基于安全大数据和人工智能的数据展示方法及云计算系统
文献发布时间:2023-06-19 12:22:51
技术领域
本公开涉及信息安全技术领域,示例性地,涉及一种基于安全大数据和人工智能的数据展示方法及云计算系统。
背景技术
目前,随着网络信息技术的快速发展,信息化技术被应用到各个领域,给生活和生产带来了极大的便利。同时,信息安全问题变得越来越多,信息攻击也变得越来越频繁,造成用户隐私数据泄露,互联网服务瘫痪,对社会利益带来了巨大的损失。一般情况下,一个系统在网络设计阶段没有考虑其信息安全防御体系的建设,反而在遭受网络攻击后,开发人员才开始在系统中部署各种云计算安全系统,试图防御网络攻击,这种方式虽然在一定程度上提高了系统的安全性,但是云计算安全系统很难实际发挥理论上的功效,导致开发人员不能预先完全掌握系统安全防护能力上的不足,不能有效建设系统的安全防御体系,使系统在信息安全事件发生时处于被动的状态。基于此,随着模拟攻击防护技术的发展,通过采用模拟攻击防护技术进行分析的过程中,如何有效分析出当前关键安全策略的安全防护性能信息,以减少其安全防护开发页面的安全防护验证测试流程,是本领域亟待解决的技术问题。
发明内容
为了至少克服现有技术中的上述不足,本公开的目的在于提供一种基于安全大数据和人工智能的数据展示方法及云计算系统。
第一方面,本公开提供一种基于安全大数据和人工智能的数据展示方法,应用于云计算系统,所述云计算系统与多个互联网信息服务平台通信连接,所述方法包括:
根据所述互联网信息服务平台的目标威胁感知大数据的安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置,并获取针对配置的策略强化配置数据的模拟攻击防护数据;
基于满足模型收敛要求的安全防护性能学习网络对所述模拟攻击防护数据进行分析,获得所述模拟攻击防护数据对应的安全防护性能信息;
根据所述模拟攻击防护数据对应的安全防护性能信息,对所述目标威胁感知大数据对应的安全防护开发页面进行数据展示。
第二方面,本公开实施例还提供一种基于安全大数据和人工智能的数据展示系统,所述基于安全大数据和人工智能的数据展示系统包括云计算系统以及与所述云计算系统通信连接的多个互联网信息服务平台;
所述云计算系统,用于:
根据所述互联网信息服务平台的目标威胁感知大数据的安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置,并获取针对配置的策略强化配置数据的模拟攻击防护数据;
基于满足模型收敛要求的安全防护性能学习网络对所述模拟攻击防护数据进行分析,获得所述模拟攻击防护数据对应的安全防护性能信息;
根据所述模拟攻击防护数据对应的安全防护性能信息,对所述目标威胁感知大数据对应的安全防护开发页面进行数据展示。
根据上述任意一个方面,本公开提供的实施方式中,通过根据互联网信息服务平台的目标威胁感知大数据的安全域间的安全防御策略图谱对互联网信息服务平台进行关键安全策略强化配置,并获取针对配置的策略强化配置数据的模拟攻击防护数据,基于满足模型收敛要求的安全防护性能学习网络对模拟攻击防护数据进行分析,获得模拟攻击防护数据对应的安全防护性能信息,根据模拟攻击防护数据对应的安全防护性能信息,对目标威胁感知大数据对应的安全防护开发页面进行数据展示。如此,通过分析模拟攻击防护数据,可以确定与模拟攻击防护数据相关的安全防护性能信息后传递到对应的安全防护开发页面进行数据展示,以减少其安全防护开发页面的安全防护验证测试流程。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要调用的附图作简单地介绍,应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通开发人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本公开实施例提供的基于安全大数据和人工智能的数据展示系统的应用场景示意图;
图2为本公开实施例提供的基于安全大数据和人工智能的数据展示方法的流程示意图;
图3为本公开实施例提供的基于安全大数据和人工智能的数据展示装置的功能模块示意图;
图4为本公开实施例提供的用于实现上述的基于安全大数据和人工智能的数据展示方法的云计算系统的结构示意框图。
具体实施方式
图1是本公开一种实施例提供的基于安全大数据和人工智能的数据展示系统10的场景示意图。基于安全大数据和人工智能的数据展示系统10可以包括云计算系统100以及与云计算系统100通信连接的互联网信息服务平台200。图1所示的基于安全大数据和人工智能的数据展示系统10仅为一种可行的示例,在其它可行的实施例中,该基于安全大数据和人工智能的数据展示系统10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的组成部分。
本实施例中,基于安全大数据和人工智能的数据展示系统10中的云计算系统100和互联网信息服务平台200可以通过配合执行以下方法实施例所描述的基于安全大数据和人工智能的数据展示方法,具体云计算系统100和互联网信息服务平台200的执行步骤部分可以参照以下方法实施例的详细描述。
基于前述背景技术,图2为本公开实施例提供的基于安全大数据和人工智能的数据展示方法的流程示意图,本实施例提供的基于安全大数据和人工智能的数据展示方法可以由图1中所示的云计算系统100执行,下面对该基于安全大数据和人工智能的数据展示方法进行详细介绍。
步骤S100,根据互联网信息服务平台的目标威胁感知大数据的安全域间的安全防御策略图谱对互联网信息服务平台进行关键安全策略强化配置,并获取针对配置的策略强化配置数据的模拟攻击防护数据。
例如,可以基于预设模拟攻击算法针对配置的策略强化配置数据的进行相应的模拟攻击测试,进而获得针对配置的策略强化配置数据的模拟攻击防护数据。
本实施例中,模拟攻击防护数据的生成需要构建对应的网络安全模拟环境构造,例如可以通过自动化构造测试网络环境,建立安全风险模拟基础环境,基于模拟网络攻击的攻击输入、攻击过程和外部环境分析构建相应的攻击模型,进行网络攻击模拟,然后分析配置的策略强化配置数据的防御节点部署及防御强度,在自动攻击模拟基础上获取网络性能数据、安全防护设备性能数据,通过多次对比试验,获得该模拟攻击防护数据。
步骤S200,基于满足模型收敛要求的安全防护性能学习网络对模拟攻击防护数据进行分析,获得模拟攻击防护数据对应的安全防护性能信息。
步骤S300,根据模拟攻击防护数据对应的安全防护性能信息,对目标威胁感知大数据对应的安全防护开发页面进行数据展示。
对目标威胁感知大数据对应的安全防护开发页面进行数据展示的方式可以是:将模拟攻击防护数据对应的安全防护性能信息和安全防护性能信息相关的预设展示内容数据作为待展示信息对安全防护开发页面进行数据展示。
基于以上步骤,通过根据互联网信息服务平台的目标威胁感知大数据的安全域间的安全防御策略图谱对互联网信息服务平台进行关键安全策略强化配置,并获取针对配置的策略强化配置数据的模拟攻击防护数据,基于满足模型收敛要求的安全防护性能学习网络对模拟攻击防护数据进行分析,获得模拟攻击防护数据对应的安全防护性能信息,根据模拟攻击防护数据对应的安全防护性能信息,对目标威胁感知大数据对应的安全防护开发页面进行数据展示。如此,通过分析模拟攻击防护数据,可以确定与模拟攻击防护数据相关的安全防护性能信息后传递到对应的安全防护开发页面进行数据展示,以减少其安全防护开发页面的安全防护验证测试流程。
譬如在一种可独立实施的实施例中,本公开实施例还提供一种基于人工智能的安全防护性能决策方法,包括:获取参考模拟攻击防护数据产生时的参考主动防护行为结果数据和参考被动防护行为结果数据,对所述参考主动防护行为结果数据进行分量提取,得到所述参考主动防护行为结果数据的参考主动防护行为分量,所述参考主动防护行为分量用于指示所述参考模拟攻击防护数据的主动防护特征;对所述参考被动防护行为结果数据进行分量提取,得到所述参考被动防护行为结果数据的参考被动防护行为结果数据,所述参考被动防护行为结果数据用于指示所述参考模拟攻击防护数据的被动防护特征;将所述参考被动防护行为结果数据作为所述参考主动防护行为分量的约束信息,生成所述安全防护性能学习网络的参考训练数据;采用所述参考训练数据对所述安全防护性能学习网络进行训练,所述安全防护性能学习网络用于基于模拟攻击防护数据进行分析,获得模拟攻击防护数据对应的安全防护性能信息。
譬如,所述采用所述参考训练数据对所述安全防护性能学习网络进行训练,包括:通过所述安全防护性能学习网络对所述参考主动防护行为分量进行处理,得到模型输出的参考被动防护行为结果数据;基于所述模型输出的参考被动防护行为结果数据和所述约束信息,确定所述安全防护性能学习网络的评价数据值和损失函数值;其中,评价数据用于衡量所述安全防护性能学习网络的输出结果对应的学习效果的真实性,损失函数值用于衡量所述安全防护性能学习网络的学习精度;基于所述评价数据值和所述损失函数值,对所述安全防护性能学习网络的参数进行更新,直至所述评价数据满足第一条件且所述损失函数值满足第二条件,停止训练所述安全防护性能学习网络。
一种可独立实施的实施例中,对于步骤S100,一本公开实施例还提供一种基于大数据分析的信息安全防御处理方法,包括以下步骤:
步骤S110,根据每个安全防御策略下的各个目标有效防火墙隔离业务层的隔离字段标签序列,获取每个安全防御策略下的多个威胁检测规则。
步骤S120,确定多个威胁检测规则的威胁感知引擎服务信息。
其中,多个威胁检测规则中存在多种威胁感知引擎服务的威胁检测规则,威胁感知引擎服务信息指示多个威胁检测规则中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息,多个威胁检测规则中不同威胁感知引擎服务的威胁检测规则的调用安全组件信息呈预设联动关系。
一种可独立实施的实施例中,多个威胁检测规则可以是每个安全防御策略下各个目标有效防火墙隔离业务层的隔离字段标签序列在威胁感知平台中确定的多个威胁检测规则,该多个威胁检测规则可以包括直接威胁检测规则、间接威胁检测规则和长期威胁检测规则等,且直接威胁检测规则、间接威胁检测规则和长期威胁检测规则为不同威胁感知引擎服务的威胁检测规则。
步骤S130,根据多个威胁检测规则的威胁感知引擎服务信息,对多个威胁检测规则进行分簇得到多个威胁检测规则簇,威胁检测规则簇包括多种威胁感知引擎服务的威胁检测规则。
一种可独立实施的实施例中,每个威胁检测规则簇可以包括上述多个威胁检测规则中所有威胁感知引擎服务的威胁检测规则,且每个威胁检测规则簇中同一威胁感知引擎服务的威胁检测规则可以是一个或一个以上。例如,每个威胁检测规则簇可以包括1个直接威胁检测规则、2个间接威胁检测规则和1个长期威胁检测规则。
步骤S140,对多个威胁检测规则簇进行所述互联网信息服务平台的关键安全策略强化配置,使多个威胁检测规则簇中位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据,位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。
其中,每个威胁检测规则簇中,不同威胁检测规则可以按照虚拟网络安全实体方向排布。位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据,位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据指的可以是:位于同一物理网络安全实体的所有威胁检测规则簇的调用安全组件信息相同,位于同一虚拟网络安全实体的所有威胁检测规则簇的并行配置指令相同,位于同一物理网络安全实体中的同一威胁感知引擎服务的威胁检测规则的调用安全组件信息相同,且每个威胁检测规则簇中相关联威胁检测规则的威胁检测联动规则相同。示例地,每个威胁检测规则簇可以包括1个直接威胁检测规则、2个间接威胁检测规则和1个长期威胁检测规则,则位于同一物理网络安全实体中的同一威胁感知引擎服务的威胁检测规则的调用安全组件信息相同指的是:位于同一物理网络安全实体的直接威胁检测规则的调用安全组件信息相同,位于同一物理网络安全实体的间接威胁检测规则的调用安全组件信息相同,且位于同一物理网络安全实体的长期威胁检测规则的调用安全组件信息相同。
一种可独立实施的实施例中,云计算系统100可以先对该多个威胁检测规则簇进行初始策略强化配置数据关联,以确定出对该多个威胁检测规则簇进行所述互联网信息服务平台的关键安全策略强化配置的物理网络安全实体数、每个物理网络安全实体的威胁检测规则簇的调用安全组件信息以及每个物理网络安全实体的威胁检测规则簇(也即是确定出物理网络安全实体数和虚拟网络安全实体数),之后,并行配置该多个威胁检测规则簇的策略强化绑定范围和策略强化绑定字段中的多种,使位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据,且位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。
在具体实现时,策略强化配置数据可以灵活选定,如基于不同的兴趣威胁感知引擎服务策略的策略强化配置数据源,此处与本申请所解决的技术问题无关,具体不作赘述。
综上所述,云计算系统100确定多个威胁检测规则的威胁感知引擎服务信息后,可以根据该多个威胁检测规则威胁感知引擎服务信息,对该多个威胁检测规则进行分簇得到多个威胁检测规则簇,之后对该多个威胁检测规则簇进行所述互联网信息服务平台的关键安全策略强化配置,使该多个威胁检测规则簇中位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据,位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。如此,可以简化威胁检测规则并行配置过程,提高并行配置精度。
另一种可独立实施的实施例中,基于大数据分析的信息安全防御处理方法还可以包括以下步骤。
步骤S210,确定多个威胁检测规则的威胁感知引擎服务信息,多个威胁检测规则中存在多种威胁感知引擎服务的威胁检测规则,威胁感知引擎服务信息指示多个威胁检测规则中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息,多个威胁检测规则中不同威胁感知引擎服务的威胁检测规则的调用安全组件信息呈预设联动关系。
一种可独立实施的实施例中,云计算系统100中可以配置有相关威胁感知接口,该相关威胁感知接口可以提供威胁感知平台,该多个威胁检测规则可以是用户在该威胁感知平台中选择的多个威胁检测规则,该多个威胁检测规则中可以存在多种威胁感知引擎服务的威胁检测规则,且该多个威胁检测规则中不同威胁感知引擎服务的威胁检测规则的调用安全组件信息通常可以呈预设联动关系,以便于能够对该多个威胁检测规则进行所述互联网信息服务平台的关键安全策略强化配置。其中,本实施例可以对威胁检测规则进行选择,例如该多个威胁检测规则可以包括直接威胁检测规则、间接威胁检测规则和长期威胁检测规则,直接威胁检测规则、间接威胁检测规则和长期威胁检测规则为三种不同威胁感知引擎服务的威胁检测规则。
示例地,假设该多个威胁检测规则可以包括4个直接威胁检测规则,8个间接威胁检测规则和4个长期威胁检测规则,该4个直接威胁检测规则为直接威胁检测规则T1~直接威胁检测规则T4,8个间接威胁检测规则为间接威胁检测规则T1~间接威胁检测规则T8,4个长期威胁检测规则为长期威胁检测规则Y1~长期威胁检测规则Y4,间接威胁检测规则的调用安全组件信息为直接威胁检测规则的调用安全组件信息的2倍,长期威胁检测规则的调用安全组件信息为直接威胁检测规则的调用安全组件信息的1倍,也即是,直接威胁检测规则、间接威胁检测规则和长期威胁检测规则的调用安全组件信息呈预设联动关系。
一种可独立实施的实施例中,云计算系统100可以对该多个威胁检测规则进行类型统计,得到每个威胁检测规则的类型,进而根据该多个威胁检测规则的类型确定该多个威胁检测规则的威胁感知引擎服务信息。
步骤S220,根据多个威胁检测规则的威胁感知引擎服务信息,确定分簇规则。
一种可独立实施的实施例中,云计算系统100根据多个威胁检测规则的威胁感知引擎服务信息,将上述多种威胁感知引擎服务的威胁检测规则的调用安全组件信息中,最少的调用安全组件信息确定为分簇规则,该分簇规则可以采用m表示,m为大于或等于1的整数。
示例地,假设在多个威胁检测规则中,直接威胁检测规则、间接威胁检测规则和长期威胁检测规则这三种威胁感知引擎服务的威胁检测规则的调用安全组件信息中,最少的调用安全组件信息为4,因此云计算系统100可以确定分簇规则为4,也即是,m=4。其中,该最少的调用安全组件信息4可以是直接威胁检测规则的调用安全组件信息,也可以是长期威胁检测规则的调用安全组件信息。
步骤S230,根据多个威胁检测规则中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息和分簇规则,确定每个威胁检测规则簇中该每种威胁感知引擎服务的威胁检测规则的调用安全组件信息。
一种可独立实施的实施例中,云计算系统100可以将多个威胁检测规则中,每种威胁感知引擎服务的威胁检测规则的调用安全组件信息和分簇规则的关系,确定为每个威胁检测规则簇中该每种威胁感知引擎服务的威胁检测规则的调用安全组件信息,每个威胁检测规则簇中该每种威胁感知引擎服务的威胁检测规则的调用安全组件信息可以采用n表示,n为大于或等于1的整数。
示例地,多个威胁检测规则包括4个直接威胁检测规则,8个间接威胁检测规则和4个长期威胁检测规则,分簇规则为4,则云计算系统100可以将该多个威胁检测规则中,直接威胁检测规则的调用安全组件信息与分簇规则的关系确定为每个威胁检测规则簇中直接威胁检测规则的调用安全组件信息,间接威胁检测规则的调用安全组件信息与分簇规则的关系确定为每个威胁检测规则簇中间接威胁检测规则的调用安全组件信息,长期威胁检测规则的调用安全组件信息与分簇规则的关系确定为每个威胁检测规则簇中长期威胁检测规则的调用安全组件信息,也即是,云计算系统100确定每个威胁检测规则簇包括1个直接威胁检测规则,2个间接威胁检测规则和1个长期威胁检测规则,也即是对于直接威胁检测规则,n=1,对于间接威胁检测规则,n=2,对于长期威胁检测规则,n=1。
步骤S240,对每种威胁感知引擎服务的威胁检测规则进行次序整理,得到每种威胁感知引擎服务的威胁检测规则队列。
一种可独立实施的实施例中,云计算系统100可以对每种威胁感知引擎服务的威胁检测规则进行次序整理,得到每种威胁感知引擎服务的威胁检测规则队列,例如,云计算系统100对多个威胁检测规则中的直接威胁检测规则进行次序整理得到直接威胁检测规则簇,对多个威胁检测规则中的间接威胁检测规则进行次序整理得到间接威胁检测规则簇,对多个威胁检测规则中的长期威胁检测规则进行次序整理得到长期威胁检测规则簇。
示例地,步骤S240可以通过以下示例性的子步骤实现。
子步骤S241,确定多个威胁检测规则中的每个威胁检测规则在目标威胁感知调度模型中的调度路由数据。
其中,目标威胁感知调度模型可以是平铺威胁感知调度模型,且可以是预先配置的威胁感知调度模型,该目标威胁感知调度模型可以位于相关威胁感知接口的威胁感知平台中。
威胁感知平台中的每个威胁检测规则在该目标威胁感知调度模型中可以具有一个调度路由数据,云计算系统100可以确定该多个威胁检测规则中,每个威胁检测规则在该目标威胁感知调度模型中的调度路由数据。容易理解,威胁检测规则通常具有一定限定检测范围,威胁检测规则在目标威胁感知调度模型中的调度路由数据可以是威胁检测规则的等效调度位置在该目标威胁感知调度模型中的调度路由数据,该等效调度位置可以是威胁检测规则上的任意调度位置,例如,该等效调度位置可以是威胁检测规则的关键预设调度位置。
一种可独立实施的实施例中,云计算系统100可以确定每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第一威胁感知调度区之间的调度位置层级,以及,每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第二威胁感知调度区之间的调度位置层级,将每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第一威胁感知调度区之间的调度位置层级确定该每个威胁检测规则的调度路由节点,根据该每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第二威胁感知调度区之间的调度位置层级确定该每个威胁检测规则的默认调度路由节点,从而得到每个威胁检测规则在目标威胁感知调度模型中的调度路由数据。
子步骤S242,对于每种威胁感知引擎服务的任意两个威胁检测规则,当该任意两个威胁检测规则的调度路由节点的调度路由代价差小于第一调度路由代价差时,按照该任意两个威胁检测规则的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理,当该任意两个威胁检测规则的调度路由节点的调度路由代价差大于等于第一调度路由代价差时,按照该任意两个威胁检测规则的调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理,得到初始威胁检测规则队列,初始威胁检测规则队列中每相关联的n个威胁检测规则构成一个威胁检测规则子队列,初始威胁检测规则队列包括m个威胁检测规则子队列。
一种可独立实施的实施例中,对于每种威胁感知引擎服务的任意两个威胁检测规则,云计算系统100可以确定该任意两个威胁检测规则的调度路由节点的调度路由代价差,然后将该任意两个威胁检测规则的调度路由节点的调度路由代价差与第一调度路由代价差比较,来判断该任意两个威胁检测规则的调度路由节点的调度路由代价差是否小于第一调度路由代价差,当该任意两个威胁检测规则的调度路由节点的调度路由代价差小于第一调度路由代价差时,云计算系统100按照该任意两个威胁检测规则的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理,当该任意两个威胁检测规则的调度路由节点的调度路由代价差大于等于(也即是大于或等于)第一调度路由代价差时,云计算系统100按照该任意两个威胁检测规则的调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理。对于每种威胁感知引擎服务的所有威胁检测规则,云计算系统100通过执行该判断与排序过程,以实现对该每种威胁感知引擎服务的威胁检测规则的排序,得到该每种威胁感知引擎服务的初始威胁检测规则队列,该初始威胁检测规则队列中每相关联的n个威胁检测规则可以构成一个威胁检测规则子队列,因此该初始威胁检测规则队列可以包括m个威胁检测规则子队列。
其中,第一调度路由代价差可以根据实际情况确定,例如,根据相关威胁感知接口提供的威胁感知平台的策略强化绑定范围等确定。示例地,第一调度路由代价差可以为30。
示例地,以第一调度路由代价差为30为例,对于步骤S210中提供的直接威胁检测规则T1~直接威胁检测规则T4,首先,假设直接威胁检测规则T1的调度路由节点与直接威胁检测规则T2的调度路由节点的调度路由代价差大于等于30,且直接威胁检测规则T1的调度路由节点小于直接威胁检测规则T2的调度路由节点,则云计算系统100按照直接威胁检测规则T1和直接威胁检测规则T2的调度路由节点的调度路由顺序将直接威胁检测规则T1位于直接威胁检测规则T2之前;接着,假设直接威胁检测规则T2的调度路由节点与直接威胁检测规则T3的调度路由节点的调度路由代价差大于等于30,且直接威胁检测规则T2的调度路由节点大于直接威胁检测规则T3的调度路由节点,则云计算系统100按照直接威胁检测规则T2和直接威胁检测规则T3的调度路由节点的调度路由顺序将直接威胁检测规则T3位于直接威胁检测规则T2之前;然后,假设直接威胁检测规则T1的调度路由节点与直接威胁检测规则T3的调度路由节点的调度路由代价差小于30,且直接威胁检测规则T1的默认调度路由节点小于直接威胁检测规则T3的默认调度路由节点,则云计算系统100按照直接威胁检测规则T1和直接威胁检测规则T3的默认调度路由节点的调度路由顺序将直接威胁检测规则T1位于直接威胁检测规则T3之前;之后,假设直接威胁检测规则T2的调度路由节点与直接威胁检测规则T4的调度路由节点的调度路由代价差小于30,且直接威胁检测规则T2的默认调度路由节点小于直接威胁检测规则T4的默认调度路由节点,则云计算系统100按照直接威胁检测规则T2和直接威胁检测规则T4的默认调度路由节点的调度路由顺序将直接威胁检测规则T2位于直接威胁检测规则T4之前;依次类推,对于直接威胁检测规则T1~直接威胁检测规则T4中的每两个直接威胁检测规则,执行上述排序操作,得到的初始威胁检测规则队列可以为:直接威胁检测规则T1、直接威胁检测规则T3、直接威胁检测规则T2、直接威胁检测规则T4,该初始威胁检测规则队列中每相关联的1(n=1)个威胁检测规则构成一个威胁检测规则子队列,因此该初始威胁检测规则队列可以包括4个威胁检测规则子队列,也即是,直接威胁检测规则T1、直接威胁检测规则T3、直接威胁检测规则T2和直接威胁检测规则T4各自构成一个威胁检测规则子队列。
同理,对间接威胁检测规则T1~间接威胁检测规则T8进行次序整理得到的初始威胁检测规则队列为:间接威胁检测规则T1、间接威胁检测规则T2、间接威胁检测规则T5、间接威胁检测规则T6、间接威胁检测规则T3、间接威胁检测规则T4、间接威胁检测规则T7、间接威胁检测规则T8,该初始威胁检测规则队列中每相关联的2(n=2)个威胁检测规则构成一个威胁检测规则子队列,因此该初始威胁检测规则队列可以包括4个威胁检测规则子队列,也即是,间接威胁检测规则T1和间接威胁检测规则T2构成一个威胁检测规则子队列,间接威胁检测规则T5和间接威胁检测规则T6构成一个威胁检测规则子队列,间接威胁检测规则T3和间接威胁检测规则T4构成一个威胁检测规则子队列,间接威胁检测规则T7和间接威胁检测规则T8构成一个威胁检测规则子队列。
同理,对长期威胁检测规则Y1~长期威胁检测规则Y4进行次序整理得到的初始威胁检测规则队列为:长期威胁检测规则Y1、长期威胁检测规则Y3、长期威胁检测规则Y2、长期威胁检测规则Y4,该初始威胁检测规则队列中每相关联的1(n=1)个威胁检测规则构成一个威胁检测规则子队列,因此该初始威胁检测规则队列可以包括4个威胁检测规则子队列,也即是,长期威胁检测规则Y1、长期威胁检测规则Y3、长期威胁检测规则Y2、长期威胁检测规则Y4各自构成一个威胁检测规则子队列。
子步骤S243,根据初始威胁检测规则队列中,每个威胁检测规则子队列中的n个威胁检测规则的调度路由数据,确定每个威胁检测规则子队列的调度路由数据,得到m个威胁检测规则子队列的调度路由数据。
一种可独立实施的实施例中,云计算系统100可以将每个威胁检测规则子队列中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中,最大的调度路由节点确定为该威胁检测规则子队列的调度路由节点,最大层级的默认调度路由节点确定为该威胁检测规则子队列的默认调度路由节点,从而得到该威胁检测规则子队列在目标威胁感知调度模型中的调度路由数据,或者,云计算系统100可以将每个威胁检测规则子队列中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中,最小层级的调度路由节点确定为该威胁检测规则子队列的调度路由节点,最小层级的默认调度路由节点确定为该威胁检测规则子队列的默认调度路由节点,从而得到该威胁检测规则子队列在目标威胁感知调度模型中的调度路由数据,或者,云计算系统100可以根据每个威胁检测规则子队列中的各个威胁检测规则在目标威胁感知调度模型中的调度路由数据,确定该威胁检测规则子队列中的各个威胁检测规则的等效调度位置,根据该威胁检测规则子队列中所有威胁检测规则的等效调度位置,确定该威胁检测规则子队列在目标威胁感知调度模型中的等效调度位置,将该威胁检测规则子队列在目标威胁感知调度模型中的等效调度位置的调度路由数据确定为该威胁检测规则子队列在目标威胁感知调度模型中的调度路由数据,本公开实施例对此不做限定。
子步骤S244,对于m个威胁检测规则子队列中的任意两个威胁检测规则子队列,当任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差小于第二调度路由代价差时,按照任意两个威胁检测规则子队列的调度路由节点的调度路由顺序对任意两个威胁检测规则子队列进行次序整理,当任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差大于等于第二调度路由代价差时,按照任意两个威胁检测规则子队列的默认调度路由节点的调度路由顺序对任意两个威胁检测规则子队列进行次序整理,得到每种威胁感知引擎服务的威胁检测规则队列。
一种可独立实施的实施例中,对于m个威胁检测规则子队列中的任意两个威胁检测规则子队列,云计算系统100可以确定该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差,然后将该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差与第二调度路由代价差比较,来判断该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差是否小于第二调度路由代价差,当该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差小于第二调度路由代价差时,云计算系统100按照该任意两个威胁检测规则子队列的调度路由节点的调度路由顺序对该任意两个威胁检测规则子队列进行次序整理,当该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差大于等于(也即是大于或等于)第二调度路由代价差时,云计算系统100按照该任意两个威胁检测规则子队列的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则子队列进行次序整理。对于m个威胁检测规则子队列,云计算系统100通过执行该判断与排序过程,以实现对该m个威胁检测规则子队列的排序,得到该每种威胁感知引擎服务的威胁检测规则队列。
其中,第二调度路由代价差可以根据实际情况确定,且第二调度路由代价差与第一调度路由代价差可以相同或不相同,例如,第二调度路由代价差根据相关威胁感知接口提供的威胁感知平台的策略强化绑定范围,并行配置工具的位置刻度等确定。示例地,第二调度路由代价差可以为30。
示例地,云计算系统100对直接威胁检测规则T1、直接威胁检测规则T3、直接威胁检测规则T2和直接威胁检测规则T4各自构成的4个威胁检测规则子队列进行上述排序得到的直接威胁检测规则簇可以为:直接威胁检测规则T1、直接威胁检测规则T2、直接威胁检测规则T3、直接威胁检测规则T4。同理,对间接威胁检测规则T1和间接威胁检测规则T2构成一个威胁检测规则子队列,间接威胁检测规则T5和间接威胁检测规则T6构成一个威胁检测规则子队列,间接威胁检测规则T3和间接威胁检测规则T4构成一个威胁检测规则子队列,间接威胁检测规则T7和间接威胁检测规则T8构成的4个威胁检测规则子队列进行次序整理得到的间接威胁检测规则簇可以为:间接威胁检测规则T1、间接威胁检测规则T2、间接威胁检测规则T3、间接威胁检测规则T4、间接威胁检测规则T5、间接威胁检测规则T6、间接威胁检测规则T7、间接威胁检测规则T8;对长期威胁检测规则Y1、长期威胁检测规则Y3、长期威胁检测规则Y2、长期威胁检测规则Y4构成的威胁检测规则子队列进行次序整理得到的长期威胁检测规则簇可以为:长期威胁检测规则Y1、长期威胁检测规则Y2、长期威胁检测规则Y3、长期威胁检测规则Y4。
子步骤S245,根据每个威胁检测规则簇中多种威胁感知引擎服务的威胁检测规则的调用安全组件信息,对多个威胁检测规则执行至少两次分簇操作得到多个威胁检测规则簇。
其中,每次分簇操作用于确定一个威胁检测规则簇的多种威胁感知引擎服务的威胁检测规则,也即是,每执行一次分簇操作可以确定一个威胁检测规则簇,每个威胁检测规则簇中的各个威胁检测规则可以按照威胁检测规则的默认调度路由节点的调度路由顺序排序。其中,执行第k次分簇操作得到的威胁检测规则簇中,每种威胁感知引擎服务的威胁检测规则为该每种威胁感知引擎服务的威胁检测规则队列中威胁检测规则属于规则激活范围的威胁检测规则,该规则激活范围为[(k-1)*n+1,k*n+1),1≤k≤m,n表示威胁检测规则簇中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息,m表示分簇规则。
示例地,继续以上述4个直接威胁检测规则,8个间接威胁检测规则和4个长期威胁检测规则为例,则由步骤S220可以确定m=4,由步骤203可以确定对于直接威胁检测规则,n=1,对于间接威胁检测规则,n=2,对于长期威胁检测规则,n=1。则执行第一次分簇操作得到的威胁检测规则簇ER1中的直接威胁检测规则为上述直接威胁检测规则簇中,威胁检测规则属于规则激活范围[(k-1)*n+1,k*n+1)=[(1-1)*1+1,1*1+1)=[1,2)的直接威胁检测规则,也即是威胁检测规则为1的直接威胁检测规则,间接威胁检测规则为上述间接威胁检测规则簇中,威胁检测规则属于规则激活范围[(k-1)*n+1,k*n+1)=[(1-1)*2+1,1*2+1)=[1,3)的间接威胁检测规则,也即是威胁检测规则为1和2的间接威胁检测规则,长期威胁检测规则为上述长期威胁检测规则簇中,威胁检测规则属于规则激活范围[(k-1)*n+1,k*n+1)=[(1-1)*1+1,1*1+1)=[1,2)的长期威胁检测规则,也即是威胁检测规则为1的长期威胁检测规则,因此执行第一次分簇操作得到的威胁检测规则簇ER1包括:直接威胁检测规则T1、间接威胁检测规则T1、间接威胁检测规则T2和长期威胁检测规则Y1。同理可得执行第二次分簇操作得到的威胁检测规则簇ER2包括:直接威胁检测规则T2、间接威胁检测规则T3、间接威胁检测规则T4和长期威胁检测规则Y2,执行第三次分簇操作得到的威胁检测规则簇ER3包括:直接威胁检测规则T3、间接威胁检测规则T5、间接威胁检测规则T6和长期威胁检测规则Y3,执行第四次分簇操作得到的威胁检测规则簇ER4包括:直接威胁检测规则T4、间接威胁检测规则T7、间接威胁检测规则T8和长期威胁检测规则Y4。
本领域开发人员容易理解,上述步骤是用于实现威胁检测规则簇的步骤,也即是,上述步骤能够实施成为前述实施例的步骤S130,本公开实施例对此不做限定。
步骤S260,根据多个威胁检测规则簇中的每个威胁检测规则簇所包括的威胁检测规则的威胁检测字段,对多个威胁检测规则簇进行初始策略强化配置数据关联。
一种可独立实施的实施例中,步骤S260可以通过以下示例性的子步骤实现。
子步骤S261,对于多个威胁检测规则簇中的每个威胁检测规则簇,根据威胁检测规则簇中的威胁检测规则在目标威胁感知调度模型中的调度路由数据,确定威胁检测规则簇在目标威胁感知调度模型中的调度路由数据。
每个威胁检测规则簇包括多个威胁检测规则,云计算系统100可以根据每个威胁检测规则簇的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据,确定该每个威胁检测规则簇在目标威胁感知调度模型中的调度路由数据。
一种可独立实施的实施例中,云计算系统100可以将每个威胁检测规则簇中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中,最大的调度路由节点确定为该威胁检测规则簇的调度路由节点,最大层级的默认调度路由节点确定为该威胁检测规则簇的默认调度路由节点,从而得到该威胁检测规则簇在目标威胁感知调度模型中的调度路由数据,或者,云计算系统100可以将每个威胁检测规则簇中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中,最小层级的调度路由节点确定为该威胁检测规则簇的调度路由节点,最小层级的默认调度路由节点确定为该威胁检测规则簇的默认调度路由节点,从而得到该威胁检测规则簇在目标威胁感知调度模型中的调度路由数据,或者,云计算系统100可以根据每个威胁检测规则簇中的各个威胁检测规则在目标威胁感知调度模型中的调度路由数据,确定该威胁检测规则簇中的各个威胁检测规则的等效调度位置,根据该威胁检测规则簇中所有威胁检测规则的等效调度位置,确定该威胁检测规则簇在目标威胁感知调度模型中的等效调度位置,将该威胁检测规则簇在目标威胁感知调度模型中的等效调度位置的位置确定为该威胁检测规则簇在目标威胁感知调度模型中的调度路由数据,本公开实施例对此不做限定。
子步骤S262,根据多个威胁检测规则簇的调度路由数据,对多个威胁检测规则簇进行次序整理,得到威胁检测规则簇队列。
一种可独立实施的实施例中,对于多个威胁检测规则簇中的任意两个威胁检测规则簇,云计算系统100可以确定该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差,然后将该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差与第三调度路由代价差比较,来判断该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差是否小于第三调度路由代价差,当该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差小于第三调度路由代价差时,云计算系统100按照该任意两个威胁检测规则簇的调度路由节点的调度路由顺序对该任意两个威胁检测规则簇进行次序整理,当该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差大于等于(也即是大于或等于)第三调度路由代价差时,云计算系统100按照该任意两个威胁检测规则簇的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则簇进行次序整理。对于多个威胁检测规则簇,云计算系统100通过执行该判断与排序过程,以实现对该多个威胁检测规则簇的排序,得到威胁检测规则簇队列。其中,第三调度路由代价差可以根据实际情况确定,且第三调度路由代价差与第一调度路由代价差、第二调度路由代价差可以相同或不相同,例如,第三调度路由代价差根据相关威胁感知接口提供的威胁感知平台的策略强化绑定范围等确定。示例地,第三调度路由代价差可以为30。
示例地,云计算系统100对上述威胁检测规则簇ER1~威胁检测规则簇ER4进行次序整理得到的威胁检测规则簇队列可以为:威胁检测规则簇ER1、威胁检测规则簇ER2、威胁检测规则簇ER3、威胁检测规则簇ER4。
子步骤S263,以威胁检测规则簇队列为遍历目标执行物理网络安全实体划分过程,物理网络安全实体划分过程包括:依次对遍历目标中的每个威胁检测规则簇执行判断子过程,对遍历目标中的第i个威胁检测规则簇执行的判断子过程包括:确定遍历目标的前i个威胁检测规则簇中,与遍历目标中第1个威胁检测规则簇位于同一物理网络安全实体的威胁检测规则簇的调度路由节点与第i个威胁检测规则簇的调度路由节点的调度路由代价差,i≥1;当调度路由代价差小于目标调度路由代价差时,确定第i个威胁检测规则簇与第1个威胁检测规则簇位于同一物理网络安全实体;当调度路由代价差大于等于目标调度路由代价差时,确定第i个威胁检测规则簇与第1个威胁检测规则簇位于不同物理网络安全实体。
一种可独立实施的实施例中,云计算系统100可以将子步骤S263得到的威胁检测规则簇队列为遍历目标,从该威胁检测规则簇队列的第1个威胁检测规则簇开始,依次对该遍历目标中的每个威胁检测规则簇执行判断子过程。其中,云计算系统100对遍历目标中的第i个威胁检测规则簇执行的判断子过程可以包括:云计算系统100首先采用调度路由代价差公式确定该遍历目标的前i个威胁检测规则簇中,与该遍历目标中第1个威胁检测规则簇位于同一物理网络安全实体的威胁检测规则簇的调度路由节点与第i个威胁检测规则簇的调度路由节点的调度路由代价差,然后判断该调度路由代价差是否小于目标调度路由代价差,当该调度路由代价差小于目标调度路由代价差时,云计算系统100确定该第i个威胁检测规则簇与该第1个威胁检测规则簇位于同一物理网络安全实体,当该调度路由代价差大于等于目标调度路由代价差时,确定该第i个威胁检测规则簇与该第1个威胁检测规则簇位于不同物理网络安全实体。
示例地,对于遍历目标中的第2个威胁检测规则簇ER2,云计算系统100采用调度路由代价差公式确定该遍历目标的前2个威胁检测规则簇(也即是威胁检测规则簇ER1和威胁检测规则簇ER2)中,与该遍历目标中第1个威胁检测规则簇ER1位于同一物理网络安全实体的威胁检测规则簇的调度路由节点与第2个威胁检测规则簇ER2的调度路由节点的调度路由代价差a2,然后判断该调度路由代价差a2是否小于400,假设该调度路由代价差a2小于400,则云计算系统100确定该第2个威胁检测规则簇ER2与该第1个威胁检测规则簇ER1位于同一物理网络安全实体。再示例地,对于遍历目标中的第3个威胁检测规则簇ER3,云计算系统100采用调度路由代价差公式确定该遍历目标的前3个威胁检测规则簇(也即是威胁检测规则簇ER1~威胁检测规则簇ER3)中,与该遍历目标中第1个威胁检测规则簇ER1位于同一物理网络安全实体的威胁检测规则簇的调度路由节点与第3个威胁检测规则簇ER3的调度路由节点的调度路由代价差a3,然后判断该调度路由代价差a3是否小于400,假设该调度路由代价差a3大于等于400,则云计算系统100确定该第3个威胁检测规则簇ER3与该第1个威胁检测规则簇ER1位于不同物理网络安全实体。又示例地,对于遍历目标中的第4个威胁检测规则簇ER4,云计算系统100采用调度路由代价差公式确定该遍历目标的前4个威胁检测规则簇(也即是威胁检测规则簇ER1~威胁检测规则簇ER4)中,与该遍历目标中第1个威胁检测规则簇ER1位于同一物理网络安全实体的威胁检测规则簇的调度路由节点与第4个威胁检测规则簇ER4的调度路由节点的调度路由代价差a4,然后判断该调度路由代价差a4是否小于400,假设该调度路由代价差a4大于等于400,则云计算系统100确定该第4个威胁检测规则簇ER4与该第1个威胁检测规则簇ER1位于不同物理网络安全实体。需要说明的是,由于遍历目标中的第3个威胁检测规则簇ER3与第1个威胁检测规则簇ER1位于不同物理网络安全实体,因此在确定遍历目标中的第4个威胁检测规则簇ER4与第1个威胁检测规则簇ER1是否位于同一物理网络安全实体时,计算调度路由代价差的过程无需考虑第3个威胁检测规则簇ER3的位置。
子步骤S264,当遍历目标存在与该遍历目标的第1个威胁检测规则簇位于不同物理网络安全实体的至少一个威胁检测规则簇时,将遍历目标更新为该至少一个威胁检测规则簇构成的队列,重复执行物理网络安全实体划分过程,直至确定出多个威胁检测规则簇中的每个威胁检测规则簇所在物理网络安全实体。
一种可独立实施的实施例中,在执行子步骤S263的过程中,如果云计算系统100确定遍历目标(也即是排序得到的威胁检测规则簇队列)存在与该遍历目标的第1个威胁检测规则簇位于不同物理网络安全实体的至少一个威胁检测规则簇,则云计算系统100将遍历目标更新为由该至少一个威胁检测规则簇构成的队列,重复执行上述物理网络安全实体划分过程,直至确定出多个威胁检测规则簇中的每个威胁检测规则簇所在物理网络安全实体。
示例地,由子步骤S263可知,遍历目标中的威胁检测规则簇ER3和威胁检测规则簇ER4与该遍历目标的第1个威胁检测规则簇ER1位于不同物理网络安全实体,因此云计算系统100将遍历目标更新为威胁检测规则簇ER3和威胁检测规则簇ER4构成的队列,重复执行物理网络安全实体划分过程,直至确定出威胁检测规则簇ER3和威胁检测规则簇ER4所在物理网络安全实体。以威胁检测规则簇ER3和威胁检测规则簇ER4构成的队列为遍历目标执行物理网络安全实体划分过程的实现过程可以参考上述子步骤S263,本公开实施例在此不再赘述,但是需要说明的是,在以威胁检测规则簇ER3和威胁检测规则簇ER4构成的队列为遍历目标执行物理网络安全实体划分过程时,该遍历目标的第1个威胁检测规则簇为威胁检测规则簇ER3。
本领域开发人员容易理解,通过执行该步骤S260,云计算系统100可以确定出多个威胁检测规则簇中的各个威胁检测规则簇所在物理网络安全实体,也即是,可以确定出多个威胁检测规则簇中,哪些威胁检测规则簇位于同一物理网络安全实体。
步骤S270,并行配置多个威胁检测规则簇中的每个威胁检测规则簇的策略强化绑定字段和策略强化绑定范围中的多种,使多个威胁检测规则簇中位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据,位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。
一种可独立实施的实施例中,步骤S270可以通过以下示例性的子步骤实现,具体描述如下。
子步骤S271,根据对多个威胁检测规则簇进行初始策略强化配置数据关联的结果,确定多个威胁检测规则簇的物理网络安全实体的调用数据,物理网络安全实体的调用数据指示每个物理网络安全实体的威胁检测规则簇的调用安全组件信息。
对多个威胁检测规则簇进行初始策略强化配置数据关联,可以确定出该多个威胁检测规则簇中,位于同一物理网络安全实体的威胁检测规则簇,从而确定出每个物理网络安全实体的威胁检测规则簇的调用安全组件信息,因此云计算系统100可以根据对该多个威胁检测规则簇进行初始策略强化配置数据关联的结果,确定该多个威胁检测规则簇的物理网络安全实体的调用数据,该物理网络安全实体的调用数据指示每个物理网络安全实体的威胁检测规则簇的调用安全组件信息。
子步骤S272,根据并行配置服务的并行配置指令、目标威胁检测联动规则和每个物理网络安全实体的威胁检测规则簇的调用安全组件信息,确定每个物理网络安全实体的威胁检测规则簇中的各个威胁检测规则簇的目标并行配置指令。
其中,并行配置服务可以是相关威胁感知接口的威胁感知平台,或者是该威胁感知平台中的某个可编程软件服务,该某个可编程软件服务可以是用户在威胁感知平台中选择的,也可以是云计算系统100对相关威胁感知接口的威胁感知平台进物理网络安全实体划分得到的,则相应的,并行配置服务的并行配置指令可以是威胁感知平台的并行配置指令,或者是该某一区域的并行配置指令。目标威胁检测联动规则可以根据实际情况确定,例如,由云计算系统100根据并行配置服务的并行配置指令以及需要达到的并行配置效果确定。
子步骤S273,确定每个物理网络安全实体的威胁检测规则簇中,每种威胁感知引擎服务的威胁检测规则的目标调用安全组件信息。
一种可独立实施的实施例中,云计算系统100可以将每个物理网络安全实体的威胁检测规则簇中,每种威胁感知引擎服务的威胁检测规则的调用安全组件信息的共用组件信息,确定为该每个物理网络安全实体的威胁检测规则簇中,该每种威胁感知引擎服务的威胁检测规则的目标调用安全组件信息。
示例地,第1物理网络安全实体L1包括直接威胁检测规则T1,直接威胁检测规则T2,间接威胁检测规则T1~间接威胁检测规则T4,长期威胁检测规则Y1和长期威胁检测规则Y2,则云计算系统100将直接威胁检测规则T1与直接威胁检测规则T2的调用安全组件信息的共用组件信息确定为该第1物理网络安全实体L1中的直接威胁检测规则的目标调用安全组件信息,将间接威胁检测规则T1~间接威胁检测规则T4的调用安全组件信息的共用组件信息确定为该第1物理网络安全实体L1中的间接威胁检测规则的目标调用安全组件信息,将长期威胁检测规则Y1与长期威胁检测规则Y2的调用安全组件信息的共用组件信息确定为该第1物理网络安全实体L1中的长期威胁检测规则的目标调用安全组件信息。同理,云计算系统100可以确定第2物理网络安全实体L2中的每种威胁感知引擎服务的威胁检测规则的目标调用安全组件信息。容易理解,每个物理网络安全实体的威胁检测规则簇中,不同威胁感知引擎服务的威胁检测规则的目标调用安全组件信息可以相同或不同。
子步骤S274,并行配置多个威胁检测规则簇中的每个威胁检测规则簇的策略强化绑定字段和策略强化绑定范围中的多种,使每个物理网络安全实体的威胁检测规则簇中的各个威胁检测规则簇的并行配置指令匹配目标并行配置指令,每个物理网络安全实体的威胁检测规则簇中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息匹配目标调用安全组件信息,相关联的威胁检测规则簇的威胁检测联动规则匹配目标威胁检测联动规则,且威胁检测规则簇中的相关联威胁检测规则的威胁检测联动规则匹配目标威胁检测联动规则。
一种可独立实施的实施例中,云计算系统100可以根据多个威胁检测规则簇的调度路由数据,并行配置每个威胁检测规则簇在目标威胁感知调度模型中的调度路由节点,根据子步骤S272确定出的目标并行配置指令,上述子步骤S272确定出目标调用安全组件信息,以及目标威胁检测联动规则并行配置各个威胁检测规则簇的策略强化绑定范围,使每个物理网络安全实体的威胁检测规则簇中的各个威胁检测规则簇的并行配置指令匹配目标并行配置指令,每个物理网络安全实体的威胁检测规则簇中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息匹配目标调用安全组件信息,相关联的威胁检测规则簇的威胁检测联动规则匹配目标威胁检测联动规则,且每个威胁检测规则簇中的相关联威胁检测规则的威胁检测联动规则匹配目标威胁检测联动规则。其中,该子步骤S274所述的目标威胁检测联动规则通常与上述子步骤S272所述的目标威胁检测联动规则相同。
示例地,结合前述示例,对多个威胁检测规则簇进行并行配置之后,位于第1物理网络安全实体L1的威胁检测规则簇ER1和威胁检测规则簇ER2并行配置于对应的策略强化配置数据,且威胁检测规则簇ER1和威胁检测规则簇ER2中,类型相同的威胁检测规则并行配置于对应的策略强化配置数据,位于第2物理网络安全实体L2的威胁检测规则簇ER3和威胁检测规则簇ER4并行配置于对应的策略强化配置数据,且威胁检测规则簇ER3和威胁检测规则簇ER4中,类型相同的威胁检测规则并行配置于对应的策略强化配置数据,且位于同一虚拟网络安全实体的威胁检测规则簇ER1和威胁检测规则簇ER3并行配置于对应的策略强化配置数据,且威胁检测规则簇ER1和威胁检测规则簇ER3中,类型相同的威胁检测规则并行配置于对应的策略强化配置数据,位于同一虚拟网络安全实体的威胁检测规则簇ER2和威胁检测规则簇ER4并行配置于对应的策略强化配置数据,且威胁检测规则簇ER2和威胁检测规则簇ER4中,类型相同的威胁检测规则并行配置于对应的策略强化配置数据。
本领域开发人员容易理解,上述步骤S260至步骤S270是实现威胁检测规则簇策略强化配置数据关联且并行配置于对应的策略强化配置数据的步骤,也即是,上述步骤S220至步骤S250能够实施成为前述实施例的步骤S130,本公开实施例对此不做限定。
一种可独立实施的实施例中,本公开实施例还提供一种基于大数据的安全防御策略确定方法,可以包括以下步骤。
步骤A110,获取目标威胁感知大数据的防御链条数据,其中,防御链条数据对应于一组防御周期事件数据,一组防御周期事件数据中的每个防御周期事件数据用于表示一组安全防御情报数据中对应的一个安全防御情报数据,目标威胁感知大数据为一组安全防御情报数据的威胁感知大数据。
步骤A120,根据防御链条数据,在每个防御周期事件数据上确定出一个目标关键防御行为,得到一组目标关键防御行为,其中,一组目标关键防御行为对应的一组防御行为轨迹不存在轨迹交叉,一组防御行为轨迹中的每个防御行为轨迹包括一组目标关键防御行为中对应的一个目标关键防御行为,一组防御行为轨迹中的每个防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据。
步骤A130,根据一组目标关键防御行为,确定目标威胁感知大数据的安全域间的安全防御策略图谱。
例如,一种可独立实施的实施例中,上述防御链条数据对应于一组防御周期事件数据,如一组防御周期事件数据至少包括3个防御周期事件数据,1个防御周期事件数据对应一个安全防御情报数据。
其中,一种可独立实施的实施例中,上述防御行为轨迹的防御行为字段可以包括但不限于主动防御行为字段、被动防御行为字段、主被动联合防御行为字段等。
一种可独立实施的实施例中,一组防御行为轨迹中的每个防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据,可以包括但不限于:一组目标防御行为轨迹中的每个目标防御行为轨迹的行为类别归属于一组防御周期事件数据中对应的一个防御周期事件数据、且相关于一组目标关键防御行为中对应的目标关键防御行为。
其中,一组防御行为轨迹中的每个防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据,可以包括但不限于:防御行为轨迹的行为类别归属于防御周期事件数据,防御行为轨迹的行为类别归属于目标关键防御行为,例如,防御行为轨迹的为主被动联合防御行为字段,主被动联合防御行为字段的行为类别归属于目标关键防御行为A,则防御行为轨迹引用与安全防御情报数据区域。
需要说明的是,一种可独立实施的实施例中,上述一组目标关键防御行为对应的一组防御行为轨迹不存在轨迹交叉。
例如,在实施例中,步骤A120可以包括:重复执行以下步骤,直到在每个防御周期事件数据上确定出一个目标关键防御行为:
步骤A121,在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为,得到一组候选关键防御行为,其中,每个候选关键防御行为与防御链条数据之间的防御路径属性相同;
步骤A122,为一组候选关键防御行为中的每个候选关键防御行为溯源对应的一个候选防御行为轨迹,得到一组候选防御行为轨迹,其中,一组候选防御行为轨迹中的每个候选防御行为轨迹以一组候选关键防御行为中对应的一个候选关键防御行为为基准溯源目标,一组候选防御行为轨迹中的每个候选防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据;
步骤A123,在一组候选防御行为轨迹中存在与其它候选防御行为轨迹不关联的一个候选防御行为轨迹时,将一个候选防御行为轨迹所对应的候选关键防御行为确定为对应的一个防御周期事件数据上的目标关键防御行为,其中,其它候选防御行为轨迹是一组候选防御行为轨迹中除一个候选防御行为轨迹之外的候选防御行为轨迹。
一种可独立实施的实施例中,在一组防御周期事件数据中将目标安全防御情报数据片段确定为防御链条数据,其中,每个防御周期事件数据上设置有一组安全防御情报数据片段,目标安全防御情报数据片段与至少3个安全防御情报数据片段相连。
其中,例如,主被动联合防御行为字段防御行为轨迹1、主被动联合防御行为字段防御行为轨迹2存在重叠部分,则需要向远离防御链条数据的防御链条情报更新,直到主被动联合防御行为字段防御行为轨迹1、主被动联合防御行为字段防御行为轨迹2不关联时,将不关联时主被动联合防御行为字段防御行为轨迹1的关键防御行为确定为目标关键防御行为、主被动联合防御行为字段防御行为轨迹2的关键防御行为确定为目标关键防御行为。
需要说明的是,一种可独立实施的实施例中,防御行为轨迹的更新可以按照预设的防御路径属性,按照匹配防御链条数据的防御链条情报,在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为。
一种可独立实施的实施例中,可以根据防御链条数据确定一组防御周期事件数据的一组关键防御行为,根据一组关键防御行为设置一组防御行为轨迹,其中,一组防御行为轨迹中的每个防御行为轨迹中的行为类别归属于对应的关键防御行为,也就是说,以关键防御行为作一个归属于防御周期事件数据的直线,以该行为类别为基准溯源目标线确定防御行为轨迹,得到一组防御行为轨迹。
其中,上述设置的防御行为轨迹防御行为字段可以包括但不限于主动防御行为字段、被动防御行为字段等。
例如,一种可独立实施的实施例中,在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为,得到一组候选关键防御行为,可以包括:按照匹配防御链条数据的防御链条情报,在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为,得到一组候选关键防御行为,其中,对于每条等待确定的目标关键防御行为的防御周期事件数据,本轮确定的候选关键防御行为与防御链条数据的防御路径属性大于前一轮确定的关键防御行为与防御链条数据的防御路径属性。
例如,在本实施中,为一组候选关键防御行为中的每个候选关键防御行为溯源对应的一个候选防御行为轨迹,得到一组候选防御行为轨迹,可以包括:为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段相同的一个候选防御行为轨迹,得到一组候选防御行为轨迹,其中,一组候选防御行为轨迹中的每个候选防御行为轨迹的行为类别归属于一组防御周期事件数据中对应的一个防御周期事件数据、且相关于一组候选关键防御行为中对应的候选关键防御行为。
一种可独立实施的实施例中,一组候选关键防御行为中对应的候选防御行为轨迹可以防御行为字段相同,防御行为轨迹的行为类别归属于防御周期事件数据,防御行为轨迹的行为类别归属于目标关键防御行为。例如,一组3个候选关键防御行为设置的候选防御行为轨迹均是主被动联合防御行为字段防御行为轨迹。
需要说明的是,为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段和防御字段元素范围相同的一个候选防御行为轨迹,得到一组候选防御行为轨迹,可以包括:
步骤A210,为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段和防御字段元素范围相同的一个候选防御行为轨迹,得到一组候选防御行为轨迹;或者
步骤A220,为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段相同的一个候选防御行为轨迹,得到一组候选防御行为轨迹,其中,每个候选防御行为轨迹的防御行为代价值大于或等于对应的候选关键防御行为上的安全防御情报的防御行为代价值。
一种可独立实施的实施例中,上述候选防御行为轨迹的防御行为字段可以包括但不限于主动防御行为字段、被动防御行为字段、主被动联合防御行为字段,防御行为轨迹的防御行为代价值可以与所在防御周期事件数据对应的安全防御情报的防御行为代价值相同,也可以大于所在防御周期事件数据对应的安全防御情报的防御行为代价值。如防御行为轨迹可以是主被动联合防御行为字段防御行为轨迹。
通过本申请提供的实施例,以防御链条数据为基准溯源目标在每个防御周期事件数据上确定目标关键防御行为,根据目标关键防御行为形成与目标关键防御行为对应的防御行为轨迹,其中,一组防御行为轨迹不存在轨迹交叉,进而根据确定的一组关键防御行为确定安全域间的安全防御策略图谱,从而根据安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置,结合防御链条数据和防御周期事件数据上确定的目标关键防御行为之间的相关特征,可以提高关键安全策略强化配置的准确性。
例如,一种可独立实施的实施例中,根据一组目标关键防御行为,确定目标威胁感知大数据的安全域间的安全防御策略图谱,可以包括:在一组目标关键防御行为中的每个目标关键防御行为处生成一个安全防御规则源,得到一组安全防御规则源,其中,一组安全防御规则源中的每个安全防御规则源关联于对应的目标关键防御行为,与对应的防御周期事件数据形成防御触发关系;根据一组安全防御规则源,确定目标威胁感知大数据的安全域间的安全防御策略图谱。
一种可独立实施的实施例中,根据一组目标关键防御行为中的每个目标关键防御行为生成一个归属于防御周期事件数据的防御规则源,得到一组安全防御规则源,其中,一组安全防御规则源的防御行为代价值可以相同、也可以不同。一组安全防御规则源的防御规则源防御行为代价值可以大于对应防御周期事件数据所在安全防御情报数据的防御行为代价值。
需要说明的是,在一组目标关键防御行为中的每个目标关键防御行为处生成一个安全防御规则源,得到一组安全防御规则源,可以包括:
在每个目标关键防御行为处生成一个防御行为代价值相同的安全防御规则源,得到一组安全防御规则源,其中,一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准溯源目标,或者,一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准被溯源目标;或者
在每个目标关键防御行为处生成一个安全防御规则源,得到一组安全防御规则源,其中,一组安全防御规则源中的每个安全防御规则源的防御行为代价值等于对应的目标关键防御行为处的安全防御情报的防御行为代价值,一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准溯源目标,或者,一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准被溯源目标。
例如,一种可独立实施的实施例中,根据一组安全防御规则源,确定目标威胁感知大数据的安全域间的安全防御策略图谱,可以包括:对一组安全防御规则源进行规则源绑定,形成安全防御规则源模型,其中,安全域间的安全防御策略图谱为安全防御规则源模型,安全防御规则源模型的模型单元数据部分包括一组安全防御规则源。
其中,对一组安全防御规则源进行规则源绑定,形成安全防御规则源模型,可以包括:对一组安全防御规则源中相连的两个安全防御规则源进行规则源绑定,得到规则源绑定连线,其中,规则源绑定连线的防御行为字段与两个目标关键防御行为之间的防御周期事件数据的防御行为字段匹配,两个目标关键防御行为包括相连的两个安全防御规则源上的目标关键防御行为。
一种可独立实施的实施例中,例如可以根据一组安全防御规则源中的相连两个防御规则源的基准被溯源目标确定参照目标,依次连接两个防御规则源的同一侧的两个基准被溯源目标和参照目标,形成安全防御规则源模型。
例如,一种可独立实施的实施例中,在一组目标关键防御行为中的每个目标关键防御行为处生成一个安全防御规则源,得到一组安全防御规则源,可以包括:在一组目标关键防御行为中的每个目标关键防御行为处生成一个匹配安全防御规则,将每个匹配安全防御规则上位于一组安全防御情报数据的模型单元数据部分之间的防御规则源确定为对应的一个安全防御规则源,其中,每个匹配安全防御规则归属于对应的目标关键防御行为,与对应的防御周期事件数据形成防御触发关系。
根据一组安全防御规则源,确定目标威胁感知大数据的安全域间的安全防御策略图谱,可以包括:将一组安全防御规则源与一组安全防御情报数据的模型单元数据部分形成的图谱确定为目标威胁感知大数据的安全域间的安全防御策略图谱。
图3为本公开实施例提供的基于安全大数据和人工智能的数据展示装置300的功能模块示意图,下面分别对该基于安全大数据和人工智能的数据展示装置300的各个功能模块的功能进行详细阐述。
获取模块310,用于根据互联网信息服务平台的目标威胁感知大数据的安全域间的安全防御策略图谱对互联网信息服务平台进行关键安全策略强化配置,并获取针对配置的策略强化配置数据的模拟攻击防护数据。
获得模块320,用于基于满足模型收敛要求的安全防护性能学习网络对模拟攻击防护数据进行分析,获得模拟攻击防护数据对应的安全防护性能信息。
展示模块330,用于根据模拟攻击防护数据对应的安全防护性能信息,对目标威胁感知大数据对应的安全防护开发页面进行数据展示。
图4示出了本公开实施例提供的用于实现上述的基于安全大数据和人工智能的数据展示方法的云计算系统100的硬件结构示意图,如图4所示,云计算系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
在具体实现过程中,至少一个处理器110执行机器可读存储介质120存储的计算机执行指令,使得处理器110可以执行如上方法实施例的基于安全大数据和人工智能的数据展示方法,处理器110、机器可读存储介质120以及通信单元140通过总线130连接,处理器110可以用于控制通信单元140的收发动作,从而可以与前述的互联网信息服务平台200进行数据收发。
处理器110的具体实现过程可参见上述云计算系统100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
此外,本公开实施例还提供一种可读存储介质,所述可读存储介质中预设有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上基于安全大数据和人工智能的数据展示方法。
最后,应当理解的是,本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此,作为示例而非限制,本说明书实施例的替代配置可视为与本说明书的教导匹配。相应地,本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。
- 基于安全大数据和人工智能的数据展示方法及云计算系统
- 基于人工智能的网络安全大数据处理方法及大数据云系统