基于大数据分析的信息安全防御处理方法及云计算系统

技术领域

本公开涉及信息安全技术领域，示例性地，涉及一种基于大数据分析的信息安全防御处理方法及云计算系统。

背景技术

目前，随着网络信息技术的快速发展，信息化技术被应用到各个领域，给生活和生产带来了极大的便利。同时，信息安全问题变得越来越多，信息攻击也变得越来越频繁，造成用户隐私数据泄露，互联网服务瘫痪，对社会利益带来了巨大的损失。

在相关技术中，通过进行关键安全策略强化配置，例如通过对威胁感知大数据进行分析，以确定其对应的威胁感知大数据的安全域间的安全防御策略图谱后进行关键安全策略强化配置，然而传统的强化配置过程中，考虑到特征不够全面，导致关键安全策略强化配置的准确性不够。

发明内容

为了至少克服现有技术中的上述不足，本公开的目的在于提供一种基于大数据分析的信息安全防御处理方法及云计算系统。

第一方面，本公开提供一种基于大数据分析的信息安全防御处理方法，应用于云计算系统，所述云计算系统与多个互联网信息服务平台通信连接，所述方法包括：

获取所述互联网信息服务平台的目标威胁感知大数据的防御链条数据，其中，所述防御链条数据对应于一组防御周期事件数据，所述一组防御周期事件数据中的每个防御周期事件数据用于表示一组安全防御情报数据中对应的一个安全防御情报数据，所述目标威胁感知大数据为所述一组安全防御情报数据的威胁感知大数据；

根据所述防御链条数据，在每个所述防御周期事件数据上确定出一个目标关键防御行为，得到一组目标关键防御行为，其中，所述一组目标关键防御行为对应的一组防御行为轨迹不存在轨迹交叉，所述一组防御行为轨迹中的每个防御行为轨迹包括所述一组目标关键防御行为中对应的一个目标关键防御行为，所述一组防御行为轨迹中的每个防御行为轨迹归属于所述一组防御周期事件数据中对应的一个防御周期事件数据；

根据所述一组目标关键防御行为，确定所述目标威胁感知大数据的安全域间的安全防御策略图谱；

根据所述目标威胁感知大数据的安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置。

第二方面，本公开实施例还提供一种基于大数据分析的信息安全防御处理系统，所述基于大数据分析的信息安全防御处理系统包括云计算系统以及与所述云计算系统通信连接的多个互联网信息服务平台；

所述云计算系统，用于：

获取所述互联网信息服务平台的目标威胁感知大数据的防御链条数据，其中，所述防御链条数据对应于一组防御周期事件数据，所述一组防御周期事件数据中的每个防御周期事件数据用于表示一组安全防御情报数据中对应的一个安全防御情报数据，所述目标威胁感知大数据为所述一组安全防御情报数据的威胁感知大数据；

根据所述防御链条数据，在每个所述防御周期事件数据上确定出一个目标关键防御行为，得到一组目标关键防御行为，其中，所述一组目标关键防御行为对应的一组防御行为轨迹不存在轨迹交叉，所述一组防御行为轨迹中的每个防御行为轨迹包括所述一组目标关键防御行为中对应的一个目标关键防御行为，所述一组防御行为轨迹中的每个防御行为轨迹归属于所述一组防御周期事件数据中对应的一个防御周期事件数据；

根据所述一组目标关键防御行为，确定所述目标威胁感知大数据的安全域间的安全防御策略图谱；

根据所述目标威胁感知大数据的安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置。

根据上述任意一个方面，本公开提供的实施方式中，以防御链条数据为基准溯源目标在每个防御周期事件数据上确定目标关键防御行为，根据目标关键防御行为形成与目标关键防御行为对应的防御行为轨迹，其中，一组防御行为轨迹不存在轨迹交叉，进而根据确定的一组关键防御行为确定安全域间的安全防御策略图谱，从而根据安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置，结合防御链条数据和防御周期事件数据上确定的目标关键防御行为之间的相关特征，可以提高关键安全策略强化配置的准确性。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要调用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通开发人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本公开实施例提供的基于大数据分析的信息安全防御处理系统的应用场景示意图；

图2为本公开实施例提供的基于大数据分析的信息安全防御处理方法的流程示意图；

图3为本公开实施例提供的基于大数据分析的信息安全防御处理装置的功能模块示意图；

图4为本公开实施例提供的用于实现上述的基于大数据分析的信息安全防御处理方法的云计算系统的结构示意框图。

具体实施方式

下面结合说明书附图，对本公开实施例的方案进行详细说明。以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、接口、技术之类的具体细节，以便透彻理解本公开具体实施例。

图1是本公开一种实施例提供的基于大数据分析的信息安全防御处理系统10的场景示意图。基于大数据分析的信息安全防御处理系统10可以包括云计算系统100以及与云计算系统100通信连接的互联网信息服务平台200。图1所示的基于大数据分析的信息安全防御处理系统10仅为一种可行的示例，在其它可行的实施例中，该基于大数据分析的信息安全防御处理系统10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的组成部分。

本实施例中，基于大数据分析的信息安全防御处理系统10中的云计算系统100和互联网信息服务平台200可以通过配合执行以下方法实施例所描述的基于大数据分析的信息安全防御处理方法，具体云计算系统100和互联网信息服务平台200的执行步骤部分可以参照以下方法实施例的详细描述。

基于前述背景技术，图2为本公开实施例提供的基于大数据分析的信息安全防御处理方法的流程示意图，本实施例提供的基于大数据分析的信息安全防御处理方法可以由图1中所示的云计算系统100执行，下面对该基于大数据分析的信息安全防御处理方法进行详细介绍。

步骤S110，获取目标威胁感知大数据的防御链条数据，其中，防御链条数据对应于一组防御周期事件数据，一组防御周期事件数据中的每个防御周期事件数据用于表示一组安全防御情报数据中对应的一个安全防御情报数据，目标威胁感知大数据为一组安全防御情报数据的威胁感知大数据。

步骤S120，根据防御链条数据，在每个防御周期事件数据上确定出一个目标关键防御行为，得到一组目标关键防御行为，其中，一组目标关键防御行为对应的一组防御行为轨迹不存在轨迹交叉，一组防御行为轨迹中的每个防御行为轨迹包括一组目标关键防御行为中对应的一个目标关键防御行为，一组防御行为轨迹中的每个防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据。

步骤S130，根据一组目标关键防御行为，确定目标威胁感知大数据的安全域间的安全防御策略图谱。

步骤S140，根据所述目标威胁感知大数据的安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置。

例如，一种可独立实施的实施例中，上述防御链条数据对应于一组防御周期事件数据，如一组防御周期事件数据至少包括3个防御周期事件数据，1个防御周期事件数据对应一个安全防御情报数据。

其中，一种可独立实施的实施例中，上述防御行为轨迹的防御行为字段可以包括但不限于主动防御行为字段、被动防御行为字段、主被动联合防御行为字段等。

一种可独立实施的实施例中，一组防御行为轨迹中的每个防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据，可以包括但不限于：一组目标防御行为轨迹中的每个目标防御行为轨迹的行为类别归属于一组防御周期事件数据中对应的一个防御周期事件数据、且相关于一组目标关键防御行为中对应的目标关键防御行为。

其中，一组防御行为轨迹中的每个防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据，可以包括但不限于：防御行为轨迹的行为类别归属于防御周期事件数据，防御行为轨迹的行为类别归属于目标关键防御行为，例如，防御行为轨迹的为主被动联合防御行为字段，主被动联合防御行为字段的行为类别归属于目标关键防御行为A，则防御行为轨迹引用与安全防御情报数据区域。

需要说明的是，一种可独立实施的实施例中，上述一组目标关键防御行为对应的一组防御行为轨迹不存在轨迹交叉，例如，对应3个防御周期事件数据的3个主被动联合防御行为字段防御行为轨迹，其中，3个主被动联合防御行为字段防御行为轨迹归属于对应的3个防御周期事件数据，主被动联合防御行为字段防御行为轨迹1引用防御周期事件数据1，主被动联合防御行为字段防御行为轨迹2归属于防御周期事件数据2、主被动联合防御行为字段防御行为轨迹3归属于防御周期事件数据3。

例如，在实施例中，步骤S120可以包括：重复执行以下步骤，直到在每个防御周期事件数据上确定出一个目标关键防御行为：

步骤S121，在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为，得到一组候选关键防御行为，其中，每个候选关键防御行为与防御链条数据之间的防御路径属性相同；

步骤S122，为一组候选关键防御行为中的每个候选关键防御行为溯源对应的一个候选防御行为轨迹，得到一组候选防御行为轨迹，其中，一组候选防御行为轨迹中的每个候选防御行为轨迹以一组候选关键防御行为中对应的一个候选关键防御行为为基准溯源目标，一组候选防御行为轨迹中的每个候选防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据；

步骤S123，在一组候选防御行为轨迹中存在与其它候选防御行为轨迹不关联的一个候选防御行为轨迹时，将一个候选防御行为轨迹所对应的候选关键防御行为确定为对应的一个防御周期事件数据上的目标关键防御行为，其中，其它候选防御行为轨迹是一组候选防御行为轨迹中除一个候选防御行为轨迹之外的候选防御行为轨迹。

一种可独立实施的实施例中，例如可以预先获取一组防御周期事件数据，其中，一组防御周期事件数据中的每个防御周期事件中预先会标注多个关键防御行为，多个关键防御行为处会保存该防御周期事件数据对应的安全防御情报的防御行为代价值参数。例如，3个防御周期事件数据上每个防御周期事件数据候选关键防御行为为关键防御行为1、关键防御行为2、关键防御行为3，3个关键防御行为与防御链条数据之间的防御路径属性相同。

一种可独立实施的实施例中，在一组防御周期事件数据中将目标安全防御情报数据片段确定为防御链条数据，其中，每个防御周期事件数据上设置有一组安全防御情报数据片段，目标安全防御情报数据片段与至少3个安全防御情报数据片段相连。

其中，将候选关键防御行为作为防御行为轨迹的关键行为，设置每个候选关键防御行为溯源对应的一个候选防御行为轨迹，例如，为关键防御行为1、关键防御行为2、关键防御行为3作为基准溯源目标分别设置主被动联合防御行为字段防御行为轨迹1、主被动联合防御行为字段防御行为轨迹2、主被动联合防御行为字段防御行为轨迹3。

需要说明的是，在候选防御行为轨迹与其它候选防御行为轨迹不关联时，将候选防御行为轨迹的关键防御行为确定为目标关键防御行为，例如，候选关键防御行为3对应的主被动联合防御行为字段防御行为轨迹3与主被动联合防御行为字段防御行为轨迹1、主被动联合防御行为字段防御行为轨迹2不关联，在将关键防御行为3确定为目标关键防御行为。也就是说，确定目标关键防御行为的过程是不断判断的过程，判断出满足条件的关键防御行为作为目标关键防御行为，目标关键防御行为是防御行为轨迹行为类别上的点，一组防御行为轨迹相互不关联。

其中，例如，主被动联合防御行为字段防御行为轨迹1、主被动联合防御行为字段防御行为轨迹2存在重叠部分，则需要向远离防御链条数据的防御链条情报更新，直到主被动联合防御行为字段防御行为轨迹1、主被动联合防御行为字段防御行为轨迹2不关联时，将不关联时主被动联合防御行为字段防御行为轨迹1的关键防御行为确定为目标关键防御行为、主被动联合防御行为字段防御行为轨迹2的关键防御行为确定为目标关键防御行为。

需要说明的是，一种可独立实施的实施例中，防御行为轨迹的更新可以按照预设的防御路径属性，按照匹配防御链条数据的防御链条情报，在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为。

一种可独立实施的实施例中，可以根据防御链条数据确定一组防御周期事件数据的一组关键防御行为，根据一组关键防御行为设置一组防御行为轨迹，其中，一组防御行为轨迹中的每个防御行为轨迹中的行为类别归属于对应的关键防御行为，也就是说，以关键防御行为作一个归属于防御周期事件数据的直线，以该行为类别为基准溯源目标线确定防御行为轨迹，得到一组防御行为轨迹。

在一组防御行为轨迹中存在存在交集的2个防御行为轨迹时，需要在防御周期事件数据上远离防御链条数据方向移动2个检测防御行为轨迹，直到2个防御行为轨迹不关联，则将不关联时对应的关键防御行为确定为目标关键防御行为。

其中，上述设置的防御行为轨迹防御行为字段可以包括但不限于主动防御行为字段、被动防御行为字段等。

例如，一种可独立实施的实施例中，在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为，得到一组候选关键防御行为，可以包括：按照匹配防御链条数据的防御链条情报，在一组防御周期事件数据中等待确定的目标关键防御行为的防御周期事件数据上确定一个候选关键防御行为，得到一组候选关键防御行为，其中，对于每条等待确定的目标关键防御行为的防御周期事件数据，本轮确定的候选关键防御行为与防御链条数据的防御路径属性大于前一轮确定的关键防御行为与防御链条数据的防御路径属性。

例如，在本实施中，为一组候选关键防御行为中的每个候选关键防御行为溯源对应的一个候选防御行为轨迹，得到一组候选防御行为轨迹，可以包括：为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段相同的一个候选防御行为轨迹，得到一组候选防御行为轨迹，其中，一组候选防御行为轨迹中的每个候选防御行为轨迹的行为类别归属于一组防御周期事件数据中对应的一个防御周期事件数据、且相关于一组候选关键防御行为中对应的候选关键防御行为。

一种可独立实施的实施例中，一组候选关键防御行为中对应的候选防御行为轨迹可以防御行为字段相同，防御行为轨迹的行为类别归属于防御周期事件数据，防御行为轨迹的行为类别归属于目标关键防御行为。例如，一组3个候选关键防御行为设置的候选防御行为轨迹均是主被动联合防御行为字段防御行为轨迹。

需要说明的是，为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段和防御字段元素范围相同的一个候选防御行为轨迹，得到一组候选防御行为轨迹，可以包括：

步骤S210，为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段和防御字段元素范围相同的一个候选防御行为轨迹，得到一组候选防御行为轨迹；或者

步骤S220，为一组候选关键防御行为中的每个候选关键防御行为溯源对应的防御行为字段相同的一个候选防御行为轨迹，得到一组候选防御行为轨迹，其中，每个候选防御行为轨迹的防御行为代价值大于或等于对应的候选关键防御行为上的安全防御情报的防御行为代价值。

一种可独立实施的实施例中，上述候选防御行为轨迹的防御行为字段可以包括但不限于主动防御行为字段、被动防御行为字段、主被动联合防御行为字段，防御行为轨迹的防御行为代价值可以与所在防御周期事件数据对应的安全防御情报的防御行为代价值相同，也可以大于所在防御周期事件数据对应的安全防御情报的防御行为代价值。如防御行为轨迹可以是主被动联合防御行为字段防御行为轨迹。

通过本申请提供的实施例，以防御链条数据为基准溯源目标在每个防御周期事件数据上确定目标关键防御行为，根据目标关键防御行为形成与目标关键防御行为对应的防御行为轨迹，其中，一组防御行为轨迹不存在轨迹交叉，进而根据确定的一组关键防御行为确定安全域间的安全防御策略图谱，从而根据安全域间的安全防御策略图谱对所述互联网信息服务平台进行关键安全策略强化配置，结合防御链条数据和防御周期事件数据上确定的目标关键防御行为之间的相关特征，可以提高关键安全策略强化配置的准确性。

例如，一种可独立实施的实施例中，根据一组目标关键防御行为，确定目标威胁感知大数据的安全域间的安全防御策略图谱，可以包括：在一组目标关键防御行为中的每个目标关键防御行为处生成一个安全防御规则源，得到一组安全防御规则源，其中，一组安全防御规则源中的每个安全防御规则源关联于对应的目标关键防御行为，与对应的防御周期事件数据形成防御触发关系；根据一组安全防御规则源，确定目标威胁感知大数据的安全域间的安全防御策略图谱。

一种可独立实施的实施例中，根据一组目标关键防御行为中的每个目标关键防御行为生成一个归属于防御周期事件数据的防御规则源，得到一组安全防御规则源，其中，一组安全防御规则源的防御行为代价值可以相同、也可以不同。一组安全防御规则源的防御规则源防御行为代价值可以大于对应防御周期事件数据所在安全防御情报数据的防御行为代价值，例如，归属于3个目标关键防御行为确定3个归属于对应的3个防御周期事件数据的防御规则源。归属于关键防御行为1作归属于防御周期事件数据的安全防御规则源1、归属于关键防御行为2作归属于防御周期事件数据的安全防御规则源2、归属于关键防御行为3作归属于防御周期事件数据的安全防御规则源3。

需要说明的是，在一组目标关键防御行为中的每个目标关键防御行为处生成一个安全防御规则源，得到一组安全防御规则源，可以包括：

在每个目标关键防御行为处生成一个防御行为代价值相同的安全防御规则源，得到一组安全防御规则源，其中，一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准溯源目标，或者，一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准被溯源目标；或者

在每个目标关键防御行为处生成一个安全防御规则源，得到一组安全防御规则源，其中，一组安全防御规则源中的每个安全防御规则源的防御行为代价值等于对应的目标关键防御行为处的安全防御情报的防御行为代价值，一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准溯源目标，或者，一组安全防御规则源中的每个安全防御规则源以对应的目标关键防御行为为基准被溯源目标。

例如，一种可独立实施的实施例中，根据一组安全防御规则源，确定目标威胁感知大数据的安全域间的安全防御策略图谱，可以包括：对一组安全防御规则源进行规则源绑定，形成安全防御规则源模型，其中，安全域间的安全防御策略图谱为安全防御规则源模型，安全防御规则源模型的模型单元数据部分包括一组安全防御规则源。

其中，对一组安全防御规则源进行规则源绑定，形成安全防御规则源模型，可以包括：对一组安全防御规则源中相连的两个安全防御规则源进行规则源绑定，得到规则源绑定连线，其中，规则源绑定连线的防御行为字段与两个目标关键防御行为之间的防御周期事件数据的防御行为字段匹配，两个目标关键防御行为包括相连的两个安全防御规则源上的目标关键防御行为。

一种可独立实施的实施例中，例如可以根据一组安全防御规则源中的相连两个防御规则源的基准被溯源目标确定参照目标，依次连接两个防御规则源的同一侧的两个基准被溯源目标和参照目标，形成安全防御规则源模型。例如，根据安全防御规则源1在防御周期事件数据1中得到基准被溯源目标2，安全防御规则源3在防御周期事件数据1中得到基准被溯源目标3，通过基准被溯源目标2和基准被溯源目标3得到分别归属于安全防御规则源1和安全防御规则源3的引用信息，得到安全防御规则源2和安全防御规则源4，以及得到安全防御规则源2和安全防御规则源4的相关属性B，连接基准被溯源目标2、和基准被溯源目标3得到安全防御策略1。按照相同方式，确定安全防御策略2、安全防御策略3。安全防御策略1、安全防御策略2、安全防御策略3以及一组安全防御规则源确定出安全域间的安全防御策略图谱。

例如，一种可独立实施的实施例中，在一组目标关键防御行为中的每个目标关键防御行为处生成一个安全防御规则源，得到一组安全防御规则源，可以包括：在一组目标关键防御行为中的每个目标关键防御行为处生成一个匹配安全防御规则，将每个匹配安全防御规则上位于一组安全防御情报数据的模型单元数据部分之间的防御规则源确定为对应的一个安全防御规则源，其中，每个匹配安全防御规则归属于对应的目标关键防御行为，与对应的防御周期事件数据形成防御触发关系。

根据一组安全防御规则源，确定目标威胁感知大数据的安全域间的安全防御策略图谱，可以包括：将一组安全防御规则源与一组安全防御情报数据的模型单元数据部分形成的图谱确定为目标威胁感知大数据的安全域间的安全防御策略图谱。

一种可独立实施的实施例中，本公开实施例还提供一种基于大数据分析的信息安全防御处理方法，包括以下步骤：

步骤A110，根据每个安全防御策略下的各个目标有效防火墙隔离业务层的隔离字段标签序列，获取每个安全防御策略下的多个威胁检测规则。

步骤A120，确定多个威胁检测规则的威胁感知引擎服务信息。

其中，多个威胁检测规则中存在多种威胁感知引擎服务的威胁检测规则，威胁感知引擎服务信息指示多个威胁检测规则中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息，多个威胁检测规则中不同威胁感知引擎服务的威胁检测规则的调用安全组件信息呈预设联动关系。

一种可独立实施的实施例中，多个威胁检测规则可以是每个安全防御策略下各个目标有效防火墙隔离业务层的隔离字段标签序列在威胁感知平台中确定的多个威胁检测规则，该多个威胁检测规则可以包括直接威胁检测规则、间接威胁检测规则和长期威胁检测规则等，且直接威胁检测规则、间接威胁检测规则和长期威胁检测规则为不同威胁感知引擎服务的威胁检测规则。

步骤A130，根据多个威胁检测规则的威胁感知引擎服务信息，对多个威胁检测规则进行分簇得到多个威胁检测规则簇，威胁检测规则簇包括多种威胁感知引擎服务的威胁检测规则。

一种可独立实施的实施例中，每个威胁检测规则簇可以包括上述多个威胁检测规则中所有威胁感知引擎服务的威胁检测规则，且每个威胁检测规则簇中同一威胁感知引擎服务的威胁检测规则可以是一个或一个以上。例如，每个威胁检测规则簇可以包括1个直接威胁检测规则、2个间接威胁检测规则和1个长期威胁检测规则。

步骤A140，对多个威胁检测规则簇进行所述互联网信息服务平台的关键安全策略强化配置，使多个威胁检测规则簇中位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据，位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。

其中，每个威胁检测规则簇中，不同威胁检测规则可以按照虚拟网络安全实体方向排布。位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据，位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据指的可以是：位于同一物理网络安全实体的所有威胁检测规则簇的调用安全组件信息相同，位于同一虚拟网络安全实体的所有威胁检测规则簇的并行配置指令相同，位于同一物理网络安全实体中的同一威胁感知引擎服务的威胁检测规则的调用安全组件信息相同，且每个威胁检测规则簇中相关联威胁检测规则的威胁检测联动规则相同。示例地，每个威胁检测规则簇可以包括1个直接威胁检测规则、2个间接威胁检测规则和1个长期威胁检测规则，则位于同一物理网络安全实体中的同一威胁感知引擎服务的威胁检测规则的调用安全组件信息相同指的是：位于同一物理网络安全实体的直接威胁检测规则的调用安全组件信息相同，位于同一物理网络安全实体的间接威胁检测规则的调用安全组件信息相同，且位于同一物理网络安全实体的长期威胁检测规则的调用安全组件信息相同。

一种可独立实施的实施例中，云计算系统100可以先对该多个威胁检测规则簇进行初始策略强化配置数据关联，以确定出对该多个威胁检测规则簇进行所述互联网信息服务平台的关键安全策略强化配置的物理网络安全实体数、每个物理网络安全实体的威胁检测规则簇的调用安全组件信息以及每个物理网络安全实体的威胁检测规则簇(也即是确定出物理网络安全实体数和虚拟网络安全实体数)，之后，并行配置该多个威胁检测规则簇的策略强化绑定范围和策略强化绑定字段中的多种，使位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据，且位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。

在具体实现时，策略强化配置数据可以灵活选定，如基于不同的兴趣威胁感知引擎服务策略的策略强化配置数据源，此处与本申请所解决的技术问题无关，具体不作赘述。

综上所述，云计算系统100确定多个威胁检测规则的威胁感知引擎服务信息后，可以根据该多个威胁检测规则威胁感知引擎服务信息，对该多个威胁检测规则进行分簇得到多个威胁检测规则簇，之后对该多个威胁检测规则簇进行所述互联网信息服务平台的关键安全策略强化配置，使该多个威胁检测规则簇中位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据，位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。如此，可以简化威胁检测规则并行配置过程，提高并行配置精度。

另一种可独立实施的实施例中，基于大数据分析的信息安全防御处理方法还可以包括以下步骤。

步骤A210，确定多个威胁检测规则的威胁感知引擎服务信息，多个威胁检测规则中存在多种威胁感知引擎服务的威胁检测规则，威胁感知引擎服务信息指示多个威胁检测规则中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息，多个威胁检测规则中不同威胁感知引擎服务的威胁检测规则的调用安全组件信息呈预设联动关系。

一种可独立实施的实施例中，云计算系统100中可以配置有相关威胁感知接口，该相关威胁感知接口可以提供威胁感知平台，该多个威胁检测规则可以是用户在该威胁感知平台中选择的多个威胁检测规则，该多个威胁检测规则中可以存在多种威胁感知引擎服务的威胁检测规则，且该多个威胁检测规则中不同威胁感知引擎服务的威胁检测规则的调用安全组件信息通常可以呈预设联动关系，以便于能够对该多个威胁检测规则进行所述互联网信息服务平台的关键安全策略强化配置。其中，本实施例可以对威胁检测规则进行选择，例如该多个威胁检测规则可以包括直接威胁检测规则、间接威胁检测规则和长期威胁检测规则，直接威胁检测规则、间接威胁检测规则和长期威胁检测规则为三种不同威胁感知引擎服务的威胁检测规则。

示例地，假设该多个威胁检测规则可以包括4个直接威胁检测规则，8个间接威胁检测规则和4个长期威胁检测规则，该4个直接威胁检测规则为直接威胁检测规则T1～直接威胁检测规则T4，8个间接威胁检测规则为间接威胁检测规则T1～间接威胁检测规则T8，4个长期威胁检测规则为长期威胁检测规则Y1～长期威胁检测规则Y4，间接威胁检测规则的调用安全组件信息为直接威胁检测规则的调用安全组件信息的2倍，长期威胁检测规则的调用安全组件信息为直接威胁检测规则的调用安全组件信息的1倍，也即是，直接威胁检测规则、间接威胁检测规则和长期威胁检测规则的调用安全组件信息呈预设联动关系。

一种可独立实施的实施例中，云计算系统100可以对该多个威胁检测规则进行类型统计，得到每个威胁检测规则的类型，进而根据该多个威胁检测规则的类型确定该多个威胁检测规则的威胁感知引擎服务信息。

步骤A220，根据多个威胁检测规则的威胁感知引擎服务信息，确定分簇规则。

一种可独立实施的实施例中，云计算系统100根据多个威胁检测规则的威胁感知引擎服务信息，将上述多种威胁感知引擎服务的威胁检测规则的调用安全组件信息中，最少的调用安全组件信息确定为分簇规则，该分簇规则可以采用m表示，m为大于或等于1的整数。

示例地，假设在多个威胁检测规则中，直接威胁检测规则、间接威胁检测规则和长期威胁检测规则这三种威胁感知引擎服务的威胁检测规则的调用安全组件信息中，最少的调用安全组件信息为4，因此云计算系统100可以确定分簇规则为4，也即是，m＝4。其中，该最少的调用安全组件信息4可以是直接威胁检测规则的调用安全组件信息，也可以是长期威胁检测规则的调用安全组件信息。

步骤A230，根据多个威胁检测规则中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息和分簇规则，确定每个威胁检测规则簇中该每种威胁感知引擎服务的威胁检测规则的调用安全组件信息。

一种可独立实施的实施例中，云计算系统100可以将多个威胁检测规则中，每种威胁感知引擎服务的威胁检测规则的调用安全组件信息和分簇规则的关系，确定为每个威胁检测规则簇中该每种威胁感知引擎服务的威胁检测规则的调用安全组件信息，每个威胁检测规则簇中该每种威胁感知引擎服务的威胁检测规则的调用安全组件信息可以采用n表示，n为大于或等于1的整数。

示例地，多个威胁检测规则包括4个直接威胁检测规则，8个间接威胁检测规则和4个长期威胁检测规则，分簇规则为4，则云计算系统100可以将该多个威胁检测规则中，直接威胁检测规则的调用安全组件信息与分簇规则的关系确定为每个威胁检测规则簇中直接威胁检测规则的调用安全组件信息，间接威胁检测规则的调用安全组件信息与分簇规则的关系确定为每个威胁检测规则簇中间接威胁检测规则的调用安全组件信息，长期威胁检测规则的调用安全组件信息与分簇规则的关系确定为每个威胁检测规则簇中长期威胁检测规则的调用安全组件信息，也即是，云计算系统100确定每个威胁检测规则簇包括1个直接威胁检测规则，2个间接威胁检测规则和1个长期威胁检测规则，也即是对于直接威胁检测规则，n＝1，对于间接威胁检测规则，n＝2，对于长期威胁检测规则，n＝1。

步骤A240，对每种威胁感知引擎服务的威胁检测规则进行次序整理，得到每种威胁感知引擎服务的威胁检测规则队列。

一种可独立实施的实施例中，云计算系统100可以对每种威胁感知引擎服务的威胁检测规则进行次序整理，得到每种威胁感知引擎服务的威胁检测规则队列，例如，云计算系统100对多个威胁检测规则中的直接威胁检测规则进行次序整理得到直接威胁检测规则簇，对多个威胁检测规则中的间接威胁检测规则进行次序整理得到间接威胁检测规则簇，对多个威胁检测规则中的长期威胁检测规则进行次序整理得到长期威胁检测规则簇。

示例地，步骤A240可以通过以下示例性的子步骤实现。

子步骤A241，确定多个威胁检测规则中的每个威胁检测规则在目标威胁感知调度模型中的调度路由数据。

其中，目标威胁感知调度模型可以是预先配置的威胁感知调度模型，该目标威胁感知调度模型可以位于相关威胁感知接口的威胁感知平台中。

威胁感知平台中的每个威胁检测规则在该目标威胁感知调度模型中可以具有一个调度路由数据，云计算系统100可以确定该多个威胁检测规则中，每个威胁检测规则在该目标威胁感知调度模型中的调度路由数据。容易理解，威胁检测规则通常具有一定限定检测范围，威胁检测规则在目标威胁感知调度模型中的调度路由数据可以是威胁检测规则的等效调度位置在该目标威胁感知调度模型中的调度路由数据，该等效调度位置可以是威胁检测规则上的任意调度位置，例如，该等效调度位置可以是威胁检测规则的关键预设调度位置。

一种可独立实施的实施例中，云计算系统100可以确定每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第一威胁感知调度区之间的调度位置层级，以及，每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第二威胁感知调度区之间的调度位置层级，将每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第一威胁感知调度区之间的调度位置层级确定该每个威胁检测规则的调度路由节点，根据该每个威胁检测规则的等效调度位置与目标威胁感知调度模型的第二威胁感知调度区之间的调度位置层级确定该每个威胁检测规则的默认调度路由节点，从而得到每个威胁检测规则在目标威胁感知调度模型中的调度路由数据。

子步骤A242，对于每种威胁感知引擎服务的任意两个威胁检测规则，当该任意两个威胁检测规则的调度路由节点的调度路由代价差小于第一调度路由代价差时，按照该任意两个威胁检测规则的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理，当该任意两个威胁检测规则的调度路由节点的调度路由代价差大于等于第一调度路由代价差时，按照该任意两个威胁检测规则的调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理，得到初始威胁检测规则队列，初始威胁检测规则队列中每相关联的n个威胁检测规则构成一个威胁检测规则子队列，初始威胁检测规则队列包括m个威胁检测规则子队列。

一种可独立实施的实施例中，对于每种威胁感知引擎服务的任意两个威胁检测规则，云计算系统100可以确定该任意两个威胁检测规则的调度路由节点的调度路由代价差，然后将该任意两个威胁检测规则的调度路由节点的调度路由代价差与第一调度路由代价差比较，来判断该任意两个威胁检测规则的调度路由节点的调度路由代价差是否小于第一调度路由代价差，当该任意两个威胁检测规则的调度路由节点的调度路由代价差小于第一调度路由代价差时，云计算系统100按照该任意两个威胁检测规则的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理，当该任意两个威胁检测规则的调度路由节点的调度路由代价差大于等于(也即是大于或等于)第一调度路由代价差时，云计算系统100按照该任意两个威胁检测规则的调度路由节点的调度路由顺序对该任意两个威胁检测规则进行次序整理。对于每种威胁感知引擎服务的所有威胁检测规则，云计算系统100通过执行该判断与排序过程，以实现对该每种威胁感知引擎服务的威胁检测规则的排序，得到该每种威胁感知引擎服务的初始威胁检测规则队列，该初始威胁检测规则队列中每相关联的n个威胁检测规则可以构成一个威胁检测规则子队列，因此该初始威胁检测规则队列可以包括m个威胁检测规则子队列。

其中，第一调度路由代价差可以根据实际情况确定，例如，根据相关威胁感知接口提供的威胁感知平台的策略强化绑定范围等确定。示例地，第一调度路由代价差可以为30。

子步骤A243，根据初始威胁检测规则队列中，每个威胁检测规则子队列中的n个威胁检测规则的调度路由数据，确定每个威胁检测规则子队列的调度路由数据，得到m个威胁检测规则子队列的调度路由数据。

一种可独立实施的实施例中，云计算系统100可以将每个威胁检测规则子队列中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中，最大的调度路由节点确定为该威胁检测规则子队列的调度路由节点，最大层级的默认调度路由节点确定为该威胁检测规则子队列的默认调度路由节点，从而得到该威胁检测规则子队列在目标威胁感知调度模型中的调度路由数据，或者，云计算系统100可以将每个威胁检测规则子队列中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中，最小层级的调度路由节点确定为该威胁检测规则子队列的调度路由节点，最小层级的默认调度路由节点确定为该威胁检测规则子队列的默认调度路由节点，从而得到该威胁检测规则子队列在目标威胁感知调度模型中的调度路由数据，或者，云计算系统100可以根据每个威胁检测规则子队列中的各个威胁检测规则在目标威胁感知调度模型中的调度路由数据，确定该威胁检测规则子队列中的各个威胁检测规则的等效调度位置，根据该威胁检测规则子队列中所有威胁检测规则的等效调度位置，确定该威胁检测规则子队列在目标威胁感知调度模型中的等效调度位置，将该威胁检测规则子队列在目标威胁感知调度模型中的等效调度位置的调度路由数据确定为该威胁检测规则子队列在目标威胁感知调度模型中的调度路由数据，本公开实施例对此不做限定。

子步骤A244，对于m个威胁检测规则子队列中的任意两个威胁检测规则子队列，当任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差小于第二调度路由代价差时，按照任意两个威胁检测规则子队列的调度路由节点的调度路由顺序对任意两个威胁检测规则子队列进行次序整理，当任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差大于等于第二调度路由代价差时，按照任意两个威胁检测规则子队列的默认调度路由节点的调度路由顺序对任意两个威胁检测规则子队列进行次序整理，得到每种威胁感知引擎服务的威胁检测规则队列。

一种可独立实施的实施例中，对于m个威胁检测规则子队列中的任意两个威胁检测规则子队列，云计算系统100可以确定该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差，然后将该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差与第二调度路由代价差比较，来判断该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差是否小于第二调度路由代价差，当该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差小于第二调度路由代价差时，云计算系统100按照该任意两个威胁检测规则子队列的调度路由节点的调度路由顺序对该任意两个威胁检测规则子队列进行次序整理，当该任意两个威胁检测规则子队列的默认调度路由节点的调度路由代价差大于等于(也即是大于或等于)第二调度路由代价差时，云计算系统100按照该任意两个威胁检测规则子队列的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则子队列进行次序整理。对于m个威胁检测规则子队列，云计算系统100通过执行该判断与排序过程，以实现对该m个威胁检测规则子队列的排序，得到该每种威胁感知引擎服务的威胁检测规则队列。

其中，第二调度路由代价差可以根据实际情况确定，且第二调度路由代价差与第一调度路由代价差可以相同或不相同，例如，第二调度路由代价差根据相关威胁感知接口提供的威胁感知平台的策略强化绑定范围，并行配置工具的位置刻度等确定。示例地，第二调度路由代价差可以为30。

子步骤A245，根据每个威胁检测规则簇中多种威胁感知引擎服务的威胁检测规则的调用安全组件信息，对多个威胁检测规则执行至少两次分簇操作得到多个威胁检测规则簇。

其中，每次分簇操作用于确定一个威胁检测规则簇的多种威胁感知引擎服务的威胁检测规则，也即是，每执行一次分簇操作可以确定一个威胁检测规则簇，每个威胁检测规则簇中的各个威胁检测规则可以按照威胁检测规则的默认调度路由节点的调度路由顺序排序。其中，执行第k次分簇操作得到的威胁检测规则簇中，每种威胁感知引擎服务的威胁检测规则为该每种威胁感知引擎服务的威胁检测规则队列中威胁检测规则属于规则激活范围的威胁检测规则，该规则激活范围为[(k-1)*n+1，k*n+1)，1≤k≤m，n表示威胁检测规则簇中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息，m表示分簇规则。

本领域开发人员容易理解，上述步骤是用于实现威胁检测规则簇的步骤，也即是，上述步骤能够实施成为前述实施例的步骤A130，本公开实施例对此不做限定。

步骤A260，根据多个威胁检测规则簇中的每个威胁检测规则簇所包括的威胁检测规则的威胁检测字段，对多个威胁检测规则簇进行初始策略强化配置数据关联。

一种可独立实施的实施例中，步骤A260可以通过以下示例性的子步骤实现。

子步骤A261，对于多个威胁检测规则簇中的每个威胁检测规则簇，根据威胁检测规则簇中的威胁检测规则在目标威胁感知调度模型中的调度路由数据，确定威胁检测规则簇在目标威胁感知调度模型中的调度路由数据。

每个威胁检测规则簇包括多个威胁检测规则，云计算系统100可以根据每个威胁检测规则簇的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据，确定该每个威胁检测规则簇在目标威胁感知调度模型中的调度路由数据。

一种可独立实施的实施例中，云计算系统100可以将每个威胁检测规则簇中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中，最大的调度路由节点确定为该威胁检测规则簇的调度路由节点，最大层级的默认调度路由节点确定为该威胁检测规则簇的默认调度路由节点，从而得到该威胁检测规则簇在目标威胁感知调度模型中的调度路由数据，或者，云计算系统100可以将每个威胁检测规则簇中的所有威胁检测规则在目标威胁感知调度模型中的调度路由数据中，最小层级的调度路由节点确定为该威胁检测规则簇的调度路由节点，最小层级的默认调度路由节点确定为该威胁检测规则簇的默认调度路由节点，从而得到该威胁检测规则簇在目标威胁感知调度模型中的调度路由数据，或者，云计算系统100可以根据每个威胁检测规则簇中的各个威胁检测规则在目标威胁感知调度模型中的调度路由数据，确定该威胁检测规则簇中的各个威胁检测规则的等效调度位置，根据该威胁检测规则簇中所有威胁检测规则的等效调度位置，确定该威胁检测规则簇在目标威胁感知调度模型中的等效调度位置，将该威胁检测规则簇在目标威胁感知调度模型中的等效调度位置的位置确定为该威胁检测规则簇在目标威胁感知调度模型中的调度路由数据，本公开实施例对此不做限定。

子步骤A262，根据多个威胁检测规则簇的调度路由数据，对多个威胁检测规则簇进行次序整理，得到威胁检测规则簇队列。

一种可独立实施的实施例中，对于多个威胁检测规则簇中的任意两个威胁检测规则簇，云计算系统100可以确定该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差，然后将该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差与第三调度路由代价差比较，来判断该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差是否小于第三调度路由代价差，当该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差小于第三调度路由代价差时，云计算系统100按照该任意两个威胁检测规则簇的调度路由节点的调度路由顺序对该任意两个威胁检测规则簇进行次序整理，当该任意两个威胁检测规则簇的默认调度路由节点的调度路由代价差大于等于(也即是大于或等于)第三调度路由代价差时，云计算系统100按照该任意两个威胁检测规则簇的默认调度路由节点的调度路由顺序对该任意两个威胁检测规则簇进行次序整理。对于多个威胁检测规则簇，云计算系统100通过执行该判断与排序过程，以实现对该多个威胁检测规则簇的排序，得到威胁检测规则簇队列。其中，第三调度路由代价差可以根据实际情况确定，且第三调度路由代价差与第一调度路由代价差、第二调度路由代价差可以相同或不相同，例如，第三调度路由代价差根据相关威胁感知接口提供的威胁感知平台的策略强化绑定范围等确定。示例地，第三调度路由代价差可以为30。

子步骤A263，以威胁检测规则簇队列为遍历目标执行物理网络安全实体划分过程，物理网络安全实体划分过程包括：依次对遍历目标中的每个威胁检测规则簇执行判断子过程，对遍历目标中的第i个威胁检测规则簇执行的判断子过程包括：确定遍历目标的前i个威胁检测规则簇中，与遍历目标中第1个威胁检测规则簇位于同一物理网络安全实体的威胁检测规则簇的调度路由节点与第i个威胁检测规则簇的调度路由节点的调度路由代价差，i≥1；当调度路由代价差小于目标调度路由代价差时，确定第i个威胁检测规则簇与第1个威胁检测规则簇位于同一物理网络安全实体；当调度路由代价差大于等于目标调度路由代价差时，确定第i个威胁检测规则簇与第1个威胁检测规则簇位于不同物理网络安全实体。

一种可独立实施的实施例中，云计算系统100可以将子步骤A263得到的威胁检测规则簇队列为遍历目标，从该威胁检测规则簇队列的第1个威胁检测规则簇开始，依次对该遍历目标中的每个威胁检测规则簇执行判断子过程。其中，云计算系统100对遍历目标中的第i个威胁检测规则簇执行的判断子过程可以包括：云计算系统100首先采用调度路由代价差公式确定该遍历目标的前i个威胁检测规则簇中，与该遍历目标中第1个威胁检测规则簇位于同一物理网络安全实体的威胁检测规则簇的调度路由节点与第i个威胁检测规则簇的调度路由节点的调度路由代价差，然后判断该调度路由代价差是否小于目标调度路由代价差，当该调度路由代价差小于目标调度路由代价差时，云计算系统100确定该第i个威胁检测规则簇与该第1个威胁检测规则簇位于同一物理网络安全实体，当该调度路由代价差大于等于目标调度路由代价差时，确定该第i个威胁检测规则簇与该第1个威胁检测规则簇位于不同物理网络安全实体。

子步骤A264，当遍历目标存在与该遍历目标的第1个威胁检测规则簇位于不同物理网络安全实体的至少一个威胁检测规则簇时，将遍历目标更新为该至少一个威胁检测规则簇构成的队列，重复执行物理网络安全实体划分过程，直至确定出多个威胁检测规则簇中的每个威胁检测规则簇所在物理网络安全实体。

一种可独立实施的实施例中，在执行子步骤A263的过程中，如果云计算系统100确定遍历目标(也即是排序得到的威胁检测规则簇队列)存在与该遍历目标的第1个威胁检测规则簇位于不同物理网络安全实体的至少一个威胁检测规则簇，则云计算系统100将遍历目标更新为由该至少一个威胁检测规则簇构成的队列，重复执行上述物理网络安全实体划分过程，直至确定出多个威胁检测规则簇中的每个威胁检测规则簇所在物理网络安全实体。

本领域开发人员容易理解，通过执行该步骤A260，云计算系统100可以确定出多个威胁检测规则簇中的各个威胁检测规则簇所在物理网络安全实体，也即是，可以确定出多个威胁检测规则簇中，哪些威胁检测规则簇位于同一物理网络安全实体。

步骤A270，并行配置多个威胁检测规则簇中的每个威胁检测规则簇的策略强化绑定字段和策略强化绑定范围中的多种，使多个威胁检测规则簇中位于同一物理网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据，位于同一虚拟网络安全实体的威胁检测规则簇并行配置于对应的策略强化配置数据。

一种可独立实施的实施例中，步骤A270可以通过以下示例性的子步骤实现，具体描述如下。

子步骤A271，根据对多个威胁检测规则簇进行初始策略强化配置数据关联的结果，确定多个威胁检测规则簇的物理网络安全实体的调用数据，物理网络安全实体的调用数据指示每个物理网络安全实体的威胁检测规则簇的调用安全组件信息。

对多个威胁检测规则簇进行初始策略强化配置数据关联，可以确定出该多个威胁检测规则簇中，位于同一物理网络安全实体的威胁检测规则簇，从而确定出每个物理网络安全实体的威胁检测规则簇的调用安全组件信息，因此云计算系统100可以根据对该多个威胁检测规则簇进行初始策略强化配置数据关联的结果，确定该多个威胁检测规则簇的物理网络安全实体的调用数据，该物理网络安全实体的调用数据指示每个物理网络安全实体的威胁检测规则簇的调用安全组件信息。

子步骤A272，根据并行配置服务的并行配置指令、目标威胁检测联动规则和每个物理网络安全实体的威胁检测规则簇的调用安全组件信息，确定每个物理网络安全实体的威胁检测规则簇中的各个威胁检测规则簇的目标并行配置指令。

其中，并行配置服务可以是相关威胁感知接口的威胁感知平台，或者是该威胁感知平台中的某个可编程软件服务，该某个可编程软件服务可以是用户在威胁感知平台中选择的，也可以是云计算系统100对相关威胁感知接口的威胁感知平台进物理网络安全实体划分得到的，则相应的，并行配置服务的并行配置指令可以是威胁感知平台的并行配置指令，或者是该某一区域的并行配置指令。目标威胁检测联动规则可以根据实际情况确定，例如，由云计算系统100根据并行配置服务的并行配置指令以及需要达到的并行配置效果确定。

子步骤A273，确定每个物理网络安全实体的威胁检测规则簇中，每种威胁感知引擎服务的威胁检测规则的目标调用安全组件信息。

一种可独立实施的实施例中，云计算系统100可以将每个物理网络安全实体的威胁检测规则簇中，每种威胁感知引擎服务的威胁检测规则的调用安全组件信息的共用组件信息，确定为该每个物理网络安全实体的威胁检测规则簇中，该每种威胁感知引擎服务的威胁检测规则的目标调用安全组件信息。

子步骤A274，并行配置多个威胁检测规则簇中的每个威胁检测规则簇的策略强化绑定字段和策略强化绑定范围中的多种，使每个物理网络安全实体的威胁检测规则簇中的各个威胁检测规则簇的并行配置指令匹配目标并行配置指令，每个物理网络安全实体的威胁检测规则簇中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息匹配目标调用安全组件信息，相关联的威胁检测规则簇的威胁检测联动规则匹配目标威胁检测联动规则，且威胁检测规则簇中的相关联威胁检测规则的威胁检测联动规则匹配目标威胁检测联动规则。

一种可独立实施的实施例中，云计算系统100可以根据多个威胁检测规则簇的调度路由数据，并行配置每个威胁检测规则簇在目标威胁感知调度模型中的调度路由节点，根据子步骤A272确定出的目标并行配置指令，上述子步骤A272确定出目标调用安全组件信息，以及目标威胁检测联动规则并行配置各个威胁检测规则簇的策略强化绑定范围，使每个物理网络安全实体的威胁检测规则簇中的各个威胁检测规则簇的并行配置指令匹配目标并行配置指令，每个物理网络安全实体的威胁检测规则簇中每种威胁感知引擎服务的威胁检测规则的调用安全组件信息匹配目标调用安全组件信息，相关联的威胁检测规则簇的威胁检测联动规则匹配目标威胁检测联动规则，且每个威胁检测规则簇中的相关联威胁检测规则的威胁检测联动规则匹配目标威胁检测联动规则。其中，该子步骤A274所述的目标威胁检测联动规则通常与上述子步骤A272所述的目标威胁检测联动规则相同。

需要说明的是，本公开实施例提供的威胁检测规则并行配置方法步骤的先后顺序可以进行适当并行配置，步骤也可以根据情况进行相应增减，任何熟悉本技术领域的开发人员在本公开揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本公开的保护范围之内，因此不再赘述。

一种可独立实施的实施例中，针对步骤A110，可以通过以下示例性的子步骤实现，详细描述如下。

步骤A111，从待处理的目标有效防火墙隔离业务层中提取出防火墙隔离指令序列。

经研究表明，对于任一有效防火墙隔离业务层而言，该有效防火墙隔离业务层中通常包括大量的防火墙隔离指令，这些大量的防火墙隔离指令中可包括一个或多个防火墙隔离进程服务数据；所谓的防火墙隔离进程服务数据是指由防火墙隔离配置过程所构成的防火墙隔离路径的隔离进程服务数据。

有效防火墙隔离业务层中的防火墙隔离指令和有效防火墙隔离业务层的关键感知引擎服务特征在一定程度上是具有关联关系的。因此，本公开实施例提出了可通过有效防火墙隔离业务层中所包括的防火墙隔离指令来确定有效防火墙隔离业务层的关键感知引擎服务特征的技术构思。基于此技术构思，当存在关于目标有效防火墙隔离业务层的关键感知引擎服务特征的需求时，云计算系统100便可获取待处理的目标有效防火墙隔离业务层。然后，可通过本步骤从该目标有效防火墙隔离业务层中提取出防火墙隔离指令序列；此处的防火墙隔离指令序列中可包括多个防火墙隔离指令，且该多个防火墙隔离指令中至少包括防火墙隔离进程服务数据。

步骤A112，采用多个防火墙隔离指令构建目标有效防火墙隔离业务层的风险拦截进程。

一种可独立实施的实施例中，目标有效防火墙隔离业务层的风险拦截进程中可包括多个风险拦截匹配摘要；一个风险拦截匹配摘要记录一个防火墙隔离指令，且任意两个相关联的风险拦截匹配摘要所记录的防火墙隔离指令在目标有效防火墙隔离业务层中具有联动拦截指令。也就是说，在目标有效防火墙隔离业务层中具有联动拦截指令的两个防火墙隔离指令所对应的风险拦截匹配摘要，在该风险拦截进程中是相关联的。其中，此处所提及的联动拦截指令可包括如下任一种含义：

一种可独立实施的实施例中，上述所提及的联动拦截指令可以是指：采用一个联动拦截控件在目标有效防火墙隔离业务层上进行联动拦截的过程中，两个防火墙隔离指令同时出现在该联动拦截控件中的联动指令。

步骤A113，基于风险拦截进程中的各个风险拦截匹配摘要之间的拦截联动路径数据，计算各个风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价。

在另一种可能的设计思路中，经研究表明，若两个防火墙隔离指令在目标有效防火墙隔离业务层中具有联动拦截指令，则由于这两个防火墙隔离指令是同时出现的，因此这两个防火墙隔离指令的拦截联动代价通常是会相互影响的。基于此，云计算系统100在执行步骤A113时，针对任一风险拦截匹配摘要所记录的防火墙隔离指令，可通过结合与该任一风险拦截匹配摘要相关联的关联风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价，来计算得到任一风险拦截匹配摘要的防火墙隔离指令的拦截联动代价，以提升拦截联动代价的准确性。一种可独立实施的实施例中，针对任一风险拦截匹配摘要所记录的防火墙隔离指令，可基于风险拦截进程中的各个风险拦截匹配摘要之间的拦截联动路径数据，确定与该任一风险拦截匹配摘要相关联的至少一个关联风险拦截匹配摘要；然后，根据各个关联风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价，计算该任一风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价。

其中，根据各个关联风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价，计算任一风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价的具体实施方式可包括以下任一种：

实施方式一：云计算系统100可先根据任一风险拦截匹配摘要所记录的防火墙隔离指令的防火墙隔离联动数量，计算得到任一风险拦截匹配摘要所记录的防火墙隔离指令的初始值。其次，可分别采用各个预设权重参数对各个关联风险拦截匹配摘要的拦截联动代价进行权重融合计算。例如，针对风险拦截匹配摘要A所记录的防火墙隔离指令A而言，风险拦截匹配摘要A具有风险拦截匹配摘要B和风险拦截匹配摘要D两个关联风险拦截匹配摘要；且风险拦截匹配摘要B的拦截联动代价0.4，风险拦截匹配摘要D的拦截联动代价为0.2。若防火墙隔离指令A和风险拦截匹配摘要B所记录的防火墙隔离指令B之间的预设权重参数为kAB，防火墙隔离指令A和风险拦截匹配摘要D所记录的防火墙隔离指令D之间的预设权重参数为kAD；则可执行0.4×kAB+0.2×kAD。然后，可对权重融合计算得到的数值和任一风险拦截匹配摘要所记录的防火墙隔离指令的初始值进行求和运算，得到任一风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价。

实施方式二：云计算系统100还可根据计算得到的预设权重参数和各个关联风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价，计算任一风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价。

步骤A114，根据各个防火墙隔离指令的拦截联动代价从防火墙隔离指令序列中选取目标有效防火墙隔离业务层的参考防火墙隔离进程服务数据，并采用参考防火墙隔离进程服务数据的防火墙隔离描述特征构建目标有效防火墙隔离业务层的关键引擎服务特征，该关键引擎服务特征用于指示目标有效防火墙隔离业务层的关键感知引擎服务特征。

本公开实施例针对待处理的目标有效防火墙隔离业务层，可先从该目标有效防火墙隔离业务层中提取出多个防火墙隔离指令，并采用多个防火墙隔离指令构建目标有效防火墙隔离业务层的风险拦截进程。由于风险拦截进程中任意两个相关联的风险拦截匹配摘要所记录的防火墙隔离指令在目标有效防火墙隔离业务层中具有联动拦截指令，而具有越多联动拦截指令的防火墙隔离指令通常越具有兴趣威胁感知引擎服务影响行为；因此可基于风险拦截进程中的各个风险拦截匹配摘要之间的拦截联动路径数据，较为准确地计算出各个风险拦截匹配摘要所记录的防火墙隔离指令的拦截联动代价。然后，可根据各个防火墙隔离指令的拦截联动代价从防火墙隔离指令序列中选取目标有效防火墙隔离业务层的参考防火墙隔离进程服务数据，并采用参考防火墙隔离进程服务数据的防火墙隔离描述特征构建用于指示目标有效防火墙隔离业务层的关键感知引擎服务特征的关键引擎服务特征。由此可见，本公开实施例可通过提升各个防火墙隔离指令的拦截联动代价的准确性，来有效提升参考防火墙隔离进程服务数据的准确性，从而提升关键感知引擎服务特征的准确性；并且，可自动化地识别出有效防火墙隔离业务层的关键感知引擎服务特征，有效节省流程成本。

图3为本公开实施例提供的基于大数据分析的信息安全防御处理装置300的功能模块示意图，下面分别对该基于大数据分析的信息安全防御处理装置300的各个功能模块的功能进行详细阐述。

获取模块310，用于获取互联网信息服务平台的目标威胁感知大数据的防御链条数据，其中，防御链条数据对应于一组防御周期事件数据，一组防御周期事件数据中的每个防御周期事件数据用于表示一组安全防御情报数据中对应的一个安全防御情报数据，目标威胁感知大数据为一组安全防御情报数据的威胁感知大数据。

第一确定模块320，用于根据防御链条数据，在每个防御周期事件数据上确定出一个目标关键防御行为，得到一组目标关键防御行为，其中，一组目标关键防御行为对应的一组防御行为轨迹不存在轨迹交叉，一组防御行为轨迹中的每个防御行为轨迹包括一组目标关键防御行为中对应的一个目标关键防御行为，一组防御行为轨迹中的每个防御行为轨迹归属于一组防御周期事件数据中对应的一个防御周期事件数据。

第二确定模块330，用于根据一组目标关键防御行为，确定目标威胁感知大数据的安全域间的安全防御策略图谱。

配置模块340，用于根据目标威胁感知大数据的安全域间的安全防御策略图谱对互联网信息服务平台进行关键安全策略强化配置。

图4示出了本公开实施例提供的用于实现上述的基于大数据分析的信息安全防御处理方法的云计算系统100的硬件结构示意图，如图4所示，云计算系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。

在具体实现过程中，至少一个处理器110执行机器可读存储介质120存储的计算机执行指令，使得处理器110可以执行如上方法实施例的基于大数据分析的信息安全防御处理方法，处理器110、机器可读存储介质120以及通信单元140通过总线130连接，处理器110可以用于控制通信单元140的收发动作，从而可以与前述的互联网信息服务平台200进行数据收发。

处理器110的具体实现过程可参见上述云计算系统100执行的各个方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

此外，本公开实施例还提供一种可读存储介质，所述可读存储介质中预设有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上基于大数据分析的信息安全防御处理方法。

最后，应当理解的是，本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此，作为示例而非限制，本说明书实施例的替代配置可视为与本说明书的教导匹配。相应地，本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。