CN111125694B - 基于蚁群算法的威胁情报分析方法及系统 - Google Patents
基于蚁群算法的威胁情报分析方法及系统 Download PDFInfo
- Publication number
- CN111125694B CN111125694B CN201911332971.5A CN201911332971A CN111125694B CN 111125694 B CN111125694 B CN 111125694B CN 201911332971 A CN201911332971 A CN 201911332971A CN 111125694 B CN111125694 B CN 111125694B
- Authority
- CN
- China
- Prior art keywords
- pheromone
- information
- threat
- training sample
- ant colony
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Agricultural Chemicals And Associated Chemicals (AREA)
Abstract
本发明提供了一种基于蚁群算法的威胁情报分析方法及系统,涉及网络安全的技术领域,包括:先获取待检测主机的流量信息,然后利用蚁群算法信息素计算待检测主机的流量信息的目标信息素;若目标信息素达到预设阈值,则将待检测主机的流量信息确定为威胁情报。本发明先基于待检测主机的流量信息计算出与其对应的目标信息素,基于目标信息素这一个因素即可确定待检测主机的流量信息是威胁情报还是非威胁情报,可以应对复杂的流量信息,计算操作简单、节约了人力物力,且减少了分析时间。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种基于蚁群算法的威胁情报分析方法及系统。
背景技术
目前检测威胁情报的常规方法为通过人工经验进行筛选排查。由于不同人员的经验不在同一水平,因此存在对同一流量信息的分析具有不同判断结果的可能。此外,传统方法无法应对复杂的流量信息,且浪费了大量的人力物力,时间成本较高。
发明内容
本发明的目的在于提供一种基于蚁群算法的威胁情报分析方法及系统,可以应对复杂的流量信息,计算操作简单、节约了人力物力,且减少了分析时间。
本发明提供的一种基于蚁群算法的威胁情报分析方法,其中,包括:获取待检测主机的流量信息;利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素;若所述目标信息素达到预设阈值,则将所述待检测主机的流量信息确定为威胁情报。
进一步的,方法还包括:对所述威胁情报进行预处理,其中,所述预处理包括以下至少一种方式:阻断处理、沙箱保存处理。
进一步的,方法还包括:通过以下方式确定所述预设阈值:获取第一训练样本和第二训练样本;其中,所述第一训练样本用于表征确定为非威胁情报的流量信息样本,所述第二训练样本用于表征确定为威胁情报的流量信息样本;基于所述第一训练样本确定第一信息素矩阵;基于所述第二训练样本确定第二信息素矩阵;基于所述第一信息素矩阵和所述第二信息素矩阵中的信息素确定所述预设阈值。
进一步的,在基于所述第二训练样本确定第二信息素矩阵之后,方法还包括:获取目标测试样本;其中所述目标测试样本为去重后的测试样本;若所述目标测试样本为威胁情报,则利用蚁群算法信息素计算所述目标测试样本的信息素;基于所述目标测试样本的信息素更新所述第二信息素矩阵。
进一步的,基于所述第一训练样本确定第一信息素矩阵包括:对所述第一训练样本进行去重,得到去重后的第一训练样本;基于所述去重后的第一训练样本,训练蚁群算法的初始信息素矩阵,得到第一信息素矩阵。
进一步的,基于所述第二训练样本确定第二信息素矩阵包括:对所述第二训练样本进行去重,得到去重后的第二训练样本;基于所述去重后的第二训练样本,训练蚁群算法的初始信息素矩阵,得到第二信息素矩阵。
本发明提供的一种基于蚁群算法的威胁情报分析系统,其中,包括:获取模块,用于获取待检测主机的流量信息;计算模块,用于利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素;第一确定模块,用于若所述目标信息素达到预设阈值,则将所述待检测主机的流量信息确定为威胁情报。
进一步的,系统还包括:预处理模块,用于对所述威胁情报进行预处理,其中,所述预处理包括以下至少一种方式:阻断处理、沙箱保存处理。
本发明还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行计算机程序时实现所述的基于蚁群算法的威胁情报分析方法。
本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,其中,所述程序代码使所述处理器执行所述的基于蚁群算法的威胁情报分析方法。
本发明提供的一种基于蚁群算法的威胁情报分析方法及系统,包括:先获取待检测主机的流量信息,然后利用蚁群算法信息素计算待检测主机的流量信息的目标信息素;若目标信息素达到预设阈值,则将待检测主机的流量信息确定为威胁情报。本发明先基于待检测主机的流量信息计算出与其对应的目标信息素,基于目标信息素这一个因素即可确定待检测主机的流量信息是威胁情报还是非威胁情报,可以应对复杂的流量信息,计算操作简单、节约了人力物力,且减少了分析时间。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于蚁群算法的威胁情报分析方法的流程图;
图2为本发明实施例提供的另一种基于蚁群算法的威胁情报分析方法的流程图;
图3为确定预设阈值的流程图;
图4为本发明实施例提供的一种基于蚁群算法的威胁情报分析系统的结构示意图;
图5为本发明实施例提供的另一种基于蚁群算法的威胁情报分析系统的结构示意图。
图标:
11-获取模块;12-计算模块;13-第一确定模块;14-预处理模块;15-第二确定模块。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着信息技术的不断进步,涉及网络安全领域的犯罪越来越多,对群体和个人造成了严重的影响。实时、快速地获取线索已成为防止犯罪事件发生的一个关键点。然而,大量的威胁情报数据很难在短时间内经人工找出共同点,案件查找困难。因此,在警力有限的情况下,利用先进的网络安全技术对线索进行实时、快速的分析已成为亟待解决的问题。
目前检测威胁情报的常规方法是通过人工经验进行筛选排查,即根据以往经验对所有的网络访问以及本地操作等流量信息做出筛选排查,这种方法浪费了大量的人力物力,且并不能应对复杂且具有迷惑性的攻击手段,时间成本较高。
蚁群系统(Ant System,简称为AS)是20世纪90年代由意大利学者Dorigo、Maniezzo等人首先提出的。在研究蚂蚁觅食的过程中,他们发现蚁群作为一个整体体现了一些智能行为,例如蚁群可以在不同的环境中找到最短的食物来源路径。经过进一步的研究,发现这是因为蚂蚁沿途释放一种叫做信息素的物质。蚁群中的蚂蚁具有感知信息素的能力。它们会沿着信息素浓度较高的路径行走,每一只经过的蚂蚁都会留在路上。信息素形成了一种类似于正反馈的机制,它允许整个蚁群在一段时间后沿着最短的路径到达食物源。应用蚁群算法求解优化问题的基本思想是用蚁群的行走路径表示待优化问题的可行解,整个蚁群的所有路径构成待优化问题的解空间。路径较短的蚂蚁释放更多的信息素。随着时间的推移,短路径上积累的信息素浓度逐渐增加,选择这条路径的蚂蚁数量也在增加。最后,整个蚁群在正反馈作用下将注意力集中在最优路径上,从而对应于待优化问题的最优解。
基于此,本发明提供一种基于蚁群算法的威胁情报分析方法及系统,基于目标信息素这一个因素即可确定待检测主机的流量信息是威胁情报还是非威胁情报,可以应对复杂的流量信息,计算操作简单、节约了人力物力,且减少了分析时间。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于蚁群算法的威胁情报分析方法进行详细介绍。
实施例一:
参照图1,本发明实施例提供的一种基于蚁群算法的威胁情报分析方法,可以包括以下步骤:
步骤S101,获取待检测主机的流量信息。
在本发明实施例中,获取待检测主机的流量信息的设备包括但不限于:网络探针。其中,网络探针可以接入待检测主机,捕获待检测主机上的数据包,并对数据包进行过滤、分析,得到流量信息。流量信息可以包括以下至少一个关键词:访问端口行为、攻击频率、攻击重要度。其中,攻击重要度可以指蚁群算法中信息素的重要度。
步骤S102,利用蚁群算法信息素计算待检测主机的流量信息的目标信息素。
步骤S103,若目标信息素达到预设阈值,则将待检测主机的流量信息确定为威胁情报。
在本发明实施例中,流量信息可以是威胁情报,也可以是非威胁情报。在攻击者对待检测主机的系统进行恶意操纵、发送攻击操作指令或者发送内部数据访问时,所产生的流量信息为威胁情报。威胁情报旨在为面临威胁的待检测主机中的资产提供全面的、准确的信息。其中,漏洞库、指纹库、IP信誉库等均是威胁情报的一部分。威胁情报中的情报可以指线索,威胁情报可以指为了还原已经发生的攻击时间和预测未发生的攻击所需要的一切线索。在将流量信息确定为威胁情报之后,该流量信息的特征信息为威胁情报特征信息。
本发明实施例利用训练好的蚁群算法计算待检测主机的流量信息的目标信息素。当获取到待检测主机的流量信息时,可以将流量信息对应的目标信息素与预设阈值进行比较,如果大于等于预设阈值,则表明该待检测主机的流量信息是一次带有威胁性质的攻击行为,然后立刻阻断或者沙箱保存。如果小于预设阈值,则将该待检测主机的流量信息放过,允许该流量信息对应的访问行为通过。
本发明实施例提供的一种基于蚁群算法的威胁情报分析方法,包括:先获取待检测主机的流量信息,然后利用蚁群算法信息素计算待检测主机的流量信息的目标信息素;若目标信息素达到预设阈值,则将待检测主机的流量信息确定为威胁情报。本发明实施例先基于待检测主机的流量信息计算出与其对应的目标信息素,基于目标信息素这一个因素即可确定待检测主机的流量信息是威胁情报还是非威胁情报,可以应对复杂的流量信息,计算操作简单、节约了人力物力,且减少了分析时间。
进一步的,参照图2,方法还包括:
步骤S104,对威胁情报进行预处理,其中,预处理包括以下至少一种方式:阻断处理、沙箱保存处理。
参照图3,方法还包括:通过以下方式确定预设阈值,即:
步骤S301,获取第一训练样本和第二训练样本。
其中,第一训练样本用于表征确定为非威胁情报的流量信息样本,第二训练样本用于表征确定为威胁情报的流量信息样本。
在本发明实施例中,第一训练样本和第二训练样本所包括的信息均可以来源于部署在各个网络端口的网络探针。其中,网络探针包括硬探针和软探针。上述两种探针均可以获取流量信息,例如主机接口变动信息,主机资产变动信息,主机端口信息以及主机访问信息等。先获取各个网络端口的流量信息,然后筛选出带有威胁的流量信息,即可以完成对第一训练样本与第二训练样本的分类。第二训练样本是网络端口所对应的主机(云平台,大数据或移动设备)上已有数据资产造成攻击并有所损失的流量信息样本,步骤S301主要是搜集已知的威胁情报,便于后期利用威胁情报对应的第二训练样本对蚁群算法进行训练。
步骤S302,基于第一训练样本确定第一信息素矩阵。
具体的,步骤S302包括以下步骤:对第一训练样本进行去重,得到去重后的第一训练样本;基于去重后的第一训练样本,训练蚁群算法的初始信息素矩阵,得到第一信息素矩阵。
步骤S303,基于第二训练样本确定第二信息素矩阵。
具体的,步骤S303包括以下步骤:对第二训练样本进行去重,得到去重后的第二训练样本;基于去重后的第二训练样本,训练蚁群算法的初始信息素矩阵,得到第二信息素矩阵。
在本发明实施例中,步骤S302和步骤S303的操作是一样的,都包括去重和训练两个操作。区别点是操作对象不同:步骤S302的操作对象是第一训练样本,步骤S303的操作对象是第二训练样本。
具体的,去重操作的目的是实现第一训练样本、第二训练样本的清洗,去除冗余的第一训练样本、第二训练样本。例如,重复连接访问同一主机的PING联通数据。去重操作可以提高数据分析的效率,保证数据的准确性。
具体的,以第二训练样本为例,实现分类的具体过程如下:在训练蚁群算法的过程中,可以得到第二信息素矩阵,该第二信息素矩阵中包含多个信息素。本发明实施例可以根据信息素的数值大小确定威胁情报的等级,本发明实施例对等级的个数不做具体限定,也对各等级之间的信息素的数值大小也不做具体限定。
传统特征提取技术包括生硬的文本提取和死板的人工提取方式。本发明实施例对威胁情报的提取不再采用传统特征提取技术,而是对威胁情报的攻击操作过程进行分析,将其变为可提取的信息素集合,即第二信息素矩阵。本发明实施例基于第二信息素矩阵中的信息素可以聚合成关联的攻击关系,提高威胁情报排查的准确性和丰富性,更快速的得出线索,减少人力投入,减少分析时间,进而帮助单位、网站尽早知晓攻击方,避免用户损失,还可以帮助警方侦查调查案件。
为了保证确定结果的有效性,本发明实施例添加一个对比实验以去除步骤S303第二信息素矩阵中无效的信息素,即添加步骤S302将一组正常的流量操作输入到系统中,经过相同的处理,得到正常通信行为的一些特征信息。将正常通信行为的特征信息与威胁情报的特征信息进行比较,去除威胁情报中包含的正常通信行为的特征信息,避免发生误判。
上述步骤S302基于第一训练样本可以确定非威胁情报的特征信息、第一信息素矩阵,步骤S303基于第二训练样本可以确定威胁情报的特征信息、第二信息素矩阵。在确定非威胁情报的特征信息和威胁情报的特征信息之后,可以对第一信息素矩阵和第二信息素矩阵进行比对,可以防止第二训练样本中掺杂非威胁情报,也可以防止第一训练样本中掺杂威胁情报,因此本发明实施例可以提高判定威胁情报的准确率、克服了系统复杂性。
步骤S304,基于第一信息素矩阵和第二信息素矩阵中的信息素确定预设阈值。
在本发明实施例中,蚁群算法可以指精英蚁群算法。精英蚁群算法信息素可以基于第二训练样本进行计算。在计算过程中,可以基于出现第二训练样本对应的攻击手段、攻击路径的频率确定该第二训练样本的信息素。
其中,精英蚁群算法的公式如下:
其中,
表示经过攻击方i到受攻击方j这条边的信息素的更新值,Q表示凭经验设定的一个参数,通常置为1,Cbs为第二训练样本的流量信息,i和j分别表示第二训练样本中的攻击方和受攻击方,component(i,j)表示蚂蚁走的攻击方i到受攻击方j的一条边。另外,精英蚂蚁更新完自己所走路径上的信息素之后,还要重复一遍信息素的更新过程,信息素更新的公式如下所示:
其中,τij为攻击方i到受攻击方j的信息素,用于构建第二信息素矩阵,m表示蚂蚁的总数,e可以在0和1之间取值。
本发明实施例对每一个主机的位置进行编号,信息素在第二信息素矩阵中的位置用于表示攻击路径,信息素所在的行表示攻击方,信息素所在的列表示受攻击方。例如,第二信息素矩阵为X,第二信息素矩阵中的元素x(i,j)表示当前编号为i的攻击方与当前编号为j的受攻击方之间的信息素。精英蚁群算法的具体训练过程在此不作具体赘述。精英蚁群算法可以实现在威胁情报中寻找关联度高的恶意威胁情报关键词。该关键词是指对主机上的系统或者信息资产造成伤害或者信息泄露的系统交互行为或者API(ApplicationProgramming Interface,应用程序编程接口)调用,关键词包括:含有危险攻击行为的系统指令,对系统进行越权访问以及对系统的信息进行拦截转发和存储等。由于正常通信行为不会对主机系统带来危害,恶意威胁情报(或称为:恶意流量访问)会对用户造成危害,因此首要工作就是基于第二训练样本确定威胁情报的特征信息,确定的威胁情报的特征信息可以用于检测其他流量信息中的交互行为。
参照图3,在步骤S303之后,方法还包括:
步骤S305,获取目标测试样本。
其中,目标测试样本为去重后的测试样本。
步骤S306,若目标测试样本为威胁情报,则利用蚁群算法信息素计算目标测试样本的信息素。
步骤S307,基于目标测试样本的信息素更新第二信息素矩阵。
在本发明实施例中,若目标测试样本为威胁情报,且目标测试样本对应的信息素并不存在于第二信息素矩阵中。因此,可以利用目标测试样本对蚁群算法进行测试,实时扩充第二信息素矩阵,添加威胁情报的新的特征信息。蚁群算法可以提取信息素较高的流量信息对应的威胁情报特征信息,对复杂或带有混淆攻击手段的威胁情报具有提升侦测能力的功能。
本发明实施例先基于待检测主机的流量信息计算出与其对应的目标信息素,基于目标信息素这一个因素即可确定待检测主机的流量信息是威胁情报还是非威胁情报,并且可以将攻击手段和攻击路径自动统计出来。本发明实施例克服了以往人工查漏补缺的常规方法的缺陷,可以应对复杂的流量信息,计算操作简单、节约了人力物力,且减少了分析时间。
实施例二:
参照图4,本发明实施例提供的一种基于蚁群算法的威胁情报分析系统,可以包括以下模块:
获取模块11,用于获取待检测主机的流量信息;
计算模块12,用于利用蚁群算法信息素计算待检测主机的流量信息的目标信息素;
第一确定模块13,用于若目标信息素达到预设阈值,则将待检测主机的流量信息确定为威胁情报。
本发明实施例提供的一种基于蚁群算法的威胁情报分析系统,包括:先利用获取模块获取待检测主机的流量信息,然后利用蚁群算法信息素计算公式和计算模块计算出待检测主机的流量信息的目标信息素;若目标信息素达到预设阈值,则利用第一确定模块将待检测主机的流量信息确定为威胁情报。本发明实施例先基于待检测主机的流量信息计算出与其对应的目标信息素。由于基于目标信息素这一个因素即可确定待检测主机的流量信息是威胁情报还是非威胁情报,可以应对复杂的流量信息,计算操作简单、节约了人力物力,且减少了分析时间。
进一步的,参照图5,系统还包括:
预处理模块14,用于对威胁情报进行预处理,其中,预处理包括以下至少一种方式:阻断处理、沙箱保存处理。
进一步的,参照图5,系统还包括:第二确定模块15,用于通过以下方式确定预设阈值,其中第二确定模块15包括:
第一获取子模块,用于获取第一训练样本和第二训练样本;其中,第一训练样本用于表征确定为非威胁情报的流量信息样本,第二训练样本用于表征确定为威胁情报的流量信息样本;
第一确定子模块,用于基于第一训练样本确定第一信息素矩阵;
第二确定子模块,用于基于第二训练样本确定第二信息素矩阵;
第三确定子模块,用于基于第一信息素矩阵和第二信息素矩阵中的信息素确定预设阈值。
进一步的,第二确定模块15还包括:
第二获取子模块,用于获取目标测试样本;其中目标测试样本为去重后的测试样本;
计算子模块,用于若目标测试样本为威胁情报,则利用蚁群算法信息素计算目标测试样本的信息素;
更新子模块,用于基于目标测试样本的信息素更新第二信息素矩阵。
进一步的,第一确定子模块包括:
第一去重单元,用于对第一训练样本进行去重,得到去重后的第一训练样本;
第一训练单元,用于基于去重后的第一训练样本,训练蚁群算法的初始信息素矩阵,得到第一信息素矩阵。
进一步的,第二确定子模块包括:
第二去重单元,用于对第二训练样本进行去重,得到去重后的第二训练样本;
第二训练单元,用于基于去重后的第二训练样本,训练蚁群算法的初始信息素矩阵,得到第二信息素矩阵。
在本发明的又一实施例中,还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法实施例所述方法的步骤。
在本发明的又一实施例中,还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行方法实施例所述方法。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (9)
1.一种基于蚁群算法的威胁情报分析方法,其特征在于,包括:
获取待检测主机的流量信息;
利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素;
若所述目标信息素达到预设阈值,则将所述待检测主机的流量信息确定为威胁情报;
其中,通过以下方式确定所述预设阈值:
获取第一训练样本和第二训练样本;其中,所述第一训练样本用于表征确定为非威胁情报的流量信息样本,所述第二训练样本用于表征确定为威胁情报的流量信息样本;
基于所述第一训练样本确定第一信息素矩阵和非威胁情报的特征信息;
基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息;所述第二信息素矩阵是对所述第二训练样本对应的威胁情报的攻击操作过程进行分析得到的;
基于所述非威胁情报的特征信息和所述威胁情报的特征信息,对所述第一信息素矩阵和所述第二信息素矩阵进行比对,得到去除威胁情报的信息素的第一信息素矩阵和去除非威胁情报的信息素的第二信息素矩阵;
基于所述去除威胁情报的信息素的第一信息素矩阵和所述去除非威胁情报的信息素的第二信息素矩阵中的信息素确定所述预设阈值。
2.根据权利要求1所述的基于蚁群算法的威胁情报分析方法,其特征在于,方法还包括:
对所述威胁情报进行预处理,其中,所述预处理包括以下至少一种方式:阻断处理、沙箱保存处理。
3.根据权利要求1所述的基于蚁群算法的威胁情报分析方法,其特征在于,在基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息之后,方法还包括:
获取目标测试样本;其中所述目标测试样本为去重后的测试样本;
若所述目标测试样本为威胁情报,则利用蚁群算法信息素计算所述目标测试样本的信息素;
基于所述目标测试样本的信息素更新所述第二信息素矩阵。
4.根据权利要求1所述的基于蚁群算法的威胁情报分析方法,其特征在于,基于所述第一训练样本确定第一信息素矩阵和非威胁情报的特征信息包括:
对所述第一训练样本进行去重,得到去重后的第一训练样本;
基于所述去重后的第一训练样本,训练蚁群算法的初始信息素矩阵,得到第一信息素矩阵。
5.根据权利要求1所述的基于蚁群算法的威胁情报分析方法,其特征在于,基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息包括:
对所述第二训练样本进行去重,得到去重后的第二训练样本;
基于所述去重后的第二训练样本,训练蚁群算法的初始信息素矩阵,得到第二信息素矩阵。
6.一种基于蚁群算法的威胁情报分析系统,其特征在于,包括:
获取模块,用于获取待检测主机的流量信息;
计算模块,用于利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素;
第一确定模块,用于若所述目标信息素达到预设阈值,则将所述待检测主机的流量信息确定为威胁情报;
其中,所述第一确定模块通过以下方式确定所述预设阈值:
获取第一训练样本和第二训练样本;其中,所述第一训练样本用于表征确定为非威胁情报的流量信息样本,所述第二训练样本用于表征确定为威胁情报的流量信息样本;
基于所述第一训练样本确定第一信息素矩阵和非威胁情报的特征信息;
基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息;所述第二信息素矩阵是对所述第二训练样本对应的威胁情报的攻击操作过程进行分析得到的;
基于所述非威胁情报的特征信息和所述威胁情报的特征信息,对所述第一信息素矩阵和所述第二信息素矩阵进行比对,得到去除威胁情报的信息素的第一信息素矩阵和去除非威胁情报的信息素的第二信息素矩阵;
基于所述去除威胁情报的信息素的第一信息素矩阵和所述去除非威胁情报的信息素的第二信息素矩阵中的信息素确定所述预设阈值。
7.根据权利要求6所述的基于蚁群算法的威胁情报分析系统,其特征在于,系统还包括:
预处理模块,用于对所述威胁情报进行预处理,其中,所述预处理包括以下至少一种方式:阻断处理、沙箱保存处理。
8.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现如权利要求1至5任一项所述的方法。
9.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911332971.5A CN111125694B (zh) | 2019-12-20 | 2019-12-20 | 基于蚁群算法的威胁情报分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911332971.5A CN111125694B (zh) | 2019-12-20 | 2019-12-20 | 基于蚁群算法的威胁情报分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111125694A CN111125694A (zh) | 2020-05-08 |
| CN111125694B true CN111125694B (zh) | 2023-01-20 |
Family
ID=70500979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911332971.5A Active CN111125694B (zh) | 2019-12-20 | 2019-12-20 | 基于蚁群算法的威胁情报分析方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111125694B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741025B (zh) * | 2020-08-06 | 2020-11-20 | 中国人民解放军国防科技大学 | 基于数字蚁群的网络安全主动防御方法、存储介质和系统 |
| CN112019519B (zh) * | 2020-08-06 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 网络安全情报威胁度的检测方法、装置和电子装置 |
| CN113691525A (zh) * | 2021-08-23 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种流量数据处理方法、装置、设备及存储介质 |
| CN116389083A (zh) * | 2023-03-15 | 2023-07-04 | 中国华能集团有限公司北京招标分公司 | 一种威胁情报使用方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248528B (zh) * | 2012-02-10 | 2017-08-11 | 上海度云信息技术有限公司 | 一种基于蚁群寻优及分层dpi的网络流量检测方法 |
| CN109981526A (zh) * | 2017-12-27 | 2019-07-05 | 中移(杭州)信息技术有限公司 | 一种确定网络攻击源的方法、装置、介质及设备 |
| CN108594075B (zh) * | 2018-04-28 | 2020-08-21 | 国网安徽省电力公司 | 基于改进蚁群算法的配电网停电故障定位方法 |
-
2019
- 2019-12-20 CN CN201911332971.5A patent/CN111125694B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111125694A (zh) | 2020-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111125694B (zh) | 基于蚁群算法的威胁情报分析方法及系统 | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN113542279B (zh) | 一种网络安全风险评估方法、系统及装置 | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| WO2017152877A1 (zh) | 网络威胁事件评估方法及装置 | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| Rochmadi et al. | Live forensics for anti-forensics analysis on private portable web browser | |
| CN112039841A (zh) | 安全事件归并处理方法、装置、电子设备及存储介质 | |
| CN107508816A (zh) | 一种攻击流量防护方法及装置 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| Kim et al. | Behavior-based anomaly detection on big data | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN110598959A (zh) | 一种资产风险评估方法、装置、电子设备及存储介质 | |
| CN114285639A (zh) | 一种网站安全防护方法及装置 | |
| CN114679327A (zh) | 网络攻击等级确定方法、装置、计算机设备和存储介质 | |
| CN110611673B (zh) | Ip信用计算方法、装置、电子设备及介质 | |
| CN112751863B (zh) | 一种攻击行为分析方法及装置 | |
| CN116248397A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
| KR102433581B1 (ko) | 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법 | |
| CN108351940B (zh) | 用于信息安全事件的高频启发式数据获取与分析的系统和方法 | |
| CN110489611B (zh) | 一种智能的线索分析方法及系统 | |
| CN114726623A (zh) | 一种高级威胁攻击评估方法、装置、电子设备及存储介质 | |
| CN114817928A (zh) | 网络空间数据融合分析方法、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |