【技术实现步骤摘要】
IOCs信誉动态评价及动态衰减方法、装置和电子设备
[0001]本专利技术涉及网络安全
,尤其涉及一种
IOCs
信誉动态评价及动态衰减方法
、
装置和电子设备
。
技术介绍
[0002]IOCs(Indicator of compromises
,攻击指示器
)
常被用在调查取证的场景下,指的是受害主机被攻破的证据,包含恶意文件哈希值
、
恶意软件的特征
、
恶意的
IP
地址
、URL、
域名等被动识别的信标
。
对
IOCs
进行信誉评价可以从及时性
、
有效性
、
完整性三个方面量化
IOCs
的威胁程度,主要体现在如下几个方面:信誉评价可以通过风险等级标记
IOCs
的威胁程度,可以使得情报使用者制定相应的策略实现对恶意攻击的检测和对恶意流量的告警
/
阻断;信誉评价可以帮助区分不同的威胁主体(
threat actor
),不同的威胁主体可能有不同的攻击目的
、
危害
、
技术
、
战术等相关内容,这些信息对于事件响应和威胁狩猎都很有价值;信誉评价可以提高检测准确性和速度,以及缩短修复时间
。
一般来说,越早发现攻击,对业务的影响就越小,解决起来也越容易
。
信誉评价可...
【技术保护点】
【技术特征摘要】
1.
一种
IOCs
信誉动态评价及动态衰减方法,其特征在于,包括:确定量化
IOCs
数据源质量的影响因素及各影响因素的权重;确定
IOCs
数据源初始信誉值和衰减值的初始更新模式
、
当前更新模式和下次的更新时间节点,所述当前更新模式和下次的更新时间节点随着
IOCs
数据源的更新不断变化;在下次的更新时间节点按照当前更新模式对
IOCs
数据源的初始信誉值和衰减值进行动态调整,得到动态调整后的
IOCs
数据源的初始信誉值和衰减值;所述动态调整包括:在更新周期内,基于影响因素命中日志对
IOCs
数据源的数据按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识进行聚合统计,若聚合统计后得到的数据条数为零,则对
IOCs
数据源的初始信誉值进行加分调整,同时对衰减值进行减分调整以减速衰减;若聚合统计后得到的数据条数小于阈值,则保持
IOCs
数据源的初始信誉值和衰减值不变;若聚合统计后得到的数据条数大于阈值,则对
IOCs
数据源的初始信誉值进行减分调整,同时对衰减值进行加分调整以加速衰减
。2.
如权利要求1所述的
IOCs
信誉动态评价及动态衰减方法,其特征在于,在所述对
IOCs
数据源的初始信誉值进行减分调整中,需要减少的初始信誉值的分值采用如下方法计算得到:根据
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识对
IOCs
数据源第
m
天新增数据进行聚合,统计每个标识对应的数据条数,记作;基于影响因素第
m
天命中日志,按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;计算第
m
天按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识的
IOCs
数据源中不准确数据所占比例:;计算天
IOCs
数据源中不准确数据所占比例的平均值:;其中,表示影响因素命中日志的总天数;针对
IOCs
数据源的数据,计算按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识的第类影响因素的调整系数:;针对
IOCs
数据源的数据,计算需要减少的分值:;其中,表示第类影响因素的权重,表示影响因素的总数
。3.
如权利要求2所述的
IOCs
信誉动态评价及动态衰减方法,其特征在于,所述对
IOCs
数据源的初始信誉值进行减分调整,调整后的初始信誉值采用如下公式计算:;
其中,为调整后的初始信誉值,为调整前的初始信誉值
。4.
如权利要求1所述的
IOCs
信誉动态评价及动态衰减方法,其特征在于,在所述对衰减值进行加分调整以加速衰减中,加速衰减系数采用如下方法计算得到:根据
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识对
IOCs
数据源第
m
天新增数据进行聚合,统计每个标识对应的数据条数,记作;基于影响因素第
m
天命中日志,按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识进行数据聚合,统计每个标识对应的数据条数,记作;计算第
m
天按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识的
IOCs
数据源中不准确数据所占比例:;计算天
IOCs
数据源中不准确数据所占比例的平均值:;其中,表示影响因素命中日志的总天数;计算按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识的第类影响因素的加速衰减系数: ;针对
IOCs
数据源的数据,计算加速衰减系数:;其中,表示
IOCs
数据源的加速衰减系数,表示第类影响因素的权重,符号
“”
表示计算结果向下取整,表示影响因素的总数
。5.
如权利要求4所述的
IOCs
信誉动态评价及动态衰减方法,其特征在于,所述对衰减值进行加分调整以加速衰减中,调整后的衰减值采用如下方法计算得到:;其中,为调整后的衰减值,为调整前的衰减值
。6.
如权利要求2或4所述的
IOCs
信誉动态评价及动态衰减方法,其特征在于,在所述基于影响因素第
m
天命中日志,按照
IOCs
威胁类别
、IOCs
数据类型和
IOCs
数据来源为标识进行数据聚合之前,还包括:基于影响因素第
m
天命中日志,按照
IOCs
威胁类别
、IOCs
数据类型
、IOCs
数据来源和值为标识进行数据的聚合,统计每个标识包含的数据和每个标识对应的数据总条目数,记作 ;其中,“key”表示
IOCs
威胁类别
、IOCs
数据类型
、IOCs
数据来源和值的联合标识,“count”表示“key”相同的数据条数,“data”表示“key”相同的数据构成的数据列表;在数据中,去除“count”最大和最小的数据,并基于剩余的每条数据的“count”计算平均值和标准差,若满足,则对应的数据为
异常数据,过滤去除,不进入后续减分调整中的数据聚合流程
。7.
如权利要求1所述的
IOCs
信誉动态评价及动态衰减方法,其特征在于,在所述对
IOCs
数据源的初始信誉值进行加分调整中,需要增加的初始信誉值的分值采用如下公式计算:;其中,为需要增加的初始信誉值,为调整前的初始信誉值
。8.
如权利要求1所述的
IOCs
信誉动态评价及动态衰减方法,其...
【专利技术属性】
技术研发人员:董龙飞,刘志宏,杨大路,刘广坤,
申请(专利权)人:天际友盟珠海科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。