CN112671744A - 一种威胁情报信息处理方法、装置、设备及存储介质 - Google Patents
一种威胁情报信息处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112671744A CN112671744A CN202011496421.XA CN202011496421A CN112671744A CN 112671744 A CN112671744 A CN 112671744A CN 202011496421 A CN202011496421 A CN 202011496421A CN 112671744 A CN112671744 A CN 112671744A
- Authority
- CN
- China
- Prior art keywords
- information
- threat
- exogenous
- sample
- grade
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 36
- 238000003672 processing method Methods 0.000 title claims abstract description 23
- 238000004458 analytical method Methods 0.000 claims abstract description 59
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000012549 training Methods 0.000 claims abstract description 20
- 230000008569 process Effects 0.000 claims abstract description 15
- 230000002159 abnormal effect Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 6
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000003066 decision tree Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种威胁情报信息处理方法、装置、设备及存储介质。该方法的步骤包括:获取由第三方平台产生的外源威胁情报信息;提取外源威胁情报信息在多个目标维度下的外源信息特征;将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级;其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。本方法实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。此外,本申请还提供一种威胁情报信息处理装置、设备及存储介质,有益效果同上所述。
Description
技术领域
本申请涉及网络安全领域,特别是涉及一种威胁情报信息处理方法、装置、设备及存储介质。
背景技术
随着威胁情报信息共享数据的快速增长,以及网络安全防御的升级,给威胁情报信息产品和共享平台带来了新的发展。建立以威胁情报信息为核心的安全防御系统进行安全事件的发现及网络安全威胁的预警成为重中之重。
威胁情报信息(Cyber Threat Intelligence,CTI)指收集证据知识的任务,包括关于现存的或潜在威胁和风险的背景、机制、指标、意义和行动的建议,可用于对威胁或风险做出响应的决策。
当前,威胁情报信息往往通过海量多源的途径获取,因此获取得到的威胁情报信息的质量往往参差不齐,威胁情报信息掺杂着大量混淆和失效的错误情报,如何分析威胁情报信息的可信度等级,进而确保使用威胁情报信息时的可靠性,是本领域技术人员关注的重点。
由此可见,提供一种威胁情报信息处理方法,以实现对威胁情报信息的可信度等级的分析,进而确保使用威胁情报信息过程的可靠性,是本领域技术人员需要解决的问题。
发明内容
本申请的目的是提供一种威胁情报信息处理方法,以实现对威胁情报信息的可信度等级的分析,进而确保使用威胁情报信息过程的可靠性。
为解决上述技术问题,本申请提供一种威胁情报信息处理方法,包括:
获取由第三方平台产生的外源威胁情报信息;
提取外源威胁情报信息在多个目标维度下的外源信息特征;
将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级;其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
优选地,等级分析模型的生成过程包括:
获取威胁情报信息样本;
获取威胁情报信息样本的样本可信度等级;
提取威胁情报信息样本在目标维度下的情报信息特征样本;
将情报信息特征样本输入至GBDT模型;
调整GBDT模型的模型参数,直至GBDT模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内,并将调整后的GBDT模型设置为等级分析模型。
优选地,方法还包括:
获取本地系统产生的内源威胁情报信息;
统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度;
判断相似度是否达到预设阈值;
若相似度达到预设阈值,则将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
优选地,外源威胁情报信息以及内源威胁情报信息的信息格式均为STIX格式;
相应的,统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度,包括:
统计内源威胁情报信息与外源威胁情报信息之间,在STIX格式中各属性维度的属性值相同的频次;
基于各属性维度对应的频次以及权重值生成相似度。
优选地,提取外源威胁情报信息在多个目标维度下的外源信息特征,包括:
提取外源威胁情报信息在情报可读性、情报源权威性、相似情报数量、异常IP地址数量、异常域名数量、异常URL数量、异常文本数量、首次出现时间、最近更新时间以及最近预设次更新时刻间隔时长中,任意多个维度下的外源信息特征。
此外,本申请还提供一种威胁情报信息处理装置,包括:
外源情报获取模块,用于获取由第三方平台产生的外源威胁情报信息;
外源特征提取模块,用于提取外源威胁情报信息在多个目标维度下的外源信息特征;
模型分析模块,用于将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级;其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
优选地,还包括:
样本获取模块,用于获取威胁情报信息样本;
等级获取模块,用于获取威胁情报信息样本的样本可信度等级;
特征样本提取模块,用于提取威胁情报信息样本在目标维度下的情报信息特征样本;
模型输入模块,用于将情报信息特征样本输入至GBDT模型;
调参训练模块,用于调整GBDT模型的模型参数,直至GBDT模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内,并将调整后的GBDT模型设置为等级分析模型。
优选地,还包括:
内源情报获取模块,用于获取本地系统产生的内源威胁情报信息;
相似度统计模块,用于统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度;
阈值判断模块,用于判断相似度是否达到预设阈值,若是,则调用可信度设置模块;
可信度设置模块,用于将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
此外,本申请还提供一种威胁情报信息处理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的威胁情报信息处理方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的威胁情报信息处理方法的步骤。
本申请所提供的威胁情报信息处理方法,首先获取由第三方平台产生的外源威胁情报信息,进而提取外源威胁情报信息在多个目标维度下的情报信息特征,并将各外源信息特征输入至等级分析模型,由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。由于GBDT模型是一种采用决策树或回归树作为弱分类器的梯度提升算法,允许用多个不同的判决条件将不同特征关联起来,适合于产生不同结果的特征的联合,而本方法中的等级分析模型基于GBDT模型训练得到,因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析,生成外源威胁情报信息的可信度等级,实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。此外,本申请还提供一种威胁情报信息处理装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种威胁情报信息处理方法的流程图;
图2为本申请实施例公开的一种威胁情报信息处理装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
当前,威胁情报信息往往通过海量多源的途径获取,因此获取得到的威胁情报信息的质量往往参差不齐,威胁情报信息掺杂着大量混淆和失效的错误情报,如何分析威胁情报信息的可信度等级,进而确保使用威胁情报信息时的可靠性,是本领域技术人员关注的重点。
为此,本申请的核心是提供一种威胁情报信息处理方法,以实现对威胁情报信息的可信度等级的分析,进而确保使用威胁情报信息过程的可靠性。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
请参见图1所示,本申请实施例公开了一种威胁情报信息处理方法,包括:
步骤S10:获取由第三方平台产生的外源威胁情报信息。
需要说明的是,本步骤中获取的外源威胁情报信息由第三方平台产生,第三方平台指的是本地系统平台以外的系统平台。第三方平台包括但不限于开源的威胁情报平台或情报提供商,在此基础上,获取由第三方平台产生的外源威胁情报信息时,一方面可以通过爬虫从开源平台上收集外源威胁情报信息,另一方面可以通过调用情报提供商开放的API(Application Programming Interface,应用程序接口)获取情报。
步骤S11:提取外源威胁情报信息在多个目标维度下的外源信息特征。
在获取到由第三方平台产生的外源威胁情报信息之后,本步骤进一步提取外源威胁情报信息在多个目标维度下的外源信息特征,外源信息特征指的是外源威胁情报信息所包含的信息内容具有的特征。本步骤提取外源信息特征的目的是在后续步骤中通过等级分析模型对各个维度的外源信息特征进行综合分析。
步骤S12:将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级。
其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
在获取到外源威胁情报信息在多个目标维度下的外源信息特征之后,本步骤进一步将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本以及威胁情报信息样本的样本可信度等级,对GBDT模型进行训练得到的。其中,GBDT(Gradient BoostingDecision Tree,梯度提升决策树)模型,是利用前一轮迭代弱学习器的误差率来更新训练集的权重,通过不断地梯度下降学习最后得到一个强的学习器来进行样本数据的预测。
本申请所提供的威胁情报信息处理方法,首先获取由第三方平台产生的外源威胁情报信息,进而提取外源威胁情报信息在多个目标维度下的情报信息特征,并将各外源信息特征输入至等级分析模型,由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。由于GBDT模型是一种采用决策树或回归树作为弱分类器的梯度提升算法,允许用多个不同的判决条件将不同特征关联起来,适合于产生不同结果的特征的联合,而本方法中的等级分析模型基于GBDT模型训练得到,因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析,生成外源威胁情报信息的可信度等级,实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。
在上述实施例的基础上,作为一种优选的实施方式,等级分析模型的生成过程包括:
获取威胁情报信息样本;
获取威胁情报信息样本的样本可信度等级;
提取威胁情报信息样本在目标维度下的情报信息特征样本;
将情报信息特征样本输入至GBDT模型;
调整GBDT模型的模型参数,直至GBDT模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内,并将调整后的GBDT模型设置为等级分析模型。
需要说明的是,本实施方式的重点在于,生成等级分析模型的过程中,首先获取威胁情报信息样本,此处的威胁情报信息样本指的是用于对GBDT模型进行训练的外源威胁情报信息。在获取到威胁情报信息样本的基础上,进一步获取威胁情报信息样本的样本可信度等级,样本可信度等级可以是技术人员根据等级设定标准或等级设定经验,预先对威胁情报信息样本设定的可信度等级。获取威胁情报信息样本的步骤以及获取威胁情报信息样本的样本可信度等级的步骤,在执行时无固定的先后顺序,也可以同时执行。在获取威胁情报信息样本之后,本实施方式进一步提取威胁情报信息样本在目标维度下的情报信息特征样本,进而将情报信息特征样本输入至GBDT模型,在此基础上,GBDT模型会根据情报信息特征样本生成相应的等级结果,而等级结果与样本可信度等级之间往往存在一定的差距,因此在生成等级结果后,需要进一步调整GBDT模型的模型参数,直至GBDT模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内,并将调整后的GBDT模型设置为最终的等级分析模型。本实施方式进一步确保了基于GBDT模型训练得到等级分析模型的可靠性。
在上述实施例的基础上,作为一种优选的实施方式,方法还包括:
获取本地系统产生的内源威胁情报信息;
统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度;
判断相似度是否达到预设阈值;
若相似度达到预设阈值,则将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
需要说明的是,本实施方式的重点在于,进一步获取本地系统产生的内源威胁情报信息,进而统计内源威胁情报信息与外源威胁情报信息之间在属性值方面的相似度,并根据相似度是否达到预设阈值的方式判定外源威胁情报信息与内源威胁情报信息之间的可信度等级是否一致,进而当相似度达到预设阈值时,将将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。本实施方式进一步实现了对于本地系统产生的内源威胁情报信息的可信度等级的分析,进一步确保了使用威胁情报信息过程的可靠性。
更进一步的,作为一种优选的实施方式,外源威胁情报信息以及内源威胁情报信息的信息格式均为STIX格式;
相应的,统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度,包括:
统计内源威胁情报信息与外源威胁情报信息之间,在STIX格式中各属性维度的属性值相同的频次;
基于各属性维度对应的频次以及权重值生成相似度。
需要说明的是,在本实施方式中,外源威胁情报信息以及内源威胁情报信息的信息格式均为STIX(Structured Threat Information Expression)格式,
STIX是一种用于交换网络威胁情报的语言和序列化格式,由若干维度的网络威胁信息组成,如:网络可观察量、指示器、事件、对手的TTP(Tactics、Techniques和Procedures,战术、技术和过程),攻击目标和威胁发起者等。这样格式的威胁情报可以让安全分析人员更快速明确地了解到他们可能面临的基于计算机的网络攻击、从而更快更有效地预测和响应。在此基础上,本实施方式统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度时,具体是统计内源威胁情报信息与各外源威胁情报信息之间,在STIX格式中各属性维度的属性值相同的频次,属性值相同的频次表征的即为内源威胁情报信息与外源威胁情报信息近似的频次,进而基于各属性维度对应的频次以及权重值生成相似度。另外,本实施方式中的权重值表征的是,属性维度在STIX格式中的重要程度,属性维度的权重值决定计算相似度过程中,该属性维度所对应频次的运算比重。本是实施方式进一步提高了统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度过程的可靠性。
在上述一系列实施例的基础上,作为一种优选的实施方式,提取外源威胁情报信息在多个目标维度下的外源信息特征,包括:
提取外源威胁情报信息在情报可读性、情报源权威性、相似情报数量、异常IP地址数量、异常域名数量、异常URL数量、异常文本数量、首次出现时间、最近更新时间以及最近预设次更新时刻间隔时长中,任意多个维度下的外源信息特征。
需要说明的是,本实施方式中的情报可读性指的是外源威胁情报信息是能够被设备正常读取;情报源权威性指的是外源威胁情报信息的来源的可信程度;相似情报数量指的是与特定外源威胁情报信息相似的其它外源威胁情报信息的数量;异常IP地址数量指的是外源威胁情报信息中包含的恶意IP地址的数量;异常域名数量指的是外源威胁情报信息中包含的恶意域名的数量;异常URL数量指的是外源威胁情报信息中包含恶意URL的数量;异常文本数量指的是外源威胁情报信息中包含记录异常内容文本的数量;首次出现时间指的是外源威胁情报信息第一次生成的时间;最近更新时间指的是外源威胁情报信息最近一次更新的时间;最近预设次更新时刻间隔时长指的是外源威胁情报信息最近预设次更新时刻之间间隔的时长。本实施方式进一步提高了在外源威胁情报信息中提取的外源信息特征的多样性,确保了对威胁情报信息的可信度等级进行分析的准确性。
请参见图2所示,本申请实施例公开了一种威胁情报信息处理装置,包括:
外源情报获取模块10,用于获取由第三方平台产生的外源威胁情报信息;
外源特征提取模块11,用于提取外源威胁情报信息在多个目标维度下的外源信息特征;
模型分析模块12,用于将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级;其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
此外,作为一种优选的实施方式,还包括:
样本获取模块,用于获取威胁情报信息样本;
等级获取模块,用于获取威胁情报信息样本的样本可信度等级;
特征样本提取模块,用于提取威胁情报信息样本在目标维度下的情报信息特征样本;
模型输入模块,用于将情报信息特征样本输入至GBDT模型;
调参训练模块,用于调整GBDT模型的模型参数,直至GBDT模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内,并将调整后的GBDT模型设置为等级分析模型。
此外,作为一种优选的实施方式,还包括:
内源情报获取模块,用于获取本地系统产生的内源威胁情报信息;
相似度统计模块,用于统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度;
阈值判断模块,用于判断相似度是否达到预设阈值,若是,则调用可信度设置模块;
可信度设置模块,用于将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
本申请所提供的威胁情报信息处理装置,首先获取由第三方平台产生的外源威胁情报信息,进而提取外源威胁情报信息在多个目标维度下的情报信息特征,并将各外源信息特征输入至等级分析模型,由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。由于GBDT模型是一种采用决策树或回归树作为弱分类器的梯度提升算法,允许用多个不同的判决条件将不同特征关联起来,适合于产生不同结果的特征的联合,而本装置中的等级分析模型基于GBDT模型训练得到,因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析,生成外源威胁情报信息的可信度等级,实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。
此外,本申请还提供一种威胁情报信息处理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的威胁情报信息处理方法的步骤。
本申请所提供的威胁情报信息处理设备,首先获取由第三方平台产生的外源威胁情报信息,进而提取外源威胁情报信息在多个目标维度下的情报信息特征,并将各外源信息特征输入至等级分析模型,由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。由于GBDT模型是一种采用决策树或回归树作为弱分类器的梯度提升算法,允许用多个不同的判决条件将不同特征关联起来,适合于产生不同结果的特征的联合,而本设备中的等级分析模型基于GBDT模型训练得到,因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析,生成外源威胁情报信息的可信度等级,实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的威胁情报信息处理方法的步骤。
本申请所提供的计算机可读存储介质,首先获取由第三方平台产生的外源威胁情报信息,进而提取外源威胁情报信息在多个目标维度下的情报信息特征,并将各外源信息特征输入至等级分析模型,由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。由于GBDT模型是一种采用决策树或回归树作为弱分类器的梯度提升算法,允许用多个不同的判决条件将不同特征关联起来,适合于产生不同结果的特征的联合,而本计算机可读存储介质中的等级分析模型基于GBDT模型训练得到,因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析,生成外源威胁情报信息的可信度等级,实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。
以上对本申请所提供的一种威胁情报信息处理方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种威胁情报信息处理方法,其特征在于,包括:
获取由第三方平台产生的外源威胁情报信息;
提取所述外源威胁情报信息在多个目标维度下的外源信息特征;
将各所述外源信息特征输入至等级分析模型,得到所述外源威胁情报信息的可信度等级;其中,所述等级分析模型基于威胁情报信息样本的在所述目标维度下的情报信息特征样本,以及所述威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
2.根据权利要求1所述的威胁情报信息处理方法,其特征在于,所述等级分析模型的生成过程包括:
获取所述威胁情报信息样本;
获取所述威胁情报信息样本的样本可信度等级;
提取所述威胁情报信息样本在所述目标维度下的所述情报信息特征样本;
将所述情报信息特征样本输入至所述GBDT模型;
调整所述GBDT模型的模型参数,直至所述GBDT模型输出的等级结果与所述样本可信度等级之间的等级差值在预设差值范围内,并将调整后的所述GBDT模型设置为所述等级分析模型。
3.根据权利要求1所述的威胁情报信息处理方法,其特征在于,所述方法还包括:
获取本地系统产生的内源威胁情报信息;
统计所述内源威胁情报信息与所述外源威胁情报信息之间属性值的相似度;
判断所述相似度是否达到预设阈值;
若所述相似度达到所述预设阈值,则将所述外源威胁情报信息的可信度等级设置为所述内源威胁情报信息的可信度等级。
4.根据权利要求3所述的威胁情报信息处理方法,其特征在于,所述外源威胁情报信息以及所述内源威胁情报信息的信息格式均为STIX格式;
相应的,所述统计所述内源威胁情报信息与所述外源威胁情报信息之间属性值的相似度,包括:
统计所述内源威胁情报信息与所述外源威胁情报信息之间,在STIX格式中各属性维度的属性值相同的频次;
基于各所述属性维度对应的频次以及权重值生成所述相似度。
5.根据权利要求1至4任意一项所述的威胁情报信息处理方法,其特征在于,所述提取所述外源威胁情报信息在多个目标维度下的外源信息特征,包括:
提取所述外源威胁情报信息在情报可读性、情报源权威性、相似情报数量、异常IP地址数量、异常域名数量、异常URL数量、异常文本数量、首次出现时间、最近更新时间以及最近预设次更新时刻间隔时长中,任意多个维度下的所述外源信息特征。
6.一种威胁情报信息处理装置,其特征在于,包括:
外源情报获取模块,用于获取由第三方平台产生的外源威胁情报信息;
外源特征提取模块,用于提取所述外源威胁情报信息在多个目标维度下的外源信息特征;
模型分析模块,用于将各所述外源信息特征输入至等级分析模型,得到所述外源威胁情报信息的可信度等级;其中,所述等级分析模型基于威胁情报信息样本的在所述目标维度下的情报信息特征样本,以及所述威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
7.根据权利要求6所述的威胁情报信息处理装置,其特征在于,还包括:
样本获取模块,用于获取所述威胁情报信息样本;
等级获取模块,用于获取所述威胁情报信息样本的样本可信度等级;
特征样本提取模块,用于提取所述威胁情报信息样本在所述目标维度下的所述情报信息特征样本;
模型输入模块,用于将所述情报信息特征样本输入至所述GBDT模型;
调参训练模块,用于调整所述GBDT模型的模型参数,直至所述GBDT模型输出的等级结果与所述样本可信度等级之间的等级差值在预设差值范围内,并将调整后的所述GBDT模型设置为所述等级分析模型。
8.根据权利要求6所述的威胁情报信息处理装置,其特征在于,还包括:
内源情报获取模块,用于获取本地系统产生的内源威胁情报信息;
相似度统计模块,用于统计所述内源威胁情报信息与所述外源威胁情报信息之间属性值的相似度;
阈值判断模块,用于判断所述相似度是否达到预设阈值,若是,则调用可信度设置模块;
所述可信度设置模块,用于将所述外源威胁情报信息的可信度等级设置为所述内源威胁情报信息的可信度等级。
9.一种威胁情报信息处理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述的威胁情报信息处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的威胁情报信息处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011496421.XA CN112671744A (zh) | 2020-12-17 | 2020-12-17 | 一种威胁情报信息处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011496421.XA CN112671744A (zh) | 2020-12-17 | 2020-12-17 | 一种威胁情报信息处理方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112671744A true CN112671744A (zh) | 2021-04-16 |
Family
ID=75404815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011496421.XA Pending CN112671744A (zh) | 2020-12-17 | 2020-12-17 | 一种威胁情报信息处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671744A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113468384A (zh) * | 2021-07-20 | 2021-10-01 | 山石网科通信技术股份有限公司 | 网络情报源信息的处理方法、装置、存储介质及处理器 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108171207A (zh) * | 2018-01-17 | 2018-06-15 | 百度在线网络技术(北京)有限公司 | 基于视频序列的人脸识别方法和装置 |
| CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
| CN110135943A (zh) * | 2019-04-12 | 2019-08-16 | 中国平安财产保险股份有限公司 | 产品推荐方法、装置、计算机设备和存储介质 |
| US20190334942A1 (en) * | 2018-04-30 | 2019-10-31 | Microsoft Technology Licensing, Llc | Techniques for curating threat intelligence data |
| CN110458425A (zh) * | 2019-07-25 | 2019-11-15 | 腾讯科技(深圳)有限公司 | 风险主体的风险分析方法、装置、可读介质及电子设备 |
| CN111782967A (zh) * | 2020-07-02 | 2020-10-16 | 奇安信科技集团股份有限公司 | 信息处理方法、装置、电子设备和计算机可读存储介质 |
| CN112019519A (zh) * | 2020-08-06 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 网络安全情报威胁度的检测方法、装置和电子装置 |
| CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
-
2020
- 2020-12-17 CN CN202011496421.XA patent/CN112671744A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108171207A (zh) * | 2018-01-17 | 2018-06-15 | 百度在线网络技术(北京)有限公司 | 基于视频序列的人脸识别方法和装置 |
| CN108600212A (zh) * | 2018-04-19 | 2018-09-28 | 北京邮电大学 | 基于多维度可信特征的威胁情报可信性判别方法及装置 |
| US20190334942A1 (en) * | 2018-04-30 | 2019-10-31 | Microsoft Technology Licensing, Llc | Techniques for curating threat intelligence data |
| CN110135943A (zh) * | 2019-04-12 | 2019-08-16 | 中国平安财产保险股份有限公司 | 产品推荐方法、装置、计算机设备和存储介质 |
| CN110458425A (zh) * | 2019-07-25 | 2019-11-15 | 腾讯科技(深圳)有限公司 | 风险主体的风险分析方法、装置、可读介质及电子设备 |
| CN111782967A (zh) * | 2020-07-02 | 2020-10-16 | 奇安信科技集团股份有限公司 | 信息处理方法、装置、电子设备和计算机可读存储介质 |
| CN112019519A (zh) * | 2020-08-06 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 网络安全情报威胁度的检测方法、装置和电子装置 |
| CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| Y. GAO ET AL;: "Graph Mining-based Trust Evaluation Mechanism with Multidimensional Features for Large-scale Heterogeneous Threat Intelligence", 《IEEE》 * |
| 刘汉生等: "基于机器学习的多源威胁情报质量评价方法", 《电信科学》 * |
| 李蕾: "网络空间中威胁情报可信度多维度分析模型研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113472788B (zh) * | 2021-06-30 | 2023-09-08 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113468384A (zh) * | 2021-07-20 | 2021-10-01 | 山石网科通信技术股份有限公司 | 网络情报源信息的处理方法、装置、存储介质及处理器 |
| CN113468384B (zh) * | 2021-07-20 | 2023-11-03 | 山石网科通信技术股份有限公司 | 网络情报源信息的处理方法、装置、存储介质及处理器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3651043B1 (en) | Url attack detection method and apparatus, and electronic device | |
| EP3574430B1 (en) | Continuous learning for intrusion detection | |
| CN106447239B (zh) | 一种数据发布的审核方法及装置 | |
| CN108347430A (zh) | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 | |
| CN108449342A (zh) | 恶意请求检测方法及装置 | |
| CN105897714A (zh) | 基于dns流量特征的僵尸网络检测方法 | |
| CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
| CN113656807B (zh) | 一种漏洞管理方法、装置、设备及存储介质 | |
| CN110177114A (zh) | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 | |
| CN112671744A (zh) | 一种威胁情报信息处理方法、装置、设备及存储介质 | |
| CN106534146A (zh) | 一种安全监测系统及方法 | |
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| US11687717B2 (en) | System and method for monitoring and routing of computer traffic for cyber threat risk embedded in electronic documents | |
| CN107665164A (zh) | 安全数据检测方法和装置 | |
| Wang et al. | Intelligent prediction of vulnerability severity level based on text mining and XGBboost | |
| CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
| US20190372998A1 (en) | Exchange-type attack simulation device, exchange-type attack simulation method, and computer readable medium | |
| CN113691552B (zh) | 威胁情报有效性评估方法、装置、系统及计算机存储介质 | |
| EP3722974B1 (en) | Collecting apparatus, collection method, and collection program | |
| CN116319065A (zh) | 一种应用于商业运维的威胁态势分析方法和系统 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN116633567A (zh) | 模拟攻击杀伤链的方法、装置、存储介质及电子设备 | |
| CN113515771A (zh) | 数据敏感度判定方法、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210416 |
|
| RJ01 | Rejection of invention patent application after publication |