【技术实现步骤摘要】
一种安全威胁协同建模方法及系统
[0001]本专利技术属于安全威胁鉴别
,具体涉及一种安全威胁协同建模方法及系统。
技术介绍
[0002]目前,AI技术在网络安全威胁检测领域发挥着日益重要的作用。网络空间中的域名、IP、URL、恶意程序等网络实体所遗留的行为痕迹经AI处理程序分析挖掘,形成了丰富的行为特征,为有监督研判和无监督探索提供了数据支撑。基于行为特征的恶意性研判是这一领域的重要任务。当安全防护系统发现未知的网络实体时,需要有能力研判其是否存在恶意,以做出进一步决策。需要进行恶意性研判的实体类型包括域名、IP、URL和恶意程序等。当提取出的特征越能全面地反映实体的行为,就越有希望揭示实体的意图。此外,对于有监督学习任务,还需要收集和掌握高质量的训练标签。 然而,行为特征的提取和训练标签的收集都是困难的,其中一个重要原因是,行为痕迹往往是分散的。这种分散性体现在如下几个层面: (1)机构划界。行为数据和标签数据被不同的机构或部门掌握,互相没有打通。这种现象的成因,一方面是组织的安全保密需求,另一方面是缺乏一致性利益...
【技术保护点】
【技术特征摘要】
1.一种安全威胁协同建模方法,其特征在于,包括如下步骤:1)数据共享,多个参与方提供的数据源之间进行网络实体数据的不完全共享,在共享前,对有必要进行脱敏的网络实体数据进行脱敏;2)数据融合,对步骤1)中共享后的数据进行属性融合、关系融合、行为融合和标签融合,形成属性融合数据、关系融合数据、行为融合数据和标签融合数据;3)数据特征提取,对步骤2)中得到的属性融合数据、关系融合数据、行为融合数据分别进行数据特征提取;4)建模,根据需要选择不同类型的建模方法,选择性载入数据特征和标签融合数据,进行机器学习具体训练过程,生成训练模型,并将训练模型输出;5)审计,运行于多参与方共享的区块链或协作平台,根据步骤1)、步骤2)、步骤3)、步骤4)中的数据流转进行记账,根据设定的规则给不同的参与方计贡献分,根据贡献分对参与方进行奖励。2.根据权利要求1所述的安全威胁协同建模方法,其特征在于,步骤1)中,共享的数据包括如下类型:实体属性数据、实体间的关联关系数据、实体行为记录数据和实体研判标签数据。3.根据权利要求1所述的安全威胁协同建模方法,其特征在于,步骤1)中,通过不同的记号来标识不同的网络实体,对有必要进行脱敏的网络实体数据通过脱敏记号来标识,建立有必要进行脱敏的网络实体数据的记号与脱敏记号之间的彩虹表。4.根据权利要求1所述的安全威胁协同建模方法,其特征在于,步骤1)中,数据共享的触发方式包括主动分享和求助
‑
响应分享;数据共享的方式包括社群发布和点对点发布;数据共享的情景包括自愿分享和法定义务分享。5.根据权利要求1所述的安全威胁协同建模方法,其特征在于,步骤2)中:属性融合指通过预先定义融合策略,将同一网络实体在不同参与方处获得的属性加以融合,具体为对同一网络实体在不同数据源处记录到的不同属性信息进行相互补充,相同属性信息进行去重、纠歧;关系融合指将一对网络实体之间的关联关系加以融合,形成图谱化的网络实体关系库,具体为对这对网络实体在不同数据源处记录到的不同关系信息进行相互补充,对相同关系信息进行去重、纠歧;行为融合指对同一网络实体在不同数据源处所记录的行为信息加以融合,通过整合多源、零散的行为信息,形成对各网络实体更全面、完整的观察记录,具体为对同一网络实体的不同行为信息按时间顺序进行排列,对来自不同参与方处的相同行为信息进行去重,纠歧;标签融合指不同的参与方分别提供对同一实体的研判标签,各读取方收到其他参与方发来的研判标签后,执行本地的采信策略,对各方信息进行综合,对多方给出的同一标签给与较大信任度,对多方给出的不同标签进行互相补充,从而获得各标签的置信度。6.根据权利要求1所述的安全威胁协同建模方法,其特征在于,步骤3)中:属性融合数据的数据特征包括:IP的位置、域名注册时间、文件更改时间;关系融合数据的数据特征包括:图节点出入度、域名关联IP数、域名关联NS服务器数、域名节点限定IP类型邻居节点的出入度;
行为融合数据的数据特征包括:统计特征和敏感行为特征,统...
【专利技术属性】
技术研发人员:胡文友,曲武,胡永亮,
申请(专利权)人:金睛云华沈阳科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。