CN112070120A - 威胁情报的处理方法、装置、电子装置和存储介质 - Google Patents
威胁情报的处理方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN112070120A CN112070120A CN202010805647.7A CN202010805647A CN112070120A CN 112070120 A CN112070120 A CN 112070120A CN 202010805647 A CN202010805647 A CN 202010805647A CN 112070120 A CN112070120 A CN 112070120A
- Authority
- CN
- China
- Prior art keywords
- information
- threat intelligence
- threat
- user
- risk level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 230000010365 information processing Effects 0.000 title description 4
- 238000010801 machine learning Methods 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 43
- 238000012545 processing Methods 0.000 claims abstract description 23
- 238000005516 engineering process Methods 0.000 claims abstract description 22
- 238000012549 training Methods 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012216 screening Methods 0.000 claims description 12
- 238000007781 pre-processing Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000004931 aggregating effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 238000010521 absorption reaction Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Software Systems (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请涉及一种威胁情报的处理方法、装置、电子装置和存储介质。其中,该威胁情报的处理方法包括:获取威胁情报信息;使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息。通过本申请,解决了相关技术中对未知威胁情报的识别能力差的问题,提高了对未知威胁情报的识别能力。
Description
技术领域
本申请涉及数据处理领域,特别是涉及威胁情报的处理方法、装置、电子装置和存储介质。
背景技术
随着网络技术的快速发展,由于互联网的飞速发展,网络安全变得尤为重要。有许多网路攻击也层出不穷网名的信息安全,网站的安全,数据的安全的维护也很重要,现在存在的威胁网路安全的如DDoS攻击、APT、CC攻击、暴力破解、木马、0Day等。如何维护互联网安全是现在国家和全网民所面临的问题,大家努力通过威胁情报来告知用户一些来至网络的不安因素,但是,为躲避安全检测,网络攻击的变化速度越来越快,导致威胁情报的数量也越来越多,因此通过机器学习的方法来更智能有效的分析过滤,来提升情报价值。
在相关技术中,通过基于统计学习算法,引入可信度,代替静态阈值,提高模型对未知威胁的识别能力;该方法支持多种异构检测模型,基于可信度对比,实现多模型协同防御;该方法引入滑动时间窗概念,实现检测模型对新出现的威胁情报的快速吸收,对过期情报的有效遗忘。但是在研究过程中发现,上述方案中通过引入可信度的方式,提高模型对未知威胁的识别能力,仍然存在对未知威胁情报的识别能力差的问题。
目前针对相关技术中对未知威胁情报的识别能力差的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种威胁情报的处理方法、装置、电子装置和存储介质,以至少解决相关技术中对未知威胁情报的识别能力差的问题。
第一方面,本申请实施例提供了一种威胁情报的处理方法,包括:
获取威胁情报信息;
使用已训练的机器学习模型对所述威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,所述已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;
按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息。
在其中一些实施例中,获取威胁情报信息包括:
通过大数据技术实时获取威胁情报信息。
在其中一些实施例中,使用已训练的机器学习模型分析所述威胁情报信息之前,所述方法还包括:
对所述威胁情报信息进行预处理,其中,所述预处理包括:数据过滤、数据补全和数据去重。
在其中一些实施例中,按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息包括:
获取用户搜索高风险等级的威胁情报信息的关键词;
判断所述关键词的搜索次数是否大于预设次数;
在判断到所述关键词的搜索次数大于预设次数的情况下,则将所述关键词作为所述用户感兴趣的关键词,并按照所述用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息。
在其中一些实施例中,按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息包括:
获取用户信息;
确定用户信息对应的区域信息;
根据所述区域信息,筛选出所述区域信息对应的区域内的威胁情报信息;
并按照所述用户感兴趣的关键词汇总和展示所述区域信息对应的区域内的威胁情报信息。
在其中一些实施例中,按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息之后,所述方法还包括:
将按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息发送给预设对象,其中,所述预设对象是由用户预先配置的,所述预设对象包括以下至少之一:邮件地址、即时通讯账户地址、短信地址。
在其中一些实施例中,已训练的机器学习模型的训练方法包括:
获取训练样本和初始的机器学习模型,其中,所述训练样本包括威胁情报信息和与所述威胁情报信息的特征对应的标签,所述标签用于表示根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;
使用所述训练样本以监督学习的方式训练所述初始的机器学习模型,直至参数收敛,得到所述已训练的机器学习模型。
第二方面,本申请实施例还提供了一种威胁情报的处理装置,包括:
第一获取模块,用于获取威胁情报信息;
分类模块,用于使用已训练的机器学习模型对所述威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,所述已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;
汇总展示模块,用于按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第二方面所述的威胁情报的处理方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第二方面所述的威胁情报的处理方法。
相比于相关技术,本申请实施例提供的威胁情报的处理方法、装置、电子装置和存储介质,通过获取威胁情报信息;使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息的方式,解决了相关技术中对未知威胁情报的识别能力差的问题,提高了对未知威胁情报的识别能力。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的威胁情报的处理方法的终端的硬件结构框图;
图2是根据本申请实施例的威胁情报的处理方法的流程图;
图3是根据本申请优选实施例的威胁情报的处理方法的流程图;
图4是根据本申请实施例的威胁情报的处理装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
首先需要说明的是,本申请是计算机技术的一种技术应用。在本申请的实现过程中,会涉及到一些思维上的超前想法,通过机器学习前沿技术,可以高效,人性化的解决问题。且在仔细阅读本申请实施例并准确理解本申请的实现原理和发明目的之后,再结合现已有的公知技术的情况下,本领域一些技术人员应该完全可以运用其掌握的编程技能来实现本申请。凡本申请实施例提及的均属此范畴,不再一一列举。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图1是根据本申请实施例的威胁情报的处理方法的终端的硬件结构框图。如图1所示,终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的威胁情报的处理方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端10的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例提供了一种威胁情报的处理方法,图2是根据本申请实施例的威胁情报的处理方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取威胁情报信息。
本步骤中,获取威胁情报信息可以通过以下方式:
方式一:在其中一些实施例中,可以通过大数据技术实时获取威胁情报信息。
需要说明的是,大数据技术是指大数据的应用技术,涵盖各类大数据平台、大数据指数体系等大数据应用技术。
方式二:在其中一些实施例中,可以在威胁情报信息对应的数据库中获取威胁情报信息。
其中,在步骤S201之后,可以将该威胁情报信息按单位类型和/或威胁类型分类存储。通过该方式,可以便于用户对威胁情报信息的查看,以及便于步骤S202中对威胁情报信息进行分类。
步骤S202,使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类。
本步骤中,通过使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,无需相关技术中的引入可信度来分析威胁情报信息,解决了相关技术中对未知威胁情报的识别能力差的问题,提高了对未知威胁情报的识别能力。
在其中一些实施例中,在步骤S202之前,还可以对威胁情报信息进行预处理,其中,该预处理包括:数据过滤、数据补全和数据去重。通过该方式,可以对威胁情报信息进行初步的预处理,以便于进一步的提高对未知的威胁情报信息的识别能力。
步骤S203,按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息。
本步骤中,通过该方式,可以实现根据用户的感兴趣的关键词汇总和展示高风险等级的威胁情报信息,便于用户查看感兴趣的威胁情报信息,以满足用户的需求。
需要说明的是,获取用户搜索威胁情报的关键词,可以是根据用户的在预设时间段内输入的关键词中筛选出的,例如,筛选条件可以是判断该关键词的被输入次数是否大于预设次数,若是,则将该关键词作为用户搜索威胁情报的关键词;也可以是用户直接输入的。在一些实施例中,也可以将用户在预设时间段内输入的关键词均作为用户搜索威胁情报的关键词。
基于上述的S201-S203步骤,通过使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息的方式,无需相关技术中的引入可信度来分析威胁情报信息,解决了相关技术中对未知威胁情报的识别能力差的问题,提高了对未知威胁情报的识别能力。
在其中一些实施例中,步骤S203中按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息包括:获取用户搜索高风险等级的威胁情报信息的关键词;判断关键词的搜索次数是否大于预设次数;在判断到所述关键词的搜索次数大于预设次数的情况下,则将关键词作为用户感兴趣的关键词,并按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息。通过该方式,可以通过记录和学习用户搜索高风险等级的威胁情报信息的关键词,并将搜索次数是否大于预设次数关键词作为用户感兴趣的关键词,进一步提高了对用户感兴趣的高风险等级的威胁情报信息的展示和识别,以满足用户的需求。
在其中一些实施例中,步骤S203中按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息还可以包括:获取用户信息;确定用户信息对应的区域信息;根据区域信息,筛选出区域信息对应的区域内的威胁情报信息;并按照用户感兴趣的关键词汇总和展示区域信息对应的区域内的威胁情报信息。
在本实施例中,通过根据用户信息对应的区域信息,来进一步的筛选出区域信息对应的区域内的威胁情报信息;并按照用户感兴趣的关键词汇总和展示区域信息对应的区域内的威胁情报信息的方式,可以进一步提高了对用户感兴趣的高风险等级的威胁情报信息的展示和识别,以满足用户的需求。
在其中一些实施例中,将用户感兴趣的威胁情报发送给预设对象,其中,预设对象是由用户预先配置的,预设对象包括以下至少之一:邮件地址、即时通讯账户地址、短信地址。
在本实施例中,通过将用户感兴趣的威胁情报发送给预设对象,可以让预设对象及时的获取到用户感兴趣的威胁情报,提高了获取用户感兴趣的威胁情报的时效性。
其中,通过将用户感兴趣的威胁情报发送给预设对象可以通过确定用户感兴趣的威胁情报的威胁等级;在威胁等级大于预设等级的情况下,将用户感兴趣的威胁情报发送给预设对象。在本实施例中,可以及时的将威胁等级大于预设等级的用户感兴趣的威胁情报发送给预设对象,以便于用户及时的作出对应的应急措施,避免威胁情报造成网络攻击,影响到用户的网络安全,提高了网络安全。
在其中一些实施例中,已训练的机器学习模型的训练方法包括:获取训练样本和初始的机器学习模型,其中,训练样本包括威胁情报信息和与威胁情报信息的特征对应的标签,标签用于表示根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;使用训练样本以监督学习的方式训练初始的机器学习模型,直至参数收敛,得到已训练的机器学习模型。
在本实施例中,通过上述训练样本对初始的机器学习模型进行训练得到经过已训练的机器学习模型,然后再由已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,可以提高从威胁情报信息中确定高风险等级的威胁情报信息的准确性。
在本实施例中,可以通过测试样本来验证经过训练的机器学习模型对高分先等级的预测准确率。其中,测试样本可以是训练样本中的一部分样本,也可以是与训练样本不同的另一组样本。与训练样本一样,测试样本也包括测试威胁情报信息和与测试威胁情报信息的特征对应的标签;标签用于表示测试图像中的威胁情报信息的风险等级。通过将测试威胁情报信息输入到经过训练的机器学习模型中,获得经过训练的机器学习模块输出的标签以确定该经过训练的机器学习模型对威胁情报信息的风险等级进行分类的预测结果,如果该预测结果和与测试威胁情报信息的特征对应的标签表示的风险等级一致,则表明预测正确;否则预测错误。通过统计对测试样本的预测结果的正确率,来确定经过训练的机器学习模块的预测准确率。如果预测准确率大于预设值,则机器学习模型的训练完成,否则通过多次迭代已有训练样本,或者增加新的训练样本继续训练,直至预测准确率达到预设值。
下面通过优选实施例对本申请实施例进行描述和说明。
图3是根据本申请优选实施例的威胁情报的处理方法的流程图。如图3所示,以获取区域单位内的威胁情报信息为例进行描述和说明,该优选流程包括:
步骤S301:通过大数据技术扫描出区域单位的威胁情报信息汇总,按照单位类型,威胁类型分类管理存储。
步骤S302:通过机器学习中的概率学和统计学,根据用户的预设策略,并通过根据用户的预设策略编写一个筛选方式,该筛选方式用于对所获取到的威胁情报信息进行合理性分析以及优化数据(该筛选过程可以等同上述步骤S202中的使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息),得到高风险等级的威胁情报信息,且可以将该高风险等级的威胁情报信息进行提取和存储。
在本步骤中,机器学习中的概率学:可以把扫描出来的威胁情报信息当做样本空间,然后把以往用户设定的判定较为严重的威胁情报信息的一些条件作为事件空间,然后通过概率函数计算出样本中存在较为严重的情报的概率,并且可以根据以往用户设定的判定较为严重条件筛选出来。
步骤S303:在对步骤S302中所提取的高风险等级的威胁情报信息存储后,可以通过网站来对用户展示出存储之后的高风险等级的威胁情报信息,以便于在线实时记录用户操作,并获取用户搜索高风险等级的威胁情报信息所使用的比较频繁(可以是搜索次数大于预设次数的关键词)的关键词。以便于步骤S304根据该搜索的关键词再次训练步骤S302中的机器学习模型,用以进一步优化威胁情报数据。
步骤S304:通过将用户搜索比较频繁的关键字进行汇集,并训练步骤S302中的机器学习模型,以用于进一步优化高风险等级的威胁情报信息,以及再次做针对性的汇总,以便于更直观的表现或发送给用户(可以是上述实施例中的预设对象)。
步骤S305:对所不同区域以及不同单位的所表现的侧重点不一,可以再通过区域性的特质以及通过机器学习的技术进行记录学习,且可以通过用户账号登陆时所使用的用户信息,根据用户信息确定的区域信息,以便于给用户展示所侧重的情报(侧重的情报可以是根据用户感兴趣的关键词提取的高风险等级的威胁情报),并通过一系列的优化分布,例如智能学习分析、汇总;还可以给用户展示更有价值的威胁情报,还可以在所有情报处理后的汇总中,将较为严重威胁情报通过短信,邮件等方式告知用户,以第一时间通知,以便于提高高风险等级的威胁情报信息的展示和通知的时效性。
步骤S302中,提供一种机器学习处理方式能在用多个学习数据进行基于计算机的机器学习时,提高学习速度和机器学习精度,且可以通过威胁情报的严重层度、资产多少或时间长短,来进行分析和/或存储。
步骤S303中,通过对存储的情报(该情报可以是高风险等级的威胁情报信息)进行优化操作可以是在对数据(高风险等级的威胁情报信息)进行处理时,提前通过预设策略,来对一些关键词的搜索进行学习和记录,然后通过学习深化后的数据进行筛选和分析。
步骤S305中,机器学习的学习和分析可以包括下述步骤:
步骤A:在机器学习的算法中充分利用了树形模型,根节点到一个叶子节点是一条分类的路径规则,每个叶子节点象征一个判断类别。先将样本根据区域条件分成不同的子集,再进行分割递推,直至每个子集得到符合设置威胁级别的样本。
步骤B:然后结构化学习思路,以结构化数据为输入,以数值计算或符号推演为方法,结合上述得到的数据(威胁情报写信)再对数据继续进一步的筛选,通过的机器学习的方式对用户操作习惯记录和机器学习中,细化到每个用户的行为习惯(即根据用户的关键词进行展示和汇总),呈现出其用户更想看到的威胁情报。
步骤C:最后将高风险等级的威胁情报输出给用户,也可以通过邮件、短信等方式及时告知方式,以达到更好的时效性。
与相关技术相比,本申请实施例在于克服现有技术中的一些不足,基于现有技术,提供了一种机器学习,过滤筛选出更有效以及更具有价值的高风险等级的威胁情报信息,且再根据用户干西青区的关键词汇总和展示高风险等级的威胁情报信息,从而及时帮助用户更直接得到用户感兴趣的高风险等级的威胁情报信息。
本实施例还提供了一种威胁情报的处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的威胁情报的处理装置的结构框图,如图4所示,该装置包括:
第一获取模块41,用于获取威胁情报信息;
分类模块42,耦合至第一获取模块41,用于使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;
汇总展示模块43,耦合至分类模块42,用于按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息。
在本实施例中,通过第一获取模块41,用于获取威胁情报信息;
分类模块42,耦合至第一获取模块41,用于使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;汇总展示模块43,耦合至分类模块42,用于按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息的方式,解决了相关技术中对未知威胁情报的识别能力差的问题,提高了对未知威胁情报的识别能力。
在其中一些实施例中,第一获取模块41包括:第一获取单元,用于通过大数据技术实时获取威胁情报信息。
在其中一些实施例中,该装置还包括:预处理模块,用于对所述威胁情报信息进行预处理,其中,所述预处理包括:数据过滤、数据补全和数据去重。
在其中一些实施例中,汇总展示模块43包括:第二获取单元,用于获取用户搜索高风险等级的威胁情报信息的关键词;判断单元,用于判断关键词的搜索次数是否大于预设次数;第一汇总展示单元,用于在判断到关键词的搜索次数大于预设次数的情况下,则将关键词作为用户感兴趣的关键词,并按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息。
在其中一些实施例中,汇总展示模块43包括:第三获取单元,用于获取用户信息;确定单元,用于确定用户信息对应的区域信息;筛选单元,用于根据区域信息,筛选出区域信息对应的区域内的威胁情报信息;第二汇总展示单元,用于并按照用户感兴趣的关键词汇总和展示区域信息对应的区域内的威胁情报信息。
在其中一些实施例中,该装置还包括:发送模块,用于将所述用户感兴趣的威胁情报发送给预设对象,其中,所述预设对象是由用户预先配置的,所述预设对象包括以下至少之一:邮件地址、即时通讯账户地址、短信地址。
在其中一些实施例中,该装置还包括:第二获取模块,用于获取训练样本和初始的机器学习模型,其中,训练样本包括威胁情报信息和与威胁情报信息的特征对应的标签,标签用于表示根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;训练模块,用于使用训练样本以监督学习的方式训练初始的机器学习模型,直至参数收敛,得到已训练的机器学习模型。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S201,获取威胁情报信息。
S202,使用已训练的机器学习模型对威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类。
S203,按照用户感兴趣的关键词汇总和展示高风险等级的威胁情报信息。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的威胁情报的处理方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种威胁情报的处理方法。
本领域的技术人员应该明白,以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种威胁情报的处理方法,其特征在于,包括:
获取威胁情报信息;
使用已训练的机器学习模型对所述威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,所述已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;
按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息。
2.根据权利要求1所述的威胁情报的处理方法,其特征在于,获取威胁情报信息包括:
通过大数据技术实时获取威胁情报信息。
3.根据权利要求1所述的威胁情报的处理方法,其特征在于,使用已训练的机器学习模型分析所述威胁情报信息之前,所述方法还包括:
对所述威胁情报信息进行预处理,其中,所述预处理包括:数据过滤、数据补全和数据去重。
4.根据权利要求1所述的威胁情报的处理方法,其特征在于,按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息包括:
获取用户搜索高风险等级的威胁情报信息的关键词;
判断所述关键词的搜索次数是否大于预设次数;
在判断到所述关键词的搜索次数大于预设次数的情况下,则将所述关键词作为所述用户感兴趣的关键词,并按照所述用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息。
5.根据权利要求1所述的威胁情报的处理方法,其特征在于,按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息包括:
获取用户信息;
确定用户信息对应的区域信息;
根据所述区域信息,筛选出所述区域信息对应的区域内的威胁情报信息;
并按照所述用户感兴趣的关键词汇总和展示所述区域信息对应的区域内的威胁情报信息。
6.根据权利要求1所述的威胁情报的处理方法,其特征在于,按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息之后,所述方法还包括:
将按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息发送给预设对象,其中,所述预设对象是由用户预先配置的,所述预设对象包括以下至少之一:邮件地址、即时通讯账户地址、短信地址。
7.根据权利要求1所述的威胁情报的处理方法,其特征在于,已训练的机器学习模型的训练方法包括:
获取训练样本和初始的机器学习模型,其中,所述训练样本包括威胁情报信息和与所述威胁情报信息的特征对应的标签,所述标签用于表示根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;
使用所述训练样本以监督学习的方式训练所述初始的机器学习模型,直至参数收敛,得到所述已训练的机器学习模型。
8.一种威胁情报的处理装置,其特征在于,包括:
第一获取模块,用于获取威胁情报信息;
分类模块,用于使用已训练的机器学习模型对所述威胁情报信息进行分类,得到高风险等级的威胁情报信息,其中,所述已训练的机器学习模型被训练为根据威胁情报信息的特征对威胁情报信息的风险等级进行分类;
汇总展示模块,用于按照用户感兴趣的关键词汇总和展示所述高风险等级的威胁情报信息。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的威胁情报的处理方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的威胁情报的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010805647.7A CN112070120A (zh) | 2020-08-12 | 2020-08-12 | 威胁情报的处理方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010805647.7A CN112070120A (zh) | 2020-08-12 | 2020-08-12 | 威胁情报的处理方法、装置、电子装置和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112070120A true CN112070120A (zh) | 2020-12-11 |
Family
ID=73661195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010805647.7A Withdrawn CN112070120A (zh) | 2020-08-12 | 2020-08-12 | 威胁情报的处理方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112070120A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112671744A (zh) * | 2020-12-17 | 2021-04-16 | 杭州安恒信息技术股份有限公司 | 一种威胁情报信息处理方法、装置、设备及存储介质 |
| CN113014375A (zh) * | 2021-03-04 | 2021-06-22 | 华控清交信息科技(北京)有限公司 | 网络威胁情报信息的跨组织处理方法、相关装置和介质 |
| CN113139025A (zh) * | 2021-05-14 | 2021-07-20 | 恒安嘉新(北京)科技股份公司 | 一种威胁情报的评价方法、装置、设备及存储介质 |
| CN113221535A (zh) * | 2021-05-31 | 2021-08-06 | 南方电网数字电网研究院有限公司 | 情报处理方法、装置、计算机设备和存储介质 |
| CN113381980A (zh) * | 2021-05-13 | 2021-09-10 | 优刻得科技股份有限公司 | 信息安全防御方法及系统、电子设备、存储介质 |
| CN113420150A (zh) * | 2021-07-06 | 2021-09-21 | 北京信安天途科技有限公司 | 威胁情报知识检测方法、装置、计算设备及存储介质 |
| CN113992371A (zh) * | 2021-10-18 | 2022-01-28 | 安天科技集团股份有限公司 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107451710A (zh) * | 2017-04-27 | 2017-12-08 | 北京鼎泰智源科技有限公司 | 一种信息风险等级五级分类方法及系统 |
| CN108399194A (zh) * | 2018-01-29 | 2018-08-14 | 中国科学院信息工程研究所 | 一种网络威胁情报生成方法及系统 |
| US20190156191A1 (en) * | 2017-11-17 | 2019-05-23 | International Business Machines Corporation | Detecting personal danger using a deep learning system |
| CN109871683A (zh) * | 2019-01-24 | 2019-06-11 | 深圳昂楷科技有限公司 | 一种数据库防护系统及方法 |
-
2020
- 2020-08-12 CN CN202010805647.7A patent/CN112070120A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107451710A (zh) * | 2017-04-27 | 2017-12-08 | 北京鼎泰智源科技有限公司 | 一种信息风险等级五级分类方法及系统 |
| US20190156191A1 (en) * | 2017-11-17 | 2019-05-23 | International Business Machines Corporation | Detecting personal danger using a deep learning system |
| CN108399194A (zh) * | 2018-01-29 | 2018-08-14 | 中国科学院信息工程研究所 | 一种网络威胁情报生成方法及系统 |
| CN109871683A (zh) * | 2019-01-24 | 2019-06-11 | 深圳昂楷科技有限公司 | 一种数据库防护系统及方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112671744A (zh) * | 2020-12-17 | 2021-04-16 | 杭州安恒信息技术股份有限公司 | 一种威胁情报信息处理方法、装置、设备及存储介质 |
| CN113014375A (zh) * | 2021-03-04 | 2021-06-22 | 华控清交信息科技(北京)有限公司 | 网络威胁情报信息的跨组织处理方法、相关装置和介质 |
| CN113381980B (zh) * | 2021-05-13 | 2022-11-22 | 优刻得(上海)数据科技有限公司 | 信息安全防御方法及系统、电子设备、存储介质 |
| CN113381980A (zh) * | 2021-05-13 | 2021-09-10 | 优刻得科技股份有限公司 | 信息安全防御方法及系统、电子设备、存储介质 |
| CN113139025A (zh) * | 2021-05-14 | 2021-07-20 | 恒安嘉新(北京)科技股份公司 | 一种威胁情报的评价方法、装置、设备及存储介质 |
| CN113139025B (zh) * | 2021-05-14 | 2024-06-07 | 恒安嘉新(北京)科技股份公司 | 一种威胁情报的评价方法、装置、设备及存储介质 |
| CN113221535B (zh) * | 2021-05-31 | 2023-03-28 | 南方电网数字电网研究院有限公司 | 情报处理方法、装置、计算机设备和存储介质 |
| CN113221535A (zh) * | 2021-05-31 | 2021-08-06 | 南方电网数字电网研究院有限公司 | 情报处理方法、装置、计算机设备和存储介质 |
| CN113420150A (zh) * | 2021-07-06 | 2021-09-21 | 北京信安天途科技有限公司 | 威胁情报知识检测方法、装置、计算设备及存储介质 |
| CN113992371A (zh) * | 2021-10-18 | 2022-01-28 | 安天科技集团股份有限公司 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
| CN113992371B (zh) * | 2021-10-18 | 2023-08-18 | 安天科技集团股份有限公司 | 一种流量日志的威胁标签生成方法、装置及电子设备 |
| CN114884712A (zh) * | 2022-04-26 | 2022-08-09 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
| CN114884712B (zh) * | 2022-04-26 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种网络资产风险级别信息确定方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112070120A (zh) | 威胁情报的处理方法、装置、电子装置和存储介质 | |
| CN109271512B (zh) | 舆情评论信息的情感分析方法、装置及存储介质 | |
| CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| JP5990284B2 (ja) | キャラクター・ヒストグラムを用いるスパム検出のシステムおよび方法 | |
| US9130778B2 (en) | Systems and methods for spam detection using frequency spectra of character strings | |
| CN108319672B (zh) | 基于云计算的移动终端不良信息过滤方法及系统 | |
| CN106960153B (zh) | 病毒的类型识别方法及装置 | |
| CN112463859B (zh) | 基于大数据和业务分析的用户数据处理方法及服务器 | |
| CN112749280A (zh) | 网络舆情的分类方法、装置、电子装置和存储介质 | |
| CN112884121A (zh) | 基于生成对抗深度卷积网络的流量识别方法 | |
| CN114049508B (zh) | 一种基于图片聚类和人工研判的诈骗网站识别方法及系统 | |
| CN110765261A (zh) | 潜在专利纠纷的监控方法、装置、服务器和存储介质 | |
| CN112347100B (zh) | 数据库索引优化方法、装置、计算机设备和存储介质 | |
| CN116032741A (zh) | 一种设备识别方法、装置、电子设备和计算机存储介质 | |
| CN104933178A (zh) | 官方网站确定方法及系统 | |
| CN112199388A (zh) | 陌电识别方法、装置、电子设备及存储介质 | |
| CN113254672B (zh) | 异常账号的识别方法、系统、设备及可读存储介质 | |
| CN116263906A (zh) | 驿站选址的确定方法、装置及存储介质 | |
| CN114218569A (zh) | 数据分析方法、装置、设备、介质和产品 | |
| CN113691525A (zh) | 一种流量数据处理方法、装置、设备及存储介质 | |
| CN115964478A (zh) | 网络攻击检测方法、模型训练方法及装置、设备及介质 | |
| CN112073360A (zh) | 超文本传输数据的检测方法、装置、终端设备及介质 | |
| CN114338205B (zh) | 目标ip地址的获取方法、装置、电子设备及存储介质 | |
| CN115499234A (zh) | 基于人工智能的社区安全预警方法及系统 | |
| CN108268552B (zh) | 网站信息的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20201211 |