【技术实现步骤摘要】
一种应用于网络安全威胁情报的情报关联度计算方法
[0001]本专利技术属于网络安全
,具体涉及一种应用于网络安全威胁情报的情报关联度计算方法。
技术介绍
[0002]目前网络安全问题已成为各级政府、行政机关、事业单位、企业、非盈利组织等单位必须面对的问题。面对日益增多的网络威胁,对单位软件,硬件,系统针对性的进行防护是各单位的必要措施。在对单位数字资产防护之前,首先单位需要知道对什么进行防护,这就体现了网络安全威胁情报的重要性。然而,面对浩如烟海的网络安全威胁情报,获取网络安全威胁事件的全貌即成为了非常重要的事情。单一情报源的情报仅从一个角度描述事件,难以展现事件情报全貌,所以计算情报的关联度来整合关联的情报成为了网络安全事件分析必不可少的一环。
[0003]主流的关联情报整合方式有两种,第一种是人工整合,网络安全威胁情报内容点多面广、信息量庞大、时效性要求高,仅靠人工检查无法达到要求。第二种是基于机器学习的方法,包括基于内容推荐,关键词等方式。这种方式大多基于文本内容直接比对的关联性来进行关联内容判断,然而网...
【技术保护点】
【技术特征摘要】
1.一种应用于网络安全威胁情报的情报关联度计算方法,其特征在于,包括以下步骤:第一步,威胁情报图谱构建:基于STIX格式,对结构化半结构化数据进行提取,包括不限于CVE,CPE,ATT&CK等数据集;第二步,文章图谱抽取:基于BERT
‑
BiLSTM
‑
CRF进行命名实体识别,获取实体后通过Pipeline的方式,通过R
‑
bert模型进行关系抽取;第三步,实体归一化处理:威胁情报知识图谱中,同实体不同名称的实体类型包括恶意组织和恶意软件,首先提取文章情报三元组中的恶意组织及恶意软件实体,其次遍历威胁情报图谱中对应类实体及实体其他名称,最后定位实体,将文章情报三元组中对应的实体转为标准实体;基于威胁情报图谱中别名数据,将所有别名转换为{别名:标准实体},将所有恶意组织别名及文章中抽取的恶意组织实体转换为向量,并计算两组数据每个别名与实体之间的余弦相似度;完成余弦相似度计算后找到与恶意组织实体余弦相似度最高的恶意组织别名,若余弦相似度大于0.9,根据上述数据的K_V关系,将文章恶意组织实体转换为标准实体;恶意软件通过相同的处理流程进行归一化处理,将抽取的恶意软件实体转换为恶意软件的标准实体;通过余弦相似度及威胁情报知识图谱对文章抽取的内容进行归一化处理,从而获取实体之间的潜在关联;第四步,词级比对:完成关键词归一化处理之后进行词级比对;首先对两个文章的关键词进行一一匹配,每匹配到一组关键词,计分模块增加一分,并将该组关键词从关键词组内移除;第五步,实体关联度计算:在前一步骤去除掉可完全匹配的实体后,剩余实体进行关联度计算来识别情报之间的潜在关系。2.根据权利要求1所述的的情报关联度计算方法,其特征在于,还包括综合计分模块,总分=归一化实体匹配对数*1+恶意软件关联度*1+漏洞关联基础设施匹配对数*0.1+基础设施供应商匹配对数*0.1+恶意组织关联度*1,该模块对前述关联度计算进行综合计分,并录入数据库记录两篇情报文章的关联度。3.根据权利要求1所述的的情报关联度计算方法,其特征在于,文章图谱抽取过程中,基于BERT
‑
BiLSTM
‑
CRF进行命名实体识别是利用BERT预训练模型获得相应词向量,之后把词向量输入BiLSTM层进一步提取文本的上下文...
【专利技术属性】
技术研发人员:吴琼,方澄,翟立东,吕志,赵耀,孙璞,
申请(专利权)人:中科大数据研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。