本发明专利技术实施例提供一种基于多维度可信特征的威胁情报可信性判别方法及装置,包括:获取待检测威胁情报;根据待检测威胁情报的类别,获取与其对应的验证威胁情报集;根据内容验证一致性识别算法,计算待检测威胁情报与验证威胁情报之间的相似度值;比较相似度值与预设的阈值的大小,将相似度值大于阈值的待检测威胁情报确定为初步可信威胁情报;提取初步可信威胁情报的多维度可信特征,并构建多维度可信特征向量;将多维度可信特征向量输入深度信念网络DBN判别模型中,输出表示初步可信威胁情报的可信性的判别结果。本发明专利技术实施例通过采用内容验证一致性算法和DBN判别模型两次对待检测威胁情报进行判断,提高了判断待检测威胁情报的准确率。
【技术实现步骤摘要】
基于多维度可信特征的威胁情报可信性判别方法及装置
本专利技术涉及网络安全
,特别是涉及一种基于多维度可信特征的威胁情报可信性判别方法及装置。
技术介绍
威胁情报是一种基于证据来描述威胁的知识信息,包括威胁相关的上下文信息、威胁所使用的方法机制、威胁相关指标攻击影响以及应对行动建议等。威胁情报的作用是为还原已发生和预测未发生的攻击提供一切线索,尽可能多的了解攻击者的动机、战术方法、工具、资源以及行为过程等诸多方面,并建立有效的安全防御体系。由于威胁情报具有信息量大、重复率高及来源广等特性,实际应用中,威胁情报在获取、组织和使用的过程中,可能存在误导或混淆的假情报,由此需要一种能够判别威胁情报可信度的方法。已知的威胁情报可信性的判别方法是建立黑名单库,该黑名单库中的威胁情报都为不可信威胁情报,通过将待检测威胁情报与该黑名单库中不可信威胁情报进行比较,从而判断出该待检测威胁情报是否可信。由于该判别方法的主观性较强,且黑名单库中存储的不可信威胁情报不全面,存在误判、漏判的情况,降低了判断待检测威胁情报的准确率。
技术实现思路
本专利技术实施例的目的在于提供一种基于多维度可信特征的威胁情报可信性判别方法及装置,以提高判断待检测威胁情报的准确率。具体技术方案如下:第一方面,本专利技术实施例提供了一种基于多维度可信特征的威胁情报可信性判别方法,所述方法包括:获取待检测威胁情报,其中,所述待检测威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息;根据所述待检测威胁情报的类别,获取与其对应的验证威胁情报集,其中,所述验证威胁情报集包含多个可信的验证威胁情报;根据内容验证一致性识别算法,计算所述待检测威胁情报与所述验证威胁情报之间的相似度值;比较所述相似度值与预设的阈值的大小,将所述相似度值大于所述阈值的待检测威胁情报确定为初步可信威胁情报;提取所述初步可信威胁情报的多维度可信特征,并构建多维度可信特征向量;将所述多维度可信特征向量输入深度信念网络DBN判别模型中,输出表示所述初步可信威胁情报的可信性的判别结果。可选的,所述根据内容验证一致性识别算法,计算所述待检测威胁情报与所述验证威胁情报之间的相似度值的步骤,包括:采用如下公式计算所述待检测威胁情报与所述验证威胁情报之间的相似度值:S=θ1*Stime+θ2*Ssource+(1-θ1-θ2)*Sdesc;其中,S为所述待检测威胁情报与所述验证威胁情报之间的相似度值,Stime为所述待检测威胁情报与所述验证威胁情报之间情报发布时间的相似度值,Ssource为所述待检测威胁情报与所述验证威胁情报之间情报来源的相似度值,Sdesc为所述待检测威胁情报与所述验证威胁情报之间威胁描述信息的相似度值,θ1、θ2为根据所述待检测威胁情报的类别设定的权重。可选的,所述方法还包括:采用威胁情报样本集对所述DBN判别模型进行训练,得到新DBN判别模型,其中,所述威胁情报样本集包含多个可信性已知的威胁情报。可选的,所述采用威胁情报样本集对所述DBN判别模型进行训练,得到新DBN判别模型的步骤,包括:将所述威胁情报样本集划分为训练威胁情报样本集和测试威胁情报样本集;提取所述训练威胁情报样本集的多维度可信特征集,并构建多维度可信特征向量空间;利用所述多维度可信特征向量空间对所述DBN判别模型进行迭代训练,直到所述DBN判别模型收敛,得到新DBN判别模型;利用所述测试威胁情报集测试评估所述新DBN判别模型的准确率。可选的,所述多维度可信特征包括时间维度可信特征、内容维度可信特征和领域知识维度可信特征。第二方面,本专利技术实施例提供了一种基于多维度可信特征的威胁情报可信性判别装置,所述装置包括:第一获取模块,用于获取待检测威胁情报,其中,所述待检测威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息;第二获取模块,用于根据所述待检测威胁情报的类别,获取与其对应的验证威胁情报集,其中,所述验证威胁情报集包含多个可信的验证威胁情报;计算模块,用于根据内容验证一致性识别算法,计算所述待检测威胁情报与所述验证威胁情报之间的相似度值;确定模块,用于比较所述相似度值与预设的阈值的大小,将所述相似度值大于所述阈值的待检测威胁情报确定为初步可信威胁情报;提取模块,用于提取所述初步可信威胁情报的多维度可信特征,并构建多维度可信特征向量;输出模块,用于将所述多维度可信特征向量输入深度信念网络DBN判别模型中,输出表示所述初步可信威胁情报的可信性的判别结果。可选的,所述计算模块,具体用于采用如下公式计算所述待检测威胁情报与所述验证威胁情报之间的相似度值:S=θ1*Stime+θ2*Ssource+(1-θ1-θ2)*Sdesc;其中,S为所述待检测威胁情报与所述验证威胁情报之间的相似度值,Stime为所述待检测威胁情报与所述验证威胁情报之间情报发布时间的相似度值,Ssource为所述待检测威胁情报与所述验证威胁情报之间情报来源的相似度值,Sdesc为所述待检测威胁情报与所述验证威胁情报之间威胁描述信息的相似度值,θ1、θ2为根据所述待检测威胁情报的类别设定的权重。可选的,所述装置还包括:训练模块,用于采用威胁情报样本集对所述DBN判别模型进行训练,得到新DBN判别模型,其中,所述威胁情报样本集包含多个可信性已知的威胁情报。可选的,所述训练模块,包括:划分子模块,用于将所述威胁情报样本集划分为训练威胁情报样本集和测试威胁情报样本集;提取子模块,用于提取所述训练威胁情报样本集的多维度可信特征集,并构建多维度可信特征向量空间;训练子模块,用于利用所述多维度可信特征向量空间对所述DBN判别模型进行迭代训练,直到所述DBN判别模型收敛,得到新DBN判别模型;评估子模块,用于利用所述测试威胁情报集测试评估所述新DBN判别模型的准确率。可选的,所述多维度可信特征包括时间维度可信特征、内容维度可信特征和领域知识维度可信特征。本专利技术实施例提供的基于多维度可信特征的威胁情报可信性判别方法及装置,可以通过内容验证一致性识别算法来初步验证待检测威胁情报的可信性,并从待检测威胁情报中初步筛选出可信威胁情报,然后根据从可信威胁情报中提取的多维度可信特征,利用构建的新DBN判别模型进一步判断可信威胁情报的可信性。与现有技术相比,本专利技术实施例从多个维度提取可信威胁情报的特征,并采用内容验证一致性算法和DBN判别模型两次对待检测威胁情报进行判断,提高了判断待检测威胁情报的准确率。当然,实施本专利技术的任一产品或方法并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种基于多维度可信特征的威胁情报可信性判别方法的流程图;图2为本专利技术实施例提供的一种基于多维度可信特征的威胁情报可信性判别装置的结构示意图;图3为本专利技术实施例提供的一种电子设备结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发本文档来自技高网...
【技术保护点】
1.一种基于多维度可信特征的威胁情报可信性判别方法,应用于服务器端,其特征在于,所述方法包括:获取待检测威胁情报,其中,所述待检测威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息;根据所述待检测威胁情报的类别,获取与其对应的验证威胁情报集,其中,所述验证威胁情报集包含多个可信的验证威胁情报;根据内容验证一致性识别算法,计算所述待检测威胁情报与所述验证威胁情报之间的相似度值;比较所述相似度值与预设的阈值的大小,将所述相似度值大于所述阈值的待检测威胁情报确定为初步可信威胁情报;提取所述初步可信威胁情报的多维度可信特征,并构建多维度可信特征向量;将所述多维度可信特征向量输入深度信念网络DBN判别模型中,输出表示所述初步可信威胁情报的可信性的判别结果。
【技术特征摘要】
1.一种基于多维度可信特征的威胁情报可信性判别方法,应用于服务器端,其特征在于,所述方法包括:获取待检测威胁情报,其中,所述待检测威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息;根据所述待检测威胁情报的类别,获取与其对应的验证威胁情报集,其中,所述验证威胁情报集包含多个可信的验证威胁情报;根据内容验证一致性识别算法,计算所述待检测威胁情报与所述验证威胁情报之间的相似度值;比较所述相似度值与预设的阈值的大小,将所述相似度值大于所述阈值的待检测威胁情报确定为初步可信威胁情报;提取所述初步可信威胁情报的多维度可信特征,并构建多维度可信特征向量;将所述多维度可信特征向量输入深度信念网络DBN判别模型中,输出表示所述初步可信威胁情报的可信性的判别结果。2.根据权利要求1所述的方法,其特征在于,所述根据内容验证一致性识别算法,计算所述待检测威胁情报与所述验证威胁情报之间的相似度值的步骤,包括:采用如下公式计算所述待检测威胁情报与所述验证威胁情报之间的相似度值:S=θ1*Stime+θ2*Ssource+(1-θ1-θ2)*Sdesc;其中,S为所述待检测威胁情报与所述验证威胁情报之间的相似度值,Stime为所述待检测威胁情报与所述验证威胁情报之间情报发布时间的相似度值,Ssource为所述待检测威胁情报与所述验证威胁情报之间情报来源的相似度值,Sdesc为所述待检测威胁情报与所述验证威胁情报之间威胁描述信息的相似度值,θ1、θ2为根据所述待检测威胁情报的类别设定的权重。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:采用威胁情报样本集对所述DBN判别模型进行训练,得到新DBN判别模型,其中,所述威胁情报样本集包含多个可信性已知的威胁情报。4.根据权利要求3所述的方法,其特征在于,所述采用威胁情报样本集对所述DBN判别模型进行训练,得到新DBN判别模型的步骤,包括:将所述威胁情报样本集划分为训练威胁情报样本集和测试威胁情报样本集;提取所述训练威胁情报样本集的多维度可信特征集,并构建多维度可信特征向量空间;利用所述多维度可信特征向量空间对所述DBN判别模型进行迭代训练,直到所述DBN判别模型收敛,得到新DBN判别模型;利用所述测试威胁情报集测试评估所述新DBN判别模型的准确率。5.根据权利要求1所述的方法,其特征在于,所述多维度可信特征包括时间维度可信特征、内容维度可信特征和领域知识维度可信特征。6.一种基于...
【专利技术属性】
技术研发人员:李小勇,李蕾,高雅丽,李继蕊,苑洁,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。