[0015] 下面介绍本申请一种实施例提供的基于攻击大数据的云端服务应用程序漏洞分析系统10的架构,该基于攻击大数据的云端服务应用程序漏洞分析系统10可以包括安全大数据分析系统100以及与安全大数据分析系统100通信连接的云端服务应用平台200。本实施例中,基于攻击大数据的云端服务应用程序漏洞分析系统10中的安全大数据分析系统100和云端服务应用平台200可以依据配合执行以下方法实施例所描述的基于攻击大数据的云端服务应用程序漏洞分析方法,具体安全大数据分析系统100和云端服务应用平台200的执行步骤部分可以参照图1并结合以下方法实施例的详细描述。
[0016] Process110,依据云端服务应用程序的云端攻击大数据日志,生成所述云端服务应用程序的应用程序薄弱点分布。
[0017] Process120,依据所述云端服务应用程序的应用程序薄弱点分布和所述云端服务应用程序与其它协同服务应用程序之间的攻击活动渗透数据,生成所述云端服务应用程序的协同漏洞数据。
[0018] 其中,攻击活动渗透数据可以用于表示所述云端服务应用程序与其它协同服务应用程序之间在处于攻击活动渗透状态(例如)中的渗透路径数据。
[0019] Process130,依据所述云端服务应用程序的协同漏洞数据,对所述云端服务应用程序所运行的云端应用架构进行漏洞修复优化。
[0020] 其中,协同漏洞数据代表表示该云端服务应用程序存在有效攻击活动渗透的攻击活动渗透实体,这些攻击活动渗透实体可以用于表示攻击活动在对所述云端服务应用程序与其它协同服务应用程序进行渗透攻击时所攻击的程序运行接口,由此可以获取与协同漏洞数据相关联的预先下载的漏洞修复固件数据,并基于漏洞修复固件数据对该云端服务应用程序所运行的云端应用架构进行漏洞修复优化。
[0021] 采用上述实施例的技术方案,本实施例依据云端服务应用程序的云端攻击大数据日志,生成云端服务应用程序的应用程序薄弱点分布,依据云端服务应用程序的应用程序薄弱点分布和云端服务应用程序与其它协同服务应用程序之间的攻击活动渗透数据,生成云端服务应用程序的协同漏洞数据,依据云端服务应用程序的协同漏洞数据,对云端服务应用程序所运行的云端应用架构进行漏洞修复优化。这样在进行薄弱点分析后,还结合了云端服务应用程序与其它协同服务应用程序之间的攻击活动渗透状态进行漏洞分析,据于此对云端服务应用程序所运行的云端应用架构进行漏洞修复优化,增强协同漏洞修复优化的性能。
[0022] 一些非限定性的实施例中,Process110的一种可替代实现方式如下。
[0023] Process101,获取云端服务应用程序的云端攻击大数据日志。
[0024] 一些非限定性的实施例中,云端攻击大数据日志可以是用户在进行业务使用过程中产生的攻击事件数据,例如针对某个业务板块的关注攻击事件数据。
[0025] Process102,对云端攻击大数据日志进行攻击变量挖掘,输出攻击事件基础向量集和攻击事件衍生向量集。
[0026] 一些非限定性的实施例中,云端攻击大数据日志可被提取为“攻击事件基础向量集+攻击事件衍生向量集”的存储架构,其中,上述攻击事件基础向量集代表云端攻击大数据日志指示的攻击事件所关联的威胁实体向量,攻击事件衍生向量集代表云端攻击大数据日志中用于对攻击事件所关联的威胁实体向量进行衍生预测的衍生威胁实体向量。
[0027] Process103,获取云端攻击大数据日志与历史频繁项薄弱点变量之间的第一攻击映射向量集、攻击事件基础向量集与历史攻击事件频繁项的基础变量之间的第二攻击映射向量集、攻击事件衍生向量集与历史攻击事件频繁项的衍生变量之间的第三攻击映射向量集。
[0028] 其中,上述历史频繁项薄弱点变量为应用程序薄弱点分布库中的频繁项薄弱点相关的薄弱点变量,历史攻击事件频繁项的基础变量和历史攻击事件频繁项的衍生变量为构成历史频繁项薄弱点变量的成分变量。一些非限定性的实施例中,应用程序薄弱点分布库中的频繁项薄弱点相关的薄弱点变量为应用程序薄弱点分布关联的标准薄弱点变量。
[0029] 一些非限定性的实施例中,应用程序薄弱点分析模型中包括由目标深度轨迹特征点提取网络构成的深度轨迹特征点提取分支,云端攻击大数据日志、攻击事件基础向量集和攻击事件衍生向量集通过深度轨迹特征点提取分支进行特征提取,确定攻击映射向量集。
[0030] 例如,获取历史频繁项薄弱点变量对应的第一深度轨迹特征点集、历史攻击事件频繁项的基础变量关联的第二深度轨迹特征点集、历史攻击事件频繁项的衍生变量关联的第三深度轨迹特征点集;对云端攻击大数据日志、攻击事件基础向量集和攻击事件衍生向量集分别结合注意力机制进行深度轨迹特征点提取,输出第四深度轨迹特征点集、第五深度轨迹特征点集和第六深度轨迹特征点集;结合第四深度轨迹特征点集和第二深度轨迹特征点集之间的映射关系信息,输出第一攻击映射向量集;结合第五深度轨迹特征点集和第二深度轨迹特征点集之间的映射关系信息,输出第二攻击映射向量集;结合第六深度轨迹特征点集和第三深度轨迹特征点集之间的映射关系信息,输出第三攻击映射向量集。
[0031] 例如,可以通过交叉特征点之间的映射向量,生成攻击映射向量集,还可以通过循环特征点之间的映射向量,生成攻击映射向量集。例如,结合攻击事件交叉特征点和薄弱交叉特征点之间的映射向量,生成第一成分攻击映射向量集;结合攻击事件循环特征点和薄弱循环特征点之间的映射向量,生成第二成分攻击映射向量集;由第一成分攻击映射向量集和第二成分攻击映射向量集确定第一攻击映射向量集。结合基础交叉特征点和基础交叉特征点之间的映射向量,生成第一基础攻击映射向量集;结合基础循环特征点和基础循环特征点之间的映射向量,生成第二基础攻击映射向量集;由第一基础攻击映射向量集和第二基础攻击映射向量集确定第二攻击映射向量集。结合衍生交叉特征点和衍生交叉特征点之间的映射向量,生成第一衍生攻击映射向量集;结合衍生循环特征点和衍生循环特征点之间的映射向量,生成第二衍生攻击映射向量集;由第一衍生攻击映射向量集和第二衍生攻击映射向量集确定第三攻击映射向量集。
[0032] Process104,结合第一攻击映射向量集、第二攻击映射向量集和第三攻击映射向量集确定云端攻击大数据日志与历史频繁项薄弱点变量之间的薄弱点置信度。
[0033] 一些非限定性的实施例中,应用程序薄弱点分析模型中还包括目标全连接输出分支,目标全连接输出分支用于预测云端攻击大数据日志与历史频繁项薄弱点变量每个历史频繁项薄弱点关联的置信度。例如,将第一攻击映射向量集、第二攻击映射向量集和第三攻击映射向量集传递至目标全连接输出分支,生成薄弱点置信度。
[0034] Process105,结合薄弱点置信度,将云端攻击大数据日志传递至历史频繁项薄弱点变量中的目标频繁项薄弱点变量。
[0035] 一些非限定性的实施例中,可以将最大置信度关联的历史频繁项薄弱点作为云端攻击大数据日志与历史频繁项薄弱点变量的目标历史频繁项薄弱点,根据历史频繁项薄弱点变量的目标历史频繁项薄弱点所关联的置信度对所有历史频繁项薄弱点变量进行排序,取置信度最大的历史频繁项薄弱点变量作为上述目标频繁项薄弱点变量,而云端攻击大数据日志与目标频繁项薄弱点变量之间的历史频繁项薄弱点即上述目标历史频繁项薄弱点。
[0036] 采用上述实施例的技术方案,基于攻击大数据的云端服务应用程序漏洞分析方法及系统,通过云端攻击大数据日志和历史频繁项薄弱点变量之间的第一攻击映射向量集、攻击事件基础向量集与历史攻击事件频繁项的基础变量之间的第二攻击映射向量集、攻击事件衍生向量集与历史攻击事件频繁项的衍生变量之间的第三攻击映射向量集,共同确定云端攻击大数据日志与历史频繁项薄弱点变量之间的薄弱点置信度,以从历史频繁项薄弱点变量中确定出目标频繁项薄弱点变量,其中,攻击事件基础向量集和攻击事件衍生向量集由云端攻击大数据日志提取的。即,在确定云端攻击大数据日志与历史频繁项薄弱点变量之间的薄弱点置信度时,考虑了云端攻击大数据日志之间的整体关系和提取数据之间的关系,提高了薄弱点分析的准确性。
[0037] 其中,以上实施例是通过应用程序薄弱点分析模型实现的,应用程序薄弱点分析模型由基础薄弱点分析模型进行模型参数调整输出,基础薄弱点分析模型包括全连接输出分支、基础向量输出分支和衍生向量输出分支,下面介绍基础薄弱点分析模型的模型开发流程,具体包括:Process201,获取攻击范例搜集数据。
[0038] 上述攻击范例搜集数据对应有范例薄弱点数据,攻击范例搜集数据中包括参考云端攻击大数据日志、参考攻击事件基础向量集和参考攻击事件衍生向量集,参考攻击事件基础向量集和参考攻击事件衍生向量集对应表达所述参考云端攻击大数据日志的特征向量。
[0039] 一些非限定性的实施例中,可以预先提取攻击范例搜集数据中的攻击事件基础向量集和攻击事件衍生向量集,以将参考云端攻击大数据日志提取为参考攻击事件基础向量集和参考攻击事件衍生向量集。
[0040] 上述范例薄弱点数据表征参考云端攻击大数据日志在频繁项薄弱点库中关联的标准薄弱点变量,即同样加入训练的参考薄弱点变量。一些非限定性的实施例中,训练数据以数据对形式传递至基础薄弱点分析模型,例如,<参考云端攻击大数据日志,参考攻击事件基础向量集,参考攻击事件衍生向量集;参考薄弱点变量,参考攻击事件基础变量;参考攻击事件衍生变量>。
[0041] Process202,获取参考云端攻击大数据日志与历史频繁项薄弱点变量之间的第一参考攻击映射向量集、参考攻击事件基础向量集与历史攻击事件频繁项的基础变量之间的第二参考攻击映射向量集、参考攻击事件衍生向量集与历史攻击事件频繁项的衍生变量之间的第三参考攻击映射向量集。
[0042] 其中,上述历史频繁项薄弱点变量为应用程序薄弱点分布库中的频繁项薄弱点相关的薄弱点变量,攻击事件基础变量和攻击事件衍生变量为构成历史频繁项薄弱点变量的成分变量。
[0043] Process203,结合第一参考攻击映射向量集、第二参考攻击映射向量集和第三参考攻击映射向量集,生成推定薄弱点数据。
[0044] 例如,将第一参考攻击映射向量集、第二参考攻击映射向量集和第三参考攻击映射向量集传递至全连接输出分支,输出推定薄弱点变量;将第二参考攻击映射向量集传递至基础向量输出分支,输出推定攻击事件基础向量;将第三参考攻击映射向量集传递至衍生向量输出分支,输出推定攻击事件衍生向量,其中,推定薄弱点变量、推定攻击事件基础向量和推定攻击事件衍生向量构成推定薄弱点数据。
[0045] Process204,结合推定薄弱点数据与范例薄弱点数据之间的比较代价值,对初始化薄弱点分析模型进行模型参数调整,输出应用程序薄弱点分析模型。
[0046] 一些非限定性的实施例中,结合推定薄弱点变量与参考薄弱点变量之间的比较代价值,生成第一目标代价值;结合推定攻击事件基础向量与参考攻击事件基础变量之间的比较代价值,生成第二目标代价值;结合推定攻击事件衍生向量与参考攻击事件衍生变量之间的比较代价值,生成第三目标代价值;结合第一目标代价值、第二目标代价值和第三目标代价值对基础薄弱点分析模型进行模型参数调整,输出应用程序薄弱点分析模型。
[0047] 采用上述实施例的技术方案,通过将参考云端攻击大数据日志特征提取后的参考攻击事件基础向量集和参考攻击事件衍生向量集与参考云端攻击大数据日志一起作为基础薄弱点分析模型的训练数据,分别得到关联的参考攻击映射向量集,通过参考云端攻击大数据日志与历史频繁项薄弱点变量之间的第一参考攻击映射向量集、参考攻击事件基础向量集与历史攻击事件频繁项的基础变量之间的第二参考攻击映射向量集、参考攻击事件衍生向量集与历史攻击事件频繁项的衍生变量之间的第三参考攻击映射向量集来确定模型学习信息,最后结合模型学习信息和参考云端攻击大数据日志关联的范例薄弱点数据之间的比较代价值对初始化薄弱点分析模型进行模型参数调整,以得到应用程序薄弱点分析模型。
[0048] 一些非限定性的实施例中,下面介绍确定第一攻击映射向量集、第二攻击映射向量集以及第三攻击映射向量集的具体步骤。
[0049] Process301,获取云端攻击大数据日志关联的攻击事件交叉特征点和攻击事件循环特征点。
[0050] Process302,获取历史频繁项薄弱点变量对应的薄弱交叉特征点和薄弱循环特征点。
[0051] Process303,结合攻击事件交叉特征点和薄弱交叉特征点之间的映射向量,生成第一成分攻击映射向量集。
[0052] Process304,结合攻击事件循环特征点和薄弱循环特征点之间的映射向量,生成第二成分攻击映射向量集。
[0053] Process305,由第一成分攻击映射向量集和第二成分攻击映射向量集确定第一攻击映射向量集。
[0054] 一些非限定性的实施例中,第二攻击映射向量集由基础交叉特征点和基础交叉特征点确定的第一基础攻击映射向量集,以及基础循环特征点和基础循环特征点确定的第二基础攻击映射向量集共同确定,第三攻击映射向量集由衍生交叉特征点和衍生交叉特征点确定的第一衍生攻击映射向量集,以及衍生循环特征点和衍生循环特征点确定的第二衍生攻击映射向量集共同确定,其中,基础交叉特征点和基础交叉特征点之间的执行流程以及衍生交叉特征点和衍生交叉特征点之间的执行流程与Process303相同,基础循环特征点和基础循环特征点之间的执行流程以及衍生循环特征点和衍生循环特征点之间的执行流程与Process304相同,在此不进行赘述。
[0055] 一些非限定性的实施例中,Process120的一种可替代实现方式如下。
[0056] Process301,从所述云端服务应用程序与其它协同服务应用程序之间的攻击活动渗透数据中获取与所述云端服务应用程序的应用程序薄弱点分布存在关系向量的目标攻击活动渗透数据,并获取所述目标攻击活动渗透数据中各攻击活动渗透实体的渗透度量参数。
[0057] 此外,攻击活动渗透实体的渗透度量参数是指与该攻击活动渗透实体存在关联的连通攻击活动渗透实体的连通度,连通攻击活动渗透实体是指与该攻击活动渗透实体具有渗透协同信息的攻击活动渗透实体。
[0058] Process302,依据各攻击活动渗透实体的渗透度量参数从目标攻击活动渗透数据中确定关键攻击活动渗透实体集。
[0059] 一些非限定性的实施例中,主要是对目标攻击活动渗透数据中各攻击活动渗透实体的渗透有效值进行分析。渗透有效值是用来判断攻击活动渗透实体在整个目标攻击活动渗透数据中的渗透状态的指标之一。一个攻击活动渗透数据的P组攻击活动渗透实体集,是指从该攻击活动渗透数据中反复去除渗透度量参数小于等于P的攻击活动渗透实体后,所候选的攻击活动渗透实体集,换言之将攻击活动渗透数据L中渗透度量参数小于P的攻击活动渗透实体全部移除,得到攻击活动渗透实体集M;将攻击活动渗透数据M中渗透度量参数小于P的攻击活动渗透实体全部移除,得到新攻击活动渗透实体集Mt,…,以此类推,直至成分攻击活动渗透实体集中每个攻击活动渗透实体的渗透度量参数都大于P时终止,得到该攻击活动渗透数据L的P组攻击活动渗透实体集。攻击活动渗透实体的渗透有效值,定义为该攻击活动渗透实体关联的最大组攻击活动渗透实体集,即若一个攻击活动渗透实体存在于y组攻击活动渗透实体集中,而在(y+1)组攻击活动渗透实体集中被移除,那么该攻击活动渗透实体的渗透有效值为y。
[0060] 例如,2组攻击活动渗透实体集就是先从攻击活动渗透数据中移除所有渗透度量参数小于2的攻击活动渗透实体,然后再从余下的攻击活动渗透数据中移除渗透度量参数小于2的攻击活动渗透实体,依次类推,直到不能移除为止,得到2组攻击活动渗透实体集;3组就是先从攻击活动渗透数据中移除所有渗透度量参数小于3的攻击活动渗透实体,然后再从余下的攻击活动渗透数据中移除渗透度量参数小于3的攻击活动渗透实体,依次类推,直到不能移除为止,得到该攻击活动渗透数据的3组攻击活动渗透实体集。若一个攻击活动渗透实体最多在5组攻击活动渗透实体集而不在6组攻击活动渗透实体集中,那么该攻击活动渗透实体的渗透有效值为5。
[0061] 依据上面的分析可知,渗透有效值大于P的攻击活动渗透实体该攻击活动渗透实体的渗透度量参数必然大于P。因此,可以通过设置一个设定有效值,依据各攻击活动渗透实体的渗透度量参数和该设定有效值将原本的目标攻击活动渗透数据汇总为关键攻击活动渗透实体集和候选攻击活动渗透实体集两部分,然后依次分析出其中各攻击活动渗透实体的渗透有效值。其中,关键攻击活动渗透实体集中各攻击活动渗透实体的渗透度量参数必然是大于该设定有效值的,但目标攻击活动渗透数据中渗透度量参数大于该设定有效值的攻击活动渗透实体并不一定必然存在于该关键攻击活动渗透实体集中。
[0062] 一些非限定性的实施例中,依据各攻击活动渗透实体的渗透度量参数和设定有效值从目标攻击活动渗透数据中确定关键攻击活动渗透实体集,包括:获取设定有效值;从目标攻击活动渗透数据中移除渗透度量参数小于等于设定有效值的攻击活动渗透实体及攻击活动渗透实体关联的渗透协同信息,依据目标攻击活动渗透数据中成分攻击活动渗透实体及成分攻击活动渗透实体之间的渗透协同信息获得关键攻击活动渗透实体集。
[0063] 一些非限定性的实施例中,依据设定有效值,从历史目标攻击活动渗透数据中过滤掉渗透度量参数小于该设定有效值及等于该设定有效值的攻击活动渗透实体,即得到关键攻击活动渗透实体集,输出的该关键攻击活动渗透实体集中所有攻击活动渗透实体的渗透度量参数都大于该设定有效值。
[0064] Process303,结合关键攻击活动渗透实体集,生成目标攻击活动渗透数据中的关注攻击活动渗透实体及关注攻击活动渗透实体的渗透有效值。
[0065] 其中,关注攻击活动渗透实体是从关键攻击活动渗透实体集中分析出的渗透有效值大于设定有效值的攻击活动渗透实体。安全大数据分析系统从目标攻击活动渗透数据中确定关键攻击活动渗透实体集后,先对关键攻击活动渗透实体集进行分析,生成其中的关注攻击活动渗透实体及关注攻击活动渗透实体的渗透有效值。
[0066] 一些非限定性的实施例中,由于候选攻击活动渗透实体集中各攻击活动渗透实体的渗透度量参数是小于设定有效值的,所以候选攻击活动渗透实体集中各攻击活动渗透实体不会对关键攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值存在影响,那么,安全大数据分析系统可以直接关注关键攻击活动渗透实体集,对关键攻击活动渗透实体集进行分析,依据关键攻击活动渗透实体集中各攻击活动渗透实体的渗透度量参数确定各攻击活动渗透实体的渗透有效值,将渗透有效值大于设定有效值的攻击活动渗透实体作为目标攻击活动渗透数据中的关注攻击活动渗透实体。
[0067] 一些非限定性的实施例中,安全大数据分析系统可以直接对关键攻击活动渗透实体集进行数据挖掘,从关键攻击活动渗透实体集中分析出渗透有效值大于设定有效值的关注攻击活动渗透实体。一些非限定性的实施例中,按照P=1,P=2,…,P处等于设定有效值,从该关键攻击活动渗透实体集中反复去除渗透度量参数小于等于P的攻击活动渗透实体,得到P组攻击活动渗透实体集,从而确定关键攻击活动渗透实体集中各攻击活动渗透实体所在最大渗透有效值的攻击活动渗透实体集,从而确定各攻击活动渗透实体的渗透有效值,将其中渗透有效值大于设定有效值的攻击活动渗透实体作为关注攻击活动渗透实体。
[0068] 一些非限定性的实施例中,安全大数据分析系统可以在对关键攻击活动渗透实体集进行游走时,在当前游走流程中,依据攻击活动渗透实体前次游走后各连通攻击活动渗透实体的渗透关注值调整相应攻击活动渗透实体的当前游走流程的渗透有效值。并且,由于一个攻击活动渗透实体不会影响渗透有效值大于该攻击活动渗透实体的其他攻击活动渗透实体的渗透有效值的确定,因此,在本轮游走优化各攻击活动渗透实体的渗透有效值后,安全大数据分析系统还可以将优化后渗透有效值大于设定有效值的攻击活动渗透实体继续参与下次游走,优化后渗透有效值小于等于设定有效值的攻击活动渗透实体不再参与下次游走,这样就可以分析出关键攻击活动渗透实体集中渗透有效值大于设定有效值的攻击活动渗透实体。
[0069] 一些非限定性的实施例中,攻击活动渗透实体的所有连通攻击活动渗透实体的渗透关注值,可以是AT系数,一个攻击活动渗透实体的AT系数如果是AT,就说明这个攻击活动渗透实体至少有AT个连通攻击活动渗透实体,并且这AT个连通攻击活动渗透实体的渗透度量参数都不小于AT。例如,若攻击活动渗透实体满足连通攻击活动渗透实体中存在AT个连通攻击活动渗透实体的当前渗透有效值大于或等于AT,且不满足存在AT+1个连通攻击活动渗透实体的当前渗透有效值大于或等于AT+1时,则确定攻击活动渗透实体关联的渗透关注值为AT,其中AT为正整数。
[0070] 一些非限定性的实施例中,结合关键攻击活动渗透实体集,生成目标攻击活动渗透数据中的关注攻击活动渗透实体及关注攻击活动渗透实体的渗透有效值,可以通过下述可替代的实施例执行。
[0071] Process401,依据各攻击活动渗透实体在关键攻击活动渗透实体集中连通攻击活动渗透实体的连通度,输出各攻击活动渗透实体在关键攻击活动渗透实体集的渗透度量参数,将在关键攻击活动渗透实体集中的渗透度量参数作为相应攻击活动渗透实体最初的当前渗透有效值。
[0072] 一些非限定性的实施例中,安全大数据分析系统在对关键攻击活动渗透实体集进行分析时,可以依据关键攻击活动渗透实体集中各攻击活动渗透实体在该关键攻击活动渗透实体集中的渗透度量参数来重置各攻击活动渗透实体的渗透有效值,作为最初的当前渗透有效值。
[0073] Process402,游走执行对于关键攻击活动渗透实体集中的每个攻击活动渗透实体,依据攻击活动渗透实体在关键攻击活动渗透实体集中的连通攻击活动渗透实体的当前渗透有效值,生成攻击活动渗透实体关联的渗透关注值;当渗透关注值小于等于设定有效值时,从关键攻击活动渗透实体集中移除攻击活动渗透实体;当渗透关注值大于设定有效值且小于攻击活动渗透实体的当前渗透有效值时,则依据攻击活动渗透实体的渗透关注值调整攻击活动渗透实体的当前渗透有效值的步骤,直至当前游走流程中关键攻击活动渗透实体集中各攻击活动渗透实体的当前渗透有效值均未被调整时终止游走。
[0074] 一些非限定性的实施例中,在每轮游走流程中,安全大数据分析系统都需要对关键攻击活动渗透实体集中的每个攻击活动渗透实体都需要进行处理。对关键攻击活动渗透实体集中的每个攻击活动渗透实体,依据其连通攻击活动渗透实体的当前渗透有效值,即上一轮游走流程后所有连通攻击活动渗透实体的渗透有效值,生成该攻击活动渗透实体关联的渗透关注值,若攻击活动渗透实体的渗透关注值小于等于设定有效值,则该攻击活动渗透实体不会影响渗透有效值大于该攻击活动渗透实体的其他攻击活动渗透实体的渗透有效值的确定,则该攻击活动渗透实体无需参与后续的游走流程,可以从关键攻击活动渗透实体集中移除该攻击活动渗透实体;若攻击活动渗透实体的渗透关注值大于设定有效值且小于攻击活动渗透实体的当前渗透有效值,则依据该渗透关注值调整该攻击活动渗透实体的当前渗透有效值,并且该攻击活动渗透实体还需要继续参与后续的游走流程。
[0075] 游走终止条件,是当前游走流程中,关键攻击活动渗透实体集中余下的所有攻击活动渗透实体的当前渗透有效值均未发生变化。例如,依据攻击活动渗透实体的连通攻击活动渗透实体在前次游走的渗透有效值确定得到的渗透关注值与该攻击活动渗透实体的当前渗透有效值一致时,则该攻击活动渗透实体的渗透有效值不会被调整,若关键攻击活动渗透实体集中余下的所有攻击活动渗透实体的当前渗透有效值在当前游走流程中均未被调整,则终止游走。
[0076] 其中,由于每轮游走流程中会移除关键攻击活动渗透实体集中渗透关注值小于等于设定有效值的攻击活动渗透实体,因此游走流程中关键攻击活动渗透实体集也是动态变化的,从而关键攻击活动渗透实体集中每个攻击活动渗透实体的连通攻击活动渗透实体也是不断变化的,所以在依据每个攻击活动渗透实体的连通攻击活动渗透实体的当前渗透有效值确定其渗透关注值时,应当依据该攻击活动渗透实体在当前的关键攻击活动渗透实体集中的连通攻击活动渗透实体的当前渗透有效值来确定,而非依据该攻击活动渗透实体在最初的关键攻击活动渗透实体集中的连通攻击活动渗透实体的当前渗透有效值来确定,可以进一步减少计算工作量。
[0077] 一些非限定性的实施例中,本轮游走后若计算得到攻击活动渗透实体的渗透关注值小于等于设定有效值,则安全大数据分析系统可以将该攻击活动渗透实体汇总为非关注攻击活动渗透实体,那么被汇总为非关注攻击活动渗透实体的攻击活动渗透实体将不再参与下次游走流程。
[0078] 一些非限定性的实施例中,上述方法还包括:在本轮游走终止后,提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体;提取的攻击活动渗透实体表征在下次游走触发时,将提取的攻击活动渗透实体在关键攻击活动渗透实体集中的连通攻击活动渗透实体,作为下次游走流程中需要重新确定渗透关注值的目标攻击活动渗透实体;对于关键攻击活动渗透实体集中的每个攻击活动渗透实体,依据攻击活动渗透实体在关键攻击活动渗透实体集中的连通攻击活动渗透实体的当前渗透有效值,生成攻击活动渗透实体关联的渗透关注值,包括:对于关键攻击活动渗透实体集中的目标攻击活动渗透实体,依据目标攻击活动渗透实体在关键攻击活动渗透实体集中的连通攻击活动渗透实体的当前渗透有效值,生成目标攻击活动渗透实体关联的渗透关注值。
[0079] 一些非限定性的实施例中,通过提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体,就可以直接确定下次游走流程中需要重新确定渗透有效值的攻击活动渗透实体。当某一个攻击活动渗透实体的渗透有效值被调整后,该攻击活动渗透实体将会影响其连通攻击活动渗透实体的渗透有效值的确定,因此,当前游走流程终止后,提取这些渗透有效值被调整的攻击活动渗透实体,在下次游走触发时,从关键攻击活动渗透实体集中候选的攻击活动渗透实体中游走出这些攻击活动渗透实体的连通攻击活动渗透实体,作为下次游走流程需要重新确定渗透有效值的攻击活动渗透实体,可以避免对关键攻击活动渗透实体集中所有攻击活动渗透实体重新确定渗透有效值,提升分析效率。其中,这些当前渗透有效值被调整的攻击活动渗透实体的连通攻击活动渗透实体不包括已经从关键攻击活动渗透实体集中移除的攻击活动渗透实体。
[0080] 一些非限定性的实施例中,上述方法还包括:在当前游走流程开始时,重置攻击活动渗透实体的被调整次数为零,攻击活动渗透实体的被调整次数用于提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度;统计当前游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度;依据连通度优化攻击活动渗透实体的被调整次数;在当前游走流程终止时,攻击活动渗透实体的被调整次数为非零,则继续下一轮游走流程;在当前游走流程终止时,攻击活动渗透实体的被调整次数为零,则终止游走。
[0081] 在一些非限定性的实施例中,在分析关键攻击活动渗透实体集的过程中,可以依据一个标记,来提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度。安全大数据分析系统可以设置一个用于提取每轮游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度,在当前游走流程开始时,将这个标记置为0,对于参与本轮游走的攻击活动渗透实体,每当一个攻击活动渗透实体的渗透有效值被调整了,则该标记+1,那么,本轮游走终止后,若该标记不为0,说明当前游走流程中存在渗透有效值被调整的攻击活动渗透实体,则需要继续游走,若该标记为0,说明本轮游走的整个过程中都不存在渗透有效值被调整的攻击活动渗透实体,整个游走流程结束。
[0082] Process403,将终止游走时获得的关键攻击活动渗透实体集中的攻击活动渗透实体作为关注攻击活动渗透实体,并将终止游走时关注攻击活动渗透实体的当前渗透有效值作为关注攻击活动渗透实体关联的渗透有效值。
[0083] 由于游走完成后关键攻击活动渗透实体集中候选的攻击活动渗透实体的渗透有效值都是大于设定有效值的,因此可以将这些攻击活动渗透实体称为关注攻击活动渗透实体。关注攻击活动渗透实体的渗透有效值即为该攻击活动渗透实体在整个历史的目标攻击活动渗透数据中的渗透有效值。
[0084] 一些非限定性的实施例中中,生成关键攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值的过程如下:1)、依据关键攻击活动渗透实体集中各攻击活动渗透实体在该关键攻击活动渗透实体集中连通攻击活动渗透实体的连通度,生成关键攻击活动渗透实体集中各攻击活动渗透实体的渗透度量参数,用渗透度量参数来重置各攻击活动渗透实体的当前渗透有效值;
2)、用零重置Connected,Connected表示每轮游走中渗透有效值被调整的攻击活动渗透实体的连通度;
3)、对关键攻击活动渗透实体集中的每个攻击活动渗透实体,依据其连通攻击活动渗透实体的当前渗透有效值确定渗透关注值,该攻击活动渗透实体的连通攻击活动渗透实体是该攻击活动渗透实体在关键攻击活动渗透实体集中的且已过滤掉非关注状态的攻击活动渗透实体。当渗透关注值小于等于设定有效值时,将该攻击活动渗透结果为非关注状态;当渗透关注值大于设定有效值且小于攻击活动渗透实体当前渗透有效值时,依据渗透关注值调整该攻击活动渗透实体的当前渗透有效值,且Connected+1;
4)、当Connected不为0时,重复第2)‑3)步;否则终止游走,此时关键攻击活动渗透实体集中状态没有被汇总为非关注状态的攻击活动渗透实体的当前渗透有效值即为该攻击活动渗透实体在整个历史的目标攻击活动渗透数据中的渗透有效值,没有被汇总为非关注状态的攻击活动渗透实体为该目标攻击活动渗透数据中的关注攻击活动渗透实体。
[0085] 在一些非限定性的实施例中,结合渗透关注值对关键攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值进行确定,并对每次游走确定得到的渗透有效值与设定有效值进行比较,只有当游走确定的渗透有效值大于设定有效值时,该攻击活动渗透实体才继续进行游走,反之则不再参与后续游走,能够提升对关键攻击活动渗透实体集的分析效率。
[0086] Process304,依据目标攻击活动渗透数据中除关注攻击活动渗透实体之外的攻击活动渗透实体及攻击活动渗透实体之间的渗透协同信息,输出目标攻击活动渗透数据中的候选攻击活动渗透实体集。
[0087] 一些非限定性的实施例中,安全大数据分析系统确定了目标攻击活动渗透数据中的关注攻击活动渗透实体后,目标攻击活动渗透数据中除关注攻击活动渗透实体之外的成分攻击活动渗透实体的渗透有效值是小于等于设定有效值的,将这些攻击活动渗透实体及其之间构成的渗透协同信息称为候选攻击活动渗透实体集。
[0088] 一些非限定性的实施例中,依据目标攻击活动渗透数据中除关注攻击活动渗透实体之外的攻击活动渗透实体及攻击活动渗透实体之间的渗透协同信息,输出目标攻击活动渗透数据中的候选攻击活动渗透实体集,包括:从目标攻击活动渗透数据中移除关注攻击活动渗透实体;依据移除关注攻击活动渗透实体后成分攻击活动渗透实体及成分攻击活动渗透实体之间的渗透协同信息,输出候选攻击活动渗透实体集。
[0089] Process305,结合候选攻击活动渗透实体集和关注攻击活动渗透实体,生成候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值。
[0090] 候选攻击活动渗透实体集中各攻击活动渗透实体关联的渗透有效值的确定同样遵循上述渗透关注值游走的方法,但由于关注攻击活动渗透实体会对候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值的确定产生影响,所以在游走流程中还需要考虑关注攻击活动渗透实体对候选攻击活动渗透实体集中攻击活动渗透实体的渗透有效值的变化值大小。安全大数据分析系统在获得目标攻击活动渗透数据中的候选攻击活动渗透实体集和关注攻击活动渗透实体后,可以结合该候选攻击活动渗透实体集和关注攻击活动渗透实体确定该候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值。
[0091] 一些非限定性的实施例中,安全大数据分析系统可以对候选攻击活动渗透实体集进行数据挖掘,从候选攻击活动渗透实体集中分析出各攻击活动渗透实体的渗透有效值。一些非限定性的实施例中,按照P=1,P=2,…,P处等于设定有效值,从该候选攻击活动渗透实体集中反复去除渗透度量参数小于等于P的攻击活动渗透实体,得到P组攻击活动渗透实体集,从而确定候选攻击活动渗透实体集中各攻击活动渗透实体所在最大渗透有效值的攻击活动渗透实体集,从而确定各攻击活动渗透实体的渗透有效值。
[0092] 一些非限定性的实施例中,安全大数据分析系统还可以在对候选攻击活动渗透实体集进行游走时,在当前游走流程中,依据攻击活动渗透实体前次游走后,该攻击活动渗透实体在目标攻击活动渗透数据中各连通攻击活动渗透实体的渗透关注值调整相应攻击活动渗透实体的当前游走流程的渗透有效值。
[0093] 一些非限定性的实施例中,攻击活动渗透实体的所有连通攻击活动渗透实体的渗透关注值,可以是AT系数,一个攻击活动渗透实体的AT系数如果是AT,就说明这个攻击活动渗透实体至少有AT个连通攻击活动渗透实体,并且这AT个连通攻击活动渗透实体的渗透度量参数都不小于AT。例如,若攻击活动渗透实体满足连通攻击活动渗透实体中存在AT个连通攻击活动渗透实体的当前渗透有效值大于或等于AT,且不满足存在AT+1个连通攻击活动渗透实体的当前渗透有效值大于或等于AT+1时,则确定攻击活动渗透实体关联的渗透关注值为AT,其中AT为正整数。
[0094] 一些非限定性的实施例中,结合候选攻击活动渗透实体集和关注攻击活动渗透实体,生成候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值,可以通过下述可替代的实施例执行。
[0095] Process501,依据候选攻击活动渗透实体集中各攻击活动渗透实体在历史的目标攻击活动渗透数据中连通攻击活动渗透实体的连通度,重置候选攻击活动渗透实体集中各攻击活动渗透实体的当前渗透有效值。
[0096] 一些非限定性的实施例中,安全大数据分析系统在对候选攻击活动渗透实体集进行分析时,可以依据候选攻击活动渗透实体集中各攻击活动渗透实体在历史的目标攻击活动渗透数据中的渗透度量参数来重置各攻击活动渗透实体的渗透有效值,作为最初的当前渗透有效值。
[0097] 例如,在确定候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值时,每轮游走流程中,不仅要考虑候选攻击活动渗透实体集中的攻击活动渗透实体对其的影响,还需要考虑关注攻击活动渗透实体对其的影响,所以需要考虑关注攻击活动渗透实体对其渗透度量参数的变化值大小,换言之将攻击活动渗透实体在候选攻击活动渗透实体集中的渗透度量参数与该攻击活动渗透实体与关注攻击活动渗透实体相连的连通度之和来重置该攻击活动渗透实体的当前渗透有效值,实际上换言之该攻击活动渗透实体在历史的目标攻击活动渗透数据中的渗透度量参数。
[0098] 一些非限定性的实施例中,依据前述方案,关注攻击活动渗透实体的渗透有效值已经确定,关注攻击活动渗透实体的渗透有效值都是大于设定有效值的,而候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值都是小于等于设定有效值的,所以,在确定候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值时,若需要用到关注攻击活动渗透实体的渗透有效值,可以将关注攻击活动渗透实体的渗透有效值均设置为设定有效值,也可以设置为任意大于设定有效值的值,还可以直接使用按前述步骤所确定的关注攻击活动渗透实体的渗透有效值,上述不同方式的设置不会影响对候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值的确定结果。
[0099] Process502,游走执行对于候选攻击活动渗透实体集中的每个攻击活动渗透实体,依据攻击活动渗透实体在目标攻击活动渗透数据中的连通攻击活动渗透实体的当前渗透有效值,生成攻击活动渗透实体关联的渗透关注值;当渗透关注值小于攻击活动渗透实体的当前渗透有效值时,则依据攻击活动渗透实体的渗透关注值调整攻击活动渗透实体的当前渗透有效值的步骤,直至当前游走流程中候选攻击活动渗透实体集中各攻击活动渗透实体的当前渗透有效值均未被调整时终止游走。
[0100] 一些非限定性的实施例中,在每轮游走流程中,安全大数据分析系统都需要对候选攻击活动渗透实体集中的每个攻击活动渗透实体都需要进行处理。对候选攻击活动渗透实体集中的每个攻击活动渗透实体,依据其在目标攻击活动渗透数据中的连通攻击活动渗透实体的当前渗透有效值,即上一轮游走流程后所有连通攻击活动渗透实体的渗透有效值,生成该攻击活动渗透实体关联的渗透关注值。其中,若连通攻击活动渗透实体包括关注攻击活动渗透实体,关注攻击活动渗透实体的渗透有效值在前述步骤已经确定,所以在候选攻击活动渗透实体集的游走流程中,关注攻击活动渗透实体的渗透有效值都不用参与更新。若攻击活动渗透实体的渗透关注值小于攻击活动渗透实体的当前渗透有效值,则依据该渗透关注值调整该攻击活动渗透实体的当前渗透有效值。
[0101] 游走终止条件,是当前游走流程中,候选攻击活动渗透实体集中所有攻击活动渗透实体的当前渗透有效值均未发生变化。例如,依据攻击活动渗透实体的连通攻击活动渗透实体在前次游走的渗透有效值确定得到的渗透关注值与该攻击活动渗透实体当前渗透有效值一致时,则该攻击活动渗透实体的渗透有效值不会被调整,若候选攻击活动渗透实体集中所有攻击活动渗透实体的当前渗透有效值在当前游走流程中均未被调整,则终止游走。
[0102] 一些非限定性的实施例中,上述方法还包括:在本轮游走终止后,提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体;提取的攻击活动渗透实体表征在下次游走触发时,将提取的攻击活动渗透实体在候选攻击活动渗透实体集中的连通攻击活动渗透实体,作为下次游走流程中需要重新确定渗透关注值的目标攻击活动渗透实体;对于候选攻击活动渗透实体集中的每个攻击活动渗透实体,依据攻击活动渗透实体在目标攻击活动渗透数据中的连通攻击活动渗透实体的当前渗透有效值,生成攻击活动渗透实体关联的渗透关注值,包括:对于候选攻击活动渗透实体集中的目标攻击活动渗透实体,依据目标攻击活动渗透实体在目标攻击活动渗透数据中的连通攻击活动渗透实体的当前渗透有效值,生成目标攻击活动渗透实体关联的渗透关注值。
[0103] 一些非限定性的实施例中,通过提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体,就可以直接确定下次游走流程中需要重新确定渗透有效值的攻击活动渗透实体。当某一个攻击活动渗透实体的渗透有效值被调整后,该攻击活动渗透实体将会影响其连通攻击活动渗透实体的渗透有效值的确定,因此,当前游走流程终止后,提取这些渗透有效值被调整的攻击活动渗透实体,在下次游走触发时,从候选攻击活动渗透实体集中游走出这些攻击活动渗透实体的连通攻击活动渗透实体,作为下次游走流程需要重新确定渗透有效值的攻击活动渗透实体,可以避免对候选攻击活动渗透实体集中所有攻击活动渗透实体重新确定渗透有效值,提升分析效率。其中,生成当前渗透有效值被调整的攻击活动渗透实体的连通攻击活动渗透实体后,连通攻击活动渗透实体中若包括关注攻击活动渗透实体,则关注攻击活动渗透实体不需要重新确定渗透有效值。
[0104] 一些非限定性的实施例中,上述方法还包括:在当前游走流程开始时,重置攻击活动渗透实体的被调整次数为零,攻击活动渗透实体的被调整次数用于提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度;统计当前游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度;依据连通度优化攻击活动渗透实体的被调整次数;在当前游走流程终止时,攻击活动渗透实体的被调整次数为非零,则继续下一轮游走流程;在当前游走流程终止时,攻击活动渗透实体的被调整次数为零,则终止游走。
[0105] 在一些非限定性的实施例中,在分析候选攻击活动渗透实体集的过程中,可以依据一个标记,来提取当前游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度。安全大数据分析系统可以设置一个用于提取每轮游走流程中当前渗透有效值被调整的攻击活动渗透实体的连通度,在当前游走流程开始时,将这个标记置为0,对于参与本轮游走的攻击活动渗透实体,每当一个攻击活动渗透实体的渗透有效值被调整了,则该标记+1,那么,本轮游走终止后,若该标记不为0,说明当前游走流程中存在渗透有效值被调整的攻击活动渗透实体,则需要继续游走,若该标记为0,说明本轮游走的整个过程中都不存在渗透有效值被调整的攻击活动渗透实体,整个游走流程结束。
[0106] Process503,将终止游走时攻击活动渗透实体的当前渗透有效值作为攻击活动渗透实体关联的渗透有效值。
[0107] 游走完成后,候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值即为该攻击活动渗透实体在整个历史的目标攻击活动渗透数据中的渗透有效值。
[0108] 一些非限定性的实施例中中,生成候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值的过程如下:A1、确定候选攻击活动渗透实体集中各攻击活动渗透实体的渗透度量参数;
A2、对候选攻击活动渗透实体集中的各攻击活动渗透实体,统计其与关注攻击活动渗透实体相连的个数q,用q值与其渗透度量参数之和重置该攻击活动渗透实体的当前渗透有效值;
A3、用零重置Connected,Connected表示每轮游走中渗透有效值被调整的攻击活动渗透实体的连通度;
A4、对候选攻击活动渗透实体集中的每个攻击活动渗透实体,依据其连通攻击活动渗透实体的当前渗透有效值确定渗透关注值。这里的关联集合指的是攻击活动渗透实体在历史的目标攻击活动渗透数据的连通攻击活动渗透实体,例如,连通攻击活动渗透实体不仅包括候选攻击活动渗透实体集中的攻击活动渗透实体,也可能包括关注攻击活动渗透实体。当渗透关注值小于攻击活动渗透实体的当前渗透有效值时,依据渗透关注值调整该攻击活动渗透实体的当前渗透有效值,且Connected+1。
[0109] A5、当Connected不为0时,重复第A3‑A4;否则终止游走,此时候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值即为各攻击活动渗透实体在整个历史的目标攻击活动渗透数据中的渗透有效值。
[0110] 由于候选攻击活动渗透实体集中的各攻击活动渗透实体不会对关键攻击活动渗透实体集中的攻击活动渗透实体产生影响,因此针对关键攻击活动渗透实体集,直接确定其中的关注攻击活动渗透实体及关注攻击活动渗透实体关联的渗透有效值,接着将目标攻击活动渗透数据中除该关注攻击活动渗透实体及关注攻击活动渗透实体之间的渗透协同信息外候选的部分构成候选攻击活动渗透实体集,考虑到关键攻击活动渗透实体集中的关注攻击活动渗透实体会对其中的攻击活动渗透实体产生影响,因此针对该候选攻击活动渗透实体集,需要依据候选攻击活动渗透实体集本身及关键攻击活动渗透实体集中的关注攻击活动渗透实体来确定该候选攻击活动渗透实体集中各攻击活动渗透实体的渗透有效值。分析出目标攻击活动渗透数据中各攻击活动渗透实体的渗透有效值之后,渗透有效值可作为相应攻击活动渗透实体的特征生成相应的协同漏洞数据用于其他的业务处理分析。
[0111] 一些非限定性的实施例中中,上述针对云计算环境的信息安全处理方法可以包括以下步骤。
[0112] Process601,获取目标攻击活动渗透数据。
[0113] Process602,生成目标攻击活动渗透数据中各攻击活动渗透实体的连通攻击活动渗透实体的连通度。
[0114] Process603,将连通攻击活动渗透实体的连通度作为相应攻击活动渗透实体的渗透度量参数。
[0115] Process604,获取设定有效值。
[0116] Process605,从目标攻击活动渗透数据中移除渗透度量参数小于等于设定有效值的攻击活动渗透实体及攻击活动渗透实体关联的渗透协同信息,依据目标攻击活动渗透数据中成分攻击活动渗透实体及成分攻击活动渗透实体之间的渗透协同信息获得关键攻击活动渗透实体集。
[0117] Process606,依据各攻击活动渗透实体在关键攻击活动渗透实体集中连通攻击活动渗透实体的连通度,输出各攻击活动渗透实体在关键攻击活动渗透实体集的渗透度量参数,将在关键攻击活动渗透实体集中的渗透度量参数作为相应攻击活动渗透实体最初的当前渗透有效值。
[0118] Process607,游走执行对于关键攻击活动渗透实体集中的每个攻击活动渗透实体,依据攻击活动渗透实体在关键攻击活动渗透实体集中的连通攻击活动渗透实体的当前渗透有效值,生成攻击活动渗透实体关联的渗透关注值;当渗透关注值小于等于设定有效值时,从关键攻击活动渗透实体集中移除攻击活动渗透实体;当渗透关注值大于设定有效值且小于攻击活动渗透实体的当前渗透有效值时,则依据攻击活动渗透实体的渗透关注值调整攻击活动渗透实体的当前渗透有效值的步骤,直至当前游走流程中关键攻击活动渗透实体集中各攻击活动渗透实体的当前渗透有效值均未被调整时终止游走。
[0119] Process608,将终止游走时获得的关键攻击活动渗透实体集中的攻击活动渗透实体作为关注攻击活动渗透实体,并将终止游走时关注攻击活动渗透实体的当前渗透有效值作为关注攻击活动渗透实体关联的渗透有效值。
[0120] Process609,从目标攻击活动渗透数据中移除关注攻击活动渗透实体。
[0121] Process610,依据移除关注攻击活动渗透实体后成分攻击活动渗透实体及成分攻击活动渗透实体之间的渗透协同信息,输出候选攻击活动渗透实体集。
[0122] Process611,依据候选攻击活动渗透实体集中各攻击活动渗透实体在历史的目标攻击活动渗透数据中连通攻击活动渗透实体的连通度,重置候选攻击活动渗透实体集中各攻击活动渗透实体的当前渗透有效值。
[0123] Process612,游走执行对于候选攻击活动渗透实体集中的每个攻击活动渗透实体,依据攻击活动渗透实体在目标攻击活动渗透数据中的连通攻击活动渗透实体的当前渗透有效值,生成攻击活动渗透实体关联的渗透关注值;当渗透关注值小于攻击活动渗透实体的当前渗透有效值时,则依据攻击活动渗透实体的渗透关注值调整攻击活动渗透实体的当前渗透有效值的步骤,直至当前游走流程中候选攻击活动渗透实体集中各攻击活动渗透实体的当前渗透有效值均未被调整时终止游走。
[0124] Process613,将终止游走时攻击活动渗透实体的当前渗透有效值作为攻击活动渗透实体关联的渗透有效值。
[0125] Process614,依据各攻击活动渗透实体的渗透有效值生成与攻击活动渗透实体关联的协同漏洞数据。
[0126] Process615,依据攻击活动渗透实体的协同漏洞数据对攻击活动渗透实体进行输出。
[0127] 一些非限定性的实施例中,可以依据渗透有效值生成与攻击活动渗透实体关联的协同漏洞数据,协同漏洞数据用于对攻击活动渗透实体进行潜在关注输出。
[0128] 图2示出了本申请实施例提供的用于实现上述的基于攻击大数据的云端服务应用程序漏洞分析方法的安全大数据分析系统100的硬件结构意图,如图2所示,安全大数据分析系统100可包括处理器110、机器可读存储介质120、总线130以及通信单元140。
[0129] 一种可能的设计中,安全大数据分析系统100可以是单个服务器,也可以是服务器组。所述服务器组可以是集中式的,也可以是分布式的(例如,安全大数据分析系统100可以是分布式的系统)。在一些实施例中,安全大数据分析系统100可以是本地的,也可以是远程的。例如,安全大数据分析系统100可以经由网络访问存储于机器可读存储介质120中的信息和/或数据。又例如,安全大数据分析系统100可以直接连接到机器可读存储介质120以访问存储的信息和/或数据。在一些实施例中,安全大数据分析系统100可以在云平台上实施。仅作为示例,该云平台可以包括私有云、公共云、混合云、社区云、分布云、内部云、多层云等或其任意组合。
[0130] 机器可读存储介质120可以存储数据和/或指令。在一些实施例中,机器可读存储介质120可以存储从外部终端获取的数据。在一些实施例中,机器可读存储介质120可以存储安全大数据分析系统100用来执行或使用来完成本申请中描述的示例性方法的数据及/或指令。在一些实施例中,机器可读存储介质120可包括大容量存储器、可移动存储器、易失性读写存储器、只读存储器(ROM)等或其任意组合。示例性的大容量存储器可以包括磁盘、光盘、固态磁盘等。示例性可移动存储器可以包括闪存驱动器、软盘、光盘、存储卡、压缩盘、磁带等。示例性易失性读写存储器可以包括随机存取内存(RAM)。示例性RAM可包括主动随机存取存储器(DRAM)、双倍数据速率同步主动随机存取存储器(DDR SDRAM)、被动随机存取存储器(SRAM)、晶闸管随机存取存储器(T‑RAM)和零电容随机存取存储器(Z‑RAM)等。示例性只读存储器可以包括掩模型只读存储器(MROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(PEROM)、电可擦除可编程只读存储器(EEPROM)、光盘只读存储器(CD‑ROM)和数字多功能磁盘只读存储器等。在一些实施例中,机器可读存储介质120可以在云平台上实现。仅作为示例,云平台可以包括私有云、公共云、混合云、社区云、分布云、内部云,多层云等,或其任意组合。
[0131] 在具体实现过程中,一个或多个处理器110执行机器可读存储介质120存储的计算机可执行指令,使得处理器110可以执行如上方法实施例的基于攻击大数据的云端服务应用程序漏洞分析方法,处理器110、机器可读存储介质120以及通信单元140依据总线130连接,处理器110可以用于控制通信单元140的收发动作。
[0132] 处理器110的具体实现过程可参见上述安全大数据分析系统100执行的各个方法实施例,其实现原理和技术效果类似,本实施例此处不再赘述。
[0133] 此外,本申请实施例还提供一种可读存储介质,所述可读存储介质中预设有计算机可执行指令,当处理器执行所述计算机可执行指令时,实现如上基于攻击大数据的云端服务应用程序漏洞分析方法。
[0134] 本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以依据程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:Read‑only Memory,缩写:ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0135] 其中,本说明书中的每个实施例均采用递进的方式描述,每个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0136] 最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
