基于信息安全的攻击意图挖掘方法及人工智能分析系统与流程

1.本技术涉及信息安全技术领域，具体而言，涉及一种基于信息安全的攻击意图挖掘方法及人工智能分析系统。


背景技术：

2.随着互联网技术的迅速发展，互联网信息安全面临着严峻的挑战，一些恶意的网络服务器（也即攻击主体）行为也层出不穷。各种互联网业务系统由于受到各类信息攻击侵犯使得被强行关闭，导致大量用户无法正常访问，隐私信息泄露而导致极大的利益损失。基于此，针对海量的攻击防御轨迹数据，可以反映广泛攻击防御场景中的特征特点，如何对其进行有效利用，以对相关的攻击防御活动进行攻击挖掘意图的分析，进而便于收集后续深度学习的数据样本进行训练，是本领域当前亟待研究的方向。


技术实现要素：

3.为了至少克服现有技术中的上述不足，本技术的目的在于提供一种基于信息安全的攻击意图挖掘方法及人工智能分析系统。
4.第一方面，本技术提供一种基于信息安全的攻击意图挖掘方法，应用于人工智能分析系统，所述人工智能分析系统与多个攻击防御系统通信连接，所述方法包括：根据指定攻击防御系统的多个攻击防御事件的攻击防御轨迹获得各攻击防御事件关联的攻击主体行为数据，并根据各个攻击主体行为数据配置攻击活动联系图，所述攻击活动联系图涵盖分别与各攻击防御事件关联的事件成员以及与各攻击防御轨迹的攻击防御活动关联的活动成员；获取指定攻击防御事件的目标攻击防御活动集，所述目标攻击防御活动集包括多个攻击防御活动成员；根据所述攻击活动联系图对所述指定攻击防御事件的所述目标攻击防御活动集进行攻击挖掘意图挖掘，得到所述指定攻击防御事件的攻击挖掘意图，以基于所述攻击挖掘意图对所述指定攻击防御事件进行特征关联。
5.譬如，所述方法还包括：获取指定攻击防御系统的多个指定攻击防御事件以及每个指定攻击防御事件的攻击挖掘意图；根据所述多个指定攻击防御事件以及每个指定攻击防御事件的攻击挖掘意图训练获得攻击意图预测网络；基于所述攻击意图预测网络对响应的目标攻击防御事件进行攻击意图预测，获得所述目标攻击防御事件对应的预测攻击意图；根据在预设时间段内搜集的各个预测攻击挖掘意图构成的攻击意图热力图，对所述指定攻击防御系统的防御固件信息进行更新，并基于更新后的指定攻击防御系统进行模拟测试。
6.譬如，所述基于更新后的指定攻击防御系统进行模拟测试的步骤，包括：获取所述指定攻击防御系统对模拟生成的模拟攻击主体进行攻击防御测试得到的模拟攻击防御事件，所述模拟攻击防御事件包括多个模拟攻击防御行为数据，并且获取在先配置的所述模拟攻击主体对应的关键攻击向量簇以及目标攻击属性簇；将所述模拟攻击防御事件与所述关键攻击向量簇进行攻击线索特征测试，得到包括多个关键攻击向量片段的攻击线索特征簇；将所述攻击线索特征簇与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据。
7.譬如，所述将所述模拟攻击防御事件与所述关键攻击向量簇进行攻击线索特征测试，得到包括多个关键攻击向量片段的攻击线索特征簇，包括：将所述模拟攻击防御事件中的各所述模拟攻击防御行为数据分别与所述关键攻击向量簇进行向量定位，得到各所述模拟攻击防御行为数据分别与所述关键攻击向量簇之间的向量定位信息；按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行特征抽取，按照特征抽取后的各所述模拟攻击防御行为数据获得攻击抽取特征；根据所述攻击抽取特征获得关于所述关键攻击向量簇的攻击线索特征簇，所述攻击线索特征簇包括多个关键攻击向量片段。
8.譬如，将所述攻击线索特征簇与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据，包括：按照各所述关键攻击向量片段分别与所述关键攻击向量簇的向量定位信息从所述攻击线索特征簇中选取权重最高的至少一个关键攻击向量片段作为候选关键攻击向量片段；并将每个所述候选关键攻击向量片段与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据；或者按照所述攻击线索特征簇中各所述关键攻击向量片段的攻击进展节点依次将各所述关键攻击向量片段与所述目标攻击属性簇进行攻击线索特征测试。
9.譬如，所述按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行特征抽取，按照特征抽取后的各所述模拟攻击防御行为数据获得攻击抽取特征，包括：按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行分团，得到多个模拟攻击防御行为数据团；对每个所述模拟攻击防御行为数据团进行攻击进展节点的排列，并分别对每个所述模拟攻击防御行为数据团中的各所述模拟攻击防御行为数据进行特征抽取，得到所述攻击抽取特征；其中，所述按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述
模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行分团，得到多个模拟攻击防御行为数据团，包括：分别按照各所述模拟攻击防御行为数据对应的向量定位信息，对各所述模拟攻击防御行为数据的攻击特征矩阵进行拼接，得到各所述模拟攻击防御行为数据的目标关键攻击向量；按照各所述模拟攻击防御行为数据的目标关键攻击向量对各所述模拟攻击防御行为数据进行分团，得到多个模拟攻击防御行为数据团；所述对每个所述模拟攻击防御行为数据团进行攻击进展节点的排列，并分别对每个所述模拟攻击防御行为数据团中的各所述模拟攻击防御行为数据进行特征抽取，得到所述攻击抽取特征，包括：按照每个所述模拟攻击防御行为数据团所包含的模拟攻击防御行为数据的数量，对每个所述模拟攻击防御行为数据团进行攻击进展节点的排列；针对每个所述模拟攻击防御行为数据团，按照所述模拟攻击防御行为数据团中各所述模拟攻击防御行为数据的攻击特征矩阵与所述模拟攻击防御行为数据团的交叉特征，对所述模拟攻击防御行为数据团中的各所述模拟攻击防御行为数据进行特征抽取；根据各所述模拟攻击防御行为数据团之间的攻击进展节点排列信息，以及每个所述模拟攻击防御行为数据团中各所述模拟攻击防御行为数据的特征抽取结果，获得所述攻击抽取特征。
10.譬如，所述将所述模拟攻击防御事件中的各所述模拟攻击防御行为数据分别与所述关键攻击向量簇进行向量定位，得到各所述模拟攻击防御行为数据分别与所述关键攻击向量簇之间的向量定位信息，包括：分别将各所述模拟攻击防御行为数据调配到在先训练的攻击线索分析模型中，根据所述在先训练的攻击线索分析模型中的根据整体攻击向量分析角度的攻击向量提取结构对各所述模拟攻击防御行为数据进行攻击向量提取，并将攻击向量提取得到的提取攻击向量分别与所述关键攻击向量簇进行向量定位后生成各所述模拟攻击防御行为数据对应的向量定位信息；所述按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行特征抽取，按照特征抽取后的各所述模拟攻击防御行为数据获得攻击抽取特征，包括：分别将各所述模拟攻击防御行为数据，以及各所述模拟攻击防御行为数据对应的向量定位信息调配到所述在先训练的攻击线索分析模型中的攻击特征抽取结构，根据所述攻击特征抽取结构对各所述模拟攻击防御行为数据进行特征抽取，获得所述攻击特征抽取结构生成的限制攻击向量分析角度的第一抽取向量分布，所述第一抽取向量分布中的各个限制抽取向量共同构成所述攻击抽取特征；所述根据所述攻击抽取特征获得关于所述关键攻击向量簇的攻击线索特征簇，包括：将所述抽取向量分布调配到所述在先训练的攻击线索分析模型中的攻击线索特征生成结构，根据所述攻击线索特征生成结构进行攻击线索特征提取，获得所述攻击线索特征生成结构生成的所述攻击线索特征簇；其中，所述在先训练的攻击线索分析模型是按
照攻击线索训练数据集进行模型收敛配置，所述攻击线索训练数据集中的攻击线索训练数据包括示例向量定位信息的示例模拟攻击防御行为数据，所述示例向量定位信息用于描述所述示例模拟攻击防御行为数据与示例关键攻击向量簇的向量定位信息。
11.譬如，所述分别将各所述模拟攻击防御行为数据调配到在先训练的攻击线索分析模型中，根据所述在先训练的攻击线索分析模型中的根据整体攻击向量分析角度的攻击向量提取结构对各所述模拟攻击防御行为数据进行攻击向量提取，并将攻击向量提取得到的提取攻击向量分别与所述关键攻击向量簇进行向量定位后生成各所述模拟攻击防御行为数据对应的向量定位信息，包括：分别将各所述模拟攻击防御行为数据调配到所述攻击向量提取结构，根据所述攻击向量提取结构中的整体攻击向量提取子结构将各所述模拟攻击防御行为数据映射到预设攻击向量空间，得到各所述模拟攻击防御行为数据的攻击链向量；将各所述模拟攻击防御行为数据的攻击链向量分别转换为对应的标准攻击比对向量；根据所述攻击向量提取结构，分别提取各所述模拟攻击防御行为数据的标准攻击比对向量与其它模拟攻击防御行为数据的标准攻击比对向量之间的共享攻击比较向量；根据各所述模拟攻击防御行为数据对应的共享攻击比较向量获得各所述模拟攻击防御行为数据与所述关键攻击向量簇之间的向量定位信息。
12.譬如，所述根据所述攻击特征抽取结构对各所述模拟攻击防御行为数据进行特征抽取，获得所述攻击特征抽取结构生成的限制攻击向量分析角度的第一抽取向量分布，包括：根据所述在先训练的攻击线索分析模型中的攻击特征抽取结构，将各所述模拟攻击防御行为数据映射到预设攻击向量空间得到各所述模拟攻击防御行为数据对应的限制攻击链向量集；通过频繁模式树模型对各所述模拟攻击防御行为数据对应的限制攻击链向量集进行频繁模式项特征提取，得到各所述模拟攻击防御行为数据的标准攻击比对向量；分别按照各所述模拟攻击防御行为数据对应的向量定位信息，对各所述模拟攻击防御行为数据的标准攻击比对向量进行拼接，得到各所述模拟攻击防御行为数据的拼接标准攻击比对向量；根据各所述模拟攻击防御行为数据的拼接标准攻击比对向量进行分团，得到多个模拟攻击防御行为数据团；将各所述模拟攻击防御行为数据团进行攻击进展节点的排列，并将每个模拟攻击防御行为数据团中的各所述模拟攻击防御行为数据进行特征抽取后，将各所述模拟攻击防御行为数据的拼接标准攻击比对向量进行拼接得到所述第一抽取向量分布；所述将所述抽取向量分布调配到所述在先训练的攻击线索分析模型中的攻击线索特征生成结构，根据所述攻击线索特征生成结构进行攻击线索特征提取，获得所述攻击线索特征生成结构生成的所述攻击线索特征簇，包括：循环游走所述攻击线索特征簇中的各个关键攻击向量片段，所述攻击线索特征簇中的一个攻击线索特征包括至少一个关键攻击向量片段；针对每次循环游走阶段，将最初生成的关键攻击向量片段调配到所述攻击线索特
征生成结构，其中，首次调配到所述攻击线索特征生成结构的为预先构建的参考攻击链向量；计算所述最初生成的关键攻击向量片段和各个所述限制抽取向量的相关度量值，其中，所述相关度量值用于描述所述限制抽取向量与所述最初生成的关键攻击向量片段之间的相关系数；将所述相关度量值和所述攻击抽取特征中的限制抽取向量的标准攻击比对向量集进行拼接，并调配到到标准攻击比对向量提取结构中，获得当前循环游走阶段生成的所述攻击抽取特征的目标标准攻击比对向量；根据所述最初生成的关键攻击向量片段以及所述目标标准攻击比对向量，获得当前循环游走阶段生成的关键攻击向量片段，进而按照每次循环游走阶段生成的关键攻击向量片段即可得到对应的目标攻击线索特征簇。
13.譬如，所述方法还包括对所述攻击线索分析模型进行模型收敛的步骤，该步骤包括：获取针对示例关键攻击向量簇的攻击线索训练数据集，从所述攻击线索训练数据集中获取针对每个示例关键攻击向量簇的且具有多个攻击线索训练数据的攻击线索训练数据集；分别将获取的各个攻击线索训练数据包含的示例模拟攻击防御行为数据调配到初始攻击线索分析模型中的根据整体攻击向量分析角度的攻击向量提取结构，获得所述攻击向量提取结构生成的各所述示例模拟攻击防御行为数据对应的向量定位信息；根据各所述示例模拟攻击防御行为数据对应的向量定位信息与对应的示例向量定位信息之间的相关度量值，得到第一风险学习系数；分别将获取的各个攻击线索训练数据中的示例模拟攻击防御行为数据，以及各所述示例模拟攻击防御行为数据对应的向量定位信息调配到所述初始攻击线索分析模型中的攻击特征抽取结构，根据所述攻击特征抽取结构对各所述示例模拟攻击防御行为数据进行分团，获得多个模拟攻击防御行为数据团；根据所述攻击特征抽取结构对每个所述模拟攻击防御行为数据团进行攻击进展节点的排列，获得所述攻击特征抽取结构生成的限制攻击向量分析角度的第二抽取向量分布；将所述第二抽取向量分布调配到所述初始攻击线索分析模型中的攻击线索特征生成结构，并根据所述攻击线索特征生成结构进行攻击线索特征提取，获得所述攻击线索特征生成结构生成的决策攻击线索特征簇，所述决策攻击线索特征簇包括多个决策关键攻击向量片段；根据所述决策攻击线索特征簇中的决策关键攻击向量片段与示例攻击线索特征簇中的示例关键攻击向量片段的损失信息，得到第二风险学习系数，并根据每个所述模拟攻击防御行为数据团中的各限制抽取向量的关注节点特征系数，得到第三风险学习系数；按照所述第一风险学习系数，所述第二风险学习系数和所述第三风险学习系数，对所述初始攻击线索分析模型进行模型权重更新，直到达到训练终止条件时，获得收敛的攻击线索分析模型。
14.第二方面，本技术实施例还提供一种基于信息安全的攻击意图挖掘系统，所述基
于信息安全的攻击意图挖掘系统包括人工智能分析系统和与所述人工智能分析系统通信连接的多个攻击防御系统；所述人工智能分析系统，用于：根据指定攻击防御系统的多个攻击防御事件的攻击防御轨迹获得各攻击防御事件关联的攻击主体行为数据，并根据各个攻击主体行为数据配置攻击活动联系图，所述攻击活动联系图涵盖分别与各攻击防御事件关联的事件成员以及与各攻击防御轨迹的攻击防御活动关联的活动成员；获取指定攻击防御事件的目标攻击防御活动集，所述目标攻击防御活动集包括多个攻击防御活动成员；根据所述攻击活动联系图对所述指定攻击防御事件的所述目标攻击防御活动集进行攻击挖掘意图挖掘，得到所述指定攻击防御事件的攻击挖掘意图，以基于所述攻击挖掘意图对所述指定攻击防御事件进行特征关联。
15.根据上述任意一个方面，本技术提供的实施方式中，根据指定攻击防御系统的多个攻击防御事件的攻击防御轨迹获得各攻击防御事件关联的攻击主体行为数据，并根据各个攻击主体行为数据配置攻击活动联系图，然后获取指定攻击防御事件的目标攻击防御活动集，并根据所述攻击活动联系图对所述指定攻击防御事件的所述目标攻击防御活动集进行攻击挖掘意图挖掘，得到所述指定攻击防御事件的攻击挖掘意图。这样设计，通过指定攻击防御事件的攻击防御活动集结合攻击活动联系图的方式对指定攻击防御事件进行攻击挖掘意图的分析，可以获得更为精准可靠的攻击挖掘意图，从而便于基于攻击挖掘意图对相应的指定攻击防御事件进行特征关联后，进行后续的人工智能学习训练。
附图说明
16.为了更清楚地说明本技术实施例的技术方案，以下将对实施例中所需要调用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以基于这些附图获得其它相关的附图。
17.图1为本技术实施例提供的基于信息安全的攻击意图挖掘系统的应用场景示意图；图2为本技术实施例提供的基于信息安全的攻击意图挖掘方法的流程示意图；图3为本技术实施例提供的用于实现上述的基于信息安全的攻击意图挖掘方法的人工智能分析系统的结构示意框图。
具体实施方式
18.图1是本技术一种实施例提供的基于信息安全的攻击意图挖掘系统10的应用场景示意图。基于信息安全的攻击意图挖掘系统10可以包括人工智能分析系统100和与人工智能分析系统100通信连接的攻击防御系统200。图1所示的基于信息安全的攻击意图挖掘系统10仅为一种可行的示例，在其它可行的实施例中，该基于信息安全的攻击意图挖掘系统10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的组成部分。
19.一种基于独立构思的实施方式中，基于信息安全的攻击意图挖掘系统10中的人工
智能分析系统100和攻击防御系统200可以通过配合执行以下方法实施例所描述的基于信息安全的攻击意图挖掘方法，具体人工智能分析系统100和攻击防御系统200的执行步骤部分可以参照以下方法实施例的详细描述。
20.为了解决前述背景技术中的技术问题，本实施例提供的基于信息安全的攻击意图挖掘方法可以由图1中所示的人工智能分析系统100执行，以下对该基于信息安全的攻击意图挖掘方法进行详细介绍。
21.步骤s100，根据指定攻击防御系统的多个攻击防御事件的攻击防御轨迹获得各攻击防御事件关联的攻击主体行为数据，并根据各个攻击主体行为数据配置攻击活动联系图。
22.一种基于独立构思的实施例中，对于指定攻击防御系统而言，可以针对攻击主体行为进行防御处理，从而获得防御处理过程中产生的攻击防御事件的攻击防御轨迹，这些攻击防御事件的攻击防御轨迹用于表征攻击防御过程中的多个攻击主体行为在时序和空域上的轨迹数据信息，由此通过整理这些多个攻击主体行为在时序和空域上的轨迹数据信息可以获得各攻击防御事件关联的攻击主体行为数据，各攻击防御事件关联的攻击主体行为数据可以用于表征各攻击防御事件以及各攻击防御轨迹的攻击防御活动的具体数据信息。在此基础上，可以基于知识图谱算法对攻击主体行为数据进行知识图谱生成，从而配置攻击活动联系图。
23.一种基于独立构思的实施例中，所述攻击活动联系图涵盖分别与各攻击防御事件关联的事件成员以及与各攻击防御轨迹的攻击防御活动关联的活动成员。所述攻击活动联系图是一种知识网络图谱，其中包括多个关注图单元，关注图单元包括事件成员以及活动成员。其中，不同的关注图单元之间可以存在联系属性信息，联系属性信息包括用于描述成员与成员之间的联系属性的评价信息。例如，事件成员与事件成员之间的联系属性信息可以包括两个事件成员之间的关联关系，例如不同的攻击防御事件之间的联动关系、逻辑先后关系等。活动成员与活动成员之间的联系属性信息包括两个活动成员之间的关联关系，例如两个攻击防御轨迹关联的攻击防御活动关联的攻击防御事件的联动关系、逻辑先后关系、关联的活动标签关系等等。事件成员与活动成员之间的联系属性信息可以包括事件成员与活动成员之间的关联关系，例如事件成员关联的攻击防御事件与活动成员关联的攻击防御活动之间的调用关系。
24.步骤s200，获取指定攻击防御事件的目标攻击防御活动集，所述目标攻击防御活动集包括多个攻击防御活动成员。
25.一种可基于独立构思的实施例中，一个所述攻击防御活动成员可以是包括至少一个攻击防御活动所关联的攻击防御活动信息的代表信息，至少两个或两个以上的攻击防御活动成员可以构成一个目标攻击防御活动集。如此，通过具有不同的攻击防御活动成员的目标攻击防御活动集对指定攻击防御事件进行攻击挖掘意图提取，可以更为精确地分析出所述目标攻击防御活动的攻击挖掘意图。
26.步骤s300，根据所述攻击活动联系图对所述指定攻击防御事件的所述目标攻击防御活动集进行攻击挖掘意图挖掘，得到所述指定攻击防御事件的攻击挖掘意图，以基于所述攻击挖掘意图对所述指定攻击防御事件进行特征关联。
27.基于以上步骤，根据指定攻击防御系统的多个攻击防御事件的攻击防御轨迹获得
各攻击防御事件关联的攻击主体行为数据，并根据各个攻击主体行为数据配置攻击活动联系图，然后获取指定攻击防御事件的目标攻击防御活动集，并根据所述攻击活动联系图对所述指定攻击防御事件的所述目标攻击防御活动集进行攻击挖掘意图挖掘，得到所述指定攻击防御事件的攻击挖掘意图。这样设计，通过指定攻击防御事件的攻击防御活动集结合攻击活动联系图的方式对指定攻击防御事件进行攻击挖掘意图的分析，可以获得更为精准可靠的攻击挖掘意图，从而便于基于攻击挖掘意图对相应的指定攻击防御事件进行特征关联后，进行后续的人工智能学习训练。
28.接下来结合一些可能的设计实施方式对以上实施例进行进一步说明。
29.一种基于独立构思的实施例中，针对步骤s300，所述根据所述攻击活动联系图对所述指定攻击防御事件的所述目标攻击防御活动集进行攻击挖掘意图挖掘，得到所述指定攻击防御事件的攻击挖掘意图，具体可以包括以下s310
‑
s350所述的步骤，示例性介绍如下。
30.步骤s310，在所述攻击活动联系图中为所述目标攻击防御活动集中的攻击防御活动成员确定关联的参考图单元。（在独立实施的实施例中，攻击活动联系图可以是预先收集好的现有的攻击活动联系图，而非前述步骤s100获得的攻击活动联系图）一种可基于独立构思的实施例中，将目标攻击防御活动集与攻击活动联系图进行相关的特征匹配，可以获得关联的攻击防御倾向性数据的攻击防御活动集。目标攻击防御活动集可以是实时采集的指定攻击防御事件在一定时间内产生的攻击防御活动或攻击防御轨迹而生成，且已被用于生成所述攻击活动联系图的数据集。为目标攻击防御活动集中的攻击防御活动成员确定关联的参考图单元时，可以在攻击活动联系图中将攻击防御活动成员和关联的联系属性信息进行关联，根据映射图单元来确定所述攻击防御活动成员的参考图单元。相应的联系属性信息例如可以是与根据攻击防御活动成员获得的索引信息存在共享信息的联系属性信息、或者所述索引信息内的联系属性信息等，不作特殊限制。此外，目标攻击防御活动集中每个攻击防御活动成员团关联的参考图单元的单元数量可以不限。
31.例如一种可基于独立构思的实施例中，步骤s310可以包括下述的s3101
‑
s3103的不步骤，具体描述如下。
32.在步骤s3101中，针对目标攻击防御活动集中的每个攻击防御活动成员，可在所述攻击活动联系图中确定所述攻击防御活动成员关联的索引信息。
33.在步骤s3102中，可根据所述索引信息在所述攻击活动联系图中确定所述攻击防御活动成员团关联的联系属性信息，确定所述攻击防御活动成员映射到联系属性信息上的映射图单元。
34.例如，可首先在所述攻击活动联系图中获取具有所述索引信息的第一联系图，并从根据所述攻击活动联系图在先生成的整体联系图的候选关注图单元开始搜寻与预设要求关联的目标关注图单元，所述预设要求包括关注图单元关联的索引信息与所述第一联系图存在共享信息。
35.然后，从各所述目标关注图单元关联的索引信息内获得所述攻击防御活动成员团关联的联系属性信息。其中，所述的目标关注图单元（或者关注图单元）可以是前述的攻击活动联系图中的事件成员和/或活动成员。也就是说，所述的事件成员以及活动成员均可作为其中一个关注图单元。
36.一种可基于独立构思的实施例中，从各所述目标关注图单元关联的索引信息内获得所述攻击防御活动成员团关联的联系属性信息，可以包括：针对每个目标关注图单元，从所述目标关注图单元关联的索引信息内获得一个或多个参考联系属性信息；然后，针对每个参考联系属性信息，确认所述参考联系属性信息是否与所述索引信息存在共享信息，若存在共享信息，则确定所述参考联系属性信息为所述攻击防御活动成员团关联的联系属性信息。其中，所述参考联系属性信息关联的第二联系图与所述第一联系图存在共享信息，所述参考联系属性信息关联的第二联系图为所述攻击活动联系图中包含所述参考联系属性信息的最少单元数量联系图。
37.根据上述内容，在从整体联系图中搜寻目标关注图单元时，从整体联系图的候选关注图单元开始依次进行游走搜寻，在游走到的图单元关联的索引信息与第二联系图存在共享信息时，可进一步游走所述图单元的映射图单元，直至搜寻到以所述图单元为候选关注图单元的联系属性信息结构中与第二联系图存在共享信息的关注图单元。
38.如此，可以获得与第一联系图存在共享信息的关注图单元，将这些关注图单元作为目标关注图单元。攻击防御活动成员的索引信息居于所有目标关注图单元关联的索引信息内。
39.在步骤s3103中，根据所述映射图单元在所述攻击活动联系图中确定所述攻击防御活动成员团关联的参考图单元。
40.其中，所述在所述攻击活动联系图中确定所述攻击防御活动成员关联的索引信息的方式可以是：在所述攻击活动联系图中搜寻到所述攻击防御活动成员，并配置以所述攻击防御活动成员关联的图单元为关注图单元、设定衍生策略为衍生执行要求的联系属性范围，作为所述攻击防御活动成员关联的索引信息。
41.例如，设定衍生策略为衍生执行要求可以是此前设定的从所述关注图单元开始按照衍生方向衍生的多个图单元数量，进而根据可衍生的多个图单元数量确定所述联系属性范围。
42.步骤s320，针对目标攻击防御活动集中的各个由至少两个攻击防御活动成员形成的攻击防御活动成员团，根据所述攻击防御活动成员团中的攻击防御活动成员关联的参考图单元确定所述攻击防御活动成员团所关联的参考图单元团。
43.一种可基于独立构思的实施例中，攻击防御活动成员团的团数可根据目标攻击防御活动集中的攻击防御活动成员的成员数量而定，例如，目标攻击防御活动集中包括s各攻击防御活动成员，则对应可以形成s
‑
1各攻击防御活动成员团。目标攻击防御活动集中每两个具有关联属性的攻击防御活动成员形成一个攻击防御活动成员团，示例性地，目标攻击防御活动集根据攻击防御活动成员的排序信息依次包括ac1
‑
ac6等六个攻击防御活动成员，那么组成的攻击防御活动成员团可以为(ac1，ac2)、(ac2、ac3)、(ac3、ac4)、(ac4、ac5)、（ac6、ac6)等五个团，但具体的生成方式不作限定。或者也可以通过随机排序的方式形成更多个攻击防御活动成员团。另外，一个攻击防御活动成员也可以对应多个参考图单元，相应地，一个攻击防御活动成员团可以对应多个参考图单元团，具体不进行限定。
44.一种基于独立构思的实施例中，针对步骤s320中，所述根据所述攻击防御活动成员团中的攻击防御活动成员关联的参考图单元确定所述攻击防御活动成员团所关联的参考图单元团，具体可以包括下述的s3201和s3202两个步骤，示例性介绍如下。
45.步骤s3201，针对各所述攻击防御活动成员团中的每个攻击防御活动成员，获取所述攻击防御活动成员团关联的所有参考图单元。
46.步骤s3202，将各所述攻击防御活动成员团中任意一个攻击防御活动成员团关联的每个参考图单元与另一攻击防御活动成员团关联的每个参考图单元进行单元配对，得到参考图单元团。
47.据于此，得到的参考图单元团可以包括两个参考图单元，任意一个参考图单元与攻击防御活动成员团中的任意一个攻击防御活动成员对应，另一个参考图单元与所述攻击防御活动成员团中未被搜寻的图单元联系路径攻击防御活动成员对应。
48.假如一个攻击防御活动成员团中每个攻击防御活动成员对应多个参考图单元，例如，以攻击防御活动成员团为(ac1，ac2)为例，其中，攻击防御活动成员ac1对应两个参考图单元unit1、unit2，攻击防御活动成员ac2对应两个参考图单元unit3、unit4，则针对所述攻击防御活动成员团获得的参考图单元团可以包括(unit1，unit3)、(unit1，unit4)，(unit2，unit3)、(unit2，unit4)等四个参考图单元团。
49.步骤s330，基于此前构建配置的攻击防御活动记录数据确定各参考图单元团中两个参考图单元之间的攻击防御活动关系属性；所述攻击防御活动记录数据涵盖对应有活动关联属性的不同图单元之间的活动关联属性数据。
50.据于此步骤，可以得到各所述参考图单元团中的两个参考图单元之间的攻击防御活动关系属性，在攻击防御活动成员团对应于多各参考图单元团的前提下，一个攻击防御活动成员团可以对应多个攻击防御活动关系属性。
51.一种基于独立构思的实施例中，针对步骤s330中，所述基于此前构建配置的攻击防御活动记录数据确定各参考图单元团中两个参考图单元之间的攻击防御活动关系属性，具体可以包括下述的s3301和s3302两个步骤，示例性介绍如下。
52.步骤s3301，针对每个参考图单元团，根据所述参考图单元团中的两个参考图单元在此前配置的攻击防御活动记录数据中搜寻出目标联系属性信息。
53.一种基于独立构思的实施例中，在确定目标攻击防御活动集中的每个攻击防御活动成员团关联的参考图单元团中参考图单元之间的攻击防御活动关系属性时，可以基于此前构建配置的攻击防御活动记录数据来实现，由于攻击防御活动记录数据涵盖对应有活动关联属性的不同图单元之间的活动关联属性数据，可以方便实现攻击防御倾向性数据的获取。
54.例如，可首先根据所述参考图单元团中的第一参考图单元和第二参考图单元在所述攻击活动联系图中确定第一搜寻图单元和第二搜寻图单元。其中，所述第一搜寻图单元为所述第一参考图单元关联的联系属性信息上与所述第二参考图单元直接联系的图单元，所述第二搜寻图单元为所述第二参考图单元关联的联系属性信息上与所述第一参考图单元直接联系的图单元。所述第一参考图单元为与所述参考图单元团关联的攻击防御活动成员团中的所述第一攻击防御活动成员的参考图单元，所述第二参考图单元为与所述参考图单元团关联的攻击防御活动成员团中的所述第二攻击防御活动成员的参考图单元，在所述目标攻击防御活动集中的所述第二攻击防御活动成员为在所述第一攻击防御活动成员之后的一个攻击防御活动成员。
55.然后，根据所述第一搜寻图单元和所述第二搜寻图单元在此前配置的攻击防御活
动记录数据中搜寻出目标联系属性信息。
56.示例性地，首先，可将第一图单元联系路径和第二图单元联系路径中的任意一个确定为当前搜寻的图单元联系路径。其中，所述第一图单元联系路径为从所述第一搜寻图单元到所述第二搜寻图单元的图单元联系路径，所述第二图单元联系路径为从所述第二搜寻图单元到所述第一搜寻图单元的图单元联系路径。
57.然后，将当前搜寻的图单元联系路径的起始搜寻图单元作为基准图单元，若基准图单元不包括在攻击防御活动记录数据中，则将所述基准图单元、所述基准图单元关联的当前搜寻的图单元联系路径添加到所述攻击防御活动记录数据中。
58.接着，在所述攻击活动联系图中搜寻所述基准图单元的直接联系图单元，并游走搜寻到的直接联系图单元。
59.其次，若在所述攻击防御活动记录数据中具有游走到的直接联系图单元，则根据攻击防御活动记录数据中记录的所述直接联系图单元关联的搜寻图单元联系路径搜寻出居于当前搜寻的图单元联系路径上的联系属性信息作为所述目标联系属性信息；若在所述攻击防御活动记录数据中不包括游走到的直接联系图单元，则将所述直接联系图单元关联的当前搜寻的图单元联系路径、基准图单元和直接联系图单元的联系属性信息记录到攻击防御活动记录数据中。
60.最后，若搜寻结束没有获得目标联系属性信息，则从基准图单元的所有直接联系图单元确定一个图单元作为当前搜寻的图单元联系路径的起始搜寻图单元；然后，将当前搜寻的图单元联系路径变更为所述第一图单元联系路径和第二图单元联系路径中的未被搜寻的图单元联系路径，再迭代执行将当前搜寻的图单元联系路径的起始搜寻图单元作为基准图单元的步骤。
61.例如，在以上基础上，以从第一搜寻图单元rs1至第二搜寻图单元rs6的图单元联系路径为第一图单元联系路径为例，从第二搜寻图单元rs6至第一搜寻图单元rs1的图单元联系路径为第二图单元联系路径。第一图单元联系路径的起始搜寻图单元为第一搜寻图单元rs1，第二图单元联系路径的起始搜寻图单元为第二搜寻图单元rs6。当前搜寻的图单元联系路径可以为第一图单元联系路径或第二图单元联系路径，以下以当前搜寻的图单元联系路径为第一图单元联系路径作为示例。此外，当前搜寻时将第一图单元联系路径确定为当前搜寻的图单元联系路径，在搜寻时当前搜寻的图单元联系路径可以进行变换。
62.当前搜寻的图单元联系路径为从第一搜寻图单元rs1至第二搜寻图单元rs6，所以，当前搜寻的图单元联系路径的起始搜寻图单元为第一搜寻图单元rs1，将所述第一搜寻图单元rs1作为基准图单元，确认第一搜寻图单元rs1是否记录在攻击防御活动记录数据中。此时，第一搜寻图单元rs1被初次搜寻，不包括在攻击防御活动记录数据中，所以将所述第一搜寻图单元rs1、所述第一搜寻图单元rs1关联的当前搜寻的图单元联系路径(第一图单元联系路径)记录到攻击防御活动记录数据中。
63.在所述攻击活动联系图中搜寻到第一搜寻图单元rs1的直接联系图单元，分别为rs0、rs2、rs3、rs4，并对直接联系图单元rs0、rs2、rs3、rs4依序进行游走。通过对直接联系图单元rs0、rs2、rs3、rs4的游走，确定直接联系图单元rs0、rs2、rs3、rs4都不包括在攻击防御活动记录数据中，则将直接联系图单元rs0、rs2、rs3、rs4与关联的当前搜寻的图单元联系路径(第一图单元联系路径)记录到攻击防御活动记录数据中，并将直接联系图单元rs0
至第一搜寻图单元rs1的联系属性信息rs0
‑
rs1、直接联系图单元rs2至第一搜寻图单元rs1的节点联系rs2
‑
rs1、第一搜寻图单元rs1至直接联系图单元rs3的联系属性信息rs1
‑
rs3、第一搜寻图单元rs1至直接联系图单元rs4的联系属性信息rs1
‑
rs4记录到攻击防御活动记录数据中。当完成对直接联系图单元rs0、rs2、rs3、rs4的游走时，未得到目标联系属性信息时，则刻从第一搜寻图单元rs1的所有直接联系图单元rs0、rs2、rs3、rs4确定一个图单元作为当前搜寻的图单元联系路径(第一图单元联系路径)的起始搜寻图单元。
64.一种可基于独立构思的实施例中，在一种可替代的方式中，当所述攻击防御活动记录数据中具有游走到的直接联系图单元时，可判断所述攻击防御活动记录数据中记录的所述直接联系图单元关联的搜寻图单元联系路径与当前搜寻的图单元联系路径是否匹配，若不匹配，则从所述攻击防御活动记录数据中获取居于当前搜寻的图单元联系路径上的联系属性信息作为所述目标联系属性信息。
65.又或者，若搜寻结束没有获得目标联系属性信息，针对每个直接联系图单元，可确定所述直接联系图单元对应的联系价值，所述联系价值为当前搜寻的图单元联系路径的起始搜寻图单元与所述直接联系图单元的第一联系价值、与所述直接联系图单元至当前搜寻的图单元联系路径的级联图单元的第二联系价值的融合联系价值；然后，将其中联系价值最大的一个直接联系图单元确定为当前搜寻的图单元联系路径的起始搜寻图单元。其中，所述联系价值可以是用于表征起始搜寻图单元与直接联系图单元之间的活动关联属性的一个关联程度的量化值，例如可以根据两个不同的图单元（如起始搜寻图单元与直接联系图单元）上关联的攻击主体行为数据分别得到两个图单元关联的攻击主体行为特征，然后根据两个图单元关联的攻击主体行为特征计算两个图单元之间的特征距离，然后根据该关联的特征距离确定该两个图单元之间的联系价值。
66.在前述示例的基础上，一种可基于独立构思的实施例中可以获取第一搜寻图单元rs1的所有直接联系图单元rs0、rs2、rs3、rs4至所述第二搜寻图单元rs6的联系价值，从所有直接联系图单元rs0、rs2、rs3、rs4中最大指标关联的直接联系图单元作为当前搜寻的图单元联系路径(第一图单元联系路径)上的起始搜寻图单元，例如，可以直接联系图单元rs3作为当前搜寻的图单元联系路径(第一图单元联系路径)的起始搜寻图单元。接着，将当前搜寻的图单元联系路径变更为第二图单元联系路径，迭代执行将当前搜寻的图单元联系路径的起始搜寻图单元作为基准图单元的步骤。
67.步骤s3302，根据搜寻出的目标联系属性信息确定所述参考图单元团中两个参考图单元之间的攻击防御活动关系属性。
68.步骤s340，根据每个攻击防御活动成员团所关联的参考图单元团中两个参考图单元之间的攻击防御活动关系属性，在所述攻击活动联系图中获得与所述目标攻击防御活动集存在映射联系的目标攻击防御倾向性数据，并获取所述目标攻击防御倾向性数据关联的攻击防御倾向向量集。
69.一种可基于独立构思的实施例中，每个攻击防御活动成员团所关联的参考图单元团中的两个参考图单元之间的攻击防御活动关系属性，可以作为所述攻击防御活动成员团中的一个攻击防御活动成员与未被搜寻的图单元联系路径上的攻击防御活动成员的攻击防御活动关系属性。在目标攻击防御活动集中每两个具有关联属性的攻击防御活动成员中的一个攻击防御活动成员到未被搜寻的图单元联系路径攻击防御活动成员的攻击防御活
动关系属性都被获得后，可以确定目标攻击防御活动集存在映射联系的目标攻击防御倾向性数据，所述目标攻击防御倾向性数据可以作为目标攻击防御活动集中第一个攻击防御活动成员到最后一个攻击防御活动成员彼此之间形成的全局性的攻击防御活动关系属性。
70.一种基于独立构思的实施例中，针对步骤s340中，所述根据每个攻击防御活动成员团所关联的参考图单元团中两个参考图单元之间的攻击防御活动关系属性，在所述攻击活动联系图中获得与所述目标攻击防御活动集存在映射联系的目标攻击防御倾向性数据，具体可以包括下述的s3401和s3403的步骤，示例性介绍如下。
71.在步骤s3401中，针对每个攻击防御活动成员团，针对所述攻击防御活动成员团所关联的每个参考图单元团，将所述参考图单元团中两个参考图单元之间的攻击防御活动关系属性通过此前配置的攻击防御倾向计算公式，得到所述参考图单元团所关联的攻击防御倾向分布。
72.在步骤s3402中，根据各参考图单元团所关联的攻击防御倾向分布，从各参考图单元团中两个参考图单元之间的攻击防御活动关系属性中确定一个对标攻击防御倾向性数据。
73.在步骤s3403中，将确定的各对标攻击防御倾向性数据进行聚合得到所述目标攻击防御倾向性数据。
74.步骤s350，对所述目标攻击防御倾向性数据关联的攻击防御倾向向量集进行挖掘获得所述指定攻击防御事件的攻击挖掘意图，以基于所述攻击挖掘意图对所述指定攻击防御事件进行特征关联。
75.基于以上步骤，通过将目标攻击防御活动集中的具有关联属性的两个攻击防御活动成员聚合形成攻击防御活动成员团，然后根据攻击防御活动成员团从配置的攻击活动联系图中获取关联的图单元团以对指定攻击防御事件的攻击防御活动之间的特征关系进行分析。由于，形成的攻击防御活动成员团可以表达指定攻击防御事件的攻击防御活动之间的联系特征，可以精确挖掘出指定攻击防御事件的攻击挖掘意图，从而便于基于攻击挖掘意图对相应的指定攻击防御事件进行特征关联后，进行后续的人工智能学习训练。
76.一种基于独立构思的实施例中，本技术实施例还提供一种基于人工智能的攻击防御测试方法，包括以下步骤。
77.步骤r100，获取指定攻击防御系统的多个指定攻击防御事件以及每个指定攻击防御事件的攻击挖掘意图。
78.例如，多个指定攻击防御事件以及每个指定攻击防御事件的攻击挖掘意图可以基于前述实施例的步骤获得，具体可以参见前述实施例的描述。
79.步骤r200，根据所述多个指定攻击防御事件以及每个指定攻击防御事件的攻击挖掘意图训练获得攻击意图预测网络。
80.例如，可以将多个指定攻击防御事件的具体数据信息输入到初始攻击意图预测网络中，获得预测攻击意图，然后基于预测攻击意图和对应的攻击挖掘意图之间的差异调整初始攻击意图预测网络的网络权重参数，并迭代进行网络收敛后，获得攻击意图预测网络。
81.步骤r300，基于所述攻击意图预测网络对响应的目标攻击防御事件进行攻击意图预测，获得所述目标攻击防御事件对应的预测攻击意图。
82.步骤r400，根据在预设时间段内搜集的各个预测攻击挖掘意图构成的攻击意图热
力图，对所述指定攻击防御系统的防御固件信息进行更新，并基于更新后的指定攻击防御系统进行模拟测试。
83.本实施例中，根据在预设时间段内搜集的各个预测攻击挖掘意图，可以确定各个预测攻击挖掘意图的概率分布数据，进而构建对应的攻击意图热力图，也就是说攻击意图热力图可以用于表征各个预测攻击挖掘意图的概率分布数据。在此基础上，对所述指定攻击防御系统的防御固件信息进行更新，例如可以针对概率分布数据中大于预设概率的攻击挖掘意图，获取其对应的攻击防御权重信息，并在所述指定攻击防御系统的防御固件信息中按照概率分布数据与权重更新规则的映射关系对该攻击防御权重信息进行更新，进而完成指定攻击防御系统的防御固件信息的更新。之后，为了便于测试指定攻击防御系统的具体防御性能，可以基于更新后的指定攻击防御系统进行模拟测试。
84.基于以上步骤，本实施例通过获取指定攻击防御系统的多个指定攻击防御事件以及每个指定攻击防御事件的攻击挖掘意图，根据多个指定攻击防御事件以及每个指定攻击防御事件的攻击挖掘意图训练获得攻击意图预测网络，基于攻击意图预测网络对响应的目标攻击防御事件进行攻击意图预测，获得目标攻击防御事件对应的预测攻击意图，根据在预设时间段内搜集的各个预测攻击挖掘意图构成的攻击意图热力图，对指定攻击防御系统的防御固件信息进行更新，并基于更新后的指定攻击防御系统进行模拟测试。如此设计，通过训练攻击意图预测网络可以获得更好的意图挖掘效果，并且通过各个预测攻击挖掘意图构成的攻击意图热力图对指定攻击防御系统的防御固件信息进行更新后再进行模拟测试，可以更好地评估指定攻击防御系统的防御性能。
85.一种基于独立构思的实施例中，针对步骤r400，本技术实施例还提供一种基于人工智能和攻击防御的模拟测试方法，包括以下步骤。
86.步骤w100，获取所述指定攻击防御系统对模拟生成的攻击主体进行攻击防御测试得到的模拟攻击防御事件，所述模拟攻击防御事件包括多个模拟攻击防御行为数据，并且获取在先配置的关键攻击向量簇以及目标攻击属性簇。
87.步骤w200，将所述模拟攻击防御事件与所述关键攻击向量簇进行攻击线索特征测试，得到包括多个关键攻击向量片段的攻击线索特征簇。
88.步骤w300，将所述攻击线索特征簇与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据。
89.本实施例中，可以根据模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据的结果，来确定未涵盖所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据的模拟攻击防御事件的第一数量，以及涵盖所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据的模拟攻击防御事件的第二数量，并基于第一数量与第二数量的比值来确定指定攻击防御系统的防御性能指标数据。
90.本实施例中，所述关键攻击向量簇可以是在先建立的针对所述模拟攻击主体的可以对攻击行为的各维度向量进行表达的多个攻击向量，以用于对模拟攻击防御事件中的模拟攻击防御行为数据进行初步攻击线索特征测试，以确定各模拟攻击防御行为数据的关键攻击向量关联信息。例如，所述攻击向量可以是与访问攻击、隐私存储攻击等任意相关攻击行为的特征向量信息。所述目标攻击属性簇可以是在先建立的应当进行关注的目标攻击属
性，例如具有较大威胁可能性的威胁行为有关的攻击属性簇，以用于针对所述模拟攻击防御行为数据进行向量定位。
91.基于以上步骤，通过获取所述指定攻击防御系统对模拟生成的攻击主体进行攻击防御测试得到的模拟攻击防御事件以及在先配置的关键攻击向量簇以及目标攻击属性簇，并将所述模拟攻击防御事件与所述关键攻击向量簇进行攻击线索特征测试，得到包括多个关键攻击向量片段的攻击线索特征簇，然后将所述攻击线索特征簇与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据。如此，通过关键攻击向量簇先得到模拟攻击防御事件对应的攻击线索特征簇之后，再与设定的目标攻击属性簇进行攻击线索特征测试，相对于相关技术中直接对模拟攻击防御事件进行指标匹配的防御性能分析的方式，可以提高攻击防御测试的可靠性。
92.一种基于独立构思的实施例中，所述攻击线索特征簇中的各关键攻击向量片段按照各所述攻击线索特征分别与所述关键攻击向量簇的向量定位信息（如包括向量定位的匹配度）进行整理。基于此，针对步骤w300，将所述攻击线索特征簇与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据，可以包括以下步骤。
93.步骤w301，按照各所述关键攻击向量片段分别与所述关键攻击向量簇的向量定位信息从所述攻击线索特征簇中选取权重最高的至少一个关键攻击向量片段作为候选关键攻击向量片段。
94.步骤w302，将每个所述候选关键攻击向量片段与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据。
95.一种基于独立构思的实施例中，针对步骤w300，将所述攻击线索特征簇与所述目标攻击属性簇进行攻击线索特征测试，确定所述模拟攻击防御事件是否涵盖与所述目标攻击属性簇中的攻击属性匹配的模拟攻击防御行为数据，也可以是：按照所述攻击线索特征簇中各所述关键攻击向量片段的攻击进展节点依次将各所述关键攻击向量片段与所述目标攻击属性簇进行攻击线索特征测试。
96.如此，将权重最高的（如与关键攻击向量簇的匹配度较高的）关键攻击向量片段优先与目标攻击属性簇进行攻击线索特征测试，可以使得具有较明显关键攻击向量或较多关键攻击向量的模拟攻击防御行为数据获得在先处理。
97.所述向量定位信息可以包括各模拟攻击防御行为数据与所述关键攻击向量簇中包括的多个关键攻击向量分别进行匹配的一个相关系数的度量值，例如，某个模拟攻击防御行为数据中所包括的与所述关键攻击向量簇中的关键攻击向量的数量越多，则相应的相关系数越高。
98.一种基于独立构思的实施例中，针对所述步骤w200，所述将所述模拟攻击防御事件与所述关键攻击向量簇进行攻击线索特征测试，得到包括多个关键攻击向量片段的攻击线索特征簇，可以包括以下的w201
‑
w203所述的步骤。
99.步骤w201，将所述模拟攻击防御事件中的各所述模拟攻击防御行为数据分别与所述关键攻击向量簇进行向量定位，得到各所述模拟攻击防御行为数据分别与所述关键攻击
向量簇之间的向量定位信息。
100.步骤w202，按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行特征抽取，按照特征抽取后的各所述模拟攻击防御行为数据获得攻击抽取特征。
101.本实施例中，所述攻击抽取特征可以包括所述攻击防御测试监控影响中的多个模拟攻击防御行为数据，各模拟攻击防御行为数据可以是离散排列的方式进而形成所述攻击抽取特征。
102.一种基于独立构思的实施例中，在步骤w202中，可首先按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行分团，得到多个模拟攻击防御行为数据团。例如，可分别按照各所述模拟攻击防御行为数据对应的向量定位信息，对各所述模拟攻击防御行为数据的攻击特征矩阵进行拼接，得到各所述模拟攻击防御行为数据的目标关键攻击向量；然后，按照各所述模拟攻击防御行为数据的目标关键攻击向量对各所述模拟攻击防御行为数据进行分团，得到多个模拟攻击防御行为数据团。
103.然后，可对每个所述模拟攻击防御行为数据团进行攻击进展节点的排列，并分别对每个所述模拟攻击防御行为数据团中的各所述模拟攻击防御行为数据进行特征抽取，得到所述攻击抽取特征。
104.一种基于独立构思的实施例中，可以按照每个所述模拟攻击防御行为数据团所包含的模拟攻击防御行为数据的数量，对每个所述模拟攻击防御行为数据团进行攻击进展节点的排列。
105.其次，针对每个所述模拟攻击防御行为数据团，按照所述模拟攻击防御行为数据团中各所述模拟攻击防御行为数据的攻击特征矩阵与所述模拟攻击防御行为数据团的交叉特征，对所述模拟攻击防御行为数据团中的各所述模拟攻击防御行为数据进行特征抽取。
106.然后，根据各所述模拟攻击防御行为数据团之间的攻击进展节点排列信息，以及每个所述模拟攻击防御行为数据团中各所述模拟攻击防御行为数据的特征抽取结果，获得所述攻击抽取特征。
107.步骤w203，根据所述攻击抽取特征获得关于所述关键攻击向量簇的攻击线索特征簇，所述攻击线索特征簇包括多个关键攻击向量片段。
108.本实施例中，所述攻击线索特征簇中所包括的关键攻击向量片段可以是与预先设定的不同类型的攻击线索特征。
109.一种基于独立构思的实施例中，针对步骤w201，可以基于深度学习方案来实现所述向量定位信息的获取。步骤w201可以包括：分别将各所述模拟攻击防御行为数据调配到在先训练的攻击线索分析模型中，根据所述在先训练的攻击线索分析模型中的根据整体攻击向量分析角度的攻击向量提取结构对各所述模拟攻击防御行为数据进行攻击向量提取，并将攻击向量提取得到的提取攻击向量分别与所述关键攻击向量簇进行向量定位后生成各所述模拟攻击防御行为数据对应的向量定位信息。
110.例如，可首先分别将各所述模拟攻击防御行为数据调配到所述攻击向量提取结构，根据所述攻击向量提取结构中的整体攻击向量提取子结构将各所述模拟攻击防御行为
数据映射到预设攻击向量空间，得到各所述模拟攻击防御行为数据的攻击链向量；然后，将各所述模拟攻击防御行为数据的攻击链向量分别转换为对应的标准攻击比对向量；其次，根据所述攻击向量提取结构，分别提取各所述模拟攻击防御行为数据的标准攻击比对向量与其它模拟攻击防御行为数据的标准攻击比对向量之间的共享攻击比较向量；最后，根据各所述模拟攻击防御行为数据对应的共享攻击比较向量获得各所述模拟攻击防御行为数据与所述关键攻击向量簇之间的向量定位信息。
111.一种基于独立构思的实施例中，在步骤w202中，所述按照各所述模拟攻击防御行为数据对应的向量定位信息，以及各所述模拟攻击防御行为数据的攻击特征矩阵，对各所述模拟攻击防御行为数据进行特征抽取，按照特征抽取后的各所述模拟攻击防御行为数据获得攻击抽取特征，还可以通过以下所述的方式实现：分别将各所述模拟攻击防御行为数据，以及各所述模拟攻击防御行为数据对应的向量定位信息调配到所述在先训练的攻击线索分析模型中的攻击特征抽取结构，根据所述攻击特征抽取结构对各所述模拟攻击防御行为数据进行特征抽取，获得所述攻击特征抽取结构生成的限制攻击向量分析角度的第一抽取向量分布，所述第一抽取向量分布中的各个限制抽取向量共同构成所述攻击抽取特征。
112.一种基于独立构思的实施例中，可首先根据所述在先训练的攻击线索分析模型中的攻击特征抽取结构，将各所述模拟攻击防御行为数据映射到预设攻击向量空间得到各所述模拟攻击防御行为数据对应的限制攻击链向量集；然后，通过频繁模式树模型对各所述模拟攻击防御行为数据对应的限制攻击链向量集进行频繁模式项特征提取，得到各所述模拟攻击防御行为数据的标准攻击比对向量。
113.其次，分别按照各所述模拟攻击防御行为数据对应的向量定位信息，对各所述模拟攻击防御行为数据的标准攻击比对向量进行拼接，得到各所述模拟攻击防御行为数据的拼接标准攻击比对向量；接着，根据各所述模拟攻击防御行为数据的拼接标准攻击比对向量进行分团，得到多个模拟攻击防御行为数据团；最后，将各所述模拟攻击防御行为数据团进行攻击进展节点的排列，并将每个模拟攻击防御行为数据团中的各所述模拟攻击防御行为数据进行特征抽取后，将各所述模拟攻击防御行为数据的拼接标准攻击比对向量进行拼接得到所述第一抽取向量分布。
114.整体特征可以是指从模拟攻击防御行为数据的整体关键攻击向量出发，用于对模拟攻击防御行为数据的关键攻击向量的整体性进行表达的特征。而限制特征可以是指从模拟攻击防御行为数据的限制或部分关键攻击向量出发，用于对模拟攻击防御行为数据的关键攻击向量的限制特征进行表达的特征。
115.基于此，步骤w203中，所述根据所述攻击抽取特征获得关于所述关键攻击向量簇的攻击线索特征簇，还可以包括：将所述抽取向量分布调配到所述在先训练的攻击线索分析模型中的攻击线索特征生成结构，根据所述攻击线索特征生成结构进行攻击线索特征提取，获得所述攻击线索特征生成结构生成的所述攻击线索特征簇。其中，所述在先训练的攻击线索分析模型是按照攻击线索训练数据集进行模型收敛配置，所述攻击线索训练数据集中的攻击线索训练数据包括示例向量定位信息的示例模拟攻击防御行为数据，所述示例向量定位信息用于描述
所述示例模拟攻击防御行为数据与示例关键攻击向量簇的向量定位信息。
116.一种基于独立构思的实施例中，上述的将所述抽取向量分布调配到所述在先训练的攻击线索分析模型中的攻击线索特征生成结构，根据所述攻击线索特征生成结构进行攻击线索特征提取，获得所述攻击线索特征生成结构生成的所述攻击线索特征簇，可以通过以下方式实现。
117.第一、循环游走所述攻击线索特征簇中的各个关键攻击向量片段，所述目标攻击线索特征簇中的一个攻击线索特征包括至少一个关键攻击向量片段。
118.第二、针对每次循环游走阶段，将最初生成的关键攻击向量片段调配到所述攻击线索特征生成结构，其中，首次调配到所述攻击线索特征生成结构的为预先构建的参考攻击链向量。
119.第三、计算所述最初生成的关键攻击向量片段和各个所述限制抽取向量的相关度量值，其中，所述相关度量值用于描述所述限制抽取向量与所述最初生成的关键攻击向量片段之间的相关系数。
120.第四、将所述相关度量值和所述攻击抽取特征中的限制抽取向量的标准攻击比对向量集进行拼接，并调配到到标准攻击比对向量提取结构中，获得当前循环游走阶段生成的所述攻击抽取特征的目标标准攻击比对向量。
121.第五、根据所述最初生成的关键攻击向量片段以及所述目标标准攻击比对向量，获得当前循环游走阶段生成的关键攻击向量片段。
122.一种基于独立构思的实施例中，本技术实施例还提供一种基于人工智能的攻击线索分析模型训练方法，该方法包括下述的训练步骤。
123.（1）获取针对示例关键攻击向量簇的攻击线索训练数据集，从所述攻击线索训练数据集中获取针对每个示例关键攻击向量簇的且具有多个攻击线索训练数据的攻击线索训练数据集。
124.（2）分别将获取的各个攻击线索训练数据包含的示例模拟攻击防御行为数据调配到所述初始攻击线索分析模型中的根据整体攻击向量分析角度的攻击向量提取结构，获得所述攻击向量提取结构生成的各所述示例模拟攻击防御行为数据对应的向量定位信息。
125.（3）根据各所述示例模拟攻击防御行为数据对应的向量定位信息与对应的示例向量定位信息之间的相关度量值，得到第一风险学习系数。所述第一风险学习系数可以用于表征所述向量定位信息与所述示例向量定位信息之间的损失函数值。
126.（4）分别将获取的各个攻击线索训练数据中的示例模拟攻击防御行为数据，以及各所述示例模拟攻击防御行为数据对应的向量定位信息调配到所述初始攻击线索分析模型中的攻击特征抽取结构，根据所述攻击特征抽取结构对各所述示例模拟攻击防御行为数据进行分团，获得多个模拟攻击防御行为数据团。
127.（5）根据所述攻击特征抽取结构对每个所述模拟攻击防御行为数据团进行攻击进展节点的排列，获得所述攻击特征抽取结构生成的限制攻击向量分析角度的第二抽取向量分布。
128.（6）将所述第二抽取向量分布调配到所述初始攻击线索分析模型中的攻击线索特征生成结构，并根据所述攻击线索特征生成结构进行攻击线索特征提取，获得所述攻击线索特征生成结构生成的决策攻击线索特征簇，所述决策攻击线索特征簇包括多个决策关键
攻击向量片段。
129.（7）根据所述决策攻击线索特征簇中的决策关键攻击向量片段与示例攻击线索特征簇中的示例关键攻击向量片段的损失信息，得到第二风险学习系数，并根据每个所述模拟攻击防御行为数据团中的各限制抽取向量的关注节点特征系数，得到第三风险学习系数。
130.（8）按照所述第一风险学习系数，所述第二风险学习系数和所述第三风险学习系数，对所述初始攻击线索分析模型进行模型权重更新，直到达到训练终止条件时，获得收敛的攻击线索分析模型。
131.可以按照针对所述第一风险学习系数，所述第二风险学习系数和所述第三风险学习系数的权重对这些风险学习系数进行加权，然后按照加权的风险学习系数对所述攻击线索分析模型进行模型权重更新并调整模型权重信息，进而得到收敛的攻击线索分析模型。
132.图3示出了本技术实施例提供的用于实现上述的基于信息安全的攻击意图挖掘方法的人工智能分析系统100的硬件结构意图，如图3所示，人工智能分析系统100可包括处理器110、机器可读存储介质120、总线130和通信单元140。
133.在具体实现过程中，至少一个处理器110执行机器可读存储介质120记录的计算机可执行指令，使得处理器110可以执行如上方法实施例的基于信息安全的攻击意图挖掘方法，处理器110、机器可读存储介质120和通信单元140通过总线130连接，处理器110可以用于控制通信单元140的收发动作，从而可以与前述的攻击防御系统200进行数据收发。
134.处理器110的具体实现过程可参见上述人工智能分析系统100执行的各个方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。
135.此外，本技术实施例还提供一种可读存储介质，所述可读存储介质中决策有计算机可执行指令，当处理器执行所述计算机可执行指令时，实现如上基于信息安全的攻击意图挖掘方法。
136.最后，应当理解的是，本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此，作为示例而非限制，本说明书实施例的替代配置可视为与本说明书的教导匹配。相应地，本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。