一种情报源质量检测方法、装置、设备、存储介质制造方法及图纸

本申请公开了一种情报源质量检测方法、装置、设备、介质，涉及网络安全技术领域，包括：获取预设时间段内用户网络环境下的网络行为数据；将网络行为数据与预先获取的情报源进行网络行为数据匹配，得到目标网络行为数据，确定情报源的相关性得分；根据情报源的目标网络行为数据确定目标网络行为数据不同维度的得分，根据不同维度的得分确定情报源的易用性得分；利用情报源的可信度和威胁等级确定情报源的价值得分；确定情报源的时效性得分；基于情报源的相关性得分、易用性得分、价值得分及时效性得分对情报源在预设时间段内的情报质量检测，得到情报质量得分。通过本申请可对用户视角下的情报源质量进行监测，以便用户准确、有效选择情报源。效选择情报源。效选择情报源。

【技术实现步骤摘要】
一种情报源质量检测方法、装置、设备、存储介质


[0001]本专利技术涉及网络安全
，特别涉及一种情报源质量检测方法、装置、设备、存储介质。

技术介绍

[0002]当前在网络安全领域中威胁情报十分重要，主要的原因在于威胁情报提供了一个新的视角，能够基于攻击者视角提供网络安全解决方法。让网络安全运营者，能够更加清晰地评估网络攻击的意图、动向、目标，以此做出更加有效、高效的决策，由于威胁情报具有信息量大、重复率高及来源广等特性，实际应用中，威胁情报在获取、组织和使用的过程中，可能存在误导或混淆的假情报。
[0003]然而，当前网络威胁情报供应商体系非常复杂，加之威胁情报作为新生事物，仍在发展壮大中，标准不断完善的过程中，一般通过获取所有情报源的IOC(Indicator Of Compromise，陷落标识)数量，然后对其进行汇总比对分析，得到评价结论，然而实际应用场景中网络威胁情报供应商更多的是以查询API提供服务。即便是以订阅API提供服务，可能也只会提供部分数据，没有办法准确的评价情报源。由于缺少准确的威胁情报价值的评价方法，所以让用户如何有效选择威胁情报源，成为了一个困难的问题。
[0004]综上，如何实现准确的情报源质量检测，以方便用户准确有效的选择符合满足需求的威胁情报源是本领域有待解决的问题。

技术实现思路

[0005]有鉴于此，本专利技术的目的在于提供一种情报源质量检测方法、装置、设备、存储介质，能够实现准确的情报源质量检测，以方便用户准确有效的选择符合满足需求的威胁情报源。其具体方案如下：
[0006]第一方面，本申请公开了一种情报源质量检测方法，包括：
[0007]获取预设时间段内用户网络环境下的网络行为数据；
[0008]将所述网络行为数据与预先获取的情报源进行网络行为数据匹配，以得到目标网络行为数据，然后利用所述网络行为数据的数量和根据从所述情报源中匹配到的所述目标网络行为数据的数量确定所述情报源的相关性得分；
[0009]根据所述情报源的所述目标网络行为数据确定所述目标网络行为数据不同维度的得分，并根据所述不同维度的得分确定所述情报源的易用性得分；
[0010]利用所述情报源的可信度和威胁等级确定所述情报源的价值得分；
[0011]根据预设时效性评分规则确定所述情报源的时效性得分；
[0012]基于所述情报源的相关性得分、易用性得分、价值得分以及时效性得分对所述情报源在所述预设时间段内的情报质量进行检测，以得到所述情报源的情报质量得分。
[0013]可选的，所述获取预设时间段内用户网络环境下的网络行为数据，包括：
[0014]获取预设时间段内用户网络环境下任意一种或多种的请求DNS解析的域名、网络
请求的五元组、网络流量中传输的二进制文件的数据。
[0015]可选的，所述根据所述情报源的所述目标网络行为数据确定所述目标网络行为数据不同维度的得分，并根据所述不同维度的得分确定所述情报源的易用性得分，包括：
[0016]分别计算所述情报源的所述目标网络行为数据的威胁实体得分、威胁手法得分、威胁动机得分、威胁目标得分、处置建议得分；
[0017]根据预设权重系数对所述威胁实体得分、所述威胁手法得分、所述威胁动机得分、所述威胁目标得分、所述处置建议得分进行加权计算，以确定所述情报源的易用性得分。
[0018]可选的，所述根据预设时效性评分规则确定所述情报源的时效性得分，包括：
[0019]分别计算所述情报源的所述目标网络行为数据的活跃状态得分、发现时间得分、更新时间得分、失效机制得分、失效时间得分，以确定所述情报源的时效性得分。
[0020]可选的，所述分别计算所述情报源的所述目标网络行为数据的活跃状态得分、发现时间得分、更新时间得分、失效机制得分、失效时间得分，以确定所述情报源的时效性得分，包括：
[0021]通过预设专家知识获取接口获取用于对所述活跃状态得分、所述发现时间得分、所述更新时间得分、所述失效机制得分、所述失效时间得分的有效值系数进行优化的专家知识；
[0022]利用调整后有效值系数分别对相应的所述活跃状态得分、所述发现时间得分、所述更新时间得分、所述失效机制得分、所述失效时间得分进行加权计算，以确定所述情报源的时效性得分。
[0023]可选的，所述基于所述情报源的相关性得分、易用性得分、价值得分以及时效性得分对所述情报源在所述预设时间段内的情报质量进行检测，以得到所述情报源的情报质量得分，包括：
[0024]基于所述情报源在不同预设时间段内的相关性得分、易用性得分、价值得分以及时效性得分，分别对所述情报源在不同的所述预设时间段内的情报质量进行检测，以得到所述情报源在不同所述预设时间段内的情报质量得分，并计算相应的情报质量得分平均值，以得到所述情报源的质量评价。
[0025]第二方面，本申请公开了一种情报源质量检测装置，包括：
[0026]数据获取模块，用于获取预设时间段内用户网络环境下的网络行为数据；
[0027]相关得分计算模块，用于将所述网络行为数据与预先获取的情报源进行网络行为数据匹配，以得到目标网络行为数据，然后利用所述网络行为数据的数量和根据从所述情报源中匹配到的所述目标网络行为数据的数量确定所述情报源的相关性得分；
[0028]易用得分计算模块，用于根据所述情报源的所述目标网络行为数据确定所述目标网络行为数据不同维度的得分，并根据所述不同维度的得分确定所述情报源的易用性得分；
[0029]价值得分计算模块，用于利用所述情报源的可信度和威胁等级确定所述情报源的价值得分；
[0030]时效得分计算模块，用于根据预设时效性评分规则确定所述情报源的时效性得分；
[0031]质量得分计算模块，用于基于所述情报源的相关性得分、易用性得分、价值得分以
及时效性得分对所述情报源在所述预设时间段内的情报质量进行检测，以得到所述情报源的情报质量得分。
[0032]可选的，所述质量得分计算模块，包括：
[0033]质量评价单元，用于基于所述情报源在不同预设时间段内的相关性得分、易用性得分、价值得分以及时效性得分，分别对所述情报源在不同的所述预设时间段内的情报质量进行检测，以得到所述情报源在不同所述预设时间段内的情报质量得分，并计算相应的情报质量得分平均值，以得到所述情报源的质量评价。
[0034]第三方面，本申请公开了一种电子设备，包括：
[0035]存储器，用于保存计算机程序；
[0036]处理器，用于执行所述计算机程序，以实现前述公开的情报源质量检测方法的步骤。
[0037]第四方面，本申请公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的情报源质量检测方法的步骤。
[0038]可见，本申请公开了一种情报源质量检测方法，包括：获取预设时间段内用户网络环境下的网络行为数据；将所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种情报源质量检测方法，其特征在于，包括：获取预设时间段内用户网络环境下的网络行为数据；将所述网络行为数据与预先获取的情报源进行网络行为数据匹配，以得到目标网络行为数据，然后利用所述网络行为数据的数量和根据从所述情报源中匹配到的所述目标网络行为数据的数量确定所述情报源的相关性得分；根据所述情报源的所述目标网络行为数据确定所述目标网络行为数据不同维度的得分，并根据所述不同维度的得分确定所述情报源的易用性得分；利用所述情报源的可信度和威胁等级确定所述情报源的价值得分；根据预设时效性评分规则确定所述情报源的时效性得分；基于所述情报源的相关性得分、易用性得分、价值得分以及时效性得分对所述情报源在所述预设时间段内的情报质量进行检测，以得到所述情报源的情报质量得分。2.根据权利要求1所述的情报源质量检测方法，其特征在于，所述获取预设时间段内用户网络环境下的网络行为数据，包括：获取预设时间段内用户网络环境下任意一种或多种的请求DNS解析的域名、网络请求的五元组、网络流量中传输的二进制文件的数据。3.根据权利要求1所述的情报源质量检测方法，其特征在于，所述根据所述情报源的所述目标网络行为数据确定所述目标网络行为数据不同维度的得分，并根据所述不同维度的得分确定所述情报源的易用性得分，包括：分别计算所述情报源的所述目标网络行为数据的威胁实体得分、威胁手法得分、威胁动机得分、威胁目标得分、处置建议得分；根据预设权重系数对所述威胁实体得分、所述威胁手法得分、所述威胁动机得分、所述威胁目标得分、所述处置建议得分进行加权计算，以确定所述情报源的易用性得分。4.根据权利要求1所述的情报源质量检测方法，其特征在于，所述根据预设时效性评分规则确定所述情报源的时效性得分，包括：分别计算所述情报源的所述目标网络行为数据的活跃状态得分、发现时间得分、更新时间得分、失效机制得分、失效时间得分，以确定所述情报源的时效性得分。5.根据权利要求4所述的情报源质量检测方法，其特征在于，所述分别计算所述情报源的所述目标网络行为数据的活跃状态得分、发现时间得分、更新时间得分、失效机制得分、失效时间得分，以确定所述情报源的时效性得分，包括：通过预设专家知识获取接口获取用于对所述活跃状态得分、所述发现时间得分、所述更新时间得分、所述失效机制得分、所述失效时间得分的有效值系数进行优化的专家知识；利用调整后有效值系数分别对相应的所述活跃状态得分、所述发现时间得分、所述更新...

【专利技术属性】
技术研发人员：陈建勇，王欣，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：