网络威胁安全检测方法及装置与流程

本申请涉及网络安全
技术领域：
，具体涉及一种网络威胁安全检测方法、装置、电子设备及存储介质。
背景技术：
：在当今互联网的复杂环境下，会对网络安全造成威胁的事件早已不再是单一形式单一来源，比如因网络资源的多样性，攻击可能会隐藏在邮件、图片、视频、网站代码、插件或各类文件中；因联网设备的多样性，攻击可能会来自(或针对)pc、手机、平板电脑、usb设备或各类智能终端，这些都给当前的网络安全防范带来了极大的困难。更典型地，在apt(advancedpersistentthreat，高级持续性威胁)攻击中，攻击者甚至会形成组织，反复而多样化地对目标发起长期的持续性的攻击，给受攻击的目标的网络安全带来了极大的压力。为了应对更加复杂的网络攻击，快速而及时地检测威胁信息，准确发现并有效响应攻击事件就显得至关重要。面向新的威胁形式，网络威胁安全检测从过去的以漏洞为中心的被动防御思路进化为以威胁为中心的主动分析发现防御思路。通过主动收集分析共享可能威胁网络安全的信息，当前的安全检测方式以空间换时间，与传统的安全防御相比可以大幅提高威胁检测和应急响应的效率，可在攻击在网络中蔓延之前就尽早发现并阻止，降低威胁事件造成的损失。其中，基于当前大数据分析技术和认知智能技术的发展，现有技术的网络威胁安全检测系统通过尽可能地收集互联网基础设施数据、最新的攻击工具和攻击方法，来进行广泛而全面的数据挖掘与识别，以帮助用户提前发现安全隐患，及时拦截威胁，有效抵御攻击。典型地，基于大数据的威胁信息分析是基于证据的知识分析，通过机器认知智能技术来自动识别多种类型的情况，包括但不限于场景、机制、指标、含义和可操作的建议等；可针对现存的或新兴的威胁自动完成发现与识别，为主体响应相关威胁提供决策信息。在现有技术中，大数据分析基于威胁指标(indicatorofcompromise，简称ioc)进行，ioc是指在特定的网络环境或信息系统中，用来识别或指出一个特定威胁的指征数据，其核心为对网络可观察数据进行组合的指示表达，通常用可信度(信誉)来呈现数据的关键特性。然而，发明人在实现本申请实施例相关技术方案的过程中发现，现有技术的网络威胁安全检测方案仍然面临着一些挑战：一是当前技术对威胁安全的信息关注重点还处于数据的多样性和完备性阶段，这导致进行分析的数据和产生的结果数据都出现了过载，给系统运行和响应均带来了极大的压力。二是现有互联网信息之间往往存在着多层次、多类别的关联关系，现有技术并不能准确评估关联信息的影响，分析不足难以发现隐性威胁，过度分析又会导致大量的假阳性指标，这些都严重影响了检测结果的利用效率。技术实现要素：针对现有技术中的上述技术问题，本申请实施例提出了一种网络威胁安全检测方法、装置、电子设备及计算机可读存储介质，以解决现有技术中网络安全数据检测效率低和准确性差的问题。本申请实施例的第一方面提供了一种网络威胁安全检测方法，包括：对自动采集的采集数据进行预处理，引入与所述采集数据相关的多项影响因素信息；构建基于所述多项影响因素的初始评价体系，其中，通过层次分析法对每项所述影响因素的权重值进行求解，构建基于所述影响因素的权重值的相关系数矩阵，进一步得到所述采集数据的初始信誉值；对带有初始信誉值的所述采集数据进行检测和/或过滤，确定所述采集数据的安全状态，根据所述安全状态对所述采集数据对应的数据源进行安全控制。在一些实施例中，所述得到所述采集数据的初始信誉值包括：根据所述相关系数矩阵和所述多项影响因素的基础分值计算得到所述初始信誉值其中，n为所述影响因素的项数，xi为第i项所述影响因素的基础分值，βi为所述相关系数矩阵的元素，表示第i项所述影响因素的权重值，x0及β0为扰动项及其权重值。在一些实施例中，所述通过层次分析法对每项所述影响因素的权重值进行求解，构建基于所述影响因素的权重值的相关系数矩阵包括：根据所述影响因素两两之间的重要性等级构造判断矩阵；求取所述判断矩阵的特征向量作为权重向量；计算所述判断矩阵的最大特征值，并根据所述最大特征值对所述判断矩阵进行一致性检测；最终求解得到具有满意一致性的权重向量作为所述相关系数矩阵。在一些实施例中，所述影响因素包括厂商、数据类别、数据来源和时间跨度中的至少一项，所述方法还包括：对所述采集数据中的数据类别和/或数据来源进行统计，对新发现的数据设置默认的基础分值，并根据统计情况动态更新所述基础分值。在一些实施例中，所述根据统计情况动态更新所述基础分值包括：周期性地统计有效性和存活性检测中，各来源和/或类别的数据中未通过检测的数据所占比例；对未通过检测所占比例超出预设区间的数据，根据超出所述预设区间的偏移量占所述预设区间跨度的比值来迭代更新其对应的所述基础分值。在一些实施例中，所述检测和/或过滤包括存活性检测、有效性检测和白名单过滤中的至少一项，所述方法还包括：根据未通过所述检测和/或过滤的情况对所述初始信誉值进行衰减处理。本申请实施例的第二方面提供了一种网络威胁安全检测装置，包括：数据输入模块，用于对自动采集的采集数据进行预处理，引入与所述采集数据相关的多项影响因素信息；初始评价体系构建模块，用于构建基于所述多项影响因素的初始评价体系，其中，通过层次分析法对每项所述影响因素的权重值进行求解，构建基于所述影响因素的权重值的相关系数矩阵，进一步得到所述采集数据的初始信誉值；安全检测控制模块，用于对带有初始信誉值的所述采集数据进行检测和/或过滤，确定所述采集数据的安全状态，根据所述安全状态对所述采集数据对应的数据源进行安全控制。在一些实施例中，所述初始评价体系构建模块包括：初始信誉值计算模块，用于根据所述相关系数矩阵和所述多项影响因素的基础分值计算得到所述初始信誉值其中，n为所述影响因素的项数，xi为第i项所述影响因素的基础分值，βi为所述相关系数矩阵的元素，表示第i项所述影响因素的权重值，x0及β0为扰动项及其权重值。在一些实施例中，所述初始评价体系构建模块还包括：判断矩阵构造模块，用于根据所述影响因素两两之间的重要性等级构造判断矩阵；向量求取模块，用于求取所述判断矩阵的特征向量作为权重向量；一致性检测模块，用于计算所述判断矩阵的最大特征值，并根据所述最大特征值对所述判断矩阵进行一致性检测；最终求解得到具有满意一致性的权重向量作为所述相关系数矩阵。在一些实施例中，所述影响因素包括厂商、数据类别、数据来源和时间跨度中的至少一项，所述装置还包括：基础分值处理模块，用于对所述采集数据中的数据类别和/或数据来源进行统计，对新发现的数据设置默认的基础分值，并根据统计情况动态更新所述基础分值。本申请实施例的第三方面提供了一种电子设备，包括：存储器以及一个或多个处理器；其中，所述存储器与所述一个或多个处理器通信连接，所述存储器中存储有可被所述一个或多个处理器执行的指令，所述指令被所述一个或多个处理器执行时，所述电子设备用于实现如前述各实施例所述的方法。本申请实施例的第四方面提供了一种计算机可读存储介质，其上存储有计算机可执行指令，当所述计算机可执行指令被计算装置执行时，可用来实现如前述各实施例所述的方法。本申请实施例的第五方面提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，可用来实现如前述各实施例所述的方法。本申请实施例通过动态自适应的多因素信誉评价体系对网络采集数据进行安全分析，从而实现了网络威胁安全检测的自适应动态调整的能力，在保证系统可靠性、数据安全性和处理效率的情况下有效解决了系统误判的问题。附图说明通过参考附图会更加清楚的理解本申请的特征和优点，附图是示意性的而不应理解为对本申请进行任何限制，在附图中：图1是根据本申请的实施例所示的一种网络威胁安全检测方法流程示意图；图2是根据本申请的实施例所示的一种典型的数据分析输出示意图；图3是根据本申请的实施例所示的一种典型的数据安全检测示意图；图4是根据本申请的实施例所示的一种网络威胁安全检测装置的模块结构示意图；图5是根据本申请的实施例所示的一种电子设备的结构示意图。具体实施方式在下面的详细描述中，通过示例阐述了本申请的许多具体细节，以便提供对相关披露的透彻理解。然而，对于本领域的普通技术人员来讲，本申请显而易见的可以在没有这些细节的情况下实施。应当理解的是，本申请中使用“系统”、“装置”、“单元”和/或“模块”术语，是用于区分在顺序排列中不同级别的不同部件、元件、部分或组件的一种方法。然而，如果其他表达式可以实现相同的目的，这些术语可以被其他表达式替换。应当理解的是，当设备、单元或模块被称为“在……上”、“连接到”或“耦合到”另一设备、单元或模块时，其可以直接在另一设备、单元或模块上，连接或耦合到或与其他设备、单元或模块通信，或者可以存在中间设备、单元或模块，除非上下文明确提示例外情形。例如，本申请所使用的术语“和/或”包括一个或多个相关所列条目的任何一个和所有组合。本申请所用术语仅为了描述特定实施例，而非限制本申请范围。如本申请说明书和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的特征、整体、步骤、操作、元素和/或组件，而该类表述并不构成一个排它性的罗列，其他特征、整体、步骤、操作、元素和/或组件也可以包含在内。参看下面的说明以及附图，本申请的这些或其他特征和特点、操作方法、结构的相关元素的功能、部分的结合以及制造的经济性可以被更好地理解，其中说明和附图形成了说明书的一部分。然而，可以清楚地理解，附图仅用作说明和描述的目的，并不意在限定本申请的保护范围。可以理解的是，附图并非按比例绘制。本申请中使用了多种结构图用来说明根据本申请的实施例的各种变形。应当理解的是，前面或下面的结构并不是用来限定本申请。本申请的保护范围以权利要求为准。现有技术中网络威胁安全检测的大数据分析基于威胁指标ioc进行，iocs以空间换时间，解决了主动防御时早期发现与识别的问题，但iocs依赖尽可能多的数据源提供的尽可能全面的数据信息，一方面给系统带来了较大的运行压力(若考虑到多源数据之间的多层次关联，间接产生的数据量将呈指数级增长)；另一方面又会产生大量的误判，严重影响其他网络系统的正常运行。有鉴于此，本申请实施例提供了一种网络威胁安全检测方法，通过主动引入关键影响因素，对采集数据进行动态自适应的多因素评价，从而保证了基础分析处理量的合理性与可靠性，在后续处理过程中又通过多项检测与过滤等手段来降低误报率，有效提升了系统运行效率和检测准确性。具体地，如图1所示，在本申请的一个实施例中，所述网络威胁安全检测方法包括步骤：s101，对自动采集的采集数据进行预处理，引入与所述采集数据相关的多项影响因素信息。其中，在现有技术中，因为采集数据的多样性和复杂性，往往并没有统一的指标来评估数据的安全性，只能通过人工或半人工的方式来逐一标注，这种处理方式一方面工作量巨大，另一方面很难及时根据数据变化情况进行调整，因而在效率和准确性方面均存在严重缺陷。在本申请的一个实施例中，首先通过自动化采集机制广泛收集网络中存在的数据信息，在采集的同时就自动对数据进行预处理，一方面自动完善数据的关键要素，另一方面采用规范的格式记录数据，方便后续对采集数据的自动化分析。优选地，在本申请的一个实施例中，通过对历史数据的分析，确定与数据安全相关的关键影响因素主要有厂商(因检测能力差异而影响数据安全性)、数据类别、数据来源和时间跨度等几项，因而在自动采集数据的同时，通过一些新增字段来自动记录这些关键影响因素的值。典型地，对采集数据增加value、value_type、category、source、time(数据有效时间)、tag(可为空)等字段，一个示例性的采集数据记录如下表1所示：表1：采集数据的典型示例进一步地，所述预处理还包括增量采集和数据去重。其中，所述增量采集指根据历史数据对新采集的数据进行筛选，只有未采集过的全新数据或是发生过变化的数据才自动记录。所述数据去重则是指对同时采集到的多项数据进行比对，将内容和关键影响因素相同的数据视为重复数据，仅记录其中一份而丢弃其他副本。以上两种优选的预处理步骤均可以有效控制采集数据的规模，减少相同数据占用的数据空间，并减轻后续数据处理的压力。s102，构建基于所述多项影响因素的初始评价体系，其中，通过层次分析法对每项所述影响因素的权重值进行求解，构建基于所述影响因素的权重值的相关系数矩阵，进一步得到所述采集数据的初始信誉值。考虑到每项因素对安全性的影响都不相同，为了能在多项因素的综合影响下进行统一的量化分析，在本申请的一个实施例中，构建的动态自适应多因素信誉评价体系进行多因素评价。在该评价体系中引入了相关的数学模型，保证iocs在基础评分阶段分值体系的合理性。在一些实施例中，所述得到所述采集数据的初始信誉值包括：根据所述相关系数矩阵和所述多项影响因素的基础分值计算得到所述初始信誉值其中，n为所述影响因素的项数，xi为第i项所述影响因素的基础分值，βi为所述相关系数矩阵的元素，表示第i项所述影响因素的权重值，x0及β0为扰动项及其权重值。在本申请的实施例中，优先考虑了关键因素的影响，但有些未考虑到的因素也可能会对评价体系造成影响，如数据传输或采集过程中出错等。对于一个评价体系，未发现的影响因素不代表没有对最终的结果没有作用，因而优选增加扰动项来代表其它未知的影响因素。在本申请的优选实施例中，考虑因素之间存在一定程度的多重共线性，在评价体系加入扰动项x0，并根据经验及实验给出其初始值和权重值，用来平衡数据分布与增强体系的鲁棒性。通过合理的量化模型，一方面可以减轻人工评级的工作量，提升系统效率；另一方面避免了主观评判的随意性和不稳定性，增强了系统的客观性和可靠性。s103，对带有初始信誉值的所述采集数据进行检测和/或过滤，确定所述采集数据的安全状态，根据所述安全状态对所述采集数据对应的数据源进行安全控制。在本申请的一个实施例中，除了对关键属性进行量化分析，还进一步引入了验证机制，比如在存活和有效等方面都进行了检测，根据检测结果进行安全评级的客观衰减；此外还使用了白名单等过滤手段来降低误报率，使得安全状态的检测可以动态自适应的调整和更新，保证了数据的及时性和准确性。以下通过更具体的优选实施例对本申请的技术方案来做进一步的说明。在一个优选实施例中，相关系数矩阵由每个因素的权重值组成。由于每一个影响因素在整个评价体系中所占比重(即导致不安全的可能性)是不一样的，通过不同的权重值来表现，可以将各因素的具体影响有效量化分析，图2为一个典型的数据分析(信誉评价)输出示意。其中，在本申请的优选实施例中，权重值通过层次分析法(analytichierarchyprocess，ahp)进行求解，具体过程为：a)根据所述影响因素两两之间的重要性等级构造判断矩阵。假设构造判断矩阵a，其第i行第j列的元素a[i][j]表示因素i对因素j的重要程度，按照saaty提出的经典的9个重要性等级及其赋值确定，有：同等重要1稍微重要3较强重要5强烈重要7极端重要9而重要程度处于两相邻判断的设置为中间值2，4，6，8。根据该方式，一个示例性的判断矩阵(即正互反矩阵)如下所示：b)求取所述判断矩阵的特征向量作为权重向量。其中，首先对判断矩阵每一行元素计算乘积，得到n行1列的中间矩阵m；再对中间矩阵m计算n次方根；然后进行规一化处理(即每个元素除以总元素之和)，得到特征向量。c)计算所述判断矩阵的最大特征值，并根据所述最大特征值对所述判断矩阵进行一致性检测。其中，所谓的一致性是指判断标准/结果的逻辑一致性，在本申请的实施例中，当因素甲比因素丙是强烈重要，而因素乙比因素丙是稍微重要时，显然因素甲一定比因素乙重要，这种重要程度的逻辑应当在判断矩阵和相关系数矩阵中有所体现且相互一致，否则显然不符合现实情况而会导致安全检测的结果不可靠甚至出现矛盾。理想情况下，判断矩阵在满足上述完全一致性的条件下，会具有唯一非零的、同时也是最大的特征值λmax＝n(n为判断矩阵的阶数，即包含扰动项的所述影响因素的项数)；但在现实情况中，所述影响因素两两之间的重要性等级比值wi/wj(即判断矩阵中元素a[i][j])不可能是完全准确和精确的，很多时候只能是一个历史统计值或经验估算值，因而有可能会出现一定偏差。为保证应用ahp得到的结论基本合理，还需要对构造的判断矩阵进行一致性检测。其中，在本申请的一个优选实施例中，先计算判断矩阵a的最大特征值λmax，再根据该最大特征值计算一致性指标(n为判断矩阵的阶数，即包含扰动项的所述影响因素的项数)。当一致性指标ci＝0时，判断矩阵a符合完全一致性要求；而ci越大，则判断矩阵a不一致的程度越严重。d)最终求解得到具有满意一致性的权重向量作为所述相关系数矩阵。在本申请的实施例中，如前所述，判断矩阵很多时候可能并不能满足完全一致性要求，有可能会出现偏差；但同时，完全一致性要求又过于严苛，如果以其作为检测标准又可能会导致过于频繁的调整，增大系统负担。因此，在本申请的优选实施例中，通过满意一致性来确定所述判断矩阵是否通过一致性检测。其中，进一步引入判断矩阵的平均随机一致性指标ri值，对于1-9阶判断矩阵，经验ri值有：1阶0.00，2阶0.00，3阶0.58，4阶0.90，5阶1.12，6阶1.24，7阶1.32，8阶1.41，9阶1.45。当阶数>2时，判断矩阵的一致性指标ci与同阶平均随机数一致性指标ri之比称为随机一致性比率，记为cr＝ci/ri；优选地，当cr<0.1时，即认为判断矩阵具有满意一致性，可通过一致性检测，否则认为未通过检测，需要调整判断矩阵，使之具有满意一致性。前述示例性的判断矩阵通过上述方式得到的具有满意一致性的相关系数矩阵(权重向量)为[0.22,0.16,0.16,0.43,0.03]。此外，在本申请的优选实施例中，仍以厂商、数据类别、数据来源和时间跨度作为影响因素，对于一个确定的采集数据，各项影响因素均有其对应的基础分值，通常根据统计或经验给出；为统一量化分析，每项因素i的基础分值xi的分值区间为[0,100]。比如，厂商项的基础分值表示厂商对应的检测能力，可以根据历史数据情况打分，或根据对厂商的专业分析结果打分；数据类别项的基础分值也应通过大量的统计分析得出，表示这一类别数据的整体可信度。数据来源项根据来源的数量确定，优选通过区分度与拉格朗日乘子的角度综合确定基础分值如下表2所示：出现次数123456>6基础分值707580859095100表2：数据来源项基础分值的典型示例时间跨度项的基础分值优选通过拉格朗日乘子角度的放缩来确定，一个典型的示例如下表3所示：时间跨度(h)<2424-4848-72>72基础分值7040100表3：时间跨度项基础分值的典型示例但按照24小时的跨度来给出分值有些过于粗糙，在本申请更优选的实施例中，在表3的基础上进一步精细计算时间跨度分值其中，其中basescoret为表3中定义的基础分值，deltatime为当前时间和数据中时间戳的差值(即时间跨度具体值)，单位是小时，deltatimemod24为取余运算。上述优选实施例是各项影响因素基础分值的典型设置方式，本领域相关技术人员应当理解，上述典型设置方式是根据历史数据的统计或经验确定的，理论上应该只是一个默认值/初始值的设置方式，显然并非是一个静态不变的模式，而应该根据新发现数据的情况或统计情况的变化而动态设置。因此优选地，所述方法还包括：对所述采集数据中的数据类别和/或数据来源进行统计，对新发现的数据设置默认的基础分值，并根据统计情况动态更新所述基础分值。在一个优选实施例中，当采集数据中存在的新的类别和/或来源时，在初次发现时，将对应项的基础分数采用默认值60分表示；当后续统计发现该新的类别和/或来源相关的采集数据条数累计超过一定数量时(比如预设阈值20条，大于等于20条则触发)，更新对应影响因素项的基础分值表。更优选地，在一些实施例中，所述根据统计情况动态更新所述基础分值包括：周期性地统计有效性和存活性检测中，各来源和/或类别的数据中未通过检测的数据所占比例；对未通过检测所占比例超出预设区间的数据，根据超出所述预设区间的偏移量占所述预设区间跨度的比值来迭代更新其对应的所述基础分值。在一个优选实施例中，对采集数据的检测包括存活性检测和有效性检测，统计更新周期可以自定义设置或动态调整，本申请优选实施例中假定为每半年更新一次基础分值。每次更新时，首先统计有效性和存活性检测中，各来源和/或类别的数据中未通过检测的数据所占比例；其次，根据统计结果设定一个不需要更新基础分值的预设区间[a,b](可理解为置信区间，即上述未通过比例在该区间内时认为数据未发生显著差异，可不更新基础分值)。而如果未通过检测所占比例超出该预设区间时(即未通过检测所占比例p不在区间[a,b]中)，根据未通过比例对预设区间的偏移量c占区间跨度的比值来跟新基础分值，有偏移比值其中‖a-b‖为区间跨度的长度，偏移量c有：最后，根据该偏移比值cp来动态更新基础分值，新的基础分值＝原始基础分值+(cp*5)。其中，为避免每次更新使基础分值变化过大，限定每次各项基础分值的变动范围不超过一定值(比如上式中的数值5)。通过上述按比例进行迭代更新的方式，使得本申请技术方案中相关影响因素项的基础分值会逐步收敛趋于稳定，这保证了本申请技术方案的时效性和准确性，对网络安全事件的检测具有极强的自适应能力。除了对基础分值进行动态更新之外，在本申请的优选实施例中，还通过对采集数据进行检测和/或过滤来处理数据的初始信誉值，以确保处理后的信誉值能真实反映数据的安全状态。优选地，如图3中优选的网络威胁安全检测示例所示，所述检测和/或过滤包括存活性检测、有效性检测和白名单过滤中的至少一项；通过检测和/或过滤的数据可以认为其初始信誉值真实可靠，可根据该信誉值对数据及其来源执行对应的安全控制；未通过检测和/或过滤的数据则认为当前评价的信誉值与真实情况仍存在偏差，需要再根据未通过的具体情况进行处理和调整，以使最终信誉值能真实反映数据的安全状态。其中，存活性检验一般指检验数据是否仍在网络中存在。典型的存活性检测包括：建立ip队列，对ip进行ping检查，探测主机是否存活；建立域名、url队列，将域名转换成url，使用httpget进行访问，获取到http状态码200(ok)或者302(跳转)即可证明存活。对于通过存活性检验的数据，可进入下一阶段进行有效性检验；而未通过存活性检验的则进入非存活衰减。优选地，非存活衰减按照不同的iocs类别，周期性地(比如每天)衰减固定分值。有效性检验一般指检验已采集数据是否仍然有效(即是否因发生变化而需要重新采集)。典型的有效性检验包括：针对ip类判断ip地址的归属是否发生变化；针对域名类判断域名的注册信息是否发生变化；针对域名的解析是否发生变化。对于通过有效性校验的数据，可进入下一阶段白名单过滤；而未通过有效性检验的则进入无效衰减。优选地，无效衰减针对上述几种检验结果而分别进行，包括：针对ip类判断ip地址的归属性变更，发现变更则将信誉值清零，并log(日志记录)下来；针对域名类判断域名的注册信息变更，发现变更则将信誉值清零，并log(日志记录)下来；针对域名的解析变化变更，发现变更则将信誉值衰减一定分值，典型地比如减5分等。白名单过滤用来探测当前iocs是否出现在白名单中，是否可以直接输出。其中，通过白名单过滤的数据，可以进行输出；优选地，在输出的同时可以通过多种方式来进行数据扩展以继承原数据的属性及信誉值，比如，对于c2、trojan、ransomware分类中的ip或域名进行扩展。可选地，ip扩展包括：通过一个在先实现的pdns(passivedns，被动域名系统)库来扩展上述分类中的ip，并根据原分类域名的ip地址来进行关联。比如只关联当天ip地址对应域名最后采集时间也是当天的数据，并获取一个域名列表；随后根据权限设置来对应输出——对于“放行”的自动进行输出，对于“忽略”的则在当前列表中不进行显示，且扩展的数据不进入任何流程。此外，可选地，域名扩展包括：通过一个实时的域名whois库来扩展上述分类中的域名，并根据原分类域名的注册人邮件地址来进行关联，并只关联原域名注册日期一个月内(30天)域名作为域名的扩展数据；随后根据权限设置来对应输出——对于“放行”的自动进行输出，对于“忽略”的则在当前列表中不进行显示，且扩展的数据不进入任何流程。举例来说，对于原c2分类为“c2.com”域名的注册人邮件地址：xxc2@gmail.com，注册日期为2017/12/15，则只查询2017/12/1-2017/12/30时间内与xxc2@gmail.com关联的注册域名，并获取一个域名列表作为扩展的数据，并集成原来的数据所有属性。而未通过白名单过滤的数据，则进一步进行灰数据审核。可选地，对于没有通过白名单过滤，但又匹配到白名单中的数据，可通过多个在线安全检查接口来进行综合评级；对于发现有异常的数据，也可以对白名单进行调整。比如对域名及ip数据通过vt、腾讯、bluecoat、google多个安全接口来进行综合评级，来检查该域名及ip是否存在恶意行为，最终根据权限设置来对应输出。下表4是本申请一个实施例中输出数据的示例，其中score字段表明了本条数据的最终安全评级情况(安全程度的量化)，根据该字段的信息可对数据及其来源进行对应的安全控制。更优选地，输出数据也应进行归类、去重和聚合等，以便在数据库中进行存储管理。比如按照同一category类型归类，去重value，聚合source、tag，first_time字段按照当天的该value的category类型取多源数据取最早时间，last_time字段按照当天的该value的category类型的多源数据取最晚时间等。而安全控制包括但不限于全网通知、推送预警、提升检测级别、降低权限、接入控制、访问控制和主动清除等，视具体安全评级建议的控制策略来对应执行，在此不再一一展开描述。valuevalue_typecategorysourcetagscorefirst_timelast_time1.2.3.4ipc2sec-un.comrat932017-12-13…2017-12-16…1.2.3.4ipc2blacklist.comxrat952017-12-12…2017-12-16…表4：输出数据的典型示例本申请实施例构建的动态自适应多因素信誉评价体系通过在初始信誉评价运算模块利用多项(比如厂商、类别、多来源、时间跨度、扰动项五项)因素进行多因素评价，并引入了相关的数学模型，保证iocs在基础评分阶段的分值体系合理。基础评分阶段中不光算法中引入了数学模型，在相关常数列表中依旧引入了数学模型保证其可靠性。在iocs的关键属性上引入了验证机制，包括存活和有效两方面都进行了分数的衰减，另外使用了白名单过滤手段来降低误报率。通过一系列的方法实现了信誉评价体系自适应动态调整的能力，有迹可循的可解释性，降低了评价体系中的主观因素，提高了信誉值的质量。图4是根据本申请的一些实施例所示的一种网络威胁安全检测装置示意图。如图4所示，网络威胁安全检测装置400包括数据输入模块401、初始评价体系构建模块402和安全检测控制模块403；其中，数据输入模块401，用于对自动采集的采集数据进行预处理，引入与所述采集数据相关的多项影响因素信息；初始评价体系构建模块402，用于构建基于所述多项影响因素的初始评价体系，其中，通过层次分析法对每项所述影响因素的权重值进行求解，构建基于所述影响因素的权重值的相关系数矩阵，进一步得到所述采集数据的初始信誉值；安全检测控制模块403，用于对带有初始信誉值的所述采集数据进行检测和/或过滤，确定所述采集数据的安全状态，根据所述安全状态对所述采集数据对应的数据源进行安全控制。在一些实施例中，所述初始评价体系构建模块包括：初始信誉值计算模块，用于根据所述相关系数矩阵和所述多项影响因素的基础分值计算得到所述初始信誉值其中，n为所述影响因素的项数，xi为第i项所述影响因素的基础分值，βi为所述相关系数矩阵的元素，表示第i项所述影响因素的权重值，x0及β0为扰动项及其权重值。在一些实施例中，所述初始评价体系构建模块还包括：判断矩阵构造模块，用于根据所述影响因素两两之间的重要性等级构造判断矩阵；向量求取模块，用于求取所述判断矩阵的特征向量作为权重向量；一致性检测模块，用于计算所述判断矩阵的最大特征值，并根据所述最大特征值对所述判断矩阵进行一致性检测；最终求解得到具有满意一致性的权重向量作为所述相关系数矩阵。在一些实施例中，所述影响因素包括厂商、数据类别、数据来源和时间跨度中的至少一项，所述装置还包括：基础分值处理模块，用于对所述采集数据中的数据类别和/或数据来源进行统计，对新发现的数据设置默认的基础分值，并根据统计情况动态更新所述基础分值。参考附图5，为本申请一个实施例提供的电子设备示意图。如图5所示，该电子设备500包括：存储器530以及一个或多个处理器510；其中，所述存储器530与所述一个或多个处理器510通信连接，所述存储器530中存储有可被所述一个或多个处理器执行的指令532，所述指令532被所述一个或多个处理器510执行，以使所述一个或多个处理器510执行本申请前述实施例中的方法。具体地，处理器510和存储器530可以通过总线或者其他方式连接，图5中以通过总线540连接为例。处理器510可以为中央处理器(centralprocessingunit，cpu)。处理器510还可以为其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。存储器530作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本申请实施例中的级联渐进网络等。处理器510通过运行存储在存储器530中的非暂态软件程序、指令以及功能模块532，从而执行处理器的各种功能应用以及数据处理。存储器530可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器510所创建的数据等。此外，存储器530可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器530可选包括相对于处理器510远程设置的存储器，这些远程存储器可以通过网络(比如通过通信接口520)连接至处理器510。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。本申请的一个实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令被执行后执行本申请前述实施例中的方法。前述的计算机可读取存储介质包括以存储如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方式或技术来实现的物理易失性和非易失性、可移动和不可移动介质。计算机可读取存储介质具体包括，但不限于，u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、可擦除可编程只读存储器(eprom)、电可擦可编程只读存储器(eeprom)、闪存或其他固态存储器技术、cd-rom、数字多功能盘(dvd)、hd-dvd、蓝光(blue-ray)或其他光存储设备、磁带、磁盘存储或其他磁性存储设备、或能用于存储所需信息且可以由计算机访问的任何其他介质。尽管此处所述的主题是在结合操作系统和应用程序在计算机系统上的执行而执行的一般上下文中提供的，但本领域技术人员可以认识到，还可结合其他类型的程序模块来执行其他实现。一般而言，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、组件、数据结构和其他类型的结构。本领域技术人员可以理解，此处所述的本主题可以使用其他计算机系统配置来实践，包括手持式设备、多处理器系统、基于微处理器或可编程消费电子产品、小型计算机、大型计算机等，也可使用在其中任务由通过通信网络连接的远程处理设备执行的分布式计算环境中。在分布式计算环境中，程序模块可位于本地和远程存储器存储设备的两者中。本领域普通技术人员可以意识到，结合本文中所本申请的实施例描述的各示例的单元及方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对原有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。综上所述，本申请提出了一种网络威胁安全检测方法、装置、电子设备及其计算机可读存储介质。本申请实施例通过动态自适应的多因素信誉评价体系对网络采集数据进行安全分析，并引入了相关的数学模型，保证iocs在基础评分阶段的分值体系的合理性和可靠性；此外进一步在关键属性上引入了验证机制，根据多方面的检验结果对数据进行真实而有效的衰减，并通过白名单过滤手段来降低误报率。本申请的技术方案实现了网络威胁安全检测的自适应动态调整的能力，提升了安全检测的效率和准确性。应当理解的是，本申请的上述具体实施方式仅仅用于示例性说明或解释本申请的原理，而不构成对本申请的限制。因此，在不偏离本申请的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。此外，本申请所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。当前第1页12