一种威胁情报IOC信誉度分析方法技术

本发明专利技术涉及一种威胁情报IOC信誉度分析方法，获取威胁情报IOC，分析并建立网络威胁行为活动和社区，间隔预设时间对建立的模型进行动态调优。本发明专利技术中，主要以自有设备的流量数据与日志数据与第三方共享数据以及各项目中数据通过技术手段深度挖掘得到的攻击者以及数据源特征，建立威胁情报IOC信誉度评分模型，可满足各个数据源数据使用，满足对现有威胁情报源共享系统中对数据源信誉度验证，解决现有目前市场中存在大量威胁情报源数据不准确、威胁情报缺乏失效机制，使得无论是收集滴三方开源数据源，还是对自有设备中流量分析都能进行信誉度评价，体系可以随时间动态调整模型结构，确保数据失效机制。

A credibility analysis method of Threat Intelligence IOC

【技术实现步骤摘要】
一种威胁情报IOC信誉度分析方法
本专利技术属于数字信息的传输，例如电报通信的
，特别涉及一种威胁情报IOC信誉度分析方法。
技术介绍
威胁情报在遥远的古代就应用于军事和生产过程中，近年来成为网路安全热词之一。随着威胁情报逐渐在国内发展，目前内部设有威胁情报研究团队的公司日益剧增，同时在互联网上设计的相关产品、平台、情报数据亦相应增加。如何做好威胁情报之本——数据的把关、建立可信赖的数据信誉度评价体系、使得平台或者产品使用的数据建立有效的评价机制，这成为现今威胁情报使用的痛点。究其原因，是由于威胁情报在应用中，存在大量第三方威胁情报数据源，各方在使用数据源时并无统一的评价机制对数据源进行评价，造成数据源共享时无法知道数据源的准确性以及数据的准确性，而正是由于无法评估数据来源以及数据的准确性，造成了大量威胁情报源数据不准确、威胁情报缺乏失效机制。该问题不解决，则客户在使用威胁情报进行设备中的威胁源检测时容易造成数据误报，同时由于收集的威胁情报源无法对其进行追溯分析，可能存在黑客将某些白名单放置在开源情报中等，这些问题都将造成本文档来自技高网...

【技术保护点】
1.一种威胁情报IOC信誉度分析方法，其特征在于：所述方法包括以下步骤：/n步骤1：获取威胁情报IOC；/n步骤2：对威胁情报进行分析；/n步骤3：基于分析结果，建立网络威胁行为活动和社区；/n步骤4：间隔预设时间，返回步骤1动态调优。/n

【技术特征摘要】
1.一种威胁情报IOC信誉度分析方法，其特征在于：所述方法包括以下步骤：
步骤1：获取威胁情报IOC；
步骤2：对威胁情报进行分析；
步骤3：基于分析结果，建立网络威胁行为活动和社区；
步骤4：间隔预设时间，返回步骤1动态调优。


2.根据权利要求1所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述步骤1中，获取威胁情报IOC后，对来源进行整理；所述威胁情报IOC的来源包括自有数据来源和第三方数据源。


3.根据权利要求2所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述自有数据来源包括安全厂商自有设备及设备中的日志。


4.根据权利要求2所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述第三方数据源包括开源数据、其他厂商设备及设备中的数据，数据包括Event、URL、DNS、IP、Hash、来源名称、来源中数据标签详细描述文档、来源中是否存在定义不同的标识。


5.根据权利要求1所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述步骤2包括以下步骤：
步骤2.1：对数据源威胁情报进行预处理；
步骤2.2：对情报准确度进行匹配分析；
步骤2.3：得到信誉度分析值；
步骤2.4：建立不同情报源在不同威胁类型情报的信誉度模型。


6...

【专利技术属性】
技术研发人员：罗毓环，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33