CN108985054A - 威胁情报分析方法和装置 - Google Patents
威胁情报分析方法和装置 Download PDFInfo
- Publication number
- CN108985054A CN108985054A CN201710411088.XA CN201710411088A CN108985054A CN 108985054 A CN108985054 A CN 108985054A CN 201710411088 A CN201710411088 A CN 201710411088A CN 108985054 A CN108985054 A CN 108985054A
- Authority
- CN
- China
- Prior art keywords
- information
- fitness function
- population
- threat
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/12—Computing arrangements based on biological models using genetic models
- G06N3/126—Evolutionary algorithms, e.g. genetic algorithms or genetic programming
Abstract
本发明公开一种威胁情报分析方法和装置,涉及信息安全领域。其中从情报库中提取与指定类的库信息相对应的动态特征,其中在情报库中,按照威胁情报的类型对威胁情报进行分类入库;对动态特征进行动态编码以生成初始群体;根据威胁情报类型对所述初始群体进行拆分以生成种群;为种群分配相应的适应度函数,其中适应度函数具有对应的阈值;利用适应度函数计算相应的结果,若结果满足要求,则对当前群体进行解码以获得满足相应阈值的威胁情报。本发明通过引入改进遗传算法对威胁情报进行分析,从而能够针对威胁情报进行分类并全局搜索、适应性淘汰,优化威胁情报质量及促进关联性规则的查找。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种威胁情报分析方法和装置。
背景技术
目前在生成威胁情报时,通过扫描并获取样本集合中包含的多个白文件,提取各个白文件中包含的域名信息,将该域名信息存储到预设的白集合中,当访问请求中包含未出现在白集合中的域名信息时,针对所述访问请求生成威胁情报。
上述传统方法在生成威胁情报后得到的信息较大,质量较低,关联性较低等可用性较低,因此不利于实现针对威胁情报的全局搜索和威胁情报质量优化。
发明内容
本发明实施例提供一种威胁情报分析方法和装置,通过引入改进遗传算法对威胁情报进行分析,从而能够针对威胁情报进行分类并全局搜索、适应性淘汰,优化威胁情报质量及促进关联性规则的查找。
根据本发明的一个方面,提供一种威胁情报分析方法,包括:
从情报库中提取与指定类的库信息相对应的动态特征,其中在情报库中,按照威胁情报的类型对威胁情报进行分类入库;
对动态特征进行动态编码,以生成初始群体;
根据威胁情报类型对初始群体进行拆分,以生成种群;
为种群分配相应的适应度函数,其中适应度函数具有对应的阈值;
利用适应度函数计算相应的结果;
若结果满足要求,则对当前群体进行解码,以获得满足相应阈值的威胁情报。
在一个实施例中,若结果不满足要求,则对当前群体进行遗传运算以得到下一代群体;
以下一代群体作为当前群体,然后执行利用适应度函数计算相应的结果的步骤。
在一个实施例中,适应度函数与情报级别相关联。
在一个实施例中,在获得满足相应阈值的威胁情报后,重复执行根据威胁情报类型对初始群体进行拆分以生成种群的步骤。
在一个实施例中,在重复执行根据威胁情报类型对初始群体进行拆分以生成种群的过程中,调整适应度函数对应的阈值。
根据本发明的另一方面,提供一种威胁情报分析装置,包括:
特征提取模块,用于从情报库中提取与指定类的库信息相对应的动态特征,其中在情报库中,按照威胁情报的类型对威胁情报进行分类入库;
动态编码模块,用于对动态特征进行动态编码,以生成初始群体;
种群生成模块,用于根据威胁情报类型对初始群体进行拆分,以生成种群;
适应度函数分配模块,用于为种群分配相应的适应度函数,其中适应度函数具有对应的阈值;
计算模块,用于利用适应度函数计算相应的结果;
解码模块,用于根据计算模块的计算结果,若结果满足要求,则对当前群体进行解码,以获得满足相应阈值的威胁情报。
在一个实施例中,遗传运算模块,用于根据计算模块的计算结果,若结果不满足要求,则对当前群体进行遗传运算以得到下一代群体;然后以下一代群体作为当前群体,执行利用适应度函数计算相应的结果的操作。
在一个实施例中,适应度函数与情报级别相关联。
在一个实施例中,解码模块用于在获得满足相应阈值的威胁情报后,指示种群生成模块重复执行根据威胁情报类型对初始群体进行拆分以生成种群的操作。
在一个实施例中,适应度函数分配模块还用于在解码模块指示种群生成模块重复执行根据威胁情报类型对初始群体进行拆分以生成种群的过程中,调整适应度函数对应的阈值。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明威胁情报分析方法一个实施例的示意图。
图2为本发明威胁情报分析方法另一实施例的示意图。
图3为本发明威胁情报分析装置一个实施例的示意图。
图4为本发明威胁情报分析装置另一实施例的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本发明威胁情报分析方法一个实施例的示意图。如图1所示,本实施例的方法步骤可包括:
步骤101,从情报库中提取与指定类的库信息相对应的动态特征。
其中在情报库中,按照威胁情报的类型对威胁情报进行分类入库。
步骤102,对动态特征进行动态编码,以生成初始群体。
步骤103,根据威胁情报类型对初始群体进行拆分,以生成种群。
步骤104,为种群分配相应的适应度函数,其中适应度函数具有对应的阈值。
可选地,适应度函数与情报级别相关联。
例如,适应度函数的一个示例可为:
步骤105,利用适应度函数计算相应的结果。
步骤106,若结果满足要求,则对当前群体进行解码,以获得满足相应阈值的威胁情报。
可选地,若结果不满足要求,则对当前群体进行遗传运算以得到下一代群体,例如通过选择运算、交叉运算和变异运算以产生新一代的群体。然后以产生的新一代群体作为当前群体,重复执行利用适应度函数计算相应的结果的步骤。
基于本发明上述实施例提供的威胁情报分析方法,通过引入改进遗传算法对威胁情报进行分析,从而能够针对威胁情报进行分类并全局搜索、适应性淘汰,优化威胁情报质量及促进关联性规则的查找。
图2为本发明威胁情报分析方法一个实施例的示意图。如图1所示,本实施例的方法步骤可包括:
步骤201,在情报库中,按照威胁情报的类型对威胁情报进行分类入库。
步骤202,从情报库中提取与指定类的库信息相对应的动态特征。
例如,用户可根据需要提取n个类的库信息所对应的动态特征。
步骤203,对动态特征进行动态编码,以生成初始群体。
步骤204,根据威胁情报类型对初始群体进行拆分,以生成种群。
例如,可根据需要,拆分为2-5个种群。
步骤205,为种群分配相应的适应度函数,其中适应度函数具有对应的阈值。
可选地,适应度函数与情报级别相关联。
步骤206,利用适应度函数计算相应的结果。
步骤207,判断计算结果是否满足要求。若结果不满足要求,则执行步骤208;若结果满足要求,则执行步骤209。
步骤208,对当前群体进行遗传运算以得到下一代群体,例如通过选择运算、交叉运算和变异运算以产生新一代的群体。然后以产生的新一代群体作为当前群体,返回步骤206。
步骤209,对当前群体进行解码,以获得满足相应阈值的威胁情报。然后返回步骤204。
通过上述循环处理,把改进后遗传算法的全局搜索能力用于信息安全情报挖掘中,可以较好的处理威胁情报库中不同属性信息之间的相互连接并通过遗传换代,不断提升威胁情报的基因水平,进而提升黑样本覆盖率。
此外,在上述循环过程中,还可根据需要调整适应度函数对应的阈值,以便有助于筛选出高级情报,并提高分析效率。
图3为本发明威胁情报分析装置一个实施例的示意图。如图3所示,威胁情报分析装置可包括特征提取模块31、动态编码模块32、种群生成模块33、适应度函数分配模块34、计算模块35和解码模块36。其中:
特征提取模块31用于从情报库中提取与指定类的库信息相对应的动态特征。
其中在情报库中,按照威胁情报的类型对威胁情报进行分类入库。
动态编码模块32用于对动态特征进行动态编码,以生成初始群体。
种群生成模块33用于根据威胁情报类型对初始群体进行拆分,以生成种群。
例如,可根据需要,拆分为2-5个种群。
适应度函数分配模块34用于为种群分配相应的适应度函数,其中适应度函数具有对应的阈值。
可选地,适应度函数与情报级别相关联。
例如,适应度函数的一个示例可为:
计算模块35用于利用适应度函数计算相应的结果。
解码模块36用于根据计算模块35的计算结果,若结果满足要求,则对当前群体进行解码,以获得满足相应阈值的威胁情报。
基于本发明上述实施例提供的威胁情报分析装置,通过引入改进遗传算法对威胁情报进行分析,从而能够针对威胁情报进行分类并全局搜索、适应性淘汰,优化威胁情报质量及促进关联性规则的查找。
图4为本发明威胁情报分析装置一个实施例的示意图。与图3所示实施例相比,在图4所示实施例中,除了包括特征提取模块41、动态编码模块42、种群生成模块43、适应度函数分配模块44、计算模块45和解码模块46之外,威胁情报分析装置还包括遗传运算模块47。其中:
遗传运算模块47用于根据计算模块45的计算结果,若结果不满足要求,则对当前群体进行遗传运算以得到下一代群体;然后以下一代群体作为当前群体,指示计算模块45执行利用适应度函数计算相应的结果的操作。
例如,在遗传运算中,可通过选择运算、交叉运算和变异运算以产生新一代的群体。
此外,解码模块46还用于在获得满足相应阈值的威胁情报后,指示种群生成模块43重复执行根据威胁情报类型对初始群体进行拆分以生成种群的操作。
可选地,适应度函数分配模块44还用于在解码模块46指示种群生成模块43重复执行根据威胁情报类型对初始群体进行拆分以生成种群的过程中,调整适应度函数对应的阈值。
通过实施本发明,利用改进后的遗传算法并结合实际情况设置遗传算法中的群体及适应性函数,从而使得改进后遗传算法更贴合威胁情报实际情况,优化威胁情报可用性。
其中,可根据威胁情报类型对种群拆分,分为2-5个种群,并针对性的设置适应度函数,把所生成的满足一定阀值的威胁情报保存后作为初始种群,继续设置高一级别的适应度函数阀值,后筛选出高一级别的威胁情报,依此类推。
改进后遗传算法更贴合威胁情报实际情况,优化威胁情报可用性。
相应地,通过实施本发明,所具有的优点和效果如下:
把改进后遗传算法的全局搜索能力用于信息安全情报挖掘中,可以较好的处理威胁情报库中不同属性信息之间的相互连接并通过遗传换代,不断提升威胁情报的基因水平,进而提升黑样本覆盖率。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种威胁情报分析方法,其特征在于,包括:
从情报库中提取与指定类的库信息相对应的动态特征,其中在情报库中,按照威胁情报的类型对威胁情报进行分类入库;
对所述动态特征进行动态编码,以生成初始群体;
根据威胁情报类型对所述初始群体进行拆分,以生成种群;
为种群分配相应的适应度函数,其中所述适应度函数具有对应的阈值;
利用所述适应度函数计算相应的结果;
若所述结果满足要求,则对当前群体进行解码,以获得满足相应阈值的威胁情报。
2.根据权利要求1所述的方法,其特征在于,还包括:
若所述结果不满足要求,则对当前群体进行遗传运算以得到下一代群体;
以下一代群体作为当前群体,然后执行利用所述适应度函数计算相应的结果的步骤。
3.根据权利要求1所述的方法,其特征在于,
所述适应度函数与情报级别相关联。
4.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:
在获得满足相应阈值的威胁情报后,重复执行根据威胁情报类型对所述初始群体进行拆分以生成种群的步骤。
5.根据权利要求4所述的方法,其特征在于,还包括:
在重复执行根据威胁情报类型对所述初始群体进行拆分以生成种群的过程中,调整所述适应度函数对应的阈值。
6.一种威胁情报分析装置,其特征在于,包括:
特征提取模块,用于从情报库中提取与指定类的库信息相对应的动态特征,其中在情报库中,按照威胁情报的类型对威胁情报进行分类入库;
动态编码模块,用于对所述动态特征进行动态编码,以生成初始群体;
种群生成模块,用于根据威胁情报类型对所述初始群体进行拆分,以生成种群;
适应度函数分配模块,用于为种群分配相应的适应度函数,其中所述适应度函数具有对应的阈值;
计算模块,用于利用所述适应度函数计算相应的结果;
解码模块,用于根据计算模块的计算结果,若所述结果满足要求,则对当前群体进行解码,以获得满足相应阈值的威胁情报。
7.根据权利要求6所述的装置,其特征在于,还包括:
遗传运算模块,用于根据计算模块的计算结果,若所述结果不满足要求,则对当前群体进行遗传运算以得到下一代群体;然后以下一代群体作为当前群体,指示计算模块执行利用所述适应度函数计算相应的结果的操作。
8.根据权利要求6所述的装置,其特征在于,
所述适应度函数与情报级别相关联。
9.根据权利要求6-8中任一项所述的装置,其特征在于,还包括:
解码模块用于在获得满足相应阈值的威胁情报后,指示种群生成模块重复执行根据威胁情报类型对所述初始群体进行拆分以生成种群的操作。
10.根据权利要求9所述的装置,其特征在于,
适应度函数分配模块还用于在解码模块指示种群生成模块重复执行根据威胁情报类型对所述初始群体进行拆分以生成种群的过程中,调整所述适应度函数对应的阈值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710411088.XA CN108985054A (zh) | 2017-06-05 | 2017-06-05 | 威胁情报分析方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710411088.XA CN108985054A (zh) | 2017-06-05 | 2017-06-05 | 威胁情报分析方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108985054A true CN108985054A (zh) | 2018-12-11 |
Family
ID=64501691
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710411088.XA Pending CN108985054A (zh) | 2017-06-05 | 2017-06-05 | 威胁情报分析方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108985054A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113869513A (zh) * | 2021-09-17 | 2021-12-31 | 中林信达(北京)科技信息有限责任公司 | 一种基于遗传算法的分类规则阈值优化方法 |
CN114500048A (zh) * | 2022-01-26 | 2022-05-13 | 南方电网数字电网研究院有限公司 | 基于网络安全的外部威胁情报分析方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101894237A (zh) * | 2010-08-03 | 2010-11-24 | 南开大学 | 应用遗传算法自动生成xss跨站点脚本漏洞检测参数的方法 |
US20120278890A1 (en) * | 2009-12-23 | 2012-11-01 | Teknologian Tutkimuskeskus Vtt | Intrusion detection in communication networks |
CN104933093A (zh) * | 2015-05-19 | 2015-09-23 | 武汉泰迪智慧科技有限公司 | 基于大数据的地区舆情监控及决策辅助系统和方法 |
-
2017
- 2017-06-05 CN CN201710411088.XA patent/CN108985054A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120278890A1 (en) * | 2009-12-23 | 2012-11-01 | Teknologian Tutkimuskeskus Vtt | Intrusion detection in communication networks |
CN101894237A (zh) * | 2010-08-03 | 2010-11-24 | 南开大学 | 应用遗传算法自动生成xss跨站点脚本漏洞检测参数的方法 |
CN104933093A (zh) * | 2015-05-19 | 2015-09-23 | 武汉泰迪智慧科技有限公司 | 基于大数据的地区舆情监控及决策辅助系统和方法 |
Non-Patent Citations (1)
Title |
---|
何嘉仪: "基于数据挖掘的网络日志检测与实现", 《中国学位论文全文数据库》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113869513A (zh) * | 2021-09-17 | 2021-12-31 | 中林信达(北京)科技信息有限责任公司 | 一种基于遗传算法的分类规则阈值优化方法 |
CN113869513B (zh) * | 2021-09-17 | 2024-02-09 | 中林信达(北京)科技信息有限责任公司 | 一种基于遗传算法的分类规则阈值优化方法 |
CN114500048A (zh) * | 2022-01-26 | 2022-05-13 | 南方电网数字电网研究院有限公司 | 基于网络安全的外部威胁情报分析方法及系统 |
CN114500048B (zh) * | 2022-01-26 | 2023-10-03 | 南方电网数字电网研究院有限公司 | 基于网络安全的外部威胁情报分析方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Haller et al. | Tree‐sequence recording in SLiM opens new horizons for forward‐time simulation of whole genomes | |
Steinhauser et al. | Simulations of ram-pressure stripping in galaxy-cluster interactions | |
Kaur et al. | K-Medoid clustering algorithm-a review | |
Colléter et al. | Global overview of the applications of the Ecopath with Ecosim modeling approach using the EcoBase models repository | |
Dytham | Evolved dispersal strategies at range margins | |
Pearse et al. | Global patterns of leaf defenses in oak species | |
Fulton | Approaches to end-to-end ecosystem models | |
Rämö et al. | Economics of harvesting uneven-aged forest stands in Fennoscandia | |
CN111462183A (zh) | 一种基于注意力机制双流网络的行为识别方法及系统 | |
EP3317823A1 (en) | Method and apparatus for large scale machine learning | |
Ali et al. | A modified cultural algorithm with a balanced performance for the differential evolution frameworks | |
Borges et al. | Effects of site productivity on forest harvest scheduling subject to green-up and maximum area restrictions | |
Chauvet et al. | Using a forest dynamics model to link community assembly processes and traits structure | |
US8970593B2 (en) | Visualization and representation of data clusters and relations | |
Gong et al. | Two-path aggregation attention network with quad-patch data augmentation for few-shot scene classification | |
Smit et al. | Seaweeds in two oceans: beta-diversity | |
Siers et al. | Cost sensitive decision forest and voting for software defect prediction | |
US20170004417A1 (en) | Method of generating features optimal to a dataset and classifier | |
CN108985054A (zh) | 威胁情报分析方法和装置 | |
Xiao et al. | A transfer learning based classifier ensemble model for customer credit scoring | |
CN104077408B (zh) | 大规模跨媒体数据分布式半监督内容识别分类方法及装置 | |
Bastazini et al. | The impact of climate warming on species diversity across scales: Lessons from experimental meta‐ecosystems | |
CN103885977A (zh) | 一种网页数据的分类方法、装置和系统 | |
Erdmann et al. | A study of a firefly meta-heuristics for multithreshold image segmentation | |
Kaliontzopoulou et al. | Phylogenies, the comparative method, and the conflation of tempo and mode |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181211 |
|
RJ01 | Rejection of invention patent application after publication |