CN115051859A - 情报分析方法、情报分析装置、电子设备及介质 - Google Patents

情报分析方法、情报分析装置、电子设备及介质 Download PDF

Info

Publication number
CN115051859A
CN115051859A CN202210681536.9A CN202210681536A CN115051859A CN 115051859 A CN115051859 A CN 115051859A CN 202210681536 A CN202210681536 A CN 202210681536A CN 115051859 A CN115051859 A CN 115051859A
Authority
CN
China
Prior art keywords
risk
threat
information
intelligence
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210681536.9A
Other languages
English (en)
Inventor
韩啸
张錋
武宏斌
白晓雪
王玉曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
Original Assignee
State Grid Smart Grid Research Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202210681536.9A priority Critical patent/CN115051859A/zh
Publication of CN115051859A publication Critical patent/CN115051859A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Technology Law (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种情报分析方法、情报分析装置、电子设备及介质。情报分析方法包括:接收并解析威胁情报,获取威胁情报的情报属性信息。获取目标系统的第一属性信息。将第一属性信息与情报属性信息进行对比,确定第一威胁信息的第一数量。若第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果。基于第一数量的评估结果,通过神经网络模型进行风险分析,得到威胁情报对目标系统的威胁风险值。通过本发明,通过神经网络模型进行分析,能够综合多个第一威胁信息对目标系统的风险评估的评估结果,进行多维分析,进而有助于提高多维度分析效率,提高分析结果的准确性,从而有利于降低预警延迟时间。

Description

情报分析方法、情报分析装置、电子设备及介质
技术领域
本发明涉及云计算领域,具体涉及一种情报分析方法、情报分析装置、电子设备及介质。
背景技术
随着互联网应用的推广,云计算技术的兴起,为保障网络安全,避免影响电子设备的正常运行,则需要对接收到的威胁情报进行分析,以便能够及时预警,及时消除威胁。
相关技术中,针对威胁情报进行分析时,是根据相关技术人员预先编写的脚本进行分析。
但采用该种方式进行分析,需要相关技术人员熟悉业务、熟悉脚本编写,进而对相关技术人员的依赖程度相对较高。并且,当需要威胁情报的分析数量激增时,则无法保证分析结果的实时性,容易影响分析结果。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中对威胁情报进行分析效率低的缺陷,从而提供一种情报分析方法、情报分析装置、电子设备及介质。
根据第一方面,本发明提供一种情报分析方法,所述方法包括:
接收并解析威胁情报,获取所述威胁情报的情报属性信息;
获取目标系统的第一属性信息;
将所述第一属性信息与所述情报属性信息进行对比,确定第一威胁信息的第一数量,其中,所述第一威胁信息为包含所述第一属性信息的情报属性信息;
若所述第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果;
基于所述第一数量的评估结果,通过神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
在该方式中,通过神经网络模型进行分析,使在情报分析的过程中,能够综合多个第一威胁信息对目标系统的风险评估的评估结果,进行多维分析,进而有助于提高多维度分析效率,提高分析结果的准确性,从而有利于降低预警延迟时间。
结合第一方面,在第一方面的第一实施例中,所述方法还包括:
根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统;
获取所述关联系统的第二属性信息;
将所述关联系统与所述情报属性信息进行对比,确定第二威胁信息的第二数量,其中,所述第二威胁信息为包含所述第二属性信息的情报属性信息;
若所述第二数量大于所述指定数量阈值,则分别对每一个第二威胁信息进行风险评估,获取第二数量的评估结果;
所述基于所述第一数量的评估结果,通过神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值,包括:
将所述第一数量的评估结果和所述第二数量的评估结果输入至所述神经网络模型中,通过所述神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
在该方式中,在神经网络模型在情报分析的过程中,能够根据威胁情报对目标系统的直接威胁风险影响和间接威胁风险影响进行综合分析,进而使得到的威胁风险值更具有客观性和科学性,有助于提高威胁风险值的准确性,从而有利于降低预警延迟时间。
结合第一方面的第一实施例,在第一方面的第二实施例中,所述将所述第一数量的评估结果和所述第二数量的评估结果输入至所述神经网络模型中,通过所述神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值,包括:
在所述神经网络模型中,根据指定风险函数分别基于所述第一数量的评估结果,得到第一风险输出,基于所述第二数量的评估结果,得到第二风险输出;
基于所述第一风险输出和所述第二风险输出,得到所述威胁情报对所述目标系统的威胁风险值。
根据第一方面的第二实施例,在第一方面的第三实施例中,所述基于所述第一数量的评估结果,得到第一风险输出,包括:
根据预置的风险等级类型与风险分值之间的对应关系和所述第一数量的评估结果,分别确定每一个第一威胁信息的每一风险等级类型以及对应的第一风险分值,并确定每一个第一风险等级类型对应的第一信息数量;
分别将每一个风险等级类型的第一风险分值确定为对应第一信息数量的第一分析权重;
根据每一个第一信息数量以及对应的第一分析权重,确定所述威胁情报的第一风险概率,得到第一风险输出。
结合第一方面的第二实施例,在第一方面的第四实施例中,所述基于所述第二数量的评估结果,得到第二风险输出,包括:
根据预置的风险等级类型与风险分值之间的对应关系和所述第二数量的评估结果,分别确定每一个第二威胁信息的每一风险等级类型以及对应的第二风险分值,并确定每一个第二风险等级类型对应的第二信息数量;
分别将每一个风险等级类型的第二风险分值确定为对应第二信息数量的第二分析权重;
根据每一个第二信息数量以及对应的第二分析权重,确定所述威胁情报的第二风险概率,得到第二风险输出。
结合第一方面的第三实施例或第四实施例,在第一方面的第五实施例中,所述基于所述第一风险输出和所述第二风险输出,得到所述威胁情报对所述目标系统的威胁风险值,包括:
分别确定所述第一风险输出的第三分析权重和所述第二风险输出的第四分析权重;
将所述第一风险输出与第三分析权重的之间的积和所述第二风险输出与第四分析权重的之间的积相加,得到总风险输出;
根据所述总风险输出,通过指定风险函数,得到所述威胁情报对所述目标系统的威胁风险值。
结合第一方面的第五实施例,在第一方面的第六实施例中,所述方法还包括:
获取所述威胁情报的实际风险值;
基于所述实际风险值和所述威胁风险值,对所述神经网络模型进行反向传播训练,以优化所述神经网络模型。
结合第一方面的第一实施例,在第一方面的第七实施例中,在根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统之前,所述方法还包括:
根据本地系统管理文件,确定所述电子设备中多个系统相互之间的业务关联关系,所述多个系统包括所述目标系统;
根据所述业务关联关系,确定所述多个系统中支持所述目标系统运行的关联系统;
将所述关联系统的编号信息添加至所述第一属性信息,以通过所述编号信息确定所述关联系统。
结合第一方面的第七实施例,在第一方面的第八实施例中,所述目标系统为所述多个系统中的业务级别最高的系统。
结合第一方面的第八实施例,在第一方面的第九实施例中,所述方法还包括:
若所述第一威胁信息的第一数量小于或者等于所述指定数量阈值,则根据所述多个系统中各系统的业务级别顺序,将下一位系统作为目标系统。
结合第一方面,在第一方面的第十实施例中,所述接收并解析威胁情报,获取所述威胁情报的情报属性信息,包括:
根据威胁情报的数据格式,接收所述威胁情报;
根据所述数据格式解析所述威胁情报,获取所述威胁情报的情报属性信息。
结合第一方面,在第一方面的第十一实施例中,所述方法还包括:
向用户反馈所述威胁风险值。
根据第二方面,本发明还提供一种情报分析装置,所述装置包括:
第一获取单元,用于接收并解析威胁情报,获取所述威胁情报的情报属性信息;
第二获取单元,用于获取目标系统的第一属性信息;
第一对比单元,用于将所述第一属性信息与所述情报属性信息进行对比,确定第一威胁信息的第一数量,其中,所述第一威胁信息为包含所述第一属性信息的情报属性信息;
第一评估单元,用于若所述第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果;
分析单元,用于基于所述第一数量的评估结果,通过神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
结合第二方面,在第二方面的第一实施例中,所述装置还包括:
第一确定单元,用于根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统;
第三获取单元,用于获取所述关联系统的第二属性信息;
第二对比单元,用于将所述关联系统与所述情报属性信息进行对比,确定第二威胁信息的第二数量,其中,所述第二威胁信息为包含所述第二属性信息的情报属性信息;
第二评估单元,用于若所述第二数量大于所述指定数量阈值,则分别对每一个第二威胁信息进行风险评估,获取第二数量的评估结果;
所述分析单元包括:
分析子单元,用于将所述第一数量的评估结果和所述第二数量的评估结果输入至所述神经网络模型中,通过所述神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
结合第二方面的第一实施例,在第二方面的第二实施例中,所述分析子单元包括:
第一执行单元,用于在所述神经网络模型中,根据指定风险函数分别基于所述第一数量的评估结果,得到第一风险输出,基于所述第二数量的评估结果,得到第二风险输出;
第二执行单元,用于基于所述第一风险输出和所述第二风险输出,得到所述威胁情报对所述目标系统的威胁风险值。
根据第二方面的第二实施例,在第二方面的第三实施例中,所述第一执行单元包括:
第二确定单元,用于根据预置的风险等级类型与风险分值之间的对应关系和所述第一数量的评估结果,分别确定每一个第一威胁信息的每一风险等级类型以及对应的第一风险分值,并确定每一个第一风险等级类型对应的第一信息数量;
第三确定单元,用于分别将每一个风险等级类型的第一风险分值确定为对应第一信息数量的第一分析权重;
第一输出单元,用于根据每一个第一信息数量以及对应的第一分析权重,确定所述威胁情报的第一风险概率,得到第一风险输出。
结合第二方面的第二实施例,在第二方面的第四实施例中,所述第一执行单元包括:
第四确定单元,用于根据预置的风险等级类型与风险分值之间的对应关系和所述第二数量的评估结果,分别确定每一个第二威胁信息的每一风险等级类型以及对应的第二风险分值,并确定每一个第二风险等级类型对应的第二信息数量;
第五确定单元,用于分别将每一个风险等级类型的第二风险分值确定为对应第二信息数量的第二分析权重;
第二输出单元,根据每一个第二信息数量以及对应的第二分析权重,确定所述威胁情报的第二风险概率,得到第二风险输出。
结合第二方面的第三实施例或第四实施例,在第二方面的第五实施例中,所述第二执行单元包括:
第六确定单元,用于分别确定所述第一风险输出的第三分析权重和所述第二风险输出的第四分析权重;
求和单元,用于将所述第一风险输出与第三分析权重的之间的积和所述第二风险输出与第四分析权重的之间的积相加,得到总风险输出;
第二执行子单元,用于根据所述总风险输出,通过指定风险函数,得到所述威胁情报对所述目标系统的威胁风险值。
结合第二方面的第五实施例,在第二方面的第六实施例中,所述装置还包括:
第四获取单元,用于获取所述威胁情报的实际风险值;
优化单元,用于基于所述实际风险值和所述威胁风险值,对所述神经网络模型进行反向传播训练,以优化所述神经网络模型。
结合第二方面的第一实施例,在第二方面的第七实施例中,在根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统之前,所述装置还包括:
第七确定单元,用于根据本地系统管理文件,确定所述电子设备中多个系统相互之间的业务关联关系,所述多个系统包括所述目标系统;
第八确定单元,用于根据所述业务关联关系,确定所述多个系统中支持所述目标系统运行的关联系统;
整合单元,用于将所述关联系统的编号信息添加至所述第一属性信息,以通过所述编号信息确定所述关联系统。
结合第二方面的第七实施例,在第二方面的第八实施例中,所述目标系统为所述多个系统中的业务级别最高的系统。
结合第二方面的第八实施例,在第二方面的第九实施例中,所述装置还包括:
目标系统确定单元,用于若所述第一威胁信息的第一数量小于或者等于所述指定数量阈值,则根据所述多个系统中各系统的业务级别顺序,将下一位系统作为目标系统。
结合第二方面,在第二方面的第十实施例中,所述第一获取单元包括:
接收单元,用于根据威胁情报的数据格式,接收所述威胁情报;
解析单元,用于根据所述数据格式解析所述威胁情报,获取所述威胁情报的情报属性信息。
结合第二方面,在第二方面的第十一实施例中,所述装置还包括:
反馈单元,用于向用户反馈所述威胁风险值。
根据第三方面,本发明实施方式还提供一种电子设备,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面及其可选实施方式中任一项的情报分析方法。
根据第四方面,本发明实施方式还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行第一方面及其可选实施方式中任一项的情报分析方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例提出的一种情报分析方法的流程图。
图2是根据一示例性实施例提出的另一种情报分析方法的流程图。
图3是根据一示例性实施例提出的一种风险分析方法的流程图。
图4是根据一示例性实施例提出的另一种风险分析方法的流程图。
图5是根据一示例性实施例提出的一种系统关联图。
图6是根据一示例性实施例提出的一种梳理过程的流程图。
图7是根据一示例性实施例提出的一种对比过程的流程图。
图8是根据一示例性实施例提出的又一种情报分析方法的流程图。
图9是根据一示例性实施例提出的一种情报分析装置的结构框图。
图10是根据一示例性实施例提出的一种电子设备的硬件结构示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
相关技术中,针对威胁情报进行分析时,是根据相关技术人员预先编写的脚本进行分析。
但采用该种方式进行分析,需要相关技术人员熟悉业务、熟悉脚本编写,进而对相关技术人员的依赖程度相对较高。并且,当需要威胁情报的分析数量激增时,则无法保证分析结果的实时性,容易影响分析结果。
为解决上述问题,本发明实施例中提供一种情报分析方法,用于电子设备中,需要说明的是,其执行主体可以是情报分析装置,该装置可以通过软件、硬件或者软硬件结合的方式实现成为电子设备的部分或者全部,其中,该电子设备可以是终端或客户端或服务器,服务器可以是一台服务器,也可以为由多台服务器组成的服务器集群,本申请实施例中的终端可以是智能手机、个人电脑、平板电脑、可穿戴设备以及智能机器人等其他智能硬件设备。下述方法实施例中,均以执行主体是电子设备为例来进行说明。
本发明提供的情报分析方法,适用于互联网云计算环境下,能够从多个不同威胁情报的信息源中获取威胁情报信息,进而进行统计分析的场景。根据本发明提供的情报分析方法,将威胁情报的情报属性信息与目标系统的第一属性信息进行对比,能够确定情报属性信息中可能对目标系统具有威胁风险的第一威胁信息,进而在第一数量大于指定数量阈值时,对第一数量的第一威胁信息进行风险评估,得到每一个威胁信息的评估结果。基于各个第一威胁信息的评估结果,通过神经网络模型进行分析,得到威胁情报对目标系统的威胁风险值,使在情报分析的过程中,能够根据多个第一威胁信息对目标系统的风险评估的评估结果进行多维分析,进而有助于提高多维度分析效率,从而有利于降低预警延迟时间。
图1是根据一示例性实施例提出的一种情报分析方法的流程图。如图1所示,情报分析方法包括如下步骤S101至步骤S105。
在步骤S101中,接收并解析威胁情报,获取威胁情报的情报属性信息。
在本发明实施例中,威胁情报是一种基于证据的知识,用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
预先与能够提供威胁情报的多个信息源建立连接关系,以便接收对方发送的威胁情报。在接收到威胁情报之后,对威胁情报进行解析,进而得到威胁情报的情报属性信息,以便明确威胁情报的信息内容。其中,接收的威胁情报数量大于或者等于1,具体数量可以根据实际需求进行设定,在本发明中不进行限定。在一示例中,信息源可以是国家信息安全漏洞共享平台或者国家信息安全漏洞库等能够提供威胁情报的权威平台。可以采用订阅、信息推送等方式,定期接收多个信息源推送的威胁情报。
在步骤S102中,获取目标系统的第一属性信息。
在本发明实施例中,目标系统可以理解为是电子设备中多个业务系统中的其中一个系统。第一属性信息包括目标系统所拥有的属性。通过获取目标系统的第一属性信息,有助于明确目标系统的属性,进而后续与情报属性信息进行对比时,能够明确威胁情报是否对该目标系统具有威胁风险。
在一实施场景中,第一属性信息可以至少包括目标系统在多个系统中的ID编号、目标系统的类别、原厂商、系统名称、依赖系统ID和服务系统ID。其中,原厂商、系统名称用于鉴别漏洞与产品之间的对应关系。依赖系统ID用于确定多个系统中支持目标系统进行运行的关联系统。服务系统ID用于确定需要目标系统向上提供服务的系统。例如:若目标系统为操作系统,则需要该操作系统向上提供服务的系统为:数据库、中间件、应用服务器等。
在步骤S103中,将第一属性信息与情报属性信息进行对比,确定第一威胁信息的第一数量。
在本发明实施例中,第一威胁信息为包含第一属性信息的情报属性信息。将第一属性信息与情报属性信息进行对比,若情报属性信息包含第一属性信息,则表征该威胁情报对目标系统具有一定的威胁风险,进而确定第一威胁信息的第一数量。若情报属性信息不包含第一属性信息,则表征该威胁情报对目标系统无威胁风险。
在步骤S104中,若第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果。
在本发明实施例中,指定数量阈值为无需对得到的第一威胁信息进行风险评估的最大值,若第一数量大于指定数量阈值,则需要对第一威胁信息进行风险评估,以便根据每一个第一威胁信息的评估结果,综合分析威胁情报对目标系统的威胁风险。因此,当根据对比结果确定第一威胁信息的第一数量的第一数量大于指定数量阈值时,分别对每一个第一威胁信息进行风险评估,以获取每一个第一威胁信息评估结果,进而获取第一数量的评估结果。
在一示例中,可以通过通用漏洞评分系统(Common Vulnerability ScoringSystem,CVSS)对每一个第一威胁信息进行风险评估,确定对应第一威胁信息的危险等级,并对其进行评分。其中,CVSS中所采用的评分标准为行业公开标准。
在步骤S105中,基于第一数量的评估结果,通过神经网络模型进行风险分析,得到威胁情报对目标系统的威胁风险值。
在本发明实施例中,基于第一数量的评估结果,通过神经网络模型自动对威胁情报进行风险分析,有助于提高分析效率。并且,在分析的过程中,能够从多个维度(第一数量的第一威胁信息)对目标系统的威胁风险进行综合分析,进而使得到的威胁风险值更具有科学性,有助于提高威胁风险值的准确性,从而有助于降低预警延迟时间。
通过上述实施例,通过神经网络模型进行分析,使在情报分析的过程中,能够综合多个第一威胁信息对目标系统的风险评估的评估结果,进行多维分析,进而有助于提高多维度分析效率,提高分析结果的准确性,从而有利于降低预警延迟时间。
在一实施例中,为便于用户明确威胁情报对目标系统的影响,则得到威胁风险值之后,向用户反馈威胁风险值,以使管理人员能够及时介入,降低威胁情报对系统的影响。
在另一实施例中,在与威胁情报的多个信息源建立连接的通信协议中,定义有传输威胁情报的数据格式,进而在传输威胁情报时,会根据定义的数据格式传输威胁情报,以保障威胁情报的有效传输。为保障解析的有效性,则在解析威胁情报时,也根据威胁情报的数据格式进行解析。其中,数据格式可以是关系型二维表格式或者非结构型格式。为便于管理威胁情报,则采用表格存储的方式,针对不同数据格式的威胁情报采用不同的表格结构进行存储。其中,存储的表格结构可以如表1所示。
表1
Figure BDA0003696437250000151
在一示例中,针对关系型二维表格式的威胁情报,可以根据威胁情报的关系型二维表格式建立相同的二维表和数据字典表,以便将解析后的情报属性信息进行存储。
在一实施场景中,接收到的关系型二维表格式的威胁情报可以如表2所示。根据威胁情报的数据格式以及数据字典表,对该威胁情报进行解析,根据表1中所列出的各项内容,提取威胁情报的属性信息,得到威胁情报的情报属性信息。
表2
Figure BDA0003696437250000161
在另一实施场景中,可以通过第一进程对关系型二维表格式的威胁情报进行解析。第一进程根据数据字典所标注的内容,执行如下操作:
T1.漏洞类型=通用型漏洞-->TFlaw.漏洞分类
T1.CNVD-ID=CNVD-20xx-xxxx-->TFlaw.漏洞名称
T1.漏洞描述=操作系统漏洞--->TFlaw.攻击目标分类
T1.厂商名称=Laurent Rineau-->TFlaw.厂商
T1.影响产品=Laurent Rineau CGAL 5.1.1-->TFlaw.系统名称
读取T1.危害级别=中(AV:N/AC:M/Au:N/C:P/I:P/A:P),按照字典解析,拆分成一个数组,用逗号分割成7部分,分别是
[中,AV:N,AC:M,AU:N,C:P,I:P,A:P]。
进而根据数据字典定义规则,由第一进程将威胁情报的情报属性信息写入至表1中,得到如表3所示的对应关系:
表3
Figure BDA0003696437250000171
在另一示例中,针对非结构型的威胁情报,可以预先建立关键词提取列表,进而根据提取列表对威胁情报进行解析,得到并存储威胁情报的情报属性信息。
在一实施场景中,提取列表的表结构可以如表4所示。其中,提取列表包括如下内容:Id、威胁情报的信息源、时间戳、关键字列表以及情报内容。其中,Id:主键,具有唯一性。威胁情报的信息源:数据类型为字符串,用于记录威胁情报的来源。时间戳,数据类型为字符串,用于记载威胁情报的采集时间点;关键字列表:数据类型为字符串,用于记录威胁情报中关键词转换的协议,以便后期情报内容筛选。情报内容:二进制,支持指定内存(2GB)存储,用于存储威胁情报的原始内容。
表4
Figure BDA0003696437250000181
在另一实施场景中,可以通过第二进程对非结构型的威胁情报进行解析。第二进行根据表4所包括的内容,对威胁情报进行关键词提取,并保留符号‘、’、‘=’作为分隔符和操作符号,将字符串转换成数组,放入变量Array1。例如:
变量Array1={
漏洞分类=“漏洞:”、
漏洞名称=“漏洞名称:”、
攻击目标分类=“目标分类:”、
厂商=“原厂商:”、
系统名称=“系统:”、
攻击途径=“远程攻击:”、
需要认证=“认证级别:”、
完整性=“数据完整性:”、
攻击复杂度=“攻击程度:”、
机密性=“保密性:”、
可用性=“持续性”、
综合风险评定=“风险级别:”}
进而根据表1所示的存储格式,建立记录对象v_Flaw。将“情报内容”字段读取到变量RawInfo1中来,从Array1提取第一条(漏洞分类=“漏洞:”),使用字符串匹配的方法,在RawInfo1中查找字符串“漏洞:”,找到后,将该字段后的第一个词组(以空格做分隔符)读取出来,然后填写到变量vFlaw的“漏洞分类”的属性中。重复上述过程,将RawInfo1中所有包含的与Array1对应的信息读取出来,填写到vFlaw中。进而将vFlaw的值,插入到表TFlaw中。当Array1的属性与vFlaw的属性不匹配的时候,例如Array1中有一个“时间戳”的属性,而vFlaw没有,则丢弃该属性;当vFlaw有该属性,例如“综合风险评定”,在Array1里没有该属性,或者在Raw Info1里没有找到匹配数值时,保留vFlaw默认的空值即可。
图2是根据一示例性实施例提出的另一种情报分析方法的流程图。如图2所示,情报分析方法包括如下步骤。
在步骤S201中,接收并解析威胁情报,获取威胁情报的情报属性信息。
在步骤S202中,获取目标系统的第一属性信息。
在步骤S203中,将第一属性信息与情报属性信息进行对比,确定第一威胁信息的第一数量,其中,第一威胁信息为包含第一属性信息的情报属性信息。
在步骤S204中,若第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果。
在步骤S205中,根据第一属性信息,确定在电子设备中支持目标系统运行的关联系统。
在本发明实施例中,在目标系统的第一属性信息中,包括电子设备的多个系统中能够支持目标系统运行的关联系统的ID编号,进而通过ID编号,便可以确定关联系统。
在步骤S206中,获取关联系统的第二属性信息。
在步骤S207中,将关联系统与情报属性信息进行对比,确定第二威胁信息的第二数量。
在本发明实施例中,第二威胁信息为包含第二属性信息的情报属性信息。由于关联信息是多个系统中能够支持目标系统运行的系统,因此,可以将第一威胁信息理解为是用于确定威胁情报是否对目标系统具有直接威胁风险的威胁信息,第二威胁信息是用于威胁情报是否对目标系统具有间接威胁风险的威胁信息。
将关联系统与情报属性信息进行对比,若情报属性信息包含第二属性信息,则表征该威胁情报对关联系统具有一定的威胁风险,进而对目标系统具有一定的间接威胁风险,并确定第二威胁信息的第二数量。若情报属性信息不包含第二属性信息,则表征该威胁情报对关联系统无威胁风险,进而对目标系统无间接威胁风险。
在步骤S208中,若第二数量大于指定数量阈值,则分别对每一个第二威胁信息进行风险评估,获取第二数量的评估结果。
在本发明实施例中,对第二威胁信息进行风险评估的方式与第一威胁信息进行风险评估的方式相同,在此不再进行赘述。
在步骤S209中,将第一数量的评估结果和第二数量的评估结果输入至神经网络模型中,通过神经网络模型进行风险分析,得到威胁情报对目标系统的威胁风险值。
在本发明实施例中,为提高分析结果的准确性,使得到的威胁风险值更准确,则根据第一数量的评估结果和第二数量的评估结果,通过神经网络模型从直接威胁风险和间接威胁风险等多角度对威胁情报进行综合风险分析,确定威胁情报对目标系统的风险影响,进而得到威胁情报对目标系统的威胁风险值。
通过上述实施例,在神经网络模型在情报分析的过程中,能够根据威胁情报对目标系统的直接威胁风险影响和间接威胁风险影响进行综合分析,进而使得到的威胁风险值更具有客观性和科学性,有助于提高威胁风险值的准确性,从而有利于降低预警延迟时间。
以下实施例将具体说明通过神经网络模型进行风险分析的过程。
图3是根据一示例性实施例提出的一种风险分析方法的流程图。如图3所示,风险分析方法包括如下步骤。
在步骤S301中,在神经网络模型中,根据指定风险函数分别基于第一数量的评估结果,得到第一风险输出,基于第二数量的评估结果,得到第二风险输出。
在本发明实施例中,第一数量的评估结果是针对每一个第一威胁信息的评估结果,第二数量的评估结果是针对每一个第二威胁信息的评估结果。在分析的过程中,分别将第一威胁信息的第一数量和第二威胁信息的第二数量作为神经网络的神经元,根据第一数量的评估结果,输出第一数量的第一威胁信息对应的第一风险输出。根据第二数量的评估结果,输出第二数量的第二威胁信息对应的第二风险输出。
在一实施例中,根据预置的风险等级类型与风险分值之间的对应关系和第一数量的评估结果,分别确定每一个第一威胁信息的每一风险等级类型以及对应的第一风险分值,并确定每一个第一风险等级类型对应的第一信息数量。其中,风险等级类型可以包括:低、中或者高。风险等级类型与风险分值之间的对应关系可以如表5所示。Dmax为最高风险级别的风险分值,Dn为当前系统减分值。根据表5所示的对应关系,分别确定每一个第一威胁信息的第一风险分值以及每一个第二威胁信息的第二风险分值。
表5
序号 评分 风险等级类型 Dmax Dn
1 4分以下 0.05 -1
2 4分(含)到7分 0.1 -2
3 7分(含)到10分 0.4 -3
在一实施场景中,根据表5所示的对应关系,针对第一数量为3的第一威胁信息进行风险评估,得到的评估结果可以如表6所示。
表6
ID(目标系统的ID) 漏洞名称 风险等级类型 Dmax Dn
11 DgBug1 0.4 -3
11 Dbgu21 0.05 -1
11 Dg22 0.05 -1
根据预置的风险等级类型与风险分值之间的对应关系和第一数量的评估结果,分别确定每一个第一威胁信息的每一风险等级类型以及对应的第一风险分值,并确定每一个第一风险等级类型对应的第一信息数量。并分别将每一个风险等级类型的第一风险分值确定为对应第一信息数量的第一分析权重,根据每一个第一信息数量以及对应的第一分析权重,根据指定风险概率函数,确定威胁情报的第一风险概率,得到第一风险输出。其中,第一风险概率即为第一风险输出。指定风险概率函数可以是一种激活函数,能够为神经网络引入非线性特征,可以将数值压缩至[0,1]之间。
例如:以第一威胁信息的第一数量为10为例。若根据评估结果,确定风险等级类型为高的第一信息数量为5,对应的第一风险分值为0.4、风险等级类型为中的第一信息数量为3,对应的第一风险分值为0.1、风险等级类型为低的第一信息数量为2,对应的第一风险分值为0.05,则将0.4作为风险等级类型为高的第一分析权重,将0.1作为风险等级类型为中的第一分析权重,将0.05作为风险等级类型为低的第一分析权重,进而得到第一输入项合计zd=(wmax*xmax+wmiddle*xmiddle+wlow*xlow)=0.4*5+0.1*3+0.05*2=2.4。其中,wmax为风险等级类型为高的第一分析权重,xmax为风险等级类型为高的第一信息数量;wmiddle为风险等级类型为中的第一分析权重,xmiddle为风险等级类型为中的第一信息数量;wlow为风险等级类型为低的第一分析权重,xlow为风险等级类型为低的第一信息数量。根据指定风险概率函数:
Figure BDA0003696437250000241
确定威胁情报的第一风险概率,得到第一风险输出。其中,zd为第一输入项合计,ad为第一风险输出,
Figure BDA0003696437250000242
是自然对数函数的底数。
在另一实施例中,第二风险输出的获取原理与第一风险输出的得获取原理相同。根据预置的风险等级类型与风险分值之间的对应关系和第二数量的评估结果,分别确定每一个第二威胁信息的每一风险等级类型以及对应的第二风险分值,并确定每一个第二风险等级类型对应的第二信息数量。分别将每一个风险等级类型的第二风险分值确定为对应第二信息数量的第二分析权重。根据每一个第二信息数量以及对应的第二分析权重,确定威胁情报的第二风险概率,得到第二风险输出。
在步骤S302中,基于第一风险输出和第二风险输出,得到威胁情报对目标系统的威胁风险值。
在本发明实施例中,通过第一风险输出和第二风险输出,能够分别确定威胁情报对目标系统的直接威胁风险影响和间接威胁风险影响。为提高分析结果的准确性,避免在确定第一风险输出和第二风险输出的过程中存在误差,则结合第一风险输出和第二风险输出,得到威胁情报对目标系统的威胁风险值。
在一实施例中,分别确定第一风险输出的第三分析权重和第二风险输出的第四分析权重。在一例中,第三分析权重和第四分析权重的值可以相同,也可以根据需求进行设定,在本发明中不进行限定。其中,第三分析权重与第四分析权重之间的和为1。将第一风险输出与第三分析权重的之间的积和第二风险输出与第四分析权重的之间的积相加,得到总风险输出。根据总风险输出,通过指定风险函数,得到威胁情报对目标系统的威胁风险值。其中,指定风险函数的公式为:
Figure BDA0003696437250000251
例如:分别确定第三分析权重为wd,第四分析权重为wi,总风险输出z=(wd*ad+wi*ai),其中,ad为第一风险输出,ai为第二风险输出。威胁风险值
Figure BDA0003696437250000252
通过上述实施例,根据威胁情报对目标系统的直接威胁风险影响和间接威胁风险影响进行综合分析,进而使得到的威胁风险值更具有客观性和科学性,进而有助于提高威确定威胁风险值的准确性。
在一实施场景中,在神经网络模型中进行网络分析的过程,可以如图4所示。图4是根据一示例性实施例提出的另一种风险分析方法的流程图。其中,L1表示第一数量的第一威胁信息的评估结果,L2表示第二数量的第二威胁信息的评估结果。在输入层中,不同风险等级类型对应的第一威胁信息数量或者第二威胁信息数量为神经网络模型中的神经元。即,根据第一数量的评估结果,根据分别确定每一个第一风险等级类型对应的第一信息数量,并将每一个第一信息数量分别放入至xmax、xmiddle和xlow中。根据第二数量的评估结果,根据分别确定每一个第二风险等级类型对应的第二信息数量,并将每一个第二信息数量分别放入至xmsx1、xmiddle1和xlow1中。
在第一层中,根据公式:zd=(wmax*xmax+wmiddle*xmiddle+wlow*xlow),计算第一输入项合计,并根据指定风险函数的公式:
Figure BDA0003696437250000253
计算得到第一风险输出。根据公式:zi=(wmax1*xmax1+wmiddle1*xmiddle1+wlow1*xlow1),计算第二输入项合计,并根据指定风险函数的公式:
Figure BDA0003696437250000254
计算得到第一风险输出。
在第二层中,根据第一风险输出ad的第三分析权重wd和第二风险输出ai的第四分析权重wi,计算得到总风险输出z=(wd*ad+wi*ai),并根据指定风险函数的公式
Figure BDA0003696437250000261
得到威胁风险值。在输出层中,将威胁风险值进行输出。
在一实施例中,为提高分析准确率,使得到的威胁风险值更具有准确性,则还可以基于威胁情报的实际风险值,对神经网络模型进行优化。其中,实际风险值为威胁情报实际对目标系统具有的威胁风险值。基于实际风险值和威胁风险值,对神经网络模型进行反向传播训练,结合激活函数,分别调整每一个第一分析权重、第二分析权重、第三分析权重和第四分析权重,以提高神经网络模型进行风险分析的准确性,从而到达优化神经网络模型的目的。在一实施场景中,以风险等级类型为高的第一分析权重wmax为例,对其进行优化时,采用的调整公式为:
Figure BDA0003696437250000262
Figure BDA0003696437250000263
其中,
Figure BDA0003696437250000264
rout为实际风险值。最终调整后的风险等级类型为高的第一分析权重
Figure BDA0003696437250000265
其他第一分析权重、第二分析权重、第三分析权重和第四分析权重的调整过程与风险等级类型为高的第一分析权重wmax的调整过程相同,在此不在进行赘述。
在另一实施例中,目标系统的关联系统可以采用下述方式进行确定。
根据本地系统管理文件,确定电子设备中多个系统相互之间的业务关联关系,多个系统包括目标系统。根据业务关联关系,确定多个系统中支持目标系统运行的关联系统。将关联系统的编号信息添加至第一属性信息,以通过编号信息确定关联系统。
在一实施场景中,通过梳理电子设备中多个系统相互之间的业务关联关系,可以得到如表7所示的业务系统信息表。其中,各系统的类别可以根据预设的数据字典表进行分类。其中,预设的数据字典表可以如表8所示。
表7
编号ID 分类 原厂商 系统名称 依赖系统ID列表 服务系统ID列表
1 网络设备 A 核心交换机 NULL 2,3,4
2 主机服务器 A 数据库服务器 1 5
3 主机服务器 A 应用服务器 1 6
4 主机服务器 A 中间件服务器 1 7
5 操作系统 B Linux 2 8
6 操作系统 C AIX 3 9
7 操作系统 D FreeBSD 4 10
8 数据库 E Mysql 5 11
9 web应用 E Tomcat 6,8 11
10 中间件 F Nginx 7,9 11
11 业务系统 G 不良资产管理系统 8,9,10 NULL
12 业务系统 G 信贷档案管理系统 8,9,10 NULL
表8
序号 分类名称
1 主机服务器
2 操作系统
3 应用程序
4 WEB应用
5 数据库
6 网络设备(交换机、路由器等网络端设备)
7 安全产品
8 智能设备(物联网终端设备)
9 中间件
10 区块链联盟链
11 区块链外围系统
12 车联网
13 工业控制系统
14 业务系统
在另一实施场景中,根据表7中各系统之间的相关关联关系,能够得到如图5所示的系统关联图。图5是根据一示例性实施例提出的一种系统关联图。其中,双向箭头表示支持与服务的关系,下层系统向上支持上次系统的运行,上层系统依赖下层系统的支持。
在一示例中,在进行风险分析时,优选将多个系统中的业务级别最高的系统作为目标系统。例如:以表7为例,根据指定提取条件(“服务系统ID列表”=NULL),确定业务级别最高的系统,进而将业务级别最高的系统作为目标系统。
在另一示例中,可以根据表7中服务系统ID列表的先后顺序,逐一确定威胁情报对每一个系统的影响。即,根据各系统的业务级别,从顶部向底部的顺序逐一梳理系统可能存在的威胁风险。
在又一示例中,若第一威胁信息的第一数量小于或者等于指定数量阈值,则根据多个系统中各系统的业务级别顺序,将下一位系统作为目标系统。
在一实施场景中,根据表7中所记载的多个系统,逐一将所有系统的第一属性信息与表1中威胁情报的情报属性信息进行梳理对比,并将对比结果保存至神经网络模型的输入项缓冲区中,以确定威胁情报对各系统的威胁风险值。其中,梳理过程可以如图6所示,对比过程可以如图7所示。
具体如下:
首先,从表7中提取一条记录A,提取条件是“服务系统ID列表”=NULL,即提取顶级系统出来作为目标系统,按照从顶部向底部的顺序逐一梳理系统可能存在的威胁风险。
其次,把A(目标系统)记录的分类、原厂商、系统名称、依赖系统ID列表等四个第一属性信息提取出来,前三个第一属性信息是用于与情报属性信息进行对比,最后一个第一属性信息是用于找寻底层依赖系统的风险漏洞。
然后,通过对比进程,将分类、原厂商、系统名称与情报属性信息的对比结果,确定第一威胁信息,并将对比结果放入结果集B中。其中,可以是与情报属性信息中的“攻击目标分类”、“厂商”、“系统名称”进行对比。
然后,若第一威胁信息的第一数量为0,则不进行风险评估。若第一数量大于0,则启动循环,逐一读取B中的每一个第一威胁信息,并送入“风险评估进程”中进行风险评估,得到每一个第一威胁信息的评估结果,进而将第一数量的评估结果推送入数据表L1中进行存储。
然后,读取A中“依赖系统ID列表”的记录,确定A的关联系统。进而采用相同原理,得到第二数量的评估结果,并将第二数量的评估结果推送入数据表L2中进行存储。
然后,根据图5所示的各系统之间的相互依赖关系,逐层向下,找寻每一个关联系统的依赖系统,找寻它们的第二数量的第二威胁信息,并将每一个第二威胁信息的评估结果记录到L2表中,直至完成所有系统筛查。
最后,把最终的数据表L1和L2,放入神经网络模型的输入缓冲区,以通过神经网络模型进行风险分析,确定威胁情报的威胁风险值。
在一实施场景中,情报分析的过程可以如图8所示。图8是根据一示例性实施例提出的又一种情报分析方法的流程图。
根据业务系统信息表和通过漏洞评分系统构建本地模型资料库,用于确定电子设备中各业务系统之间的相互依赖关系,并对每一个威胁信息进行风险评估。威胁信息包括第一威胁信息和第二威胁信息。
从国家信息安全漏洞共享平台、国家信息安全漏洞库、信息安全漏洞门户、其他信息源等威胁情报的多个信息源中接收威胁情报,并存放至第一信息采集库中。根据威胁情报的数据格式,采用对应的进程(第一进程或者第二进程)进行解析,得到威胁情报的情报属性信息,并将情报属性信息放入至第二信息采集库中进行保存。
在筛选整理模块中,分别将目标系统的第一属性信息和关联系统的第二属性信息与情报属性信息进行对比,确定与目标系统相关的威胁信息。其中,威胁信息包括第一威胁信息和第二威胁信息。在第一威胁信息的第一数量大于指定数量阈值或者第二威胁信息的第二数量大于指定数量阈值时,通过神经网络模型中的神经网络维度字典,对每一个威胁信息进行风险评估,确定每一个威胁信息的风险等级类型以及风险分值。
将每一个威胁信息的风险等级类型以及风险分值推送至神经网络模型的输入项缓冲区中,通过神经网络模型进行风险分析,得到威胁情报的威胁风险值。其中,还可以根据得到威胁风险值以及威胁情报的实际风险值,对神经网络模型进行反向传播训练,进而达到优化神经网络模型的目的。
通过上述实施例,能够有效解决多威胁情报的信息源大数据量环境下,难以对威胁情报及时进行多维度分析、预警,以及对威胁及时做出智能处置等问题。能有效提升威胁情报多维度分析效率,进而降低预警延迟时间。
基于相同发明构思,本发明还提供一种情报分析装置。
图9是根据一示例性实施例提出的一种情报分析装置的结构框图。如图9所示,情报分析装置包括:第一获取单元901、第二获取单元902、第一对比单元903、第一评估单元904和分析单元905。
第一获取单元901,用于接收并解析威胁情报,获取威胁情报的情报属性信息;
第二获取单元902,用于获取目标系统的第一属性信息;
第一对比单元903,用于将第一属性信息与情报属性信息进行对比,确定第一威胁信息的第一数量,其中,第一威胁信息为包含第一属性信息的情报属性信息;
第一评估单元904,用于若第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果;
分析单元905,用于基于第一数量的评估结果,通过神经网络模型进行风险分析,得到威胁情报对目标系统的威胁风险值。
在一实施例中,装置还包括:第一确定单元,用于根据第一属性信息,确定在电子设备中支持目标系统运行的关联系统。第三获取单元,用于获取关联系统的第二属性信息。第二对比单元,用于将关联系统与情报属性信息进行对比,确定第二威胁信息的第二数量,其中,第二威胁信息为包含第二属性信息的情报属性信息。第二评估单元,用于若第二数量大于指定数量阈值,则分别对每一个第二威胁信息进行风险评估,获取第二数量的评估结果。分析单元905包括:分析子单元,用于将第一数量的评估结果和第二数量的评估结果输入至神经网络模型中,通过神经网络模型进行风险分析,得到威胁情报对目标系统的威胁风险值。
在另一实施例中,分析子单元包括:第一执行单元,用于在神经网络模型中,根据指定风险函数分别基于第一数量的评估结果,得到第一风险输出,基于第二数量的评估结果,得到第二风险输出。第二执行单元,用于基于第一风险输出和第二风险输出,得到威胁情报对目标系统的威胁风险值。
在又一实施例中,第一执行单元包括:第二确定单元,用于根据预置的风险等级类型与风险分值之间的对应关系和第一数量的评估结果,分别确定每一个第一威胁信息的每一风险等级类型以及对应的第一风险分值,并确定每一个第一风险等级类型对应的第一信息数量。第三确定单元,用于分别将每一个风险等级类型的第一风险分值确定为对应第一信息数量的第一分析权重。第一输出单元,用于根据每一个第一信息数量以及对应的第一分析权重,确定威胁情报的第一风险概率,得到第一风险输出。
在又一实施例中,第一执行单元包括:第四确定单元,用于根据预置的风险等级类型与风险分值之间的对应关系和第二数量的评估结果,分别确定每一个第二威胁信息的每一风险等级类型以及对应的第二风险分值,并确定每一个第二风险等级类型对应的第二信息数量。第五确定单元,用于分别将每一个风险等级类型的第二风险分值确定为对应第二信息数量的第二分析权重。第二输出单元,根据每一个第二信息数量以及对应的第二分析权重,确定威胁情报的第二风险概率,得到第二风险输出。
在又一实施例中,第二执行单元包括:第六确定单元,用于分别确定第一风险输出的第三分析权重和第二风险输出的第四分析权重。求和单元,用于将第一风险输出与第三分析权重的之间的积和第二风险输出与第四分析权重的之间的积相加,得到总风险输出。第二执行子单元,用于根据总风险输出,通过指定风险函数,得到威胁情报对目标系统的威胁风险值。
在又一实施例中,装置还包括:第四获取单元,用于获取威胁情报的实际风险值。优化单元,用于基于实际风险值和威胁风险值,对神经网络模型进行反向传播训练,以优化神经网络模型。
在又一实施例中,在根据第一属性信息,确定在电子设备中支持目标系统运行的关联系统之前,装置还包括:第七确定单元,用于根据本地系统管理文件,确定电子设备中多个系统相互之间的业务关联关系,多个系统包括目标系统。第八确定单元,用于根据业务关联关系,确定多个系统中支持目标系统运行的关联系统。整合单元,用于将关联系统的编号信息添加至第一属性信息,以通过编号信息确定关联系统。
在又一实施例中,目标系统为多个系统中的业务级别最高的系统。
在又一实施例中,装置还包括:目标系统确定单元,用于若第一威胁信息的第一数量小于或者等于指定数量阈值,则根据多个系统中各系统的业务级别顺序,将下一位系统作为目标系统。
在又一实施例中,第一获取单元901包括:接收单元,用于根据威胁情报的数据格式,接收威胁情报。解析单元,用于根据数据格式解析威胁情报,获取威胁情报的情报属性信息。
在又一实施例中,装置还包括:反馈单元,用于向用户反馈威胁风险值。
上述情报分析装置的具体限定以及有益效果可以参见上文中对于情报分析方法的限定,在此不再赘述。上述各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备中的处理器中,也可以以软件形式存储于电子设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图10是根据一示例性实施例提出的一种电子设备的硬件结构示意图。如图10所示,该设备包括一个或多个处理器1010以及存储器1020,存储器1020包括持久内存、易失内存和硬盘,图10中以一个处理器1010为例。该设备还可以包括:输入装置1030和输出装置1040。
处理器1010、存储器1020、输入装置1030和输出装置1040可以通过总线或者其他方式连接,图10中以通过总线连接为例。
处理器1010可以为中央处理器(Central Processing Unit,CPU)。处理器1010还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器1020作为一种非暂态计算机可读存储介质,包括持久内存、易失内存和硬盘,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本申请实施例中的业务管理方法对应的程序指令/模块。处理器1010通过运行存储在存储器1020中的非暂态软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述任意一种情报分析方法。
存储器1020可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据、需要使用的数据等。此外,存储器1020可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器1020可选包括相对于处理器1010远程设置的存储器,这些远程存储器可以通过网络连接至数据处理装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置1030可接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键信号输入。输出装置1040可包括显示屏等显示设备。
一个或者多个模块存储在存储器1020中,当被一个或者多个处理器1010执行时,执行如图1-图8所示的方法。
上述产品可执行本发明实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,具体可参见如图1-图8所示的实施例中的相关描述。
本发明实施例还提供了一种非暂态计算机存储介质,计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的认证方法。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccess Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (26)

1.一种情报分析方法,其特征在于,所述方法包括:
接收并解析威胁情报,获取所述威胁情报的情报属性信息;
获取目标系统的第一属性信息;
将所述第一属性信息与所述情报属性信息进行对比,确定第一威胁信息的第一数量,其中,所述第一威胁信息为包含所述第一属性信息的情报属性信息;
若所述第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果;
基于所述第一数量的评估结果,通过神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统;
获取所述关联系统的第二属性信息;
将所述关联系统与所述情报属性信息进行对比,确定第二威胁信息的第二数量,其中,所述第二威胁信息为包含所述第二属性信息的情报属性信息;
若所述第二数量大于所述指定数量阈值,则分别对每一个第二威胁信息进行风险评估,获取第二数量的评估结果;
所述基于所述第一数量的评估结果,通过神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值,包括:
将所述第一数量的评估结果和所述第二数量的评估结果输入至所述神经网络模型中,通过所述神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
3.根据权利要求2所述的方法,其特征在于,所述将所述第一数量的评估结果和所述第二数量的评估结果输入至所述神经网络模型中,通过所述神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值,包括:
在所述神经网络模型中,根据指定风险函数分别基于所述第一数量的评估结果,得到第一风险输出,基于所述第二数量的评估结果,得到第二风险输出;
基于所述第一风险输出和所述第二风险输出,得到所述威胁情报对所述目标系统的威胁风险值。
4.根据权利要求3所述的方法,其特征在于,所述基于所述第一数量的评估结果,得到第一风险输出,包括:
根据预置的风险等级类型与风险分值之间的对应关系和所述第一数量的评估结果,分别确定每一个第一威胁信息的每一风险等级类型以及对应的第一风险分值,并确定每一个第一风险等级类型对应的第一信息数量;
分别将每一个风险等级类型的第一风险分值确定为对应第一信息数量的第一分析权重;
根据每一个第一信息数量以及对应的第一分析权重,确定所述威胁情报的第一风险概率,得到第一风险输出。
5.根据权利要求3所述的方法,其特征在于,所述基于所述第二数量的评估结果,得到第二风险输出,包括:
根据预置的风险等级类型与风险分值之间的对应关系和所述第二数量的评估结果,分别确定每一个第二威胁信息的每一风险等级类型以及对应的第二风险分值,并确定每一个第二风险等级类型对应的第二信息数量;
分别将每一个风险等级类型的第二风险分值确定为对应第二信息数量的第二分析权重;
根据每一个第二信息数量以及对应的第二分析权重,确定所述威胁情报的第二风险概率,得到第二风险输出。
6.根据权利要求4或5所述的方法,其特征在于,所述基于所述第一风险输出和所述第二风险输出,得到所述威胁情报对所述目标系统的威胁风险值,包括:
分别确定所述第一风险输出的第三分析权重和所述第二风险输出的第四分析权重;
将所述第一风险输出与第三分析权重的之间的积和所述第二风险输出与第四分析权重的之间的积相加,得到总风险输出;
根据所述总风险输出,通过指定风险函数,得到所述威胁情报对所述目标系统的威胁风险值。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
获取所述威胁情报的实际风险值;
基于所述实际风险值和所述威胁风险值,对所述神经网络模型进行反向传播训练,以优化所述神经网络模型。
8.根据权利要求2所述的方法,其特征在于,在根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统之前,所述方法还包括:
根据本地系统管理文件,确定所述电子设备中多个系统相互之间的业务关联关系,所述多个系统包括所述目标系统;
根据所述业务关联关系,确定所述多个系统中支持所述目标系统运行的关联系统;
将所述关联系统的编号信息添加至所述第一属性信息,以通过所述编号信息确定所述关联系统。
9.根据权利要求8所述的方法,其特征在于,所述目标系统为所述多个系统中的业务级别最高的系统。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
若所述第一威胁信息的第一数量小于或者等于所述指定数量阈值,则根据所述多个系统中各系统的业务级别顺序,将下一位系统作为目标系统。
11.根据权利要求1所述的方法,其特征在于,所述接收并解析威胁情报,获取所述威胁情报的情报属性信息,包括:
根据威胁情报的数据格式,接收所述威胁情报;
根据所述数据格式解析所述威胁情报,获取所述威胁情报的情报属性信息。
12.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向用户反馈所述威胁风险值。
13.一种情报分析装置,其特征在于,所述装置包括:
第一获取单元,用于接收并解析威胁情报,获取所述威胁情报的情报属性信息;
第二获取单元,用于获取目标系统的第一属性信息;
第一对比单元,用于将所述第一属性信息与所述情报属性信息进行对比,确定第一威胁信息的第一数量,其中,所述第一威胁信息为包含所述第一属性信息的情报属性信息;
第一评估单元,用于若所述第一数量大于指定数量阈值,则分别对每一个第一威胁信息进行风险评估,获取第一数量的评估结果;
分析单元,用于基于所述第一数量的评估结果,通过神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
第一确定单元,用于根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统;
第三获取单元,用于获取所述关联系统的第二属性信息;
第二对比单元,用于将所述关联系统与所述情报属性信息进行对比,确定第二威胁信息的第二数量,其中,所述第二威胁信息为包含所述第二属性信息的情报属性信息;
第二评估单元,用于若所述第二数量大于所述指定数量阈值,则分别对每一个第二威胁信息进行风险评估,获取第二数量的评估结果;
所述分析单元包括:
分析子单元,用于将所述第一数量的评估结果和所述第二数量的评估结果输入至所述神经网络模型中,通过所述神经网络模型进行风险分析,得到所述威胁情报对所述目标系统的威胁风险值。
15.根据权利要求14所述的装置,其特征在于,所述分析子单元包括:
第一执行单元,用于在所述神经网络模型中,根据指定风险函数分别基于所述第一数量的评估结果,得到第一风险输出,基于所述第二数量的评估结果,得到第二风险输出;
第二执行单元,用于基于所述第一风险输出和所述第二风险输出,得到所述威胁情报对所述目标系统的威胁风险值。
16.根据权利要求15所述的装置,其特征在于,所述第一执行单元包括:
第二确定单元,用于根据预置的风险等级类型与风险分值之间的对应关系和所述第一数量的评估结果,分别确定每一个第一威胁信息的每一风险等级类型以及对应的第一风险分值,并确定每一个第一风险等级类型对应的第一信息数量;
第三确定单元,用于分别将每一个风险等级类型的第一风险分值确定为对应第一信息数量的第一分析权重;
第一输出单元,用于根据每一个第一信息数量以及对应的第一分析权重,确定所述威胁情报的第一风险概率,得到第一风险输出。
17.根据权利要求15所述的装置,其特征在于,所述第一执行单元包括:
第四确定单元,用于根据预置的风险等级类型与风险分值之间的对应关系和所述第二数量的评估结果,分别确定每一个第二威胁信息的每一风险等级类型以及对应的第二风险分值,并确定每一个第二风险等级类型对应的第二信息数量;
第五确定单元,用于分别将每一个风险等级类型的第二风险分值确定为对应第二信息数量的第二分析权重;
第二输出单元,根据每一个第二信息数量以及对应的第二分析权重,确定所述威胁情报的第二风险概率,得到第二风险输出。
18.根据权利要求16或17所述的装置,其特征在于,所述第二执行单元包括:
第六确定单元,用于分别确定所述第一风险输出的第三分析权重和所述第二风险输出的第四分析权重;
求和单元,用于将所述第一风险输出与第三分析权重的之间的积和所述第二风险输出与第四分析权重的之间的积相加,得到总风险输出;
第二执行子单元,用于根据所述总风险输出,通过指定风险函数,得到所述威胁情报对所述目标系统的威胁风险值。
19.根据权利要求18所述的装置,其特征在于,所述装置还包括:
第四获取单元,用于获取所述威胁情报的实际风险值;
优化单元,用于基于所述实际风险值和所述威胁风险值,对所述神经网络模型进行反向传播训练,以优化所述神经网络模型。
20.根据权利要求14所述的装置,其特征在于,在根据所述第一属性信息,确定在电子设备中支持所述目标系统运行的关联系统之前,所述装置还包括:
第七确定单元,用于根据本地系统管理文件,确定所述电子设备中多个系统相互之间的业务关联关系,所述多个系统包括所述目标系统;
第八确定单元,用于根据所述业务关联关系,确定所述多个系统中支持所述目标系统运行的关联系统;
整合单元,用于将所述关联系统的编号信息添加至所述第一属性信息,以通过所述编号信息确定所述关联系统。
21.根据权利要求20所述的装置,其特征在于,所述目标系统为所述多个系统中的业务级别最高的系统。
22.根据权利要求21所述的装置,其特征在于,所述装置还包括:
目标系统确定单元,用于若所述第一威胁信息的第一数量小于或者等于所述指定数量阈值,则根据所述多个系统中各系统的业务级别顺序,将下一位系统作为目标系统。
23.根据权利要求13所述的装置,其特征在于,所述第一获取单元包括:
接收单元,用于根据威胁情报的数据格式,接收所述威胁情报;
解析单元,用于根据所述数据格式解析所述威胁情报,获取所述威胁情报的情报属性信息。
24.根据权利要求13所述的装置,其特征在于,所述装置还包括:
反馈单元,用于向用户反馈所述威胁风险值。
25.一种电子设备,其特征在于,包括存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-12中任一项所述的情报分析方法。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-12中任一项所述的情报分析方法。
CN202210681536.9A 2022-06-15 2022-06-15 情报分析方法、情报分析装置、电子设备及介质 Pending CN115051859A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210681536.9A CN115051859A (zh) 2022-06-15 2022-06-15 情报分析方法、情报分析装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210681536.9A CN115051859A (zh) 2022-06-15 2022-06-15 情报分析方法、情报分析装置、电子设备及介质

Publications (1)

Publication Number Publication Date
CN115051859A true CN115051859A (zh) 2022-09-13

Family

ID=83162388

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210681536.9A Pending CN115051859A (zh) 2022-06-15 2022-06-15 情报分析方法、情报分析装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN115051859A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527323A (zh) * 2023-04-04 2023-08-01 中国华能集团有限公司北京招标分公司 一种动态威胁分析方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN113810395A (zh) * 2021-09-06 2021-12-17 安天科技集团股份有限公司 一种威胁情报的检测方法、装置及电子设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN113810395A (zh) * 2021-09-06 2021-12-17 安天科技集团股份有限公司 一种威胁情报的检测方法、装置及电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527323A (zh) * 2023-04-04 2023-08-01 中国华能集团有限公司北京招标分公司 一种动态威胁分析方法
CN116527323B (zh) * 2023-04-04 2024-01-30 中国华能集团有限公司北京招标分公司 一种动态威胁分析方法

Similar Documents

Publication Publication Date Title
WO2020057022A1 (zh) 关联推荐方法、装置、计算机设备和存储介质
CN107871166B (zh) 针对机器学习的特征处理方法及特征处理系统
CN110909182B (zh) 多媒体资源搜索方法、装置、计算机设备及存储介质
CN113609261B (zh) 基于网络信息安全的知识图谱的漏洞信息挖掘方法和装置
CN112532624B (zh) 一种黑链检测方法、装置、电子设备及可读存储介质
CN112559526A (zh) 数据表导出方法、装置、计算机设备及存储介质
CN107748772B (zh) 一种商标识别方法及装置
CN114598597B (zh) 多源日志解析方法、装置、计算机设备及介质
CN114416998A (zh) 文本标签的识别方法、装置、电子设备及存储介质
CN110008701B (zh) 基于elf文件特征的静态检测规则提取方法及检测方法
CN107786529B (zh) 网站的检测方法、装置及系统
CN115150261A (zh) 告警分析的方法、装置、电子设备及存储介质
CN115051859A (zh) 情报分析方法、情报分析装置、电子设备及介质
CN110895587B (zh) 用于确定目标用户的方法和装置
CN108388556B (zh) 同类实体的挖掘方法及系统
CN111444364B (zh) 一种图像检测方法和装置
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN111444362A (zh) 恶意图片拦截方法、装置、设备和存储介质
CN110209804B (zh) 目标语料的确定方法和装置、存储介质及电子装置
CN113746790B (zh) 一种异常流量管理方法、电子设备及存储介质
CN116822491A (zh) 日志解析方法及装置、设备、存储介质
CN114124484A (zh) 网络攻击识别方法、系统、装置、终端设备以及存储介质
CN114218569A (zh) 数据分析方法、装置、设备、介质和产品
CN111695031A (zh) 基于标签的搜索方法、装置、服务器及存储介质
CN114765599A (zh) 子域名采集方法、装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination