本申请公开了一种威胁情报信息处理方法、装置、设备及存储介质。该方法的步骤包括:获取由第三方平台产生的外源威胁情报信息;提取外源威胁情报信息在多个目标维度下的外源信息特征;将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级;其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。本方法实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。此外,本申请还提供一种威胁情报信息处理装置、设备及存储介质,有益效果同上所述。有益效果同上所述。有益效果同上所述。
【技术实现步骤摘要】
一种威胁情报信息处理方法、装置、设备及存储介质
[0001]本申请涉及网络安全领域,特别是涉及一种威胁情报信息处理方法、装置、设备及存储介质。
技术介绍
[0002]随着威胁情报信息共享数据的快速增长,以及网络安全防御的升级,给威胁情报信息产品和共享平台带来了新的发展。建立以威胁情报信息为核心的安全防御系统进行安全事件的发现及网络安全威胁的预警成为重中之重。
[0003]威胁情报信息(Cyber Threat Intelligence,CTI)指收集证据知识的任务,包括关于现存的或潜在威胁和风险的背景、机制、指标、意义和行动的建议,可用于对威胁或风险做出响应的决策。
[0004]当前,威胁情报信息往往通过海量多源的途径获取,因此获取得到的威胁情报信息的质量往往参差不齐,威胁情报信息掺杂着大量混淆和失效的错误情报,如何分析威胁情报信息的可信度等级,进而确保使用威胁情报信息时的可靠性,是本领域技术人员关注的重点。
[0005]由此可见,提供一种威胁情报信息处理方法,以实现对威胁情报信息的可信度等级的分析,进而确保使用威胁情报信息过程的可靠性,是本领域技术人员需要解决的问题。
技术实现思路
[0006]本申请的目的是提供一种威胁情报信息处理方法,以实现对威胁情报信息的可信度等级的分析,进而确保使用威胁情报信息过程的可靠性。
[0007]为解决上述技术问题,本申请提供一种威胁情报信息处理方法,包括:
[0008]获取由第三方平台产生的外源威胁情报信息;
[0009]提取外源威胁情报信息在多个目标维度下的外源信息特征;
[0010]将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级;其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
[0011]优选地,等级分析模型的生成过程包括:
[0012]获取威胁情报信息样本;
[0013]获取威胁情报信息样本的样本可信度等级;
[0014]提取威胁情报信息样本在目标维度下的情报信息特征样本;
[0015]将情报信息特征样本输入至GBDT模型;
[0016]调整GBDT模型的模型参数,直至GBDT模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内,并将调整后的GBDT模型设置为等级分析模型。
[0017]优选地,方法还包括:
[0018]获取本地系统产生的内源威胁情报信息;
[0019]统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度;
[0020]判断相似度是否达到预设阈值;
[0021]若相似度达到预设阈值,则将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
[0022]优选地,外源威胁情报信息以及内源威胁情报信息的信息格式均为STIX格式;
[0023]相应的,统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度,包括:
[0024]统计内源威胁情报信息与外源威胁情报信息之间,在STIX格式中各属性维度的属性值相同的频次;
[0025]基于各属性维度对应的频次以及权重值生成相似度。
[0026]优选地,提取外源威胁情报信息在多个目标维度下的外源信息特征,包括:
[0027]提取外源威胁情报信息在情报可读性、情报源权威性、相似情报数量、异常IP地址数量、异常域名数量、异常URL数量、异常文本数量、首次出现时间、最近更新时间以及最近预设次更新时刻间隔时长中,任意多个维度下的外源信息特征。
[0028]此外,本申请还提供一种威胁情报信息处理装置,包括:
[0029]外源情报获取模块,用于获取由第三方平台产生的外源威胁情报信息;
[0030]外源特征提取模块,用于提取外源威胁情报信息在多个目标维度下的外源信息特征;
[0031]模型分析模块,用于将各外源信息特征输入至等级分析模型,得到外源威胁情报信息的可信度等级;其中,等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。
[0032]优选地,还包括:
[0033]样本获取模块,用于获取威胁情报信息样本;
[0034]等级获取模块,用于获取威胁情报信息样本的样本可信度等级;
[0035]特征样本提取模块,用于提取威胁情报信息样本在目标维度下的情报信息特征样本;
[0036]模型输入模块,用于将情报信息特征样本输入至GBDT模型;
[0037]调参训练模块,用于调整GBDT模型的模型参数,直至GBDT模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内,并将调整后的GBDT模型设置为等级分析模型。
[0038]优选地,还包括:
[0039]内源情报获取模块,用于获取本地系统产生的内源威胁情报信息;
[0040]相似度统计模块,用于统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度;
[0041]阈值判断模块,用于判断相似度是否达到预设阈值,若是,则调用可信度设置模块;
[0042]可信度设置模块,用于将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
[0043]此外,本申请还提供一种威胁情报信息处理设备,包括:
[0044]存储器,用于存储计算机程序;
[0045]处理器,用于执行计算机程序时实现如上述的威胁情报信息处理方法的步骤。
[0046]此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的威胁情报信息处理方法的步骤。
[0047]本申请所提供的威胁情报信息处理方法,首先获取由第三方平台产生的外源威胁情报信息,进而提取外源威胁情报信息在多个目标维度下的情报信息特征,并将各外源信息特征输入至等级分析模型,由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本,以及威胁情报信息样本的样本可信度等级对GBDT模型训练得到。由于GBDT模型是一种采用决策树或回归树作为弱分类器的梯度提升算法,允许用多个不同的判决条件将不同特征关联起来,适合于产生不同结果的特征的联合,而本方法中的等级分析模型基于GBDT模型训练得到,因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析,生成外源威胁情报信息的可信度等级,实现了对威胁情报信息的可信度等级的分析,进而确保了使用威胁情报信息过程的可靠性。此外,本申请还提供一种威胁情报信息处理装置、设备及存储介质,有益效果同上所述。
附图说明
[0048]为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种威胁情报信息处理方法,其特征在于,包括:获取由第三方平台产生的外源威胁情报信息;提取所述外源威胁情报信息在多个目标维度下的外源信息特征;将各所述外源信息特征输入至等级分析模型,得到所述外源威胁情报信息的可信度等级;其中,所述等级分析模型基于威胁情报信息样本的在所述目标维度下的情报信息特征样本,以及所述威胁情报信息样本的样本可信度等级对GBDT模型训练得到。2.根据权利要求1所述的威胁情报信息处理方法,其特征在于,所述等级分析模型的生成过程包括:获取所述威胁情报信息样本;获取所述威胁情报信息样本的样本可信度等级;提取所述威胁情报信息样本在所述目标维度下的所述情报信息特征样本;将所述情报信息特征样本输入至所述GBDT模型;调整所述GBDT模型的模型参数,直至所述GBDT模型输出的等级结果与所述样本可信度等级之间的等级差值在预设差值范围内,并将调整后的所述GBDT模型设置为所述等级分析模型。3.根据权利要求1所述的威胁情报信息处理方法,其特征在于,所述方法还包括:获取本地系统产生的内源威胁情报信息;统计所述内源威胁情报信息与所述外源威胁情报信息之间属性值的相似度;判断所述相似度是否达到预设阈值;若所述相似度达到所述预设阈值,则将所述外源威胁情报信息的可信度等级设置为所述内源威胁情报信息的可信度等级。4.根据权利要求3所述的威胁情报信息处理方法,其特征在于,所述外源威胁情报信息以及所述内源威胁情报信息的信息格式均为STIX格式;相应的,所述统计所述内源威胁情报信息与所述外源威胁情报信息之间属性值的相似度,包括:统计所述内源威胁情报信息与所述外源威胁情报信息之间,在STIX格式中各属性维度的属性值相同的频次;基于各所述属性维度对应的频次以及权重值生成所述相似度。5.根据权利要求1至4任意一项所述的威胁情报信息处理方法,其特征在于,所述提取所述外源威胁情报信息在多个目标维度下的外源信息特征,包括:提取所述外源威胁情报信息在情报可读性、情报源权威性、相似情报数量、异常IP地址数量、异常域名数量、异常URL数量、异常文本数量、首次出现时间、最近...
【专利技术属性】
技术研发人员:范如,范渊,杨勃,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。