威胁情报信息处理方法、装置以及存储介质与流程

本发明涉及网络安全，尤其涉及一种威胁情报信息处理方法、装置以及存储介质。

背景技术：

1、随着计算机和网络技术的快速发展，各种网络安全事件频繁发生，网络攻击事件愈发频繁，威胁情报信息的数量、类型也日益增长，对网络安全造成了严重威胁，电信运营商等企业以及用户数据的泄露风险不断增加。目前，电信运营商等企业对于威胁情报信息的识别，通常使用关键词匹配技术确定情报描述信息是否包含与电信运营商等企业相关的关键词，用于获得关注的威胁情报信息。由于新的漏洞、攻击事件等不断出现，关键词的更新存在滞后性，使用关键词匹配技术会漏掉重要的威胁情报信息；此外，部分关键词存在一词多义的情况，使用关键词匹配技术会获得无关的威胁情报；因此，使用现有的威胁情报信息识别技术，存在较多的漏报威胁情报信息、误报无效的威胁情报信息的情况，影响威胁情报信息识别的准确性，存在网络安全隐患并增加了运营成本。

技术实现思路

1、有鉴于此，本发明要解决的一个技术问题是提供一种威胁情报信息处理方法、装置以及存储介质。

2、根据本公开的第一方面，提供一种威胁情报信息处理方法，包括：对漏洞情报信息和事件情报信息分别进行融合处理，生成漏洞情报融合信息和事件情报融合信息；在所述漏洞情报融合信息中提取属性信息，基于所述属性信息和资产信息确定与所述漏洞情报融合信息对应的漏洞情报信息是否为威胁漏洞信息；利用训练好的事件预测模型对所述事件情报融合信息进行处理，确定与所述事件情报融合信息对应的事件情报信息是否为行业威胁事件信息；对所述威胁漏洞信息和所述行业威胁事件信息进行安全处理。

3、可选地，所述在所述漏洞情报融合信息中提取属性信息包括：利用训练好的命名实体识别模型对所述漏洞情报融合信息进行处理，获得所述漏洞情报融合信息的属性信息；其中，所述属性信息包括：属性和对应的属性值。

4、可选地，所述命名实体识别模型包括：bi-lstm神经网络模型；所述属性包括：漏洞类型、漏洞编号、影响组件、影响版本和解决方案。

5、可选地，所述资产信息包括：组件关注信息和企业资产信息；所述基于所述属性信息和资产信息确定与所述漏洞情报融合信息对应的漏洞情报信息是否为威胁漏洞信息包括：将所述属性信息与所述组件关注信息进行比对处理，基于比对处理结果确定与所述漏洞情报融合信息对应的漏洞情报信息是否为所述威胁漏洞信息；在确定与所述漏洞情报融合信息对应的漏洞情报信息不为所述威胁漏洞信息的情况下，将所述属性信息与所述企业资产信息进行比对处理，基于比对处理结果确定与所述漏洞情报融合信息对应的漏洞情报信息是否为所述威胁漏洞信息。

6、可选地，在利用训练好的事件预测模型对所述事件情报融合信息进行处理之前，所述方法还包括：基于标注规则对历史事件信息集中的历史事件情报融合信息进行标注处理，确定所述历史事件情报融合信息的标签；对所述历史事件情报融合信息进行分词处理，生成关键词；生成所述关键词的词向量，基于全部所述关键词的词向量生成所述历史事件情报融合信息的词向量；基于所述历史事件情报融合信息的词向量以及标签生成事件样本；使用所述事件样本对所述事件预测模型进行训练处理。

7、可选地，所述使用所述事件样本对所述事件预测模型进行训练处理包括：将全部所述事件样本划分为训练集、验证集和测试集；利用所述训练集中的事件样本对所述事件预测模型进行训练；利用所述验证集中的事件样本和所述测试集中的事件样本分别对训练后的所述事件预测模型进行验证和测试。

8、可选地，所述事件预测模型包括：卷积层、池化层和全连接层；所述使用所述事件样本对所述事件预测模型进行训练处理包括：将所述事件样本的词向量输入所述卷积层进行卷积操作，获得特征集合；将所述特征集合输入所述池化层，获得经过池化处理后的特征向量；将所述特征向量输入所述全连接层，通过softmax激活函数生成行业威胁事件类别信息；基于行业威胁事件类别信息和所述事件样本的标签，对所述事件预测模型进行调整处理。

9、可选地，设置所述行业威胁事件信息的标签；基于所述行业威胁事件信息的词向量和标签生成新的事件样本，用以对所述事件预测模型再次进行训练处理。

10、可选地，所述对所述威胁漏洞信息和所述行业威胁事件信息进行安全处理包括：将所述威胁漏洞信息和所述行业威胁事件信息通知给目标人员，以便于所述目标人员确定是否需要对所述威胁漏洞信息和所述行业威胁事件信息进行预警处理；其中，通知所述目标人员的方式包括：发送邮件、将所述威胁漏洞信息和所述行业威胁事件信息显示在信息平台中。

11、可选地，所述对漏洞情报信息和事件情报信息分别进行融合处理包括：使用文本去重算法对漏洞情报信息和事件情报信息分别进行融合处理。

12、可选地，利用网络爬虫技术对目标网站的发布信息进行抓取处理，获得所述漏洞情报信息和所述事件情报信息。

13、根据本公开的第二方面，提供一种威胁情报信息处理装置，包括：融合处理模块，用于对漏洞情报信息和事件情报信息分别进行融合处理，生成漏洞情报融合信息和事件情报融合信息；漏洞分析模块，用于在所述漏洞情报融合信息中提取属性信息，基于所述属性信息和资产信息确定与所述漏洞情报融合信息对应的漏洞情报信息是否为威胁漏洞信息；事件分析模块，用于利用训练好的事件预测模型对所述事件情报融合信息进行处理，确定与所述事件情报融合信息对应的事件情报信息是否为行业威胁事件信息；安全处理模块，用于对所述威胁漏洞信息和所述行业威胁事件信息进行安全处理。

14、根据本公开的第三方面，提供一种威胁情报信息处理，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如上所述的方法。

15、根据本公开的第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行如上所述的方法。

16、本公开的威胁情报信息处理方法、装置以及存储介质，通过生成漏洞情报融合信息和事件情报融合信息，基于漏洞情报融合信息中的属性信息以及资产信息确定是否为威胁漏洞信息，利用事件预测模型对事件情报融合信息进行处理，确定是否为行业威胁事件信息，进而进行安全处理；可以提高威胁情报信息识别的准确度，减少漏报威胁情报、误报无效的威胁情报的情况，可以减少安全运营人员的响应时间，提高网络安全防护能力，降低了运营成本。

技术特征：

1.一种威胁情报信息处理方法，包括：

2.如权利要求1所述的方法，所述在所述漏洞情报融合信息中提取属性信息包括：

3.如权利要求2所述的方法，其中，

4.如权利要求1所述的方法，其中，所述资产信息包括：组件关注信息和企业资产信息；所述基于所述属性信息和资产信息确定与所述漏洞情报融合信息对应的漏洞情报信息是否为威胁漏洞信息包括：

5.如权利要求1所述的方法，在利用训练好的事件预测模型对所述事件情报融合信息进行处理之前，所述方法还包括：

6.如权利要求5所述的方法，所述使用所述事件样本对所述事件预测模型进行训练处理包括：

7.如权利要求5所述的方法，其中，所述事件预测模型包括：卷积层、池化层和全连接层；所述使用所述事件样本对所述事件预测模型进行训练处理包括：

8.如权利要求2所述的方法，还包括：

9.如权利要求1所述的方法，其中，所述对所述威胁漏洞信息和所述行业威胁事件信息进行安全处理包括：

10.如权利要求1所述的方法，其中，所述对漏洞情报信息和事件情报信息分别进行融合处理包括：

11.如权利要求1至10任一项所述的方法，还包括：

12.一种威胁情报信息处理装置，包括：

13.一种威胁情报信息处理装置，包括：

14.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行如权利要求1至11中任一项所述的方法。

技术总结
本公开提供了一种威胁情报信息处理方法、装置以及存储介质，其中的方法包括：对漏洞情报信息和事件情报信息分别进行融合处理，生成漏洞情报融合信息和事件情报融合信息；在漏洞情报融合信息中提取属性信息，基于属性信息和资产信息确定与漏洞情报融合信息对应的漏洞情报信息是否为威胁漏洞信息；利用训练好的事件预测模型对事件情报融合信息进行处理，确定与事件情报融合信息对应的事件情报信息是否为行业威胁事件信息；对威胁漏洞信息和行业威胁事件信息进行安全处理。本公开可以提高威胁情报信息识别的准确度，减少漏报威胁情报、误报无效的威胁情报的情况，可以减少安全运营人员的响应时间，提高网络安全防护能力，降低了运营成本。

技术研发人员：郭实秋,袁涵,高岩,李琪,卢梦瑶
受保护的技术使用者：中国电信股份有限公司技术创新中心
技术研发日：
技术公布日：2024/1/16