一种威胁情报信息处理方法、装置、设备及存储介质与流程

1.本申请涉及网络安全领域，特别是涉及一种威胁情报信息处理方法、装置、设备及存储介质。


背景技术：

2.随着威胁情报信息共享数据的快速增长，以及网络安全防御的升级，给威胁情报信息产品和共享平台带来了新的发展。建立以威胁情报信息为核心的安全防御系统进行安全事件的发现及网络安全威胁的预警成为重中之重。
3.威胁情报信息(cyber threat intelligence，cti)指收集证据知识的任务，包括关于现存的或潜在威胁和风险的背景、机制、指标、意义和行动的建议，可用于对威胁或风险做出响应的决策。
4.当前，威胁情报信息往往通过海量多源的途径获取，因此获取得到的威胁情报信息的质量往往参差不齐，威胁情报信息掺杂着大量混淆和失效的错误情报，如何分析威胁情报信息的可信度等级，进而确保使用威胁情报信息时的可靠性，是本领域技术人员关注的重点。
5.由此可见，提供一种威胁情报信息处理方法，以实现对威胁情报信息的可信度等级的分析，进而确保使用威胁情报信息过程的可靠性，是本领域技术人员需要解决的问题。


技术实现要素：

6.本申请的目的是提供一种威胁情报信息处理方法，以实现对威胁情报信息的可信度等级的分析，进而确保使用威胁情报信息过程的可靠性。
7.为解决上述技术问题，本申请提供一种威胁情报信息处理方法，包括：
8.获取由第三方平台产生的外源威胁情报信息；
9.提取外源威胁情报信息在多个目标维度下的外源信息特征；
10.将各外源信息特征输入至等级分析模型，得到外源威胁情报信息的可信度等级；其中，等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。
11.优选地，等级分析模型的生成过程包括：
12.获取威胁情报信息样本；
13.获取威胁情报信息样本的样本可信度等级；
14.提取威胁情报信息样本在目标维度下的情报信息特征样本；
15.将情报信息特征样本输入至gbdt模型；
16.调整gbdt模型的模型参数，直至gbdt模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内，并将调整后的gbdt模型设置为等级分析模型。
17.优选地，方法还包括：
18.获取本地系统产生的内源威胁情报信息；
19.统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度；
20.判断相似度是否达到预设阈值；
21.若相似度达到预设阈值，则将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
22.优选地，外源威胁情报信息以及内源威胁情报信息的信息格式均为stix格式；
23.相应的，统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度，包括：
24.统计内源威胁情报信息与外源威胁情报信息之间，在stix格式中各属性维度的属性值相同的频次；
25.基于各属性维度对应的频次以及权重值生成相似度。
26.优选地，提取外源威胁情报信息在多个目标维度下的外源信息特征，包括：
27.提取外源威胁情报信息在情报可读性、情报源权威性、相似情报数量、异常ip地址数量、异常域名数量、异常url数量、异常文本数量、首次出现时间、最近更新时间以及最近预设次更新时刻间隔时长中，任意多个维度下的外源信息特征。
28.此外，本申请还提供一种威胁情报信息处理装置，包括：
29.外源情报获取模块，用于获取由第三方平台产生的外源威胁情报信息；
30.外源特征提取模块，用于提取外源威胁情报信息在多个目标维度下的外源信息特征；
31.模型分析模块，用于将各外源信息特征输入至等级分析模型，得到外源威胁情报信息的可信度等级；其中，等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。
32.优选地，还包括：
33.样本获取模块，用于获取威胁情报信息样本；
34.等级获取模块，用于获取威胁情报信息样本的样本可信度等级；
35.特征样本提取模块，用于提取威胁情报信息样本在目标维度下的情报信息特征样本；
36.模型输入模块，用于将情报信息特征样本输入至gbdt模型；
37.调参训练模块，用于调整gbdt模型的模型参数，直至gbdt模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内，并将调整后的gbdt模型设置为等级分析模型。
38.优选地，还包括：
39.内源情报获取模块，用于获取本地系统产生的内源威胁情报信息；
40.相似度统计模块，用于统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度；
41.阈值判断模块，用于判断相似度是否达到预设阈值，若是，则调用可信度设置模块；
42.可信度设置模块，用于将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
43.此外，本申请还提供一种威胁情报信息处理设备，包括：
44.存储器，用于存储计算机程序；
45.处理器，用于执行计算机程序时实现如上述的威胁情报信息处理方法的步骤。
46.此外，本申请还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述的威胁情报信息处理方法的步骤。
47.本申请所提供的威胁情报信息处理方法，首先获取由第三方平台产生的外源威胁情报信息，进而提取外源威胁情报信息在多个目标维度下的情报信息特征，并将各外源信息特征输入至等级分析模型，由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。由于gbdt模型是一种采用决策树或回归树作为弱分类器的梯度提升算法，允许用多个不同的判决条件将不同特征关联起来，适合于产生不同结果的特征的联合，而本方法中的等级分析模型基于gbdt模型训练得到，因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析，生成外源威胁情报信息的可信度等级，实现了对威胁情报信息的可信度等级的分析，进而确保了使用威胁情报信息过程的可靠性。此外，本申请还提供一种威胁情报信息处理装置、设备及存储介质，有益效果同上所述。
附图说明
48.为了更清楚地说明本申请实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
49.图1为本申请实施例公开的一种威胁情报信息处理方法的流程图；
50.图2为本申请实施例公开的一种威胁情报信息处理装置的结构示意图。
具体实施方式
51.下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本申请保护范围。
52.当前，威胁情报信息往往通过海量多源的途径获取，因此获取得到的威胁情报信息的质量往往参差不齐，威胁情报信息掺杂着大量混淆和失效的错误情报，如何分析威胁情报信息的可信度等级，进而确保使用威胁情报信息时的可靠性，是本领域技术人员关注的重点。
53.为此，本申请的核心是提供一种威胁情报信息处理方法，以实现对威胁情报信息的可信度等级的分析，进而确保使用威胁情报信息过程的可靠性。
54.为了使本技术领域的人员更好地理解本申请方案，下面结合附图和具体实施方式对本申请作进一步的详细说明。
55.请参见图1所示，本申请实施例公开了一种威胁情报信息处理方法，包括：
56.步骤s10：获取由第三方平台产生的外源威胁情报信息。
57.需要说明的是，本步骤中获取的外源威胁情报信息由第三方平台产生，第三方平台指的是本地系统平台以外的系统平台。第三方平台包括但不限于开源的威胁情报平台或
情报提供商，在此基础上，获取由第三方平台产生的外源威胁情报信息时，一方面可以通过爬虫从开源平台上收集外源威胁情报信息，另一方面可以通过调用情报提供商开放的api(application programming interface，应用程序接口)获取情报。
58.步骤s11：提取外源威胁情报信息在多个目标维度下的外源信息特征。
59.在获取到由第三方平台产生的外源威胁情报信息之后，本步骤进一步提取外源威胁情报信息在多个目标维度下的外源信息特征，外源信息特征指的是外源威胁情报信息所包含的信息内容具有的特征。本步骤提取外源信息特征的目的是在后续步骤中通过等级分析模型对各个维度的外源信息特征进行综合分析。
60.步骤s12：将各外源信息特征输入至等级分析模型，得到外源威胁情报信息的可信度等级。
61.其中，等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。
62.在获取到外源威胁情报信息在多个目标维度下的外源信息特征之后，本步骤进一步将各外源信息特征输入至等级分析模型，得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本以及威胁情报信息样本的样本可信度等级，对gbdt模型进行训练得到的。其中，gbdt(gradient boosting decision tree，梯度提升决策树)模型，是利用前一轮迭代弱学习器的误差率来更新训练集的权重，通过不断地梯度下降学习最后得到一个强的学习器来进行样本数据的预测。
63.本申请所提供的威胁情报信息处理方法，首先获取由第三方平台产生的外源威胁情报信息，进而提取外源威胁情报信息在多个目标维度下的情报信息特征，并将各外源信息特征输入至等级分析模型，由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。由于gbdt模型是一种采用决策树或回归树作为弱分类器的梯度提升算法，允许用多个不同的判决条件将不同特征关联起来，适合于产生不同结果的特征的联合，而本方法中的等级分析模型基于gbdt模型训练得到，因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析，生成外源威胁情报信息的可信度等级，实现了对威胁情报信息的可信度等级的分析，进而确保了使用威胁情报信息过程的可靠性。
64.在上述实施例的基础上，作为一种优选的实施方式，等级分析模型的生成过程包括：
65.获取威胁情报信息样本；
66.获取威胁情报信息样本的样本可信度等级；
67.提取威胁情报信息样本在目标维度下的情报信息特征样本；
68.将情报信息特征样本输入至gbdt模型；
69.调整gbdt模型的模型参数，直至gbdt模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内，并将调整后的gbdt模型设置为等级分析模型。
70.需要说明的是，本实施方式的重点在于，生成等级分析模型的过程中，首先获取威胁情报信息样本，此处的威胁情报信息样本指的是用于对gbdt模型进行训练的外源威胁情报信息。在获取到威胁情报信息样本的基础上，进一步获取威胁情报信息样本的样本可信
度等级，样本可信度等级可以是技术人员根据等级设定标准或等级设定经验，预先对威胁情报信息样本设定的可信度等级。获取威胁情报信息样本的步骤以及获取威胁情报信息样本的样本可信度等级的步骤，在执行时无固定的先后顺序，也可以同时执行。在获取威胁情报信息样本之后，本实施方式进一步提取威胁情报信息样本在目标维度下的情报信息特征样本，进而将情报信息特征样本输入至gbdt模型，在此基础上，gbdt模型会根据情报信息特征样本生成相应的等级结果，而等级结果与样本可信度等级之间往往存在一定的差距，因此在生成等级结果后，需要进一步调整gbdt模型的模型参数，直至gbdt模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内，并将调整后的gbdt模型设置为最终的等级分析模型。本实施方式进一步确保了基于gbdt模型训练得到等级分析模型的可靠性。
71.在上述实施例的基础上，作为一种优选的实施方式，方法还包括：
72.获取本地系统产生的内源威胁情报信息；
73.统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度；
74.判断相似度是否达到预设阈值；
75.若相似度达到预设阈值，则将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
76.需要说明的是，本实施方式的重点在于，进一步获取本地系统产生的内源威胁情报信息，进而统计内源威胁情报信息与外源威胁情报信息之间在属性值方面的相似度，并根据相似度是否达到预设阈值的方式判定外源威胁情报信息与内源威胁情报信息之间的可信度等级是否一致，进而当相似度达到预设阈值时，将将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。本实施方式进一步实现了对于本地系统产生的内源威胁情报信息的可信度等级的分析，进一步确保了使用威胁情报信息过程的可靠性。
77.更进一步的，作为一种优选的实施方式，外源威胁情报信息以及内源威胁情报信息的信息格式均为stix格式；
78.相应的，统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度，包括：
79.统计内源威胁情报信息与外源威胁情报信息之间，在stix格式中各属性维度的属性值相同的频次；
80.基于各属性维度对应的频次以及权重值生成相似度。
81.需要说明的是，在本实施方式中，外源威胁情报信息以及内源威胁情报信息的信息格式均为stix(structured threat information expression)格式，
82.stix是一种用于交换网络威胁情报的语言和序列化格式，由若干维度的网络威胁信息组成，如：网络可观察量、指示器、事件、对手的ttp(tactics、techniques和procedures，战术、技术和过程)，攻击目标和威胁发起者等。这样格式的威胁情报可以让安全分析人员更快速明确地了解到他们可能面临的基于计算机的网络攻击、从而更快更有效地预测和响应。在此基础上，本实施方式统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度时，具体是统计内源威胁情报信息与各外源威胁情报信息之间，在stix格式中各属性维度的属性值相同的频次，属性值相同的频次表征的即为内源威胁情报信息与外源威胁情报信息近似的频次，进而基于各属性维度对应的频次以及权重值生成相似度。另外，本实施方式中的权重值表征的是，属性维度在stix格式中的重要程度，属性维度的权
重值决定计算相似度过程中，该属性维度所对应频次的运算比重。本是实施方式进一步提高了统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度过程的可靠性。
83.在上述一系列实施例的基础上，作为一种优选的实施方式，提取外源威胁情报信息在多个目标维度下的外源信息特征，包括：
84.提取外源威胁情报信息在情报可读性、情报源权威性、相似情报数量、异常ip地址数量、异常域名数量、异常url数量、异常文本数量、首次出现时间、最近更新时间以及最近预设次更新时刻间隔时长中，任意多个维度下的外源信息特征。
85.需要说明的是，本实施方式中的情报可读性指的是外源威胁情报信息是能够被设备正常读取；情报源权威性指的是外源威胁情报信息的来源的可信程度；相似情报数量指的是与特定外源威胁情报信息相似的其它外源威胁情报信息的数量；异常ip地址数量指的是外源威胁情报信息中包含的恶意ip地址的数量；异常域名数量指的是外源威胁情报信息中包含的恶意域名的数量；异常url数量指的是外源威胁情报信息中包含恶意url的数量；异常文本数量指的是外源威胁情报信息中包含记录异常内容文本的数量；首次出现时间指的是外源威胁情报信息第一次生成的时间；最近更新时间指的是外源威胁情报信息最近一次更新的时间；最近预设次更新时刻间隔时长指的是外源威胁情报信息最近预设次更新时刻之间间隔的时长。本实施方式进一步提高了在外源威胁情报信息中提取的外源信息特征的多样性，确保了对威胁情报信息的可信度等级进行分析的准确性。
86.请参见图2所示，本申请实施例公开了一种威胁情报信息处理装置，包括：
87.外源情报获取模块10，用于获取由第三方平台产生的外源威胁情报信息；
88.外源特征提取模块11，用于提取外源威胁情报信息在多个目标维度下的外源信息特征；
89.模型分析模块12，用于将各外源信息特征输入至等级分析模型，得到外源威胁情报信息的可信度等级；其中，等级分析模型基于威胁情报信息样本的在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。
90.此外，作为一种优选的实施方式，还包括：
91.样本获取模块，用于获取威胁情报信息样本；
92.等级获取模块，用于获取威胁情报信息样本的样本可信度等级；
93.特征样本提取模块，用于提取威胁情报信息样本在目标维度下的情报信息特征样本；
94.模型输入模块，用于将情报信息特征样本输入至gbdt模型；
95.调参训练模块，用于调整gbdt模型的模型参数，直至gbdt模型输出的等级结果与样本可信度等级之间的等级差值在预设差值范围内，并将调整后的gbdt模型设置为等级分析模型。
96.此外，作为一种优选的实施方式，还包括：
97.内源情报获取模块，用于获取本地系统产生的内源威胁情报信息；
98.相似度统计模块，用于统计内源威胁情报信息与外源威胁情报信息之间属性值的相似度；
99.阈值判断模块，用于判断相似度是否达到预设阈值，若是，则调用可信度设置模块；
100.可信度设置模块，用于将外源威胁情报信息的可信度等级设置为内源威胁情报信息的可信度等级。
101.本申请所提供的威胁情报信息处理装置，首先获取由第三方平台产生的外源威胁情报信息，进而提取外源威胁情报信息在多个目标维度下的情报信息特征，并将各外源信息特征输入至等级分析模型，由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。由于gbdt模型是一种采用决策树或回归树作为弱分类器的梯度提升算法，允许用多个不同的判决条件将不同特征关联起来，适合于产生不同结果的特征的联合，而本装置中的等级分析模型基于gbdt模型训练得到，因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析，生成外源威胁情报信息的可信度等级，实现了对威胁情报信息的可信度等级的分析，进而确保了使用威胁情报信息过程的可靠性。
102.此外，本申请还提供一种威胁情报信息处理设备，包括：
103.存储器，用于存储计算机程序；
104.处理器，用于执行计算机程序时实现如上述的威胁情报信息处理方法的步骤。
105.本申请所提供的威胁情报信息处理设备，首先获取由第三方平台产生的外源威胁情报信息，进而提取外源威胁情报信息在多个目标维度下的情报信息特征，并将各外源信息特征输入至等级分析模型，由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。由于gbdt模型是一种采用决策树或回归树作为弱分类器的梯度提升算法，允许用多个不同的判决条件将不同特征关联起来，适合于产生不同结果的特征的联合，而本设备中的等级分析模型基于gbdt模型训练得到，因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析，生成外源威胁情报信息的可信度等级，实现了对威胁情报信息的可信度等级的分析，进而确保了使用威胁情报信息过程的可靠性。
106.此外，本申请还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述的威胁情报信息处理方法的步骤。
107.本申请所提供的计算机可读存储介质，首先获取由第三方平台产生的外源威胁情报信息，进而提取外源威胁情报信息在多个目标维度下的情报信息特征，并将各外源信息特征输入至等级分析模型，由等级分析模型分析得到外源威胁情报信息的可信度等级。等级分析模型基于威胁情报信息样本在目标维度下的情报信息特征样本，以及威胁情报信息样本的样本可信度等级对gbdt模型训练得到。由于gbdt模型是一种采用决策树或回归树作为弱分类器的梯度提升算法，允许用多个不同的判决条件将不同特征关联起来，适合于产生不同结果的特征的联合，而本计算机可读存储介质中的等级分析模型基于gbdt模型训练得到，因此通过等级分析模型能够相对准确地对外源威胁情报信息多个目标维度下的外源信息特征进行综合分析，生成外源威胁情报信息的可信度等级，实现了对威胁情报信息的可信度等级的分析，进而确保了使用威胁情报信息过程的可靠性。
108.以上对本申请所提供的一种威胁情报信息处理方法、装置、设备及存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其
他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。
109.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。