情报源的质量评估方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，特别涉及情报源的质量评估方法、装置、电子设备及存储介质。


背景技术：

2.目前，威胁情报已经成为威胁检测和安全分析重要手段，威胁情报描述了现存的或者是即将出现针对资产的威胁或危险，工作人员可以通过威胁情报发现网络威胁，检测攻击事件。
3.情报源是威胁情报的来源，然而情报源的数量繁多，质量参差不齐。如果情报源的质量较低，则会影响威胁情报的检测结果(即该情报源提供的部分威胁情报并非真正可用的威胁情报)，从而会影响到网络威胁的检测精度。


技术实现要素：

4.基于现有技术不能有效评估情报源的质量的问题，本发明实施方式提供了一种情报源的质量评估方法、装置、电子设备及存储介质。
5.第一方面，本发明实施方式提供了一种情报源的质量评估方法，包括：
6.获取设备日志，基于所述设备日志，确定所述设备日志中的待检测信标；
7.获取待评估的情报源提供的所有威胁情报；
8.基于所述威胁情报所包括的情报数据，确定所述情报源质量的第一评估得分；其中，所述情报数据包括攻陷信标；
9.基于所述设备日志中的待检测信标、所述攻陷信标和预设的信标检测库，确定所述情报源质量的第二评估得分；其中，所述信标检测库用于对所述待检测信标进行检测；
10.基于所述第一评估得分和所述第二评估得分，对待评估的情报源的质量进行评估。
11.在一个可选的实施方式中，所述情报数据还包括来源信息、攻陷信标类型、生产时间、有效性信息和判定信息；
12.所述基于所述威胁情报所包括的情报数据，确定对所述情报源质量的第一评估得分，包括：
13.基于所述来源信息，确定该情报源提供的情报的总数量；
14.基于所述攻陷信标类型，确定该情报源包括的各攻陷信标类型的占比；
15.基于所述生产时间，确定该情报源提供情报的周期增量；
16.基于所述有效性信息，确定该情报源提供的有效情报的数量和无效情报的数量；
17.基于所述判定信息，确定该情报源提供的可疑情报的数量；其中，所述可疑情报用于表征无法确定为有效或无效的情报；
18.基于确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量、无效情报的数量和可疑情报的数量，确定该情报源质量的第一评估得分。
19.在一个可选的实施方式中，所述基于所述设备日志中的待检测信标、所述攻陷信标和预设的信标检测库，确定所述情报源质量的第二评估得分，包括：
20.基于所述设备日志中的待检测信标，确定该情报源中的直接情报的数量和间接情报的数量；其中，所述直接情报所包括的攻陷信标与所述设备日志中的待检测信标相同，所述间接情报所包括的攻陷信标与所述设备日志中的待检测信标的类型相同；
21.针对所述设备日志中的每一个待检测信标，均执行：基于该待检测信标在情报源中进行查找，确定该情报源包括的攻陷信标对该待检测信标的判定结果；其中，所述判定结果包括黑、白、可疑和无匹配；将该攻陷信标作为预设的信标检测库的输入，输出针对该攻陷信标的信标检测库检测结果；其中，所述信标检测库检测结果包括黑、白和无匹配；
22.基于情报的总数量、所述直接情报的数量、所述间接情报的数量、确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的信标检测库检测结果，确定对该情报源质量的第二评估得分。
23.在一个可选的实施方式中，所述基于情报的总数量、所述直接情报的数量、所述间接情报的数量、确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的信标检测库检测结果，确定对该情报源质量的第二评估得分，包括：
24.基于确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的信标检测库检测结果，确定如下结果：该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和所述信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但所述信标检测库判定为无匹配的攻陷信标的数量。
25.第二方面，本发明实施方式还提供了一种情报源的质量评估方法，包括：
26.对多个待评估的情报源，采用如上述任一项所述的方法针对每一个情报源确定对应的第一评估得分和第二评估得分；
27.将针对每一个情报源确定的第一评估得分和第二评估得分进行加权计算，得到待评估的情报源的质量按照得分高低排列的顺序；
28.基于得到的按照得分高低排列的顺序，对多个待评估的情报源的质量进行评估。
29.第三方面，本发明实施方式还提供了一种情报源的质量评估装置，包括：
30.日志模块，用于获取设备日志，基于所述设备日志，确定所述设备日志中的待检测信标；
31.情报模块，用于获取待评估的情报源提供的所有威胁情报；
32.评分模块，用于基于所述威胁情报所包括的情报数据，确定所述情报源质量的第一评估得分；其中，所述情报数据包括攻陷信标；以及
33.基于所述设备日志中的待检测信标、所述攻陷信标和预设的信标检测库，确定所述情报源质量的第二评估得分；其中，所述信标检测库用于对所述待检测信标进行检测；
34.综合模块，用于基于所述第一评估得分和所述第二评估得分，对待评估的情报源的质量进行评估。
35.在一个可选的实施方式中，所述情报数据还包括来源信息、攻陷信标类型、生产时间、有效性信息和判定信息；
36.所述基于所述威胁情报所包括的情报数据，确定对所述情报源质量的第一评估得分，包括：
37.基于所述来源信息，确定该情报源提供的情报的总数量；
38.基于所述攻陷信标类型，确定该情报源包括的各攻陷信标类型的占比；
39.基于所述生产时间，确定该情报源提供情报的周期增量；
40.基于所述有效性信息，确定该情报源提供的有效情报的数量和无效情报的数量；
41.基于所述判定信息，确定该情报源提供的可疑情报的数量；其中，所述可疑情报用于表征无法确定为有效或无效的情报；
42.基于确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量、无效情报的数量和可疑情报的数量，确定该情报源质量的第一评估得分。
43.在一个可选的实施方式中，所述基于所述设备日志中的待检测信标、所述攻陷信标和预设的信标检测库，确定所述情报源质量的第二评估得分，包括：
44.基于所述设备日志中的待检测信标，确定该情报源中的直接情报的数量和间接情报的数量；其中，所述直接情报所包括的攻陷信标与所述设备日志中的待检测信标相同，所述间接情报所包括的攻陷信标与所述设备日志中的待检测信标的类型相同；
45.针对所述设备日志中的每一个待检测信标，均执行：基于该待检测信标在情报源中进行查找，确定该情报源包括的攻陷信标对该待检测信标的判定结果；其中，所述判定结果包括黑、白、可疑和无匹配；
46.将该攻陷信标作为预设的信标检测库的输入，输出针对该攻陷信标的信标检测库检测结果；其中，所述信标检测库检测结果包括黑、白和无匹配；
47.基于情报的总数量、所述直接情报的数量、所述间接情报的数量、确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的信标检测库检测结果，确定对该情报源质量的第二评估得分。
48.第四方面，本发明实施方式还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施方式所述的方法。
49.第五方面，本发明实施方式还提供了一种存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施方式所述的方法。
50.本发明提供了情报源的质量评估方法、装置、电子设备及存储介质，本发明依据设备日志以及情报源提供的威胁情报，从不同的维度对情报源的质量进行评估得分，通过综合评分评价情报源的质量，从而快速确定高质量的情报源，进而可确定高质量的威胁情报。
附图说明
51.为了更清楚地说明本发明实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
52.图1是本发明实施方式提供的一种情报源的质量评估方法流程图；
53.图2是本发明实施方式提供的另一种情报源的质量评估方法流程图；
54.图3是本发明实施方式提供的一种电子设备的硬件架构图；
55.图4是本发明实施方式提供的一种情报源的质量评估装置结构图。
具体实施方式
56.为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式，基于本发明中的实施方式，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施方式，都属于本发明保护的范围。
57.如前所述，由于威胁情报来源广泛，如情报开源采集、厂商交换、商业采购、自生产等，所提供的威胁情报质量参差不齐，往往需要在使用前评估威胁情报的质量，以筛选出高质量的、有助于进行安全事件监测分析的威胁情报。
58.但是，随着网络攻击事件不断变化，威胁情报数量越来越大，如何高效、迅速筛分威胁情报成为亟待解决的问题。考虑到获取威胁情报的情报源规模可达百余甚至千余，不同情报源提供的威胁情报质量高低不尽相同，若不加以区分，就会造成不同质量的威胁情报混杂，致使基于威胁情报的检测误报增加，严重影响安全事件监测分析的置信度。
59.如可以直接对情报源进行评估，确定高质量情报源，就能够快速确定该情报源所提供的众多威胁情报的可靠性、准确性。通过直接评估提供威胁情报的情报源的质量，剔除低质量情报源，保留高质量情报源，以便使用多个高质量情报源提供的威胁情报参与安全事件监测分析，能够快速筛分出高质量的威胁情报，还能够提升威胁检测和apt(高级可持续威胁攻击)发现能力。
60.目前，现有技术通常只是对单条或多条威胁情报的有效性进行评估，无法直接评估提供威胁情报的情报源的质量。为解决这一问题，本发明从不同维度对情报源的优劣进行评分，通过综合评分评价情报源的质量，从而快速确定高质量的情报源，进而可确定高质量的威胁情报。
61.下面描述以上构思的具体实现方式。
62.请参考图1，本发明实施方式提供了一种情报源的质量评估方法，该方法包括：
63.步骤100，获取设备日志，基于获取的设备日志，确定设备日志中的待检测信标；
64.步骤102，获取待评估的情报源提供的所有威胁情报，威胁情报包括情报数据；
65.步骤104，基于该情报源提供的威胁情报所包括的情报数据，确定对该情报源质量的第一评估得分；其中，情报数据包括攻陷信标，即ioc信标(indicators of compromise)；通过监控攻陷信标，可以检测攻击，限制损害；
66.步骤106，基于设备日志中的待检测信标、该情报源包括的攻陷信标和预设的信标检测库，确定对该情报源质量的第二评估得分；其中，信标检测库用于对待检测信标进行检测；
67.步骤108，基于第一评估得分和第二评估得分，对待评估的情报源的质量进行评估。
68.本发明实施方式中，从不同维度对情报源的优劣进行评分，通过综合评分对待评估的情报源的质量进行评估，从而快速确定高质量情报源。确定高质量情报源有助于快速、批量筛分出优质的威胁情报。
69.在一些可选的实施方式中，步骤100中，获取的设备日志满足如下至少一个条件：
70.设备日志的数量不少于预设的数量阈值；
71.设备日志的来源包括网络侧、设备侧和审计侧，即，获取的设备日志包括从网络获取的、从本地获取的和从安全审计系统获取的设备日志；
72.设备日志的产生时间不超过预设时长。
73.在该实施方式中，设备日志的数量足够多，可实现以数据驱动对情报源质量进行评分，评价结果更为客观、可靠、真实；来源足够广，可覆盖不同类型的设备日志，以便评价不同的情报源；时间足够新，能确保检测出流行性好的情报源。流行性好，即情报源中包含较多近一段时间内存在的、针对资产的威胁或危险信息。
74.下面描述图1所示的各个步骤的执行方式。
75.在一些实施方式中，情报数据还包括来源信息、攻陷信标类型、生产时间、有效性信息和判定信息；针对步骤104，进一步包括：
76.基于该情报源包括的来源信息，确定该情报源提供的情报的总数量；
77.基于该情报源包括的攻陷信标类型，确定该情报源包括的各攻陷信标类型的占比；
78.基于该情报源包括的生产时间，确定该情报源提供的情报的周期增量；
79.基于该情报源包括的有效性信息，确定该情报源提供的有效情报的数量和无效情报的数量；
80.基于该情报源包括的判定信息，确定该情报源提供的可疑情报的数量；其中，可疑情报用于表征无法确定情报为有效或无效的情报；
81.基于确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量、无效情报的数量和可疑情报的数量，确定对该情报源质量的第一评估得分。
82.该实施方式中，通过情报源提供的威胁情报，确定出情报的总数量、各攻陷信标类型的占比、情报的周期增量、无效情报的数量和可疑情报的数量，综合上述各项指标，计算可得到第一评估得分。第一评估得分综合了优质情报源提供威胁情报的特征，能够更为全面、有效地评价情报源质量。例如，情报的总数量多，说明该情报源提供的威胁情报数量充足，有可能是优质的情报源。各攻陷信标类型的占比中威胁性高的攻陷信标类型占比多，说明该情报源提供的威胁情报有益于检测高风险的行为，有可能是优质的情报源。情报的周期增量大，说明该情报源能够稳定地更新威胁情报，有可能是优质的情报源。无效情报的数量和可疑情报的数量少，说明该情报源提供的威胁情报中不良信息少，有可能是优质的情报源。
83.进一步地，步骤104中，基于确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量、无效情报的数量和可疑情报的数量，确定该情报源质量的第一评估得分，包括：
84.基于确定出的情报的总数量、无效情报的数量和可疑情报的数量，确定该情报源的不良率；其中，不良率＝(无效情报的数量 可疑情报的数量)/情报的总数量；
85.基于确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量和不良率，确定该情报源质量的第一评估得分。
86.更进一步地，确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量和不良率作为具体的指标后，分别对各项指标进行打分，再加权得到该情报源质量的第一评估得分。
87.该实施方式中，将不良率作为情报源的评价指标，能够更为直观地反应情报源提供的不良信息的占比，通过对各项指标分别打分再加权计算，能够快捷、直观地得到第一评估得分。加权时的权重可根据需要设置，例如，当工作人员更倾向于确定威胁情报数量充足的情报源为优质情报源，则可以增加计算时对情报的总数量的权重。若无特殊倾向，可令上述各项指标的权重相同，得到综合性的评价结果。
88.在一些实施方式中，针对步骤106，进一步包括：
89.基于设备日志中的待检测信标，确定该情报源中的直接情报的数量和间接情报的数量；其中，直接情报所包括的攻陷信标与设备日志中的待检测信标相同，间接情报所包括的攻陷信标与设备日志中的待检测信标的类型相同；
90.针对设备日志中的每一个待检测信标，均执行：基于该待检测信标在情报源中进行查找，确定该情报源包括的攻陷信标对该待检测信标的判定结果；其中，判定结果包括黑、白、可疑和无匹配；将该攻陷信标作为预设的信标检测库的输入，输出针对该攻陷信标的信标检测库检测结果；其中，信标检测库检测结果包括黑、白和无匹配；
91.基于情报的总数量、直接情报的数量、间接情报的数量、确定的该情报源包括的攻陷信标对该待检测信标的判定结果，和针对该攻陷信标的信标检测库检测结果，确定对该情报源质量的第二评估得分。
92.该实施方式中，直接情报，即该威胁情报所包括的攻陷信标与设备日志中的待检测信标完全相同；间接情报，即该威胁情报所包括的攻陷信标与设备日志中的待检测信标部分相同。直接情报和间接情报的数量多，反映了该情报源中有较多的威胁情报能够应用于近一段时间的威胁检测与安全防护，该情报源流行性好。
93.基于待检测信标在情报源中进行查找，可能查找到匹配的威胁情报，也可能查找不到匹配的威胁情报。若查找不到匹配的威胁情报，则判定结果为无匹配。能查找到匹配的威胁情报情况下，若查找到的威胁情报为有效情报，则返回有效情报的类型作为判定结果，有效情报的类型包括黑和白；若查找到的威胁情报为可疑情报，则返回可疑情报的类型作为判定结果，可疑情报的类型包括可疑；若查找到的威胁情报为无效情报，则也认为判定结果为无匹配。对于设备日志，一个情报源对应的判定结果中无匹配数量少，即，利用该情报源能够检测较多数量的设备日志，反映了该情报源是高效的。
94.预设的信标检测库是值得信任的，对于设备日志中的待检测信标，信标检测库能够给出相应的检测结果，信标检测库检测结果包括黑、白和无匹配，无匹配即信标检测库中没有记载与该待检测信标相匹配的数据。将该情报源包括的攻陷信标对各待检测信标的判定结果，与信标检测库检测结果进行比较，能够验证情报源的判定结果的可信度，若该情报源对各待检测信标的判定结果与信标检测库检测结果重合度较高，表明该情报源是可信的。
95.上述实施方式评价了该情报源提供的威胁情报数据实际用于对获取的设备日志进行检测的效果，确定对该情报源质量的第二评估得分，能够发现流行的情报源、高效的情报源及可信的情报源。
96.进一步地，步骤106中，基于情报的总数量、直接情报的数量、间接情报的数量、确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的检测结果，确定对该情报源质量的第二评估得分，包括：
97.基于确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的检测结果，确定如下结果：该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量；
98.基于情报的总数量、直接情报的数量、间接情报的数量、该情报源判定为黑或白或可疑的攻陷信标的数量(简称判定信标的数量)、该情报源和信标检测库同时判定位黑或白的攻陷信标的数量(简称同时判黑或同时判白的数量)，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量(简称独家判定的数量)，确定对该情报源质量的第二评估得分。
99.更进一步地，步骤106中，基于情报的总数量、直接情报的数量、间接情报的数量、该情报源判定为黑或白或可疑的攻陷信标的数量、该情报源和信标检测库同时判定位黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，确定对该情报源质量的第二评估得分，包括：
100.基于情报的总数量、直接情报的数量和间接情报的数量，确定该情报源的情报活跃度；其中，情报活跃度＝(直接情报的数量 间接情报的数量)/情报的总数量；
101.基于该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，确定该情报源的差异度；其中，差异度＝(该情报源判定为黑或白或可疑的攻陷信标的数量
‑
该情报源和信标检测库同时判定为黑或白的攻陷信标的数量
‑
该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量)/该情报源判定为黑或白或可疑的攻陷信标的数量，即，差异度＝(判定信标的数量
‑
同时判黑或同时判白的数量
‑
独家判定的数量)/判定信标的数量；
102.基于直接情报的数量、间接情报的数量、情报活跃度、该情报源判定为黑或白或可疑的攻陷信标的数量、该情报源和信标检测库同时判定为黑或白的攻陷信标的数量、该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，以及差异度，确定对该情报源质量的第二评估得分。
103.上述实施方式中，进一步定义了用于得到第二评估得分的各指标项，包括直接情报的数量、间接情报的数量、情报活跃度、该情报源判定为黑或白或可疑的攻陷信标的数量(简称判定信标的数量)、该情报源和信标检测库同时判定为黑或白的攻陷信标的数量(简称同时判黑或同时判白的数量)、该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量(简称独家判定的数量)和差异度，分别对上述各项指标进行打分，再加权计算，即可得到该情报源质量的第二评估得分。
104.其中，直接情报的数量、间接情报的数量多，反映了该情报源的流行性好，有可能是优质情报源；情报活跃度高，反映了该情报源中更多的威胁情报能够用于近一段时间的威胁检测，活跃性好，有可能是优质的情报源；判定信标的数量多反映了该情报源是高效的，能够对较多的设备日志进行检测，有可能是优质的情报源；同时判黑或同时判白的数量、独家判定的数量和差异度则反映了该情报源的可信程度。
105.加权时，各项指标权重可根据需要设置。例如，当工作人员更倾向于获得活跃性好的情报源为优质情报源，则可以在评分时增加对情报活跃度高的权重；当工作人员更倾向
于获得流行性好的情报源为优质情报源，则可以增加对直接情报的数量、间接情报的数量的权重，需要说明的是，考虑到直接情报的可靠性与准确性优于间接情报，对直接情报的数量、间接情报的数量的权重应存在差异，可令直接情报的数量的权重更高。
106.如图2所示，本发明还提供了一种情报源的质量评估方法，包括：
107.步骤200，获取设备日志，基于设备日志，确定设备日志中的待检测信标；
108.步骤202，获取待评估的情报源提供的所有威胁情报；
109.步骤204，基于该情报源包括的来源信息，确定该情报源提供的情报的总数量；
110.步骤206，基于该情报源包括的攻陷信标类型，确定该情报源包括的各攻陷信标类型的占比；
111.步骤208，基于该情报源包括的生产时间，确定该情报源提供的情报的周期增量；
112.步骤210，基于该情报源包括的有效性信息，确定该情报源提供的有效情报的数量和无效情报的数量；
113.步骤212，基于该情报源包括的判定信息，确定该情报源提供的可疑情报的数量；
114.步骤214，基于确定出的情报的总数量、无效情报的数量和可疑情报的数量，确定该情报源的不良率；
115.步骤216，基于确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量和不良率，确定该情报源质量的第一评估得分；
116.步骤218，基于设备日志中的待检测信标，确定该情报源中的直接情报的数量和间接情报的数量；
117.步骤220，针对设备日志中的每一个待检测信标，均执行：基于该待检测信标在情报源中进行查找，确定该情报源包括的攻陷信标对该待检测信标的判定结果；将该攻陷信标作为预设的信标检测库的输入，输出针对该攻陷信标的信标检测库检测结果；
118.步骤222，基于确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的检测结果，确定如下结果：该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量；
119.步骤224，基于情报的总数量、直接情报的数量和间接情报的数量，确定该情报源的情报活跃度；
120.步骤226，基于该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，确定该情报源的差异度；
121.步骤228，基于直接情报的数量、间接情报的数量、情报活跃度、该情报源判定为黑或白或可疑的攻陷信标的数量、该情报源和信标检测库同时判定为黑或白的攻陷信标的数量、该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，以及差异度，确定对该情报源质量的第二评估得分；
122.步骤230，基于针对该情报源确定的第一评估得分和第二评估得分，对待评估的情报源的质量进行评估。
123.该实施方式采用多维度多指标评价情报源质量，有利于对情报源更细粒度综合评定。
124.本发明还提供了一种情报源的质量评估方法，包括：
125.对多个待评估的情报源，采用如上述任一项所述的方法针对每一个情报源确定对应的第一评估得分和第二评估得分；
126.将针对每一个情报源确定的第一评估得分和第二评估得分进行加权计算，得到待评估的情报源的质量按照得分高低排列的顺序；
127.基于得到的按照得分高低排列的顺序，对多个待评估的情报源的质量进行评估。
128.该实施方式中，通过对多个待评估的情报源得分进行排序，能够剔除低质量的情报源，筛选出高质量的情报源，进而提高威胁情报整体质量。
129.在一个可选的实施方式中，本发明提供的方法采用百分制计算各情报源的得分，具体地：
130.针对各个情报源，基于相应的情报的总数量、各攻陷信标类型的占比、情报的周期增量和不良率，确定情报源质量的第一评估得分，包括：
131.对情报的总数量按照阈值梯度进行加减分，上下不超过10分；
132.对各攻陷信标类型的占比，威胁性高的攻陷信标类型的占比高，加10分，威胁性高的攻陷信标类型的占比低，减10分；
133.当情报的周期增量显示情报源常态化增量更新且满足增量要求，加10分，不更新或频繁断更，减10分；
134.对不良率按照阈值梯度进行加减分，上下不超过10分；
135.将上述各项评分加总得到第一评估得分。
136.针对各个情报源，基于直接情报的数量、间接情报的数量、情报活跃度、该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量和差异度，确定对情报源质量的第二评估得分，包括：
137.对直接情报的数量按照阈值梯度进行加减分，上下不超过10分；
138.对间接情报的数量按照阈值梯度进行加减分，上下不超过5分；
139.对情报活跃度按照阈值梯度进行加减分，上下不超过20分；
140.对情报源判定为黑或白或可疑的攻陷信标的数量按照阈值梯度进行加减分，上下不超过20分；
141.对情报源和信标检测库同时判定为黑或白的攻陷信标的数量按照阈值梯度进行加减分，上下不超过10分；
142.对情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量按照阈值梯度进行加减分，上下不超过10分；
143.对情报源的差异度按照阈值梯度进行加减分，上下不超过10分；
144.将上述各项评分加总得到第二评估得分。
145.最后，加总第一评估得分与第二评估得分，超过100取100，小于0取0，得到最终用于评价情报源质量的得分。
146.该实施方式中，通过设定阈值，能够实现对多个情报源的快速筛分，提高评估效率。
147.进一步地，本发明的情报源的质量评估方法还包括：
148.基于确定的统计结果，对待评估的情报源的质量进行评估；其中，统计结果包括情报的总数量、各攻陷信标类型的占比、情报的周期增量、无效情报的数量、可疑情报的数量、直接情报的数量、间接情报的数量、情报源判定为黑或白或可疑的攻陷信标的数量、情报源和信标检测库同时判定为黑或白的攻陷信标的数量、情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量。
149.该实施方式中，将多个情报源的多项指标统计，得到excel表格等形式，可快速通过excel表格对多个待评估的情报源的质量进行不同层级的评估与筛选，例如筛选出情报的总数量最多的情报源等。
150.如图3、图4所示，本发明实施方式提供了一种情报源的质量评估装置。装置实施方式可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图3所示，为本发明实施方式提供的一种情报源的质量评估装置所在电子设备的一种硬件架构图，除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外，实施方式中装置所在的电子设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图4所示，作为一个逻辑意义上的装置，是通过其所在电子设备的cpu将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施方式提供的一种情报源的质量评估装置，包括日志模块400、情报模块402、评分模块404和综合模块406；其中：
151.日志模块400用于获取设备日志，基于设备日志，确定设备日志中的待检测信标；
152.情报模块402用于获取待评估的情报源提供的所有威胁情报；
153.评分模块404用于基于威胁情报所包括的情报数据，确定情报源质量的第一评估得分；其中，情报数据包括攻陷信标；以及
154.基于设备日志中的待检测信标、攻陷信标和预设的信标检测库，确定情报源质量的第二评估得分；其中，信标检测库用于对待检测信标进行检测；
155.综合模块406用于基于第一评估得分和第二评估得分，对待评估的情报源的质量进行评估。
156.在本发明实施方式中，日志模块400可用于执行上述方法实施方式中的步骤100，情报模块402可用于执行上述方法实施方式中的步骤102，评分模块404可用于执行上述方法实施方式中的步骤104和步骤106，综合模块406可用于执行上述方法实施方式中的步骤108。
157.在本发明的一个实施方式中，情报数据还包括来源信息、攻陷信标类型、生产时间、有效性信息和判定信息，评分模块404用于执行如下操作：
158.基于威胁情报所包括的情报数据，确定对情报源质量的第一评估得分，进一步包括：
159.基于来源信息，确定该情报源提供的情报的总数量；
160.基于攻陷信标类型，确定该情报源包括的各攻陷信标类型的占比；
161.基于生产时间，确定该情报源提供情报的周期增量；
162.基于有效性信息，确定该情报源提供的有效情报的数量和无效情报的数量；
163.基于判定信息，确定该情报源提供的可疑情报的数量；其中，可疑情报用于表征无法确定为有效或无效的情报；
164.基于确定出的情报的总数量、各攻陷信标类型的占比、情报的周期增量、无效情报
的数量和可疑情报的数量，确定该情报源质量的第一评估得分。
165.在本发明的一个实施方式中，评分模块404还用于执行如下操作：
166.基于设备日志中的待检测信标、攻陷信标和预设的信标检测库，确定情报源质量的第二评估得分，进一步包括：
167.基于设备日志中的待检测信标，确定该情报源中的直接情报的数量和间接情报的数量；其中，直接情报所包括的攻陷信标与设备日志中的待检测信标相同，间接情报所包括的攻陷信标与设备日志中的待检测信标的类型相同；
168.针对设备日志中的每一个待检测信标，均执行：基于该待检测信标在情报源中进行查找，确定该情报源包括的攻陷信标对该待检测信标的判定结果；其中，判定结果包括黑、白、可疑和无匹配；
169.将该攻陷信标作为预设的信标检测库的输入，输出针对该攻陷信标的信标检测库检测结果；其中，信标检测库检测结果包括黑、白和无匹配；
170.基于情报的总数量、直接情报的数量、间接情报的数量、确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的信标检测库检测结果，确定对该情报源质量的第二评估得分。
171.进一步地，评分模块404还用于执行如下操作：
172.基于情报的总数量、直接情报的数量、间接情报的数量、确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的信标检测库检测结果，确定对该情报源质量的第二评估得分，进一步包括：
173.基于确定的该情报源包括的攻陷信标对该待检测信标的判定结果和针对该攻陷信标的信标检测库检测结果，确定如下结果：该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量；
174.基于情报的总数量、直接情报的数量、间接情报的数量、该情报源判定为黑或白或可疑的攻陷信标的数量、该情报源和信标检测库同时判定位黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，确定对该情报源质量的第二评估得分。
175.更进一步地，评分模块404还用于执行如下操作：
176.基于情报的总数量、直接情报的数量、间接情报的数量、该情报源判定为黑或白或可疑的攻陷信标的数量、该情报源和信标检测库同时判定位黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，确定对该情报源质量的第二评估得分，进一步包括：
177.基于情报的总数量、直接情报的数量和间接情报的数量，确定该情报源的情报活跃度；
178.基于该情报源判定为黑或白或可疑的攻陷信标的数量，该情报源和信标检测库同时判定为黑或白的攻陷信标的数量，以及该情报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，确定该情报源的差异度；
179.基于直接情报的数量、间接情报的数量、情报活跃度、该情报源判定为黑或白或可疑的攻陷信标的数量、该情报源和信标检测库同时判定为黑或白的攻陷信标的数量、该情
报源判定为黑或白或可疑但信标检测库判定为无匹配的攻陷信标的数量，以及差异度，确定对该情报源质量的第二评估得分。
180.可以理解的是，本发明实施方式示意的结构并不构成对一种情报源的质量评估装置的具体限定。在本发明的另一些实施方式中，一种情报源的质量评估装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
181.上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施方式基于同一构思，具体内容可参见本发明方法实施方式中的叙述，此处不再赘述。
182.本发明实施方式还提供了一种电子设备，包括存储器和处理器，存储器中存储有计算机程序，处理器执行计算机程序时，实现本发明任一实施方式中的一种情报源的质量评估方法。
183.本发明实施方式还提供了一种存储介质，存储介质上存储有计算机程序，计算机程序在被处理器执行时，使处理器执行本发明任一实施方式中的一种情报源的质量评估方法。
184.具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施方式中任一实施方式的功能的软件程序代码，且使该系统或者装置的计算机(或cpu或mpu)读出并执行存储在存储介质中的程序代码。
185.在这种情况下，从存储介质读取的程序代码本身可实现上述实施方式中任何一项实施方式的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
186.用于提供程序代码的存储介质实施方式包括软盘、硬盘、磁光盘、光盘(如cd
‑
rom、cd
‑
r、cd
‑
rw、dvd
‑
rom、dvd
‑
ram、dvd
‑
rw、dvd rw)、磁带、非易失性存储卡和rom。可选择地，可以由通信网络从服务器计算机上下载程序代码。
187.此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施方式中任意一项实施方式的功能。
188.此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的cpu等来执行部分和全部实际操作，从而实现上述实施方式中任一实施方式的功能。
189.本发明各实施方式至少具有如下有益效果：
190.1、在本发明一个实施方式中，本发明依据设备日志以及情报源提供的威胁情报，从不同的维度对情报源的质量进行评估得分，通过综合评分评价情报源的质量，从而快速确定高质量的情报源，进而可确定高质量的威胁情报；
191.2、在本发明一个实施方式中，本发明进一步限定了用于确定第一评估得分的各项指标以及如何确定这些指标，通过这些指标，第一评估得分综合了优质情报源提供威胁情报的特征，能够更为全面、有效地评价情报源质量；
192.3、在本发明一个实施方式中，本发明进一步限定了用于确定第二评估得分的各项指标以及如何确定这些指标，通过这些指标，第二评估得分综合考量了情报源是否流行性、是否活跃性、是否高效及是否可信，能够更为直观、综合地评价情报源质量；
193.4、在本发明一个实施方式中，本发明综合第一评估得分和第二评估得分，对多个情报源进行评估与筛分，能够过滤低质量、低效、不活跃的情报源、发现高质量、高效、活跃、流行的情报源，进而可提升威胁情报整体质量。
194.需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
…”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同因素。
195.本领域普通技术人员可以理解：实现上述方法实施方式的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施方式的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质中。
196.最后应说明的是：以上实施方式仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施方式对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施方式技术方案的精神和范围。