一种基于AI的大数据威胁行为分析方法及介质技术

本发明专利技术涉及人工智能技术领域，具体而言，涉及一种基于AI的大数据威胁行为分析方法及介质，可以根据目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签确定威胁行为检测结果；基于威胁行为检测结果进行反威胁处理。如此，可以保障得到的威胁行为检测结果的可信度。检测结果的可信度。检测结果的可信度。

【技术实现步骤摘要】
一种基于AI的大数据威胁行为分析方法及介质
[0001]本专利技术是申请号为“CN202111482024.1”、申请日为“20211206”、专利技术名称为“一种结合人工智能的远程办公威胁行为分析方法及介质”的分案申请。


[0002]本专利技术实施例涉及人工智能
，具体涉及一种基于AI的大数据威胁行为分析方法及介质。

技术介绍

[0003]远程办公指的是工作人员在非工作地域（比如家、外地等），通过互联网通讯技术，实现原本在公司地域所实现的办公工作。对于工作汇报通常是以视频会议、文件传输等方式进行。
[0004]随着远程办公的逐渐普及，远程办公的业务规模越来越大，随之而来的信息安全问题不容忽视。比如，在进行视频会议或者文件传输的过程中，可能会受到各类网络攻击或者威胁，但是相关技术难以有效应对这些威胁，专利技术人经调查和研究发现，针对网络攻击或者威胁行为的应对乏力的原因是难以提供完整丰富的决策依据。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供了一种基于AI的大数据威胁行为分析方法及介质。
[0006]本专利技术实施例提供了一种基于AI的大数据威胁行为分析方法，应用于威胁行为分析服务器，所述方法至少包括：确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集；其中，所述威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容，所述偏好定位内容集旨在反映涵盖满足挖掘指标的行为偏好的局部日志内容，所述相关性定位内容集旨在反映存在互相影响情况的两个威胁操作事件的局部日志内容；依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据所述偏好定位内容集挖掘基础行为偏好关键标签，依据所述相关性定位内容集挖掘基础相关性关键标签；依据所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录生成视觉型知识库，依据所述视觉型知识库依次对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
[0007]对于一种可独立实施的实施例而言，所述标签传递记录包括行为偏好传递评价及相对分布传递评价，所述方法还包括：依据所述威胁操作事件内容集和相关性定位内容集之间的行为偏好传递评价，确定所述威胁操作事件关键标签和相关性关键标签之间的标签传递记录；依据所述相关性定位内容集和偏好定位内容集之间的相对分布传递评价，确定所
述行为偏好关键标签和相关性关键标签之间的标签传递记录；其中，所述威胁操作事件关键标签和相关性关键标签之间的标签传递记录旨在反映所述威胁操作事件关键标签和相关性关键标签之间是否具有传递性；所述行为偏好关键标签和相关性关键标签之间的标签传递记录旨在反映所述行为偏好关键标签和相关性关键标签之间是否具有传递性。
[0008]对于一种可独立实施的实施例而言，所述确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集，包括：依据AI模型挖掘触发威胁行为分析条件的远程办公行为日志中每个具有设定存在概率的威胁操作事件的局部日志内容视为威胁操作事件内容集，挖掘触发威胁行为分析条件的远程办公行为日志中每个具有满足挖掘指标的行为偏好的局部日志内容视为偏好定位内容集；将全部所述威胁操作事件内容集进行整理，每两个威胁操作事件内容集对形成相关性定位内容集；其中，该方法还可以包括以下至少一项：对目标威胁操作事件关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中相应局部日志内容涵盖的威胁操作事件种类；对目标行为偏好关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中具有满足挖掘指标的行为偏好的局部日志内容的行为偏好表达；对目标相关性关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中威胁操作事件之间的上下游描述种类。
[0009]对于一种可独立实施的实施例而言，对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新之前，还包括：将所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签分别视为威胁操作事件知识单元、行为偏好知识单元和相关性知识单元，将所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录视为单元连线，生成视觉型知识库；其中，所述生成视觉型知识库，包括：对全部所述威胁操作事件知识单元进行整理，其中，其中两个威胁操作事件知识单元集对应于一个相关性知识单元，依据威胁操作事件知识单元与相关性知识单元的上下游描述，将存在上下游关联的两个威胁操作事件知识单元与对应该上下游描述的相关性知识单元通过一条单元连线关联；当所述偏好定位内容集与所述相关性定位内容集的交叉内容达到所述相关性定位内容集的指定占比，将所述偏好定位内容集对应的行为偏好知识单元与所述相关性定位内容集对应的相关性知识单元通过一条单元连线关联；相应地，所述依次对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，包括：所述基础相关性关键标签获得依据所述视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签，依据所述基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新；所述基础威胁操作事件关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键标签，依据所述基础相关性关键标签对所述基础威胁操作事件关键标签进行更新；所述基础行为偏好关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关
键标签，依据所述基础相关性关键标签对所述基础行为偏好关键标签进行更新；相应地，基础相关性关键标签获得依据所述视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签，依据所述基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新，包括：依次对基础威胁操作事件关键标签和基础行为偏好关键标签进行无量纲简化，将完成无量纲简化的基础威胁操作事件关键标签和基础行为偏好关键标签依次进行动态映射，分别确定威胁操作事件偏移和行为偏好偏移；其中，所述基础威胁操作事件关键标签包括与基础相关性关键标签存在互相影响情况的基础主动型关键标签和基础被动型关键标签，依据基础主动型关键标签和基础被动型关键标签确定的威胁操作事件偏移包括主动型偏移和被动型偏移；将所述威胁操作事件偏移和行为偏好偏移与所述基础相关性关键标签加权确定更新相关性关键标签；将更新相关性关键标签视为基础相关性关键标签，反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新相关性关键标签视为目标相关性关键标签。
[0010]对于一种可独立实施的实施例而言，所述基础威胁操作事件关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键标签，依据所述基础相关性关键标签对所述基础威胁操作事件关键标签进行更新，包括：对所述基础相关性关键标签进行无量纲简化，将完成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于AI的大数据威胁行为分析方法，其特征在于，应用于威胁行为分析服务器，所述方法至少包括：根据目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签确定远程办公行为日志的威胁行为检测结果；基于威胁行为检测结果进行反威胁处理。2.根据权利要求1所述的方法，其特征在于，在根据目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签确定远程办公行为日志的威胁行为检测结果之前，所述方法还包括：确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集；其中，所述威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容，所述偏好定位内容集旨在反映涵盖满足挖掘指标的行为偏好的局部日志内容，所述相关性定位内容集旨在反映存在互相影响情况的两个威胁操作事件的局部日志内容；依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据所述偏好定位内容集挖掘基础行为偏好关键标签，依据所述相关性定位内容集挖掘基础相关性关键标签；依据所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录生成视觉型知识库，依据所述视觉型知识库依次对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。3.根据权利要求1所述的方法，其特征在于，所述根据目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签确定远程办公行为日志的威胁行为检测结果，包括：结合所述目标威胁操作事件关键标签、所述目标行为偏好关键标签和所述目标相关性关键标签确定显著办公行为描述以及参考办公行为描述；对所述显著办公行为描述进行行为节点识别，得到所述显著办公行为描述的第一行...

【专利技术属性】
技术研发人员：钟润森，
申请(专利权)人：李伟，
类型：发明
国别省市：