一种应用于云计算的网络攻击分析方法及服务器与流程

1.本发明涉及云计算和网络攻击技术领域，尤其涉及一种应用于云计算的网络攻击分析方法及服务器。


背景技术：

2.网络攻击（cyber attack）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。在计算机和计算机网络中，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。
3.随着科技技术的不断发展，网络攻击行为成为了各大企业网中重大安全隐患。为了能够应对不同的网络攻击行为，需要设计出不同的安全隐患所对应的防御方法和手段，而如何高效准确地对网络攻击进行共性分析是安全防护处理的关键环节，但是相关技术难以有效实现上述分析。


技术实现要素：

4.本发明提供一种应用于云计算的网络攻击分析方法及服务器，为实现上述技术目的，本发明采用如下技术方案。
5.第一方面是一种应用于云计算的网络攻击分析方法，应用于云计算服务器，所述方法至少包括：通过已完成调用的各组认证阶段性攻击偏好数据，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第一认证阶段性攻击偏好数据簇，以及与先验型云服务信息攻击事件之间的量化共性评价达到所述第一指定量化共性评价要求的第二认证阶段性攻击偏好数据簇；分别获得所述第一认证阶段性攻击偏好数据簇与每组所述第二认证阶段性攻击偏好数据簇之间的簇量化共性评价，确定所述目标云服务信息攻击事件与所述每组先验型云服务信息攻击事件之间的攻击事件共性评价；其中：所述第一认证阶段性攻击偏好数据簇通过各组认证阶段性攻击偏好数据中的不少于一组第一认证阶段性攻击偏好数据得到；所述先验型云服务信息攻击事件是已完成调用的各组先验型云服务信息攻击事件中的先验型云服务信息攻击事件，所述第二认证阶段性攻击偏好数据簇通过各组认证阶段性攻击偏好数据中的不少于一组第二认证阶段性攻击偏好数据得到。
6.在一种可独立实施的技术方案中，在通过已完成调用的各组认证阶段性攻击偏好数据，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第一认证阶段性攻击偏好数据簇之前，还包括：将每组所述先验型云服务信息攻击事件依次拆解为同一规模的若干组先验阶段性攻击偏好数据，确定每组所述先验型云服务信息攻击事件分别匹配的先验阶段性攻击偏好数据簇；其中，所述先验阶段性攻击偏好数据簇中的各组先验阶段性攻击偏好数据依据各组先验阶段性攻击偏好数据在所匹配的先验型云服务信息攻击事件中的相对定位关系
进行顺序调整；基于每组所述先验阶段性攻击偏好数据簇中，同一定位标签下的先验阶段性攻击偏好数据，确定对应的不少于一组认证阶段性攻击偏好数据，确定已完成调用的各组认证阶段性攻击偏好数据。
7.在一种可独立实施的技术方案中，基于每组所述先验阶段性攻击偏好数据簇中，同一定位标签下的先验阶段性攻击偏好数据，确定对应的不少于一组认证阶段性攻击偏好数据，确定已完成调用的各组认证阶段性攻击偏好数据，包括：将每组所述先验阶段性攻击偏好数据簇中，同一定位标签下的先验阶段性攻击偏好数据作为一个阶段性攻击倾向特征分布，对每组阶段性攻击倾向特征分布进行差异化整合操作，确定每组阶段性攻击倾向特征分布分别匹配的不少于一组认证阶段性攻击偏好数据；通过每组所述阶段性攻击倾向特征分布分别匹配的不少于一组认证阶段性攻击偏好数据，确定已完成调用的各组认证阶段性攻击偏好数据。
8.在一种可独立实施的技术方案中，在阶段性攻击倾向特征分布与阶段性攻击倾向特征分布中包括的先验阶段性攻击偏好数据在所匹配的先验型云服务信息攻击事件中的定位标签存在联系的基础上，通过已完成调用的各组认证阶段性攻击偏好数据，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第一认证阶段性攻击偏好数据簇，包括：将所述目标云服务信息攻击事件拆解成若干组目标阶段性攻击偏好数据，确定所述目标云服务信息攻击事件的目标阶段性攻击偏好数据簇；其中，所述目标阶段性攻击偏好数据簇中的各组目标阶段性攻击偏好数据依据各组目标阶段性攻击偏好数据在目标云服务信息攻击事件中的相对定位关系进行顺序调整；确定所述阶段性攻击倾向特征分布对应的不少于一组认证阶段性攻击偏好数据中，与所述目标阶段性攻击偏好数据之间的量化共性评价达到第二指定量化共性评价要求的第一认证阶段性攻击偏好数据；其中，所述目标阶段性攻击偏好数据在所述目标阶段性攻击偏好数据簇中的定位标签，与所述阶段性攻击倾向特征分布的上下游定位标签一致；在每组所述目标阶段性攻击偏好数据皆涵盖一个对应的所述第一认证阶段性攻击偏好数据时，确定由各组所述第一认证阶段性攻击偏好数据得到的所述第一认证阶段性攻击偏好数据簇，与所述目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求，确定所述目标云服务信息攻击事件对应的所述第一认证阶段性攻击偏好数据簇。
9.在一种可独立实施的技术方案中，在已完成调用的各组认证阶段性攻击偏好数据都携带了攻击偏好主题，所述攻击偏好主题用于独立反映每组认证阶段性攻击偏好数据时，确定所述目标云服务信息攻击事件对应的第一认证阶段性攻击偏好数据簇，包括：通过各组所述第一认证阶段性攻击偏好数据的攻击偏好主题，确定所述目标云服务信息攻击事件对应的第一认证阶段性攻击偏好数据簇。
10.在一种可独立实施的技术方案中，在阶段性攻击倾向特征分布与阶段性攻击倾向特征分布中包括的先验阶段性攻击偏好数据在所匹配的先验型云服务信息攻击事件中的定位标签存在联系的基础上，通过已完成调用的各组认证阶段性攻击偏好数据，确定分别
与各组已完成调用的先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的各组第二认证阶段性攻击偏好数据簇，包括：在所述阶段性攻击倾向特征分布对应的不少于一组认证阶段性攻击偏好数据中，确定与所述先验阶段性攻击偏好数据之间的量化共性评价达到第二指定量化共性评价要求的第二认证阶段性攻击偏好数据；其中，所述先验阶段性攻击偏好数据在所述先验阶段性攻击偏好数据簇中的定位标签，与所述阶段性攻击倾向特征分布的上下游定位标签一致；在每组所述先验阶段性攻击偏好数据皆涵盖一个对应的所述第二认证阶段性攻击偏好数据时，确定由各组所述第二认证阶段性攻击偏好数据得到的所述第二认证阶段性攻击偏好数据簇，与所述先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求，确定所述先验型云服务信息攻击事件对应的所述第二认证阶段性攻击偏好数据簇。
11.在一种可独立实施的技术方案中，在所述第一认证阶段性攻击偏好数据簇中第一认证阶段性攻击偏好数据的统计结果与所述第二认证阶段性攻击偏好数据簇中第二认证阶段性攻击偏好数据的统计结果一致的基础上，分别获得所述第一认证阶段性攻击偏好数据簇与每组所述第二认证阶段性攻击偏好数据簇之间的簇量化共性评价，包括：分别获得所述第一认证阶段性攻击偏好数据簇中每组第一认证阶段性攻击偏好数据，与所述第二认证阶段性攻击偏好数据簇中对应定位标签的第二认证阶段性攻击偏好数据之间的阶段攻击共性评价；对确定的阶段攻击共性评价进行基于置信系数的整合操作，确定所述第一认证阶段性攻击偏好数据簇与所述第二认证阶段性攻击偏好数据簇之间的簇量化共性评价。
12.在一种可独立实施的技术方案中，所述方法还包括：确定最高攻击事件共性评价对应的目标先验型云服务信息攻击事件，并获取所述目标先验型云服务信息攻击事件的网络攻击防护反馈；基于网络攻击防护反馈进行网络攻击防护策略升级。
13.在一种可独立实施的技术方案中，在基于网络攻击防护反馈进行网络攻击防护策略升级之前，所述方法还包括：针对网络攻击防护反馈进行下采样处理。
14.第二方面是一种云计算服务器，包括存储器和处理器；所述存储器和所述处理器耦合；所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令；其中，当所述处理器执行所述计算机指令时，使得所述云计算服务器执行第一方面的方法。
15.根据本发明的一个实施例，在已完成调用的各组认证阶段性攻击偏好数据中，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的不少于一组第一认证阶段性攻击偏好数据，确定目标云服务信息攻击事件对应的第一认证云服务信息攻击事件簇，以及与先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的不少于一组第二认证阶段性攻击偏好数据，确定各组先验型云服务信息攻击事件对应的第二认证阶段性攻击偏好数据簇。
16.这样一来，能够将目标云服务信息攻击事件和各组先验型云服务信息攻击事件变换至相同的连续特征空间中进行关联识别，通过已完成调用的各组认证阶段性攻击偏好数
据之间的量化共性评价，确定第一认证云服务信息攻击事件簇与每组第二认证云服务信息攻击事件簇之间簇量化共性评价，从而确定目标云服务信息攻击事件与各组先验型云服务信息攻击事件之间的攻击事件共性评价，在一定程度上缩减了确定目标云服务信息攻击事件与各组先验型云服务信息攻击事件之间的量化共性评价的步骤，从而有效保障了针对不同云服务信息攻击事件的共性分析的时效性，一方面可以准确可靠地定位相关云服务攻击事件的量化共性评价，另一方面不会消耗过多的服务器资源，从而为后续的攻击防护应对预留尽可能多的服务器资源。
附图说明
17.图1为本发明实施例提供的一种应用于云计算的网络攻击分析方法的流程示意图。
18.图2为本发明实施例提供的一种应用于云计算的网络攻击分析装置的模块框图。
具体实施方式
19.以下，术语“第一”、“第二”和“第三”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”或“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。
20.图1示出了本发明实施例提供的的应用于云计算的网络攻击分析方法的流程示意图，应用于云计算的网络攻击分析方法可以通过云计算服务器实现，云计算服务器可以包括存储器和处理器；所述存储器和所述处理器耦合；所述存储器用于存储计算机程序代码，所述计算机程序代码包括计算机指令；其中，当所述处理器执行所述计算机指令时，使得所述云计算服务器执行如下步骤所描述的技术方案。
21.举例而言，云计算服务器的处理器向云计算服务器的存储器获取已完成调用的各组认证阶段性攻击偏好数据。云计算服务器的处理器通过已完成调用的各组认证阶段性攻击偏好数据，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第一认证阶段性攻击偏好数据簇。云计算服务器的处理器通过已完成调用的各组认证阶段性攻击偏好数据，确定与每组已完成调用的先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第二认证阶段性攻击偏好数据簇。第一认证阶段性攻击偏好数据簇通过各组认证阶段性攻击偏好数据中的不少于一组第一认证阶段性攻击偏好数据得到，第二认证阶段性攻击偏好数据簇通过各组认证阶段性攻击偏好数据中的不少于一组第二认证阶段性攻击偏好数据得到。
22.云计算服务器的处理器分别获得第一认证阶段性攻击偏好数据簇与每组第二认证阶段性攻击偏好数据簇之间的簇量化共性评价，确定目标云服务信息攻击事件与每组先验型云服务信息攻击事件之间的攻击事件共性评价。
23.步骤201，确定各组认证阶段性攻击偏好数据。
24.在本发明实施例中，云计算服务器的存储器中已完成调用的各组认证阶段性攻击偏好数据可以是云计算服务器的处理器在确定各组先验型云服务信息攻击事件之后，通过各组先验型云服务信息攻击事件确定的；或者，可以是云计算服务器的处理器在不繁忙时，通过各组先验型云服务信息攻击事件确定的；或者，可以是云计算服务器的处理器在获取
用于确定各组认证阶段性攻击偏好数据的引导数据之后，通过各组先验型云服务信息攻击事件确定的等，本发明实施例在此不作限定。先验型云服务信息攻击事件（参考云服务信息攻击事件）是参考云服务项目通过关键信息识别之后确定的参考云服务项目的云服务信息攻击事件（可以通过特征向量进行记录）。
25.在云计算服务器的处理器确定各组认证阶段性攻击偏好数据（标准/历史的局部攻击偏好）之后，可以将各组认证阶段性攻击偏好数据保存在云计算服务器的存储器中，这样方便在需要通过各组认证阶段性攻击偏好数据确定目标云服务信息攻击事件时，向云计算服务器的存储器查找各组认证阶段性攻击偏好数据。
26.在一种示例中，云计算服务器的存储器中可以保存每组参考云服务项目和参考云服务项目对应的先验型云服务信息攻击事件之间的关联指数（对应关系），通过确定先验型云服务信息攻击事件，可以对应的确定出先验型云服务信息攻击事件对应的参考云服务项目。
27.在一种示例中，保存的先验型云服务信息攻击事件可以是在对参考云服务项目进行关键信息识别确定的云服务信息攻击事件之后，对确定的云服务信息攻击事件进行标准化操作后确定的，进一步的，标准化操作比如可以是归一化处理等，从而可以削弱量化共性评价受到的干扰，提高所确定出的量化共性评价的精度和可信度。
28.在一种示例中，保存的先验型云服务信息攻击事件可以是在对参考云服务项目进行关键信息识别确定的云服务信息攻击事件之后，对确定的云服务信息攻击事件进行下采样操作后确定的，进一步的，下采样操作比如可以是非监督的机器学习方法（主成分分析法）或矩阵特征提取法（奇异值分解）等方法，首先搜索云服务信息攻击事件的热力特征分布d1，其次结合d1=d0*d2方式确定云服务信息攻击事件的下采样特征分布d2，其中，d0是云服务信息攻击事件。通过削弱事件之间的关联程度，提高后续确定云服务信息攻击事件之间的量化共性评价时的精度和质量。
29.以下对确定各组认证阶段性攻击偏好数据的实际流程进行进一步描述。
30.步骤1-1，将每组先验型云服务信息攻击事件依次拆解为同一规模的若干组先验阶段性攻击偏好数据，确定每组先验型云服务信息攻击事件分别匹配的先验阶段性攻击偏好数据簇。
31.在本发明实施例中，在确定先验型云服务信息攻击事件之后，可以分别将每组先验型云服务信息攻击事件拆解成同一规模（比如：数量相同）的若干组先验阶段性攻击偏好数据，确定每组先验型云服务信息攻击事件分别匹配的先验阶段性攻击偏好数据簇。比如，先验型云服务信息攻击事件为{abcdefghi}，假设拆解成三组先验阶段性攻击偏好数据，那么三组先验阶段性攻击偏好数据可以分别为{abc}、{def}和{ghi}，从而确定的先验阶段性攻击偏好数据簇可以是{{abc}{def}{ghi}}。先验阶段性攻击偏好数据簇中的各组先验阶段性攻击偏好数据依据各组先验阶段性攻击偏好数据在先验型云服务信息攻击事件中的相对定位关系进行顺序调整。
32.在一种示例中，在拆解先验型云服务信息攻击事件时，可以是通过拆解先验阶段性攻击偏好数据的统计结果（数量），对先验型云服务信息攻击事件进行平均拆解；或者，可以通过先验型云服务信息攻击事件中的各组指标，对先验型云服务信息攻击事件进行不公平拆解，本发明实施例在此不作限定。
33.在一种示例中，拆解先验阶段性攻击偏好数据的统计结果可以是先验型云服务信息攻击事件的大小确定的，先验型云服务信息攻击事件的大小可以是拆解先验阶段性攻击偏好数据的统计结果的整数倍，比如，先验型云服务信息攻击事件的尺寸为128维，那么拆解先验阶段性攻击偏好数据的统计结果可以是4个等。先验阶段性攻击偏好数据的统计结果可以是事先通过预设值设置的，或者，可以是通过参考拆解统计结果确定出来的，本发明实施例在此不作限定。
34.举例而言，先验阶段性攻击偏好数据可以理解为参考攻击偏好特征。先验阶段性攻击偏好数据簇可以理解为参考攻击偏好序列。
35.步骤1-2，将每组先验阶段性攻击偏好数据簇中，同一定位标签下的先验阶段性攻击偏好数据作为一个阶段性攻击倾向特征分布，对每组阶段性攻击倾向特征分布进行差异化整合操作，确定每组阶段性攻击倾向特征分布分别匹配的不少于一组认证阶段性攻击偏好数据。
36.在本发明实施例中，在对每组先验型云服务信息攻击事件进行拆解，确定每组先验型云服务信息攻击事件的先验阶段性攻击偏好数据簇之后，将每组先验阶段性攻击偏好数据簇中，同一定位标签下（可以理解为相同状态下或者相同分布位置下）的先验阶段性攻击偏好数据作为一个阶段性攻击倾向特征分布。比如，一个先验阶段性攻击偏好数据簇是{{abc}{def}{ghi}}，另外一个先验阶段性攻击偏好数据簇是{{bcd}{efg}{hia}}，那么将第一个定位标签下的先验阶段性攻击偏好数据{abc}和{bcd}，作为一个阶段性攻击倾向特征分布，将第二个定位标签下的先验阶段性攻击偏好数据{def}和{efg}，作为一个阶段性攻击倾向特征分布，将第三个定位标签下的先验阶段性攻击偏好数据{ghi}和{hia}，作为一个阶段性攻击倾向特征分布。
37.可以理解的是，确定的阶段性攻击倾向特征分布的统计结果与先验阶段性攻击偏好数据的统计结果一致，每组阶段性攻击倾向特征分布对应不少于一组先验阶段性攻击偏好数据，对每组阶段性攻击倾向特征分布进行差异化整合操作（比如：聚类处理），将趋于近似的先验阶段性攻击偏好数据统计在同一标签下。对阶段性攻击倾向特征分布进行差异化整合操作之后，可以确定阶段性攻击倾向特征分布对应的不少于一组特征块，相同标签中的先验阶段性攻击偏好数据，与该标签的特征块之间的量化共性评价（可以理解为相似度）在指定区域内。从而可以确定每组阶段性攻击倾向特征分布分别匹配的不少于一组特征块，一个特征块可以理解为一个认证阶段性攻击偏好数据。
38.在一种示例中，鉴于先验型云服务信息攻击事件越多，先验型云服务信息攻击事件之间的比较结果可能会越大，由此在对阶段性攻击倾向特征分布进行差异化整合操作时，认证阶段性攻击偏好数据的统计结果可以根据先验型云服务信息攻击事件的增多而增多，或根据先验型云服务信息攻击事件的降低而降低，这样能够提高确定认证阶段性攻击偏好数据的精度及可信度，同时能够提高确定量化共性评价的精度及可信度。比如，对于大量的先验型云服务信息攻击事件，认证阶段性攻击偏好数据的统计结果可以设置为20000个，对于大量的先验型云服务信息攻击事件，认证阶段性攻击偏好数据的统计结果可以设置为40000个等，本发明实施例在此不作限定。
39.举例而言，阶段性攻击倾向特征分布可以理解为攻击倾向特征集。认证阶段性攻击偏好数据可以理解为标准攻击偏好特征。
40.步骤1-3，通过每组阶段性攻击倾向特征分布分别匹配的不少于一组认证阶段性攻击偏好数据，确定已完成调用的各组认证阶段性攻击偏好数据。
41.在本发明实施例中，在确定每组阶段性攻击倾向特征分布分别匹配的不少于一组认证阶段性攻击偏好数据之后，云计算服务器的处理器可以将各组认证阶段性攻击偏好数据下发至云计算服务器的存储器，云计算服务器的存储器获取云计算服务器的处理器下发的各组认证阶段性攻击偏好数据之后，将各组认证阶段性攻击偏好数据进行记录，确定已完成调用的各组认证阶段性攻击偏好数据。
42.步骤202，通过已完成调用的各组认证阶段性攻击偏好数据，确定分别与各组已完成调用的先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的各组第二认证阶段性攻击偏好数据簇。
43.在本发明实施例中，阶段性攻击倾向特征分布与阶段性攻击倾向特征分布中包括的先验阶段性攻击偏好数据在所匹配的先验型云服务信息攻击事件簇中的定位标签匹配，可以理解，阶段性攻击倾向特征分布中包括各组先验型云服务信息攻击事件簇中第一个定位标签的先验阶段性攻击偏好数据时，那么阶段性攻击倾向特征分布与第一个定位标签匹配。
44.在阶段性攻击倾向特征分布对应的不少于一组认证阶段性攻击偏好数据中，确定与阶段性攻击倾向特征分布的匹配定位标签下的先验阶段性攻击偏好数据之间的量化共性评价达到第二指定量化共性评价要求的第二认证阶段性攻击偏好数据。比如，在满足匹配条件的定位标签为第一个定位标签的阶段性攻击倾向特征分布对应的不少于一组认证阶段性攻击偏好数据中，确定与先验型云服务信息攻击事件簇中第一个定位标签（特征空间位置）下的先验阶段性攻击偏好数据之间的量化共性评价达到第二指定量化共性评价要求的第二认证阶段性攻击偏好数据。
45.第二指定量化共性评价要求可以是量化共性评价在指定区域内，或者，可以是量化共性评价大于指定判定值等。由此，确定出的第二认证阶段性攻击偏好数据的统计结果可以是若干组。第二指定量化共性评价要求还可以是量化共性评价最大，基于此，确定出的第二认证阶段性攻击偏好数据的统计结果可以是一个，本发明实施例在此不作限定。在第二认证阶段性攻击偏好数据的统计结果为若干组时，各组第二认证阶段性攻击偏好数据可以依据量化共性评价的大小可以根据实际情况进行整理。
46.通过每组阶段性攻击倾向特征分布对应的不少于一组认证阶段性攻击偏好数据，可以确定先验阶段性攻击偏好数据簇中每组先验阶段性攻击偏好数据对应的第二认证阶段性攻击偏好数据，在每组先验阶段性攻击偏好数据皆涵盖一个对应的第二认证阶段性攻击偏好数据时，确定由各组第二认证阶段性攻击偏好数据得到的第二认证阶段性攻击偏好数据簇，与先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求。在第二认证阶段性攻击偏好数据簇与先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求时，确定先验型云服务信息攻击事件对应的第二认证阶段性攻击偏好数据簇。
47.在确定每组先验型云服务信息攻击事件对应的第二认证阶段性攻击偏好数据簇之后，云计算服务器的处理器可以将每组先验型云服务信息攻击事件对应的第二认证阶段性攻击偏好数据簇下发至云计算服务器的存储器，云计算服务器的存储器获取云计算服务
器的处理器下发的每组先验型云服务信息攻击事件对应的第二认证阶段性攻击偏好数据簇之后进行记录，从而云计算服务器的处理器可以在确定目标云服务信息攻击事件与各组先验型云服务信息攻击事件之间的量化共性评价时，直接获取各组先验型云服务信息攻击事件对应的第二认证阶段性攻击偏好数据簇进行确定，无需实施确定每组先验型云服务信息攻击事件对应的第二认证阶段性攻击偏好数据簇，这样能够提高确定目标云服务信息攻击事件与各组先验型云服务信息攻击事件之间的量化共性评价的时效性。
48.在一种示例中，每组认证阶段性攻击偏好数据可以存在一个可以单独标记每组认证阶段性攻击偏好数据的攻击偏好主题；或者，每组认证阶段性攻击偏好数据可以在其对应的阶段性攻击倾向特征分布中存在可以单独标记认证阶段性攻击偏好数据的攻击偏好主题。先验型云服务信息攻击事件的第二认证阶段性攻击偏好数据簇可以通过攻击偏好主题簇进行记录，云计算服务器的处理器在处理过程中，无需通过输送各组认证阶段性攻击偏好数据对各组认证阶段性攻击偏好数据进行相应的处理，只是输送攻击偏好主题就可以确定需处理的认证阶段性攻击偏好数据，这样能够避免资源浪费。
49.步骤203，通过已完成调用的各组认证阶段性攻击偏好数据，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第一认证阶段性攻击偏好数据簇。
50.在本发明实施例中，在需要确定目标云服务信息攻击事件与各组先验型云服务信息攻击事件之间的攻击事件共性评价时，可以首先对目标云服务信息攻击事件进行拆解，确定目标云服务信息攻击事件对应的各组目标阶段性攻击偏好数据。目标阶段性攻击偏好数据与先验型云服务信息攻击事件的先验阶段性攻击偏好数据的统计结果保持一致，将目标云服务信息攻击事件拆解成各组目标阶段性攻击偏好数据，确定目标阶段性攻击偏好数据簇的思路，与将先验型云服务信息攻击事件拆解成各组先验阶段性攻击偏好数据，确定先验阶段性攻击偏好数据簇的思路一致，本发明实施例在此不再作进一步描述。
51.在已完成调用的各组认证阶段性攻击偏好数据中，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第一认证阶段性攻击偏好数据簇的过程，与在已完成调用的各组认证阶段性攻击偏好数据中，确定与先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第二认证阶段性攻击偏好数据簇的思路一致，本发明实施例在此不再作进一步描述。
52.在一种示例中，目标云服务信息攻击事件的第一认证阶段性攻击偏好数据簇可以通过攻击偏好主题簇进行记录，云计算服务器的处理器在处理过程中，无需通过输送各组认证阶段性攻击偏好数据对各组认证阶段性攻击偏好数据进行相应的处理，仅输送攻击偏好主题就可以确定需处理的认证阶段性攻击偏好数据，这样能够避免资源浪费。
53.步骤204，分别获得第一认证阶段性攻击偏好数据簇与每组第二认证阶段性攻击偏好数据簇之间的簇量化共性评价，确定目标云服务信息攻击事件与每组先验型云服务信息攻击事件之间的攻击事件共性评价。
54.在本发明实施例中，在确定目标云服务信息攻击事件的第一认证阶段性攻击偏好数据簇之后，可以确定第一认证阶段性攻击偏好数据簇与每组第二认证阶段性攻击偏好数据簇之间的簇量化共性评价。鉴于第一认证阶段性攻击偏好数据簇与各组第二认证阶段性攻击偏好数据簇皆通过各组认证阶段性攻击偏好数据得到的，由此，可以通过确定第一认
证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇中对应定位标签的第一认证阶段性攻击偏好数据与第二认证阶段性攻击偏好数据之间的阶段攻击共性评价，确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇的簇量化共性评价。
55.在确定对应定位标签的第一认证阶段性攻击偏好数据与第二认证阶段性攻击偏好数据之间的阶段攻击共性评价时，可以通过对应定位标签的第一认证阶段性攻击偏好数据的攻击偏好主题与第二认证阶段性攻击偏好数据的攻击偏好主题，在已完成调用的各组认证阶段性攻击偏好数据之间的阶段攻击共性评价中检索第一认证阶段性攻击偏好数据与第二认证阶段性攻击偏好数据之间的阶段攻击共性评价。检索第一认证阶段性攻击偏好数据的攻击偏好主题与第二认证阶段性攻击偏好数据的攻击偏好主题对应的阶段攻击共性评价时，可以是通过攻击偏好主题直接在云计算服务器的存储器中检索，或者，可以创立第一认证阶段性攻击偏好数据簇的各组攻击偏好主题，与对应的阶段性攻击倾向特征分布中的各组认证阶段性攻击偏好数据的各组攻击偏好主题之间的关联关系，确定第一认证阶段性攻击偏好数据簇与阶段性攻击倾向特征分布中的各组认证阶段性攻击偏好数据的阶段攻击共性评价关联关系表，从而可以通过攻击偏好主题检索确定每组第一认证阶段性攻击偏好数据与各组第二认证阶段性攻击偏好数据之间的阶段攻击共性评价。在确定第一认证阶段性攻击偏好数据与各组第二认证阶段性攻击偏好数据之间的阶段攻击共性评价之后，可以对确定的各组阶段攻击共性评价进行基于置信系数的整合操作，确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇之间的簇量化共性评价，相对于独立的通过去极化阶段攻击共性评价（平均相似度）确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇的策略，可以变更存在差异的阶段攻击共性评价的置信度，确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇的精度更高。
56.在一种示例中，若一个目标阶段性攻击偏好数据对应若干组第一认证阶段性攻击偏好数据，比如，目标阶段性攻击偏好数据对应h个第一认证阶段性攻击偏好数据，则第一认证阶段性攻击偏好数据簇与阶段性攻击倾向特征分布中的各组认证阶段性攻击偏好数据的阶段攻击共性评价的映射列表可以根据实际需求通过表格进行记录。
57.假设一个目标阶段性攻击偏好数据对应若干组第一认证阶段性攻击偏好数据，则每组第一认证阶段性攻击偏好数据可以携带重要等级，第一认证阶段性攻击偏好数据与对应的目标阶段性攻击偏好数据之间的量化共性评价越大，则第一认证阶段性攻击偏好数据的重要等级越大。分别获得目标阶段性攻击偏好数据对应若干组第一认证阶段性攻击偏好数据中每组第一认证阶段性攻击偏好数据，与第二认证阶段性攻击偏好数据之间的阶段攻击共性评价，通过每组第一认证阶段性攻击偏好数据的重要等级，对确定的阶段攻击共性评价进行基于置信系数的整合操作，确定第一认证阶段性攻击偏好数据与第二认证阶段性攻击偏好数据之间的阶段攻击共性评价。在确定第一认证阶段性攻击偏好数据与各组第二认证阶段性攻击偏好数据之间的阶段攻击共性评价之后，可以对确定的各组阶段攻击共性评价进行基于置信系数的整合操作，确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇之间的簇量化共性评价。
58.在确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇之间的簇量化共性评价之后，将第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇之间的簇量化共性评价作为目标云服务信息攻击事件与先验型云服务信息攻击事件
之间的攻击事件共性评价，从而可以确定目标云服务信息攻击事件与每组先验型云服务信息攻击事件之间的攻击事件共性评价。
59.在一种示例中，在确定目标云服务信息攻击事件与每组先验型云服务信息攻击事件之间的攻击事件共性评价之后，可以通过攻击事件共性评价的大小，对各组先验型云服务信息攻击事件进行整理，通过整理位置，导出各组先验型云服务信息攻击事件中，位于整理位置之前的先验型云服务信息攻击事件。
60.在一种示例中，本发明实施例中的量化共性评价计算，可以是通过确定两个特征描述之间的相似度，比如余弦距离等确定的，相关的确定量化共性评价的思路不进行限定。
61.以下提供的应用于云计算的网络攻击分析方法还可以通过以下内容实现。
62.步骤301，云计算服务器的处理器确定各组先验型云服务信息攻击事件。
63.步骤302，云计算服务器的处理器通过各组先验型云服务信息攻击事件，对各组先验型云服务信息攻击事件进行标准化操作，和下采样操作，确定各组处理后的先验型云服务信息攻击事件。
64.步骤303，云计算服务器的处理器通过各组处理后的先验型云服务信息攻击事件，确定各组认证阶段性攻击偏好数据。
65.步骤304，云计算服务器的处理器将各组认证阶段性攻击偏好数据记录在云计算服务器的存储器中。
66.步骤305，云计算服务器的处理器确定每两个认证阶段性攻击偏好数据之间的量化共性评价。
67.步骤306，云计算服务器的处理器将各组认证阶段性攻击偏好数据之间的量化共性评价记录在云计算服务器的存储器中。
68.步骤307，云计算服务器的处理器通过各组认证阶段性攻击偏好数据，确定各组先验型云服务信息攻击事件分别匹配的第二认证阶段性攻击偏好数据簇。
69.步骤308，云计算服务器的处理器可以将各组第二认证阶段性攻击偏好数据簇记录在云计算服务器的存储器中。
70.步骤309，在需要在各组先验型云服务信息攻击事件确定出与目标云服务信息攻击事件相似的先验型云服务信息攻击事件时，云计算服务器的处理器确定目标云服务信息攻击事件。
71.步骤310，云计算服务器的处理器通过各组认证阶段性攻击偏好数据，确定目标云服务信息攻击事件对应的第一认证阶段性攻击偏好数据簇。
72.步骤311，云计算服务器的处理器查找云计算服务器的存储器中的各组先验型云服务信息攻击事件分别匹配的第二认证阶段性攻击偏好数据簇，以及各组认证阶段性攻击偏好数据之间的量化共性评价；步骤312，云计算服务器的处理器确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇之间的簇量化共性评价。
73.举例而言，先验型云服务信息攻击事件拆解成三个先验阶段性攻击偏好数据，对应的，目标云服务信息攻击事件拆解成三个目标阶段性攻击偏好数据。每组先验阶段性攻击偏好数据对应两个第二认证阶段性攻击偏好数据，对应的，每组目标阶段性攻击偏好数据对应两个第一认证阶段性攻击偏好数据，确定每组对应的第一认证阶段性攻击偏好数据
和第二认证阶段性攻击偏好数据之间的阶段攻击共性评价，对各组阶段攻击共性评价进行全局处理（比如：加权求和），确定第一认证阶段性攻击偏好数据簇与第二认证阶段性攻击偏好数据簇之间的簇量化共性评价，确定目标云服务信息攻击事件与先验型云服务信息攻击事件之间的攻击事件共性评价。
74.在一些可独立实施的设计思路下，在确定所述目标云服务信息攻击事件与所述每组先验型云服务信息攻击事件之间的攻击事件共性评价之后，该方法还可以包括以下内容：确定最高攻击事件共性评价对应的目标先验型云服务信息攻击事件，并获取所述目标先验型云服务信息攻击事件的网络攻击防护反馈；基于网络攻击防护反馈进行网络攻击防护策略升级。
75.举例而言，最高攻击事件共性评价对应的目标先验型云服务信息攻击事件可以理解为与目标云服务信息攻击事件最为类似的先验型云服务信息攻击事件，这样可以结合预存的网络攻击防护反馈实现网络攻击防护策略的升级并激活完成升级的网络攻击防护策略实现针对目标云服务信息攻击事件的攻击防护处理。
76.在实际应用过程中，为了提高网络攻击防护策略升级的效率通常需要剔除网络攻击防护反馈中的噪声信息，为实现这一目的，在基于网络攻击防护反馈进行网络攻击防护策略升级之前，还可以包括针对网络攻击防护反馈进行下采样处理。进一步地，针对网络攻击防护反馈的下采样处理可以包括以下内容：针对网络攻击防护反馈中的目标攻击防护反馈内容，确定所述目标攻击防护反馈内容的攻击防护反馈内容参量匹配的参量检测记录；其中，所述参量检测记录用于表达所述目标攻击防护反馈内容的攻击防护反馈内容参量是否满足预配置要求，所述攻击防护反馈内容参量包括攻击防护反馈内容的敏感程度参量、反馈扰动参量、动态活跃参量以及内容变化参量中的至少一种；基于所述网络攻击防护反馈中绑定的目标攻击防护反馈内容的参量检测记录，对所述网络攻击防护反馈进行特征下采样；其中，所述特征下采样包括抽除没有满足所述预配置要求的目标攻击防护反馈内容或所述目标攻击防护反馈内容所对应的其中一个防护反馈内容集；基于经过特征下采样的网络攻击防护反馈，获得下采样金融业务互动画像。
77.如此设计，可以通过敏感程度参量、反馈扰动参量、动态活跃参量以及内容变化参量进行网络攻击防护反馈的下采样处理，从而得到尽可能简洁且高质量的下采样金融业务互动画像，这样一来，后续在进行网络攻击防护策略升级的过程中，利用下采样金融业务互动画像进行分析处理能够保障更高的精度和更高的时效性。
78.在一些可独立实施的设计思路下，所述基于所述网络攻击防护反馈中绑定的目标攻击防护反馈内容的参量检测记录，对所述网络攻击防护反馈进行特征下采样，包括：对所述网络攻击防护反馈进行分治处理，获得多个防护反馈内容集；针对每个所述防护反馈内容集，基于所述防护反馈内容集中绑定的目标攻击防护反馈内容的参量检测记录，对所述防护反馈内容集进行特征下采样。如此设计，可以保障特征下采样尽可能不出现遗漏。
79.在一些可独立实施的设计思路下，所述针对网络攻击防护反馈中的目标攻击防护反馈内容，确定所述目标攻击防护反馈内容的攻击防护反馈内容参量匹配的参量检测记录之前，所述方法还包括：基于所述网络攻击防护反馈中绑定的攻击防护反馈内容，确定所述目标攻击防护反馈内容；从所述网络攻击防护反馈中识别所述目标攻击防护反馈内容，并为每个所述目标攻击防护反馈内容配置优先级指示注释；所述优先级指示注释用于表达所
述目标攻击防护反馈内容在所述目标攻击防护反馈内容中的优先级排序；所述针对网络攻击防护反馈中的目标攻击防护反馈内容，确定所述目标攻击防护反馈内容的攻击防护反馈内容参量匹配的参量检测记录之后，所述方法还包括：基于所述目标攻击防护反馈内容的优先级指示注释，将所述目标攻击防护反馈内容加载至所述网络攻击防护反馈。如此设计，能够为后续的特征下采样提供处理引导。
80.在一些可独立实施的设计思路下，所述基于所述网络攻击防护反馈中绑定的攻击防护反馈内容，确定所述目标攻击防护反馈内容，包括：在所述网络攻击防护反馈中绑定的攻击防护反馈内容的整体型汇总值大于第一预设汇总限值的前提下，依据预设置的抽取周期从所述网络攻击防护反馈中抽取u组攻击防护反馈内容，作为所述目标攻击防护反馈内容；所述u小于或者等于所述第一预设汇总限值；在所述整体型汇总值小于或者等于所述第一预设汇总限值的前提下，将所述网络攻击防护反馈中的绑定的所有攻击防护反馈内容，作为所述目标攻击防护反馈内容。如此设计，可以保障目标攻击防护反馈内容的精度。
81.在一些可独立实施的设计思路下，所述针对网络攻击防护反馈中的目标攻击防护反馈内容，确定所述目标攻击防护反馈内容的攻击防护反馈内容参量匹配的参量检测记录，包括：确定所述目标攻击防护反馈内容中敏感程度影响指数大于预置影响指数限值的反馈事件内容块的第一数目与所述目标攻击防护反馈内容的所有内容块数目的第一占比；基于所述第一占比与第一占比阈值之间的计算结果，确定敏感主题标识；所述敏感主题标识用于表达所述目标攻击防护反馈内容的敏感程度参量是否满足要求；将所述目标攻击防护反馈内容作为第一机器学习模型的输入，基于所述第一机器学习模型的输出，确定反馈扰动主题标识；所述第一机器学习模型用于依据反馈扰动参量是否符合预设合理指标以进行攻击防护反馈内容的全连接分析；将所述目标攻击防护反馈内容作为第二机器学习模型的输入，基于所述第二机器学习模型的输出，确定动态活跃主题标识；所述第二机器学习模型用于依据动态活跃参量是否符合预设合理指标以进行攻击防护反馈内容的全连接分析；确定所述目标攻击防护反馈内容中内容变化指数大于指定内容变化指数区间的反馈事件内容块的第二数目与所述所有内容块数目的第二占比；基于所述第二占比与第二占比阈值之间的计算结果，确定内容变化主题标识；所述内容变化主题标识用于表达所述目标攻击防护反馈内容的内容变化参量是否匹配当前攻击类型。如此，可以为特征下采样处理提供准确可信的执行依据。
82.基于同样的发明构思，图2示出了本发明实施例提供的应用于云计算的网络攻击分析装置的模块框图，应用于云计算的网络攻击分析装置可以包括实施图1所示的相关方法步骤的如下模块。
83.偏好数据获取模块210，用于确定各组认证阶段性攻击偏好数据。
84.数据簇确定模块220，用于通过已完成调用的各组认证阶段性攻击偏好数据，确定分别与各组已完成调用的先验型云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的各组第二认证阶段性攻击偏好数据簇；通过已完成调用的各组认证阶段性攻击偏好数据，确定与目标云服务信息攻击事件之间的量化共性评价达到第一指定量化共性评价要求的第一认证阶段性攻击偏好数据簇。
85.共性评价确定模块230，用于分别获得第一认证阶段性攻击偏好数据簇与每组第二认证阶段性攻击偏好数据簇之间的簇量化共性评价，确定目标云服务信息攻击事件与每
组先验型云服务信息攻击事件之间的攻击事件共性评价。
86.应用于本发明的相关实施例可以达到如下技术效果：能够将目标云服务信息攻击事件和各组先验型云服务信息攻击事件变换至相同的连续特征空间中进行关联识别，通过已完成调用的各组认证阶段性攻击偏好数据之间的量化共性评价，确定第一认证云服务信息攻击事件簇与每组第二认证云服务信息攻击事件簇之间簇量化共性评价，从而确定目标云服务信息攻击事件与各组先验型云服务信息攻击事件之间的攻击事件共性评价，在一定程度上缩减了确定目标云服务信息攻击事件与各组先验型云服务信息攻击事件之间的量化共性评价的步骤，从而有效保障了针对不同云服务信息攻击事件的共性分析的时效性，一方面可以准确可靠地定位相关云服务攻击事件的量化共性评价，另一方面不会消耗过多的服务器资源，从而为后续的攻击防护应对预留尽可能多的服务器资源。
87.以上所述，仅为本发明的具体实施方式。熟悉本技术领域的技术人员根据本发明提供的具体实施方式，可想到变化或替换，都应涵盖在本发明的保护范围之内。