【技术实现步骤摘要】
威胁情报判研方法及装置
本专利技术涉及计算机信息安全领域,尤其涉及一种结构化威胁情报的判研方法及装置。
技术介绍
《GB/T20984-2007信息安全风险评估规范》中定义的威胁是:可能导致对系统或组织危害的不希望事故潜在起因。威胁情报则是能够反馈起因存在时攻击者执行若干重要特征的数据集。这样的数据集应该是被规范化的;例如,结构化威胁信息表达式STIX规范,其提供基于标准化XML的语法描述威胁情报的细节及威胁内容的解决方案。STIX(StructuredThreatInformationeXpression,结构化威胁信息表达式)一般由若干关键词构造及其之间的关系组成。观察对象(Observable):用CybOX表征的动态事件或静态资产;指标(Indicators):描述了可能看到的攻击模式以及它们的方式;事件(Incidents):描述了特定对手行为的实例;TPP(AdversaryTactics,Techniques,andProcedures):描述攻击模式,恶意软件,攻击,杀链,工具,基础设施,受害者定位以...
【技术保护点】
1.一种威胁情报判研方法,其特征在于,所述方法包括:/nS1、获取基于XML的威胁情报文档;/nS2、提取所述威胁情报文档的根标签;/nS3、解析所述根标签声明的对象;/nS4、根据所述声明的对象生成所述根标签中文本内容的向量数组;/nS5、根据深度学习分类模型构造判研模型,根据STIX规范制作训练样本并训练所述判研模型;/nS6、选择所述向量数组作为输入及待预测对象作为输出的判研模型;/nS7、所述判研模型根据输入的所述向量数组,输出待预测对象的预测数组;/nS8、解析所述预测数组作为所述待预测对象的文本内容。/n
【技术特征摘要】
1.一种威胁情报判研方法,其特征在于,所述方法包括:
S1、获取基于XML的威胁情报文档;
S2、提取所述威胁情报文档的根标签;
S3、解析所述根标签声明的对象;
S4、根据所述声明的对象生成所述根标签中文本内容的向量数组;
S5、根据深度学习分类模型构造判研模型,根据STIX规范制作训练样本并训练所述判研模型;
S6、选择所述向量数组作为输入及待预测对象作为输出的判研模型;
S7、所述判研模型根据输入的所述向量数组,输出待预测对象的预测数组;
S8、解析所述预测数组作为所述待预测对象的文本内容。
2.如权利要求1所述的威胁情报判研方法,其特征在于,所述步骤S1中,所述获取基于XML的威胁情报文档具体包括:
获取文本形式的威胁情报;
根据威胁情报生成基于XML的威胁情报文档。
3.如权利要求1所述的威胁情报判研方法,其特征在于,所述步骤S5中,所述根据STIX规范制作训练样本并训练所述判研模型的具体步骤如下:
S51、获取基于STIX1.0规范的文档;
S52、提取所述文档中的根标签;
S53、解析所述根标签声明的对象;
S54、根据所述声明的对象生成所述根标签中文本内容的向量数组;
S55、分配STIX1.0规范中的至少一个所述对象的所述向量数组为输入样本及输出样本;
S56、根据所述输入样本及所述输出样本训练所述判研模型。
4.如权利要求3所述的威胁情报判研方法,其特征在于,所述输入样本或输出样本分别的被配置为观察对象、指标、事件、TPP、漏洞利用目标、行动方针、攻击活动及威胁参与者中的至少一种。
5.如权利要求3所述的威胁情报判研方法,其特征在于,步骤S4和步骤S54中,所述根据声明的对象生成所述根标签中文本内容的向量数组具体为:
获取所述根标签下属的子标签;
根据所述声明的对象筛选对应所述根标签中至少一个关键的子标签作为关键标签;
根据所述关键标签的文本内容生成句向量;
根据全部的所述句向量生成向量数组。
6.如权利要求5所述的威胁情报判研方法,其特征在于,所述...
【专利技术属性】
技术研发人员:徐明迪,高雪原,叶圣洁,叶春霖,
申请(专利权)人:中国船舶重工集团公司第七零九研究所,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。