本申请提供一种威胁情报分析方法、装置、电子设备及存储介质,通过确定威胁情报需求,从威胁情报需求中提取出威胁情报的数据特征,进而可由此作为半监督学习模型初始化的条件,半监督学习模型可用于处理从数据源仓库中确定出的初始威胁情报,基于威胁情报需求获得所需的目标威胁情报,并将目标威胁情报反馈至威胁情报需求方,同时作为新增情报实时更新数据源仓库中的数据,可实时对威胁情报进行分析,无需事后处理,并且提升了威胁情报分析效率和准确性,以及提升了威胁情报分析的实时性,还提升了数据的完整性。提升了数据的完整性。提升了数据的完整性。
【技术实现步骤摘要】
威胁情报分析方法、装置、电子设备及存储介质
[0001]本申请涉及信息安全技术,尤其涉及一种威胁情报分析方法、装置、电子设备及存储介质。
技术介绍
[0002]威胁情报描述了现存的,或者是即将出现针对资产的威胁或危险,并用于通知主体针对相关威胁或危险采取某种响应。而威胁情报分析是一种基于数据的,对组织即将面临的攻击进行预测的行动,用于根据数据特征确定相应数据是否为威胁情报。
[0003]但是,当前的威胁情报分析方法,主要通过人工等事后处理手段实现,因此导致威胁情报分析的实时性不好,且效率不高。由此,需要一种威胁情报分析方法,以提升威胁情报分析效率。
技术实现思路
[0004]本申请提供一种威胁情报分析方法、装置、电子设备及存储介质,用以解决威胁情报分析效率不高的问题。
[0005]第一方面,本申请提供一种威胁情报分析方法,包括:
[0006]确定威胁情报需求,所述威胁情报需求用于指示威胁情报的数据特征;
[0007]根据所述威胁情报需求,初始化半监督学习模型;
[0008]从数据源仓库中确定初始威胁情报,并根据所述初始威胁情报,通过所述半监督学习模型获得目标威胁情报;
[0009]将所述目标威胁情报作为新增情报上传至所述数据源仓库,并输出所述目标威胁情报。
[0010]作为一种可选的实施方式,所述半监督学习模型包括第一半监督学习模型,所述初始威胁情报包括内部威胁情报和外部威胁情报,所述根据所述初始威胁情报,通过所述半监督学习模型获得目标威胁情报,包括:
[0011]通过所述第一半监督学习模型对所述内部威胁情报进行情报分析,获得处理后的内部威胁情报;
[0012]根据所述外部威胁情报,对处理后的内部威胁情报进行情报融合,获得目标威胁情报。
[0013]作为一种可选的实施方式,所述通过所述第一半监督学习模型对所述内部威胁情报进行情报分析,获得处理后的内部威胁情报,包括:
[0014]根据所述内部威胁情报,确定至少一个字节流;
[0015]通过所述第一半监督学习模型,从预设的威胁词数据库中确定多个匹配规则,并根据各所述匹配规则,依次对各条字节流的每一字节进行匹配,确定出各条字节流的目标分类。
[0016]作为一种可选的实施方式,所述目标分类包括威胁类和非威胁类,所述根据各所
述匹配规则,依次对各条字节流的每一字节进行匹配,确定出各条字节流的目标分类,包括:
[0017]根据各所述匹配规则,确定对应于各所述匹配规则的第一字符向量;
[0018]根据各条字节流中的每一字节,确定第二字符向量,并根据预设的第一公式,通过所述第一字符向量和所述第二字符向量确定出对应于各条字节流的匹配因子;
[0019]若所述匹配因子的数值大于预设阈值,则将对应的字节流确定为威胁类,若所述匹配因子的数值不大于预设阈值,则将对应的字节流确定为非威胁类。
[0020]作为一种可选的实施方式,所述半监督学习模型还包括第二半监督学习模型,所述方法还包括:
[0021]判断当前的迭代学习次数;
[0022]若当前的迭代学习次数大于1,且不大于预设阈值,则根据上一次迭代训练获得的模型性能参数,通过所述第二半监督学习模型,迭代获得当次的模型性能参数;
[0023]其中,所述模型性能参数包括威胁情报完整率、威胁情报识别准确率和威胁情报分析效率,且所述模型性能参数用于指示每次迭代的迭代效果和有效性。
[0024]第二方面,本申请提供一种威胁情报分析装置,所述装置包括:
[0025]需求确定模块,用于确定威胁情报需求,所述威胁情报需求用于指示威胁情报的数据特征;
[0026]初始化模块,用于根据所述威胁情报需求,初始化半监督学习模型;
[0027]情报确定模块,用于从数据源仓库中确定初始威胁情报,并根据所述初始威胁情报,通过所述半监督学习模型获得目标威胁情报;
[0028]输出模块,用于将所述目标威胁情报作为新增情报上传至所述数据源仓库,并输出所述目标威胁情报。
[0029]作为一种可选的实施方式,所述半监督学习模型包括第一半监督学习模型,所述初始威胁情报包括内部威胁情报和外部威胁情报,所述情报确定模块根据所述初始威胁情报,通过所述半监督学习模型获得目标威胁情报的具体方式,包括:
[0030]通过所述第一半监督学习模型对所述内部威胁情报进行情报分析,获得处理后的内部威胁情报;
[0031]根据所述外部威胁情报,对处理后的内部威胁情报进行情报融合,获得目标威胁情报。
[0032]作为一种可选的实施方式,所述情报确定模块通过所述第一半监督学习模型对所述内部威胁情报进行情报分析,获得处理后的内部威胁情报的具体方式,包括:
[0033]根据所述内部威胁情报,确定至少一个字节流;
[0034]通过所述第一半监督学习模型,从预设的威胁词数据库中确定多个匹配规则,并根据各所述匹配规则,依次对各条字节流的每一字节进行匹配,确定出各条字节流的目标分类。
[0035]作为一种可选的实施方式,所述目标分类包括威胁类和非威胁类,所述情报确定模块根据各所述匹配规则,依次对各条字节流的每一字节进行匹配,确定出各条字节流的目标分类的具体方式,包括:
[0036]根据各所述匹配规则,确定对应于各所述匹配规则的第一字符向量;
[0037]根据各条字节流中的每一字节,确定第二字符向量,并根据预设的第一公式,通过所述第一字符向量和所述第二字符向量确定出对应于各条字节流的匹配因子;
[0038]若所述匹配因子的数值大于预设阈值,则将对应的字节流确定为威胁类,若所述匹配因子的数值不大于预设阈值,则将对应的字节流确定为非威胁类。
[0039]作为一种可选的实施方式,所述半监督学习模型还包括第二半监督学习模型,所述装置还包括模型性能参数确定模块,用于:
[0040]判断当前的迭代学习次数;
[0041]若当前的迭代学习次数大于1,且不大于预设阈值,则根据上一次迭代训练获得的模型性能参数,通过所述第二半监督学习模型,迭代获得当次的模型性能参数;
[0042]其中,所述模型性能参数包括威胁情报完整率、威胁情报识别准确率和威胁情报分析效率,且所述模型性能参数用于指示每次迭代的迭代效果和有效性。
[0043]第三方面,本申请还提供一种电子设备,包括:
[0044]至少一个处理器;以及
[0045]与所述至少一个处理器通信连接的存储器;其中,
[0046]所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如第一方面所述的方法。
[0047]第四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面所述的方法。
[0048]本申请提供的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种威胁情报分析方法,其特征在于,所述方法包括:确定威胁情报需求,所述威胁情报需求用于指示威胁情报的数据特征;根据所述威胁情报需求,初始化半监督学习模型;从数据源仓库中确定初始威胁情报,并根据所述初始威胁情报,通过所述半监督学习模型获得目标威胁情报;将所述目标威胁情报作为新增情报上传至所述数据源仓库,并输出所述目标威胁情报。2.根据权利要求1所述的方法,其特征在于,所述半监督学习模型包括第一半监督学习模型,所述初始威胁情报包括内部威胁情报和外部威胁情报,所述根据所述初始威胁情报,通过所述半监督学习模型获得目标威胁情报,包括:通过所述第一半监督学习模型对所述内部威胁情报进行情报分析,获得处理后的内部威胁情报;根据所述外部威胁情报,对处理后的内部威胁情报进行情报融合,获得目标威胁情报。3.根据权利要求2所述的方法,其特征在于,所述通过所述第一半监督学习模型对所述内部威胁情报进行情报分析,获得处理后的内部威胁情报,包括:根据所述内部威胁情报,确定至少一个字节流;通过所述第一半监督学习模型,从预设的威胁词数据库中确定多个匹配规则,并根据各所述匹配规则,依次对各条字节流的每一字节进行匹配,确定出各条字节流的目标分类。4.根据权利要求3所述的方法,其特征在于,所述目标分类包括威胁类和非威胁类,所述根据各所述匹配规则,依次对各条字节流的每一字节进行匹配,确定出各条字节流的目标分类,包括:根据各所述匹配规则,确定对应于各所述匹配规则的第一字符向量;根据各条字节流中的每一字节,确定第二字符向量,并根据预设的第一公式,通过所述第一字符向量和所述第二字符向量确定出对应于各条字节流的匹配因子;若所述匹配因子的数值大于预设阈值,则将对应的字节流确定为威胁类,若所述匹配因子的数值不大于预设阈值,则将对应的字节流确定为非威胁类。5.根据权利要求1
‑
4任一项所述的方法,其特征在于,所述半监督学习模型还包括第二半监督学习模型,所述方法还包括:判断当前的迭代学习次数;若当前的迭代学习次数大于1,且不大于预设阈值,则根据上一次迭代训练获得的模型性能参数,通过所述第二半监...
【专利技术属性】
技术研发人员:王智明,于城,张建荣,张建桁,周凯,史炳荣,王鑫妍,李思聪,杜飞,徐积森,李腾,古丁如,梁育,苏理明,
申请(专利权)人:联通数字科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。