IOCs信誉动态评价及动态衰减方法、装置和电子设备与流程

本发明涉及网络安全，尤其涉及一种iocs信誉动态评价及动态衰减方法、装置和电子设备。

背景技术：

1、iocs(indicator of compromises，攻击指示器)常被用在调查取证的场景下，指的是受害主机被攻破的证据，包含恶意文件哈希值、恶意软件的特征、恶意的ip地址、url、域名等被动识别的信标。对iocs进行信誉评价可以从及时性、有效性、完整性三个方面量化iocs的威胁程度，主要体现在如下几个方面：信誉评价可以通过风险等级标记iocs的威胁程度，可以使得情报使用者制定相应的策略实现对恶意攻击的检测和对恶意流量的告警/阻断；信誉评价可以帮助区分不同的威胁主体（threat actor），不同的威胁主体可能有不同的攻击目的、危害、技术、战术等相关内容，这些信息对于事件响应和威胁狩猎都很有价值；信誉评价可以提高检测准确性和速度，以及缩短修复时间。一般来说，越早发现攻击，对业务的影响就越小，解决起来也越容易。信誉评价可以帮助识别重复出现的iocs，从而提供对攻击者的技术和方法的洞察，进而改进安全工具、事件响应能力和安全策略，防止未来的事件。

2、目前，iocs信誉评价的方法一般为：基于安全人员的经验进行人工标定，给每个数据源一个初始信誉值和衰减值。但是，由于数据源的质量是随着时间不断变化的，因此，通过人工标定为每个数据源的初始信誉值和衰减值赋值的方法，无法反映数据源的质量变化，进而无法有效的评价数据源的质量。

技术实现思路

1、为了解决现有技术中存在的问题，本发明提供了如下技术方案。

2、本发明第一方面提供了一种iocs信誉动态评价及动态衰减方法，包括：

3、确定量化iocs数据源质量的影响因素及各影响因素的权重；

4、确定iocs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点，所述当前更新模式和下次的更新时间节点随着iocs数据源的更新不断变化；

5、在下次的更新时间节点按照当前更新模式对iocs数据源的初始信誉值和衰减值进行动态调整，得到动态调整后的iocs数据源的初始信誉值和衰减值；所述动态调整包括：在更新周期内，基于影响因素命中日志对iocs数据源的数据按照iocs威胁类别、iocs数据类型和iocs数据来源为标识进行聚合统计，若聚合统计后得到的数据条数为零，则对iocs数据源的初始信誉值进行加分调整，同时对衰减值进行减分调整以减速衰减；若聚合统计后得到的数据条数小于阈值，则保持iocs数据源的初始信誉值和衰减值不变；若聚合统计后得到的数据条数大于阈值，则对iocs数据源的初始信誉值进行减分调整，同时对衰减值进行加分调整以加速衰减。

6、优选地，在所述对iocs数据源的初始信誉值进行减分调整中，需要减少的初始信誉值的分值采用如下方法计算得到：

7、根据iocs威胁类别、iocs数据类型和iocs数据来源为标识对iocs数据源第m天新增数据进行聚合，统计每个标识对应的数据条数，记作；

8、基于影响因素第m天命中日志，按照iocs威胁类别、iocs数据类型和iocs数据来源为标识进行数据聚合，统计每个标识对应的数据条数，记作；

9、计算第m天按照iocs威胁类别、iocs数据类型和iocs数据来源为标识的

10、iocs数据源中不准确数据所占比例：

11、；

12、计算天iocs数据源中不准确数据所占比例的平均值：

13、；

14、其中，表示影响因素命中日志的总天数；

15、针对iocs数据源的数据，计算按照iocs威胁类别、iocs数据类型和iocs数据来源为标识的第类影响因素的调整系数：

16、；

17、针对iocs数据源的数据，计算需要减少的分值  ：

18、；

19、其中，表示第类影响因素的权重，表示影响因素的总数。

20、优选地，所述对iocs数据源的初始信誉值进行减分调整，调整后的初始信誉值采用如下公式计算：

21、；

22、其中，为调整后的初始信誉值，为调整前的初始信誉值。

23、优选地，在所述对衰减值进行加分调整以加速衰减中，加速衰减系数采用如下方法计算得到：

24、根据iocs威胁类别、iocs数据类型和iocs数据来源为标识对iocs数据源第m天新增数据进行聚合，统计每个标识对应的数据条数，记作；

25、基于影响因素第m天命中日志，按照iocs威胁类别、iocs数据类型和iocs数据来源为标识进行数据聚合，统计每个标识对应的数据条数，记作；

26、计算第m天按照iocs威胁类别、iocs数据类型和iocs数据来源为标识的iocs数据源中不准确数据所占比例：

27、；

28、计算天iocs数据源中不准确数据所占比例的平均值：

29、；

30、其中，表示影响因素命中日志的总天数；

31、计算按照iocs威胁类别、iocs数据类型和iocs数据来源为标识的第类影响因素的加速衰减系数：

32、；

33、针对iocs数据源的数据，计算加速衰减系数：

34、；

35、其中，表示iocs数据源的加速衰减系数，表示第类影响因素的权重，符号“”表示计算结果向下取整，表示影响因素的总数。

36、优选地，所述对衰减值进行加分调整以加速衰减中，调整后的衰减值采用如下方法计算得到：

37、；

38、其中，为调整后的衰减值，为调整前的衰减值。

39、优选地，在所述基于影响因素第m天命中日志，按照iocs威胁类别、iocs数据类型和iocs数据来源为标识进行数据聚合之前，还包括：

40、基于影响因素第m天命中日志，按照iocs威胁类别、iocs数据类型、iocs数据来源和值为标识进行数据的聚合，统计每个标识包含的数据和每个标识对应的数据总条目数，记作 ；其中，“key”表示iocs威胁类别、iocs数据类型、iocs数据来源和值的联合标识，“count”表示“key”相同的数据条数，“data”表示“key”相同的数据构成的数据列表；

41、在数据中，去除“count”最大和最小的数据，并基于剩余的每条数据的“count”计算平均值和标准差，若满足，则对应的数据为异常数据，过滤去除，不进入后续减分调整中的数据聚合流程。

42、优选地，在所述对iocs数据源的初始信誉值进行加分调整中，需要增加的初始信誉值的分值采用如下公式计算：

43、；

44、其中，为需要增加的初始信誉值，为调整前的初始信誉值。

45、优选地，在所述对衰减值进行减分调整以减速衰减中，调整后的衰减值采用如下公式计算：

46、；

47、其中，为调整后的衰减值，为调整前的衰减值。

48、优选地，所述动态调整后的iocs数据源的初始信誉值和/或衰减值若达到上限或下限，则进行告警并由人工介入进行iocs数据源的审查和分析。

49、优选地，所述方法还包括强制回退步骤，即通过人工介入将iocs数据源的初始信誉值和衰减值的当前值回退为上一值。

50、优选地，所述量化iocs数据源质量的影响因素包括白名单、内网ip、格式校验、灰名单-自证成本高、灰名单-误报和asn过滤；其中，各影响因素对iocs数据源初始信誉值的重要度分别为5、4、3、0、5、0；各影响因素对iocs数据源衰减值的重要度分别为5、4、0、3、5、1。

51、优选地，各所述影响因素的权重采用层次分析法计算得到。

52、优选地，所述当前更新模式包括：

53、不更新模式：适用于指定的iocs数据源；

54、日更新模式：iocs数据源的平均更新间隔为天，iocs数据源的平均更新比率≥80%，更新模式的更新间隔为每天；

55、周更新模式： iocs数据源的平均更新间隔≤一周，40%≤iocs数据源的平均更新比率<80%，更新模式更新间隔为每周；

56、月更新模式：默认的更新模式，更新模式更新间隔为每月；

57、立即更新模式：若灰名单中新增iocs数据源的过滤项总条数大于等于预设值，则在当前的更新模式下，另外独立启动立即更新模式。

58、优选地，所述确定iocs数据源初始信誉值和衰减值的初始更新模式包括：除指定的iocs数据源采用不更新模式外，其余的iocs数据源采用默认的月更新模式。

59、优选地，确定iocs数据源初始信誉值和衰减值的当前更新模式和下次的更新时间节点包括：基于上一更新模式的更新时间节点确定当前更新模式，确定当前是否处于更新节点，若处于更新节点则计算当前的iocs数据源平均更新比率和iocs数据源平均更新间隔；基于当前的iocs数据源平均更新比率和iocs数据源平均更新间隔确定当前更新模式；

60、若更新模式退化，即从上一更新模式的日更新模式变化为当前更新模式的周更新模式，或从上一更新模式的周更新模式变化为当前更新模式的月更新模式：将上次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点；

61、若更新模式进化，即从上一更新模式的月更新模式变化为当前更新模式的周更新模式，或从上一更新模式的周更新模式变化为当前更新模式的日更新模式：将本次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点；

62、若更新模式不变，即上一更新模式与当前更新模式相同：将本次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点。

63、优选地，当前的iocs数据源更新比率，采用如下公式计算：

64、；

65、式中，表示当前的iocs数据源更新比率，表示iocs数据源第次更新的数据集合，表示iocs数据源第次更新的数据集合与第次更新的数据集合的差集，即元素在中而不在中的数据集合；表示两个集合与差集的元素个数；表示集合中元素的个数。

66、本发明第二方面提供了一种iocs信誉动态评价及动态衰减装置，包括：

67、影响因素及其权重确定模块，用于确定量化iocs数据源质量的影响因素及各影响因素的权重；

68、更新模式确定模块，用于确定iocs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点，所述当前更新模式和下次的更新时间节点随着iocs数据源的更新不断变化；

69、动态调整模块，用于在下次的更新时间节点对iocs数据源的初始信誉值和衰减值进行动态调整，得到动态调整后的iocs数据源的初始信誉值和衰减值；所述动态调整包括：在更新周期内，基于影响因素命中日志对iocs数据源的数据按照iocs威胁类别、iocs数据类型和iocs数据来源为标识进行聚合统计，若聚合统计后得到的数据条数为零，则对iocs数据源的初始信誉值进行加分调整，同时对衰减值进行减分调整以减速衰减；若聚合统计后得到的数据条数小于阈值，则保持iocs数据源的初始信誉值和衰减值不变；若聚合统计后得到的数据条数大于阈值，则对iocs数据源的初始信誉值进行减分调整，同时对衰减值进行加分调整以加速衰减。

70、本发明第三方面提供了一种存储器，存储有多条指令，所述指令用于实现如第一方面所述的方法。

71、本发明第四方面提供了一种电子设备，包括处理器和与所述处理器连接的存储器，所述存储器存储有多条指令，所述指令可被所述处理器加载并执行，以使所述处理器能够执行如第一方面所述的方法。

72、本发明的有益效果是：本发明提供的iocs信誉动态评价及动态衰减方法、装置、存储器和电子设备，根据iocs数据源质量影响因素的每日命中日志情况，构建的综合信誉评价体系，不仅包含iocs初始信誉值的动态调整方法，也包含衰减值的动态调整方法，同时还包含更新模式的自动计算和切换方法，能够从iocs数据源的更新比率和数据质量等多个角度进行iocs信誉的综合自适应量化，有效的表达了iocs数据源随时间的威胁程度变化情况。