CN114500048B - 基于网络安全的外部威胁情报分析方法及系统 - Google Patents

基于网络安全的外部威胁情报分析方法及系统 Download PDF

Info

Publication number
CN114500048B
CN114500048B CN202210094974.5A CN202210094974A CN114500048B CN 114500048 B CN114500048 B CN 114500048B CN 202210094974 A CN202210094974 A CN 202210094974A CN 114500048 B CN114500048 B CN 114500048B
Authority
CN
China
Prior art keywords
information
threat information
threat
authentication
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210094974.5A
Other languages
English (en)
Other versions
CN114500048A (zh
Inventor
陈海光
余芸
明哲
冯国聪
胡朝辉
陈善锋
罗强
杨逸岳
胡钊
姜渭鹏
范苏纯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Digital Platform Technology Guangdong Co ltd
Southern Power Grid Digital Grid Research Institute Co Ltd
Original Assignee
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical Southern Power Grid Digital Grid Research Institute Co Ltd
Priority to CN202210094974.5A priority Critical patent/CN114500048B/zh
Publication of CN114500048A publication Critical patent/CN114500048A/zh
Application granted granted Critical
Publication of CN114500048B publication Critical patent/CN114500048B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请涉及一种基于网络安全的外部威胁情报分析方法及系统,基于网络安全的外部威胁情报分析方法包括步骤基于历史威胁情报集获取若干情报类型;基于若干情报类型,设置若干个预设有鉴定规则的鉴定模型,所述鉴定规则与情报类型一一对应;当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型;基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型;鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果。本申请具有减少威胁情报平台出现误报和漏报的情况,提升威胁情报平台的安全性的效果。

Description

基于网络安全的外部威胁情报分析方法及系统
技术领域
本申请涉及网络安全的技术领域,尤其是涉及一种基于网络安全的外部威胁情报分析方法及系统。
背景技术
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
而威胁情报平台通常是用于协助客户管理威胁情报,威胁情报平台接收来自本地或第三方机构等情报源发出的威胁情报,经预设的策略鉴定后输出鉴定结果,进而根据鉴定结果对威胁情报进行进一步的应用,例如情报数据的储存、生成报告、形成反制或向用户端发出威胁报警等。
但情报源发出的威胁情报数据种类繁多,而平台的鉴定机制、策略往往较为单一,易出现误报、漏报等情况,威胁情报平台的安全性能较低,因此有待改进。
发明内容
为了减少威胁情报平台出现误报和漏报的情况,提升威胁情报平台的安全性,本申请提供了一种基于网络安全的外部威胁情报分析方法及系统。
本申请的上述发明目的一是通过以下技术方案得以实现的:
一种基于网络安全的外部威胁情报分析方法,包括步骤:
基于历史威胁情报集获取若干情报类型;
基于若干情报类型,设置若干个预设有鉴定规则的鉴定模型,所述鉴定规则与情报类型一一对应;
当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型;
基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型;
鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果。
通过采用上述技术方案,通过设置多个鉴定模型,且多个鉴定模型的鉴定规则是基于不同的威胁情报类型进行设计的,当威胁情报平台接收到威胁情报时,根据威胁情报所属的类型,调配至对应鉴定规则的鉴定模型进行鉴定,由于鉴定模型只鉴定对应类型的威胁情报,则每个鉴定模型可以针对性地设置更为全面、缜密的判断逻辑,以减少鉴定模型漏报、误报的情况,进而使得鉴定模型的鉴定结果更为精准,提升威胁情报平台的安全性。
本申请在一较佳示例中可以进一步配置为:当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型的步骤之前,还包括步骤:
预设威胁情报的定时获取时间;
基于定时获取时间,间隔向情报源主动获取威胁情报;
储存每次获取到的威胁情报。
通过采用上述技术方案,通过设置定时获取威胁情报的时间,使得威胁情报平台能够定时且自动地获取情报源实时的威胁情报,实现威胁情报的实时更新,能够更为及时地获取到资产的威胁情况数据,进一步对实时的威胁情报进行储存,方便用户终端的工作人员进行查取调用,使得威胁情报平台的更为安全。
本申请在一较佳示例中可以进一步配置为:鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果的步骤之后,还包括步骤:
基于鉴定结果,调整若干鉴定模型可信度的权重值数据。
通过采用上述技术方案,通过若干鉴定模型多次的鉴定结果,能够分析各个鉴定模型鉴定的准确性,准确性高的鉴定模型可信度高,常出现误报、漏报的鉴定模型则准确性低,通过鉴定模型的鉴定准确性来调整鉴定模型的权重,被赋予高权重的鉴定器能够承担较多的鉴定任务,或者给予较多的与威胁情报平台的其他应用程序关联的功能,对于低权重的鉴定模型给予标记并进行鉴定规则的调整,以使威胁情报平台的鉴定功能更佳。
本申请在一较佳示例中可以进一步配置为:基于鉴定结果,调整若干鉴定模型可信度的权重值数据的步骤,包括步骤:
基于鉴定结果,当接收到用户终端发出的评价数据时,将评价数据与所述鉴定结果对应的鉴定模型绑定;
基于评价数据,当接收到用户终端发出的可信度调整请求时,向用户终端发送目标鉴定模型及调整端口;
基于调整端口获取调整数据,将调整数据替换目标鉴定模型的权重值数据。
通过采用上述技术方案,通过收集鉴定模型每次的鉴定结果,并对每次鉴定结果给予评价,将评价数据与鉴定模型绑定,即能够清楚了解到该鉴定模型的每次鉴定的准确性,用户终端的工作人员能够清楚获知到每一个鉴定模型的可信度,并通过输入调整数据,实现人为调整任一个鉴定模型的权重值数据。
本申请在一较佳示例中可以进一步配置为:基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型的步骤,包括步骤:
当获取到的威胁情报包含两个或两个以上的格式类型时,基于格式类型拆分威胁情报;
将拆分的威胁情报输入格式化模型中,生成同格式的若干威胁情报段;
根据预设的调配规则,将若干威胁情报段发送至对应类型的鉴定模型。
通过采用上述技术方案,当获取到的威胁情报包含了两个或两个以上的格式类型时,则构成异构数据,进而威胁情报平台能够根据情报类型对不同格式的异构数据进行拆分,再将拆分完成的数据进行格式化,生成统一格式类型的威胁情报段,再将若干威胁情报段进行调配鉴定实现了数据的整合,对威胁情报的鉴定适应性更强,应用范围更广。
本申请在一较佳示例中可以进一步配置为:当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型的步骤之前,还包括步骤:
当接收到用户终端发出威胁情报的导入请求时,向用户终端发送导入端口;
当从导入端口获取到文件数据时,基于情报格式解析文件数据,生成威胁情报。
通过采用上述技术方案,对于不具备在线自动导入条件的数据,能够采取线下手动导入的方式,当用户终端的工作人员输入文件数据时,根据情报格式解析文件数据并生成情报类型的数据,实现数据的整合,收入输入的方式使得威胁情报平台的适用范围更广,威胁情报的录入更为灵活。
本申请的上述发明目的二是通过以下技术方案得以实现的:
一种基于网络安全的外部威胁情报分析系统,包括:
类型生成模块,用于基于历史威胁情报集获取若干情报类型;
模型创建模块,用于基于若干情报类型,设置若干个预设有鉴定规则的鉴定模型,所述鉴定规则与情报类型一一对应;
类型获取模块,用于当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型;
情报调配模块,用于基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型;
鉴定模块,用于鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果。
通过采用上述技术方案,通过设置多个鉴定模型,且多个鉴定模型的鉴定规则是基于不同的威胁情报类型进行设计的,当威胁情报平台接收到威胁情报时,根据威胁情报所属的类型,调配至对应鉴定规则的鉴定模型进行鉴定,由于鉴定模型只鉴定对应类型的威胁情报,则每个鉴定模型可以针对性地设置更为全面、缜密的判断逻辑,以减少鉴定模型漏报、误报的情况,进而使得鉴定模型的鉴定结果更为精准,提升威胁情报平台的安全性。
可选的,基于网络安全的外部威胁情报分析系统还包括:
定时设置模块,用于预设威胁情报的定时获取时间;
定时获取模块,用于基于定时获取时间,间隔向情报源主动获取威胁情报;
储存模块,用于储存每次获取到的威胁情报。
可选的,综上所述,本申请包括以下至少一种有益技术效果:
1.每个鉴定模型可以针对性地设置更为全面、缜密的判断逻辑,以减少鉴定模型漏报、误报的情况,进而使得鉴定模型的鉴定结果更为精准,提升威胁情报平台的安全性;
2.威胁情报的实时更新,能够更为及时地获取到资产的威胁情况数据,进一步对实时的威胁情报进行储存,方便用户终端的工作人员进行查取调用,使得威胁情报平台的更为安全;
3.给予较多的与威胁情报平台的其他应用程序关联的功能,对于低权重的鉴定模型给予标记并进行鉴定规则的调整,以使威胁情报平台的鉴定功能更佳;
4.通过收集鉴定模型每次的鉴定结果,并对每次鉴定结果给予评价,将评价数据与鉴定模型绑定,即能够清楚了解到该鉴定模型的每次鉴定的准确性,用户终端的工作人员能够清楚获知到每一个鉴定模型的可信度,并通过输入调整数据,实现人为调整任一个鉴定模型的权重值数据。
附图说明
图1是本申请一种基于网络安全的外部威胁情报分析方法实施例的一实现流程图;
图2是本申请另一实施例的一实现流程图;
图3是本申请另一实施例的一实现流程图;
图4是本申请另一实施例的一实现流程图;
图5是本申请一种基于网络安全的外部威胁情报分析系统的一原理框图。
具体实施方式
以下结合附图1-5对本申请作进一步详细说明。
在一实施例中,如图1所示,本申请公开了一种基于网络安全的外部威胁情报分析方法,具体包括如下步骤:
S10:基于历史威胁情报集获取若干情报类型;
在本实施例中,历史威胁情报集是指历史出现过或通过互联网查询且类型较为齐全的威胁情报集合,威胁情报主要由基础情报、信誉情报、漏洞情报、热点安全事件情报等大类构成,大类情报中包含以下细分类型情报;基础情报包括IP所属地域、所属运营商等信息,信誉情报包括恶意IP、恶意域名、URL情报、恶意文件哈希值等信息,漏洞情报包括操作系统漏洞、数据库漏、Web应用漏洞等信息,热点安全事件情报包括新型攻击行为、大规模数据泄露等安全事件信息。
具体的,基于历史出现过或查找到的威胁情报集合,获取所有威胁情报,并根据威胁情报的属性、格式进行归类,划分出若干情报类型。
S20:基于若干情报类型,设置若干个预设有鉴定规则的鉴定模型,所述鉴定规则与情报类型一一对应;
在本实施例中,鉴定模型是指鉴定器,用于鉴定威胁情报的真实性、准确性;鉴定规则是根据情报类型而针对性设置的用于判断威胁情报准确性的规则,包括字符、逻辑、格式、来源地址的逻辑判断,例如设置用于判断恶意域名的规则、用于判断恶意文件哈希值的规则等。
具体的,基于若干情报类型,设置多个鉴定模型,并且与情报类型一一对应地设置用于判断该情报类型的鉴定规则。
进一步的,针对性地设置多个鉴定规则,每一个鉴定模型只用于鉴定单个类型的威胁情报,能够大幅降低数据鉴定的延迟性,因此鉴定规则能够设计得更为复杂、全面即缜密,使得鉴定更为准确和规范化。
S30:当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型;
在本实施例中,情报源是包括内部系统产生的情报,还可以为第三方权威机构,通过开发插件实现威胁情报等数据的传输,扩展情报管理平台的能力。
具体的,当威胁情报平台后台服务器接收到情报源输入的威胁情报时,获取接收到的该威胁情报的情报类型。
S40:基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型。
在本实施例中,调配规则是指用于将威胁情报发送至与其情报类型匹配的鉴定模型中的规则。
具体的,基于获取到的威胁情报的情报类型,调配规则识别到该情报类型后,按照训练过的调配路径将威胁情报发送至对应鉴定规则的鉴定模型中,例如,当威胁情报的情报类型为恶意域名时,则将该威胁情报发送至用于鉴定恶意域名情报的鉴定模型中。
S50:鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果。
在本实施例中,鉴定结果为该威胁青报端额真实性、准确性。例如鉴定结果为恶意域名,经工作人员核实,该威胁情报确实涉及到恶意域名的情况,则鉴定结果正确,若经核实该威胁情报并非恶意域名,则鉴定结果错误。
具体的,鉴定模型接收到威胁情报时,根据鉴定规则对威胁情报进行逻辑判断,输出威胁情报的鉴定结果。
进一步的,鉴定结果输出后,威胁情报平台通过发出警示信号至用户终端以提示值班人员。
进一步的,鉴定结果输出后,威胁情报平台基于威胁情报的准确性,对应将威胁情报输入至用户服务器中,并作出反制措施。
在另一实施例中,参照图2,步骤S30之前,包括步骤:
S31:预设威胁情报的定时获取时间;
S32:基于定时获取时间,间隔向情报源主动获取威胁情报;
S33:储存每次获取到的威胁情报。
在本实施例中,定时获取时间是工作人员设定的间隔时长,并且每间隔一次触发指令。
具体的,通过设定系统用于获取威胁情报的定时获取时间,每间隔一段时间主动向本地系统或第三方服务器获取一次威胁情报,并将每次获取到的情报进行储存,实现了威胁情报平台数据的实时更新。
进一步的,工作人员能够查取储存在系统内的威胁情报,并通过威胁情报查取相关的应用数据记录。
在另一实施例中,步骤S30之前,还包括步骤:
S34:当接收到用户终端发出威胁情报的导入请求时,向用户终端发送导入端口;
S35:当从导入端口获取到文件数据时,基于情报格式解析文件数据,生成威胁情报。
在本实施例中,导入请求是指用户终端的工作人员手动导入威胁情报的请求,导入端口为供用户终端输入文件数据的端口,文件数据包括压缩包类型或文档类型。情报格式则是指威胁情报平台用于接收威胁情报的统一格式。
具体的,当接收到用户终端发出的导入威胁情报的请求时,向用户终端发送导入资料的端口,当端口接收到工作人员导入的文件数据时,基于威胁情报平台的威胁情报统一格式,将接收到的文档、图片、视频等统一为情报格式,并生产威胁情报。
进一步的,威胁情报生成后则进一步获取其情报类型,并进一步调配至鉴定模型进行鉴定。
在另一实施例中,参照图3,步骤S40,包括步骤:
S41:当获取到的威胁情报包含两个或两个以上格式类型时,基于格式类型拆分威胁情报;
S42:将拆分的威胁情报输入格式化模型中,生成同格式的若干威胁情报段;
S43:根据预设的调配规则,将若干威胁情报段发送至对应类型的鉴定模型。
在本实施例中,格式类型互不相同,威胁情报的格式类型包括两个或两个以上,则判定为接收到异构威胁情报,格式化模型用于整合异构威胁情报中不同格式的数据。
具体的,在对接本地安全设备上报的威胁情报数据时,情报可能是 syslog日志、检测结果文件等形式,格式也可能相互不同,这类情报称之为“异构威胁情报”。异构威胁情报应包括文件鉴定器检出的新的恶意文件 MD5 值、报文鉴定器检出的新的恶意域名等。为了满足这些不同类型情报数据的接入,需要定义专门功能完成非标准化数据的格式化整合。
在另一实施例中,步骤S50之后,还包括步骤:
S51:基于鉴定结果,调整若干鉴定模型可信度的权重值数据。
在本实施例中,可信度是指鉴定模型鉴定威胁情报的准确性可信度,权重值数据高的鉴定模型会分配较多的鉴定任务,并与较为重要的应用服务器进行关联,提高数据处理的准确性。
具体的,基于若干鉴定模型各自的鉴定结果分析,基于各个鉴定模型鉴定威胁情报的可信度,调整各个鉴定模型的权重值数据。
在另一实施例中,参照图4,步骤S51包括步骤:
S511:基于鉴定结果,当接收到用户终端发出的评价数据时,将评价数据与所述鉴定结果对应的鉴定模型绑定;
S512:基于评价数据,当接收到用户终端发出的可信度调整请求时,向用户终端发送目标鉴定模型及调整端口;
S513:基于调整端口获取调整数据,将调整数据替换目标鉴定模型的权重值数据。
在本实施例中,评价数据为用户终端工作人员输入的数据,用户终端通过对鉴定模型每一次鉴定的结果给出准确或不准确的选项评价数据,多次评价的数据与鉴定模型进行绑定,能够得出鉴定模型鉴定的可信度,调整端口用于接收用户终端输入的调整数据,调整数据即权重值数据。
具体的,接收用户终端工作人员给每个鉴定模型每次鉴定作出的评价数据,记录多次评价数据并与鉴定模型进行绑定,从鉴定模型的多次评价数据中可以获知该鉴定模型鉴定准确的次数,从判断鉴定模型的可信度。
进一步的,用户终端需调整鉴定模型的可信度时,通过调整端口输入调整数据,并发送至后台服务器,后台服务器则将接收到的调整数据代替鉴定模型已有的权重值数据。
在一实施例中,威胁情报平台每隔一段定时时间向情报源获取一次威胁情报,获取威胁情报的情报类型,若情报类型属于恶意域名类型,则通过调配规则将恶意域名类型的威胁情报发送至用于鉴定域名的鉴定模型中,鉴定模型经过鉴定后输出鉴定结果至用户终端,用户终端基于鉴定结果分析本次鉴定是否准确,并输入评价数据以绑定该该鉴定域名的鉴定模型。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在一实施例中,提供一种基于网络安全的外部威胁情报分析系统,该基于网络安全的外部威胁情报分析系统与上述实施例中一种基于网络安全的外部威胁情报分析方法一一对应。如图5所示,该一种基于网络安全的外部威胁情报分析系统包括:
类型生成模块,用于基于历史威胁情报集获取若干情报类型;
模型创建模块,用于基于若干情报类型,设置若干个预设有鉴定规则的鉴定模型,所述鉴定规则与情报类型一一对应;
类型获取模块,用于当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型;
情报调配模块,用于基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型;
鉴定模块,用于鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果。
可选的,基于网络安全的外部威胁情报分析系统还包括:
定时设置模块,用于预设威胁情报的定时获取时间;
定时获取模块,用于基于定时获取时间,间隔向情报源主动获取威胁情报;
储存模块,用于储存每次获取到的威胁情报。
可选的,基于网络安全的外部威胁情报分析系统还包括:
导入模块,用于当接收到用户终端发出威胁情报的导入请求时,向用户终端发送导入端口;
解析模块,用于当从导入端口获取到文件数据时,基于情报格式解析文件数据,生成威胁情报。
可选的,情报调配模块包括:
格式拆分子模块,用于当获取到的威胁情报包含两个或两个以上不同的格式类型时,基于格式类型拆分威胁情报;
格式化子模块,用于将拆分的威胁情报输入格式化模型中,生成同格式的若干威胁情报段;
情报段发送子模块,用于根据预设的调配规则,将若干威胁情报段发送至对应类型的鉴定模型。
可选的,基于网络安全的外部威胁情报分析系统还包括:
权重调节模块,用于基于鉴定结果,调整若干鉴定模型可信度的权重值数据。
可选的,权重调节模块包括:
评价数据子模块,用于基于鉴定结果,当接收到用户终端发出的评价数据时,将评价数据与所述鉴定结果对应的鉴定模型绑定;
调节端口子模块,用于基于评价数据,当接收到用户终端发出的可信度调整请求时,向用户终端发送目标鉴定模型及调整端口;
调节替换子模块,用于基于调整端口获取调整数据,将调整数据替换目标鉴定模型的权重值数据。
关于基于网络安全的外部威胁情报分析系统的具体限定可以参见上文中对于一种基于网络安全的外部威胁情报分析方法的限定,在此不再赘述。上述一种基于网络安全的外部威胁情报分析系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (5)

1.一种基于网络安全的外部威胁情报分析方法,其特征在于:包括步骤:
基于历史威胁情报集获取若干情报类型;
基于若干情报类型,设置若干个预设有鉴定规则的鉴定模型,所述鉴定规则与情报类型一一对应;
当接收到用户终端发出威胁情报的导入请求时,向用户终端发送导入端口;
当从导入端口获取到文件数据时,基于情报格式解析文件数据,生成威胁情报;
当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型;
基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型;
鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果;
基于鉴定结果,调整若干鉴定模型可信度的权重值数据;
基于鉴定结果,当接收到用户终端发出的评价数据时,将评价数据与所述鉴定结果对应的鉴定模型绑定;所述评价数据为用户终端工作人员输入的数据,用户终端通过对鉴定模型每一次鉴定的结果给出准确或不准确的评价数据,多次评价数据与鉴定模型进行绑定,能够得出鉴定模型鉴定的可信度,调整端口用于接收用户终端输入的调整数据,调整数据即权重值数据;
基于所述评价数据,当接收到用户终端发出的可信度调整请求时,向用户终端发送目标鉴定模型及调整端口;
基于调整端口获取调整数据,将调整数据替换目标鉴定模型的权重值数据。
2.根据权利要求1所述的一种基于网络安全的外部威胁情报分析方法,其特征在于:当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型的步骤之前,还包括步骤:
预设威胁情报的定时获取时间;
基于定时获取时间,间隔向情报源主动获取威胁情报;
储存每次获取到的威胁情报。
3.根据权利要求1所述的一种基于网络安全的外部威胁情报分析方法,其特征在于:基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型的步骤,包括步骤:
当获取到的威胁情报包含两个或两个以上的格式类型时,基于格式类型拆分威胁情报;
将拆分的威胁情报输入格式化模型中,生成同格式的若干威胁情报段;
根据预设的调配规则,将若干威胁情报段发送至对应类型的鉴定模型。
4.一种基于网络安全的外部威胁情报分析系统,其特征在于:包括:
类型生成模块,用于基于历史威胁情报集获取若干情报类型;
模型创建模块,用于基于若干情报类型,设置若干个预设有鉴定规则的鉴定模型,所述鉴定规则与情报类型一一对应;
威胁情报生成模块,用于当接收到用户终端发出威胁情报的导入请求时,向用户终端发送导入端口;以及,当从导入端口获取到文件数据时,基于情报格式解析文件数据,生成威胁情报;
类型获取模块,用于当接收到情报源输入的威胁情报时,获取所述威胁情报的情报类型;情报调配模块,用于基于情报类型,根据预设的调配规则将威胁情报发送至对应的鉴定模型;鉴定模块,用于鉴定模型接收到威胁情报时,基于预设的鉴定规则输出鉴定结果;
权重值数据调整模块,用于基于鉴定结果,调整若干鉴定模型可信度的权重值数据;以及,基于鉴定结果,当接收到用户终端发出的评价数据时,将评价数据与所述鉴定结果对应的鉴定模型绑定;所述评价数据为用户终端工作人员输入的数据,用户终端通过对鉴定模型每一次鉴定的结果给出准确或不准确的评价数据,多次评价数据与鉴定模型进行绑定,能够得出鉴定模型鉴定的可信度,调整端口用于接收用户终端输入的调整数据,调整数据即权重值数据;以及,基于所述评价数据,当接收到用户终端发出的可信度调整请求时,向用户终端发送目标鉴定模型及调整端口;以及,基于调整端口获取调整数据,将调整数据替换目标鉴定模型的权重值数据。
5.根据权利要求4所述的一种基于网络安全的外部威胁情报分析系统,其特征在于,还包括:
定时设置模块,用于预设威胁情报的定时获取时间;
定时获取模块,用于基于定时获取时间,间隔向情报源主动获取威胁情报;
储存模块,用于储存每次获取到的威胁情报。
CN202210094974.5A 2022-01-26 2022-01-26 基于网络安全的外部威胁情报分析方法及系统 Active CN114500048B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210094974.5A CN114500048B (zh) 2022-01-26 2022-01-26 基于网络安全的外部威胁情报分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210094974.5A CN114500048B (zh) 2022-01-26 2022-01-26 基于网络安全的外部威胁情报分析方法及系统

Publications (2)

Publication Number Publication Date
CN114500048A CN114500048A (zh) 2022-05-13
CN114500048B true CN114500048B (zh) 2023-10-03

Family

ID=81476339

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210094974.5A Active CN114500048B (zh) 2022-01-26 2022-01-26 基于网络安全的外部威胁情报分析方法及系统

Country Status (1)

Country Link
CN (1) CN114500048B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115145941B (zh) * 2022-09-02 2022-12-16 北京微步在线科技有限公司 一种情报管理方法、系统及计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108460278A (zh) * 2018-02-13 2018-08-28 北京奇安信科技有限公司 一种威胁情报处理方法及装置
CN108985054A (zh) * 2017-06-05 2018-12-11 中国电信股份有限公司 威胁情报分析方法和装置
CN110390465A (zh) * 2019-06-18 2019-10-29 深圳壹账通智能科技有限公司 业务数据的风控分析处理方法、装置和计算机设备
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质
CN112884016A (zh) * 2021-01-28 2021-06-01 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) 云平台可信评估模型训练方法和云平台可信评估方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985054A (zh) * 2017-06-05 2018-12-11 中国电信股份有限公司 威胁情报分析方法和装置
CN108460278A (zh) * 2018-02-13 2018-08-28 北京奇安信科技有限公司 一种威胁情报处理方法及装置
CN110390465A (zh) * 2019-06-18 2019-10-29 深圳壹账通智能科技有限公司 业务数据的风控分析处理方法、装置和计算机设备
WO2021017614A1 (zh) * 2019-07-31 2021-02-04 平安科技(深圳)有限公司 威胁情报数据采集处理方法、系统、装置及存储介质
CN112884016A (zh) * 2021-01-28 2021-06-01 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) 云平台可信评估模型训练方法和云平台可信评估方法

Also Published As

Publication number Publication date
CN114500048A (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN111245793A (zh) 网络数据的异常分析方法及装置
CN113259392B (zh) 一种网络安全攻防方法、装置及存储介质
CN110224855B (zh) 微服务实例的注册方法、装置、计算机设备及存储介质
CN111680068A (zh) 一种校验方法、装置、设备及存储介质
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN111885210A (zh) 一种基于最终用户环境的云计算网络监控系统
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN107463839A (zh) 一种管理应用程序的系统和方法
CN114500048B (zh) 基于网络安全的外部威胁情报分析方法及系统
CN112163198B (zh) 一种主机登录安全检测方法、系统、装置及存储介质
CN108763062B (zh) 埋点名称的过滤方法及终端设备
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
CN113704772A (zh) 基于用户行为大数据挖掘的安全防护处理方法及系统
CN112733147A (zh) 设备安全管理方法及系统
CN109165513A (zh) 系统配置信息的巡检方法、装置和服务器
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
CN113849810B (zh) 风险操作行为的识别方法、装置、设备及存储介质
CN115758389A (zh) 漏洞处理结果校验方法、装置、电子设备及存储介质
CN115001774A (zh) 一种告警事件的关联分析方法、装置和设备
KR20220070958A (ko) 보안 규제 준수 자동화 장치
CN111522717A (zh) 资源巡检方法、系统及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee after: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Country or region after: China

Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Country or region before: China

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240911

Address after: 518101, 3rd Floor, Building 40, Baotian Industrial Zone, Chentian Community, Xixiang Street, Bao'an District, Shenzhen City, Guangdong Province

Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd.

Country or region after: China

Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.

Country or region before: China