一种威胁情报置信度计算方法、装置和存储介质与流程

1.本公开总体上涉及信息安全领域。


背景技术：

2.威胁情报的及时共享和使用是有效提高网络安全防护能力的手段。目前，各情报源的数据质量不一、分析能力各异、维护水平不同导致共享的威胁情报质量存在着很大的差异。


技术实现要素：

3.在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。
4.根据本公开的一个方面，提供一种威胁情报置信度计算方法，包括如下步骤：
5.确定威胁情报的特征作为价值因子；
6.通过内容评分算法得到情报内容信誉值
7.通过威胁传播评分算法得到情报传播信誉值
8.将和加权合并以得到情报标准置信度
9.如果所述威胁情报为开源情报，则基于网站的alexa排名由情报标准置信度得到调整后的标准置信度如果所述威胁情报不是开源情报，则
10.根据所述威胁情报是否存在预设置信度如下计算得到威胁情报置信度ck：
[0011][0012]
其中，表示和之中的最大值，表示和之中的最小值，氛示情报来源置信度，α表示与情报标准置信度对应的权重，β表示与情报内容信誉值对应的权重。
[0013]
以下通过本发明的优选的实施方式的详细描述，本发明的其它特征及其优点将会变得清楚。
附图说明
[0014]
构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。
[0015]
参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：
[0016]
图1示出了根据本发明的威胁情报置信度计算方法的流程图。
[0017]
图2示出了能够实现根据本公开的实施例的计算设备的示例性配置。
具体实施方式
[0018]
参考附图进行以下详细描述，并且提供以下详细描述以帮助全面理解本公开的各种示例实施例。以下描述包括各种细节以帮助理解，但是这些细节仅被认为是示例，而不是为了限制本公开，本公开是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本公开。另外，为了清楚和简洁起见，可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以对本文描述的示例进行各种改变和修改。
[0019]
图1示出了根据本发明的威胁情报置信度计算方法的流程图。
[0020]
以下结合图1例示性地描述本发明。
[0021]
如步骤s101所示，首先针对待评估情报确定威胁情报的特征作为价值因子。
[0022]
在一些实施例中，威胁情报为threat-actor(攻击者)类型情报。
[0023]
在一些实施例中，威胁情报的特征包含更新频率、攻击国家个数、攻击行业个数、攻击平台个数、威胁主体级别和相关情报数量中的至少一个。例如，威胁情报的特征可以为相关情报数量。
[0024]
如步骤s102_1所示，通过内容评分算法得到情报内容信誉值并且，如s1022所示，通过威胁传播评分算法得到情报传播信誉值
[0025]
在一些实施例中，通过内容评分算法得到情报内容信誉值包含：基于情报样本集的整体特征分布，通过分位点算法计算待评估情报的各特征的内容信誉值，并且整合得到情报的整体内容信誉值
[0026]
在一些实施例中，通过分位点算法计算待评估情报的各特征的内容信誉值包含：
[0027]
计算情报样本集的相关情报特征，形成集合s
rn
，在一些实施例中，相关情报特征是相关情报数量；
[0028]
通过箱线图判断s
rn
中包含的异常值，删除异常值，并且对s
rn
依增序排序；
[0029]
对于待评估新情报，计算其情报特征rn在s
rn
中的对应分位点q，其中，q表示样本集合s
rn
中元素小于rn的概率，即，q＝p(x＜rn)，x∈s
rn
，在相关情报特征是相关情报数量的实施例中，情报特征rn表示情报的相关情报数量；
[0030]
根据相关情报特征的得分集合sg＝[1，2，...，t]，将与分位点q对应的得分值确定为该情报的相关情报特征的内容信誉值，其中t为特征的最高得分，表示相关情报得分集合sg的q分位点得分。
[0031]
在一些实施例中，定期更新样本集以使其更接近整体分布，并且重复上述各步骤：计算情报样本集的相关情报特征，形成集合s
rn
；通过箱线图判断s
rn
中包含的异常值，删除异常值，并且对s
rn
依增序排序；对于待评估新情报，计算其情报特征rn在s
rn
中的对应分位
点q；将与分位点q对应的得分值确定为该情报的相关情报特征的内容信誉值。
[0032]
在一些实施例中，如下计算得到情报传播信誉值：
[0033][0034]
其中，n表示情报的相关情报个数，ci表示相关情报i的置信度，ψi表示相关情报i的置信度传递系数(传播因子)，ui表示相关情报i 的更新频率得分。
[0035]
对于本发明中的传播因子(即，ψi)，如果已有情报i与待评估情报k相关，则考虑将已有情报i的置信度＊ψi来传递给待评估情报，其中ψi的取值思想为均匀传播，对于更新频率较高的情报会使ψi变大，使得待评估情报接收到更多置信度。
[0036]
如步骤s103所示，通过将和加权合并以得到情报标准置信度
[0037]
在一些实施例中，如下计算得到情报标准置信度：
[0038][0039]
其中，β表示与情报内容信誉值对应的权重。
[0040]
如步骤s104所示，判断该情报的来源是否为开源情报。
[0041]
如果所述威胁情报为开源情报，则如步骤s105所示基于网站的 alexa排名由情报标准置信度得到调整后的标准置信度如果所述威胁情报不是开源情报(例如商业情报)，则并且由步骤s104跳转到步骤s106。
[0042]
在一些实施例中，如下计算调整后的标准置信度
[0043][0044]
其中，
[0045]
其中，α表示与情报标准置信度对应的权重，r表示情报来源的 alexa排名，δ表示来源网站的权威度系数。
[0046]
在步骤s106，判断威胁情报是否存在预设置信度并且如下计算得到威胁情报置信度ck：
[0047][0048]
其中，表示和之中的最大值，表示和之中的最小值，表示情报来源置信度，α表示
与情报标准置信度对应的权重，β表示与情报内容信誉值对应的权重，预设置信度是情报携带的原始特征。
[0049]
从计算得到威胁情报置信度ck的上述表达式可以看出，在威胁情报存在预设置信度的情况下，在计算中引入了步骤s107所示的距离惩罚。和的距离越大，则越小。在步骤s107所示的距离惩罚中，距离指的是新计算得到的情报标准置信度与情报预设置信度之间的分差，这里相当于添加了一个惩罚因子得到两个置信度中间的某个值作为最后的置信度。
[0050]
在上述计算方式中，判断情报是否存在原置信度，如果存在则保证置信度既不完全丢失原来的信息，同时也能包含新算法的内容，采取尽量折中并靠近标准置信度的方案(距离惩罚)进行调整，得到最终的置信度。
[0051]
本发明通过上述例示性的各实施例计算得到威胁情报置信度ck。
[0052]
本发明的情报内容评分算法不仅关注数据的本身特征，更关注该情报在同类型情报总体中的特征分布位置，通过分位点原理整合得到待评估情报的内容信誉值。威胁情报越多，本发明的模型学习越精确，质量评估准确率越高。
[0053]
本发明的情报威胁传播算法考虑情报之间的关联性，深层次挖掘相关情报的关联特征来初步确定传播因子，同时细化考虑相关情报的更新频率来提升传播因子，最终得到待评估情报的传播信誉值。
[0054]
本发明主要解决以下问题。1、宏微观结合，提升置信度的评估准确率：情报源和情报内容同时纳入评估特征，不仅关注数据的本身特征，更关注该情报在同类型情报总体中的特征分布位置；威胁情报越多，模型学习越精确，增加质量评估准确率。2、淡化差异，多源合一：基于不同类型情报设定个性化的计算标准，对原置信度进行调整。
[0055]
在现有技术中，各情报源的数据质量不一、分析能力各异、维护水平不同导致共享的威胁情报质量存在着很大的差异，从而直接影响到后续的安全威胁情报利用和安全事件应对的能力及效率。通过调研发现当前的威胁情报的质量评估方法存在以下问题：宏观评估以整个威胁情报源为评估对象，其结果无法衡量具体的威胁情报指标；微观评估方法以单个威胁情报指标为评估对象，当前仍主要通过领域专家进行人工评估，无法适用大规模的威胁情报数据。
[0056]
本技术相对现有技术而言至少具有如下优点和效果。本专利提出的基于多因子关联分析的威胁情报质量评估方法，具备明确的计算公式与实现流程，内容评分算法充分考虑数据的整体分布，淡化单一数据特征的影响；威胁传播算法将情报间的复杂关联关系考虑在内，定量了可信性的传播。整体实现流程解决了多源情报数据质量不一、分析能力各异、维护水平不同导致的威胁情报质量差异问题，形成了统一的评估标准；并且本方法面向多种情报类型(ioc情报、资讯类情报)，具有一定的普适性。
[0057]
图2示出了能够实现根据本公开的实施例的计算设备200的示例性配置。
[0058]
计算设备200是能够应用本公开的上述方面的硬件设备的实例。计算设备200可以是被配置为执行处理和/或计算的任何机器。计算设备200可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(pda)、智能电话、车载计算机或
以上组合。
[0059]
如图2所示，计算设备200可以包括可以经由一个或多个接口与总线202连接或通信的一个或多个元件。总线202可以包括但不限于，工业标准架构(industry standard architecture，isa)总线、微通道架构(micro channel architecture，mca)总线、增强isa(eisa) 总线、视频电子标准协会(vesa)局部总线、以及外设组件互连(pci) 总线等。计算设备200可以包括例如一个或多个处理器204、一个或多个输入设备206以及一个或多个输出设备208。一个或多个处理器 204可以是任何种类的处理器，并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。处理器204例如可以被配置为执行图2所示的方法。输入设备206可以是能够向计算设备输入信息的任何类型的输入设备，并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备208可以是能够呈现信息的任何类型的设备，并且可以包括但不限于显示器、扬声器、视频/ 音频输出终端、振动器和/或打印机。
[0060]
计算设备200还可以包括或被连接至非暂态存储设备214，该非暂态存储设备214可以是任何非暂态的并且可以实现数据存储的存储设备，并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备200 还可以包括随机存取存储器(ram)210和只读存储器(rom)212。 rom 212可以以非易失性方式存储待执行的程序、实用程序或进程。 ram 210可提供易失性数据存储，并存储与计算设备200的操作相关的指令。计算设备200还可包括耦接至数据链路218的网络/总线接口 216。网络/总线接口216可以是能够启用与外部装置和/或网络通信的任何种类的设备或系统，并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙tm设备、 802.11设备、wifi设备、wimax设备、蜂窝通信设施等)。
[0061]
本公开可以被实现为装置、系统、集成电路和非瞬时性计算机可读介质上的计算机程序的任何组合。可以将一个或多个处理器实现为执行本公开中描述的部分或全部功能的集成电路(ic)、专用集成电路(asic)或大规模集成电路(lsi)、系统lsi，超级lsi或超lsi 组件。
[0062]
本公开包括软件、应用程序、计算机程序或算法的使用。可以将软件、应用程序、计算机程序或算法存储在非瞬时性计算机可读介质上，以使诸如一个或多个处理器的计算机执行上述步骤和附图中描述的步骤。例如，一个或多个存储器以可执行指令存储软件或算法，并且一个或多个处理器可以关联执行该软件或算法的一组指令，以根据本公开中描述的实施例提供各种功能。
[0063]
软件和计算机程序(也可以称为程序、软件应用程序、应用程序、组件或代码)包括用于可编程处理器的机器指令，并且可以以高级过程性语言、面向对象编程语言、功能性编程语言、逻辑编程语言或汇编语言或机器语言来实现。术语“计算机可读介质”是指用于向可编程数据处理器提供机器指令或数据的任何计算机程序产品、装置或设备，例如磁盘、光盘、固态存储设备、存储器和可编程逻辑设备(pld)，包括将机器指令作为计算机可读信号来接收的计算机可读介质。
[0064]
举例来说，计算机可读介质可以包括动态随机存取存储器 (dram)、随机存取存储
器(ram)、只读存储器(rom)、电可擦只读存储器(eeprom)、紧凑盘只读存储器(cd-rom)或其他光盘存储设备、磁盘存储设备或其他磁性存储设备，或可以用于以指令或数据结构的形式携带或存储所需的计算机可读程序代码以及能够被通用或专用计算机或通用或专用处理器访问的任何其它介质。如本文中所使用的，磁盘或盘包括紧凑盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘和蓝光盘，其中磁盘通常以磁性方式复制数据，而盘则通过激光以光学方式复制数据。上述的组合也包括在计算机可读介质的范围内。
[0065]
提供本公开的主题作为用于执行本公开中描述的特征的装置、系统、方法和程序的示例。但是，除了上述特征之外，还可以预期其他特征或变型。可以预期的是，可以用可能代替任何上述实现的技术的任何新出现的技术来完成本公开的部件和功能的实现。
[0066]
另外，以上描述提供了示例，而不限制权利要求中阐述的范围、适用性或配置。在不脱离本公开的精神和范围的情况下，可以对所讨论的元件的功能和布置进行改变。各种实施例可以适当地省略、替代或添加各种过程或部件。例如，关于某些实施例描述的特征可以在其他实施例中被结合。
[0067]
类似地，虽然在附图中以特定次序描绘了操作，但是这不应该被理解为要求以所示的特定次序或者以顺序次序执行这样的操作，或者要求执行所有图示的操作以实现所希望的结果。在某些情况下，多任务处理和并行处理可以是有利的。