本技術(shù)涉及信息處理的，尤其是涉及一種ai增強的網(wǎng)絡(luò)安全威脅情報分析方法及系統(tǒng)。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題日益突出，各種網(wǎng)絡(luò)攻擊手段層出不窮，給網(wǎng)絡(luò)安全帶來了極大的挑戰(zhàn)。網(wǎng)絡(luò)流量數(shù)據(jù)作為記錄網(wǎng)絡(luò)行為的關(guān)鍵威脅情報載體，其中可能隱藏著多樣化的潛在攻擊行為。因此，如何有效地從這些威脅情報中檢測出攻擊行為，成為了提升網(wǎng)絡(luò)安全防護能力的至關(guān)重要的一環(huán)。

2、現(xiàn)有的網(wǎng)絡(luò)安全威脅分析方法大多側(cè)重于對已知威脅的識別和響應(yīng)，或是通過簡單的統(tǒng)計特征提取并匹配對應(yīng)的基于現(xiàn)有威脅的應(yīng)對規(guī)則以響應(yīng)未知的威脅。然而，在現(xiàn)今復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中，這些方法往往難以準確地捕捉未知攻擊行為的本質(zhì)特征，導(dǎo)致許多潛在的安全威脅易被忽視或誤判，難以及時有效地發(fā)現(xiàn)和分析應(yīng)對新型或變異的網(wǎng)絡(luò)攻擊，從而給網(wǎng)絡(luò)安全帶來了嚴重的隱患。

技術(shù)實現(xiàn)思路

1、為了解決上述問題，本技術(shù)提供了一種ai增強的網(wǎng)絡(luò)安全威脅情報分析方法及系統(tǒng)。

2、本技術(shù)的上述發(fā)明目的一是通過以下技術(shù)方案得以實現(xiàn)的：

3、一種ai增強的網(wǎng)絡(luò)安全威脅情報分析方法，包括步驟：

4、實時獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)，并識別威脅情報數(shù)據(jù)對應(yīng)的威脅模式以及網(wǎng)絡(luò)流量數(shù)據(jù)對應(yīng)的異常模式；

5、分別將威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)輸入至預(yù)訓(xùn)練好的語義識別模型中提取語義文本特征；

6、將相同時序的具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)、威脅情報數(shù)據(jù)以及其對應(yīng)的語義文本特征進行打包，獲得異常數(shù)據(jù)集；

7、將異常數(shù)據(jù)集輸入至預(yù)訓(xùn)練好的威脅分析模型進行基于威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征的關(guān)聯(lián)特征提取；

8、識別威脅分析模型輸出的關(guān)聯(lián)特征的關(guān)聯(lián)類型，并基于關(guān)聯(lián)類型對關(guān)聯(lián)特征與威脅模式進行重要性加權(quán)以及相似度匹配；

9、基于重要性加權(quán)以及相似度匹配結(jié)果執(zhí)行預(yù)設(shè)對應(yīng)的處理策略。

10、通過采用上述技術(shù)方案，實時地從網(wǎng)絡(luò)環(huán)境中獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)，并分別識別其對應(yīng)的威脅模式以及異常模式，將威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)輸入至預(yù)訓(xùn)練好的語義識別模型中，使語義識別模型提取其語義文本特征，以反映數(shù)據(jù)的語義內(nèi)容以及上下文關(guān)系，將具有相同時序的、包含異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)、威脅情報數(shù)據(jù)以及其對應(yīng)的語義文本特征進行打包，以形成一個包含多維度信息的異常數(shù)據(jù)集，并將該異常數(shù)據(jù)集輸入至預(yù)訓(xùn)練好的威脅分析模型中，使威脅分析模型基于威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征進行關(guān)聯(lián)特征提取，識別出這些數(shù)據(jù)特征之間的潛在聯(lián)系和規(guī)律，當接收到威脅分析模型輸出的關(guān)聯(lián)特征時，識別其關(guān)聯(lián)類型，并基于該關(guān)聯(lián)類型將該關(guān)聯(lián)特征與威脅模式進行相似度匹配，并基于相似度匹配結(jié)果以及語義文本特征進行加權(quán)處理，從而根據(jù)重要性加權(quán)和相似度匹配結(jié)果，執(zhí)行預(yù)設(shè)的對應(yīng)處理策略；本技術(shù)通過實時獲取網(wǎng)絡(luò)環(huán)境中的威脅情報數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)，并結(jié)合預(yù)訓(xùn)練好的語義識別模型和威脅分析模型，實現(xiàn)了對多維度數(shù)據(jù)特征的關(guān)聯(lián)分析和深度挖掘，解決了傳統(tǒng)網(wǎng)絡(luò)安全分析方法難以準確捕捉未知攻擊行為本質(zhì)特征的問題，具有提高威脅檢測準確性、增強威脅響應(yīng)速度以及提升網(wǎng)絡(luò)安全防御能力的效果。

11、本技術(shù)在一較佳示例中可以進一步配置為：所述實時獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)，并識別威脅情報數(shù)據(jù)對應(yīng)的威脅模式以及網(wǎng)絡(luò)流量數(shù)據(jù)對應(yīng)的異常模式的步驟，包括步驟：

12、實時獲取基于網(wǎng)絡(luò)攻擊的原始威脅數(shù)據(jù)以及原始流量數(shù)據(jù)；

13、對原始威脅數(shù)據(jù)以及原始流量數(shù)據(jù)進行數(shù)據(jù)清洗以及干擾數(shù)據(jù)去除，從而獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)。

14、通過采用上述技術(shù)方案，實時獲取基于網(wǎng)絡(luò)攻擊的原始威脅數(shù)據(jù)以及原始流量數(shù)據(jù)，并分別對其進行預(yù)處理，包括數(shù)據(jù)清洗以及干擾數(shù)據(jù)去除，從而獲取更純凈且準確的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)；本技術(shù)通過實時獲取并預(yù)處理原始的網(wǎng)絡(luò)攻擊威脅數(shù)據(jù)和流量數(shù)據(jù)，實現(xiàn)了對數(shù)據(jù)的初步篩選和凈化，解決了原始數(shù)據(jù)中可能存在的噪聲、冗余和干擾問題，為后續(xù)的威脅情報分析和網(wǎng)絡(luò)流量異常檢測提供了高質(zhì)量的數(shù)據(jù)輸入，從而提高了整個分析過程的準確性和效率。

15、本技術(shù)在一較佳示例中可以進一步配置為：所述將相同時序的具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)、威脅情報數(shù)據(jù)以及其對應(yīng)的語義文本特征進行打包，獲得異常數(shù)據(jù)集的步驟，包括步驟：

16、分別對威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)進行時序分析，以確定威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)的時間戳和持續(xù)時間；

17、基于具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)，匹配同時具有與其時間戳在預(yù)設(shè)范圍內(nèi)相近的時間戳，以及與其持續(xù)時間的重合率大于預(yù)設(shè)值的持續(xù)時間的威脅情報數(shù)據(jù)；

18、將具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)以及與其匹配到的威脅情報數(shù)據(jù)和其對應(yīng)的語義文本特征打包為異常數(shù)據(jù)集。

19、通過采用上述技術(shù)方案，分別對威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)進行時序分析，從而確定每條數(shù)據(jù)的時間戳和持續(xù)時間，以便了解其在網(wǎng)絡(luò)環(huán)境中的出現(xiàn)時間和持續(xù)影響，基于具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)，匹配與其時間戳在預(yù)設(shè)范圍內(nèi)相近且持續(xù)時間重合率大于預(yù)設(shè)值的威脅情報數(shù)據(jù)，將具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)以及為其匹配到的威脅情報數(shù)據(jù)和其對應(yīng)的語義文本特征打包，形成一個包含多維度信息的異常數(shù)據(jù)集，用于后續(xù)的深度威脅分析；本技術(shù)通過時序分析和數(shù)據(jù)匹配技術(shù)，實現(xiàn)了對威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征的有效整合，解決了傳統(tǒng)方法中數(shù)據(jù)關(guān)聯(lián)性弱、分析深度不足的問題。同時，通過實時打包形成異常數(shù)據(jù)集，優(yōu)化了資源利用并提升了對新型或變異網(wǎng)絡(luò)攻擊的響應(yīng)速度，具有顯著提高威脅檢測準確性和網(wǎng)絡(luò)安全防御能力的效果。

20、本技術(shù)在一較佳示例中可以進一步配置為：威脅分析模型包括匹配層用以及分析層，所述將異常數(shù)據(jù)集輸入至預(yù)訓(xùn)練好的威脅分析模型進行基于威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征的關(guān)聯(lián)特征提取的步驟，包括步驟：

21、匹配層基于異常數(shù)據(jù)集中的威脅情報數(shù)據(jù)對應(yīng)的威脅模式以及網(wǎng)絡(luò)流量數(shù)據(jù)對應(yīng)的異常模式，匹配預(yù)設(shè)對應(yīng)的關(guān)聯(lián)提取規(guī)則；

22、分析層基于匹配的關(guān)聯(lián)提取規(guī)則對威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征進行關(guān)聯(lián)特征提取。

23、通過采用上述技術(shù)方案，匹配層接收到異常數(shù)據(jù)集后基于其威脅情報數(shù)據(jù)對應(yīng)的威脅模式以及網(wǎng)絡(luò)流量數(shù)據(jù)對應(yīng)的異常模式，匹配預(yù)設(shè)對應(yīng)的關(guān)聯(lián)提取規(guī)則，分析層基于該關(guān)聯(lián)提取對則對威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征進行深度的關(guān)聯(lián)特征提取。

24、本技術(shù)在一較佳示例中可以進一步配置為：所述識別威脅分析模型輸出的關(guān)聯(lián)特征的關(guān)聯(lián)類型，并基于關(guān)聯(lián)類型對關(guān)聯(lián)特征與威脅模式進行重要性加權(quán)以及相似度匹配的步驟，包括步驟：

25、基于威脅分析模型輸出的關(guān)聯(lián)特征的關(guān)聯(lián)類型，將該關(guān)聯(lián)特征表示為關(guān)聯(lián)特征向量，所述關(guān)聯(lián)特征向量包含若干個關(guān)聯(lián)特征元素；

26、提取威脅模式對應(yīng)的威脅特征，并將該威脅特征表示為威脅模式向量，所述威脅模式向量包含若干個威脅模式元素；

27、計算關(guān)聯(lián)特征向量與威脅模式向量的相似度，計算公式為：

28、其中，σ為相似度，ai為關(guān)聯(lián)特征向量的第i個關(guān)聯(lián)特征元素，bi為威脅模式向量的第i個威脅模式元素，n為向量的維度；

29、基于語義文本特征分別為每個關(guān)聯(lián)特征元素以及威脅模式元素分配一個權(quán)重，并計算加權(quán)后的關(guān)聯(lián)特征向量與威脅模式向量的相似度。

30、通過采用上述技術(shù)方案，根據(jù)威脅分析模型輸出的關(guān)聯(lián)特征的關(guān)聯(lián)類型，將關(guān)聯(lián)特征轉(zhuǎn)換為關(guān)聯(lián)特征向量，關(guān)聯(lián)特征向量包含若干個關(guān)聯(lián)特征元素，提取威脅模式對應(yīng)的威脅特征，并將威脅特征轉(zhuǎn)換為威脅模式向量，威脅模式向量包含若干個威脅模式元素，基于特定的相似度計算公式對關(guān)聯(lián)特征向量與威脅模式向量之間的相似度進行計算，基于語義文本特征為每個關(guān)聯(lián)特種元素和威脅模式元素分配一個權(quán)重，并計算加權(quán)后的關(guān)聯(lián)特征向量與威脅模式向量之間的相似度，從而獲取更準確的相似度匹配結(jié)果；本技術(shù)通過關(guān)聯(lián)特征向量和威脅模式向量的表示，以及相似度和加權(quán)相似度的計算，實現(xiàn)了對威脅分析模型輸出的關(guān)聯(lián)特征與威脅模式之間的有效匹配，以關(guān)聯(lián)特征的關(guān)聯(lián)類型結(jié)合語義文本特征進行權(quán)重分配，從而提高了匹配的準確性和針對性，解決了傳統(tǒng)方法中匹配不全面、準確性不高的問題，具有顯著提高威脅檢測準確性、增強網(wǎng)絡(luò)安全防御能力以及優(yōu)化資源利用的效果。

31、本技術(shù)在一較佳示例中可以進一步配置為：所述基于語義文本特征分別為每個關(guān)聯(lián)特征元素以及威脅模式元素分配一個權(quán)重，并計算加權(quán)后的關(guān)聯(lián)特征向量與威脅模式向量的相似度的步驟，包括步驟：

32、計算加權(quán)后的關(guān)聯(lián)特征向量與威脅模式向量的相似度，計算公式為：

33、其中，σ加權(quán)為加權(quán)后的相似度，ai為關(guān)聯(lián)特征向量的第i個關(guān)聯(lián)特征元素，bi為威脅模式向量的第i個威脅模式元素，n為向量的維度，αa，i為第i個關(guān)聯(lián)特征元素的權(quán)重，βb，i為第i個威脅模式元素的權(quán)重。

34、通過采用上述技術(shù)方案，基于特定的相似度計算公式對加權(quán)后的關(guān)聯(lián)特征向量與威脅模式向量的相似度進行計算，通過考慮語義文本特征，為關(guān)聯(lián)特征元素和威脅模式元素分配權(quán)重，并計算加權(quán)后的相似度，不僅提高了匹配的準確性，還使得匹配過程更加符合實際語境和語義關(guān)系。

35、本技術(shù)的上述發(fā)明目的二是通過以下技術(shù)方案得以實現(xiàn)的：

36、一種ai增強的網(wǎng)絡(luò)安全威脅情報分析系統(tǒng)，包括：

37、數(shù)據(jù)處理模塊，用于實時獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)，并識別威脅情報數(shù)據(jù)對應(yīng)的威脅模式以及網(wǎng)絡(luò)流量數(shù)據(jù)對應(yīng)的異常模式；

38、特征提取模塊，用于分別將威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)輸入至預(yù)訓(xùn)練好的語義識別模型中提取語義文本特征；

39、數(shù)據(jù)打包模塊，用于將相同時序的具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)、威脅情報數(shù)據(jù)以及其對應(yīng)的語義文本特征進行打包，獲得異常數(shù)據(jù)集；

40、關(guān)聯(lián)提取模塊，用于將異常數(shù)據(jù)集輸入至預(yù)訓(xùn)練好的威脅分析模型進行基于威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征的關(guān)聯(lián)特征提??；

41、相似度匹配模塊，用于識別威脅分析模型輸出的關(guān)聯(lián)特征的關(guān)聯(lián)類型，并基于關(guān)聯(lián)類型對關(guān)聯(lián)特征與威脅模式進行重要性加權(quán)以及相似度匹配；

42、執(zhí)行模塊，用于基于重要性加權(quán)以及相似度匹配結(jié)果執(zhí)行預(yù)設(shè)對應(yīng)的處理策略。

43、通過采用上述技術(shù)方案，數(shù)據(jù)處理模塊，用于實時獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)，并識別威脅情報數(shù)據(jù)對應(yīng)的威脅模式以及網(wǎng)絡(luò)流量數(shù)據(jù)對應(yīng)的異常模式；特征提取模塊，用于分別將威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)輸入至預(yù)訓(xùn)練好的語義識別模型中提取語義文本特征；數(shù)據(jù)打包模塊，用于將相同時序的具有異常模式的網(wǎng)絡(luò)流量數(shù)據(jù)、威脅情報數(shù)據(jù)以及其對應(yīng)的語義文本特征進行打包，獲得異常數(shù)據(jù)集；關(guān)聯(lián)提取模塊，用于將異常數(shù)據(jù)集輸入至預(yù)訓(xùn)練好的威脅分析模型進行基于威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征的關(guān)聯(lián)特征提取；相似度匹配模塊，用于識別威脅分析模型輸出的關(guān)聯(lián)特征的關(guān)聯(lián)類型，并基于關(guān)聯(lián)類型對關(guān)聯(lián)特征與威脅模式進行重要性加權(quán)以及相似度匹配；執(zhí)行模塊，用于基于重要性加權(quán)以及相似度匹配結(jié)果執(zhí)行預(yù)設(shè)對應(yīng)的處理策略。

44、本技術(shù)在一較佳示例中可以進一步配置為：所述數(shù)據(jù)處理模塊包括：

45、數(shù)據(jù)獲取子模塊，用于實時獲取基于網(wǎng)絡(luò)攻擊的原始威脅數(shù)據(jù)以及原始流量數(shù)據(jù)；

46、預(yù)處理子模塊，用于對原始威脅數(shù)據(jù)以及原始流量數(shù)據(jù)進行數(shù)據(jù)清洗以及干擾數(shù)據(jù)去除，從而獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)。

47、通過采用上述技術(shù)方案，數(shù)據(jù)獲取子模塊，用于實時獲取基于網(wǎng)絡(luò)攻擊的原始威脅數(shù)據(jù)以及原始流量數(shù)據(jù)；預(yù)處理子模塊，用于對原始威脅數(shù)據(jù)以及原始流量數(shù)據(jù)進行數(shù)據(jù)清洗以及干擾數(shù)據(jù)去除，從而獲取基于網(wǎng)絡(luò)攻擊的威脅情報數(shù)據(jù)以及網(wǎng)絡(luò)流量數(shù)據(jù)。

48、綜上所述，本技術(shù)包括以下至少一種有益技術(shù)效果：

49、1.本技術(shù)通過實時獲取網(wǎng)絡(luò)環(huán)境中的威脅情報數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)，并結(jié)合預(yù)訓(xùn)練好的語義識別模型和威脅分析模型，實現(xiàn)了對多維度數(shù)據(jù)特征的關(guān)聯(lián)分析和深度挖掘，解決了傳統(tǒng)網(wǎng)絡(luò)安全分析方法難以準確捕捉未知攻擊行為本質(zhì)特征的問題，具有提高威脅檢測準確性、增強威脅響應(yīng)速度以及提升網(wǎng)絡(luò)安全防御能力的效果；

50、2.通過實時獲取并預(yù)處理原始的網(wǎng)絡(luò)攻擊威脅數(shù)據(jù)和流量數(shù)據(jù)，實現(xiàn)了對數(shù)據(jù)的初步篩選和凈化，解決了原始數(shù)據(jù)中可能存在的噪聲、冗余和干擾問題，為后續(xù)的威脅情報分析和網(wǎng)絡(luò)流量異常檢測提供了高質(zhì)量的數(shù)據(jù)輸入，從而提高了整個分析過程的準確性和效率；

51、3.通過時序分析和數(shù)據(jù)匹配技術(shù)，實現(xiàn)了對威脅情報數(shù)據(jù)、網(wǎng)絡(luò)流量數(shù)據(jù)以及語義文本特征的有效整合，解決了傳統(tǒng)方法中數(shù)據(jù)關(guān)聯(lián)性弱、分析深度不足的問題。同時，通過實時打包形成異常數(shù)據(jù)集，優(yōu)化了資源利用并提升了對新型或變異網(wǎng)絡(luò)攻擊的響應(yīng)速度，具有顯著提高威脅檢測準確性和網(wǎng)絡(luò)安全防御能力的效果；

52、4.通過關(guān)聯(lián)特征向量和威脅模式向量的表示，以及相似度和加權(quán)相似度的計算，實現(xiàn)了對威脅分析模型輸出的關(guān)聯(lián)特征與威脅模式之間的有效匹配，以關(guān)聯(lián)特征的關(guān)聯(lián)類型結(jié)合語義文本特征進行權(quán)重分配，從而提高了匹配的準確性和針對性，解決了傳統(tǒng)方法中匹配不全面、準確性不高的問題，具有顯著提高威脅檢測準確性、增強網(wǎng)絡(luò)安全防御能力以及優(yōu)化資源利用的效果。