采用AI和大数据分析的云服务漏洞预测方法及大数据系统与流程

采用ai和大数据分析的云服务漏洞预测方法及大数据系统
技术领域
1.本发明涉及云服务信息安全技术领域，具体而言，涉及一种采用ai和大数据分析的云服务漏洞预测方法及大数据系统。


背景技术：

2.云服务是基于互联网的相关服务的增加、使用和交互模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。当前，云计算的应用逐渐普及化，云端互联网服务可以为用户提供大量的线上个性化应用。然而，对于互联网提供商而言，云服务使用以来也存在信息安全相关问题，因此需要及时对已存在或者可能存在的云服务安全漏洞进行挖掘进而便于及时进行漏洞补丁修复。在现有方案中，通常仅以单个攻击情报进行云服务漏洞预测的方案进行云服务漏洞挖掘，缺乏证据链维度的分析，进而难以较好地保证漏洞预测的精准度。


技术实现要素：

3.为了至少克服现有技术中的上述不足，本发明的目的在于提供一种采用ai和大数据分析的云服务漏洞预测方法及大数据系统。
4.第一方面，本技术提供一种采用ai和大数据分析的云服务漏洞预测方法，应用于大数据系统，所述大数据系统与多个页面云服务系统通信连接，所述方法包括：结合满足模型上线要求的攻击情报分析模型对指定页面云服务的风险攻击事件日志进行攻击情报分析，输出所述指定页面云服务所对应的攻击情报数据，并将所述攻击情报数据添加到指定页面云服务的当前攻击情报大数据中；对所述指定页面云服务的当前攻击情报大数据进行攻击节点链变量提取，并结合攻击节点链变量序列进行云服务漏洞预测，输出所述指定页面云服务的云服务漏洞数据；结合所述指定页面云服务的云服务漏洞数据对所述指定页面云服务所绑定的安全防护运行服务进行漏洞修复。
5.第二方面，本技术实施例还提供一种采用ai和大数据分析的云服务漏洞预测系统，所述采用ai和大数据分析的云服务漏洞预测系统包括大数据系统和与所述大数据系统通信连接的多个页面云服务系统；所述大数据系统，用于：结合满足模型上线要求的攻击情报分析模型对指定页面云服务的风险攻击事件日志进行攻击情报分析，输出所述指定页面云服务所对应的攻击情报数据，并将所述攻击情报数据添加到指定页面云服务的当前攻击情报大数据中；对所述指定页面云服务的当前攻击情报大数据进行攻击节点链变量提取，并结合攻击节点链变量序列进行云服务漏洞预测，输出所述指定页面云服务的云服务漏洞数据；结合所述指定页面云服务的云服务漏洞数据对所述指定页面云服务所绑定的安全防护运行服务进行漏洞修复。
6.呈上任意一个方面所述，通过对指定页面云服务的风险攻击事件日志进行攻击情报分析，输出指定页面云服务所对应的攻击情报数据，并将攻击情报数据添加到指定页面云服务的当前攻击情报大数据中，对指定页面云服务的当前攻击情报大数据进行攻击节点链变量提取，并结合攻击节点链变量序列进行云服务漏洞预测，输出指定页面云服务的云服务漏洞数据，据于此对指定页面云服务所绑定的安全防护运行服务进行漏洞修复，由此完成攻击情报分析后，结合攻击情报链进行云服务漏洞预测，对比仅以单个攻击情报进行云服务漏洞预测的方案，漏洞预测的精准度更高，进而使得后续针对安全防护运行服务的漏洞修复精准度更高。
附图说明
7.图1为本发明实施例提供的采用ai和大数据分析的云服务漏洞预测方法的流程示意图。
具体实施方式
8.下面介绍本发明一种实施例提供的采用ai和大数据分析的云服务漏洞预测系统10的架构，该采用ai和大数据分析的云服务漏洞预测系统10可以包括大数据系统100以及与大数据系统100通信连接的页面云服务系统200。其中，采用ai和大数据分析的云服务漏洞预测系统10中的大数据系统100和页面云服务系统200可以结合配合执行以下方法实施例所描述的采用ai和大数据分析的云服务漏洞预测方法，具体大数据系统100和页面云服务系统200的执行步骤部分可以参照以下方法实施例的详细描述。
9.本实施例提供的采用ai和大数据分析的云服务漏洞预测方法可以由大数据系统100执行，下面结合图1对该采用ai和大数据分析的云服务漏洞预测方法进行详细介绍。
10.step100，结合满足模型上线要求的攻击情报分析模型对指定页面云服务的风险攻击事件日志进行攻击情报分析，输出所述指定页面云服务所对应的攻击情报数据，并将所述攻击情报数据添加到指定页面云服务的当前攻击情报大数据中。
11.本实施例中，风险攻击事件日志可以表示指定页面云服务在服务提供流程中受到的风险攻击事件所记录的日志数据，攻击情报数据可以表示前述风险攻击事件所相关的关键特征数据，如攻击手法特征数据、攻击目标特征数据、传播木马特征数据、攻击传递特征数据等，但不限于此。
12.step200，对所述指定页面云服务的当前攻击情报大数据进行攻击节点链变量提取，并结合攻击节点链变量序列进行云服务漏洞预测，输出所述指定页面云服务的云服务漏洞数据。
13.本实施例中，攻击节点链变量可以可表达该指定页面云服务的攻击情报链的相关特征向量，攻击情报链可以是指由各个攻击情报数据组成的按照时序或者空序进行情报情报关系连接的证据链条。
14.step300，结合所述指定页面云服务的云服务漏洞数据对所述指定页面云服务所绑定的安全防护运行服务进行漏洞修复。
15.例如，可以从当前云服务漏洞修复云端数据库中中获取指定页面云服务的云服务漏洞数据中各个云服务漏洞所匹配的目标漏洞修复补丁数据，并加载到所述指定页面云服
务所绑定的安全防护运行服务进行漏洞修复。
16.呈上所述，本实施例通过对指定页面云服务的风险攻击事件日志进行攻击情报分析，输出指定页面云服务所对应的攻击情报数据，并将攻击情报数据添加到指定页面云服务的当前攻击情报大数据中，对指定页面云服务的当前攻击情报大数据进行攻击节点链变量提取，并结合攻击节点链变量序列进行云服务漏洞预测，输出指定页面云服务的云服务漏洞数据，据于此对指定页面云服务所绑定的安全防护运行服务进行漏洞修复，由此完成攻击情报分析后，结合攻击情报链进行云服务漏洞预测，对比仅以单个攻击情报进行云服务漏洞预测的方案，漏洞预测的精准度更高，进而使得后续针对安全防护运行服务的漏洞修复精准度更高。
17.针对一些可能的实施方式而言，step200的执行子步骤参见下述内容。
18.step101，获取选定攻击情报链，对所述选定攻击情报链进行攻击时空关系模型生成，输出可表达所述选定攻击情报链的攻击时空关系模型；所述选定攻击情报链包括多个攻击情报渗透链路；所述攻击时空关系模型包括多个攻击时空关系变量集；一个攻击情报渗透链路对应一个攻击时空关系变量集。
19.step102，输出所述多个攻击时空关系变量集分别对应的漏洞关联权重，结合所述漏洞关联权重对所述多个攻击时空关系变量集进行聚合，输出第一攻击节点链变量。
20.针对一些可能的实施方式而言，漏洞关联权重可以用于表达攻击时空关系变量集对于云服务漏洞挖掘的重要性，漏洞关联权重越大，代表对应的攻击时空关系变量集越重要，在最终输出的第一攻击节点链变量中，其对应的攻击时空关系变量集的权重就越大。每个攻击时空关系变量集对应的漏洞关联权重可以采用一个以其自身为输入的模型进行训练得到。
21.针对一些可能的实施方式而言，在得到漏洞关联权重后，就可以对攻击时空关系变量集进行聚合，即结合漏洞关联权重对攻击时空关系变量集进行聚合，就可以得到第一攻击节点链变量。
22.step103，对所述多个攻击时空关系变量集进行分组，输出多个攻击分组分别包含的成分攻击时空关系变量集，结合所述多个攻击分组和节点重要性评估模型确定每个成分攻击时空关系变量集分别对应的节点重要性评估值，结合多个节点重要性评估值确定第二攻击节点链变量；一个成分攻击时空关系变量集对应的节点重要性评估值是基于相应攻击分组中的成分攻击时空关系变量集进行确定。其中，第二攻击节点链变量可以是节点重要性评估值大于预设节点重要性评估值的成分攻击时空关系变量集构成的特征集合。
23.针对一些可能的实施方式而言，为了更好地解析各攻击时空关系变量集之间的相关特征向量，可以先对多个攻击时空关系变量集进行分组，即结合攻击时空关系变量集的关联性将多个攻击时空关系变量集划分为多个攻击分组，一个攻击分组中的攻击时空关系变量集对应的攻击情报渗透链路属于相同类别的攻击情报渗透链路。然后从每个攻击分组中提取出部分攻击时空关系变量集，作为成分攻击时空关系变量集。
24.step104，结合所述第一攻击节点链变量和所述第二攻击节点链变量，输出所述选定攻击情报链的云服务漏洞数据。
25.针对一些可能的实施方式而言，在得到第一攻击节点链变量和第二攻击节点链变量后，就可以采用云服务漏洞预测网络对第一攻击节点链变量和第二攻击节点链变量进行
预测，输出云服务漏洞数据。
26.呈上所述，可以对包括多个攻击情报渗透链路的选定攻击情报链进行攻击时空关系模型生成，输出可表达该选定攻击情报链的攻击时空关系模型，该攻击时空关系模型包括多个攻击情报渗透链路分别对应的攻击时空关系变量集，结合两种方案挖掘攻击情报渗透链路的信息，一种是独立挖掘各个攻击情报渗透链路的信息，即确定所述多个攻击时空关系变量集分别对应的漏洞关联权重，再结合漏洞关联权重对多个攻击时空关系变量集进行聚合，输出第一攻击节点链变量；二是挖掘同类别的攻击情报渗透链路之间的相关信息，即对多个攻击时空关系变量集进行分组，输出多个攻击分组分别包含的成分攻击时空关系变量集，结合多个攻击分组和节点重要性评估模型确定每个成分攻击时空关系变量集分别对应的节点重要性评估值，结合多个节点重要性评估值确定第二攻击节点链变量；最后结合第一攻击节点链变量和第二攻击节点链变量，输出选定攻击情报链的云服务漏洞数据。由此，结合两种方案得到的第一攻击节点链变量和第二攻击节点链变量之间可以相互补充且相互约束，因此可以提高云服务漏洞预测准确率，另外通过节点重要性评估模型来保证在计算成分攻击时空关系变量集对应的节点重要性评估值时，只关注和该成分攻击时空关系变量集属于同一攻击分组的成分攻击时空关系变量集之间的相关性，提高后续挖掘精准度。
27.针对一些可能的实施方式而言，输出所述多个攻击时空关系变量集分别对应的漏洞关联权重，结合所述漏洞关联权重对所述多个攻击时空关系变量集进行聚合，输出第一攻击节点链变量的方案，可以参见下述step201-step210：step201，将所述多个攻击时空关系变量集传递至云服务漏洞预测网络中的第一漏洞关联权重训练子网络；所述第一漏洞关联权重训练子网络包括漏洞关联权重训练节点和漏洞关联权重融合节点。
28.step202，在所述漏洞关联权重训练节点中，对所述多个攻击时空关系变量集分别进行漏洞关联权重训练，输出所述多个攻击时空关系变量集分别对应的漏洞关联权重。
29.step203，在所述漏洞关联权重融合节点中，结合所述漏洞关联权重对每个所述攻击时空关系变量集进行融合，输出每个所述攻击时空关系变量集分别对应的融合攻击时空关系变量集，对所述融合攻击时空关系变量集进行汇聚，输出第一攻击节点链变量。
30.下面介绍基础云服务漏洞预测网络的具体训练步骤，至少可以包括以下step101-step104：step301，获取模板攻击情报链，对所述模板攻击情报链进行攻击时空关系模型生成，输出可表达所述模板攻击情报链的预测攻击时空关系模型；所述模板攻击情报链包括多个预测攻击情报渗透链路；所述预测攻击时空关系模型包括多个预测攻击时空关系变量集；一个预测攻击情报渗透链路对应一个预测攻击时空关系变量集。
31.针对一些可能的实施方式而言，step301的实现过程可以参见对step101的描述，在此不再重复说明。
32.step302，将所述多个预测攻击情报渗透链路传递至基础云服务漏洞预测网络，在所述基础云服务漏洞预测网络中，输出所述多个预测攻击时空关系变量集分别对应的预测漏洞关联权重，结合所述多个预测攻击时空关系变量集分别对应的预测漏洞关联权重，对所述多个预测攻击时空关系变量集进行聚合，输出第一预测攻击节点链变量。
33.针对一些可能的实施方式而言，基础云服务漏洞预测网络可以包含有第一初始漏洞关联权重训练子网络，大数据系统可以在第一初始漏洞关联权重训练子网络中，输出多个预测攻击时空关系变量集分别对应的预测漏洞关联权重，结合多个预测攻击时空关系变量集分别对应的预测漏洞关联权重，对多个预测攻击时空关系变量集进行聚合，输出第一预测攻击节点链变量，具体实现过程可以参见前述step201-step203的描述，在此不再重复说明。
34.step303，在所述基础云服务漏洞预测网络中，对所述多个预测攻击时空关系变量集进行分组，输出多个训练攻击分组分别包含的预测成分攻击时空关系变量集，结合所述多个训练攻击分组和节点重要性评估模型确定每个预测成分攻击时空关系变量集分别对应的预测节点重要性评估值，结合多个预测节点重要性评估值确定第二预测攻击节点链变量；一个预测成分攻击时空关系变量集对应的预测节点重要性评估值是基于相应训练攻击分组中的预测成分攻击时空关系变量集进行确定。
35.针对一些可能的实施方式而言，基础云服务漏洞预测网络还可以包含有第二初始漏洞关联权重训练子网络，然后在第二初始漏洞关联权重训练子网络中，对多个预测攻击时空关系变量集进行分组，输出多个训练攻击分组分别包含的预测成分攻击时空关系变量集，结合多个训练攻击分组和节点重要性评估模型确定每个预测成分攻击时空关系变量集分别对应的预测节点重要性评估值，结合多个预测节点重要性评估值确定第二预测攻击节点链变量，具体实现过程可以参见前述step205-step209的描述，在此不再重复说明。
36.step304，在所述基础云服务漏洞预测网络中，结合所述第一预测攻击节点链变量和所述第二预测攻击节点链变量确定所述模板攻击情报链的标定云服务漏洞数据。
37.针对一些可能的实施方式而言，基础云服务漏洞预测网络还可以包含有初始分类子网络，然后在初始分类子网络中结合第一预测攻击节点链变量和第二预测攻击节点链变量确定模板攻击情报链的标定云服务漏洞数据，具体实现可以参见前述step210的描述，在此不再重复说明。
38.step305，结合所述多个训练攻击分组、所述多个预测攻击时空关系变量集分别对应的漏洞关联权重、所述标定云服务漏洞数据以及所述模板攻击情报链对应的云服务漏洞，对所述基础云服务漏洞预测网络进行预测参数层权重更新，输出用于表达选定攻击情报链的云服务漏洞数据的云服务漏洞预测网络。
39.针对一些可能的实施方式而言，因为最终得到的云服务漏洞预测网络中第一漏洞关联权重训练子网络和第二漏洞关联权重训练子网络的传递至都是相同的攻击时空关系变量集，因此第一漏洞关联权重训练子网络对多个攻击时空关系变量集的漏洞关联权重分布和第二漏洞关联权重训练子网络对多个攻击时空关系变量集的漏洞关联权重分布应该是一致的，因此，大数据系统在对基础云服务漏洞预测网络进行网络收敛优化的过程中，可以先结合多个训练攻击分组以及多个预测攻击时空关系变量集分别对应的预测漏洞关联权重，输出第一网络收敛评估值；然后结合标定云服务漏洞数据以及模板攻击情报链对应的云服务漏洞，输出第二网络收敛评估值；最后对第一网络收敛评估值和第二网络收敛评估值进行加权求和，输出目标网络收敛评估值；结合目标网络收敛评估值对基础云服务漏洞预测网络进行预测参数层权重更新，输出用于表达选定攻击情报链的云服务漏洞数据的云服务漏洞预测网络。其中，第一网络收敛评估值用于保证最终训练得到的云服务漏洞预
测网络的两个网络子网络对同样的攻击时空关系变量集传递至的漏洞关联权重分布一致。第二网络收敛评估值用于保证最终训练得到的云服务漏洞预测网络输出的云服务漏洞数据能更接近真实结果。
40.针对一些可能的实施方式而言，上述结合多个训练攻击分组以及多个预测攻击时空关系变量集分别对应的预测漏洞关联权重，输出第一网络收敛评估值的实现过程，可以为：获取多个训练攻击分组中的第i个训练攻击分组；i为正整数，且i不超过多个训练攻击分组的数量；将第i个训练攻击分组涵盖的预测攻击时空关系变量集，作为目标预测攻击时空关系变量集；结合目标预测攻击时空关系变量集对应的预测漏洞关联权重和目标预测攻击时空关系变量集的数量，输出第i个训练攻击分组对应的参考网络收敛评估值；将每个训练攻击分组分别对应的参考网络收敛评估值进行相加，输出第一网络收敛评估值。因为大数据系统在对模板攻击情报链进行关注需求分析时，在第二初始漏洞关联权重训练子网络中对模板攻击情报链包含的预测攻击时空关系变量集进行了聚类，输出了多个训练攻击分组，同一训练攻击分组中的预测攻击时空关系变量集在第二初始漏洞关联权重训练子网络中的关注度是相同的，因此在第一初始漏洞关联权重训练子网络中，同一训练攻击分组中的预测攻击时空关系变量集的关注度也应该是相同的。同一训练攻击分组中的预测攻击时空关系变量集在第一漏洞关联权重训练子网络中生成的漏洞关联权重应当服从均匀分布，因此每个训练攻击分组可以确定出一个参考网络收敛评估值。最后将每个训练攻击分组分别对应的参考网络收敛评估值进行相加，就得到第一网络收敛评估值。
41.针对一些可能的实施方式而言，结合目标预测攻击时空关系变量集对应的预测漏洞关联权重和目标预测攻击时空关系变量集的数量，输出第i个训练攻击分组对应的参考网络收敛评估值的实现过程，可以为：获取由目标预测攻击时空关系变量集对应的预测漏洞关联权重所构成的拟合漏洞关联权重分布；对拟合漏洞关联权重分布进行规则化数值转换，输出第一漏洞关联权重分布；将目标预测攻击时空关系变量集的数量对应的均匀漏洞关联权重分布，作为第二漏洞关联权重分布；结合第一漏洞关联权重分布和第二漏洞关联权重分布，输出第i个训练攻击分组对应的参考网络收敛评估值。
42.针对一些可能的实施方式而言，针对step100，结合满足模型上线要求的攻击情报分析模型对指定页面云服务的风险攻击事件日志进行攻击情报分析，输出所述指定页面云服务所对应的攻击情报数据，的执行子步骤参见下述内容。
43.step401，获取模板风险攻击事件数据集，模板风险攻击事件数据集中包括携带标定攻击情报数据的模板风险攻击事件数据。
44.其中，标定攻击情报数据表征模板风险攻击事件数据中目标攻击源数据的攻击画像情报数据。
45.step402，获取模板风险攻击事件数据对应的模板风险攻击痕迹，并结合模板风险攻击痕迹获取模板风险攻击痕迹区。
46.其中，模板风险攻击痕迹区携带与标定攻击情报数据对应的模板区情报数据，模板风险攻击痕迹是对模板风险攻击事件数据进行基于时序节点和空序节点的切割输出获得的切片数据。
47.针对一些可能的实施方式而言，在将模板风险攻击事件数据分割成模板风险攻击痕迹后，组成模板风险攻击痕迹区时包括如下情况中的至少一种。
48.将属于同一模板风险攻击事件数据的模板风险攻击痕迹归纳至同一模板风险攻击痕迹区，输出与各个模板风险攻击事件数据对应的模板风险攻击痕迹区。
49.则，模板风险攻击事件数据所标注的标定攻击情报数据即为该模板风险攻击痕迹区对应的模板区情报数据，且结合模板风险攻击事件数据中所标注的目标攻击源数据所处的数据分区，对应确定模板风险攻击事件数据所切割得到的各模板风险攻击痕迹中目标攻击源数据的攻击画像情报数据，并针对模板风险攻击痕迹标注痕迹情报数据。
50.针对一些可能的实施方式而言，当模板风险攻击事件数据的标定攻击情报数据指示模板风险攻击事件数据中不包括目标攻击源数据时，则模板风险攻击痕迹区仅需要模板区情报数据，即表征模板风险攻击痕迹区中不包括目标攻击源数据的模板区情报数据，而无需再针对模板风险攻击痕迹标注痕迹情报数据。
51.在将各模板风险攻击事件数据分治输出模板风险攻击痕迹后，获取模板风险攻击痕迹的模板风险攻击痕迹序列，并从模板风险攻击痕迹序列中随机获取n个模板风险攻击痕迹组成模板风险攻击痕迹区，其中，n为预设的正整数。
52.也即，处于同一模板风险攻击痕迹区中的模板风险攻击痕迹来自相同或者不同的模板风险攻击事件数据。
53.则结合模板风险攻击痕迹对应的痕迹情报数据确定模板风险攻击痕迹区的模板区情报数据；或者，结合模板风险攻击痕迹的来源模板风险攻击事件数据的标定攻击情报数据确定模板风险攻击痕迹区的模板区情报数据，如：模板风险攻击痕迹所来自的模板风险攻击事件数据的标定攻击情报数据皆表示不存在目标攻击源数据，则模板风险攻击痕迹自然不包括目标攻击源数据，则模板风险攻击痕迹区的模板区情报数据表征不包括目标攻击源数据。
54.而当模板风险攻击痕迹所来自的模板风险攻击事件数据中存在模板风险攻击事件数据中包括目标攻击源数据，则需要结合痕迹情报数据确定模板风险攻击痕迹区的模板区情报数据。
55.将属于同一模板风险攻击事件数据的模板风险攻击痕迹归纳至同一模板风险攻击痕迹区，以及，从模板风险攻击痕迹序列中随机获取n个模板风险攻击痕迹组成模板风险攻击痕迹区，也即，模板风险攻击痕迹区中既包括从同一模板风险攻击事件数据切割获得的模板风险攻击痕迹区，也包括从不同模板风险攻击事件数据切割获得的模板风险攻击痕迹组成的模板风险攻击痕迹区。
56.step403，结合基础攻击情报分析模型对模板风险攻击痕迹区进行攻击情报分析，结合模板区情报数据和预测区情报数据之间的第一模型收敛评估值信息确定模板风险攻击痕迹区对应的相对熵模型收敛评估值和第一交叉熵模型收敛评估值。
57.针对一些可能的实施方式而言，相对熵模型收敛评估值是结合对模板风险攻击痕迹区中目标攻击源数据进行预测得到的特征选择支撑值分布，以及模板风险攻击痕迹区的模板区情报数据对应的攻击情报支持度分布之间的第一模型收敛评估值信息确定的模型收敛评估值。也即，结合基础攻击情报分析模型对模板风险攻击痕迹区进行威胁跟踪特征提取后，对威胁跟踪特征进行特征分析，从而得到模板风险攻击痕迹区中目标攻击源数据的特征选择支撑值分布，而模板风险攻击痕迹区本身携带模板区情报数据，该模板区情报数据指示了该模板风险攻击痕迹区对应的攻击情报支持度分布，则结合特征选择支撑值分
布和攻击情报支持度分布之间的第一模型收敛评估值信息，输出模板风险攻击痕迹区的相对熵模型收敛评估值。也即，结合基础攻击情报分析模型对模板风险攻击痕迹区进行威胁跟踪特征提取，输出区威胁跟踪特征分布，结合区威胁跟踪特征分布对应的特征选择支撑值分布和模板区情报数据对应的攻击情报支持度分布，输出模板风险攻击痕迹区对应的相对熵模型收敛评估值。
58.针对一些可能的实施方式而言，第一交叉熵模型收敛评估值是结合对模板风险攻击痕迹区中目标攻击源数据进行分析得到的预测结果，以及模板风险攻击痕迹区的模板区情报数据之间的第一模型收敛评估值信息确定的模型收敛评估值。也即，结合基础攻击情报分析模型对模板风险攻击痕迹区进行威胁跟踪特征提取后，对威胁跟踪特征进行目标攻击源数据的分析，从而得到目标模板风险攻击痕迹中目标攻击源数据的预测攻击画像情报数据，结合预测攻击画像情报数据和模板区情报数据所表示的攻击画像情报数据之间的第一模型收敛评估值信息，输出模板风险攻击痕迹区的第一交叉熵模型收敛评估值。也即，结合对区威胁跟踪特征分布进行目标攻击源数据挖掘的挖掘数据和模板区情报数据之间的第一模型收敛评估值信息，输出模板风险攻击痕迹区对应的第一交叉熵模型收敛评估值。
59.step404，结合基础攻击情报分析模型对模板风险攻击痕迹进行攻击情报分析，结合标定攻击情报数据和预测攻击情报数据之间的第一模型收敛评估值信息确定模板风险攻击痕迹对应的第二交叉熵模型收敛评估值。
60.针对一些可能的实施方式而言，第二交叉熵模型收敛评估值是结合对模板风险攻击痕迹中的目标攻击源数据进行分析得到的预测结果，以及模板风险攻击痕迹的痕迹情报数据之间的第一模型收敛评估值信息确定的模型收敛评估值。其中，痕迹情报数据可以实现为模板风险攻击事件数据本身的标定攻击情报数据，也可以实现为结合标定攻击情报数据推断获得的切片数据标签。
61.也即，结合基础攻击情报分析模型对模板风险攻击痕迹进行威胁跟踪特征提取后，对威胁跟踪特征提取进行目标攻击源数据的分析，从而得到目标模板风险攻击痕迹中目标攻击源数据的攻击画像情报数据，结合预测得到的攻击画像情报数据和痕迹情报数据所表示的攻击画像情报数据之间的第一模型收敛评估值信息，输出模板风险攻击痕迹的第二交叉熵模型收敛评估值。
62.其中，上述step403和step404是两个并列的步骤，可以先执行step403再执行step404，也可以先执行step404再执行step403，还可以同时执行step403和step404，本实施例对此不加以限定。
63.step405，结合相对熵模型收敛评估值、第一交叉熵模型收敛评估值和第二交叉熵模型收敛评估值对基础攻击情报分析模型进行模型函数配置信息更新。
64.针对一些可能的实施方式而言，对相对熵模型收敛评估值、第一交叉熵模型收敛评估值和第二交叉熵模型收敛评估值进行融合得到总模型收敛评估值，从而结合总模型收敛评估值对基础攻击情报分析模型进行模型函数配置信息更新。
65.针对一些可能的实施方式而言，在对相对熵模型收敛评估值、第一交叉熵模型收敛评估值和第二交叉熵模型收敛评估值进行加权计算时，采用各自对应的权重对相对熵模型收敛评估值、第一交叉熵模型收敛评估值和第二交叉熵模型收敛评估值进行加权计算，如：对相对熵模型收敛评估值、第一交叉熵模型收敛评估值和第二交叉熵模型收敛评估值
加权计算，输出总模型收敛评估值。
66.针对一些可能的实施方式而言，在结合总模型收敛评估值对基础攻击情报分析模型进行模型函数配置信息更新时，结合梯度下降法对基础攻击情报分析模型的模型参数进行调整。
67.针对一些可能的实施方式而言，在对对基础攻击情报分析模型进行训练，结合第二模型收敛评估值信息对基础攻击情报分析模型中第一威胁跟踪特征汇聚子模型和第二威胁跟踪特征汇聚子模型中的参数进行调整，针对一些可能的实施方式而言，还可以结合第二模型收敛评估值信息对基础攻击情报分析模型中其它网络层的参数进行调整。
68.结合以上步骤，本实施例在基础攻击情报分析模型的模型配置流程中中，针对需要攻击情报分析的模板风险攻击事件数据，分别利用模板风险攻击痕迹和模板风险攻击痕迹区对基础攻击情报分析模型进行模型函数配置信息更新，提高了对模板风险攻击痕迹中目标攻击源数据的挖掘有效性，避免由于单个模板风险攻击痕迹挖掘误差而导致整个模板风险攻击事件数据的挖掘数据出现较大误差的情况。
69.针对一些可能的实施方式而言，基础攻击情报分析模型中包括第一威胁跟踪特征汇聚子模型和第二威胁跟踪特征汇聚子模型。上述相对熵模型收敛评估值和交叉熵模型收敛评估值是结合威胁跟踪特征汇聚子模型确定的。上述step403和step404可以实现为如下步骤。
70.step4031，结合基础攻击情报分析模型对模板风险攻击痕迹区进行威胁跟踪特征提取，输出区威胁跟踪特征分布。
71.针对一些可能的实施方式而言，结合基础攻击情报分析模型中的编码单元对模板风险攻击痕迹区进行威胁跟踪特征提取，输出区威胁跟踪特征分布。针对一些可能的实施方式而言，结合编码单元对模板风险攻击痕迹区中的模板风险攻击痕迹进行威胁跟踪特征提取，输出痕迹威胁跟踪特征，从而确定由痕迹威胁跟踪特征构成的区威胁跟踪特征分布，其中，区威胁跟踪特征分布为痕迹威胁跟踪特征的序列。
72.以编码单元实现为基础攻击情报分析模型中的组成部分为例进行说明，针对一些可能的实施方式而言，该编码单元还可以实现为一个独立的特征提取网络。
73.针对一些可能的实施方式而言，编码单元结合卷积操作对模板风险攻击痕迹区中的模板风险攻击痕迹进行上采样/下采样，从而得到痕迹威胁跟踪特征，并结合痕迹威胁跟踪特征整合构成区威胁跟踪特征分布。
74.step4032，结合基础攻击情报分析模型中的第一威胁跟踪特征汇聚子模型对区威胁跟踪特征分布进行第一威胁跟踪训练输出，输出第一威胁跟踪汇聚特征。
75.基础攻击情报分析模型中包括第一威胁跟踪特征汇聚子模型，其中，威胁跟踪特征汇聚子模型可理解为全连接层。
76.step4033，结合基于惩罚项的特征选择模型对第一威胁跟踪汇聚特征进行基于惩罚项的特征选择的威胁跟踪训练输出，输出模板风险攻击痕迹区对应的特征选择支撑值分布。
77.step4034，结合模板区情报数据确定模板风险攻击痕迹区对应的攻击情报支持度分布。
78.模板区情报数据的获取方式在上述step402中已进行了说明，此处不再赘述。
79.针对一些可能的实施方式而言，结合模板区情报数据确定模板风险攻击痕迹区的攻击情报支持度分布时，包括如下情况中的至少一种。
80.响应于模板区情报数据可表达模板风险攻击痕迹区中的模板风险攻击痕迹中不存在目标攻击源数据，输出该模板风险攻击痕迹区的攻击情报支持度分布为均匀分布。
81.模板区情报数据指示模板风险攻击痕迹区中的模板风险攻击痕迹不存在目标攻击源数据，则模板风险攻击痕迹区对应的攻击情报支持度分布是均匀分布。
82.响应于模板区情报数据可表达模板风险攻击痕迹区中的模板风险攻击痕迹中存在目标攻击源数据，获取模板区情报数据中与模板风险攻击痕迹对应的痕迹情报数据，结合痕迹情报数据确定模板风险攻击痕迹区的攻击情报支持度分布。
83.step4035，结合特征选择支撑值分布与攻击情报支持度分布之间的第一模型收敛评估值信息，输出模板风险攻击痕迹区对应的相对熵模型收敛评估值。
84.针对一些可能的实施方式而言，在确定特征选择支撑值分布和攻击情报支持度分布后，输出特征选择支撑值分布与攻击情报支持度分布之间的第一模型收敛评估值信息，从而得到模板风险攻击痕迹区对应的相对熵模型收敛评估值。
85.step4036，结合基础攻击情报分析模型中的第二威胁跟踪特征汇聚子模型对第一威胁跟踪汇聚特征和模板风险攻击痕迹区对应的特征选择支撑值分布进行第二威胁跟踪训练输出，输出第二威胁跟踪汇聚特征作为挖掘数据。
86.上述过程中是针对模板风险攻击痕迹区的特征选择支撑值分布情况确定模型收敛评估值值。此外，还可以针对模板风险攻击痕迹区中目标攻击源数据的挖掘数据确定交叉熵模型收敛评估值值。
87.针对一些可能的实施方式而言，对上述第一威胁跟踪汇聚特征和模板风险攻击痕迹区对应的特征选择支撑值分布进行聚合，从而将聚合特征输入至第二威胁跟踪特征汇聚子模型。
88.step4037，结合第二威胁跟踪汇聚特征和模板区情报数据之间的第一模型收敛评估值信息，输出模板风险攻击痕迹区对应的第一交叉熵模型收敛评估值。
89.step4041，结合基础攻击情报分析模型对模板风险攻击痕迹进行威胁跟踪特征提取，输出痕迹威胁跟踪特征。
90.针对一些可能的实施方式而言，结合基础攻击情报分析模型中的编码单元对模板风险攻击痕迹进行威胁跟踪特征提取，输出痕迹威胁跟踪特征。
91.step4042，结合基础攻击情报分析模型中的第一威胁跟踪特征汇聚子模型对痕迹威胁跟踪特征进行第一威胁跟踪训练输出，输出第三威胁跟踪汇聚特征。
92.step4043，结合基础攻击情报分析模型中的第二威胁跟踪特征汇聚子模型对第三威胁跟踪汇聚特征进行第二威胁跟踪训练输出，输出第四威胁跟踪汇聚特征作为预测攻击情报数据。
93.step4044，结合第四威胁跟踪汇聚特征和痕迹情报数据之间的第一模型收敛评估值信息，输出该模板风险攻击痕迹对应的第二交叉熵模型收敛评估值。
94.step405，结合相对熵模型收敛评估值、第一交叉熵模型收敛评估值和第二交叉熵模型收敛评估值对基础攻击情报分析模型进行模型函数配置信息更新。
95.针对一些可能的实施方式而言，对相对熵模型收敛评估值、第一交叉熵模型收敛
评估值和第二交叉熵模型收敛评估值进行加权计算，输出第二模型收敛评估值信息，结合第二模型收敛评估值信息对基础攻击情报分析模型进行模型函数配置信息更新。
96.针对一些可能的实施方式而言，上述step402还可以实现为如下步骤。
97.step4021，对模板风险攻击事件数据进行基于时序节点和空序节点的切割输出，输出模板风险攻击痕迹。
98.针对一些可能的实施方式而言，对模板风险攻击事件数据进行基于时序节点和空序节点的切割输出的方式在上述step402中已进行了介绍，此处不再赘述。
99.step4022，将属于同一模板风险攻击事件数据的模板风险攻击痕迹分配至相同痕迹区，输出模板风险攻击痕迹区。
100.针对一些可能的实施方式而言，将属于同一模板风险攻击事件数据的所有模板风险攻击痕迹分配至相同痕迹区，输出模板风险攻击痕迹区；或者，将属于同一模板风险攻击事件数据的部分模板风险攻击痕迹分配至相同痕迹区。
101.其中，当将部分模板风险攻击痕迹分配至相同痕迹区时，包括如下情况中的至少一种。
102.1、从模板风险攻击事件数据的模板风险攻击痕迹中随机挑选n个模板风险攻击痕迹分配至相同痕迹区。
103.2、从模板风险攻击事件数据的指定位置区域中挑选n个模板风险攻击痕迹分配至相同痕迹区。
104.3、从模板风险攻击事件数据的模板风险攻击痕迹中，跳跃式选取n个模板风险攻击痕迹分配至相同痕迹区。
105.也即，每相邻两个模板风险攻击痕迹中选择一个分配至相同痕迹区。
106.针对一些可能的实施方式而言，响应于模板风险攻击痕迹区中的模板风险攻击痕迹来自同一模板风险攻击事件数据，将模板风险攻击事件数据对应的标定攻击情报数据作为模板风险攻击痕迹区对应的模板区情报数据。
107.step4023，将属于不同模板风险攻击事件数据的模板风险攻击痕迹混合分配至相同痕迹区，输出模板风险攻击痕迹区。
108.针对一些可能的实施方式而言，在混合分配时，包括如下分配方式中的至少一种。
109.第一种，从每个模板风险攻击事件数据的模板风险攻击痕迹中选择至少一个模板风险攻击痕迹，分配至同一痕迹中得到模板风险攻击痕迹区。
110.其中，从每个模板风险攻击事件数据中获取的模板风险攻击痕迹的数量相同或者不相同。
111.第二种，将不同模板风险攻击事件数据的模板风险攻击痕迹进行混合，输出模板风险攻击痕迹序列，从模板风险攻击痕迹序列中随机获取n个模板风险攻击痕迹，构成模板风险攻击痕迹区。
112.第三种，从不同标签分类的模板风险攻击事件数据中各获取部分模板风险攻击痕迹，构成模板风险攻击痕迹区。
113.值得注意的是，上述模板风险攻击痕迹区的分配方式仅为例如举例，本实施例对此不加以限定。
114.针对一些可能的实施方式而言，响应于模板风险攻击痕迹区中的模板风险攻击痕
迹来自不同模板风险攻击事件数据，结合模板风险攻击痕迹对应的痕迹情报数据确定模板风险攻击痕迹区对应的模板区情报数据。
115.针对一些可能的实施方式而言，大数据系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
116.处理器110可以通过存储在机器可读存储介质120中的程序而执行各种适当的动作和处理，例如前述实施例所描述的采用ai和大数据分析的云服务漏洞预测方法所相关的程序指令。处理器110、机器可读存储介质120以及通信单元140通过总线130进行信号传输。
117.特别地，基于本发明的实施例，上文示例性流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信单元140从网络上被下载和安装，在该计算机程序被处理器110执行时，执行本发明实施例的方法中限定的上述功能。
118.本发明又一实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如上述任一实施例所述的采用ai和大数据分析的云服务漏洞预测方法。
119.本发明又一实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现如上述任一实施例所述的采用ai和大数据分析的云服务漏洞预测方法。
120.应该理解的是，虽然本技术实施例的流程图中通过箭头指示各个操作步骤，但是这些步骤的实施顺序并不受限于箭头所指示的顺序。除非本文中有明确的说明，否则在本技术实施例的一些实施场景中，各流程图中的实施步骤可以按照需求以其它的顺序执行。此外，各流程图中的部分或全部步骤基于实际的实施场景，可以包括多个子步骤或者多个阶段。这些子步骤或者阶段中的部分或全部可以在同一时刻被执行，这些子步骤或者阶段中的每个子步骤或者阶段也可以分别在不同的时刻被执行。在执行时刻不同的场景下，这些子步骤或者阶段的执行顺序可以根据需求灵活配置，本技术实施例对此不限制。
121.以上所述仅是本技术部分实施场景的可选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术的方案技术构思的前提下，采用基于本技术技术思想的其它类似实施手段，同样属于本技术实施例的保护范畴。