本发明专利技术涉及一种威胁情报IOC信誉度分析方法,获取威胁情报IOC,分析并建立网络威胁行为活动和社区,间隔预设时间对建立的模型进行动态调优。本发明专利技术中,主要以自有设备的流量数据与日志数据与第三方共享数据以及各项目中数据通过技术手段深度挖掘得到的攻击者以及数据源特征,建立威胁情报IOC信誉度评分模型,可满足各个数据源数据使用,满足对现有威胁情报源共享系统中对数据源信誉度验证,解决现有目前市场中存在大量威胁情报源数据不准确、威胁情报缺乏失效机制,使得无论是收集滴三方开源数据源,还是对自有设备中流量分析都能进行信誉度评价,体系可以随时间动态调整模型结构,确保数据失效机制。
A credibility analysis method of Threat Intelligence IOC
【技术实现步骤摘要】
一种威胁情报IOC信誉度分析方法
本专利技术属于数字信息的传输,例如电报通信的
,特别涉及一种威胁情报IOC信誉度分析方法。
技术介绍
威胁情报在遥远的古代就应用于军事和生产过程中,近年来成为网路安全热词之一。随着威胁情报逐渐在国内发展,目前内部设有威胁情报研究团队的公司日益剧增,同时在互联网上设计的相关产品、平台、情报数据亦相应增加。如何做好威胁情报之本——数据的把关、建立可信赖的数据信誉度评价体系、使得平台或者产品使用的数据建立有效的评价机制,这成为现今威胁情报使用的痛点。究其原因,是由于威胁情报在应用中,存在大量第三方威胁情报数据源,各方在使用数据源时并无统一的评价机制对数据源进行评价,造成数据源共享时无法知道数据源的准确性以及数据的准确性,而正是由于无法评估数据来源以及数据的准确性,造成了大量威胁情报源数据不准确、威胁情报缺乏失效机制。该问题不解决,则客户在使用威胁情报进行设备中的威胁源检测时容易造成数据误报,同时由于收集的威胁情报源无法对其进行追溯分析,可能存在黑客将某些白名单放置在开源情报中等,这些问题都将造成情报业务和产品出现严重滞留。
技术实现思路
本专利技术解决了现有技术中,存在大量第三方威胁情报数据源,各方在使用数据源时并无统一的评价机制对数据源进行评价,造成了大量威胁情报源数据不准确、威胁情报缺乏失效机制的问题,提供了一种优化的威胁情报IOC信誉度分析方法。本专利技术所采用的技术方案是,一种威胁情报IOC信誉度分析方法,所述方法包括以下步骤:r>步骤1:获取威胁情报IOC;步骤2:对威胁情报进行分析;步骤3:基于分析结果,建立网络威胁行为活动和社区;步骤4:间隔预设时间,返回步骤1动态调优。优选地,所述步骤1中,获取威胁情报IOC后,对来源进行整理;所述威胁情报IOC的来源包括自有数据来源和第三方数据源。优选地,所述自有数据来源包括安全厂商自有设备及设备中的日志。优选地,所述第三方数据源包括开源数据、其他厂商设备及设备中的数据,数据包括Event、URL、DNS、IP、Hash、来源名称、来源中数据标签详细描述文档、来源中是否存在定义不同的标识。优选地,所述步骤2包括以下步骤:步骤2.1:对数据源威胁情报进行预处理;步骤2.2:对情报准确度进行匹配分析;步骤2.3:得到信誉度分析值;步骤2.4:建立不同情报源在不同威胁类型情报的信誉度模型。优选地,所述步骤2.1中,将威胁情报分类处理,得到不同情报源下不同威胁类型的情报;所述类型包括C&C、钓鱼地址、木马地址、恶意软件、文章引用、恶意主机、扫描主机、垃圾邮件、漏洞利用。优选地,所述步骤2.2中,基于分类结果,得到不同的威胁情报在不同数据类型中的准确率及覆盖度。优选地,所述信誉度分析值F=(2*Pre*R)/(Pre+R),其中,Pre为可信的情报在总数中的占比,Pre=TP/(TP+FP),R为召回率,R=TP/(TP+TN),TP为情报预测为真且实际结果为真的值,TN为情报预测为真而实际结果为假的值,FP为情报预测为假且实际结果为真的值,FN为情报预测和实际结果均为假的值。优选地,所述步骤3中,对自有数据来源和第三方数据源的数据进行关联分析,建立网络威胁行为活动和社区。优选地,若在自有数据来源中检测到第三方数据源,则通过自由数据来源对应的模型对第三方数据源对应的模型进行修正。本专利技术提供了一种优化的威胁情报IOC信誉度分析方法,通过获取威胁情报IOC,进行分析并基于分析结果建立网络威胁行为活动和社区,对威胁情报进行信誉度分析,并间隔预设时间对建立的模型进行动态调优。本专利技术中,主要以自有设备的流量数据与日志数据与第三方共享数据以及各项目中数据通过大数据挖掘技术、关联分析、机器学习、深度学习、威胁情报建模技术、区块链技术、样本文件深度分析等技术手段深度挖掘得到的攻击者以及数据源特征,建立威胁情报IOC信誉度评分模型,可满足各个数据源数据使用,满足对现有威胁情报源共享系统中对数据源信誉度验证,解决现有目前市场中存在大量威胁情报源数据不准确、威胁情报缺乏失效机制,使得无论是收集滴三方开源数据源,还是对自有设备中流量分析都能进行信誉度评价,体系可以随时间动态调整模型结构,确保数据失效机制。附图说明图1为本专利技术的流程图。具体实施方式下面结合实施例对本专利技术做进一步的详细描述,但本专利技术的保护范围并不限于此。本专利技术涉及一种威胁情报IOC信誉度分析方法,达到对各个途径中的威胁情报IOC有一套可信赖的信誉度评价体系的目的,并以该评价体系动态调整以确保实效机制本专利技术中,事实上,威胁情报收集的IOC主要来自安全厂商自有设备(包括该公司使用设备在项目实践中捕获数据)、购买安全厂商数据、开源情报数据三个数据来源。这其中,对于第三方开源情报数据源,安全厂商数据无法对数据生产过程、数据评价机制进行判断,而在实际生产过程中由于技术、地域等原因又无法对威胁情报源进行全面收集,所以必须采用第三方数据源,故在收录第三方威胁情报数据时先进行网络威胁分析,在情报源接入时即可以进行实时的网络威胁分析。所述方法包括以下步骤。步骤1:获取威胁情报IOC。所述步骤1中,获取威胁情报IOC后,对来源进行整理;所述威胁情报IOC的来源包括自有数据来源和第三方数据源。所述自有数据来源包括安全厂商自有设备及设备中的日志。所述第三方数据源包括开源数据、其他厂商设备及设备中的数据,数据包括Event、URL、DNS、IP、Hash、来源名称、来源中数据标签详细描述文档、来源中是否存在定义不同的标识。步骤2:对威胁情报进行分析。所述步骤2包括以下步骤:步骤2.1:对数据源威胁情报进行预处理;所述步骤2.1中,将威胁情报分类处理,得到不同情报源下不同威胁类型的情报;所述类型包括C&C、钓鱼地址、木马地址、恶意软件、文章引用、恶意主机、扫描主机、垃圾邮件、漏洞利用。步骤2.2:对情报准确度进行匹配分析;所述步骤2.2中,基于分类结果,得到不同的威胁情报在不同数据类型中的准确率及覆盖度。步骤2.3:得到信誉度分析值;所述信誉度分析值F=(2*Pre*R)/(Pre+R),其中,Pre为可信的情报在总数中的占比,Pre=TP/(TP+FP),R为召回率,R=TP/(TP+TN),TP为情报预测为真且实际结果为真的值,TN为情报预测为真而实际结果为假的值,FP为情报预测为假且实际结果为真的值,FN为情报预测和实际结果均为假的值。步骤2.4:建立不同情报源在不同威胁类型情报的信誉度模型。本专利技术中,步骤2.1中,对于定义不同的威胁情报,以自有数据来源中对情报的命名方式为准。本专利技术中,步骤2.2中,基于自有情报,在不同的情报源中进行匹配比较得到匹配结果,一般来说,根据威胁类本文档来自技高网...
【技术保护点】
1.一种威胁情报IOC信誉度分析方法,其特征在于:所述方法包括以下步骤:/n步骤1:获取威胁情报IOC;/n步骤2:对威胁情报进行分析;/n步骤3:基于分析结果,建立网络威胁行为活动和社区;/n步骤4:间隔预设时间,返回步骤1动态调优。/n
【技术特征摘要】
1.一种威胁情报IOC信誉度分析方法,其特征在于:所述方法包括以下步骤:
步骤1:获取威胁情报IOC;
步骤2:对威胁情报进行分析;
步骤3:基于分析结果,建立网络威胁行为活动和社区;
步骤4:间隔预设时间,返回步骤1动态调优。
2.根据权利要求1所述的一种威胁情报IOC信誉度分析方法,其特征在于:所述步骤1中,获取威胁情报IOC后,对来源进行整理;所述威胁情报IOC的来源包括自有数据来源和第三方数据源。
3.根据权利要求2所述的一种威胁情报IOC信誉度分析方法,其特征在于:所述自有数据来源包括安全厂商自有设备及设备中的日志。
4.根据权利要求2所述的一种威胁情报IOC信誉度分析方法,其特征在于:所述第三方数据源包括开源数据、其他厂商设备及设备中的数据,数据包括Event、URL、DNS、IP、Hash、来源名称、来源中数据标签详细描述文档、来源中是否存在定义不同的标识。
5.根据权利要求1所述的一种威胁情报IOC信誉度分析方法,其特征在于:所述步骤2包括以下步骤:
步骤2.1:对数据源威胁情报进行预处理;
步骤2.2:对情报准确度进行匹配分析;
步骤2.3:得到信誉度分析值;
步骤2.4:建立不同情报源在不同威胁类型情报的信誉度模型。
6...
【专利技术属性】
技术研发人员:罗毓环,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。