基于大数据的网络安全监控方法、云平台系统及介质

摘要

本发明涉及大数据技术领域，涉及一种基于大数据的网络安全监控方法、云平台系统及介质。本发明可以从风险攻击行为数据聚类中确定出初始风险攻击行为，并基于对初始风险攻击行为进一步划分为多个流程监控对象来检测得到目标风险攻击流程，因此整个流程监控溯源操作过程更有精准信息定位性，从而提高了流程监控溯源操作效率，满足实时快速流程监控要求，并且可以对多个风险攻击行为数据聚类进行处理及精准确定参考风险攻击行为所在的风险攻击流程进行目标关键行为监控方案的精准信息定位性流程监控，提高了流程监控溯源操作的准确性和精准信息定位性。

说明书

技术领域

本发明涉及大数据技术领域，具体而言，涉及一种基于大数据的网络安全监控方法、云平台系统及介质。

背景技术

在现有业务背景下，会在新媒体上会给用户提供诸多信息推广服务，用户投入信息推广服务是希望将信息推广服务能够真正的用于他们的客户群体，但这些信息推广服务存在风险攻击的情况，导致中间利益通常会被一些中间服务商非法占用。

基于此，需要收集信息推广服务平台的风险攻击行为轨迹数据进行风险攻击确认后，进行流程监控溯源，以便于后续进行业务优化，而如何提高流程监控溯源操作过程中的精准信息定位性，保证流程监控溯源操作过程的准确性，确保信息推广服务的正确运转，是本领域亟待解决的技术问题。

发明内容

为了至少克服现有技术中的上述不足，本发明的目的在于提供一种基于大数据的网络安全监控方法、云平台系统及介质，可以从风险攻击行为数据聚类中确定出初始风险攻击行为，并基于对初始风险攻击行为进一步划分为多个流程监控对象来检测得到目标风险攻击流程，因此整个流程监控溯源操作过程更有精准信息定位性，从而提高了流程监控溯源操作效率，满足实时快速流程监控要求，并且可以对多个风险攻击行为数据聚类进行处理及精准确定参考风险攻击行为所在的风险攻击流程进行目标关键行为监控方案的精准信息定位性流程监控，提高了流程监控溯源操作的准确性和精准信息定位性。

第一方面，本发明提供一种基于大数据的网络安全监控方法，应用于服务器，所述服务器与多个信息推广服务平台通信连接，所述方法包括：

获取所述信息推广服务平台中完成风险攻击确认分析的风险攻击行为轨迹数据，并对所述风险攻击行为轨迹数据按照不同风险标签属性分别进行聚类，得到多个风险攻击行为数据聚类；

根据所述风险攻击行为数据聚类确定出参考风险攻击行为所在的目标风险攻击流程，并按照所述目标关键行为监控方案对应的流程监控策略对所述目标风险攻击流程进行流程监控溯源操作，其中，所述参考风险攻击行为为对所述风险攻击行为数据聚类进行筛选出的初始风险攻击行为并基于对初始风险攻击行为进一步划分为多个流程监控对象后筛选获得。

第二方面，本发明实施例还提供一种基于大数据的网络安全监控装置，应用于服务器，所述服务器与多个信息推广服务平台通信连接，所述装置的步骤，包括：

聚类模块，用于获取所述信息推广服务平台中完成风险攻击确认分析的风险攻击行为轨迹数据，并对所述风险攻击行为轨迹数据按照不同风险标签属性分别进行聚类，得到多个风险攻击行为数据聚类；

溯源模块，用于根据所述风险攻击行为数据聚类确定出参考风险攻击行为所在的目标风险攻击流程，并按照所述目标关键行为监控方案对应的流程监控策略对所述目标风险攻击流程进行流程监控溯源操作。

第三方面，本发明实施例还提供一种基于大数据的网络安全监控云平台系统，所述基于大数据的网络安全监控云平台系统包括服务器以及与所述服务器通信连接的多个信息推广服务平台；

所述服务器，用于：

获取所述信息推广服务平台中完成风险攻击确认分析的风险攻击行为轨迹数据，并对所述风险攻击行为轨迹数据按照不同风险标签属性分别进行聚类，得到多个风险攻击行为数据聚类；

根据所述风险攻击行为数据聚类确定出参考风险攻击行为所在的目标风险攻击流程，并按照所述目标关键行为监控方案对应的流程监控策略对所述目标风险攻击流程进行流程监控溯源操作。

第四方面，本发明实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上基于大数据的网络安全监控方法。

根据上述任意一个方面，本发明可以从风险攻击行为数据聚类中确定出初始风险攻击行为，并基于对初始风险攻击行为进一步划分为多个流程监控对象来检测得到目标风险攻击流程，因此整个流程监控溯源操作过程更有精准信息定位性，从而提高了流程监控溯源操作效率，满足实时快速流程监控要求，并且可以对多个风险攻击行为数据聚类进行处理及精准确定参考风险攻击行为所在的风险攻击流程进行目标关键行为监控方案的精准信息定位性流程监控，提高了流程监控溯源操作的准确性和精准信息定位性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要调用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本发明实施例提供的基于大数据的网络安全监控云平台系统的应用场景示意图；

图2为本发明实施例提供的基于大数据的网络安全监控方法的流程示意图；

图3为本发明实施例提供的基于大数据的网络安全监控装置的功能模块示意图；

图4为本发明实施例提供的用于实现上述的基于大数据的网络安全监控方法的服务器的结构组件示意风险攻击情报图。

具体实施方式

下面结合说明书附图对本发明进行具体说明，方法实施例中的具体操作方法也可以应用于装置实施例或云平台系统实施例中。

图1是本发明一种实施例提供的基于大数据的网络安全监控云平台系统10的交互示意图。基于大数据的网络安全监控云平台系统10可以包括服务器100以及与服务器100通信连接的信息推广服务平台200。图1所示的基于大数据的网络安全监控云平台系统10仅为一种可行的示例，在其它可行的实施例中，该基于大数据的网络安全监控云平台系统10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的组成部分。

本实施例中，基于大数据的网络安全监控云平台系统10中的服务器100和信息推广服务平台200可以通过配合执行以下方法实施例所描述的基于大数据的网络安全监控方法，具体服务器100和信息推广服务平台200的执行步骤部分可以参照以下方法实施例的详细描述。

为了解决前述背景技术中的技术问题，图2为本发明实施例提供的基于大数据的网络安全监控方法的流程示意图，本实施例提供的基于大数据的网络安全监控方法可以由图1中所示的服务器100执行，下面对该基于大数据的网络安全监控方法进行详细介绍。

步骤S110，获取风险攻击行为轨迹数据，并对风险攻击行为轨迹数据按照不同风险标签属性分别进行聚类，得到多个风险攻击行为数据聚类。

其中，风险攻击行为轨迹数据中可以包含支付攻击行为、篡改攻击行为等风险攻击行为轨迹数据，还可以包括其它的风险攻击行为轨迹数据。

风险攻击行为轨迹数据的获取方式可以包括：在业务运行过程中，通过各种数据采集程序采集到风险攻击行为轨迹数据。或者是，从本地存储容器中加载预存的风险攻击行为轨迹数据。或者是，从第三方数据库中下载得到风险攻击行为轨迹数据等，当然，风险攻击行为轨迹数据也可以是通过其它方式获取到，具体获取方式在此处不作限定。

在得到风险攻击行为轨迹数据后，为了得到不同行为特征的大数据序列，可以对风险攻击行为轨迹数据按照不同风险标签属性分别进行过滤处理，得到多个不同风险标签属性的风险攻击行为数据聚类，该多个风险攻击行为数据聚类可以包括未进行聚类的风险攻击行为轨迹数据，该多个风险攻击行为数据聚类可以形成大数据层级结构。

步骤S120，根据风险攻击行为数据聚类确定出参考风险攻击行为所在的目标风险攻击流程，并按照目标关键行为监控方案对应的流程监控策略对目标风险攻击流程进行流程监控溯源操作。

本实施例中，参考风险攻击行为为对风险攻击行为数据聚类进行筛选出的初始风险攻击行为并基于对初始风险攻击行为进一步划分为多个流程监控对象后筛选获得。

在确定出参考风险攻击行为所在的目标风险攻击流程之后，即可按照目标关键行为监控方案对应的流程监控策略对目标风险攻击流程进行流程监控溯源操作。例如当目标关键行为监控方案为信息篡改行为的关键行为监控方案时，可以通过预先训练的信息篡改行为的关键行为监控方案对应的流程监控溯源操作模型对目标风险攻击流程进行流程监控溯源操作。又例如，当目标关键行为监控方案为支付拦截行为的关键行为监控方案时，可以通过预先训练的支付拦截行为的关键行为监控方案对应的流程监控溯源操作模型对目标风险攻击流程进行流程监控溯源操作。

基于上述步骤，本实施例可以从风险攻击行为数据聚类中确定出初始风险攻击行为，并基于对初始风险攻击行为进一步划分为多个流程监控对象来检测得到目标风险攻击流程，因此整个流程监控溯源操作过程更有精准信息定位性，从而提高了流程监控溯源操作效率，满足实时快速流程监控要求，并且可以对多个风险攻击行为数据聚类进行处理及精准确定参考风险攻击行为所在的风险攻击流程进行目标关键行为监控方案的精准信息定位性流程监控，提高了流程监控溯源操作的准确性和精准信息定位性。

一种实施例中，对于步骤S120，可以通过以下示例性的子步骤实现。

子步骤S121，分别从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的风险攻击流程，得到多个初始风险攻击行为。

本实施例中，在得到多个风险攻击行为数据聚类后，可以从分别从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的风险攻击流程，例如，可以检测将每个风险攻击行为数据聚类分别划分为多个流程监控对象，然后检测每个流程监控对象内的业务特征分布，根据区域内的业务特征分布确定该流程监控对象属于目标关键行为监控方案的概率，并从多个流程监控对象中确定出概率大于预设概率阈值的风险攻击流程，该确定出的风险攻击流程为符合目标关键行为监控方案的风险攻击流程，从而可以将确定出的风险攻击流程作为初始风险攻击行为，得到多个初始风险攻击行为。

一种实施例中，分别从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的风险攻击流程，得到多个初始风险攻击行为可以包括：获取每个风险攻击行为数据聚类上预设的多个初始风险攻击情报。调用模型更新后的第一机器学习网络，并通过模型更新后的第一机器学习网络对每个初始风险攻击情报内的风险攻击流程进行预测，得到每个初始风险攻击情报对应的行为监控预测信息。根据每个初始风险攻击情报对应的行为监控预测信息，从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的初始风险攻击情报所在的风险攻击流程，得到多个初始风险攻击行为。

为了提高流程监控溯源操作的精度，可以利用初始风险攻击情报的形式划分风险攻击行为数据聚类，并对每个初始风险攻击情报内的风险攻击流程进行检测，其中，可以在每个风险攻击行为数据聚类上预先设置多个初始风险攻击情报，该初始风险攻击情报可以用于将风险攻击行为数据聚类划分为多个流程监控对象，该初始风险攻击情报的情报类别、情报覆盖部分(即行为特征)、数量及行为属性等可以根据实际需要进行灵活设置，例如，每个初始风险攻击情报的情报类别、情报覆盖部分(即行为特征)、数量及行为属性等可以不同，或者初始风险攻击情报之间可以存在部分重合等。当需要进行识别分析时，可以可以获取每个风险攻击行为数据聚类上预设的多个初始风险攻击情报，以便对初始风险攻击情报内的风险攻击流程进行预测等。

需要说明的是，也可以在风险攻击行为轨迹数据上预先设置多个初始风险攻击情报，当对风险攻击行为轨迹数据按照不同风险标签属性分别进行聚类时，该多个初始风险攻击情报也随着风险攻击行为轨迹数据进行相应的聚类，从而得到的多个风险攻击行为数据聚类上也会存在多个初始风险攻击情报，此时可以获取每个风险攻击行为数据聚类上预设的多个初始风险攻击情报。

一种实施例中，获取每个风险攻击行为数据聚类上预设的多个初始风险攻击情报可以包括：在每个风险攻击行为数据聚类上分别设置目标数量的初始风险攻击情报。当每个风险攻击行为数据聚类上目标数量的初始风险攻击情报未能覆盖风险攻击行为数据聚类时，按照预设策略扩展初始风险攻击情报，直至多个初始风险攻击情报能覆盖风险攻击行为数据聚类，得到多个初始风险攻击情报。

因此，为了提高分析效果，可以对初始风险攻击情报进行优化操作。例如，在每个风险攻击行为数据聚类上分别设置目标数量的初始风险攻击情报后，可以判断风险攻击行为数据聚类上的目标数量的初始风险攻击情报是否可以覆盖该风险攻击行为数据聚类，如果可以覆盖，则不需要执行初始风险攻击情报的优化操作。当风险攻击行为数据聚类上目标数量的初始风险攻击情报未能覆盖该风险攻击行为数据聚类时，可以执行初始风险攻击情报的优化操作，初始风险攻击情报的优化过程可以是按照预设策略在已经设置目标数量的初始风险攻击情报的基础上增加初始风险攻击情报，直至多个初始风险攻击情报能覆盖风险攻击行为数据聚类，得到多个初始风险攻击情报。

在得到每个风险攻击行为数据聚类上预设的多个初始风险攻击情报后，可以调用模型更新后的第一机器学习网络，该第一机器学习网络的类型可以根据实际需要进行灵活设置，该第一机器学习网络的网络模型可以根据实际计算资源的要求进行模型优化和网络层确定，该第一机器学习网络还可以包括业务标签预测和行为属性预测等功能，该第一机器学习网络用于确定符合目标关键行为监控方案的初始风险攻击行为。

此时，可以通过模型更新后的第一机器学习网络对每个初始风险攻击情报内的风险攻击流程进行预测。例如，可以将每个风险攻击行为数据聚类分别输入模型更新后的第一机器学习网络，通过模型更新后的第一机器学习网络依次执行特征提取操作，输出每个风险攻击行为数据聚类对应特征向量，然后基于特征向量对每个初始风险攻击情报内的风险攻击流程进行预测，得到每个初始风险攻击情报对应的行为监控预测信息，该行为监控预测信息可以包括所属的方案和属于该类别的概率等。

例如，当初始风险攻击情报A内的风险攻击流程所属的方案为信息篡改行为的关键行为监控方案时，可以计算出该流程监控对象内属于信息篡改行为的关键行为监控方案的概率和不属于信息篡改行为的关键行为监控方案的概率等，当初始风险攻击情报B内的风险攻击流程所属的方案为支付拦截行为的关键行为监控方案时，可以计算出该流程监控对象内属于支付拦截行为的关键行为监控方案的概率和不属于支付拦截行为的关键行为监控方案的概率等。通过模型更新后的第一机器学习网络进行预测，可以快速及准确检测出行为监控预测信息。

本实施例中，在得到每个初始风险攻击情报对应的行为监控预测信息后，可以根据每个初始风险攻击情报对应的行为监控预测信息，从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的初始风险攻击情报所在的风险攻击流程，得到多个初始风险攻击行为。

一种实施例中，根据每个初始风险攻击情报对应的行为监控预测信息，从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的初始风险攻击情报所在的风险攻击流程，得到多个初始风险攻击行为可以包括：根据每个初始风险攻击情报对应的行为监控预测信息，从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的初始风险攻击情报，得到目标初始风险攻击情报。通过模型更新后的第一机器学习网络对每个目标初始风险攻击情报进行行为属性预测，得到每个目标初始风险攻击情报对应的行为属性信息，根据行为属性信息从每个风险攻击行为数据聚类中，提取出目标初始风险攻击情报所在的风险攻击流程，得到多个初始风险攻击行为。

为了能够精准提取出所需的初始风险攻击行为，可以通过模型更新后的第一机器学习网络对初始风险攻击情报进行行为属性预测来获取行为属性信息。例如，可以根据每个初始风险攻击情报对应的行为监控预测信息，从每个风险攻击行为数据聚类中确定符合目标关键行为监控方案的初始风险攻击情报，得到目标初始风险攻击情报。例如，可以根据每个初始风险攻击情报内区域所属信息篡改行为的关键行为监控方案类别和属于信息篡改行为的关键行为监控方案类别的概率等行为监控预测信息，从每个风险攻击行为数据聚类中确定属于信息篡改行为的关键行为监控方案流程监控溯源操作节点的初始风险攻击情报，得到目标初始风险攻击情报。

然后，通过模型更新后的第一机器学习网络对每个目标初始风险攻击情报进行行为属性预测，得到每个目标初始风险攻击情报对应的行为属性信息，该行为属性信息可以根据实际需要进行灵活设置。此时，可以根据行为属性信息从每个风险攻击行为数据聚类中，提取出目标初始风险攻击情报所在的风险攻击流程，得到多个初始风险攻击行为。

一种实施例中，通过模型更新后的第一机器学习网络对每个初始风险攻击情报内的风险攻击流程进行预测，得到每个初始风险攻击情报对应的行为监控预测信息之前，基于大数据的网络安全监控方法还可以包括：获取多个匹配目标关键行为监控方案的参考风险攻击行为轨迹数据，并在每个参考风险攻击行为轨迹数据上分别设置多个参考风险攻击情报。通过第一机器学习网络计算每个参考风险攻击行为轨迹数据上每个参考风险攻击情报内的风险攻击流程对应的行为监控预测信息和行为属性信息，得到目标预测行为监控信息和预测行为属性信息。获取每个参考风险攻击行为轨迹数据上每个参考风险攻击情报对应的实际行为监控预测信息和实际行为属性信息。采用第三模型评估指标函数对目标预测行为监控信息和实际行为监控预测信息进行模型评估指标计算，以及采用第四模型评估指标函数对预测行为属性信息和实际行为属性信息进行模型评估指标计算，以对第一机器学习网络进行模型更新，得到模型更新后的第一机器学习网络。

在得到参考风险攻击行为轨迹数据后，可以在每个参考风险攻击行为轨迹数据上分别设置多个参考风险攻击情报，该参考风险攻击情报可以用于将参考风险攻击行为轨迹数据划分为多个流程监控对象，该参考风险攻击情报的情报类别、情报覆盖部分(即行为特征)、数量及行为属性等可以根据实际需要进行灵活设置，例如，每个初始风险攻击情报的情报类别、情报覆盖部分(即行为特征)等可以不同。然后，通过第一机器学习网络分别计算每个参考风险攻击行为轨迹数据上每个参考风险攻击情报内的风险攻击流程对应的行为监控预测信息，得到目标预测行为监控信息，以及通过第一机器学习网络分别计算每个参考风险攻击行为轨迹数据上每个参考风险攻击情报内的风险攻击流程对应的行为属性信息，得到预测行为属性信息。以及，需要获取每个参考风险攻击行为轨迹数据上每个参考风险攻击情报内区域实际的行为监控预测信息，得到实际行为监控预测信息，并且，获取每个参考风险攻击行为轨迹数据上每个参考风险攻击情报内区域实际的行为属性信息，得到实际行为属性信息，该实际行为监控预测信息和实际行为属性信息可以是预先得到的准确的信息。

其次，采用第三模型评估指标函数对目标预测行为监控信息和实际行为监控预测信息进行模型评估指标计算，例如，通过调整第一机器学习网络的参数或权重等至合适数值，降低目标预测行为监控信息和实际行为监控预测信息之间的误差，以及采用第四模型评估指标函数对预测行为属性信息和实际行为属性信息进行模型评估指标计算，例如，通过调整第一机器学习网络的参数或权重等至合适数值，降低预测行为属性信息和实际行为属性信息之间的误差，从而可以对第一机器学习网络进行模型更新，最后可以得到模型更新后的第一机器学习网络。其中，该第三模型评估指标函数和第四模型评估指标函数可以根据实际应用需求进行灵活设置。

子步骤S122，将每个初始风险攻击行为分别划分为多个流程监控对象，并获取每个流程监控对象属于目标关键行为监控方案的概率。

在得到多个初始风险攻击行为，可以将每个初始风险攻击行为分别划分为多个流程监控对象，例如，可以在每个初始风险攻击行为上设置多个初始风险攻击情报，每个初始风险攻击情报内的风险攻击流程即为初始风险攻击行为所划分的流程监控对象，该流程监控对象的情报类别、情报覆盖部分(即行为特征)、数量及行为属性等可以根据实际需要进行灵活设置，例如，可以划分为4个流程监控对象，每个流程监控对象之间可以存在重合的部分或不存在重合的部分等。然后，检测每个流程监控对象内的业务特征分布，根据区域内的业务特征分布确定该流程监控对象属于目标关键行为监控方案的概率，例如，可以从多个流程监控对象中确定出属于目标关键行为监控方案的概率大于预设概率阈值的风险攻击流程，该确定出的风险攻击流程为符合目标关键行为监控方案的风险攻击流程，从而可以得到属于目标关键行为监控方案的概率。

一种实施例中，将每个初始风险攻击行为分别划分为多个流程监控对象，并获取每个流程监控对象属于目标关键行为监控方案的概率可以包括：对多个初始风险攻击行为进行行为特征归一化，得到行为特征匹配的多个归一化后的初始风险攻击行为。将每个归一化后的初始风险攻击行为分别划分为多个流程监控对象，并获取每个流程监控对象属于目标关键行为监控方案的概率。

由于得到的多个初始风险攻击行为的行为特征可能不同，因此为了提高对初始风险攻击行为的识别效率及准确性，可以对多个初始风险攻击行为进行行为特征归一化，得到行为特征匹配的多个归一化后的初始风险攻击行为。其中，归一化后的初始风险攻击行为的行为特征可以根据实际需要进行灵活设置。此时，后续仅需要对归一化后的初始风险攻击行为进行处理，即将每个归一化后的初始风险攻击行为分别划分为多个流程监控对象，并获取每个流程监控对象属于目标关键行为监控方案的概率，大大提高了对初始风险攻击行为的识别效率。

一种实施例中，将每个归一化后的初始风险攻击行为分别划分为多个流程监控对象，并获取每个流程监控对象属于目标关键行为监控方案的概率可以包括：将每个归一化后的初始风险攻击行为分别划分为多个流程监控对象。调用模型更新后的第二机器学习网络，并通过模型更新后的第二机器学习网络对每个流程监控对象进行预测，得到每个流程监控对象对应的行为监控预测信息。根据每个流程监控对象对应的行为监控预测信息确定每个流程监控对象属于目标关键行为监控方案的概率。

为了提高识别准确性，可以利用模型更新后的第二机器学习网络获取行为监控预测信息，具体地，首先将每个归一化后的初始风险攻击行为分别划分为多个流程监控对象，该流程监控对象的情报类别、情报覆盖部分(即行为特征)、数量及行为属性等可以根据实际需要进行灵活设置，然后，调用模型更新后的第二机器学习网络，该模型更新后的第二机器学习网络的类型可以根据实际需要进行灵活设置。该第二机器学习网络还可以包括预测和行为属性预测等功能，该第二机器学习网络用于计算初始风险攻击行为上每个流程监控对象属于目标关键行为监控方案的概率，并确定出符合条件的参考风险攻击行为。

此时，可以通过模型更新后的第二机器学习网络对每个归一化后的初始风险攻击行为上划分的每个流程监控对象进行预测，例如，可以将每个归一化后的初始风险攻击行为分别输入模型更新后的第二机器学习网络，通过模型更新后的第二机器学习网络依次执行特征提取，输出每个归一化后的初始风险攻击行为对应特征向量，然后基于特征向量对每个归一化后的初始风险攻击行为上划分的每个流程监控对象进行预测，得到每个流程监控对象对应的行为监控预测信息，该行为监控预测信息可以包括所属的方案和属于该类别的概率等。最后可以根据每个流程监控对象对应的行为监控预测信息确定每个流程监控对象属于目标关键行为监控方案的概率，例如，当流程监控对象A所属的方案为信息篡改行为的关键行为监控方案时，可以计算出该流程监控对象A属于信息篡改行为的关键行为监控方案的概率，当流程监控对象B所属的方案为支付拦截行为的关键行为监控方案时，可以计算出该流程监控对象B属于支付拦截行为的关键行为监控方案的概率等。通过模型更新后的第二机器学习网络进行预测，可以快速及准确检测出各区域属于目标关键行为监控方案的概率。

子步骤S123，从每个初始风险攻击行为中提取出概率大于目标设定概率的流程监控对象，得到多个参考风险攻击行为。

一种实施例中，从每个初始风险攻击行为中提取出概率大于目标设定概率的流程监控对象，得到多个参考风险攻击行为可以包括：通过模型更新后的第二机器学习网络对每个流程监控对象进行行为属性预测，得到每个流程监控对象对应的行为属性信息。根据行为属性信息确定概率大于目标设定概率的流程监控对象在每个初始风险攻击行为中的行为属性。根据行为属性从每个初始风险攻击行为中提取出概率大于目标设定概率的流程监控对象，得到多个参考风险攻击行为。

在得到每个初始风险攻击行为上各个流程监控对象属于目标关键行为监控方案的概率后，可以从每个初始风险攻击行为中提取出概率大于目标设定概率的流程监控对象，该目标设定概率可以根据实际需要进行灵活设置。为了能够精准提取出所需的参考风险攻击行为，可以通过模型更新后的第二机器学习网络对初始风险攻击行为上各个流程监控对象进行行为属性预测来获取行为属性信息，具体地，可以通过模型更新后的第二机器学习网络对每个流程监控对象进行行为属性预测，得到每个流程监控对象对应的行为属性信息，该行为属性信息可以根据实际需要进行灵活设置，可以参照以上描述的实施例即可，此次不再赘述。此时，可以根据行为属性信息确定概率大于目标设定概率的流程监控对象在每个初始风险攻击行为中的行为属性，从而可以根据该位置从每个初始风险攻击行为中提取出概率大于目标设定概率的流程监控对象，得到多个参考风险攻击行为，提高了提取满足条件的参考风险攻击行为的精准性。

一种实施例中，通过模型更新后的第二机器学习网络对每个流程监控对象进行预测，得到每个流程监控对象对应的行为监控预测信息之前，基于大数据的网络安全监控方法还可以包括：获取多个匹配目标关键行为监控方案的参考风险攻击行为轨迹数据，并将每个参考风险攻击行为轨迹数据划分为多个流程监控对象。调用预设的第一机器学习网络，并通过第一机器学习网络确定出符合目标关键行为监控方案的风险攻击流程，得到多个目标风险攻击行为。通过第二机器学习网络计算每个目标风险攻击行为对应的行为监控预测信息和行为属性信息，得到目标预测行为监控信息和预测行为属性信息。获取每个目标风险攻击行为对应的实际行为监控预测信息和实际行为属性信息。采用第一模型评估指标函数对目标预测行为监控信息和实际行为监控预测信息进行模型评估指标计算，以及采用第二模型评估指标函数对预测行为属性信息和实际行为属性信息进行模型评估指标计算，以对第二机器学习网络进行模型更新，得到模型更新后的第二机器学习网络。

为了提高第二机器学习网络进行识别分析的准确性及可靠性，在应用第二机器学习网络进行识别分析之前，可以先对第二机器学习网络进行模型更新。例如，首先获取多个匹配目标关键行为监控方案的参考风险攻击行为轨迹数据，例如，可以通过预先配置的数据采集程序采集多个参考风险攻击行为轨迹数据，或者是，可以从本地存储空间获取多个参考风险攻击行为轨迹数据等。该目标关键行为监控方案可以包括信息篡改行为的关键行为监控方案范围、支付拦截行为的关键行为监控方案范围等中的任意一种或多种组合，即当仅需要对信息篡改行为的关键行为监控方案进行检测时，参考风险攻击行为轨迹数据中包含信息篡改行为的关键行为监控方案范围。当需要对信息篡改行为的关键行为监控方案和支付拦截行为的关键行为监控方案进行检测时，参考风险攻击行为轨迹数据中包含信息篡改行为的关键行为监控方案范围和支付拦截行为的关键行为监控方案范围，此时可以为信息篡改行为的关键行为监控方案范围和支付拦截行为的关键行为监控方案范围设置不同的标签，以区分信息篡改行为的关键行为监控方案范围和支付拦截行为的关键行为监控方案范围。

在得到参考风险攻击行为轨迹数据后，可以将每个参考风险攻击行为轨迹数据划分为多个流程监控对象，例如，可以在每个参考风险攻击行为轨迹数据上分别设置多个参考风险攻击情报，该参考风险攻击情报可以用于将参考风险攻击行为轨迹数据划分为多个流程监控对象，该参考风险攻击情报的情报类别、情报覆盖部分(即行为特征)、数量及行为属性等可以根据实际需要进行灵活设置。然后，调用预设的第一机器学习网络，并通过第一机器学习网络确定出符合目标关键行为监控方案的风险攻击流程，得到多个目标风险攻击行为，例如，确定出符合信息篡改行为的关键行为监控方案流程监控溯源操作节点的风险攻击流程，得到多个信息篡改行为的关键行为监控方案风险攻击行为。其中，第一机器学习网络与上述提及的第一机器学习网络一致，该第一机器学习网络与第二机器学习网络进行级联，该第一机器学习网络可以是模型更新后的第一机器学习网络，或者是，该第一机器学习网络可以是与第二机器学习网络一起正在训练。

其次，将每个目标风险攻击行为划分为多个流程监控对象，该流程监控对象的情报类别、情报覆盖部分(即行为特征)、数量及行为属性等可以根据实际需要进行灵活设置，通过第二机器学习网络分别计算每个目标风险攻击行为上各个流程监控对象对应的行为监控预测信息，得到目标预测行为监控信息，以及通过第二机器学习网络分别计算每个目标风险攻击行为上各个流程监控对象对应的行为属性信息，得到预测行为属性信息。以及，需要获取每个目标风险攻击行为上各个流程监控对象实际的行为监控预测信息，得到实际行为监控预测信息，并且，获取每个目标风险攻击行为上各个流程监控对象实际的行为属性信息，得到实际行为属性信息，该实际行为监控预测信息和实际行为属性信息可以是预先得到的准确的信息。

最后，采用第一模型评估指标函数对目标预测行为监控信息和实际行为监控预测信息进行模型评估指标计算，例如，通过调整第二机器学习网络的参数或权重等至合适数值，降低目标预测行为监控信息和实际行为监控预测信息之间的误差，以及采用第二模型评估指标函数对预测行为属性信息和实际行为属性信息进行模型评估指标计算，例如，通过调整第二机器学习网络的参数或权重等至合适数值，降低预测行为属性信息和实际行为属性信息之间的误差，从而可以对第二机器学习网络进行模型更新，可以得到模型更新后的第二机器学习网络。其中，该第一模型评估指标函数和第二模型评估指标函数可以根据实际应用需求进行灵活设置。

需要说明的是，第一机器学习网络和第二机器学习网络，可以根据实际需要更换成其它网络结构，具体不作限定。

子步骤S124，将多个参考风险攻击行为映射至风险攻击行为轨迹数据上，并根据多个参考风险攻击行为之间的攻击触发相关度确定出符合预设条件的参考风险攻击行为所在的风险攻击流程，得到目标风险攻击流程。

本实施例中，在得到多个参考风险攻击行为后，可以基于多个参考风险攻击行为在风险攻击行为轨迹数据上确定目标风险攻击流程。

一种实施例中，将多个参考风险攻击行为映射至风险攻击行为轨迹数据上，并根据多个参考风险攻击行为之间的攻击触发相关度确定出符合预设条件的参考风险攻击行为所在的风险攻击流程，得到目标风险攻击流程可以包括：将多个参考风险攻击行为的行为特征分布情况分别调整为风险攻击行为轨迹数据的行为特征分布情况一致，得到目标参考风险攻击行为。从风险攻击行为轨迹数据上查找与每个目标参考风险攻击行为匹配的风险攻击流程，得到多个匹配风险攻击流程。根据多个匹配风险攻击流程之间的攻击触发相关度，确定出符合预设条件的参考风险攻击行为所在的风险攻击流程，得到目标风险攻击流程。

具体地，由于在获取到风险攻击行为轨迹数据后，已经对风险攻击行为轨迹数据按照不同风险标签属性分别进行聚类，得到多个风险攻击行为数据聚类，并对风险攻击行为数据聚类进行后续的处理得到参考风险攻击行为，因此，后续得到的参考风险攻击行为是从风险攻击行为数据聚类上提取下来的，此时，为了能够在风险攻击行为轨迹数据上确定出目标风险攻击流程，需要将多个参考风险攻击行为的行为特征分布情况分别调整为风险攻击行为轨迹数据的预设行为特征分布情况一致，得到目标参考风险攻击行为。

然后，从风险攻击行为轨迹数据上查找与每个目标参考风险攻击行为匹配的风险攻击流程，得到多个匹配风险攻击流程，例如，可以将目标参考风险攻击行为上的业务特征分布值与风险攻击行为轨迹数据的业务特征分布值进行比较，查找与目标参考风险攻击行为上所有业务特征分布值之间相似度最高的风险攻击流程，得到匹配风险攻击流程。其次，在得到每个目标参考风险攻击行为对应的匹配风险攻击流程后，可以计算各个匹配风险攻击流程之间的攻击触发相关度，最后可以根据各个匹配风险攻击流程之间的攻击触发相关度，确定出符合预设条件的参考风险攻击行为所在的风险攻击流程，得到目标风险攻击流程。

一种实施例中，根据多个匹配风险攻击流程之间的攻击触发相关度，确定出符合预设条件的参考风险攻击行为所在的风险攻击流程，得到目标风险攻击流程可以包括：获取每个匹配风险攻击流程属于目标关键行为监控方案的概率，并从多个匹配风险攻击流程中确定出概率最高的匹配风险攻击流程，作为当前匹配风险攻击流程。分别计算多个匹配风险攻击流程中除了当前匹配风险攻击流程外的其它匹配风险攻击流程，与当前匹配风险攻击流程之间的攻击触发相关度，得到多个攻击触发相关度。根据多个攻击触发相关度，从其它匹配风险攻击流程中去除攻击触发相关度小于预设相关度区间的风险攻击流程，返回执行从多个匹配风险攻击流程中确定出概率最高的匹配风险攻击流程作为当前匹配风险攻击流程的操作，直至剩下预设数量的匹配风险攻击流程，汇总得到目标风险攻击流程。

例如，由于可以获取到初始风险攻击行为上各个流程监控对象属于目标关键行为监控方案的概率，且参考风险攻击行为为初始风险攻击行为上概率大于目标设定概率的流程监控对象，因此可以将参考风险攻击行为属于目标关键行为监控方案的概率，作为与其对应的匹配风险攻击流程属于目标关键行为监控方案的概率，在得到每个匹配风险攻击流程属于目标关键行为监控方案的概率后，可以从多个匹配风险攻击流程中确定出概率最高的匹配风险攻击流程，作为当前匹配风险攻击流程，当概率最高的匹配风险攻击流程存在多个时，可以随机将其中一个概率最高的匹配风险攻击流程作为当前匹配风险攻击流程。然后，获取多个匹配风险攻击流程中除了当前匹配风险攻击流程外的其它匹配风险攻击流程，并分别计算其它匹配风险攻击流程与当前匹配风险攻击流程之间的攻击触发相关度。

在得到攻击触发相关度后，可以判断该攻击触发相关度是否小于预设相关度区间，该预设相关度区间可以根据实际需要进行灵活设置，若该攻击触发相关度小于预设相关度区间，则去除该攻击触发相关度小于预设相关度区间对应的其它匹配风险攻击流程，保留当前匹配风险攻击流程。若该攻击触发相关度大于预设值，则保留当前匹配风险攻击流程和该攻击触发相关度大于预设相关度区间对应的其它匹配风险攻击流程。

例如，当流程监控对象A为概率最高的匹配风险攻击流程时，将流程监控对象A即为当前匹配风险攻击流程，此时计算流程监控对象A和流程监控对象B之间的攻击触发相关度，若判定该攻击触发相关度小于预设相关度区间，则将流程监控对象B去除，保留流程监控对象A。

若判定该攻击触发相关度大于或等于预设值，则将流程监控对象A和流程监控对象B保留。

在计算各个其它匹配风险攻击流程与当前匹配风险攻击流程之间的攻击触发相关度后，可以得到多个攻击触发相关度，然后按照上述方式基于得到的多个攻击触发相关度，从其它匹配风险攻击流程中去除攻击触发相关度小于预设相关度区间的风险攻击流程，返回执行从多个匹配风险攻击流程中确定出概率最高的匹配风险攻击流程作为当前匹配风险攻击流程的操作，直至剩下预设数量的匹配风险攻击流程，汇总得到目标风险攻击流程。通过该方式可以快速确定出目标风险攻击流程，当然，目标风险攻击流程的确定方式还可以是其它的方式，具体内容在此处不作限定。

这样，可以从风险攻击行为数据聚类中确定出初始风险攻击行为，并基于对初始风险攻击行为进一步划分为多个流程监控对象来检测得到目标风险攻击流程，因此整个流程监控溯源操作过程更有精准信息定位性，从而提高了流程监控溯源操作效率，满足实时快速流程监控要求，并且可以对多个风险攻击行为数据聚类进行处理及精准确定参考风险攻击行为所在的风险攻击流程进行目标关键行为监控方案的精准信息定位性流程监控，提高了流程监控溯源操作的准确性和精准信息定位性。

一种实施例中，进一步针对步骤S110，在获取所述信息推广服务平台中完成风险攻击确认分析的风险攻击行为轨迹数据的具体实现方式，可以通过以下示例性的子步骤实现。

步骤S111，获取待风险攻击确认分析的风险攻击行为轨迹数据，并获取风险攻击行为轨迹数据所映射的多个风险攻击节点的风险攻击日志信息。

步骤S112，解析风险攻击日志信息为相应的风险攻击日志行序列，将风险攻击日志行序列输入已训练的风险攻击识别网络中的对应攻击识别结构。其中，每个攻击识别结构至少包含一个攻击识别层，每个攻击识别结构的攻击识别层处理一个风险攻击节点相应的风险攻击日志行序列。

风险攻击识别网络是可以具有多组攻击识别结构，可以输入多组数据。从每一组攻击识别结构输入的数据都有单独的攻击识别层进行处理，最后，分类网络结构将不同攻击识别结构的输出融合到一起作为分类网络结构的输入。

本实施例所采用的风险攻击识别网络中可将前置层输出的特征矩阵映射为对应于每一预设风险攻击确认属性的数据，从而通过回归层输出输入的多组风险攻击日志行序列所属的风险攻击确认属性。

例如，服务器100可获取到与风险攻击日志行序列相应的风险攻击日志信息所属的风险攻击节点相对应的攻击识别结构，再将风险攻击日志行序列输入已训练的风险攻击识别网络中的对应攻击识别结构。其中，每个攻击识别结构至少包含一个攻击识别层，每个攻击识别结构的攻击识别层处理一个风险攻击节点相应的风险攻击日志行序列。

一种实施例中，服务器100在训练风险攻击识别网络时，可预先设置输入的风险攻击日志行序列与攻击识别结构的对应关系。比如，在风险攻击日志行序列中添加与相应的风险攻击节点对应的标识，再设置风险攻击识别网络中不同的攻击识别结构分别只能输入一个标识所对应的风险攻击日志行序列。这样，可以保证在风险攻击识别网络的训练过程中，对应的攻击识别结构的训练算法可以正确地训练对应的数据。将风险攻击日志行序列输入已训练的风险攻击识别网络中的攻击识别结构时，根据预先设置的输入的风险攻击日志行序列与攻击识别结构的对应关系，将风险攻击日志行序列输入对应的攻击识别结构。

步骤S113，通过风险攻击识别网络中的分类网络结构，根据多个攻击识别结构所输出的风险攻击确认分析决策特征进行预测，输出风险攻击行为轨迹数据所属的风险攻击确认属性。

例如，服务器100可将多个攻击识别结构所输出的风险攻击确认分析决策特征进行融合，得到融合风险攻击确认分析决策特征，将融合风险攻击确认分析决策特征作为已训练的风险攻击识别网络中的分类网络结构的输入，通过分类网络结构输出风险攻击行为轨迹数据所属的风险攻击确认属性。

步骤S114，根据风险攻击行为轨迹数据所属的风险攻击确认属性，对风险攻击行为轨迹数据进行风险攻击确认分析。

基于上述步骤，将待风险攻击确认分析的风险攻击行为轨迹数据所映射的多个风险攻击节点的风险攻击日志信息解析为相应的风险攻击日志行序列，通过将风险攻击日志行序列分别输入已训练的风险攻击识别网络中的，与风险攻击日志行序列所属的风险攻击节点相对应的攻击识别结构，每个攻击识别结构的攻击识别层处理一个风险攻击节点相应的风险攻击日志行序列，可对待风险攻击确认分析的风险攻击行为轨迹数据的多组风险攻击日志行序列进行卷积处理。再通过风险攻击识别网络中的分类网络结构，根据多个攻击识别结构所输出的风险攻击确认分析决策特征进行预测，输出风险攻击行为轨迹数据所属的风险攻击确认属性。这样，可充分利用待风险攻击确认分析的风险攻击行为轨迹数据所映射的多个风险攻击节点的风险攻击日志信息，通过结合实际应用过程中的不同风险攻击节点进行精准信息定位性地风险攻击确认分析，使得各个风险攻击节点的风险攻击日志信息可以利用到后续的风险攻击确认分析过程中的相互风险攻击确认分析互补，大大提高了风险攻击确认分析的准确率。

一种实施例中，进一步针对步骤S114，可以通过以下示例性的子步骤实现，详细描述如下。

步骤S1141，获取风险攻击确认服务发送的包括至少一个轨迹分段的目标轨迹数据，并获取轨迹分段的风险攻击特征模板，并根据风险攻击特征模板，分别获取轨迹分段基于动态风险攻击特征和非动态风险攻击特征的核心风险攻击确认规则和初始从属风险攻击确认规则。

其中，核心风险攻击确认规则可以是用于描述轨迹分段核心信息的风险攻击确认规则。从属风险攻击确认规则可以是用于描述轨迹分段单元信息的风险攻击确认规则，可以是至少一个单元过程对应的风险攻击确认规则，从属风险攻击确认规则的规则属性可以少于核心风险攻击确认规则。

一种实施例中，基于动态风险攻击特征的核心风险攻击确认规则可以为核心动态风险攻击特征的风险攻击确认规则，基于非动态风险攻击特征的核心风险攻击确认规则可以为核心非动态风险攻击特征的风险攻击确认规则。基于动态风险攻击特征的初始从属风险攻击确认规则可以为初始从属动态风险攻击特征的风险攻击确认规则，基于非动态风险攻击特征的初始从属风险攻击确认规则可以为初始单元非动态风险攻击特征的风险攻击确认规则。

一种实施例中，可以根据动态风险攻击特征向量信息获取轨迹分段的核心动态风险攻击特征的风险攻击确认规则和初始从属动态风险攻击特征的风险攻击确认规则，根据非动态风险攻击特征向量信息获取轨迹分段的核心非动态风险攻击特征的风险攻击确认规则和初始单元非动态风险攻击特征的风险攻击确认规则。

步骤S1142，对初始从属风险攻击确认规则进行风险攻击确认分析标签扩展，得到目标从属风险攻击确认规则。

步骤S1143，分别基于动态风险攻击特征和非动态风险攻击特征，对核心风险攻击确认规则和目标从属风险攻击确认规则进行规则拼接，得到目标动态风险攻击比对配置信息和目标非动态风险攻击比对配置信息。

其中，目标动态风险攻击比对配置信息为整合了核心动态风险攻击特征向量和从属动态风险攻击特征向量得到的动态风险攻击比对配置信息，目标非动态风险攻击比对配置信息为整合了核心非动态风险攻击特征向量和单元非动态风险攻击特征向量得到的非动态风险攻击比对配置信息。

步骤S1144，根据目标动态风险攻击比对配置信息和目标非动态风险攻击比对配置信息进行风险攻击确认分析模型更新处理，得到目标风险攻击确认分析模型，并将目标风险攻击确认分析模型对目标轨迹数据进行风险攻击确认分析。

图3为本公开实施例提供的基于大数据的网络安全监控装置300的功能模块示意图，下面分别对该基于大数据的网络安全监控装置300的各个功能模块的功能进行详细阐述。

聚类模块310，用于获取所述信息推广服务平台中完成风险攻击确认分析的风险攻击行为轨迹数据，并对所述风险攻击行为轨迹数据按照不同风险标签属性分别进行聚类，得到多个风险攻击行为数据聚类。其中，聚类模块310可以用于执行上述的步骤S110，关于聚类模块310的详细实现方式可以参照上述针对步骤S110的详细描述即可。

溯源模块320，用于根据所述风险攻击行为数据聚类确定出参考风险攻击行为所在的目标风险攻击流程，并按照所述目标关键行为监控方案对应的流程监控策略对所述目标风险攻击流程进行流程监控溯源操作。其中，溯源模块320可以用于执行上述的步骤S120，关于溯源模块320的详细实现方式可以参照上述针对步骤S120的详细描述即可。

图4示出了本公开实施例提供的用于实现上述的基于大数据的网络安全监控方法的服务器100的硬件结构示意图，如图4所示，服务器100可包括处理器110、机器可读存储介质120、总线130以及收发器140。

在具体实现过程中，至少一个处理器110执行机器可读存储介质120存储的计算机执行指令（例如图3中所示的基于大数据的网络安全监控装置300包括的聚类模块310和溯源模块320），使得处理器110可以执行如上方法实施例的基于大数据的网络安全监控方法，其特征在于，处理器110、机器可读存储介质120以及收发器140通过总线130连接，处理器110可以用于控制收发器140的收发动作，从而可以与前述的信息推广服务平台200进行数据收发。

处理器110的具体实现过程可参见上述服务器100执行的各个方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

此外，本发明实施例还提供一种可读存储介质，所述可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上基于大数据的网络安全监控方法。

最后，应当理解的是，本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此，作为示例而非限制，本说明书实施例的替代配置可视为与本说明书的教导一致。相应地，本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。