本申请提供一种有效威胁情报的确定方法和数据提供方的评价方法,有效威胁情报的确定方法包括:接收待定威胁情报;确定提供待定威胁情报的目标提供方;判断目标提供方是否为合格提供方,合格提供方基于其提供的威胁情报在历史安全事件分析中被引用的次数确定;若是,则将待定威胁情报确定为有效威胁情报。能够避免从多个威胁情报中确定出有效威胁情报时使用复杂的分类算法,在保证有效威胁情报能够准确地被确定的基础上,能够提高有效威胁情报的确定效率。确定效率。确定效率。
【技术实现步骤摘要】
有效威胁情报的确定方法和数据提供方的评价方法
[0001]本申请涉及网络信息安全
,尤其涉及一种有效威胁情报的确定方法和数据提供方的评价方法,及其相应的装置、电子设备和存储介质。
技术介绍
[0002]随着互联网的发展,网络安全已上升为国家战略。在网络安全的分析防御过程中,威胁情报发挥着越来越重要的作用。所谓威胁情报,是基于某种已知安全事件的知识,其中可以包括上下文、机制、标示、含义和能够执行的建议等。通过威胁情报对网络数据进行研判,能够发现网络中已有的或即将面临的安全事件,进而根据发现的安全事件采取相应的措施,最大限度的对网络安全进行保护。
[0003]为了能够更加准确的发现网络中的安全事件,就需要使用更为准确的威胁情报进行研判,也就是需要使用有效的威胁情报进行研判。因为使用有效的威胁情报,才能够发现网络中真正存在威胁的安全事件。而使用无效的威胁情报,即便在网络中发现了事件,该事件也是误操作或者不存在威胁的非安全事件。目前,为了从众多的威胁情报中确定出有效的威胁情报,所采取的具体方式为:在获取到多个威胁情报后,采用贝叶斯分类算法对多个威胁情报进行分类。主要分为两类,一类是有效的威胁情报,一类是无效的威胁情报。这样,有效的威胁情报就从众多的威胁情报中确定出来了。
[0004]但是,在对威胁情报进行分类的过程中,所采用的贝叶斯算法,其运算过程较为复杂,会导致威胁情报的分类过程缓慢,无法快速地从众多的威胁情报中确定出有效的威胁情报,进而降低有效威胁情报的确定效率。
技术实现思路
[0005]本申请实施例的目的是提供一种有效威胁情报的确定方法和数据提供方的评价方法,及其相应的装置、电子设备和存储介质,以提高有效威胁情报的确定效率。
[0006]为解决上述技术问题,本申请实施例提供如下技术方案:
[0007]本申请第一方面提供一种有效威胁情报的确定方法,所述方法包括:接收待定威胁情报;确定提供所述待定威胁情报的目标提供方;判断所述目标提供方是否为合格提供方,所述合格提供方基于其提供的威胁情报在历史安全事件分析中被引用的次数确定;若是,则将所述待定威胁情报确定为有效威胁情报。
[0008]本申请第二方面提供一种数据提供方的评价方法,所述方法包括:获取不同的数据提供方提供的威胁情报在历史安全事件分析中被引用的次数;将被引用的次数大于预设次数的威胁情报的数据提供方确定为合格提供方,其中,合格提供方提供的威胁情报为有效威胁情报。
[0009]本申请第三方面提供一种有效威胁情报的确定装置,所述装置包括:接收模块,用于接收待定威胁情报;第一确定模块,用于确定提供所述待定威胁情报的目标提供方;判断模块,用于判断所述目标提供方是否为合格提供方,若是,则进入第二确定模块,所述合格
提供方基于其提供的威胁情报在历史安全事件分析中被引用的次数确定;第二确定模块,用于将所述待定威胁情报确定为有效威胁情报。
[0010]本申请第四方面提供一种数据提供方的评价装置,所述装置包括:获取模块,用于获取不同的数据提供方提供的威胁情报在历史安全事件分析中被引用的次数;第三确定模块,用于将被引用的次数大于预设次数的威胁情报的数据提供方确定为合格提供方,其中,合格提供方提供的威胁情报为有效威胁情报。
[0011]本申请第五方面提供一种电子设备,所述电子设备包括:处理器、存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行第一方面或第二方面中的方法。
[0012]本申请第六方面提供一种计算机可读存储介质,所述存储介质包括:存储的程序;其中,在所述程序运行时控制所述存储介质所在设备执行第一方面或第二方面中的方法。
[0013]相较于现有技术,本申请第一方面提供的有效威胁情报的确定方法,在接收到待定威胁情报后,确定提供待定威胁情报的目标提供方,在目标提供方为合格提供方的情况下,就直接将目标提供方提供的待定威胁情报作为有效威胁情报。由于合格提供方是基于其提供的威胁情报在历史安全事件分析中被引用的次数确定出来的,即提供的威胁情报在历史安全事件分析中被引用的次数较多的提供方就会被认定为合格提供方,其提供的威胁情报的利用价值较高,这样能够避免从多个威胁情报中确定出有效威胁情报时使用复杂的分类算法,威胁情报在安全事件分析中被引用的次数较易获得,并且基于引用次数进行威胁情报筛选的过程简单,再加上筛选出的威胁情报都是使用价值较高的威胁情报,提供高使用价值的威胁情报的数据提供方也可以认为是优质的数据提供方,优质的数据提供方所提供的威胁情报就可以看作是有效威胁情报,在保证有效威胁情报能够准确地被确定的基础上,能够提高有效威胁情报的确定效率。
[0014]本申请第二方面提供的数据提供方的评价方法、第三方面提供的有效威胁情报的确定装置、第四方面提供的数据提供方的评价装置、第五方面提供的电子设备、第六方面提供的计算机可读存储介质,与第一方面提供的有效威胁情报的确定方法具有相同或相似的有益效果。
附图说明
[0015]通过参考附图阅读下文的详细描述,本申请示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本申请的若干实施方式,相同或对应的标号表示相同或对应的部分,其中:
[0016]图1为本申请实施例中有效威胁情报的确定方法的流程示意图;
[0017]图2为本申请实施例中数据提供方的评价方法的流程示意图;
[0018]图3为本申请实施例中有效威胁情报的确定装置的结构示意图;
[0019]图4为本申请实施例中数据提供方的评价装置的结构示意图;
[0020]图5为本申请实施例中电子设备的结构示意图。
具体实施方式
[0021]下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申
请的示例性实施方式,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
[0022]需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
[0023]目前,为了获得有效威胁情报,主要采用贝叶斯等分类算法将多个威胁情报分为两类,一类是无效威胁情报,一类是有效威胁情报。但是,贝叶斯等分类算法的运算过程较为复杂,将多个威胁情报分为无效威胁情报和有效威胁情报所耗费的时间较长,进而降低有效威胁情报的确定效率。
[0024]专利技术人经过研究发现,导致有效威胁情报确定效率低下的原因在于:将多个威胁情报分类到有效威胁情报或者无效威胁情报的过程较为复杂,耗时较长。而如果不再使用这些复杂的分类算法进行有效威胁情报和无效威胁情报的分类,更换一种新的思路,对提供威胁情报的数据提供方进行选择,选择出优质的数据提供方,从而将优质数据提供方提供的威胁情报认定为本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种有效威胁情报的确定方法,其特征在于,所述方法包括:接收待定威胁情报;确定提供所述待定威胁情报的目标提供方;判断所述目标提供方是否为合格提供方,所述合格提供方基于其提供的威胁情报在历史安全事件分析中被引用的次数确定;若是,则将所述待定威胁情报确定为有效威胁情报。2.根据权利要求1所述的方法,其特征在于,在接收待定威胁情报之前,所述方法还包括:获取不同的数据提供方提供的威胁情报在历史安全事件分析中被引用的次数;将被引用的次数大于预设次数的威胁情报的数据提供方确定为合格提供方。3.根据权利要求2所述的方法,其特征在于,所述获取不同的数据提供方提供的威胁情报在历史安全事件分析中被引用的次数,包括:获取不同的数据提供方提供的威胁情报在历史安全事件分析中有效引用的次数和无效引用的次数,其中,所述有效引用用于表征在历史安全事件分析中协助识别出安全事件,所述无效引用用于表征在历史安全事件分析中协助识别出非安全事件;为每个威胁情报有效引用的次数附加第一权重,以及为每个威胁情报无效引用的次数附加第二权重,其中,所述第一权重大于所述第二权重;在每个威胁情报中,将附加第一权重后有效引用的次数和附加第二权重后无效引用的次数相加,得到多个威胁情报被引用的次数。4.根据权利要求2所述的方法,其特征在于,在将被引用的次数大于预设次数的威胁情报的数据提供方作为合格提供方之前,所述方法还包括:获取不同的数据提供方提供的研判数据在历史安全事件分析中被使用的次数,其中,所述研判数据为安全事件分析中使用的除威胁情报外的数据;所述将被引用的次数大于预设次数的威胁情报的数据提供方作为合格提供方,包括:将被引用的次数大于第一预设次数的威胁情报和被使用的次数大于第二预设次数的研判数据的数据提供方作为所述合格提供方。5.根据权利要求4所述的方法,其特征在于,在将被引用的次数大于第一预设次数的威胁情报和被使用的次数大于第二预设次数的研判数据的数据提供方作为所述合格提供方之前,所述方法还包括:将同一数据提供方提供的威胁情报的被引用次数和研判数据的被使用次数相加,得到相应数据提供方的总计数;所述将被引用次数大于第一预设次数的威胁情报和被使用次数大于第二预设次数的研判数据的数据提供方作为所述合格提供方,包括:将总计数大于预设计数的数据提供方作为所述合格提供方。6.根据权利要求5所述的方法,其特征在于,在将同一数据提供方提供的威胁情报的被引用次数和研判数据的被使用次数相加之前,所述方法还包括:确定威胁情报和研判数据分别对应的权重,其中,威胁情报和研判数据在安全事件分析中的重要性越高,对应的权重越大;所述将同一数据提供方提供的威胁情报和研判数据被引用的次数相加,包括:
按照威胁情报和研判数据分别对应的权重...
【专利技术属性】
技术研发人员:马少林,徐伟,沈冀平,张文轩,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。