CN113468384A - 网络情报源信息的处理方法、装置、存储介质及处理器 - Google Patents

网络情报源信息的处理方法、装置、存储介质及处理器 Download PDF

Info

Publication number
CN113468384A
CN113468384A CN202110820372.9A CN202110820372A CN113468384A CN 113468384 A CN113468384 A CN 113468384A CN 202110820372 A CN202110820372 A CN 202110820372A CN 113468384 A CN113468384 A CN 113468384A
Authority
CN
China
Prior art keywords
information
confidence
source information
source
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110820372.9A
Other languages
English (en)
Other versions
CN113468384B (zh
Inventor
韦云川
万朝华
顾建华
杨升
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hillstone Networks Co Ltd
Original Assignee
Hillstone Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hillstone Networks Co Ltd filed Critical Hillstone Networks Co Ltd
Priority to CN202110820372.9A priority Critical patent/CN113468384B/zh
Publication of CN113468384A publication Critical patent/CN113468384A/zh
Application granted granted Critical
Publication of CN113468384B publication Critical patent/CN113468384B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/907Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
    • G06F16/908Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using metadata automatically derived from the content

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Library & Information Science (AREA)
  • Software Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请公开了一种网络情报源信息的处理方法、装置、存储介质及处理器。该方法包括:采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;基于历史评价信息确定每个情报源信息的置信度;基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略。通过本申请,解决了相关技术中由于对同一事件的多个威胁情报信息中情报源的可信度识别不够精准,导致威胁情报信息处理工作效率较低的问题。

Description

网络情报源信息的处理方法、装置、存储介质及处理器
技术领域
本申请涉及信息处理技术领域,具体而言,涉及一种网络情报源信息的处理方法、装置、存储介质及处理器。
背景技术
对于来自不同情报源的、表征同一安全事件的网络威胁情报来源多、范围广。情报数量的庞大加上情报本身来源的置信度问题,会带来大量的检出误报,使得安全人员工作量巨大且效率低下。威胁情报不仅种类繁杂,应用场景也很复杂,不同场景中应用的威胁情报种类也存在差别。威胁情报更新快,在“多”和“杂”的映衬下,情报更新速度之快使得安全人员工作难上加难。
针对相关技术中由于对同一事件的多个威胁情报信息中情报源的可信度识别不够精准,导致威胁情报信息处理工作效率较低的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种网络情报源信息的处理方法、装置、存储介质及处理器,以解决相关技术中由于对同一事件的多个威胁情报信息中情报源的可信度识别不够精准,导致威胁情报信息处理工作效率较低的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种网络情报源信息的处理方法。该方法包括:采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;基于历史评价信息确定每个情报源信息的置信度;基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略。
进一步地,历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
进一步地,在基于历史评价信息确定每个情报源信息的置信度之前,该方法还包括:通过目标检索方式对每个情报源信息进行关联,得到关联信息;基于关联信息,将多个情报源信息确定有向图,其中,有向图中的节点为情报源信息,节点之间存在情报引用与被引用关系是生成有向图中的边;计算每个节点的权威度,得到每个情报源信息的权威度。
进一步地,在计算每个节点的权威度,得到每个情报源信息的权威度之后,该方法还包括:基于平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率,得到目标衰减因子;基于目标衰减因子对每个情报源信息的权威度进行处理,得到处理后的每个情报源信息的权威度;根据处理后的每个情报源信息的权威度,计算多个情报源中每个情报源信息的平均权威度。
进一步地,基于历史评价信息确定每个情报源信息的置信度包括:若平均权威度大于第一预设值时,则确定情报源信息的置信度为第一置信度;若平均权威度小于第二预设值时,则确定情报源信息的置信度为第二置信度;若平均权威度大于第二预设值,且平均权威度小于第一预设值时,则确定情报源信息的置信度为第三置信度。
进一步地,基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略包括:若情报源信息的置信度为第一置信度时,则对多个威胁情报信息进行自动化响应处理;若情报源信息的置信度为第二置信度时,则对多个威胁情报信息执行删除操作;若情报源信息的置信度为第三置信度时,则对多个威胁情报信息进行分析处理。
为了实现上述目的,根据本申请的另一方面,提供了一种网络情报源信息的处理装置。该装置包括:第一采集单元,用于采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;第一获取单元,用于获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;第一确定单元,用于基于历史评价信息确定每个情报源信息的置信度;第二确定单元,用于基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略。
进一步地,历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
进一步地,该装置还包括:第一关联单元,用于在基于历史评价信息确定每个情报源信息的置信度之前,通过目标检索方式对每个情报源信息进行关联,得到关联信息;第三确定单元,用于基于关联信息,将多个情报源信息确定有向图,其中,有向图中的节点为情报源信息,节点之间存在情报引用与被引用关系是生成有向图中的边;第一计算单元,用于计算每个节点的权威度,得到每个情报源信息的权威度。
进一步地,该装置还包括:第二获取单元,用于在计算每个节点的权威度,得到每个情报源信息的权威度之后,基于平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率,得到目标衰减因子;第一处理单元,用于基于目标衰减因子对每个情报源信息的权威度进行处理,得到处理后的每个情报源信息的权威度;第二计算单元,用于根据处理后的每个情报源信息的权威度,计算多个情报源中每个情报源信息的平均权威度。
进一步地,第一确定单元包括:第一确定模块,用于若平均权威度大于第一预设值时,则确定情报源信息的置信度为第一置信度;第二确定模块,用于若平均权威度小于第二预设值时,则确定情报源信息的置信度为第二置信度;第三确定模块,用于若平均权威度大于第二预设值,且平均权威度小于第一预设值时,则确定情报源信息的置信度为第三置信度。
进一步地,第二确定单元包括:第一处理模块,用于若情报源信息的置信度为第一置信度时,则对多个威胁情报信息进行自动化响应处理;第二处理模块,用于若情报源信息的置信度为第二置信度时,则对多个威胁情报信息执行删除操作;第三处理模块,用于若情报源信息的置信度为第三置信度时,则对多个威胁情报信息进行分析处理。
根据本申请实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一项的方法。
根据本申请实施例的另一方面,还提供了一种计算机可读存储介质,其上存储有计算机程序/指令,该计算机程序/指令被处理器执行时执行上述任意一项的方法。
通过本申请,采用以下步骤:采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;基于历史评价信息确定每个情报源信息的置信度;基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略,解决了相关技术中由于对同一事件的多个威胁情报信息中情报源的可信度识别不够精准,导致威胁情报信息处理工作效率较低的问题。通过基于每个情报源信息对应的历史评价信息确定每个情报源信息的置信度,然后基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略,进而达到了提升威胁情报信息处理工作效率的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的网络情报源信息的处理方法的流程图;
图2是根据本申请实施例提供的网络情报源信息的处理方法的系统执行示意图;以及
图3是根据本申请实施例提供的网络情报源信息的处理装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种网络情报源信息的处理方法。
图1是根据本申请实施例的网络情报源信息的处理方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息。
例如,表示同一个安全事件的网络威胁情报f,存在n个情报威胁信息的情报源信息{s1,s2,...,sn}。
步骤S102,获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息。
具体的,获取上述情报源信息{s1,s2,...,sn}中对应的历史评价信息Yi,其中,Yi表示情报源信息{s1,s2,...,sn}中历史威胁情报信息中的评价信息。
可选地,在本申请实施例提供的网络情报源信息的处理方法中,历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
例如,对于任意情报源si,其历史威胁情报信息中的评价信息Yi至少包含平均误报率FPi、率先发现比率FDi、情报源更新速度UFi、基于用户标记的情报支持率USi、情报源信息的PageRank权威度(情报源信息的权威度)PRi,也即,Yi={FPi,FDi,UFi,USi,PRi},通过对情报源历史评价信息进行获取,提升了后续对情报源数据分析的可靠性。
步骤S103,基于历史评价信息确定每个情报源信息的置信度。
具体的,基于历史评价信息确定每个情报源信息的置信度之前,需要对历史评价信息中的情报源信息的权威度进行计算处理。
可选地,在本申请实施例提供的网络情报源信息的处理方法中,在基于历史评价信息确定每个情报源信息的置信度之前,该方法还包括:通过目标检索方式对每个情报源信息进行关联,得到关联信息;基于关联信息,将多个情报源信息确定有向图,其中,有向图中的节点为情报源信息,节点之间存在情报引用与被引用关系是生成有向图中的边;计算每个节点的权威度,得到每个情报源信息的权威度。
例如,基于目标检索方式将情报源信息{s1,s2,...,sn}通过关联的威胁情报,或者相互引用对方情报,形成有向图G=(V,E),其中,有向图中的节点vi为情报源信息,节点之间存在情报引用与被引用关系是生成有向图中的边eij,并计算节点vi的权威度,计算节点PageRank权威度PR的计算方法如下:
Figure BDA0003171723410000051
其中,n是所有节点的数量,L(vj)是节点vj的出度的大小,常数q是阻尼系数(通常被设定为0.85)。
可选地,在本申请实施例提供的网络情报源信息的处理方法中,在计算每个节点的权威度,得到每个情报源信息的权威度之后,该方法还包括:基于平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率,得到目标衰减因子;基于目标衰减因子对每个情报源信息的权威度进行处理,得到处理后的每个情报源信息的权威度;根据处理后的每个情报源信息的权威度,计算多个情报源中每个情报源信息的平均权威度。
例如,结合情报源信息中历史评价信息的的平均误报率FP、率先发现比率FD、情报源更新速度UF、基于用户标记的情报支持率US,获取目标衰减因子,具体的,获取目标衰减因子的公式为:u=-a*e-FP+b*eFD+c*eUF+d*eUS,a∈[0.4,0,7],b∈[0.1,0.3],c∈[0.4,0,6],d∈[0.1,0.3],基于目标衰减因子u对PageRank权威度PR进行改进处理,得到多个情报源信息改进后的权威度为:IPR=log10(u*PR),根据处理后的每个情报源信息的权威度,计算n个情报源{s1,s2,...,sn}的改进权威度IPR的均值(对应于本申请中的平均权威度),其中,求解平均权威度公式如下所示:
Figure BDA0003171723410000061
本申请通过对每个情报源信息的权威度进行处理改进,得到改进后的权威度信息,基于对改进后的权威度信息进行计算,得到平均权威度,进一步地保证了对后续进行情报源信息的置信度的数据分析处理更加精准。
可选地,在本申请实施例提供的网络情报源信息的处理方法中,基于历史评价信息确定每个情报源信息的置信度包括:若平均权威度大于第一预设值时,则确定情报源信息的置信度为第一置信度;若平均权威度小于第二预设值时,则确定情报源信息的置信度为第二置信度;若平均权威度大于第二预设值,且平均权威度小于第一预设值时,则确定情报源信息的置信度为第三置信度。
具体的,定义威胁情报信息中情报源的置信度指标C∈[0,1],数值越高代表置信度越高,基于上述公式可知,若MIPR≥q1(对应于本申请中的第一预设值),其中,q1∈[25,40],则威胁情报信息中情报源的置信度C=1。确定多个情报源信息的置信度为第一置信度,也即认为该情况下的情报源发出的的威胁情报完全可信。
若MIPR≤0(对应于本申请中的第二预设值),则威胁情报信息中情报源的置信度C=0。确定多个情报源信息的置信度为第二置信度,也即认为该情况下的情报源发出的威胁情报完全不可信。
若0<MIPR<q1(对应于本申请中的第三预设值),其中,q1∈[25,40],则威胁情报信息中情报源的置信度
Figure BDA0003171723410000062
确定多个威胁情报信息的置信度为第三置信度,也即认为该情况下的情报源发出的威胁情报部分可信。
本申请通过基于多个处理后的情报源信息中的权威度,确定了针对同一事件的威胁情报信息来自不同情报源时的置信度的大小,进而达到了提升对威胁情报信息处理工作效率的效果。
步骤S104,基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略。
具体的,同一事件的威胁情报信息来自不同情报源时的置信度的确定,使得对威胁情报信息进行处理时按照其对应情况的处理策略进行处理,进而提升了对威胁情报信息的处理效率。
可选地,在本申请实施例提供的网络情报源信息的处理方法中,基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略包括:若情报源信息的置信度为第一置信度时,则对多个威胁情报信息进行自动化响应处理;若情报源信息的置信度为第二置信度时,则对多个威胁情报信息执行删除操作;若情报源信息的置信度为第三置信度时,则对多个威胁情报信息进行分析处理。
具体的,若多个情报源信息的置信度为第一置信度时,则该情况下的情报源发出的的威胁情报完全可信,例如,情报源信息发出的威胁情报信息{s1,s2,...,s10}表示同一个可信的安全事件,将该10条情报源信息进行自动化响应处理,提升了面对大批量情报源发出的的威胁情报信息时的处理效率。
具体的,若多个情报源信息的置信度为第二置信度时,则该情况下的情报源发出的的威胁情报完全不可信,例如,情报源信息发出的威胁情报信息{s1,s2,...,s10}表示同一个不可信的安全事件,将该10条情报源信息不进行自动化响应处理,同时对多个威胁情报信息执行删除操作,减轻了计算机内部的存储以及计算的资源开销,进一步提高对高质量的威胁情报信息的利用效率,以及减少了低质量威胁情报对于安全运维工作的干扰。
具体的,若多个情报源信息的置信度为第三置信度时,则该情况下的情报源发出的的威胁情报部分可信,例如,情报源信息发出的威胁情报信息{s1,s2,...,s10}是部分可信的同一安全事件,则对多个情报源信息进行更加细化的分析处理,本申请通过对存在一定程度的可信的情报源信息的进一步分析处理,使得对表示同一事件威胁情报信息的情报源信息的判断更加精准,进一步达到了提升对威胁情报信息处理工作效率的效果。
可选地,图2是根据本申请实施例提供的网络情报源信息的处理方法的系统执行示意图,如图2所示,获取威胁情报信息中的情报源信息,基于情报源信息包含历史威胁情报信息的评价信息,对历史评价信息的权威度进行改进,计算改进后的权威度IPR的均值,若MIPR≥q1,则置信度C=1,认为该情况下的情报源发出的的威胁情报完全可信;若0<MIPR<q1,则置信度
Figure BDA0003171723410000071
认为该情况下的情报源发出的威胁情报部分可信,若MIPR≤0,则置信度C=0,认为该情况下的情报源发出的威胁情报完全不可信。
综上,本申请实施例提供的网络情报源信息的处理方法,通过采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;基于历史评价信息确定每个情报源信息的置信度;基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略,解决了相关技术中由于对同一事件的多个威胁情报信息中情报源的可信度识别不够精准,导致威胁情报信息处理工作效率较低的问题。通过基于每个情报源信息对应的历史评价信息确定每个情报源信息的置信度,然后基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略,进而达到了提升威胁情报信息处理工作效率的效果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种网络情报源信息的处理装置,需要说明的是,本申请实施例的网络情报源信息的处理装置可以用于执行本申请实施例所提供的用于网络情报源信息的处理方法。以下对本申请实施例提供的网络情报源信息的处理装置进行介绍。
图3是根据本申请实施例的网络情报源信息的处理装置的示意图。如图3所示,该装置包括:第一采集单元301、第一获取单元302、第一确定单元303、第二确定单元304。
具体的,第一采集单元301,用于采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;
第一获取单元302,用于获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;
第一确定单元303,用于基于历史评价信息确定每个情报源信息的置信度;
第二确定单元304,用于基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略。
综上,本申请实施例提供的网络情报源信息的处理装置,通过第一采集单元301采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;第一获取单元302获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;第一确定单元303基于历史评价信息确定每个情报源信息的置信度;第二确定单元304基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略,解决了相关技术中由于对同一事件的多个威胁情报信息中情报源的可信度识别不够精准,导致威胁情报信息处理工作效率较低的问题。通过基于每个情报源信息对应的历史评价信息确定每个情报源信息的置信度,然后基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略,进而达到了提升威胁情报信息处理工作效率的效果。
可选地,在本申请实施例提供的网络情报源信息的处理装置中,历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
可选地,在本申请实施例提供的网络情报源信息的处理装置中,该装置还包括:第一关联单元,用于在基于历史评价信息确定每个情报源信息的置信度之前,通过目标检索方式对每个情报源信息进行关联,得到关联信息;第三确定单元,用于基于关联信息,将多个情报源信息确定有向图,其中,有向图中的节点为情报源信息,节点之间存在情报引用与被引用关系是生成有向图中的边;第一计算单元,用于计算每个节点的权威度,得到每个情报源信息的权威度。
可选地,在本申请实施例提供的网络情报源信息的处理装置中,该装置还包括:第二获取单元,用于在计算每个节点的权威度,得到每个情报源信息的权威度之后,基于平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率,得到目标衰减因子;第一处理单元,用于基于目标衰减因子对每个情报源信息的权威度进行处理,得到处理后的每个情报源信息的权威度;第二计算单元,用于根据处理后的每个情报源信息的权威度,计算多个情报源中每个情报源信息的平均权威度。
可选地,在本申请实施例提供的网络情报源信息的处理装置中,第一确定单元303包括:第一确定模块,用于若平均权威度大于第一预设值时,则确定情报源信息的置信度为第一置信度;第二确定模块,用于若平均权威度小于第二预设值时,则确定情报源信息的置信度为第二置信度;第三确定模块,用于若平均权威度大于第二预设值,且平均权威度小于第一预设值时,则确定情报源信息的置信度为第三置信度。
可选地,在本申请实施例提供的网络情报源信息的处理装置中,第二确定单元304包括:第一处理模块,用于若情报源信息的置信度为第一置信度时,则对多个威胁情报信息进行自动化响应处理;第二处理模块,用于若情报源信息的置信度为第二置信度时,则对多个威胁情报信息执行删除操作;第三处理模块,用于若情报源信息的置信度为第三置信度时,则对多个威胁情报信息进行分析处理。
网络情报源信息的处理装置包括处理器和存储器,上述的第一采集单元301、第一获取单元302、第一确定单元303、第二确定单元304等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来进行网络情报源信息的处理。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现网络情报源信息的处理方法。
本发明实施例提供了一种处理器,处理器用于运行程序,其中,程序运行时执行网络情报源信息的处理方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;基于历史评价信息确定每个情报源信息的置信度;基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略。
处理器执行程序时还实现以下步骤:历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
处理器执行程序时还实现以下步骤:在基于历史评价信息确定每个情报源信息的置信度之前,通过目标检索方式对每个情报源信息进行关联,得到关联信息;基于关联信息,将多个情报源信息确定有向图,其中,有向图中的节点为情报源信息,节点之间存在情报引用与被引用关系是生成有向图中的边;计算每个节点的权威度,得到每个情报源信息的权威度。
处理器执行程序时还实现以下步骤:在计算每个节点的权威度,得到每个情报源信息的权威度之后,基于平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率,得到目标衰减因子;基于目标衰减因子对每个情报源信息的权威度进行处理,得到处理后的每个情报源信息的权威度;根据处理后的每个情报源信息的权威度,计算多个情报源中每个情报源信息的平均权威度。
处理器执行程序时还实现以下步骤:若平均权威度大于第一预设值时,则确定情报源信息的置信度为第一置信度;若平均权威度小于第二预设值时,则确定情报源信息的置信度为第二置信度;若平均权威度大于第二预设值,且平均权威度小于第一预设值时,则确定情报源信息的置信度为第三置信度。
处理器执行程序时还实现以下步骤:若情报源信息的置信度为第一置信度时,则对多个威胁情报信息进行自动化响应处理;若情报源信息的置信度为第二置信度时,则对多个威胁情报信息执行删除操作;若情报源信息的置信度为第三置信度时,则对多个威胁情报信息进行分析处理。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;获取每个情报源信息对应的历史评价信息,其中,历史评价信息表示情报源信息中历史威胁情报信息中的评价信息;基于历史评价信息确定每个情报源信息的置信度;基于每个情报源信息的置信度确定对多个威胁情报信息的威胁情报处理策略。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:在基于历史评价信息确定每个情报源信息的置信度之前,通过目标检索方式对每个情报源信息进行关联,得到关联信息;基于关联信息,将多个情报源信息确定有向图,其中,有向图中的节点为情报源信息,节点之间存在情报引用与被引用关系是生成有向图中的边;计算每个节点的权威度,得到每个情报源信息的权威度。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:在计算每个节点的权威度,得到每个情报源信息的权威度之后,基于平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率,得到目标衰减因子;基于目标衰减因子对每个情报源信息的权威度进行处理,得到处理后的每个情报源信息的权威度;根据处理后的每个情报源信息的权威度,计算多个情报源中每个情报源信息的平均权威度。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:若平均权威度大于第一预设值时,则确定情报源信息的置信度为第一置信度;若平均权威度小于第二预设值时,则确定情报源信息的置信度为第二置信度;若平均权威度大于第二预设值,且平均权威度小于第一预设值时,则确定情报源信息的置信度为第三置信度。
当在数据处理设备上执行时,还适于执行初始化有如下方法步骤的程序:若情报源信息的置信度为第一置信度时,则对多个威胁情报信息进行自动化响应处理;若情报源信息的置信度为第二置信度时,则对多个威胁情报信息执行删除操作;若情报源信息的置信度为第三置信度时,则对多个威胁情报信息进行分析处理。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种网络情报源信息的处理方法,其特征在于,包括:
采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;
获取每个情报源信息对应的历史评价信息,其中,所述历史评价信息表示所述情报源信息中历史威胁情报信息中的评价信息;
基于所述历史评价信息确定每个情报源信息的置信度;
基于所述每个情报源信息的置信度确定对所述多个威胁情报信息的威胁情报处理策略。
2.根据权利要求1所述的方法,其特征在于,所述历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
3.根据权利要求2所述的方法,其特征在于,在基于所述历史评价信息确定每个情报源信息的置信度之前,所述方法还包括:
通过目标检索方式对所述每个情报源信息进行关联,得到关联信息;
基于所述关联信息,将所述多个情报源信息确定有向图,其中,所述有向图中的节点为情报源信息,节点之间存在情报引用与被引用关系是生成所述有向图中的边;
计算每个节点的权威度,得到每个情报源信息的权威度。
4.根据权利要求3所述的方法,其特征在于,在计算每个节点的权威度,得到每个情报源信息的权威度之后,所述方法还包括:
基于所述平均误报率、所述率先发现比率、所述情报源更新速度、所述基于用户标记的情报支持率,得到目标衰减因子;
基于所述目标衰减因子对每个情报源信息的权威度进行处理,得到处理后的每个情报源信息的权威度;
根据处理后的每个情报源信息的权威度,计算所述多个情报源中每个情报源信息的平均权威度。
5.根据权利要求4所述的方法,其特征在于,基于所述历史评价信息确定每个情报源信息的置信度包括:
若所述平均权威度大于第一预设值时,则确定所述情报源信息的置信度为第一置信度;
若所述平均权威度小于第二预设值时,则确定所述情报源信息的置信度为第二置信度;
若所述平均权威度大于所述第二预设值,且所述平均权威度小于所述第一预设值时,则确定所述情报源信息的置信度为第三置信度。
6.根据权利要求5所述的方法,其特征在于,基于所述每个情报源信息的置信度确定对所述多个威胁情报信息的威胁情报处理策略包括:
若所述情报源信息的置信度为所述第一置信度时,则对所述多个威胁情报信息进行自动化响应处理;
若所述情报源信息的置信度为所述第二置信度时,则对所述多个威胁情报信息执行删除操作;
若所述情报源信息的置信度为所述第三置信度时,则对所述多个威胁情报信息进行分析处理。
7.一种网络情报源信息的处理装置,其特征在于,包括:
第一采集单元,用于采集同一事件的多个威胁情报信息的情报源信息,得到多个情报源信息;
第一获取单元,用于获取每个情报源信息对应的历史评价信息,其中,所述历史评价信息表示所述情报源信息中历史威胁情报信息中的评价信息;
第一确定单元,用于基于所述历史评价信息确定每个情报源信息的置信度;
第二确定单元,用于基于所述每个情报源信息的置信度确定对所述多个威胁情报信息的威胁情报处理策略。
8.根据权利要求7所述的装置,其特征在于,所述历史评价信息包括如下至少之一:平均误报率、率先发现比率、情报源更新速度、基于用户标记的情报支持率、情报源信息的权威度。
9.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的方法。
10.一种计算机可读的存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至6中任意一项所述的方法。
CN202110820372.9A 2021-07-20 2021-07-20 网络情报源信息的处理方法、装置、存储介质及处理器 Active CN113468384B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110820372.9A CN113468384B (zh) 2021-07-20 2021-07-20 网络情报源信息的处理方法、装置、存储介质及处理器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110820372.9A CN113468384B (zh) 2021-07-20 2021-07-20 网络情报源信息的处理方法、装置、存储介质及处理器

Publications (2)

Publication Number Publication Date
CN113468384A true CN113468384A (zh) 2021-10-01
CN113468384B CN113468384B (zh) 2023-11-03

Family

ID=77881231

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110820372.9A Active CN113468384B (zh) 2021-07-20 2021-07-20 网络情报源信息的处理方法、装置、存储介质及处理器

Country Status (1)

Country Link
CN (1) CN113468384B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992374A (zh) * 2021-10-20 2022-01-28 中国工商银行股份有限公司 多源威胁情报的处理方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120136853A1 (en) * 2010-11-30 2012-05-31 Yahoo Inc. Identifying reliable and authoritative sources of multimedia content
US9122710B1 (en) * 2013-03-12 2015-09-01 Groupon, Inc. Discovery of new business openings using web content analysis
CN109688091A (zh) * 2018-04-25 2019-04-26 北京微步在线科技有限公司 多源的威胁情报的质量评估方法及装置
CN111160749A (zh) * 2019-12-23 2020-05-15 北京神州绿盟信息安全科技股份有限公司 一种情报质量评估和情报融合方法及装置
CN112019519A (zh) * 2020-08-06 2020-12-01 杭州安恒信息技术股份有限公司 网络安全情报威胁度的检测方法、装置和电子装置
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质
CN112671744A (zh) * 2020-12-17 2021-04-16 杭州安恒信息技术股份有限公司 一种威胁情报信息处理方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120136853A1 (en) * 2010-11-30 2012-05-31 Yahoo Inc. Identifying reliable and authoritative sources of multimedia content
US9122710B1 (en) * 2013-03-12 2015-09-01 Groupon, Inc. Discovery of new business openings using web content analysis
CN109688091A (zh) * 2018-04-25 2019-04-26 北京微步在线科技有限公司 多源的威胁情报的质量评估方法及装置
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质
CN111160749A (zh) * 2019-12-23 2020-05-15 北京神州绿盟信息安全科技股份有限公司 一种情报质量评估和情报融合方法及装置
CN112019519A (zh) * 2020-08-06 2020-12-01 杭州安恒信息技术股份有限公司 网络安全情报威胁度的检测方法、装置和电子装置
CN112671744A (zh) * 2020-12-17 2021-04-16 杭州安恒信息技术股份有限公司 一种威胁情报信息处理方法、装置、设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
宋京京;潘云涛;苏成;: "基于PageRank算法的图书影响力评价", 中华医学图书情报杂志, no. 12 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113992374A (zh) * 2021-10-20 2022-01-28 中国工商银行股份有限公司 多源威胁情报的处理方法及装置
CN113992374B (zh) * 2021-10-20 2024-01-30 中国工商银行股份有限公司 多源威胁情报的处理方法及装置

Also Published As

Publication number Publication date
CN113468384B (zh) 2023-11-03

Similar Documents

Publication Publication Date Title
CN106897334B (zh) 一种问题推送方法和设备
US20180181751A1 (en) Anomaly Detection in Distributed Ledger Systems
CN112346829A (zh) 一种用于任务调度的方法及设备
JP2019523952A (ja) ストリーミングデータ分散処理方法及び装置
CN106897342B (zh) 一种数据校验方法和设备
CN113312361B (zh) 轨迹查询方法、装置、设备、存储介质及计算机程序产品
CN107528904B (zh) 用于数据分布式异常检测的方法与设备
CN109614284B (zh) 一种数据处理方法及装置
CN111881448B (zh) 恶意文件的确定方法及装置
CN113641526A (zh) 告警根因定位方法、装置、电子设备及计算机存储介质
CN112583944B (zh) 一种更新域名证书的处理方法和装置
CN113468384B (zh) 网络情报源信息的处理方法、装置、存储介质及处理器
CN112579623A (zh) 存储数据的方法、装置、存储介质及设备
CN108804210B (zh) 一种云平台的资源配置方法及装置
CN115374109B (zh) 数据访问方法、装置、计算设备和系统
CN108267613B (zh) 一种测风数据处理方法及相关设备
CN111222774A (zh) 企业数据分析方法、装置及服务器
CN114817209A (zh) 监控规则的处理方法和装置、处理器及电子设备
CN106454884A (zh) 用于区分同名无线接入点的方法和设备
CN110958129A (zh) 流量分析的方法、系统和装置
CN115442262A (zh) 一种资源评估方法、装置、电子设备及存储介质
CN115061841A (zh) 一种告警归并方法、装置、电子设备及存储介质
CN109426540B (zh) 元素的点击情况检测方法和装置、存储介质、处理器
CN109150571B (zh) 网格映射方法和装置
CN113489740A (zh) 网络威胁情报信息的处理方法、装置、存储介质及处理器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant