The invention provides a method and a system for generating network threat information, including: collecting text information of network security events from the network by using keywords; classifying text information by using classification model and filtering text information that does not belong to any category; extracting each text information contained in each category. The security entity in the system generates a text summary of each text information contained in each category, and forms intelligence information according to the security entity and text summary. The text information of the same timestamp is clustered to obtain the class text information corresponding to each timestamp, and different timestamp related to the same network security event is obtained. All kinds of text information are arranged according to the order of time stamps, and the intelligence information corresponding to all kinds of text information related to the same network security event forms an intelligence tracking system in the form of event chain.
【技术实现步骤摘要】
一种网络威胁情报生成方法及系统
本专利技术涉及信息处理
,更具体地,涉及一种网络威胁情报生成方法及系统。
技术介绍
威胁情报是以知识为基础的事实,是通过一定的媒体传递给特定的用户,影响用户的选择及决策,用以辅助解决具体问题的信息。根据美国国家基础设施保护中心(CentrefortheProtectionofNationalInfrastructure,CPNI)的定义,网络威胁情报(CyberThreatIntelligence),是面向网络安全领域的情报信息,通过情报可以解析特定攻击的方法,识别恶意的软件及木马,了解网络安全威胁的发展趋势,用以对传统的安全防御方式进行优化和改进,形成能应对多样化和持续化威胁的安全策略。随着互联网及信息安全的发展,网络空间所受到的威胁也在逐渐复杂化,各类网络攻击也更加具有持续性及隐蔽性,使得安全从业人员必须持续跟踪并关注网络安全事件及其攻击手段、漏洞信息,总结相关情报并利用于系统的安全防护。然而基于人力的情报收集方法缺乏持久性,且成本高、效率低,迫切需要一个自动化的情报收集方法,以便用于整理、提炼网络安全相关的信息。传统的网络威胁情报信息是由专门的机构组织收集与整理,主要通过分析威胁报告、运行沙箱实测、部署蜜罐等半自动方式收集攻击实例,记录攻击源(IP地址、病毒文件、木马程序等)、攻击目标及攻击行为等,形成网络威胁情报CTI(CyberThreatIntelligence)。为了方便这些数值类情报信息的管理,亦提出了诸如OpenIOC,STIX等信息结构标准便于威胁情报的共享与使用。虽然这种半自动化的方法能收集大量的 ...
【技术保护点】
1.一种网络威胁情报生成方法,其特征在于,包括:S1,提取网络安全事件的关键词,利用所述关键词从网络上收集所述网络安全事件的文本信息;S2,训练所述文本信息的分类模型,利用所述分类模型将所述文本信息进行分类,获得每个类别包含的文本信息,并将不属于任一所述类别的文本信息进行过滤;S3,提取每个所述类别包含的每个文本信息中的安全实体,并生成每个所述类别包含的每个文本信息的文本摘要,根据所述安全实体和所述文本摘要组成每个所述类别包含的每个文本信息对应的情报信息;S4,对于任一所述类别,获取任一所述类别包含的每个文本信息对应的时间戳,对同一时间戳的文本信息进行聚类,获得每个时间戳对应的类文本信息,获取不同时间戳的与同一网络安全事件相关的所有类文本信息,将与同一网络安全事件相关的所有类文本信息对应的情报信息按照时间戳的顺序进行排列。
【技术特征摘要】
1.一种网络威胁情报生成方法,其特征在于,包括:S1,提取网络安全事件的关键词,利用所述关键词从网络上收集所述网络安全事件的文本信息;S2,训练所述文本信息的分类模型,利用所述分类模型将所述文本信息进行分类,获得每个类别包含的文本信息,并将不属于任一所述类别的文本信息进行过滤;S3,提取每个所述类别包含的每个文本信息中的安全实体,并生成每个所述类别包含的每个文本信息的文本摘要,根据所述安全实体和所述文本摘要组成每个所述类别包含的每个文本信息对应的情报信息;S4,对于任一所述类别,获取任一所述类别包含的每个文本信息对应的时间戳,对同一时间戳的文本信息进行聚类,获得每个时间戳对应的类文本信息,获取不同时间戳的与同一网络安全事件相关的所有类文本信息,将与同一网络安全事件相关的所有类文本信息对应的情报信息按照时间戳的顺序进行排列。2.根据权利要求1所述的方法,其特征在于,步骤S2中所述训练所述文本信息的分类模型进一步包括:去除每个所述文本信息的停用词,获取每个所述文本信息的所有文本词,计算每个所述文本词的tf-idf值,获得每个所述文本信息对应的tf-idf值特征向量;利用每个所述文本信息对应的tf-idf值特征向量训练所述文本信息的分类模型。3.根据权利要求1所述的方法,其特征在于,步骤S3中所述提取每个所述类别包含的每个文本信息中的安全实体进一步包括:获取网络安全事件的触发词,训练所述触发词对应的词向量,计算每个所述类别包含的每个文本信息中的每个句子与所述词向量的相似度,获取相似度大于预设阈值的目标句子,从所述目标句子中提取所述安全实体。4.根据权利要求3所述的方法,其特征在于,所述词向量包括所述触发词、所述触发词的词性、所述触发词的前一词、所述触发词的后一词、所述触发词的前一词的词性、所述触发词的后一词的词性、所述触发词在句法树中的深度、所述触发词对应的短语的类型、所述触发词到其支配子句顶层的路径和所述触发词的父节点的短语结构。5.根据权利要求3任一所述的方...
【专利技术属性】
技术研发人员:文辉,李科,李红,朱红松,孙利民,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。