基于态势感知和大数据的情报生成方法及信息安全系统

摘要

本公开实施例提供一种基于态势感知和大数据的情报生成方法及信息安全系统，通过从多个维度提取目标安全态势感知大数据的攻击意图簇，并基于多个已收集威胁情报的已收集威胁情报，将各已收集威胁情报的情报意图簇与目标安全态势感知大数据的攻击意图簇进行匹配，基于匹配得到的各状态匹配度得到目标已收集威胁情报，对目标安全态势感知大数据和目标已收集威胁情报进行安全态势有效情报生成得到目标安全态势有效情报，如此，通过对目标安全态势感知大数据和已收集威胁情报的特征匹配，使得得到的目标已收集威胁情报与当前的目标安全态势感知大数据拥有较高的状态匹配度，从而能够快速生成与当前已收集威胁情报的相关性较高的安全态势有效情报。

说明书

技术领域

本公开涉及信息安全技术领域，具体而言，涉及一种基于态势感知和大数据的情报生成方法及信息安全系统。

背景技术

随着互联网信息规模和复杂性不断增大，互联网信息的攻击技术不断革新，新型攻击工具大量涌现，传统的互联网信息安全技术显得力不从心，信息安全攻击行为不可避免，信息安全问题越发严峻，因此需要进行信息安全态势感知。

信息安全态势是指由各种信息互联网服务运行状况、信息行为以及用户行为等因素所构成的整个信息当前状态和变化趋势。信息安全态势感知是指在大规模互联网信息环境中，对能够引起信息安全态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势，进而进行相应的安全处理措施。在相关技术的安全态势感知后，可以获得相关的目标安全态势感知大数据，由此进行针对性挖掘后可以获得相关的安全态势有效情报进行展示。然而，相关技术中，并没有考虑到安全态势有效情报与已收集威胁情报之间的联系，导致实际情报生成结果与当前的已收集威胁情报无法有效联系而存在较大偏差。

发明内容

为了至少克服现有技术中的上述不足，本公开的目的在于提供一种基于态势感知和大数据的情报生成方法及信息安全系统。

第一方面，本公开提供一种基于态势感知和大数据的情报生成方法，应用于信息安全系统，所述信息安全系统与多个数字化服务平台通信连接，所述方法包括：

获取根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制后获得的用于生成目标安全态势有效情报的目标安全态势感知大数据；

从多个不同防火墙环境的攻击意图挖掘网络，对所述目标安全态势感知大数据进行攻击意图挖掘，得到所述目标安全态势感知大数据的攻击意图簇；

分别获取多个已收集威胁情报的情报意图簇，分别将各所述已收集威胁情报的情报意图簇与所述目标安全态势感知大数据的攻击意图簇进行匹配，得到各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度；

基于各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度，从所述多个已收集威胁情报中筛选得到与所述目标安全态势感知大数据相匹配的目标已收集威胁情报，各所述已收集威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息；

基于所述目标安全态势感知大数据和所述目标已收集威胁情报进行安全态势有效情报生成，得到所述目标安全态势有效情报。

第二方面，本公开实施例还提供一种基于态势感知和大数据的情报生成系统，所述基于态势感知和大数据的情报生成系统包括信息安全系统以及与所述信息安全系统通信连接的多个数字化服务平台；

所述信息安全系统，用于：

获取根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制后获得的用于生成目标安全态势有效情报的目标安全态势感知大数据；

从多个不同防火墙环境的攻击意图挖掘网络，对所述目标安全态势感知大数据进行攻击意图挖掘，得到所述目标安全态势感知大数据的攻击意图簇；

分别获取多个已收集威胁情报的情报意图簇，分别将各所述已收集威胁情报的情报意图簇与所述目标安全态势感知大数据的攻击意图簇进行匹配，得到各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度；

基于各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度，从所述多个已收集威胁情报中筛选得到与所述目标安全态势感知大数据相匹配的目标已收集威胁情报，各所述已收集威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息；

基于所述目标安全态势感知大数据和所述目标已收集威胁情报进行安全态势有效情报生成，得到所述目标安全态势有效情报。

基于上述任意一个方面，本公开通过在获得用于生成目标安全态势有效情报的目标安全态势感知大数据后，从多个维度提取目标安全态势感知大数据的攻击意图簇，并基于多个已收集威胁情报的已收集威胁情报，将各已收集威胁情报的情报意图簇与目标安全态势感知大数据的攻击意图簇进行匹配，基于匹配得到的各状态匹配度得到与目标安全态势感知大数据相匹配的目标已收集威胁情报，然后对目标安全态势感知大数据和目标已收集威胁情报进行安全态势有效情报生成得到目标安全态势有效情报，如此，通过对目标安全态势感知大数据和已收集威胁情报的特征匹配，使得得到的目标已收集威胁情报与当前的目标安全态势感知大数据拥有较高的状态匹配度，从而能够快速生成与当前已收集威胁情报的相关性较高的安全态势有效情报。

附图说明

为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要调用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。

图1为本公开实施例提供的基于态势感知和大数据的情报生成系统的应用场景示意图；

图2为本公开实施例提供的基于态势感知和大数据的情报生成方法的流程示意图；

图3为本公开实施例提供的用于实现上述的基于态势感知和大数据的情报生成方法的信息安全系统的架构示意框图。

具体实施方式

下面结合说明书附图对本公开进行具体说明，方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。

图1是本公开一种实施例提供的基于态势感知和大数据的情报生成系统10的交互示意图。基于态势感知和大数据的情报生成系统10可以包括信息安全系统100以及与信息安全系统100通信连接的数字化服务平台200。图1所示的基于态势感知和大数据的情报生成系统10仅为一种可行的示例，在其它可行的实施例中，该基于态势感知和大数据的情报生成系统10也可以仅包括图1所示组成部分的其中的至少部分或者还可以包括其它的团成部分。

一种可独立实施的实施例中，基于态势感知和大数据的情报生成系统10中的信息安全系统100和数字化服务平台200可以通过配合执行以下方法实施例所描述的基于态势感知和大数据的情报生成方法，具体信息安全系统100和数字化服务平台200的执行步骤部分可以参照以下方法实施例的详细描述。

为了解决前述背景技术中的技术问题，图2为本公开实施例提供的基于态势感知和大数据的情报生成方法的流程示意图，本实施例提供的基于态势感知和大数据的情报生成方法可以由图1中所示的信息安全系统100执行，下面对该基于态势感知和大数据的情报生成方法进行详细介绍。

步骤S110，信息安全系统100获取根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制后获得的用于生成目标安全态势有效情报的目标安全态势感知大数据。

一种可独立实施的实施例中，信息安全系统100可以响应于安全态势有效情报展示请求令来触发本公开实施例的方法。例如安全态势有效情报展示请求令可以是信息安全系统100基于用户通过相关应用界面检测到的触发行为生成，具体不作限定。

步骤S120，从多个不同防火墙环境的攻击意图挖掘网络，对目标安全态势感知大数据进行攻击意图挖掘，得到目标安全态势感知大数据的攻击意图簇。

需要说明的是，攻击意图挖掘网络为用于目标安全态势感知大数据特性进行一个或一类属性的攻击意图挖掘的人工智能神经网络，本实施例的多个防火墙环境可以包括但不限于智慧医疗、智慧办公、智慧家庭、智慧城市。

一种可独立实施的实施例中，信息安全系统100通过对目标安全态势感知大数据从多个攻击意图挖掘网络进行意图深度挖掘，从而提取出目标安全态势感知大数据的攻击意图簇，该攻击意图簇则包含有目标安全态势感知大数据在多个攻击意图挖掘网络下的攻击意图特征。信息安全系统100识别得到的攻击意图簇可以是多个攻击意图挖掘网络的挖掘类别属性，例如若多个攻击意图挖掘网络的挖掘类别属性分别为办公文档攻击、医疗支付攻击、共享内容访问攻击，那么攻击意图特征可以与办公文档攻击、医疗支付攻击、共享内容访问攻击相关的意图特征信息相关。进一步地，信息安全系统100还将识别得到的挖掘类别属性进行编码，得到编码后的攻击意图簇。其中，可以将挖掘类别属性编码为向量，以向量形式表示攻击意图簇。

一种可独立实施的实施例中，以上步骤S120可以通过如下方式实现，将结合各步骤进行说明。

首先，信息安全系统100从多个攻击意图挖掘网络，对目标安全态势感知大数据进行攻击意图挖掘，得到目标安全态势感知大数据的多个攻击意图挖掘特征。然后，基于各攻击意图挖掘特征的影响系数，对多个攻击意图挖掘特征进行权重融合挖掘，得到目标安全态势感知大数据的攻击意图簇。

一种可独立实施的实施例中，各攻击意图挖掘特征的影响系数可以预先设置并存储于信息安全系统100的软件服务内，信息安全系统100在提取目标安全态势感知大数据的多个维度的攻击意图挖掘特征后，基于各攻击意图挖掘特征的影响系数，对各攻击意图挖掘特征进行权重融合挖掘从而得到目标安全态势感知大数据的攻击意图簇。其中，各攻击意图挖掘特征的影响系数可以根据实际需求自定义设置，例如，若需要体现强调目标安全态势感知大数据的办公文档，则将办公文档的影响系数设置为相较于其它攻击意图挖掘特征更大的影响系数，从而可以在后续的攻击意图匹配中，匹配到更强调该办公文档的攻击意图特征。

上述方式中，通过从多个攻击意图挖掘网络提取目标安全态势感知大数据的多个攻击意图挖掘特征，并基于各攻击意图挖掘特征的影响系数对各攻击意图挖掘特征进行权重融合挖掘得到攻击意图簇，能够灵活的对目标安全态势感知大数据进行攻击意图挖掘网络的攻击意图挖掘。

步骤S130，分别获取多个已收集威胁情报的情报意图簇，分别将各所述已收集威胁情报的情报意图簇与所述目标安全态势感知大数据的攻击意图簇进行匹配，得到各所述已收集威胁情报与所述目标安全态势感知大数据的状态匹配度。

这里，多个已收集威胁情报可以存储于信息安全系统100，还可以是存储于与信息安全系统100通信连接的分布式存储节点中，例如数据库服务器内，或者是分散的存储于信息安全系统100本地或分布式存储节点中，例如一部分已收集威胁情报存储于信息安全系统100本地，另一部分存储于分布式存储节点内，或者重复存储于信息安全系统100或者分布式存储节点内。信息安全系统100可以从信息安全系统100中获取存储的所有已收集威胁情报，或者从分布式存储节点内获取其存储的所有已收集威胁情报。

一种可独立实施的实施例中，情报意图簇可以预先提取并存储于信息安全系统100本地或者分布式存储节点内，信息安全系统100在提取到目标安全态势感知大数据的攻击意图簇后，即直接从信息安全系统100本地或分布式存储节点内分别获取存储的多个已收集威胁情报的情报意图簇。情报意图簇还可以是信息安全系统100在获取到已收集威胁情报后，对已收集威胁情报进行情报意图引用得到。其中，已收集威胁情报可以包括至少一个挖掘类别属性，已收集威胁情报的挖掘类别属性例如可以是无人驾驶、办公文档攻击类别等。信息安全系统100基于已收集威胁情报的挖掘类别属性，提取情报意图簇。例如，信息安全系统100基于已收集威胁情报的挖掘类别属性，对挖掘类别属性进行编码，得到情报意图簇。

一种可独立实施的实施例中，以上步骤S130可以通过如下方式实现：将目标安全态势感知大数据输入至攻击意图挖掘控制模型，通过攻击意图挖掘控制模型，从多个攻击意图挖掘网络，对目标安全态势感知大数据进行攻击意图挖掘，得到目标安全态势感知大数据的攻击意图簇。相应的，步骤S130可以通过如下方式实现：利用情报意图引用网络，分别对输入的多个已收集威胁情报进行情报意图引用，得到多个已收集威胁情报的情报意图簇。

一种可独立实施的实施例中，攻击意图挖掘控制模型和情报意图引用网络均为训练好的模型，采用的是通用的神经网络模型，例如可以是长短期记忆网络(LSTM，LongShort-TermMemory)。信息安全系统100将目标安全态势感知大数据输入至攻击意图挖掘控制模型，通过攻击意图挖掘控制模型对目标安全态势感知大数据进行多个攻击意图挖掘网络的特征编码，得到攻击意图簇。信息安全系统100还将多个已收集威胁情报分别输入至情报意图引用网络，通过情报意图引用网络分别对多个已收集威胁情报进行特征编码，得到多个已收集威胁情报各自对应的情报意图簇。

在上述方式中，分别通过训练好的人工智能神经网络来进行目标安全态势感知大数据和已收集威胁情报的攻击意图挖掘，能够方便快捷且准确的提取到攻击意图簇和情报意图簇。

一种可独立实施的实施例中，攻击意图挖掘控制模型和情报意图引用网络为二者协同训练得到的，二者可以是预先训练好的，在需要对目标安全态势感知大数据和已收集威胁情报进行情报意图引用时，信息安全系统100调用攻击意图挖掘控制模型和情报意图引用网络来分别对目标安全态势感知大数据和已收集威胁情报进行情报意图引用。

一种可独立实施的实施例中，本公开实施例还提供一种基于人工智能的模型更新方法，可以执行以下步骤。

步骤S101，信息安全系统100通过攻击意图挖掘控制模型，从多个攻击意图挖掘网络，对输入的参考安全态势感知大数据集中的各个参考安全态势感知大数据进行攻击意图挖掘，得到参考安全态势感知大数据集对应的参考攻击意图簇序列；

一种可独立实施的实施例中，信息安全系统100首先可以获取参考数据集合。其中，参考数据包括多组参考训练数据，参考训练数据包括参考安全态势感知大数据以及与参考安全态势感知大数据相匹配的参考已收集威胁情报。参考安全态势感知大数据与参考已收集威胁情报的状态匹配度为100％。参考数据集合中的所有参考安全态势感知大数据构成参考安全态势感知大数据集，参考数据集合中的所有参考已收集威胁情报构成参考已收集威胁情报序列。

示例性地，信息安全系统100在获取参考数据集合后，将其中的参考安全态势感知大数据集输入至攻击意图挖掘控制模型中，通过目标安全态势感知大数据提取模型，从多个攻击意图挖掘网络，对参考安全态势感知大数据集中的各个参考安全态势感知大数据依次进行攻击意图挖掘，得到各参考安全态势感知大数据分别对应的参考攻击意图簇，将所有参考安全态势感知大数据对应的所有参考攻击意图簇作为参考攻击意图簇序列。其中，攻击意图挖掘控制模型可以是多任务模型。

一种可独立实施的实施例中，攻击意图挖掘控制模型可以包括多个子攻击意图挖掘网络，子攻击意图挖掘网络与攻击意图挖掘网络呈一一对应关系。需要说明的是，子攻击意图挖掘网络可以采用通用的卷积神经网络、循环神经网络或者深度神经网络，例如可以是LSTM模型，AlexNet模型等。一种可独立实施的实施例中，信息安全系统100通过各子攻击意图挖掘网络，分别对参考安全态势感知大数据集进行攻击意图挖掘，得到参考安全态势感知大数据集的多个参考攻击意图挖掘特征集，基于各参考攻击意图挖掘特征集的影响系数，对多个参考攻击意图挖掘特征集进行权重融合挖掘，得到参考安全态势感知大数据集的参考攻击意图簇序列。

利用上述的用于提取攻击意图簇的AI训练结构进行攻击意图挖掘的方式中，通过对各攻击意图挖掘网络设置相应的子攻击意图挖掘网络，在进行业务攻击意图挖掘时，能够更快速高效的对目标安全态势感知大数据进行多维度的攻击意图挖掘。

譬如，一种可独立实施的实施例中，攻击意图挖掘控制模型还可以包括一个主攻击意图挖掘网络和多个子攻击意图挖掘网络，子攻击意图挖掘网络与攻击意图挖掘网络呈一一对应关系。其中，主攻击意图挖掘网络用于对参考安全态势感知大数据集进行初步的攻击意图挖掘，得到参考安全态势感知大数据集的参考主攻击意图集，然后信息安全系统100将参考主攻击意图集输入至各子攻击意图挖掘网络中，通过各子攻击意图挖掘网络对参考主攻击意图集进行相应的攻击意图挖掘网络的攻击意图挖掘，得到各攻击意图挖掘网络的参考攻击意图挖掘特征集。一种可独立实施的实施例中，信息安全系统100在得到各攻击意图挖掘网络的参考攻击意图挖掘特征集后，则基于各攻击意图挖掘网络所对应的影响系数，对参考攻击意图挖掘特征集进行权重融合挖掘，得到参考攻击意图簇序列。

利用上述的提取攻击意图簇的AI训练结构进行攻击意图挖掘的方式中，信息安全系统100首先利用一个主攻击意图挖掘网络来对参考安全态势感知大数据集进行初步的攻击意图挖掘，以筛选出参考安全态势感知大数据集中的有用信息，然后利用各子攻击意图挖掘网络对筛选得到的参考主攻击意图集进行各攻击意图挖掘网络的攻击意图挖掘，使得各子攻击意图挖掘网络的特征挖掘目标更为简单，从而提高了攻击意图挖掘的效率。

步骤S102，通过情报意图引用网络，对输入的与参考安全态势感知大数据集相匹配的参考已收集威胁情报序列中的各个参考已收集威胁情报进行情报意图引用，得到参考已收集威胁情报序列对应的参考情报意图簇序列。

一种可独立实施的实施例中，情报意图引用网络也可以采用通用的循环神经网络或者深度神经网络，例如可以是LSTM模型，AlexNet模型等。信息安全系统100将参考安全态势感知大数据集输入至情报意图引用网络，通过情报意图引用网络对参考已收集威胁情报序列中的各参考已收集威胁情报的挖掘类别属性进行编码，得到各参考已收集威胁情报的参考情报意图簇，获得由各参考已收集威胁情报的参考情报意图簇组成的参考情报意图簇序列。

步骤S103，确定参考攻击意图簇序列与参考情报意图簇序列之间的模型评估指标。

需要说明的是，参考安全态势感知大数据集合参考情报意图簇序列中一一对应的参考安全态势感知大数据和参考已收集威胁情报具有相匹配的挖掘类别属性，例如参考安全态势感知大数据内含有办公文档攻击类别这一挖掘类别属性，则对应参考已收集威胁情报中则包含有与办公文档攻击类别相匹配的挖掘类别属性，该挖掘类别属性可以是人为标注的，例如可以是办公文档攻击类别，也可以是“医疗支付”这一挖掘类别属性等。可以理解，通过模型提取得到的参考攻击意图簇序列和参考情报意图簇序列则应当越接近，则表示模型的准确度越高。一种可独立实施的实施例中，信息安全系统100通过计算参考攻击意图簇序列与参考情报意图簇序列之间的距离来确定二者的模型评估指标。

一种可独立实施的实施例中，以上步骤S103可以通过如下方式实现，将结合各步骤进行说明。

信息安全系统100分别基于参考攻击意图簇序列和参考情报意图簇序列，确定参考攻击意图簇序列的关键攻击意图簇和参考情报意图簇序列的关键情报意图簇；

应当理解的是，参考攻击意图簇序列包括至少一个参考攻击意图簇，参考攻击意图簇序列的关键攻击意图簇可以是参考攻击意图簇序列中各参考攻击意图簇的均值特征，信息安全系统100通过计算参考攻击意图簇序列的平均值，得到关键攻击意图簇。相应的，信息安全系统100通过计算参考情报意图簇序列的平均值，得到关键情报意图簇。

基于关键攻击意图簇，对参考攻击意图簇序列中的各参考攻击意图簇进行映射处理，得到参考攻击意图簇序列的映射攻击意图簇序列。

基于关键情报意图簇，对参考情报意图簇序列中的各参考情报意图簇进行映射处理，得到参考情报意图簇序列的映射情报意图簇序列。

一种可独立实施的实施例中，信息安全系统100对参考攻击意图簇序列中的各参考攻击意图簇依次与关键攻击意图簇进行意图映射，得到映射攻击意图簇序列，并对参考情报意图簇序列中的各参考情报意图簇依次与关键情报意图簇进行意图映射，得到映射情报意图簇序列。

基于映射攻击意图簇序列和映射情报意图簇序列，确定参考攻击意图簇序列与参考情报意图簇序列之间的模型评估指标。

应当说明的是，信息安全系统100可以是先得到映射攻击意图簇序列合映射情报意图簇序列之后再基于二者确定模型评估指标，还可以是依次得到各映射攻击意图簇和对应的映射情报意图簇之后，确定该组参考数据业务数据的模型评估指标，在得到各组参考数据业务数据对应的参考攻击意图簇和参考情报意图簇之间的模型评估指标之后，通过对各组参考数据业务数据对应的模型评估指标求和取平均，得到参考安全态势感知大数据集和参考已收集威胁情报序列之间的模型评估指标。

一种可独立实施的实施例中，信息安全系统100采用任意现有的孙淑函数计算方式来确定参考安全态势感知大数据集和参考已收集威胁情报序列之间的模型评估指标，具体不作限定，只需保证能够更加准确的表示两个特征集分布间的差异性，从而使得参考数据中相似的参考安全态势感知大数据可以适配更多不同维度的参考已收集威胁情报。

步骤S104，基于模型评估指标更新攻击意图挖掘控制模型的权重配置信息以及情报意图引用网络的权重配置信息，获得训练后的攻击意图挖掘控制模型和情报意图引用网络。

一种可独立实施的实施例中，信息安全系统100可通过如下方式实现对攻击意图挖掘控制模型和情报意图引用网络的训练：

当模型评估指标达到阈值时，基于确定模型评估指标的损失函数确定相应的误差信息，其中，损失函数采用相关技术中的任意可实施的损失函数即可，将模型评估指标在攻击意图挖掘控制模型和情报意图引用网络中反向传播，并在传播的过程中更新攻击意图挖掘控制模型的各个层的权重配置信息以及情报意图引用网络的各个层的权重配置信息。

上述的方式中，通过在获取目标安全态势感知大数据之前，首先训练攻击意图挖掘控制模型和情报意图引用网络，使得能够得到训练好的用于更准确且高效的对目标安全态势感知大数据和已收集威胁情报进行情报意图引用的模型工具，以供后续对目标安全态势感知大数据进行相应的已收集威胁情报的匹配。

需要说明的是，在训练得到攻击意图挖掘控制模型和情报意图引用网络之后，信息安全系统100则可基于上述两个模型对目标安全态势感知大数据和已收集威胁情报进行情报意图引用。一种可独立实施的实施例中，攻击意图挖掘控制模型包括多个子攻击意图挖掘网络，在训练过程中，信息安全系统100同时对多个子攻击意图挖掘网络和情报意图引用网络进行权重配置信息的更新，以使各模型同时学习参考数据。相应的，步骤S102可以通过如下方式实现：通过各子攻击意图挖掘网络，分别对目标安全态势感知大数据进行攻击意图挖掘，得到目标安全态势感知大数据的多个攻击意图挖掘特征；基于各攻击意图挖掘特征的影响系数，对多个攻击意图挖掘特征进行权重融合挖掘，得到目标安全态势感知大数据的攻击意图簇。

相应的，在基于上述方式得到目标安全态势感知大数据的攻击意图簇，并利用情报意图引用网络提取得到多个已收集威胁情报的情报意图簇后，则进一步对攻击意图簇和多个已收集威胁情报的情报意图簇进行匹配。

接下来，可以分别将各已收集威胁情报的情报意图簇与目标安全态势感知大数据的攻击意图簇进行匹配，得到各已收集威胁情报与目标安全态势感知大数据的状态匹配度。

一种可独立实施的实施例中，信息安全系统100可以利用相似度算法分别对各已收集威胁情报的情报意图簇与目标安全态势感知大数据的攻击意图簇进行匹配，相似度算法可以采用任意现有的算法，具体不作限定。

这里，是基于目标安全态势感知大数据的攻击意图簇与各已收集威胁情报的情报意图簇进行匹配，以得到各已收集威胁情报与目标安全态势感知大数据的状态匹配度。一种可独立实施的实施例中，还结合攻击意图簇与预定义攻击场景的攻击场景关键特征，来共同与各已收集威胁情报的情报意图簇进行匹配，以下进行说明。

在此之前，还可以执行：信息安全系统100获取预定义攻击场景的攻击场景关键特征，将攻击意图簇和攻击场景关键特征进行融合，得到目标安全态势感知大数据的融合参照特征。相应的，步骤S130中可以通过如下方式实现：信息安全系统100分别将各已收集威胁情报的情报意图簇与目标安全态势感知大数据的融合参照特征进行匹配，得到各已收集威胁情报与目标安全态势感知大数据的状态匹配度。

步骤S140，基于各已收集威胁情报与目标安全态势感知大数据的状态匹配度，从多个已收集威胁情报中筛选得到与目标安全态势感知大数据相匹配的目标已收集威胁情报。

本实施例中，信息安全系统100可以通过比较各已收集威胁情报与目标安全态势感知大数据的状态匹配度，得到状态匹配度最高的已收集威胁情报，并将该已收集威胁情报作为目标已收集威胁情报。

一种可独立实施的实施例中，步骤S140可以通过如下方式实现：

信息安全系统100基于各已收集威胁情报与目标安全态势感知大数据的状态匹配度，确定各已收集威胁情报的关键性顺序，基于关键性顺序，对多个已收集威胁情报进行筛选，响应于对多个已收集威胁情报的选择操作，获取选择的目标已收集威胁情报。

一种可独立实施的实施例中，信息安全系统100基于各已收集威胁情报与目标安全态势感知大数据的状态匹配度，对各已收集威胁情报进行排序，然后基于该排序确定各已收集威胁情报的关键性顺序，将已收集威胁情报按照关键性顺序依次呈现在信息安全系统100的情报引用进程内。

示例性的，假设预定义攻击场景订阅的是安全态势有效情报对象，信息安全系统100通过对安全态势有效情报对象进行安全态势有效情报元素的抽取，得到目标安全态势感知大数据并对目标安全态势感知大数据进行攻击意图挖掘得到攻击意图簇后，则可以利用该攻击意图簇对已收集威胁情报内的各已收集威胁情报的情报意图簇进行匹配。其中，已收集威胁情报内各已收集威胁情报的情报意图簇可以是预先提取得到并存储的，在需要生成目标安全态势有效情报时，信息安全系统100只需要从相应的分布式存储区域内获取各已收集威胁情报的情报意图簇即可。例如，假设目标安全态势感知大数据内含有一个办公文档攻击区域，则对应攻击意图簇的挖掘类别属性包括办公文档攻击类别，通过上述的步骤进行已收集威胁情报的匹配后，按照状态匹配度将已收集威胁情报进行筛选，在一些可能的示例中，假设示出了5个参考度前五的已收集威胁情报，预定义攻击场景可以通过选择以使攻击展示界面内生成更多已收集威胁情报。至此，预定义攻击场景则可基于攻击展示界面内展示的已收集威胁情报触发选择操作，从多个已收集威胁情报内选择想要的目标已收集威胁情报。信息安全系统100响应于该选择操作，获得目标已收集威胁情报。

步骤S150，基于目标安全态势感知大数据和目标已收集威胁情报进行安全态势有效情报生成，得到目标安全态势有效情报。

上述的安全态势有效情报生成方式中，在获得用于生成目标安全态势有效情报的目标安全态势感知大数据后，从多个维度提取目标安全态势感知大数据的攻击意图簇，并基于多个已收集威胁情报的已收集威胁情报，将各已收集威胁情报的情报意图簇与目标安全态势感知大数据的攻击意图簇进行匹配，基于匹配得到的各状态匹配度得到与目标安全态势感知大数据相匹配的目标已收集威胁情报，然后对目标安全态势感知大数据和目标已收集威胁情报进行安全态势有效情报生成得到目标安全态势有效情报，通过对目标安全态势感知大数据和已收集威胁情报的特征匹配，使得得到的目标已收集威胁情报与当前的目标安全态势感知大数据拥有较高的状态匹配度，从而能够快速生成与当前已收集威胁情报的相关性较高的安全态势有效情报。

一种可独立实施的实施例中，信息安全系统100在获得目标已收集威胁情报后，则将目标安全态势感知大数据与已收集威胁情报进行安全态势有效情报生成得到目标安全态势有效情报。

例如，针对步骤S150，可以通过以下示例性的子步骤实现，详细描述如下。

子步骤S151，基于预设情报信息引用网络，从目标安全态势感知大数据中获得与目标已收集威胁情报所对应的情报风险内容关联的与预定义攻击场景相关的情报风险感知数据。

子步骤S152，对情报风险感知数据进行特征提取以获取多维度可信情报特征，并根据多维度可信情报特征确定与当前预定义攻击场景对应的可信情报结构信息，提取可信情报结构信息的威胁情报树结构信息。

子步骤S153，对以往可信情报结构信息对应的描述特征及多维度可信情报特征进行特征提取，以获取目标可信情报结构特征信息。

子步骤S154，将威胁情报树结构信息和目标可信情报结构特征信息进行情报节点映射，以获取情报节点映射信息，对情报节点映射信息进行情报结构生成以获取当前可信情报结构信息，并根据当前可信情报结构信息和以往可信情报结构信息确定目标可信情报结构簇，基于目标可信情报结构簇获得目标安全态势有效情报。

譬如，一种可独立实施的实施例中，对情报风险感知数据进行特征提取以获取多维度可信情报特征，包括：对情报风险感知数据中的各类风险攻击事件数据进行特征提取，以获取多个风险攻击特征信息。将各风险攻击特征信息进行多维度情报特征提取，以获取多维度可信情报特征。

譬如，一种可独立实施的实施例中，情报风险感知数据包括：以往情报源感知日志，以及以往情报源感知日志中各情报源感知过程信息所对应的情报源感知标签信息、情报源感知应答信息和预定义攻击场景的标记情报源类别信息。

譬如，对情报风险感知数据中的各类风险攻击事件数据进行特征提取，以获取多个风险攻击特征信息，包括：对以往情报源感知日志中各情报源感知过程信息进行特征提取，以获取与各情报源感知过程信息对应的第一风险攻击特征信息。对情报源感知应答信息进行特征提取以获取情报源感知应答特征，并对情报源感知应答特征进行分类，以获取第二风险攻击特征信息。根据情报源感知标签信息在情报源感知标签引用位图中进行查找，以获取第三风险攻击特征信息。根据标记情报源类别信息在情报源引用位图中进行查找，以获取第四风险攻击特征信息。

一种可独立实施的实施例中，根据多维度可信情报特征确定与当前预定义攻击场景对应的可信情报结构信息，包括：对多维度可信情报特征进行情报节点拆分，以获取情报节点拆分信息。对情报节点拆分信息中的每个情报节点所包括的可信情报内容进行汇集，得到与当前预定义攻击场景对应的可信情报结构信息。

其中，获取情报节点映射信息还包括：将威胁情报树结构信息、与当前预定义攻击场景对应的情报源感知配置特征和目标可信情报结构特征信息进行情报节点映射，以获取情报节点映射信息。

一种可独立实施的实施例中，对情报节点映射信息进行情报结构生成以获取当前可信情报结构信息，并根据当前可信情报结构信息和以往可信情报结构信息确定目标可信情报结构簇的步骤，包括：获取情报节点映射信息中每个可信情报结构所表征的攻击溯源事件，获取攻击溯源事件的攻击溯源事件描述和前n个以往情报源对象对应的可疑威胁指标描述，n为正整数。获取可疑威胁指标描述中当前个情报元素的情报威胁指标描述，对攻击溯源事件描述、前n个以往情报源对象对应的可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理，得到当前个情报元素对应的可疑威胁指标描述。对当前个情报元素对应的可疑威胁指标描述和攻击溯源事件描述进行证据链传递分析处理，得到当前个情报元素对应的当前可信情报结构信息。将当前可信情报结构信息和以往可信情报结构信息确定为目标可信情报结构簇。

一种可独立实施的实施例中，对攻击溯源事件描述、前n个以往情报源对象对应的可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理，得到当前个情报元素对应的可疑威胁指标描述，包括：获取第i个以往情报源对象对应的第一可疑威胁指标描述，i为正整数且i的起始值为1。对攻击溯源事件描述、第一可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理，输出第i+1个以往情报源对象对应的第二可疑威胁指标描述。

重复上述输出第二可疑威胁指标描述的步骤，将第n+1个以往情报源对象对应的第二可疑威胁指标描述确定为当前个情报元素对应的可疑威胁指标描述。

对攻击溯源事件描述、第一可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理，输出第i+1个以往情报源对象对应的第二可疑威胁指标描述，包括：调用第j个证据链传递分析节点对攻击溯源事件描述、第一可疑威胁指标描述和情报威胁指标描述进行证据链传递分析处理，输出第一证据链传递分析信息，第一证据链传递分析信息是第i+1个以往情报源对象对应的知识网络信息。对第j个证据链传递分析节点输出的第一证据链传递分析信息进行证据维度扩展，得到第一证据维度扩展信息。对第一证据维度扩展信息和攻击溯源事件描述进行证据维度扩展，得到第二证据维度扩展信息。对第二证据维度扩展信息和第i个以往情报源对象对应的第一可疑威胁指标描述进行证据维度扩展，得到第三证据维度扩展信息。对第三证据维度扩展信息进行证据维度扩展，得到第j+1个证据链传递分析节点输出的第二证据链传递分析信息，第二证据链传递分析信息是第i+1个以往情报源对象对应的知识网络信息，j+1≤k，j为正整数且j的起始值为1。重复上述输出第二证据链传递分析信息的步骤，将最后一个证据链传递分析节点输出的第二证据链传递分析信息确定为第i+1个以往情报源对象对应的第二可疑威胁指标描述。

一种可独立实施的实施例中，对当前个情报元素对应的可疑威胁指标描述和攻击溯源事件描述进行证据链传递分析处理，得到当前个情报元素对应的当前可信情报结构信息，包括：获取当前个情报元素对应的实际可信情报结构信息中已输出的可信情报结构的可信情报结构特征。对当前个情报元素对应的可疑威胁指标描述、攻击溯源事件描述和可信情报结构特征进行证据链传递分析处理，输出当前个情报元素对应的当前可信情报结构信息。

对当前个情报元素对应的可疑威胁指标描述、攻击溯源事件描述和可信情报结构特征进行证据链传递分析处理，输出当前个情报元素对应的当前可信情报结构信息，包括：调用第m个证据链传递分析单元对当前个情报元素对应的可疑威胁指标描述、攻击溯源事件描述和可信情报结构特征进行证据链传递分析处理，输出当前个情报元素对应的第三证据链传递分析信息。对第m个证据链传递分析单元输出的第三证据链传递分析信息进行中间传递分析，得到第一证据维度扩展信息。对第一证据维度扩展信息、攻击溯源事件描述和当前个情报元素对应的可疑威胁指标描述进行传递分析，得到第二证据维度扩展信息。对第二证据维度扩展信息进行特征提取，得到第m+1个证据链传递分析单元输出的当前个情报元素对应的第四证据链传递分析信息，m+1≤t，m为正整数且m的起始值为1。重复上述输出第四证据链传递分析信息的步骤，将最后一个证据链传递分析单元输出的可信情报结构确定为当前个情报元素对应的当前可信情报结构信息。

这样，通过对预定义攻击场景的情报风险感知数据进行特征提取，以获取可信情报结构信息，并对以往可信情报结构信息对应的描述特征和特征提取过程中生成的多维度可信情报特征进行处理，以获取目标可信情报结构特征信息；最后根据与可信情报结构信息对应的威胁情报树结构信息和目标可信情报结构特征信息确定目标可信情报结构簇。如此，能够根据与预定义攻击场景相关的情报风险感知数据和威胁情报树结构信息中的特征，并生成与最新的情报源感知日志和情报源感知过程信息对应的可信情报结构簇，提高了对当前预定义攻击场景特征的预测精度，并提高了可信情报结构簇的精准度，从而提高情报挖掘的相关度。

譬如，一种可独立实施的实施例中，针对步骤S110，在获取根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制后获得的用于生成目标安全态势有效情报的目标安全态势感知大数据的过程中，可以通过以下示例性的子步骤实现，详细描述如下。

步骤S111，获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报。

一种可独立实施的实施例中，目标安全态势感知通道是指需要对运行在该安全态势感知通道中的态势感知运行对象进行安全态势感知控制的安全态势感知通道，可包括风险聚合感知通道、风险拆分感知通道、风险迁移感知通道、特定安全态势感知通道等容易引起补充态势感知行为的感知通道。

一种可独立实施的实施例中，目标态势感知运行对象是指位于目标安全态势感知通道中的待进行安全态势感知控制的态势感知运行对象。其它态势感知运行对象是指运行在目标态势感知运行对象所在目标安全态势感知通道中且位于目标态势感知范围内的态势感知运行对象，例如当目标安全态势感知通道的态势感知范围较大时，其它态势感知运行对象可包括目标态势感知运行对象之前第一态势感知范围内的态势感知运行对象和目标态势感知运行对象之后第二态势感知范围内的态势感知运行对象，第一态势感知范围和第二态势感知范围可以相同或不同；当目标安全态势感知通道的态势感知范围较小时，其它态势感知运行对象可包括整个目标安全态势感知通道中除目标态势感知运行对象以外的所有态势感知运行对象。

一种可独立实施的实施例中，威胁攻击情报是指态势感知运行对象可关联的攻击情报特征，可包括正常威胁攻击情报、频繁性威胁攻击情报、衰减威胁攻击情报、突变威胁攻击情报和静态威胁攻击情报等。其中，正常威胁攻击情报是指按照正常情报状态对态势感知运行对象进行反馈，使得态势感知运行对象所获得的攻击情报特征，可包括稳定威胁攻击情报、正常正浮动威胁攻击情报和正常负浮动威胁攻击情报等；频繁性威胁攻击情报是指持续使态势感知运行对象的攻击情报特征处于频繁情报产生状态下，使得态势感知运行对象利用频繁状态特征的攻击情报特征。衰减威胁攻击情报是指持续使态势感知运行对象的攻击情报特征处于一定衰减的攻击情报特征；突变威胁攻击情报是指态势感知运行对象的攻击情报特征的突变节点增加的攻击情报特征。静态威胁攻击情报是指使态势感知运行对象的攻击情报特征处于静止不变状态，使得态势感知运行对象利用当前的攻击情报特征长期保持不变的攻击情报特征。当前威胁攻击情报是指态势感知运行对象当前时序节点获得的威胁攻击情报，可包括上述威胁攻击情报中的任一种。

目标态势感知运行对象的当前威胁攻击情报是指目标态势感知运行对象当前时序节点获得的威胁攻击情报，可由目标态势感知运行对象上的情报采集应用通过情报采集触发器识别获得，具体可采用现有技术实现，这里不做限制。其它态势感知运行对象的当前威胁攻击情报是指其它态势感知运行对象当前时序节点获得的威胁攻击情报，可由其它态势感知运行对象上的情报采集应用通过情报采集触发器识别获得，具体可采用现有技术实现，这里不做限制。

步骤S112，根据目标态势感知运行对象的当前威胁攻击情报和其它态势感知运行对象的当前威胁攻击情报，确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。

本实施例中，攻击情报关系参数是研究威胁攻击情报之间关系程度的量，可以用来度量威胁攻击情报之间的函数度量关系。威胁攻击情报之间的关系参数是指不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的关系参数，威胁攻击情报之间的攻击情报关系参数是指不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数。目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的关系参数是指目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报导致的以往补充态势感知行为数量之间的关系参数，目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数是指目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数。

步骤S113，根据攻击情报关系参数确定安全态势感知关系图谱，并根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制。

通过前述可知，攻击情报关系参数是研究变量之间关系程度的量，目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数是指目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数，因此目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数在一定程度上反映了以当前威胁攻击情报运行的目标态势感知运行对象和其它态势感知运行对象之间引起补充态势感知行为的可能性，攻击情报关系参数越大，说明两态势感知运行对象之间引起补充态势感知行为的可能性越高；攻击情报关系参数越小，说明两态势感知运行对象之间引起补充态势感知行为的可能性越小。因此，可以通过攻击情报关系参数对目标态势感知运行对象进行安全态势感知控制，使得安全态势感知过程更匹配实际威胁攻击情报的深度关联信息，以便提前做出相应决策。

仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用可按照攻击情报关系参数的大小顺序，对本态势感知运行对象进行安全态势感知控制。其中，当目标态势感知运行对象具有业务标签时，目标态势感知运行对象上的情报采集应用可按照攻击情报关系参数的大小顺序将相应其它态势感知运行对象的态势感知运行对象信息在本态势感知运行对象上进行进行安全态势感知控制，便于进行与其它态势感知运行对象之间的组合安全态势感知；或者，目标态势感知运行对象上的情报采集应用也可按照攻击情报关系参数的大小顺序根据相应其它态势感知运行对象的态势感知运行对象信息进行预判，以便根据态势感知运行对象信息提前做出决策。其中，态势感知运行对象信息可包括其它态势感知运行对象的当前威胁攻击情报、业务标签信息和类型信息等，态势感知运行对象信息可由处于或即将激活到或即将移出上述风险聚合感知通道的每个态势感知运行对象通过API接口上传给信息安全系统100，然后由信息安全系统100通过API接口一并下发给目标态势感知运行对象。

基于以上设计，通过获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报和目标安全态势感知通道中其它态势感知运行对象的当前威胁攻击情报，并根据目标态势感知运行对象的当前威胁攻击情报和其它态势感知运行对象的当前威胁攻击情报，确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数，以及根据攻击情报关系参数确定安全态势感知关系图谱，并根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制，使得安全态势感知过程更匹配实际威胁攻击情报的深度关联信息，从而可以提高对目标态势感知运行对象进行安全态势感知控制获得的情报关联的态势感知信息量。

一种可独立实施的实施例中，根据目标态势感知运行对象的当前威胁攻击情报和其它态势感知运行对象的当前威胁攻击情报，确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数，包括：根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数，获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数，其中，预设的威胁攻击情报之间的攻击情报关系参数包括与目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数和/或与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数。

通过前述可知，威胁攻击情报之间的攻击情报关系参数是指不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数，目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数是指在该目标安全态势感知通道中，不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数，与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数是指在与目标安全态势感知通道类型相同的安全态势感知通道中，不同态势感知运行对象的相同或不同威胁攻击情报导致的以往补充态势感知行为数量之间的攻击情报关系参数。

需要说明的是，不同的目标安全态势感知通道，即使相同的态势感知运行对象采用相同的威胁攻击情报，所产生的以往补充态势感知行为数量也是不同的，因此可根据与目标安全态势感知通道对应的威胁攻击情报之间的第一攻击情报关系参数获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数，从而可以使得安全态势感知控制的过程更加准确、更加符合实际安全态势感知的关系特征。但是，由于安全态势感知通道数目较多，不一定每个目标安全态势感知通道都具有相应的威胁攻击情报之间的第一攻击情报关系参数，此时可利用与目标安全态势感知通道类型相同的安全态势感知通道所对应的威胁攻击情报之间的第二攻击情报关系参数获取目标安全态势感知通道中目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数，从而可以实现对每个目标安全态势感知通道中目标态势感知运行对象的补充态势感知行为安全态势感知控制，其中类型相同是指安全态势感知通道的通道类别相同或相似，例如均为风险聚合感知通道、风险迁移感知通道等。

一种可独立实施的实施例中，当预设的威胁攻击情报之间的攻击情报关系参数包括第一攻击情报关系参数时，根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数，获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数，包括：根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和第一攻击情报关系参数，确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。

在另一种可独立实施的实施例中，当预设的威胁攻击情报之间的攻击情报关系参数包括第二攻击情报关系参数时，根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报和预设的威胁攻击情报之间的攻击情报关系参数，获取目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数，包括：

第一、获取目标安全态势感知通道的第一感知通道威胁捕捉向量和与目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量。

目标安全态势感知通道的第一感知通道威胁捕捉向量是指用于表征目标安全态势感知通道特性的数据，可包括目标安全态势感知通道的安全态势感知范围、安全态势感知跨度和安全态势感知行为数量等，可通过态势感知运行对象上的情报采集应用识别获得，具体可采用现有技术实现，这里不做限制，然后通过API接口发送至信息安全系统100，由信息安全系统100对应存储至预设攻击情报关系参数库中；与目标安全态势感知通道类型相同的安全态势感知通道的第二感知通道威胁捕捉向量是指用于表征与目标安全态势感知通道类型相同的安全态势感知通道特性的数据，可包括与目标安全态势感知通道类型相同的安全态势感知通道的安全态势感知范围、安全态势感知跨度和安全态势感知行为数量等，可通过位于该安全态势感知通道中的态势感知运行对象的情报采集应用识别获得，具体可采用现有技术实现，这里不做限制，然后通过API接口发送至信息安全系统100，由信息安全系统100对应存储至预设攻击情报关系参数库中。

第二、根据第一感知通道威胁捕捉向量和第二感知通道威胁捕捉向量，确定第二攻击情报关系参数对应的参考捕捉信息。

仍以上述目标安全态势感知通道包括风险聚合感知通道为例，第一感知通道威胁捕捉向量可以为目标安全态势感知通道的安全态势感知范围，第二感知通道威胁捕捉向量可以为与目标安全态势感知通道类型相同的安全态势感知通道的安全态势感知范围，然后根据安全态势感知范围的比值确定第二攻击情报关系参数对应的参考捕捉信息，参考捕捉信息的个数与预设攻击情报关系参数库中存储的与目标安全态势感知通道类型相同的安全态势感知通道的个数相同。

第三、根据目标态势感知运行对象的当前威胁攻击情报、其它态势感知运行对象的当前威胁攻击情报、参考捕捉信息和第二攻击情报关系参数，确定目标态势感知运行对象的当前威胁攻击情报与其它态势感知运行对象的当前威胁攻击情报之间的攻击情报关系参数。

需要说明的是，当获取的参考捕捉信息为多个时，可选择参考捕捉信息最小的进行计算，也可以选择多个参考捕捉信息的均值进行计算等。

一种可独立实施的实施例中，根据攻击情报关系参数对目标态势感知运行对象进行安全态势感知控制可包括以下示例性的实施方式。

第一、对攻击情报关系参数进行分团，得到多个攻击情报关系参数团，其中每个攻击情报关系参数团中的攻击情报关系参数均相同。

补充态势感知行为的发生通常与多种因素有关，例如除了与态势感知运行对象的威胁攻击情报有关，还与态势感知运行对象的数量有关，因此可对攻击情报关系参数进行分团，即对其它态势感知运行对象进行分团，以将具有相同威胁攻击情报的其它态势感知运行对象分为一组，然后确定该组对应的当前威胁攻击情报整体对目标态势感知运行对象的影响，进而基于该影响对目标态势感知运行对象进行安全态势感知控制。

具体来说，当其它态势感知运行对象包括多个(如2个及以上)时，多个其它态势感知运行对象中的部分其它态势感知运行对象的当前威胁攻击情报可能相同，相应的，攻击情报关系参数可能相同，因此可根据当前威胁攻击情报是否相同或者攻击情报关系参数是否相同，对攻击情报关系参数进行分团，得到多个攻击情报关系参数团，其中每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报和攻击情报关系参数均相同，即同一组的攻击情报关系参数和其它态势感知运行对象的当前威胁攻击情报一定相同，不同组的攻击情报关系参数和其它态势感知运行对象的当前威胁攻击情报一定不同。

第二、对多个攻击情报关系参数团进行排序，以确定安全态势感知关系图谱。

一种可独立实施的实施例中，对多个攻击情报关系参数团进行排序可包括：对每个攻击情报关系参数团进行权重融合以获得第一权重融合参数；根据第一权重融合参数，对多个攻击情报关系参数团进行排序。

例如，可以将每个攻击情报关系参数团的攻击情报关系参数相加或者将攻击情报关系参数乘以该攻击情报关系参数团中攻击情报关系参数的个数，以获得第一权重融合参数，然后根据第一权重融合参数对多个攻击情报关系参数团进行排序，例如可按照第一权重融合参数降序顺序对多个攻击情报关系参数团进行排序，该排序结果代表了每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报与目标态势感知运行对象的当前威胁攻击情报之间的相关程度，第一权重融合参数越大，相关程度越高，其它态势感知运行对象将目标态势感知运行对象参与补充态势感知行为的补充态势感知行为性越高。

仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用可先依次确定攻击情报关系参数团g1、g2、…、gr中每个攻击情报关系参数团的第一权重融合参数，分别记为p1、p2、…、pr。然后，从攻击情报关系参数团g1、g2、…、gr中选取第一权重融合参数最大的团，记为并将该组对应的其它态势感知运行对象的当前威胁攻击情报作为与本态势感知运行对象第1相关的当前威胁攻击情报；接着，从剩余攻击情报关系参数团中选取第一权重融合参数最大的团，记为并将该组对应的其它态势感知运行对象的当前威胁攻击情报作为与本态势感知运行对象第2相关的当前威胁攻击情报；…；以此类推，最终确定出与本态势感知运行对象第1、2、…、r相关的当前威胁攻击情报。

一种可独立实施的实施例中，根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制可包括：根据排序结果，按照降序顺序从多个攻击情报关系参数团中获取至少部分攻击情报关系参数团对应的其它态势感知运行对象的感知节点信息；根据感知节点信息对目标态势感知运行对象进行安全态势感知控制。

上述实施例中，通过对攻击情报关系参数进行分团，得到多个攻击情报关系参数团，以将具有相同当前威胁攻击情报的其它态势感知运行对象作为一组，并根据多个攻击情报关系参数团中每个攻击情报关系参数团的攻击情报关系参数进行排序，根据排序结果对目标态势感知运行对象进行安全态势感知控制，即通过确定同一威胁攻击情报的多个其它态势感知运行对象在整体上对目标态势感知运行对象的影响，基于该影响对目标态势感知运行对象进行安全态势感知控制，不仅考虑了威胁攻击情报的类型，还考虑了态势感知运行对象的数量，从而使得安全态势感知控制准确、更加符合实际情况。

在另一种可独立实施的实施例中，对多个攻击情报关系参数团进行排序还可包括：根据第一权重融合参数，确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率。

决策概率是指采用同一类威胁攻击情报的其它态势感知运行对象将目标态势感知运行对象卷入补充态势感知行为的总决策概率，可由目标态势感知运行对象上的情报采集应用根据第一权重融合参数进行确定，且其与第一权重融合参数成正比，原因在于，一方面与目标态势感知运行对象的当前威胁攻击情报的关系参数越大的其它态势感知运行对象的当前威胁攻击情报越容易将目标态势感知运行对象加入补充态势感知行为，另一方面就是否发生补充态势感知行为而言，各种威胁攻击情报应被同等看待。

一种可独立实施的实施例中，根据第一权重融合参数确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率可包括：对多个攻击情报关系参数团进行权重融合以获得第二权重融合参数；根据第一权重融合参数和第二权重融合参数，确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率。

仍以上述目标安全态势感知通道包括风险聚合感知通道为例。目标态势感知运行对象上的情报采集应用在确定出攻击情报关系参数团g1、g2、…、gr中每个攻击情报关系参数团的第一权重融合参数p1、p2、…、pr后，根据第一权重融合参数依次确定出每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率，分别为p1/(p1+p2+...+pr)、p2/(p1+p2+...+pr)、…、pr/(p1+p2+...+pr)。

进一步地，根据安全态势感知关系图谱对目标态势感知运行对象进行安全态势感知控制，包括：根据排序结果，按照降序顺序从多个攻击情报关系参数团中获取至少部分攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率；根据决策概率对目标态势感知运行对象进行安全态势感知控制。

譬如，在根据决策概率对目标态势感知运行对象进行安全态势感知控制的过程中，当决策概率大于预设概率值时，可以将相应的目标态势感知运行对象进行安全态势感知控制，从而先行补充感知相关联的安全态势感知大数据。

上述实施例中，通过根据第一权重融合参数确定每个攻击情报关系参数团对应的其它态势感知运行对象的当前威胁攻击情报对目标态势感知运行对象产生补充态势感知行为的决策概率，能够定量分析出同一威胁攻击情报的其它态势感知运行对象从整体上对目标态势感知运行对象的影响，使得对目标态势感知运行对象的安全态势感知控制更加准确。

图3示出了本公开实施例提供的用于实现上述的基于态势感知和大数据的情报生成方法的信息安全系统100的硬件结构示意图，如图3所示，信息安全系统100可包括处理器110、机器可读存储介质120、总线130以及收发器140。

在具体实现过程中，至少一个处理器110执行机器可读存储介质120存储的计算机执行指令，使得处理器110可以执行如上方法实施例的基于态势感知和大数据的情报生成方法，处理器110、机器可读存储介质120以及收发器140通过总线130连接，处理器110可以用于控制收发器140的收发动作，从而可以与前述的数字化服务平台200进行数据收发。

处理器110的具体实现过程可参见上述信息安全系统100执行的各个方法实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

此外，本公开实施例还提供一种可读存储介质，所述可读存储介质中预设有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上基于态势感知和大数据的情报生成方法。

最后，应当理解的是，本说明书中实施例仅用以说明本说明书实施例的原则。其它的变形也可能属于本说明书范围。因此，作为示例而非限制，本说明书实施例的替代配置可视为与本说明书的教导一致。相应地，本说明书的实施例不仅限于本说明书明确介绍和描述的实施例。