基于图像大数据的攻击行为挖掘方法、系统及大数据平台

摘要

本公开实施例提供一种基于图像大数据的攻击行为挖掘方法、系统及大数据平台，通过获取大数据服务终端在预设时间段内已浏览的图像数据并汇集为大数据服务终端的图像大数据集合，然后结合大数据服务终端在预设时间段内浏览图像数据时的网络安全匹配参数以及图像数据所对应的图像交互行为信息对图像大数据集合进行攻击行为挖掘，从而可以对图像大数据的攻击行为进行全面有效地挖掘，便于后续对大数据服务终端的图像加载组件进行优化配置。

说明书

技术领域

本公开涉及大数据及网络安全技术领域，具体而言，涉及一种基于图像大数据的攻击行为挖掘方法、系统及大数据平台。

背景技术

随着5G和互联网技术的快速发展，大数据平台可以为用户提供集中数据处理和海量数据存储方案，并为用户提供诸多优质的大数据服务，例如信息推荐、画像分析等服务。然而，作为存储有海量大数据的大数据平台而言，其网络安全问题显得至关重要。

目前，各个大数据服务终端通常存在诸多攻击行为，例如对浏览图像的部分内容或者区域的攻击行为（如添加一些非法信息，例如广告内容等），如何对这些攻击行为进行全面有效地挖掘，从而便于后续对大数据服务终端的图像加载组件进行优化配置，是本领域亟待解决的技术问题。

发明内容

为了至少克服现有技术中的上述不足，本公开的目的在于提供一种基于图像大数据的攻击行为挖掘方法、系统及大数据平台，通过结合大数据服务终端在预设时间段内浏览图像数据时的网络安全匹配参数以及图像数据所对应的图像交互行为信息对图像大数据集合进行攻击行为挖掘，从而可以对图像大数据的攻击行为进行全面有效地挖掘，便于后续对大数据服务终端的图像加载组件进行优化配置。

第一方面，本公开提供一种基于图像大数据的攻击行为挖掘方法，，应用于大数据平台服务器，所述大数据平台服务器与多个大数据服务终端通信连接， 所述方法包括：

获取所述大数据服务终端在预设时间段内已浏览的图像数据并汇集为所述大数据服务终端的图像大数据集合；

获取所述大数据服务终端在所述预设时间段内浏览所述图像数据时的网络安全匹配参数以及所述图像数据所对应的图像交互行为信息，并根据所述网络安全匹配参数和所述图像交互行为信息对所述图像大数据集合进行攻击行为挖掘，得到所述大数据服务终端所对应的攻击行为列表；

根据所述大数据服务终端所对应的攻击行为列表对所述大数据服务终端的图像加载组件进行配置。

在第一方面的一种可能的实现方式中，所述获取所述大数据服务终端在所述预设时间段内浏览所述图像数据时的网络安全匹配参数以及所述图像数据所对应的图像交互行为信息的步骤，包括：

获取所述大数据服务终端在所述预设时间段内的历史网络数据，并从所述大数据服务终端中获取其在所述预设时间段内的网络环境配置信息后，根据所述网络环境配置信息对所述历史网络数据进行数据分析，得到所述大数据服务终端的网络安全匹配参数，所述网络环境配置信息包括该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及所述网络环境更新元素的网络协议标签；

从所述图像数据所关联的交互传输记录中提取交互节点代码，对交互节点代码进行处理，从中提取交互节点标识及其对应的交互内容，将选择的交互节点标识转化为交互行为标签后，根据所述交互行为标签获取所述交互内容所对应的图像交互对象区域，并将每个交互行为标签与对应的图像交互对象区域确定为所述图像数据所对应的图像交互行为信息。

在第一方面的一种可能的实现方式中，所述根据所述网络环境配置信息对所述历史网络数据进行数据分析，得到所述大数据服务终端的网络安全匹配参数的步骤，包括：

根据所述网络环境更新元素与原始网络环境元素之间的元素差异信息，确定所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域；

根据所述每个网络环境更新元素的网络协议标签，对所述历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到所述大数据服务终端的网络安全匹配参数。

在第一方面的一种可能的实现方式中，所述根据所述网络安全匹配参数和所述图像交互行为信息对所述图像大数据集合进行攻击行为挖掘，得到所述大数据服务终端所对应的攻击行为列表的步骤，包括：

从所述网络安全匹配参数中获取多个协议特征项的网络安全参数，并从多个所述网络安全参数分别提取对应的网络安全向量，其中，所述网络安全向量用于表示所述网络安全参数所对应的协议特征项所对应的网络安全行为特征；

根据提取的网络安全向量确定各个网络安全参数与所述图像交互行为信息之间的攻击挖掘场景集，并根据所述攻击挖掘场景集，构建对应的攻击行为挖掘模型；

根据构建的所述攻击行为挖掘模型，对所述图像大数据集合进行攻击行为挖掘，得到所述大数据服务终端所对应的攻击行为列表。

在第一方面的一种可能的实现方式中，所述从多个所述网络安全参数分别提取对应的网络安全向量的步骤，包括：

对所述多个网络安全参数所对应的各协议特征项进行聚类，得到各协议特征项的聚类类型；

根据预设的针对所述聚类类型的网络安全向量提取模板，确定由所述网络安全向量提取模板所指定的网络安全向量的聚类类型；

当同一协议特征项包括属于不同网络安全向量的多个聚类类型时，则统计所述同一协议特征项中各网络安全向量的聚类类型的数量；

确定统计的聚类类型的数量最大的网络安全向量，并为所述同一协议特征项添加确定的网络安全向量的提取标签，以及为不包括所述网络安全向量的聚类类型的协议特征项添加非网络安全向量的提取标签；

根据待特征提取的协议特征项的网络安全参数和所添加的所述提取标签进行融合，得到第一融合提取单元，并将各聚类类型输入所述第一融合提取单元中，输出各聚类类型对于各网络安全向量的收敛度；

将对于各网络安全向量的收敛度大于或等于第一收敛度阈值的聚类类型重新确定为该网络安全向量的聚类类型，并返回所述为所述同一协议特征项添加确定的网络安全向量的提取标签并继续处理，直至满足迭代停止条件时得到待特征提取的协议特征项的提取标签；

在满足所述迭代停止条件后，获取通过相应的所述融合提取单元所确定的待特征提取的协议特征项对于各网络安全向量的收敛度，并筛选对于各网络安全向量的收敛度大于或等于第二收敛度阈值；

按照筛选的协议特征项和相应的提取标签进行融合，得到第二融合提取单元，通过所述第二融合提取单元确定待特征提取的协议特征项对于各网络安全向量的收敛度，并按照待特征提取的协议特征项对于各网络安全向量的收敛度更新相应协议特征项的提取标签；

在按照待特征提取的协议特征项对于各网络安全向量的收敛度更新相应协议特征项的提取标签后，返回所述筛选对于各网络安全向量的收敛度大于或等于第二收敛度阈值的协议特征项的步骤继续执行，直至满足更新停止条件时，得到待特征提取的协议特征项更新后的提取标签；

获取更新所述提取标签后通过所述第二融合提取单元确定的各待特征提取的协议特征项对于各网络安全向量的收敛度和属于非网络安全向量的收敛度；

挑选在更新所述提取标签后确定的对于各网络安全向量的收敛度大于或等于第三收敛度阈值的协议特征项，并按挑选的协议特征项和相应提取标签进行融合，得到第三融合提取单元；

通过所述第三融合提取单元确定各待特征提取的协议特征项对于各网络安全向量的收敛度，并按通过第三融合提取单元确定的对于各网络安全向量的收敛度确定相应协议特征项的网络安全向量；

获取不同于待特征提取的协议特征项的目标协议特征项，并通过所述第三融合提取单元确定所述目标协议特征项对于各网络安全向量的收敛度，而后根据所述目标协议特征项对于各网络安全向量的收敛度确定所述目标协议特征项所对应的网络安全向量；

根据各个确定的协议特征项的网络安全向量进行汇总得到各个网络安全参数分别对应的网络安全向量。

在第一方面的一种可能的实现方式中，所述根据提取的网络安全向量确定各个网络安全参数与所述图像交互行为信息之间的攻击挖掘场景集的步骤，包括：

根据提取的网络安全向量确定每至少两个关联的网络安全参数与所述图像交互行为信息之间的贝叶斯网络攻击图的第一网络攻击图序列；其中，所述贝叶斯网络攻击图包括多种贝叶斯网络攻击图节点；

选取第一初始行为攻击特征库序列；其中，所述第一初始行为攻击特征库序列对应的行为攻击特征库组包括预设的第一行为攻击特征对象以及待组合的特征匹配对象和特征交互对象；

对于每一种贝叶斯网络攻击图节点对应的第一网络攻击图序列，将所述第一初始行为攻击特征库的第一行为攻击特征对象和每个阶数的特征匹配对象进行组合，得到多个组合对象集合；

按照多个所述组合对象集合分别映射所述第一网络攻击图序列，得到多种不同组合对象集合的攻击图节点；其中，所述组合对象集合中特征匹配对象的输入参数为该第一网络攻击图序列对应的网络安全参数的网络安全向量，第一行为攻击特征对象的输出参数为该第一网络攻击图序列对应的网络安全参数的网络安全交互向量；

根据所述攻击图节点以及所述第一初始行为攻击特征库序列的多个不同阶数的特征交互对象，确定各个网络安全参数与所述图像交互行为信息之间的攻击挖掘场景集，所述攻击挖掘场景集覆盖多个目标攻击匹配参数。

在第一方面的一种可能的实现方式中，所述根据所述攻击图节点以及所述第一初始行为攻击特征库序列的多个不同阶数的特征交互对象，确定各个网络安全参数与所述图像交互行为信息之间的攻击挖掘场景集的步骤，包括：

对所述第一初始行为攻击特征库序列进行更新，确定支持度最小对应的行为攻击特征库组的第一行为攻击特征集合，得到包括所述第一行为攻击特征集合的第一网络安全交互单元；其中，所述第一初始行为攻击特征库序列对应的行为攻击特征库组包括预设的第一行为攻击特征对象以及待组合的特征匹配对象和特征交互对象；

在确定更新得到的所述第一网络安全交互单元的交互参数符合预设条件后，将所述第一网络安全交互单元基于所述第一网络攻击图序列中的网络安全交互向量输出的网络安全参数的预测网络安全交互向量与所述网络安全参数的网络安全交互向量进行比较，根据多个预测网络安全交互向量与网络安全交互向量之间的收敛度大于预设的第二阈值所确定的收敛度范围，确定所述第一网络安全交互单元的第一交互参数；

根据所述网络安全交互向量和所述第一网络安全交互单元的预测网络安全交互向量的向量差异结果，对预设的第二初始行为攻击特征库序列进行更新，确定支持度最小对应的行为攻击特征库组的第二行为攻击特征集合，得到包括所述第二行为攻击特征集合的第二网络安全交互单元，并基于更新得到的多个所述第二行为攻击特征库序列，确定所述第一网络攻击图序列的第二交互参数；其中，所述第二初始行为攻击特征库中的行为攻击特征库组包括预设的所述特征匹配对象、第二行为攻击特征对象以及待组合的特征交互对象，所述第二行为攻击特征对象和所述第一行为攻击特征对象的阶数相同但输出参数不同，所述第一行为攻击特征对象的输出参数为网络安全交互向量，所述第二行为攻击特征对象的输出参数为所述第一网络安全交互单元的预测网络安全交互向量与网络安全交互向量的向量差异结果；

根据所述第一交互参数和所述第二交互参数，确定所述第一网络安全交互单元的预测网络安全交互向量对应的预测交互参数，并基于所述贝叶斯网络攻击图的网络攻击图序列中多种贝叶斯网络攻击图节点之间的制约关系，生成基于多种贝叶斯网络攻击图节点的攻击场景拓扑链，并计算所述攻击场景拓扑链中每一级攻击场景拓扑组合的攻击匹配参数，其中，所述第一交互参数和所述第二交互参数通过各自对应的权重参数确定所述第一网络安全交互单元的预测网络安全交互向量对应的预测交互参数；

根据所述攻击场景拓扑链中每一级攻击场景拓扑组合的攻击匹配参数确定各个网络安全参数与所述图像交互行为信息之间的攻击挖掘场景集。

在第一方面的一种可能的实现方式中，所述第一初始行为攻击特征库序列的多个不同阶数的特征匹配对象通过以下方式确定：

对于所述第一网络攻击图序列对应的网络安全交互向量，对所述网络安全交互向量以及对应的网络安全向量进行分析，得到与所述网络安全向量的相关度大于预设的第一阈值的目标网络安全向量；

根据所述目标网络安全向量的数量，确定所述第一初始行为攻击特征库序列的特征匹配对象阶数。

在第一方面的一种可能的实现方式中，所述根据所述攻击挖掘场景集，构建对应的攻击行为挖掘模型的步骤，包括：

根据所述攻击挖掘场景集，分别将同一类攻击挖掘场景集所覆盖的各个目标攻击匹配参数划分为一个挖掘项空间区域，并根据每一个挖掘项空间区域内的挖掘项数量，将挖掘项数量大于预设数量阈值的挖掘项空间区域的空间区域缩小，并将挖掘项数量小于预设数量阈值的挖掘项空间区域的空间区域扩大，得到调整后的各挖掘项空间区域；其中，每一个挖掘项空间区域内的所有攻击匹配参数构成一个挖掘对象；

根据单个挖掘对象中各攻击匹配参数的攻击交互类型，计算出单个挖掘对象中的每一个攻击匹配参数与其他攻击匹配参数之间的关联关系；

对于单个挖掘对象，根据每一个攻击匹配参数与其他攻击匹配参数之间的关联关系的顺序，对单个挖掘对象中的各攻击匹配参数进行排序，得到攻击匹配参数排序列表；

对于单个挖掘对象，依次对所述攻击匹配参数排序列表中的每一个攻击匹配参数执行以下过程，直至确定单个挖掘对象的主攻击匹配参数：

判断所述攻击匹配参数排序列表中的攻击匹配参数的第一排序大小，是否大于第一预设等级，若确定大于则将大于第一预设排序大小的攻击匹配参数作为单个挖掘对象的主攻击匹配参数；

对于单个挖掘对象，确定单个挖掘对象的主攻击匹配参数为与之进行映射关联的攻击匹配参数，并确定除去单个挖掘对象的主攻击匹配参数以外的其他攻击匹配参数为单个挖掘对象的成员攻击匹配参数，其中，单个挖掘对象的成员攻击匹配参数为与单个挖掘对象的主攻击匹配参数进行映射关联的攻击匹配参数；

根据确定的各个挖掘对象的主攻击匹配参数和成员攻击匹配参数构建对应的攻击行为挖掘模型。

在第一方面的一种可能的实现方式中，所述根据构建的所述攻击行为挖掘模型，对所述图像大数据集合进行攻击行为挖掘，得到所述大数据服务终端所对应的攻击行为列表的步骤，包括：

根据构建的所述攻击行为挖掘模型中每个所述主攻击匹配参数与所述成员攻击匹配参数之间的从属层级关系，获取该主攻击匹配参数与成员攻击匹配参数的攻击行为挖掘策略，其中，所述攻击行为挖掘策略为依次按照所述每个所述主攻击匹配参数与所述成员攻击匹配参数之间的从属层级关系进行攻击行为挖掘的策略；

按照所述攻击行为挖掘策略所对应的从属层级关系，分别调用每个所述主攻击匹配参数与成员攻击匹配参数对所述图像大数据集合进行攻击行为挖掘，得到所述大数据服务终端所对应的攻击行为列表。

第二方面，本公开实施例还提供一种基于图像大数据的攻击行为挖掘装置，应用于大数据平台服务器，所述大数据平台服务器与多个大数据服务终端通信连接，所述装置包括：

获取模块，用于获取所述大数据服务终端在预设时间段内已浏览的图像数据并汇集为所述大数据服务终端的图像大数据集合；

挖掘模块，用于获取所述大数据服务终端在所述预设时间段内浏览所述图像数据时的网络安全匹配参数以及所述图像数据所对应的图像交互行为信息，并根据所述网络安全匹配参数和所述图像交互行为信息对所述图像大数据集合进行攻击行为挖掘，得到所述大数据服务终端所对应的攻击行为列表；

配置模块，用于根据所述大数据服务终端所对应的攻击行为列表对所述大数据服务终端的图像加载组件进行配置。

第三方面，本公开实施例还提供一种基于图像大数据的攻击行为挖掘系统，所述基于图像大数据的攻击行为挖掘系统包括大数据平台服务器以及与所述大数据平台服务器通信连接的多个大数据服务终端；

所述大数据服务终端，用于向所述大数据平台服务器发送在预设时间段内已浏览的图像数据；

所述大数据平台服务器，用于获取所述大数据服务终端在预设时间段内已浏览的图像数据并汇集为所述大数据服务终端的图像大数据集合；

所述大数据平台服务器，用于获取所述大数据服务终端在所述预设时间段内浏览所述图像数据时的网络安全匹配参数以及所述图像数据所对应的图像交互行为信息，并根据所述网络安全匹配参数和所述图像交互行为信息对所述图像大数据集合进行攻击行为挖掘，得到所述大数据服务终端所对应的攻击行为列表；

所述大数据平台服务器，用于根据所述大数据服务终端所对应的攻击行为列表对所述大数据服务终端的图像加载组件进行配置。

第四方面，本公开实施例还提供一种大数据平台服务器，所述大数据平台服务器包括处理器、机器可读存储介质和网络接口，所述机器可读存储介质、所述网络接口以及所述处理器之间通过总线系统相连，所述网络接口用于与至少一个大数据服务终端通信连接，所述机器可读存储介质用于存储程序、指令或代码，所述处理器用于执行所述机器可读存储介质中的程序、指令或代码，以执行第一方面或者第一方面中任意一个可能的实现方式中的基于图像大数据的攻击行为挖掘方法。

第五方面，本公开实施例提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其被执行时，实现上述第一方面或者第一方面中任意一个可能的实现方式中的基于图像大数据的攻击行为挖掘方法。

基于上述任意一个方面，本公开通过获取大数据服务终端在预设时间段内已浏览的图像数据并汇集为大数据服务终端的图像大数据集合，然后结合大数据服务终端在预设时间段内浏览图像数据时的网络安全匹配参数以及图像数据所对应的图像交互行为信息对图像大数据集合进行攻击行为挖掘，从而可以对图像大数据的攻击行为进行全面有效地挖掘，便于后续对大数据服务终端的图像加载组件进行优化配置。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本公开实施例提供的基于图像大数据的攻击行为挖掘系统的应用场景示意图；

图2为本公开实施例提供的基于图像大数据的攻击行为挖掘方法的流程示意图；

图3为本公开实施例提供的基于图像大数据的攻击行为挖掘装置的功能模块示意图；

图4为本公开实施例提供的用于实现上述的基于图像大数据的攻击行为挖掘方法的大数据平台服务器的结构示意框图。

具体实施方式

下面结合说明书附图对本公开进行具体说明，方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。

图1是本公开一种实施例提供的基于图像大数据的攻击行为挖掘系统10的交互示意图。基于图像大数据的攻击行为挖掘系统10可以包括大数据平台服务器100以及与所述物联网云大数据平台服务器100通信连接的大数据服务终端200。图1所示的基于图像大数据的攻击行为挖掘系统10仅为一种可行的示例，在其它可行的实施例中，该基于图像大数据的攻击行为挖掘系统10也可以仅包括图1所示组成部分的其中一部分或者还可以包括其它的组成部分。

本实施例中，大数据服务终端200可以包括移动设备、平板计算机、膝上型计算机等或其任意组合。在一些实施例中，移动设备可以包括智能家居设备、可穿戴设备、智能移动设备、虚拟现实设备、或增强现实设备等，或其任意组合。在一些实施例中，智能家居设备可以包括智能电器设备的控制设备、智能监控设备、智能电视、智能摄像机等，或其任意组合。在一些实施例中，可穿戴设备可包括智能手环、智能鞋带、智能玻璃、智能头盔、智能手表、智能服装、智能背包、智能配件等，或其任何组合。在一些实施例中，智能移动设备可以包括智能手机、个人数字助理、游戏设备等，或其任意组合。在一些实施例中，虚拟现实设备和/或增强现实设备可以包括虚拟现实头盔、虚拟现实玻璃、虚拟现实贴片、增强现实头盔、增强现实玻璃、或增强现实贴片等，或其任意组合。例如，虚拟现实设备和/或增强现实设备可以包括各种虚拟现实产品等。

本实施例中，基于图像大数据的攻击行为挖掘系统10中的物联网云大数据平台服务器100和大数据服务终端200可以通过配合执行以下方法实施例所描述的物联网移动基站的网络安全防护方法，具体大数据平台服务器100和大数据服务终端200的执行步骤部分可以参照以下方法实施例的详细描述。

值得说明的是，大数据平台服务器100可以是单一的服务器，也可以是服务器集群，具体可以根据实际的计算需求进行灵活设计。大数据平台服务器100可以为每个大数据服务终端200提供大数据服务，例如图像大数据服务、订单大数据服务（例如应用于区块链网络中的订单大数据服务）等，在此不作具体限定。

为了解决前述背景技术中的技术问题，图2为本公开实施例提供的基于图像大数据的攻击行为挖掘方法的流程示意图，本实施例提供的基于图像大数据的攻击行为挖掘方法可以由图1中所示的大数据平台服务器100执行，下面对该基于图像大数据的攻击行为挖掘方法进行详细介绍。

步骤S110，获取大数据服务终端200在预设时间段内已浏览的图像数据并汇集为大数据服务终端200的图像大数据集合。

步骤S120，获取大数据服务终端200在预设时间段内浏览图像数据时的网络安全匹配参数以及图像数据所对应的图像交互行为信息，并根据网络安全匹配参数和图像交互行为信息对图像大数据集合进行攻击行为挖掘，得到大数据服务终端200所对应的攻击行为列表。

步骤S130，根据大数据服务终端200所对应的攻击行为列表对大数据服务终端200的图像加载组件进行配置。

本实施例中，预设时间段可以由大数据平台的运营人员进行灵活配置，例如，可以设置每隔7天为一个预设时间段。

本实施例中，图像数据可以是指大数据服务终端200在浏览相关的业务（例如外卖订单业务、在线直播业务等）时加载过的图像数据，这些数据图像可以由大数据服务终端200实时缓存后上传给大数据平台服务器100。

基于上述步骤，本实施例通过获取大数据服务终端200在预设时间段内已浏览的图像数据并汇集为大数据服务终端200的图像大数据集合，然后结合大数据服务终端200在预设时间段内浏览图像数据时的网络安全匹配参数以及图像数据所对应的图像交互行为信息对图像大数据集合进行攻击行为挖掘，从而可以对图像大数据的攻击行为进行全面有效地挖掘，便于后续对大数据服务终端200的图像加载组件进行优化配置。

在一种可能的实现方式中，针对步骤S120，进一步可以通过如下子步骤实现，详细描述如下。

子步骤S121，获取大数据服务终端200在预设时间段内的历史网络数据，并从大数据服务终端200中获取其在预设时间段内的网络环境配置信息后，根据网络环境配置信息对历史网络数据进行数据分析，得到大数据服务终端200的网络安全匹配参数。

本实施例中，网络环境配置信息可以包括该预设时间段内网络环境更新元素与原始网络环境元素之间的元素差异信息以及网络环境更新元素的网络协议标签。

其中，网络环境元素是指网络环境中构成的一系列影响网络数据传输的元素，例如网络静态属性元素、网络动态属性元素、网络接口属性元素等等，在此不作具体限定。由此可知，原始网络环境元素可以是指最初网络环境中的网络环境元素，而网络环境更新元素可以是指后续增加或者更改的网络环境元素。

此外，网络协议标签可以用于表示该网络环境更新元素对应的网络协议类型，例如TCP(Transmission Control Protocol，传输控制协议) 类型等，在此不作具体限定。

本实施例中，历史网络数据可以记录有多个不同的网络数据区域，不同的网络数据区域可以用于记录不同统计节点或者统计项目的网络数据信息。

子步骤S122，从图像数据所关联的交互传输记录中提取交互节点代码，对交互节点代码进行处理，从中提取交互节点标识及其对应的交互内容，将选择的交互节点标识转化为交互行为标签后，根据交互行为标签获取交互内容所对应的图像交互对象区域，并将每个交互行为标签与对应的图像交互对象区域确定为图像数据所对应的图像交互行为信息。

本实施例中，交互传输记录可以是指大数据服务终端200在浏览图像数据时与任何外部终端或者服务器针对所浏览的图像数据的一些图像交互行为，例如图像更新行为，图像替换行为等等，由此在本实施例中，可以以交互节点代码的形式来表示这些图像交互行为，从而可以提取到相关的交互节点标识及其对应的交互内容。

例如，可以提取到某个图像更新行为的标识（如对应于具体哪个业务类型的图像）对应的交互内容（如具体更新的哪一部分区域，更新的业务类型是什么等），由此将选择的交互节点标识转化为交互行为标签后，根据交互行为标签获取交互内容所对应的图像交互对象区域，并将每个交互行为标签与对应的图像交互对象区域确定为图像数据所对应的图像交互行为信息。

子步骤S123，根据网络安全匹配参数和图像交互行为信息对图像大数据集合进行攻击行为挖掘，得到大数据服务终端200所对应的攻击行为列表。

其中，示例性地，针对步骤S121，以下将给出一种可能的实施例对其具体的实施方案进行非限制性阐述。

子步骤S1211，根据网络环境更新元素与原始网络环境元素之间的元素差异信息，确定历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

作为一种可能的实现方式，本子步骤S1211的具体实现方式可参见如下描述。

（1）分别检测网络环境更新元素在网络环境中的第一环境元素访问目标和对应的原始网络环境元素在网络环境中的第二环境元素访问目标。

值得说明的是，第一环境元素访问目标和第二环境元素访问目标可分别用于表示网络环境更新元素和对应的原始网络环境元素被配置时的源路径所对应的访问目标。例如，访问目标可以是一些协议配置表项、防护等级配置表项等信息。

（2）根据每个第一环境元素访问目标和对应的第二环境元素访问目标确定网络环境更新元素与原始网络环境元素之间的元素差异信息。

值得说明的是，元素差异信息可以包括至少一个元素差异节点，每个元素差异节点用于表示网络环境更新元素与原始网络环境元素之间存在被更新情况的配置表项。

例如，如果元素差异信息包括元素差异节点A、元素差异节点B以及元素差异节点C，那么元素差异节点A、元素差异节点B以及元素差异节点C用于表示网络环境更新元素与原始网络环境元素之间存在被更新情况的配置表项A、配置表项B以及配置表项C。

（3）从元素差异信息中获取每个元素差异节点所对应的网络配置更新组件，并根据网络配置更新组件确定历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书。

例如，可以从网络配置更新组件中获取各个配置更新行为。本实施例中，每个配置更新行为可以用于表示每次发起配置更新访问时的网络行为，例如网络修改行为、网络删除行为等。

接着，可以提取各个配置更新行为的行为溯源结果并构建对应的行为溯源矩阵，针对历史网络数据中的每个数据访问区域，根据行为溯源矩阵对数据访问区域的访问产生记录进行处理，得到行为溯源矩阵的多个不同溯源对象的匹配结果作为访问产生记录的待定数据访问异常项，以得到每个数据访问区域的待定数据访问异常项。

接着，可以基于每个数据访问区域的待定数据访问异常项，匹配出待定数据访问异常项的每个异常项为网络攻击异常项的置信度、以及每个异常项为网络攻击异常项时该异常项相对于其所在的溯源对象的数据访问区域的访问态势。

接着，可以确定置信度高于预设置信度阈值的异常项为网络攻击异常项，并基于确定出的各网络攻击异常项的访问态势相对于其所在的溯源对象的数据访问区域的访问态势的态势趋势，确定由网络攻击异常项确定出的溯源对象的数据访问区域的访问态势。

接着，可以去掉各网络攻击异常项确定出的溯源对象的数据访问区域的访问态势中被超过两次确定的溯源对象的数据访问区域的访问态势，得到各待定溯源对象的数据访问区域的访问态势。

接着，可以根据各待定溯源对象的数据访问区域的访问态势确定历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书。

（4）根据历史网络数据中每个数据访问区域的数据访问异常项以及数据访问验证证书确定历史网络数据对应于每个网络环境更新元素的目标网络数据区域。

子步骤S1212，根据每个网络环境更新元素的网络协议标签，对历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到大数据服务终端200的网络安全匹配参数。

作为一种可能的实现方式，本子步骤S1212的具体实现方式可参见如下描述。

（1）根据每个网络环境更新元素的网络协议标签，获取每个网络环境更新元素的协议调用节点序列以及各协议特征项。

本实施例中，协议调用节点序列可以用于记录每个网络环境更新元素的协议调用节点，协议特征项用于表征每个网络环境更新元素在不同协议调用节点下的匹配特征项。其中，协议调用节点可以是指每次调用网络协议时的业务程序组件，具体可以根据实时的业务需求进行确定。

（2）根据协议调用节点序列对历史网络数据对应于每个网络环境更新元素的目标网络数据区域进行数据分析，得到每个网络环境更新元素对应的频繁调用数据区域下的目标协议特征项。

本实施例中，频繁调用数据区域可以包括被设定数量范围的协议调用节点调用的区域。

（3）根据每个网络环境更新元素对应的频繁调用数据区域下的目标协议特征项得到大数据服务终端200的网络安全匹配参数。

进一步地，针对步骤S123，以下将给出一种可能的实施例对其具体的实施方案进行非限制性阐述。

子步骤S1231，从网络安全匹配参数中获取多个协议特征项的网络安全参数，并从多个网络安全参数分别提取对应的网络安全向量。

本实施例中，网络安全向量可以用于表示网络安全参数所对应的协议特征项所对应的网络安全行为特征。

子步骤S1232，根据提取的网络安全向量确定各个网络安全参数与图像交互行为信息之间的攻击挖掘场景集，并根据攻击挖掘场景集，构建对应的攻击行为挖掘模型。

子步骤S1233，根据构建的攻击行为挖掘模型，对图像大数据集合进行攻击行为挖掘，得到大数据服务终端200所对应的攻击行为列表。

其中，作为一种示例，在子步骤S1231中，本实施例可以对多个网络安全参数所对应的各协议特征项进行聚类，得到各协议特征项的聚类类型，然后根据预设的针对聚类类型的网络安全向量提取模板，确定由网络安全向量提取模板所指定的网络安全向量的聚类类型。当同一协议特征项包括属于不同网络安全向量的多个聚类类型时，则统计同一协议特征项中各网络安全向量的聚类类型的数量，然后确定统计的聚类类型的数量最大的网络安全向量，并为同一协议特征项添加确定的网络安全向量的提取标签，以及为不包括网络安全向量的聚类类型的协议特征项添加非网络安全向量的提取标签。

在此基础上，可以根据待特征提取的协议特征项的网络安全参数和所添加的提取标签进行融合，得到第一融合提取单元，并将各聚类类型输入第一融合提取单元中，输出各聚类类型对于各网络安全向量的收敛度，然后将对于各网络安全向量的收敛度大于或等于第一收敛度阈值的聚类类型重新确定为该网络安全向量的聚类类型，并返回为同一协议特征项添加确定的网络安全向量的提取标签并继续处理，直至满足迭代停止条件时得到待特征提取的协议特征项的提取标签。

并且，在满足迭代停止条件后，获取通过相应的融合提取单元所确定的待特征提取的协议特征项对于各网络安全向量的收敛度，并筛选对于各网络安全向量的收敛度大于或等于第二收敛度阈值，然后按照筛选的协议特征项和相应的提取标签进行融合，得到第二融合提取单元，通过第二融合提取单元确定待特征提取的协议特征项对于各网络安全向量的收敛度，并按照待特征提取的协议特征项对于各网络安全向量的收敛度更新相应协议特征项的提取标签。

而后，在按照待特征提取的协议特征项对于各网络安全向量的收敛度更新相应协议特征项的提取标签后，返回筛选对于各网络安全向量的收敛度大于或等于第二收敛度阈值的协议特征项的步骤继续执行，直至满足更新停止条件时，得到待特征提取的协议特征项更新后的提取标签。

接着，可以获取更新提取标签后通过第二融合提取单元确定的各待特征提取的协议特征项对于各网络安全向量的收敛度和属于非网络安全向量的收敛度，然后挑选在更新提取标签后确定的对于各网络安全向量的收敛度大于或等于第三收敛度阈值的协议特征项，并按挑选的协议特征项和相应提取标签进行融合，得到第三融合提取单元，由此可以通过第三融合提取单元确定各待特征提取的协议特征项对于各网络安全向量的收敛度，并按通过第三融合提取单元确定的对于各网络安全向量的收敛度确定相应协议特征项的网络安全向量，最后获取不同于待特征提取的协议特征项的目标协议特征项，并通过第三融合提取单元确定目标协议特征项对于各网络安全向量的收敛度，而后根据目标协议特征项对于各网络安全向量的收敛度确定目标协议特征项所对应的网络安全向量，从而根据各个确定的协议特征项的网络安全向量进行汇总得到各个网络安全参数分别对应的网络安全向量。

其中，作为一种示例，在子步骤S1232中，可以通过以下实现方式来执行。

（1）根据提取的网络安全向量确定每至少两个关联的网络安全参数与图像交互行为信息之间的贝叶斯网络攻击图的第一网络攻击图序列。

其中，贝叶斯网络攻击图包括多种贝叶斯网络攻击图节点。

（2）选取第一初始行为攻击特征库序列。

其中，第一初始行为攻击特征库序列对应的行为攻击特征库组包括预设的第一行为攻击特征对象以及待组合的特征匹配对象和特征交互对象。

（3）对于每一种贝叶斯网络攻击图节点对应的第一网络攻击图序列，将第一初始行为攻击特征库的第一行为攻击特征对象和每个阶数的特征匹配对象进行组合，得到多个组合对象集合。

其中，示例性地，第一初始行为攻击特征库序列的多个不同阶数的特征匹配对象通过以下方式确定：

对于第一网络攻击图序列对应的网络安全交互向量，对网络安全交互向量以及对应的网络安全向量进行分析，得到与网络安全向量的相关度大于预设的第一阈值的目标网络安全向量，然后根据目标网络安全向量的数量，确定第一初始行为攻击特征库序列的特征匹配对象阶数。例如，第一初始行为攻击特征库序列的特征匹配对象阶数可以等于目标网络安全向量的数量，也可以等于目标网络安全向量的数量乘以某个具体的系数，在此不作详细限定。

（4）按照多个组合对象集合分别映射第一网络攻击图序列，得到多种不同组合对象集合的攻击图节点。

其中，组合对象集合中特征匹配对象的输入参数为该第一网络攻击图序列对应的网络安全参数的网络安全向量，第一行为攻击特征对象的输出参数为该第一网络攻击图序列对应的网络安全参数的网络安全交互向量。

（5）根据攻击图节点以及第一初始行为攻击特征库序列的多个不同阶数的特征交互对象，确定各个网络安全参数与图像交互行为信息之间的攻击挖掘场景集，攻击挖掘场景集覆盖多个目标攻击匹配参数。

例如，可以对第一初始行为攻击特征库序列进行更新，确定支持度最小对应的行为攻击特征库组的第一行为攻击特征集合，得到包括第一行为攻击特征集合的第一网络安全交互单元。其中，第一初始行为攻击特征库序列对应的行为攻击特征库组包括预设的第一行为攻击特征对象以及待组合的特征匹配对象和特征交互对象。

然后，在确定更新得到的第一网络安全交互单元的交互参数符合预设条件后，将第一网络安全交互单元基于第一网络攻击图序列中的网络安全交互向量输出的网络安全参数的预测网络安全交互向量与网络安全参数的网络安全交互向量进行比较，根据多个预测网络安全交互向量与网络安全交互向量之间的收敛度大于预设的第二阈值所确定的收敛度范围，确定第一网络安全交互单元的第一交互参数。

接下来，可以根据网络安全交互向量和第一网络安全交互单元的预测网络安全交互向量的向量差异结果，对预设的第二初始行为攻击特征库序列进行更新，确定支持度最小对应的行为攻击特征库组的第二行为攻击特征集合，得到包括第二行为攻击特征集合的第二网络安全交互单元，并基于更新得到的多个第二行为攻击特征库序列，确定第一网络攻击图序列的第二交互参数。

其中，值得说明的是，第二初始行为攻击特征库中的行为攻击特征库组包括预设的特征匹配对象、第二行为攻击特征对象以及待组合的特征交互对象，第二行为攻击特征对象和第一行为攻击特征对象的阶数相同但输出参数不同，第一行为攻击特征对象的输出参数为网络安全交互向量，第二行为攻击特征对象的输出参数为第一网络安全交互单元的预测网络安全交互向量与网络安全交互向量的向量差异结果。

而后，根据第一交互参数和第二交互参数，确定第一网络安全交互单元的预测网络安全交互向量对应的预测交互参数，并基于贝叶斯网络攻击图的网络攻击图序列中多种贝叶斯网络攻击图节点之间的制约关系，生成基于多种贝叶斯网络攻击图节点的攻击场景拓扑链，并计算攻击场景拓扑链中每一级攻击场景拓扑组合的攻击匹配参数。

其中，值得说明的是，第一交互参数和第二交互参数通过各自对应的权重参数确定第一网络安全交互单元的预测网络安全交互向量对应的预测交互参数。

由此，可以根据攻击场景拓扑链中每一级攻击场景拓扑组合的攻击匹配参数确定各个网络安全参数与图像交互行为信息之间的攻击挖掘场景集。

进一步地，在子步骤S1232中，根据攻击挖掘场景集，构建对应的攻击行为挖掘模型，可以通过以下实现方式来执行。

（1）根据攻击挖掘场景集，分别将同一类攻击挖掘场景集所覆盖的各个目标攻击匹配参数划分为一个挖掘项空间区域，并根据每一个挖掘项空间区域内的挖掘项数量，将挖掘项数量大于预设数量阈值的挖掘项空间区域的空间区域缩小，并将挖掘项数量小于预设数量阈值的挖掘项空间区域的空间区域扩大，得到调整后的各挖掘项空间区域。其中，每一个挖掘项空间区域内的所有攻击匹配参数构成一个挖掘对象。

（2）根据单个挖掘对象中各攻击匹配参数的攻击交互类型，计算出单个挖掘对象中的每一个攻击匹配参数与其他攻击匹配参数之间的关联关系。

（3）对于单个挖掘对象，根据每一个攻击匹配参数与其他攻击匹配参数之间的关联关系的顺序，对单个挖掘对象中的各攻击匹配参数进行排序，得到攻击匹配参数排序列表。

（4）对于单个挖掘对象，依次对攻击匹配参数排序列表中的每一个攻击匹配参数执行以下过程，直至确定单个挖掘对象的主攻击匹配参数：

（5）判断攻击匹配参数排序列表中的攻击匹配参数的第一排序大小，是否大于第一预设等级，若确定大于则将大于第一预设排序大小的攻击匹配参数作为单个挖掘对象的主攻击匹配参数。

（6）对于单个挖掘对象，确定单个挖掘对象的主攻击匹配参数为与之进行映射关联的攻击匹配参数，并确定除去单个挖掘对象的主攻击匹配参数以外的其他攻击匹配参数为单个挖掘对象的成员攻击匹配参数，其中，单个挖掘对象的成员攻击匹配参数为与单个挖掘对象的主攻击匹配参数进行映射关联的攻击匹配参数。

（7）根据确定的各个挖掘对象的主攻击匹配参数和成员攻击匹配参数构建对应的攻击行为挖掘模型。

进一步地，在子步骤S1233中，可以通过以下实现方式来执行。

（1）根据构建的攻击行为挖掘模型中每个主攻击匹配参数与成员攻击匹配参数之间的从属层级关系，获取该主攻击匹配参数与成员攻击匹配参数的攻击行为挖掘策略。

其中，攻击行为挖掘策略为依次按照每个主攻击匹配参数与成员攻击匹配参数之间的从属层级关系进行攻击行为挖掘的策略。

（2）按照攻击行为挖掘策略所对应的从属层级关系，分别调用每个主攻击匹配参数与成员攻击匹配参数对图像大数据集合进行攻击行为挖掘，得到大数据服务终端200所对应的攻击行为列表。

进一步地，针对步骤S130，在一种可能的示例中，本实施例具体可以根据大数据服务终端200所对应的攻击行为列表中的每个攻击行为节点确定大数据服务终端200的图像加载组件与每个攻击行为节点相关的图像加载单元，然后在该图像加载单元中针对所对应的攻击行为节点进行屏蔽处理，由此可以对大数据服务终端200的图像加载组件进行优化配置。

或者，在其它任意可能的实现方式中，本领域技术人员也可以选择在该图像加载单元中针对所对应的攻击行为节点进行其它处理，本实施例对此不作具体限定。

图3为本公开实施例提供的基于图像大数据的攻击行为挖掘装置300的功能模块示意图，本实施例可以根据上述大数据平台服务器100执行的方法实施例对该基于图像大数据的攻击行为挖掘装置300进行功能模块的划分，也即该基于图像大数据的攻击行为挖掘装置300所对应的以下各个功能模块可以用于执行上述大数据平台服务器100执行的各个方法实施例。其中，该基于图像大数据的攻击行为挖掘装置300可以包括获取模块310、挖掘模块320和配置模块330，下面分别对该基于图像大数据的攻击行为挖掘装置300的各个功能模块的功能进行详细阐述。

获取模块310，用于获取大数据服务终端200在预设时间段内已浏览的图像数据并汇集为大数据服务终端200的图像大数据集合。其中，获取模块310可以用于执行上述的步骤S110，关于获取模块310的详细实现方式可以参照上述针对步骤S110的详细描述即可。

挖掘模块320，用于获取大数据服务终端200在预设时间段内浏览图像数据时的网络安全匹配参数以及图像数据所对应的图像交互行为信息，并根据网络安全匹配参数和图像交互行为信息对图像大数据集合进行攻击行为挖掘，得到大数据服务终端200所对应的攻击行为列表。其中，挖掘模块320可以用于执行上述的步骤S120，关于挖掘模块320的详细实现方式可以参照上述针对步骤S120的详细描述即可。

配置模块330，用于根据大数据服务终端200所对应的攻击行为列表对大数据服务终端200的图像加载组件进行配置。其中，配置模块330可以用于执行上述的步骤S130，关于配置模块330的详细实现方式可以参照上述针对步骤S130的详细描述即可。

进一步地，图4为本公开实施例提供的用于执行上述基于图像大数据的攻击行为挖掘方法的大数据平台服务器100的结构示意图。如图4所示，该大数据平台服务器100可包括网络接口110、机器可读存储介质120、处理器130以及总线140。处理器130可以是一个或多个，图4中以一个处理器130为例。网络接口110、机器可读存储介质120以及处理器130可以通过总线140或其它方式连接，图4中以通过总线140连接为例。

机器可读存储介质120作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本公开实施例中的基于图像大数据的攻击行为挖掘方法对应的程序指令/模块（例如图3中所示的基于图像大数据的攻击行为挖掘装置300的获取模块310、挖掘模块320和配置模块330）。处理器130通过检测存储在机器可读存储介质120中的软件程序、指令以及模块，从而执行终端设备的各种功能应用以及数据处理，即实现上述的基于图像大数据的攻击行为挖掘方法，在此不再赘述。

机器可读存储介质120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，机器可读存储介质120可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-OnlyMemory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合发布节点的存储器。在一些实例中，机器可读存储介质120可进一步包括相对于处理器130远程设置的存储器，这些远程存储器可以通过网络连接至大数据平台服务器100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器130可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器130中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器130可以是通用处理器、数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。

大数据平台服务器100可以通过网络接口110和其它设备（例如大数据服务终端200）进行信息交互。网络接口110可以是电路、总线、收发器或者其它任意可以用于进行信息交互的装置。处理器130可以利用网络接口110收发信息。

最后应说明的是：本领域内的技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、光学存储器等）上实施的计算机程序产品的形式。

对于上述装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未申请的本技术领域中的公知常识或惯用技术手段。

显然，本领域的技术人员可以对本公开进行各种改动和变型而不脱离本公开的范围。这样，倘若本公开的这些修改和变型属于本公开权利要求及其等同技术的范围之内，则本公开也意图包含这些改动和变型在内。