【技术实现步骤摘要】
一种多源安全威胁情报质量量化评估方法、装置及电子设备
[0001]本专利技术涉及网络安全
,尤其涉及一种多源安全威胁情报质量量化评估方法、装置及电子设备。
技术介绍
[0002]新一代的网络攻击在形式、功能和复杂性方面发生了巨大变化,攻击者的攻击方式层出不穷,0day漏洞(指负责应用程序的程序员或供应商所未知的软件缺陷)攻击不断增加,仅仅依赖安全防护设备的被动防御手段难以抵抗新型的网络攻击。为应对更加复杂的网络威胁环境,应用网络安全威胁情报(CTI, Cyber threat information)主动防御未知威胁成为网络安全行业的共识。多数安全机构建立了威胁情报平台并向用户提供威胁情报数据,如Abuse.ch、CINSscore、Watcherlab等。但不同情报源提供的威胁情报格式各异、质量不一,而过时、不完整、不准确的低质量威胁情报会失效甚至造成误报,严重降低威胁情报的应用价值。同时,在威胁情报提供者与用户之间存在严重的信息不对称,用户无法判断威胁情报质量的高低,这导致安全研究人员或从业人员只能凭借声誉或经验来...
【技术保护点】
【技术特征摘要】
1.一种多源安全威胁情报质量量化评估方法,其特征在于,所述方法包括步骤:对收集到的多个来源的威胁情报数据进行预处理;基于多个维度的多个量化指标对预处理后的多个来源的威胁情报数据分别进行初步量化评估,得到多个量化指标对应的多个评分;根据不同用户对所述多个量化指标赋予用户偏好权重值;根据得到的多个量化指标对应的多个评分与所述用户偏好权重值对多个来源的威胁情报质量进行最终量化评估。2.根据权利要求1所述的方法,其特征在于,所述多个维度包括威胁情报源维度及威胁情报数据属性维度,其中,所述威胁情报源维度包括:规模性、周期性和独创性三个量化指标,所述威胁情报数据属性维度包括:及时性、活跃性、关联性和完整性四个量化指标。3.根据权利要求1或2所述的方法,其特征在于,所述根据不同用户对所述多个量化指标赋予用户偏好权重值包括:根据不同用户对不同的量化指标重视程度的差异,对各量化指标赋予用户偏好初始权重;基于所述用户偏好初始权重,结合客观权重法生成复合权重值;将所述复合权重值作为用户偏好权重值。4.根据权利要求1或2所述的方法,其特征在于,所述对收集到的多个来源的威胁情报数据进行预处理包括:提取所述威胁情报数据携带的失陷标识;根据多个维度的多个量化指标,从所述失陷标识中获取影响威胁情报质量的多个量化指标对应的失陷标识的指标信息;对获得的所述多个量化指标对应的失陷标识的指标信息进行数据标准化处理。5.根据权利要求4所述的方法,其特征在于,所述基于多个维度的多个量化指标对预处理后的多个来源的威胁情报数据分别进行初步量化评估,得到多个量化指标对应的多个评分包括:基于每个量化指标对应的失陷标识的指标信息,根据不同的量化指标评估模型对威胁情报数据的量化指标进行计算,得到对应的评分;所述评分落入0~1区间内。6.根据权利要求5所述的方法,其特征在于,所述量化指标为及时性时,所述失陷标识的指标信息包括:第一威胁情报源中第i条威胁情报的最近活动时间及用户最近获取第i条威胁情报的时间;所述量化指标为活跃性时,所述失陷标识的指标信息包括:第一威胁情报源中第i条威胁情报的活跃次数;所述量化指标为关联性时,所述失陷标识的指标信息包括:第一威胁情报源中第i条威胁情报与其它情报源的关联情报数量;所述量化指标为完整性时,所述失陷标识的指标信息包括:第一威胁情报源中第i条情报的指标信息数量;所述量化指标为规模性时,所述失陷标识的指标信息包括:第一威胁情报源一次更新的情报数量;所述量化指标为周期性时,所述失陷标识的指标信息包括:第一威胁情报源的更新周期;所述量化指标为独创性时,所述失陷标识的指标信息包括:第一威胁情报源与其它情
报源之间存在的重叠情报数量;所述基于每个量化指标对应的失陷标识的指标信息,根据不同的量化指标评估模型对威胁情报数据的量化指标进行计算,得到对应的评分包括:基于第一威胁情报源中第i条威胁情报的最近活动时间及用户最近获取第i条威胁情报的时间,根据第一量化指标评估模型计算威胁情报数据的及时性Timeliness
st
;其中,n指第一威胁情报源的情报数据总数,(T
lastseen
)
i
表示所述第一威胁情报源第i条威胁情报的最近活动时间,(T
update
)
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。