[发明专利]威胁处理方法、装置、电子设备及计算机可读存储介质

权利要求书

1.一种威胁处理方法，其特征在于，应用于OpenStack架构的云平台的目标节点上，所述目标节点为所述云平台中面向网络，面临各种网络威胁行为的节点；所述方法包括：

抓取自身的网络交互数据流；所述网络交互数据流为所述目标节点的网卡的网络交互行为所产生的数据流；

从所述网络交互数据流中，提取出数据流特征；

将所述数据流特征输入至预先训练好的威胁行为检测模型中，确定当前是否存在威胁行为，以及存在威胁行为时，所存在的威胁行为类型；

在将所述数据流特征输入至预先训练好的威胁行为检测模型之后，将所述数据流特征和所述威胁行为检测模型的输出结果，输入至预先训练好的威胁趋势感知模型中，得到下一时刻云平台是否遭受入侵的趋势预测信息；

在存在威胁行为时，根据所述威胁趋势感知模型输出的所述趋势预测信息，从预设的防御策略中，确定出所述威胁行为类型对应的目标防御策略，并执行所述目标防御策略。

2.如权利要求1所述的威胁处理方法，其特征在于，在从所述网络交互数据流中，提取出数据流特征之后，将所述数据流特征输入至预先训练好的威胁行为检测模型中之前，所述方法还包括：

对所述数据流特征进行降维处理；

将降维处理后的数据流特征进行数据标准化处理，以使降维处理后的数据流特征处于相同特征尺度。

3.如权利要求2所述的威胁处理方法，其特征在于，在对所述数据流特征进行降维处理之前，所述方法还包括：

识别所述数据流特征中的无用特征；所述无用特征包括流ID、时间戳；

将识别出的无用特征从所述数据流特征中剔除。

4.如权利要求1-3任一项所述的威胁处理方法，其特征在于，在从所述网络交互数据流中，提取出数据流特征之后，所述方法还包括：

从所述数据流特征中识别出基本信息；所述基本信息包括IP信息、端口信息、协议信息中的至少一种；

所述执行所述目标防御策略，包括：

根据所述基本信息，执行所述目标防御策略。

5.如权利要求4所述的威胁处理方法，其特征在于，所述基本信息包括所述威胁行为的目的IP；

在存在威胁行为时，所述方法还包括：

根据所述威胁行为的目的IP，通过环境变量连接至OpenStack云平台的Neutron组件，从所述Neutron组件中得到所述目的IP对应的端口ID；

控制所述Neutron组件对所述端口ID对应的端口进行删除。

6.如权利要求4所述的威胁处理方法，其特征在于，所述基本信息包括所述威胁行为的源IP；

所述执行所述目标防御策略，包括：

根据所述源IP，通过环境变量连接至OpenStack云平台的Neutron组件，控制所述Neutron组件按照所述目标防御策略修改安全组的规则。

7.一种威胁处理装置，其特征在于，应用于OpenStack架构的云平台的目标节点上，所述目标节点为所述云平台中面向网络，面临各种网络威胁行为的节点；包括：抓取模块、提取模块和处理模块；

所述抓取模块，用于抓取自身的网络交互数据流；所述网络交互数据流为所述目标节点的网卡的网络交互行为所产生的数据流；

所述提取模块，用于从所述网络交互数据流中，提取出数据流特征；

所述处理模块，用于：

将所述数据流特征输入至预先训练好的威胁行为检测模型中，确定当前是否存在威胁行为，以及存在威胁行为时，所存在的威胁行为类型；

在将所述数据流特征输入至预先训练好的威胁行为检测模型之后，将所述数据流特征和所述威胁行为检测模型的输出结果，输入至预先训练好的威胁趋势感知模型中，得到下一时刻云平台是否遭受入侵的趋势预测信息；

在存在威胁行为时，根据所述威胁趋势感知模型输出的所述趋势预测信息，从预设的防御策略中，确定出所述威胁行为类型对应的目标防御策略，并执行所述目标防御策略。