一种攻击组织的识别分析方法和装置制造方法及图纸

本发明专利技术涉及一种攻击组织的识别分析方法和装置，该识别分析方法，包括：从监控的威胁情报数据中抽取待识别的关键特征语料；其中，威胁情报数据包括多个攻击组织成员的真实身份信息；对待识别的关键特征语料进行识别，得到至少一个攻击组织；从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息；基于提取得到的虚拟身份信息和威胁情报数据包括的真实身份信息，建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系；针对识别出的每一个攻击组织，从威胁情报数据和网络身份数据中获得该攻击组织的属性标签，并生成该攻击组织的攻击画像。本发明专利技术的方案能够提高攻击组织的识别分析的效率。明的方案能够提高攻击组织的识别分析的效率。明的方案能够提高攻击组织的识别分析的效率。

【技术实现步骤摘要】
一种攻击组织的识别分析方法和装置


[0001]本专利技术涉及计算机
，尤其涉及攻击组织的识别分析方法、装置和计算机可读介质。

技术介绍

[0002]近些年来，网络攻击组织给我国造成了严重的损害。攻击组织从攻击开始到达成目的，有的甚至可能潜伏长达数年，对攻击组织的未知导致人们在面临攻击时的茫然无措。因此，对攻击组织的识别分析显得十分必要。
[0003]目前，国内对于攻击组织的识别分析尚存在较大缺口，通常采用各种信息采集和主动探测手段，获取网络空间大规模的多源数据资源，然后利用有经验的技术人员对其进行进一步识别分析。因此，目前对攻击组织的识别分析的效率不高。
[0004]因此，针对以上不足，需要提供一种攻击组织的识别分析方法和装置。

技术实现思路

[0005]本专利技术要解决的技术问题在于攻击组织的识别分析的效率不高，针对现有技术中的缺陷，提供一种攻击组织的识别分析方法和装置。
[0006]为了解决上述技术问题，本专利技术提供了一种攻击组织的识别分析方法，包括：
[0007]从监控的威胁情报数据中抽取待识别的关键特征语料；其中，所述威胁情报数据包括多个攻击组织成员的真实身份信息；
[0008]对待识别的关键特征语料进行识别，得到至少一个攻击组织；其中，每一个攻击组织均包括至少两个攻击组织成员；
[0009]从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息；
[0010]基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息，建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系；其中，所述目标虚拟身份用户是从多个虚拟身份用户中确定出的；
[0011]针对识别出的每一个攻击组织，从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签，并生成该攻击组织的攻击画像，以根据生成的攻击画像对各攻击组织进行态势分析。
[0012]在一种可能的实现方式中，所述对待识别的关键特征语料进行识别，得到至少一个攻击组织，包括：将待识别的关键特征语料与预先构建好的特征语料库进行匹配，得到至少一个攻击组织；
[0013]其中，预先构建好的特征语料库是通过如下方式进行构建的：
[0014]从已知的威胁情报数据中抽取关键特征语料；其中，针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同；
[0015]基于抽取得到的关键特征语料，构建特征语料库。
[0016]在一种可能的实现方式中，所述对待识别的关键特征语料进行识别，得到至少一
个攻击组织，包括：将待识别的关键特征语料作为输入参数输入到预先构建好的神经网络分类模型中，得到至少一个攻击组织；
[0017]其中，预先构建好的神经网络分类模型是通过如下方式进行构建的：
[0018]从已知的威胁情报数据中抽取关键特征语料；其中，针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同；
[0019]对抽取得到的关键特征语料进行标注，将关键特征语料及其标注作为训练集，对堆叠式自编码神经网络进行训练，以构建出神经网络分类模型。
[0020]在一种可能的实现方式中，所述基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息，建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系，包括：
[0021]按照预设的第一属性类别对提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息进行信息提取，并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集；
[0022]针对每一个攻击组织成员，均执行如下操作：
[0023]对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算，得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值；
[0024]对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算；
[0025]判断加权计算得到的相似度值是否大于预设的第一相似度阈值，如果是，则将该虚拟身份用户作为目标虚拟身份用户，并建立该攻击组织成员和所述目标虚拟身份用户的关联关系。
[0026]在一种可能的实现方式中，在所述建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系之后和在所述从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签之前，进一步包括：
[0027]基于提取得到的虚拟身份信息，建立识别出的攻击组织中各虚拟身份用户的关联关系。
[0028]在一种可能的实现方式中，所述基于提取得到的虚拟身份信息，建立识别出的攻击组织中各虚拟身份用户的关联关系，包括：
[0029]按照预设的第二属性类别对提取得到的虚拟身份信息进行信息提取，并生成各虚拟身份用户对应的第二分类向量集；
[0030]针对任意两个虚拟身份用户，对该两个虚拟身份用户对应的第二分类向量集进行相似度计算，得到该两个虚拟身份用户针对每一个第二属性类别的相似度值；
[0031]对得到的该两个虚拟身份用户针对每一个第二属性类别的相似度值进行加权计算；
[0032]判断加权计算得到的相似度值是否大于预设的第二相似度阈值，如果是，则建立该两个虚拟身份用户的关联关系。
[0033]在一种可能的实现方式中，所述属性标签包括定量标签和定性标签；
[0034]所述从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签，包括：
[0035]从所述威胁情报数据和所述网络身份数据中，根据预设的第一匹配规则获得该攻击组织的定量标签；
[0036]基于获得的该攻击组织的定量标签，根据预设的第二匹配规则获得该攻击组织的定性标签。
[0037]本专利技术还提供了一种攻击组织的识别分析装置，包括：
[0038]关键特征语料抽取模块，用于从监控的威胁情报数据中抽取待识别的关键特征语料；其中，所述威胁情报数据包括多个攻击组织成员的真实身份信息；
[0039]攻击组织识别模块，用于对待识别的关键特征语料进行识别，得到至少一个攻击组织；其中，每一个攻击组织均包括至少两个攻击组织成员；
[0040]虚拟身份信息提取模块，用于从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息；
[0041]第一关联关系建立模块，用于基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息，建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系；其中，所述目标虚拟身份用户是从多个虚拟身份用户中确定出的；
[0042]攻击画像生成模块，用于针对识别出的每一个攻击组织，从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签，并生成该攻击组织的攻击画像，以根据生成的攻击画像对各攻击组织进行态势分析。
[0043]本专利技术还提供了一种攻击组织的识别分析装置，包括：至少一个存储器和至少一个处理器；...

【技术保护点】

【技术特征摘要】
1.一种攻击组织的识别分析方法，其特征在于，包括：从监控的威胁情报数据中抽取待识别的关键特征语料；其中，所述威胁情报数据包括多个攻击组织成员的真实身份信息；对待识别的关键特征语料进行识别，得到至少一个攻击组织；其中，每一个攻击组织均包括至少两个攻击组织成员；从不同网络平台的网络身份数据中提取多个虚拟身份用户的虚拟身份信息；基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息，建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系；其中，所述目标虚拟身份用户是从多个虚拟身份用户中确定出的；针对识别出的每一个攻击组织，从所述威胁情报数据和所述网络身份数据中获得该攻击组织的属性标签，并生成该攻击组织的攻击画像，以根据生成的攻击画像对各攻击组织进行态势分析。2.根据权利要求1所述的方法，其特征在于，所述对待识别的关键特征语料进行识别，得到至少一个攻击组织，包括：将待识别的关键特征语料与预先构建好的特征语料库进行匹配，得到至少一个攻击组织；其中，预先构建好的特征语料库是通过如下方式进行构建的：从已知的威胁情报数据中抽取关键特征语料；其中，针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同；基于抽取得到的关键特征语料，构建特征语料库。3.根据权利要求1所述的方法，其特征在于，所述对待识别的关键特征语料进行识别，得到至少一个攻击组织，包括：将待识别的关键特征语料作为输入参数输入到预先构建好的神经网络分类模型中，得到至少一个攻击组织；其中，预先构建好的神经网络分类模型是通过如下方式进行构建的：从已知的威胁情报数据中抽取关键特征语料；其中，针对已知的威胁情报数据的抽取方式和针对监控的威胁情报数据的抽取方式相同；对抽取得到的关键特征语料进行标注，将关键特征语料及其标注作为训练集，对堆叠式自编码神经网络进行训练，以构建出神经网络分类模型。4.根据权利要求1所述的方法，其特征在于，所述基于提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息，建立识别出的攻击组织中每一个攻击组织成员和目标虚拟身份用户的关联关系，包括：按照预设的第一属性类别对提取得到的虚拟身份信息和所述威胁情报数据包括的真实身份信息进行信息提取，并生成各虚拟身份用户和各攻击组织成员分别对应的第一分类向量集；针对每一个攻击组织成员，均执行如下操作：对生成的各虚拟身份用户和该攻击组织成员分别对应的第一分类向量集进行相似度计算，得到各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值；对得到的各虚拟身份用户和该攻击组织成员针对每一个第一属性类别的相似度值进行加权计算；判断加权计算得到的相似度值是否大于预设的第一相似度阈值，如果是，则将该虚拟
身份用户作为目标虚拟身份用户，并建立该攻击组织成员和所述目标虚拟身份用户的关联关系。5.根据权利要求1所述的方法，其...

【专利技术属性】
技术研发人员：李佳楠，赵超，肖新光，
申请(专利权)人：哈尔滨安天科技集团股份有限公司，
类型：发明
国别省市：