【技术实现步骤摘要】
本专利技术涉及信息安全,尤其涉及一种用于非结构化数据的威胁情报ioc提取方法及装置。
技术介绍
1、失陷检测情报(全称:indicator of compromise,简称:ioc)用于检测内部是否有被攻陷的主机,其属于威胁情报的一种。ioc可以是ip、域名、url、hash、文件路径、注册表项等。通过一条ioc的命中可以判断对应的主机上是否已经运行了木马病毒、或者内网中是否有主机访问了僵木蠕的控制命令服务器(c&c)。
2、目前,威胁情报源数据包括非结构化数据、半结构化数据和结构化数据。其中,针对非结构化数据,比如,邮件、网页、文本等,需要将其转化为自然语言进行分析。然而,利用自然语言处理技术能够在结构化的威胁数据中较好地提取到ioc数据,而在非结构化数据中,ioc数据并不能较好地提取得到。
技术实现思路
1、本专利技术提供一种用于非结构化数据的威胁情报ioc提取方法及装置,用以解决上述问题。
2、本专利技术提供一种用于非结构化数据的威胁情报ioc提取方法
【技术保护点】
1.一种用于非结构化数据的威胁情报IOC提取方法,其特征在于,包括:
2.根据权利要求1所述的用于非结构化数据的威胁情报IOC提取方法,其特征在于,所述情报数据包括来自社交媒体的第一情报数据与来自传统媒体的第二情报数据;
3.根据权利要求2所述的用于非结构化数据的威胁情报IOC提取方法,其特征在于,所述运营主体包括原发文主体与转发文主体;
4.根据权利要求3所述的用于非结构化数据的威胁情报IOC提取方法,其特征在于,所述将转发文主体转发的转文数据以及针对所述转文数据评论的评论数据作为一条第一情报数据进行采集,包括:
5....
【技术特征摘要】
1.一种用于非结构化数据的威胁情报ioc提取方法,其特征在于,包括:
2.根据权利要求1所述的用于非结构化数据的威胁情报ioc提取方法,其特征在于,所述情报数据包括来自社交媒体的第一情报数据与来自传统媒体的第二情报数据;
3.根据权利要求2所述的用于非结构化数据的威胁情报ioc提取方法,其特征在于,所述运营主体包括原发文主体与转发文主体;
4.根据权利要求3所述的用于非结构化数据的威胁情报ioc提取方法,其特征在于,所述将转发文主体转发的转文数据以及针对所述转文数据评论的评论数据作为一条第一情报数据进行采集,包括:
5.根据权利要求2所述的用于非结构化数据的威胁情报ioc提取方法,其特征在于,在所述根据运营主体对数据进行采集之前,该方法还包括:
6.根据权利要求2所述的用于非结构化数据的威胁情报ioc提取方法,其特征在于,所述利用预先构建的打分与提取模型对情报数据进行威胁程度打分以及威胁情报提取,包括:
7.根据权利要求6所述的用于非结构化数据的威胁情报ioc提取方法,其特征在于,所述打分与提取模型包括第一打分与提取模型以及第二打分与提取模型;
8.根据权利要求2所述的用于非结构化数据的威胁情报ioc提取方法,其特征在于,在获得第一情报数据之后,该方法...
【专利技术属性】
技术研发人员:张超,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。