采用人工智能决策的大数据分析方法及威胁感知系统

技术领域

本发明涉及威胁感知技术领域，具体而言，涉及一种采用人工智能决策的大数据分析方法及威胁感知系统。

背景技术

随着互联网信息技术的快速发展，各种在云端布置的互联网信息服务可以为广大用户各种需求的云端软件应用，与此同时用户产生的各种数据越来越多，伴随着用户需求的不断增加，其用户数据规模也越来越庞大。其安全性保证是一大难题。相关技术中，基于威胁感知技术研究进行威胁攻击感知数据的搜集，并采用AI技术进行数据挖掘以确定威胁态势，从而可以从整体上动态反映信息安全状况，并对安全状况的发展趋势进行预测和预警，为增强信息安全性提供可靠的参照依据。然而发明人在调查研究过程中发现，相关技术中，缺乏从风险联动维度评估当前分布式防护服务系统所面临的威胁态势，导致在风险联动维度上，缺乏强有力的防护强化的参考数据。

发明内容

为了至少克服现有技术中的上述不足，本发明的目的在于提供一种采用人工智能决策的大数据分析方法及威胁感知系统。

第一方面，本发明提供一种采用人工智能决策的大数据分析方法，所述方法应用于威胁感知系统，所述威胁感知系统与分布式防护服务系统通信，所述方法包括：

从所述分布式防护服务系统在分布式防护进程中提取对应于同一个分布式防护触发节点的至少两个威胁攻击感知数据；

确定位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，以获得每个风险联动标签的威胁攻击联动活动簇；

基于每个风险联动标签的威胁攻击联动活动簇，生成每个风险联动标签下的威胁态势信息。

第二方面，本发明实施例还提供一种采用人工智能决策的大数据分析系统，所述采用人工智能决策的大数据分析系统包括威胁感知系统以及与所述威胁感知系统通信连接的多个分布式防护服务系统；

所述威胁感知系统，用于：

从所述分布式防护服务系统在分布式防护进程中提取对应于同一个分布式防护触发节点的至少两个威胁攻击感知数据；

确定位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，以获得每个风险联动标签的威胁攻击联动活动簇；

基于每个风险联动标签的威胁攻击联动活动簇，生成每个风险联动标签下的威胁态势信息。

采用以上任意方面的技术方案，通过从分布式防护服务系统在分布式防护进程中提取对应于同一个分布式防护触发节点的至少两个威胁攻击感知数据，然后确定位于至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，以获得每个风险联动标签的威胁攻击联动活动簇，由此基于每个风险联动标签的威胁攻击联动活动簇，生成每个风险联动标签下的威胁态势信息。如此，通过挖掘关联于同一个风险联动标签的威胁攻击联动活动，从而针对每个风险联动标签进行威胁态势分析，可以从风险联动维度评估当前分布式防护服务系统所面临的威胁态势，以便于为后续进行防护强化提供参考数据。

附图说明

图1为本发明实施例提供的采用人工智能决策的大数据分析方法的流程示意图；

图2为本发明实施例提供的用于实现上述的采用人工智能决策的大数据分析方法的威胁感知系统的结构示意框图。

具体实施方式

下面介绍本发明一种实施例提供的采用人工智能决策的大数据分析系统10的架构，该采用人工智能决策的大数据分析系统10可以包括威胁感知系统100以及与威胁感知系统100通信连接的分布式防护服务系统200。其中，采用人工智能决策的大数据分析系统10中的威胁感知系统100和分布式防护服务系统200可以通过配合执行以下方法实施例所描述的采用人工智能决策的大数据分析方法，具体威胁感知系统100和分布式防护服务系统200的执行步骤部分可以参照以下方法实施例的详细描述。

本实施例提供的采用人工智能决策的大数据分析方法可以由威胁感知系统100执行，下面结合图1对该采用人工智能决策的大数据分析方法进行详细介绍。

Process100，从所述分布式防护服务系统在分布式防护进程中提取对应于同一个分布式防护触发节点的至少两个威胁攻击感知数据，确定位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，以获得每个风险联动标签的威胁攻击联动活动簇。

本实施例中，分布式防护服务系统可以依据当前正在运行的分布式防护进程执行分布式防护事件，在执行分布式防护事件的过程中，可对应多个不同的分布式防护触发节点，每个分布式防护触发节点可以用于表征具体执行分布式防护时的主动或者被动防护触发过程，在进行分布式防护过程中，针对同一个分布式防护触发节点，可以获得至少两个威胁攻击感知数据，每个威胁攻击感知数据可以理解为在进行分布式防护过程中所感知到的外部服务器发起的威胁攻击数据。由此，可以进一步确定位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，以获得每个风险联动标签的威胁攻击联动活动簇。

Process200，基于每个风险联动标签的威胁攻击联动活动簇，生成每个风险联动标签下的威胁态势信息。

例如，可以将每个风险联动标签的威胁攻击联动活动簇所对应的威胁攻击联动大数据输入到预先训练完成的威胁态势决策模型中，生成每个风险联动标签下的威胁态势信息。

其中，该威胁态势决策模型可以基于深度学习网络模型进行训练，例如可以收集威胁攻击联动数据样本以及每个威胁攻击联动数据样本所对应的威胁态势信息样本，然后将威胁攻击联动数据样本输入到初始化的深度学习网络模型进行决策，获得决策威胁态势信息，在此基础上可以基于决策威胁态势信息和对应的威胁态势信息样本之间的决策损失函数值对该深度学习网络模型的模型参数层进行迭代更新和优化，进而训练获得该威胁态势决策模型。

基于以上步骤，本实施例通过从分布式防护服务系统在分布式防护进程中提取对应于同一个分布式防护触发节点的至少两个威胁攻击感知数据，然后确定位于至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，以获得每个风险联动标签的威胁攻击联动活动簇，由此基于每个风险联动标签的威胁攻击联动活动簇，生成每个风险联动标签下的威胁态势信息。如此，通过挖掘关联于同一个风险联动标签的威胁攻击联动活动，从而针对每个风险联动标签进行威胁态势分析，可以从风险联动维度评估当前分布式防护服务系统所面临的威胁态势，以便于为后续进行防护强化提供参考数据。

一些示例性的设计思路中，前述的Process100的子步骤可以参见下述实施例所介绍的技术方案。

Process11，从所述分布式防护服务系统在分布式防护进程中提取对应于同一个分布式防护触发节点的至少两个威胁攻击感知数据。

针对一些可能的实施方式，可以在相同分布式防护触发节点中分别搜寻至少两个威胁攻击感知数据，或者可以从所述分布式防护服务系统在分布式防护进程中搜寻分布式防护进程数据，将分布式防护进程数据中的至少两个感知数据确定为至少两个威胁攻击感知数据。其中，分布式防护触发节点可以包括需要进行威胁攻击联动活动定位的分布式防护触发节点。

Process12，对所述至少两个威胁攻击感知数据中的各个威胁攻击感知数据进行潜在失陷事件提取以及威胁情报链溯源，确定所述各个威胁攻击感知数据的潜在失陷事件的风险操作特征以及所述各个威胁攻击感知数据中的多个威胁情报链的碰撞分区。

针对一些可能的实施方式，对各个威胁攻击感知数据进行潜在失陷事件提取可以是指从各个威胁攻击感知数据中确定其中的潜在失陷事件的风险操作特征，例如，潜在失陷事件的风险操作特征可以包含欺诈操作特征、窃取操作特征、非认证入侵操作特征等，但不限于此。

针对一些可能的实施方式，威胁情报链可以包含威胁入侵情报链和/或威胁欺诈情报链等具有任意威胁特征的情报链，但不限于此。

此外，潜在失陷事件的风险操作特征可以理解为对至少两个威胁攻击感知数据中的各个威胁攻击感知数据进行潜在失陷事件提取后所得到的存在任意信息安全风险（如非法窃取风险）的行为特征。碰撞分区可以理解为对至少两个威胁攻击感知数据中的各个威胁攻击感知数据进行威胁情报链溯源后所得到的溯源数据位置信息。

Process13，确定所述各个威胁攻击感知数据的潜在失陷事件的风险操作特征中与所述多个威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险操作特征。

针对一些可能的实施方式，各个威胁攻击感知数据中包括多个威胁情报链，在包括威胁情报链的感知数据集中，结合确定出的各个威胁攻击感知数据的潜在失陷事件的风险操作特征，对包括威胁情报链的感知数据集的异常标注事件进行潜在失陷事件提取，确定与多个威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险操作特征。比如，可以获取各个威胁攻击感知数据的潜在失陷事件的风险操作特征中与每个威胁情报链的感知数据集所包含的多个异常标注事件分别关联的目标潜在失陷事件的风险操作特征。

Process14，结合确定的多个所述威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险操作特征，获得位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动。

针对一些可能的实施方式，在各个威胁攻击感知数据中获得了多个威胁情报链的碰撞分区对应的目标潜在失陷事件的风险操作特征，结合所获取的目标潜在失陷事件的风险操作特征进行威胁攻击联动活动定位，可以确定位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动。例如，风险联动标签可以是指威胁攻击联动活动具体执行风险联动的类别，例如针对某医疗病历数据的进行入侵联动的类别等。此外，威胁攻击联动活动可以是指针对某医疗病历数据的进行入侵联动的威胁攻击活动。

基于以上步骤，本实施例通过对所述至少两个威胁攻击感知数据中的各个威胁攻击感知数据进行潜在失陷事件提取以及威胁情报链溯源，确定所述各个威胁攻击感知数据的潜在失陷事件的风险操作特征以及所述各个威胁攻击感知数据中的多个威胁情报链的碰撞分区，确定所述各个威胁攻击感知数据的潜在失陷事件的风险操作特征中与所述多个威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险操作特征，结合确定的多个所述威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险操作特征，获得位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，从而考虑到了以潜在失陷事件的风险操作特征为依据进行威胁攻击联动活动的确定。

针对一些可能的实施方式，Process12的一些示例性子步骤可参见下述实施例。

Process121，提取所述至少两个威胁攻击感知数据中的各个威胁攻击感知数据的第一威胁攻击情报树数据。

针对一些可能的实施方式，可以基于训练完成的的深度学习网络提取各个威胁攻击感知数据的威胁攻击情报特征分布，确定第一威胁攻击情报树数据。深度学习网络可以是LSTM。而威胁攻击情报树数据可以通过特征树的形式进行存储。

Process122，在所述各个威胁攻击感知数据的第一威胁攻击情报树数据中进行威胁情报链溯源，确定所述各个威胁攻击感知数据中的多个威胁情报链的碰撞分区；以及，对所述各个威胁攻击感知数据的第一威胁攻击情报树数据进行潜在失陷事件提取，确定仅涵盖潜在失陷事件的第二威胁攻击情报树数据。

针对一些可能的实施方式，威胁情报链可以包含威胁入侵情报链和/或威胁欺诈情报链。通过深度学习网络模型，可以在各个威胁攻击感知数据的第一威胁攻击情报树数据中进行威胁入侵情报链和/或威胁欺诈情报链提取，确定对应于威胁入侵情报链的威胁入侵感知数据集和/或对应于威胁欺诈情报链的威胁欺诈感知数据集。其中，威胁入侵感知数据集可以通过威胁入侵提取结果进行表达，威胁欺诈感知数据集可以通过威胁欺诈提取结果进行表达。比如，可以将威胁入侵提取结果的参考碰撞分区确定为威胁入侵情报链的碰撞分区。同理，可以将威胁欺诈提取结果的参考碰撞分区确定为威胁欺诈情报链的碰撞分区。

针对一些可能的实施方式，还可以对各个威胁攻击感知数据的第一威胁攻击情报树数据进行潜在失陷事件提取，将第一威胁攻击情报树数据所包含的多种潜在失陷事件的风险操作特征通过不同的提取策略进行提取，从而获得仅涵盖潜在失陷事件的第二威胁攻击情报树数据。比如，第二威胁攻击情报树数据的特征结构与第一威胁攻击情报树数据的特征结构可以保持一致。

针对一些可能的实施方式，Process13的一些示例性子步骤可参见下述实施例：在所述仅涵盖潜在失陷事件的第二威胁攻击情报树数据中确定与所述多个威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险特征分布。

针对一些可能的实施方式，目标潜在失陷事件的风险操作特征旨在表征任意潜在失陷事件的第二威胁攻击情报树数据所包含的多个威胁情报链的感知数据集中的多个异常标注事件分别关联的潜在失陷事件的风险操作特征。其中，威胁情报链可以包含威胁入侵情报链和/或威胁欺诈情报链。

其中，根据目标潜在失陷事件的风险操作特征，在各个潜在失陷事件的第二威胁攻击情报树数据所包含的多个威胁情报链的感知数据集中，各个异常标注事件对应的潜在失陷事件的风险操作特征都可以形成一个单一维度的潜在失陷事件的风险特征分布，为了之后方便进行威胁联动概率确定，可以从部分潜在失陷事件的风险特征分布中筛选出一个或多个潜在失陷事件的风险特征分布来表征该威胁情报链的感知数据集的潜在失陷事件的风险操作特征。

针对一些可能的实施方式，可以筛选威胁情报链的碰撞分区的异常标注事件所对应的潜在失陷事件的风险特征分布，将该潜在失陷事件的风险特征分布确定为该潜在失陷事件的第二威胁攻击情报树数据中威胁情报链的碰撞分区对应的目标潜在失陷事件的风险特征分布。其中，威胁情报链的碰撞分区可以包含威胁入侵提取结果的参考碰撞分区/或威胁欺诈提取结果的参考碰撞分区。

其中，为了提高之后威胁情报链配对的精度，可以针对仅涵盖潜在失陷事件的第二威胁攻击情报树数据中不低于一个潜在失陷事件的第二威胁攻击情报树数据，获取多个威胁情报链的碰撞分区的异常标注事件对应的潜在失陷事件的风险操作特征，获得与所述多个威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险特征分布。比如，对于每个潜在失陷事件的第二威胁攻击情报树数据都可以获取多个威胁情报链的碰撞分区分别关联的目标潜在失陷事件的风险特征分布，使得目标潜在失陷事件的风险特征分布的特征结构与第二威胁攻击情报树数据的特征结构一致。比如，第二威胁攻击情报树数据的特征结构为H，则目标潜在失陷事件的风险特征分布的特征结构也为H。

针对一些可能的实施方式，Process14的一些示例性子步骤可参见下述实施例。

Process141，结合所述至少两个威胁攻击感知数据中各个存在连通特征的连通威胁攻击感知数据分别关联的多个所述目标潜在失陷事件的风险操作特征，获得所述各个存在连通特征的连通威胁攻击感知数据中各个威胁情报链之间的威胁联动概率。

针对一些可能的实施方式，已经确定了各个威胁攻击感知数据的潜在失陷事件的风险操作特征中与所述多个威胁情报链对应的多个目标潜在失陷事件的风险操作特征，可以通过各个存在连通特征的连通威胁攻击感知数据分别关联的多个目标潜在失陷事件的风险操作特征进行威胁联动概率确定，确定各个存在连通特征的连通威胁攻击感知数据中各个威胁情报链之间的威胁联动概率。而连通威胁攻击感知数据可以理解为存在特征连通的威胁攻击感知数据。

Process142，结合所述各个存在连通特征的连通威胁攻击感知数据中各个威胁情报链之间的威胁联动概率，确定位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动。

针对一些可能的实施方式，可以将各个存在连通特征的连通威胁攻击感知数据中，威胁联动概率最大的威胁情报链所对应的威胁攻击联动活动确定为位于不同威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动。

由此，可以根据各个存在连通特征的连通威胁攻击感知数据中各个威胁情报链之间的威胁联动概率确定位于不同威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，能够实现多威胁攻击联动活动的识别和输出。

针对一些可能的实施方式，各个存在连通特征的连通威胁攻击感知数据为第一威胁攻击感知数据Perceptual data1和第二威胁攻击感知数据Perceptual data2。由此，Process141的一些示例性的子步骤可以参见下述实施例。

Process1411，确定第一威胁攻击感知数据中的P个目标潜在失陷事件的风险特征分布分别与第二威胁攻击感知数据中的L个目标潜在失陷事件的风险特征分布之间的威胁联动概率，其中，P和L为大于等于2的正整数。

针对一些可能的实施方式，目标潜在失陷事件的风险操作特征旨在表征各个潜在失陷事件的第二威胁攻击情报树数据所包含的多个威胁情报链的感知数据集中的多个异常标注事件分别关联的潜在失陷事件的风险操作特征。其中，威胁情报链可以包含威胁入侵情报链和/或威胁欺诈情报链。

例如，根据目标潜在失陷事件的风险操作特征，在各个潜在失陷事件的第二威胁攻击情报树数据所包含的多个威胁情报链的感知数据集中，各个异常标注事件对应的潜在失陷事件的风险操作特征都可以形成一个单一维度的潜在失陷事件的风险特征分布，为了之后方便进行威胁联动概率确定，可以从这些潜在失陷事件的风险特征分布中筛选出一个或多个潜在失陷事件的风险特征分布来表征该威胁情报链的感知数据集的潜在失陷事件的风险操作特征。针对一些可能的实施方式，可以选取威胁情报链的碰撞分区的异常标注事件所对应的潜在失陷事件的风险特征分布，将该潜在失陷事件的风险特征分布确定为该潜在失陷事件的第二威胁攻击情报树数据中威胁情报链的碰撞分区对应的目标潜在失陷事件的风险特征分布。其中，威胁情报链的碰撞分区可以包含威胁入侵提取结果的参考碰撞分区/或威胁欺诈提取结果的参考碰撞分区。

例如，在确定威胁联动概率的过程中，可以确定各个存在连通特征的连通威胁攻击感知数据中第一威胁攻击感知数据中的P个目标潜在失陷事件的风险特征分布分别与第二威胁攻击感知数据中的L个目标潜在失陷事件的风险特征分布之间的威胁联动概率，其中，P和L为大于等于2的正整数。其中，确定第一威胁攻击感知数据中的多个目标潜在失陷事件的风险特征分布分别与第二威胁攻击感知数据中的多个目标潜在失陷事件的风险特征分布之间的威胁联动概率。

针对一些可能的实施方式，确定威胁联动概率时，可以目标潜在失陷事件的风险特征分布之间的风险特征点的重合数量。通过确定第一威胁攻击感知数据中的各个目标潜在失陷事件的风险特征分布与第二威胁攻击感知数据中的各个目标潜在失陷事件的风险特征分布的风险特征点的重合数量，来确定对应的威胁联动概率。

Process1412，结合所述第一威胁攻击感知数据中的P个目标潜在失陷事件的风险特征分布分别与所述第二威胁攻击感知数据中的L个目标潜在失陷事件的风险特征分布之间的所述威胁联动概率，确定规模为P*L的威胁联动概率图。

针对一些可能的实施方式，威胁联动概率图（可以理解为威胁联动概率矩阵）中各个概率图元素的数据表征所述第一威胁攻击感知数据的各个第一威胁情报链与所述第二威胁攻击感知数据中的各个第二威胁情报链的威胁联动概率。其中，P和L的取值不限。

由此，可以通过确定第一威胁攻击感知数据中的P个目标潜在失陷事件的风险特征分布分别与第二威胁攻击感知数据中的L个目标潜在失陷事件的风险特征分布之间的威胁联动概率，确定规模为P*L的威胁联动概率图，通过威胁联动概率图表征所述第一威胁攻击感知数据的各个第一威胁情报链与所述第二威胁攻击感知数据中的各个第二威胁情报链的威胁联动概率，从而提高威胁联动概率的可靠性。

针对一些可能的实施方式，对于Process142而言，可以结合所述各个存在连通特征的连通威胁攻击感知数据中各个威胁情报链之间的威胁联动概率，确定位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动。可在威胁联动概率最大的基础上，将P个目标潜在失陷事件的风险特征分布与第二目标潜在失陷事件的风险特征分布进行比较，最后可以确定位于相关联的各个存在连通特征的威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动。

针对一些可能的实施方式，P个目标潜在失陷事件的风险特征分布与L个目标潜在失陷事件的风险特征分布之间的威胁联动概率的特征结构通常不大于P*L。

针对一些可能的实施方式，威胁联动概率最大的同时还需保证该目标威胁联动概率大于预设联动概率。

针对一些可能的实施方式，Process142的一些示例性的子步骤可以参见下述实施例。

Process1421，结合所述威胁联动概率图，在所述P个目标潜在失陷事件的风险特征分布中的第一目标潜在失陷事件的风险特征分布分别与所述L个目标潜在失陷事件的风险特征分布之间的威胁联动概率中，确定目标威胁联动概率。

针对一些可能的实施方式，第一目标潜在失陷事件的风险特征分布是第一威胁攻击感知数据中确定的P个目标潜在失陷事件的风险特征分布中的各个。根据威胁联动概率图可以获得该第一目标潜在失陷事件的风险特征分布与第二威胁攻击感知数据中的每个威胁攻击联动活动的潜在失陷事件的风险特征分布之间的威胁联动概率，在这些威胁联动概率中可以确定出一个目标威胁联动概率。

Process1422，如果分析到所述目标威胁联动概率大于预设联动概率，则在所述L个目标潜在失陷事件的风险特征分布中确定所述目标威胁联动概率对应的第二目标潜在失陷事件的风险特征分布。

针对一些可能的实施方式，第二目标潜在失陷事件的风险特征分布是第二威胁攻击感知数据所包含的L个目标潜在失陷事件的风险特征分布中该目标威胁联动概率对应的目标潜在失陷事件的风险特征分布。

其中，目标威胁联动概率大于预设联动概率。

Process1423，将所述第一威胁攻击感知数据中所述第一目标潜在失陷事件的风险特征分布对应的第一威胁情报链所映射的威胁攻击联动活动和所述第二威胁攻击感知数据中第二目标潜在失陷事件的风险特征分布对应的第二威胁情报链所映射的威胁攻击联动活动，确定为关联于同一风险联动标签的威胁攻击联动活动。

针对一些可能的实施方式，在以上的目标威胁联动概率大于预设联动概率时，才将所述第一威胁攻击感知数据的第一目标潜在失陷事件的风险特征分布对应的第一威胁情报链所映射的威胁攻击联动活动和所述第二威胁攻击感知数据中第二目标潜在失陷事件的风险特征分布对应的第二威胁情报链所映射的威胁攻击联动活动，确定为关联于同一风险联动标签的威胁攻击联动活动。

例如，目标威胁联动概率如果不大于预设联动概率，可以表明第一威胁攻击感知数据中的第一目标潜在失陷事件的风险特征分布对应的第一威胁情报链所映射的威胁攻击联动活动在第二威胁攻击感知数据中不存在具有同一风险联动标签的威胁攻击联动活动。

遍历循环执行以上Process1421-Process1423，遍历循环次数为第一威胁攻击感知数据所包含的目标潜在失陷事件的风险特征分布的数量P，最后可以确定位于第一威胁攻击感知数据和第二威胁攻击感知数据中的所有具有同一风险联动标签的威胁攻击联动活动。

针对一些可能的实施方式，在获取了至少两个威胁攻击感知数据之后，可以将所述至少两个威胁攻击感知数据中的至少两组输入至事先模型参数层优化更新成功的目标威胁感知决策模型，由所述目标威胁感知决策模型对所述至少两个威胁攻击感知数据中的各个威胁攻击感知数据进行潜在失陷事件提取以及威胁情报链溯源，确定所述各个威胁攻击感知数据的潜在失陷事件的风险操作特征以及所述各个威胁攻击感知数据中的多个威胁情报链的碰撞分区，以及结合所述各个威胁攻击感知数据中多个威胁情报链的碰撞分区，确定所述各个威胁攻击感知数据的潜在失陷事件的风险操作特征中与所述多个威胁情报链对应的多个目标潜在失陷事件的风险操作特征。

其中，目标威胁感知决策模型的架构，将至少两个威胁攻击感知数据输入至目标威胁感知决策模型，目标威胁感知决策模型首先通过第一提取分支对至少两个威胁攻击感知数据中的各个威胁攻击感知数据进行潜在失陷事件提取，确定各个威胁攻击感知数据的第一威胁攻击情报树数据。

针对一些可能的实施方式，基于目标威胁感知决策模型的第二提取分支，在所述各个威胁攻击感知数据的第一威胁攻击情报树数据中进行威胁情报链溯源，确定所述各个威胁攻击感知数据中的多个威胁情报链的碰撞分区；以及，结合所述目标威胁感知决策模型的第三提取分支，对所述各个威胁攻击感知数据的第一威胁攻击情报树数据进行潜在失陷事件提取，确定仅涵盖潜在失陷事件的第二威胁攻击情报树数据。其中，威胁情报链可以包含威胁入侵情报链和/或威胁欺诈情报链。第二威胁攻击情报树数据的特征结构与第一威胁攻击情报树数据相同，由此，在每个潜在失陷事件的第二威胁攻击情报树数据中多个威胁情报链的碰撞分区皆为同一个。

针对一些可能的实施方式，在所述仅涵盖潜在失陷事件的第二威胁攻击情报树数据中，可以确定与所述多个威胁情报链的碰撞分区对应的多个目标潜在失陷事件的风险特征分布。威胁情报链的目标碰撞分区可以通过威胁入侵提取结果的参考碰撞分区和/或威胁欺诈提取结果的参考碰撞分区表示。目标潜在失陷事件的风险特征分布的特征结构与第二威胁攻击情报树数据的特征结构一致。

针对一些可能的实施方式，在所述仅涵盖潜在失陷事件的第二威胁攻击情报树数据中提取与所述多个威胁情报链的碰撞分区对应的多个目标潜在失陷事件的风险特征分布之后，可以确定第一威胁攻击感知数据中的P个目标潜在失陷事件的风险特征分布分别与第二威胁攻击感知数据中的L个目标潜在失陷事件的风险特征分布之间的威胁联动概率，从而获得威胁联动概率图，根据该威胁联动概率图，获得位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动，确定思路与以上Process142的思路一致，在此不作重复追溯。

其中，针对第一威胁攻击感知数据Perceptual data1和第二威胁攻击感知数据Perceptual data2，分别输入至以上目标威胁感知决策模型，可以获得分别获得P个目标潜在失陷事件的风险特征分布和L个目标潜在失陷事件的风险特征分布。针对一些可能的实施方式，可以对提取的所述威胁情报链的特征进行决策，从而在确定位于第一威胁攻击感知数据Perceptual data1和第二威胁攻击感知数据Perceptual data2中的具有同一风险联动标签的威胁攻击联动活动。

针对一些可能的实施方式，该方法还可以包括下述实施例。

Process101，将匹配相同分布式防护触发节点的至少两个标的威胁攻击感知数据输入至标的威胁感知决策模型，得到所述标的威胁感知决策模型生成的各个标的威胁攻击感知数据中多个威胁情报链的碰撞分区分别关联的标的潜在失陷事件的风险特征分布。

针对一些可能的实施方式，基于存在的对应相同分布式防护触发节点的至少两个标的感知数据确定为标的威胁感知决策模型的模型输入数据，至少两个标的感知数据中设定通过每个提取结果对应的风险联动标注信息，注释出了多个关联于同一个风险联动标签的威胁攻击联动活动和不同的威胁攻击联动活动。

针对一些可能的实施方式，标的威胁感知决策模型的模型架构同样可以包含第一提取分支、第二提取分支和第三提取分支。在模型输入数据包括至少两个标的威胁攻击感知数据的基础上，可以获得各个标的威胁攻击感知数据中多个威胁情报链的碰撞分区分别关联的标的潜在失陷事件的风险特征分布。

Process102，结合所述各个标的威胁攻击感知数据中进行预先可靠性标注的多个威胁情报链分别关联的风险联动标注信息，在各个存在连通特征的连通标的威胁攻击感知数据中，确定同一个所述风险联动标注信息的所述威胁情报链的碰撞分区对应的所述标的潜在失陷事件的风险特征分布之间的第一威胁联动概率，和/或确定不同的所述风险联动标注信息的所述威胁情报链的碰撞分区对应的所述标的潜在失陷事件的风险特征分布之间的第二威胁联动概率。

针对一些可能的实施方式，结合标的威胁感知决策模型生成的各个标的威胁攻击感知数据中多个威胁情报链的碰撞分区分别关联的标的潜在失陷事件的风险特征分布，可以确定出各个存在连通特征的连通标的威胁攻击感知数据中的相同的所述风险联动标注信息的所述威胁情报链的碰撞分区对应的所述标的潜在失陷事件的风险特征分布之间的第一威胁联动概率，和/或，所述各个存在连通特征的连通标的威胁攻击感知数据中不同的所述风险联动标注信息的所述威胁情报链的碰撞分区对应的所述标的潜在失陷事件的风险特征分布之间的第二威胁联动概率。其中，可以根据标的潜在失陷事件的风险特征分布之间的风险特征点的重合数量获得第一威胁联动概率和第二威胁联动概率。

Process103，以所述各个标的威胁攻击感知数据中进行预先可靠性标注的多个威胁情报链分别关联的风险联动标注信息为训练参考依据，结合所述第一威胁联动概率和所述第二威胁联动概率中的至少一项，对所述标的威胁感知决策模型进行模型参数层优化更新，确定所述目标威胁感知决策模型。

针对一些可能的实施方式，可以通过提高第一威胁联动概率，降低第二威胁联动概率的思路，确定训练收敛指标。以所述各个存在连通特征的连通标的威胁攻击感知数据中多个威胁情报链分别关联的风险联动标注信息为训练参考依据，根据确定出的训练收敛指标，更新模型函数层的权重配置信息，经过模型参数层优化更新后，确定目标威胁感知决策模型。

如此设计，通过以所述各个标的威胁攻击感知数据中进行预先可靠性标注的多个威胁情报链分别关联的风险联动标注信息为训练参考依据，对标的威胁感知决策模型的模型参数层优化更新，确定所述目标威胁感知决策模型，由此提高目标威胁感知决策模型的模型性能。

针对一些可能的实施方式，对于Process103，可以将第一标注威胁联动概率与所述第一威胁联动概率之间的概率损失值确定为第一训练收敛指标。其中，第一标注威胁联动概率为所述各个存在连通特征的标的威胁攻击感知数据中进行预先可靠性标注的关联于同一个标注风险联动标签的威胁情报链所对应的标的潜在失陷事件的风险特征分布之间的标注威胁联动概率。比如，第一标注威胁联动概率是标的潜在失陷事件的风险特征分布之间的风险特征点的重合数量。

其中，通过更新标的威胁感知决策模型的模型函数层的权重配置信息，让第一训练收敛指标最小或满足目标更新次数，确定目标威胁感知决策模型。

针对一些可能的实施方式，可以将第二标注威胁联动概率与所述第二威胁联动概率之间的概率损失值确定为第二训练收敛指标。其中，第二标注威胁联动概率为所述各个存在连通特征的标的威胁攻击感知数据中进行预先可靠性标注的不同的风险联动标注信息的威胁情报链所对应的标的潜在失陷事件的风险特征分布之间的标注威胁联动概率。比如，第二标注威胁联动概率是标的潜在失陷事件的风险特征分布之间的风险特征点的重合数量。

其中，同样通过更新标的威胁感知决策模型的模型函数层的权重配置信息，让第二训练收敛指标最小或满足目标更新次数，确定目标威胁感知决策模型。或者，还可以同时将第一训练收敛指标和第二训练收敛指标确定为标的威胁感知决策模型的训练收敛指标，更新标的威胁感知决策模型的模型函数层的权重配置信息，使得两个训练收敛指标（损失函数）最小或满足目标更新次数，确定目标威胁感知决策模型。

针对一些可能的实施方式，该方法还可以包括下述步骤：Process15，确定位于所述多个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动中的至少一个威胁攻击联动活动在频繁防护触发节点的触发阶段内的威胁防护路径是否与敏感威胁防护路径对应。

譬如，针对一些可能的实施方式，以上实施例还可以包括下述步骤：在确定出位于所述至少两个威胁攻击感知数据中的多个关联于同一个风险联动标签的威胁攻击联动活动之后，如果所述至少两个威胁攻击感知数据为当前防护强化计划所对应的防护节点对应的威胁攻击感知数据，则针对相关联的威胁攻击联动活动的威胁攻击联动大数据进行防护薄弱点挖掘，确定所述相关联的威胁攻击联动活动的防护薄弱点字段；结合所述防护薄弱点字段，确定所述相关联的威胁攻击联动活动的防护强化表项信息，所述防护强化表项信息可表征对所述相关联的威胁攻击联动活动进行对应防护路径的防护强化处理。

其中，防护薄弱点字段可以是指相关联的威胁攻击联动活动的在进行威胁攻击联动过程中防护失败时所对应的威胁攻击路径所构成的字段序列。由此，在确定防护薄弱点字段后，可以获取与所述防护薄弱点字段相对应的目标防护配置项，确定为防护强化表项信息，以便于后续相关安全开发人员针对对应防护路径的防护强化处理。

针对一些可能的实施方式，针对相关联的威胁攻击联动活动的威胁攻击联动大数据进行防护薄弱点挖掘，确定所述相关联的威胁攻击联动活动的防护薄弱点字段，一种示例性的子步骤可以是：对所述威胁攻击联动大数据进行攻击行为要素挖掘，确定目标攻击行为要素簇；针对所述目标攻击行为要素簇中的各攻击行为要素特征，分别进行主动恶意攻击意图挖掘和被动恶意攻击意图挖掘获得主动恶意攻击意图数据和被动恶意攻击意图数据；依据第一攻击影响评估模型对所述主动恶意攻击意图数据进行第一攻击影响评估，确定标定主动攻击意图的第一攻击行为要素簇；依据第二攻击影响评估模型对所述被动恶意攻击意图数据进行第二攻击影响评估，确定标定被动攻击意图的第二攻击行为要素簇；结合所述第一攻击行为要素簇和所述第二攻击行为要素簇进行映射关联，确定所述目标攻击行为要素簇中与预设攻击意图分量相匹配的第三攻击行为要素簇；所述预设攻击意图分量包括主动攻击意图和被动攻击意图中的至少一种；对所述第三攻击行为要素簇进行防护薄弱点提取，确定所述相关联的威胁攻击联动活动的防护薄弱点字段。

其中，不同的攻击影响评估模型针对不同攻击意图类别的挖掘，这样可以对威胁攻击联动大数据进行不同类别的攻击意图挖掘，由此可以便于后续确定的防护薄弱点字段能够从主动攻击层面和被动攻击层面精准表征相关联的威胁攻击联动活动的薄弱点变量。

针对一些可能的实施方式，所述针对所述目标攻击行为要素簇中的各攻击行为要素特征，分别进行主动恶意攻击意图挖掘和被动恶意攻击意图挖掘获得主动恶意攻击意图数据和被动恶意攻击意图数据的步骤，具体包括：对所述目标攻击行为要素簇中的多个攻击行为要素特征分别进行主动恶意攻击意图挖掘，确定各个攻击行为要素特征中的主动恶意攻击意图、以及各主动恶意攻击意图所对应的恶意攻击标签；结合各攻击行为要素特征中的主动恶意攻击意图和对应的恶意攻击标签，确定主动恶意攻击意图数据；对所述目标攻击行为要素簇中的多个攻击行为要素特征分别进行被动恶意攻击意图挖掘，确定被动恶意攻击意图数据。

针对一些可能的实施方式，所述依据第一攻击影响评估模型对所述主动恶意攻击意图数据进行第一攻击影响评估，确定标定主动攻击意图的第一攻击行为要素簇的步骤，具体包括：对所述主动恶意攻击意图数据中的每个攻击行为要素特征分别进行攻击渗透字段匹配，确定每个攻击行为要素特征分别关联的目标攻击渗透字段；结合每个攻击行为要素特征中与对应目标攻击渗透字段对应的主动恶意攻击意图的渗透层级，分别进行数据筛选处理，确定筛选后的主动恶意攻击意图数据；对所述筛选后的主动恶意攻击意图数据进行频繁项提取，确定多个标定主动攻击意图的第一模糊攻击行为要素簇；基于各所述第一模糊攻击行为要素簇分别所属的主动攻击意图类别，对属于相同主动攻击意图类别的第一模糊攻击行为要素簇进行要素重构，确定标定主动攻击意图的第一攻击行为要素簇。

针对一些可能的实施方式，所述对所述主动恶意攻击意图数据中的每个攻击行为要素特征分别进行攻击渗透字段匹配，确定每个攻击行为要素特征分别关联的目标攻击渗透字段的步骤，具体包括：针对所述主动恶意攻击意图数据中的每个攻击行为要素特征，当攻击行为要素特征的恶意攻击标签的数量大于或者等于两个时，获取每个恶意攻击标签的攻击渗透字段的渗透影响因子；当攻击渗透字段的渗透影响因子最大的恶意攻击标签为一个时，将所述攻击渗透字段的渗透影响因子最大的恶意攻击标签作为对应攻击行为要素特征的目标攻击渗透字段；当所述攻击渗透字段的渗透影响因子最大的恶意攻击标签的数量大于或者等于两个时，针对每个攻击渗透字段的渗透影响因子最大的恶意攻击标签，获取对应的主动恶意攻击意图的攻击意图频率；基于最大的攻击意图频率所对应的恶意攻击标签，确定对应攻击行为要素特征所对应的目标攻击渗透字段。由此，通过攻击意图频率可以确保攻击行为要素特征所对应的目标攻击渗透字段的可信度。

图2示出了本发明实施例提供的用于实现上述的采用人工智能决策的大数据分析系统的威胁感知系统100的硬件结构意图，如图2所示，威胁感知系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。

处理器110可以根据存储在机器可读存储介质120中的程序而执行各种适当的动作和处理，例如前述实施例所描述的采用人工智能决策的大数据分析方法所对应的程序指令。处理器110、机器可读存储介质120以及通信单元140通过总线130进行信号传输。

特别地，根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信单元140从网络上被下载和安装，在该计算机程序被处理器110执行时，执行本发明实施例的方法中限定的上述功能。

本发明又一实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如上述任一实施例所述的采用人工智能决策的大数据分析方法。

需要说明的是，本发明上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器（LAM）、只读存储器（LOM）、可擦式可编程只读存储器（EPLOM或闪存）、光纤、便携式紧凑磁盘只读存储器（CD-LOM）、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、LM（射频）等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备执行上述实施例所示的方法。

本发明又一实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现如上述任一实施例所述的采用人工智能决策的大数据分析方法。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。