CN117093951A - 一种威胁情报合并方法、装置、电子设备及存储介质 - Google Patents
一种威胁情报合并方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117093951A CN117093951A CN202311333515.9A CN202311333515A CN117093951A CN 117093951 A CN117093951 A CN 117093951A CN 202311333515 A CN202311333515 A CN 202311333515A CN 117093951 A CN117093951 A CN 117093951A
- Authority
- CN
- China
- Prior art keywords
- information
- threat
- attribute
- value
- beacon
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012795 verification Methods 0.000 claims description 27
- 238000005065 mining Methods 0.000 claims description 17
- 239000002356 single layer Substances 0.000 claims description 13
- 238000004422 calculation algorithm Methods 0.000 claims description 9
- 238000000605 extraction Methods 0.000 claims description 7
- 238000009412 basement excavation Methods 0.000 claims description 2
- 238000010200 validation analysis Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 abstract description 11
- 230000008569 process Effects 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 8
- 230000006399 behavior Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000005259 measurement Methods 0.000 description 5
- 239000000523 sample Substances 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 238000005336 cracking Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000004451 qualitative analysis Methods 0.000 description 2
- 238000011002 quantification Methods 0.000 description 2
- 238000004445 quantitative analysis Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 239000013589 supplement Substances 0.000 description 2
- 230000001502 supplementing effect Effects 0.000 description 2
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 description 1
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000017525 heat dissipation Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/25—Fusion techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
Abstract
本申请的实施例公开了一种威胁情报合并方法、装置、电子设备及存储介质,涉及网络安全技术领域,能够有效提高多来源情报合并处理效率。所述方法包括:获取威胁情报,提取所述威胁情报的属性;基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;将所述威胁情报的质量信标值与预设阈值进行比较;对所述质量信标值超过所述预设阈值的威胁情报进行合并。本发明适用于对情报信息分析处理的场景。
Description
技术领域
本申请涉及网络安全技术领域,具体涉及一种威胁情报合并方法、装置、电子设备及存储介质。
背景技术
当前互联网空间中的网络攻击形势日益严峻,层出不穷的网络攻击手段对安全分析工作形成巨大考验,因此对情报(基于证据描述威胁的知识)的收集整理等相关工作就显得尤为重要,在上述工作过程中难免出现同一情报具有多个来源的数据信息,该情形下往往由分析人员通过人工评判的方式进行多来源情报信息合并处理,不仅要消耗大量人力成本,还无法保证时效性。
发明内容
为了解决现有的对多来源情报合并处理效率低的问题,本申请提供一种威胁情报合并方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供一种威胁情报合并方法,包括:
获取威胁情报,提取所述威胁情报的属性;
基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;
将所述威胁情报的质量信标值与预设阈值进行比较;
对所述质量信标值超过所述预设阈值的威胁情报进行合并。
在一种具体的实施方案中,所述获取威胁情报,提取所述威胁情报的属性之前,所述方法还包括:基于已验证情报,确定关联规则,所述关联规则用于分析所述威胁情报的属性。
在一种具体的实施方案中,所述基于已验证情报,确定关联规则,包括:
选取部分已验证情报,构建挖掘数据集;
选取另一部分已验证情报,构建验证数据集;
根据所述挖掘数据集中已验证情报的属性,通过关联算法,确定关联规则;
利用所述验证数据集,对所述关联规则进行验证。
在一种具体的实施方案中,所述选取另一部分已验证情报,构建验证数据集,包括:选取另一部分已验证情报,并加入混淆情报,构建验证数据集。
在一种具体的实施方案中,所述基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值,包括:
将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值;
获取关于所述威胁情报的外源信息;
根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值。
在一种具体的实施方案中,所述根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值,包括:
将获取到的所述外源信息的属性,与所述威胁情报的属性进行对比,确定相同属性;
根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值;
基于所述第一信标值、第二信标值,确定所述威胁情报的质量信标值。
在一种具体的实施方案中,所述根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值,还包括:
若所述外源信息的获取结果为空,将所述威胁情报标记为独家情报;
基于所述第一信标值,确定所述威胁情报的质量信标值。
在一种具体的实施方案中,所述根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值,包括:
若获取到的关于所述威胁情报的外源信息有多个,根据多个所述外源信息各自的所述相同属性以及所述更新时间,确定多个所述外源信息各自的备选第二信标值;
根据所述备选第二信标值中的最高值,确定所述威胁情报的第二信标值。
在一种具体的实施方案中,所述将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值,包括:
若所述威胁情报的属性与所述关联规则完全匹配,根据所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值;
若所述威胁情报的属性与所述关联规则部分匹配,根据所述威胁情报的属性与所匹配的关联规则的匹配度,以及所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值。
在一种具体的实施方案中,所述对所述质量信标值超过所述预设阈值的威胁情报进行合并,包括:
若所述威胁情报的质量信标值超过预设阈值,对比所述威胁情报的属性与预设情报库中的属性,将所述威胁情报的相异属性合并入预设情报库。
在一种具体的实施方案中,所述预设阈值包含第一阈值、第二阈值,所述第一阈值用于若所述外源信息的获取结果为空,利用所述第一阈值与所述威胁情报的质量信标值进行比较;所述第二阈值用于若所述外源信息的获取结果存在,利用所述第二阈值与所述威胁情报的质量信标值进行比较。
在一种具体的实施方案中,所述将所述威胁情报的相异属性合并入预设情报库,包括:
若所述相异属性具有隶属的层级关系,将最低层级的相异属性合并入预设情报库;
若所述相异属性为单层级,将该单层级相异属性合并入预设情报库。
第二方面,本发明的实施例还提供一种情报合并装置,所述情报合并装置,包括:
属性提取单元,用于获取威胁情报,提取所述威胁情报的属性;
确定质量信标值单元,用于基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;
预设阈值比较单元,用于将所述威胁情报的质量信标值与预设阈值进行比较;
威胁情报合并单元,用于对所述质量信标值超过所述预设阈值的威胁情报进行合并。
在一种具体的实施方案中,所述情报合并装置还包括关联规则确定单元,用于在所述获取威胁情报,提取所述威胁情报的属性之前,基于已验证情报,确定关联规则,所述关联规则用于分析所述威胁情报的属性。
在一种具体的实施方案中,所述关联规则确定单元包括:
挖掘数据集模块,用于选取部分已验证情报,构建挖掘数据集;
验证数据集模块,用于选取另一部分已验证情报,构建验证数据集;
关联算法模块,用于根据所述挖掘数据集中已验证情报的属性,通过关联算法,确定关联规则;
验证模块,用于利用所述验证数据集,对所述关联规则进行验证。
在一种具体的实施方案中,所述验证数据集模块具体用于:选取另一部分已验证情报,并加入混淆情报,构建验证数据集。
在一种具体的实施方案中,所述确定质量信标值单元包括:
确定第一信标值模块,用于将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值;
获取外源信息模块,用于获取关于所述威胁情报的外源信息;
确定质量信标值模块,用于根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值。
在一种具体的实施方案中,所述确定质量信标值模块包括:
确定相同属性子块,用于将获取到的所述外源信息的属性,与所述威胁情报的属性进行对比,确定相同属性;
确定第二信标值子块,用于根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值;
多源质量信标值子块,用于基于所述第一信标值、第二信标值,确定所述威胁情报的质量信标值。
在一种具体的实施方案中,所述确定质量信标值模块还包括:
单源质量信标值子块,用于若所述外源信息的获取结果为空,将所述威胁情报标记为独家情报;基于所述第一信标值,确定所述威胁情报的质量信标值。
在一种具体的实施方案中,所述确定第二信标值子块具体用于:
若获取到的关于所述威胁情报的外源信息有多个,根据多个所述外源信息各自的所述相同属性以及所述更新时间,确定多个所述外源信息各自的备选第二信标值;
根据所述备选第二信标值中的最高值,确定所述威胁情报的第二信标值。
在一种具体的实施方案中,所述确定第一信标值模块,包括:
全部属性匹配子块,用于若所述威胁情报的属性与所述关联规则完全匹配,根据所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值;
部分属性匹配子块,用于若所述威胁情报的属性与所述关联规则部分匹配,根据所述威胁情报的属性与所匹配的关联规则的匹配度,以及所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值。
在一种具体的实施方案中,所述威胁情报合并单元具体用于:
若所述威胁情报的质量信标值超过预设阈值,对比所述威胁情报的属性与预设情报库中的属性,将所述威胁情报的相异属性合并入预设情报库。
在一种具体的实施方案中,所述情报合并装置的预设阈值包含第一阈值、第二阈值,所述第一阈值用于若所述外源信息的获取结果为空,利用所述第一阈值与所述威胁情报的质量信标值进行比较;所述第二阈值用于若所述外源信息的获取结果存在,利用所述第二阈值与所述威胁情报的质量信标值进行比较。
在一种具体的实施方案中,所述将所述威胁情报的相异属性合并入预设情报库,具体包括:
若所述相异属性具有隶属的层级关系,将最低层级的相异属性合并入预设情报库;
若所述相异属性为单层级,将该单层级相异属性合并入预设情报库。
第三方面,本发明的实施例还提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行本发明的实施例提供的任一种威胁情报合并方法。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现本发明的实施例提供的任一种威胁情报合并方法。
本发明的实施例提供的威胁情报合并方法、装置、电子设备及存储介质,通过获取威胁情报,并提取所述威胁情报的属性;然后基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;在此基础上,将所述威胁情报的质量信标值与预设阈值进行比较;根据比较结果,对所述质量信标值超过所述预设阈值的威胁情报进行合并。该方案利用预设的关联规则以及提取的属性对威胁情报实现定性化分析,并以质量信标值对威胁情报实现定量化分析,通过预设阈值实现对威胁情报的威胁程度的度量化,将质量信标值超过预设阈值的威胁情报进行合并,从而提高多来源情报合并处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请的一种威胁情报合并方法流程图;
图2为本申请实施例提供的一种构建关联规则的方法流程图;
图3为本申请实施例提供的一种质量信标值确定方法流程图;
图4为本申请实施例提供的一种情报属性FP树示意图;
图5为本申请实施例提供的一种确定质量信标值流程示意图;
图6为本申请实施例提供的一种威胁情报合并方法示意图;
图7为本申请实施例提供的情报合并装置的一种结构示意图;
图8为本申请实施例提供的关联规则确定单元的一种结构示意图;
图9为本申请实施例提供的确定质量信标值单元的一种结构示意图;
图10为本申请实施例提供的电子设备的一种结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,如图1所示,本发明的实施例提供一种威胁情报合并方法,该方法可以包括:
S11、获取威胁情报,提取所述威胁情报的属性。
本步骤中,威胁情报可以是基于证据描述威胁的知识,可通过接入多来源情报探针组件,情报探针组件是可以产出威胁情报的系统与设备,在获取情报探针组件生成的威胁情报后,提取所述威胁情报的属性,所述属性可以是表征威胁情报的威胁特征,通过威胁情报的属性,对该威胁情报进行进一步分析。
S12、基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值。
本步骤中,可利用预先构建的关联规则,对S11中提取的威胁情报的属性进行分析,所述关联规则可以是对威胁情报的属性的关联分析方法,通过关联规则实现对威胁情报的属性的确定性分析,得到威胁情报的质量信标值。
S13、将所述威胁情报的质量信标值与预设阈值进行比较。
本步骤中,通过关联规则确定威胁情报的质量信标值后,需对该质量信标值根据情况进行判断,因此通过预设阈值来进行比对分析,该预设阈值可基于不同的安全度考量来设定,以获取满足需求的筛选、合并结果。
S14、对所述质量信标值超过所述预设阈值的威胁情报进行合并。
本步骤中,将质量信标值超过所述预设阈值的威胁情报进行合并,过滤低价值威胁情报数据,避免了处理无效数据造成的性能损耗,同时能够及时高效更新威胁情报数据。
本发明的实施例提供的威胁情报合并方法,通过获取威胁情报,并提取所述威胁情报的属性;然后基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;在此基础上,将所述威胁情报的质量信标值与预设阈值进行比较;根据比较结果,对所述质量信标值超过所述预设阈值的威胁情报进行合并。该方案利用预设的关联规则以及提取的属性对威胁情报实现定性化分析,并以质量信标值对威胁情报实现定量化分析,通过预设阈值实现对威胁情报的威胁程度的度量化,将质量信标值超过预设阈值的威胁情报进行合并,从而提高多来源情报合并处理效率。
可选的,在本发明的一个实施例中,所述获取威胁情报,提取所述威胁情报的属性之前,所述方法还包括:基于已验证情报,确定关联规则,所述关联规则用于分析所述威胁情报的属性。
本例中,利用已验证情报,提取已验证情报的属性,来构建关联规则,例如,可通过获取准确度较高、全面性较强的已验证情报,或接入多个来源的威胁情报探针组件从而获取海量时效性较高的已验证情报,或接入一些知名厂商提供的威胁情报库用于补充验证前两来源的已验证情报。
可选的,如图2所示,在本发明的一个实施例中,所述基于已验证情报,确定关联规则,包括:
S21、选取部分已验证情报,构建挖掘数据集;
S22、选取另一部分已验证情报,构建验证数据集;
S23、根据所述挖掘数据集中已验证情报的属性,通过关联算法,确定关联规则;
S24、利用所述验证数据集,对所述关联规则进行验证。
本例中,可通过将高价值的已验证情报分为两部分,取其中一部分构建关联规则的挖掘数据集,另一部分构建关联规则的验证数据集。基于规则提取的关联算法,对挖掘数据集中已验证情报的属性进行关联规则挖掘,确定关联规则,通过验证数据集对该关联规则进行验证,以证明所确定的关联规则的有效性。
为便于解释对关联规则的构建方法,本例具体以如下FP-growth算法为例进行说明。
步骤a:统计挖掘数据集中情报属性的出现次数,设置最小支持度与最小置信度,过滤情报属性中的非频繁项。
步骤b:根据情报属性(如攻击意图、攻击手法等)频繁项构建FP树。
步骤c:从FP树中获取条件模式基,过滤条件模式基中不满足最小支持度的项后,通过条件模式基构建条件FP树。
步骤d:重复c步骤直至构建出条件FP树,提取频繁项集,如根据图4在设置最小支持度具体为2/k时,其中k为挖掘数据集情报数量,可提取出情报属性“鱼叉式钓鱼”的频繁项集为:{鱼叉式钓鱼,窃取敏感数据},{鱼叉式钓鱼,社会工程学},{鱼叉式钓鱼,社会工程学,窃取敏感数据}。
步骤e:根据频繁项集提取规则,例如根据步骤d中频繁项集可提取规则:[鱼叉式钓鱼-->窃取敏感数据]、[窃取敏感数据-->鱼叉式钓]、[鱼叉式钓鱼-->社会工程学]、[社会工程-->鱼叉式钓鱼]、[鱼叉式钓鱼,社会工程学--->窃取敏感数据]、[鱼叉式钓鱼,窃取敏感数据--->社会工程学]、[窃取敏感数据,社会工程学--->鱼叉式钓鱼]、[鱼叉式钓鱼--->窃取敏感数据、社会工程学:]、[社会工程学--->鱼叉式钓鱼,窃取敏感数据]、[窃取敏感数据-->鱼叉式钓鱼,社会工程学]。
步骤f:结合挖掘数据集中原始数据计算关联规则的支持度(某一情报属性的出现频率)与置信度(某一情报属性出现时另一情报属性同时出现的频率),进而可通过设置最小支持度与最小置信度筛选出强关联规则。
步骤g:对所有关联规则进行筛选,将较少情报属性作为前件或后件的关联规则选取入库。
步骤h:对提取的关联规则用验证数据集来验证有效性,如无法明显区分出验证数据集中的高价值情报,可通过更新最小支持度与最小置信度后重新进行上述步骤,进一步地,可通过对最小支持度与最小置信度设置更新步长,实现对关联规则挖掘、验证的自动化。
可选的,在本发明的一个实施例中,所述选取另一部分已验证情报,构建验证数据集,包括:选取另一部分已验证情报,并加入混淆情报,构建验证数据集。
本例中,为进一步确保关联规则的有效性,取另一部分随机加入的混淆数据构建规则验证数据集,混淆数据可以是选取的低价值威胁情报,也可以由所确定的关联规则来生成,根据对混淆数据的过滤效果来进一步验证关联规则的有效性。
可选的,如图3所示,在本发明的一个实施例中,所述基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值,包括:
S31、将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值;
S32、获取关于所述威胁情报的外源信息;
S33、根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值。
本例中,对提取的威胁情报的属性,利用关联规则进行匹配得到第一信标值,进一步地,为提高对威胁情报合并的有效性,引入关于所述威胁情报的外源信息,具体可通过对接知名厂商,以获取关于威胁情报的外源信息,根据对外源信息的获取结果是否存在,例如获取结果存在,亦即获取到外源信息,可进一步获取对外源信息的解析结果,或者获取结果为空,亦即没有获取到外源信息,因此,需根据对外源信息的获取结果的不同情况,结合第一信标值,来确定所述威胁情报的质量信标值。
可选的,在本发明的一个实施例中,所述根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值,包括:
将获取到的所述外源信息的属性,与所述威胁情报的属性进行对比,确定相同属性;
根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值;
基于所述第一信标值、第二信标值,确定所述威胁情报的质量信标值。
上述方案对应于对所述外源信息的获取结果存在的情况,在获取到外源信息亦即
知名厂商的威胁情报库关于本例中威胁情报的相关信息,如该威胁情报的属性、外源信息
更新时间等,通过对比本例中威胁情报的属性,以及关于该威胁情报的外源信息的属性,确
定二者共同的相同属性,进而基于相同属性以及外源信息的更新时间,确定威胁情报的第
二信标值;进一步地,基于所述第一信标值、第二信标值,确定所述威胁情报的质量信标值,
例如可通过计算式来计算威胁情报的质量信标值:,其中,为第一信
标值,为第二信标值,为第一信标值的权重,为第二信标值的权重,通过该步骤可
充分利用外源信息来提高本例中对威胁情报合并的有效性。
可选的,在本发明的一个实施例中,所述根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值,还包括:
若所述外源信息的获取结果为空,将所述威胁情报标记为独家情报;
基于所述第一信标值,确定所述威胁情报的质量信标值。
上述方案,对应于对所述外源信息的获取结果为空的情况,在该情况下,不须通过外源信息来确定第二信标值,可将本例中所获取的威胁情报标识为独家情报,并由第一信标值确定威胁情报的质量信标值。
可选的,在本发明的一个实施例中,所述根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值,包括:
若获取到的关于所述威胁情报的外源信息有多个,根据多个所述外源信息各自的所述相同属性以及所述更新时间,确定多个所述外源信息各自的备选第二信标值;
根据所述备选第二信标值中的最高值,确定所述威胁情报的第二信标值。
考虑到从外部知名厂商的威胁情报库获取到的关于本例中威胁情报的外源信息具有多个的情况下,根据多个不同的外源信息可确定多个备选第二信标值,本例中,通过选择备选第二信标值中的最高值来分析确定威胁情报的第二信标值。
可选的,在本发明的一个实施例中,所述将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值,包括:
若所述威胁情报的属性与所述关联规则完全匹配,根据所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值;
若所述威胁情报的属性与所述关联规则部分匹配,根据所述威胁情报的属性与所匹配的关联规则的匹配度,以及所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值。
本例中,在具体将威胁情报的属性与关联规则进行匹配来确定威胁情报的第一信标值时,考虑到多个属性在与关联规则建立匹配时,可能会存在完全匹配或者仅能够部分匹配的情况,因此需采取进一步的细化技术特征:
若威胁情报的属性与关联规则能够建立完全匹配,根据威胁情报的属性所匹配的
关联规则的置信度,确定第一信标值。具体地,若威胁情报的属性与关联规则能够建立完全
匹配,可通过对所匹配的关联规则的置信度求均值来得到第一信标值,计算式为:,其中为第一信标值,为关联规则置信度,为威胁情报的属性所
匹配的关联规则总数。
若威胁情报的属性与关联规则仅能建立部分匹配,将威胁情报中能够建立匹配的
属性与关联规则进行部分匹配,根据该部分属性与所匹配的关联规则的匹配度,以及该部
分属性所匹配的关联规则的置信度,确定第一信标值。具体地,当不存在完全匹配的关联规
则时,可通过多属性多规则匹配度,亦即将属性拆分后去匹配关联规则,例如,假设存在关
联规则1[窃取敏感数据-->鱼叉式钓鱼]、关联规则2[远程控制-->漏洞利用,恶意软件],上
报新威胁情报数据:攻击意图-窃取敏感数据、远程控制,攻击手法-鱼叉式钓鱼,恶意软件,
对于关联规则2,威胁情报属性中缺少后件属性漏洞利用,可见威胁情报的属性与关联规则
不能建立完全匹配,因此在拆分威胁情报属性后,得到一条完全匹配关联规则和一条不完
全匹配关联规则,在这种情形下,为充分挖掘并利用威胁情报属性与关联规则之间的关系,
可利用关联规则的匹配度、关联规则的置信度来计算第一信标值,例如可将威胁情报属性
与关联规则的匹配度作为权重,得到第一信标值的计算式为:,其中为第一信标值,为关联规则的置信度,为由关联规则的匹配度所确定的权重,为
威胁情报的属性所匹配的关联规则总数。
但进一步地,考虑到关联规则的匹配度和关联规则的置信度的评判标准不同,因
此,为得到更为准确的第一信标值,建立关联规则的信标向量,其中为
关联规则的置信度,为由关联规则的匹配度所确定的权重,以为威胁情报的属性所匹
配的关联规则总数,信标总向量,为获得更为精准
的评判精度,构建对关联规则的置信度、关联规则的匹配度的重要性的度量向量,其中为对关联规则的置信度重要性的度量,为对关联规则的匹配
度重要性的度量,因此得到第一信标值为:
由上式易知,通过引入、,对关联规则的置信度和关联规则的匹配度的重要
性实现了同标准下的精确度量,可根据具体应用例中对关联规则的置信度、关联规则的匹
配度不同的重要性度量,赋予二者不同的、取值,从而使得最终计算得到的第一信标
值更准确反映出对二者重要性度量的期望,对威胁情报的最终判断结果也更为精准。需
要指出的是,若威胁情报的属性与关联规则能够建立完全匹配时,则不需引入对关联规则
的匹配度重要性的度量,亦即,代入上式同样可得到第一信标值。
通过上述方法,可针对不同情况的关联规则匹配,获得相应可信度的第一信标值,从而进一步提高对威胁情报合并的有效性。
可选的,在本发明的一个实施例中,所述对所述质量信标值超过所述预设阈值的威胁情报进行合并,包括:
若所述威胁情报的质量信标值超过预设阈值,对比所述威胁情报的属性与预设情报库中的属性,将所述威胁情报的相异属性合并入预设情报库。
对于质量信标值超过预设阈值的威胁情报,通过合并该威胁情报的相异属性,可扩充本地的预设情报库,可根据合并的威胁情报的相异属性,进一步优化、完善预设情报库以及关联规则。对于质量信标值未超过预设阈值的威胁情报,可转入待确认情报库,结合实际情况对该部分威胁情报进行处理,例如转入人工处理流程或重设预设阈值进行再次合并流程。
可选的,在本发明的一个实施例中,所述预设阈值包含第一阈值、第二阈值,所述第一阈值用于若所述外源信息的获取结果为空,利用所述第一阈值与所述威胁情报的质量信标值进行比较;所述第二阈值用于若所述外源信息的获取结果存在,利用所述第二阈值与所述威胁情报的质量信标值进行比较。
如上所述,关于威胁信息的外源信息的获取结果存在不同情况,对不同情况下得到的质量信标值的判断标准也应实际区分,因此,本例对预设阈值具体细化为第一阈值、第二阈值,第一阈值用于外源信息的获取结果为空的情况下的分析比较,第二阈值用于外源信息的获取结果存在的情况下的分析比较,从而进一步保障本例对威胁信息合并的有效性。
可选的,在本发明的一个实施例中,所述将所述威胁情报的相异属性合并入预设情报库,包括:
若所述相异属性具有隶属的层级关系,将最低层级的相异属性合并入预设情报库;
若所述相异属性为单层级,将该单层级相异属性合并入预设情报库。
由于威胁情报的属性可能会存在层级关系,例如多层级或单层级关系,将威胁情报的属性与预设情报库中属性对比后,对多层级关系的属性实现“子级覆盖父级,同级合并补充”,例如,假设内部预设情报库存在具有层级关系的威胁行为属性数据:一级行为:网络行为;二级行为:IP存活性探测、端口扫描;预设情报库已有威胁情报行为属性为“IP存活性探测”,在这种情况下,如果新上报威胁情报1具有威胁行为属性为“网络行为”,新上报威胁情报2具有威胁行为属性为“端口扫描”,新上报威胁情报3具有威胁行为属性为“密码破解”,且上述新上报威胁情报的质量信标值都超过预设阈值需进行合并,通过对比预设情报库后合并后新上报威胁情报的上述相异属性“IP存活性探测、端口扫描、密码破解”。
对单层级关系中的相异属性的补全合并,若威胁情报的属性为单级结构则直接合并补充,例如已存在威胁情报的攻击意图属性为“远程控制”,该属性为单层级,新上报威胁情报的攻击意图属性为“勒索”,且该属性也为单层级,且该新上报威胁情报的质量信标值超过预设阈值需进行合并,则进行合并后新情报攻击意图为“远程控制、勒索”,通过上述方法,可提升合并后的预设情报库的完善性和丰富性。
本方法在具体应用过程中,对于质量信标值的详细确定过程,请参阅图5,开始对质量信标值的确定流程后:
S101、提取新上报威胁情报的属性。
S102、根据威胁情报的属性获取已提取的关联规则。
S103、分析判断所提取的威胁情报的属性和关联规则之间是否完全匹配,如果是,则执行S104,如果否,则执行S105。
S104、在威胁情报的属性和关联规则完全匹配的情况下,第一信标值的计算方法为多属性完全匹配的关联规则的置信度平均值,得到第一信标值后执行S106。
S105、在威胁情报的属性和关联规则部分匹配的情况下,第一信标值的计算方法为多属性多规则的匹配度与关联规则的置信度加权求和平均值,得到第一信标值后执行S106。
S106、如果能够获取外部情报库的支持,可请求外部部分知名厂商开放情报库以获取关于新提交威胁情报的外源信息,以对本案所获取的威胁信息进行补充。
S107、对外源信息的获取结果进行判定:如果外源信息的获取结果为空,执行S108,如果外源信息的获取结果存在,则执行S109。
S108、该种情形表明本例获取的威胁情报为独家情报,因此可标识威胁情报为独家情报,并返回质量信标值,结束对质量信标值的确定过程。
S109、对于外部信源,提取多个获取结果中威胁情报的属性、更新时间等数据,以利用该类数据进一步分析。
S110、通过对比外源信息的多个获取结果中与威胁情报的相同属性以及属性权重,并为外源信息更新时间设置权重,计算出多个外源信息对于本条威胁情报的备选第二信标值。
S111、以外源信息中备选第二信标值的最高值作为第二信标值。
S112、结合关联规则计算的第一信标值以及由外源信息计算的第二信标值,按设定权重加权求和作为最终质量信标值并结束流程,从而整合利用本地关联规则以及来自知名厂商开放情报库的外源信息,获得可信度更高的质量信标值。
本方法在具体应用过程中,对于威胁情报合并的详细过程,请参阅图6:
通过关联规则挖掘模块204,构建对威胁情报的属性的关联规则,并将关联规则提交数据库209以对威胁情报合并分析时使用。
通过系统管理模块205预设阈值,以对威胁情报合并时判断比较使用,当超过预设阈值时对威胁情报进行合并。
模块201可以是通过分析人员获取情报来源,模块202可以是若干威胁情报探针组件构成的情报来源;将模块201、模块202获取的情报上报至情报属性提取模块203后,通过模块203实现对威胁情况的属性的提取,然后将提取的威胁情报的属性提交至情报质量信标值计算模块207。
情报质量信标值计算模块207获取到所提取的威胁情报的属性后,从数据库209获取相匹配的关联规则,并查询外部厂商情报库206关于该威胁情报的外源信息,结合计算得到威胁情报的质量信标值,将质量信标值与系统管理模块205的预设阈值进行对比,如果超过预设阈值则由情报合并模块208对威胁情报进行合并,将合并结果上报至数据库209,完成对威胁情报的合并。
第二方面,本发明的实施例还提供一种情报合并装置,能够提高多来源情报合并处理效率。
如图7所示,本申请实施例提供的情报合并装置可以包括:
属性提取单元11,用于获取威胁情报,提取所述威胁情报的属性;
确定质量信标值单元12,用于基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;
预设阈值比较单元13,用于将所述威胁情报的质量信标值与预设阈值进行比较;
威胁情报合并单元14,用于对所述质量信标值超过所述预设阈值的威胁情报进行合并。
可选的,所述情报合并装置还包括关联规则确定单元,用于在所述获取威胁情报,提取所述威胁情报的属性之前,基于已验证情报,确定关联规则,所述关联规则用于分析所述威胁情报的属性。
可选的,如图8所示,所述关联规则确定单元包括:
挖掘数据集模块21,用于选取部分已验证情报,构建挖掘数据集;
验证数据集模块22,用于选取另一部分已验证情报,构建验证数据集;
关联算法模块23,用于根据所述挖掘数据集中已验证情报的属性,通过关联算法,确定关联规则;
验证模块24,用于利用所述验证数据集,对所述关联规则进行验证。
可选的,所述验证数据集模块22具体用于:选取另一部分已验证情报,并加入混淆情报,构建验证数据集。
可选的,如图9所示,所述确定质量信标值单元12包括:
确定第一信标值模块31,用于将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值;
获取外源信息模块32,用于获取关于所述威胁情报的外源信息;
确定质量信标值模块33,用于根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值。
可选的,所述确定质量信标值模块33包括:
确定相同属性子块,用于将获取到的所述外源信息的属性,与所述威胁情报的属性进行对比,确定相同属性;
确定第二信标值子块,用于根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值;
多源质量信标值子块,用于基于所述第一信标值、第二信标值,确定所述威胁情报的质量信标值。
可选的,所述确定质量信标值模块33还包括:
单源质量信标值子块,用于若所述外源信息的获取结果为空,将所述威胁情报标记为独家情报;基于所述第一信标值,确定所述威胁情报的质量信标值。
可选的,所述确定第二信标值子块具体用于:
若获取到的关于所述威胁情报的外源信息有多个,根据多个所述外源信息各自的所述相同属性以及所述更新时间,确定多个所述外源信息各自的备选第二信标值;
根据所述备选第二信标值中的最高值,确定所述威胁情报的第二信标值。
可选的,所述确定第一信标值模块31,包括:
全部属性匹配子块,用于若所述威胁情报的属性与所述关联规则完全匹配,根据所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值;
部分属性匹配子块,用于若所述威胁情报的属性与所述关联规则部分匹配,根据所述威胁情报的属性与所匹配的关联规则的匹配度,以及所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值。
可选的,所述威胁情报合并单元14具体用于:
若所述威胁情报的质量信标值超过预设阈值,对比所述威胁情报的属性与预设情报库中的属性,将所述威胁情报的相异属性合并入预设情报库。
可选的,所述情报合并装置的预设阈值包含第一阈值、第二阈值,所述第一阈值用于若所述外源信息的获取结果为空,利用所述第一阈值与所述威胁情报的质量信标值进行比较;所述第二阈值用于若所述外源信息的获取结果存在,利用所述第二阈值与所述威胁情报的质量信标值进行比较。
可选的,所述将所述威胁情报的相异属性合并入预设情报库,具体包括:
若所述相异属性具有隶属的层级关系,将最低层级的相异属性合并入预设情报库;
若所述相异属性为单层级,将该单层级相异属性合并入预设情报库。
第三方面,本发明的实施例还提供一种电子设备。
如图10所示,本申请实施例提供的电子设备包括:壳体51、处理器52、存储器53、电路板54和电源电路55,其中,电路板54安置在壳体51围成的空间内部,处理器52和存储器53设置在电路板54上;电源电路55,用于为上述电子设备的各个电路或器件供电;存储器53用于存储可执行程序代码;处理器52通过读取存储器53中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行本发明的实施例提供的任一种威胁情报合并方法。
处理器52对上述步骤的具体执行过程以及处理器52通过运行可执行程序代码来进一步执行的步骤,可以参见前述实施例的描述,在此不再赘述。
上述电子设备以多种形式存在,包括但不限于:
(1) 移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通 信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2) 超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能, 一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3) 便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、 视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4) 服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5) 其他具有数据交互功能的电子设备。
第四方面,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现本发明的实施例提供的任一种威胁情报合并方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (15)
1.一种威胁情报合并方法,其特征在于,包括:
获取威胁情报,提取所述威胁情报的属性;
基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;
将所述威胁情报的质量信标值与预设阈值进行比较;
对所述质量信标值超过所述预设阈值的威胁情报进行合并。
2.如权利要求1所述的威胁情报合并方法,其特征在于,所述获取威胁情报,提取所述威胁情报的属性之前,所述方法还包括:基于已验证情报,确定关联规则,所述关联规则用于分析所述威胁情报的属性。
3.如权利要求2所述的威胁情报合并方法,其特征在于,所述基于已验证情报,确定关联规则,包括:
选取部分已验证情报,构建挖掘数据集;
选取另一部分已验证情报,构建验证数据集;
根据所述挖掘数据集中已验证情报的属性,通过关联算法,确定关联规则;
利用所述验证数据集,对所述关联规则进行验证。
4.如权利要求3所述的威胁情报合并方法,其特征在于,所述选取另一部分已验证情报,构建验证数据集,包括:选取另一部分已验证情报,并加入混淆情报,构建验证数据集。
5.如权利要求1所述的威胁情报合并方法,其特征在于,所述基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值,包括:
将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值;
获取关于所述威胁情报的外源信息;
根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值。
6.如权利要求5所述的威胁情报合并方法,其特征在于,所述根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值,包括:
将获取到的所述外源信息的属性,与所述威胁情报的属性进行对比,确定相同属性;
根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值;
基于所述第一信标值、第二信标值,确定所述威胁情报的质量信标值。
7.如权利要求6所述的威胁情报合并方法,其特征在于,所述根据所述外源信息的获取结果以及所述第一信标值,确定所述威胁情报的质量信标值,还包括:
若所述外源信息的获取结果为空,将所述威胁情报标记为独家情报;
基于所述第一信标值,确定所述威胁情报的质量信标值。
8.如权利要求6所述的威胁情报合并方法,其特征在于,所述根据所述相同属性以及所述外源信息的更新时间,确定所述威胁情报的第二信标值,包括:
若获取到的关于所述威胁情报的外源信息有多个,根据多个所述外源信息各自的所述相同属性以及所述更新时间,确定多个所述外源信息各自的备选第二信标值;
根据所述备选第二信标值中的最高值,确定所述威胁情报的第二信标值。
9.如权利要求5所述的威胁情报合并方法,其特征在于,所述将所述威胁情报的属性,与所述关联规则进行匹配,确定所述威胁情报的第一信标值,包括:
若所述威胁情报的属性与所述关联规则完全匹配,根据所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值;
若所述威胁情报的属性与所述关联规则部分匹配,根据所述威胁情报的属性与所匹配的关联规则的匹配度,以及所述威胁情报的属性所匹配的关联规则的置信度,确定第一信标值。
10.如权利要求1所述的威胁情报合并方法,其特征在于,所述对所述质量信标值超过所述预设阈值的威胁情报进行合并,包括:
若所述威胁情报的质量信标值超过预设阈值,对比所述威胁情报的属性与预设情报库中的属性,将所述威胁情报的相异属性合并入预设情报库。
11.如权利要求7所述的威胁情报合并方法,其特征在于,所述预设阈值包含第一阈值、第二阈值,所述第一阈值用于若所述外源信息的获取结果为空,利用所述第一阈值与所述威胁情报的质量信标值进行比较;所述第二阈值用于若所述外源信息的获取结果存在,利用所述第二阈值与所述威胁情报的质量信标值进行比较。
12.如权利要求10所述的威胁情报合并方法,其特征在于,所述将所述威胁情报的相异属性合并入预设情报库,包括:
若所述相异属性具有隶属的层级关系,将最低层级的相异属性合并入预设情报库;
若所述相异属性为单层级,将该单层级相异属性合并入预设情报库。
13.一种情报合并装置,其特征在于,包括:
属性提取单元,用于获取威胁情报,提取所述威胁情报的属性;
确定质量信标值单元,用于基于所述威胁情报的属性和关联规则,确定所述威胁情报的质量信标值;
预设阈值比较单元,用于将所述威胁情报的质量信标值与预设阈值进行比较;
威胁情报合并单元,用于对所述质量信标值超过所述预设阈值的威胁情报进行合并。
14.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-12中任一项所述的威胁情报合并方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-12中任一项所述的威胁情报合并方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311333515.9A CN117093951B (zh) | 2023-10-16 | 2023-10-16 | 一种威胁情报合并方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311333515.9A CN117093951B (zh) | 2023-10-16 | 2023-10-16 | 一种威胁情报合并方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117093951A true CN117093951A (zh) | 2023-11-21 |
CN117093951B CN117093951B (zh) | 2024-01-26 |
Family
ID=88771960
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311333515.9A Active CN117093951B (zh) | 2023-10-16 | 2023-10-16 | 一种威胁情报合并方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117093951B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140201836A1 (en) * | 2012-08-23 | 2014-07-17 | David B. Amsler | Automated Internet Threat Detection and Mitigation System and Associated Methods |
WO2015134008A1 (en) * | 2014-03-05 | 2015-09-11 | Foreground Security | Automated internet threat detection and mitigation system and associated methods |
CN105306475A (zh) * | 2015-11-05 | 2016-02-03 | 天津理工大学 | 一种基于关联规则分类的网络入侵检测方法 |
CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
CN111984499A (zh) * | 2020-08-04 | 2020-11-24 | 中国建设银行股份有限公司 | 一种大数据集群的故障检测方法和装置 |
CN112380274A (zh) * | 2020-11-16 | 2021-02-19 | 北京航空航天大学 | 一种面向控制过程的异常检测系统 |
CN113626480A (zh) * | 2021-08-13 | 2021-11-09 | 昆明理工大学 | 一种基于改进关联规则的直流换流站ser事件集诊断方法 |
WO2021227831A1 (zh) * | 2020-05-13 | 2021-11-18 | 杭州安恒信息技术股份有限公司 | 威胁情报的主题检测方法、装置和计算机存储介质 |
CN115544519A (zh) * | 2022-10-20 | 2022-12-30 | 深圳供电局有限公司 | 对计量自动化系统威胁情报进行安全性关联分析的方法 |
CN116226103A (zh) * | 2022-12-29 | 2023-06-06 | 浪潮云信息技术股份公司 | 一种基于FPGrowth算法进行政务数据质量检测的方法 |
-
2023
- 2023-10-16 CN CN202311333515.9A patent/CN117093951B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140201836A1 (en) * | 2012-08-23 | 2014-07-17 | David B. Amsler | Automated Internet Threat Detection and Mitigation System and Associated Methods |
WO2015134008A1 (en) * | 2014-03-05 | 2015-09-11 | Foreground Security | Automated internet threat detection and mitigation system and associated methods |
CN105306475A (zh) * | 2015-11-05 | 2016-02-03 | 天津理工大学 | 一种基于关联规则分类的网络入侵检测方法 |
CN111160749A (zh) * | 2019-12-23 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种情报质量评估和情报融合方法及装置 |
WO2021227831A1 (zh) * | 2020-05-13 | 2021-11-18 | 杭州安恒信息技术股份有限公司 | 威胁情报的主题检测方法、装置和计算机存储介质 |
CN111984499A (zh) * | 2020-08-04 | 2020-11-24 | 中国建设银行股份有限公司 | 一种大数据集群的故障检测方法和装置 |
CN112380274A (zh) * | 2020-11-16 | 2021-02-19 | 北京航空航天大学 | 一种面向控制过程的异常检测系统 |
CN113626480A (zh) * | 2021-08-13 | 2021-11-09 | 昆明理工大学 | 一种基于改进关联规则的直流换流站ser事件集诊断方法 |
CN115544519A (zh) * | 2022-10-20 | 2022-12-30 | 深圳供电局有限公司 | 对计量自动化系统威胁情报进行安全性关联分析的方法 |
CN116226103A (zh) * | 2022-12-29 | 2023-06-06 | 浪潮云信息技术股份公司 | 一种基于FPGrowth算法进行政务数据质量检测的方法 |
Non-Patent Citations (1)
Title |
---|
王英泽;乔佩利;: "一种数据挖掘技术在入侵检测系统中的应用", 科技咨询导报, no. 07 * |
Also Published As
Publication number | Publication date |
---|---|
CN117093951B (zh) | 2024-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110958220B (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
CN110956547B (zh) | 一种基于搜索引擎的实时识别欺诈团伙的方法及系统 | |
US20220279045A1 (en) | Global iterative clustering algorithm to model entities' behaviors and detect anomalies | |
CN115174250B (zh) | 网络资产安全评估方法、装置、电子设备及存储介质 | |
CN111125118B (zh) | 关联数据查询方法、装置、设备及介质 | |
CN115830649A (zh) | 一种网络资产指纹特征的识别方法、装置及电子设备 | |
CN111241497A (zh) | 基于软件复用特征学习的开源代码溯源检测方法 | |
Wang et al. | Approximate truth discovery via problem scale reduction | |
CN114647790A (zh) | 应用于行为意图分析的大数据挖掘方法及云端ai服务系统 | |
Yalavarthi et al. | Select your questions wisely: For entity resolution with crowd errors | |
JP6683839B2 (ja) | モバイル装置識別子を設定する方法及び装置 | |
CN117093951B (zh) | 一种威胁情报合并方法、装置、电子设备及存储介质 | |
CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN117376228A (zh) | 一种网络安全测试工具确定方法及装置 | |
CN111324893A (zh) | 基于敏感模式的安卓恶意软件的检测方法及后台系统 | |
CN116132101A (zh) | 一种验证威胁情报误报的方法、装置及电子设备 | |
CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
Zhuo et al. | Research on Android intent security detection based on machine learning | |
CN111144540A (zh) | 反窃电仿真数据集的生成方法 | |
Ding et al. | Configuration-based fingerprinting of mobile device using incremental clustering | |
CN111556042A (zh) | 恶意url的检测方法、装置、计算机设备和存储介质 | |
CN111241277A (zh) | 一种基于稀疏图的用户身份识别方法及装置 | |
CN112152997B (zh) | 面向设备识别的双因子认证方法、系统、介质及服务端 | |
CN110096529B (zh) | 一种基于多维矢量数据的网络数据挖掘方法和系统 | |
CN113449050B (zh) | 位置搜索方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |