The invention discloses a method for identifying the credibility of network threat information. The steps of the invention include: 1) constructing the association graph model of network threat information, and the nodes on the graph are network threat indicators; 2) each network threat indicator has an initial reputation value, and calculating the initial reputation value of each network threat indicator as a part of the final threat reputation value of the indicator; 3) being relevant; Each edge of the joint graph model calculates the weight; 4) Threat propagation algorithm is designed with the idea of graph propagation algorithm to make the threat reputation value propagate step by step in the nodes and adjacent nodes, and then calculate the final reputation value by combining with the initial reputation value of each network threat index; 5) Determine the credibility of network threat information according to the final reputation value of network threat index. The invention can better evaluate the quality of network threat information.
【技术实现步骤摘要】
一种网络威胁情报可信度识别方法
本专利技术涉及计算机网络安全领域,用于对网络威胁情报的质量进行量化,更具体地,是一种针对网络威胁指标的信誉进行度量的方法。
技术介绍
威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。针对现存的或新兴的威胁,可为主体响应相关威胁提供决策信息。威胁指标(IndicatorofComprosime,简称IoC)是指在特定的网络环境或信息系统中,用来识别或指出一个特定威胁的指征数据,其核心为对网络可观察数据进行组合的指示表达,可信度(信誉)是其关键特性。面向新的威胁形式,威胁情报使人们从过去以漏洞为中心的防御思路进化为基于威胁为中心的防御思路,威胁情报以空间换时间,与传统的安全防御相比可以大幅提高威胁检测和应急响应的效率。当前威胁情报系统完全构建于大数据之上,谁掌握的基础数据更多谁就在竞争中拥有更大的主动权。威胁情报厂商需要尽可能的收集互联网基础设施数据、最新的攻击工具和攻击方法,以提供服务的方式帮助用户提前发现安全隐患,及时拦截威胁,有效抵御攻击。但是,在威胁情报的实际应用中仍然面临着一些挑战。一是当前的威胁情报数据过载,在使用威胁情报进行分析时会产生大量的情报指标。一方面是由于威胁情报的多源特性,单一情报源不能满足所有需求,订阅多个情报产生了太多的告警;另一方面,威胁情报之间存在着多层次、多类别的关联关系,随着分析层次的深入,产生的情报数量将呈指数级增长。二是威胁情报数据存在大量的假阳性指标,影响威胁情报的利用效率。当前业界对威胁情报关注的重点还处于数据的多样性和完备性阶段,而缺少对网络威胁情报质量的评估。目 ...
【技术保护点】
1.一种网络威胁情报可信度识别方法,其步骤包括:1)构建网络威胁情报的关联图模型,图上的节点是网络威胁指标;2)每个网络威胁指标都有一个初始信誉值,计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分;3)为关联图模型中的每一个边计算权重;4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播,进而与每个网络威胁指标的初始信誉值结合计算得到最终信誉值;5)根据网络威胁指标的最终信誉值确定网络威胁情报可信度。
【技术特征摘要】
1.一种网络威胁情报可信度识别方法,其步骤包括:1)构建网络威胁情报的关联图模型,图上的节点是网络威胁指标;2)每个网络威胁指标都有一个初始信誉值,计算出每个网络威胁指标的初始信誉值作为该指标的最终的威胁信誉值的一部分;3)为关联图模型中的每一个边计算权重;4)借助图传播算法的思想设计威胁传播算法使威胁信誉值在节点和相邻节点中逐级传播,进而与每个网络威胁指标...
【专利技术属性】
技术研发人员:杜翔宇,姜政伟,韩瑶鹏,江钧,宋秉华,刘宝旭,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。