CN113420150A - 威胁情报知识检测方法、装置、计算设备及存储介质 - Google Patents
威胁情报知识检测方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN113420150A CN113420150A CN202110761023.4A CN202110761023A CN113420150A CN 113420150 A CN113420150 A CN 113420150A CN 202110761023 A CN202110761023 A CN 202110761023A CN 113420150 A CN113420150 A CN 113420150A
- Authority
- CN
- China
- Prior art keywords
- threat intelligence
- knowledge
- threat
- intelligence knowledge
- intelligence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 172
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000012549 training Methods 0.000 claims description 30
- 238000004590 computer program Methods 0.000 claims description 13
- 238000013528 artificial neural network Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
Abstract
本发明提供了一种威胁情报知识检测方法、装置、计算设备及存储介质,其中方法包括:将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识;根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识;当所述多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新。本方案,能够提高威胁情报知识检测模型对威胁情报知识的检测准确率。
Description
技术领域
本发明实施例涉及网络安全技术领域,特别涉及一种威胁情报知识检测方法、装置、计算设备及存储介质。
背景技术
随着信息技术的不断进步和发展,大规模网络空间安全的保障越来越依赖于威胁情报的提取、理解、构建与共享。威胁情报能够针对特定行业或地理区域范围的攻击者使用的特定攻击向量进行表达,为威胁响应提供决策依据。
为了从威胁情报数据中检测到威胁情报知识,为威胁情报知识图谱的构建打好基础,相关技术中,一般人工或者利用关键词匹配的方式进行检测,检测结果的准确率较低。
发明内容
基于相关技术中检测准确率较低的问题,本发明实施例提供了一种威胁情报知识检测方法、装置、计算设备及存储介质,能够提高威胁情报知识检测的准确率。
第一方面,本发明实施例提供了一种威胁情报知识检测方法,包括:
将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识;
根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识;
当所述多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新。
优选地,所述情报知识库对应不同情报类型;每一个所述情报知识库中均包括多个对应情报类型的情报知识;
所述根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识,包括:
确定所述多个威胁情报知识中各情报知识分别对应的情报类型;
确定每一个所述情报类型对应的情报知识库;
针对每一个所述情报类型,均执行:确定是否存在至少一个目标情报知识未在该情报类型对应的情报知识库中,若存在,则将所述至少一个目标情报知识确定为新的威胁情报知识;所述目标情报知识是所述多个威胁情报知识中对应该情报类型的威胁情报知识。
优选地,在所述多个威胁情报知识中存在新的威胁情报知识之后,还包括:将该新的威胁情报知识更新到所述情报知识库中;
所述利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新,包括:将更新后的所述情报知识库、所述威胁情报数据和所述多个威胁情报知识确定为目标样本,利用所述目标样本对所述威胁情报知识检测模型进行更新。
优选地,所述利用所述目标样本对所述威胁情报知识检测模型进行更新,包括:
将所述目标样本中所述更新后的所述情报知识库、所述威胁情报数据作为所述威胁情报知识检测模型的输入,所述目标样本中所述多个威胁情报知识作为所述威胁情报知识检测模型的输出,对所述威胁情报知识检测模型中的参数进行调整,得到更新后的所述威胁情报知识检测模型。
优选地,所述利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新,包括:
将设定个数的目标威胁情报数据、利用所述威胁情报知识检测模型针对每一个所述目标威胁情报数据分别得到的多个威胁情报知识、更新后的情报知识库,组成设定个数的训练样本;
利用所述设定个数的训练样本对所述威胁情报知识检测模型进行更新;
其中,所述目标威胁情报数据是利用所述威胁情报知识检测模型得到的多个威胁情报知识中存在新的威胁情报知识的威胁情报数据;
所述更新后的情报知识库是将每一个所述目标威胁情报数据对应的新的威胁情报知识更新到所述情报知识库中后得到的。
优选地,所述威胁情报知识检测模型是利用如下方式训练得到的:
获取若干个样本威胁情报数据以及每一个样本威胁情报数据对应的样本威胁情报知识;
利用所述若干个样本威胁情报数据对应的样本威胁情报知识构建样本情报知识库;
针对所述若干个样本威胁情报数据中每一个目标样本威胁情报数据,将所述目标样本威胁情报数据、所述目标样本威胁情报数据对应的样本威胁情报知识和所述样本情报知识库,确定为一个样本对;
利用得到的若干个样本对,对所述威胁情报知识检测模型进行训练。
优选地,所述利用得到的若干个样本对,对所述威胁情报知识检测模型进行训练,包括:
针对每一个样本对,将该样本对中的样本威胁情报数据和样本情报知识库作为输入,将该样本对中的样本威胁情报知识作为输出,对所述威胁情报知识检测模型进行训练。
第二方面,本发明实施例还提供了一种威胁情报知识检测装置,包括:
威胁情报知识获取单元,用于将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识;
确定单元,用于根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识;
模型更新单元,用于当所述多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种威胁情报知识检测方法、装置、计算设备及存储介质,利用威胁情报知识检测模型对威胁情报数据进行检测,可以提高检测效率,另外,当检测出新的威胁情报知识时,对威胁情报知识检测模型进行更新,以实现对威胁情报知识检测模型的优化,从而提高威胁情报知识检测模型对威胁情报知识的检测准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种威胁情报知识检测方法流程图;
图2是本发明一实施例提供的一种模型训练方法流程图;
图3是本发明一实施例提供的一种计算设备的硬件架构图;
图4是本发明一实施例提供的一种威胁情报知识检测装置结构图;
图5是本发明一实施例提供的另一种威胁情报知识检测装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
威胁情报数据的来源一般包括内源和外源,其中,外源可以是开源的威胁情报平台或情报提供商。这些威胁情报数据可以包括结构化数据、半结构化数据和非结构化数据。为了丰富情报知识库,一般需要对威胁情报数据进行分析、检测,从而得到威胁情报知识,为威胁情报知识图谱的构建打好基础。相关技术中,一般人工或者利用关键词匹配的方式进行检测,检测结果的准确率较低。可以考虑使用机器模型对威胁情报数据进行检测,而考虑到攻击类型的不断更新,使得检测出的威胁情报知识也跟着更新,为了能够应对不断变化的攻击类型,可以考虑对机器模型进行动态更新,以保证机器模型的检测准确率。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种威胁情报知识检测方法,该方法包括:
步骤100,将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识。
步骤102,根据预先存储的情报知识库,确定该多个威胁情报知识中是否存在新的威胁情报知识。
步骤104,当该多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和该威胁情报数据,对该威胁情报知识检测模型进行更新。
本发明实施例中,利用威胁情报知识检测模型对威胁情报数据进行检测,可以提高检测效率,另外,当检测出新的威胁情报知识时,对威胁情报知识检测模型进行更新,以实现对威胁情报知识检测模型的优化,从而提高威胁情报知识检测模型对威胁情报知识的检测准确率。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识。
在本发明一个实施例中,请参考图2,该威胁情报知识检测模型可以是通过如下一种方式训练得到的:
步骤200,获取若干个样本威胁情报数据以及每一个样本威胁情报数据对应的样本威胁情报知识。
本发明实施例中,该样本威胁情报数据是已知的历史威胁情报数据;样本威胁情报数据对应的威胁情报知识,可以是利用人工方式对样本威胁情报数据进行检测得来的,也可以是利用其它检测模型对样本威胁情报数据进行检测得到的。
其中,一个样本威胁情报数据可以对应一个或多个威胁情报知识。
步骤202,利用该若干个样本威胁情报数据对应的样本威胁情报知识构建样本情报知识库。
该样本情报知识库包括该若干个样本威胁情报数据对应的样本威胁情报知识。比如,该样本威胁情报数据为m个,每一个样本威胁情报数据对应的样本威胁情报知识包括n个,那么将m×n个样本威胁情报知识中重复的样本威胁情报知识删除,将剩余的样本威胁情报知识确定为该样本情报知识库。
在本发明一个实施例中,该样本情报知识库还可以对应不同情报类型,比如,将m×n个样本威胁情报知识中重复的样本威胁情报知识删除之后,对该剩余的样本威胁情报知识按照情报类型进行分类,得到多个不同情报类型的样本情报知识库。举例来说,对该剩余的样本威胁情报知识按照情报类型进行分类后,得到5种情报类型,针对每一种情报类型,将该情报类型分类得到的样本威胁情报知识确定为该情报类型对应的样本情报知识库。
步骤204,针对该若干个样本威胁情报数据中每一个目标样本威胁情报数据,将该目标样本威胁情报数据、该目标样本威胁情报数据对应的样本威胁情报知识和该样本情报知识库,确定为一个样本对。
由于样本威胁情报数据为若干个,因此可以得到若干个样本对。其中,每一个样本对中的样本情报知识库均相同。
步骤206,利用得到的若干个样本对,对该威胁情报知识检测模型进行训练。
在本发明一个实施例种,可以将样本对中的样本威胁情报数据和样本情报知识库作为神经网络的输入,将样本对中的样本情报知识作为神经网络的输出,对神经网络中的参数进行调整。其中,该神经网络可以是DBN(Deep Boltzmann Machine,深度置信网络)、GBDT(Gradient Boosting Decision Tree,梯度提升决策树)网络等。
在本发明一个实施例中,当威胁情报知识检测模型的召回率达到设定阈值时,则确定该威胁情报知识检测模型训练完成。其中,该召回率可以通过威胁情报知识检测模型的检测准确数量比上检测总数量计算得到。
通过将样本对中的样本威胁情报数据和样本情报知识库作为神经网络的输入,将样本威胁情报知识作为神经网络的输出,使得神经网络能够利用情报知识库对样本威胁情报数据进行充分学习,以更准确的得出样本情报知识,提高模型的检测准确性。
需要说明的是,除上述训练方式以外,还可以使用其它方式进行训练,比如,利用样本威胁情报数据与对应样本威胁情报知识作为一个样本对,然后利用若干个样本对对神经网络进行训练。
在将待检测的威胁情报数据输入至威胁情报知识检测模型之前,可以根据该威胁情报知识检测模型的训练过程,确定是否对威胁情报数据进行处理。比如,若该威胁情报知识检测模型训练过程中使用的样本威胁情报数据是满足一定条件的,或者是对样本威胁情报数据提取了相应特征的,那么也需要对该待检测的威胁情报数据进行处理,使其与样本威胁情报数据的类型相同,从而提高检测结果的准确性。
基于图2所示对威胁情报知识检测模型的训练方式,本步骤100中,在将威胁情报数据输入至威胁情报知识检测模型时,还可以将当前的情报知识库同时输入至该威胁情报知识检测模型中,以进一步提高检测结果的准确性。
然后,针对步骤102,根据预先存储的情报知识库,确定该多个威胁情报知识中是否存在新的威胁情报知识。
在本发明一个实施例中,该情报知识库可以对应不同情报类型;每一个情报知识库中均包括多个对应情报类型的情报知识。比如,该情报类型可以包括:攻击流程、攻击类型、攻击主体、攻击手段等。
由于威胁情报知识检测模型其学习过程的复杂性,在对威胁情报数据进行检测时,可能由于该威胁情报数据的字段不同等原因,该威胁情报知识检测模型可能会检测出新的威胁情报知识,而这些新的威胁情报知识对后续威胁情报数据的检测起到重要作用,因此,需要对得到的多个威胁情报知识进行确认,是否存在有新的威胁情报知识。
在本发明一个实施例中,本步骤102可以包括:
确定该多个威胁情报知识中各情报知识分别对应的情报类型;
确定每一个该情报类型对应的情报知识库;
针对每一个该情报类型,均执行:确定是否存在至少一个目标情报知识未在该情报类型对应的情报知识库中,若存在,则将该至少一个目标情报知识确定为新的威胁情报知识;该目标情报知识是该多个威胁情报知识中对应该情报类型的威胁情报知识。
举例来说,针对该威胁情报数据得到的多个威胁情报知识中,对应情报类型A的威胁情报知识包括威胁情报知识A1、威胁情报知识A2和威胁情报知识A3。在情报类型A对应的情报知识库A中存在威胁情报知识A1,而威胁情报知识A2和威胁情报知识A3未在该情报知识库A中,因此,该威胁情报知识A2和威胁情报知识A3为新的威胁情报知识。
利用情报知识库中包括的威胁情报知识,可以快速确定针对威胁情报数据得到的多个威胁情报知识中哪些是新的威胁情报知识,而这些新的威胁情报知识对后续威胁情报数据的检测起到重要作用,提高对威胁情报数据检测的准确性。
最后,针对步骤104,当该多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和该威胁情报数据,对该威胁情报知识检测模型进行更新。
在本发明一个实施例中,由于新的威胁情报知识能够对后续威胁情报数据的检测起到重要作用,也为了能够提高对威胁情报数据检测的准确性,可以对威胁情报知识检测模型进行更新,以实现对威胁情报知识检测模型的动态优化。本步骤104中,至少可以包括如下两种方式对威胁情报知识检测模型进行更新:
第一种方式:每检测到新的威胁情报知识,则对威胁情报知识检测模型进行一次更新。
第二种方式:当达到设定条件时,则对威胁情报知识检测模型进行一次更新。
下面对上述两种方式分别进行说明。
针对第一种方式,在对当前威胁情报数据进行检测得到的多个威胁情报知识中,存在新的威胁情报知识时,则对威胁情报知识检测模型进行一次更新。
具体地,在本发明一个实施例中,由于威胁情报知识检测模型是利用情报知识库训练得到的,也为了丰富情报知识库的内容,可以将该新的威胁情报知识更新到该情报知识库中。具体地,可以将该新的威胁情报知识更新到对应情报类型的情报知识库中。
相应地,本步骤104可以包括:将更新后的情报知识库、威胁情报数据和多个威胁情报知识确定为目标样本,利用目标样本对该威胁情报知识检测模型进行更新。
在利用该目标样本对威胁情报知识检测模型进行更新时,可以包括:将该目标样本中更新后的该情报知识库、该威胁情报数据作为该威胁情报知识检测模型的输入,该目标样本中该多个威胁情报知识作为该威胁情报知识检测模型的输出,对该威胁情报知识检测模型中的参数进行调整,得到更新后的威胁情报知识检测模型。
每检测到新的威胁情报知识,则对威胁情报知识检测模型进行一次更新,使得威胁情报知识检测模型实时更新,能够保证在对每个威胁情报数据进行检测时均使用的更新后的检测模型,从而提高检测结果的准确性。
针对第二种方式,当达到设定条件时,则对威胁情报知识检测模型进行一次更新。该设定条件可以包括:目标威胁情报数据达到设定个数、检测时间段达到设定时长等。
其中,该目标威胁情报数据是利用该威胁情报知识检测模型得到的多个威胁情报知识中存在新的威胁情报知识的威胁情报数据。比如,连续检测的威胁情报数据包括:威胁情报数据B1、威胁情报数据B2、威胁情报数据B3和威胁情报数据B4。其中,利用当前的威胁情报知识检测模型对威胁情报数据B1、B3和B4检测得到的多个威胁情报知识中均存在新的威胁情报知识,而对威胁情报数据B2检测得到的多个威胁情报知识中不存在新的威胁情报知识,那么威胁情报数据B1、威胁情报数据B3和威胁情报数据B4均为目标威胁情报数据。
在本发明一个实施例中,当该设定条件为目标威胁情报数据达到设定个数时,本步骤104可以包括:
将设定个数的目标威胁情报数据、利用该威胁情报知识检测模型针对每一个该目标威胁情报数据分别得到的多个威胁情报知识、更新后的情报知识库,组成设定个数的训练样本;利用该设定个数的训练样本对该威胁情报知识检测模型进行更新。其中,该更新后的情报知识库是将每一个该目标威胁情报数据对应的新的威胁情报知识更新到该情报知识库中后得到的。
假设该设定个数为10个,那么当连续检测了10个目标威胁情报数据之后,则对威胁情报知识检测模型进行一次更新。此时训练样本对中包括的情报知识库是该10个目标威胁情报数据对应的新的威胁情报知识均更新到情报知识库之后得到的。每一个训练样本对中包括的该更新后的情报知识库均相同。如此,可以保证在对威胁情报知识检测模型进行更新时,使得威胁情报知识检测模型能够充分利用情报知识库中新增的威胁情报知识,对威胁情报数据进行深入学习、理解,提高后续检测的准确性。
如图3、图4所示,本发明实施例提供了一种威胁情报知识检测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种威胁情报知识检测装置所在计算设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种威胁情报知识检测装置,包括:
威胁情报知识获取单元401,用于将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识;
确定单元402,用于根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识;
模型更新单元403,用于当所述多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新。
在本发明一个实施例中,所述情报知识库对应不同情报类型;每一个所述情报知识库中均包括多个对应情报类型的情报知识;
所述确定单元402,具体用于确定所述多个威胁情报知识中各情报知识分别对应的情报类型;确定每一个所述情报类型对应的情报知识库;针对每一个所述情报类型,均执行:确定是否存在至少一个目标情报知识未在该情报类型对应的情报知识库中,若存在,则将所述至少一个目标情报知识确定为新的威胁情报知识;所述目标情报知识是所述多个威胁情报知识中对应该情报类型的威胁情报知识。
在本发明一个实施例中,请参考图5,该威胁情报知识检测装置还可以包括:知识库更新单元404,用于在所述多个威胁情报知识中存在新的威胁情报知识之后,将该新的威胁情报知识更新到所述情报知识库中;
所述模型更新单元403,具体用于将更新后的所述情报知识库、所述威胁情报数据和所述多个威胁情报知识确定为目标样本,利用所述目标样本对所述威胁情报知识检测模型进行更新。
在本发明一个实施例中,所述模型更新单元403,在利用所述目标样本对所述威胁情报知识检测模型进行更新时,具体包括:将所述目标样本中所述更新后的所述情报知识库、所述威胁情报数据作为所述威胁情报知识检测模型的输入,所述目标样本中所述多个威胁情报知识作为所述威胁情报知识检测模型的输出,对所述威胁情报知识检测模型中的参数进行调整,得到更新后的所述威胁情报知识检测模型。
在本发明一个实施例中,所述模型更新单元403,具体用于将设定个数的目标威胁情报数据、利用所述威胁情报知识检测模型针对每一个所述目标威胁情报数据分别得到的多个威胁情报知识、更新后的情报知识库,组成设定个数的训练样本;利用所述设定个数的训练样本对所述威胁情报知识检测模型进行更新;
其中,所述目标威胁情报数据是利用所述威胁情报知识检测模型得到的多个威胁情报知识中存在新的威胁情报知识的威胁情报数据;所述更新后的情报知识库是将每一个所述目标威胁情报数据对应的新的威胁情报知识更新到所述情报知识库中后得到的。
在本发明一个实施例中,所述威胁情报知识检测模型是利用如下方式训练得到的:
获取若干个样本威胁情报数据以及每一个样本威胁情报数据对应的样本威胁情报知识;
利用所述若干个样本威胁情报数据对应的样本威胁情报知识构建样本情报知识库;
针对所述若干个样本威胁情报数据中每一个目标样本威胁情报数据,将所述目标样本威胁情报数据、所述目标样本威胁情报数据对应的样本威胁情报知识和所述样本情报知识库,确定为一个样本对;
利用得到的若干个样本对,对所述威胁情报知识检测模型进行训练。
在本发明一个实施例中,在利用得到的若干个样本对,对所述威胁情报知识检测模型进行训练时,具体包括:针对每一个样本对,将该样本对中的样本威胁情报数据和样本情报知识库作为输入,将该样本对中的样本威胁情报知识作为输出,对所述威胁情报知识检测模型进行训练。
可以理解的是,本发明实施例示意的结构并不构成对一种威胁情报知识检测装置的具体限定。在本发明的另一些实施例中,一种威胁情报知识检测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种威胁情报知识检测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种威胁情报知识检测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
本发明各实施例至少具有如下有益效果:
1、在本发明一个实施例中,利用威胁情报知识检测模型对威胁情报数据进行检测,可以提高检测效率,另外,当检测出新的威胁情报知识时,对威胁情报知识检测模型进行更新,以实现对威胁情报知识检测模型的优化,从而提高威胁情报知识检测模型对威胁情报知识的检测准确率。
2、在本发明一个实施例中,通过将样本对中的样本威胁情报数据和样本情报知识库作为神经网络的输入,将样本威胁情报知识作为神经网络的输出,使得神经网络能够利用情报知识库对样本威胁情报数据进行充分学习,以更准确的得出样本情报知识,提高模型的检测准确性。
3、在本发明一个实施例中,利用情报知识库中包括的威胁情报知识,可以快速确定针对威胁情报数据得到的多个威胁情报知识中哪些是新的威胁情报知识,而这些新的威胁情报知识对后续威胁情报数据的检测起到重要作用,提高对威胁情报数据检测的准确性。
4、在本发明一个实施例中,每检测到新的威胁情报知识,则对威胁情报知识检测模型进行一次更新,使得威胁情报知识检测模型实时更新,能够保证在对每个威胁情报数据进行检测时均使用的更新后的检测模型,从而提高检测结果的准确性。
5、在本发明一个实施例中,每当达到设定条件时对威胁情报知识检测模型进行一次更新,相对于对模型的实时更新,可以降低训练成本,并且保证在对威胁情报知识检测模型进行更新时,使得威胁情报知识检测模型能够充分利用情报知识库中新增的威胁情报知识,对威胁情报数据进行深入学习、理解,提高后续检测的准确性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种威胁情报知识检测方法,其特征在于,包括:
将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识;
根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识;
当所述多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新。
2.根据权利要求1所述的方法,其特征在于,所述情报知识库对应不同情报类型;每一个所述情报知识库中均包括多个对应情报类型的情报知识;
所述根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识,包括:
确定所述多个威胁情报知识中各情报知识分别对应的情报类型;
确定每一个所述情报类型对应的情报知识库;
针对每一个所述情报类型,均执行:确定是否存在至少一个目标情报知识未在该情报类型对应的情报知识库中,若存在,则将所述至少一个目标情报知识确定为新的威胁情报知识;所述目标情报知识是所述多个威胁情报知识中对应该情报类型的威胁情报知识。
3.根据权利要求1所述的方法,其特征在于,
在所述多个威胁情报知识中存在新的威胁情报知识之后,还包括:将该新的威胁情报知识更新到所述情报知识库中;
所述利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新,包括:将更新后的所述情报知识库、所述威胁情报数据和所述多个威胁情报知识确定为目标样本,利用所述目标样本对所述威胁情报知识检测模型进行更新。
4.根据权利要求3所述的方法,其特征在于,所述利用所述目标样本对所述威胁情报知识检测模型进行更新,包括:
将所述目标样本中所述更新后的所述情报知识库、所述威胁情报数据作为所述威胁情报知识检测模型的输入,所述目标样本中所述多个威胁情报知识作为所述威胁情报知识检测模型的输出,对所述威胁情报知识检测模型中的参数进行调整,得到更新后的所述威胁情报知识检测模型。
5.根据权利要求1所述的方法,其特征在于,所述利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新,包括:
将设定个数的目标威胁情报数据、利用所述威胁情报知识检测模型针对每一个所述目标威胁情报数据分别得到的多个威胁情报知识、更新后的情报知识库,组成设定个数的训练样本;
利用所述设定个数的训练样本对所述威胁情报知识检测模型进行更新;
其中,所述目标威胁情报数据是利用所述威胁情报知识检测模型得到的多个威胁情报知识中存在新的威胁情报知识的威胁情报数据;
所述更新后的情报知识库是将每一个所述目标威胁情报数据对应的新的威胁情报知识更新到所述情报知识库中后得到的。
6.根据权利要求1-5中任一所述的方法,其特征在于,所述威胁情报知识检测模型是利用如下方式训练得到的:
获取若干个样本威胁情报数据以及每一个样本威胁情报数据对应的样本威胁情报知识;
利用所述若干个样本威胁情报数据对应的样本威胁情报知识构建样本情报知识库;
针对所述若干个样本威胁情报数据中每一个目标样本威胁情报数据,将所述目标样本威胁情报数据、所述目标样本威胁情报数据对应的样本威胁情报知识和所述样本情报知识库,确定为一个样本对;
利用得到的若干个样本对,对所述威胁情报知识检测模型进行训练。
7.根据权利要求6所述的方法,其特征在于,所述利用得到的若干个样本对,对所述威胁情报知识检测模型进行训练,包括:
针对每一个样本对,将该样本对中的样本威胁情报数据和样本情报知识库作为输入,将该样本对中的样本威胁情报知识作为输出,对所述威胁情报知识检测模型进行训练。
8.一种威胁情报知识检测装置,其特征在于,包括:
威胁情报知识获取单元,用于将待检测的威胁情报数据输入至威胁情报知识检测模型,得到多个威胁情报知识;
确定单元,用于根据预先存储的情报知识库,确定所述多个威胁情报知识中是否存在新的威胁情报知识;
模型更新单元,用于当所述多个威胁情报知识中存在新的威胁情报知识时,利用该新的威胁情报知识和所述威胁情报数据,对所述威胁情报知识检测模型进行更新。
9.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110761023.4A CN113420150A (zh) | 2021-07-06 | 2021-07-06 | 威胁情报知识检测方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110761023.4A CN113420150A (zh) | 2021-07-06 | 2021-07-06 | 威胁情报知识检测方法、装置、计算设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113420150A true CN113420150A (zh) | 2021-09-21 |
Family
ID=77720313
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110761023.4A Pending CN113420150A (zh) | 2021-07-06 | 2021-07-06 | 威胁情报知识检测方法、装置、计算设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113420150A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115514529A (zh) * | 2022-08-22 | 2022-12-23 | 智网安云(武汉)信息技术有限公司 | 一种威胁情报数据处理方法、设备及存储设备 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
CN107154950A (zh) * | 2017-07-24 | 2017-09-12 | 深信服科技股份有限公司 | 一种日志流异常检测的方法及系统 |
CN109857917A (zh) * | 2018-12-21 | 2019-06-07 | 中国科学院信息工程研究所 | 面向威胁情报的安全知识图谱构建方法及系统 |
CN110717049A (zh) * | 2019-08-29 | 2020-01-21 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
CN111552855A (zh) * | 2020-04-30 | 2020-08-18 | 北京邮电大学 | 一种基于深度学习的网络威胁情报自动抽取方法 |
CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CN112769803A (zh) * | 2020-12-31 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 网络威胁的检测方法、装置和电子设备 |
-
2021
- 2021-07-06 CN CN202110761023.4A patent/CN113420150A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106777222A (zh) * | 2016-12-26 | 2017-05-31 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
CN107154950A (zh) * | 2017-07-24 | 2017-09-12 | 深信服科技股份有限公司 | 一种日志流异常检测的方法及系统 |
CN109857917A (zh) * | 2018-12-21 | 2019-06-07 | 中国科学院信息工程研究所 | 面向威胁情报的安全知识图谱构建方法及系统 |
WO2021017614A1 (zh) * | 2019-07-31 | 2021-02-04 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、系统、装置及存储介质 |
CN110717049A (zh) * | 2019-08-29 | 2020-01-21 | 四川大学 | 一种面向文本数据的威胁情报知识图谱构建方法 |
CN111552855A (zh) * | 2020-04-30 | 2020-08-18 | 北京邮电大学 | 一种基于深度学习的网络威胁情报自动抽取方法 |
CN112070120A (zh) * | 2020-08-12 | 2020-12-11 | 杭州安恒信息技术股份有限公司 | 威胁情报的处理方法、装置、电子装置和存储介质 |
CN112187710A (zh) * | 2020-08-17 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 威胁情报数据的感知方法、装置、电子装置和存储介质 |
CN112769803A (zh) * | 2020-12-31 | 2021-05-07 | 北京天融信网络安全技术有限公司 | 网络威胁的检测方法、装置和电子设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115514529A (zh) * | 2022-08-22 | 2022-12-23 | 智网安云(武汉)信息技术有限公司 | 一种威胁情报数据处理方法、设备及存储设备 |
CN115514529B (zh) * | 2022-08-22 | 2023-09-22 | 智网安云(武汉)信息技术有限公司 | 一种威胁情报数据处理方法、设备及存储设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112699052B (zh) | 一种基于相关输入变量的软件测试用例进化生成方法 | |
CN114531298B (zh) | 基于ai和大数据分析的威胁漏洞预测方法及云端ai系统 | |
CN112286824A (zh) | 基于二分搜索迭代的测试用例生成方法、系统及电子设备 | |
CN113328994A (zh) | 一种恶意域名处理方法、装置、设备及机器可读存储介质 | |
CN113420150A (zh) | 威胁情报知识检测方法、装置、计算设备及存储介质 | |
CN112783508B (zh) | 文件的编译方法、装置、设备以及存储介质 | |
CN110619216A (zh) | 一种对抗性网络的恶意软件检测方法及系统 | |
CN113827978A (zh) | 一种流失用户预测方法、装置及计算机可读存储介质 | |
CN115858776B (zh) | 一种变体文本分类识别方法、系统、存储介质和电子设备 | |
CN114780967B (zh) | 基于大数据漏洞挖掘的挖掘评估方法及ai漏洞挖掘系统 | |
CN112822220B (zh) | 一种面向多样本组合攻击的溯源方法和装置 | |
CN114978765A (zh) | 服务于信息攻击防御的大数据处理方法及ai攻击防御系统 | |
CN115454473A (zh) | 基于深度学习漏洞决策的数据处理方法及信息安全系统 | |
CN114547391A (zh) | 消息审核方法及装置 | |
CN113596061A (zh) | 基于区块链技术的网络安全漏洞响应方法及系统 | |
CN112183622A (zh) | 一种移动应用bots安装作弊检测方法、装置、设备及介质 | |
CN114926701A (zh) | 一种模型训练方法、目标检测方法、以及相关设备 | |
CN115080974B (zh) | 一种恶意pe文件检测方法、装置、设备及介质 | |
CN115083522B (zh) | 细胞类型的预测方法、装置及服务器 | |
CN112494952B (zh) | 目标游戏用户的检测方法、装置及设备 | |
CN113656024A (zh) | 需求识别和匹配方法及装置 | |
CN114117413A (zh) | 恶意样本的检测方法、装置、电子设备及存储介质 | |
CN117171013A (zh) | 基于元启发式算法的智能合约测试用例生成方法及装置 | |
CN114020628A (zh) | 代码漏洞检测方法及装置 | |
CN115033883A (zh) | 一种基于策略型Fuzzer的智能合约漏洞检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |