基于电子商务的威胁识别方法及系统与流程

1.本发明涉及电子商务技术领域，具体而言，涉及一种基于电子商务的威胁识别方法及系统。


背景技术：

2.如何针对具有特定异常变量字段的异常行为活动的进行威胁防护，是本领域亟待解决的技术问题。


技术实现要素：

3.基于上述描述，本发明实施例提供一种基于电子商务的威胁识别方法，包括：基于在电子商务拦截场景中记录的具有特定异常变量字段的异常行为活动，追溯相关的多个参考异常行为活动；基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，将所述疑似威胁特征与预先配置的威胁行为变量特征进行分析，确定所述疑似威胁特征相关的威胁度量值；当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性； 基于所述威胁标签属性以及所述参考异常行为活动，激活相应的威胁防护组件对所述参考异常行为活动进行威胁防护。
4.其中，所述基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，包括：将所述参考异常行为活动传递到云端防火墙系统，通过所述云端防火墙系统对所述参考异常行为活动进行分析得到相关的疑似威胁特征。
5.其中，当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性，包括：当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定所述疑似威胁特征相关的威胁行为变量特征标签；基于所述威胁行为变量特征标签，从预设威胁标签属性映射空间中搜寻与所述威胁行为变量特征标签相关的威胁标签属性。
6.其中，基于所述威胁行为变量特征标签，从预设威胁标签属性映射空间中搜寻与所述威胁行为变量特征标签相关的威胁标签属性，包括：基于所述威胁行为变量特征标签，从所述预设威胁标签属性映射空间中确定与所述威胁行为变量特征标签相关的多个威胁基础特征数据；将所述多个威胁基础特征数据通过威胁预测网络对所述疑似威胁特征进行威胁预测；基于威胁预测网络针对所述多个威胁基础特征数据的预测信息，确定与所述威胁行为变量特征标签相关的威胁标签属性。
7.其中，所述方法还包括：基于上述激活的威胁防护组件以及所述参考异常行为活动生成威胁防护日志，并将所述威胁防护日志传递到所述云端防火墙系统，以使所述云端防火墙系统基于接收的威胁防护日志对威胁防护组件进行固件更新。
8.本发明还提供一种基于电子商务的威胁识别系统，包括：追溯模块，用于基于在电子商务拦截场景中记录的具有特定异常变量字段的异常行为活动，追溯相关的多个参考异常行为活动；分析模块，用于基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，将所述疑似威胁特征与预先配置的威胁行为变量特征进行分析，确定所述疑似威胁特征相关的威胁度量值；激活模块，用于当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性； 基于所述威胁标签属性以及所述参考异常行为活动，激活相应的威胁防护组件对所述参考异常行为活动进行威胁防护。
9.其中，所述分析模块具体用于将所述参考异常行为活动传递到云端防火墙系统，通过所述云端防火墙系统对所述参考异常行为活动进行分析得到相关的疑似威胁特征。
10.其中，所述激活模块具体用于当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定所述疑似威胁特征相关的威胁行为变量特征标签； 基于所述威胁行为变量特征标签，从预设威胁标签属性映射空间中搜寻与所述威胁行为变量特征标签相关的威胁标签属性。
11.其中，所述激活模块具体还用于：基于所述威胁行为变量特征标签，从所述预设威胁标签属性映射空间中确定与所述威胁行为变量特征标签相关的多个威胁基础特征数据；将所述多个威胁基础特征数据通过威胁预测网络对所述疑似威胁特征进行威胁预测；基于威胁预测网络针对所述多个威胁基础特征数据的预测信息，确定与所述威胁行为变量特征标签相关的威胁标签属性。
12.所述系统还包括化更新模块，用于基于上述激活的威胁防护组件以及所述参考异常行为活动生成威胁防护日志，并将所述威胁防护日志传递到所述云端防火墙系统，以使所述云端防火墙系统基于接收的威胁防护日志对威胁防护组件进行固件更新。
13.综上所述，本发明实施例提供的基于电子商务的威胁识别方法及系统内，首先基于在电子商务拦截场景中记录的具有特定异常变量字段的异常行为活动，追溯相关的多个参考异常行为活动，基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，将所述疑似威胁特征与预先配置的威胁行为变量特征进行分析，确定所述疑似威胁特征相关的威胁度量值；当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性，以基于所述威胁标签属性以及所述参考异常行为活动，激活相应的威胁防护组件对所述参考异常行为活动进行威胁防护。由此，基于对具有特定异常变量字段的参考异常行为活动结合云端防火墙系统进行威胁防护，可以实现对具有特定异常变量字段的异常行为活动的进行威胁防护。
14.为使本发明实施例的上述目的、特征和优点能更明显易懂，下面将结合实施例，并配合所附附图，作详细说明。
附图说明
15.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅是本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以基于这些附图获得其他相关的附图。
16.图1是本发明实施例所提供的基于电子商务的威胁识别方法的流程示意图；图2是本发明实施例所提供的基于电子商务的威胁识别系统的功能模块框图。
具体实施方式
17.为了使本技术领域的学员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.图1是本发明实施例提供的基于电子商务的威胁识别方法的流程示意图，该风险行为报警方法可由局域网内设立的安全监控设备执行。
19.该基于电子商务的威胁识别方法的详细步骤介绍如下。
20.步骤s11，基于在电子商务拦截场景中记录的具有特定异常变量字段的异常行为活动，追溯相关的多个参考异常行为活动。
21.步骤s12，基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，将所述疑似威胁特征与预先配置的威胁行为变量特征进行分析，确定所述疑似威胁特征相关的威胁度量值。
22.步骤s13，当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性； 基于所述威胁标签属性以及所述参考异常行为活动，激活相应的威胁防护组件对所述参考异常行为活动进行威胁防护。
23.优选地，针对步骤s12，所述基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，包括：将所述参考异常行为活动传递到云端防火墙系统，通过所述云端防火墙系统对所述参考异常行为活动进行分析得到相关的疑似威胁特征。
24.优选地，针对步骤s13，当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性，包括：当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定所述疑似威胁特征相关的威胁行为变量特征标签； 基于所述威胁行为变量特征标签，从预设威胁标签属性映射空间中搜寻与所述威胁行为变量特征标签相关的威胁标签属性。
25.优选地，针对步骤s13，基于所述威胁行为变量特征标签，从预设威胁标签属性映射空间中搜寻与所述威胁行为变量特征标签相关的威胁标签属性，包括：基于所述威胁行为变量特征标签，从所述预设威胁标签属性映射空间中确定与所
述威胁行为变量特征标签相关的多个威胁基础特征数据；将所述多个威胁基础特征数据通过威胁预测网络对所述疑似威胁特征进行威胁预测；基于威胁预测网络针对所述多个威胁基础特征数据的预测信息，确定与所述威胁行为变量特征标签相关的威胁标签属性。
26.优选地，本实施例所述的基于电子商务的威胁识别方法还包括：步骤s14，基于上述激活的威胁防护组件以及所述参考异常行为活动生成威胁防护日志，并将所述威胁防护日志传递到所述云端防火墙系统，以使所述云端防火墙系统基于接收的威胁防护日志对威胁防护组件进行固件更新。
27.图2是本发明实施例提供的基于电子商务的威胁识别系统的功能模块图，该基于电子商务的威胁识别系统实现的功能可以对应上述方法执行的步骤。该基于电子商务的威胁识别系统可以理解为上述安全监控设备，或安全监控设备的处理器，也可以理解为独立于上述安全监控设备或处理器之外的在安全监控设备控制下实现本发明功能的组件。
28.其中，安全监控设备可以包括一个或多个处理器，诸如一个或多个中央处理单元(cpu)，每个处理单元可以实现一个或多个硬件线程。安全监控设备还可以包括任何存储介质，其用于存储诸如代码、设置、数据等之类的任何种类的信息。非限制性的，比如，存储介质可以包括以下任一项或多种组合：任何类型的ram，任何类型的rom，闪存设备，硬盘，光盘等。更一般地，任何存储介质都可以使用任何技术来存储信息。进一步地，任何存储介质可以提供信息的易失性或非易失性保留。进一步地，任何存储介质可以表示安全监控设备的固定或可移除部件。在一种情况下，当处理器执行被存储在任何存储介质或存储介质的组合中的相关联的指令时，安全监控设备可以执行相关联指令的任一操作。安全监控设备还包括用于与任何存储介质交互的一个或多个驱动单元，诸如硬盘驱动单元、光盘驱动单元等。
29.安全监控设备还包括输入/输出（i/o），其用于接收各种输入(经由输入单元)和用于提供各种输出(经由输出单元))。一个具体输出机构可以包括呈现设备和相关联的图形用户接口(gui)。安全监控设备还可以包括一个或多个网络接口，其用于经由一个或多个通信单元与其他设备交换数据。一个或多个通信总线将上文所描述的部件耦合在一起。
30.通信单元可以以任何方式实现，例如，通过局域网、广域网(例如，因特网)、点对点连接等、或其任何组合。通信单元可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能等的任何组合。
31.如图2所示，下面分别对该基于电子商务的威胁识别系统的各个功能模块的功能进行详细阐述。
32.异常行为活动追溯11，用于基于在电子商务拦截场景中记录的具有特定异常变量字段的异常行为活动，追溯相关的多个参考异常行为活动；风险分析12，用于基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，将所述疑似威胁特征与预先配置的威胁行为变量特征进行分析，确定所述疑似威胁特征相关的威胁度量值；策略激活13，用于当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性； 基于所述威胁标签属性以
及所述参考异常行为活动，激活相应的威胁防护组件对所述参考异常行为活动进行威胁防护。
33.优选地，所述分析模块，具体用于：将所述参考异常行为活动传递到云端防火墙系统，通过所述云端防火墙系统对所述参考异常行为活动进行分析得到相关的疑似威胁特征。
34.优选地，所述激活模块具体用于：当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定所述疑似威胁特征相关的威胁行为变量特征标签； 基于所述威胁行为变量特征标签，从预设威胁标签属性映射空间中搜寻与所述威胁行为变量特征标签相关的威胁标签属性。
35.优选地，所述激活模块具体还用于：基于所述威胁行为变量特征标签，从所述预设威胁标签属性映射空间中确定与所述威胁行为变量特征标签相关的多个威胁基础特征数据；将所述多个威胁基础特征数据通过威胁预测网络对所述疑似威胁特征进行威胁预测；基于威胁预测网络针对所述多个威胁基础特征数据的预测信息，确定与所述威胁行为变量特征标签相关的威胁标签属性。
36.优选地，所述系统还包括更新模块14，用于基于上述激活的威胁防护组件以及所述参考异常行为活动生成威胁防护日志，并将所述威胁防护日志传递到所述云端防火墙系统，以使所述云端防火墙系统基于接收的威胁防护日志对威胁防护组件进行固件更新。
37.综上所述，本发明实施例提供的基于电子商务的威胁识别方法及系统内，首先基于在电子商务拦截场景中记录的具有特定异常变量字段的异常行为活动，追溯相关的多个参考异常行为活动，基于所述相关的多个参考异常行为活动，确定所述参考异常行为活动相关的疑似威胁特征，将所述疑似威胁特征与预先配置的威胁行为变量特征进行分析，确定所述疑似威胁特征相关的威胁度量值；当所述疑似威胁特征相关的威胁度量值大于目标度量值时，确定与所述相关的多个参考异常行为活动相关的威胁标签属性，以基于所述威胁标签属性以及所述参考异常行为活动，激活相应的威胁防护组件对所述参考异常行为活动进行威胁防护。由此，基于对具有特定异常变量字段的参考异常行为活动结合云端防火墙系统进行威胁防护，可以实现对具有特定异常变量字段的异常行为活动的进行威胁防护。
38.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
39.在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
40.可以替换的，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令
可以从一个网站站点、计算机或数据中心通过有线（例如同轴电缆、光纤、数字用户线（dsl））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是具有一个或多个可用介质集成的安全监控设备、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质（例如固态硬盘solid state disk (ssd)）等。
41.需要说明的是，在本文中，术语"包括"、"具有"或者其任何其它变体意在涵盖非排它性的具有，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句"包括一个
……
"限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
42.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其它的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图进销存确认视为限制所涉及的权利要求。