一种基于业务智能化的赛博攻击分析方法及服务器与流程

1.本发明涉及大数据安防技术领域，尤其涉及一种基于业务智能化的赛博攻击分析方法及服务器。


背景技术：

2.赛博攻击（cyber attacks）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。
3.近年来，网络攻击事件频发，互联网上的木马、蠕虫、勒索软件层出不穷，这对网络安全乃至国家安全形成了严重的威胁，而如何高效灵活地实现攻击防护处理，已然成为亟需解决的一个难题。


技术实现要素：

4.本发明提供一种基于业务智能化的赛博攻击分析方法及服务器，为实现上述技术目的，本发明采用如下技术方案。
5.第一方面是一种基于业务智能化的赛博攻击分析方法，应用于赛博攻击分析服务器，所述方法包括：获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识；将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，利用每一阶攻击事件识别核挖掘得到的赛博攻击意向知识，进行所述每一阶的下一阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，直到获得所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容；将所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，确定为异常数字业务活动日志的赛博攻击事件拆解报告并进行缓存；其中，x≥2，且x∈z。
6.在一些可选的实施例中，所述将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，利用每一阶攻击事件识别核挖掘得到的赛博攻击意向知识，进行所述每一阶的下一阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，直到获得所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，包括：将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，分别进行x阶攻击事件识别核识别和攻击事件标注内容识别，得到所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件
标注内容。
7.在一些可选的实施例中，所述将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，利用每一阶攻击事件识别核挖掘得到的赛博攻击意向知识，进行所述每一阶的下一阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，直到获得所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，包括：将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，每一阶遵从先攻击事件识别核识别后攻击事件识别核中的攻击事件标注内容识别的规则，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，得到所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容。
8.在一些可选的实施例中，所述将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，利用每一阶攻击事件识别核挖掘得到的赛博攻击意向知识，进行所述每一阶的下一阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，直到获得所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容；并将所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，确定为异常数字业务活动日志的赛博攻击事件拆解报告并进行缓存，包括：获得所述每个窗口化活动日志块的第u-1阶攻击事件识别核，并从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘赛博攻击意向知识；结合从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行第u阶攻击事件识别核识别和第u阶攻击事件识别核中的攻击事件标注内容识别，得到所述每个窗口化活动日志块的第u阶攻击事件识别核和第u阶攻击事件识别核中的攻击事件标注内容；将u调整为u+1，跳转到所述获得所述每个窗口化活动日志块的第u-1阶攻击事件识别核，并从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘赛博攻击意向知识；直到获得所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，将所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，确定为所述异常数字业务活动日志的赛博攻击事件拆解报告；其中，u不小于1不大于x；且响应于u=1，从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识为所述每个窗口化活动日志块的赛博攻击意向知识。
9.在一些可选的实施例中，所述结合从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行第u阶攻击事件识别核中的攻击事件标注内容识别，得到所述每个窗口化活动日志块的第u阶攻击事件识别核中的攻击事件标注内容，包括：响应于u》1，获得所述每个窗口化活动日志块的第u-1阶攻击事件识别核，以及获
得所述每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识；结合从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识和所述每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，进行赛博攻击意向知识拼接得到第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识；经由所述第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，进行所述每个窗口化活动日志块的第u阶攻击事件识别核中的攻击事件标注内容识别，得到所述每个窗口化活动日志块的第u阶攻击事件识别核中的攻击事件标注内容。
10.在一些可选的实施例中，所述获得所述每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，包括：对从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识进行赛博攻击意向知识映射，得到所述每个窗口化活动日志块的第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量；对所述第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量进行知识细节提取，得到所述每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识。
11.在一些可选的实施例中，在获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识之后，所述方法还包括：对所述异常数字业务活动日志的赛博攻击意向知识进行维度变更和加权处理，得到完成处理的异常数字业务活动日志的赛博攻击意向知识；对所述完成处理的异常数字业务活动日志的赛博攻击意向知识进行赛博攻击意向知识映射，得到完成映射的赛博攻击意向知识；对所述完成映射的赛博攻击意向知识分别进行多元回归分析，得到所述异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识。
12.在一些可选的实施例中，所述结合从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识和所述每个窗口化活动日志块进行第u-1阶攻击事件识别核中攻击事件标注内容识别的赛博攻击意向知识，进行赛博攻击意向知识拼接得到第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，包括：经由所述异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识、从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识和所述每个窗口化活动日志块进行第u-1阶攻击事件识别核中攻击事件标注内容识别的赛博攻击意向知识，进行赛博攻击意向知识拼接得到所述第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识。
13.在一些可选的实施例中，所述结合从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行第u阶攻击事件识别核识别，得到所述每个窗口化活动日志块的第u阶攻击事件识别核，包括：经由所述异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识和从所述每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，
进行赛博攻击意向知识拼接，得到第u阶攻击事件识别核识别的赛博攻击意向联动知识；经由所述第u阶攻击事件识别核识别的赛博攻击意向联动知识，进行第u阶攻击事件识别核识别，得到所述每个窗口化活动日志块的第u阶攻击事件识别核。
14.第二方面是一种赛博攻击分析服务器，包括存储器和处理器；所述存储器和所述处理器耦合；所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令；其中，当所述处理器执行所述计算机指令时，使得所述赛博攻击分析服务器执行第一方面的方法。
15.第三方面是一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序在运行时执行第一方面的方法。
16.根据本发明的一个实施例，赛博攻击分析服务器获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识，将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，生成获得异常数字业务活动日志的赛博攻击事件拆解报告，其中，x≥2，且x∈z。换言之，对于本发明实施例而言，在获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识之后，将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，如此，不仅只对每个窗口化活动日志块的赛博攻击意向知识进行一个处理阶段的攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，而是对每个窗口化活动日志块的赛博攻击意向知识进行x阶的攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，如此，对每个窗口化活动日志块的赛博攻击意向知识进行多轮校对识别攻击事件识别核的分布情况和回归分析可信指数，进而可以显著地提升不同赛博攻击事件的拆解处理精度和可信度，便于后续针对不同的赛博攻击事件对应的信息集进行差异化攻击防护处理，无需对异常数字业务活动日志进行多次地毯式分析处理，提高攻击防护处理的效率和灵活性。
附图说明
17.图1为本发明实施例提供的基于业务智能化的赛博攻击分析方法的流程示意图。
18.图2为本发明实施例提供的基于业务智能化的赛博攻击分析装置的模块框图。
具体实施方式
19.以下，术语“第一”、“第二”和“第三”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”或“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。
20.图1示出了本发明实施例提供的基于业务智能化的赛博攻击分析方法的流程示意图，基于业务智能化的赛博攻击分析方法可以通过赛博攻击分析服务器实现，赛博攻击分析服务器可以包括存储器和处理器；所述存储器和所述处理器耦合；所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令；其中，当所述处理器执行所述计算机指令时，使得所述赛博攻击分析服务器执行如下步骤所描述的技术方案。
21.步骤101、获得异常数字业务活动日志的至少一个窗口化活动日志块以及每个窗口化活动日志块的赛博攻击意向知识。
22.其中，异常数字业务活动日志涉及数字化服务的各类业务活动日志，比如数字办公、区块链、供应链金融、在线教育、电子商务等，异常数字业务活动日志可以是存在攻击隐患的实时活动日志，本领域技术人员可以通过实现设置的适应性规则确定出来，在此不作赘述。
23.进一步地，窗口化活动日志块可以是异常数字业务活动日志的一部分，多个窗口化活动日志块共同构成异常数字业务活动日志。基于此，赛博攻击意向知识可以理解为不同窗口化活动日志块对应的网络攻击意图向量或者网络攻击倾向特征等，可以用知识短语或者字段的形式进行记录。
24.可以理解，为了提高攻击防护的效率，通常需要对异常数字业务活动日志中的不同赛博攻击进行分类处理，然而在传统的技术中，赛博攻击分类拆解中基于两个子模型实现，一个子模型用于识别攻击事件识别核（攻击事件识别核可以理解为攻击事件的识别窗口或者识别区域，攻击事件识别核可以是矩形、圆形、三角形等围合形成的区域，该区域内的日志数据对应相应的攻击事件数据信息），比如可以用core表示，一个子模型用于识别攻击事件识别核中的攻击事件标注内容w，由于每个子模型识别攻击事件识别核和攻击事件识别核中的攻击事件标注内容的性能天花板太低，导致赛博攻击分类拆解的精度和可信度难以满足实际需求。
25.基于此，为了提升不同赛博攻击事件的拆解处理精度和可信度，便于后续针对不同的赛博攻击事件对应的信息集进行差异化攻击防护处理，无需对异常数字业务活动日志进行多次地毯式分析处理，提高攻击防护处理的效率和灵活性，首先在获得到异常数字业务活动日志之后，对获得到异常数字业务活动日志进行赛博攻击意向知识挖掘，得到异常数字业务活动日志的赛博攻击意向知识，对异常数字业务活动日志进行日志块分治处理（比如进行日志块拆分），得到至少一个窗口化活动日志块，根据异常数字业务活动日志的赛博攻击意向知识，确定每个窗口化活动日志块的赛博攻击意向知识。
26.以一些示例来看待，利用densenet挖掘异常数字业务活动日志的赛博攻击意向知识，得到异常数字业务活动日志的赛博攻击意向知识。其中，densenet也可以理解成骨干模型。
27.进一步地，在得到异常数字业务活动日志的赛博攻击意向知识之后，然后用设定ai模型（比如全卷积模型fcn）得到异常数字业务活动日志的若干个窗口化活动日志块，比如，得到异常数字业务活动日志的100个窗口化活动日志块。
28.可以理解的是，在得到异常数字业务活动日志的赛博攻击意向知识和异常数字业务活动日志的至少一个窗口化活动日志块之后，通过设定特征挖掘算法（比如区域特征聚集算法）在异常数字业务活动日志的赛博攻击意向知识的基础上，挖掘出每个窗口化活动日志块的赛博攻击意向知识，从而得到每个窗口化活动日志块的赛博攻击意向知识。
29.步骤102：将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，生成获得异常数字业务活动日志的赛博攻击事件拆解报告；其中，x≥2，且x∈z。
30.在本发明实施例中，攻击事件标注内容可以用于对不同的攻击事件对应的数据信息进行标记，在基于可视化的攻击防护处理过程中，可以通过不同颜色的底纹对不同攻击事件标注内容进行区分，该攻击事件标注内容可以是区域型的范围内容，这样能够实现对异常数字业务活动日志的多元化拆解，得到不同的赛博攻击事件拆解报告。
31.其中，通过步骤101可以得到每个窗口化活动日志块的赛博攻击意向知识，在本发明实施例中，不只是仅仅基于两个子模型实现，而是在两个子模型的基础上每个子模型采用串联连接，比如，x=3，采用3阶串联的两个子模型，比如，第1阶攻击事件识别核识别比如可以用core表示1，第1阶攻击事件识别核中攻击事件标注内容识别视为w1，第2阶攻击事件识别核识别比如可以用core表示2，第2阶攻击事件识别核中攻击事件标注内容识别视为w2，第3阶攻击事件识别核识别比如可以用core表示3，第3阶攻击事件识别核中攻击事件标注内容识别视为w3。其中，core1与core2和w2连接，core2与core3和w3连接。
32.在每一阶进行攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别中，示例性可以基于如下内容实现。
33.对于一些可能的实施例而言，步骤102可以包括如下内容：将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，分别进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，得到每个窗口化活动日志块的攻击事件识别核和每个窗口化活动日志块的攻击事件识别核中的攻击事件标注内容。
34.示例性地，针对每一阶的识别，可以分别执行攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，比如，将每个窗口化活动日志块的赛博攻击意向知识分别加载到core1和w1中，分别执行第1阶攻击事件识别核识别和第1阶攻击事件识别核中的攻击事件标注内容识别，第2阶和第3阶同理，从而可以得到每个窗口化活动日志块的攻击事件识别核和每个窗口化活动日志块的攻击事件识别核中的攻击事件标注内容。
35.对于一些可能的实施例而言，步骤102可以包括如下内容：将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，每一阶遵从先攻击事件识别核识别后攻击事件识别核中的攻击事件标注内容识别的规则，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，得到每个窗口化活动日志块的攻击事件识别核和每个窗口化活动日志块的攻击事件识别核中的攻击事件标注内容。
36.示例性地，针对每一阶中的识别，可以依据优先级高低规则，执行攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，比如，将每个窗口化活动日志块的赛博攻击意向知识分别加载到core1，得到第1阶攻击事件识别核之后，将第1阶攻击事件识别核的赛博攻击意向知识加载到w1中，得到第1阶攻击事件识别核中的攻击事件标注内容，第2阶和第3阶同理，从而可以得到每个窗口化活动日志块的攻击事件识别核和每个窗口化活动日志块的攻击事件识别核中的攻击事件标注内容。
37.换言之，针对每一阶的两个子模型而言，可以分别执行识别，也可以先运行core子模型，得到core子模型的结果，利用core子模型的结果来运行w子模型，换言之，在得到第u阶攻击事件识别核，然后将第u阶攻击事件识别核的赛博攻击意向知识加载到wu，得到第u阶攻击事件识别核中的攻击事件标注内容；如此，通过先后规则的运行思路提高对对攻击事件识别核中的攻击事件标注内容识别的精度和可信度。
38.进一步地，为了提高异常数字业务活动日志进行赛博攻击事件拆解报告的精度和完整性，采用了串联的识别架构，对于一些可能的实施例而言，步骤102可以包括如下技术方案：获得每个窗口化活动日志块的第u-1阶攻击事件识别核，并从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘赛博攻击意向知识；结合从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行第u阶攻击事件识别核识别和第u阶攻击事件识别核中的攻击事件标注内容识别，得到每个窗口化活动日志块的第u阶攻击事件识别核和第u阶攻击事件识别核中的攻击事件标注内容；将u调整为u+1，跳转到获得每个窗口化活动日志块的第u-1阶攻击事件识别核，并从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘赛博攻击意向知识；直到获得每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，将每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，确定为异常数字业务活动日志的赛博攻击事件拆解报告；其中，u不小于1不大于x；响应于u=1，从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识为每个窗口化活动日志块的赛博攻击意向知识。
39.以下为本发明实施例提供的第一种示例性的基于业务智能化的赛博攻击分析方法的介绍，上述赛博攻击分类拆解的思路可以如下内容。
40.x=3，每一阶的两个子模型分别运行，首先经过骨干模型cv和设定特征挖掘算法algorithm得到每个窗口化活动日志块的赛博攻击意向知识，在得到每个窗口化活动日志块的赛博攻击意向知识之后，响应于u=1，将每个窗口化活动日志块的赛博攻击意向知识进行组合池化后加载到core1和w1中，分别进行第1阶攻击事件识别核识别和第1阶攻击事件识别核中的攻击事件标注内容识别，得到第1阶攻击事件识别核和第1阶攻击事件识别核中的攻击事件标注内容，u调整为2，然后，对第1阶攻击事件识别核进行池化，再从第1阶攻击事件识别核中挖掘出赛博攻击意向知识，分别加载到core2和w2，分别进行第2阶攻击事件识别核识别和第2阶攻击事件识别核中的攻击事件标注内容识别，之后，u调整为3，对第2阶攻击事件识别核进行池化，再从第2阶攻击事件识别核中挖掘出赛博攻击意向知识，分别加载到core3和w3，得到第3阶攻击事件识别核和第3阶攻击事件识别核中的攻击事件标注内容；最终将第3阶攻击事件识别核和第3阶攻击事件识别核中的攻击事件标注内容确定为异常数字业务活动日志的赛博攻击事件拆解报告。
41.以下为为本发明实施例提供的第二种示例性的基于业务智能化的赛博攻击分析方法的设计思路，所述赛博攻击分类拆解的思路可以包括如下内容。
42.设x=3，每一阶的两个子模型先后运行，经过骨干模型cv和设定特征挖掘算法algorithm得到每个窗口化活动日志块的赛博攻击意向知识，在得到每个窗口化活动日志块的赛博攻击意向知识之后，响应于u=1，将每个窗口化活动日志块的赛博攻击意向知识进行组合池化后加载到core1，先进行第1阶攻击事件识别核识别，得到第1阶攻击事件识别核，然后，对第1阶攻击事件识别核进行池化，再从第1阶攻击事件识别核中挖掘出赛博攻击意向知识，加载到w1进行第1阶攻击事件识别核中的攻击事件标注内容识别得到第1阶攻击事件识别核中的攻击事件标注内容，u调整为2，将第1阶攻击事件识别核中挖掘出赛博攻击意向知识加载到core2中进行第2阶攻击事件识别核识别得到第2阶攻击事件识别核，然后，对第2阶攻击事件识别核进行池化，再从第2阶攻击事件识别核中挖掘出赛博攻击意向知
识，加载到w2进行第2阶攻击事件识别核中的攻击事件标注内容识别得到第2阶攻击事件识别核中的攻击事件标注内容，u调整为3，将第2阶攻击事件识别核中挖掘出赛博攻击意向知识加载到core3中进行第3阶攻击事件识别核识别得到第3阶攻击事件识别核，最后，对第3阶攻击事件识别核进行池化，再从第3阶攻击事件识别核中挖掘出赛博攻击意向知识，加载到w3中，进行第3阶攻击事件识别核中的攻击事件标注内容识别，得到第3阶攻击事件识别核中的攻击事件标注内容。
43.在实际应用时，为了提高对攻击事件识别核中攻击事件标注内容识别的准确性，对于一些可能的实施例而言，结合从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行第u阶攻击事件识别核中的攻击事件标注内容识别，得到每个窗口化活动日志块的第u阶攻击事件识别核中的攻击事件标注内容，可以包括如下内容：响应于u》1，获得每个窗口化活动日志块的第u-1阶攻击事件识别核，以及获得每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识；结合从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识和每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，进行赛博攻击意向知识拼接得到第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识；根据第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，进行每个窗口化活动日志块的第u阶攻击事件识别核中的攻击事件标注内容识别，得到每个窗口化活动日志块的第u阶攻击事件识别核中的攻击事件标注内容。
44.针对第2阶攻击事件识别核识别和攻击事件识别核中攻击事件标注内容的识别中，不仅是利用每个窗口化活动日志块的前一阶攻击事件识别核中挖掘得到的赛博攻击意向知识，还考虑到每个窗口化活动日志块进行前一阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，将每个窗口化活动日志块的前一阶攻击事件识别核中挖掘得到的赛博攻击意向知识和每个窗口化活动日志块进行前一阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识进行赛博攻击意向知识拼接，得到该阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，然后利用该阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识再进行该阶攻击事件识别核中攻击事件标注内容的识别。
45.进一步地，为了获得到每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，对于一些可能的实施例而言，获得每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，可以包括如下内容：对从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识进行赛博攻击意向知识映射，得到每个窗口化活动日志块的第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量；对第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量进行知识细节提取，得到每个窗口化活动日志块进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识。
46.以下为本发明实施例提供的第三种示例性的基于业务智能化的赛博攻击分析方法的设计思路，所述赛博攻击分类拆解的方法可以包括如下内容。
47.响应于u》1，针对第u阶攻击事件识别核中的攻击事件标注内容识别wu来说，获得到第u-1阶攻击事件识别核的赛博攻击意向知识intention vector，以及获得进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，然后，对第u-1阶攻击事件识别核的赛博攻击意向知识intention vector和进行第u-1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识进行赛博攻击意向知识拼接，得到第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，然后利用4个k*k（比如3*3）的滑动滤波单元（比如卷积层）对第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识进行赛博攻击意向知识映射，得到每个窗口化活动日志块的第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量，再利用1个y*y（比如2*2）的反滑动滤波单元（比如反卷积层）对第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量进行赛博攻击意向知识映射，得到每个窗口化活动日志块第u阶攻击事件识别核中的攻击事件标注内容，并利用1个g*g（比如1*1）的反滑动滤波单元对第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量进行知识细节提炼，得到进行第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识。
48.针对第u+1阶攻击事件识别核中的攻击事件标注内容识别wu+1来说，获得到第u阶攻击事件识别核的赛博攻击意向知识intention vector，以及获得进行第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识，对第u阶攻击事件识别核的赛博攻击意向知识intention vector和进行第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识进行赛博攻击意向知识拼接，得到第u+1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，然后，利用4个k*k的滑动滤波单元对第u+1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识进行赛博攻击意向知识映射，得到每个窗口化活动日志块的第u+1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量，再利用1个y*y的反滑动滤波单元对第u+1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量进行赛博攻击意向知识映射，得到每个窗口化活动日志块进行第u+1阶攻击事件识别核中的攻击事件标注内容，并利用1个g*g的反滑动滤波单元对第u+1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量进行知识细节提炼，得到进行第u+1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识。
49.以下为本发明实施例提供的第四种示例性的基于业务智能化的赛博攻击分析方法的设计思路，所述赛博攻击分类拆解的方法可以包括如下内容。
50.设x=3，每一阶的两个子模型先后运行，首先经过骨干模型cv和设定特征挖掘算法algorithm得到每个窗口化活动日志块的赛博攻击意向知识，在得到每个窗口化活动日志块的赛博攻击意向知识之后，响应于u=1，将每个窗口化活动日志块的赛博攻击意向知识进行组合池化后加载到core1，先进行第1阶攻击事件识别核识别，得到第1阶攻击事件识别核，然后对第1阶攻击事件识别核进行池化，再从第1阶攻击事件识别核中挖掘出赛博攻击意向知识，加载到w1进行第1阶攻击事件识别核中的攻击事件标注内容识别，得到第1阶攻击事件识别核中的攻击事件标注内容，u调整为2，将从第1阶攻击事件识别核中挖掘出赛博攻击意向知识加载到core2中进行第2阶攻击事件识别核的识别得到第2阶攻击事件识别核，然后，对第2阶攻击事件识别核进行池化，再从第2阶攻击事件识别核中挖掘出赛博攻击
意向知识，加载到w2进行第2阶攻击事件识别核中的攻击事件标注内容识别，得到第2阶攻击事件识别核中的攻击事件标注内容，u调整为3，将从第2阶攻击事件识别核中挖掘出赛博攻击意向知识加载到core3进行第3阶攻击事件识别核的识别，得到第3阶攻击事件识别核，在w2中，先用core1输出的赛博攻击意向知识与w1的赛博攻击意向知识（类似于上述进行第1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识）进行赛博攻击意向知识拼接，然后再进行第2阶攻击事件识别核中的攻击事件标注内容识别，得到第2阶攻击事件识别核中的攻击事件标注内容，最后，对第3阶攻击事件识别核进行池化，再从第3阶攻击事件识别核中挖掘出赛博攻击意向知识，加载到w3中，在w3中，先用core2输出的赛博攻击意向知识与w2（类似于上述进行第2阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向知识）的赛博攻击意向知识进行赛博攻击意向知识拼接，然后再进行第3阶攻击事件识别核中的攻击事件标注内容识别，得到第3阶攻击事件识别核中的攻击事件标注内容。
51.可以理解的是，为了得到完成多元回归分析（比如基于类别分析的拆解处理）的赛博攻击意向知识，对于一些可能的实施例而言，在步骤101之后，上述方法还可以包括如下内容：对异常数字业务活动日志的赛博攻击意向知识进行维度变更（比如特征缩放处理）和加权处理，得到完成处理的异常数字业务活动日志的赛博攻击意向知识；对完成处理的异常数字业务活动日志的赛博攻击意向知识进行赛博攻击意向知识映射，得到完成映射的赛博攻击意向知识；对完成映射的赛博攻击意向知识分别进行多元回归分析，得到异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识。
52.以下为本发明实施例提供的第五种示例性的基于业务智能化的赛博攻击分析方法的设计思路，所述赛博攻击分类拆解的方法可以包括如下内容。
53.示例性地，在攻击事件识别核和攻击事件标注内容处理子模型之外，再设置一个信息拆解的子模型，来识别整个日志每个数据成员（组成日志的最小单位）的类别。该子模型可以和上述子模型可以联合使用，并基于联合调试得到。
54.以一些示例来看待，首先将骨干模型的多阶段赛博攻击意向知识关系网（多层特征图）通过5个g*g的滑动滤波单元、维度变更和加权处理得到单阶段赛博攻击意向知识关系网，得到一个拼接了多阶细节的赛博攻击意向知识关系网，然后利用4个k*k的滑动滤波单元进一步进行赛博攻击意向知识映射，在完成映射的赛博攻击意向知识关系网上添加两个子模型，其中一个利用g*g的滑动滤波单元进行信息拆解的识别，另一个利用g*g的滑动滤波单元对赛博攻击意向知识进行知识细节提炼得到完成多元回归分析的赛博攻击意向知识，最后用完成多元回归分析的赛博攻击意向知识、攻击事件识别核及攻击事件识别核中的攻击事件标注内容处理子模型进行赛博攻击意向知识拼接。
55.进一步地，为了提高赛博攻击分类拆解的准确性，对于一些可能的实施例而言，结合从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识和每个窗口化活动日志块进行第u-1阶攻击事件识别核中攻击事件标注内容识别的赛博攻击意向知识，进行赛博攻击意向知识拼接得到第一赛博攻击意向联动知识，可以包括如下内容：根据异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识、从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识和每个窗口化活动日志块进行第u-1阶攻击事件识别核中攻击事件标注内容识别的赛博攻击意向知识，进行
赛博攻击意向知识拼接得到第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识。
56.换言之，将异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识，与从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识和每个窗口化活动日志块进行第u-1阶攻击事件识别核中攻击事件标注内容识别的赛博攻击意向知识进行赛博攻击意向知识拼接，不仅考虑了异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识，得到第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，然后，再用第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识进行攻击事件识别核中的攻击事件标注内容识别，可以提高攻击事件识别核中攻击事件标注内容识别的准确性。
57.对于一些可能的实施例而言，结合从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行第u阶攻击事件识别核识别，得到每个窗口化活动日志块的第u阶攻击事件识别核，可以包括如下内容：根据异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识和从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行赛博攻击意向知识拼接，得到第u阶攻击事件识别核识别的赛博攻击意向联动知识；根据第u阶攻击事件识别核识别的赛博攻击意向联动知识，进行第u阶攻击事件识别核识别，得到每个窗口化活动日志块的第u阶攻击事件识别核。
58.其中，在攻击事件识别核的识别中，先用异常数字业务活动日志的完成多元回归分析的赛博攻击意向知识和从每个窗口化活动日志块的第u-1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行赛博攻击意向知识拼接（特征融合），得到第u阶攻击事件识别核识别的赛博攻击意向联动知识（融合特征），利用第二赛博攻击意向联动知识进行第u阶攻击事件识别核识别，得到每个窗口化活动日志块的第u阶攻击事件识别核，可以提高攻击事件识别核识别的准确性。
59.在另一些实施例下，所述赛博攻击分类拆解的方法可以包括如下内容。
60.设x=3，每一阶的两个子模型先后运行，首先经过骨干模型cv和设定特征挖掘算法algorithm得到每个窗口化活动日志块的赛博攻击意向知识，在得到每个窗口化活动日志块的赛博攻击意向知识之后，响应于u=1，将每个窗口化活动日志块的赛博攻击意向知识进行组合池化后，先将每个窗口化活动日志块的赛博攻击意向知识与信息拆解赛博攻击意向知识进行赛博攻击意向知识拼接，将拼接后的赛博攻击意向知识加载到core1，进行第1阶攻击事件识别核识别，得到第1阶攻击事件识别核，然后对第1阶攻击事件识别核进行池化，再从第1阶攻击事件识别核中挖掘出赛博攻击意向知识，将信息拆解赛博攻击意向知识和从第1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行赛博攻击意向知识拼接，得到第1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，加载到w1中进行识别，得到第1阶攻击事件识别核中的攻击事件标注内容。
61.将u调整为2，将完成多元回归分析的赛博攻击意向知识和从第1阶攻击事件识别核中挖掘得到的赛博攻击意向知识，进行赛博攻击意向知识拼接，得到第1阶攻击事件识别核识别的赛博攻击意向联动知识，加载到core2中进行识别，得到第2阶攻击事件识别核；然后，对第2阶攻击事件识别核进行池化，再从第2阶攻击事件识别核中挖掘出赛博攻击意向知识，将信息拆解赛博攻击意向知识、从第2阶攻击事件识别核中挖掘得到的赛博攻击意向
知识和w1的赛博攻击意向知识，进行赛博攻击意向知识拼接，得到第2阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，加载到w2中进行识别，得到第2阶攻击事件识别核中的攻击事件标注内容。
62.将u调整为3，将第2阶攻击事件识别核的赛博攻击意向知识与信息拆解赛博攻击意向知识进行拼接，得到第2阶攻击事件识别核识别的赛博攻击意向联动知识，加载到core3中进行识别，得到第3阶攻击事件识别核；对第3阶攻击事件识别核进行池化，再从第3阶攻击事件识别核中挖掘出赛博攻击意向知识，将信息拆解赛博攻击意向知识、从第3阶攻击事件识别核中挖掘得到的赛博攻击意向知识和w2的赛博攻击意向知识，进行赛博攻击意向知识拼接，得到第3阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知识，加载到w3中进行识别，得到第3阶攻击事件识别核中的攻击事件标注内容。
63.在本发明实施例提供的一种基于业务智能化的赛博攻击分析方法，赛博攻击分析服务器获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识，将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，生成获得异常数字业务活动日志的赛博攻击事件拆解报告，其中，x≥2，且x∈z；换言之，对于本发明实施例而言，在获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识之后，将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，如此，不仅只对每个窗口化活动日志块的赛博攻击意向知识进行一个处理阶段的攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，而是对每个窗口化活动日志块的赛博攻击意向知识进行x阶的攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，如此，对每个窗口化活动日志块的赛博攻击意向知识进行多轮校对识别攻击事件识别核的分布情况和回归分析可信指数，进而可以显著地提升不同赛博攻击事件的拆解处理精度和可信度，便于后续针对不同的赛博攻击事件对应的信息集进行差异化攻击防护处理，无需对异常数字业务活动日志进行多次地毯式分析处理，提高攻击防护处理的效率和灵活性。
64.在一些可独立的设计思路下，在将所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，确定为异常数字业务活动日志的赛博攻击事件拆解报告并进行缓存之后，该方法还可以包括如下内容：响应于赛博攻击防护指令，对选定的赛博攻击事件拆解报告进行攻击行为预测，得到赛博攻击预测结果；基于所述赛博攻击预测结果生成攻击防护策略。
65.其中，赛博攻击预测结果包括不同类型的攻击方式造成的攻击后果，比如刺探与扫描、拒绝服务、安全漏洞、特洛伊木马、口令入侵等。通过确定赛博攻击预测结果，能够提前部署攻击防护策略并应用，从而提高攻击防护的效率和质量，尽可能保护数据信息安全。
66.在一些可独立的设计思路下，对选定的赛博攻击事件拆解报告进行攻击行为预测，得到赛博攻击预测结果，可以包括如下内容：获取赛博攻击事件拆解报告中每个攻击事件会话信息对应的入侵偏好描述字段以及入侵模式描述字段；利用各攻击事件会话信息的入侵偏好描述字段的向量共性值对所述赛博攻击事件拆解报告执行针对同一攻击预测项目的分团操作，得到至少一个第一分团簇，每个所述第一分团簇包括的攻击事件会话信息
为解析得到的包括同一攻击预测项目的攻击事件会话信息；利用每个所述第一分团簇内各攻击事件会话信息的入侵偏好描述字段和入侵模式描述字段，确定针对每个第一分团簇的向量共性值列表，所述向量共性值列表内的列表成员表示相应的第一分团簇内各攻击事件会话信息之间的向量共性值；基于每个第一分团簇对应的向量共性值列表以及每个第一分团簇内的各攻击事件会话信息的入侵偏好描述字段，对每个第一分团簇内的各攻击事件会话信息进行二次分团，得到至少一个第二分团簇，所述第二分团簇内的攻击事件会话信息为优化解析的具有同一攻击预测项目的攻击事件会话信息；所述基于每个第一分团簇对应的向量共性值列表以及每个第一分团簇内的各攻击事件会话信息的入侵偏好描述字段，对每个第一分团簇内的各攻击事件会话信息进行二次分团，得到至少一个第二分团簇，包括：对每个第一分团簇对应的向量共性值列表进行处理，得到处理后的向量共性值列表；对每个第一分团簇对应的处理后向量共性值列表和第一分团簇内的各攻击事件会话信息的入侵偏好描述字段执行不少于一次分团预测分析，获得针对每个第一分团簇的可信因子列表，所述可信因子列表中的列表成员表示第一分团簇内的各攻击事件会话信息被迁移到该第一分团簇的可信因子；根据第一分团簇内各攻击事件会话信息对应的可信因子对第一分团簇执行二次分团，获得二次分团后的第二分团簇；基于所述第二分团簇进行攻击行为预测，得到赛博攻击预测结果。
67.在一些实施例中，可以结合第二分团簇中的攻击事件会话信息，利用朴素贝叶斯网络进行赛博攻击预测，得到准确可靠的赛博攻击预测结果。
68.应用于上述实施例，可以首先通过攻击事件会话信息中的入侵偏好描述字段对攻击事件会话信息进行第一次分团，而后可以同时利用攻击事件会话信息对应的入侵偏好描述字段和入侵模式描述字段对第一次分团的结果进行分团校正，可以确保相同簇的攻击事件会话信息之间的向量共性值的精度，减少不同簇的攻击事件会话信息之间的向量共性值，提高攻击事件会话信息分团精度，这样可以利用尽可能准确的第二分团簇攻击行为预测。
69.基于同样的发明构思，图2示出了本发明实施例提供的基于业务智能化的赛博攻击分析装置的模块框图，基于业务智能化的赛博攻击分析装置可以包括实施图1所示的相关方法步骤的获取模块21，用于获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识；挖掘模块22，用于将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，利用每一阶攻击事件识别核挖掘得到的赛博攻击意向知识，进行所述每一阶的下一阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，直到获得所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容；拆解模块23，用于将所述每个窗口化活动日志块的第x阶攻击事件识别核和第x阶攻击事件识别核中的攻击事件标注内容，确定为异常数字业务活动日志的赛博攻击事件拆解报告并进行缓存；其中，x≥2，且x∈z。
70.应用于本发明的相关实施例可以达到如下技术效果：赛博攻击分析服务器获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识，将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内
容识别，生成获得异常数字业务活动日志的赛博攻击事件拆解报告，其中，x≥2，且x∈z。换言之，对于本发明实施例而言，在获得异常数字业务活动日志的至少一个窗口化活动日志块，以及每个窗口化活动日志块的赛博攻击意向知识之后，将每个窗口化活动日志块的赛博攻击意向知识加载到包含x个处理阶段的特征金字塔模型fpn中，进行x阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，如此，不仅只对每个窗口化活动日志块的赛博攻击意向知识进行一个处理阶段的攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，而是对每个窗口化活动日志块的赛博攻击意向知识进行x阶的攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别，如此，对每个窗口化活动日志块的赛博攻击意向知识进行多轮校对识别攻击事件识别核的分布情况和回归分析可信指数，进而可以显著地提升不同赛博攻击事件的拆解处理精度和可信度，便于后续针对不同的赛博攻击事件对应的信息集进行差异化攻击防护处理，无需对异常数字业务活动日志进行多次地毯式分析处理，提高攻击防护处理的效率和灵活性。
71.以上所述，仅为本发明的具体实施方式。熟悉本技术领域的技术人员根据本发明提供的具体实施方式，可想到变化或替换，都应涵盖在本发明的保护范围之内。