(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211118036.0 (22)申请日 2022.09.14 (71)申请人 曹文升 地址 655000 云南省曲靖市麒 麟区寥廓街 道翠峰路87号 (72)发明人 曹文升　王贵宝　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于业务智能化的赛博攻击分析方法 及服务器 (57)摘要 本发明提供一种基于业务智能化的赛博攻 击分析方法及服务器， 应用于本发明， 能够对每 个窗口化活动日志块的赛博攻击意向知识进行 多轮校对识别攻击事件识别核的分布情况和回 归分析可信指数， 进而可以显著地提升不同赛博 攻击事件的拆解处理精度和可信度， 便于后续针 对不同的赛博攻击事件对应的信息集进行差异 化攻击防护处理， 无需对异常数字业务活动日志 进行多次地毯式分析处理， 提高攻击防护处理的 效率和灵活性。 权利要求书3页 说明书14页 附图1页 CN 115426193 A 2022.12.02 CN 115426193 A 1.一种基于业务智能化的赛博攻击分析方法， 其特征在于， 应用于赛博攻击分析服务 器， 所述方法包括： 获得异常数字业务活动日志的至少一个窗口化活动日志块， 以及每个窗口化活动日志 块的赛博攻击意向知识； 将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含X个处理阶段的特征金 字塔模型FPN中， 利用每一阶攻击事件识别核挖掘得到的赛博攻击意向知识， 进 行所述每一 阶的下一阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容识别， 直到获得 所述每个窗口化活动日志块的第X阶攻击事件识别核和第X阶攻击事件识别核中的攻击事 件标注内容； 将所述每个窗口化活动日志块的第X阶攻击事件识别核和第X阶攻击事件识别核中的 攻击事件标注内容， 确定为异常数字业务活动日志的赛博攻击事件拆解报告并进行缓存； 其中， X≥2， 且X∈Z。 2.根据权利要求1所述的方法， 其特征在于， 所述将所述每个窗口化活动日志块的赛博 攻击意向知识加载到包含X个处理阶段的特征金字塔模型FPN中， 利用每一阶攻击事件识别 核挖掘得到的赛博攻击意向知识， 进 行所述每一阶的下一阶攻击事件识别核识别和攻击事 件识别核中的攻击事件标注内容识别， 直到获得所述每个窗口化活动日志块的第X阶攻击 事件识别核和第X阶攻击事 件识别核中的攻击事 件标注内容， 包括： 将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含X个处理阶段的特征金 字塔模型FPN中， 分别进行X 阶攻击事件识别核识别和攻击事件标注内容识别， 得到所述每 个窗口化活动日志块的第X阶攻击事件识别核和第X阶攻击事件识别核中的攻击事件标注 内容。 3.根据权利要求1所述的方法， 其特征在于， 所述将所述每个窗口化活动日志块的赛博 攻击意向知识加载到包含X个处理阶段的特征金字塔模型FPN中， 利用每一阶攻击事件识别 核挖掘得到的赛博攻击意向知识， 进 行所述每一阶的下一阶攻击事件识别核识别和攻击事 件识别核中的攻击事件标注内容识别， 直到获得所述每个窗口化活动日志块的第X阶攻击 事件识别核和第X阶攻击事 件识别核中的攻击事 件标注内容， 包括： 将所述每个窗口化活动日志块的赛博攻击意向知识加载到包含X个处理阶段的特征金 字塔模型FPN中， 每一阶遵从先攻击事件识别核识别后攻击事件识别核中的攻击事件标注 内容识别的规则， 进行X阶攻击事件识别核识别和攻击事件识别核中的攻击事件标注内容 识别， 得到所述每个窗口化活动日志 块的第X阶攻击事件识别核和 第X阶攻击事件识别核中 的攻击事 件标注内容。 4.根据权利要求1所述的方法， 其特征在于， 所述将所述每个窗口化活动日志块的赛博 攻击意向知识加载到包含X个处理阶段的特征金字塔模型FPN中， 利用每一阶攻击事件识别 核挖掘得到的赛博攻击意向知识， 进 行所述每一阶的下一阶攻击事件识别核识别和攻击事 件识别核中的攻击事件标注内容识别， 直到获得所述每个窗口化活动日志块的第X阶攻击 事件识别核和第X阶攻击事件识别核中的攻击事件标注内容； 并将所述每个窗口化活动日 志块的第X阶攻击事件识别核和 第X阶攻击事件识别核中的攻击事件标注内容， 确定为异常 数字业务活动日志的赛博攻击事 件拆解报告并进行缓存， 包括： 获得所述每个窗口化活动日志块的第u ‑1阶攻击事件识别核， 并从所述每个窗口化活权　利　要　求　书 1/3 页 2 CN 115426193 A 2动日志块的第u ‑1阶攻击事 件识别核中挖掘赛博攻击意向知识； 结合从所述每个窗口化活动日志块的第u ‑1阶攻击事件识别核中挖掘得到的赛博攻击 意向知识， 进 行第u阶攻击事件识别核识别和第u阶攻击事件识别核中的攻击事件标注内容 识别， 得到所述每个窗口化活动日志 块的第u阶攻击事件识别核和 第u阶攻击事件识别核中 的攻击事 件标注内容； 将u调整为u+1， 跳转到所述获得所述每个窗口化活动日志块的第u ‑1阶攻击事件识别 核， 并从所述每 个窗口化活动日志块的第u ‑1阶攻击事 件识别核中挖掘赛博攻击意向知识； 直到获得所述每个窗口化活动日志块的第X阶攻击事件识别核和第X阶攻击事件识别 核中的攻击事件标注内容， 将所述每个窗口化活动日志块的第X阶攻击事件识别核和 第X阶 攻击事件识别核中的攻击事件标注内容， 确定为所述异常数字业务活动日志的赛博攻击事 件拆解报告； 其中， u不小于1不大于X； 且响应于u=1， 从所述每个窗口化活动日志块的第u ‑1阶攻击 事件识别核中挖掘得到的赛博攻击意向知识为所述每个窗口化活动日志块的赛博攻击意 向知识。 5.根据权利要求4所述的方法， 其特征在于， 所述结合从所述每个窗口化活动日志块的 第u‑1阶攻击事件识别核中挖掘得到的赛博攻击意向知识， 进 行第u阶攻击事件识别核中的 攻击事件标注内容识别， 得到所述每个窗口化活动日志块的第u阶攻击事件识别核中的攻 击事件标注内容， 包括： 响应于u>1， 获得所述每个窗口化活动日志块的第u ‑1阶攻击事件识别核， 以及获得所 述每个窗口化活动日志 块进行第u ‑1阶攻击事件识别核中的攻击事件标注内容识别的赛博 攻击意向知识； 结合从所述每个窗口化活动日志块的第u ‑1阶攻击事件识别核中挖掘得到的赛博攻击 意向知识和所述每个窗口化活动日志 块进行第u‑1阶攻击事件识别核中的攻击事件标注内 容识别的赛博攻击意向知识， 进行赛博攻击意向知识拼接得到第u阶攻击事件识别核中的 攻击事件标注内容识别的赛博攻击意向联动知识； 经由所述第u阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击意向联动知 识， 进行所述每个窗口化活动日志 块的第u阶攻击事件识别核中的攻击事件标注内容识别， 得到所述每 个窗口化活动日志块的第u阶攻击事 件识别核中的攻击事 件标注内容。 6.根据权利要求5所述的方法， 其特征在于， 所述获得所述每个窗口化活动日志块进行 第u‑1阶攻击事 件识别核中的攻击事 件标注内容识别的赛博攻击意向知识， 包括： 对从所述每个窗口化活动日志块的第u ‑1阶攻击事件识别核中挖掘得到的赛博攻击意 向知识进行赛博攻击意向知识映射， 得到所述每个窗口化活动日志块的第u ‑1阶攻击事件 识别核中的攻击事 件标注内容识别的赛博攻击偏好向量； 对所述第u ‑1阶攻击事件识别核中的攻击事件标注内容识别的赛博攻击偏好向量进行 知识细节提取， 得到所述每个窗口化活动日志块进行第u ‑1阶攻击事件识别核中的攻击事 件标注内容识别的赛博攻击意向知识。 7.根据权利要求1所述的方法， 其特征在于， 在获得异常数字业务活动日志的至少一个 窗口化活动日志块， 以及每个窗口化活动日志块的赛博攻击意向知识之后， 所述方法还包 括：权　利　要　求　书 2/3 页 3 CN 115426193 A 3