攻击线索IOC置信度计算方法及设备技术

本发明专利技术公开了一种攻击线索IOC置信度计算方法及设备，所述方法包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；计算IOC情报库中每条IOC情报的置信度包括：获取IOC情报的多维特征；根据IOC情报的多维特征，计算IOC情报的基础分数，并对IOC情报进行判定；当IOC情报的判定结果为确认事件时，将基础分数的n倍数值作为IOC情报的置信度值，其中n满足：n＞1；当IOC的判定结果为误报事件时，将基础分数乘以衰减系数作为IOC情报的置信度值，其中，衰减系数与IOC情报的置信度计算时间间隔呈反比。采用本发明专利技术，可以从海量IOC情报库中筛选出高价值的IOC情报，对低价值的情报进行停用，节约了计算资源。节约了计算资源。节约了计算资源。

【技术实现步骤摘要】
攻击线索IOC置信度计算方法及设备


[0001]本专利技术涉及数据处理领域，尤其涉及一种攻击线索IOC置信度计算方法及设备。

技术介绍

[0002]随着威胁情报技术、大数据技术的发展，网络安全分析人员往往会面对来自各个渠道收集的威胁情报，在大量的威胁情报中有些情报很可能是过时的、冲突的、不完整的、甚至是相互矛盾的。而且随着时间的推移，情报库中情报数量会越来越多，如果将全部情报应用到生产环境，会对系统产生巨大的负担，同时也会影响计算效率，甚至一些攻击组织弃用的IOC还会带来大量误报。

技术实现思路

[0003]本专利技术实施例提供一种攻击线索IOC置信度计算方法及设备，用以解决现有技术中价值低的情报对系统造成的巨大负担的问题。
[0004]根据本专利技术实施例的攻击线索IOC置信度计算方法，包括：
[0005]基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；
[0006]所述计算IOC情报库中每条IOC情报的置信度，包括：<br/>[0007]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击线索IOC置信度计算方法，其特征在于，包括：基于预设周期，计算IOC情报库中每条IOC情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的IOC情报；所述计算IOC情报库中每条IOC情报的置信度，包括：获取所述IOC情报的多维特征；根据所述IOC情报的多维特征，计算所述IOC情报的基础分数，并对所述IOC情报进行判定；当所述IOC情报的判定结果为确认事件时，将所述基础分数的n倍数值作为所述IOC情报的置信度值，其中所述n满足：n＞1；当所述IOC的判定结果为误报事件时，将所述基础分数乘以衰减系数作为所述IOC情报的置信度值，其中，所述衰减系数与所述IOC情报的置信度计算时间间隔呈反比。2.如权利要求1所述的方法，其特征在于，所述方法还包括：当所述IOC情报库更新时，重新计算所述IOC情报库中每条IOC情报的置信度，并清零所述预设周期的计算时间。3.如权利要求1所述的方法，其特征在于，所述多维特征，包括：情报源特征，包括以下特征中的至少一个：IOC情报源的权威度、IOC情报源的类型、IOC情报源的更新频率、IOC情报源的误报率、IOC情报源的漏报率；内容特征，包括以下特征中的至少一个：IOC情报的防御级别、IOC情报的时效性、IOC情报的提交时间、IOC情报的安全事件数量、IOC情报是否有历史情报、IOC情报的历史情报数量；知识挖掘特征，包括以下特征中的至少一个：通讯的恶意样本数量、通讯的恶意ip数量、通讯的恶意url数量、通讯的恶意域名数量、Whois信息完整性、IOC情报的权威性、IOC情报的支持度；时间特征，包括以下特征中的至少一个：IOC情报的最早发布时间、IOC情报的最晚发布时间、IOC情报的平均更新频率。4.如权利要求3所述的方法，其特征在于，所述IOC情报的支持度，包括内容维度相似性、时间维度相似性以及空间维度相似性；所述内容维度相似性根据公式1计算获得：IOCs＝count(IOCc)/count(IOCa)公式1，其中，IOCs表示所述内容维度相似性，count(IOCc)表示两则IOC情报共有的IOC的条数，count(IOCa)表示两则IOC情报的IOC的条数平均值；所述时间维度相似性根据公式2计算获得：其中，S<...

【专利技术属性】
技术研发人员：周昊，朱芸茜，严定宇，石桂欣，秦佳伟，张榜，刘玲，王宏宇，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：