一种基于AI的大数据威胁行为分析方法及介质与流程

一种基于ai的大数据威胁行为分析方法及介质
1.本发明是申请号为“cn202111482024.1”、申请日为“20211206”、发明名称为“一种结合人工智能的远程办公威胁行为分析方法及介质”的分案申请。
技术领域
2.本发明实施例涉及人工智能技术领域，具体涉及一种基于ai的大数据威胁行为分析方法及介质。


背景技术：

3.远程办公指的是工作人员在非工作地域（比如家、外地等），通过互联网通讯技术，实现原本在公司地域所实现的办公工作。对于工作汇报通常是以视频会议、文件传输等方式进行。
4.随着远程办公的逐渐普及，远程办公的业务规模越来越大，随之而来的信息安全问题不容忽视。比如，在进行视频会议或者文件传输的过程中，可能会受到各类网络攻击或者威胁，但是相关技术难以有效应对这些威胁，发明人经调查和研究发现，针对网络攻击或者威胁行为的应对乏力的原因是难以提供完整丰富的决策依据。


技术实现要素：

5.有鉴于此，本发明实施例提供了一种基于ai的大数据威胁行为分析方法及介质。
6.本发明实施例提供了一种基于ai的大数据威胁行为分析方法，应用于威胁行为分析服务器，所述方法至少包括：确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集；其中，所述威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容，所述偏好定位内容集旨在反映涵盖满足挖掘指标的行为偏好的局部日志内容，所述相关性定位内容集旨在反映存在互相影响情况的两个威胁操作事件的局部日志内容；依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据所述偏好定位内容集挖掘基础行为偏好关键标签，依据所述相关性定位内容集挖掘基础相关性关键标签；依据所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录生成视觉型知识库，依据所述视觉型知识库依次对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
7.对于一种可独立实施的实施例而言，所述标签传递记录包括行为偏好传递评价及相对分布传递评价，所述方法还包括：依据所述威胁操作事件内容集和相关性定位内容集之间的行为偏好传递评价，确定所述威胁操作事件关键标签和相关性关键标签之间的标签传递记录；依据所述相关性定位内容集和偏好定位内容集之间的相对分布传递评价，确定所
述行为偏好关键标签和相关性关键标签之间的标签传递记录；其中，所述威胁操作事件关键标签和相关性关键标签之间的标签传递记录旨在反映所述威胁操作事件关键标签和相关性关键标签之间是否具有传递性；所述行为偏好关键标签和相关性关键标签之间的标签传递记录旨在反映所述行为偏好关键标签和相关性关键标签之间是否具有传递性。
8.对于一种可独立实施的实施例而言，所述确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集，包括：依据ai模型挖掘触发威胁行为分析条件的远程办公行为日志中每个具有设定存在概率的威胁操作事件的局部日志内容视为威胁操作事件内容集，挖掘触发威胁行为分析条件的远程办公行为日志中每个具有满足挖掘指标的行为偏好的局部日志内容视为偏好定位内容集；将全部所述威胁操作事件内容集进行整理，每两个威胁操作事件内容集对形成相关性定位内容集；其中，该方法还可以包括以下至少一项：对目标威胁操作事件关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中相应局部日志内容涵盖的威胁操作事件种类；对目标行为偏好关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中具有满足挖掘指标的行为偏好的局部日志内容的行为偏好表达；对目标相关性关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中威胁操作事件之间的上下游描述种类。
9.对于一种可独立实施的实施例而言，对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新之前，还包括：将所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签分别视为威胁操作事件知识单元、行为偏好知识单元和相关性知识单元，将所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录视为单元连线，生成视觉型知识库；其中，所述生成视觉型知识库，包括：对全部所述威胁操作事件知识单元进行整理，其中，其中两个威胁操作事件知识单元集对应于一个相关性知识单元，依据威胁操作事件知识单元与相关性知识单元的上下游描述，将存在上下游关联的两个威胁操作事件知识单元与对应该上下游描述的相关性知识单元通过一条单元连线关联；当所述偏好定位内容集与所述相关性定位内容集的交叉内容达到所述相关性定位内容集的指定占比，将所述偏好定位内容集对应的行为偏好知识单元与所述相关性定位内容集对应的相关性知识单元通过一条单元连线关联；相应地，所述依次对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，包括：所述基础相关性关键标签获得依据所述视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签，依据所述基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新；所述基础威胁操作事件关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键标签，依据所述基础相关性关键标签对所述基础威胁操作事件关键标签进行更新；所述基础行为偏好关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关
键标签，依据所述基础相关性关键标签对所述基础行为偏好关键标签进行更新；相应地，基础相关性关键标签获得依据所述视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签，依据所述基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新，包括：依次对基础威胁操作事件关键标签和基础行为偏好关键标签进行无量纲简化，将完成无量纲简化的基础威胁操作事件关键标签和基础行为偏好关键标签依次进行动态映射，分别确定威胁操作事件偏移和行为偏好偏移；其中，所述基础威胁操作事件关键标签包括与基础相关性关键标签存在互相影响情况的基础主动型关键标签和基础被动型关键标签，依据基础主动型关键标签和基础被动型关键标签确定的威胁操作事件偏移包括主动型偏移和被动型偏移；将所述威胁操作事件偏移和行为偏好偏移与所述基础相关性关键标签加权确定更新相关性关键标签；将更新相关性关键标签视为基础相关性关键标签，反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新相关性关键标签视为目标相关性关键标签。
10.对于一种可独立实施的实施例而言，所述基础威胁操作事件关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键标签，依据所述基础相关性关键标签对所述基础威胁操作事件关键标签进行更新，包括：对所述基础相关性关键标签进行无量纲简化，将完成无量纲简化的基础相关性关键标签进行动态映射，得到相关性威胁操作事件偏移；将所述相关性威胁操作事件偏移与所述基础威胁操作事件关键标签加权确定更新威胁操作事件关键标签；将更新威胁操作事件关键标签视为基础威胁操作事件关键标签，反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新威胁操作事件关键标签视为目标威胁操作事件关键标签。
11.对于一种可独立实施的实施例而言，所述基础行为偏好关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键标签对所述基础行为偏好关键标签进行更新，包括：对所述基础相关性关键标签进行无量纲简化，将完成无量纲简化的基础相关性关键标签进行动态映射，得到相关性行为偏好偏移；将所述相关性行为偏好偏移与所述基础行为偏好关键标签加权确定更新行为偏好关键标签；将更新行为偏好关键标签视为基础行为偏好关键标签，反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新行为偏好关键标签视为目标行为偏好关键标签。
12.对于一种可独立实施的实施例而言，所述基础行为偏好关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键标签对所述基础行为偏好关键标签进行更新，包括：对所述基础相关性关键标签进行无量纲简化，将完成无量纲简化的基础相关性关
键标签进行动态映射，得到相关性行为偏好偏移；将所述相关性行为偏好偏移与所述基础行为偏好关键标签加权确定更新行为偏好关键标签；将更新行为偏好关键标签视为基础行为偏好关键标签，反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新行为偏好关键标签视为目标行为偏好关键标签。
13.对于一种可独立实施的实施例而言，还包括以下至少一项：对目标威胁操作事件关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中相应局部日志内容涵盖的威胁操作事件种类；对目标行为偏好关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中具有满足挖掘指标的行为偏好的局部日志内容的行为偏好表达；对目标相关性关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为日志中威胁操作事件之间的上下游描述种类；相应地，所述触发威胁行为分析条件的远程办公行为日志包括范例远程办公行为日志，所述范例远程办公行为日志注释有远程办公行为日志中威胁操作事件分布及种类、威胁操作事件之间的种类上下游描述和有热度行为偏好局部日志内容的行为偏好表达；反复执行确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集；依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据所述偏好定位内容集挖掘基础行为偏好关键标签，依据所述相关性定位内容集挖掘基础相关性关键标签；依据所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录生成视觉型知识库，依据所述视觉型知识库依次对所述基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签的步骤，直至最后导出的依据所述目标威胁操作事件关键标签得到的威胁操作事件种类、依据所述目标相关性关键标签得到的相应威胁操作事件之间的上下游描述种类和依据所述目标行为偏好关键标签得到的行为偏好表达与所述范例远程办公行为日志具有的注释内容的量化比较结果不大于指定判定值。
14.对于一种可独立实施的实施例而言，所述触发威胁行为分析条件的远程办公行为日志包括范例远程办公行为日志，所述范例远程办公行为日志注释有远程办公行为日志中威胁操作事件分布及种类、威胁操作事件之间的种类上下游描述和有热度行为偏好局部日志内容的行为偏好表达；反复实施依据ai模型挖掘触发威胁行为分析条件的远程办公行为日志中每个具有设定存在概率的威胁操作事件的局部日志内容视为威胁操作事件内容集，挖掘触发威胁行为分析条件的远程办公行为日志中每个具有满足挖掘指标的行为偏好的局部日志内容视为偏好定位内容集；将全部所述威胁操作事件内容集进行整理，每两个威胁操作事件内容集对形成相关性定位内容集的步骤，直至最后导出的依据所述目标威胁操作事件关键标签得到的威胁操作事件种类、依据所述目标相关性关键标签得到的相应威胁操作事件之间的上下游描述种类和依据所述目标行为偏好关键标签得到的行为偏好表达与所述范例远程办公行为日志具有的注释内容的量化比较结果不大于指定判定值。
15.本发明实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。
16.基于本发明上述实施例提供的基于ai的大数据威胁行为分析方法及介质，通过同时确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集，实现同时对远程办公行为日志进行威胁操作事件解析、行为偏好内容注释和视觉型知识库创建；分别依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据所述偏好定位内容集挖掘基础行为偏好关键标签，依据所述相关性定位内容集挖掘基础相关性关键标签，鉴于威胁操作事件解析、视觉型知识库创建和行为偏好内容注释是分别从不同维度对远程办公行为日志进行记录，威胁操作事件解析、视觉型知识库创建和行为偏好内容注释之间存在相关性；依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的上下游描述，依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新；使每个关键标签尽可能涵盖相对更多切更具高价值的标签信息，进而能够提高对触发威胁行为分析条件的远程办公行为日志的威胁操作事件解析、视觉型知识库创建和行为偏好内容注释的精确性。如此设计，可以通过目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签多方位地描述远程办公行为日志，从而为后续的威胁行为应对提供尽可能完整丰富的决策依据。
17.在后面的描述中，将部分地陈述其他的特征。在检查后面内容和附图时，本领域的技术人员将部分地发现这些特征，或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面，当前申请中的特征可以被实现和获得。
附图说明
18.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
19.图1为本发明实施例所提供的一种威胁行为分析服务器的方框示意图。
20.图2为本发明实施例所提供的一种基于ai的大数据威胁行为分析方法的流程图。
21.图3为本发明实施例所提供的一种基于ai的大数据威胁行为分析装置的框图。
具体实施方式
22.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
23.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范
围。
24.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
25.图1示出了本发明实施例所提供的一种威胁行为分析服务器10的方框示意图。本发明实施例中的威胁行为分析服务器10可以为具有数据存储、传输、处理功能的服务端，如图1所示，威胁行为分析服务器10包括：存储器1011、处理器1012、网络模块1013和基于ai的大数据威胁行为分析装置20。
26.存储器1011、处理器1012和网络模块1013之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器1011中存储有基于ai的大数据威胁行为分析装置20，所述基于ai的大数据威胁行为分析装置20包括至少一个可以软件或固件（firmware）的形式储存于所述存储器1011中的软件功能模块，所述处理器1012通过运行存储在存储器1011内的软件程序以及模块，例如本发明实施例中的基于ai的大数据威胁行为分析装置20，从而执行各种功能应用以及数据处理，即实现本发明实施例中的基于ai的大数据威胁行为分析方法。
27.其中，所述存储器1011可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read-only memory，prom），可擦除只读存储器（erasable programmable read-only memory，eprom），电可擦除只读存储器（electric erasable programmable read-only memory，eeprom）等。其中，存储器1011用于存储程序，所述处理器1012在接收到执行指令后，执行所述程序。
28.所述处理器1012可能是一种集成电路芯片，具有数据的处理能力。上述的处理器1012可以是通用处理器，包括中央处理器 (central processing unit，cpu)、网络处理器 (network processor，np)等。可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
29.网络模块1013用于通过网络建立威胁行为分析服务器10与其他通信终端设备之间的通信连接，实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
30.可以理解，图1所示的结构仅为示意，威胁行为分析服务器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
31.本发明实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。
32.图2示出了本发明实施例所提供的一种基于ai的大数据威胁行为分析方法的流程图。所述方法有关的流程所定义的方法步骤应用于威胁行为分析服务器10，可以由所述处理器1012实现，所述方法包括以下s101-s104所记录的内容。
33.s101，确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集。
34.在本发明实施例中，威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容；偏好定位内容集用于表达涵盖满足挖掘指标的行为偏好的局部日志
内容，也可以理解为携带显著行为偏好信息的局部日志内容；相关性定位内容集旨在反映存在互相影响情况的两个威胁操作事件的局部日志内容，也可以理解为包含两个威胁操作事件的内容量最少的局部日志内容。
35.在申请本实施例中，首先可以同时确定威胁操作事件内容集和偏好定位内容集，在依据威胁操作事件内容集通过整理，依据确定的每两个威胁操作事件内容集之间的上下游描述确定相关性定位内容集，因此，相关性定位内容集是通过两个威胁操作事件内容集综合确定的。
36.此外，威胁操作事件包括一系列的异常操作事件比如频繁文件下载和频繁登录，行为偏好包括办公行为的意图信息，相关性定位内容集对应于关联的两个威胁操作事件，用于表达不同威胁操作事件之间的关联。
37.进一步地，威胁行为分析条件可以根据实际情况进行灵活调整，本发明实施例不作限定。
38.s102，依据威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据偏好定位内容集挖掘基础行为偏好关键标签，依据相关性定位内容集挖掘基础相关性关键标签。
39.在本发明实施例中，每个基础威胁操作事件关键标签旨在反映一个威胁操作事件内容集，一个威胁操作事件内容集中一般仅涵盖一个威胁操作事件，鉴于此，通过对应该威胁操作事件的基础威胁操作事件关键标签便可以表达该威胁操作事件内容集，该基础威胁操作事件关键标签对应相关的威胁操作事件解析；每个基础行为偏好关键标签旨在反映一个偏好定位内容集，一个偏好定位内容集通常仅涵盖一个满足挖掘指标的行为偏好，由此，通过对应该满足挖掘指标的行为偏好的行为偏好关键标签便可以表达该偏好定位内容集，该基础行为偏好关键标签对应相关的行为偏好内容注释；每个基础相关性关键标签旨在反映一个相关性定位内容集，一个相关性定位内容集通常涵盖一个由两个威胁操作事件，且这两个威胁操作事件可以形成一个主动型事件、传递型事件和被动型事件形成的相关性，可以理解的是，通过对应该相关性的基础相关性关键标签便可以表达该相关性定位内容集并用于判定两威胁操作事件之间的上下游描述，基础相关性关键标签对应相关的视觉型知识库创建。
40.在本发明实施例中，基础可以理解为初始，上下游描述可以理解为关系，视觉型知识库可以是知识图谱。进一步地，相关的关键标签可以理解为特征信息。
41.s104，依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录，依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
42.在本发明实施例中，对远程办公行为日志进行威胁操作事件解析、视觉型知识库创建和行为偏好内容注释是彼此影响的，且又各有关注的办公威胁操作项目；威胁操作事件解析侧重于识别行为偏好中的威胁操作事件，而视觉型知识库创建则指向通过“每一威胁操作事件二元组之间的上下游描述（关系）”来将一组行为偏好信息映射变换为一系列威胁操作事件以及其上下游描述组成的“视觉型知识库（visual recognition）”，行为偏好内容注释可以通过一组办公操作行为记录一种办公行为偏好或者一种行为偏好中的一个局部日志内容中的关键内容（包括：威胁操作事件、上下游描述以及类型等）。可以理解的是，
通过借助存在差异的ai模型线程确定出的关键标签之间的互相关联，确保关键标签的丰富程度。
43.实施s101-s104所记录的技术，能够达到如下有益效果：通过同时确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集，实现同时对远程办公行为日志进行威胁操作事件解析、行为偏好内容注释和视觉型知识库创建；分别依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据所述偏好定位内容集挖掘基础行为偏好关键标签，依据所述相关性定位内容集挖掘基础相关性关键标签，由于威胁操作事件解析、视觉型知识库创建和行为偏好内容注释是分别从不同维度对远程办公行为日志进行记录，威胁操作事件解析、视觉型知识库创建和行为偏好内容注释之间存在相关性；依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的上下游描述，依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新；使每个关键标签尽可能涵盖相对更多切更具高价值的标签信息，进而能够提高对触发威胁行为分析条件的远程办公行为日志的威胁操作事件解析、视觉型知识库创建和行为偏好内容注释的精确性。
44.在一种可独立实施的实施例中，标签传递记录包括行为偏好传递评价及相对分布传递评价，s102和s104之间还可以包括如下技术方案（比如可以理解为s103）：依据威胁操作事件内容集和相关性定位内容集之间的行为偏好传递评价（可以理解为行为偏好关系），确定威胁操作事件关键标签和相关性关键标签之间的标签传递记录；依据相关性定位内容集和偏好定位内容集之间的相对分布传递评价，确定行为偏好关键标签和相关性关键标签之间的标签传递记录。可选的，标签传递记录可以理解为不同关键标签之间的连接情况。
45.在本发明实施例中，威胁操作事件关键标签和相关性关键标签之间的标签传递记录旨在反映威胁操作事件关键标签和相关性关键标签之间是否具有传递性；行为偏好关键标签和相关性关键标签之间的标签传递记录旨在反映所述行为偏好关键标签和相关性关键标签之间是否具有传递性；相关性定位内容集和偏好定位内容集之间的相对分布传递评价示例性地可以包括：偏好定位内容集与相关性定位内容集的交叉内容在相关性定位内容集中的占比，可以预设一个指定占比，当偏好定位内容集与相关性定位内容集的交叉内容在相关性定位内容集中的占比符合或大于指定占比，确定在行为偏好关键标签和相关性关键标签之间关联。
46.在一种可独立实施的实施例中，s101所记录技术方案示例性可以包括如下内容：依据ai模型挖掘触发威胁行为分析条件的远程办公行为日志中每个具有设定存在概率的威胁操作事件的局部日志内容视为威胁操作事件内容集，挖掘触发威胁行为分析条件的远程办公行为日志中每个携带满足挖掘指标的行为偏好的局部日志内容视为偏好定位内容集；将全部威胁操作事件内容集进行整理，每两个威胁操作事件内容集对形成相关性定位内容集。
47.在本发明实施例中，依据ai模型同时实现对威胁操作事件内容集和偏好定位内容集的挖掘，具体挖掘可以采用rpn网络，挖掘具有设定存在概率的威胁操作事件的威胁操作事件内容集和有热度行为偏好的偏好定位内容集，威胁操作事件内容集和偏好定位内容集分别用于威胁操作事件解析和局部日志内容注释，依次对应于威胁操作事件层面和描述局部日志内容层面的内容解析，而相关性层面的相关性定位内容集则通过整理威胁操作事件
内容集得出，可以理解的是，不同的内容集依次对应于存在差异的网络功能线程。
48.在另一种可独立实施的实施例中，该实施例方法可以包括如下s201-s204所记录的技术方案。
49.s201，确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集。
50.在本发明实施例中，威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容；偏好定位内容集表征涵盖满足挖掘指标的行为偏好的局部日志内容；相关性定位内容集表征存在互相影响情况的两个威胁操作事件的局部日志内容。其中挖掘内容集的网络可以基于rpn网络实现，挖掘具有设定存在概率的威胁操作事件的内容集和有热度行为偏好的局部日志内容分别用于威胁操作事件解析和局部日志内容注释，得到的威胁操作事件内容集和偏好定位内容集依次对应于威胁操作事件层面和描述局部日志内容层面的内容解析。而相关性定位内容集则通过整理威胁操作事件内容集得出，并应用于相关性层面的内容解析。
51.s202，依据威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据偏好定位内容集挖掘基础行为偏好关键标签，依据相关性定位内容集挖掘基础相关性关键标签。
52.在本发明实施例中，每个基础威胁操作事件关键标签旨在反映一个威胁操作事件内容集；每个基础行为偏好关键标签旨在反映一个偏好定位内容集；每个基础相关性关键标签旨在反映一个相关性定位内容集。
53.s203，将基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签分别视为威胁操作事件知识单元、行为偏好知识单元和相关性知识单元，将基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录视为单元连线，生成视觉型知识库。
54.s204，依据视觉型知识库，依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
55.本发明实施例中通过建立视觉型知识库，明确了基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的上下游描述，并通过一方面把基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间整合起来，另一方面依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的资源共享，尽可能借助了三个网络功能线程之间的互相关联，提高关键标签的丰富程度，使更新后的目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签能更好的表达远程办公行为日志信息。
56.在一种可独立实施的实施例中，s203中生成视觉型知识库的过程示例性可以包括如下内容：对全部威胁操作事件知识单元进行整理，其中两个威胁操作事件知识单元集对应于一个相关性知识单元，依据威胁操作事件知识单元与相关性知识单元的上下游描述，将存在上下游关联的两个威胁操作事件知识单元与对应该上下游描述的相关性知识单元通过一条单元连线关联；当偏好定位内容集与相关性定位内容集的交叉内容满足相关性定位内容集的指定占比，将偏好定位内容集对应的行为偏好知识单元与相关性定位内容集对应的相关性知识单元通过一条单元连线关联。
57.进一步地，相关性知识单元和行为偏好知识单元之间的关联可以基于映射列表得到。当偏好定位内容集与相关性定位内容集交叉的部分满足相关性定位内容集的指定占比（如：设定为0.6，即偏好定位内容集与相关性定位内容集交叉的部分大于或等于相关性定位内容集的60％）时，便确定相关性知识单元与行为偏好知识单元之间的关联。由于威胁操作事件知识单元与行为偏好知识单元之间可以通过相关性知识单元建立联系，为了减少资源开销，可以省掉威胁操作事件知识单元与行为偏好知识单元之间的直接型映射。
58.在一种可独立实施的实施例中，依据威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据偏好定位内容集挖掘基础行为偏好关键标签，依据相关性定位内容集挖掘基础相关性关键标签。
59.在另一种可独立实施的实施例中，基于上述内容，s104中的更新过程，示例性可以包括如下内容：基础相关性关键标签获得依据视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签，依据基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新。基础威胁操作事件关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签，依据基础相关性关键标签对基础威胁操作事件关键标签进行更新。基础行为偏好关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签，依据基础相关性关键标签对基础行为偏好关键标签进行更新。
60.在本发明实施例中，对于基础相关性关键标签、基础威胁操作事件关键标签和基础行为偏好关键标签的更新可以并行实施，也可以异步实施。
61.在一种可示性的实施例中，上述所记录的基础相关性关键标签获得依据视觉型知识库中的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签，依据基础威胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进行更新，示例性可以包括如下内容：依次对基础威胁操作事件关键标签和基础行为偏好关键标签进行无量纲简化（可以理解为归一化处理），将完成无量纲简化的基础威胁操作事件关键标签和基础行为偏好关键标签依次进行动态映射，分别确定威胁操作事件偏移和行为偏好偏移；将威胁操作事件偏移和行为偏好偏移与基础相关性关键标签加权确定更新相关性关键标签；将更新相关性关键标签视为基础相关性关键标签，反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新相关性关键标签视为目标相关性关键标签。
62.在本发明实施例中，由于相关性知识单元与威胁操作事件知识单元存在两种关联情况，即“主动型-传递型事件”和“传递型事件-被动型”，相关性偏移包括主动型偏移和被动型偏移。因此，基础威胁操作事件关键标签包括与基础相关性关键标签存在互相影响情况的基础主动型关键标签和基础被动型关键标签，依据基础主动型关键标签和基础被动型关键标签确定的威胁操作事件偏移包括主动型偏移和被动型偏移。
63.本发明实施例中进行无量纲简化的根源在于与相关性知识单元存在关联的威胁操作事件知识单元和行为偏好知识单元的数目是不确定的，可能存在数目较多的情况，由此对全部威胁操作事件知识单元对应的威胁操作事件关键标签进行无量纲简化，确定量化均值，使完成无量纲简化的威胁操作事件关键标签对应于设定的数值区间，以减少不必要的资源开销。可以理解的是，对与相关性知识单元存在关联的威胁操作事件知识单元进行无量纲简化，可以得到无量纲简化的主动型关键标签和被动型关键标签。
64.在一种可独立实施的实施例中，上述所描述的基础威胁操作事件关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签，依据基础相关性关键标签对基础威胁操作事件关键标签进行更新，示例性可以包括如下内容：对基础相关性关键标签进行无量纲简化，将完成无量纲简化的基础相关性关键标签进行动态映射，得到相关性威胁操作事件偏移；将相关性威胁操作事件偏移与基础威胁操作事件关键标签加权确定更新威胁操作事件关键标签；反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新威胁操作事件关键标签视为目标威胁操作事件关键标签。
65.在本发明实施例中，通过对与基础威胁操作事件关键标签存在强相关的基础相关性关键标签进行无量纲简化和动态映射（可以理解为非线性变换），并将得到的相关性威胁操作事件偏移发送给威胁操作事件知识单元，基础威胁操作事件关键标签与相关性威胁操作事件偏移加权后确定更新威胁操作事件关键标签。
66.在一种可独立实施的实施例中，上述所描述的基础行为偏好关键标签获得依据视觉型知识库中的单元连线发送的基础相关性关键标签对基础行为偏好关键标签进行更新，示例性可以包括如下内容：对基础相关性关键标签进行无量纲简化，将完成无量纲简化的基础相关性关键标签进行动态映射，得到相关性行为偏好偏移；将相关性行为偏好偏移与基础行为偏好关键标签加权确定更新行为偏好关键标签；将更新行为偏好关键标签视为基础行为偏好关键标签，反复实施更新步骤，直至更新累计值达到指定累计值，导出最后完成更新的更新行为偏好关键标签视为目标行为偏好关键标签。
67.在本发明实施例中，通过对与基础行为偏好关键标签存在强相关的基础相关性关键标签进行无量纲简化和动态映射，并将得到的相关性行为偏好偏移发送给行为偏好知识单元，基础行为偏好关键标签与相关性行为偏好偏移加权后确定更新行为偏好关键标签以下为本发明基于ai的大数据威胁行为分析方法的又一个可独立实施的实施例。基于上述内容，该方法可以包括以下内容。
68.s401，确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集。
69.在本发明实施例中，威胁操作事件内容集旨在反映具有设定存在概率的威胁操作事件的局部日志内容；偏好定位内容集表征涵盖满足挖掘指标的行为偏好的局部日志内容；相关性定位内容集表征存在互相影响情况的两个威胁操作事件的局部日志内容。
70.s402，依据威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据偏好定位内容集挖掘基础行为偏好关键标签，依据相关性定位内容集挖掘基础相关性关键标签。
71.在本发明实施例中，每个基础威胁操作事件关键标签旨在反映一个威胁操作事件内容集；每个基础行为偏好关键标签旨在反映一个偏好定位内容集；每个基础相关性关键标签旨在反映一个相关性定位内容集。
72.s404，依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录，依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
73.s405，对目标威胁操作事件关键标签进行解析以获得触发威胁行为分析条件的远程办公行为日志中涵盖的威胁操作事件种类；和/或对目标行为偏好关键标签进行解析以
获得触发威胁行为分析条件的远程办公行为日志中具有满足挖掘指标的行为偏好的局部日志内容的行为偏好表达；和/或对目标相关性关键标签进行解析以获得触发威胁行为分析条件的远程办公行为日志中威胁操作事件之间的上下游描述种类。
74.在本发明实施例中，目标威胁操作事件关键标签用于判定威胁操作事件类别，目标相关性关键标签用于判定与之相连的两个威胁操作事件之间的上下游描述种类，目标行为偏好关键标签用于输入到一个依据ai智能模型用于生成对应于局部日志内容的特征，在这种情况下，可以识别出一组远程办公行为日志中的威胁操作事件，解析出威胁操作事件之间的上下游描述，并对该远程办公行为日志中热度局部日志内容的进行行为偏好表达。
75.在一种可独立实施的实施例中，依据上述内容，本发明实施例方法还可以包括如下调试过程：触发威胁行为分析条件的远程办公行为日志包括范例远程办公行为日志，范例远程办公行为日志注释有远程办公行为日志中威胁操作事件分布及种类、威胁操作事件之间的种类上下游描述和有热度行为偏好局部日志内容的行为偏好表达；反复执行上述任一实施例基于ai的大数据威胁行为分析方法的操作，直至最后导出的依据目标威胁操作事件关键标签得到的威胁操作事件种类、依据目标相关性关键标签得到的相应威胁操作事件之间的上下游描述种类和依据目标行为偏好关键标签得到的行为偏好表达与范例远程办公行为日志具有的注释内容的量化比较结果不大于指定判定值。
76.通过本发明实施例提供的调试方法对基于ai的大数据威胁行为分析方法涉及的ai网络进行调试，使得到导出结果更加全面，并且能够简化ai网络调试的反馈步骤，提高网络调试的时效性。
77.除上述内容，对于一些可独立实施的设计思路而言，在得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签之后，该方法还包括：根据所述目标威胁操作事件关键标签、所述目标行为偏好关键标签和所述目标相关性关键标签确定所述远程办公行为日志的威胁行为检测结果；基于所述威胁行为检测结果进行反威胁处理。
78.在本发明实施例中，反威胁处理包括办公行为权限认证处理，办公行为拦截操作，办公用户身份验证，办公信息匿名化处理等反威胁处理。
79.在上述内容的基础上，对于一些可独立实施的设计思路而言，根据所述目标威胁操作事件关键标签、所述目标行为偏好关键标签和所述目标相关性关键标签确定所述远程办公行为日志的威胁行为检测结果，可以包括以下内容：结合所述目标威胁操作事件关键标签、所述目标行为偏好关键标签和所述目标相关性关键标签确定显著办公行为描述以及参考办公行为描述；对所述显著办公行为描述进行行为节点识别，得到所述显著办公行为描述的第一行为节点关键词，并对所述参考办公行为描述进行行为节点识别，得到与所述参考办公行为描述对应的第二行为节点关键词；将所述第一行为节点关键词、以及所述第二行为节点关键词进行关键词拼接操作处理，得到全局办公行为描述；基于所述全局办公行为描述，得到所述显著办公行为描述的威胁行为检测结果。如此设计，能够基于不同的关键标签确定尽可能丰富的显著办公行为描述，并结合参考办公行为描述确定不同的行为节点关键词，然后根据行为节点关键词得到全局办公行为描述，从而保障得到的威胁行为检测结果的可信度。
80.在上述内容的基础上，对于一些可独立实施的设计思路而言，所述对所述显著办公行为描述进行行为节点识别，得到所述显著办公行为描述的第一行为节点关键词，包括：
对所述显著办公行为描述进行阶段性行为节点识别，确定与每级行为节点识别对应的第一行为节点关键词；所述对所述参考办公行为描述进行行为节点识别，得到与所述参考办公行为描述对应的第二行为节点关键词，包括：对所述参考办公行为描述进行阶段性行为节点识别，确定与每组所述第一行为节点关键词对应的第二行为节点关键词；所述将所述第一行为节点关键词、以及所述第二行为节点关键词进行关键词拼接操作处理，得到全局办公行为描述，包括：针对每组第一行为节点关键词，对所述每组第一行为节点关键词、以及与所述每组第一行为节点关键词对应的第二行为节点关键词进行关键词拼接操作处理，得到所述每组第一行为节点关键词对应的全局办公行为描述。如此设计，能够确保得到的第一行为节点关键词的准确性。
81.在上述内容的基础上，对于一些可独立实施的设计思路而言，所述基于所述全局办公行为描述，得到所述显著办公行为描述的威胁行为检测结果，包括：基于所述每组第一行为节点关键词对应的全局办公行为描述，得到所述每组第一行为节点关键词的威胁行为检测结果；基于与阶段性行为节点识别分别对应的第一行为节点关键词的威胁行为检测结果，得到所述显著办公行为描述的威胁行为检测结果。如此设计，能够提高威胁行为检测结果的可信度。
82.基于上述同样的发明构思，还提供了一种基于ai的大数据威胁行为分析置20，应用于威胁行为分析服务器10，所述装置包括：内容集确定模块21，用于确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、偏好定位内容集和相关性定位内容集；标签挖掘模块22，用于依据威胁操作事件内容集挖掘基础威胁操作事件关键标签，依据偏好定位内容集挖掘基础行为偏好关键标签，依据相关性定位内容集挖掘基础相关性关键标签；标签更新模块23，用于依据基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签之间的标签传递记录，依次对基础威胁操作事件关键标签、基础行为偏好关键标签和基础相关性关键标签进行更新，得到目标威胁操作事件关键标签、目标行为偏好关键标签和目标相关性关键标签。
83.在本发明实施例所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
84.另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
85.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以
存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，威胁行为分析服务器10，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
86.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。