CN114757790A - 一种利用神经网络对多源情报风险评估的方法 - Google Patents
一种利用神经网络对多源情报风险评估的方法 Download PDFInfo
- Publication number
- CN114757790A CN114757790A CN202210358209.XA CN202210358209A CN114757790A CN 114757790 A CN114757790 A CN 114757790A CN 202210358209 A CN202210358209 A CN 202210358209A CN 114757790 A CN114757790 A CN 114757790A
- Authority
- CN
- China
- Prior art keywords
- attack
- source
- formula
- information
- organizer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/08—Insurance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/211—Schema design and management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/243—Natural language query formulation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24552—Database cache management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/258—Data format conversion from or to a database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Business, Economics & Management (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Finance (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biophysics (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Accounting & Taxation (AREA)
- Quality & Reliability (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种利用神经网络对多源情报风险评估的方法,对多个不同数据源进行威胁情报信息统计分析,最终完成风险评估的场景。有效解决多数据源大数据量环境下,对威胁情报信息及时进行多维度分析、预警的需求,从对数据的分析统计中,评估出系统面临的风险,从而实现对目标系统进行安全检测、安全防御、追踪溯源、等保测评等目的。
Description
技术领域
本发明涉及数据分析技术领域,具体涉及一种利用神经网络对多源情报风险评估的方法。
背景技术
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。由于威胁情报所包含信息的特殊价值,因此被用于进行安全检测、安全防御、追踪溯源、等保测评等应用场景,并在实际应用场景中,发挥了其快速、全面预警的能力,能够有效防护未知威胁入侵。
但是在实际的应用过程中,由于威胁情报有明显的地域特点、时效性,不同类型的威胁,其基础数据有不同的收集方式和数格式,因此需要大量的梳理分析工作,从中发掘出签字的风险问题,从而做出准确的风险评估。
现有的解决方案,是采用情报数据聚合技术,使用一种被动数据聚合的方式,对采集的数据进行映射关联,把多个源头汇集起来的数据进行二次关联整合。但在实际应用中,由于数据类型差异、情报产生的时间差异、情报数据缺少统一规范等因素,会导致大部分情报数据残缺遗漏,无法满足情报数据的质量要求,起不到实际辅助判断决策的效果。
发明内容
本发明为了克服以上技术的不足,提供了一种借助计算机的高效计算以及神经网络技术的分析辅助,提升威胁情报的时效性和准确性,深化“历史威胁”、“ttp”(Time-Triggered Protocol协议)等维度的数据,从而找出数据背后隐藏的风险,进行准确的风险评估的方法。
本发明克服其技术问题所采用的技术方案是:
一种利用神经网络对多源情报风险评估的方法,包括:
a)搭建安全服务字典库RDB2,安全服务字典库RDB2包含域名与IP信息库及安防信息字典库;
b)搭建多源情报库RDB1,多源情报库RDB1用于存储从情报源获取到的情报信息,所述情报信息包括恶意文件情报源、威胁情报文章源、DNS/RDNS记录、情报检索源及IOC情报源;
c)搭建语义识别服务器AIS1,语义识别服务器AIS1从多源情报库RDB1中获取情报信息,从情报信息中筛选出攻击活跃时间信息、攻击方式信息、攻击源头信息、历史目标信息、攻击组织者信息及关联IOC信息,语义识别服务器AIS1将筛选的各个信息存入关键词缓冲区;
d)搭建神经网络参数数据库RDB3,其用于保存关键词缓冲区中的各个信息;
e)分别计算得到神经网络参数数据库RDB3中攻击活跃时间变量xact_tm、攻击方式变量xattack、攻击源头变量xsource、历史目标变量xhistory、攻击组织者变量xorganizer及关联IOC变量xrel;
f)建立神经网络计算服务器NS1,通过公式
z=xact_tm*wact_tm+xattack*wattack+xsource*wsource
xhistory*whistory+xorganizer*worganizer+xrel*wrel+bias计算得到加权后的总和值z,wact_tm为攻击活跃时间变量xact_tm的权重值,其取值为有理数,wattack为攻击方式变量xattack的权重值,其取值为有理数,wsource为攻击源头变量xsource的权重值,其取值为有理数,whistory为历史目标变量xhistory的权重值,其取值为有理数,worganizer为攻击组织者变量xorganizer的权重值,其取值为有理数,wrel为关联IOC变量xrel的权重值,其取值为有理数,bias为偏置值;
h)计算得到权重调整值Δwact_tm、权重调整值Δwattack、权重调整值wsource、权重调整值whistory、权重调整值worganizer、权重调整值wrel,通过公式wact_tm′=Δwact_tm+wact_tm计算得到新的权重值wact_tm′,通过公式wattack′=Δwattack+wattack计算得到新的权重值wattack′,通过公式wsource′=Δwsource+wsource计算得到新的权重值wsource′,通过公式whistory′=Δwhistory+whistory计算得到新的权重值whistory′,通过公式worganizer′=Δworganizer+worganizer计算得到新的权重值worganizer′,通过公式wrel′=Δwrel+wrel计算得到新的权重值wrel′;
i)重复执行步骤c)至步骤h),重复执行时将步骤h)中更新后的权重值wact_tm′、wattack′、wsource′、whistory′、worganizer′、wrel′分别代替步骤f)中的wact_tm、wattack、wsource、whistory、worganizer、wrel;
j)重复执行步骤i)N次,得到最优的输出预测风险系数aout。
进一步的,步骤a)中安全服务字典库RDB2采用关系型数据库管理系统,步骤b)中多源情报库RDB1采用关系型数据库管理系统。
进一步的,步骤b)中多源情报库RDB1支持数字格式、文字格式、图片格式、二进制字符串格式的数据存储。
进一步的,步骤b)中还包括建立一残缺情报修复服务器RPS1,残缺情报修复服务器RPS1将情报源发送过来的情报信息与安全服务字典库RDB2中的IP信息库及安防信息字典库进行校验,并对残缺的情报信息进行修复,残缺情报修复服务器RPS1将修复成功的情报信息存储到多源情报库RDB1中,残缺情报修复服务器RPS1将修复失败的数据丢弃。
进一步的,步骤e)包括如下步骤:
e-1)通过公式xact_tm=sin(cact_tm/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击活跃时间变量xact_tm,式中cact_tm为神经网络参数数据库RDB3中IOC攻击活跃时间出现的次数,Ntotal为神经网络参数数据库RDB3中所有信息的条数;
e-2)通过公式xattack=sin(cattack/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击方式变量xattack,式中cattack为神经网络参数数据库RDB3中攻击方式出现的次数;
e-3)通过公式xsource=sin(csource/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击源头变量xsource,式中csource为神经网络参数数据库RDB3中攻击源头出现的次数;
e-4)通过公式xhistory=sin(chistory/Ntotal*100%)计算得到神经网络参数数据库RDB3中历史目标变量xhistory,式中chistory为神经网络参数数据库RDB3中历史目标出现的次数;
e-5)通过公式xorganizer=sin(corganizer/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击组织者变量xorganizer,式中corganizer为神经网络参数数据库RDB3中攻击组织者出现的次数;
e-6)通过公式xrel=sin(crel/Ntotal*100%)计算得到神经网络参数数据库RDB3中关联IOC变量xrel,式中crel为神经网络参数数据库RDB3中关联IOC变量出现的次数。
优选的,步骤f)中bias取值为25。
进一步的,步骤h)包括如下步骤:
h-1)通过公式Δwact_tm=-ek(wact_tm/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值Δwact_tm,式中ek为计算误差,ek=(rk-aout)2,rk为实际的风险系数;
h-2)通过公式Δwattack=-ek(wattack/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值Δwattack;
h-3)通过公式Δwsource=-ek(wsource/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值wsource;
h-4)通过公式Δwhistory=-ek(whistory/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值whistory;
h-5)通过公式Δworganizer=-ek(worganizer/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值worganizer;
h-6)通过公式Δwrel=-ek(wrel/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值wrel。
优选的,步骤j)中N的取值为15-30次。
本发明的有益效果是:有效解决多数据源大数据量环境下,对威胁情报信息及时进行多维度分析、预警的需求,从对数据的分析统计中,评估出系统面临的风险,从而实现对目标系统进行安全检测、安全防御、追踪溯源、等保测评等目的。该方法首先建立情报收集通道,把不同数据源的多种格式的情报信息采集汇总到一起,结合本地的安全服务字典库,对情报信息中残缺部分进行修补。然后借助第三方的语义识别服务器,将需要采集的关键词采集出来,并提交到神经网络分析库中,神经网络服务器根据这些关键词进行风险分析评估,输出预测风险系数给用户,说明该风险发生的概率。随后采集实际的风险系数,与预测风险系数一起传递给负责调整精确度的反向传播函数,进行参数优化调整,为下一次的预测做优化升级。
附图说明
图1为本发明的网络结构图。
具体实施方式
下面结合附图1对本发明做进一步说明。
本发明中IOC是Inversion of Control的缩写,多翻译成“控制反转”,还有翻译成“控制反向”或者“控制倒置”。1996年,Michael Mattson在一篇有关探讨面向对象框架的文章中,首先提出了IOC这个概念。就是把复杂系统分解成相互合作的对象,这些对象类通过封装以后,内部实现对外部是透明的,从而降低了解决问题的复杂度,而且可以灵活地被重用和扩展。IOC理论提出的观点大体是这样的:借助于“第三方”实现具有依赖关系的对象之间的解耦。IOC技术是目前主流的互联网应用开发所采取的技术手段。
TTP(Time-Triggered Protocol)总线由TTTech公司首先提出,并据此推出了基于TTP总线全开发流程的解决方案,现已广泛应用于欧美,成为替代军用总线(如429总线)的优选之一。其本质是一组通信协议,主要应用于航空分布式控制系统的关键网络技术,从航空发动机控制、座舱系统以及电源管理到飞行控制等系统均能广泛应用。TTP已被确定为Boeing B787、Airbus A380、Bombardier C系列、Embraer Legacy以及其它先进飞机中航空电子系统的通信解决方案。带宽方面,TTP相比传统的ARINC429至少增加了50倍,相比MIL-1553增加了5倍,是CAN总线通信带宽的至少10倍。除此之外,TTP协议提高了通信数据的时间确定性,且采用分布式系统结构,一定程度上简化了先进集成系统的设计,从而降低了时间确定和安全关键系统及其软件的全寿命周期成本。TTP(SAE AS6003)是当前所有基于时间触发的确定性网络通信技术中首个被SAE标准化的通信协议。正在进行基于MIL-1553(AS6003/1)物理层和基于RS485(AS6003/2)。所谓“数据源”(Data Source)顾名思义,数据的来源,是提供某种所需要数据的器件或原始媒体。在数据源中存储了所有建立数据库连接的信息。就像通过指定文件名称可以在文件系统中找到文件一样,通过提供正确的数据源名称,可以找到相应的数据库连接。在本发明中,使用的是关系型数据库管理系统(RDBMS)作为数据存储和管理的引擎。
数据源能够响应应用程序发送的请求,并提取符合请求的数据结果反馈给请求者。并且数据源的数据会按照实际情况定期更新。
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。是指“人工神经网络”(Artificial NeuralNetworks,简写为ANNs),也简称为神经网络或称作连接模型,是对人脑或自然神经网络若干基本特性的抽象和模拟。人工神经网络以对大脑的生理研究成果为基础的,其目的在于模拟大脑的某些机理与机制,实现某个方面的功能。国际着名的神经网络研究专家,第一家神经计算机公司的创立者与领导人HechtNielsen给人工神经网络下的定义就是:“人工神经网络是由人工建立的以有向图为拓扑结构的动态系统,它通过对连续或断续的输入作状态相应而进行信息处理”。
神经网络由多个神经元组成。神经元是构成神经网络的最小结构单元,负责完成最基础的逻辑判断,神经元负责接收大量的输入信息,并根据自身的运算逻辑函数以及权重,对输入信息进行分析处理,最终产生结果输出。可以通过调整权重,设置神经元产生反馈的情况。
一种利用神经网络对多源情报风险评估的方法,包括:
a)搭建安全服务字典库RDB2,安全服务字典库RDB2包含域名与IP信息库及安防信息字典库。安全服务字典库RDB2的数据可以定期手工更新,在后期的计算中,主要起到规范数据格式、校验数据完整性的作用。
b)搭建多源情报库RDB1,多源情报库RDB1用于存储从情报源获取到的情报信息,所述情报信息包括恶意文件情报源、威胁情报文章源、DNS/RDNS记录、情报检索源及IOC情报源。
完成以上系统的安装部署,完成与情报源的对接,能够把网络上传递过来的情报信息进行校验核对,对残缺的情报尝试修复补充,然后筛选出结构完整的情报,存储到RDB1中。
c)搭建语义识别服务器AIS1,语义识别服务器AIS1从多源情报库RDB1中获取情报信息,搭建“神经网络参数库”RDB3,选择关系型数据库管理系统,主要记录在进行神经网络分析计算的过程中,用到的变量和参数。此时的情报信息,按照预定义的六个维度进行梳理。六个维度入表一所示,其包括:攻击活跃时间信息、攻击方式信息、攻击源头信息、历史目标信息、攻击组织者信息及关联IOC信息,语义识别服务器AIS1将筛选的各个信息存入关键词缓冲区。
分类 | 内容 |
活跃时间 | 2022/1/31 12:22 |
攻击方式 | DDOS |
攻击源头 | 中国 山东 济南 202.102.22.123 |
历史目标 | www.sdhy-security.com |
攻击组织者 | Unknown |
关联IOC变量 | Com.sdhy.HelloWorld.class |
表一
d)搭建神经网络参数数据库RDB3,其用于保存关键词缓冲区中的各个信息。
e)分别计算得到神经网络参数数据库RDB3中攻击活跃时间变量xact_tm、攻击方式变量xattack、攻击源头变量xsource、历史目标变量xhistory、攻击组织者变量xorganizer及关联IOC变量xrel。
f)建立神经网络计算服务器NS1,通过公式
z=xact_tm*wact_tm+xattack*wattack+xsource*wsource
xhistory*whistory+xorganizer*worganizer+xrel*wrel+bias计算得到加权后的总和值Z,wact_tm为攻击活跃时间变量xact_tm的权重值,其取值为有理数,wattack为攻击方式变量xattack的权重值,其取值为有理数,wsource为攻击源头变量xsource的权重值,其取值为有理数,whistory为历史目标变量xhistory的权重值,其取值为有理数,worganizer为攻击组织者变量xorganizer的权重值,其取值为有理数,wrel为关联IOC变量xrel的权重值,其取值为有理数,bias为偏置值。具体的如表二所示:
变量名称 | 权重值 |
x<sub>act_tm</sub> | w<sub>act_tm</sub> |
x<sub>attack</sub> | w<sub>attack</sub> |
x<sub>source</sub> | w<sub>source</sub> |
x<sub>history</sub> | w<sub>history</sub> |
x<sub>organizer</sub> | w<sub>organizer</sub> |
x<sub>rel</sub> | w<sub>rel</sub> |
表二
h)计算得到权重调整值Δwact_tm、权重调整值Δwattack、权重调整值wsource、权重调整值whistory、权重调整值worganizer、权重调整值wrel,通过公式wact_tm′=Δwact_tm+wact_tm计算得到新的权重值wact_tm′,通过公式wattack′=Δwattack+wattack计算得到新的权重值wattack′,通过公式wsource′=Δwsource+wsource计算得到新的权重值wsource′,通过公式whistory′=Δwhistory+whistory计算得到新的权重值whistory′,通过公式worganizer′=Δworganizer+worganizer计算得到新的权重值worganizer′,通过公式wrel′=Δwrel+wrel计算得到新的权重值wrel′。
i)重复执行步骤c)至步骤h),重复执行时将步骤h)中更新后的权重值wact_tm′、wattack′、wsource′、whistory′、worganizer′、wrel′分别代替步骤f)中的wact_tm′、wattack、wsource、whistory、worganizer、wrel。
j)重复执行步骤i)N次,得到最优的输出预测风险系数aout。
有效解决多数据源大数据量环境下,对威胁情报信息及时进行多维度分析、预警的需求,从对数据的分析统计中,评估出系统面临的风险,从而实现对目标系统进行安全检测、安全防御、追踪溯源、等保测评等目的。该方法首先建立情报收集通道,把不同数据源的多种格式的情报信息采集汇总到一起,结合本地的安全服务字典库,对情报信息中残缺部分进行修补。然后借助第三方的语义识别服务器,将需要采集的关键词采集出来,并提交到神经网络分析库中,神经网络服务器根据这些关键词进行风险分析评估,输出预测风险系数给用户,说明该风险发生的概率。随后采集实际的风险系数,与预测风险系数一起传递给负责调整精确度的反向传播函数,进行参数优化调整,为下一次的预测做优化升级。
实施例1:
步骤a)中安全服务字典库RDB2采用关系型数据库管理系统,步骤b)中多源情报库RDB1采用关系型数据库管理系统。
实施例2:
步骤b)中多源情报库RDB1支持数字格式、文字格式、图片格式、二进制字符串格式的数据存储。
实施例3:
步骤b)中还包括建立一残缺情报修复服务器RPS1,残缺情报修复服务器RPS1将情报源发送过来的情报信息与安全服务字典库RDB2中的IP信息库及安防信息字典库进行校验,并对残缺的情报信息进行修复,残缺情报修复服务器RPS1将修复成功的情报信息存储到多源情报库RDB1中,残缺情报修复服务器RPS1将修复失败的数据丢弃。
实施例4:
步骤e)包括如下步骤:
e-1)通过公式xact_tm=sin(cact_tm/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击活跃时间变量xact_tm,式中cact_tm为神经网络参数数据库RDB3中IOC攻击活跃时间出现的次数,Ntotal为神经网络参数数据库RDB3中所有信息的条数;
e-2)通过公式xattack=sin(cattack/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击方式变量xattack,式中cattack为神经网络参数数据库RDB3中攻击方式出现的次数;
e-3)通过公式xsource=sin(csource/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击源头变量xsource,式中csource为神经网络参数数据库RDB3中攻击源头出现的次数;
e-4)通过公式xhistory=sin(chistory/Ntotal*100%)计算得到神经网络参数数据库RDB3中历史目标变量xhistory,式中chistory为神经网络参数数据库RDB3中历史目标出现的次数;
e-5)通过公式xorganizer=sin(corganizer/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击组织者变量xorganizer,式中corganizer为神经网络参数数据库RDB3中攻击组织者出现的次数;
e-6)通过公式xrel=sin(crel/Ntotal*100%)计算得到神经网络参数数据库RDB3中关联IOC变量xrel,式中crel为神经网络参数数据库RDB3中关联IOC变量出现的次数。
实施例5:
步骤f)中bias取值为25。
实施例6:
步骤h)包括如下步骤:
h-1)通过公式Δwact_tm=-ek(wact_tm/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值Δwact_tm,式中ek为计算误差,ek=(rk-aout)2,rk为实际的风险系数;
h-2)通过公式Δwattack=-ek(wattack/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值Δwattack;
h-3)通过公式Δwsource=-ek(wsource/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值wsource;
h-4)通过公式Δwhistory=-ek(whistory/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值whistory;
h-5)通过公式Δworganizer=-ek(worganizer/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值worganizer;
h-6)通过公式Δwrel=-ek(wrel/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值wrel。
实施例7:
步骤j)中N的取值为15-30次。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种利用神经网络对多源情报风险评估的方法,其特征在于,包括:
a)搭建安全服务字典库RDB2,安全服务字典库RDB2包含域名与IP信息库及安防信息字典库;
b)搭建多源情报库RDB1,多源情报库RDB1用于存储从情报源获取到的情报信息,所述情报信息包括恶意文件情报源、威胁情报文章源、DNS/RDNS记录、情报检索源及IOC情报源;
c)搭建语义识别服务器AIS1,语义识别服务器AIS1从多源情报库RDB1中获取情报信息,从情报信息中筛选出攻击活跃时间信息、攻击方式信息、攻击源头信息、历史目标信息、攻击组织者信息及关联IOC信息,语义识别服务器AIS1将筛选的各个信息存入关键词缓冲区;
d)搭建神经网络参数数据库RDB3,其用于保存关键词缓冲区中的各个信息;
e)分别计算得到神经网络参数数据库RDB3中攻击活跃时间变量xact_tm、攻击方式变量xattack、攻击源头变量xsource、历史目标变量xhistory、攻击组织者变量xorganizer及关联IOC变量xrel;
f)建立神经网络计算服务器NS1,通过公式
z=xact_tm*wact_tm+xattack*wattack+xsource*wsource
xhistory*whistory+xorganizer*worganizer+xrel*wrel+bias计算得到加权后的总和值z,wact_tm为攻击活跃时间变量xact_tm的权重值,其取值为有理数,wattack为攻击方式变量xattack的权重值,其取值为有理数,wsource为攻击源头变量xsource的权重值,其取值为有理数,whistory为历史目标变量xhistory的权重值,其取值为有理数,worganizer为攻击组织者变量xorganizer的权重值,其取值为有理数,wrel为关联IOC变量xrel的权重值,其取值为有理数,bias为偏置值;
h)计算得到权重调整值Δwact_tm、权重调整值Δwattack、权重调整值wsource、权重调整值whistory、权重调整值worganizer、权重调整值wrel,通过公式wact_tm′=Δwact_tm+wact_tm计算得到新的权重值wact_tm′,通过公式wattack′=Δwattack+wattack计算得到新的权重值wattack′,通过公式wsource′=Δwsource+wsource计算得到新的权重值wsource′,通过公式whistory′=Δwhistory+whistory计算得到新的权重值whistory′,通过公式worganizer′=Δworganizer+worganizer计算得到新的权重值worganizer′,通过公式wrel′=Δwrel+wrel计算得到新的权重值wrel′;i)重复执行步骤c)至步骤h),重复执行时将步骤h)中更新后的权重值wact_tm′、wattack′、wsource′、whistory′、worganizer′、wrel′分别代替步骤f)中的wact_tm、wattack、wsource、whistory、worganizer、wrel;
j)重复执行步骤i)N次,得到最优的输出预测风险系数aout。
2.根据权利要求1所述的利用神经网络对多源情报风险评估的方法,其特征在于:步骤a)中安全服务字典库RDB2采用关系型数据库管理系统,步骤b)中多源情报库RDB1采用关系型数据库管理系统。
3.根据权利要求1所述的利用神经网络对多源情报风险评估的方法,其特征在于:步骤b)中多源情报库RDB1支持数字格式、文字格式、图片格式、二进制字符串格式的数据存储。
4.根据权利要求1所述的利用神经网络对多源情报风险评估的方法,其特征在于:步骤b)中还包括建立一残缺情报修复服务器RPS1,残缺情报修复服务器RPS1将情报源发送过来的情报信息与安全服务字典库RDB2中的IP信息库及安防信息字典库进行校验,并对残缺的情报信息进行修复,残缺情报修复服务器RPS1将修复成功的情报信息存储到多源情报库RDB1中,残缺情报修复服务器RPS1将修复失败的数据丢弃。
5.根据权利要求1所述的利用神经网络对多源情报风险评估的方法,其特征在于,步骤e)包括如下步骤:
e-1)通过公式xact_tm=sin(cact_tm/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击活跃时间变量xact_tm,式中cact_tm为神经网络参数数据库RDB3中IOC攻击活跃时间出现的次数,Ntotal为神经网络参数数据库RDB3中所有信息的条数;
e-2)通过公式xattack=sin(cattack/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击方式变量xattack,式中cattack为神经网络参数数据库RDB3中攻击方式出现的次数;
e-3)通过公式xsource=sin(csource/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击源头变量xsource,式中csource为神经网络参数数据库RDB3中攻击源头出现的次数;
e-4)通过公式xhistory=sin(chistory/Ntotal*100%)计算得到神经网络参数数据库RDB3中历史目标变量xhistory,式中chistory为神经网络参数数据库RDB3中历史目标出现的次数;
e-5)通过公式xorganizer=sin(corganizer/Ntotal*100%)计算得到神经网络参数数据库RDB3中攻击组织者变量xorganizer,式中corganizer为神经网络参数数据库RDB3中攻击组织者出现的次数;
e-6)通过公式xrel=sin(crel/Ntotal*100%)计算得到神经网络参数数据库RDB3中关联IOC变量xrel,式中crel为神经网络参数数据库RDB3中关联IOC变量出现的次数。
6.根据权利要求1所述的利用神经网络对多源情报风险评估的方法,其特征在于:步骤f)中bias取值为25。
7.根据权利要求1所述的利用神经网络对多源情报风险评估的方法,其特征在于,步骤h)包括如下步骤:
h-1)通过公式Δwact_tm=-ek(wact_tm/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值Δwact_tm,式中ek为计算误差,ek=(rk-aout)2,rk为实际的风险系数;
h-2)通过公式Δwattack=-ek(wattack/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值Δwattack;
h-3)通过公式Δwsource=-ek(wsource/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值wsource;
h-4)通过公式Δwhistory=-ek(whistory/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值whistory;
h-5)通过公式
Δworganizer=-ek(worganizer/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值worganizer;
h-6)通过公式Δwrel=-ek(wrel/z)*sigmoid(z)*(1-sigmoid(z))*rk计算得到权重调整值wrel。
8.根据权利要求1所述的利用神经网络对多源情报风险评估的方法,其特征在于:步骤j)中N的取值为15-30次。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210358209.XA CN114757790B (zh) | 2022-04-06 | 2022-04-06 | 一种利用神经网络对多源情报风险评估的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210358209.XA CN114757790B (zh) | 2022-04-06 | 2022-04-06 | 一种利用神经网络对多源情报风险评估的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114757790A true CN114757790A (zh) | 2022-07-15 |
CN114757790B CN114757790B (zh) | 2022-10-11 |
Family
ID=82330058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210358209.XA Active CN114757790B (zh) | 2022-04-06 | 2022-04-06 | 一种利用神经网络对多源情报风险评估的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114757790B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107644269A (zh) * | 2017-09-11 | 2018-01-30 | 国网江西省电力公司南昌供电分公司 | 一种支持风险评估的电力舆情预测方法及装置 |
CN109688091A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 多源的威胁情报的质量评估方法及装置 |
JP2019125267A (ja) * | 2018-01-18 | 2019-07-25 | 富士通株式会社 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
CN110768955A (zh) * | 2019-09-19 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 基于多源情报主动采集与聚合数据的方法 |
CN111641653A (zh) * | 2020-05-29 | 2020-09-08 | 北京中超伟业信息安全技术股份有限公司 | 基于云平台的网络安全威胁态势感知系统 |
US20200344256A1 (en) * | 2019-04-24 | 2020-10-29 | Saudi Arabian Oil Company | Online system identification for data reliability enhancement |
CN112737101A (zh) * | 2020-12-07 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种面向多监测域的网络安全风险评估方法及系统 |
CN113098884A (zh) * | 2021-04-13 | 2021-07-09 | 黄岳荣 | 基于大数据的网络安全监控方法、云平台系统及介质 |
CN113127878A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 威胁事件的风险评估方法及装置 |
CN113810395A (zh) * | 2021-09-06 | 2021-12-17 | 安天科技集团股份有限公司 | 一种威胁情报的检测方法、装置及电子设备 |
-
2022
- 2022-04-06 CN CN202210358209.XA patent/CN114757790B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107644269A (zh) * | 2017-09-11 | 2018-01-30 | 国网江西省电力公司南昌供电分公司 | 一种支持风险评估的电力舆情预测方法及装置 |
JP2019125267A (ja) * | 2018-01-18 | 2019-07-25 | 富士通株式会社 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
CN109688091A (zh) * | 2018-04-25 | 2019-04-26 | 北京微步在线科技有限公司 | 多源的威胁情报的质量评估方法及装置 |
US20200344256A1 (en) * | 2019-04-24 | 2020-10-29 | Saudi Arabian Oil Company | Online system identification for data reliability enhancement |
CN110768955A (zh) * | 2019-09-19 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 基于多源情报主动采集与聚合数据的方法 |
CN113127878A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 威胁事件的风险评估方法及装置 |
CN111641653A (zh) * | 2020-05-29 | 2020-09-08 | 北京中超伟业信息安全技术股份有限公司 | 基于云平台的网络安全威胁态势感知系统 |
CN112737101A (zh) * | 2020-12-07 | 2021-04-30 | 国家计算机网络与信息安全管理中心 | 一种面向多监测域的网络安全风险评估方法及系统 |
CN113098884A (zh) * | 2021-04-13 | 2021-07-09 | 黄岳荣 | 基于大数据的网络安全监控方法、云平台系统及介质 |
CN113810395A (zh) * | 2021-09-06 | 2021-12-17 | 安天科技集团股份有限公司 | 一种威胁情报的检测方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114757790B (zh) | 2022-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111178456B (zh) | 异常指标检测方法、装置、计算机设备和存储介质 | |
CN113282759B (zh) | 一种基于威胁情报的网络安全知识图谱生成方法 | |
CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
CN110035049A (zh) | 先期网络防御 | |
CN105556552A (zh) | 欺诈探测和分析 | |
US11977536B2 (en) | Anomaly detection data workflow for time series data | |
CN108829656B (zh) | 网络信息的数据处理方法及数据处理装置 | |
CN116680459B (zh) | 基于ai技术的外贸内容数据处理系统 | |
CN109408574B (zh) | 基于文本挖掘技术的投诉责任认定系统 | |
US11615326B2 (en) | Digital MDR (managed detection and response) analysis | |
Kozachok et al. | Construction and evaluation of the new heuristic malware detection mechanism based on executable files static analysis | |
Xie et al. | Logm: Log analysis for multiple components of hadoop platform | |
US20240004847A1 (en) | Anomaly detection in a split timeseries dataset | |
Liu et al. | Multi-step attack scenarios mining based on neural network and Bayesian network attack graph | |
Zhao et al. | A survey of deep anomaly detection for system logs | |
RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
US11789915B2 (en) | Automatic model selection for a time series | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
CN113920366A (zh) | 一种基于机器学习的综合加权主数据识别方法 | |
CN114757790B (zh) | 一种利用神经网络对多源情报风险评估的方法 | |
Li et al. | Logspy: System log anomaly detection for distributed systems | |
Gopalan | Towards Effective Detection of Botnet Attacks Using BoT-IoT Dataset | |
US11115440B2 (en) | Dynamic threat intelligence detection and control system | |
Shi et al. | Uncovering product vulnerabilities with threat knowledge graphs | |
Folino et al. | A scalable architecture exploiting elastic stack and meta ensemble of classifiers for profiling user behaviour |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Method for Risk Assessment of Multisource Intelligence Using Neural Networks Effective date of registration: 20230601 Granted publication date: 20221011 Pledgee: Weihai commercial bank Limited by Share Ltd. Ji'nan branch Pledgor: SHANDONG XINCHAO INFORMATION TECHNOLOGY CO.,LTD. Registration number: Y2023980042625 |