(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221085890 3.8 (22)申请日 2021.12.0 6 (62)分案原申请数据 202111482024.1 2021.12.0 6 (71)申请人 李伟 地址 276000 山东省临沂市兰山区金雀山 街道25号 (72)发明人 钟润森　 (51)Int.Cl. G06F 21/55(2013.01) G06F 16/36(2019.01) H04L 9/40(2022.01) (54)发明名称 一种基于AI的大数据威胁行为分析方法及 介质 (57)摘要 本发明涉及人工智能技术领域， 具体而言， 涉及一种基于AI的大数据威胁行为分析方法及 介质， 可以根据目标威胁操作事件关键标签、 目 标行为偏好关键标签和目标相关性关键标签确 定威胁行为检测结果； 基于威胁行为检测结果进 行反威胁处理。 如此， 可 以保障得到的威胁行为 检测结果的可信度。 权利要求书2页 说明书14页 附图2页 CN 115221510 A 2022.10.21 CN 115221510 A 1.一种基于AI的大数据威胁行为分析方法， 其特征在于， 应用于威胁行为分析服务器， 所述方法至少包括： 根据目标威胁操作事件关键标签、 目标行为偏好关键标签和目标相关性关键标签确定 远程办公行为日志的威胁行为检测结果； 基于威胁行为检测结果进行反威胁处 理。 2.根据权利要求1所述的方法， 其特征在于， 在根据目标威胁操作事件关键标签、 目标 行为偏好关键标签和目标相关性关键标签确定远程办公行为日志的威胁行为检测结果之 前， 所述方法还 包括： 确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、 偏好定位内 容集和相关性定位内容集； 其中， 所述威胁操作事件内容集旨在反 映具有设定存在概率的 威胁操作事件的局部日志内容， 所述偏好定位内容集旨在反映涵盖满足挖掘指标的行为偏 好的局部日志内容， 所述相关性定位内容集旨在反映存在互相影响情况的两个威胁操作事 件的局部日志内容； 依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签， 依据 所述偏好定位内 容集挖掘 基础行为偏好关键标签， 依据所述相关性定位内容集挖掘 基础相关性关键标签； 依据所述基础威胁操作事件关键标签、 基础行为偏好关键标签和基础相关性关键标签之间 的标签传递记录生成视觉型知识库， 依据所述视觉型知识库依次对所述基础威胁操作事件 关键标签、 基础行为偏好关键标签和基础相关性关键标签进行更新， 得到目标威胁操作事 件关键标签、 目标 行为偏好关键标签和目标相关性关键标签。 3.根据权利要求1所述的方法， 其特征在于， 所述根据目标威胁操作事件关键标签、 目 标行为偏好关键标签和目标相关性关键标签确定远程办公行为日志的威胁行为检测结果， 包括： 结合所述目标威胁操作事件关键标签、 所述目标行为偏好关键标签和所述目标相关性 关键标签确定 显著办公行为描述以及参 考办公行为描述； 对所述显著办公行为描述进行行为节点识别， 得到所述显著办公行为描述的第 一行为 节点关键词， 并对所述参考办公行为描述进行行为节点识别， 得到与所述参考办公行为描 述对应的第二行为节点关键词； 将所述第一行为节点关键词、 以及所述第二行为节点关键词进行关键词拼接操作处 理， 得到全局办公行为描述； 基于所述全局办公行为描述， 得到所述显著办公行为描述的威胁行为检测结果。 4.根据权利要求3所述的方法， 其特征在于， 所述对所述显著办公行为描述进行行为节 点识别， 得到所述显著办公行为描述的第一行为节点关键词， 包括： 对所述显著办公行为描述进行阶段性行为节点识别， 确定与每级行为节点识别对应的 第一行为节点关键词； 所述对所述参考办公行为描述进行行为节点识别， 得到与所述参考办公行为描述对应 的第二行为节点关键词， 包括： 对所述参考办公行为描述进行阶段性行为节点识别， 确定与每组所述第 一行为节点关 键词对应的第二行为节点关键词； 所述将所述第 一行为节点关键词、 以及所述第 二行为节点关键词进行关键词拼接操作权　利　要　求　书 1/2 页 2 CN 115221510 A 2处理， 得到全局办公行为描述， 包括： 针对每组第一行为节点关键词， 对所述每组第一行为节点关键词、 以及与所述每组第 一行为节点关键词对应的第二行为节点关键词进 行关键词拼接操作处理， 得到所述每组第 一行为节点关键词对应的全局办公行为描述。 5.根据权利要求4所述的方法， 其特征在于， 所述基于所述全局办公行为描述， 得到所 述显著办公行为描述的威胁行为检测结果， 包括： 基于所述每组第 一行为节点关键词对应的全局办公行为描述， 得到所述每组第 一行为 节点关键词的威胁行为检测结果； 基于与阶段性行为节点识别分别对应的第 一行为节点关键词的威胁行为检测结果， 得 到所述显著办公行为描述的威胁行为检测结果。 6.一种计算机存储介质， 其特征在于， 所述计算机存储介质存储有计算机程序， 所述计 算机程序在运行时实现权利要求1 ‑5任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115221510 A 3