(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111482024.1 (22)申请日 2021.12.0 6 (65)同一申请的已公布的文献号 申请公布号 CN 114218566 A (43)申请公布日 2022.03.22 (73)专利权人 北京环球国广媒体科技有限公司 地址 100043 北京市石景山区实兴大街3 0 号院3号楼8层8687室 (72)发明人 钟润森　 (74)专利代理 机构 广州中粤知识产权代理事务 所(普通合伙) 44752 专利代理师 刘金菊 (51)Int.Cl. G06F 21/55(2013.01) G06F 16/36(2019.01)H04L 9/40(2022.01) (56)对比文件 CN 113691557 A,2021.1 1.23 CN 113469663 A,2021.10.01 CN 113706177 A,2021.1 1.26 CN 113536323 A,2021.10.2 2 CN 110222125 A,2019.09.10 CN 113114637 A,2021.07.13 审查员 陈伊娜 (54)发明名称 一种结合人工智能的远程办公威胁行为分 析方法及 介质 (57)摘要 本申请涉及人工智能和远程办公技术领域， 具体而言， 涉及一种结合人工智能的远程办公威 胁行为分析方法及介质， 可以通过目标威胁操作 事件关键标签、 目标行为偏好关键标签和目标相 关性关键标签多方位地描述远程 办公行为日志， 从而为后续的威胁行为应对提供尽可能完整丰 富的决策依据。 权利要求书4页 说明书14页 附图2页 CN 114218566 B 2022.12.13 CN 114218566 B 1.一种结合人工智能的远程办公威胁行为分析方法， 其特征在于， 应用于威胁行为分 析服务器， 所述方法至少包括： 确定触发威胁行为分析条件的远程办公行为日志的威胁操作事件内容集、 偏好定位内 容集和相关性定位内容集； 其中， 所述威胁操作事件内容集旨在反 映具有设定存在概率的 威胁操作事件的局部日志内容， 所述偏好定位内容集旨在反映涵盖满足挖掘指标的行为偏 好的局部日志内容， 所述相关性定位内容集旨在反映存在互相影响情况的两个威胁操作事 件的局部日志内容； 依据所述威胁操作事件内容集挖掘基础威胁操作事件关键标签， 依据 所述偏好定位内 容集挖掘 基础行为偏好关键标签， 依据所述相关性定位内容集挖掘 基础相关性关键标签； 依据所述基础威胁操作事件关键标签、 基础行为偏好关键标签和基础相关性关键标签之间 的标签传递记录生成视觉型知识库， 依据所述视觉型知识库依次对所述基础威胁操作事件 关键标签、 基础行为偏好关键标签和基础相关性关键标签进行更新， 得到目标威胁操作事 件关键标签、 目标 行为偏好关键标签和目标相关性关键标签； 其中， 所述确定触发威胁行为分析条件的远程办公行为日志 的威胁操作事件内容集、 偏好定位内容 集和相关性定位内容 集， 包括： 依据AI模型挖掘触发威胁行为分析条件的远程办公行为日志中每个具有设定存在概 率的威胁操作事件的局部日志内容视为威胁操作事件内容集， 挖掘触发威胁行为分析条件 的远程办公行为日志中每个具有满足挖掘指标 的行为偏好的局部日志内容视为偏好定位 内容集； 将全部所述威胁操作事件内容集进行整理， 每两个威胁操作事件内容集对形成相关性 定位内容 集； 其中， 该方法还可以包括以下至少一项： 对目标威胁操作事件关键标签进行解析以获得所述触发威胁行为分析条件的远程办 公行为日志中相应局部日志内容涵盖的威胁操作事 件种类； 对目标行为偏好关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行 为日志中具有满足挖掘指标的行为偏好的局部日志内容的行为偏好表达； 对目标相关性关键标签进行解析以获得所述触发威胁行为分析条件的远程办公行为 日志中威胁操作事 件之间的上 下游描述种类； 其中， 对所述基础威胁操作事件关键标签、 基础行为偏好关键标签和基础相关性关键 标签进行 更新之前， 还 包括： 将所述基础威胁操作事件关键标签、 基础行为偏好关键标签和基础相关性关键标签分 别视为威胁操作事件知识单元、 行为偏好知识单元和相关性知识单元， 将所述基础威胁操 作事件关键标签、 基础行为偏好关键标签和基础相关性关键标签之 间的标签传递记录视为 单元连线， 生成视觉型知识库； 其中， 所述生成视觉型知识库， 包括： 对全部所述威胁操作事 件知识单元进行整理， 其中两个威胁操作事件知识单元集对应于一个相关性知识单元， 依 据威胁操作事件知识单元与相关性知识单元的上下游描述， 将存在上下游关联的两个威胁 操作事件知识单元与对应该上下游描述的相关性知识单元通过一条单元连线关联； 当所述 偏好定位内容集与所述相关性定位内容集的交叉内容达到所述相关性定位内容集的指定 占比， 将所述偏好定位内容集对应的行为偏好知识单元与所述相关性定位内容集对应的相权　利　要　求　书 1/4 页 2 CN 114218566 B 2关性知识单 元通过一条 单元连线关联； 相应地， 所述依次对所述基础威胁操作事件关键标签、 基础行为偏好关键标签和基础 相关性关键标签进行更新， 包括： 所述基础相关性关键标签获得依据所述视觉型知识库中 的单元连线发送的基础威胁操作事件关键标签和基础行为偏好关键标签， 依据所述基础威 胁操作事件关键标签和基础行为偏好关键标签对基础相关性关键标签进 行更新； 所述基础 威胁操作事件关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键 标签， 依据所述基础相关性关键标签对所述基础威胁操作事件关键标签进行更新； 所述基 础行为偏好关键标签获得依据所述视觉型知识库中的单元连线发送的基础相关性关键标 签， 依据所述基础相关性关键标签对所述基础行为偏好关键标签进行 更新； 相应地， 基础相关性关键标签获得依据所述视觉型知识库中的单元连线发送的基础威 胁操作事件关键标签和基础行为偏好关键标签， 依据所述基础威胁操作事件关键标签和基 础行为偏好关键标签对基础相关性关键标签进行 更新， 包括： 依次对基础威胁操作事件关键标签和基础行为偏好关键标签进行无量纲简化， 将完成 无量纲简化的基础威胁操作事件关键标签和基础行为偏好关键标签依次进 行动态映射， 分 别确定威胁操作事件偏移和行为偏好偏移； 其中， 所述基础威胁操作事件关键标签包括与 基础相关性关键标签存在互相影响情况的基础主动型关键标签和基础被动型关键标签， 依 据基础主动型关键标签和基础被动型关键标签确定的威胁操作事件偏移包括主动型偏移 和被动型偏移； 将所述威胁操作事件偏移和行为偏好偏移与所述基础相关性关键标签加权确定更新 相关性关键标签； 将更新相关性关键标签视为基础相关性关键标签， 反复实施更新步骤， 直至更新累计 值达到指定累计值， 导出最后完成更新的更新相关性关键标签视为目标相关性关键标签。 2.如权利要求1所述的方法， 其特征在于， 所述标签传递记录包括行为偏好传递评价及 相对分布传递评价， 所述方法还 包括： 依据所述威胁操作事件内容集和相关性定位内容集之间的行为偏好传递评价， 确定所 述威胁操作事 件关键标签和相关性关键标签之间的标签传递记录； 依据所述相关性定位内容集和偏好定位内容集之间的相对分布传递评价， 确定所述行 为偏好关键标签和相关性关键标签之间的标签传递记录； 其中， 所述威胁操作事件关键标签和相关性关键标签之间的标签传递记录旨在反映所 述威胁操作事件关键标签和相关性关键标签之 间是否具有传递性； 所述行为偏好关键标签 和相关性关键标签之间的标签传递记录旨在反 映所述行为偏好关键标签和相关性关键标 签之间是否具有传递 性。 3.如权利要求1所述的方法， 其特征在于， 所述基础威胁操作事件关键标签获得依据 所 述视觉型知识库中的单元连线发送的基础相关性关键标签， 依据所述基础相关性关键标签 对所述基础威胁操作事 件关键标签进行 更新， 包括： 对所述基础相关性关键标签进行无量纲简化， 将完成无量纲简化的基础相关性关键标 签进行动态映射， 得到相关性 威胁操作事 件偏移； 将所述相关性威胁操作事件偏移与所述基础威胁操作事件关键标签加权确定更新威 胁操作事 件关键标签；权　利　要　求　书 2/4 页 3 CN 114218566 B 3