CN115643094A - 一种威胁情报融合方法、装置、电子设备及存储介质 - Google Patents
一种威胁情报融合方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115643094A CN115643094A CN202211325303.1A CN202211325303A CN115643094A CN 115643094 A CN115643094 A CN 115643094A CN 202211325303 A CN202211325303 A CN 202211325303A CN 115643094 A CN115643094 A CN 115643094A
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- fused
- information
- intelligence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种威胁情报融合方法、装置、电子设备及存储介质,方法包括:获取情报值均为目标情报值的若干待融合威胁情报数据;将情报源置信度值大于第一阈值的待融合威胁情报数据确定为目标威胁情报数据;针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值;根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据。本申请中,若同一情报值具有多个对应的待融合威胁情报数据,利用本发明提供的方法能够从中筛选出准确度较高的并经融合处理的融合后威胁情报数据,使得后续进行威胁情报数据的使用时,可以直接根据情报值对应的融合后威胁情报数据确定如何进行使用。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种威胁情报融合方法、装置、电子设备及存储介质。
背景技术
随着网络攻击手段和渠道的多元化发展,网络安全威胁呈现多样化、复杂化的发展趋势。威胁情报数据作为基于证据的知识(即计算机可识别数据),在网络安全威胁检测、安全防御、攻击行动或威胁组织追踪溯源等方面具有十分重要的价值,并在实际应用场景中,发挥其快速、全面的响应能力,有效发现受害网络中已知或潜在的安全威胁。
在实际的应用过程中,由于各个威胁情报数据提供厂商或数据来源所提供的威胁情报数据覆盖范围有限,客户侧为了达成有效的网络安全防护,通常会使用多个来源的威胁情报数据。然而由于不同来源的威胁情报数据的生产方式和数据处理能力不同,导致威胁情报数据所涉及的属性或描述内容会有差异,甚至不同来源生产的相同情报值对应的威胁情报数据内判定结果也不一致,而判定结果是后续确定威胁情报数据使用方案的基础,若同一情报值存在多个不同的判定结果,则无法确定威胁情报数据的使用方案。
发明内容
有鉴于此,本申请提供一种威胁情报融合方法、装置、电子设备及存储介质,至少部分解决现有技术中存在的问题。
在本申请的一个方面,提供一种威胁情报融合方法,包括:
获取情报值均为目标情报值的若干待融合威胁情报数据。所述待融合威胁情报数据包括情报值、情报判定信息。所述情报判定信息包括若干判定值,同一待处理威胁情报数据中若干判定值对应的判定类型不同,若干判定值中包括情报源置信度值。
将情报源置信度值大于第一阈值的待融合威胁情报数据确定为目标威胁情报数据。
针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值。
根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据。
在本申请的一种示例性实施例中,在所述获取情报值均为目标情报值的若干待融合威胁情报数据之前,所述方法还包括:
获取若干待处理威胁情报数据的情报值。
遍历每一情报值,在当前的情报值同时对应多个待处理威胁情报数据的情况下,将当前的情报值确定为目标情报值,并将所述目标情报值对应的待处理威胁情报数据确定为待融合威胁情报数据。
在当前的情报值仅对应一个待处理威胁情报数据的情况下,确定该待处理威胁情报数据的情报源置信度值是否大于第二阈值,若大于,则将该待融合威胁情报数据标记为第一类数据,否则,标记为第二类数据。所述第一类数据的数据重要性大于所述第二类数据的数据重要性。
在本申请的一种示例性实施例中,所述方法还包括:
将所述融合后威胁情报数据标记为第一类数据。
在本申请的一种示例性实施例中,所述待处理威胁情报数据中包括若干经过内容标准化处理的情报属性信息。同一待处理威胁情报数据中若干情报属性信息对应的属性类型不同。
在所述根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据之前,所述方法还包括:
针对每一属性类型,将每一目标威胁情报数据中与当前属性类型对应的情报属性信息进行数据融合处理,得到每一属性类型对应的融合后情报属性信息。
根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据,包括:
根据所述目标情报值、每一融合后判定值和每一融合后情报属性信息,生成融合后威胁情报数据。
在本申请的一种示例性实施例中,在所述获取情报值均为目标情报值的若干待融合威胁情报数据之前,所述方法还包括:
获取若干原始威胁情报数据。
对每一原始威胁情报数据进行格式标准化处理,得到若干中间威胁情报数据。
对每一中间威胁情报数据进行内容标准化处理,得到若干待处理威胁情报数据。
其中,若干待处理威胁情报数据中包含所述待融合威胁情报数据。
在本申请的一种示例性实施例中,所述格式标准化处理包括:
确定当前的原始威胁情报数据的数据类型。
根据所述数据类型,获取当前的原始威胁情报数据对应的数据模板。
将当前的原始威胁情报数据中的数据填入所述数据模板,得到所述中间威胁情报数据。
在本申请的一种示例性实施例中,所述中间威胁情报数据中包括若干情报属性信息。
所述内容标准化处理,包括:
通过预设的标准属性信息映射表,将当前的中间威胁情报数据中每一情报属性信息替换为所述标准属性信息映射表中对应的标准属性信息,以得到所述待处理威胁情报数据。
在本申请的另一方面,提供一种威胁情报融合装置,包括:
获取模块,用于获取情报值均为目标情报值的若干待融合威胁情报数据。所述待融合威胁情报数据包括情报值、情报判定信息。所述情报判定信息包括若干判定值,同一待处理威胁情报数据中若干判定值对应的判定类型不同,若干判定值中包括情报源置信度值。
选取模块,用于将情报源置信度值大于第一阈值的待融合威胁情报数据确定为目标威胁情报数据。
融合模块,用于针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值。
生成模块,用于根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据。
在本申请的另一方面,提供一种电子设备,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行上述任一项所述方法的步骤。
在本申请的另一方面,提供一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行上述任一项所述方法的步骤。
本申请提供的威胁情报融合方法,在获取到情报值相同的若干待融合威胁情报数据后,会通过第一阈值,将其中对应情报源置信度值较高的待融合威胁情报数据确定为目标威胁情报数据,以根据情报源置信度值将准确率更高的待融合威胁情报数据确定出来并进行后续的融合处理,以避免准确度低的待融合威胁情报数据参与融合处理,使得最终得到的融合后威胁情报数据的准确度被大幅度拉低的情况出现。同时,在对目标威胁情报数据进行融合时,会根据每一判定类型分别对同一判定类型对应的每一判定值进行融合,以避免出现融合错误的情况。故而,本申请中,若同一情报值具有多个对应的待融合威胁情报数据,能够从中筛选出准确度较高的并经融合处理的融合后威胁情报数据,使得后续进行威胁情报数据的使用时,可以直接根据情报值对应的融合后威胁情报数据确定如何进行使用。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种威胁情报融合方法的流程图;
图2为本申请实施例提供的一种威胁情报融合装置的结构框图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
请参考图1所示,在本申请的一个方面,提供一种威胁情报融合方法,包括以下步骤:
S100,获取情报值均为目标情报值的若干待融合威胁情报数据。
其中,所述待融合威胁情报数据包括情报值、情报判定信息。情报值指情报本身数据,例如一个网址信息或一个文件的哈希值等。情报判定信息则为对情报值进行处理和分析得出的分析后结果信息。所述情报判定信息包括若干判定值,同一待处理威胁情报数据中若干判定值对应的判定类型不同,若干判定值中包括情报源置信度值。判定类型可以包括情报源置信度、情报置信度、判定结果、情报有效性、更新时间等。例如,情报源置信度值对应的判定类型即为情报源置信度。
S200,将情报源置信度值大于第一阈值的待融合威胁情报数据确定为目标威胁情报数据。
其中,第一阈值可以通过工作人员直接设置,也可以对所有情报源根据情报源执行度从高到低排列,并选取排序为前20%的情报源中最后一个作为第一阈值。
S300,针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值。
S400,根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据。
本申请提供的威胁情报融合方法,在获取到情报值相同的若干待融合威胁情报数据后,会通过第一阈值,将其中对应情报源置信度值较高的待融合威胁情报数据确定为目标威胁情报数据,以根据情报源置信度值将准确率更高的待融合威胁情报数据确定出来并进行后续的融合处理,以避免准确度低的待融合威胁情报数据参与融合处理,使得最终得到的融合后威胁情报数据的准确度被大幅度拉低的情况出现。同时,在对目标威胁情报数据进行融合时,会根据每一判定类型分别对同一判定类型对应的每一判定值进行融合,以避免出现融合错误的情况。故而,本申请中,若同一情报值具有多个对应的待融合威胁情报数据,能够从中筛选出准确度较高的并经融合处理的融合后威胁情报数据,使得后续进行威胁情报数据的使用时,可以直接根据情报值对应的融合后威胁情报数据确定如何进行使用。
在本申请的一种示例性实施例中,针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值,具体包括:
若当前的判定类型为情报源置信度,则通过以下公式进行数据融合处理:
A=q1×A1+q2×A2+...+qi×Ai+…+qn×An。
其中,A为融合后情报源置信度值,qi为第i个目标威胁情报数据对应的情报源的预设权重,Ai为第i个目标威胁情报数据中的情报源置信度值,n为目标威胁情报数据的数量。
若当前的判定类型为情报置信度,则通过以下公式进行数据融合处理:
B=z1×B1+z2×B2+…+zi×Bi+…+zn×Bn。
其中,B为融合后情报置信度值,zi为第i个目标威胁情报数据对应的情报源的预设权重,Bi为第i个目标威胁情报数据中的情报置信度值,n为目标威胁情报数据的数量。
若当前的判定类型为判定结果,则确定每一目标威胁情报数据中的判定结果值是否相同,若相同,则直接将该判定结果值作为融合后判定结果值。
否则,将情报源置信度最高的目标威胁情报数据中的判定结果值与更新时间最新的目标威胁情报数据中的判定结果值进行对比。
若相同,则选用该判定结果值作为融合后判定结果值;
若不相同,则将更新时间最新的目标威胁情报数据中的判定结果值作为融合后判定结果值。
具体的,判定结果值可以为黑、白、未知等。
若当前的判定类型为情报有效性,则确定每一目标威胁情报数据中的情报有效性值是否相同,若相同,则直接将该情报有效性值作为融合后情报有效性值。
否则,将更新时间最新的目标威胁情报数据中的情报有效性值作为融合后情报有效性值。
情报有效性值包含有效、无效两种。
若当前的判定类型为更新时间,则将当前时间确定为融合后更新时间值。
本实施例中,不同的判定类型对应的判定值的融合方法不同,以实现尽可能的提高融合后威胁情报数据的准确度。经过试验得知,经过上述方法进行融合处理得到的融合后威胁情报数据,其准确度高于常见的数据融合方法。
在本申请的一种示例性实施例中,在所述获取情报值均为目标情报值的若干待融合威胁情报数据之前,所述方法还包括:
获取若干待处理威胁情报数据的情报值。其中,每一待处理威胁情报数据都具有其对应的情报值。不同待处理威胁数据之间的情报值可以相同也可以不同。
遍历每一情报值,在当前的情报值同时对应多个待处理威胁情报数据的情况下,将当前的情报值确定为目标情报值,并将所述目标情报值对应的待处理威胁情报数据确定为待融合威胁情报数据。
在当前的情报值仅对应一个待处理威胁情报数据的情况下,确定该待处理威胁情报数据的情报源置信度值是否大于第二阈值,若大于,则将该待融合威胁情报数据标记为第一类数据,否则,标记为第二类数据。所述第一类数据的数据重要性大于所述第二类数据的数据重要性。第二阈值可以通过工作人员直接设置,也可以对所有情报源根据情报源执行度从高到低排列,并选取排序为前20%的情报源中最后一个作为第二阈值。
所述方法还包括:
将所述融合后威胁情报数据标记为第一类数据。
具体的,第一类数据是在进行情报分析或使用时需要用到的威胁情报数据,第二类数据是不会被启用的威胁情报数据。对于第二类数据,可以对其直接进行删除,可以将其存储至数据库中,待后续特定情况下被启用。
本实施例中,通过遍历每一情报值确定出目标情报值,然后将每一目标情报值对应的所有待处理威胁情报数据确定为待融合情报数据。使得在后续处理中,可以根据目标情报值,对需要进行融合的待处理情报数据进行筛选和融合。
同时,针对仅对应一个待处理威胁情报数据的情报值,会直接根据该情报值所在的待处理威胁情报中的情报源执行度值确定将其标记为第一类数据还是第二类数据,以方便后续的使用。
在本申请的一种示例性实施例中,所述待处理威胁情报数据中包括若干经过内容标准化处理的情报属性信息。同一待处理威胁情报数据中若干情报属性信息对应的属性类型不同。
其中,情报属性信息用于描述所在待处理威胁情报数据中的情报值,其属性类型可以包括:攻击组织、目标国家、目标行业、攻击技战术、攻击行动、利用漏洞、威胁类型、关联信息、活跃时间、使用装备等。以实现从不同的维度清楚的描述出情报值的属性。
在所述根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据之前,所述方法还包括:
针对每一属性类型,将每一目标威胁情报数据中与当前属性类型对应的情报属性信息进行数据融合处理,得到每一属性类型对应的融合后情报属性信息。
相应的,根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据,包括:
根据所述目标情报值、每一融合后判定值和每一融合后情报属性信息,生成融合后威胁情报数据。
不同的情报源之间,对同一情报值的同一属性类型得出的情报属性信息可能是不同的,故而,本申请中,在将每一目标威胁情报数据中与当前属性类型对应的情报属性信息进行数据融合处理,得到每一属性类型对应的融合后情报属性信息时,使用的融合方法为去重融合。即融合后情报属性信息可以包括多个融合前的情报属性信息,且相互之间不同。使得融合后情报属性信息尽可能准确。
在本申请的一种示例性实施例中,在所述获取情报值均为目标情报值的若干待融合威胁情报数据之前,所述方法还包括:
获取若干原始威胁情报数据。原始威胁情报数据为各个情报源发送的威胁情报数据。
对每一原始威胁情报数据进行格式标准化处理,得到若干中间威胁情报数据。中间威胁情报数据之间,同一数据类型对应的中间威胁情报数据的字段数量相同。其中,字段可以对应前述的判别类型和属性类型等,用于存储相应的内容。
对每一中间威胁情报数据进行内容标准化处理,得到若干待处理威胁情报数据。
其中,若干待处理威胁情报数据中包含所述待融合威胁情报数据。
由于不同来源的威胁情报数据生产方式和能力不同,导致威胁情报数据的格式不统一,威胁情报所涉及的属性或描述内容会有差异。例如,A情报源的对情报值1的威胁情报数据中,仅存在情报值字段、情报源置信度字段、情报有效性字段和攻击组织,共4个字段。而B情报源的对情报值1的威胁情报数据中,存在情报值字段、情报源置信度字段、情报有效性字段、更新时间字段、所属国际字段和攻击组织等6个以上字段。这样,两个情报源即使提供的字段都是对应情报值1的,但是由于字段数量和字段排列方式等不同,无法直接进行后续的融合处理。故而,本实施例中,会对每一原始威胁情报数据进行格式标准化处理,得到若干字段数量相同且排列方式相同的中间威胁情报数据。
同时,不同情报来源打出的情报属性信息可能存在差异,如下载器、下载者木马、下载者、downloader这些情报属性信息,尽管看似内容不同,但其实表述的是同一内容。故而本实施例中,会将每一中间威胁情报数据中的每一字段中的内容都进行标准化处理,使得相同的内容在不同的待处理威胁情报数据中的表述方法保持一致。
在本申请的一种示例性实施例中,所述格式标准化处理包括:
确定当前的原始威胁情报数据的数据类型。
根据所述数据类型,获取当前的原始威胁情报数据对应的数据模板。
将当前的原始威胁情报数据中的数据填入所述数据模板,得到所述中间威胁情报数据。
具体的,数据类型包括文件类、网络类和其他类。可以通过下方的分类表1,确定每一原始威胁情报数据的数据类型。
分类表1
在对历史上每一情报源在每一数据类型的威胁情报数据中的字段进行统计和整理,得到每一数据类型对应的全量字段模型,如此,得到每一数据类型对应的数据模板。
使得,可以通过原始威胁情报数据的数据类型确定其对应的数据模板,并将其每一字段中的内容对应填到数据模板中,从而得到中间威胁情报数据。需要说明的是,由于数据模板是对应的全量字段,而原始威胁情报数据可能仅存在少数字段,故而,中间威胁情报数据内的部分字段允许是空值。
在本申请的一种示例性实施例中,所述中间威胁情报数据中包括若干情报属性信息。
所述内容标准化处理,包括:
通过预设的标准属性信息映射表,将当前的中间威胁情报数据中每一情报属性信息替换为所述标准属性信息映射表中对应的标准属性信息,以得到所述待处理威胁情报数据。
具体的,标准属性信息映射表可以是预先设置的,使用时,将同一含义的不同情报属性信息映射为同一标准属性信息,以降低不同情报源的威胁情报数据之间的差异性,以方便后续进行融合处理。
进一步的,若当前的情报属性信息不存在于标准属性信息映射表,则可以先将当前的情报属性信息与标准属性信息映射表中的每一标准属性信息进行字符串相似度比对,确定出相似度大于第三阈值的标准属性信息作为目标标准属性信息。
根据目标标准属性信息对应的相似度从大到小的顺序,依次确定当前的目标标准属性信息是否为与当前的情报属性信息表述同一含义。具体方法为:
获取当前的目标标准属性信息对应的所有映射前属性信息。
获取当前的情报属性信息(即不存在与标准属性信息映射表中的情报属性信息)与当前的目标标准属性信息对应的所有映射前属性信息之间的字符串相似度。若均大于第四阈值,则将当前的情报属性信息添加至标准属性信息映射表中作为当前的目标标准属性信息的映射前属性信息,以更新标准属性信息映射表,并确定出当前的情报属性信息的标准属性信息。
否则,选取下一目标标准属性信息进行处理。
如此,即使有不存在于标准属性信息映射表中的情报属性信息,也能顺利对其进行内容标准化处理。
请参考图2所示,在本申请的另一方面,提供一种威胁情报融合装置,包括:
获取模块,用于获取情报值均为目标情报值的若干待融合威胁情报数据。所述待融合威胁情报数据包括情报值、情报判定信息。所述情报判定信息包括若干判定值,同一待处理威胁情报数据中若干判定值对应的判定类型不同,若干判定值中包括情报源置信度值。
选取模块,用于将情报源置信度值大于第一阈值的待融合威胁情报数据确定为目标威胁情报数据。
融合模块,用于针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值。
生成模块,用于根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本申请的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本申请的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本申请各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本申请示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种威胁情报融合方法,其特征在于,包括:
获取情报值均为目标情报值的若干待融合威胁情报数据;所述待融合威胁情报数据包括情报值、情报判定信息;所述情报判定信息包括若干判定值,同一待处理威胁情报数据中若干判定值对应的判定类型不同,若干判定值中包括情报源置信度值;
将情报源置信度值大于第一阈值的待融合威胁情报数据确定为目标威胁情报数据;
针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值;
根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据。
2.根据权利要求1所述的威胁情报融合方法,其特征在于,在所述获取情报值均为目标情报值的若干待融合威胁情报数据之前,所述方法还包括:
获取若干待处理威胁情报数据的情报值;
遍历每一情报值,在当前的情报值同时对应多个待处理威胁情报数据的情况下,将当前的情报值确定为目标情报值,并将所述目标情报值对应的待处理威胁情报数据确定为待融合威胁情报数据;
在当前的情报值仅对应一个待处理威胁情报数据的情况下,确定该待处理威胁情报数据的情报源置信度值是否大于第二阈值,若大于,则将该待融合威胁情报数据标记为第一类数据,否则,标记为第二类数据;所述第一类数据的数据重要性大于所述第二类数据的数据重要性。
3.根据权利要求2所述的威胁情报融合方法,其特征在于,所述方法还包括:
将所述融合后威胁情报数据标记为第一类数据。
4.根据权利要求2所述的威胁情报融合方法,其特征在于,所述待处理威胁情报数据中包括若干经过内容标准化处理的情报属性信息;同一待处理威胁情报数据中若干情报属性信息对应的属性类型不同;
在所述根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据之前,所述方法还包括:
针对每一属性类型,将每一目标威胁情报数据中与当前属性类型对应的情报属性信息进行数据融合处理,得到每一属性类型对应的融合后情报属性信息;
根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据,包括:
根据所述目标情报值、每一融合后判定值和每一融合后情报属性信息,生成融合后威胁情报数据。
5.根据权利要求1所述的威胁情报融合方法,其特征在于,在所述获取情报值均为目标情报值的若干待融合威胁情报数据之前,所述方法还包括:
获取若干原始威胁情报数据;
对每一原始威胁情报数据进行格式标准化处理,得到若干中间威胁情报数据;
对每一中间威胁情报数据进行内容标准化处理,得到若干待处理威胁情报数据;
其中,若干待处理威胁情报数据中包含所述待融合威胁情报数据。
6.根据权利要求5所述的威胁情报融合方法,其特征在于,所述格式标准化处理包括:
确定当前的原始威胁情报数据的数据类型;
根据所述数据类型,获取当前的原始威胁情报数据对应的数据模板;
将当前的原始威胁情报数据中的数据填入所述数据模板,得到所述中间威胁情报数据。
7.根据权利要求5所述的威胁情报融合方法,其特征在于,所述中间威胁情报数据中包括若干情报属性信息;
所述内容标准化处理,包括:
通过预设的标准属性信息映射表,将当前的中间威胁情报数据中每一情报属性信息替换为所述标准属性信息映射表中对应的标准属性信息,以得到所述待处理威胁情报数据。
8.一种威胁情报融合装置,其特征在于,包括:
获取模块,用于获取情报值均为目标情报值的若干待融合威胁情报数据;所述待融合威胁情报数据包括情报值、情报判定信息;所述情报判定信息包括若干判定值,同一待处理威胁情报数据中若干判定值对应的判定类型不同,若干判定值中包括情报源置信度值;
选取模块,用于将情报源置信度值大于第一阈值的待融合威胁情报数据确定为目标威胁情报数据;
融合模块,用于针对每一判定类型,将每一目标威胁情报数据中与当前判定类型对应的判定值进行数据融合处理,以得到每一判定类型对应的融合后判定值;
生成模块,用于根据所述目标情报值和每一融合后判定值,生成融合后威胁情报数据。
9.一种电子设备,其特征在于,包括处理器和存储器;
所述处理器通过调用所述存储器存储的程序或指令,用于执行如权利要求1至7任一项所述方法的步骤。
10.一种非瞬时性计算机可读存储介质,其特征在于,所述非瞬时性计算机可读存储介质存储程序或指令,所述程序或指令使计算机执行如权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211325303.1A CN115643094A (zh) | 2022-10-27 | 2022-10-27 | 一种威胁情报融合方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211325303.1A CN115643094A (zh) | 2022-10-27 | 2022-10-27 | 一种威胁情报融合方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115643094A true CN115643094A (zh) | 2023-01-24 |
Family
ID=84946486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211325303.1A Pending CN115643094A (zh) | 2022-10-27 | 2022-10-27 | 一种威胁情报融合方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115643094A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117454316A (zh) * | 2023-12-25 | 2024-01-26 | 安徽蔚来智驾科技有限公司 | 多传感器的数据融合方法、存储介质及智能设备 |
-
2022
- 2022-10-27 CN CN202211325303.1A patent/CN115643094A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117454316A (zh) * | 2023-12-25 | 2024-01-26 | 安徽蔚来智驾科技有限公司 | 多传感器的数据融合方法、存储介质及智能设备 |
| CN117454316B (zh) * | 2023-12-25 | 2024-04-26 | 安徽蔚来智驾科技有限公司 | 多传感器的数据融合方法、存储介质及智能设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110674360B (zh) | 一种用于数据的溯源方法和系统 | |
| US20230177527A1 (en) | Block chain system, and biological product monitoring method and device | |
| CN109947431A (zh) | 一种代码生成方法、装置、设备及存储介质 | |
| US11934287B2 (en) | Method, electronic device and computer program product for processing data | |
| CN112612887A (zh) | 日志处理方法、装置、设备和存储介质 | |
| CN110688111A (zh) | 业务流程的配置方法、装置、服务器和存储介质 | |
| US10853130B1 (en) | Load balancing and conflict processing in workflow with task dependencies | |
| CN115643094A (zh) | 一种威胁情报融合方法、装置、电子设备及存储介质 | |
| CN115034596A (zh) | 一种风险传导预测方法、装置、设备和介质 | |
| CN111383768B (zh) | 医疗数据回归分析方法、装置、电子设备及计算机可读介质 | |
| CN110990346A (zh) | 基于区块链的文件数据处理方法、装置、设备及存储介质 | |
| US11449408B2 (en) | Method, device, and computer program product for obtaining diagnostic information | |
| CN111046393B (zh) | 漏洞信息上传方法、装置、终端设备及存储介质 | |
| CN111582649B (zh) | 基于用户app独热编码的风险评估方法、装置和电子设备 | |
| US11502822B2 (en) | Static analysis of smart contract determinism | |
| CN110716804A (zh) | 无用资源的自动删除方法、装置、存储介质及电子设备 | |
| US11442650B2 (en) | Generating predicted usage of storage capacity | |
| CN114357449A (zh) | 异常进程检测方法及装置、电子设备和存储介质 | |
| CN113656391A (zh) | 数据检测方法及装置、存储介质及电子设备 | |
| CN112579673A (zh) | 一种多源数据处理方法及装置 | |
| CN117951466B (zh) | 数据治理方法、装置、介质和电子设备 | |
| CN115174224B (zh) | 一种适用于工业控制网络的信息安全监测方法和装置 | |
| CN114238976B (zh) | 文件的检测方法、装置、可读介质和电子设备 | |
| CN116302043B (zh) | 代码维护问题检测方法、装置、电子设备及可读存储介质 | |
| CN117033318B (zh) | 一种待测数据的生成方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |