应用于数字云的信息安全分析方法及服务器与流程

1.本发明涉及信息安全技术领域，尤其涉及一种应用于数字云的信息安全分析方法及服务器。


背景技术：

2.在全球经济进入数字化转型时期，数字化转型已成为传统企业必须付诸行动的必选题，数字化转型已经渗入人们日常的衣食住行、工作生活、生产服务等方方面面。当下，数字化和云服务的深度融合，使得服务办理可以实现数字化办理（也即数字云服务），能够打破时间和地域限制，提高了服务交互的灵活性。然而，在随着数字云服务规模的激增，其引发的信息安全问题不容忽视。


技术实现要素：

3.本发明提供一种应用于数字云的信息安全分析方法及服务器，为实现上述技术目的，本发明采用如下技术方案。
4.第一方面是一种应用于数字云的信息安全分析方法，应用于数字云服务器，所述方法包括：如果在设定信息防护周期内检测到异常行为分析指令，依据所述异常行为分析指令获取第一专家决策知识分布；其中，所述第一专家决策知识分布中包括第一知识单元以及不少于一个第二知识单元，所述第一知识单元的特征变量反映第一数字云用户行为日志的攻击意向知识字段，所述第二知识单元的特征变量反映第二数字云用户行为日志的攻击意向知识字段，所述第二数字云用户行为日志是与所述第一数字云用户行为日志满足设定关系的数字云用户行为日志；将所述第一专家决策知识分布加载到意向知识决策优化模型；其中，所述意向知识决策优化模型基于所述第一专家决策知识分布中的第二知识单元的特征变量优化所述第一知识单元的特征变量，以获得完成优化的第一数字云用户行为日志的攻击意向知识字段。
5.在一些可独立实施的设计思路下，所述意向知识决策优化模型基于所述第一专家决策知识分布中的第二知识单元的特征变量优化所述第一知识单元的特征变量，得到完成优化的第一数字云用户行为日志的攻击意向知识字段，包括：确定所述第一专家决策知识分布中的所述第一知识单元和各所述第二知识单元之间的重要性系数；基于所述重要性系数将各所述第二知识单元的攻击意向知识字段连接，得到所述第一知识单元的联动攻击意向知识字段；基于所述第一知识单元的攻击意向知识字段和所述联动攻击意向知识字段，得到所述完成优化的第一数字云用户行为日志的攻击意向知识字段。
6.在一些可独立实施的设计思路下，所述如果在设定信息防护周期内检测到异常行
为分析指令，依据所述异常行为分析指令获取第一专家决策知识分布之前，所述方法还包括：基于所述第一数字云用户行为日志，从云共享存储空间中获取与所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志。
7.在一些可独立实施的设计思路下，所述基于所述第一数字云用户行为日志，从云共享存储空间中获取与所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志，包括：通过ai知识提炼模型分别挖掘所述第一数字云用户行为日志的攻击意向知识字段和云共享存储空间中的各个共享用户行为日志的攻击意向知识字段；基于所述第一数字云用户行为日志的攻击意向知识字段和云共享存储空间中的每一所述共享用户行为日志的攻击意向知识字段之间的词向量共性度，从所述云共享存储空间中确定与所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志。
8.在一些可独立实施的设计思路下，所述基于所述第一数字云用户行为日志的攻击意向知识字段和云共享存储空间中的各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，确定与所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志，包括：将所述第一数字云用户行为日志与每一所述共享用户行为日志之间的词向量共性度，依据词向量共性度的数值降序的规则进行整理；筛选顺序靠前的设定数目的词向量共性度对应的共享用户行为日志，作为所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志。
9.在一些可独立实施的设计思路下，所述基于所述第一数字云用户行为日志的攻击意向知识字段和云共享存储空间中的每一所述共享用户行为日志的攻击意向知识字段之间的词向量共性度，从所述云共享存储空间中确定与所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志，包括：基于所述第一数字云用户行为日志的攻击意向知识字段和每一所述共享用户行为日志的攻击意向知识字段之间的词向量共性度，从每一所述共享用户行为日志中获得与所述第一数字云用户行为日志关联的第一候选用户行为日志；基于所述第一候选用户行为日志的攻击意向知识字段与所述共享用户行为日志的攻击意向知识字段之间的词向量共性度，由每一所述共享用户行为日志中获得与所述第一候选用户行为日志关联的第二候选用户行为日志；将所述第一候选用户行为日志和所述第二候选用户行为日志，作为所述第一数字云用户行为日志的第二数字云用户行为日志。
10.在一些可独立实施的设计思路下，所述意向知识决策优化模型的数目为一个，或者具有级联结构的多个；其中，当所述意向知识决策优化模型的数目为多个时：其中任一意向知识决策优化模型的输入信息，是上一个连接的意向知识决策优化模型生成的第一专家决策知识分布。
11.在一些可独立实施的设计思路下，所述基于所述重要性系数将各所述第二知识单元的攻击意向知识字段连接，得到所述第一知识单元的联动攻击意向知识字段，包括：基于所述重要性系数，将各所述第二知识单元的攻击意向知识字段进行全局运算，得到所述第
一知识单元的联动攻击意向知识字段。
12.在一些可独立实施的设计思路下，所述基于所述第一知识单元的攻击意向知识字段和所述联动攻击意向知识字段，得到所述完成优化的第一数字云用户行为日志的攻击意向知识字段，包括：将所述第一知识单元的攻击意向知识字段与所述联动攻击意向知识字段融合；对已融合知识字段进行第一特征变换处理，得到完成优化的第一数字云用户行为日志的攻击意向知识字段。
13.在一些可独立实施的设计思路下，所述确定所述第一专家决策知识分布中的所述第一知识单元和各所述第二知识单元之间的重要性系数，包括：对所述第一知识单元和第二知识单元进行第二特征变换处理；确定第二特征变换处理后的第一知识单元和第二知识单元之间的二元运算结果；根据第一特征变换处理后的所述二元运算结果，确定所述重要性系数。
14.在一些可独立实施的设计思路下，所述第一数字云用户行为日志包括：待识别的目标用户行为日志以及云共享存储空间中各个共享用户行为日志；在得到所述第一知识单元对应的所述第一数字云用户行为日志的攻击意向知识字段之后，所述方法还包括：基于所述完成优化的第一数字云用户行为日志的攻击意向知识字段和所述各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，从所述共享用户行为日志中获得所述第一数字云用户行为日志的关联数字云用户行为日志作为日志识别报告。
15.除此之外，在一些可独立实施的设计思路下，所述意向知识决策优化模型用于优化数字云用户行为日志的攻击意向知识字段，所述意向知识决策优化模型的调试步骤包括：获取第二专家决策知识分布，所述第二专家决策知识分布中包括第一知识单元示例以及不少于一个第二知识单元示例，所述第一知识单元示例的特征变量反映第一数字云用户行为日志示例的攻击意向知识字段，所述第二知识单元示例的特征变量反映第二数字云用户行为日志示例的攻击意向知识字段，所述第二数字云用户行为日志示例为与所述第一数字云用户行为日志示例满足设定关系的数字云用户行为日志；将所述第二专家决策知识分布加载到意向知识决策优化模型，所述意向知识决策优化模型基于所述第二专家决策知识分布中的第二知识单元示例的特征变量优化所述第一知识单元的特征变量；根据完成优化的第一数字云用户行为日志示例的攻击意向知识字段，得到所述第一数字云用户行为日志示例的回归分析结果；基于所述回归分析结果改进所述意向知识决策优化模型的模型配置变量；所述意向知识决策优化模型基于所述第二专家决策知识分布中的第二知识单元的特征变量优化所述第一知识单元的特征变量，得到完成优化的第一数字云用户行为日志的攻击意向知识字段，包括：确定所述第二专家决策知识分布中的所述第一知识单元和各所述第二知识单元之间的重要性系数；基于所述重要性系数将各所述第二知识单元的攻击意向知识字段连接，得到所述第一知识单元的联动攻击意向知识字段；
基于所述第一知识单元的攻击意向知识字段和所述联动攻击意向知识字段，得到所述完成优化的第一数字云用户行为日志的攻击意向知识字段。
16.在一些可独立实施的设计思路下，所述获取第二专家决策知识分布之前，所述方法还包括：基于所述第一数字云用户行为日志示例，由已认证云共享存储空间中获取与所述第一数字云用户行为日志示例关联的所述第二数字云用户行为日志示例。
17.在一些可独立实施的设计思路下，所述基于所述第一数字云用户行为日志示例，由已认证云共享存储空间中获取与所述第一数字云用户行为日志示例关联的所述第二数字云用户行为日志示例之前，所述方法还包括：通过ai知识提炼模型，提取第一数字云用户行为日志示例的攻击意向知识字段；基于所述第一数字云用户行为日志示例的攻击意向知识字段，获得所述第一数字云用户行为日志示例的回归分析结果；基于所述第一数字云用户行为日志示例的回归分析结果和先验注释，改进所述ai知识提炼模型的模型配置变量；所述基于所述第一数字云用户行为日志示例，由已认证云共享存储空间中获取与所述第一数字云用户行为日志示例关联的所述第二数字云用户行为日志示例，包括：通过所述ai知识提炼模型分别挖掘所述第一数字云用户行为日志示例的攻击意向知识字段和已认证云共享存储空间中的各个共享用户行为日志的攻击意向知识字段；并基于所述第一数字云用户行为日志示例的攻击意向知识字段和各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，确定与所述第一数字云用户行为日志示例关联的所述第二数字云用户行为日志示例。
18.第二方面是一种数字云服务器，包括存储器和处理器；所述存储器和所述处理器耦合；所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令；其中，当所述处理器执行所述计算机指令时，使得所述数字云服务器执行第一方面的方法。
19.第三方面是一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在运行时执行第一方面的方法。
20.本发明实施例的应用于数字云的信息安全分析方法，通过使用本发明实施例的意向知识决策优化模型优化并挖掘攻击意向知识字段，鉴于该意向知识决策优化模型根据第一知识单元的第二知识单元的攻击意向知识字段优化第一知识单元的攻击意向知识字段，使得推演分析吸收到的第一数字云用户行为日志的攻击意向知识字段能够尽可能精准地反映第一数字云用户行为日志的异常特征信息，进而保障信息攻击防护过程的抗干扰性和处理精度。
21.此外，在进行模型调试的过程中，结合了第一数字云用户行为日志示例的共性评分达到设定评分的第二数字云用户行为日志来学习第一数字云用户行为日志示例的攻击意向知识字段，使得推演分析吸收到的第一数字云用户行为日志示例的攻击意向知识字段的抗干扰性和特征识别度更高，保障了后续基于攻击意向知识字段进行信息攻击防护的精度和可信度。
附图说明
22.图1为本发明实施例提供的应用于数字云的信息安全分析方法的流程示意图。
23.图2为本发明实施例提供的应用于数字云的信息安全分析装置的模块框图。
具体实施方式
24.以下，术语“第一”、“第二”和“第三”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”或“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。
25.图1示出了本发明实施例提供的应用于数字云的信息安全分析方法的流程示意图，应用于数字云的信息安全分析方法可以通过数字云服务器实现，数字云服务器可以包括存储器和处理器；所述存储器和所述处理器耦合；所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令；其中，当所述处理器执行所述计算机指令时，使得所述数字云服务器执行如下步骤所描述的技术方案。
26.s100、如果在设定信息防护周期内检测到异常行为分析指令，依据所述异常行为分析指令获取第一专家决策知识分布。
27.在本发明实施例中，设定信息防护周期可以根据实际情况灵活设置，异常行为分析指令可以是经授权的第三方发起的，进一步地，可以根据异常行为分析指令匹配确定对应的第一专家决策知识分布。
28.在本发明实施例中，所述第一专家决策知识分布中包括第一知识单元以及不少于一个第二知识单元，所述第一知识单元的特征变量反映第一数字云用户行为日志的攻击意向知识字段，所述第二知识单元的特征变量反映第二数字云用户行为日志的攻击意向知识字段，所述第二数字云用户行为日志是与第一数字云用户行为日志满足设定关系的数字云用户行为日志。
29.进一步地，专家决策知识分布可以是特征分布或者特征关系网，相异的知识单元可以理解为专家决策知识分布中的成员，知识单元可以是组成专家决策知识分布的单位，基于此，特征变量可以理解为指示单元的特征值或者描述值。
30.在上述内容的基础上，第一数字云用户行为日志为待处理的数字云用户行为日志，或者存在风险隐患的数字云用户行为日志。第二数字云用户行为日志为与第一数字云用户行为日志存在关联的数字云用户行为日志。换言之，满足设定关系可以理解为第一数字云用户行为日志与第二数字云用户行为日志之间存在相似性或者共性。
31.此外，专家决策知识分布可以通过专家模型挖掘分析得到，攻击意向知识字段用于反映不同数字云用户行为日志中的信息攻击/数据攻击的偏好特征或者倾向特征，亦或者信息攻击/数据攻击的攻击兴趣点，攻击意向知识字段可以通过特征向量或者特征数组的形式进行表示。
32.对于s100而言，所述的第一数字云用户行为日志，是待挖掘攻击意向知识字段的数字云用户行为日志，该数字云用户行为日志可以是相异的服务会话中的数字云用户行为日志，举例而言，可以是电子商务会话中的待识别数字云用户行为日志，所述的云共享存储空间可以用于存储共享的且可调用的数字云用户行为日志。
33.比如，第二数字云用户行为日志的获得，可以是在如果在设定信息防护周期内检测到异常行为分析指令，依据所述异常行为分析指令获取第一专家决策知识分布之前，根据第一数字云用户行为日志，从云共享存储空间中获取与所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志。举例而言，可以根据攻击意向知识字段的相似性确定第二数字云用户行为日志，比如，通过ai知识提炼模型分别挖掘所述第一
数字云用户行为日志的攻击意向知识字段和云共享存储空间中的各个共享用户行为日志的攻击意向知识字段，基于所述第一数字云用户行为日志的攻击意向知识字段和云共享存储空间中的每一所述共享用户行为日志的攻击意向知识字段之间的词向量共性度（比如特征相似值，可以通过余弦距离或者欧式距离计算得到），从所述云共享存储空间中确定与所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志。
34.在一些可能的实施例中，可以将所述第一数字云用户行为日志与每一所述共享用户行为日志之间的词向量共性度，依据词向量共性度的数值降序的规则进行整理，筛选前x个的词向量共性度对应的共享用户行为日志，作为所述第一数字云用户行为日志的共性评分达到设定评分的第二数字云用户行为日志。该x是设定数目，比如前20个。
35.在另一些可能的实施例中，还可以先根据攻击意向知识字段之间的余弦相似值获取与第一数字云用户行为日志关联的第一候选用户行为日志，再获取与第一候选用户行为日志关联的第二候选用户行为日志，并将该第一候选用户行为日志和第二候选用户行为日志都作为第一数字云用户行为日志的第二数字云用户行为日志。
36.s102、将所述第一专家决策知识分布加载到意向知识决策优化模型，所述意向知识决策优化模型基于所述第一专家决策知识分布中的第二知识单元的特征变量优化所述第一知识单元的特征变量，得到完成优化的第一数字云用户行为日志的攻击意向知识字段。
37.比如，意向知识决策优化模型可以是基于专家系统的深度学习模型dnn，也可以是其他类型的神经网络模型。
38.以深度学习模型为例，s102中的深度学习模型可以根据第二知识单元的特征变量优化第一知识单元的特征变量，比如，可以确定第一专家决策知识分布中的所述第一知识单元和各所述第二知识单元之间的重要性系数（比如可以理解为权重值），根据该重要性系数将各所述第二知识单元的攻击意向知识字段连接，得到所述第一知识单元的联动攻击意向知识字段，基于所述第一知识单元的攻击意向知识字段和所述联动攻击意向知识字段，得到所述完成优化的第一数字云用户行为日志的攻击意向知识字段。其中，攻击意向知识字段连接可以实现攻击意向知识字段的合并处理，从而得到加权之后的攻击意向知识字段，也即联动攻击意向知识字段，这样可以实现第一数字云用户行为日志的攻击意向知识字段的更新。通过实现相似攻击意向知识字段的整合处理，能够丰富攻击意向知识字段对第一数字云用户行为日志的风险隐患表达，从而便于后期进行针对性的信息攻击防护处理。
39.在一些可能的示例下，所述深度学习模型的数目可以是一个，或者，具有级联结构的多个。举例而言，当深度学习模型的数目是两个时，第一专家决策知识分布输入第一个深度学习模型，该第一个深度学习模型根据各个第二知识单元的攻击意向知识字段优化第一知识单元的攻击意向知识字段，该第一个深度学习模型生成的第一专家决策知识分布中，第一知识单元的攻击意向知识字段已实现优化，是完成优化的第一专家决策知识分布。该优化的第一专家决策知识分布再次输入第二个深度学习模型，由该第二个深度学习模型再次基于各个第二知识单元的攻击意向知识字段优化第一知识单元的攻击意向知识字段，生成再次完成优化的第一专家决策知识分布，其中的第一知识单元的攻击意向知识字段也已二次优化。
40.本发明实施例中的第一专家决策知识分布中包括多个知识单元（如，第一知识单元、第二知识单元），其中每个知识单元的特征变量反映该知识单元所反映的数字云用户行为日志的攻击意向知识字段。且第一专家决策知识分布中的每个知识单元都可以作为第一知识单元，通过本发明实施例的上述思路来优化该知识单元对应的数字云用户行为日志的攻击意向知识字段，比如，当该知识单元作为第一知识单元时，获取以该知识单元作为第一知识单元的第一专家决策知识分布，并将该第一专家决策知识分布加载到意向知识决策优化模型进行该知识单元的攻击意向知识字段的优化。
41.本发明实施例的应用于数字云的信息安全分析方法，通过使用本发明实施例的意向知识决策优化模型优化并挖掘攻击意向知识字段，鉴于该意向知识决策优化模型根据第一知识单元的第二知识单元的攻击意向知识字段优化第一知识单元的攻击意向知识字段，使得推演分析吸收到的第一数字云用户行为日志的攻击意向知识字段能够尽可能精准地反映第一数字云用户行为日志的异常特征信息，进而保障信息攻击防护过程的抗干扰性和处理精度。
42.以下为又一实施例中的意向知识决策优化模型的处理方案，该处理方案介绍了意向知识决策优化模型如何优化加载至该模型的数字云用户行为日志的攻击意向知识字段。示例性地，该意向知识决策优化模型以深度学习模型为例，该方法可以包括如下内容。
43.s200、根据第一知识单元和第二知识单元的攻击意向知识字段，确定第一知识单元和第二知识单元之间重要性系数。
44.对于s200而言，第一知识单元可以是模型使用环节的第一数字云用户行为日志，第二知识单元可以是该第一数字云用户行为日志的第二数字云用户行为日志。举例而言，可以对第一知识单元的攻击意向知识字段attack intention1和第二知识单元的攻击意向知识字段attack intention2进行第二特征变换处理（比如线性变换）。然后对第二特征变换处理后的第一知识单元和第二知识单元的攻击意向知识字段确定二元运算结果（比如点积运算结果）。进一步地，通过相关的激活函数实现第一特征变换处理（比如非线性处理），最后进行归一化操作后得到重要性系数。
45.应当理解，本方案的第一知识单元和第二知识单元之间重要性系数的处理还可以是将第一知识单元和第二知识单元之间的攻击意向知识字段的余弦相似值，作为第一知识单元和第二知识单元之间的重要性系数。
46.s202、基于所述重要性系数，对所述第二知识单元的攻击意向知识字段全局运算，得到所述第一知识单元的联动攻击意向知识字段。
47.比如，可以对第一知识单元的每个第二知识单元的攻击意向知识字段进行第一特征变换处理，然后基于s200中得到的重要性系数，对第一特征变换处理后的各个第二知识单元的攻击意向知识字段进行全局运算（比如加权求和），得到的攻击意向知识字段可理解为联动攻击意向知识字段。
48.s204、基于所述第一知识单元的攻击意向知识字段和所述联动攻击意向知识字段，得到完成优化的第一数字云用户行为日志的优化特征。
49.对于s204而言，可以将刚开始得到的专家决策知识分布中的第一知识单元的攻击意向知识字段与联动攻击意向知识字段进行融合，然后进行第一特征变换处理，最后进行标准化处理，得到最后的完成优化的第一知识单元的攻击意向知识字段
基于s200-s204，第一专家决策知识分布中的第一知识单元的特征变量得到优化，获得了完成优化的第一知识单元的攻击意向知识字段。
50.本发明实施例的应用于数字云的信息安全分析方法，通过由深度学习模型根据第一知识单元的第二知识单元的攻击意向知识字段进行全局运算，确定第一知识单元的攻击意向知识字段，使得能够全方位分析第一数字云用户行为日志示例自身的攻击意向知识字段及其关联的其他数字云用户行为日志的攻击意向知识字段，从而推演分析吸收到的攻击意向知识字段示例的抗干扰性和特征识别度更高，提高后续攻击防护的精度和可信度。
51.在一些可独立的实施例中，以下为意向知识决策优化模型的调试思路，以下思路介绍了意向知识决策优化模型的调试方案，示例性可以包括如下内容。
52.s300、根据用于调试所述意向知识决策优化模型的第一数字云用户行为日志示例，从已认证云共享存储空间中获取与所述第一数字云用户行为日志示例关联的第二数字云用户行为日志示例。
53.可以理解的是，本发明实施例中的“已认证云共享存储空间”、“第二数字云用户行为日志示例”，其中的“调试”是用于表征这是应用在模型的调试环节，并与模型使用环节提到的第二数字云用户行为日志和云共享存储空间在命名上进行区别。类似地，后续提到的“第一知识单元示例”、“第二知识单元示例”可以是与模型使用环节中对应的技术特征的区别处理。进一步地，示例可以理解为训练样本或者调试样例。
54.可以理解的是，在调试意向知识决策优化模型时，可以采用异步调试思路。比如，可以将调试示例集分成多个局部示例集，每次循环调试向意向知识决策优化模型传入一个局部示例集，结合局部示例集包括的各个第一数字云用户行为日志示例的模型代价指标（比如算函数值），通过结合损失函数反馈的规则来改进模型配置变量。一次循环调试完成后，可以向意向知识决策优化模型加载后一个局部示例集，以进行后一轮循环调试。
55.对于本发明实施例而言，一个局部示例集sample中的每一个数字云用户行为日志可以理解为一个第一数字云用户行为日志示例，且每个第一数字云用户行为日志示例都可以执行如下的s300至s306的处理，且可以根据回归分析结果和先验注释获得模型代价指标cost function。
56.进一步地，获得与第一数字云用户行为日志示例满足设定关系的数字云用户行为日志可以理解为“第二数字云用户行为日志示例”。该第二数字云用户行为日志示例的确定思路，比如，可以是根据数字云用户行为日志之间的词向量共性度，将词向量共性度较高的数字云用户行为日志，确定为所述第二数字云用户行为日志示例。
57.s302、获取第二专家决策知识分布，所述第二专家决策知识分布中包括第一知识单元示例以及不少于一个第二知识单元示例，所述第一知识单元示例的特征变量反映第一数字云用户行为日志示例的攻击意向知识字段，所述第二知识单元示例的特征变量反映第二数字云用户行为日志示例的攻击意向知识字段，所述第二数字云用户行为日志示例为与所述第一数字云用户行为日志示例满足设定关系的数字云用户行为日志。
58.比如，模型调试环节的专家决策知识分布可理解为第二专家决策知识分布，而在模型使用环节中的专家决策知识分布可理解为第一专家决策知识分布。
59.进一步地，第二专家决策知识分布中可以包括多个知识单元。其中，所述的知识单元可以包括：一个第一知识单元示例、以及不少于一个第二知识单元示例。该第一知识单元
示例反映第一数字云用户行为日志示例，每一个第二知识单元示例反映s300中确定的一个第二数字云用户行为日志示例。每个知识单元的特征变量是攻击意向知识字段，比如，第一知识单元示例的特征变量是第一数字云用户行为日志示例的攻击意向知识字段，第二知识单元示例的特征变量是第二数字云用户行为日志示例的攻击意向知识字段。
60.s304、将第二专家决策知识分布加载到意向知识决策优化模型，所述意向知识决策优化模型基于所述第二专家决策知识分布中的第二知识单元示例的特征变量优化第一知识单元示例的特征变量。
61.比如，该意向知识决策优化模型可以是深度学习模型。其中，所述深度学习模型是基于专家系统的深度学习模型dnn，深度学习模型dnn用于根据第二专家决策知识分布中的第二知识单元示例的攻击意向知识字段优化第一知识单元示例的攻击意向知识字段，比如，可以根据各个第二知识单元示例的攻击意向知识字段全局运算后优化第一知识单元示例的攻击意向知识字段。
62.在一些可能的示例下，所述深度学习模型的数目可以是一个，或者，具有级联结构的多个。举例而言，当深度学习模型的数目是两个时，专家决策知识分布加载到第一个深度学习模型，该第一个深度学习模型根据各个第二知识单元的攻击意向知识字段优化第一知识单元的攻击意向知识字段，该第一个深度学习模型生成的专家决策知识分布中，第一知识单元的攻击意向知识字段已实现优化。该优化的专家决策知识分布再次输入到第二个深度学习模型，由该第二个深度学习模型再次基于各个第二知识单元的攻击意向知识字段优化第一知识单元的攻击意向知识字段，生成再次完成优化的第一知识单元的攻击意向知识字段。
63.s306、根据意向知识决策优化模型提取的第一数字云用户行为日志示例的攻击意向知识字段，得到所述第一数字云用户行为日志示例的回归分析结果。
64.对于s306而言，可以根据深度学习模型挖掘的攻击意向知识字段，进一步确定第一数字云用户行为日志示例的回归分析结果。比如，深度学习模型之后可以连接多元回归分析模型（比如分类器），由多元回归分析模型根据该攻击意向知识字段得到第一数字云用户行为日志示例分别属于各个设定风险隐患主题的可能性。
65.s308、基于所述回归分析结果，改进意向知识决策优化模型的模型配置变量。
66.对于s308而言，可以根据意向知识决策优化模型生成的回归分析结果与先验注释的比较结果，确定第一数字云用户行为日志示例对应的模型代价指标cost function。结合上述内容，以深度学习模型为例，在多个sample异步调试的方式中，可以综合根据一个sample中的各个第一数字云用户行为日志示例的模型代价指标，反馈改进深度学习模型的模型配置变量，以使得深度学习模型根据改进后的模型配置变量更精准的提取攻击意向知识字段。
67.比如，在根据模型代价指标cost function反馈改进深度学习模型的模型配置变量时，可以改进深度学习模型的各类模型参数或者权重系数，在此不作限制。
68.本发明实施例的意向知识决策优化模型的调试方法，在进行模型调试的过程中，结合了第一数字云用户行为日志示例的关联数字云用户行为日志来吸收和学习第一数字云用户行为日志示例的攻击意向知识字段，使得能够全面融合第一数字云用户行为日志示例自身的攻击意向知识字段以及其他关联的用户行为日志的知识字段，从而推演分析吸收
到的攻击意向知识字段示例的抗干扰性和特征识别度更高，提高后续攻击防护的精度和可信度。
69.在另一些可独立实施的设计思路下，可以通过预先调试的特征提取网络（可理解为ai知识提炼模型）挖掘/提炼攻击意向知识字段，并根据攻击意向知识字段的相似度，从已认证云共享存储空间中获取第一数字云用户行为日志示例关联的第二数字云用户行为日志示例，上述方法可以包括如下内容。
70.s400、使用调试示例记录预调试一个特征提取网络。
71.比如，该预调试的特征提取网络，可理解为ai知识提炼模型，包括但不局限于cnn、rnn、fpn等。
72.调试示例记录中的数字云用户行为日志可理解为第一数字云用户行为日志示例。该ai知识提炼模型的调试过程可以包括：通过ai知识提炼模型，提取第一数字云用户行为日志示例的攻击意向知识字段；基于所述第一数字云用户行为日志示例的攻击意向知识字段，获得所述第一数字云用户行为日志示例的回归分析结果；基于所述第一数字云用户行为日志示例的回归分析结果和先验注释，改进所述ai知识提炼模型的模型配置变量。
73.可以理解的是，以上的第一数字云用户行为日志示例是指用于调试所述ai知识提炼模型所使用的数字云用户行为日志，而之前提到的所述第一数字云用户行为日志示例可以理解为，该ai知识提炼模型调试完成之后将应用于意向知识决策优化模型的调试过程，例如通过预调试的ai知识提炼模型先提取第一数字云用户行为日志示例和已认证云共享存储空间中各个共享用户行为日志的攻击意向知识字段，再生成专家决策知识分布之后加载到意向知识决策优化模型进行攻击意向知识字段优化，在该意向知识决策优化模型调试过程中使用的输入信息即第一数字云用户行为日志示例。第一数字云用户行为日志示例和第一数字云用户行为日志示例可以一致，也可以存在差异。
74.s402、通过ai知识提炼模型，分别挖掘所述第一数字云用户行为日志示例和已认证云共享存储空间中各个共享用户行为日志的攻击意向知识字段。
75.s404、基于所述第一数字云用户行为日志示例和各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，由各个共享用户行为日志中获得与所述第一数字云用户行为日志示例关联的第一候选用户行为日志。
76.其中，所述的共享用户行为日志是云共享存储空间中的数字云用户行为日志。
77.举例而言，可以分别确定第一数字云用户行为日志示例的攻击意向知识字段与各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，并根据该词向量共性度对各个共享用户行为日志进行整理，如，依据词向量共性度的降序规则整理。再由整理结果（排序结果）中选择靠前的y个的共享用户行为日志，作为第一数字云用户行为日志示例的第一候选用户行为日志。比如，知识单元unit31反映第一数字云用户行为日志示例，知识单元unit32、知识单元unit33和知识单元unit34反映的共享用户行为日志都是该第一数字云用户行为日志示例的第一候选用户行为日志。
78.s406、根据第一候选用户行为日志和共享用户行为日志的攻击意向知识字段之间的词向量共性度，从所述共享用户行为日志中获得与所述第一候选用户行为日志关联的第二候选用户行为日志。
79.其中，可以接着确定第一候选用户行为日志和共享用户行为日志的攻击意向知识
字段之间的词向量共性度，从共享用户行为日志中获得与第一候选用户行为日志关联的共享用户行为日志，作为第二候选用户行为日志。比如，通过攻击意向知识字段的词向量共性度，知识单元unit35至知识单元unit37是与知识单元unit32关联的共享用户行为日志，该知识单元unit35至知识单元unit37是知识单元unit31的第二候选用户行为日志。进一步地，与知识单元unit34关联的知识单元unit38至知识单元unit40也是知识单元unit31的第二候选用户行为日志。
80.在一些可能的示例下，可以找到第一数字云用户行为日志示例对应的第一知识单元的第一候选用户行为日志，就终止继续确定第二数字云用户行为日志。或者，还可以找到第三候选用户行为日志、或第四图像等更多数目的第二数字云用户行为日志。继续遍历几个第二数字云用户行为日志可以根据相异服务会话中的实际需求确定。以上的第一候选用户行为日志、第二候选用户行为日志等都可理解为第二数字云用户行为日志，在模型调试环节，可理解为第二数字云用户行为日志示例；在模型使用环节，可理解为第二数字云用户行为日志。
81.还可以理解的是，第二数字云用户行为日志的获得也可以基于该方案示例之外的其他思路。比如，可以设定预设共性度，将词向量共性度高于该预设共性度的共享用户行为日志的全部或部分作为第一数字云用户行为日志示例的第二数字云用户行为日志。又比如，还可以不采用ai知识提炼模型挖掘击意向知识字段，而是通过根据数字云用户行为日志多个层面的特征描述确定攻击意向知识字段。
82.s408、根据第一数字云用户行为日志示例和第二数字云用户行为日志，生成第二专家决策知识分布，所述第二专家决策知识分布中的知识单元包括：用于反映所述第一数字云用户行为日志示例的第一知识单元示例、以及用于反映第二数字云用户行为日志的不少于一个第二知识单元示例，且所述知识单元的特征变量是所述第一数字云用户行为日志示例或第二数字云用户行为日志的攻击意向知识字段。
83.上述生成的第二专家决策知识分布，是包括多个知识单元的特征关系网，上述的知识单元unit31是第一知识单元示例，其他所有的知识单元都是第二知识单元示例。特征变量可以是该知识单元反映的数字云用户行为日志的攻击意向知识字段，该攻击意向知识字段比如可以是由s202中提取得到。
84.s410、将所述第二专家决策知识分布加载到意向知识决策优化模型，所述意向知识决策优化模型基于所述第二专家决策知识分布中的第二知识单元示例的攻击意向知识字段优化第一知识单元示例的攻击意向知识字段，提取得到第一数字云用户行为日志示例的攻击意向知识字段，并根据该攻击意向知识字段得到第一数字云用户行为日志示例的回归分析结果。
85.s412、根据第一数字云用户行为日志示例的回归分析结果，改进所述意向知识决策优化模型的模型配置变量以及ai知识提炼模型的模型配置变量。
86.上述的模型配置变量改进，可以改进ai知识提炼模型的模型配置变量，也可以不改进ai知识提炼模型的模型配置变量，可以根据实际调试需求而定。
87.本发明实施例的意向知识决策优化模型的调试思路，在进行模型调试的过程中，结合了第一数字云用户行为日志示例的关联数字云用户行为日志来学习第一数字云用户行为日志示例的攻击意向知识字段，使得能够综合考虑第一数字云用户行为日志示例本身
的攻击意向知识字段以及其他关联的用户行为日志的知识字段，从而推演分析吸收到的攻击意向知识字段示例的抗干扰性和特征识别度更高，提高后续攻击防护的精度和可信度；并且，通过采用ai知识提炼模型提取攻击意向知识字段，不仅可以提高攻击意向知识字段的挖掘时效性，进而提高模型调试时效性，还可以根据模型代价指标改进ai知识提炼模型的模型配置变量，使得ai知识提炼模型挖掘知识字段更加准确。
88.在另一些可能独立的设计思路下，还可以从云共享存储空间中识别与第一数字云用户行为日志满足设定关系的数字云用户行为日志，示例性可以包括如下内容。
89.s700、获取待识别的第一数字云用户行为日志。
90.若要从云共享存储空间中识别与数字云用户行为日志journal中包括的异常行为事件相同的数字云用户行为日志，那么可以将数字云用户行为日志journal称为第一数字云用户行为日志。即要从云共享存储空间中识别与第一数字云用户行为日志有关系的数字云用户行为日志，这种关系可以是包括相同的异常行为事件，或者属于关联的风险隐患主题。
91.s702、提取得到所述第一数字云用户行为日志的攻击意向知识字段。
92.其中，可以根据本发明任一实施例所述的应用于数字云的信息安全分析方法。
93.s704、提取得到所述云共享存储空间中各个共享用户行为日志的攻击意向知识字段。
94.其中，可以根据本发明任一实施例所述的应用于数字云的信息安全分析方法，比如上述的相关技术方案，提取云共享存储空间中各个共享用户行为日志的攻击意向知识字段。
95.s7706、基于所述第一数字云用户行为日志的攻击意向知识字段和所述各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，获得所述第一数字云用户行为日志的关联数字云用户行为日志作为日志识别报告。
96.其中，可以将第一数字云用户行为日志的攻击意向知识字段和所述各个共享用户行为日志的攻击意向知识字段之间进行词向量共性度量，从而将关联的共享用户行为日志作为日志识别报告。
97.本发明实施例的数字云用户行为日志识别方法，鉴于该提取到的攻击意向知识字段示例的抗干扰性和特征识别度更高，从而提高了日志识别报告的准确性。
98.此外，在模型调试阶段，可以采用异步调试思路，比如，可以将调试示例集分成多个局部示例集（sample），每次循环调试向待调试的意向知识决策优化模型逐一加载一个sample中的各个第一数字云用户行为日志示例，并结合局部示例集包括的各个第一数字云用户行为日志示例的模型代价指标改进意向知识决策优化模型的模型配置变量。
99.以下以第一数字云用户行为日志示例为例，描述如何得到该第一数字云用户行为日志示例对应的模型代价指标。第一数字云用户行为日志示例example81中包括一个风险隐患事件case82，本发明实施例的风险隐患事件识别的对象是由云共享存储空间中查询包括相同风险隐患事件case82的共享用户行为日志。
100.比如，已经预调试完成一个用于提取攻击意向知识字段的模型，比如，cnn模型，可理解为ai知识提炼模型。通过该ai知识提炼模型分别挖掘第一数字云用户行为日志示例example81和云共享存储空间中的各个共享用户行为日志的攻击意向知识字段。然后确定
第一数字云用户行为日志示例example81与各个共享用户行为日志的词向量共性度，并根据词向量共性度整理，选择靠前的预设数目（比如，依据词向量共性度降序整理，且整理结果在前20个）的共享用户行为日志，作为与第一数字云用户行为日志示例example81满足设定关系的数字云用户行为日志，可理解为第一数字云用户行为日志示例example81的第二数字云用户行为日志。进一步地，共享用户行为日志record83、共享用户行为日志record84直至共享用户行为日志record85都是第二数字云用户行为日志。这些第二数字云用户行为日志中包括的风险隐患事件，可以的确与风险隐患事件case82一致，也可以与风险隐患事件case82存在关联。
101.进一步地，以包括共享用户行为日志record83、共享用户行为日志record84直至共享用户行为日志record85的十个第二数字云用户行为日志为基准，再去云共享存储空间中识别分别与每一个第二数字云用户行为日志关联的共享用户行为日志。举例而言，以共享用户行为日志record83为例，根据攻击意向知识字段的词向量共性度，从共享用户行为日志中选择词向量共性度排序靠前的20个共享用户行为日志作为该共享用户行为日志record83的20个第二数字云用户行为日志。sample91中包括20个共享用户行为日志，这些共享用户行为日志是共享用户行为日志record83的20个第二数字云用户行为日志。同理，可以再识别与共享用户行为日志record84关联的十个第二数字云用户行为日志，比如上述的sample92。共享用户行为日志record83、共享用户行为日志record84直至共享用户行为日志record85的十个第二数字云用户行为日志都要进行同样的关联数字云用户行为日志二次查询。以上的共享用户行为日志record83、共享用户行为日志record84等，可理解为第一数字云用户行为日志示例example81的第一候选用户行为日志，而sample91、sample92中的共享用户行为日志都可理解为第一数字云用户行为日志示例example81的第二候选用户行为日志。本发明实施例以第一候选用户行为日志和第二候选用户行为日志为例，在另外的示例下，还可以继续识别与第二候选用户行为日志关联的第三候选用户行为日志。
102.进一步地，根据第一数字云用户行为日志示例以及识别得到的第二数字云用户行为日志，可以生成专家决策知识分布。该专家决策知识分布中包括一个第一知识单元和多个第二知识单元。其中，该第一知识单元反映第一数字云用户行为日志示例example81，每一个第二知识单元反映一个第二数字云用户行为日志，这些第二知识单元中包括第一候选用户行为日志，也包括第二候选用户行为日志。每个知识单元的特征变量是其反映的数字云用户行为日志的攻击意向知识字段，该攻击意向知识字段即在获取第二数字云用户行为日志进行词向量共性度比对分析时挖掘使用的攻击意向知识字段，比如，可以是通过以上的ai知识提炼模型挖掘到的攻击意向知识字段。
103.在另一些可能的实施例中，用于挖掘攻击意向知识字段的模型架构可以包括ai知识提炼模型m1，通过ai知识提炼模型m1分别提取了第一数字云用户行为日志示例和云共享存储空间中各个共享用户行为日志的攻击意向知识字段f2，并根据攻击意向知识字段的词向量共性比较等操作，进而得到专家决策知识分布n3。该专家决策知识分布n3可以输入联合模型m4，该联合模型m4包括级联的多个联合模型d5，每一个联合模型d5都可以依据上述相关方案对第一知识单元的攻击意向知识字段进行优化。
104.联合模型m4可以输出第一知识单元的最终优化的攻击意向知识字段，作为该第一数字云用户行为日志示例的攻击意向知识字段，并且，可以再次基于该攻击意向知识字段
确定第一数字云用户行为日志示例对应的回归分析结果，根据回归分析结果和所述第一数字云用户行为日志示例的先验注释计算第一数字云用户行为日志示例对应的模型代价指标cost function。
105.进一步地，每一个第一数字云用户行为日志示例都可以依据以上的处理流程确定得到模型代价指标，最后可以根据这些第一数字云用户行为日志示例的模型代价指标改进意向知识决策优化模型的模型配置变量，比如包括深度学习模型中的模型变量以及ai知识提炼模型的模型变量。在其他的实施例中，上述模型中也可以不包括ai知识提炼模型，而是采用其他方式获取到专家决策知识分布。
106.在上述内容的基础上，可以利用调试完成的模型进行风险隐患事件识别。
107.一、可以通过ai知识提炼模型m1提取云共享存储空间中的各个共享用户行为日志的攻击意向知识字段，并缓存这些挖掘的攻击意向知识字段。
108.二、当接收到一个待识别的第一数字云用户行为日志时，比如，该第一数字云用户行为日志是一个具有风险隐患的数字云用户行为日志。可以依据如下思路由意向知识决策优化模型提取第一数字云用户行为日志的攻击意向知识字段：将该第一数字云用户行为日志通过上述ai知识提炼模型m1提取到攻击意向知识字段；基于第一数字云用户行为日志的攻击意向知识字段和所述各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，获得第一数字云用户行为日志的第二数字云用户行为日志。根据第一数字云用户行为日志及其第二数字云用户行为日志可以获得专家决策知识分布，该专家决策知识分布中可以包括反映第一数字云用户行为日志的第一知识单元、以及反映第二数字云用户行为日志的多个第二知识单元。专家决策知识分布输入上述联合模型m4，经过深度学习模型对专家决策知识分布中第一知识单元的攻击意向知识字段优化，最后得到的第一知识单元的攻击意向知识字段可以理解为挖掘到的第一数字云用户行为日志的攻击意向知识字段。
109.三、对于每一个共享用户行为日志，也可以依据与第二个步骤类似的实施方案，获得最终由联合模型生成的共享用户行为日志的攻击意向知识字段。
110.四、确定第一数字云用户行为日志的攻击意向知识字段与各个共享用户行为日志的攻击意向知识字段之间的词向量共性度，并根据词向量共性度整理，得到最后的日志识别报告。比如，可以将词向量共性度较高的几个共享用户行为日志作为日志识别报告。
111.本发明实施例的数字云用户行为日志识别方法，通过在进行攻击意向知识字段挖掘时，全方位分析了第一数字云用户行为日志关联的其他第二数字云用户行为日志的攻击意向知识字段，使得推演分析吸收到的攻击意向知识字段更加具有抗干扰性和特征识别度，从而提高攻击意向分析和攻击防护的精度和可信度。且深度学习模型可以级联，扩展性强。在进行异步调试时，一个sample中的各个第一数字云用户行为日志示例可以灵活地进行处理分析，从而可以确保模型调试的时效性。
112.在一些可独立实施的设计思路下，在获得完成优化的第一数字云用户行为日志的攻击意向知识字段之后，该方法还可以包括如下内容：基于完成优化的第一数字云用户行为日志的攻击意向知识字段进行风险事件预测，得到风险事件预测结果；通过所述风险事件预测结果确定针对第一数字云用户行为日志的信息安全防护方案。
113.举例而言，通过进行风险事件的隐患分析处理，能够得到准确的风险事件预测结果，进而基于风险事件预测结果针对性地确定信息安全防护方案，以确保数字云服务运行
过程中的数据信息安全。
114.在一些可独立实施的设计思路下，基于完成优化的第一数字云用户行为日志的攻击意向知识字段进行风险事件预测，得到风险事件预测结果，可以包括如下内容：利用所述完成优化的第一数字云用户行为日志的攻击意向知识字段生成目标风险行为关系网；利用完成配置的多元回归分析模型对所述目标风险行为关系网进行攻击隐患预测处理，得到多个维度的攻击隐患预测字段以及对应每个维度的可信度信息；基于所述多个维度的攻击隐患预测字段以及对应每个维度的可信度信息，得到关于所述目标风险行为关系网的风险事件预测结果。
115.如此设计，通过从不同维度综合进行攻击隐患预测，并引入可信度进行指导，可以确保风险事件预测结果的准确性和可靠性。
116.在一些可独立实施的设计思路下，所述基于所述多个维度的攻击隐患预测字段以及对应每个维度的可信度信息，得到针对所述目标风险行为关系网的风险事件预测结果，包括：基于所述多个维度的攻击隐患预测字段进行字段精简，得到维度数小于未精简的维度数的字段精简后的攻击隐患预测字段；基于所述字段精简后的攻击隐患预测字段进行字段衍生，得到维度数等于未精简的维度数的字段衍生后的攻击隐患预测字段；基于所述字段衍生后的攻击隐患预测字段以及对应每个维度的可信度信息，确定针对所述目标风险行为关系网的风险事件预测结果。
117.在一些可独立实施的设计思路下，所述多元回归分析模型包括用于执行事件预测处理的回归分析单元；所述基于所述多个维度的攻击隐患预测字段以及对应每个维度的可信度信息，得到针对所述目标风险行为关系网的风险事件预测结果，包括：基于所述多个维度的攻击隐患预测字段以及对应每个维度的可信度信息之间的特征求和结果，确定完成特征求和的攻击隐患预测字段；将所述完成特征求和的攻击隐患预测字段传入至所述多元回归分析模型包括的回归分析单元，得到所述回归分析单元输出的所述风险事件预测结果。
118.基于同样的发明构思，图2示出了本发明实施例提供的应用于数字云的信息安全分析装置的模块框图，应用于数字云的信息安全分析装置可以包括实施图1所示的相关方法步骤的知识获取模块21，用于：如果在设定信息防护周期内检测到异常行为分析指令，依据所述异常行为分析指令获取第一专家决策知识分布；其中，所述第一专家决策知识分布中包括第一知识单元以及不少于一个第二知识单元，所述第一知识单元的特征变量反映第一数字云用户行为日志的攻击意向知识字段，所述第二知识单元的特征变量反映第二数字云用户行为日志的攻击意向知识字段，所述第二数字云用户行为日志是与所述第一数字云用户行为日志满足设定关系的数字云用户行为日志；知识优化模块22，用于将所述第一专家决策知识分布加载到意向知识决策优化模型；其中，所述意向知识决策优化模型基于所述第一专家决策知识分布中的第二知识单元的特征变量优化所述第一知识单元的特征变量，以获得完成优化的第一数字云用户行为日志的攻击意向知识字段。
119.以上所述，仅为本发明的具体实施方式。熟悉本技术领域的技术人员根据本发明提供的具体实施方式，可想到变化或替换，都应涵盖在本发明的保护范围之内。