网络威胁情报信息的处理方法、装置、存储介质及处理器制造方法及图纸

本申请公开了一种网络威胁情报信息的处理方法、装置、存储介质及处理器。该方法包括：采集多个威胁情报信息中的时间戳信息，得到多个时间戳信息；对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息；基于多个处理后的时间戳信息确定多个威胁情报信息的关联度；基于多个威胁情报信息的关联度确定威胁情报处理策略。通过本申请，解决了相关技术中对表示不同维度的威胁情报信息的关系识别不够精准，导致对威胁情报信息处理工作效率较低的问题。率较低的问题。率较低的问题。

【技术实现步骤摘要】
网络威胁情报信息的处理方法、装置、存储介质及处理器


[0001]本申请涉及信息处理
，具体而言，涉及一种网络威胁情报信息的处理方法、装置、存储介质及处理器。

技术介绍

[0002]网络威胁情报的价值严重依赖于所获得威胁情报的质量。只有高可信的威胁情报才能充分发挥重要决策辅助作用和经济价值，从而为国家的网络空间安全贡献力量。
[0003]然而，由于威胁情报来源多、范围广。情报数量的庞大加上情报本身的置信度问题，会带来大量的检出误报，使得安全人员工作量巨大且效率低下。威胁情报不仅种类繁杂，应用场景也很复杂，不同场景中应用的威胁情报种类也存在差别。威胁情报更新快，在“多”和“杂”的映衬下，情报更新速度之快使得安全人员工作难上加难。即使是同一安全事件，其触发、产生、关联的威胁情报依然是海量的。通过威胁情报多种维度进行数据挖掘、分类、聚类、判别是解决上述问题的重要方法。
[0004]针对相关技术中对表示不同维度的威胁情报信息的关系识别不够精准，导致对威胁情报信息处理工作效率较低的问题，目前尚未提出有效的解决方案。

技术实现思路

[0005]本申请的主要目的在于提供一种网络威胁情报信息的处理方法、装置、存储介质及处理器，以解决相关技术中对表示不同维度的威胁情报信息的关系识别不够精准，导致对威胁情报信息处理工作效率较低的问题。
[0006]为了实现上述目的，根据本申请的一个方面，提供了一种网络威胁情报信息的处理方法。该方法包括：采集多个威胁情报信息中的时间戳信息，得到多个时间戳信息；对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息；基于多个处理后的时间戳信息确定多个威胁情报信息的关联度；基于多个威胁情报信息的关联度确定威胁情报处理策略。
[0007]进一步地，在对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息之前，该方法还包括：获取多个威胁情报信息中每个威胁情报信息的情报源；若存在威胁情报信息的情报源不相同，则将多个威胁情报信息中每个威胁情报信息对应的时间戳信息的时区统一为预设时区。
[0008]进一步地，对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息包括：获取每个时间戳信息的第一时间格式；将第一时间格式基于目标累加算法转换为第二时间格式；将每个时间戳信息按照第二时间格式进行处理，得到多个处理后的时间戳信息。
[0009]进一步地，在基于多个处理后的时间戳信息确定多个威胁情报信息的关联度之前，该方法还包括：对多个处理后的时间戳信息基于目标公式进行计算，得到计算结果，其中，计算结果包括如下至少之一：多个处理后的时间戳信息的均值、多个处理后的时间戳信
息的标准差；计算多个处理后的时间戳信息的标准差与多个处理后的时间戳信息的均值的比，获取多个目标比值。
[0010]进一步地，基于多个处理后的时间戳信息确定多个威胁情报信息的关联度包括：若目标比值小于第一预设值时，则确定多个威胁情报信息的关联度为第一关联度；若目标比值大于第二预设值时，则确定多个威胁情报信息的关联度为第二关联度；若目标比值大于第一预设值，且目标比值小于第二预设值，则确定多个威胁情报信息的关联度为第三关联度。
[0011]进一步地，基于多个威胁情报信息的关联度确定威胁情报处理策略包括：若多个威胁情报信息的关联度为第一关联度时，则对多个威胁情报信息进行合并处理，合并后的威胁情报信息表征同一威胁事件；若多个威胁情报信息的关联度为第二关联度时，则不对多个威胁情报信息进行处理；若多个威胁情报信息的关联度为第三关联度时，则对多个威胁情报信息进行分析处理。
[0012]为了实现上述目的，根据本申请的另一方面，提供了一种网络威胁情报信息的处理装置。该装置包括：第一采集单元，用于采集多个威胁情报信息中的时间戳信息，得到多个时间戳信息；第一处理单元，用于对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息；第一确定单元，用于基于多个处理后的时间戳信息确定多个威胁情报信息的关联度；第二确定单元，用于基于多个威胁情报信息的关联度确定威胁情报处理策略。
[0013]进一步地，该装置还包括：第一获取单元，用于在对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息之前，获取多个威胁情报信息中每个威胁情报信息的情报源；第一处理单元，用于若存在威胁情报信息的情报源不相同，则将多个威胁情报信息中每个威胁情报信息对应的时间戳信息的时区统一为预设时区。
[0014]进一步地，第一处理单元包括：第一获取模块，用于获取每个时间戳信息的第一时间格式；第一转换模块，用于将第一时间格式基于目标累加算法转换为第二时间格式；第一处理模块，用于将每个时间戳信息按照第二时间格式进行处理，得到多个处理后的时间戳信息。
[0015]进一步地，该装置还包括：第一计算单元，用于在基于多个处理后的时间戳信息确定多个威胁情报信息的关联度之前，对多个处理后的时间戳信息基于目标公式进行计算，得到计算结果，其中，计算结果包括如下至少之一：多个处理后的时间戳信息的均值、多个处理后的时间戳信息的标准差；第二计算单元，用于计算多个处理后的时间戳信息的标准差与多个处理后的时间戳信息的均值的比，获取多个目标比值。
[0016]进一步地，第一确定单元包括：第一确定模块，用于若目标比值小于第一预设值时，则确定多个威胁情报信息的关联度为第一关联度；第二确定模块，用于若目标比值大于第二预设值时，则确定多个威胁情报信息的关联度为第二关联度；第三确定模块，用于若目标比值大于第一预设值，且目标比值小于第二预设值，则确定多个威胁情报信息的关联度为第三关联度。
[0017]进一步地，第二确定单元包括：第二处理模块，用于若多个威胁情报信息的关联度为第一关联度时，则对多个威胁情报信息进行合并处理，合并后的威胁情报信息表征同一威胁事件；第三处理模块，用于若多个威胁情报信息的关联度为第二关联度时，则不对多个
威胁情报信息进行处理；第四处理模块，用于若多个威胁情报信息的关联度为第三关联度时，则对多个威胁情报信息进行分析处理。
[0018]根据本申请实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项的方法。
[0019]根据本申请实施例的另一方面，还提供了一种计算机可读存储介质，其上存储有计算机程序/指令，该计算机程序/指令被处理器执行时执行上述任意一项的方法。
[0020]通过本申请，采用以下步骤：采集多个威胁情报信息中的时间戳信息，得到多个时间戳信息；对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息；基于多个处理后的时间戳信息确定多个威胁情报信息的关联度；基于多个威胁情报信息的关联度确定威胁情报处理策略。解决了相关技术中对表示不同维度的威胁情报信息的关系识别不够精准，导致对威胁情报信息处理工作效率较低的问题。通过对多个威胁情报信息中的时间戳信息进行处理，基于多个处理后的时间戳信息确定了多个威胁情报信息的关联度，进而达本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络威胁情报信息的处理方法，其特征在于，包括：采集多个威胁情报信息中的时间戳信息，得到多个时间戳信息；对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息；基于所述多个处理后的时间戳信息确定所述多个威胁情报信息的关联度；基于所述多个威胁情报信息的关联度确定威胁情报处理策略。2.根据权利要求1所述的方法，其特征在于，在对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息之前，所述方法还包括：获取所述多个威胁情报信息中每个威胁情报信息的情报源；若存在威胁情报信息的情报源不相同，则将所述多个威胁情报信息中每个威胁情报信息对应的时间戳信息的时区统一为预设时区。3.根据权利要求1所述的方法，其特征在于，对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息包括：获取每个时间戳信息的第一时间格式；将所述第一时间格式基于目标累加算法转换为第二时间格式；将每个时间戳信息按照第二时间格式进行处理，得到多个处理后的时间戳信息。4.根据权利要求1所述的方法，其特征在于，在基于所述多个处理后的时间戳信息确定所述多个威胁情报信息的关联度之前，所述方法还包括：对所述多个处理后的时间戳信息基于目标公式进行计算，得到计算结果，其中，所述计算结果包括如下至少之一：所述多个处理后的时间戳信息的均值、所述多个处理后的时间戳信息的标准差；计算所述多个处理后的时间戳信息的标准差与所述多个处理后的时间戳信息的均值的比，获取多个目标比值。5.根据权利要求4所述的方法，其特征在于，基于所述多个处理后的时间戳信息确定多个威胁情报信息的关联度包括：若所述目标比值小于第一预设值时，则确定所述多个威胁情报信息的关联度为第一关联度；若所述目标比值大于第二预设值时，则确定所述多个威胁情报...

【专利技术属性】
技术研发人员：韦云川，万朝华，顾建华，杨施俊，
申请(专利权)人：山石网科通信技术股份有限公司，
类型：发明
国别省市：