本发明专利技术公开了一种基于高级持续性威胁攻击的信息处理方法及系统,利用与数据源结构特征相匹配的信息采集方式,采集得到原始信息,所述原始信息包括原始的上下文信息;利用预构建的上下文模型对所述原始信息进行分析,得到目标信息,所述上下文模型用于对所述原始信息进行过滤、推断和融合处理,所述目标信息表征具有统一描述格式的高层上下文;将所述目标信息存储在知识库中,以使得基于所述知识库的调用接口在目标信息中获得对应的查询数据。实现了能够有效获得高级持续性威胁攻击的相关信息,便于对信息的更有效地利用。便于对信息的更有效地利用。便于对信息的更有效地利用。
【技术实现步骤摘要】
基于高级持续性威胁攻击的信息处理方法及系统
[0001]本专利技术涉及网络
,特别是涉及一种基于高级持续性威胁攻击的信息处理方法及系统。
技术介绍
[0002]在进行APT(Advanced Persistent Threat,高级持续性威胁攻击)的追踪和研究过程中,基于网络安全监测的实时数据、各种多源异构的威胁情报平台及论坛数据,往往会积累海量关于APT攻击组织及相关TTP(Tactic Technique Process,攻击技战术)的信息,如果能够有效抽取、存储和利用这些信息,将会为APT攻击追踪和发现提供重要的信息帮助,因此,如何获得高级持续性威胁攻击的有效信息已经成为目前的研究重点。
技术实现思路
[0003]针对于上述问题,本专利技术提供一种基于高级持续性威胁攻击的信息处理方法及系统,实现了能够有效获得高级持续性威胁攻击的相关信息,便于对信息的更有效地利用。
[0004]为了实现上述目的,本专利技术提供了如下技术方案:
[0005]一种基于高级持续性威胁攻击的信息处理方法,所述方法包括:
[0006]利用与数据源结构特征相匹配的信息采集方式,采集得到原始信息,所述原始信息包括原始的上下文信息;
[0007]利用预构建的上下文模型对所述原始信息进行分析,得到目标信息,所述上下文模型用于对所述原始信息进行过滤、推断和融合处理,所述目标信息表征具有统一描述格式的高层上下文;
[0008]将所述目标信息存储在知识库中,以使得基于所述知识库的调用接口在目标信息中获得对应的查询数据。
[0009]可选地,所述利用与数据源结构特征相匹配的信息采集方式,采集得到原始信息,包括:
[0010]针对于非实时的半结构化的高级持续威胁攻击情报信息,利用预设的爬虫引擎进行信息采集,获得原始信息;
[0011]针对大数据平台实时生成的数据,利用预设的大数据框架进行信息采集,获得原始信息。
[0012]可选地,所述爬虫引擎包括引擎、调度器、下载器、爬虫单元、管道、下载中间件和爬虫中间件构成,所述利用预设的爬虫引擎进行信息采集,获得原始信息,包括:
[0013]通过所述引擎从所述调度器读取用于进行信息抓取的链接;
[0014]利用所述引擎将所述链接封装成请求,并将所述请求发送给所述下载器;
[0015]通过所述下载器将与所述请求对应的资源进行下载,并生成应答包;
[0016]通过爬取单元对所述应答包进行解析,得到实体信息,将所述实体信息发送给所述管道,使得所述管道对所述实体信息进行即系得到所述链接,将所述链接发送给调度器,
使得所述调度器进行信息抓取,得到原始信息。
[0017]可选地,所述利用预设的大数据框架进行信息采集,获得原始信息,包括:
[0018]通过所述预设的大数据框架的流式计算,对大数据平台实时生成的数据进行处理和规范,得到原始数据。
[0019]可选地,所述方法还包括:
[0020]创建上下文模型,包括:
[0021]构建高级持续性威胁攻击的威胁本体结构,所述威胁本体结构包括各个实体概念类的定义以及实体概念类之间关系的定义;
[0022]对上下文语义存储格式进行统一,得到目标上下文语义;
[0023]基于所述威胁本体结构,对所述目标上下文语义进行表示,得到上下文模型。
[0024]可选地,所述利用预构建的上下文模型对所述原始信息进行分析,得到目标信息,包括:
[0025]对所述原始信息进行上下文过滤,得到过滤够的信息;
[0026]利用预构建的上下文模型得到实体和关系抽取规则,并利用所述规则在过滤后的信息中进行信息抽取,得到抽取后的信息;
[0027]将抽取后的信息进行上下文语义融合,得到目标信息,其中,所述上下文语义融合包括实体链接的处理方式,所述实体链接为将上下文中提到的实体与知识库中对应的实体进行链接的处理方式。
[0028]一种基于高级持续性威胁攻击的信息处理系统,所述系统包括:
[0029]采集单元,用于利用与数据源结构特征相匹配的信息采集方式,采集得到原始信息,所述原始信息包括原始的上下文信息;
[0030]分析单元,用于利用预构建的上下文模型对所述原始信息进行分析,得到目标信息,所述上下文模型用于对所述原始信息进行过滤、推断和融合处理,所述目标信息表征具有统一描述格式的高层上下文;
[0031]存储单元,用于将所述目标信息存储在知识库中,以使得基于所述知识库的调用接口在目标信息中获得对应的查询数据。
[0032]可选地,所述采集单元包括:
[0033]第一采集子单元,用于针对于非实时的半结构化的高级持续威胁攻击情报信息,利用预设的爬虫引擎进行信息采集,获得原始信息;
[0034]第二采集子单元,用于针对大数据平台实时生成的数据,利用预设的大数据框架进行信息采集,获得原始信息。
[0035]可选地,所述爬虫引擎包括引擎、调度器、下载器、爬虫单元、管道、下载中间件和爬虫中间件构成,所述第一采集子单元具体用于:
[0036]通过所述引擎从所述调度器读取用于进行信息抓取的链接;
[0037]利用所述引擎将所述链接封装成请求,并将所述请求发送给所述下载器;
[0038]通过所述下载器将与所述请求对应的资源进行下载,并生成应答包;
[0039]通过爬取单元对所述应答包进行解析,得到实体信息,将所述实体信息发送给所述管道,使得所述管道对所述实体信息进行即系得到所述链接,将所述链接发送给调度器,使得所述调度器进行信息抓取,得到原始信息。
[0040]可选地,所述第二采集子单元具体用于:
[0041]通过所述预设的大数据框架的流式计算,对大数据平台实时生成的数据进行处理和规范,得到原始数据。
[0042]可选地,所述系统还包括:
[0043]创建单元,用于创建上下文模型,所述创建单元具体用于包括:
[0044]构建高级持续性威胁攻击的威胁本体结构,所述威胁本体结构包括各个实体概念类的定义以及实体概念类之间关系的定义;
[0045]对上下文语义存储格式进行统一,得到目标上下文语义;
[0046]基于所述威胁本体结构,对所述目标上下文语义进行表示,得到上下文模型。
[0047]可选地,所述分析单元包括:
[0048]过滤子单元,用于对所述原始信息进行上下文过滤,得到过滤够的信息;
[0049]抽取子单元,用于利用预构建的上下文模型得到实体和关系抽取规则,并利用所述规则在过滤后的信息中进行信息抽取,得到抽取后的信息;
[0050]融合子单元,用于将抽取后的信息进行上下文语义融合,得到目标信息,其中,所述上下文语义融合包括实体链接的处理方式,所述实体链接为将上下文中提到的实体与知识库中对应的实体进行链接的处理方式。
[0051]相较于现有技术,本专利技术提供了一种基于高级持本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于高级持续性威胁攻击的信息处理方法,其特征在于,所述方法包括:利用与数据源结构特征相匹配的信息采集方式,采集得到原始信息,所述原始信息包括原始的上下文信息;利用预构建的上下文模型对所述原始信息进行分析,得到目标信息,所述上下文模型用于对所述原始信息进行过滤、推断和融合处理,所述目标信息表征具有统一描述格式的高层上下文;将所述目标信息存储在知识库中,以使得基于所述知识库的调用接口在目标信息中获得对应的查询数据。2.根据权利要求1所述的方法,其特征在于,所述利用与数据源结构特征相匹配的信息采集方式,采集得到原始信息,包括:针对于非实时的半结构化的高级持续威胁攻击情报信息,利用预设的爬虫引擎进行信息采集,获得原始信息;针对大数据平台实时生成的数据,利用预设的大数据框架进行信息采集,获得原始信息。3.根据权利要求2所述的方法,其特征在于,所述爬虫引擎包括引擎、调度器、下载器、爬虫单元、管道、下载中间件和爬虫中间件构成,所述利用预设的爬虫引擎进行信息采集,获得原始信息,包括:通过所述引擎从所述调度器读取用于进行信息抓取的链接;利用所述引擎将所述链接封装成请求,并将所述请求发送给所述下载器;通过所述下载器将与所述请求对应的资源进行下载,并生成应答包;通过爬取单元对所述应答包进行解析,得到实体信息,将所述实体信息发送给所述管道,使得所述管道对所述实体信息进行即系得到所述链接,将所述链接发送给调度器,使得所述调度器进行信息抓取,得到原始信息。4.根据权利要求2所述的方法,其特征在于,所述利用预设的大数据框架进行信息采集,获得原始信息,包括:通过所述预设的大数据框架的流式计算,对大数据平台实时生成的数据进行处理和规范,得到原始数据。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:创建上下文模型,包括:构建高级持续性威胁攻击的威胁本体结构,所述威胁本体结构包括各个实体概念类的定义以及实体概念类之间关系的定义;对上下文语义存储格式进行统一,得到目标上下文语义;基于所述威胁本体结构,对所述目标上下文语义进行表示,得到上下文模型。6.根据权利要求1所述的方法,其特征在于,所述利用预构建的上下文模...
【专利技术属性】
技术研发人员:李烨昊,孟祥杰,
申请(专利权)人:中国信息安全测评中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。