CN113992374B - 多源威胁情报的处理方法及装置 - Google Patents
多源威胁情报的处理方法及装置 Download PDFInfo
- Publication number
- CN113992374B CN113992374B CN202111223339.4A CN202111223339A CN113992374B CN 113992374 B CN113992374 B CN 113992374B CN 202111223339 A CN202111223339 A CN 202111223339A CN 113992374 B CN113992374 B CN 113992374B
- Authority
- CN
- China
- Prior art keywords
- threat
- threat information
- information
- provider
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 97
- 238000012545 processing Methods 0.000 title claims abstract description 58
- 238000004422 calculation algorithm Methods 0.000 claims description 24
- 238000003860 storage Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 abstract description 44
- 238000003672 processing method Methods 0.000 abstract description 4
- 238000011156 evaluation Methods 0.000 description 14
- 230000002354 daily effect Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 230000008520 organization Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000012163 sequencing technique Methods 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000003908 quality control method Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000002872 Statistical quality control Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供多源威胁情报的处理方法及装置。该处理方法包括:获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度;根据每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度,重新确定每个威胁情报的目标置信度;根据每个威胁情报的目标置信度对第一IP地址进行安全防护处理。本申请的方法,综合考虑了针对同一IP地址的多源威胁情报的置信度,提高了网络通信的安全性。
Description
技术领域
本申请涉及互联网安全技术领域,尤其涉及多源威胁情报的处理方法及装置。
背景技术
随着全球网络威胁持续升级,网络入侵和信息泄露事件频发,黑色产业链规模日益庞大,为应对这类安全威胁,威胁情报得到了广泛应用。威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
网络通信设备获知威胁情报之后,可以基于威胁情报避开相应的通信安全威胁,及时做好网络安全防护,从而提供网络通信设备的通信安全性。为了进一步提高网络通信设备的通信安全,网络通信设备通常会获取多个不同威胁情报提供商提供的威胁情报。
但是,不同的威胁情报供应商针对同一个网际互连协议(internet protocol,IP)地址的情报内容的收集方式、处理方式、安全性判断标准等可能是各不相同的,从而导致不同的威胁情报供应商针对同一个IP地址提供的威胁情报也各不相同。这种情况下,网络通信设备如何基于不同的威胁情报供应商针对同一个IP地址提供的威胁情报提高网络通信的安全性,成为亟待解决的技术问题。
发明内容
本申请提供多源威胁情报的处理方法,用以解决网络通信设备如何基于不同的威胁情报供应商针对同一个IP地址提供的威胁情报提高网络通信的安全性问题。
第一方面,本申请提供一种多源威胁情报的处理方法,所述方法包括:获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度;根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度,重新确定所述每个威胁情报的目标置信度;根据所述每个威胁情报的目标置信度对所述第一IP地址进行安全防护处理。
该方法中,通过每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度,得到一个新的关于第一IP地址的威胁情报的目标置信度,根据目标置信度,对第一IP地址进行安全防护处理。该方法有效利用了针对同一IP地址的多源威胁情报信息,得到的置信度结果更加可靠,基于该置信度对相应的IP地址进行安全防护处理,可以提高网络通信的安全性。
结合第一方面,在一种可能的实现方式中,所述获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重,包括:获取所述每个威胁情报供应商提供的威胁情报的以下至少一种信息:时效性信息、情报规模量信息、情报精准度信息和情报与业务相关程度信息,所述时效性信息用于指示所述每个威胁情报供应商提供的威胁情报的及时程度,所述情报规模量信息用于指示所述每个威胁情报供应商提供的威胁情报的在第一预设时间段内新增的数量信息,所述情报精准度信息用于指示所述每个威胁情报供应商提供的威胁情报的准确度信息,所述业务相关程度信息用于指示所述每个威胁情报供应商提供的威胁情报与业务的相关程度;根据所述每个威胁情报供应商提供的威胁情报的所述至少一种信息,计算得到所述每个威胁情报供应商的威胁情报质量得分,所述每个威胁情报供应商的威胁情报质量得分用于指示所述每个威胁情报供应商的威胁情报质量权重。
该实现方式中,通过统计每个威胁情报供应商提供的威胁情报的相关信息,得到每个威胁情报供应商的威胁情报质量得分,进而得到每个威胁情报供应商的威胁情报质量权重,相当于对每个威胁情报供应商的威胁情报质量做了一个综合评价。
结合第一方面,在一种可能的实现方式中,所述时效性信息包括所述每个威胁情报供应商提供的威胁情报的时间差指标,所述情报规模量信息包括所述每个威胁情报供应商提供的威胁情报的日均规模指标,所述情报精准度信息包括所述每个威胁情报供应商提供的威胁情报的可信度、精度2指标和精度3指标,所述情报与业务相关程度信息包括所述每个威胁情报供应商提供的威胁情报的碰撞成功条数和精度1指标,所述碰撞成功条数为第二预设时间段内所述每个威胁情报供应商提供的威胁情报与用户真实攻击数据碰撞成功的威胁情报的数量,所述精度1指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与所述用户真实攻击数据碰撞成功的威胁情报占的比例,所述精度2指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与用户预设的安全IP地址库碰撞成功的威胁情报占的比例,所述精度3指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与可信IP地址库碰撞成功的威胁情报占的比例,所述可信IP地址库为所述每个威胁情报供应商提供的威胁情报中针对同一IP地址的威胁情报的数量大于预设阈值的IP地址的集合。
该实现方式中,对计算每个威胁情报供应商的威胁情报质量权重需要统计的每个威胁情报供应商提供的威胁情报的相关信息进行了进一步的介绍,细化了具体的指标信息。
结合第一方面,在一种可能的实现方式中,所述根据所述每个威胁情报供应商提供的威胁情报的所述至少一种信息,计算得到所述每个威胁情报供应商的威胁情报质量得分,包括:利用逼近理想解排序法算法和秩和比算法,对所述每个威胁情报供应商提供的威胁情报的所述至少一种信息进行处理,得到所述每个威胁情报供应商的威胁情报质量得分。
该实现方式中,描述了计算每个威胁情报供应商的威胁情报质量得分时需要用到逼近理想解排序法算法和秩和比算法。其中,逼近理想解排序法算法原理简单,能同时进行多个对象评价,计算快捷,结果分辨率高,评价客观,具有较好的合理性和适用性,实用价值较高;秩和比算法以非参数法为基础,对指标的选择无特殊要求,适于各种评价对象;此方法计算用的数值是秩次,可以消除异常值的干扰,合理解决指标值为零时在统计处理中的困惑,它融合了参数分析的方法,结果比单纯采用非参数法更为精确,既可以直接排序,又可以分档排序,使用范围广泛,且不仅可以解决多指标的综合评价,也可用于统计测报与质量控制中,两种算法相结合可以全面的、合理的评价每个威胁情报供应商的威胁情报质量,最后得到一个合理的威胁情报质量得分。
结合第一方面,在一种可能的实现方式中,所述根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度,重新确定所述每个威胁情报的目标置信度,包括:将所述每个威胁情报供应商的威胁情报质量权重与所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度的乘积作加法运算,得到的和为所述目标置信度。
该实现方式中,详细说明了计算得到目标置信度的算法,这种综合考虑了同一IP地址的多源威胁情报的方法得到的置信度更加可靠。
结合第一方面,在一种可能的实现方式中,所述方法还包括:获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度;根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,重新确定所述每个威胁情报中第一IP地址的目标威胁程度;根据所述每个威胁情报的目标置信度和所述每个威胁情报中第一IP地址的目标威胁程度,对所述第一IP地址进行安全防护处理。
该实现方式中,通过每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,得到一个新的关于第一IP地址的目标威胁程度,根据该目标威胁程度,结合威胁情报的目标置信度,对第一IP地址进行安全防护处理。该方法有效利用了针对同一IP地址的多源威胁情报信息,得到的威胁程度结果更加可靠,可以提高网络通信的安全性。
结合第一方面,在一种可能的实现方式中,所述根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,重新确定所述每个威胁情报中第一IP地址的目标威胁程度,包括:将所述每个威胁情报供应商的威胁情报质量权重与所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度的乘积作加法运算,得到的和为所述目标威胁程度。
该实现方式中,详细说明了计算得到目标威胁程度的算法,这种综合考虑了同一IP地址的多源威胁情报的方法得到的威胁程度更加可靠。
第二方面,本申请提供一种多源威胁情报的处理装置,所述装置包括:获取模块,用于获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度;确定模块,用于根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度,重新确定所述每个威胁情报的目标置信度;处理模块,用于根据所述每个威胁情报的目标置信度对所述第一IP地址进行安全防护处理。
结合第二方面,在一种可能的实现方式中,所述装置还包括:计算模块,所述获取模块具体用于:获取所述每个威胁情报供应商提供的威胁情报的以下至少一种信息:时效性信息、情报规模量信息、情报精准度信息和情报与业务相关程度信息,所述时效性信息用于指示所述每个威胁情报供应商提供的威胁情报的及时程度,所述情报规模量信息用于指示所述每个威胁情报供应商提供的威胁情报的在第一预设时间段内新增的数量信息,所述情报精准度信息用于指示所述每个威胁情报供应商提供的威胁情报的准确度信息,所述业务相关程度信息用于指示所述每个威胁情报供应商提供的威胁情报与业务的相关程度;所述计算模块用于根据所述每个威胁情报供应商提供的威胁情报的所述至少一种信息,计算得到所述每个威胁情报供应商的威胁情报质量得分,所述每个威胁情报供应商的威胁情报质量得分用于指示所述每个威胁情报供应商的威胁情报质量权重。
结合第二方面,在一种可能的实现方式中,所述时效性信息包括所述每个威胁情报供应商提供的威胁情报的时间差指标,所述情报规模量信息包括所述每个威胁情报供应商提供的威胁情报的日均规模指标,所述情报精准度信息包括所述每个威胁情报供应商提供的威胁情报的可信度、精度2指标和精度3指标,所述情报与业务相关程度信息包括所述每个威胁情报供应商提供的威胁情报的碰撞成功条数和精度1指标,所述碰撞成功条数为第二预设时间段内所述每个威胁情报供应商提供的威胁情报与用户真实攻击数据碰撞成功的威胁情报的数量,所述精度1指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与所述用户真实攻击数据碰撞成功的威胁情报占的比例,所述精度2指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与用户预设的安全IP地址库碰撞成功的威胁情报占的比例,所述精度3指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与可信IP地址库碰撞成功的威胁情报占的比例,所述可信IP地址库为所述每个威胁情报供应商提供的威胁情报中针对同一IP地址的威胁情报的数量大于预设阈值的IP地址的集合。
结合第二方面,在一种可能的实现方式中,所述计算模块具体用于:利用逼近理想解排序法算法和秩和比算法,对所述每个威胁情报供应商提供的威胁情报的所述至少一种信息进行处理,得到所述每个威胁情报供应商的威胁情报质量得分。
结合第二方面,在一种可能的实现方式中,所述确定模块具体用于:将所述每个威胁情报供应商的威胁情报质量权重与所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度的乘积作加法运算,得到的和为所述目标置信度。
结合第二方面,在一种可能的实现方式中,所述获取模块还用于获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度;所述确定模块还用于根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,重新确定所述每个威胁情报中第一IP地址的目标威胁程度;所述处理模块还用于根据所述每个威胁情报的目标置信度和所述每个威胁情报中第一IP地址的目标威胁程度,对所述第一IP地址进行安全防护处理。
结合第二方面,在一种可能的实现方式中,所述确定模块具体用于:将所述每个威胁情报供应商的威胁情报质量权重与所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度的乘积作加法运算,得到的和为所述目标威胁程度。
第三方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;所述存储器存储计算机执行指令;所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面或者其中任意一种可能的实现方式所述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面或者其中任意一种可能的实现方式所述的方法。
第五方面,本申请提供一种计算机程序产品,所述计算机程序产品中包括计算机程序,该计算机程序被处理器执行时实现第一方面或者其中任意一种可能的实现方式所述的方法。
本申请提供的多源威胁情报的处理方法,通过将多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重与每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度或每个威胁情报中第一IP地址的威胁程度相结合,来重新确定每个威胁情报的目标置信度和每个威胁情报中第一IP地址的目标威胁程度,便于网络通信设备根据该目标置信度和目标威胁程度及时对第一IP地址进行安全防护处理,达到提高网络通信安全的效果。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请一个实施例提供的应用场景架构示意图;
图2为本申请一个实施例提供的多源威胁情报的处理方法的流程图;
图3为本申请一个实施例提供的威胁情报的指标体系设计示意图;
图4为本申请另一个实施例提供的多源威胁情报的处理方法的流程图;
图5为本申请一个实施例提供的多源威胁情报的处理方法的整体示意图;
图6为本申请一个实施例提供的多源威胁情报的处理方法的示例图;
图7为本申请一个实施例提供的多源威胁情报的处理装置的示意性框图;
图8为本申请另一个实施例提供的装置示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
首先对本申请所涉及的名词进行解释:
威胁情报:是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。一般情况下,大多数的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识。威胁情报旨在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。
本申请具体的应用场景架构如图1所示,该场景架构包括企业机构101、网络通信设备102和外部网络设备103。其中,企业机构101中包括n个电脑,n为大于1的整数,网络通信设备102可以是企业机构101的一个网关,或安全防护系统,或服务器,或安全管理设备,外部网络设备103包括m个IP地址,m为大于1的整数,每个IP地址对应一个电脑或一个服务器。来自外部网络设备103的任意一个或多个IP地址向企业机构101发起访问时,会先经过网络通信设备102,网络通信设备102主要用来对来自外部网络设备103的IP地址进行统一拦截并检测,如果检测确认该IP地址是安全的,则允许该IP地址对企业机构101进行访问,否则禁止该IP地址对企业机构101进行访问。
网络通信设备102在对来自外部网络设备103的IP地址进行检测时,除了利用自身的一些常规手段检测其安全性之外,还可以接收企业机构101订购的威胁情报,对来自威胁情报供应商提供的威胁情报进行分析及合理利用,提高网络通信的安全性。
随着互联网特别是移动互联网的高速发展,网络环境越发复杂,不同的攻击行为更具产业化,团伙化,入侵手法也越发多样化和复杂化,使得传统安全解决方案不断受到挑战。基于大数据关联分析得到的威胁情报可以推动企业和组织快速了解到内部的威胁信息,从而帮助企业提前做好安全防范、更快进行攻击检测与响应、更高效地进行事后攻击溯源。在此背景下威胁情报越发的受到企业的关注,已经有越来越多的企业通过自产或是采购的方式将威胁情报加入到本企业的安全保护网中。
威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。
以IP类威胁情报为例,每个威胁情报供应商会针对一个IP地址提供相应的一条威胁情报,该威胁情报中携带该IP地址的威胁程度和该威胁情报的置信度等指标。
在目前相关技术中,网络通信设备102获知威胁情报之后,可以基于威胁情报避开相应的通信安全威胁,从而提供网络通信设备的通信安全性。为了进一步提高网络通信设备的通信安全,网络通信设备通常会获取多个不同威胁情报供应商提供的威胁情报。
由于不同的威胁情报供应商收集及处理威胁情报的方式不同,判断标准不同,身处的地域不同,从而导致不同的威胁情报供应商针对同一个IP地址提供的威胁情报内容也各不相同。这种情况下,网络通信设备如何基于不同的威胁情报供应商针对同一个IP地址提供的威胁情报提高网络通信的安全性,成为亟待解决的技术问题。
有鉴于此,本申请提供多源威胁情报的处理方法,旨在解决现有技术的如上技术问题。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请一个实施例提供的多源威胁情报的处理方法的流程图。如图2所示,本申请实施例提供的方法包括S201、S202和S203。下面详细说明图2所示的方法中的各个步骤。
S201,获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度。
需要说明的是,每个威胁情报供应商收集信息的方式和渠道有很多,对应第一IP地址的情报信息可能也有多种,每个威胁情报供应商会对自己采集到的针对第一IP地址的多个信息进行处理,最终得到一个关于第一IP地址的威胁情报,然后发送至网络通信设备。
进一步地,上述得到的关于第一IP地址的威胁情报中携带有该威胁情报的置信度,该置信度用于指示该威胁情报的可信程度。
也就是说,一个威胁情报供应商针对第一IP地址会提供一个威胁情报,该威胁情报中携带有该威胁情报的置信度。
需要说明的是,多源威胁情报为来自多个不同威胁情报供应商提供的威胁情报。
可选地,每个威胁情报供应商可以称作每家威胁情报供应商。
获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重的一种可实现方式为:获取每个威胁情报供应商提供的威胁情报的以下至少一种信息:时效性信息、情报规模量信息、情报精准度信息和情报与业务相关程度信息,该时效性信息用于指示每个威胁情报供应商提供的威胁情报的及时程度,情报规模量信息用于指示每个威胁情报供应商提供的威胁情报的在第一预设时间段内新增的数量信息,情报精准度信息用于指示每个威胁情报供应商提供的威胁情报的准确度信息,业务相关程度信息用于指示每个威胁情报供应商提供的威胁情报与业务的相关程度;
根据每个威胁情报供应商提供的威胁情报的至少一种信息,计算得到每个威胁情报供应商的威胁情报质量得分,该威胁情报质量得分用于指示每个威胁情报供应商的威胁情报质量权重。
作为一种示例,图3为本申请一个实施例提供的威胁情报的指标体系设计示意图,如图3所示,计算每个威胁情报供应商的威胁情报质量权重,需要获取每个威胁情报供应商提供的威胁情报的以下至少一种信息:时效性信息、情报规模量信息、情报精准度信息和情报与业务相关程度信息,相应地,该信息还可以包括以下7个指标:时间差指标、日均规模指标、可信度、精度2指标、精度3指标、碰撞成功条数和精度1指标。
具体地,时效性信息包括每个威胁情报供应商提供的威胁情报的时间差指标,情报规模量信息包括每个威胁情报供应商提供的威胁情报的日均规模指标,情报精准度信息包括每个威胁情报供应商提供的威胁情报的可信度、精度2指标和精度3指标,情报与业务相关程度信息包括每个威胁情报供应商提供的威胁情报的碰撞成功条数和精度1指标。
其中,碰撞成功条数为第二预设时间段内每个威胁情报供应商提供的威胁情报与用户真实攻击数据碰撞成功的威胁情报的总数量,例如将每个月内每个威胁情报供应商提供的威胁情报与用户真实攻击数据进行碰撞,统计每个威胁情报供应商的碰撞成功总条数。
精度1指标为第二预设时间段内每个威胁情报供应商提供的威胁情报中与用户真实攻击数据碰撞成功的威胁情报所占的比例,例如精度1指标为每个月内每个威胁情报供应商提供的威胁情报与用户真实攻击数据碰撞成功条数和每个威胁情报供应商提供的威胁情报的总条数的比值。
精度2指标为第二预设时间段内每个威胁情报供应商提供的威胁情报中与用户预设的安全IP地址库碰撞成功的威胁情报占的比例,例如精度2指标为每个月内每个威胁情报供应商提供的威胁情报与预设的安全IP地址库碰撞成功的条数和每个威胁情报供应商提供的威胁情报的总条数的比值,预设的安全IP地址库可以包括企业自己的内网服务器地址等。
可信度为将每个威胁情报供应商提供的威胁情报与可信IP地址库进行碰撞,得到碰撞成功的IP地址在可信IP地址库中的占比,可信IP地址库为每个威胁情报供应商提供的威胁情报中针对同一IP地址的威胁情报的数量大于预设阈值的IP地址的集合,例如将来自同一个威胁情报供应商的IP地址进行汇总,挑出威胁情报供应商数大于3的IP地址,组成可信IP地址库,可信度可以较好地体现该威胁情报供应商对可信IP地址库的贡献度。
精度3指标为第二预设时间段内每个威胁情报供应商提供的威胁情报中与可信IP库碰撞成功的威胁情报占的比例,例如精度3指标为每个月内每个威胁情报供应商提供的威胁情报与可信IP地址库碰撞成功的条数和每个威胁情报供应商提供的威胁情报的总条数的比值。
时间差指标的衡量方法如下:记录每个IP地址对应的所有威胁情报供应商首次报送的时间,统计预设时间段内,每个威胁情报供应商提供的威胁情报中所有IP地址时间差的平均值,例如以IP地址1、IP地址2、威胁情报供应商1和威胁情报供应商2为例,对于IP地址1,假设威胁情报供应商1最先报送IP地址1对应的威胁情报,则记录威胁情报供应商1的时间差为0分钟,威胁情报供应商2比威胁情报供应商1晚30分钟报送,则记录威胁情报供应商2的时间差为30分钟;对于IP地址2,假设威胁情报供应商1最先报送IP地址2对应的威胁情报,则记录威胁情报供应商1的时间差为0分钟,威胁情报供应商2比威胁情报供应商1晚50分钟报送,则记录威胁情报供应商2的时间差为50分钟,此时,威胁情报供应商2提供的威胁情报中所有IP地址时间差的平均值为30分钟与50分钟的和除以2,最终,得到时间差为40分钟。
日均规模指标也可以称作日均威胁情报增量总条数,即统计每日每个威胁情报供应商的增量情报总条数,每个月计算一次日均规模总数。
根据每个威胁情报供应商提供的威胁情报的至少一种信息,计算得到每个威胁情报供应商的威胁情报质量得分的一种可实现方式为利用逼近理想解排序法算法(technique for order preference by similarity to ideal solution,TOPSIS)和秩和比算法,对每个威胁情报供应商提供的威胁情报的至少一种信息进行处理,得到每个威胁情报供应商的威胁情报质量得分。
其中,TOPSIS法是系统工程中有限方案多目标决策分析的一种常用方法,是基于归一化后的原始数据矩阵,找出有限方案中的最优方案和最劣方案(分别用最优向量和最劣向量表示),然后分别计算诸评价对象与最优方案和最劣方案的距离,获得各评价对象与最优方案的相对接近程度,以此作为评价优劣的依据。
TOPSIS法的基本思路是定义决策问题的理想解和负理想解,然后在可行方案中找到一个方案,使其距理想解的距离最近,而距负理想解的距离最远。
理想解一般是设想最好的方案,它所对应的各个属性至少达到各个方案中的最好值;负理想解是假定最坏的方案,其对应的各个属性至少不优于各个方案中的最劣值。方案排队的决策规则,是把实际可行解和理想解与负理想解作比较,若某个可行解最靠近理想解,同时又最远离负理想解,则此解是方案集的满意解。
TOPSIS法原理简单,能同时进行多个对象评价,计算快捷,结果分辨率高,评价客观,具有较好的合理性和适用性,实用价值较高。
秩和比算法是我国统计学家田凤调教授于1988年提出的一种新的综合评价方法,它是利用秩和比(rank-sum ratio,RSR)进行统计分析的一种方法,该法在医疗卫生等领域的多指标综合评价、统计预测预报、统计质量控制等方面已得到广泛的应用。
秩和比是一个内涵较为丰富的综合性指标,它是指行(或列)秩次的平均值,是一个非参数统计量,具有0至1连续变量的特征,也可看成0至100的计分。多用于现成统计资料的再分析。不论所分析的问题是什么,计算的RSR越大越好。为此,在编秩时要区分高优指标和低优指标,有时还要引进不分高低的情况。例如,日均规模指标、可信度、碰撞成功条数指标等可视为高优指标;时间差指标为低优指标。指标值相同时应编以平均秩次。秩和比法基本原理是在一个n行m列矩阵中,通过秩转换,获得无量纲统计量RSR;在此基础上,运用参数统计分析的概念与方法,研究RSR的分布;以RSR值对评价对象的优劣直接排序或分档排序,从而对评价对象作出综合评价。
秩和比算法的优点是以非参数法为基础,对指标的选择无特殊要求,适于各种评价对象;此方法计算用的数值是秩次,可以消除异常值的干扰,合理解决指标值为零时在统计处理中的困惑,它融合了参数分析的方法,结果比单纯采用非参数法更为精确,既可以直接排序,又可以分档排序,使用范围广泛,且不仅可以解决多指标的综合评价,也可用于统计测报与质量控制中,两种算法相结合可以全面的、合理的评价每个威胁情报供应商的威胁情报质量,最后得到一个合理的威胁情报质量得分。
作为一种示例,对10家威胁情报供应商的威胁情报质量进行评价,则需要分别统计这10家威胁情报供应商的威胁情报对应的7个指标,也就是70个指标,然后利用TOPSIS法和秩和比算法相结合进行计算,最终够可以得到每家威胁情报供应商的威胁情报质量得分。
可以理解的是,得到的每个威胁情报供应商的威胁情报质量得分也可以称作每个威胁情报供应商的威胁情报质量权重。
S202,根据每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度,重新确定每个威胁情报的目标置信度。
作为一种可选的实施方式,将每个威胁情报供应商的威胁情报质量权重与每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度的乘积作加法运算,得到的和为目标置信度。
作为一种示例,针对第一IP地址、威胁情报供应商1和威胁情报供应商2来说,威胁情报供应商1的威胁情报质量权重为a,威胁情报供应商1针对第一IP地址提供的威胁情报的置信度为b,威胁情报供应商2的威胁情报质量权重为c,威胁情报供应商2针对第一IP地址提供的威胁情报的置信度为d,则得到目标置信度为ab+cd。
S203,根据每个威胁情报的目标置信度对第一IP地址进行安全防护处理。
可选地,安全防护处理可以包括封禁等级区分和真实攻击信息丰富等。
具体地,封禁等级区分指的是根据威胁情报中指示的IP地址的相关信息以及相应的威胁情报的置信度,对这些IP地址进行等级区分,对部分IP地址及时进行封禁,防止该IP地址对企业机构发起攻击,提高网络通信的安全性。
真实攻击信息丰富指的是如果企业机构的真实攻击IP地址数据与威胁情报中提供的IP地址数据碰撞成功,则威胁情报中所包含的关于攻击IP地址的信息是对真实攻击信息的丰富。
作为一种示例,假设一个企业机构受到了攻击,被攻击后,对手只留下了一个IP地址,没有别的其他任何信息,企业机构可以拿这个IP地址与威胁情报中提供的IP地址进行比对,如果比对成功,那么可以从威胁情报中可以查到关于这个IP地址的很多资料,例如,该IP地址来自哪个国家或哪个地区或哪个运营商甚至哪个机构等信息,企业机构可以根据丰富后的信息,采取进一步的防护措施。
可选地,安全防护处理还可以包括攻击溯源,攻击溯源是通过对受害资产与内网流量进行分析,一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。攻击溯源的价值在于了解对手,不局限于已知漏洞,发现未知的新型网络攻击行为;了解攻击者的意图、实力等,针对性采取合适的对策;确定海量事件的优先级,知道下一步该做什么;指导从预防到响应的整个过程,更好地进行防御。
以上主要描述了针对同一IP地址的多源威胁情报的处理方法中对威胁情报的置信度的一个综合考虑,除此之外,还可以根据每个威胁情报供应商针对同一IP地址提供的每个威胁情报中该IP地址的威胁程度,得到一个更可靠的该IP地址的威胁程度作为参考,以提高网络通信的安全性。
图4为本申请另一个实施例提供的多源威胁情报的处理方法的流程图。如图4所示,本申请实施例提供的方法包括S401、S402和S403。下面详细说明图4所示的方法中的各个步骤。
S401,获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度。
可选地,一个威胁情报供应商针对第一IP地址会提供一个威胁情报,该威胁情报中携带有第一IP地址的威胁程度,威胁程度是对第一IP地址的危害程度的一个评定。
获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重的方法可以参看上述S201中的步骤。
S402,根据每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,重新确定每个威胁情报中第一IP地址的目标威胁程度。
作为一种可选的实施方式,将每个威胁情报供应商的威胁情报质量权重与每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报中第一IP地址的威胁程度的乘积作加法运算,得到的和为目标威胁程度。
作为一种示例,针对第一IP地址、威胁情报供应商1和威胁情报供应商2来说,威胁情报供应商1的威胁情报质量权重为a,威胁情报供应商1针对第一IP地址提供的威胁情报中第一IP地址的威胁程度为p,威胁情报供应商2的威胁情报质量权重为c,威胁情报供应商2针对第一IP地址提供的威胁情报中第一IP地址的威胁程度为q,则得到目标威胁程度为ap+cq。
S403,根据每个威胁情报的目标置信度和每个威胁情报中第一IP地址的目标威胁程度,对第一IP地址进行安全防护处理。
具体地,进行封禁等级区分时,可以根据威胁情报中指示的IP地址的威胁程度以及相应的威胁情报的置信度,对这些IP地址进行等级区分,然后对部分IP地址及时进行封禁,防止该IP地址对企业机构发起攻击,提高网络通信的安全性。
其他安全防护处理的具体方法可以参考上述S203中的步骤。
总结性地,如图5所示,本申请实施例提供的多源威胁情报的处理方法中,企业机构订购了多家IP类威胁情报供应商的威胁情报,网络通信设备在收到了多家威胁情报供应商提供的IP类威胁情报之后,统计并计算每家威胁情报供应商的威胁情报质量的指标信息;根据每家威胁情报供应商的威胁情报质量的指标信息,利用相关综合评价算法计算得到每家威胁情报供应商的威胁情报的质量得分,根据该质量得分确定每家威胁情报供应商的威胁情报的质量权重,最后对收到的多家威胁情报供应商提供的威胁情报进行整合,具体的整合方法可以参考上述图2中的方法流程。
作为一种示例,图6为本申请一个实施例提供的多源威胁情报的处理方法的示例图。如图6所示,网络通信设备在收到了多家威胁情报供应商提供的IP类威胁情报后,首先统计各家威胁情报供应商的指标信息,例如时间差指标、日均规模指标、可信度、精度2指标、精度3指标、碰撞成功条数和精度1指标,根据这些指标信息利用TOPSIS法和秩和比算法计算得到每家威胁情报供应商的威胁情报质量得分,相应地,确定每家威胁情报供应商的威胁情报质量权重,然后结合IP类威胁情报的置信度和威胁程度,得到威胁情报的目标置信度和目标威胁程度,即将每家威胁情报供应商的威胁情报质量权重与每家威胁情报供应商针对同一IP地址提供的每个威胁情报的置信度或每个威胁情报中同一IP地址的威胁程度相结合,来重新确定每个威胁情报的目标置信度和每个威胁情报中针对该IP地址的目标威胁程度,最终以目标置信度和目标威胁程度为参考,及时对相应的IP地址进行安全防护处理。
本申请提供的多源威胁情报的处理方法中,通过将多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重与每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度或每个威胁情报中第一IP地址的威胁程度相结合,来重新确定每个威胁情报的目标置信度和每个威胁情报中第一IP地址的目标威胁程度,便于网络通信设备根据该目标置信度和目标威胁程度及时对第一IP地址进行安全防护处理,达到提高网络通信安全的效果。
图7示出了本申请实施例提供的多源威胁情报的处理装置700,该装置700包括:获取模块701、确定模块702、处理模块703和计算模块704。
其中,获取模块701,用于获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度;确定模块702,用于根据每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度,重新确定每个威胁情报的目标置信度;处理模块703,用于根据每个威胁情报的目标置信度对第一IP地址进行安全防护处理。
作为一种示例,装置700可以用于执行图2所示的方法,例如,获取模块701用于执行S201,确定模块702用于执行S202,处理模块703用于执行S203。
在一种可能的实现方式中,获取模块701具体用于:获取每个威胁情报供应商提供的威胁情报的以下至少一种信息:时效性信息、情报规模量信息、情报精准度信息和情报与业务相关程度信息,时效性信息用于指示每个威胁情报供应商提供的威胁情报的及时程度,情报规模量信息用于指示每个威胁情报供应商提供的威胁情报的在第一预设时间段内新增的数量信息,情报精准度信息用于指示每个威胁情报供应商提供的威胁情报的准确度信息,业务相关程度信息用于指示每个威胁情报供应商提供的威胁情报与业务的相关程度;计算模块704,用于根据每个威胁情报供应商提供的威胁情报的至少一种信息,计算得到每个威胁情报供应商的威胁情报质量得分,每个威胁情报供应商的威胁情报质量得分用于指示每个威胁情报供应商的威胁情报质量权重。
在一种可能的实现方式中,计算模块704具体用于:利用逼近理想解排序法算法和秩和比算法,对每个威胁情报供应商提供的威胁情报的至少一种信息进行处理,得到每个威胁情报供应商的威胁情报质量得分。
在一种可能的实现方式中,确定模块702具体用于:将每个威胁情报供应商的威胁情报质量权重与每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度的乘积作加法运算,得到的和为目标置信度。
在一种可能的实现方式中,获取模块701还用于获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度;确定模块702还用于根据每个威胁情报供应商的威胁情报质量权重和每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,重新确定每个威胁情报中第一IP地址的目标威胁程度;处理模块703还用于根据每个威胁情报的目标置信度和每个威胁情报中第一IP地址的目标威胁程度,对第一IP地址进行安全防护处理。
作为一种示例,装置700还可以用于执行图4所示的方法,例如,获取模块701用于执行S401,确定模块702用于执行S402,处理模块703用于执行S403。
在一种可能的实现方式中,确定模块702具体用于:将每个威胁情报供应商的威胁情报质量权重与每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度的乘积作加法运算,得到的和为目标威胁程度。
图8为本申请另一个实施例提供的装置示意图。图8所示的装置可以用于执行前述任意一个实施例所述的方法。
如图8所示,本实施例的装置800包括:存储器801、处理器802、通信接口803以及总线804。其中,存储器801、处理器802、通信接口803通过总线804实现彼此之间的通信连接。
存储器801可以是只读存储器(read only memory,ROM),静态存储设备,动态存储设备或者随机存取存储器(random access memory,RAM)。存储器801可以存储程序,当存储器801中存储的程序被处理器802执行时,处理器802用于执行上述实施例中所示的方法的各个步骤。
处理器802可以采用通用的中央处理器(central processing unit,CPU),微处理器,应用专用集成电路(application specific integrated circuit,ASIC),或者一个或多个集成电路,用于执行相关程序,以实现本申请实施例中所示的各个方法。
处理器802还可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,本申请实施例的方法的各个步骤可以通过处理器802中的硬件的集成逻辑电路或者软件形式的指令完成。
上述处理器802还可以是通用处理器、数字信号处理器(digital signalprocessing,DSP)、ASIC、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器801,处理器802读取存储器801中的信息,结合其硬件完成本申请装置包括的单元所需执行的功能。
通信接口803可以使用但不限于收发器一类的收发装置,来实现装置800与其他设备或通信网络之间的通信。
总线804可以包括在装置800各个部件(例如,存储器801、处理器802、通信接口803)之间传送信息的通路。
应理解,本申请实施例所示的装置800可以是电子设备,或者,也可以是配置于电子设备中的芯片。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种多源威胁情报的处理方法,其特征在于,包括:
获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度;
根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度,重新确定所述每个威胁情报的目标置信度;
根据所述每个威胁情报的目标置信度对所述第一IP地址进行安全防护处理;
所述获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重,包括:
获取所述每个威胁情报供应商提供的威胁情报的以下至少一种信息:时效性信息、情报规模量信息、情报精准度信息和情报与业务相关程度信息,所述时效性信息用于指示所述每个威胁情报供应商提供的威胁情报的及时程度,所述情报规模量信息用于指示所述每个威胁情报供应商提供的威胁情报的在第一预设时间段内新增的数量信息,所述情报精准度信息用于指示所述每个威胁情报供应商提供的威胁情报的准确度信息,所述业务相关程度信息用于指示所述每个威胁情报供应商提供的威胁情报与业务的相关程度;
根据所述每个威胁情报供应商提供的威胁情报的所述至少一种信息,计算得到所述每个威胁情报供应商的威胁情报质量得分,所述每个威胁情报供应商的威胁情报质量得分用于指示所述每个威胁情报供应商的威胁情报质量权重;
所述时效性信息包括所述每个威胁情报供应商提供的威胁情报的时间差指标,所述情报规模量信息包括所述每个威胁情报供应商提供的威胁情报的日均规模指标,所述情报精准度信息包括所述每个威胁情报供应商提供的威胁情报的可信度、精度2指标和精度3指标,所述情报与业务相关程度信息包括所述每个威胁情报供应商提供的威胁情报的碰撞成功条数和精度1指标,所述碰撞成功条数为第二预设时间段内所述每个威胁情报供应商提供的威胁情报与用户真实攻击数据碰撞成功的威胁情报的数量,所述精度1指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与所述用户真实攻击数据碰撞成功的威胁情报占的比例,所述精度2指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与用户预设的安全IP地址库碰撞成功的威胁情报占的比例,所述精度3指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与可信IP地址库碰撞成功的威胁情报占的比例,所述可信IP地址库为所述每个威胁情报供应商提供的威胁情报中针对同一IP地址的威胁情报的数量大于预设阈值的IP地址的集合。
2.根据权利要求1所述的方法,其特征在于,所述根据所述每个威胁情报供应商提供的威胁情报的所述至少一种信息,计算得到所述每个威胁情报供应商的威胁情报质量得分,包括:
利用逼近理想解排序法算法和秩和比算法,对所述每个威胁情报供应商提供的威胁情报的所述至少一种信息进行处理,得到所述每个威胁情报供应商的威胁情报质量得分。
3.根据权利要求1所述的方法,其特征在于,所述根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度,重新确定所述每个威胁情报的目标置信度,包括:
将所述每个威胁情报供应商的威胁情报质量权重与所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度的乘积作加法运算,得到的和为所述目标置信度。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度;
根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,重新确定所述每个威胁情报中第一IP地址的目标威胁程度;
根据所述每个威胁情报的目标置信度和所述每个威胁情报中第一IP地址的目标威胁程度,对所述第一IP地址进行安全防护处理。
5.根据权利要求4所述的方法,其特征在于,所述根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度,重新确定所述每个威胁情报中第一IP地址的目标威胁程度,包括:
将所述每个威胁情报供应商的威胁情报质量权重与所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报中第一IP地址的威胁程度的乘积作加法运算,得到的和为所述目标威胁程度。
6.一种多源威胁情报的处理装置,其特征在于,所述装置包括:
获取模块,用于获取多个威胁情报供应商中每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对第一IP地址提供的每个威胁情报的置信度;
确定模块,用于根据所述每个威胁情报供应商的威胁情报质量权重和所述每个威胁情报供应商针对所述第一IP地址提供的每个威胁情报的置信度,重新确定所述每个威胁情报的目标置信度;
处理模块,用于根据所述每个威胁情报的目标置信度对所述第一IP地址进行安全防护处理;
所述获取模块,具体用于获取所述每个威胁情报供应商提供的威胁情报的以下至少一种信息:时效性信息、情报规模量信息、情报精准度信息和情报与业务相关程度信息,所述时效性信息用于指示所述每个威胁情报供应商提供的威胁情报的及时程度,所述情报规模量信息用于指示所述每个威胁情报供应商提供的威胁情报的在第一预设时间段内新增的数量信息,所述情报精准度信息用于指示所述每个威胁情报供应商提供的威胁情报的准确度信息,所述业务相关程度信息用于指示所述每个威胁情报供应商提供的威胁情报与业务的相关程度;所述时效性信息包括所述每个威胁情报供应商提供的威胁情报的时间差指标,所述情报规模量信息包括所述每个威胁情报供应商提供的威胁情报的日均规模指标,所述情报精准度信息包括所述每个威胁情报供应商提供的威胁情报的可信度、精度2指标和精度3指标,所述情报与业务相关程度信息包括所述每个威胁情报供应商提供的威胁情报的碰撞成功条数和精度1指标,所述碰撞成功条数为第二预设时间段内所述每个威胁情报供应商提供的威胁情报与用户真实攻击数据碰撞成功的威胁情报的数量,所述精度1指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与所述用户真实攻击数据碰撞成功的威胁情报占的比例,所述精度2指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与用户预设的安全IP地址库碰撞成功的威胁情报占的比例,所述精度3指标为所述第二预设时间段内所述每个威胁情报供应商提供的威胁情报中与可信IP地址库碰撞成功的威胁情报占的比例,所述可信IP地址库为所述每个威胁情报供应商提供的威胁情报中针对同一IP地址的威胁情报的数量大于预设阈值的IP地址的集合;
计算模块,用于根据所述每个威胁情报供应商提供的威胁情报的所述至少一种信息,计算得到所述每个威胁情报供应商的威胁情报质量得分,所述每个威胁情报供应商的威胁情报质量得分用于指示所述每个威胁情报供应商的威胁情报质量权重。
7.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至5中任一项所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111223339.4A CN113992374B (zh) | 2021-10-20 | 2021-10-20 | 多源威胁情报的处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111223339.4A CN113992374B (zh) | 2021-10-20 | 2021-10-20 | 多源威胁情报的处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113992374A CN113992374A (zh) | 2022-01-28 |
CN113992374B true CN113992374B (zh) | 2024-01-30 |
Family
ID=79739688
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111223339.4A Active CN113992374B (zh) | 2021-10-20 | 2021-10-20 | 多源威胁情报的处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113992374B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
US10902114B1 (en) * | 2015-09-09 | 2021-01-26 | ThreatQuotient, Inc. | Automated cybersecurity threat detection with aggregation and analysis |
CN113139025A (zh) * | 2021-05-14 | 2021-07-20 | 恒安嘉新(北京)科技股份公司 | 一种威胁情报的评价方法、装置、设备及存储介质 |
CN113468384A (zh) * | 2021-07-20 | 2021-10-01 | 山石网科通信技术股份有限公司 | 网络情报源信息的处理方法、装置、存储介质及处理器 |
-
2021
- 2021-10-20 CN CN202111223339.4A patent/CN113992374B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10902114B1 (en) * | 2015-09-09 | 2021-01-26 | ThreatQuotient, Inc. | Automated cybersecurity threat detection with aggregation and analysis |
CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
CN113139025A (zh) * | 2021-05-14 | 2021-07-20 | 恒安嘉新(北京)科技股份公司 | 一种威胁情报的评价方法、装置、设备及存储介质 |
CN113468384A (zh) * | 2021-07-20 | 2021-10-01 | 山石网科通信技术股份有限公司 | 网络情报源信息的处理方法、装置、存储介质及处理器 |
Non-Patent Citations (1)
Title |
---|
"面向大数据的网络威胁情报可信感知关键技术研究";高雅丽;《中国博士学位论文全文数据库 信息科技辑》(第2期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113992374A (zh) | 2022-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110380896B (zh) | 基于攻击图的网络安全态势感知系统和方法 | |
KR102138965B1 (ko) | 계정 도난 위험 식별 방법, 식별 장치, 예방 및 통제 시스템 | |
US9386030B2 (en) | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks | |
CN107360188B (zh) | 基于云防护和云监测系统的网站风险值评估方法及装置 | |
CN110493179B (zh) | 基于时间序列的网络安全态势感知系统和方法 | |
CN111193728B (zh) | 网络安全评估方法、装置、设备及存储介质 | |
Hwang et al. | Time-series aware precision and recall for anomaly detection: considering variety of detection result and addressing ambiguous labeling | |
Boukoros et al. | On (the lack of) location privacy in crowdsourcing applications | |
CN107276851B (zh) | 一种节点的异常检测方法、装置、网络节点及控制台 | |
CN102045358A (zh) | 一种基于整合相关性分析与分级聚类的入侵检测方法 | |
CN112003846B (zh) | 一种信用阈值的训练、ip地址的检测方法及相关装置 | |
CN108108624A (zh) | 基于产品和服务的信息安全质量评估方法及装置 | |
Santini et al. | A Data‐Driven Approach to Cyber Risk Assessment | |
Zhang et al. | Network security situational awareness model based on threat intelligence | |
CN116962093B (zh) | 基于云计算的信息传输安全性监测方法及系统 | |
CN107172033B (zh) | 一种waf误判识别方法以及装置 | |
CN113992374B (zh) | 多源威胁情报的处理方法及装置 | |
CN109918901A (zh) | 实时检测基于Cache攻击的方法 | |
Angelelli et al. | Cyber-risk perception and prioritization for decision-making and threat intelligence | |
KR102590081B1 (ko) | 보안 규제 준수 자동화 장치 | |
CN114448718B (zh) | 一种并行检测和修复的网络安全保障方法 | |
CN115664868A (zh) | 安全等级确定方法、装置、电子设备和存储介质 | |
CN112560085A (zh) | 业务预测模型的隐私保护方法及装置 | |
KR101872406B1 (ko) | 악성코드들의 위험도를 정량적으로 결정하는 장치 및 방법 | |
CN111565201A (zh) | 一种基于多属性的工业互联网安全评估方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |