结合大数据服务器的网络攻击防护方法及大数据防护设备

摘要

本申请公开了结合大数据服务器的网络攻击防护方法及大数据防护设备，该方法为针对网络攻击防护策略的更新升级方法，也就是在实际网络攻击的防御动作执行之前进行的，更新网络攻击识别模型的联动防护指标的更新指示信息可以由网络攻击检测模型通过自适应训练和学习得到，相较于相关技术中基于人工经验设置联动防护指标的更新指示的方式，本实施例的联动防护指标的更新指示可以降低对人工经验的依赖，从而增加联动防护指标的更新指示的确定方式，提升联动防护指标的更新指示的实时性和业务匹配性，有利于提升网络攻击防护策略的网络攻击防御能力，避免因网络攻击防护策略的更新升级不到位而导致相关网络设备受到黑客攻击而造成的重要数据丢失。

说明书

技术领域

本申请涉及大数据和网络攻击防护技术领域，特别涉及一种结合大数据服务器的网络攻击防护方法及大数据防护设备。

背景技术

网络攻击（Cyber Attacks，也称赛博攻击）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。

网络攻击一般可以分为主动攻击和被动攻击。其中，主动攻击是指对攻击目标的消息进行修改或拒绝用户使用资源的攻击方式（比如篡改、伪造和拒绝服务等）。被动攻击是指攻击者不对数据信息作任何修改，但在未经授权用户同意与许可的情况下截取或窃听用户的信息或相关数据的攻击方式（比如窃听和流量分析等）。

现如今，随着大数据的火热发展，大部分业务都上升到云端进行，大数据服务器也承载了更多的压力，网络攻击对于大数据服务器中的数据安全而言是一个不可忽视的威胁，轻则导致用户隐私信息泄露，重则导致大量经济损失和严重的后果。因此，如何实现对网络攻击的防护对大数据时代下的各类服务器而言是相当重要的。

一般而言，相关的网络攻击防护技术是基于网络防护模型或者防火墙实现的，但是网络攻击类型变幻莫测，为了确保网络攻击防护的效率，需要对网络防护模型或者防火墙进行不定期升级和更新，但是相关的更新升级方法仍然存在缺陷。

发明内容

本申请实施例之一提供一种结合大数据服务器的网络攻击防护方法，包括：获取待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息，所述待测试攻击行为数据对应的实时攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的实时攻击类型信息；基于待更新升级的网络攻击防护策略中的网络攻击识别模型，对所述待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息进行网络攻击检测，得到网络攻击检测结果，并基于所述网络攻击检测结果对所述网络攻击防护策略进行更新升级。如此设计，能够在对所述网络攻击防护策略进行更新升级时降低对人工经验的依赖，从而提高更新升级后的网络攻击防护策略的网络攻击防御能力。

优选的，基于待更新升级的网络攻击防护策略中的网络攻击识别模型，对所述待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息进行网络攻击检测，得到网络攻击检测结果，并基于所述网络攻击检测结果对所述网络攻击防护策略进行更新升级，包括：将所述待测试攻击行为数据输入到待更新升级的网络攻击防护策略中的网络攻击识别模型，通过所述网络攻击识别模型的行为识别单元对所述待测试攻击行为数据进行行为识别得到所述待测试攻击行为数据的目标行为识别结果；通过所述网络攻击识别模型的攻击意图解析单元，基于所述目标行为识别结果确定所述待测试攻击行为数据对应的潜在攻击意图信息，所述待测试攻击行为数据对应的潜在攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的潜在攻击类型信息；通过所述待更新升级的网络攻击防护策略中的网络攻击检测模型，基于所述待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息，确定所述潜在攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第一网络攻击检测结果，以及所述实时攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第二网络攻击检测结果；基于所述第一网络攻击检测结果和第二网络攻击检测结果更新所述网络攻击防护策略的联动防护指标，得到完成升级的网络攻击防护策略。如此设计，更新网络攻击识别模型的联动防护指标的更新指示信息可以由网络攻击检测模型通过自适应训练和学习得到，相较于相关技术中基于人工经验设置联动防护指标的更新指示的方式，本实施例的联动防护指标的更新指示可以降低对人工经验的依赖，从而增加联动防护指标的更新指示的确定方式，提升联动防护指标的更新指示的实时性和业务匹配性，有利于提升网络攻击防护策略的网络攻击防御能力，避免因网络攻击防护策略的更新升级不到位而导致相关网络设备受到黑客攻击而造成的重要数据丢失。

优选的，所述通过所述网络攻击识别模型的行为识别单元对所述待测试攻击行为数据进行行为识别得到所述待测试攻击行为数据的目标行为识别结果，包括：通过所述网络攻击识别模型的行为识别单元，对所述待测试攻击行为数据进行行为识别，得到所述待测试攻击行为数据的多个行为识别度的行为识别结果，并对所述多个行为识别度的行为识别结果进行关联，得到所述待测试攻击行为数据的目标行为识别结果。如此设计，能够确保目标行为识别结果的完整性。

优选的，所述行为识别单元包括行为关联层以及至少两层顺次连接的行为识别层；所述通过所述网络攻击识别模型的行为识别单元，对所述待测试攻击行为数据进行行为识别，得到所述待测试攻击行为数据的多个行为识别度的行为识别结果，并对所述多个行为识别度的行为识别结果进行关联，得到所述待测试攻击行为数据的目标行为识别结果，包括：通过顺次连接的所述行为识别层对所述待测试攻击行为数据进行行为识别，得到不同行为识别层输出的不同行为识别度的行为识别结果；通过所述行为关联层，对所述不同行为识别度的行为识别结果按照从末尾的行为识别层到起始的行为识别层的顺序进行关联，得到所述待测试攻击行为数据的目标行为识别结果；其中，所述行为关联层的数目比所述行为识别层少一层；所述通过行为关联层，对所述不同行为识别度的行为识别结果按照从末尾的行为识别层到起始的行为识别层的顺序进行关联，得到所述待测试攻击行为数据的目标行为识别结果，包括：对输入当前行为关联层的行为识别结果进行行为识别度修正处理，得到修正后行为识别结果，所述修正后行为识别结果与未参与关联处理的行为识别结果中由最底层行为识别层识别的行为识别结果的行为识别度相同；其中，若当前行为关联层为末尾的行为关联层，输入所述当前关联层的行为识别结果为末尾的行为识别层识别的行为识别结果；通过所述当前行为关联层对所述修正后行为识别结果，与所述未参与关联处理的行为识别结果中由最底层行为识别层识别的行为识别结果进行行为识别结果关联，将关联后的行为识别结果输入前一层行为关联层，其中，若所述当前行为关联层为起始的行为关联层，所述当前行为关联层得到的关联后的行为识别结果为目标行为识别结果。如此设计，能够确保目标行为识别结果的时序连续性和完整性。

优选的，所述获取待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息，包括：获取待更新升级的网络攻击防护策略的初始待测试攻击行为数据，所述初始待测试攻击行为数据的行为画像包括：初始待测试攻击行为数据的初始实时攻击意图信息，所述初始实时攻击意图信息包括所述初始待测试攻击行为数据中各攻击行为事件的实时攻击类型信息；从初始待测试攻击行为数据中，抽取至少一组预设数据量的攻击行为数据，将抽取的攻击行为数据作为所述待更新升级的网络攻击防护策略的待测试攻击行为数据；基于所述待测试攻击行为数据在对应的初始待测试攻击行为数据中的数据分布信息，从所述初始待测试攻击行为数据的初始实时攻击意图信息中获取所述待测试攻击行为数据的实时攻击意图信息。如此设计，能够基于预设数据量实现对实时攻击意图信息的确定，从而准确、可靠地确定出实时攻击意图信息。

优选的，所述实时攻击意图信息为实时攻击意图倾向的记录信息，所述潜在攻击意图信息为潜在攻击意图倾向的记录信息；所述通过所述待更新升级的网络攻击防护策略中的网络攻击检测模型，基于所述待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息，确定所述潜在攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第一网络攻击检测结果，以及所述实时攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第二网络攻击检测结果，包括：将所述待测试攻击行为数据和对应的实时攻击意图倾向的记录信息组合处理，得到组合处理后的实时攻击意图倾向的记录信息，将所述待测试攻击行为数据和对应的潜在攻击意图倾向的记录信息组合处理，得到组合处理后的潜在攻击意图倾向的记录信息；通过所述网络攻击检测模型的行为信息获取单元，从所述组合处理后的潜在攻击意图倾向的记录信息中获取第一攻击行为数据行为信息；通过所述网络攻击检测模型的意图倾向检测单元，基于所述第一攻击行为数据对应的行为交互特征确定所述组合处理后的潜在攻击意图倾向的记录信息对应的潜在攻击意图倾向的记录信息，属于所述待测试攻击行为数据的有效的攻击意图检测数据的第一网络攻击检测结果；通过所述网络攻击检测模型的行为信息获取单元，从所述组合处理后的实时攻击意图倾向的记录信息中获取第二攻击行为数据行为信息；通过所述网络攻击检测模型的意图倾向检测单元，基于所述第二攻击行为数据行为信息确定所述组合处理后的实时攻击意图倾向的记录信息对应的实时攻击意图倾向的记录信息，属于所述待测试攻击行为数据的有效的攻击意图检测数据的第二网络攻击检测结果。如此设计，能够基于意图倾向检测单元实现对攻击意图倾向的深度分析，从而确保不同的网络攻击检测结果的可信度。

优选的，所述基于所述第一网络攻击检测结果和第二网络攻击检测结果更新所述网络攻击防护策略的联动防护指标，得到完成升级的网络攻击防护策略，包括：基于所述第一网络攻击检测结果，确定所述网络攻击识别模型的第一攻击意图解析的误差信息；基于所述待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息中，相同攻击行为事件的潜在攻击类型信息和实时攻击类型信息之间的差异化比较结果，确定所述网络攻击识别模型的第二攻击意图解析的误差信息；基于所述第一攻击意图解析的误差信息和第二攻击意图解析的误差信息，更新所述网络攻击识别模型的联动防护指标，得到完成升级的网络攻击识别模型；基于所述第一网络攻击检测结果和第二网络攻击检测结果，确定所述网络攻击检测模型的意图倾向判定的误差信息；基于所述意图倾向判定的误差信息更新所述网络攻击检测模型的联动防护指标；其中，所述潜在攻击类型信息包括潜在攻击类型和与所述潜在攻击类型对应的潜在网络攻击检测结果；所述基于所述待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息中，相同攻击行为事件的潜在攻击类型信息和实时攻击类型信息之间的差异化比较结果，确定所述网络攻击识别模型的第二攻击意图解析的误差信息，包括：基于待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息，确定待测试攻击行为数据中各攻击行为事件的实时攻击类型，和在所述潜在攻击意图信息中各攻击行为事件在对应的实时攻击类型下的潜在网络攻击检测结果；基于待测试攻击行为数据的攻击行为事件的实时攻击类型和所述实时攻击类型下的潜在网络攻击检测结果，确定所述网络攻击识别模型的第二攻击意图解析的误差信息。如此设计，能够提升联动防护指标的更新指示的实时性和业务匹配性，有利于提升网络攻击防护策略的网络攻击防御能力，避免因网络攻击防护策略的更新升级不到位而导致相关网络设备受到黑客攻击而造成的重要数据丢失。

优选的，所述实时攻击意图倾向的记录信息和潜在攻击意图倾向的记录信息的攻击行为数据的描述维度数相同，所述实时攻击意图倾向的记录信息各攻击行为数据的描述维度上的独立攻击行为数据包括：所述待测试攻击行为数据的各攻击行为事件是否为攻击行为数据的描述维度对应的实时攻击类型的信息；所述潜在攻击意图倾向的记录信息各攻击行为数据的描述维度上的独立攻击行为数据包括：所述待测试攻击行为数据的各攻击行为事件为攻击行为数据的描述维度对应的潜在攻击类型的潜在网络攻击检测结果；所述将所述待测试攻击行为数据和对应的实时攻击意图倾向的记录信息组合处理，得到组合处理后的实时攻击意图倾向的记录信息，将所述待测试攻击行为数据和对应的潜在攻击意图倾向的记录信息组合处理，得到组合处理后的潜在攻击意图倾向的记录信息，包括：将待测试攻击行为数据和实时攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，作为组合处理后的实时攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，对待测试攻击行为数据和实时攻击意图倾向的记录信息进行组合处理得到组合处理后的实时攻击意图倾向的记录信息；将待测试攻击行为数据和潜在攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，作为组合处理后的潜在攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，对待测试攻击行为数据和潜在攻击意图倾向的记录信息进行组合处理得到组合处理后的潜在攻击意图倾向的记录信息。如此设计，能够确保组合处理后的潜在攻击意图倾向的记录信息不会出现缺失，从而为后续的策略更新提供完整可靠的分析依据。

本申请实施例之一提供一种大数据防护设备，包括处理引擎、网络模块和存储器；所述处理引擎和所述存储器通过所述网络模块通信，所述处理引擎从所述存储器中读取计算机程序并运行，以执行上述的方法。

本申请实施例之一提供一种计算机存储介质，其上存储有计算机程序，所述计算机程序在运行时实现上述的方法。

采用本申请实施例，可以获取待测试攻击行为数据和待测试攻击行为数据对应的实时攻击意图信息，待测试攻击行为数据对应的实时攻击意图信息包括待测试攻击行为数据中各攻击行为事件的实时攻击类型信息；将待测试攻击行为数据输入到待更新升级的网络攻击防护策略中的网络攻击识别模型，通过网络攻击识别模型的行为识别单元对待测试攻击行为数据进行行为识别得到待测试攻击行为数据的目标行为识别结果；通过网络攻击识别模型的攻击意图解析单元，基于目标行为识别结果确定待测试攻击行为数据对应的潜在攻击意图信息，待测试攻击行为数据对应的潜在攻击意图信息包括待测试攻击行为数据中各攻击行为事件的潜在攻击类型信息；通过待更新升级的网络攻击防护策略中的网络攻击检测模型，基于待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息，确定潜在攻击意图信息为待测试攻击行为数据的有效的攻击意图信息的第一网络攻击检测结果，以及实时攻击意图信息为待测试攻击行为数据的有效的攻击意图信息的第二网络攻击检测结果；基于第一网络攻击检测结果和第二网络攻击检测结果更新网络攻击防护策略的联动防护指标，得到完成升级的网络攻击防护策略，本实施例中更新网络攻击识别模型的联动防护指标的更新指示信息可以由网络攻击检测模型通过自适应训练和学习得到，相较于相关技术中基于人工经验设置联动防护指标的更新指示的方式，本实施例的联动防护指标的更新指示可以降低对人工经验的依赖，从而增加联动防护指标的更新指示的确定方式，提升联动防护指标的更新指示的实时性和业务匹配性，有利于提升网络攻击防护策略的网络攻击防御能力，避免因网络攻击防护策略的更新升级不到位而导致相关网络设备受到黑客攻击而造成的重要数据丢失。

在后面的描述中，将部分地陈述其他的特征。在检查后面内容和附图时，本领域的技术人员将部分地发现这些特征，或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面，当前申请中的特征可以被实现和获得。

附图说明

本申请将以示例性实施例的方式进一步说明，这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的，在这些实施例中，相同的编号表示相同的结构，其中：

图1是根据本发明的一些实施例所示的一种示例性结合大数据服务器的网络攻击防护系统的框图；

图2是根据本发明的一些实施例所示的一种示例性结合大数据服务器的网络攻击防护方法和/或过程的其中一个流程图；

图3是根据本发明的一些实施例所示的一种示例性结合大数据服务器的网络攻击防护方法和/或过程的另一个流程图，以及

图4是根据本发明的一些实施例所示的一种示例性大数据防护设备中硬件和软件组成的示意图。

具体实施方式

为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其它类似情景。除非从语言环境中显而易见或另做说明，图中相同标号代表相同结构或操作。

应当理解，本文使用的“系统”、“装置”、“单元”和/或“模组”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而，如果其他词语可实现相同的目的，则可通过其他表达来替换所述词语。

如本申请和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的步骤和元素，而这些步骤和元素不构成一个排它性的罗列，方法或者设备也可能包含其它的步骤或元素。

本申请中使用了流程图用来说明根据本申请的实施例的系统所执行的操作。应当理解的是，前面或后面操作不一定按照顺序来精确地执行。相反，可以按照倒序或同时处理各个步骤。同时，也可以将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。

参考图1，本实施例提供的结合大数据服务器的网络攻击防护系统可以包括数据业务终端10和大数据防护设备20等。

大数据防护设备20可以用于获取待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息，所述待测试攻击行为数据对应的实时攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的实时攻击类型信息；将所述待测试攻击行为数据输入到待更新升级的网络攻击防护策略中的网络攻击识别模型，通过所述网络攻击识别模型的行为识别单元对所述待测试攻击行为数据进行行为识别得到所述待测试攻击行为数据的目标行为识别结果；通过所述网络攻击识别模型的攻击意图解析单元，基于所述目标行为识别结果确定所述待测试攻击行为数据对应的潜在攻击意图信息，所述待测试攻击行为数据对应的潜在攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的潜在攻击类型信息；通过所述待更新升级的网络攻击防护策略中的网络攻击检测模型，基于所述待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息，确定所述潜在攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第一网络攻击检测结果，以及所述实时攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第二网络攻击检测结果；基于所述第一网络攻击检测结果和第二网络攻击检测结果更新所述网络攻击防护策略的联动防护指标，得到完成升级的网络攻击防护策略。

该完成升级的网络攻击防护策略中的网络攻击识别模型可以部署在需要的服务器或终端中，例如部署在大数据防护设备20中。

数据业务终端10可以用于获取待解析的目标攻击行为数据，将该目标攻击行为数据发送给大数据防护设备20。

大数据防护设备20，可以用于将目标攻击行为数据输入完成升级的网络攻击识别模型；通过所述网络攻击识别模型的行为识别单元，对所述目标攻击行为数据进行行为识别得到所述目标攻击行为数据的目标行为识别结果；通过所述网络攻击识别模型的攻击意图解析单元，基于所述目标行为识别结果确定所述目标攻击行为数据对应的潜在攻击意图信息，所述目标攻击行为数据对应的潜在攻击意图信息包括所述目标攻击行为数据中各攻击行为事件的潜在攻击类型信息。

以下分别进行详细说明。需说明的是，以下实施例的描述顺序不作为对实施例优选顺序的限定。

本发明实施例将从结合大数据服务器的网络攻击防护装置的角度进行描述，该结合大数据服务器的网络攻击防护装置具体可以集成在终端或服务器中，例如，可以以应用程序的形式集成在终端或服务器中。

本发明实施例提供的一种结合大数据服务器的网络攻击防护方法，该方法可以由终端或服务器（大数据防护设备）的处理器执行，本实施例中基于网络攻击识别模型实现攻击行为数据的攻击意图解析，是基于大数据分析技术的一种应用。

如图2所示，该结合大数据服务器的网络攻击防护方法可以包括：

101、将目标攻击行为数据输入完成升级的网络攻击识别模型；

102、基于网络攻击识别模型的行为识别单元，对目标攻击行为数据进行行为识别得到目标攻击行为数据的目标行为识别结果；

103、通过所述网络攻击识别模型的攻击意图解析单元，基于所述目标行为识别结果确定所述目标攻击行为数据对应的潜在攻击意图信息，所述目标攻击行为数据对应的潜在攻击意图信息包括所述目标攻击行为数据中各攻击行为事件的潜在攻击类型信息。

可以理解，在得到潜在攻击意图信息之后，能够基于潜在攻击意图信息对相关的数据进行转移或者加密，还可以根据潜在攻击意图信息对相关的业务请求进行拦截，还可以根据潜在攻击意图信息对相关的数据访问接口进行权限更新，这样能够实现对网络攻击的有效防护，从而确保数据安全。

本实施例的网络攻击识别模型是可用于对攻击行为数据进行攻击意图解析的网络，网络攻击识别模型的模型结构在本实施例中没有任何限制，即网络攻击识别模型可基于相关技术中任何可用于攻击意图解析的网络模型构建。

在一个示例中，目标攻击行为数据可以是从数据业务交互行为中获取的，例如从政务业务的数据业务交互行为，支付业务的数据业务交互行为，办公业务的数据业务交互行为，数据挖掘业务的数据业务交互行为中获取。

可选的，步骤“将目标攻击行为数据输入完成升级的网络攻击识别模型”前，还可以包括：

确定待识别的目标数据业务交互行为，从目标数据业务交互行为中获取攻击行为数据作为目标攻击行为数据。

其中，目标数据业务交互行为可以为有效的业务场景对应的数据业务交互行为，例如，可以为有效的政务业务数据业务交互行为等等。

本实施例中，从数据业务交互行为中获取目标攻击行为数据后，还可以对目标攻击行为数据进行行为识别度校正处理，之后再将处理后的目标攻击行为数据输入网络攻击识别模型。

例如，步骤“将目标攻击行为数据输入完成升级的网络攻击识别模型”前，可以包括：获取网络攻击识别模型的输入攻击行为数据属性信息；基于所述输入攻击行为数据属性信息更新所述目标攻击行为数据的属性信息，得到更新后的目标攻击行为数据。其中，输入攻击行为数据属性信息包括但不限于：攻击行为数据的数据量、数据格式、数据来源等等。

本实施例中，首先结合图3，对上述基于网络攻击识别模型的结合大数据服务器的网络攻击防护方法进行介绍，本实施例中，网络攻击识别模型的模型训练过程是与其对应的网络攻击检测模型一起进行的，网络攻击识别模型的一部分联动防护指标的更新指示是由网络攻击检测模型自适应训练和学习所得到的。

本实施例中结合大数据服务器的网络攻击防护方法的总结A可以如下：获取待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息，所述待测试攻击行为数据对应的实时攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的实时攻击类型信息；基于待更新升级的网络攻击防护策略中的网络攻击识别模型，对所述待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息进行网络攻击检测，得到网络攻击检测结果，并基于所述网络攻击检测结果对所述网络攻击防护策略进行更新升级。

可以理解，本实施例所公开的结合大数据服务器的网络攻击防护方法可以理解为针对网络攻击防护策略的更新升级方法，也就是在实际网络攻击的防御动作执行之前进行的，可以理解，通过上述方法，更新网络攻击识别模型的联动防护指标的更新指示信息可以由网络攻击检测模型通过自适应训练和学习得到，相较于相关技术中基于人工经验设置联动防护指标的更新指示的方式，本实施例的联动防护指标的更新指示可以降低对人工经验的依赖，从而增加联动防护指标的更新指示的确定方式，提升联动防护指标的更新指示的实时性和业务匹配性，有利于提升网络攻击防护策略的网络攻击防御能力，避免因网络攻击防护策略的更新升级不到位而导致相关网络设备受到黑客攻击而造成的重要数据丢失。

选择性地，本实施例中结合大数据服务器的网络攻击防护方法的总结B还可以如下：根据获取到的待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息，对待更新升级的网络攻击防护策略进行更新升级。可以理解，该总结的进一步描述可以是与总结A对应的内容。

本实施例中结合大数据服务器的网络攻击防护方法的一个实施例包括：

201、获取待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息，所述待测试攻击行为数据对应的实时攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的实时攻击类型信息；

202、将所述待测试攻击行为数据输入到待更新升级的网络攻击防护策略中的网络攻击识别模型，通过所述网络攻击识别模型的行为识别单元对所述待测试攻击行为数据进行行为识别得到所述待测试攻击行为数据的目标行为识别结果；

203、通过所述网络攻击识别模型的攻击意图解析单元，基于所述目标行为识别结果确定所述待测试攻击行为数据对应的潜在攻击意图信息，所述待测试攻击行为数据对应的潜在攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的潜在攻击类型信息；

204、通过所述待更新升级的网络攻击防护策略中的网络攻击检测模型，基于所述待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息，确定所述潜在攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第一网络攻击检测结果，以及所述实时攻击意图信息属于所述待测试攻击行为数据的有效的攻击意图信息的第二网络攻击检测结果；

205、基于所述第一网络攻击检测结果和第二网络攻击检测结果更新所述网络攻击防护策略的联动防护指标，得到完成升级的网络攻击防护策略。

本实施例中待测试攻击行为数据是网络攻击防护策略的待测试攻击行为数据，网络攻击防护策略包括网络攻击识别模型和网络攻击检测模型，其中，网络攻击识别模型的作用是对攻击行为数据进行攻击意图解析，得到攻击行为数据的攻击意图信息，在一个示例中该攻击意图信息可以是攻击意图检测数据。

本实施例中的攻击意图解析可以理解为：根据初始攻击行为数据中每个攻击行为事件所属的攻击类型，确定各攻击行为事件的攻击类型行为画像(攻击类型行为画像包括攻击类型信息)得到攻击意图检测数据，从上述内容可以确定，攻击意图检测数据中每个攻击类型行为画像基于初始攻击行为数据中对应攻击行为事件的数据分布信息得到，每个攻击类型行为画像可以表示对应的攻击行为事件的攻击类型信息。

例如，主动攻击行为数据是被动攻击行为数据的攻击意图检测数据，被动攻击行为数据中存在一个数据篡改标签，主动攻击行为数据中在数据篡改标签对应的攻击行为事件的数据分布信息上攻击类型行为画像为attack1，其他数据分布信息的攻击行为事件的攻击类型行为画像为attack0，attack1表示该数据分布信息的攻击行为事件的攻击类型为数据篡改标签，attack0表示该数据分布信息的攻击行为事件的攻击类型为数据非法访问标签。

本实施例中的攻击类型指的是攻击行为数据对应的攻击方的攻击类型，该攻击类型不限，可以是CC攻击、SYN攻击、或者IP碎片攻击等等。

本实施例的攻击行为数据的攻击意图解析中，网络攻击识别模型使用到了攻击行为数据攻击意图挖掘算法，具体的，使用到了攻击行为数据攻击意图挖掘算法中的热度神经网络（Deep Neural Networks，DNN）。

本实施例所描述的内容中的提出的网络攻击识别模型的训练是基于人工智能（Artificial Intellegence，AI）技术实现，尤其是基于人工智能技术中的机器学习(Machine learning，ML)技术实现的，更具体的，可以是通过机器学习中的热度学习（DeepLearning）实现。

本实施例中的网络攻击识别模型可以基于任意可用于攻击意图解析的人工神经网络（artificial neural network）的结构构建的，例如网络攻击识别模型可以是卷积神经网络（Convolutional Neural Network，CNN），或者全连接神经网络（FullyConvolutional Networks，FCN）等等，本实施例对此没有限制。

本实施例中，需要网络攻击识别模型确定潜在攻击意图信息的攻击行为数据如上述的目标攻击行为数据和待测试攻击行为数据的来源不限，可以是任意业务场景的攻击行为数据，例如业务场景，该业务场景包括但不限于政务业务场景，游戏业务场景，办公业务场景等等，例如还可以是在线购物业务场景，如跨境支付业务场景、免密支付业务场景、委托支付业务场景等等。

本实施例的实时攻击意图信息，可以理解为待测试攻击行为数据最显著的攻击意图信息，该实时攻击意图信息中包括待测试攻击行为数据的各攻击行为事件的实时攻击类型信息，该实时攻击类型信息包括各攻击行为事件的实时攻击类型。在一个示例中，实时攻击意图信息可以是实时攻击意图倾向的记录信息，该实时攻击意图倾向的记录信息包括多个攻击行为数据的描述维度的独立攻击行为数据，每个攻击行为数据的描述维度对应一个实时攻击类型，某攻击行为数据的描述维度的独立攻击行为数据中包括属于该攻击行为数据的描述维度对应的实时攻击类型的攻击行为事件的信息。

以业务场景数据的业务交互行为为例进行说明，业务场景数据的业务交互行为可以是交互式政务业务场景的数据业务交互行为。对来自该场景的攻击行为数据的攻击意图解析结果，能为相关模型提供关于所处政务业务环境的有用数据，有助于相关模型理解当前所处的政务业务环境。假设交互式政务业务的政务业务攻击行为数据中包括5种攻击类型的标签，如数据篡改标签、数据删除标签、数据盗用标签、数据使用阻碍标签以及数据非法访问标签。则该政务业务攻击行为数据的实时攻击意图倾向的记录信息包括五个攻击行为数据的描述维度的独立攻击行为数据，每个独立攻击行为数据对应一个攻击类型，如在数据篡改标签这个攻击类型对应的独立攻击行为数据中对应于政务业务攻击行为数据中数据篡改标签的攻击行为事件的数据分布信息上设置有表示攻击行为事件为数据篡改标签的标识如字符xx1，在数据删除标签这个攻击类型对应的独立攻击行为数据中对应于政务业务攻击行为数据中数据篡改标签的攻击行为事件的数据分布信息上设置有表示攻击行为事件为数据篡改标签的标识如字符xx2。

通过对交互式政务业务的数据业务交互行为攻击行为数据的攻击意图解析，可以得到目标标签（如数据篡改标签）对应的业务场景中的攻击类型，相关模型（比如上述提到的各类模型）就可以根据这些攻击类型信息完成进一步地检测处理操作。

本实施例中，网络攻击识别模型可以识别的攻击类型可以是由人工构建网络攻击识别模型时设置的，该攻击类型的数目和每个攻击类型的含义，根据在网络攻击识别模型的设置而定，例如攻击类型的数目可以为7类，分别包括：数据篡改标签、数据删除标签、数据盗用标签、数据使用阻碍标签、数据非法访问标签、流量攻击标签和资源耗尽攻击标签。

本实施例中，待测试攻击行为数据可以来源于历史数据业务交互行为，例如来源于交互式政务业务的历史政务业务数据业务交互行为。

可以先从数据业务交互行为中按照一定的提取频率进行采样，得到采样攻击行为数据。其中，提取频率不能过快，防止采样攻击行为数据之间的关联性较高，待测试攻击行为数据的数据存储空间过饱和，例如提取频率可以为1秒10mb，本实施例收集的采样攻击行为数据的数据量不限，例如，对于政务业务数据业务交互行为而言，可以为1GB大小的政务业务攻击行为数据。

在得到采样攻击行为数据后，可以人工标注采样攻击行为数据的攻击意图信息作为采样攻击行为数据的实时攻击意图信息，实时攻击意图信息中攻击行为事件的实时攻击类型为网络攻击识别模型可以识别的攻击类型中的一种，例如假设人工定义了网络攻击识别模型可以识别7个攻击类型：数据篡改标签、数据删除标签、数据盗用标签、数据使用阻碍标签、数据非法访问标签、流量攻击标签和资源耗尽攻击标签，则每个攻击行为事件的实时攻击类型为上述7个攻击类型中的一个。这里采用人工标注的目的是构造攻击意图数据存储空间，有了采样攻击行为数据和对应的实时攻击意图信息后，才能指导后续的模型训练。

在一个示例中，可以直接将标注好的采样攻击行为数据作为待测试攻击行为数据对网络攻击防护策略进行训练。

在另一个示例中，还可以将标注好的采样攻击行为数据作为初始待测试攻击行为数据，通过攻击行为数据的抽取等方式，从初始待测试攻击行为数据中获取更多数目的待测试攻击行为数据，丰富训练数据。可选的，步骤“获取待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息”，包括：

获取待更新升级的网络攻击防护策略的初始待测试攻击行为数据，所述初始待测试攻击行为数据的行为画像包括：初始待测试攻击行为数据的初始实时攻击意图信息，所述初始实时攻击意图信息包括所述初始待测试攻击行为数据中各攻击行为事件的实时攻击类型信息；

从初始待测试攻击行为数据中，抽取至少一组预设数据量的攻击行为数据，将抽取的攻击行为数据作为所述待更新升级的网络攻击防护策略的待测试攻击行为数据；

基于所述待测试攻击行为数据在对应的初始待测试攻击行为数据中的数据分布信息，从所述初始待测试攻击行为数据的初始实时攻击意图信息中获取所述待测试攻击行为数据的实时攻击意图信息。

其中，预设数据量可以根据实际需要设置，该预设数据量可以是前述的输入攻击行为数据属性信息中定义的攻击行为数据数据量，该预设数据量可以设置为2000Mb等。在一个示例中，可以从同一个初始待测试攻击行为数据中随机获取多组2000Mb的不完全重复的待测试攻击行为数据，既丰富训练数据，又因为随机抽取的攻击行为数据之间有着较大的差异，能防止网络攻击防护策略模型过拟合。使得完成升级后网络攻击防护策略中网络攻击识别模型输出的潜在攻击意图信息与人工标注的实时攻击意图信息尽量一致。

本实施例中，可以对待测试攻击行为数据获取多个行为识别度的行为识别结果，然后进行关联得到待测试攻击行为数据的目标行为识别结果，可选的，步骤“通过所述网络攻击识别模型的行为识别单元对所述待测试攻击行为数据进行行为识别得到所述待测试攻击行为数据的目标行为识别结果”，可以包括：通过所述网络攻击识别模型的行为识别单元，对所述待测试攻击行为数据进行行为识别，得到所述待测试攻击行为数据的多个行为识别度的行为识别结果，并对所述多个行为识别度的行为识别结果进行关联，得到所述待测试攻击行为数据的目标行为识别结果。

本实施例的潜在攻击意图信息是网络攻击识别模型对攻击行为数据进行攻击意图解析得到的，在潜在攻击意图信息中包括攻击行为事件的潜在攻击类型信息，潜在攻击类型信息包括攻击行为事件属于各预设的攻击类型的潜在网络攻击检测结果。在一个示例中，该潜在攻击意图信息可以是潜在攻击意图倾向的记录信息，该潜在攻击意图倾向的记录信息包括多个攻击行为数据的描述维度的独立攻击行为数据，每个攻击行为数据的描述维度对应一个潜在攻击类型，某攻击行为数据的描述维度的独立攻击行为数据中包括攻击行为事件属于该攻击行为数据的描述维度对应的潜在攻击类型的潜在网络攻击检测结果。

可以理解的是，对于一个攻击行为事件，潜在攻击类型信息中，该攻击行为事件可能会有多个攻击类型上的潜在网络攻击检测结果，例如，攻击类型为数据篡改标签的潜在网络攻击检测结果是0.8，攻击类型为树的潜在网络攻击检测结果是0.3等等。其中，网络攻击检测结果可以通过检测指数的形式进行表示，比如上述的0.8和0.3。其中，检测指数1标识网络攻击检测结果对应的攻击行为发生的概率为100%，以此类推。

本实施例中，网络攻击检测模型对潜在攻击意图信息的识别结果，即为网络攻击检测模型对潜在攻击意图信息是否为待测试攻击行为数据有效的攻击意图信息的识别结果。该识别结果可以是一个网络攻击检测结果对应的概率值，表示网络攻击检测模型识别潜在攻击意图信息为待测试攻击行为数据有效的攻击意图信息的网络攻击检测结果。该网络攻击检测结果可以认为是网络攻击检测模型对潜在攻击意图信息的判定倾向度。网络攻击识别模型的一部分联动防护指标的更新指示，可以基于该网络攻击检测结果得到。如此设计，能够确保更新指示来源的多样性，从而确保策略更新的时效性、准确性和可靠性，减少策略更新的成本。

本实施例中，行为识别单元可以包括至少两层顺次连接的行为识别层，以及行为关联层；目标行为识别结果的具体获取过程，可以包括：

通过顺次连接的行为识别层对目标攻击行为数据进行行为识别，得到不同行为识别层输出的不同行为识别度的行为识别结果；

通过行为关联层，对不同行为识别度的行为识别结果按照从末尾的行为识别层到起始的行为识别层的顺序进行关联，得到目标攻击行为数据的目标行为识别结果。

本实施例中，行为识别层的数目不限，例如，可以是5层等数目，本实施例中，对不同行为识别度的行为识别结果的关联，可以是将所有的行为识别结果转换为同一行为识别度的行为识别结果，然后对各修正后的行为识别结果按照设定方式（例如基于时序层面的关联方式）进行关联，得到目标行为识别结果。

或者，在另一个示例中，也可以选择逐层关联的方式对不同行为识别度的行为识别结果进行关联。

本实施例中行为识别结果的关联，可以基于行为识别单元中的行为关联层实现，行为关联层的数目比行为识别层少一层。

本实施例中，基于行为关联层获取目标行为识别结果的方案包括：

对输入当前行为关联层的行为识别结果进行行为识别度修正处理，得到修正后行为识别结果，所述修正后行为识别结果与未参与关联处理的行为识别结果中由最底层行为识别层识别的行为识别结果的行为识别度相同；其中，若当前行为关联层为末尾的行为关联层，输入所述当前关联层的行为识别结果为末尾的行为识别层识别的行为识别结果；

通过所述当前行为关联层对所述修正后行为识别结果，与所述未参与关联处理的行为识别结果中由最底层行为识别层识别的行为识别结果进行行为识别结果关联，将关联后的行为识别结果输入前一层行为关联层，其中，若所述当前行为关联层为起始的行为关联层，所述当前行为关联层得到的关联后的行为识别结果为目标行为识别结果。

本实施例中行为识别度修正处理，可以是基于概率函数的随机分布采样处理或者反时效处理处理等等，本实施例对此没有限制。对目标行为识别结果的获取过程进行举例说明，例如，行为识别层可以基于时效处理层组成，每一层时效处理层代表一层行为识别层，时效处理层数目可以为5。行为识别度修正处理采用基于概率函数的随机分布采样处理实现。

举例而言，2000Mb*3的待测试攻击行为数据输入网络攻击识别模型，通过5个顺次连接的时效处理层，识别待测试攻击行为数据的热度行为识别结果(热度行为识别结果是时效处理层输出的行为流式记录)。按照时效处理层从上到下的顺序，输出的行为识别结果为待测试攻击行为数据的部分数据片段。

最后一层输出的行为识别结果，通过末尾的随机分布采样层扩大行为流式记录的行为识别度，具体的，随机分布采样层会在输入的行为识别结果中间插入设定标记，然后再对行为识别结果进行时效处理操作，输出的行为识别结果的时效性权重变为输入的行为识别结果的2倍，从待测试攻击行为数据的第一数据量变为待测试攻击行为数据的第二数据量。然后将该行为识别结果与前一层的行为识别结果进行时序关联，得到关联后的行为识别结果。

将关联后的行为识别结果输入前一层随机分布采样层，该随机分布采样层会进行类似的随机分布采样操作，得到新的行为识别结果，将该新的行为识别结果与更前一层的行为识别结果进行时序关联得到新的关联后的行为识别结果，输入更前一层的随机分布采样层，直到所有的行为识别结果关联完成，得到目标行为识别结果。

本实施例中的攻击意图解析层，也可以基于随机分布采样层实现，例如，若最下面一层随机分布采样层不属于行为关联层，而属于本实施例的攻击意图解析单元，该攻击意图解析单元，可以对行为关联层输出的目标行为识别结果进行攻击行为事件的分类，得到潜在攻击意图信息，攻击意图解析单元的输出描述维度个数为7，对应7个预设的攻击类型。

由于有7个攻击意图攻击类型，所以最终生成的潜在攻击意图倾向的记录信息的描述维度数为7，每一个描述维度对应一个攻击类型，如果攻击行为事件在某个攻击类型上的潜在网络攻击检测结果为result1，则该攻击行为事件为该攻击类型。例如，一种示例性的攻击意图解析结果由每个行为数据块属于7种攻击类型的网络攻击检测结果组成，第i个描述维度的第j个行为数据块的检测记录，对应的是待测试攻击行为数据第j个行为数据块属于第i个攻击类型的网络攻击检测结果。

具体的，实时攻击意图信息为实时攻击意图倾向的记录信息，所述潜在攻击意图信息为潜在攻击意图倾向的记录信息，网络攻击检测模型包括行为信息获取单元和意图倾向检测单元，步骤204可以包括：

将所述待测试攻击行为数据和对应的实时攻击意图倾向的记录信息组合处理，得到组合处理后的实时攻击意图倾向的记录信息，将所述待测试攻击行为数据和对应的潜在攻击意图倾向的记录信息组合处理，得到组合处理后的潜在攻击意图倾向的记录信息；

通过网络攻击检测模型的行为信息获取单元，从所述组合处理后的潜在攻击意图倾向的记录信息中获取第一攻击行为数据行为信息；

通过网络攻击检测模型的意图倾向检测单元，基于所述第一攻击行为数据对应的行为交互特征确定所述组合处理后的潜在攻击意图倾向的记录信息对应的潜在攻击意图倾向的记录信息，属于所述待测试攻击行为数据的有效的攻击意图检测数据的第一网络攻击检测结果；

通过所述网络攻击检测模型的行为信息获取单元，从所述组合处理后的实时攻击意图倾向的记录信息中获取第二攻击行为数据行为信息；

通过所述网络攻击检测模型的意图倾向检测单元，基于所述第二攻击行为数据行为信息确定所述组合处理后的实时攻击意图倾向的记录信息对应的实时攻击意图倾向的记录信息，属于所述待测试攻击行为数据的有效的攻击意图检测数据的第二网络攻击检测结果。

其中，意图倾向检测单元的结构不限，可以包括全连接层等。

可选的，本实施例中待测试攻击行为数据和潜在(或实时)攻击意图检测数据的组合处理，可以理解为将攻击行为数据中各个攻击行为数据的描述维度的独立攻击行为数据叠加。根据前述的相关定义可知，实时攻击意图倾向的记录信息和潜在攻击意图倾向的记录信息都包括多个攻击行为数据的描述维度的独立攻击行为数据，实时攻击意图倾向的记录信息和潜在攻击意图倾向的记录信息的攻击行为数据的描述维度数相同；实时攻击意图倾向的记录信息和潜在攻击意图倾向的记录信息可以理解为多个攻击行为数据的描述维度的独立攻击行为数据叠加而成的攻击行为数据。

其中，实时攻击意图倾向的记录信息各攻击行为数据的描述维度上的独立攻击行为数据包括：所述待测试攻击行为数据的各攻击行为事件是否为攻击行为数据的描述维度对应的实时攻击类型的信息。

其中，所述潜在攻击意图倾向的记录信息各攻击行为数据的描述维度上的独立攻击行为数据包括：所述待测试攻击行为数据的各攻击行为事件属于攻击行为数据的描述维度对应的潜在攻击类型的潜在网络攻击检测结果。

本实施例中，步骤“将待测试攻击行为数据和其对应的实时攻击意图倾向的记录信息组合处理，得到组合处理后的实时攻击意图倾向的记录信息，将待测试攻击行为数据和其对应的潜在攻击意图倾向的记录信息组合处理，得到组合处理后的潜在攻击意图倾向的记录信息”，包括：

将待测试攻击行为数据和实时攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，作为组合处理后的实时攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，对待测试攻击行为数据和实时攻击意图倾向的记录信息进行组合处理得到组合处理后的实时攻击意图倾向的记录信息；

将待测试攻击行为数据和潜在攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，作为组合处理后的潜在攻击意图倾向的记录信息的各攻击行为数据的描述维度的独立攻击行为数据，对待测试攻击行为数据和潜在攻击意图倾向的记录信息进行组合处理得到组合处理后的潜在攻击意图倾向的记录信息。

本实施例中，待测试攻击行为数据的攻击行为数据的描述维度数不限。

可选的，网络攻击检测模型的攻击行为数据行为识别可以是通过时效处理实现，网络攻击检测模型可以包括时效处理层和意图分类层。

可以通过网络攻击检测模型的时效处理层从组合处理后的潜在攻击意图倾向的记录信息中获取第一攻击行为数据行为信息。通过网络攻击检测模型的时效处理层从组合处理后的实时攻击意图倾向的记录信息中获取第二攻击行为数据行为信息。

通过网络攻击检测模型的意图分类层基于第一攻击行为数据对应的行为交互特征，确定组合处理后的潜在攻击意图倾向的记录信息对应的潜在攻击意图倾向的记录信息，属于待测试攻击行为数据的有效的攻击意图检测数据的第一网络攻击检测结果。

通过网络攻击检测模型的意图分类层基于第二攻击行为数据对应的行为交互特征，确定组合处理后的实时攻击意图倾向的记录信息对应的实时攻击意图倾向的记录信息，属于待测试攻击行为数据的有效的攻击意图检测数据的第二网络攻击检测结果。

例如，以交互式政务业务的三个描述维度的待测试攻击行为数据为例，将其潜在攻击意图倾向的记录信息和实时攻击意图倾向的记录信息分别与待测试攻击行为数据组合处理，生成十个描述维度的组合处理后的潜在攻击意图倾向的记录信息和组合处理后的实时攻击意图倾向的记录信息，在组合处理后的攻击行为数据中，前三个描述维度是交互式政务业务的攻击行为数据，后七个描述维度是攻击意图检测数据。

进一步地，可以将这十个描述维度的行为作为网络攻击检测模型的输入，如果网络攻击检测模型判断攻击意图检测数据是有效的攻击意图检测数据，网络攻击检测模型的目标是输出1，否则输出0。

其中，网络攻击检测模型可以包括多个行为识别层，如包括多个时效处理层，以及意图分类层如全连接层，网络攻击检测模型可以通过多个顺次连接的时效处理层对组合处理后的的十个描述维度的攻击行为数据进行行为识别，将末尾的输出的行为识别结果输入到全连接层，由全连接层进行判定，输出判定结果。

本实施例中，网络攻击检测模型的目标是提升区分有效的攻击意图的不同风格的攻击行为数据的精度和可信度。

205、基于第一网络攻击检测结果，第二网络攻击检测结果，以及待测试攻击行为数据的潜在攻击意图信息和实时攻击意图信息，对网络攻击防护策略的联动防护指标进行更新。

本实施例中，待测试攻击行为数据的实时攻击意图信息包括各攻击行为事件的实时攻击类型信息，网络攻击识别模型的目标是生成更有效的攻击意图信息，网络攻击识别模型和网络攻击检测模型的联动防护指标更新具体可以包括：

基于所述第一网络攻击检测结果，确定所述网络攻击识别模型的第一攻击意图解析的误差信息；

基于所述待测试攻击行为数据的实时攻击意图信息和潜在攻击意图信息中，相同攻击行为事件的潜在攻击类型信息和实时攻击类型信息之间的差异化比较结果，确定所述网络攻击识别模型的第二攻击意图解析的误差信息；

基于所述第一攻击意图解析的误差信息和第二攻击意图解析的误差信息，更新所述网络攻击识别模型的联动防护指标，得到完成升级的网络攻击识别模型；

基于所述第一网络攻击检测结果和第二网络攻击检测结果，确定所述网络攻击检测模型的意图倾向判定的误差信息；

基于所述意图倾向判定的误差信息更新所述网络攻击检测模型的联动防护指标。

本实施例中，可以通过迭代的方式训练判别网络和网络攻击识别模型，如果网络攻击识别模型的联动防护指标的更新指示对应的更新需求描述值低于阈值（和/或网络攻击检测模型的联动防护指标的更新指示对应的更新需求描述值低于对应的阈值），则可以停止模型训练。

可选的，步骤102中得到目标行为识别结果的具体步骤可以包括：

通过顺次连接的行为识别层对目标攻击行为数据进行行为识别，得到不同行为识别层输出的不同行为识别度的行为识别结果；

通过行为关联层，对不同行为识别度的行为识别结果按照从末尾的行为识别层到起始的行为识别层的顺序进行关联，得到目标攻击行为数据的目标行为识别结果。

其中，行为关联层的数目比行为识别层少一层；步骤“通过行为关联层，对不同行为识别度的行为识别结果按照从末尾的行为识别层到起始的行为识别层的顺序进行关联，得到目标攻击行为数据的目标行为识别结果”，可以包括：

对输入当前行为关联层的行为识别结果进行行为识别度修正处理，得到修正后行为识别结果，所述修正后行为识别结果与未参与关联处理的行为识别结果中由最底层行为识别层识别的行为识别结果的行为识别度相同；其中，若当前行为关联层为末尾的行为关联层，输入所述当前关联层的行为识别结果为末尾的行为识别层识别的行为识别结果；

通过所述当前行为关联层对所述修正后行为识别结果，与所述未参与关联处理的行为识别结果中由最底层行为识别层识别的行为识别结果进行行为识别结果关联，将关联后的行为识别结果输入前一层行为关联层，其中，若所述当前行为关联层为起始的行为关联层，所述当前行为关联层得到的关联后的行为识别结果为目标行为识别结果。

本实施例中，行为识别层的行为识别采用正太分布采样或时效分析处理，则行为识别度修正处理，可以是基于概率函数的随机分布采样处理和反时效分析处理，若行为识别层的行为识别采用随机分布采样或反时效处理处理，则行为识别度修正处理，可以是正太分布采样处理和时效分析处理。

本实施例中，目标行为识别结果的具体获取过程，可以参考模型训练过程中的相关描述，在此不再赘述。

本实施例中，攻击意图解析单元可以基于目标攻击行为数据的目标行为识别结果确定目标攻击行为数据中各攻击行为事件属于各个预设的攻击类型的潜在网络攻击检测结果，然后得到目标攻击行为数据的潜在攻击类型信息。

本实施例中，在确定目标攻击行为数据的潜在攻击意图信息后，还可以根据潜在攻击意图信息，从目标攻击行为数据中识别出想要识别的目标攻击发起端，可选的，得到目标攻击行为数据的攻击意图信息后，还可以包括：

确定目标攻击行为数据中待识别的目标攻击发起端的目标攻击类型；

基于所述目标攻击行为数据的潜在攻击意图信息，确定所述目标攻击行为数据中属于所述目标攻击类型的目标攻击行为事件；

基于所述目标攻击行为事件，确定所述目标攻击行为数据对应的目标攻击发起端。

具体的，可以是基于目标攻击行为数据的潜在攻击意图信息中，各攻击行为事件的潜在攻击类型的潜在网络攻击检测结果，确定目标攻击行为数据中属于目标攻击类型的目标攻击行为事件。

在确定目标攻击行为事件后，还可以根据业务交互的风险传导分析等方式，确定目标攻击行为数据对应的目标攻击发起端，例如，通过业务交互的风险传导分析的方式，确定由目标攻击行为事件构成的风险传导路径，一个风险传导路径对应一个目标攻击发起端。

采用本实施例，可以基于网络攻击检测模型对潜在攻击意图信息的识别结果，以及待测试攻击行为数据的实时攻击意图信息和网络攻击识别模型从待测试攻击行为数据中识别的潜在攻击意图信息间的差异化比较结果，得到网络攻击识别模型的联动防护指标的更新指示来更新网络攻击识别模型的联动防护指标，所以网络攻击识别模型的一部分联动防护指标的更新指示是由网络攻击检测模型学习到的，相较于相关技术中仅有人工根据经验制定更新指示的方式，本实施例的联动防护指标的更新指示更加完整，更加及时，更加灵活，可以降低对人工经验的依赖，提升网络攻击识别模型的攻击行为数据的攻击意图解析的准确性、实时性和可靠性。

基于同样的发明构思，针对上述结合大数据服务器的网络攻击防护方法，本发明实施例还提出了一种示例性的结合大数据服务器的网络攻击防护装置，结合大数据服务器的网络攻击防护装置可以包括以下的功能模块。

数据获取模块，用于获取待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息，所述待测试攻击行为数据对应的实时攻击意图信息包括所述待测试攻击行为数据中各攻击行为事件的实时攻击类型信息。

更新升级模块，用于基于待更新升级的网络攻击防护策略中的网络攻击识别模型，对所述待测试攻击行为数据和所述待测试攻击行为数据对应的实时攻击意图信息进行网络攻击检测，得到网络攻击检测结果，并基于所述网络攻击检测结果对所述网络攻击防护策略进行更新升级。

关于上述的功能模块的描述可以参阅对上述方法实施例的说明，在此不作赘述。

进一步地，请结合参阅图4，大数据防护设备20可以包括处理引擎210、网络模块220和存储器230，处理引擎210和存储器230通过网络模块220通信。

处理引擎210可以处理相关的信息和/或数据以执行本申请中描述的一个或多个功能。例如，在一些实施例中，处理引擎210可以包括至少一个处理引擎(例如，单核处理引擎或多核处理器)。仅作为示例，处理引擎210可以包括中央处理单元(Central ProcessingUnit，CPU)、专用集成电路(Application-Specific Integrated Circuit，ASIC)、专用指令集处理器(Application-Specific Instruction-set Processor，ASIP)、图形处理单元(Graphics Processing Unit，GPU)、物理处理单元(Physics Processing Unit，PPU)、数字信号处理器(Digital Signal Processor，DSP)、现场可编程门阵列(Field ProgrammableGate Array，FPGA)、可编程逻辑器件(Programmable Logic Device，PLD)、控制器、微控制器单元、精简指令集计算机(Reduced Instruction-Set Computer，RISC)、微处理器等或其任意组合。

网络模块220可以促进信息和/或数据的交换。在一些实施例中，网络模块220可以是任何类型的有线或无线网络或其组合。仅作为示例，网络模块220可以包括缆线网络、有线网络、光纤网络、电信网络、内部网络、互联网、局域网络(Local Area Network，LAN)、广域网(Wide Area Network，WAN)、无线局域网络(Wireless Local Area Network，WLAN)、城域网(Metropolitan Area Network，MAN)、公用电话交换网(Public Telephone SwitchedNetwork，PSTN)、蓝牙网络、无线个域网络、近场通讯(Near Field Communication，NFC)网络等或上述举例的任意组合。在一些实施例中，网络模块220可以包括至少一个网络接入点。例如，网络模块220可以包括有线或无线网路接入点，如基站和/或网路接入点。

存储器230可以是，但不限于，随机存取存储器（Random Access Memory，RAM），只读存储器（Read Only Memory，ROM），可编程只读存储器（Programmable Read-OnlyMemory，PROM），可擦除只读存储器（Erasable Programmable Read-Only Memory，EPROM），电可擦除只读存储器（Electric Erasable Programmable Read-Only Memory，EEPROM）等。其中，存储器230用于存储程序，所述处理引擎210在接收到执行指令后，执行所述程序。

可以理解，图4所示的结构仅为示意，大数据防护设备20还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。

本发明实施例公开的上述内容对于本领域技术人员而言是清楚完整的。应当理解，本领域技术人员基于上述公开的内容对未作解释的技术术语进行推导和分析的过程是基于本申请所记载的内容进行的，因此上述内容并不是对整体方案的创造性的评判。

应当理解，上述所示的系统及其模块可以利用各种方式来实现。例如，在一些实施例中，系统及其模块可以通过硬件、软件或者软件和硬件的结合来实现。其中，硬件部分可以利用专用逻辑来实现；软件部分则可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域技术人员可以理解上述的方法和系统可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本申请的系统及其模块不仅可以有诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用例如由各种类型的处理器所执行的软件实现，还可以由上述硬件电路和软件的结合(例如，固件)来实现。

需要说明的是，不同实施例可能产生的有益效果不同，在不同的实施例里，可能产生的有益效果可以是以上任意一种或几种的组合，也可以是其他任何可能获得的有益效果。

上文已对基本概念做了描述，显然，对于本领域技术人员来说，上述详细披露仅仅作为示例，而并不构成对本申请的限定。虽然此处并没有明确说明，本领域技术人员可能会对本申请进行各种修改、改进和修正。该类修改、改进和修正在本申请中被建议，所以该类修改、改进、修正仍属于本申请示范实施例的精神和范围。

同时，本申请使用了特定词语来描述本申请的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本申请至少一个实施例相关的某一特征、结构或特点。因此，应强调并注意的是，本说明书中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一个替代性实施例”并不一定是指同一实施例。此外，本申请的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。

此外，本领域技术人员可以理解，本申请的各方面可以通过若干具有可专利性的种类或情况进行说明和描述，包括任何新的和有用的工序、机器、产品或物质的组合，或对他们的任何新的和有用的改进。相应地，本申请的各个方面可以完全由硬件执行、可以完全由软件(包括固件、常驻软件、微码等)执行、也可以由硬件和软件组合执行。以上硬件或软件均可被称为“数据块”、“模块”、“引擎”、“单元”、“组件”或“系统”。此外，本申请的各方面可能表现为位于一个或多个计算机可读介质中的计算机产品，该产品包括计算机可读程序编码。

计算机存储介质可能包含一个内含有计算机程序编码的传播数据信号，例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式，包括电磁形式、光形式等，或合适的组合形式。计算机存储介质可以是除计算机可读存储介质之外的任何计算机可读介质，该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机存储介质上的程序编码可以通过任何合适的介质进行传播，包括无线电、电缆、光纤电缆、RF、或类似介质，或任何上述介质的组合。

本申请各部分操作所需的计算机程序编码可以用任意一种或多种程序语言编写，包括面向对象编程语言如Java、Scala、Smalltalk、Eiffel、JADE、Emerald、C++、C#、VB.NET、Python等，常规程序化编程语言如C语言、Visual Basic、Fortran 2003、Perl、COBOL 2002、PHP、ABAP，动态编程语言如Python、Ruby和Groovy，或其他编程语言等。该程序编码可以完全在用户计算机上运行、或作为独立的软件包在用户计算机上运行、或部分在用户计算机上运行部分在远程计算机运行、或完全在远程计算机或服务器上运行。在后种情况下，远程计算机可以通过任何网络形式与用户计算机连接，比如局域网（LAN）或广域网（WAN），或连接至外部计算机（例如通过因特网），或在云计算环境中，或作为服务使用如软件即服务（SaaS）。

此外，除非权利要求中明确说明，本申请所述处理元素和序列的顺序、数字字母的使用、或其他名称的使用，并非用于限定本申请流程和方法的顺序。尽管上述披露中通过各种示例讨论了一些目前认为有用的发明实施例，但应当理解的是，该类细节仅起到说明的目的，附加的权利要求并不仅限于披露的实施例，相反，权利要求旨在覆盖所有符合本申请实施例实质和范围的修正和等价组合。例如，虽然以上所描述的系统组件可以通过硬件设备实现，但是也可以只通过软件的解决方案得以实现，如在现有的服务器或移动设备上安装所描述的系统。

同理，应当注意的是，为了简化本申请披露的表述，从而帮助对一个或多个发明实施例的理解，前文对本申请实施例的描述中，有时会将多种特征归并至一个实施例、附图或对其的描述中。但是，这种披露方法并不意味着本申请对象所需要的特征比权利要求中提及的特征多。实际上，实施例的特征要少于上述披露的单个实施例的全部特征。

一些实施例中使用了描述成分、属性数量的数字，应当理解的是，此类用于实施例描述的数字，在一些示例中使用了修饰词“大约”、“近似”或“大体上”来修饰。除非另外说明，“大约”、“近似”或“大体上”表明所述数字允许有适应性的变化。相应地，在一些实施例中，说明书和权利要求中使用的数值参数均为近似值，该近似值根据个别实施例所需特点可以发生改变。在一些实施例中，数值参数应考虑规定的有效数位并采用一般位数保留的方法。尽管本申请一些实施例中用于确认其范围广度的数值域和参数为近似值，在具体实施例中，此类数值的设定在可行范围内尽可能精确。

针对本申请引用的每个专利、专利申请、专利申请公开物和其他材料，如文章、书籍、说明书、出版物、文档等，特此将其全部内容并入本申请作为参考。与本申请内容不一致或产生冲突的申请历史文件除外，对本申请权利要求最广范围有限制的文件(当前或之后附加于本申请中的)也除外。需要说明的是，如果本申请附属材料中的描述、定义、和/或术语的使用与本申请所述内容有不一致或冲突的地方，以本申请的描述、定义和/或术语的使用为准。

最后，应当理解的是，本申请中所述实施例仅用以说明本申请实施例的原则。其他的变形也可能属于本申请的范围。因此，作为示例而非限制，本申请实施例的替代配置可视为与本申请的教导一致。相应地，本申请的实施例不仅限于本申请明确介绍和描述的实施例。