本发明专利技术设计了一种网络威胁情报元数据融合方法与系统,用于对多源异构网络威胁情报冲突解决。所述方法包括:非结构化网络威胁情报数据转化为结构化网络威胁情报;结构化网络威胁情报数据与元数据的映射;网络威胁情报元数据拆分;网络威胁情报元数据融合;对融合后的元数据通过定制化的输出模板以接口的形式提供给网络安全威胁情报分析人员使用。通过本发明专利技术可以实现对网络威胁情报数据以更加细粒度的方式进行融合,且自动化配置融合后的结果。且自动化配置融合后的结果。且自动化配置融合后的结果。
【技术实现步骤摘要】
网络威胁情报元数据融合的方法与系统
[0001]本专利技术涉及计算机网络安全领域,可用于网络威胁情报元数据的融合或冲突解决领域。
技术介绍
[0002]威胁情报是一种基于证据的知识,主要包括场景、机制、指标、含义和可操作的建议等。基于高质量的威胁情报信息,可以为主体响应现存或新兴的威胁提供决策支持。元数据被定义为描述数据的数据,对数据及信息资源的描述性信息。网络威胁情报元数据指的是描述网络威胁情报数据的数据。对于网络威胁情报数据,同样也要进行规范化表示或描述,这样才能用于处理、分析以及与其它厂商或平台对接。参照国际标准、OpenIOC、IODEF(Incident Object Deion and Exchange Format)、STIX(Structure Threat Information eXpression)及实际业务需求,对相应实体进行了定义。为了达到融合的目的,需要将这些实体映射为元数据类型,结合实际应用场景,最终映射的元数据类型共有十九种,分别是IP(ip)、URL(url)、Sample(样本)、Domain(域名)、Whois(域名注册信息)、AS(全球自治域信息)、Cert(数字证书)、Vul(漏洞)、MailboxBasic(邮箱)、MailboxReputation(邮箱信誉)、Account(账号)、Other(其它可观察物)、Tool(攻击工具)、TTP(攻击手法)、Actor(威胁主体)、Target(威胁目标)、Incident(安全事件)、Report(威胁报告)、Action(应对措施)。
[0003]当前,随着网络空间攻防对抗技术不断发展,针对重要信息系统的攻击多发且难以发现,攻击者的攻击策略呈现出多样性和复杂性的特点,攻击成本越来越低,对于防御者而言,其检测和对抗网络攻击的难度也越来越大,全球网络空间安全威胁日益突出和严峻。在这种情况下,使用传统的网络空间防御策略就变得更为低效,防御者更容易处于被动的位置。因此需要通过多种关键及新型防护技术的协同联动,做到知己知彼、及时发现、主动防御,获得高质量的网络威胁情报数据对于该问题就显得尤为重要,网络安全威胁情报利用和共享技术的出现与发展使全球网络空间安全防护的提升变得更为可能。
[0004]网络安全威胁情报利用和共享技术通过多源异构网络威胁情报数据的快速汇聚融合技术对异构威胁情报的实体进行有效映射,分析挖掘网络威胁在多个层面的相似性,进而统计分析已知攻击模式,并通过模式关联发现进行中的或潜在的威胁;通过多源异构网络威胁情报融合系统的构建,获取高质量情报,为重要信息系统的风险预警、威胁发现与追踪溯源等主动防御提供有深度、有广度、有针对性的重要情报支撑,进而提升整个网络安全空间的主动防御和网络震慑能力。但在实际问题中,我们从网络空间中获得的网络威胁情报数据往往是多源异构,数据量级别往往很大,数据之间存在冲突,且构建网络威胁情报信息融合的分析架构是网络威胁情报分析处理技术的研究基础。因此对于多源异构网络空间威胁情报融合技术的研究与系统构建就显得非常有价值。
[0005]目前,在网络威胁情报融合领域,比较主流的方式是基于规则、字段映射、模板、人工等形式进行情报数据融合,这些融合方法的融合粒度更加粗糙,且对融合后的结果的输出并不灵活。
技术实现思路
[0006]针对上述现状与存在的问题,本专利技术提供了一个网络威胁情报元数据融合系统与七种融合方法,能够以一种更加细粒度的方式进行网络威胁情报融合。
[0007]本专利技术采用的技术方案如下:
[0008]一种网络威胁情报元数据融合的方法,包括以下步骤:
[0009]获取非结构化网络威胁情报数据并将其转化为结构化网络威胁情报数据;
[0010]将结构化网络威胁情报数据映射为网络威胁情报元数据;
[0011]将网络威胁情报元数据进行拆分;
[0012]对拆分后的网络威胁情报元数据进行融合;
[0013]对融合后的网络威胁情报元数据进行定制化配置。
[0014]进一步地,所述获取非结构化网络威胁情报数据并将其转化为结构化网络威胁情报数据,包括:从各个情报源收集开源情报、购买付费情报和自产情报,并将这些情报数据用已有的规范表示,将收集的非结构化网络威胁情报数据转化为规范化的结构化数据。
[0015]进一步地,所述将结构化网络威胁情报数据映射为网络威胁情报元数据,包括:将结构化网络威胁情报数据的字段中与元数据有关联的字段映射为多级属性表示的形式,其它字段映射为一级属性表示的形式。
[0016]进一步地,所述将网络威胁情报元数据进行拆分,包括:以网络威胁情报元数据的字段或属性为基本单位,对网络威胁情报元数据进行充分拆分。
[0017]进一步地,所述对拆分后的网络威胁情报元数据进行融合,包括:依据每类网络威胁情报元数据的特性,选择不同的融合算法对网络威胁情报元数据进行融合。
[0018]进一步地,所述融合算法包括:多数投票算法、求和算法、均值算法、投资算法、联合投资算法、真值发现算法和半监督真值发现算法。
[0019]进一步地,所述对融合后的网络威胁情报元数据进行定制化配置,包括:对融合后的元数据根据用户实际需求配置输出的字段,并以外部接口的形式供用户使用。
[0020]一种采用上述方法的网络威胁情报元数据融合系统,其包括:
[0021]非结构化网络威胁情报数据转化为结构化网络威胁情报数据模块,用于获取非结构化网络威胁情报数据并将其转化为结构化网络威胁情报数据;
[0022]结构化网络威胁情报数据向元数据的映射模块,用于将结构化网络威胁情报数据映射为网络威胁情报元数据;
[0023]网络威胁情报元数据拆分模块,用于将网络威胁情报元数据进行拆分;
[0024]网络威胁情报元数据融合模块,用于对拆分后的网络威胁情报元数据进行融合;
[0025]融合后输出结果的定制化配置模块,用于对融合后的网络威胁情报元数据进行定制化配置。
[0026]本专利技术的有益效果如下:
[0027]通过本专利技术可以实现对网络威胁情报数据以更加细粒度的方式进行融合,且能够自动化配置融合后的结果。将配置后的结果以外部接口的形式提供给用户使用,用户体验效果更好。
附图说明
[0028]图1为本专利技术提供的系统的模块结构示意图;
[0029]图2为本专利技术结构化网络威胁情报映射为网络威胁情报元数据的方式(以IP信誉信息为例)示意图;
[0030]图3为本专利技术网络威胁情报元数据(以IP元数据为例)拆分方式示意图;
[0031]图4为本专利技术提供的威胁情报元数据融合算法Majority Vote(多数投票)执行流程图;
[0032]图5为本专利技术提供的威胁情报元数据融合算法(迭代)执行流程图;
[0033]图6为本专利技术提供的威胁情报元数据融合算法(半监督真值发现算法)执行流程图;
[0034]图7为本专利技术系统输出模板配置方式示意图(以I本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络威胁情报元数据融合的方法,其特征在于,包括以下步骤:获取非结构化网络威胁情报数据并将其转化为结构化网络威胁情报数据;将结构化网络威胁情报数据映射为网络威胁情报元数据;将网络威胁情报元数据进行拆分;对拆分后的网络威胁情报元数据进行融合;对融合后的网络威胁情报元数据进行定制化配置。2.根据权利要求1所述的方法,其特征在于,所述获取非结构化网络威胁情报数据并将其转化为结构化网络威胁情报数据,包括:从各个情报源收集开源情报、购买付费情报和自产情报,并将这些情报数据用已有的规范表示,将收集的非结构化网络威胁情报数据转化为规范化的结构化数据。3.根据权利要求1所述的方法,其特征在于,所述将结构化网络威胁情报数据映射为网络威胁情报元数据,包括:将结构化网络威胁情报数据的字段中与元数据有关联的字段映射为多级属性表示的形式,其它字段映射为一级属性表示的形式。4.根据权利要求1所述的方法,其特征在于,所述将网络威胁情报元数据进行拆分,包括:以网络威胁情报元数据的字段或属性为基本单位,对网络威胁情报元数据进行充分拆分。5.根据权利要求1所述的方法,其特征在于,所述对拆分后的网络威胁情报元数据进行融合,包括:依据每类网络威胁情报元数据的特性,选择不同的融合算法对网络威胁情报元数据进行融合。6.根据权利要求5所述的方法,其特征在于,所述融合算法包括:多数...
【专利技术属性】
技术研发人员:马春燕,姜政伟,江钧,邓铭锋,李宁,刘宝旭,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。