[发明专利]基于威胁攻击大数据的威胁情报生成方法及AI安全系统

说明书

本申请实施例提供一种基于威胁攻击大数据的威胁情报生成方法及AI安全系统，依据目标威胁情报提取模型提取针对威胁攻击大数据的第一威胁攻击活动知识图谱，并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征，依据攻击实例连通特征和所述第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱，并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据，从而考虑了攻击实例连通维度进行威胁攻击活动知识图谱更新后，再进行威胁情报数据提取，可以提高威胁情报提取的可靠性。

技术领域

本申请涉及信息安全分析技术领域，具体而言，涉及一种基于威胁攻击大数据的威胁情报生成方法及AI安全系统。

背景技术

随着互联网的快速发展，威胁攻击活动不断加剧，针对各个互联网服务商的信息安全隐患越来越多，为减少安全隐患，相关的互联网服务商都会配置相应的信息安全服务器进行安全防护，在安全防护运行过程会产生威胁攻击大数据的日志以便于进行威胁情报（某种基于证据的知识，包括上下文、机制、标示、含义等）分析。相关技术中，可以通过AI训练的威胁情报提取模型进行关键的威胁情报分析，然而现有技术没有考虑到攻击实例连通维度，而仅考虑独立的攻击实例的特征维度，从而导致威胁情报分析可靠性受到较大影响。

发明内容

为了至少克服现有技术中的上述不足，本申请的目的在于提供一种基于威胁攻击大数据的威胁情报生成方法及AI安全系统。

第一方面，本申请提供一种基于威胁攻击大数据的威胁情报生成方法，所述方法应用于AI安全系统，所述AI安全系统与信息安全服务器通信，所述方法包括：

依据目标威胁情报提取模型提取威胁攻击大数据的第一威胁攻击活动知识图谱，并依据预设攻击实例连通策略输出第一威胁攻击活动知识图谱对应的攻击实例连通特征；

依据攻击实例连通特征和第一威胁攻击活动知识图谱生成第二威胁攻击活动知识图谱，并依据所述目标威胁情报提取模型提取与所述威胁攻击大数据对应的威胁情报数据。

譬如一些实施方式中，在获得所述威胁攻击大数据的威胁情报数据之后，还可以进一步包括下述步骤：将所述威胁情报数据下发至所述信息安全服务器；响应于所述信息安全服务器依据所述威胁情报数据进行威胁防护强化时生成的威胁防护测试数据，对所述威胁防护测试数据进行威胁防护异常特征挖掘，得到所述威胁防护测试数据的威胁防护异常特征分布；依据所述威胁防护异常特征分布，确定所述信息安全服务器依据所述威胁情报数据进行威胁防护强化的有效性评估信息。

信息安全服务器在获得威胁情报数据之后，可以根据威胁情报数据从威胁防护强化方案库中提取对应关联的威胁防护强化方案，并根据威胁防护强化方案对相关威胁防护模型进行威胁防护强化，并将威胁防护强化后的威胁防护测试流程中生成的威胁防护测试数据反馈给AI安全系统，以供AI安全系统进行有效性评估信息确定。例如，对所述威胁防护测试数据进行威胁防护异常特征挖掘，得到所述威胁防护测试数据的威胁防护异常特征分布同样可以依据深度学习网络实现，由此可以依据威胁防护异常特征分布对应的异常定位点与威胁情报数据中的威胁定位点之间的关系，确定对应的有效性评估信息数据。

譬如一些实施方式中，所述对所述威胁防护测试数据进行威胁防护异常特征挖掘，得到所述威胁防护测试数据的威胁防护异常特征分布的步骤，包括：

获取所述威胁防护测试数据的第一异常特征序列、第二异常特征序列和第三异常特征序列，所述第一异常特征序列为威胁防护异常活动内目标防护节点的异常特征，所述第二异常特征序列为衍生防护节点相对于所述目标防护节点的衍生异常特征，所述衍生防护节点为所述目标防护节点的防护子节点分布上衍生于所述目标防护节点的衍生子节点分布；所述第三异常特征序列为威胁防护异常活动内所述目标防护节点的防护调度异常特征；

基于所述第一异常特征序列，获得第一推导异常特征簇，所述第一推导异常特征簇为衍生防护节点的循环异常特征变量构成的集合；