一种网络威胁情报可信度识别方法技术

本发明专利技术公开了一种网络威胁情报可信度识别方法，本发明专利技术步骤包括：1)构建网络威胁情报的关联图模型，图上的节点是网络威胁指标；2)每个网络威胁指标都有一个初始信誉值，计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分；3)为关联图模型中的每一个边计算权重；4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播，进而与每个网络威胁指标的初始信誉值结合计算得到最终信誉值；5)根据网络威胁指标的最终信誉值确定网络威胁情报可信度。本发明专利技术能够更好的评估网络威胁情报质量。

A Method for Identifying the Credibility of Network Threat Information

The invention discloses a method for identifying the credibility of network threat information. The steps of the invention include: 1) constructing the association graph model of network threat information, and the nodes on the graph are network threat indicators; 2) each network threat indicator has an initial reputation value, and calculating the initial reputation value of each network threat indicator as a part of the final threat reputation value of the indicator; 3) being relevant; Each edge of the joint graph model calculates the weight; 4) Threat propagation algorithm is designed with the idea of graph propagation algorithm to make the threat reputation value propagate step by step in the nodes and adjacent nodes, and then calculate the final reputation value by combining with the initial reputation value of each network threat index; 5) Determine the credibility of network threat information according to the final reputation value of network threat index. The invention can better evaluate the quality of network threat information.

【技术实现步骤摘要】
一种网络威胁情报可信度识别方法
本专利技术涉及计算机网络安全领域，用于对网络威胁情报的质量进行量化，更具体地，是一种针对网络威胁指标的信誉进行度量的方法。
技术介绍
威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。针对现存的或新兴的威胁，可为主体响应相关威胁提供决策信息。威胁指标(IndicatorofComprosime，简称IoC)是指在特定的网络环境或信息系统中，用来识别或指出一个特定威胁的指征数据，其核心为对网络可观察数据进行组合的指示表达，可信度(信誉)是其关键特性。面向新的威胁形式，威胁情报使人们从过去以漏洞为中心的防御思路进化为基于威胁为中心的防御思路，威胁情报以空间换时间，与传统的安全防御相比可以大幅提高威胁检测和应急响应的效率。当前威胁情报系统完全构建于大数据之上，谁掌握的基础数据更多谁就在竞争中拥有更大的主动权。威胁情报厂商需要尽可能的收集互联网基础设施数据、最新的攻击工具和攻击方法，以提供服务的方式帮助用户提前发现安全隐患，及时拦截威胁，有效抵御攻击。但是，在威胁情报的实际应用中仍然面临着一些挑战。一是当前的威胁情报数据过载，在使用威胁情报进行分析时会产生大量的情报指标。一方面是由于威胁情报的多源特性，单一情报源不能满足所有需求，订阅多个情报产生了太多的告警；另一方面，威胁情报之间存在着多层次、多类别的关联关系，随着分析层次的深入，产生的情报数量将呈指数级增长。二是威胁情报数据存在大量的假阳性指标，影响威胁情报的利用效率。当前业界对威胁情报关注的重点还处于数据的多样性和完备性阶段，而缺少对网络威胁情报质量的评估。目前，网络威胁情报质量的评估包括针对威胁情报厂商的宏观评估和针对单个情报指标的微观评估方法。宏观评估方法以整个威胁情报源为评估对象，从相关性、准确性、完整性、时效性和可利用性等多个维度对情报信息的质量进行评估量化，其结果可以衡量威胁情报源的整体质量，但无法衡量具体的威胁情报指标。微观评估方法以单个威胁情报指标为评估对象，可以过滤大量的假阳性情报指标，降低威胁情报的数据量，但当前仍主要通过领域专家进行人工评估，无法适用大规模的威胁情报数据。
技术实现思路
为解决上述问题，本专利技术提出一种针对网络威胁情报进行信誉度量的方法，进而更好的评估网络威胁情报质量。通过构建网络威胁情报的关联图模型，并在该图结构上执行威胁传播算法，计算每个网络威胁指标的威胁信誉值，实现对网络威胁指标信誉的量化。为达到上述目的，本专利技术采用的具体技术方案包括以下步骤：1)构建网络威胁情报的关联图模型，图上的节点是网络威胁指标。节点类型包括IP、URL、Domain、Email、Incident和MD5。采用了Neo4j图数据库对威胁情报的关联关系进行存储。2)每个网络威胁指标都有一个初始信誉值，计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分。3)为关联图模型中的每一个边计算权重(传播指数)。边的类型包括resolve、evidence和associate三种类型，不同类型的边设置不同的权重。4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播，进而与每个网络威胁指标的初始信誉值结合计算得到最终信誉值。5)通过上述步骤最终可以得到每个节点即网络威胁指标的最终威胁信誉值，信誉值越高即代表该网络威胁指标所在的情报记录质量越高。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的目的、特征和优点能够更加明显易懂，下面结合事例对本专利技术中技术核心作进一步详细的说明。在本专利技术中提出了一种对网络威胁指标进行信誉度量的方法。本方法的步骤包括：步骤1，构建网络威胁情报的关联图模型。此模块构建威胁情报关联关系的网络图。威胁情报关联关系网络图由节点和边组成，每个节点都代表一个网络威胁指标，节点类型包括IP、URL、Domain、Email、Incident和MD5。边的类型设计为三类。包括基于解析服务的关联关系，基于样本证据的关联关系，基于人工分析的关联关系。此关联图模型存储在Neo4j图数据库中。步骤2，构建每个网络威胁指标的初始信誉值。因为对威胁威胁指标信誉值的计算不能只根据接收到的邻节点的传播信誉值来度量，倘若接收的信誉值较少，而该指标本身是一个高威胁性的指标，仅仅根据接收的信誉值无法正确度量该情报。所以，最终的网络威胁指标的信誉值由邻节点的传播信誉值和节点的自身初始信誉值共同决定，因此构建了一个模块用来计算网络威胁指标的初始信誉值。初始信誉值的计算可以通过专家评估、知名平台和开源威胁情报社区的多数投票来决定。如AlienVault、ThreatBook等的情报社区，IBMX-Force、VirusTotal、360TI等知名威胁情报平台等。本专利技术对威胁情报的初始信誉计算由两部分构成，一部分是可以通过爬虫直接获取的，包括IP指标、域名指标、样本指标、安全事件指标的初始信誉，从IBM威胁情报库X-Force中采集；另一部分是目前第三方不提供的情报信誉，如URL情报，论文对URL的初始信誉使用了多分类器投票模型进行计算。步骤3，信誉值爬取。本专利技术爬取的初始信誉主要来源于IBMX-Force平台，针对不同的情报指标类型调用不同的API接口，具体接口类型如表1所示，然后将爬取对象加入到爬虫队列中，采用多线程方式进行高效的情报信誉采集，并对爬取结果存储在本地数据库中。表1为信誉API接口类型类型APIIPhttps://api.xforce.ibmcloud.com/ipr/history/+valueDomainhttps://api.xforce.ibmcloud.com/url/+valueMD5/Hashhttps://api.xforce.ibmcloud.com/malware/+value步骤4，多分类器投票。针对URL的初始信誉计算，本专利技术提出了多分类器投票模型，通过构建决策树分类器、贝叶斯分类器和SVM分类器对URL进行判别，并采用投票机制计算最终的信誉值。在利用已有威胁情报库的情况下，本专利技术给出如下的检测流程：1)查询威胁情报库是否有该条信息的信誉值，若存在则输出结果并结束计算，否则进入步骤2)；2)对待计算的URL提取结构特征、情报特征和敏感词特征；3)将该URL的特征值分别放入已经训练好的分类器1，分类器2和分类器3进行计算；4)根据特征属性选择分类器的权重，计算最终的投票结果；5)输出计算结果，并反馈至威胁情报平台，威胁情报内容得到扩充。上述流程中提到的URL结构特征是通过对URL字符串的自身结构进行分析提取的，主要包含了URL点的个数、URL长度、URL是否存在大写字母、URL是否存在特殊符号、URL是否存在IP地址5个特征。URL的情报特征通过与威胁情报平台的信息库进行关联提取，包含了URL所在服务器物理位置、URL域名注册时间、URL的Alexa排名、URL的PageRank值4个特征。而URL的敏感词特征则是通过对威胁情报平台中URL信息库的数据进行一系列的分词和统计分析提取的。信誉计算过程中，系统根据URL特征值的特点自动选择不同的权重。设f(x)为最后的信誉值，ai(i＝1,2,3)为分类器的分本文档来自技高网...

【技术保护点】
1.一种网络威胁情报可信度识别方法，其步骤包括：1)构建网络威胁情报的关联图模型，图上的节点是网络威胁指标；2)每个网络威胁指标都有一个初始信誉值，计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分；3)为关联图模型中的每一个边计算权重；4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播，进而与每个网络威胁指标的初始信誉值结合计算得到最终信誉值；5)根据网络威胁指标的最终信誉值确定网络威胁情报可信度。

【技术特征摘要】
1.一种网络威胁情报可信度识别方法，其步骤包括：1)构建网络威胁情报的关联图模型，图上的节点是网络威胁指标；2)每个网络威胁指标都有一个初始信誉值，计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分；3)为关联图模型中的每一个边计算权重；4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播，进而与每个网络威胁指标...

【专利技术属性】
技术研发人员：杜翔宇，姜政伟，韩瑶鹏，江钧，宋秉华，刘宝旭，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11