CN112769803A - 网络威胁的检测方法、装置和电子设备 - Google Patents

网络威胁的检测方法、装置和电子设备 Download PDF

Info

Publication number
CN112769803A
CN112769803A CN202011632893.3A CN202011632893A CN112769803A CN 112769803 A CN112769803 A CN 112769803A CN 202011632893 A CN202011632893 A CN 202011632893A CN 112769803 A CN112769803 A CN 112769803A
Authority
CN
China
Prior art keywords
data
detected
detection model
threat detection
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011632893.3A
Other languages
English (en)
Other versions
CN112769803B (zh
Inventor
刘超
周晓阳
王卓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202011632893.3A priority Critical patent/CN112769803B/zh
Publication of CN112769803A publication Critical patent/CN112769803A/zh
Application granted granted Critical
Publication of CN112769803B publication Critical patent/CN112769803B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本公开提供一种网络威胁的检测方法、装置和电子设备。通过将待检测数据输入至威胁检测模型,得到待检测数据的第一置信度,接收用户对待检测数据标识的第二置信度,根据待检测数据和第二置信度,得到目标样本,根据目标样本更新威胁检测模型。从而使得威胁检测模型可以根据用户反馈的威胁检测模型的检测结果的情况,动态更新威胁检测模型,从而使得威胁检测模型检测威胁的准确度更高。

Description

网络威胁的检测方法、装置和电子设备
技术领域
本公开涉及信息安全技术领域,尤其涉及一种网络威胁的检测方法、装置和电子设备。
背景技术
随着大数据技术的发展,攻击者常常向企业或组织发起针对性的网络攻击,以获取经济利益。新的攻击手段和安全威胁层出不穷,传统的防火墙已无法阻挡黑客的攻击。
现有技术中,通过从开源的威胁情报中提取威胁关键字,在接收到的数据中,检索该威胁关键字,从而确定威胁,并阻断威胁。
然而,开源情报多且杂乱,关键字不易提取,且关键字无法涵盖到大部分威胁的特征,因此,采用上述搜索关键字进行阻断威胁,效率不高。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络威胁的检测方法、装置和电子设备。
第一方面,本公开提供了一种网络威胁的检测方法,包括:
将待检测数据输入至威胁检测模型,得到所述待检测数据的第一置信度;
接收用户对所述待检测数据标识的第二置信度;
根据所述待检测数据和所述第二置信度,得到目标样本;
根据所述目标样本更新所述威胁检测模型。
可选的,所述根据所述目标样本更新所述威胁检测模型之前,还包括:
根据所述待检测数据的第一置信度和所述待检测数据的第二置信度,确定所述威胁检测模型的准确度;
所述根据所述目标样本更新所述威胁检测模型,包括:
若所述威胁检测模型的准确度小于等于预设阈值,根据所述目标样本更新所述威胁检测模型。
可选的,所述威胁检测模型的准确度根据以下一种或多种确定:准确率、精确率、召回率。
可选的,所述根据所述目标样本更新所述威胁检测模型,包括:
使用所述目标样本训练所述威胁检测模型,得到更新的所述威胁检测模型。
可选的,所述使用所述目标样本训练所述威胁检测模型,得到更新的所述威胁检测模型,包括:
使用所述目标样本和获取到的预设时间段内的威胁情报数据,训练所述威胁检测模型,得到更新的所述威胁检测模型。
可选的,所述威胁检测模型为根据获取到的多种来源的威胁情报数据训练得到的;
所述将所述待检测数据输入威胁检测模型,得到所述待检测数据的第一置信度,包括:
将所述待检测数据输入威胁检测模型,得到所述待检测数据在多种来源分别对应的第一置信度;
相应的,所述根据所述待检测数据和所述第二置信度,得到目标样本,包括:
根据所述待检测数据、所述第二置信度和目标来源,得到目标样本,其中,所述目标来源为所述多种来源中的一种或多种。
可选的,所述待检测数据的数据类型包括以下一种或多种:网络地址,域名,数据摘要,邮箱地址,统一资源定位器;
相应的,所述将所述待检测数据输入威胁检测模型,得到所述待检测数据的第一置信度,包括:
将所述待检测数据输入与所述待检测数据的数据类型对应的威胁检测模型,得到所述待检测数据的第一置信度。
第二方面,本公开提供一种网络威胁的检测装置,包括:
得到模块,用于将待检测数据输入至威胁检测模型,得到所述待检测数据的第一置信度;
接收模块,用于接收用户对所述待检测数据标识的第二置信度;
得到模块还用于:根据所述待检测数据和所述第二置信度,得到目标样本;
更新模块,用于根据所述目标样本更新所述威胁检测模型。
可选的,所述装置还包括:
确定模块,用于根据所述待检测数据的第一置信度和所述待检测数据的第二置信度,确定所述威胁检测模型的准确度;
所述更新模块具体用于:
若所述威胁检测模型的准确度小于等于预设阈值,根据所述目标样本更新所述威胁检测模型。
可选的,所述威胁检测模型的准确度根据以下一种或多种确定:准确率、精确率、召回率。
可选的,所述更新模块具体用于:
使用所述目标样本训练所述威胁检测模型,得到更新的所述威胁检测模型。
可选的,所述更新模块具体用于:
使用所述目标样本和获取到的预设时间段内的威胁情报数据,训练所述威胁检测模型,得到更新的所述威胁检测模型。
可选的,所述威胁检测模型为根据获取到的多种来源的威胁情报数据训练得到的;
所述得到模块具体用于:
将所述待检测数据输入威胁检测模型,得到所述待检测数据在多种来源分别对应的第一置信度;
相应的,所述得到模块具体用于:
根据所述待检测数据、所述第二置信度和目标来源,得到目标样本,其中,所述目标来源为所述多种来源中的一种或多种。
可选的,所述待检测数据的数据类型包括以下一种或多种:网络地址,域名,数据摘要,邮箱地址,统一资源定位器;
相应的,所述得到模块具体用于:
将所述待检测数据输入与所述待检测数据的数据类型对应的威胁检测模型,得到所述待检测数据的第一置信度。
第三方面,本公开提供一种电子设备,包括:
存储器,用于存储处理器可执行指令的存储器;
处理器,用于在计算机程序被执行时,实现如上述第一方面所述的网络威胁的检测方法。
第四方面,本公开提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述第一方面所述的网络威胁的检测方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
通过将待检测数据输入至威胁检测模型,得到待检测数据的第一置信度,接收用户对待检测数据标识的第二置信度,根据待检测数据和第二置信度,得到目标样本,根据目标样本更新威胁检测模型。从而使得威胁检测模型可以根据用户反馈的威胁检测模型的检测结果的情况,动态更新威胁检测模型,从而使得威胁检测模型检测威胁的准确度更高。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例提供的一种网络威胁的检测方法的流程示意图
图2为本公开实施例提供的另一种网络威胁的检测方法的流程示意图;
图3为本公开实施例提供的再一种网络威胁的检测方法的流程示意图;
图4为本公开实施例提供的又一种网络威胁的检测方法的流程示意图;
图5为本公开实施例提供一种网络威胁的检测装置的结构示意图。
图6为本公开实施例提供一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
下面说明本公开的应用场景。随着大数据技术的发展,“互联网+”快速发展,攻击者常常向企业和组织发起针对性的网络攻击,以获取经济利益。新的攻击手段和安全威胁层出不穷,传统的单独依赖防火墙,入侵防御系统和反病毒软件无法阻挡黑客的攻击。
现有技术中,通过从开源的威胁情报中提取威胁关键字,在接收到的数据中,检索该威胁关键字,从而确定威胁,并阻断威胁。
然而,开源情报多且杂乱,关键字不易提取,且关键字无法涵盖到大部分威胁的特征,因此,采用上述搜索关键字进行阻断威胁,效率不高。
同时大多数企业面临收到的原始威胁数据过多,太多的警报,太多关于漏洞以及恶意软件的攻击报告,急速增长的针对性网络安全攻击直接催生了威胁情报服务。
本公开提供的一种网络威胁的检测方法,通过将待检测数据输入至威胁检测模型,得到待检测数据的第一置信度,接收用户对待检测数据标识的第二置信度,根据待检测数据和第二置信度,得到目标样本,根据目标样本更新威胁检测模型。从而使得威胁检测模型可以根据用户反馈的威胁检测模型的检测结果的情况,动态更新威胁检测模型,从而使得威胁检测模型检测威胁的准确度更高。
下面以具体的实施例说明本公开的技术方案以及本公开的技术方案如何解决上述技术问题。
图1为本公开实施例提供的一种网络威胁的检测方法的流程示意图,如图1所示,本实施例的方法由电子设备执行,电子设备可以是计算机,服务器,路由器,网关,手机等,在此本公开不做限制,本实施例的方法如下:
S101、将待检测数据输入至威胁检测模型,得到待检测数据的第一置信度。
其中,威胁检测模型根据获得的多个威胁情报数据训练得到。
将威胁检测模型部署在电子设备中,电子设备可以从接收到的数据中获取威胁检测模型所能识别的相关信息数据,将待检测数据输入至威胁检测模型中,从而得到待检测数据的第一置信度,其中,第一置信度为通过威胁检测模型检测的,待检测数据为威胁的概率值。
可选的,待检测数据的数据类型可以包括但不限于以下一种或多种:网络地址,域名,数据摘要,邮箱地址,统一资源定位器(Uniform Resource Locator,简称URL)。其中,网络地址可以为网际互连协议(Internet Protocol,简称IP)地址。域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称。数据摘要可以为通过哈希(HASH)(又叫做散列、杂凑)算法得到的散列值。
相应的,威胁检测模型按照待检测数据的数据类型进行分类,每种待检测数据的数据类型对应一个威胁检测模型。则将待检测数据输入威胁检测模型,得到待检测数据的第一置信度,可以包括:将待检测数据输入与待检测数据的数据类型对应的威胁检测模型,得到待检测数据的第一置信度。
可选的,威胁检测模型可以为逻辑回归算法搭建的模型。逻辑回归算法是一个统计学方法,它可以用一个或多个解释变量来表示一个二项式结果。通过使用逻辑函数来估计概率,从而衡量类别依赖变量和一个或多个独立变量之间的关系,后者服从累计逻辑分布。
S103、接收用户对待检测数据标识的第二置信度。
针对每个待检测数据,用户可以对该待检测数据进行分析,得到其第二置信度。用户可以对所有经过威胁检测模型进行检测的待检测数据,进行人工检测,并得到对应的第二置信度,也可以定期抽取一部经过威胁检测模型进行检测的待检测数据,进行人工检测,并得到第二置信度。
S105、根据待检测数据和第二置信度,得到目标样本。
其中,第二置信度为待检测数据的标签。
一种可能的实现方式中,可以根据所有的待检测数据和第二置信度,得到所有的待检测数据对应的目标样本。
另一种可能的实现方式中,也可以根据第二置信度与第一置信度的结果确定威胁情报模型输出结果错误的情况下,根据待检测数据和第二置信度,得到目标样本。进一步地,可以设置威胁告警等级,即在何种条件下认为待检测数据为威胁,并按照告警等级输出告警信息。可以设定置信阈值,若第一置信度大于等于置信阈值时,确定待检测数据为威胁,若第一置信度小于置信阈值时,确定待检测数据不是威胁。例如,设置第一置信度大于等于60%时,待检测数据为威胁,相应的,第一置信度小于60%时,待检测数据不是威胁,为可信的。若待检测数据对应的第一置信度为60%,人工进行检测发现待检测数据部是威胁,则第二置信度为0,则可以认为威胁检测模型输出结果错误,则根据该待检测数据和第二置信度得到目标样本。
S107、根据目标样本更新威胁检测模型。
可以每隔第二预设时间段使用目标样本对威胁检测模型进行重新训练,得到更新的威胁检测模型。也可以,其中,训练方法与得到的原始威胁检测模型相同。第二预设时间段为预先设置的任一时间段,例如,可以为7天或者30天,对此本公开不做限定。
可选的,每隔第一预设时间段,根据获取到的第一预设时间段内的威胁情报数据,更新威胁检测模型。
其中,第一预设时间段为预先设置的任一时间段,例如,可以为7天或者30天,对此本公开不做限定。第一预设时间段与第二预设时间段可以相同,也可以不同。
在威胁检测模型使用的过程中,除了根据用户反馈的威胁检测模型的检测结果的准确性以外,还可以根据获取到的第一预设时间段内获取到的威胁情报数据,对威胁检测模型进行训练。
本实施例,通过将待检测数据输入至威胁检测模型,得到待检测数据的第一置信度,接收用户对待检测数据标识的第二置信度,根据待检测数据和第二置信度,得到目标样本,根据目标样本更新威胁检测模型。从而使得威胁检测模型可以根据用户反馈的威胁检测模型的检测结果的情况,动态更新威胁检测模型,从而降低威胁检测模型的误报率,使得威胁检测模型检测威胁的准确度更高。
图2为本公开实施例提供的另一种网络威胁的检测方法的流程示意图,图2是在图1所示实施例的基础上,进一步地,如图2所示,在S107之前还可以包括S106:
S106、根据待检测数据的第一置信度和待检测数据的第二置信度,确定威胁检测模型的准确度。
本实施例中,根据威胁检测模型输出的第一置信度和人工确定的第二置信度,可以确定第一置信度是否准确,即确定威胁检测模型输出的检测结果的准确度。
可选的,威胁检测模型的准确度根据但不限于以下一种或多种确定:准确率、精确率、召回率。
可以根据准确率、精确率、召回率其中的一种确定威胁检测模型的准确度,也可以根据准确率、精确率、召回率其中的多种进行计算确定威胁检测模型的准确度,还可以根据其他的指标确定威胁检测模型的准确度,对此本公开不做限定。
一种可能的实现方式中,威胁检测模型的准确度可以为威胁检测模型的准确率(Accuracy)。其中,可以根据第一置信度和第二置信度,确定正确结果的数量,准确率为在威胁检测模型输出的第一置信度中,正确结果的数量占待检测数据的数量的比例值。
另一种可能的实现方式中,威胁检测模型的准确度可以为精确率(Precision)。其中,可以根据第一置信度和第二置信度,确定检测为威胁且其为威胁的待检测数据的数量TP,以及检测为威胁且其不是威胁的待检测数据的数量FP,精确率可以通过如下公式(1)得到:
Precision=TP/(TP+FP)公式(1)
威胁检测模型的准确度可以为召回率(Recall)。其中,可以根据第一置信度和第二置信度,确定检测为威胁且其为威胁的待检测数据的数量TP,以及检测为不是威胁且其是威胁的待检测数据的数量NP,召回率可以通过如下公式(2)得到:
Recall=TP/(TP+FN)公式(2)
又一种可能的实现方式中,威胁检测模型的准确度可以为F值(F-Measure)。其中,用上述Precision和Recall两个指标不够直观的情况下,可以对Precision和Recall加权调和平均,得到F-Measure。F-Measure可以通过如下公式(3)得到:
F-Measure=Recall*Precision*2/(Recall+Precision)公式(3)
可以理解,F-Measure越大说明威胁检测模型的检测结果越准确,其中,F-Measure等于1为理想状态,此时precision为1,recall为1。
相应的,S107可以包括S1071:
S1071、判断威胁检测模型的准确度是否小于等于预设阈值。
可以每隔第三预设时间段,执行S1071,
若威胁检测模型的准确度大于预设阈值,说明目前的威胁检测模型的检测结果的准确度满足要求,可以继续使用威胁检测模型。若威胁检测模型的准确度小于等于预设阈值,说明当前的威胁检测模型的检测结果的准确度不高了,则继续执行S1072。
S1072、根据目标样本更新威胁检测模型。
本实施例,通过根据待检测数据的第一置信度和待检测数据的第二置信度,确定威胁检测模型的准确度,若威胁检测模型的准确度小于等于预设阈值,根据目标样本更新威胁检测模型。从而动态的根据威胁检测模型使用过程中的准确度,使用目标样本更新威胁检测模型,从而使得威胁检测模型检测威胁的准确度更高。
图3为本公开实施例提供的再一种网络威胁的检测方法的流程示意图,图3是在图1或图2所示实施例的基础上,进一步地,如图3所示,S101可以包括S1011,相应的,S105可以包括S1051:
S1011、将待检测数据输入威胁检测模型,得到待检测数据在多种来源分别对应的第一置信度。
本实施例中,威胁检测模型为根据获取到的多种来源的威胁情报数据训练得到的,则威胁检测模型的输出可以分别为多种来源的输出,将待检测数据输入威胁检测模型,得到待检测数据在多种来源分别对应的第一置信度。
S1051、根据待检测数据、第二置信度和目标来源,得到目标样本。
其中,目标来源为多种来源中的一种或多种。
该目标样本可以为目标来源的样本。在使用目标样本对威胁检测模型进行训练时,其目标来源为目标样本的一种标签,该标签用于指示该目标样本的来源。
本实施例,通过将待检测数据输入威胁检测模型,得到待检测数据在多种来源分别对应的第一置信度,根据待检测数据、第二置信度和目标来源,得到目标样本,从而使用该目标样本对该威胁检测模型中的该来源部分进行训练,从而动态优化目标来源对应的威胁检测模型,降低威胁检测模型的误报率,使得威胁检测模型检测威胁的准确度更高。
图4为本公开实施例提供的又一种网络威胁的检测方法的流程示意图,图4是在图1-图3任一所示实施例的基础上,进一步地,如图4所示,在S101之前还可以包括S100:
S100、使用获取的威胁情报数据对威胁检测模型进行训练。
可选的,使用获取的威胁情报数据对威胁检测模型进行训练,可以包括但不限于如下步骤1-步骤3:
步骤1:获取威胁情报数据。
可以使用多种方式从多种来源获取威胁情报数据。其中,可以通过接口、文件、爬虫等方式获取威胁情报数据。
威胁情报数据按照来源可以包括但不限于:外部威胁情报数据和本地威胁情报数据,外部威胁情报数据包括开源威胁情报数据和商业威胁情报数据,其中,开源威胁情报数据可以包括通过多个网站等来源获取的威胁情报数据,商业威胁情报数据可以包括通过不同机构或者组织获取的威胁情报数据。外部威胁情报数据尤其是社区威胁情报数据,通常表现为威胁情报数据相对较多,来源复杂,检出率较低的特征;此外,外部威胁情报数据包含不同外部来源的威胁情报数据,不同来源的威胁情报数据可信度不同,较为权威机构发布的威胁情报数据受国家、地域和行业的限制,应用于本地时,同样存在检出率低的情况。本地威胁情报数据则通常表现为数据量较少,但检出率高、本地化强的特征,特别是经过安全人员分析研判后的威胁情报数据。
步骤2:对威胁情报数据进行关联和/或分类,得到训练样本集。
其中训练样本集中可以为内部来源的威胁情报数据进行关联和/或分类得到的。
关联:对获取到的威胁情报数据进行转换和富化,并进行分析和关联,可以得到符合威胁检测模型输入的上下文信息,从不同维度关联威胁情报数据,更好的描绘安全威胁画像。例如,针对获取到的某一个威胁情报为IP地址,则可以获取到该IP地址所属设备的实际物理位置信息等,将该IP地址和获取到该IP地址所属设备的实际物理位置信息等按照符合威胁检测模型输入的格式进行调整。
分类:从不同的维度进行分类,将威胁情报指示器分为IP、域名、数据摘要、邮箱、URL等类别。
特征提取:针对不同种类的威胁情报,提取其中与置信度相关的特征,特征的选取方式基于在系统中得到验证的一系列假设,现举部分例子如下:
情报源:来自相同情报源的情报具有相似的可信性,外部情报受情报发布者的权威性和本地化程度影响,内部情报则受内部系统的准确性影响。因此,可以对获取到的威胁情报数据通过其来源进行分类。
时效:威胁情报通常具有时效性,例如,IP,域名之类的动态情报,发现时间较为久远的情报攻击者可能已经弃用了该资产,因此其可能不再具有威胁。因此动态情报的置信度随着时间而动态减弱。
情报完整度:更为完整的威胁情报数据,也就是情报完整度越高的威胁情报数据(多个重要字段存在威胁情报数据),表明情报提交时候,证据更为充分,可信度更强。
步骤3:将采集到并提取完特征的训练样本集,输入威胁检测模型进行训练。
训练完成的威胁检测模型是一个分类模型。
可选的,训练完成的威胁检测模型可以对外部来源的威胁情报数据进行检测,从而可以初步确定外部来源的威胁情报数据是否可信。
可以理解,在步骤S107中,根据目标样本更新威胁检测模型,可以使用目标样本训练威胁检测模型,其中使用目标样本训练威胁检测模型可以包括:对目标样本进行关联和/或分类,得到目标训练样本集,此步骤与上述步骤2类似,此处不再赘述。然后使用目标训练样本集训练威胁检测模型。
图5为本公开实施例提供一种网络威胁的检测装置的结构示意图,如图5所示,本实施例的装置包括:
得到模块501,用于将待检测数据输入至威胁检测模型,得到所述待检测数据的第一置信度;
接收模块502,用于接收用户对所述待检测数据标识的第二置信度;
得到模块501还用于:根据所述待检测数据和所述第二置信度,得到目标样本;
更新模块503,用于根据所述目标样本更新所述威胁检测模型。
可选的,所述装置还包括:
确定模块,用于根据所述待检测数据的第一置信度和所述待检测数据的第二置信度,确定所述威胁检测模型的准确度;
所述更新模块503具体用于:
若所述威胁检测模型的准确度小于等于预设阈值,根据所述目标样本更新所述威胁检测模型。
可选的,所述威胁检测模型的准确度根据以下一种或多种确定:准确率、精确率、召回率。
可选的,所述更新模块503具体用于:
使用所述目标样本训练所述威胁检测模型,得到更新的所述威胁检测模型。
可选的,所述更新模块503具体用于:
使用所述目标样本和获取到的预设时间段内的威胁情报数据,训练所述威胁检测模型,得到更新的所述威胁检测模型。
可选的,所述威胁检测模型为根据获取到的多种来源的威胁情报数据训练得到的;
所述得到模块501具体用于:
将所述待检测数据输入威胁检测模型,得到所述待检测数据在多种来源分别对应的第一置信度;
相应的,所述得到模块501具体用于:
根据所述待检测数据、所述第二置信度和目标来源,得到目标样本,其中,所述目标来源为所述多种来源中的一种或多种。
可选的,所述待检测数据的数据类型包括以下一种或多种:网络地址,域名,数据摘要,邮箱地址,统一资源定位器;
相应的,所述得到模块501具体用于:
将所述待检测数据输入与所述待检测数据的数据类型对应的威胁检测模型,得到所述待检测数据的第一置信度。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本公开实施例提供一种电子设备的结构示意图,如图6所示,本实施例的设备包括:
存储器601,用于存储处理器可执行指令的存储器;
处理器602,用于在计算机程序被执行时,实现如上述图1-图4任一所示的网络威胁的检测方法。
上述实施例的设备,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述图1-图4任一所示的网络威胁的检测方法。
上述实施例的计算机可读存储介质,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种网络威胁的检测方法,其特征在于,包括:
将待检测数据输入至威胁检测模型,得到所述待检测数据的第一置信度;
接收用户对所述待检测数据标识的第二置信度;
根据所述待检测数据和所述第二置信度,得到目标样本;
根据所述目标样本更新所述威胁检测模型。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标样本更新所述威胁检测模型之前,还包括:
根据所述待检测数据的第一置信度和所述待检测数据的第二置信度,确定所述威胁检测模型的准确度;
所述根据所述目标样本更新所述威胁检测模型,包括:
若所述威胁检测模型的准确度小于等于预设阈值,根据所述目标样本更新所述威胁检测模型。
3.根据权利要求2所述的方法,其特征在于,所述威胁检测模型的准确度根据以下一种或多种确定:准确率、精确率、召回率。
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标样本更新所述威胁检测模型,包括:
使用所述目标样本训练所述威胁检测模型,得到更新的所述威胁检测模型。
5.根据权利要求1所述的方法,其特征在于,所述使用所述目标样本训练所述威胁检测模型,得到更新的所述威胁检测模型,包括:
使用所述目标样本和获取到的第一预设时间段内的威胁情报数据,训练所述威胁检测模型,得到更新的所述威胁检测模型。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述威胁检测模型为根据获取到的多种来源的威胁情报数据训练得到的;
所述将所述待检测数据输入威胁检测模型,得到所述待检测数据的第一置信度,包括:
将所述待检测数据输入威胁检测模型,得到所述待检测数据在多种来源分别对应的第一置信度;
相应的,所述根据所述待检测数据和所述第二置信度,得到目标样本,包括:
根据所述待检测数据、所述第二置信度和目标来源,得到目标样本,其中,所述目标来源为所述多种来源中的一种或多种。
7.根据权利要求1-5任一项所述的方法,其特征在于,所述待检测数据的数据类型包括以下一种或多种:网络地址,域名,数据摘要,邮箱地址,统一资源定位器;
相应的,所述将所述待检测数据输入威胁检测模型,得到所述待检测数据的第一置信度,包括:
将所述待检测数据输入与所述待检测数据的数据类型对应的威胁检测模型,得到所述待检测数据的第一置信度。
8.一种网络威胁的检测装置,其特征在于,包括:
得到模块,用于将待检测数据输入至威胁检测模型,得到所述待检测数据的第一置信度;
接收模块,用于接收用户对所述待检测数据标识的第二置信度;
得到模块还用于:根据所述待检测数据和所述第二置信度,得到目标样本;
更新模块,用于根据所述目标样本更新所述威胁检测模型。
9.一种电子设备,其特征在于,包括:
存储器,用于存储处理器可执行指令的存储器;
处理器,用于在计算机程序被执行时,实现如上述权利要求1至7中任一项所述的网络威胁的检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至7任一项所述的网络威胁的检测方法。
CN202011632893.3A 2020-12-31 2020-12-31 网络威胁的检测方法、装置和电子设备 Active CN112769803B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011632893.3A CN112769803B (zh) 2020-12-31 2020-12-31 网络威胁的检测方法、装置和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011632893.3A CN112769803B (zh) 2020-12-31 2020-12-31 网络威胁的检测方法、装置和电子设备

Publications (2)

Publication Number Publication Date
CN112769803A true CN112769803A (zh) 2021-05-07
CN112769803B CN112769803B (zh) 2022-02-25

Family

ID=75699691

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011632893.3A Active CN112769803B (zh) 2020-12-31 2020-12-31 网络威胁的检测方法、装置和电子设备

Country Status (1)

Country Link
CN (1) CN112769803B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113360512A (zh) * 2021-06-21 2021-09-07 特赞(上海)信息科技有限公司 基于用户反馈的模型更新方法、装置及存储介质
CN113420150A (zh) * 2021-07-06 2021-09-21 北京信安天途科技有限公司 威胁情报知识检测方法、装置、计算设备及存储介质
CN113596041A (zh) * 2021-08-03 2021-11-02 安天科技集团股份有限公司 情报源的质量评估方法、装置、电子设备及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789888A (zh) * 2016-11-18 2017-05-31 重庆邮电大学 一种多特征融合的钓鱼网页检测方法
CN107124394A (zh) * 2017-03-10 2017-09-01 北京国电通网络技术有限公司 一种电力通信网络安全态势预测方法和系统
US20180248904A1 (en) * 2017-02-24 2018-08-30 LogRhythm Inc. Analytics for processing information system data
CN108920954A (zh) * 2018-06-28 2018-11-30 中国科学院软件研究所 一种恶意代码自动化检测平台及方法
CN110347547A (zh) * 2019-05-27 2019-10-18 中国平安人寿保险股份有限公司 基于深度学习的日志异常检测方法、装置、终端及介质
CN110378124A (zh) * 2019-07-19 2019-10-25 杉树岭网络科技有限公司 一种基于lda机器学习的网络安全威胁分析方法及系统
US20190364067A1 (en) * 2016-09-20 2019-11-28 F5 Networks, Inc. Methods for detecting and mitigating malicious network behavior and devices thereof
CN111212049A (zh) * 2019-12-27 2020-05-29 杭州安恒信息技术股份有限公司 一种威胁情报ioc信誉度分析方法
CN111915020A (zh) * 2020-08-12 2020-11-10 杭州海康威视数字技术股份有限公司 检测模型的更新方法、装置及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190364067A1 (en) * 2016-09-20 2019-11-28 F5 Networks, Inc. Methods for detecting and mitigating malicious network behavior and devices thereof
CN106789888A (zh) * 2016-11-18 2017-05-31 重庆邮电大学 一种多特征融合的钓鱼网页检测方法
US20180248904A1 (en) * 2017-02-24 2018-08-30 LogRhythm Inc. Analytics for processing information system data
CN107124394A (zh) * 2017-03-10 2017-09-01 北京国电通网络技术有限公司 一种电力通信网络安全态势预测方法和系统
CN108920954A (zh) * 2018-06-28 2018-11-30 中国科学院软件研究所 一种恶意代码自动化检测平台及方法
CN110347547A (zh) * 2019-05-27 2019-10-18 中国平安人寿保险股份有限公司 基于深度学习的日志异常检测方法、装置、终端及介质
CN110378124A (zh) * 2019-07-19 2019-10-25 杉树岭网络科技有限公司 一种基于lda机器学习的网络安全威胁分析方法及系统
CN111212049A (zh) * 2019-12-27 2020-05-29 杭州安恒信息技术股份有限公司 一种威胁情报ioc信誉度分析方法
CN111915020A (zh) * 2020-08-12 2020-11-10 杭州海康威视数字技术股份有限公司 检测模型的更新方法、装置及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113360512A (zh) * 2021-06-21 2021-09-07 特赞(上海)信息科技有限公司 基于用户反馈的模型更新方法、装置及存储介质
CN113360512B (zh) * 2021-06-21 2023-10-27 特赞(上海)信息科技有限公司 基于用户反馈的图像处理模型更新方法、装置及存储介质
CN113420150A (zh) * 2021-07-06 2021-09-21 北京信安天途科技有限公司 威胁情报知识检测方法、装置、计算设备及存储介质
CN113596041A (zh) * 2021-08-03 2021-11-02 安天科技集团股份有限公司 情报源的质量评估方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN112769803B (zh) 2022-02-25

Similar Documents

Publication Publication Date Title
US11606384B2 (en) Clustering-based security monitoring of accessed domain names
CN112769803B (zh) 网络威胁的检测方法、装置和电子设备
CN108200054B (zh) 一种基于dns解析的恶意域名检测方法及装置
CN109510815B (zh) 一种基于有监督学习的多级钓鱼网站检测方法及检测系统
CN107241352B (zh) 一种网络安全事件分类与预测方法及系统
Ramesh et al. An efficacious method for detecting phishing webpages through target domain identification
US20180069883A1 (en) Detection of Known and Unknown Malicious Domains
CN108023868B (zh) 恶意资源地址检测方法和装置
CN107888606B (zh) 一种域名信誉度评估方法及系统
US20180069884A1 (en) Identifying Bulletproof Autonomous Systems
CN114021040B (zh) 基于业务访问的恶意事件的告警及防护方法和系统
CN112019519B (zh) 网络安全情报威胁度的检测方法、装置和电子装置
Ramesh et al. Identification of phishing webpages and its target domains by analyzing the feign relationship
US10320823B2 (en) Discovering yet unknown malicious entities using relational data
CN110855716B (zh) 一种面向仿冒域名的自适应安全威胁分析方法及系统
Goswami et al. Phishing detection using significant feature selection
CN113361597B (zh) 一种url检测模型的训练方法、装置、电子设备和存储介质
EP3848822A1 (en) Data classification device, data classification method, and data classification program
Xu et al. Darknet Web URL Detection without URL Content Leakage
KR101922581B1 (ko) 공개 정보를 이용한 데이터 갱신 방법 및 장치
Swathi et al. Detection of Phishing Websites Using Machine Learning
CN114697110A (zh) 一种网络攻击检测方法、装置、设备及存储介质
CN114637993A (zh) 恶意代码包的检测方法、装置、计算机设备和存储介质
CN116010600A (zh) 日志分类方法、装置、设备及介质
Conti An Adversarial Attack Analysis on Malicious Advertisement URL Detection Framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant