(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111502765.1 (22)申请日 2021.12.10 (71)申请人 天津痴凡互联网科技有限公司 地址 300192 天津市南 开区天津华苑产业 区华天道 2号1112房屋 (72)发明人 钟蕙冰　 (51)Int.Cl. G06F 21/62(2013.01) G06Q 10/10(2012.01) G06F 16/951(2019.01) G06F 16/2458(2019.01) G06Q 10/06(2012.01) (54)发明名称 一种基于数字办公的大数据威胁防护方法 及系统 (57)摘要 本申请涉及数字 办公和大数据技术领域， 具 体而言， 涉及一种基于数字办公的大数据威胁防 护方法及系统， 能够在不更新已有的威胁防护策 略架构的基础上， 灵活准确地进行异常办公主题 风险互动记录的相关性挖掘， 进而得到与异常办 公主题的局部爬取信息指向相同办公终端的风 险互动记录局部信息， 这样一来， 能够减少不必 要的威胁防护处理负荷开销， 并且通过上述方式 能够灵活准确地实现相同目标办公终端的异常 办公主题和风险互动记录的匹配和绑定， 从而为 后续的威胁防护分析提供尽可能完整丰富的数 据基础， 提高后续威胁防护应对的可靠性和针对 性。 权利要求书3页 说明书21页 附图2页 CN 114186272 A 2022.03.15 CN 114186272 A 1.一种基于数字办公的大数据威胁防护方法， 其特征在于， 应用于大数据威胁防护系 统， 所述方法至少包括： 在收集得到的疑似办公威胁检测报告中涵盖异常办公主题和风险互动记录的基础上， 对所述疑似办公威胁检测报告中的目标异常办公主题描述内容进行异常办公主题挖掘操 作， 得到相关的目标异常办公主题分布标签； 对所述疑似办公威胁检测报告中的办公进程 描述内容进 行风险互动记录挖掘操作， 得到不低于一个风险互动记录 分布标签； 其中， 所述 目标异常办公主题描述内容为经所述办公进程描述内容中抽取出的异常办公主题衍生内 容； 从所述办公进程描述内容中确定出与所述目标异常办公主题描述内容的目标异常办 公主题分布标签绑定的目标风险互动记录 分布标签； 结合所述与所述目标异常办公主题描 述内容的目标异常办公主题分布 标签绑定的目标风险互动记录 分布标签， 从所述办公进程 描述内容中抽取出所述目标异常办公主题描述内容绑定的目标风险互动记录描述内容； 其 中， 所述目标异常办公主题描述内容与所述目标风险互动记录描述内容对应相同目标办公 终端的异常 办公主题和风险互动记录 。 2.如权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 对于所述目标异常办公主题描述内容和与所述目标异常办公主题描述内容绑定的所 述目标风险互动记录描述内容， 确定所述目标异常办公主题描述内容的异常办公主题定位 情况和所述 目标风险互动记录描述内容的风险互动记录定位情况； 其中， 所述异常办公主 题定位情况涵盖所述目标异常办公主题分布 标签、 所述异常办公主题语义以及所述异常办 公主题元素； 所述风险互动记录定位情况涵盖所述 目标风险互动记录分布标签、 所述风险 互动记录语义以及所述 风险互动记录元 素； 为所述目标异常办公主题描述内容和对应的所述异常办公主题定位情况、 所述目标风 险互动记录描述内容和对应的所述风险互动记录定位情况分别生成对应相同目标办公终 端的显著性区分信息， 以对所述异常办公主题定位情况和所述风险互动记录定位情况进 行 绑定。 3.如权利要求2所述的方法， 其特征在于， 所述确定所述目标异常办公主题描述内容的 异常办公主题定位情况和所述目标风险互动记录描述内容的风险互动记录定位情况， 包 括： 对所述目标风险互动记录描述内容进行显著内容块挖掘， 得到对应的显著互动内容 块， 并依据所述显著互动内容块对所述风险互动记录描述内容进行元素解析， 得到对应的 风险互动记录元 素； 依据所述显著互动内容 块创建对应的风险互动记录语义； 对所述目标异常办公主题描述内容进行显著内容块挖掘， 得到对应的异常主题内容 块， 并依据所述异常主题内容块对所述异常办公主题描述内容进行元素解析， 得到对应的 异常办公主题元 素； 依据所述异常主题内容 块创建对应的异常 办公主题语义。 4.如权利要求1至3任一项所述的方法， 其特征在于， 所述从所述办公进程描述内容中 确定出与所述目标异常办公主题描述内容的目标异常办公主题分布标签绑定的目标风险 互动记录分布标签， 包括： 将所述目标异常办公主题描述内容的所述目标异常办公主题分布标签， 经由设定标签 变换策略投影至所述办公进程描述内容中， 得到投影后的异常 办公主题分布标签；权　利　要　求　书 1/3 页 2 CN 114186272 A 2依据所述投影后的异常办公主题分布标签和所述办公进程描述内容中的不低于一个 风险互动记录 分布标签进 行异常办公主题和风险互动记录的绑定操作， 得到与所述目标异 常办公主题描述内容的目标异常 办公主题分布标签绑定的目标风险互动记录分布标签。 5.如权利要求4所述的方法， 其特征在于， 所述投影后的异常办公主题分布标签为目标 异常办公主题定位约束条件中的量化特征指标， 所述风险互动记录 分布标签为风险互动记 录定位约束条件中的量化特征指标， 所述依据所述投影后的异常办公主题分布标签和所述 办公进程描述内容中的不低于一个风险互动记录分布标签， 进行异常办公主题和风险互动 记录的绑定操作， 得到与所述目标异常办公主题描述内容的目标异常办公主题分布标签绑 定的目标风险互动记录分布标签， 包括： 依据所述投影后的异常办公主题分布标签和每一组所述风险互动记录分布标签， 确定 所述目标异常办公主题定位约束条件和每一所述风险互动记录定位约束条件的约束条件 相关性； 将不小于第一设定判定值的约束条件相关性确定为目标约束条件相关性； 将所述目标约束条件相关性对应的所述目标异常办公主题分布标签和所述目标风险 互动记录分布标签进行绑定 。 6.如权利要求4所述的方法， 其特征在于， 所述投影后的异常办公主题分布标签为目标 异常办公主题的量化特征指标， 所述风险互动记录 分布标签为风险互动记录的量化特征指 标， 所述依据所述投影后的异常办公主题分布标签和所述办公进程描述内容中的不低于一 个风险互动记录分布标签， 进行异常办公主题和风险互动记录的绑定操作， 得到与所述 目 标异常办公主题描述内容的目标异常办公主题分布标签绑定的目标风险互动记录分布标 签， 包括： 依据所述投影后的异常办公主题分布标签和每一组所述风险互动记录分布标签进行 所述目标异常 办公主题与每一所述 风险互动记录的配对， 得到量 化配对结果； 将不小于第二设定判定值的量 化配对结果确定为目标量 化配对结果； 将所述目标量化配对结果对应的所述目标异常办公主题分布标签和所述目标风险互 动记录分布标签进行绑定 。 7.如权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 从云端服 务器中确定所述疑似办公威胁 检测报告； 检测所述疑似办公威胁检测报告的内容视觉关联情况， 得到所述疑似办公威胁检测报 告的威胁预测结果； 其中， 所述威胁预测结果反映所述疑似办公威胁检测报告中涵盖异常 办公主题和风险互动记录， 或者， 反映所述疑似办公威胁检测报告中没有涵盖风险互动记 录且涵盖异常 办公主题； 所述在收集得到的疑似办公威胁检测报告中涵盖异常办公主题和风险互动记录的基 础上， 包括： 响应于所述威胁预测结果反 映所述疑似办公威胁检测报告中涵盖异常办公主 题和风险互动记录 。 8.如权利要求7所述的方法， 其特征在于， 所述结合所述与所述目标异常办公主题描述 内容的目标异常办公主题分布标签绑定的目标风险互动记录分布标签， 从所述办公进程描 述内容中抽取出与所述目标异常办公主题描述内容绑定的目标风险互动记录描述内容， 包 括：权　利　要　求　书 2/3 页 3 CN 114186272 A 3