线业务行为指示型会话风险检测结果,而且基于会话风险分布能够提供可信度更高的指示型会话风险检测结果。
[0006] 在一些可能的设计思路下,所述通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果,包括:结合所述第一云会话风险检测结果中所述目标云服务互动事件的当前网络状态,对所述不低于一个指示型会话风险检测结果启用转化处理,得到所述当前网络状态下与所述指示型会话风险检测结果对应的映射会话风险检测结果;通过所述不低于一个指示型会话风险检测结果中与所述目标云服务互动事件绑定的不低于一个目标在线业务行为,从所述指示型会话风险检测结果对应的映射会话风险检测结果中确定所述不低于一个目标在线业务行为的局部会话风险检测结果;基于确定的所述局部会话风险检测结果和所述第一云会话风险检测结果得到所述衍生风险检测结果。如此设计,可以根据第一云会话风险检测结果中目标云服务互动事件的网络状态调整指示型会话风险检测结果中云服务互动事件的网络状态,从而使得指示型会话风险检测结果内与目标云服务互动事件绑定的在线业务行为可以调节成目标云服务互动事件的网络状态,在启用衍生处理时,能够提高衍生处理的效率。
[0007] 在一些可能的设计思路下,所述基于确定的所述局部会话风险检测结果和所述第一云会话风险检测结果得到所述衍生风险检测结果,包括:结合确定的所述局部会话风险检测结果变更所述第一云会话风险检测结果中与所述局部会话风险检测结果中目标在线业务行为对应的在线业务行为,得到所述衍生风险检测结果,或者对所述局部会话风险检测结果和所述第一云会话风险检测结果进行潜在特征挖掘操作,得到所述衍生风险检测结果。如此设计,能够提供不同的衍生处理策略,进而能够保障衍生处理的质量。
[0008] 在一些可能的设计思路下,所述通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果,包括:对所述第一云会话风险检测结果启用热点风险检测衍生操作,得到第二云会话风险检测结果,所述第二云会话风险检测结果的特征识别度大于所述第一云会话风险检测结果的特征识别度;结合所述第二云会话风险检测结果中所述目标云服务互动事件的当前网络状态,对所述不低于一个指示型会话风险检测结果启用转化处理,得到所述当前网络状态下与所述指示型会话风险检测结果对应的映射会话风险检测结果;通过所述不低于一个指示型会话风险检测结果中与所述云服务互动事件绑定的不低于一个目标在线业务行为,从所述指示型会话风险检测结果对应的映射会话风险检测结果中确定所述不低于一个目标在线业务行为的局部会话风险检测结果;基于确定的所述局部会话风险检测结果和所述第二云会话风险检测结果得到所述衍生风险检测结果。如此设计,可以通过热点风险检测衍生操作提高第一云会话风险检测结果的精度,得到第二云会话风险检测结果,再根据第二云会话风险检测结果启用指示型会话风险检测结果的转化调整,由于第二云会话风险检测结果的特征识别度大于第一云会话风险检测结果,在启用转化处理以及后续的衍生处理时,可以进一步提高衍生风险检测结果的精度。
[0009] 在一些可能的设计思路下,所述基于确定的所述局部会话风险检测结果和所述第二云会话风险检测结果得到所述衍生风险检测结果,包括:结合确定的所述局部会话风险检测结果变更所述第二云会话风险检测结果中与所述局部会话风险检测结果中目标在线业务行为对应的在线业务行为,得到所述衍生风险检测结果,或者通过所述局部会话风险检测结果和所述第二云会话风险检测结果进行潜在特征挖掘操作,得到所述衍生风险检测结果。如此设计,能够提供不同的衍生处理策略,进而能够保障衍生处理的质量。
[0010] 在一些可能的设计思路下,所述方法还包括:结合所述衍生风险检测结果启用认证权限解析,确定与所述云服务互动事件绑定的认证权限信息。如此设计,由于衍生风险检测结果与第一云会话风险检测结果相比,能够显著提高精度以及具有多维度的局部信息,基于衍生风险检测结果启用认证权限解析,能够及时准确地得到解析结果。
[0011] 在一些可能的设计思路下,通过第一机器学习模型启用所述对所述第一云会话风险检测结果启用热点风险检测衍生操作,得到所述第二云会话风险检测结果,所述方法还包括调试所述第一机器学习模型的步骤,其包括:确定第一调试型会话风险检测结果集,所述第一调试型会话风险检测结果集涵盖多个第一调试型会话风险检测结果,以及与所述第一调试型会话风险检测结果对应的第一注释信息;将所述第一调试型会话风险检测结果集中的不低于一个第一调试型会话风险检测结果传入到所述第一机器学习模型启用所述热点风险检测衍生操作,得到所述第一调试型会话风险检测结果对应的测试型热点风险检测结果;将所述测试型热点风险检测结果分别传入到第一检测扰动层、第一描述解析层以及第一检测结果拆解层,得到针对所述测试型热点风险检测结果的区分情况、描述解析情况以及检测结果拆解情况;依据所述测试型热点风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到第一模型期望偏移,通过所述第一模型期望偏移反馈优化所述第一机器学习模型的模型变量,直到符合第一调试指标。如此设计,可以基于检测扰动层、描述解析层以及检测结果拆解层协助调试第一机器学习模型,在提高机器学习模型精度的基础上,还能够实现第一机器学习模型对云会话风险检测结果的各局部信息的准确解析。
[0012] 在一些可能的设计思路下,所述依据所述第一调试型会话风险检测结果对应的测试型热点风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到第一模型期望偏移,包括:通过所述第一调试型会话风险检测结果对应的测试型热点风险检测结果和所述第一注释信息中与所述第一调试型会话风险检测结果对应的第一基础云会话风险检测结果,确定第一风险内容偏移;通过所述测试型热点风险检测结果的区分情况,以及所述第一检测扰动层对所述第一基础云会话风险检测结果的区分情况,得到第一扰动偏移;通过所述测试型热点风险检测结果和所述第一基础云会话风险检测结果的回归操作,确定第一置信度偏移;通过所述测试型热点风险检测结果的描述解析情况和所述第一注释信息中的第一基础标签,得到第一全局热点分布偏移;通过所述测试型热点风险检测结果的检测结果拆解情况和所述第一注释信息中与第一调试范例对应的第一基础拆解情况,得到第一拆解偏移;结合所述第一扰动偏移、第一风险内容偏移、第一置信度偏移、第一全局热点分布偏移和第一拆解偏移的整合结果,得到所述第一模型期望偏移。如此设计,由于提供了不同程度的偏移,通过各偏移可以提高机器学习模型的性能评价。
[0013] 在一些可能的设计思路下,通过第二机器学习模型启用所述监督衍生处理,得到所述衍生风险检测结果,所述方法还包括调试所述第二机器学习模型的步骤,其包括:确定第二调试型会话风险检测结果集,所述第二调试型会话风险检测结果集包括第二调试型会话风险检测结果、所述第二调试型会话风险检测结果对应的指示型调试型会话风险检测结果和第二注释信息;结合所述第二调试型会话风险检测结果对所述指示型调试型会话风险检测结果进行转化处理得到调试映射会话风险检测结果,并将所述调试映射会话风险检测结果和所述第二调试型会话风险检测结果传入到所述第二机器学习模型,对所述第二调试型会话风险检测结果启用监督衍生处理,得到所述第二调试型会话风险检测结果的测试型衍生风险检测结果;将所述测试型衍生风险检测结果分别传入到第二检测扰动层、第二描述解析层以及第二检测结果拆解层,得到针对所述测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况;依据所述测试型衍生风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到所述第二机器学习模型的第二模型期望偏移,并通过所述第二模型期望偏移反馈优化所述第二机器学习模型的模型变量,直到符合第二调试指标。如此设计,可以基于检测扰动层、描述解析层以及检测结果拆解层协助调试第二机器学习模型,在提高机器学习模型精度的基础上,还能够实现第二机器学习模型对云会话风险检测结果的各局部信息的准确解析。
[0014] 在一些可能的设计思路下,所述依据所述调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到所述第二机器学习模型的第二模型期望偏移,包括:通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况得到第一期望偏移和第二期望偏移;通过所述第一期望偏移和第二期望偏移的整合结果得到所述第二模型期望偏移。如此设计,由于提供了不同程度的偏移,通过各偏移可以提高机器学习模型的性能评价。
[0015] 在一些可能的设计思路下,通过所述调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况得到第一期望偏移,包括:通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果和所述第二注释信息中与所述第二调试型会话风险检测结果对应的第二基础云会话风险检测结果,确定第二风险内容偏移;通过所述测试型衍生风险检测结果的区分情况,以及所述第二检测扰动层对所述第二基础云会话风险检测结果的区分情况,得到第二扰动偏移;通过所述测试型衍生风险检测结果和所述第二基础云会话风险检测结果的回归操作,确定第二置信度偏移;通过所述测试型衍生风险检测结果的描述解析情况和所述第二注释信息中的第二基础标签,得到第二全局热点分布偏移;通过所述测试型衍生风险检测结果的检测结果拆解情况和所述第二注释信息中的第二基础拆解情况,得到第二拆解偏移;结合所述第二扰动偏移、第二风险内容偏移、第二置信度偏移、第二全局热点分布偏移和第二拆解偏移的整合结果,得到所述第一期望偏移。如此设计,由于提供了不同程度的偏移,通过各偏移可以提高机器学习模型的性能评价。
[0016] 在一些可能的设计思路下,通过所述调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况得到第二期望偏移,包括:确定所述测试型衍生风险检测结果中不低于一个在线业务行为的在线业务行为局部会话风险检测结果,将不低于一个在线业务行为的在线业务行为局部会话风险检测结果分别传入到检测扰动层、描述解析层以及检测结果拆解层,得到所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况、描述解析情况以及检测结果拆解情况;
通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,以及所述第二检测扰动层对所述第二基础云会话风险检测结果中所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,确定所述不低于一个在线业务行为的第三扰动偏移;通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的描述解析情况和所述第二注释信息中所述不低于一个在线业务行为的基础标签,得到不低于一个在线业务行为的第三全局热点分布偏移;通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的检测结果拆解情况和所述第二注释信息中所述不低于一个在线业务行为的基础拆解情况,得到不低于一个在线业务行为的第三拆解偏移;结合所述不低于一个在线业务行为的第三扰动偏移、第三全局热点分布偏移和第三拆解偏移的整合结果,得到所述机器学习模型的第二期望偏移。如此设计,可以基于各在线业务行为的特征偏移,进一步提高机器学习模型的性能评价。
通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,以及所述第二检测扰动层对所述第二基础云会话风险检测结果中所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,确定所述不低于一个在线业务行为的第三扰动偏移;通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的描述解析情况和所述第二注释信息中所述不低于一个在线业务行为的基础标签,得到不低于一个在线业务行为的第三全局热点分布偏移;通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的检测结果拆解情况和所述第二注释信息中所述不低于一个在线业务行为的基础拆解情况,得到不低于一个在线业务行为的第三拆解偏移;结合所述不低于一个在线业务行为的第三扰动偏移、第三全局热点分布偏移和第三拆解偏移的整合结果,得到所述机器学习模型的第二期望偏移。如此设计,可以基于各在线业务行为的特征偏移,进一步提高机器学习模型的性能评价。
[0017] 根据本申请的另一方面,还提供了一种网络安全分析系统,包括处理器、网络模块和存储器;所述处理器和所述存储器通过所述网络模块通信,所述处理器从所述存储器中读取计算机程序并运行,以执行上述的方法。
[0018] 相较于现有技术,本申请实施例提供的一种应用于大数据智能的网络安全分析方法及系统具有以下技术效果:可以结合不低于一个指示型会话风险检测结果启用第一云会话风险检测结果的衍生处理,由于指示型会话风险检测结果中包括第一云会话风险检测结果的局部描述信息,得到的衍生风险检测结果相对于第一云会话风险检测结果提高了精准度,即便在第一云会话风险检测结果存在一部分信息缺失,也能通过综合指示型会话风险检测结果,生成精准的衍生风险检测结果,换言之,本申请能够结合多个指示型会话风险检测结果快捷地启用云会话风险检测结果的衍生处理得到质量较高的云会话风险检测结果。
附图说明
[0019] 图1为本申请实施例所提供的一种应用于大数据智能的网络安全分析方法的流程图。
具体实施方式
[0020] 本申请实施例中的网络安全分析系统10可以为具有数据存储、传输、处理功能的服务端,如图1所示,网络安全分析系统10包括:存储器11、处理器12、网络模块13和应用于大数据智能的网络安全分析装置20。
[0021] 存储器11、处理器12和网络模块13之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有应用于大数据智能的网络安全分析装置20,所述应用于大数据智能的网络安全分析装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器11中的软件功能模块,所述处理器12通过运行存储在存储器11内的软件程序以及模块,例如本申请实施例中的应用于大数据智能的网络安全分析装置20,从而执行各种功能应用以及数据处理,即实现本申请实施例中的应用于大数据智能的网络安全分析方法。
[0022] 其中,所述存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read‑Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read‑Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read‑Only Memory,EEPROM)等。其中,存储器11用于存储程序,所述处理器12在接收到执行指令后,执行所述程序。
[0023] 所述处理器12可能是一种集成电路芯片,具有数据的处理能力。上述的处理器12可以是通用处理器,包括中央处理器 (Central Processing Unit,CPU)、网络处理器 (Network Processor,NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0024] 网络模块13用于通过网络建立网络安全分析系统10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
[0025] 可以理解,图1所示的结构仅为示意,网络安全分析系统10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
[0026] 本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
[0027] 图1示出了本申请实施例所提供的一种应用于大数据智能的网络安全分析方法的流程图。所述方法有关的流程所定义的方法步骤应用于网络安全分析系统10,可以由所述处理器12实现,所述方法包括以下Step10‑Step30所记录的技术方案。
[0028] Step10、确定第一云会话风险检测结果。
[0029] 在本申请实施例中,第一云会话风险检测结果可以理解为待处理的云会话风险检测结果,首先可以获得待处理的云会话风险检测结果对应的云服务互动事件,即第一云会话风险检测结果,本申请实施例中的第一云会话风险检测结果可以为特征识别度相对较低,云会话风险检测结果质量次之的云会话风险检测结果,通过本申请实施例的方法可以提高第一云会话风险检测结果的特征识别度,得到精准的衍生风险检测结果。此外,第一云会话风险检测结果中可以包括目标类别的目标云服务互动事件,比如:本申请实施例中的目标云服务互动事件可以为政企云服务互动事件,即通过本申请实施例可以实现政企云会话风险检测结果的衍生处理,从而能够便于的解析出第一云会话风险检测结果中的网络安全威胁。
[0030] Step20、确定所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果,所述指示型会话风险检测结果携带所述第一云会话风险检测结果中的目标云服务互动事件的指示型大数据。
[0031] 在本申请实施例中,第一云会话风险检测结果可以设置有相应的不低于一个指示型会话风险检测结果。指示型会话风险检测结果中携带所述第一云会话风险检测结果中的目标云服务互动事件的指示型大数据(指引信息或者提示信息),比如:可以包括目标云服务互动事件的不低于一个目标在线业务行为的指示型大数据。如在目标云服务互动事件为政企事件时,指示型会话风险检测结果可以包括与目标云服务互动事件的认证权限绑定的网络威胁的不低于一个在线业务行为的云会话风险检测结果,本申请对此不进行进一步限制,若可以用于衍生第一云会话风险检测结果,便能够作为本申请实施例的指示型会话风险检测结果。此外,本申请实施例中的指示型会话风险检测结果为特征识别度较高的云会话风险检测结果,从而可以提高衍生风险检测结果的精度和准确度。
[0032] 在一些可能的实施例中,可以直接从第三方接收与第一云会话风险检测结果绑定的指示型会话风险检测结果,也可以根据获得的关于目标云服务互动事件的会话风险分布得到指示型会话风险检测结果。其中,会话风险分布可以包括目标云服务互动事件的不低于一组显著性内容,如在目标云服务互动事件为政企云服务互动事件时,会话风险分布可以包括:关于政企云服务互动事件的不低于一组目标在线业务行为的显著性内容(可以理解为特征信息),或者会话风险分布也可以直接包括第一云会话风险检测结果中的目标云服务互动事件的全局会话风险分布,比如该目标云服务互动事件为某一已知认证权限的云服务互动事件的会话风险分布。通过会话风险分布可以确定第一云会话风险检测结果的目标云服务互动事件的不低于一个目标在线业务行为的类似云会话风险检测结果或者确定包括与第一云会话风险检测结果中的云服务互动事件相同的云服务互动事件的云会话风险检测结果,该得到的各类似云会话风险检测结果或者包括相同云服务互动事件的云会话风险检测结果可以作为指示型会话风险检测结果。
[0033] Step30、通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果。
[0034] 在本申请实施例中,在得到第一云会话风险检测结果对应的不低于一个指示型会话风险检测结果之后,可以结合得到的不低于一个云会话风险检测结果启用第一云会话风险检测结果的衍生处理。由于指示型会话风险检测结果中包括第一云会话风险检测结果中目标云服务互动事件的不低于一个目标在线业务行为的指示型大数据(可以理解为引导信息),可以根据该指示型大数据监督衍生处理第一云会话风险检测结果。而且即便第一云会话风险检测结果为存在一定信息缺陷的云会话风险检测结果的前提下,也能够结合指示型大数据衍生出更加精准的衍生风险检测结果。(其中,针对风险检测结果的衍生可以理解为针对风险衍生结果的扩展或者丰富)
[0035] 在一些可能的设计思路下,可以直接将相应目标在线业务行为的指示型会话风险检测结果变更到第一云会话风险检测结果中,得到衍生风险检测结果。比如,在指示型会话风险检测结果包括资质办理分支的指示型会话风险检测结果时,可以将该资质办理分支的指示型会话风险检测结果变更到第一云会话风险检测结果中,在指示型会话风险检测结果包括资质办理分支的指示型会话风险检测结果时,可以将该资质办理分支的指示型会话风险检测结果变更到第一云会话风险检测结果。依据该方法可以直接将对应的指示型会话风险检测结果变更到第一云会话风险检测结果中,完成云会话风险检测结果的衍生处理。能够便于的将多个指示型会话风险检测结果的指示型大数据统计到第一云会话风险检测结果中,实现第一云会话风险检测结果的衍生处理,由于指示型会话风险检测结果为质量较高的云会话风险检测结果,得到的衍生风险检测结果也为质量较高的云会话风险检测结果。
[0036] 在一些可能的设计思路下,也可以基于指示型会话风险检测结果和第一云会话风险检测结果的潜在特征挖掘操作得到衍生风险检测结果。
[0037] 在一些可能的设计思路下,由于得到的第一云会话风险检测结果中的目标云服务互动事件的指示型会话风险检测结果的云服务互动事件的网络状态与第一云会话风险检测结果中目标云服务互动事件的网络状态可能会存在差异,此时需要将各指示型会话风险检测结果与第一云会话风险检测结果进行配对。即将指示型会话风险检测结果中云服务互动事件的网络状态调节成与第一云会话风险检测结果中目标云服务互动事件的网络状态一致,而后结合调整网络状态后的指示型会话风险检测结果启用第一云会话风险检测结果的衍生处理,通过该过程能够提高得到的衍生风险检测结果的准确度。
[0038] 如此,本申请实施例可以快捷地基于第一云会话风险检测结果的不低于一个指示型会话风险检测结果实现第一云会话风险检测结果的衍生处理,得到的衍生风险检测结果能够统计到各指示型会话风险检测结果的指示型大数据,同时在一定程度上能够提高质量。
[0039] 可以理解的是,通过如下内容对本申请实施例的各实施步骤进行详细说明。
[0040] 对于一种可独立实施的实施例而言,Step20所记录的确定所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果,示例性的可以包括Step21和Step22所描述的内容。
[0041] Step21、确定所述第一云会话风险检测结果的会话风险分布。
[0042] 在本申请实施例中,第一云会话风险检测结果的会话风险分布可以包括第一云会话风险检测结果中的目标云服务互动事件的不低于一个目标在线业务行为的显著性内容(或者特征会话风险分布,特征图)。比如:在目标云服务互动事件为政企服务互动事件的前提下,会话风险分布可以包括:目标云服务互动事件的不低于一组目标在线业务行为的显著性内容。或者,会话风险分布也可以包括第一云会话风险检测结果中的云服务互动事件的认证权限信息,认证权限信息可以包括用于确定云服务互动事件的认证权限的信息。上述仅为示例性的说明会话风险分布,不作为本申请会话风险分布的限定,其他与云服务互动事件相关的信息都可以作为会话风险分布。
[0043] 在一些可能的设计思路下,确定会话风险分布的方法可以包括如下方法中的不少于一种:接收第三方输入的会话风险分布和/或接收具有注解信息的云会话风险检测结果(注解信息所注解的部分为与第一云会话风险检测结果中的目标云服务互动事件相绑定的目标在线业务行为)。在另外的实施例中也可以通过其他方式接收会话风险分布,本申请对此不进行进一步限制。
[0044] Step22、通过所述第一云会话风险检测结果的会话风险分布确定与所述云服务互动事件的不低于一个目标在线业务行为绑定的指示型会话风险检测结果。
[0045] 在本申请实施例中,在得到会话风险分布之后,便能够根据会话风险分布确定与第一云会话风险检测结果中的云服务互动事件绑定的指示型会话风险检测结果。其中,在会话风险分布携带所述云服务互动事件的不低于一个目标在线业务行为的会话风险分布时,可以基于各目标在线业务行为的会话风险分布确定相绑定的指示型会话风险检测结果。其中,信息集合中可以包括多种云服务互动事件的不低于一个云会话风险检测结果,从而能够便于基于会话风险分布确定相应的指示型会话风险检测结果。
[0046] 在一些可能的设计思路下,会话风险分布中也可以包括关于第一云会话风险检测结果中的云服务互动事件event_1的认证权限信息,此时可以基于该认证权限信息从信息集合中挑选出与该认证权限信息绑定的云会话风险检测结果作为指示型会话风险检测结果。
[0047] 如此一来,可以基于会话风险分布确定出与第一云会话风险检测结果中的云服务互动事件的不低于一个目标在线业务行为相绑定的指示型会话风险检测结果,结合指示型会话风险检测结果对云会话风险检测结果进行衍生处理可以提高确定的云会话风险检测结果的精确度。
[0048] 可以理解的是,在得到指示型会话风险检测结果之后,可以根据指示型会话风险检测结果启用云会话风险检测结果的衍生处理过程,除了可以将指示型会话风险检测结果直接变更到第一云会话风险检测结果的相应目标在线业务行为之外,本申请实施例还可以在对指示型会话风险检测结果启用转化处理之后,在启用变更或者翻转处理,进而得到衍生风险检测结果。
[0049] 对于一种可独立实施的实施例而言,Step30所记录的所述通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果,示例性的可以包括Step31‑Step33所记录的内容。
[0050] Step31、结合所述第一云会话风险检测结果中所述目标云服务互动事件的当前网络状态,对所述不低于一个指示型会话风险检测结果启用转化处理,得到所述当前网络状态下与所述指示型会话风险检测结果对应的映射会话风险检测结果。
[0051] 在本申请实施例中,由于得到的关于第一云会话风险检测结果中的云服务互动事件的指示型会话风险检测结果的云服务互动事件的网络状态与第一云会话风险检测结果中云服务互动事件的网络状态可能会存在差异,此时需要将各指示型会话风险检测结果与第一云会话风险检测结果进行配对,即便得指示型会话风险检测结果中的云服务互动事件的网络状态与第一云会话风险检测结果中的目标云服务互动事件的网络状态相同。
[0052] 本申请实施例可以结合转化处理的方法,对指示型会话风险检测结果启用转化处理,转化处理后的指示型会话风险检测结果(可以理解为映射会话风险检测结果)中的云服务互动事件的网络状态与第一云会话风险检测结果中的目标云服务互动事件的网络状态相同。
[0053] 如此,可以得到与第一云会话风险检测结果中的网络状态相同的不低于一个映射会话风险检测结果(每个指示型会话风险检测结果在通过映射处理后得到一个映射会话风险检测结果),实现映射会话风险检测结果与第一云会话风险检测结果的配对。
[0054] Step32、通过所述不低于一个指示型会话风险检测结果中与所述目标云服务互动事件绑定的不低于一个目标在线业务行为,从指示型会话风险检测结果对应的的映射会话风险检测结果中确定所述不低于一个目标在线业务行为的局部会话风险检测结果;
[0055] 在本申请实施例中,由于得到的指示型会话风险检测结果为与第一云会话风险检测结果中的不低于一个目标在线业务行为绑定的云会话风险检测结果,在通过转化处理得到与各指示型会话风险检测结果对应的映射会话风险检测结果之后,可以基于每个指示型会话风险检测结果对应的指示型在线业务行为(与云服务互动事件所绑定的目标在线业务行为),从映射会话风险检测结果中确定该指示型在线业务行为的局部会话风险检测结果,从映射会话风险检测结果中拆分出与第一云会话风险检测结果中的云服务互动事件绑定的目标在线业务行为的局部会话风险检测结果。比如,在一指示型会话风险检测结果中与云服务互动事件所绑定的目标在线业务行为为图文验证时,可以从该指示型会话风险检测结果对应的映射会话风险检测结果中确定出图文验证在线业务行为的局部会话风险检测结果。如此一来能够得到与第一云会话风险检测结果中云服务互动事件的不低于一个在线业务行为绑定的局部会话风险检测结果。
[0056] Step33、基于确定的所述局部会话风险检测结果和所述第一云会话风险检测结果得到所述衍生风险检测结果。
[0057] 在本申请实施例中,在得到目标云服务互动事件的不低于一个目标在线业务行为的局部会话风险检测结果之后,可以结合得到的局部会话风险检测结果和第一云会话风险检测结果进行云会话风险检测结果的衍生处理,得到衍生风险检测结果。
[0058] 在一些可能的设计思路下,由于每个局部会话风险检测结果可以与第一云会话风险检测结果的云服务互动事件中的不低于一个目标在线业务行为相绑定,可以将局部会话风险检测结果中相绑定的在线业务行为的云会话风险检测结果变更到第一云会话风险检测结果中的相应在线业务行为,比如,在局部会话风险检测结果的图文验证与云服务互动事件相绑定时,可以将局部会话风险检测结果中的图文验证的云会话风险检测结果集变更到第一云会话风险检测结果中的图文验证在线业务行为,在局部会话风险检测结果的密码验证与云服务互动事件相绑定时,可以将局部会话风险检测结果中的密码验证的云会话风险检测结果集变更到第一云会话风险检测结果中的图文验证在线业务行为,基于类似思路可以结合确定的局部会话风险检测结果中与云服务互动事件相绑定的在线业务行为的云会话风险检测结果变更第一云会话风险检测结果中的相应在线业务行为,最后可以得到衍生风险检测结果。
[0059] 或者,在一些可能的设计思路下,也可以通过所述局部会话风险检测结果和所述第一云会话风险检测结果的潜在特征挖掘操作,得到所述衍生风险检测结果。
[0060] 可以理解,可以将各局部会话风险检测结果与第一云会话风险检测结果传入到RNN,启用至少一次潜在特征挖掘操作,实现云会话风险检测结果特征整合,最后得到整合描述内容,基于该整合描述内容可以得到整合描述内容对应的衍生风险检测结果。如此,可以实现第一云会话风险检测结果的特征识别度的提高,同时得到精准的衍生风险检测结果。
[0061] 在本申请的另一些实施例中,为了进一步提高衍生风险检测结果的云会话风险检测结果精度和质量,也可以对第一云会话风险检测结果进行热点风险检测衍生操作,得到比第一云会话风险检测结果的特征识别度高的第二云会话风险检测结果,并结合第二云会话风险检测结果启用云会话风险检测结果进行衍生处理得到衍生风险检测结果。
[0062] 基于此,Step30所记录的所述通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果,示例性的还可以包括Step301‑Step304所描述的内容。
[0063] Step301、对所述第一云会话风险检测结果启用热点风险检测衍生操作,得到第二云会话风险检测结果,所述第二云会话风险检测结果的特征识别度大于所述第一云会话风险检测结果的特征识别度。
[0064] 在本申请实施例中,在得到第一云会话风险检测结果的前提下,可以对第一云会话风险检测结果启用热点风险检测衍生操作,得到云会话风险检测结果的特征识别度较高第二云会话风险检测结果。热点风险检测衍生操作可以通过特征识别度相对较低的云会话风险检测结果或云会话风险检测结果集衍生出特征识别度较高的云会话风险检测结果。特征识别度较高的云会话风险检测结果表征云会话风险检测结果具有更多的局部描述信息、更精准的检测标签。
[0065] 可以理解,启用所述热点风险检测衍生操作可以包括:对第一云会话风险检测结果启用上采样处理,提高云会话风险检测结果的准确度,对上采样得到的云会话风险检测结果启用至少一次潜在特征挖掘操作(可以理解为滑动平均处理),得到热点风险检测衍生操作后的云会话风险检测结果,即第二云会话风险检测结果。
[0066] Step302、结合所述第二云会话风险检测结果中所述目标云服务互动事件的当前网络状态,对所述不低于一个指示型会话风险检测结果启用转化处理,得到所述当前网络状态下与所述指示型会话风险检测结果对应的映射会话风险检测结果。
[0067] 在本申请实施例中,同步Step31,由于第二云会话风险检测结果为相对于第一云会话风险检测结果提高了特征识别度的云会话风险检测结果,第二云会话风险检测结果中的目标云服务互动事件的网络状态与指示型会话风险检测结果的网络状态也可能会存在差异,在启用衍生处理之前可以根据第二云会话风险检测结果中的目标云服务互动事件的网络状态对指示型会话风险检测结果进行转化调整,得到与第二云会话风险检测结果中目标云服务互动事件的网络状态相同的映射会话风险检测结果。
[0068] Step303、通过所述不低于一个指示型会话风险检测结果中与所述云服务互动事件绑定的不低于一个目标在线业务行为,从所述指示型会话风险检测结果对应的映射会话风险检测结果中确定所述不低于一个目标在线业务行为的局部会话风险检测结果。
[0069] 在本申请实施例中,同Step32,由于得到的指示型会话风险检测结果为与第二云会话风险检测结果中的不低于一个目标在线业务行为绑定的云会话风险检测结果,在经过转化处理得到与各指示型会话风险检测结果对应的映射会话风险检测结果之后,可以基于每个指示型会话风险检测结果对应的指示型在线业务行为(与云服务互动事件所绑定的目标在线业务行为),从映射会话风险检测结果中确定该指示型在线业务行为的局部会话风险检测结果,即从映射会话风险检测结果中拆分出与第一云会话风险检测结果中的云服务互动事件绑定的目标在线业务行为的局部会话风险检测结果。
[0070] Step304、基于确定的所述局部会话风险检测结果和所述第二云会话风险检测结果得到所述衍生风险检测结果。
[0071] 在本申请实施例中,在得到目标云服务互动事件的不低于一个目标在线业务行为的局部会话风险检测结果之后,可以结合得到的局部会话风险检测结果和第二云会话风险检测结果进行云会话风险检测结果衍生处理,得到衍生风险检测结果。
[0072] 在一些可能的设计思路下,由于每个局部会话风险检测结果可以与第二云会话风险检测结果的云服务互动事件中的不低于一个目标在线业务行为相绑定,可以将局部会话风险检测结果中相绑定的在线业务行为的云会话风险检测结果变更到第二云会话风险检测结果中的相应在线业务行为,比如,在局部会话风险检测结果的图文验证与云服务互动事件相绑定时,可以将局部会话风险检测结果中的图文验证的云会话风险检测结果集变更到第一云会话风险检测结果中的图文验证在线业务行为,在局部会话风险检测结果的密码验证与云服务互动事件相绑定时,可以将局部会话风险检测结果中的密码验证的云会话风险检测结果集变更到第二云会话风险检测结果中的图文验证在线业务行为,基于类似思路可以结合确定的局部会话风险检测结果中与云服务互动事件相绑定的在线业务行为的云会话风险检测结果变更第二云会话风险检测结果中的相应在线业务行为,最后可以得到衍生风险检测结果。
[0073] 或者,在一些可能的设计思路下,也可以通过所述局部会话风险检测结果和所述第二云会话风险检测结果的潜在特征挖掘操作,得到所述衍生风险检测结果。其中,可以将各局部会话风险检测结果与第二云会话风险检测结果传入到RNN,启用至少一次潜在特征挖掘操作,实现云会话风险检测结果特征整合,最后得到整合描述内容,基于该整合描述内容便能够得到整合描述内容对应的衍生风险检测结果。如此,可以通过热点风险检测衍生操作进一步实现第一云会话风险检测结果的特征识别度的提高,同时得到更加精准的衍生风险检测结果。
[0074] 在本申请实施例中,在得到第一云会话风险检测结果的衍生风险检测结果之后,还可以结合该衍生风险检测结果启用云会话风险检测结果中的云服务互动事件的认证权限解析。其中,在认证权限信息集合中可以涵盖多个云服务互动事件的认证权限信息,由于衍生风险检测结果的特征识别度和质量等质量较高,得到的认证权限信息的准确度也相对的提高。
[0075] 对于一种可独立实施的实施例而言,可以确定第一云会话风险检测结果result1,该第一云会话风险检测结果result1的特征识别度较低,将该第一云会话风险检测结果result1传入到机器学习模型network_A中启用热点风险检测衍生操作,得到第二云会话风险检测结果result2。在得到第二云会话风险检测结果result2之后,可以基于该第二云会话风险检测结果实现云会话风险检测结果的衍生处理。其中可以获得第一云会话风险检测结果的指示型会话风险检测结果result3,如可以基于第一云会话风险检测结果result1的会话风险分布得到各指示型会话风险检测结果result3,根据第二云会话风险检测结果result2中的云服务互动事件的网络状态对指示型会话风险检测结果result3启用转化处理得到各映射会话风险检测结果result4。进而可以根据指示型会话风险检测结果对应的在线业务行为从映射会话风险检测结果中确定出相应在线业务行为的局部会话风险检测结果result5。
[0076] 进一步地,根据各局部会话风险检测结果result5和第二云会话风险检测结果result2得到衍生风险检测结果,其中可以对局部会话风险检测结果result5和第二云会话风险检测结果result2启用潜在特征挖掘操作,得到整合描述内容,基于该整合描述内容得到最后的衍生风险检测结果result6。
[0077] 对于一种可独立实施的实施例而言,调试机器学习模型的过程示例性的可以包括Step51‑Step54所描述的内容。
[0078] Step51、确定第一调试型会话风险检测结果集,所述第一调试型会话风险检测结果集涵盖多个第一调试型会话风险检测结果,以及与所述第一调试型会话风险检测结果对应的第一注释信息。
[0079] 在一些可能的设计思路下,调试型会话风险检测结果集可以涵盖多个第一调试型会话风险检测结果,该多个第一调试型会话风险检测结果可以为特征识别度较低的云会话风险检测结果。相应的,第一调试型会话风险检测结果集还可以包括与各第一调试型会话风险检测结果对应的注释信息(可以理解为监督信息),本申请实施例的第一注释信息可以根据代价的模型变量确定。比如:可以包括与第一调试型会话风险检测结果对应的第一基础云会话风险检测结果(质量较高的云会话风险检测结果,或者标准云会话风险检测结果)、第一基础云会话风险检测结果的第一基础标签(标准特征)。
[0080] Step52、将所述第一调试型会话风险检测结果集中的不低于一个第一调试型会话风险检测结果传入到所述第一机器学习模型启用所述热点风险检测衍生操作,得到所述第一调试型会话风险检测结果对应的测试型热点风险检测结果。
[0081] 在本申请实施例中,在调试第一机器学习模型时,可以将第一调试型会话风险检测结果集中的云会话风险检测结果一起传入到第一机器学习模型,或者逐一传入到第一机器学习模型,分别得到各第一调试型会话风险检测结果对应的热点风险检测衍生操作后的测试型热点风险检测结果。
[0082] Step53、将所述测试型热点风险检测结果输入分别传入到第一检测扰动层、第一描述解析层以及第一检测结果拆解层,得到针对所述第一调试型会话风险检测结果对应的测试型热点风险检测结果的区分情况、描述解析情况以及检测结果拆解情况。
[0083] 在本申请实施例中,可以结合检测扰动层(对抗神经网络)、描述解析层(特征提取网络)以及检测结果拆解层(分割网络)实现第一机器学习模型调试。其中信息导出层(生成器)相当于本申请实施例的第一机器学习模型中。下面以该信息导出层为启用热点风险检测衍生操作的网络部分的第一机器学习模型为例进行说明。
[0084] 将信息导出层输出的测试型热点风险检测结果传入到检测扰动层、描述解析层以及检测结果拆解层,得到针对所述调试型会话风险检测结果对应的测试型热点风险检测结果的区分情况(可以理解为辨别结果)、描述解析情况(可以理解为特征识别结果)以及检测结果拆解情况。其中区分情况表示第一检测扰动层能否解析出测试型热点风险检测结果和标记云会话风险检测结果的实际情况,描述解析情况包括显著操作环节的分布解析情况,以及检测结果拆解情况包括云服务互动事件的各在线业务行为所对应的信息标签。
[0085] Step54、依据所述测试型热点风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到第一模型期望偏移,通过所述第一模型期望偏移反馈优化所述第一机器学习模型的模型变量,直到符合第一调试指标。
[0086] 在本申请实施例中,第一调试指标(可以理解为训练要求)为第一模型期望偏移(可以理解为网络损失)小于或者第一偏移量化结果,即在得到的第一模型期望偏移小于第一偏移量化结果时,便能够终止第一机器学习模型的调试,此时得到的机器学习模型具有较高的热点风险检测衍生操作精度。第一偏移量化结果可以为小于1的数值,如可以为0.5,本申请实施例不进行进一步限制。
[0087] 在一些可能的设计思路下,可以根据测试型热点风险检测结果的区分情况得到扰动偏移(可以理解为对抗损失)、可以根据检测结果拆解情况得到拆解偏移(可以理解为拆解损失)、根据得到的描述解析情况得到全局热点分布偏移(可以理解为视觉图损失),以及根据得到的测试型热点风险检测结果得到相应的风险内容偏移(可以理解为风险内容损失)和处理后的置信度偏移(可以理解为权重损失)。
[0088] 在实际实施的过程中,可以通过所述测试型热点风险检测结果的区分情况以及第一检测扰动层对所述第一注释信息中第一基础云会话风险检测结果的区分情况,得到第一扰动偏移。其中,可以结合所述第一调试型会话风险检测结果集中各第一调试型会话风险检测结果对应的测试型热点风险检测结果的区分情况以及第一检测扰动层对第一注释信息中与所述第一调试型会话风险检测结果对应的第一基础云会话风险检测结果的区分情况,确定该第一扰动偏移。
[0089] 此外,通过所述第一调试型会话风险检测结果对应的测试型热点风险检测结果和所述第一注释信息中的与第一调试型会话风险检测结果对应的第一基础云会话风险检测结果,可以确定第一风险内容偏移。此外,通过所述测试型热点风险检测结果和第一基础云会话风险检测结果的回归操作,可以确定第一置信度偏移。通过上述置信度偏移可以得到测试型热点风险检测结果对应的第一置信度偏移。此外,通过所述调试型会话风险检测结果对应的测试型热点风险检测结果的描述解析情况和所述第一注释信息中的第一基础标签,得到第一全局热点分布偏移。此外,通过所述调试型会话风险检测结果对应的测试型热点风险检测结果的检测结果拆解情况和所述第一注释信息中的第一基础拆解情况,得到第一拆解偏移。
[0090] 可以理解的是,上述偏移的具体公式可以依据实际情况进行灵活调整,本申请不作细节型限定和展开。
[0091] 通过上述方式可以得到第一机器学习模型的第一模型期望偏移,在第一模型期望偏移大于第一偏移量化结果时,则确定为不符合第一调试指标,此时可以反向优化第一机器学习模型的模型变量,比如滑动平均模型变量,并通过该调整模型变量的第一机器学习模型继续对调试型会话风险检测结果集启用热点风险检测操作,直至得到的第一模型期望偏移小于或者等于第一偏移量化结果,可以判定为符合第一调试指标,并终止机器学习模型的调试。
[0092] 可以理解的是,上述为第一机器学习模型的调试过程,在本申请实施例中,也可以通过第二机器学习模型启用Step30的云会话风险检测结果衍生处理过程,比如:第二机器学习模型可以为RNN。
[0093] 对于一种可独立实施的实施例而言,调试第二机器学习模型的过程可以包括Step61‑Step64所记录的内容。
[0094] Step61、确定第二调试型会话风险检测结果集,所述第二调试型会话风险检测结果集涵盖多个第二调试型会话风险检测结果、第二调试型会话风险检测结果对应的指示型调试型会话风险检测结果以及第二注释信息。
[0095] 在一些可能的设计思路下,第二调试型会话风险检测结果集中的第二调试型会话风险检测结果可以为上述第一机器学习模型期望形成的测试型热点风险检测结果,或者也可以为通过其他方式得到的特征识别度相对较低的云会话风险检测结果,或者也可以为援用干扰因素后的云会话风险检测结果,本申请对此不进行进一步限制。
[0096] 举例而言,在启用第二机器学习模型的调试时,也可以为每个调试型会话风险检测结果设置不低于一个指示型调试型会话风险检测结果,指示型调试型会话风险检测结果中包括对应的第二调试型会话风险检测结果的指示型大数据,比如:不低于一个在线业务行为的云会话风险检测结果。指示型调试型会话风险检测结果同样为特征识别度较高、精准的云会话风险检测结果。每个第二调试型会话风险检测结果可以包括不同数目的指示型调试型会话风险检测结果,并且各指示型调试型会话风险检测结果对应的指示型在线业务行为也可以不同,本申请对此不进行进一步限制。
[0097] 可以理解,第二注释信息同样也可以根据代价的模型变量确定,其可以包括与第二调试型会话风险检测结果对应的第二基础云会话风险检测结果(精准的云会话风险检测结果)、第二基础云会话风险检测结果的第二基础标签(各显著操作环节的分布的实际解析特征)、第二基础拆解情况(各在线业务行为的实际拆解情况),也可以包括第二基础云会话风险检测结果中各在线业务行为的区分情况(检测扰动层输出的区分情况)、描述解析情况和拆解情况等等,本申请实施例在此不作一一举例说明。其中,在第二调试型会话风险检测结果为第一机器学习模型输出的测试型热点风险检测结果时,第一基础云会话风险检测结果和第二基础云会话风险检测结果相同,第一基础拆解情况和第二基础拆解情况相同,第一基础标签结果和第二基础标签结果相同。
[0098] Step62、结合第二调试型会话风险检测结果对所述指示型调试型会话风险检测结果进行转化处理得到调试映射会话风险检测结果,并将所述调试映射会话风险检测结果和所述第二调试型会话风险检测结果传入到所述第二机器学习模型,对所述第二调试型会话风险检测结果启用监督衍生处理(可以理解为基于标签、指示或者提醒信息的衍生扩展操作),得到所述第二调试型会话风险检测结果的测试型衍生风险检测结果。
[0099] 在本申请实施例中,每个第二调试型会话风险检测结果可以具有对应的不低于一个指示型会话风险检测结果,通过第二调试型会话风险检测结果中的云服务互动事件的网络状态可以对指示型调试型会话风险检测结果启用转化处理,得到不低于一个调试映射会话风险检测结果。可以将第二调试型会话风险检测结果对应的不低于一个调试映射会话风险检测结果以及第二调试型会话风险检测结果传入到第二机器学习模型中,得到相应的测试型衍生风险检测结果。
[0100] Step63、将所述调试型会话风险检测结果对应的测试型衍生风险检测结果分别传入到第二检测扰动层、第二描述解析层以及第二检测结果拆解层,得到针对所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况。
[0101] 在本申请实施例中,可以采用上述所描述的结构调试第二机器学习模型,此时信息导出层可以表示第二机器学习模型,可以将第二调试型会话风险检测结果对应的测试型衍生风险检测结果也分别传入到检测扰动层、描述解析层以及检测结果拆解层,得到针对所述测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况。其中区分情况表示测试型衍生风险检测结果与基础云会话风险检测结果之间的实际情况区分情况,描述解析情况包括测试型衍生风险检测结果中显著操作环节的分布解析情况,以及检测结果拆解情况包括测试型衍生风险检测结果中云服务互动事件的各在线业务行为所对应的信息标签的拆解情况。
[0102] Step64、依据所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况、检测结果拆解情况得到所述第二机器学习模型的第二模型期望偏移,并通过所述第二模型期望偏移反馈优化所述第二机器学习模型的模型变量,直到符合第二调试指标。
[0103] 在一些可能的设计思路下,第二模型期望偏移可以为第一期望偏移和第二期望偏移的整合结果,便能够通过所述调试型会话风险检测结果对应的测试型衍生风险检测结果的区分情况、描述解析情况以及检测结果拆解情况得到第一期望偏移和第二期望偏移,并通过所述第一期望偏移和第二期望偏移的整合结果得到所述第二模型期望偏移。其中,第一期望偏移可以为基于测试型衍生风险检测结果的扰动偏移、风险内容偏移、置信度偏移、拆解偏移、全局热点分布偏移的整合结果。
[0104] 同理,与第一扰动偏移的确定方式相同,结合扰动偏移,可以通过所述检测扰动层对所述测试型衍生风险检测结果的区分情况以及对所述第二注释信息中的第二基础云会话风险检测结果的区分情况,得到第二扰动偏移;与第一风险内容偏移的确定方式相同,结合风险内容偏移,可以通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果和所述第二调试型会话风险检测结果对应的第二基础云会话风险检测结果,确定第二风险内容偏移;与第一置信度偏移的确定方式相同,结合置信度偏移,可以通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果和第二基础云会话风险检测结果的回归操作,确定第二置信度偏移;与第一全局热点分布偏移的确定方式相同,结合全局热点分布偏移,可以通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果的描述解析情况和所述第二注释信息中的第二基础标签,得到第二全局热点分布偏移;与第一拆解偏移的确定方式相同,结合拆解偏移,可以通过所述第二调试型会话风险检测结果对应的测试型衍生风险检测结果的检测结果拆解情况和所述第二注释信息中的第二基础拆解情况,得到第二拆解偏移;结合所述第二扰动偏移、第二风险内容偏移、第二置信度偏移、第二全局热点分布偏移和第二拆解偏移的整合结果,得到所述第一期望偏移。
[0105] 此外,确定第二机器学习模型的第二期望偏移的方法可以包括:确定所述测试型衍生风险检测结果中不低于一个在线业务行为对应的在线业务行为局部会话风险检测结果,将不低于一个在线业务行为的在线业务行为局部会话风险检测结果分别传入到检测扰动层、描述解析层以及检测结果拆解层,得到所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况、描述解析情况以及检测结果拆解情况;通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,以及所述第二检测扰动层对所述第二调试型会话风险检测结果对应的第二基础云会话风险检测结果中所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的区分情况,确定所述不低于一个在线业务行为的第三扰动偏移;通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的描述解析情况和所述第二注释信息中对应在线业务行为的基础标签,得到不低于一个在线业务行为的第三全局热点分布偏移;通过所述不低于一个在线业务行为的在线业务行为局部会话风险检测结果的检测结果拆解情况和所述第二注释信息中所述不低于一个在线业务行为的基础拆解情况,得到不低于一个在线业务行为的第三拆解偏移;结合所述不低于一个在线业务行为的第三扰动偏移、第三全局热点分布偏移和第三拆解偏移的整合结果,得到所述机器学习模型的第二期望偏移。
[0106] 同确定上述偏移的方法相同,可以结合测试型衍生风险检测结果中各在线业务行为的局部会话风险检测结果的第三扰动偏移、第三风险内容偏移和第三置信度偏移的整合结果确定各在线业务行为的第二期望偏移。
[0107] 通过上述方式可以得到第二机器学习模型的第二模型期望偏移,在第二模型期望偏移大于第二偏移量化结果时,则确定为不符合第二调试指标,此时可以反向优化第二机器学习模型的模型变量,比如滑动平均模型变量,并通过该调整模型变量的第二机器学习模型继续对调试型会话风险检测结果集启用热点风险检测操作,直到得到的第二模型期望偏移小于或者等于第二偏移量化结果,便能够判定为符合第二调试指标,并终止第二机器学习模型的调试,此时得到的第二机器学习模型可以精确的得到测试型衍生风险检测结果。
[0108] 综上所述,在本申请实施例可以对基于指示型会话风险检测结果启用特征识别度相对较低的云会话风险检测结果的衍生处理,得到精准的衍生风险检测结果。该方式能够便于的提高云会话风险检测结果的特征识别度,得到精准的云会话风险检测结果。
[0109] 基于上述同样的发明构思,还提供了一种应用于大数据智能的网络安全分析装置20,应用于网络安全分析系统10,所述装置包括:
[0110] 检测结果采集模块21,用于确定第一云会话风险检测结果;
[0111] 检测结果比较模块22,用于确定所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果,所述指示型会话风险检测结果携带所述第一云会话风险检测结果中的目标云服务互动事件的指示型大数据;
[0112] 检测结果衍生模块23,用于通过所述第一云会话风险检测结果的不低于一个指示型会话风险检测结果对所述第一云会话风险检测结果进行监督衍生处理,得到衍生风险检测结果。
[0113] 以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。