2. 专利查询
  3. 数据威胁预测方法及装置与流程

数据威胁预测方法及装置与流程

专利查询8月前  74


1.本技术涉及大数据技术领域,特别是涉及一种数据威胁预测方法及装置。


背景技术:

2.大数据的到来,数据的价值越来凸显化,因此,如果能够对海量数据进行挖掘好,能够提供极有价值的客观依据,使得数据成为重要的资产。
3.数据泄露是大数据领域的尤其重要的安全问题。现有技术中,虽然采取了防火墙、ips/ids设备来保证数据安全,但是大数据应用环境中,由于各种技术缺陷或者操作失误会导致数据泄露问题时有发生。
4.因此,如何保证数据的安全成为亟待解决的技术问题。


技术实现要素:

5.基于上述问题,本技术实施例提供了一种数据威胁预测方法及装置。
6.一种数据威胁预测方法,其包括:
7.根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;
8.基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;
9.根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;
10.根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;
11.计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;
12.将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果。
13.可选地,所述根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获,包括:基于设定的定时轮询捕获模型,按照设定的捕获间隔和单次捕获数据量阈值,对所述数据威胁预测方法针对的目标数据进行实时捕获,所述定时轮询捕获模型作为所述数据捕获模型。
14.可选地,所述根据设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据,包括:获取所述目标数据的日志并输入到所述设定的威胁行为判断模型中进行威胁行为预测,得到威胁行为预测数据。
15.可选地,所述根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据,包括:获取所述目标数据的日志并输入到所述设定的正常行为判断模型中进行正常行为预测,得到正常行为预测数据。
16.可选地,所述根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测
集合,包括:根据所述威胁行为预测数据和正常行为预测数据构建有向图,基于所述有向图形成行为数据预测集合。
17.可选地,所述计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值,包括:计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的欧拉距离,根据所述欧拉距离,计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值。
18.一种数据威胁预测装置,其包括:
19.数据捕获单元,用于根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;
20.第一预测单元,用于基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;
21.第二预测单元,用于根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;
22.数据集合单元,用于根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;
23.损失值计算单元,用于计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;
24.预测结果生成单元,用于将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果。
25.可选地,所述数据捕获单元具体用于:基于设定的定时轮询捕获模型,按照设定的捕获间隔和单次捕获数据量阈值,对所述数据威胁预测方法针对的目标数据进行实时捕获,所述定时轮询捕获模型作为所述数据捕获模型。
26.一种电子设备,其存储器以及处理器,所述存储器上存储有计算机可执行指令,所述处理器用于执行所述计算机可执行指令以执行本技术实施例任一项所述的方法。
27.一种计算机存储介质,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时以执行本技术实施例任一项所述的方法。
28.本技术公开的技术方案中,根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果,从而保证了数据的安全。
附图说明
29.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
30.图1为本技术实施例一数据威胁预测方法的流程示意图;
31.图2为本技术实施例一种数据威胁预测装置的结构示意图;
32.图3为本技术实施例中电子设备结构示意图;
33.图4为本技术实施例中电子设备的硬件结构示意图。
具体实施方式
34.实施本技术实施例的任一技术方案必不一定需要同时达到以上的所有优点。
35.为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
36.本技术公开的技术方案中,根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果,从而保证了数据的安全。
37.图1为本技术实施例一数据威胁预测方法的流程示意图;本技术实施例提供的方法,其执行主体可以为后台服务器。如图1所示,数据威胁预测方法包括:
38.s101、根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;
39.可选地,所述根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获,包括:基于设定的定时轮询捕获模型,按照设定的捕获间隔和单次捕获数据量阈值,对所述数据威胁预测方法针对的目标数据进行实时捕获,所述定时轮询捕获模型作为所述数据捕获模型。
40.本实施例中,通过上述定时轮询的捕获模型,按照设定的采集间隔和单次采集数量,可以降低处理的频率,节省后台服务器的资源消耗,使得后台服务器尽可能不会出现超负荷运行。
41.可选地,所述根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获,包括:基于设定的数据反爬捕获模型,在每次捕获时生成虚拟的用户登录信息以创建用户登录态,以对所述数据威胁预测方法针对的目标数据进行实时捕获。
42.本实施例中,考虑到为了保证数据安全,一些数据源会设置反爬机制,因此,本实施例中,为了能从这些数据源上捕获到的待结构化的目标数据,在每次捕获时创建用户登录态,比如使用随机的用户名和随机的虚拟ip地址去访问数据源。
43.可选地,所述根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获,包括:基于设定的数据捕获模型,使用捕获线索数据库中的捕获线索,对所述数据威胁预测方法针对的目标数据进行实时捕获。
44.本实施例中,所述捕获线索可以是实时生成的,也可以是离线生成的,并维护在捕
获线索数据库,具体按照时间戳进行分类管理,从而在上述步骤使用时,直接从捕获线索数据库中进行获取即可,对于数据量较小的应用场景来说,可以提高捕获的效率和速度,保证了目标数据的实时性。
45.可选地,所述根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获,包括:基于设定的关键词捕获模型,使用预先定义的关键词,对所述数据威胁预测方法针对的目标数据进行实时捕获。
46.本实施例中,基于关键词去捕获待结构化的目标数据,可以提高捕获的效率,同时保证待结构化的目标数据具有较高的准确度。
47.s102、基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;
48.可选地,所述根据设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据,包括:获取所述目标数据的日志并输入到所述设定的威胁行为判断模型中进行威胁行为预测,得到威胁行为预测数据。
49.本实施例中,直接基于日志进行威胁行为预测,数据处理的效率较高。
50.或者,可选地,所述根据设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据,包括:根据设定的威胁行为判断模型,从行为数据沙盒中获取所述目标数据的日志,并输入到输入到所述设定的威胁行为判断模型中进行威胁行为预测,得到威胁行为预测数据。
51.本实施例中,通过沙盒来存储日志数据,保证了这些日志数据不会被篡改,在进行威胁行为预测时,可以保证数据的客观性。
52.或者,可选地,所述根据设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据,包括:根据设定的威胁行为判断模型,确定关联于所述目标数据的应用程序,对所述应用程序进行可信预测,得到威胁行为预测数据。
53.本实施例中,基于关联于所述目标数据的应用程序可以是产生所述目标数据的应用程序,也可以是使用目标数据的所述应用程序,通过目标数据对应用程序的影响,从而间接得到目标数据的预测行为数据,相当于使用应用程序对目标数据进行了验证,从而保证了威胁行为预测数据的准确性。
54.另外,在一实施例中,上述三种方式可以结合使用,比如三种方式得到的威胁行为预测数据进行统计运算(比如求取交集),统计运算的结果作为最终的威胁行为预测数据。
55.s103、根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;
56.可选地,所述根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据,包括:获取所述目标数据的日志并输入到所述设定的正常行为判断模型中进行正常行为预测,得到正常行为预测数据。
57.或者,可选地,所述根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据,包括:根据设定的正常行为判断模型,从行为数据沙盒中获取所述目标数据的日志,并输入到输入到所述设定的正常行为判断模型中进行正常行为预测,得到正常行为预测数据。
58.或者,可选地,所述根据设定的正常行为判断模型,对实时捕获到的目标数据进行
正常行为预测,得到正常行为预测数据,包括:根据设定的正常行为判断模型,确定关联于所述目标数据的应用程序,对所述应用程序进行可信预测,得到正常行为预测数据。
59.可选地,所述根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获之前,包括:
60.使用正常行为标注数据以及正常行为样本数据,对所述正常行为判断模型进行训练,以调整所述正常行为判断模型的参数矩阵;
61.使用威胁行为标注数据以及威胁行为样本数据,对所述威胁行为判断模型进行训练,以调整所述威胁行为判断模型的参数矩阵。
62.通过上述训练过程,可以保证使用所述正常行为判断模型、所述威胁行为判断模型时,可以得到准确的输出数据。
63.s104、根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;
64.可选地,所述根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合,包括:根据所述威胁行为预测数据和正常行为预测数据构建有向图,基于所述有向图形成行为数据预测集合。
65.具体地,本实施例中,将每个威胁威胁行为预测数据和正常行为预测数据作为有向图中的一个顶点,将每两个威胁威胁行为预测数据之间,每两个正常行为预测数据,威胁行为预测数据和正常行为预测数据之间的逻辑距离作为顶点之间的边,从而完成有向图的构建。
66.s105、计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;
67.可选地,所述计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值,包括:计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的欧拉距离,根据所述欧拉距离,计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值。
68.具体地,本实施例中,在所述有向图上,计算每个顶点之间的欧拉距离,相当于判断出了与可信行为的匹配度;再进一步基于每个顶点之间的欧拉距离,计算对应的行为预测数据与可行行为集合中的可行行为损失值。
69.s106、将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果。
70.损失值越大,表明行为预测数据偏离可行行为越大,由此,可以准确地生成对所述目标数据的威胁预测结果,包括威胁的等级,威胁的时效性等。
71.图2为本技术实施例一种数据威胁预测装置的结构示意图;如图2所示,其包括:
72.数据捕获单元201,用于根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;
73.第一预测单元202,用于基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;
74.第二预测单元203,用于根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;
75.数据集合单元204,用于根据所述威胁行为预测数据和正常行为预测数据形成行
为数据预测集合;
76.损失值计算单元205,用于计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;
77.预测结果生成单元206,用于将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果。
78.可选地,所述数据捕获单元201具体用于:基于设定的定时轮询捕获模型,按照设定的捕获间隔和单次捕获数据量阈值,对所述数据威胁预测方法针对的目标数据进行实时捕获,所述定时轮询捕获模型作为所述数据捕获模型。
79.可选地,所述数据捕获单元201具体用于:基于设定的数据反爬捕获模型,在每次捕获时生成虚拟的用户登录信息以创建用户登录态,以对所述数据威胁预测方法针对的目标数据进行实时捕获。
80.可选地,所述数据捕获单元201具体用于:基于设定的数据捕获模型,使用捕获线索数据库中的捕获线索,对所述数据威胁预测方法针对的目标数据进行实时捕获。
81.可选地,所述数据捕获单元201具体用于:基于设定的关键词捕获模型,使用预先定义的关键词,对所述数据威胁预测方法针对的目标数据进行实时捕获。
82.可选地,所述第一预测单元202具体用于:获取所述目标数据的日志并输入到所述设定的威胁行为判断模型中进行威胁行为预测,得到威胁行为预测数据。
83.可选地,所述第一预测单元202具体用于:根据设定的威胁行为判断模型,从行为数据沙盒中获取所述目标数据的日志,并输入到输入到所述设定的威胁行为判断模型中进行威胁行为预测,得到威胁行为预测数据。
84.可选地,所述第一预测单元202具体用于:根据设定的威胁行为判断模型,确定关联于所述目标数据的应用程序,对所述应用程序进行可信预测,得到威胁行为预测数据。
85.可选地,所述第二预测单元203具体用于:获取所述目标数据的日志并输入到所述设定的正常行为判断模型中进行正常行为预测,得到正常行为预测数据。
86.可选地,所述第二预测单元203具体用于:根据设定的正常行为判断模型,从行为数据沙盒中获取所述目标数据的日志,并输入到输入到所述设定的正常行为判断模型中进行正常行为预测,得到正常行为预测数据。
87.可选地,所述第二预测单元203具体用于:根据设定的正常行为判断模型,确定关联于所述目标数据的应用程序,对所述应用程序进行可信预测,得到正常行为预测数据。
88.可选地,所述装置包括训练单元,在根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获之前,用于:
89.使用正常行为标注数据以及正常行为样本数据,对所述正常行为判断模型进行训练,以调整所述正常行为判断模型的参数矩阵;
90.使用威胁行为标注数据以及威胁行为样本数据,对所述威胁行为判断模型进行训练,以调整所述威胁行为判断模型的参数矩阵。
91.可选地,所述数据集合单元204具体用于根据所述威胁行为预测数据和正常行为预测数据构建有向图,基于所述有向图形成行为数据预测集合。
92.可选地,所述损失值计算单元205具体用于:计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的欧拉距离,根据所述欧拉距离,计算所述数据预测
集合中每个行为预测数据与可信行为集合中的可行行为的损失值。
93.图3为本技术实施例中电子设备结构示意图;如图3所示,其包括:存储器301以及处理器302,所述存储器上存储有计算机可执行程序,所述处理器用于执行所述计算机可执行程序以实施本技术任一实施例所述的方法。
94.图4为本技术实施例中电子设备的硬件结构示意图;如图4所示,该电子设备的硬件结构可以包括:处理器任务解析单元401,通信接口开销确定单元402,计算机可读介质任务刻画单元403和通信总线404;
95.其中,处理器任务解析单元401、通信接口开销确定单元402、计算机可读介质任务刻画单元403通过通信总线404完成相互间的通信;
96.可选的,通信接口开销确定单元402可以为通信模块的接口,如gsm模块的接口;
97.其中,处理器任务解析单元401具体可以配置为运行存储器上存储的可执行程序,从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。
98.处理器任务解析单元401可以是通用处理器,包括中央处理器(central processing unit,简称cpu)、网络处理器(network processor,简称np)等;还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
99.本技术实施例的电子设备以多种形式存在,包括但不限于:
100.(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iphone)、多媒体手机、功能性手机,以及低端手机等。
101.(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等,例如ipad。
102.(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如ipod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
103.(4)服务器:提供计算服务的设备,服务器的构成包括处理器710、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
104.(5)其他具有数据交互功能的电子装置。
105.特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分从网络上被下载和安装,和/或从可拆卸介质被安装。在该计算机程序被处理单元(cpu)执行时,执行本技术的方法中限定的上述功能。需要说明的是,本技术所述的计算机可读介质可以是计算机可读信号介质或者计算机存储介质或者是上述两者的任意组合。计算机存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机
访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中,计算机存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、rf等等,或者上述的任意合适的组合。
106.可以以一种或多种程序设计语言或其组合来编写用于执行本技术的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++,还包括常规的过程式程序设计语言—诸如”c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
107.需要说明的是,本说明书中的各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块提示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
108.以上所述,仅为本技术的一种具体实施方式,但本技术的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本技术揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本技术的保护范围之内。因此,本技术的保护范围应该以权利要求的保护范围为准。

技术特征:
1.一种数据威胁预测方法,其特征在于,包括:根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果。2.根据权利要求1所述的方法,其特征在于,所述根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获,包括:基于设定的定时轮询捕获模型,按照设定的捕获间隔和单次捕获数据量阈值,对所述数据威胁预测方法针对的目标数据进行实时捕获,所述定时轮询捕获模型作为所述数据捕获模型。3.根据权利要求1所述的方法,其特征在于,所述根据设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据,包括:获取所述目标数据的日志并输入到所述设定的威胁行为判断模型中进行威胁行为预测,得到威胁行为预测数据。4.根据权利要求1所述的方法,其特征在于,所述根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据,包括:获取所述目标数据的日志并输入到所述设定的正常行为判断模型中进行正常行为预测,得到正常行为预测数据。5.根据权利要求1所述的方法,其特征在于,所述根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合,包括:根据所述威胁行为预测数据和正常行为预测数据构建有向图,基于所述有向图形成行为数据预测集合。6.根据权利要求1所述的方法,其特征在于,所述计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值,包括:计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的欧拉距离,根据所述欧拉距离,计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值。7.一种数据威胁预测装置,其特征在于,包括:数据捕获单元,用于根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;第一预测单元,用于基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;第二预测单元,用于根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;数据集合单元,用于根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;损失值计算单元,用于计算所述数据预测集合中每个行为预测数据与可信行为集合中
的可行行为的损失值;预测结果生成单元,用于将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果。8.根据权利要求7所述的装置,其特征在于,所述数据捕获单元具体用于:基于设定的定时轮询捕获模型,按照设定的捕获间隔和单次捕获数据量阈值,对所述数据威胁预测方法针对的目标数据进行实时捕获,所述定时轮询捕获模型作为所述数据捕获模型。9.一种电子设备,其特征在于,包括:存储器以及处理器,所述存储器上存储有计算机可执行指令,所述处理器用于执行所述计算机可执行指令以执行权利要求1-6任一项所述的方法。10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时以执行权利要求1-6任一项所述的方法。

技术总结
本申请实施例提供了一种数据威胁预测方法及装置,方法包括:根据设定的威胁监控模型,对所述数据威胁预测方法针对的目标数据进行实时捕获;基于设定的威胁行为判断模型,对实时捕获到的目标数据进行威胁行为预测,得到威胁行为预测数据;根据设定的正常行为判断模型,对实时捕获到的目标数据进行正常行为预测,得到正常行为预测数据;根据所述威胁行为预测数据和正常行为预测数据形成行为数据预测集合;计算所述数据预测集合中每个行为预测数据与可信行为集合中的可行行为的损失值;将所述损失值大于设定损失值阈值的行为预测数据,作为针对所述目标数据的威胁预测结果,从而保证了数据的安全。而保证了数据的安全。而保证了数据的安全。


技术研发人员:解培 阮安邦 魏明 陈凯 周晓晓
受保护的技术使用者:北京八分量信息科技有限公司
技术研发日:2021.12.02
技术公布日:2022/3/8

专利

最新回复(0)