CN111160749B - 一种情报质量评估和情报融合方法及装置 - Google Patents

一种情报质量评估和情报融合方法及装置 Download PDF

Info

Publication number
CN111160749B
CN111160749B CN201911340849.2A CN201911340849A CN111160749B CN 111160749 B CN111160749 B CN 111160749B CN 201911340849 A CN201911340849 A CN 201911340849A CN 111160749 B CN111160749 B CN 111160749B
Authority
CN
China
Prior art keywords
information
intelligence
source
evidence
feature set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911340849.2A
Other languages
English (en)
Other versions
CN111160749A (zh
Inventor
孙建鹏
张宏斌
叶建伟
周素华
张宇娜
范敦球
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN201911340849.2A priority Critical patent/CN111160749B/zh
Publication of CN111160749A publication Critical patent/CN111160749A/zh
Application granted granted Critical
Publication of CN111160749B publication Critical patent/CN111160749B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06395Quality analysis or management
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Educational Administration (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种情报质量评估和情报融合方法及装置,用以解决现有的威胁情报数据融合方法在情报融合过程中无法保证威胁情报数据的质量和融合后的情报的质量的问题。所述情报质量评估方法,包括:接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分;根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。

Description

一种情报质量评估和情报融合方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种情报质量评估和情报融合方法及装置。
背景技术
威胁情报在网络安全中扮演着重要的角色,安全设备结合威胁情报数据的使用才能发挥更大的作用,公司的安全运营结合威胁情报数据能够快速响应安全事件,通过安全事件提高安全运营的效率。然而,如果威胁情报数据的质量过低,则将会降低安全运营服务的服务质量,目前,没有有效的保证威胁情报数据质量的方法。
随着威胁情报数据源的日益多元化,威胁情报数据融合起着越来越重要的作用。现有的威胁情报数据融合技术,仅仅从字段层面简单的对多源威胁情报数据进行合并,由于融合过程中无法保证威胁情报数据的质量,使得合并后的情报的质量也无法得到保障。
发明内容
为了解决现有的情报融合方法在情报融合过程中无法保证情报的质量和融合后的情报的质量的问题,本发明实施例提供了一种情报质量评估和情报融合方法及装置。
第一方面,本发明实施例提供了一种情报质量评估方法,包括:
接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分;
根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。
本发明实施例提供的情报质量评估方法中,服务器接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据,针对每一情报源,确定的所述情报源的可信度评分和所述情报源中的各情报的可信度评分,根据所述情报源的可信度评分和所述情报源中的各情报的可信度评分评估所述情报源中的各情报的质量,根据本发明实施例提供的上述情报质量评估方法,根据情报源的可信度评分和情报源输出的情报的可信度评分评估情报源输出的所述情报的质量,经过质量评估的情报越多,情报源本身的可信度也越接近真实情况,使得情报质量的评估更加准确,以使得后续情报融合过程中能够保证情报的质量,进而保证融合后的情报的质量。
较佳地,针对每一情报源,确定所述情报源中的各情报的可信度评分,具体包括:
针对每一情报源中的每一情报,通过以下步骤确定所述情报的可信度评分:
确定所述情报源中的所述情报的各证据的置信度评分;
根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分。
较佳地,如果有若干情报源输出所述情报,则确定所述情报源中的所述情报的各证据的置信度评分,具体包括:
根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合;
确定所述情报的多重证据集合中的各证据的置信度评分。
较佳地,针对每一情报源中的每一情报,根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合,具体包括:
通过以下公式确定所述情报的多重证据集合:
其中,M表示所述情报的多重证据集合,j=1,2,...,m,m表示输出所述情报的情报源的个数;
Bj表示第j个输出所述情报的情报源中的所述情报的证据集合;
Ej,i表示所述第j个输出所述情报的情报源中的所述情报的第i个证据,i=1,2,...,n,n表示所述第j个输出所述情报的情报源中的所述情报的证据的个数。
较佳地,初始时,为每一证据设置一个初始置信度评分;
确定所述情报的多重证据集合中的各证据的置信度评分,具体包括:
当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则确定所述证据的当前置信度评分;
判断所述证据的当前置信度评分是否大于所述证据的上一历史置信度评分;
如果是,则利用所述当前置信度评分更新所述上一历史置信度评分;
否则,保持所述证据的置信度评分不变。
较佳地,当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则通过以下公式计算所述证据的当前置信度评分:
其中,r表示所述证据的当前置信度评分;
ra表示所述证据的上一历史平均置信度评分;
rk表示来自于第k个输出所述情报的情报源的所述证据的上一历史置信度评分,k=1,2,...,p,p表示输出包含所述证据的情报的情报源的个数;
β表示置信度收敛系数。
较佳地,根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分,具体包括:
通过以下公式计算所述情报源中所述情报的可信度评分:
其中,Rl表示所述情报源中第l个情报的可信度评分,l=1,2,...,q,q表示所述情报源中的情报的个数;
rl,0表示所述情报源中第l个情报的证据的置信度评分的最大值;
rl,i表示所述情报源中第l个情报的第i个证据的可信度评分的衰减值,i=1,2,...,n,n表示所述情报源中第l个情报的证据的个数,rl,a表示所述情报源中第l个情报的证据的可信度评分的平均衰减值;
其中,t表示当前时间,ti,0表示所述情报源中第l个情报的第i个证据的输出时间,其中,如果有多个不同输出所述情报的情报源提供所述证据时,则/>tk表示来自于第k个输出所述情报的情报源的所述证据的输出时间,p表示输出包含所述证据的情报的情报源的个数,α表示可信度衰减系数,γ表示可信度收敛系数。
较佳地,初始时,为每一情报源设置一个初始可信度评分;
针对每一情报源,确定所述情报源的可信度评分,具体包括:
通过以下公式计算所述情报源的可信度评分:
其中,Ir表示所述情报源的可信度评分;
v表示所述情报源历史评分总次数;
m表示所述情报源评分影响数;
C表示所述情报源的历史平均可信度评分;
Ra表示所有情报源的上一历史平均可信度评分,Rl表示第l个情报源的可信度评分,r=1,2,...,s,s表示情报源的个数。
较佳地,根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量,具体包括:
通过以下公式计算所述各情报的质量:
Rl'=a*Ir+b*Rl
其中,Rl'表示所述情报源中第l个情报的质量,l=1,2,...,q,q表示所述情报源中的情报的个数;
Ir表示所述情报源的可信度评分,a表示Ir的权重;
Rl表示所述情报源中第l个情报的可信度评分,b表示Rl的权重。
第二方面,本发明实施例提供了一种情报质量评估装置,包括:
接收单元,用于接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
确定单元,用于针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分;
评估单元,用于根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。
较佳地,所述确定单元,具体用于针对每一情报源中的每一情报,通过以下步骤确定所述情报的可信度评分:确定所述情报源中的所述情报的各证据的置信度评分;根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分。
较佳地,所述确定单元,具体用于如果有若干情报源输出所述情报,则根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合;确定所述情报的多重证据集合中的各证据的置信度评分。
较佳地,所述确定单元,具体用于针对每一情报源中的每一情报,通过以下公式确定所述情报的多重证据集合:
其中,M表示所述情报的多重证据集合,j=1,2,...,m,m表示输出所述情报的情报源的个数;
Bj表示第j个输出所述情报的情报源中的所述情报的证据集合;
Ej,i表示所述第j个输出所述情报的情报源中的所述情报的第i个证据,i=1,2,...,n,n表示所述第j个输出所述情报的情报源中的所述情报的证据的个数。
较佳地,初始时,为每一证据设置一个初始置信度评分;
所述确定单元,具体用于当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则确定所述证据的当前置信度评分;判断所述证据的当前置信度评分是否大于所述证据的上一历史置信度评分;如果是,则利用所述当前置信度评分更新所述上一历史置信度评分;否则,保持所述证据的置信度评分不变。
较佳地,所述确定单元,具体用于当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则通过以下公式计算所述证据的当前置信度评分:
其中,r表示所述证据的当前置信度评分;
ra表示所述证据的上一历史平均置信度评分;
rk表示来自于第k个输出所述情报的情报源的所述证据的上一历史置信度评分,k=1,2,...,p,p表示输出包含所述证据的情报的情报源的个数;
β表示置信度收敛系数。
较佳地,所述确定单元,具体用于通过以下公式计算所述情报源中所述情报的可信度评分:
其中,Rl表示所述情报源中第l个情报的可信度评分,l=1,2,...,q,q表示所述情报源中的情报的个数;
rl,0表示所述情报源中第l个情报的证据的置信度评分的最大值;
rl,i表示所述情报源中第l个情报的第i个证据的可信度评分的衰减值,i=1,2,...,n,n表示所述情报源中第l个情报的证据的个数,rl,a表示所述情报源中第l个情报的证据的可信度评分的平均衰减值;
其中,t表示当前时间,ti,0表示所述情报源中第l个情报的第i个证据的输出时间,其中,如果有多个不同输出所述情报的情报源提供所述证据时,则/>tk表示来自于第k个输出所述情报的情报源的所述证据的输出时间,p表示输出包含所述证据的情报的情报源的个数,α表示可信度衰减系数,γ表示可信度收敛系数。
较佳地,初始时,为每一情报源设置一个初始可信度评分;
所述确定单元,具体用于通过以下公式计算所述情报源的可信度评分:
其中,Ir表示所述情报源的可信度评分;
v表示所述情报源历史评分总次数;
m表示所述情报源评分影响数;
C表示所述情报源的历史平均可信度评分;
Ra表示所有情报源的上一历史平均可信度评分,Rl表示第l个情报源的可信度评分,r=1,2,...,s,s表示情报源的个数。
较佳地,所述评估单元,具体用于通过以下公式计算所述各情报的质量:
Rl'=a*Ir+b*Rl
其中,Rl'表示所述情报源中第l个情报的质量,l=1,2,...,q,q表示所述情报源中的情报的个数;
Ir表示所述情报源的可信度评分,a表示Ir的权重;
Rl表示所述情报源中第l个情报的可信度评分,b表示Rl的权重。
本发明提供的情报质量评估装置的技术效果可以参见上述第一方面或第一方面的各个实现方式的技术效果,此处不再赘述。
第三方面,本发明实施例提供了一种情报融合方法,包括:
接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
根据第一方面提供的所述情报质量评估方法评估所述情报,确定所述情报的质量;
当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征;
将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱,其中,所述情报知识图谱用于表征情报的特征之间的关联关系;
根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
本发明实施例提供的情报融合方法中,当接收到情报源输出的情报时,根据本发明实施例提供的质量评估方法对情报进行评估,确定所述情报的质量,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据,当情报的质量大于等于预设阈值时,按照预设特征抽取规则抽取所述情报的特征,将所述情报的特征与建立的用于表征情报的特征之间的关联关系的情报知识图谱中相关联的情报的特征进行连接,更新情报知识图谱,进而,根据情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报,根据本发明实施例提供的情报融合方法,在进行情报融合之前,首先评估情报的质量,当情报的质量满足要求时,再根据建立的表征情报的特征之间的关联关系的情报知识图谱进行情报融合,在融合过程中保证了情报的质量和融合后的情报的质量。
较佳地,根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,具体包括:
根据第一个情报的特征值和第二情报的特征值确定所述第一情报和所述第二情报之间的相似度;
当确定所述相似度大于等于第二预设阈值时,将所述第一情报和所述第二情报进行融合。
较佳地,通过以下步骤确定所述第一情报和所述第二情报的特征值:
获取所述第一情报的第一特征集合和所述第二情报的第二特征集合,所述第一特征集合中的各特征和所述第二特征集合中的各特征分别按照预设格式进行排列;
将所述第一特征集合和所述第二特征集合取并集获得第三特征集合;
将所述第三特征集合确定为所述第一情报的第四特征集合,以及将所述第三特征集合确定为所述第二情报的第五特征集合;
根据所述第一特征集合中的特征对所述第四特征集合特征进行向量赋值,以及根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值。
较佳地,根据所述第一特征集合中的特征对所述第四特征集合中的特征进行向量赋值,具体包括:
将所述第四特征集合中与所述第一特征集合中的特征相同的特征赋值为向量1,将所述第四特征集合中与所述第一特征集合中的特征不同的特征赋值为向量0;
根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值,具体包括:
将所述第五特征集合中与所述第二特征集合中的特征相同的特征赋值为向量1,将所述第五特征集合中与所述第二特征集合中的特征不同的特征赋值为向量0。
较佳地,根据第一个情报的特征值和第二情报的特征值确定所述第一情报和所述第二情报之间的相似度,具体包括:
通过以下公式计算所述第一情报和所述第二情报之间的相似度:
其中,D表示所述第一情报和所述第二情报之间的相似度;
x1d表示所述第四特征集合中的第d个特征值;
x2d表示所述第五特征集合中的第d个特征值;
d=1,2,...,N,N表示所述第四特征集合中的特征的个数或者所述第五特征集合中的特征的个数。
第四方面,本发明实施例提供了一种情报融合装置,包括:
接收单元,用于接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
确定单元,用于根据第一方面提供的所述情报质量评估方法评估所述情报,确定所述情报的质量;
抽取单元,用于当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征;
更新单元,用于将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱,其中,所述情报知识图谱用于表征情报的特征之间的关联关系;
融合单元,用于根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
较佳地,所述融合单元,具体用于根据第一个情报的特征值和第二情报的特征值确定所述第一情报和所述第二情报之间的相似度;当确定所述相似度大于等于第二预设阈值时,将所述第一情报和所述第二情报进行融合。
较佳地,所述融合单元,具体用于通过以下步骤确定所述第一情报和所述第二情报的特征值:
获取所述第一情报的第一特征集合和所述第二情报的第二特征集合,所述第一特征集合中的各特征和所述第二特征集合中的各特征分别按照预设格式进行排列;
将所述第一特征集合和所述第二特征集合取并集获得第三特征集合;
将所述第三特征集合确定为所述第一情报的第四特征集合,以及将所述第三特征集合确定为所述第二情报的第五特征集合;
根据所述第一特征集合中的特征对所述第四特征集合特征进行向量赋值,以及根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值。
较佳地,所述融合单元,具体用于将所述第四特征集合中与所述第一特征集合中的特征相同的特征赋值为向量1,将所述第四特征集合中与所述第一特征集合中的特征不同的特征赋值为向量0;将所述第五特征集合中与所述第二特征集合中的特征相同的特征赋值为向量1,将所述第五特征集合中与所述第二特征集合中的特征不同的特征赋值为向量0。
较佳地,所述融合单元,具体用于通过以下公式计算所述第一情报和所述第二情报之间的相似度:
其中,D表示所述第一情报和所述第二情报之间的相似度;
x1d表示所述第四特征集合中的第d个特征值;
x2d表示所述第五特征集合中的第d个特征值;
d=1,2,...,N,N表示所述第四特征集合中的特征的个数或者所述第五特征集合中的特征的个数。
本发明提供的情报融合装置的技术效果可以参见上述第三方面或第三方面的各个实现方式的技术效果,此处不再赘述。
第五方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明所述的情报质量评估方法或情报融合方法。
第六方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明所述的情报质量评估方法或情报融合中的步骤。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的情报质量评估方法的实施流程示意图;
图2为本发明实施例中,确定情报源中的情报的可信度评分的实施流程示意图;
图3为本发明实施例中,确定情报源中的情报的各证据的置信度评分的实施流程示意图;
图4为本发明实施例中,确定情报的多重证据集合中的各证据的置信度评分的实施流程示意图;
图5为本发明实施例提供的情报质量评估装置的结构示意图;
图6为本发明实施例提供的情报融合方法的实施流程示意图;
图7为本发明实施例中,情报特征抽取示例示意图;
图8为本发明实施例中,每两个情报进行融合的实施流程示意图;
图9为本发明实施例中,确定第一情报和第二情报的特征值的实施流程示意图;
图10本发明实施例提供的情报融合装置的结构示意图;
图11为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为了解决现有的情报融合方法在情报融合过程中无法保证情报的质量和融合后的情报的质量的问题,本发明实施例提供了一种情报质量评估和情报融合方法及装置。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
如图1所示,其为本发明实施例提供的情报质量评估方法的实施流程示意图,可以包括以下步骤:
S11、接收情报源输出的情报。
具体实施时,服务器接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报。威胁情报数据源是指有能力生成威胁情报数据的平台。威胁情报源可以通过以下几种方式生成威胁情报:通过数据分析挖掘,使用安全设备数据产生威胁情报;通过数据分析挖掘,使用网络流量数据产生威胁情报;通过爬虫获取开源的威胁情报;通过对基础情报进行分析获取高级威胁情报;威胁情报厂商购买威胁情报数据等。
S12、针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分。
具体实施时,按照如图2所示的流程确定所述情报源中的各情报的可信度评分,可以包括以下步骤:
S21、针对每一情报源中的每一情报,确定所述情报源中的所述情报的各证据的置信度评分。
具体实施时,针对每一情报源中的每一情报,如果有若干情报源输出所述情报,则按照如图3所示的流程确定情报源中的所述情报的各证据的置信度评分,可以包括以下步骤:
S31、针对每一情报源中的每一情报,根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合。
具体实施时,可以通过一些公式确定所述情报的多重证据集合:
其中,M表示所述情报的多重证据集合,j=1,2,...,m,m表示输出所述情报的情报源的个数;
Bj表示第j个输出所述情报的情报源中的所述情报的证据集合;
Ej,i表示所述第j个输出所述情报的情报源中的所述情报的第i个证据,i=1,2,...,n,n表示所述第j个输出所述情报的情报源中的所述情报的证据的个数。
例如,情报源1、情报源2和情报源3均输出一条相同的情报A,情报源1中情报A的证据集合B1=(a1,a2,a3),情报源2中情报A的证据集合B2=(a1,a2),情报源3中情报A的证据集合B3=(a3,a4,a5),则情报A的多重证据集合M=(a1,a2,a3,a4,a5)。
S32、确定所述情报的多重证据集合中的各证据的置信度评分。
具体实施时,初始时,服务器为每一证据设置一个初始置信度评分。按照如图4所示的流程确定情报的多重证据集合中的各证据的置信度评分,可以包括以下步骤:
S41、当确定情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则确定所述证据的当前置信度评分。
具体实施时,服务器当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则通过以下公式计算所述证据的当前置信度评分:
其中,r表示所述证据的当前置信度评分;
ra表示所述证据的上一历史平均置信度评分;
rk表示来自于第k个输出所述情报的情报源的所述证据的上一历史置信度评分,k=1,2,...,p,p表示输出包含所述证据的情报的情报源的个数;
β表示置信度收敛系数。
具体实施时,置信度收敛系数β是一个常量,可以根据经验自行设定,例如,β可以取值为9.98,本发明实施例对此不作限定。
S42、判断所述证据的当前置信度评分是否大于所述证据的上一历史置信度评分,如果是,则执行步骤S43,否则,执行步骤S44。
具体实施时,服务器判断所述证据的当前置信度评分是否大于所述证据的上一历史置信度评分,如果是,则执行步骤S43,否则,执行步骤S44。
S43、利用所述当前置信度评分更新所述上一历史置信度评分。
具体实施时,服务器利用所述当前置信度评分更新所述上一历史置信度评分。
S44、保持所述证据的置信度评分不变。
具体实施时,服务器保持所述证据的置信度评分不变,即不更新上一历史置信度评分。
S22、根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分。
具体实施时,可以通过以下公式计算所述情报源中所述情报的可信度评分:
其中,Rl表示所述情报源中第l个情报的可信度评分,l=1,2,...,q,q表示所述情报源中的情报的个数;
rl,0表示所述情报源中第l个情报的证据的置信度评分的最大值;
rl,i表示所述情报源中第l个情报的第i个证据的可信度评分的衰减值,i=1,2,...,n,n表示所述情报源中第l个情报的证据的个数,rl,a表示所述情报源中第l个情报的证据的可信度评分的平均衰减值;
其中,t表示当前时间,ti,0表示所述情报源中第l个情报的第i个证据的输出时间,其中,如果有多个不同输出所述情报的情报源提供所述证据时,则/>tk表示来自于第k个输出所述情报的情报源的所述证据的输出时间,p表示输出包含所述证据的情报的情报源的个数,α表示可信度衰减系数,γ表示可信度收敛系数。
具体实施时,为证据置信度衰减公式,t和ti,0可以以天为单位,t-ti,0≥1,t和ti,0也可以以小时为单位等等,本发明实施例对此不作限定。如果有多个不同输出所述情报的情报源提供所述证据,则ti,0取距离当前时间t最近的时间,如果仅有一个输出所述情报的情报源提供所述证据,ti,0即为该情报源中的所述情报的所述证据的输出时间。α和γ均为常量,具体实施过程中,可以根据需要自行设置α和γ的取值,例如,α可以取值为0.0795,γ可以取值为100,本发明实施例对此不作限定。
具体实施时,初始时,服务器为每一情报源设置一个初始可信度评分;
针对每一情报源,确定所述情报源的可信度评分,具体包括:
通过以下公式计算所述情报源的可信度评分:
其中,Ir表示所述情报源的可信度评分;
v表示所述情报源历史评分总次数;
m表示所述情报源评分影响数;
C表示所述情报源的历史平均可信度评分;
Ra表示所有情报源的上一历史平均可信度评分,Rl表示第l个情报源的可信度评分,r=1,2,...,s,s表示情报源的个数。
具体实施时,服务器每当接收到新的情报时,均计算一次各情报源的可信度评分。情报源评分影响数m应不超过一个预设值,预设值可以为所述情报源输出的情报的月平均数,例如,本年度所述情报源输出情报的月平均数为1200个,m可以取1000。
S13、根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。
具体实施时,可以通过以下公式计算所述各情报的质量:
Rl'=a*Ir+b*Rl
其中,Rl'表示所述情报源中第l个情报的质量,l=1,2,...,q,q表示所述情报源中的情报的个数;
Ir表示所述情报源的可信度评分,a表示Ir的权重;
Rl表示所述情报源中第l个情报的可信度评分,b表示Rl的权重。
本发明实施例提供的情报质量评估方法中,服务器接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据,针对每一情报源,确定的所述情报源的可信度评分和所述情报源中的各情报的可信度评分,根据所述情报源的可信度评分和所述情报源中的各情报的可信度评分评估所述情报源中的各情报的质量,根据本发明实施例提供的上述情报质量评估方法,根据情报源的可信度评分和情报源输出的情报的可信度评分评估情报源输出的所述情报的质量,经过质量评估的情报越多,情报源本身的可信度也越接近真实情况,使得情报质量的评估更加准确,以使得后续情报融合过程中能够保证情报的质量,进而保证融合后的情报的质量。
基于同一发明构思,本发明实施例还提供了一种情报质量评估装置,由于上述情报质量评估装置解决问题的原理与情报质量评估方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,其为本发明实施例提供的情报质量评估装置的结构示意图,可以包括:
接收单元51,用于接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
确定单元52,用于针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分;
评估单元53,用于根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。
较佳地,所述确定单元52,具体用于针对每一情报源中的每一情报,通过以下步骤确定所述情报的可信度评分:确定所述情报源中的所述情报的各证据的置信度评分;根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分。
较佳地,所述确定单元52,具体用于如果有若干情报源输出所述情报,则根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合;确定所述情报的多重证据集合中的各证据的置信度评分。
较佳地,所述确定单元52,具体用于针对每一情报源中的每一情报,通过以下公式确定所述情报的多重证据集合:
其中,M表示所述情报的多重证据集合,j=1,2,...,m,m表示输出所述情报的情报源的个数;
Bj表示第j个输出所述情报的情报源中的所述情报的证据集合;
Ej,i表示所述第j个输出所述情报的情报源中的所述情报的第i个证据,i=1,2,...,n,n表示所述第j个输出所述情报的情报源中的所述情报的证据的个数。
较佳地,初始时,为每一证据设置一个初始置信度评分;
所述确定单元52,具体用于当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则确定所述证据的当前置信度评分;判断所述证据的当前置信度评分是否大于所述证据的上一历史置信度评分;如果是,则利用所述当前置信度评分更新所述上一历史置信度评分;否则,保持所述证据的置信度评分不变。
较佳地,所述确定单元52,具体用于当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则通过以下公式计算所述证据的当前置信度评分:
其中,r表示所述证据的当前置信度评分;
ra表示所述证据的上一历史平均置信度评分;
rk表示来自于第k个输出所述情报的情报源的所述证据的上一历史置信度评分,k=1,2,...,p,p表示输出包含所述证据的情报的情报源的个数;
β表示置信度收敛系数。
较佳地,所述确定单元52,具体用于通过以下公式计算所述情报源中所述情报的可信度评分:
其中,Rl表示所述情报源中第l个情报的可信度评分,l=1,2,...,q,q表示所述情报源中的情报的个数;
rl,0表示所述情报源中第l个情报的证据的置信度评分的最大值;
rl,i表示所述情报源中第l个情报的第i个证据的可信度评分的衰减值,i=1,2,...,n,n表示所述情报源中第l个情报的证据的个数,rl,a表示所述情报源中第l个情报的证据的可信度评分的平均衰减值;
其中,t表示当前时间,ti,0表示所述情报源中第l个情报的第i个证据的输出时间,其中,如果有多个不同输出所述情报的情报源提供所述证据时,则/>tk表示来自于第k个输出所述情报的情报源的所述证据的输出时间,p表示输出包含所述证据的情报的情报源的个数,α表示可信度衰减系数,γ表示可信度收敛系数。
较佳地,初始时,为每一情报源设置一个初始可信度评分;
所述确定单元52,具体用于通过以下公式计算所述情报源的可信度评分:
其中,Ir表示所述情报源的可信度评分;
v表示所述情报源历史评分总次数;
m表示所述情报源评分影响数;
C表示所述情报源的历史平均可信度评分;
Ra表示所有情报源的上一历史平均可信度评分,Rl表示第l个情报源的可信度评分,r=1,2,...,s,s表示情报源的个数。
较佳地,所述评估单元53,具体用于通过以下公式计算所述各情报的质量:
Rl'=a*Ir+b*Rl
其中,Rl'表示所述情报源中第l个情报的质量,l=1,2,...,q,q表示所述情报源中的情报的个数;
Ir表示所述情报源的可信度评分,a表示Ir的权重;
Rl表示所述情报源中第l个情报的可信度评分,b表示Rl的权重。
基于本发明实施例提供的上述情报质量评估方法进行评估的多数据源输出的情报,本发明实施例还提供了一种情报融合方法,如图6所示,其为本发明实施例提供的情报融合方法的实施流程示意图,可以包括以下步骤:
S61、接收情报源输出的情报。
具体实施时,服务器接收各情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据。
S62、评估所述情报的质量。
具体实施时,服务器根据本发明实施例提供的情报质量评估方法对所述各情报源输出的各情报进行评估,确定所述各情报的质量,此处不再赘述。
S63、当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征。
具体实施时,服务器针对质量大于等于第一预设阈值的每一情报,按照预设特征抽取规则抽取所述情报的特征。其中,第一预设阈值可以根据经验值自行设定,以保证情报的质量较高,本发明实施例对此不作限定。根据预设特征规则列表中的不同的特征抽取规则抽取出不同情报中相应的特征,如图7所示的情报特征抽取示例示意图中,根据特征规则列表中的n个特征抽取规则1~n抽取出情报A的特征A1~An、情报B的特征B1~Bn,和情报Z的特征Z1~Zn。其中,预设特征抽取规则可以包括但不限于:抽取情报类型集合、情报时间维度关联、攻击者和资产关联等。抽取的特征包括例如攻击类型、补丁更新、漏洞利用类型、资产载体、场景描述、攻击行为动作、商业组织、攻击组织等。
S64、将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱。
其中,所述情报知识图谱用于表征情报的特征之间的关联关系。
具体实施时,初始时,服务器根据提取的各情报的特征间的关联关系建立情报知识图谱。具体地,将各情报的特征根据预设元数据进行描述,预设元数据可以包括但不限于情报命名规范、情报词汇表、情报属性定义、数据格式定义、存储分布、情报源等等。对各情报进行基于相关国际标准进行情报分标准化类,建立顶点和语义描述边,将割裂的情报进行连接,其中,相关国际标准包括但不限于CVE(Common Vulnerabilities&Exposures,公共漏洞和暴露),CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称,其特点是:为每个漏洞和暴露确定了唯一的名称,给每个漏洞和暴露一个标准化的描述;CAPEC(Common Attack Pattern Enumeration andClassification,通用攻击模式枚举和分类),目标是提供攻击模式可用的公共分类,附加全面的计划和分类方法;CPE(Common Platform Enumeration,通用平台枚举),是对资产进行分类,根据资产的属性来描述资产;MAEC(Malware Attribute Enumeration andCharacterization,恶意软件属性枚举与特性描述),对恶意软件进行分类;ATT&CK(网络攻击矩阵描述知识库),对网络攻击进行分类。情报标准化分类包括但不限于:漏洞情报、样本情报、资产情报、威胁事件情报、威胁报告情报、攻击组织情报等。例如,根据CAPEC和ATT&CK进行关联推理,这两个规范里规定了攻击的常用手段和方法,例如:利用“A”漏洞一定会涉及注册表的修改、本地文件修改等内容,对情报数据里面的攻击组织进行攻击模式匹配进行关联推理获得黑客组织的相关行为,将行为相似的黑客组织划分为相同的黑客组织。分类后的情报根据情报各特征之间的关联关系建立情报知识图谱,可以使用但不限于如下关系边建立情报知识图谱:涉及、利用、攻击、受害、报告、暴力破解、控制、下发指令等。例如,情报知识图谱中一条情报所有的顶点和边可以描述为“黑客组织(X)利用漏洞(A)攻击资产(WEB服务器)使用攻击类型(缓冲区溢出)”。
具体实施时,每当有新的情报需要融合时,服务器将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱。
S65、根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
具体实施时,服务器根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
具体地,每两个情报按照如图8所示的流程进行情报融合,可以包括以下步骤:
S71、根据第一个情报的特征值和第二情报的特征值确定所述第一情报和所述第二情报之间的相似度。
具体实施时,服务器根据第一个情报的特征值和第二情报的特征值确定所述第一情报和所述第二情报之间的相似度。
具体地,通过如图9所示的流程图确定第一情报和第二情报的特征值:
S711、获取所述第一情报的第一特征集合和所述第二情报的第二特征集合。
具体实施时,服务器获取所述第一情报的第一特征集合和所述第二情报的第二特征集合,所述第一特征集合中的各特征和所述第二特征集合中的各特征分别按照预设格式进行排列。本发明实施例中将第一情报的特征集合记为第一特征集合,将第二情报的特征集合记为第二特征集合。
例如,第一情报抽取出的特征按照预设格式排列即第一情报在情报知识图谱中所有的顶点和边描述为“黑客组织(X)利用漏洞(A)攻击资产(WEB服务器)使用攻击类型(缓冲区溢出)”,第一特征集合为:(黑客组织(X),利用,漏洞(A),攻击,资产(WEB服务器),使用,攻击类型(缓冲区溢出))。第二情报抽取出的特征按照预设格式排列即第二情报在情报知识图谱中所有的顶点和边描述为“黑客组织(X)利用漏洞(B)攻击资产(WEB服务器)使用攻击类型(SQL(Structured Query Language,结构化查询语言)注入)”,第二特征集合为:(黑客组织(X),利用,漏洞(B),攻击,资产(WEB服务器),使用,攻击类型(SQL注入))。例如,A为“永恒之蓝”,B为“WordPress(一款博客系统的名称代号)”。
S712、将所述第一特征集合和所述第二特征集合取并集获得第三特征集合。
具体实施时,服务器将所述第一特征集合和所述第二特征集合取并集获得第三特征集合,其中,所述第三特征集合中的各特征按照预设顺序进行排列。
具体实施时,第三特征集合中的各特征按照预设顺序进行排列,具体为:按照第一特征集合或第二特征集合中特征的顺序进行排列,将同类别的特征插入到相应类别处,例如,第一特征集合(黑客组织(X),利用,漏洞(A),攻击,资产(WEB服务器),使用,攻击类型(缓冲区溢出))和第二特征集合(黑客组织(X),利用,漏洞(B),攻击,资产(WEB服务器),使用,攻击类型(SQL注入))取并集后获得的第三特征集合为:(黑客组织(X),利用,漏洞(A),漏洞(B),攻击,资产(WEB服务器),使用,攻击类型(缓冲区溢出),攻击类型(SQL注入))或者(黑客组织(X),利用,漏洞(B),漏洞(A),攻击,资产(WEB服务器),使用,攻击类型(SQL注入),攻击类型(缓冲区溢出))。
S713、将所述第三特征集合确定为所述第一情报的第四特征集合,以及将所述第三特征集合确定为所述第二情报的第五特征集合。
具体实施时,服务器将所述第三特征集合确定为所述第一情报的第四特征集合,以及将所述第三特征集合确定为所述第二情报的第五特征集合。
例如,将第三特征集合(黑客组织(X),利用,漏洞(A),漏洞(B),攻击,资产(WEB服务器),使用,攻击类型(缓冲区溢出),攻击类型(SQL注入))分别确定为第一情报的第四特征集合和第二情报的第五特征集合。
S714、根据所述第一特征集合中的特征对所述第四特征集合特征进行向量赋值,以及根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值。
具体实施时,服务器根据所述第一特征集合中的特征对所述第四特征集合特征进行向量赋值。具体地,将所述第四特征集合中与所述第一特征集合中的特征相同的特征赋值为向量1。
服务器根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值。具体地,将所述第五特征集合中与所述第二特征集合中的特征相同的特征赋值为向量1,将所述第五特征集合中与所述第二特征集合中的特征不同的特征赋值为向量0。
延续上例,对第一情报的第四特征集合中的特征进行向量赋值后为:(黑客组织(X):1,利用:1,漏洞(A):1,漏洞(B):0,攻击:1,资产(WEB服务器):1,使用:1,攻击类型(缓冲区溢出):1,攻击类型(SQL注入):0),向量维度为9。对第二情报的第五特征集合中的特征进行向量赋值后为:(黑客组织(X):1,利用:1,漏洞(A):0,漏洞(B):1,攻击:1,资产(WEB服务器):1,使用:1,攻击类型(缓冲区溢出):0,攻击类型(SQL注入):1),向量维度为9。
进一步地,通过以下公式计算所述第一情报和所述第二情报之间的相似度:
其中,D表示所述第一情报和所述第二情报之间的相似度;
x1d表示所述第四特征集合中的第d个特征值;
x2d表示所述第五特征集合中的第d个特征值;
d=1,2,...,N,N表示所述第四特征集合中的特征的个数或者所述第五特征集合中的特征的个数。N即为向量维度。
S72、当确定所述相似度大于等于第二预设阈值时,将所述第一情报和所述第二情报进行融合。
具体实施时,服务器当确定所述相似度大于等于第二预设阈值时,将所述第一情报和所述第二情报进行融合。本发明实施例中第二预设阈值可以根据需要自行设定,例如可以设置为0.6,当两个情报的相似度在[0.6,1]这个区间时,认为这两个情报是极其相似的。
延续上例,第一情报和第二情报进行融合后得到的情报在情报知识图谱中可以表示为:“黑客组织(X)利用漏洞(A和B)攻击资产(WEB服务器)使用攻击类型(缓冲区溢出和SQL注入)”,并输出融合后情报。
本发明实施例提供的情报融合方法中,当接收到情报源输出的情报时,根据本发明实施例提供的质量评估方法对情报进行评估,确定所述情报的质量,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据,当情报的质量大于等于预设阈值时,按照预设特征抽取规则抽取所述情报的特征,将所述情报的特征与建立的用于表征情报的特征之间的关联关系的情报知识图谱中相关联的情报的特征进行连接,更新情报知识图谱,进而,根据情报知识图谱中相连接的特征之间的关联关系进行情报融合,实时生成融合后的情报,根据本发明实施例提供的情报融合方法,在进行情报融合之前,首先评估情报的质量,当情报的质量满足要求时,再根据建立的表征情报的特征之间的关联关系的情报知识图谱进行情报融合,在融合过程中保证了情报的质量和融合后的情报的质量。
基于同一发明构思,本发明实施例还提供了一种情报融合装置,由于上述情报融合装置解决问题的原理与情报融合方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图10所示,其为本发明实施例提供的情报融合装置的结构示意图,可以包括:
接收单元81,用于接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
确定单元82,用于根据权利要求本发明实施例提供的情报质量评估方法评估所述情报,确定所述情报的质量;
抽取单元83,用于当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征;
更新单元84,用于将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱,其中,所述情报知识图谱用于表征情报的特征之间的关联关系;
融合单元85,用于根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
较佳地,所述融合单元85,具体用于根据第一个情报的特征值和第二情报的特征值确定所述第一情报和所述第二情报之间的相似度;当确定所述相似度大于等于第二预设阈值时,将所述第一情报和所述第二情报进行融合。
较佳地,所述融合单元85,具体用于通过以下步骤确定所述第一情报和所述第二情报的特征值:
获取所述第一情报的第一特征集合和所述第二情报的第二特征集合,所述第一特征集合中的各特征和所述第二特征集合中的各特征分别按照预设格式进行排列;
将所述第一特征集合和所述第二特征集合取并集获得第三特征集合;
将所述第三特征集合确定为所述第一情报的第四特征集合,以及将所述第三特征集合确定为所述第二情报的第五特征集合;
根据所述第一特征集合中的特征对所述第四特征集合特征进行向量赋值,以及根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值。
较佳地,所述融合单元86,具体用于将所述第四特征集合中与所述第一特征集合中的特征相同的特征赋值为向量1,将所述第四特征集合中与所述第一特征集合中的特征不同的特征赋值为向量0;将所述第五特征集合中与所述第二特征集合中的特征相同的特征赋值为向量1,将所述第五特征集合中与所述第二特征集合中的特征不同的特征赋值为向量0。
较佳地,所述融合单元87,具体用于通过以下公式计算所述第一情报和所述第二情报之间的相似度:
其中,D表示所述第一情报和所述第二情报之间的相似度;
x1d表示所述第四特征集合中的第d个特征值;
x2d表示所述第五特征集合中的第d个特征值;
d=1,2,...,N,N表示所述第四特征集合中的特征的个数或者所述第五特征集合中的特征的个数。
基于同一技术构思,本发明实施例还提供了一种电子设备900,参照图11所示,电子设备900用于实施上述方法实施例记载的情报质量评估方法或情报融合方法,该实施例的电子设备900可以包括:存储器901、处理器902以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如情报质量评估程序。所述处理器执行所述计算机程序时实现上述各个情报质量评估方法实施例中的步骤,例如图1所示的步骤S11,或图6所述的步骤S61。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如51或81。
本发明实施例中不限定上述存储器901、处理器902之间的具体连接介质。本申请实施例在图11中以存储器901、处理器902之间通过总线903连接,总线903在图11中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线903可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器901可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器901也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器901是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器901可以是上述存储器的组合。
处理器902,用于实现如图1所示的一种情报质量评估方法,包括:
所述处理器902,用于调用所述存储器901中存储的计算机程序执行如图1中所示的步骤S11、接收情报源输出的情报,步骤S12、针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分,和步骤S13、根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。
或者,处理器902,用于实现如图6所示的一种情报融合方法,包括:
所述处理器902,用于调用所述存储器901中存储的计算机程序执行如图6中所示的步骤S61、接收情报源输出的情报,步骤S62、评估所述情报的质量,步骤S63、当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征,步骤S64、将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱,和步骤S65、根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
本申请实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机可执行指令,其包含用于执行上述处理器所需执行的程序。
在一些可能的实施方式中,本发明提供的情报质量评估方法或者情报融合方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的情报质量评估方法中的步骤,例如,所述电子设备可以执行如图1中所示的步骤S11、接收情报源输出的情报,步骤S12、针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分,和步骤S13、根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。或者如图6中所示的步骤S61、接收情报源输出的情报,步骤S62、评估所述情报的质量,步骤S63、当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征,步骤S64、将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱,和步骤S65、根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于情报质量评估或者情报融合的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (24)

1.一种情报质量评估方法,其特征在于,包括:
接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分,具体包括:针对每一情报源中的每一情报,通过以下步骤确定所述情报的可信度评分:确定所述情报源中的所述情报的各证据的置信度评分;根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分;如果有若干情报源输出所述情报,则确定所述情报源中的所述情报的各证据的置信度评分,具体包括:根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合;确定所述情报的多重证据集合中的各证据的置信度评分;初始时,为每一证据设置一个初始置信度评分;确定所述情报的多重证据集合中的各证据的置信度评分,具体包括:当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则确定所述证据的当前置信度评分;判断所述证据的当前置信度评分是否大于所述证据的上一历史置信度评分;如果是,则利用所述当前置信度评分更新所述上一历史置信度评分;否则,保持所述证据的置信度评分不变;
根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。
2.如权利要求1所述的方法,其特征在于,针对每一情报源中的每一情报,根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合,具体包括:
通过以下公式确定所述情报的多重证据集合:
其中,M表示所述情报的多重证据集合,j=1,2,...,m,m表示输出所述情报的情报源的个数;
Bj表示第j个输出所述情报的情报源中的所述情报的证据集合;
Ej,i表示所述第j个输出所述情报的情报源中的所述情报的第i个证据,i=1,2,...,n,n表示所述第j个输出所述情报的情报源中的所述情报的证据的个数。
3.如权利要求1所述的方法,其特征在于,当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则通过以下公式计算所述证据的当前置信度评分:
其中,r表示所述证据的当前置信度评分;
ra表示所述证据的上一历史平均置信度评分;
rk表示来自于第k个输出所述情报的情报源的所述证据的上一历史置信度评分,k=1,2,...,p,p表示输出包含所述证据的情报的情报源的个数;
β表示置信度收敛系数。
4.如权利要求1所述的方法,其特征在于,根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分,具体包括:
通过以下公式计算所述情报源中所述情报的可信度评分:
其中,Rl表示所述情报源中第l个情报的可信度评分,l=1,2,...,q,q表示所述情报源中的情报的个数;
rl,0表示所述情报源中第l个情报的证据的置信度评分的最大值;
rl,i表示所述情报源中第l个情报的第i个证据的可信度评分的衰减值,i=1,2,...,n,n表示所述情报源中第l个情报的证据的个数,rl,a表示所述情报源中第l个情报的证据的可信度评分的平均衰减值;
其中,t表示当前时间,ti,0表示所述情报源中第l个情报的第i个证据的输出时间,其中,如果有多个不同输出所述情报的情报源提供所述证据时,则/>tk表示来自于第k个输出所述情报的情报源的所述证据的输出时间,p表示输出包含所述证据的情报的情报源的个数,α表示可信度衰减系数,γ表示可信度收敛系数。
5.如权利要求1所述的方法,其特征在于,初始时,为每一情报源设置一个初始可信度评分;
针对每一情报源,确定所述情报源的可信度评分,具体包括:
通过以下公式计算所述情报源的可信度评分:
其中,Ir表示所述情报源的可信度评分;
v表示所述情报源历史评分总次数;
m表示所述情报源评分影响数;
C表示所述情报源的历史平均可信度评分;
Ra表示所有情报源的上一历史平均可信度评分,Rl表示第l个情报源的可信度评分,r=1,2,...,s,s表示情报源的个数。
6.如权利要求4或5所述的方法,其特征在于,根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量,具体包括:
通过以下公式计算所述各情报的质量:
Rl'=a*Ir+b*Rl
其中,Rl'表示所述情报源中第l个情报的质量,l=1,2,...,q,q表示所述情报源中的情报的个数;
Ir表示所述情报源的可信度评分,a表示Ir的权重;
Rl表示所述情报源中第l个情报的可信度评分,b表示Rl的权重。
7.一种情报融合方法,其特征在于,包括:
接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
根据权利要求1~6任一项所述的情报质量评估方法评估所述情报,确定所述情报的质量;
当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征;
将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱,其中,所述情报知识图谱用于表征情报的特征之间的关联关系;
根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
8.如权利要求7所述的方法,其特征在于,根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,具体包括:
根据第一个情报的特征值和第二情报的特征值确定所述第一个情报和所述第二情报之间的相似度;
当确定所述相似度大于等于第二预设阈值时,将所述第一情报和所述第二情报进行融合。
9.如权利要求8所述的方法,其特征在于,通过以下步骤确定所述第一情报和所述第二情报的特征值:
获取所述第一情报的第一特征集合和所述第二情报的第二特征集合,所述第一特征集合中的各特征和所述第二特征集合中的各特征分别按照预设格式进行排列;
将所述第一特征集合和所述第二特征集合取并集获得第三特征集合;
将所述第三特征集合确定为所述第一情报的第四特征集合,以及将所述第三特征集合确定为所述第二情报的第五特征集合;
根据所述第一特征集合中的特征对所述第四特征集合特征进行向量赋值,以及根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值。
10.如权利要求9所述的方法,其特征在于,
根据所述第一特征集合中的特征对所述第四特征集合中的特征进行向量赋值,具体包括:
将所述第四特征集合中与所述第一特征集合中的特征相同的特征赋值为向量1,将所述第四特征集合中与所述第一特征集合中的特征不同的特征赋值为向量0;
根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值,具体包括:
将所述第五特征集合中与所述第二特征集合中的特征相同的特征赋值为向量1,将所述第五特征集合中与所述第二特征集合中的特征不同的特征赋值为向量0。
11.如权利要求10所述的方法,其特征在于,根据第一个情报的特征值和第二情报的特征值确定所述第一情报和所述第二情报之间的相似度,具体包括:
通过以下公式计算所述第一情报和所述第二情报之间的相似度:
其中,D表示所述第一情报和所述第二情报之间的相似度;
x1d表示所述第四特征集合中的第d个特征值;
x2d表示所述第五特征集合中的第d个特征值;
d=1,2,...,N,N表示所述第四特征集合中的特征的个数或者所述第五特征集合中的特征的个数。
12.一种情报质量评估装置,其特征在于,包括:
接收单元,用于接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
确定单元,用于针对每一情报源,确定所述情报源的可信度评分以及所述情报源中的各情报的可信度评分;
所述确定单元,具体用于针对每一情报源中的每一情报,通过以下步骤确定所述情报的可信度评分:确定所述情报源中的所述情报的各证据的置信度评分;根据所述各证据的置信度评分确定所述情报源中所述情报的可信度评分;
所述确定单元,具体用于如果有若干情报源输出所述情报,则根据输出所述情报的各情报源中所述情报的证据集合确定所述情报的多重证据集合;确定所述情报的多重证据集合中的各证据的置信度评分;
初始时,为每一证据设置一个初始置信度评分;所述确定单元,具体用于当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则确定所述证据的当前置信度评分;判断所述证据的当前置信度评分是否大于所述证据的上一历史置信度评分;如果是,则利用所述当前置信度评分更新所述上一历史置信度评分;否则,保持所述证据的置信度评分不变;
评估单元,用于根据所述情报源的可信度评分和所述各情报的可信度评分评估所述各情报的质量。
13.如权利要求12所述的装置,其特征在于,
所述确定单元,具体用于针对每一情报源中的每一情报,通过以下公式确定所述情报的多重证据集合:
其中,M表示所述情报的多重证据集合,j=1,2,...,m,m表示输出所述情报的情报源的个数;
Bj表示第j个输出所述情报的情报源中的所述情报的证据集合;
Ej,i表示所述第j个输出所述情报的情报源中的所述情报的第i个证据,i=1,2,...,n,n表示所述第j个输出所述情报的情报源中的所述情报的证据的个数。
14.如权利要求12所述的装置,其特征在于,
所述确定单元,具体用于当确定所述情报的多重证据集合中的任一证据来自于大于等于2个不同的输出所述情报的情报源时,则通过以下公式计算所述证据的当前置信度评分:
其中,r表示所述证据的当前置信度评分;
ra表示所述证据的上一历史平均置信度评分;
rk表示来自于第k个输出所述情报的情报源的所述证据的上一历史置信度评分,k=1,2,...,p,p表示输出包含所述证据的情报的情报源的个数;
β表示置信度收敛系数。
15.如权利要求12所述的装置,其特征在于,
所述确定单元,具体用于通过以下公式计算所述情报源中所述情报的可信度评分:
其中,Rl表示所述情报源中第l个情报的可信度评分,l=1,2,...,q,q表示所述情报源中的情报的个数;
rl,0表示所述情报源中第l个情报的证据的置信度评分的最大值;
rl,i表示所述情报源中第l个情报的第i个证据的可信度评分的衰减值,i=1,2,...,n,n表示所述情报源中第l个情报的证据的个数,rl,a表示所述情报源中第l个情报的证据的可信度评分的平均衰减值;
其中,t表示当前时间,ti,0表示所述情报源中第l个情报的第i个证据的输出时间,其中,如果有多个不同输出所述情报的情报源提供所述证据时,则/>tk表示来自于第k个输出所述情报的情报源的所述证据的输出时间,p表示输出包含所述证据的情报的情报源的个数,α表示可信度衰减系数,γ表示可信度收敛系数。
16.如权利要求12所述的装置,其特征在于,初始时,为每一情报源设置一个初始可信度评分;
所述确定单元,具体用于通过以下公式计算所述情报源的可信度评分:
其中,Ir表示所述情报源的可信度评分;
v表示所述情报源历史评分总次数;
m表示所述情报源评分影响数;
C表示所述情报源的历史平均可信度评分;
Ra表示所有情报源的上一历史平均可信度评分,Rl表示第l个情报源的可信度评分,r=1,2,...,s,s表示情报源的个数。
17.如权利要求15或16所述的装置,其特征在于,
所述评估单元,具体用于通过以下公式计算所述各情报的质量:
Rl'=a*Ir+b*Rl
其中,Rl'表示所述情报源中第l个情报的质量,l=1,2,...,q,q表示所述情报源中的情报的个数;
Ir表示所述情报源的可信度评分,a表示Ir的权重;
Rl表示所述情报源中第l个情报的可信度评分,b表示Rl的权重。
18.一种情报融合装置,其特征在于,包括:
接收单元,用于接收情报源输出的情报,其中,所述情报源为威胁情报数据源,所述情报为威胁情报数据;
确定单元,用于根据权利要求1~6任一项所述的情报质量评估方法评估所述情报,确定所述情报的质量;
抽取单元,用于当确定所述情报的质量大于等于第一预设阈值时,按照预设特征抽取规则抽取所述情报的特征;
更新单元,用于将所述情报的特征与建立的情报知识图谱中相关联的情报的特征进行连接,更新所述情报知识图谱,其中,所述情报知识图谱用于表征情报的特征之间的关联关系;
融合单元,用于根据所述情报知识图谱中相连接的特征之间的关联关系进行情报融合,生成融合后的情报。
19.如权利要求18所述的装置,其特征在于,
所述融合单元,具体用于根据第一个情报的特征值和第二情报的特征值确定所述第一个情报和所述第二情报之间的相似度;当确定所述相似度大于等于第二预设阈值时,将所述第一情报和所述第二情报进行融合。
20.如权利要求19所述的装置,其特征在于,
所述融合单元,具体用于通过以下步骤确定所述第一情报和所述第二情报的特征值:
获取所述第一情报的第一特征集合和所述第二情报的第二特征集合,所述第一特征集合中的各特征和所述第二特征集合中的各特征分别按照预设格式进行排列;
将所述第一特征集合和所述第二特征集合取并集获得第三特征集合;
将所述第三特征集合确定为所述第一情报的第四特征集合,以及将所述第三特征集合确定为所述第二情报的第五特征集合;
根据所述第一特征集合中的特征对所述第四特征集合特征进行向量赋值,以及根据所述第二特征集合中的特征对所述第五特征集合中的特征进行向量赋值。
21.如权利要求20所述的装置,其特征在于,
所述融合单元,具体用于将所述第四特征集合中与所述第一特征集合中的特征相同的特征赋值为向量1,将所述第四特征集合中与所述第一特征集合中的特征不同的特征赋值为向量0;将所述第五特征集合中与所述第二特征集合中的特征相同的特征赋值为向量1,将所述第五特征集合中与所述第二特征集合中的特征不同的特征赋值为向量0。
22.如权利要求21所述的装置,其特征在于,
所述融合单元,具体用于通过以下公式计算所述第一情报和所述第二情报之间的相似度:
其中,D表示所述第一情报和所述第二情报之间的相似度;
x1d表示所述第四特征集合中的第d个特征值;
x2d表示所述第五特征集合中的第d个特征值;
d=1,2,...,N,N表示所述第四特征集合中的特征的个数或者所述第五特征集合中的特征的个数。
23.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~6任一项所述的情报质量评估方法或者权利要求7~11任一项所述的情报融合方法中的步骤。
24.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~6任一项所述的情报质量评估方法或者权利要求7~11任一项所述的情报融合方法中的步骤。
CN201911340849.2A 2019-12-23 2019-12-23 一种情报质量评估和情报融合方法及装置 Active CN111160749B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911340849.2A CN111160749B (zh) 2019-12-23 2019-12-23 一种情报质量评估和情报融合方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911340849.2A CN111160749B (zh) 2019-12-23 2019-12-23 一种情报质量评估和情报融合方法及装置

Publications (2)

Publication Number Publication Date
CN111160749A CN111160749A (zh) 2020-05-15
CN111160749B true CN111160749B (zh) 2023-07-21

Family

ID=70557941

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911340849.2A Active CN111160749B (zh) 2019-12-23 2019-12-23 一种情报质量评估和情报融合方法及装置

Country Status (1)

Country Link
CN (1) CN111160749B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111800439B (zh) * 2020-09-08 2020-12-22 江苏苏宁银行股份有限公司 一种威胁情报在银行中的应用方法及其系统
CN114726565B (zh) * 2021-01-05 2024-05-24 中国移动通信有限公司研究院 威胁情报共享方法、威胁情报评级方法、系统及存储介质
CN113297578B (zh) * 2021-06-25 2022-03-04 铭台(北京)科技有限公司 基于大数据和人工智能的信息感知方法及信息安全系统
CN113468384B (zh) * 2021-07-20 2023-11-03 山石网科通信技术股份有限公司 网络情报源信息的处理方法、装置、存储介质及处理器
CN113596041B (zh) * 2021-08-03 2023-05-26 安天科技集团股份有限公司 情报源的质量评估方法、装置、电子设备及存储介质
CN113992374B (zh) * 2021-10-20 2024-01-30 中国工商银行股份有限公司 多源威胁情报的处理方法及装置
CN114666144B (zh) * 2022-03-29 2024-03-12 杭州安恒信息技术股份有限公司 一种情报源质量检测方法、装置、设备、存储介质
CN117093951B (zh) * 2023-10-16 2024-01-26 北京安天网络安全技术有限公司 一种威胁情报合并方法、装置、电子设备及存储介质
CN117688136B (zh) * 2024-01-30 2024-04-30 广州敏行数字科技有限公司 一种基于人工智能的组合检索优化方法及系统

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714198A (zh) * 2009-10-29 2010-05-26 北京航空航天大学 基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统
CN101763304A (zh) * 2009-12-31 2010-06-30 合肥工业大学 一种基于证据理论的不确定型软件可信性评估方法
CN103927297A (zh) * 2014-04-13 2014-07-16 北京工业大学 基于证据理论的中文微博可信度评估方法
CN104346627A (zh) * 2014-10-30 2015-02-11 国家电网公司 一种基于大数据分析的sf6气体泄漏在线预警平台
CN106878262A (zh) * 2016-12-19 2017-06-20 新华三技术有限公司 报文检测方法及装置、建立云端威胁情报库的方法及装置
CN107566390A (zh) * 2017-09-20 2018-01-09 东北大学 一种基于威胁情报的工业控制系统网络安全性分析系统及方法
CN108600212A (zh) * 2018-04-19 2018-09-28 北京邮电大学 基于多维度可信特征的威胁情报可信性判别方法及装置
CN109688091A (zh) * 2018-04-25 2019-04-26 北京微步在线科技有限公司 多源的威胁情报的质量评估方法及装置
CN109857917A (zh) * 2018-12-21 2019-06-07 中国科学院信息工程研究所 面向威胁情报的安全知识图谱构建方法及系统
CN109902297A (zh) * 2019-02-13 2019-06-18 北京航空航天大学 一种威胁情报生成方法及装置
CN110098961A (zh) * 2019-04-25 2019-08-06 北京天融信网络安全技术有限公司 一种数据质量评估方法、装置及存储介质
CN110457502A (zh) * 2019-08-21 2019-11-15 京东方科技集团股份有限公司 构建知识图谱方法、人机交互方法、电子设备及存储介质
CN110460594A (zh) * 2019-07-31 2019-11-15 平安科技(深圳)有限公司 威胁情报数据采集处理方法、装置及存储介质

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101714198A (zh) * 2009-10-29 2010-05-26 北京航空航天大学 基于贝叶斯估计的计算机网络对抗情报信息可信度评估系统
CN101763304A (zh) * 2009-12-31 2010-06-30 合肥工业大学 一种基于证据理论的不确定型软件可信性评估方法
CN103927297A (zh) * 2014-04-13 2014-07-16 北京工业大学 基于证据理论的中文微博可信度评估方法
CN104346627A (zh) * 2014-10-30 2015-02-11 国家电网公司 一种基于大数据分析的sf6气体泄漏在线预警平台
CN106878262A (zh) * 2016-12-19 2017-06-20 新华三技术有限公司 报文检测方法及装置、建立云端威胁情报库的方法及装置
CN107566390A (zh) * 2017-09-20 2018-01-09 东北大学 一种基于威胁情报的工业控制系统网络安全性分析系统及方法
CN108600212A (zh) * 2018-04-19 2018-09-28 北京邮电大学 基于多维度可信特征的威胁情报可信性判别方法及装置
CN109688091A (zh) * 2018-04-25 2019-04-26 北京微步在线科技有限公司 多源的威胁情报的质量评估方法及装置
CN109857917A (zh) * 2018-12-21 2019-06-07 中国科学院信息工程研究所 面向威胁情报的安全知识图谱构建方法及系统
CN109902297A (zh) * 2019-02-13 2019-06-18 北京航空航天大学 一种威胁情报生成方法及装置
CN110098961A (zh) * 2019-04-25 2019-08-06 北京天融信网络安全技术有限公司 一种数据质量评估方法、装置及存储介质
CN110460594A (zh) * 2019-07-31 2019-11-15 平安科技(深圳)有限公司 威胁情报数据采集处理方法、装置及存储介质
CN110457502A (zh) * 2019-08-21 2019-11-15 京东方科技集团股份有限公司 构建知识图谱方法、人机交互方法、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李蕾."网络空间中威胁情报可信度多维度分析模型研究".《中国优秀硕士学位论文全文数据库信息科技辑》.2015,全文. *

Also Published As

Publication number Publication date
CN111160749A (zh) 2020-05-15

Similar Documents

Publication Publication Date Title
CN111160749B (zh) 一种情报质量评估和情报融合方法及装置
US11468192B2 (en) Runtime control of automation accuracy using adjustable thresholds
JP7086972B2 (ja) 侵入検出のための継続的な学習
US20160125094A1 (en) Method and system for behavior query construction in temporal graphs using discriminative sub-trace mining
CN110309587B (zh) 决策模型构建方法、决策方法与决策模型
WO2019217212A1 (en) Systems and methods for attributing security vulnerabilities to a configuration of a client device
US20210334403A1 (en) Generation of representative data to preserve membership privacy
CN110674360B (zh) 一种用于数据的溯源方法和系统
CN113486350B (zh) 恶意软件的识别方法、装置、设备及存储介质
US20210201270A1 (en) Machine learning-based change control systems
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
CN117272330B (zh) 服务器系统加固更新方法及系统
CN112364022B (zh) 信息推导管理方法、装置、计算机设备及可读存储介质
US20170201525A1 (en) Evidence-based role based access control
CN111784360B (zh) 一种基于网络链接回溯的反欺诈预测方法及系统
CN111209403B (zh) 数据处理方法、装置、介质及电子设备
CN113298121A (zh) 基于多数据源建模的消息发送方法、装置和电子设备
CN112925914A (zh) 数据安全分级方法、系统、设备及存储介质
US20230040982A1 (en) Attack information processing apparatus, attack information processing method, and computer readable medium
CN112529102A (zh) 特征拓展方法、设备、介质及计算机程序产品
US11783088B2 (en) Processing electronic documents
CN108108444B (zh) 一种企业业务单元自适应系统及其实现方法
US20200204573A1 (en) Network security tool
CN114065177A (zh) 基于知识图谱的用户设备认证方法、装置及电子设备
CN111882415A (zh) 一种质量检测模型的训练方法和相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Applicant after: NSFOCUS Technologies Group Co.,Ltd.

Applicant after: NSFOCUS TECHNOLOGIES Inc.

Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building

Applicant before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd.

Applicant before: NSFOCUS TECHNOLOGIES Inc.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant