本技術涉及數據安全,尤其涉及一種異常數據處理方法、裝置、設備及介質。
背景技術:
1、在相關技術中,通常依賴于專家經驗或歷史安全事件的異常特征,對設備或網絡運行過程中捕獲到的安全事件進行處理。然而,專家經驗以及歷史安全事件的異常特征,無法應對快速變化的安全事件的檢測。
技術實現思路
1、基于以上問題,本技術實施例提供了一種異常數據處理方法、裝置、設備及介質。
2、本技術實施例提供的技術方案是這樣的:
3、本技術實施例提供了一種異常數據處理方法,所述方法包括:
4、獲取異常數據;
5、通過大型語言模型對所述異常數據進行分析處理,確定處理策略;
6、基于所述處理策略,處理所述異常數據對應的操作。
7、在一些實施例中,所述大型語言模型至少包括拆解模塊;所述通過大型語言模型對所述異常數據進行分析處理,確定處理策略,包括:
8、通過所述拆解模塊對所述異常數據進行拆解,得到包括至少一個拆解數據的第一集合;
9、對所述第一集合中的所述拆解數據進行分析處理,確定所述異常數據的風險狀態;
10、基于所述風險狀態,確定所述處理策略。
11、在一些實施例中,所述通過所述拆解模塊對所述異常數據進行拆解,得到包括至少一個拆解數據的第一集合,包括:
12、通過所述拆解模塊對所述異常數據進行語義識別,得到所述異常數據所表征的操作過程包含的至少一個步驟的第二集合;
13、對所述第二集合中的所述至少一個步驟進行操作對象粒度的拆解,得到所述第一集合;其中,所述操作對象至少包括所述操作過程針對的數據和/或設備對象。
14、在一些實施例中,所述至少一個步驟包括第k步驟以及第k+1步驟;所述第k+1步驟為所述第k步驟的下一步驟;k為大于或等于1的整數;所述對所述第二集合中的所述至少一個步驟進行操作對象粒度的拆解,得到所述第一集合,包括:
15、通過所述拆解模塊對所述第k步驟進行所述操作對象粒度的拆解,得到第k步驟的拆解數據;其中,所述第k步驟的拆解數據包括所述操作對象粒度的問題數據;
16、基于所述第k步驟的拆解數據中所包含的第m問題數據的答復數據,確定所述第k+1步驟的拆解數據;其中,m為大于或等于1的整數;
17、確定第一步驟的拆解數據至第k步驟的拆解數據為所述第一集合;其中,k為所述第二集合中包含的步驟的數量;k為大于或等于2的整數。
18、在一些實施例中,所述通過所述拆解模塊對所述異常數據進行拆解,得到包括至少一個拆解數據的第一集合,包括:
19、確定目標提示數據;
20、基于所述目標提示數據,控制所述拆解模塊對所述異常數據進行拆解,得到所述第一集合。
21、在一些實施例中,所述確定目標提示數據,包括:
22、獲取樣例提示數據;
23、基于所述樣例提示數據中的提示數據與所述異常數據的類別之間的匹配程度,從所述樣例提示數據中確定所述目標提示數據。
24、在一些實施例中,所述方法還包括:
25、獲取樣例提示數據;其中,所述樣例提示數據包括多種類型的異常事件對應的提示數據;
26、通過所述樣例提示數據,對初始拆解模塊進行訓練,得到所述拆解模塊。
27、在一些實施例中,所述第一集合包括第一步驟的拆解數據至第k步驟的拆解數據;所述異常數據表征的操作包括所述第一步驟至所述第k步驟;k為大于或等于2的整數;所述大型語言模型還包括分類模塊;所述處理策略包括決策邏輯樹;所述基于所述風險狀態,確定所述處理策略,包括:
28、通過所述分類模塊,基于第k步驟的風險狀態,確定所述第k步驟所執行的動作;其中,k為大于或等于1且小于或等于k的整數;
29、基于所述第一步驟至所述第k步驟分別執行的動作,確定決策邏輯樹;
30、所述基于所述處理策略,處理所述異常數據對應的操作,包括:
31、基于所述決策邏輯樹中與所述第一步驟至所述第k步驟分別對應的處理決策,對應處理所述第一步驟至所述第k步驟分別執行的動作。
32、在一些實施例中,所述基于所述第一步驟至所述第k步驟分別執行的動作,確定決策邏輯樹,包括:
33、若所述第k步驟執行的動作關聯至文本數據解析,確定所述決策邏輯樹中與所述第k步驟關聯的所述處理決策為:從所述第k步驟中獲取目標文本數據,對所述目標文本數據進行思維鏈解析。
34、在一些實施例中,所述基于所述第一步驟至所述第k步驟分別執行的動作,確定決策邏輯樹,包括:
35、若所述第k步驟執行的動作關聯至網絡內部異常訪問,確定所述決策邏輯樹中與所述第k步驟關聯的所述處理決策為:確定并發送問詢數據至目標設備,獲取并基于所述目標設備發送的回復數據,確定所述網絡內部異常訪問的風險級別;其中,所述目標設備至少與所述網絡內部異常訪問關聯。
36、在一些實施例中,所述基于所述第一步驟至所述第k步驟分別執行的動作,確定決策邏輯樹,包括:
37、若所述第k步驟執行的動作關聯至目標信息缺失,確定所述決策邏輯樹中與所述第k步驟關聯的所述處理決策為:獲取與所述第k步驟執行的動作關聯的關聯信息,至少基于所述關聯信息確定所述第k步驟所執行動作的風險級別;其中,所述關聯信息與所述目標信息關聯。
38、在一些實施例中,所述基于所述第一步驟至所述第k步驟分別執行的動作,確定決策邏輯樹,包括:
39、若所述第k步驟執行的動作關聯至端口風險,確定與所述第k步驟關聯的所述處理決策為:調用至少一個接口對目標端口進行堵截;其中,所述目標端口與所述端口風險關聯。
40、在一些實施例中,所述基于所述第一步驟至所述第k步驟分別執行的動作,確定決策邏輯樹,還包括:
41、若所述第k步驟執行的動作關聯至攻擊動作,確定所述決策邏輯樹中與所述第k步驟對應的所述處理決策為:
42、確定所述攻擊動作與其它異常數據包含的攻擊操作之間的關聯關系,基于所述關聯關系構建異常關聯圖。
43、在一些實施例中,所述方法還包括:
44、獲取分類樣本數據;其中,所述分類樣本數據包括多種異常類型的安全事件對應的異常數據;
45、基于所述分類樣本數據以及所述異常類型,對初始分類模塊進行訓練,得到所述分類模塊。
46、本技術實施例還提供了一種異常數據處理裝置,所述裝置包括:
47、獲取模塊,用于獲取異常數據;
48、確定模塊,用于通過大型語言模型對所述異常數據進行分析處理,確定處理策略;
49、處理模塊,用于基于所述處理策略,處理所述異常數據對應的操作。
50、本技術實施例還提供了一種電子設備,所述電子設備包括處理器和存儲器;其中:所述存儲器中存儲有計算機程序;所述計算機程序被所述處理器執行時,能夠實現如前任一所述的異常數據處理方法。
51、本技術實施例還提供了一種計算機可讀存儲介質,其特征在于,所述存儲介質中存儲有計算機程序;所述計算機程序被電子設備的處理器執行時,能夠實現如前任一實施例提供的異常數據處理方法。
52、本技術實施例提供的異常數據處理方法,獲取異常數據之后,通過大型語言模型(large?language?model,llm)對異常數據進行分析處理確定處理策略,如此,借助于llm強大的語義理解能力,能夠實現對異常數據的精確完整識別,從而能夠提高處理策略的針對性、全面性和精準度;并且,借助于llm強大的泛化能力,還能夠實現對多樣化的、變化頻繁的異常數據的靈活性的、針對性的分析處理,從而能夠擺脫對預設規則、特征以及技術專家的安全防護經驗的依賴;在此基礎上,基于處理策略處理異常數據對應的操作,能夠實現對異常數據對應的操作的精準化處理,從而能夠滿足對快速變化的異常數據對應操作的處理需求。
53、在異常數據對應于安全事件對應的日志數據的情況下,本技術實施例提供的異常數據處理方法,能夠實現對多樣化的、快速變化的安全事件的精準實時處理,從而能夠滿足對實際的安全事件的處理需求。