CN117118764B - IOCs信誉动态评价及动态衰减方法、装置和电子设备 - Google Patents
IOCs信誉动态评价及动态衰减方法、装置和电子设备 Download PDFInfo
- Publication number
- CN117118764B CN117118764B CN202311389672.1A CN202311389672A CN117118764B CN 117118764 B CN117118764 B CN 117118764B CN 202311389672 A CN202311389672 A CN 202311389672A CN 117118764 B CN117118764 B CN 117118764B
- Authority
- CN
- China
- Prior art keywords
- iocs
- data
- value
- update
- data source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 238000011156 evaluation Methods 0.000 title claims abstract description 38
- 238000004364 calculation method Methods 0.000 claims abstract description 17
- 230000008859 change Effects 0.000 claims abstract description 15
- 230000002776 aggregation Effects 0.000 claims description 44
- 238000004220 aggregation Methods 0.000 claims description 44
- 230000003442 weekly effect Effects 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 13
- 239000000654 additive Substances 0.000 claims description 12
- 230000000996 additive effect Effects 0.000 claims description 12
- 238000001914 filtration Methods 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 9
- 230000001133 acceleration Effects 0.000 claims description 9
- 230000004931 aggregating effect Effects 0.000 claims description 6
- 238000012795 verification Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000013479 data entry Methods 0.000 claims description 4
- 238000007689 inspection Methods 0.000 claims description 2
- 238000011002 quantification Methods 0.000 abstract description 2
- 239000011159 matrix material Substances 0.000 description 34
- 230000007246 mechanism Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 239000013598 vector Substances 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- BTCSSZJGUNDROE-UHFFFAOYSA-N gamma-aminobutyric acid Chemical compound NCCCC(O)=O BTCSSZJGUNDROE-UHFFFAOYSA-N 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000036962 time dependent Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了IOCs信誉动态评价及动态衰减方法、装置和电子设备,属于网络安全技术领域。方法包括:确定量化IOCs数据源质量的影响因素及各影响因素的权重;确定初始更新模式、当前更新模式和下次的更新时间节点;在下次的更新时间节点按照当前更新模式对IOCs数据源的初始信誉值和衰减值进行动态调整。本发明根据IOCs数据源质量影响因素的每日命中日志情况构建综合信誉评价体系,该体系包含IOCs初始信誉值、衰减值的动态调整,还包含更新模式的自动计算和切换,从IOCs数据源的更新比率和数据质量等角度进行IOCs信誉的综合自适应量化,有效地表达了IOCs数据源随时间的威胁程度变化情况。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种IOCs信誉动态评价及动态衰减方法、装置和电子设备。
背景技术
IOCs(Indicator of compromises,攻击指示器)常被用在调查取证的场景下,指的是受害主机被攻破的证据,包含恶意文件哈希值、恶意软件的特征、恶意的IP地址、URL、域名等被动识别的信标。对IOCs进行信誉评价可以从及时性、有效性、完整性三个方面量化IOCs的威胁程度,主要体现在如下几个方面:信誉评价可以通过风险等级标记IOCs的威胁程度,可以使得情报使用者制定相应的策略实现对恶意攻击的检测和对恶意流量的告警/阻断;信誉评价可以帮助区分不同的威胁主体(threat actor),不同的威胁主体可能有不同的攻击目的、危害、技术、战术等相关内容,这些信息对于事件响应和威胁狩猎都很有价值;信誉评价可以提高检测准确性和速度,以及缩短修复时间。一般来说,越早发现攻击,对业务的影响就越小,解决起来也越容易。信誉评价可以帮助识别重复出现的IOCs,从而提供对攻击者的技术和方法的洞察,进而改进安全工具、事件响应能力和安全策略,防止未来的事件。
目前,IOCs信誉评价的方法一般为:基于安全人员的经验进行人工标定,给每个数据源一个初始信誉值和衰减值。但是,由于数据源的质量是随着时间不断变化的,因此,通过人工标定为每个数据源的初始信誉值和衰减值赋值的方法,无法反映数据源的质量变化,进而无法有效的评价数据源的质量。
发明内容
为了解决现有技术中存在的问题,本发明提供了如下技术方案。
本发明第一方面提供了一种IOCs信誉动态评价及动态衰减方法,包括:
确定量化IOCs数据源质量的影响因素及各影响因素的权重;
确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点,所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化;
在下次的更新时间节点按照当前更新模式对IOCs数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的IOCs数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计,若聚合统计后得到的数据条数为零,则对IOCs数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持IOCs数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对IOCs数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减。
优选地,在所述对IOCs数据源的初始信誉值进行减分调整中,需要减少的初始信誉值的分值采用如下方法计算得到:
根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合,统计每个标识对应的数据条数,记作;
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;
计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的
IOCs数据源中不准确数据所占比例:
;
计算天IOCs数据源中不准确数据所占比例的平均值/>:
;
其中,表示影响因素命中日志的总天数;
针对IOCs数据源的数据,计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第类影响因素的调整系数/>:
;
针对IOCs数据源的数据,计算需要减少的分值 :
;
其中,表示第/>类影响因素的权重,/>表示影响因素的总数。
优选地,所述对IOCs数据源的初始信誉值进行减分调整,调整后的初始信誉值采用如下公式计算:
;
其中,为调整后的初始信誉值,/>为调整前的初始信誉值。
优选地,在所述对衰减值进行加分调整以加速衰减中,加速衰减系数采用如下方法计算得到:
根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合,统计每个标识对应的数据条数,记作;
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;
计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例:
;
计算天IOCs数据源中不准确数据所占比例的平均值/>:
;
其中,表示影响因素命中日志的总天数;
计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第类影响因素的加速衰减系数/>:
;
针对IOCs数据源的数据,计算加速衰减系数:
;
其中,表示IOCs数据源的加速衰减系数,/>表示第/>类影响因素的权重,符号“/>”表示计算结果向下取整,/>表示影响因素的总数。
优选地,所述对衰减值进行加分调整以加速衰减中,调整后的衰减值采用如下方法计算得到:
;
其中,为调整后的衰减值,/>为调整前的衰减值。
优选地,在所述基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合之前,还包括:
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型、IOCs数据来源和值为标识进行数据的聚合,统计每个标识包含的数据和每个标识对应的数据总条目数,记作 ;其中,“key”表示IOCs威胁类别、IOCs数据类型、IOCs数据来源和值的联合标识,“count”表示“key”相同的数据条数,“data”表示“key”相同的数据构成的数据列表;
在数据中,去除“count”最大和最小的数据,并基于剩余的每条数据的“count”计算平均值/>和标准差/>,若满足/>,则对应的数据为异常数据,过滤去除,不进入后续减分调整中的数据聚合流程。
优选地,在所述对IOCs数据源的初始信誉值进行加分调整中,需要增加的初始信誉值的分值采用如下公式计算:
;
其中,为需要增加的初始信誉值,/>为调整前的初始信誉值。
优选地,在所述对衰减值进行减分调整以减速衰减中,调整后的衰减值采用如下公式计算:
;
其中,为调整后的衰减值,/>为调整前的衰减值。
优选地,所述动态调整后的IOCs数据源的初始信誉值和/或衰减值若达到上限或下限,则进行告警并由人工介入进行IOCs数据源的审查和分析。
优选地,所述方法还包括强制回退步骤,即通过人工介入将IOCs数据源的初始信誉值和衰减值的当前值回退为上一值。
优选地,所述量化IOCs数据源质量的影响因素包括白名单、内网IP、格式校验、灰名单-自证成本高、灰名单-误报和ASN过滤;其中,各影响因素对IOCs数据源初始信誉值的重要度分别为5、4、3、0、5、0;各影响因素对IOCs数据源衰减值的重要度分别为5、4、0、3、5、1。
优选地,各所述影响因素的权重采用层次分析法计算得到。
优选地,所述当前更新模式包括:
不更新模式:适用于指定的IOCs数据源;
日更新模式:IOCs数据源的平均更新间隔为天,IOCs数据源的平均更新比率≥80%,更新模式的更新间隔为每天;
周更新模式: IOCs数据源的平均更新间隔≤一周,40%≤IOCs数据源的平均更新比率<80%,更新模式更新间隔为每周;
月更新模式:默认的更新模式,更新模式更新间隔为每月;
立即更新模式:若灰名单中新增IOCs数据源的过滤项总条数大于等于预设值,则在当前的更新模式下,另外独立启动立即更新模式。
优选地,所述确定IOCs数据源初始信誉值和衰减值的初始更新模式包括:除指定的IOCs数据源采用不更新模式外,其余的IOCs数据源采用默认的月更新模式。
优选地,确定IOCs数据源初始信誉值和衰减值的当前更新模式和下次的更新时间节点包括:基于上一更新模式的更新时间节点确定当前更新模式,确定当前是否处于更新节点,若处于更新节点则计算当前的IOCs数据源平均更新比率和IOCs数据源平均更新间隔;基于当前的IOCs数据源平均更新比率和IOCs数据源平均更新间隔确定当前更新模式;
若更新模式退化,即从上一更新模式的日更新模式变化为当前更新模式的周更新模式,或从上一更新模式的周更新模式变化为当前更新模式的月更新模式:将上次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点;
若更新模式进化,即从上一更新模式的月更新模式变化为当前更新模式的周更新模式,或从上一更新模式的周更新模式变化为当前更新模式的日更新模式:将本次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点;
若更新模式不变,即上一更新模式与当前更新模式相同:将本次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点。
优选地,当前的IOCs数据源更新比率,采用如下公式计算:
;
式中,表示当前的IOCs数据源更新比率,/>表示IOCs数据源/>第/>次更新的数据集合,/>表示IOCs数据源/>第/>次更新的数据集合/>与第/>次更新的数据集合/>的差集,即元素在/>中而不在/>中的数据集合;/>表示两个集合/>与/>差集的元素个数;/>表示集合/>中元素的个数。
本发明第二方面提供了一种IOCs信誉动态评价及动态衰减装置,包括:
影响因素及其权重确定模块,用于确定量化IOCs数据源质量的影响因素及各影响因素的权重;
更新模式确定模块,用于确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点,所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化;
动态调整模块,用于在下次的更新时间节点对IOCs数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的IOCs数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计,若聚合统计后得到的数据条数为零,则对IOCs数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持IOCs数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对IOCs数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减。
本发明第三方面提供了一种存储器,存储有多条指令,所述指令用于实现如第一方面所述的方法。
本发明第四方面提供了一种电子设备,包括处理器和与所述处理器连接的存储器,所述存储器存储有多条指令,所述指令可被所述处理器加载并执行,以使所述处理器能够执行如第一方面所述的方法。
本发明的有益效果是:本发明提供的IOCs信誉动态评价及动态衰减方法、装置、存储器和电子设备,根据IOCs数据源质量影响因素的每日命中日志情况,构建的综合信誉评价体系,不仅包含IOCs初始信誉值的动态调整方法,也包含衰减值的动态调整方法,同时还包含更新模式的自动计算和切换方法,能够从IOCs数据源的更新比率和数据质量等多个角度进行IOCs信誉的综合自适应量化,有效的表达了IOCs数据源随时间的威胁程度变化情况。
附图说明
图1为本发明所述IOCs信誉动态评价及动态衰减方法流程示意图;
图2为本发明所述IOCs信誉动态评价及动态衰减装置功能结构示意图。
具体实施方式
为了更好地理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案做详细地说明。
本发明提供的方法可以在如下的终端环境中实施,该终端可以包括一个或多个如下部件:处理器、存储器和显示屏。其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行以实现下述实施例所述的方法。
处理器可以包括一个或者多个处理核心。处理器利用各种接口和线路连接整个终端内的各个部分,通过运行或执行存储在存储器内的指令、程序、代码集或指令集,以及调用存储在存储器内的数据,执行终端的各种功能和处理数据。
存储器可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory,ROM)。存储器可用于存储指令、程序、代码、代码集或指令。
显示屏用于显示各个应用程序的用户界面。
除此之外,本领域技术人员可以理解,上述终端的结构并不构成对终端的限定,终端可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。比如,终端中还包括射频电路、输入单元、传感器、音频电路、电源等部件,在此不再赘述。
本发明为了解决现有技术存在的问题,基于业务场景抽象后得到如下需求:如何量化IOCs的可信度,提高IOCs的易用性;如何动态调整数据源的初始信誉,使得数据源的初始信誉能够及时反映数据源质量;因IOCs是和时间高度相关的威胁指标,因此IOCs的信誉值应随时间动态变化,即存在信誉随时间衰减现象。因此,如何动态调整衰减值,使得质量高的数据源慢速衰减,质量低的数据源快速衰减。为了满足业务需求,本发明提供了IOCs信誉动态评价及动态衰减的解决方案。
实施例一
如图1所示,本发明实施例提供了一种IOCs信誉动态评价及动态衰减方法,包括:
S101,确定量化IOCs数据源质量的影响因素及各影响因素的权重;
S102,确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点,所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化;
S103,在下次的更新时间节点对IOCs数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的IOCs数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别(category)、IOCs数据类型(type)和IOCs数据来源(source)为标识(key)进行聚合统计,若聚合统计后得到的数据条数为零,则对IOCs数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持IOCs数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对IOCs数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减。
在步骤S101中,所述量化IOCs数据源质量的影响因素包括白名单、内网IP、格式校验、灰名单-自证成本高、灰名单-误报和ASN(Aviation Safety Network,航空安全网)过滤;其中,各影响因素对IOCs数据源初始信誉值的重要度分别为5、4、3、0、5、0;各影响因素对IOCs数据源衰减值的重要度分别为5、4、0、3、5、1。其中,重要度数值基于层次分析法,定义了该影响因素相对于整个评价体系的重要度,数值越大,重要度越高。
进一步地,各所述影响因素的权重可以采用层次分析法计算得到。具体的计算过程可以为:
首先构造判断矩阵。Saaty[指层次分析法(AHP)和网络程序法(ANP)的创始人Thomas L. Saaty(中文名:萨蒂)]给出的9个重要性等级及其赋值如表1所示:
表1
| 重要度 | 数值 |
| 同等重要 | 1 |
| 稍微重要 | 3 |
| 较强重要 | 5 |
| 强烈重要 | 7 |
| 极端重要 | 9 |
两相邻判断的中间值2、4、6、8。
基于每个影响因素的重要性度,以及Saaty给出的重要性等级,按照两两因素之间的重要性等级构造判断矩阵【矩阵的每个元素A[i][j]表示影响因素i(矩阵中的行对应的影响因素)对影响因素j(矩阵中的列对应的影响因素)的重要程度】,即正互反矩阵如表2和表3所示:
表2 IOCs数据源初始信誉值影响因素正反矩阵
表3 IOCs数据源衰减值影响因素正反矩阵
其中对于IP类型的数据,只需要去除内网IP这一影响因素就可以获得对应的正反矩阵。
构建判断矩阵后,可以按照如下步骤计算判断矩阵的特征向量(权重矩阵):计算矩阵每一行元素的乘积,得到n行1列的矩阵M;对矩阵M计算n次方根;然后进行归一化处理,即:每个元素除以总元素之和,得到特征向量。
然后,可以按照如下步骤计算判断矩阵的最大特征根:判断矩阵/>特征向量得到矩阵L,对L的每一个元素除以n/>特征向量。
采用如下方法进行判断矩阵的一致性检验:所谓的一致性是指判断思维的逻辑一致性。当甲比丙是强烈重要,而乙比丙是稍微重要时,显然甲一定比乙重要。这就是判断思维的逻辑一致性,否则判断就会有矛盾。判断矩阵在满足上述完全一致性的条件下,具有唯一非零的、同时也是最大的特征值(n为判断矩阵的阶数)。但是,在一般决策问题中,决策者不可能给出精确的/>度量(其中,/>表示第i个影响因素,/>表示第j个影响因素,/>表示两个影响因素在同一个评价系统中时,第i个影响因素相对于第j个影响因素的重要度),只能对它们进行判断估计。这样,实际给出的A[i][j]判断与理想的/>有偏差,不能保证判断矩阵具有完全的一致性。因此,为了保证应用层次分析法得到的结论基本合理,还需要对构造的判断矩阵进行一致性检验,采用如下公式:
;
其中, 为判断矩阵的最大的特征值,/>为判断矩阵的阶数, />为一致性指标。
当一致性指标=0时,判断矩阵一致;/>越大,判断矩阵的不一致程度越严重。
为了度量不同判断矩阵是否具有满意一致性,根据经验,还需引入判断矩阵的平均随机一致性指标RI值。对于1-9阶判断矩阵,RI值如表4所示:
表4 1-9阶判断矩阵的RI值
| 1 | 0.00 |
| 2 | 0.00 |
| 3 | 0.58 |
| 4 | 0.90 |
| 5 | 1.12 |
| 6 | 1.24 |
| 7 | 1.32 |
| 8 | 1.41 |
| 9 | 1.45 |
当阶数>2时,判断矩阵的一致性指标与同阶平均随机一致性指标/>之比称为随机一致性比率,记为/>。
当时,即认为判断矩阵具有满意一致性,否则就需要调整判断矩阵,使之具有满意一致性。
最终求解得到具有满意一致性的权重矩阵,并根据两种特殊情况分别得出权重矩阵,两种特殊情况为:当数据类型为 IP类型的数据时,其影响因素为白名单、内网IP、格式校验、灰名单-自证成本高、灰名单-误报和ASN过滤等全部的影响因素;当数据类型为非IP类型的数据时,其影响因素需要去除“内网IP”这一项,即判断矩阵中去除该因素的行和对应的列,得到新的判断矩阵,再进行后续计算。
在步骤S102中,基于上一个更新窗口,IOCs数据源的平均更新比率和更新间隔设置数据源的初始更新模式。其中平均更新比率和平均更新间隔均指相对更新次数的平均值。如:在一周的更新模式更新间隔中,数据源更新了5次,则数据源平均更新比率为5次更新比率的平均值;数据源平均更新间隔指的是,5次更新中每两次更新间隔的天数的总天数除以更新次数,获得在更新周期内,相对于更新次数的数据源平均更新间隔。具体的,所述当前更新模式包括如下几种:
不更新模式:适用于指定的IOCs数据源;
日更新模式:IOCs数据源的平均更新间隔为天,IOCs数据源的平均更新比率≥80%,更新模式的更新间隔为每天;
周更新模式: IOCs数据源的平均更新间隔≤一周,40%≤IOCs数据源的平均更新比率<80%,更新模式更新间隔为每周;
月更新模式:默认的更新模式,更新模式更新间隔为每月;
立即更新模式:若灰名单中新增IOCs数据源的过滤项总条数大于等于预设值,则在当前的更新模式下,另外独立启动立即更新模式。
在具体应用过程中,可以按照如下方式确定IOCs数据源初始信誉值和衰减值的初始更新模式:除指定的IOCs数据源采用不更新模式外,其余的IOCs数据源采用默认的月更新模式。
由于数据质量和数据量等随时间不断地进行更新,因此,更新模式会随着时间发生变化,从而使得动态调整的节点会随时间发生变化。本发明中,随着时间的变化,可以按照如下方法确定IOCs数据源初始信誉值和衰减值的当前更新模式和下次的更新时间节点包括:基于上一更新模式的更新时间节点确定当前更新模式,确定当前是否处于更新节点,若处于更新节点则计算当前的IOCs数据源更新比率;基于当前的IOCs数据源更新比率确定当前更新模式;
若更新模式退化,即从上一更新模式的日更新模式变化为当前更新模式的周更新模式,或从上一更新模式的周更新模式变化为当前更新模式的月更新模式:将上次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点;
若更新模式进化,即从上一更新模式的月更新模式变化为当前更新模式的周更新模式,或从上一更新模式的周更新模式变化为当前更新模式的日更新模式:将本次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点;
若更新模式不变,即上一更新模式与当前更新模式相同:将本次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点。
其中,更新模式只能从日更模式退化到周更模式,周更模式退化到月更模式,不能跨级。更新模式进化同上述规则,不能跨级。
具体的,更新模式的变更方式可以包括如下几种:
对于日更新模式:需要每日进行数据源初始信誉值和衰减值的更新。在更新的时间节点,基于最新的数据源平均更新比率和数据源平均更新间隔进行当前更新模式的计算和变更:若最新的数据源平均更新比率和数据源平均更新间隔仍符合日更新模式的要求,则按照日更新模式进行数据源初始信誉值和衰减值的更新,更新模式不变;若最新的数据源平均更新比率和数据源平均更新间隔达不到日更新模式的要求,则日更新模式退化成周更新模式,下次更新时间节点按照周更新模式执行,更新间隔的起始时间节点为该数据源上次进行数据源初始信誉值和衰减值调整的时间点。本次不执行数据源初始信誉值和衰减值的更新操作。
对于周更新模式:需要每周进行数据源初始信誉值和衰减值的更新。在更新的时间节点,基于更新周期内,数据源平均更新比率和平均更新间隔进行当前更新模式的计算和变更,其中平均更新比率和平均更新间隔均指相对更新次数的平均值:若最新的数据源平均更新比率和平均更新间隔仍符合周更新模式的要求,则周更新模式不变,正常进行数据源初始信誉值和衰减值的更新;若更新周期内,数据源平均更新比率和平均更新间隔达不到周更新模式的要求,则更新模式退化成月更新模式,下次更新时间节点按照月更新模式执行,更新间隔的起始时间节点为该数据源上次进行数据源初始信誉值和衰减值调整的时间点。本次不执行数据源初始信誉值和衰减值的更新操作;若更新周期内,数据源平均更新比率和平均更新间隔达到日更新模式的要求,则更新模式进化为日更新模式,下次更新时间节点按照日更新模式执行,更新间隔的起始时间节点为该数据源本次进行数据源初始信誉值和衰减值调整的时间点。本次按照日更新模式标准执行数据源初始信誉值和衰减值的更新操作。
对于月更新模式:需要每月进行数据源初始信誉值和衰减值的更新。在更新的时间节点,基于更新周期内,数据源平均更新比率和平均更新间隔进行当前更新模式的计算和变更:若最新的数据源平均更新比率和平均更新间隔仍符合月更新模式的要求,则月更新模式不变,正常进行数据源初始信誉值和衰减值的更新;若更新周期内,数据源平均更新比率和平均更新间隔达到周更新模式的要求,则更新模式进化为周更新模式,下次更新时间节点按照周更新模式执行,更新间隔的起始时间节点为该数据源本次进行数据源初始信誉值和衰减值调整的时间点。本次按照周更新模式标准执行数据源初始信誉值和衰减值的更新操作。
另外,本发明实施例中,采用如下公式计算当前的IOCs数据源更新比率:
;
式中,表示当前的IOCs数据源更新比率,/>表示IOCs数据源/>第/>次更新的数据集合,/>表示IOCs数据源/>第/>次更新的数据集合/>与第/>次更新的数据集合/>的差集,即元素在/>中而不在/>中的数据集合;/>表示两个集合/>与/>差集的元素个数;/>表示集合/>中元素的个数。
执行步骤S103,在下次的更新时间节点按照当前更新模式对IOCs数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的IOCs数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计,若聚合统计后得到的数据条数为零,则对IOCs数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持IOCs数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对IOCs数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减。
对初始信誉值的加分和减分的动态调整可以按照如下方法进行实施。
首先,按照如下方法对数据进行预处理:基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型、IOCs数据来源和值为标识进行数据的聚合,统计每个标识包含的数据和每个标识对应的数据总条目数,记作 ;其中,“key”表示IOCs威胁类别、IOCs数据类型、IOCs数据来源和值的联合标识,“count”表示“key”相同的数据条数,“data”表示“key”相同的数据构成的数据列表;
在数据中,去除“count”最大和最小的数据,并基于剩余的每条数据的“count”计算平均值/>和标准差/>,若满足/>,则对应的数据为异常数据,过滤去除,不进入后续减分调整中的数据聚合流程。
预处理后的数据用于调整计算。
在所述对IOCs数据源的初始信誉值进行减分调整中,需要减少的初始信誉值的分值采用如下方法计算得到:
根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合,统计每个标识对应的数据条数,记作;
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;
计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例:
;
计算天IOCs数据源中不准确数据所占比例的平均值/>:
;
其中,表示影响因素命中日志的总天数;
针对IOCs数据源的数据,计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第类影响因素的调整系数/>:
;
针对IOCs数据源的数据,计算需要减少的分值 :
;
其中,表示第/>类影响因素的权重,/>表示影响因素的总数。
所述对IOCs数据源的初始信誉值进行减分调整,调整后的初始信誉值采用如下公式计算:
;
其中,为调整后的初始信誉值,/>为调整前的初始信誉值。
另外,在所述对IOCs数据源的初始信誉值进行加分调整中,需要增加的初始信誉值的分值采用如下公式计算:
;
其中,为需要增加的初始信誉值,/>为调整前的初始信誉值。
对衰减值的加分和减分的动态调整可以按照如下方法进行实施。
首先,按照如下方法对数据进行预处理:基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型、IOCs数据来源和值为标识进行数据的聚合,统计每个标识包含的数据和每个标识对应的数据总条目数,记作 ;其中,“key”表示IOCs威胁类别、IOCs数据类型、IOCs数据来源和值的联合标识,“count”表示“key”相同的数据条数,“data”表示“key”相同的数据构成的数据列表;
在数据中,去除“count”最大和最小的数据,并基于剩余的每条数据的“count”计算平均值/>和标准差/>,若满足/>,则对应的数据为异常数据,过滤去除,不进入后续减分调整中的数据聚合流程。
预处理后的数据用于衰减值的调整计算。
其中,在所述对衰减值进行加分调整以加速衰减中,加速衰减系数采用如下方法计算得到:
根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合,统计每个标识对应的数据条数,记作;
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;
计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例:
;
计算天IOCs数据源中不准确数据所占比例的平均值/>:
;
其中,表示影响因素命中日志的总天数;
计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第类影响因素的加速衰减系数/>:
;
针对IOCs数据源的数据,计算加速衰减系数:
;/>
其中,表示IOCs数据源的加速衰减系数,/>表示第/>类影响因素的权重,符号“/>”表示计算结果向下取整,/>表示影响因素的总数。
进一步地,所述对衰减值进行加分调整以加速衰减中,调整后的衰减值采用如下方法计算得到:
;
其中,为调整后的衰减值,/>为调整前的衰减值。
在一个具体实施例中,可以设定衰减值的最高上限为20分。当数据的信誉衰减值调整后大于20分,进行告警,用于分析数据来源质量问题。除非人工介入,否则自动调整的信誉衰减值不会大于20分。
另外,在所述对衰减值进行减分调整以减速衰减中,调整后的衰减值采用如下公式计算:
;
其中,为调整后的衰减值,/>为调整前的衰减值。
在本发明的一个优选实施例中,所述动态调整后的IOCs数据源的初始信誉值和/或衰减值若达到上限或下限,则进行告警并由人工介入进行IOCs数据源的审查和分析。比如可以预先设定初始信誉值的最低分为60。当数据源的初始信誉值调整后的分数低于60则进行告警,由人工接入,分析数据源的质量问题。
本发明中提供的所述IOCs信誉动态评价及动态衰减方法还包括强制回退步骤,即通过人工介入将IOCs数据源的初始信誉值和衰减值的当前值回退为上一值。在业务数据生产过程中,可能由于程序问题或者人为的失误操作导致数据源初始信誉值或衰减值的更新异常,因此需要一种强制回退机制,以提高程序运行的鲁棒性。强制回退机制可以存在如下特性:强制回退机制只能人为启动;强制回退机制运行时可强制打断正在进行的数据源初始信誉值和衰减值调整动作;强制回退机制每次执行需要记录执行人、原因、执行时间、数据源初始信誉值和衰减值在强制回退机制执行前后的数值等。
实施例二
如图2所示,本发明的另一方面还包括和前述方法流程完全对应一致的功能模块架构,即本发明实施例还提供了一种IOCs信誉动态评价及动态衰减装置,包括:
影响因素及其权重确定模块201,用于确定量化IOCs数据源质量的影响因素及各影响因素的权重;
更新模式确定模块202,用于确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点,所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化;
动态调整模块203,用于在下次的更新时间节点对IOCs数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的IOCs数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计,若聚合统计后得到的数据条数为零,则对IOCs数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持IOCs数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对IOCs数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减。
该装置可通过上述实施例一提供的一种IOCs信誉动态评价及动态衰减方法实现,具体的实现方法可参见实施例一中的描述,在此不再赘述。
本发明还提供了一种存储器,存储有多条指令,所述指令用于实现如实施例一所述的方法。
本发明还提供了一种电子设备,包括处理器和与所述处理器连接的存储器,所述存储器存储有多条指令,所述指令可被所述处理器加载并执行,以使所述处理器能够执行如实施例一所述的方法。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (19)
1.一种IOCs信誉动态评价及动态衰减方法,其特征在于,包括:
确定量化IOCs数据源质量的影响因素及各影响因素的权重;
确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点,所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化;
在下次的更新时间节点按照当前更新模式对IOCs数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的IOCs数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计,若聚合统计后得到的数据条数为零,则对IOCs数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持IOCs数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对IOCs数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减。
2.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,在所述对IOCs数据源的初始信誉值进行减分调整中,需要减少的初始信誉值的分值采用如下方法计算得到:
根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合,统计每个标识对应的数据条数,记作;
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;
计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例:
;
计算天IOCs数据源中不准确数据所占比例的平均值/>:
;
其中,表示影响因素命中日志的总天数;
针对IOCs数据源的数据,计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第类影响因素的调整系数/>:
;
针对IOCs数据源的数据,计算需要减少的分值:
;
其中,表示第/>类影响因素的权重,/>表示影响因素的总数。
3.如权利要求2所述的IOCs信誉动态评价及动态衰减方法,其特征在于,所述对IOCs数据源的初始信誉值进行减分调整,调整后的初始信誉值采用如下公式计算:
;
其中,为调整后的初始信誉值,/>为调整前的初始信誉值。
4.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,在所述对衰减值进行加分调整以加速衰减中,加速衰减系数采用如下方法计算得到:
根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合,统计每个标识对应的数据条数,记作;
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;
计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例:
;
计算天IOCs数据源中不准确数据所占比例的平均值/>:
;
其中,表示影响因素命中日志的总天数;
计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第类影响因素的加速衰减系数/>:
;
针对IOCs数据源的数据,计算加速衰减系数:
;
其中,表示IOCs数据源的加速衰减系数,/>表示第/>类影响因素的权重,符号“/>”表示计算结果向下取整,/>表示影响因素的总数。
5.如权利要求4所述的IOCs信誉动态评价及动态衰减方法,其特征在于,所述对衰减值进行加分调整以加速衰减中,调整后的衰减值采用如下方法计算得到:
;
其中,为调整后的衰减值,/>为调整前的衰减值。
6.如权利要求2或4所述的IOCs信誉动态评价及动态衰减方法,其特征在于,在所述基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合之前,还包括:
基于影响因素第m天命中日志,按照IOCs威胁类别、IOCs数据类型、IOCs数据来源和值为标识进行数据的聚合,统计每个标识包含的数据和每个标识对应的数据总条目数,记作;其中,“key”表示IOCs威胁类别、IOCs数据类型、IOCs数据来源和值的联合标识,“count”表示“key”相同的数据条数,“data”表示“key”相同的数据构成的数据列表;
在数据中,去除“count”最大和最小的数据,并基于剩余的每条数据的“count”计算平均值/>和标准差/>,若满足/>,则对应的数据为异常数据,过滤去除,不进入后续减分调整中的数据聚合流程。
7.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,在所述对IOCs数据源的初始信誉值进行加分调整中,需要增加的初始信誉值的分值采用如下公式计算:
;
其中,为需要增加的初始信誉值,/>为调整前的初始信誉值。
8.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,在所述对衰减值进行减分调整以减速衰减中,调整后的衰减值采用如下公式计算:
;
其中,为调整后的衰减值,/>为调整前的衰减值。
9.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,所述动态调整后的IOCs数据源的初始信誉值和/或衰减值若达到上限或下限,则进行告警并由人工介入进行IOCs数据源的审查和分析。
10.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,所述方法还包括强制回退步骤,即通过人工介入将IOCs数据源的初始信誉值和衰减值的当前值回退为上一值。
11.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,所述量化IOCs数据源质量的影响因素包括白名单、内网IP、格式校验、灰名单-自证成本高、灰名单-误报和ASN过滤;其中,各影响因素对IOCs数据源初始信誉值的重要度分别为5、4、3、0、5、0;各影响因素对IOCs数据源衰减值的重要度分别为5、4、0、3、5、1。
12.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,各所述影响因素的权重采用层次分析法计算得到。
13.如权利要求1所述的IOCs信誉动态评价及动态衰减方法,其特征在于,所述当前更新模式包括:
不更新模式:适用于指定的IOCs数据源;
日更新模式:IOCs数据源的平均更新间隔为天,IOCs数据源的平均更新比率≥80%,更新模式的更新间隔为每天;
周更新模式: IOCs数据源的平均更新间隔≤一周,40%≤IOCs数据源的平均更新比率<80%,更新模式更新间隔为每周;
月更新模式:默认的更新模式,更新模式更新间隔为每月;
立即更新模式:若灰名单中新增IOCs数据源的过滤项总条数大于等于预设值,则在当前的更新模式下,另外独立启动立即更新模式。
14.如权利要求13所述的IOCs信誉动态评价及动态衰减方法,其特征在于,所述确定IOCs数据源初始信誉值和衰减值的初始更新模式包括:除指定的IOCs数据源采用不更新模式外,其余的IOCs数据源采用默认的月更新模式。
15.如权利要求14所述的IOCs信誉动态评价及动态衰减方法,其特征在于,确定IOCs数据源初始信誉值和衰减值的当前更新模式和下次的更新时间节点包括:基于上一更新模式的更新时间节点确定当前更新模式,确定当前是否处于更新节点,若处于更新节点则计算当前的IOCs数据源平均更新比率和IOCs数据源平均更新间隔;基于当前的IOCs数据源平均更新比率和IOCs数据源平均更新间隔确定当前更新模式;
若更新模式退化,即从上一更新模式的日更新模式变化为当前更新模式的周更新模式,或从上一更新模式的周更新模式变化为当前更新模式的月更新模式:将上次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点;
若更新模式进化,即从上一更新模式的月更新模式变化为当前更新模式的周更新模式,或从上一更新模式的周更新模式变化为当前更新模式的日更新模式:将本次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点;
若更新模式不变,即上一更新模式与当前更新模式相同:将本次的更新时间节点作为当前更新模式的间隔起始点,并根据当前更新模式的间隔计算下次的更新时间节点。
16.如权利要求15所述的IOCs信誉动态评价及动态衰减方法,其特征在于,当前的IOCs数据源更新比率,采用如下公式计算:
;
式中,表示当前的IOCs数据源更新比率,/>表示IOCs数据源/>第/>次更新的数据集合,/>表示IOCs数据源/>第/>次更新的数据集合/>与第/>次更新的数据集合/>的差集,即元素在/>中而不在/>中的数据集合;/>表示两个集合/>与/>差集的元素个数;/>表示集合/>中元素的个数。
17.一种IOCs信誉动态评价及动态衰减装置,其特征在于,包括:
影响因素及其权重确定模块,用于确定量化IOCs数据源质量的影响因素及各影响因素的权重;
更新模式确定模块,用于确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点,所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化;
动态调整模块,用于在下次的更新时间节点对IOCs数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的IOCs数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计,若聚合统计后得到的数据条数为零,则对IOCs数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持IOCs数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对IOCs数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减。
18.一种存储器,其特征在于,存储有多条指令,所述指令用于实现如权利要求1-16任一项所述的方法。
19.一种电子设备,其特征在于,包括处理器和与所述处理器连接的存储器,所述存储器存储有多条指令,所述指令可被所述处理器加载并执行,以使所述处理器能够执行如权利要求1-16任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311389672.1A CN117118764B (zh) | 2023-10-25 | 2023-10-25 | IOCs信誉动态评价及动态衰减方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311389672.1A CN117118764B (zh) | 2023-10-25 | 2023-10-25 | IOCs信誉动态评价及动态衰减方法、装置和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117118764A CN117118764A (zh) | 2023-11-24 |
| CN117118764B true CN117118764B (zh) | 2024-01-30 |
Family
ID=88809673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311389672.1A Active CN117118764B (zh) | 2023-10-25 | 2023-10-25 | IOCs信誉动态评价及动态衰减方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117118764B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109672674A (zh) * | 2018-12-19 | 2019-04-23 | 中国科学院信息工程研究所 | 一种网络威胁情报可信度识别方法 |
| CN111541702A (zh) * | 2020-04-27 | 2020-08-14 | 北京天际友盟信息技术有限公司 | 网络威胁安全检测方法及装置 |
| CN113595122A (zh) * | 2021-08-31 | 2021-11-02 | 华北电力大学 | 一种分布式储能系统的聚合响应能力确定方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10686825B2 (en) * | 2017-10-24 | 2020-06-16 | Frederick Doyle | Multiple presentation fidelity-level based quantitative cyber risk decision support system |
-
2023
- 2023-10-25 CN CN202311389672.1A patent/CN117118764B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109672674A (zh) * | 2018-12-19 | 2019-04-23 | 中国科学院信息工程研究所 | 一种网络威胁情报可信度识别方法 |
| CN111541702A (zh) * | 2020-04-27 | 2020-08-14 | 北京天际友盟信息技术有限公司 | 网络威胁安全检测方法及装置 |
| CN113595122A (zh) * | 2021-08-31 | 2021-11-02 | 华北电力大学 | 一种分布式储能系统的聚合响应能力确定方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117118764A (zh) | 2023-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7849062B1 (en) | Identifying and using critical fields in quality management | |
| US8191149B2 (en) | System and method for predicting cyber threat | |
| CN110245049B (zh) | 产品配置数据的监控方法、装置、设备及存储介质 | |
| CN109639743A (zh) | 一种防火墙策略检测方法及设备 | |
| US10270799B2 (en) | Methods and systems for predicting vulnerability state of computer system | |
| CN113839817A (zh) | 一种网络资产风险评估方法、装置及系统 | |
| CN110912874B (zh) | 有效识别机器访问行为的方法及系统 | |
| CN111294819A (zh) | 一种网络优化方法及装置 | |
| CN113556360A (zh) | 基于多源攻击融合的工业互联网安全动态度量方法、装置及存储介质 | |
| CN115514562B (zh) | 一种用于数据安全预警方法及系统 | |
| CN111586028B (zh) | 一种异常登录的评估方法、装置、服务器和存储介质 | |
| Wright | Terrorism, ideology and target selection | |
| CN114553541B (zh) | 一种分级校验防爬虫的方法、装置、设备及存储介质 | |
| CN110519266B (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
| CN117118764B (zh) | IOCs信誉动态评价及动态衰减方法、装置和电子设备 | |
| CN105046147B (zh) | 系统受攻击程度的监测方法及装置 | |
| CN107135220B (zh) | 欺诈网页检测方法、计算机设备和计算机可读存储介质 | |
| CN114553517B (zh) | 非线性加权的网络安全评估方法、装置、设备和存储介质 | |
| CN113691552B (zh) | 威胁情报有效性评估方法、装置、系统及计算机存储介质 | |
| CN113673811B (zh) | 一种基于session的在线学习绩效评估方法及装置 | |
| CN112511489B (zh) | 一种域名服务滥用评估方法及装置 | |
| CN108197471B (zh) | 一种恶意软件检测方法及装置 | |
| CN117336097B (zh) | 一种基于大数据的网络信息安全管理方法及系统 | |
| CN112599215B (zh) | 自动审核系统的规则调整方法、装置、设备及存储介质 | |
| Pan et al. | Finding the weakest link in the interdependent security chain using the analytic hierarchy process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |