[发明专利]基于多维度可信特征的威胁情报可信性判别方法及装置

说明书

本发明实施例提供一种基于多维度可信特征的威胁情报可信性判别方法及装置，包括：获取待检测威胁情报；根据待检测威胁情报的类别，获取与其对应的验证威胁情报集；根据内容验证一致性识别算法，计算待检测威胁情报与验证威胁情报之间的相似度值；比较相似度值与预设的阈值的大小，将相似度值大于阈值的待检测威胁情报确定为初步可信威胁情报；提取初步可信威胁情报的多维度可信特征，并构建多维度可信特征向量；将多维度可信特征向量输入深度信念网络DBN判别模型中，输出表示初步可信威胁情报的可信性的判别结果。本发明实施例通过采用内容验证一致性算法和DBN判别模型两次对待检测威胁情报进行判断，提高了判断待检测威胁情报的准确率。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于多维度可信特征的威胁情报可信性判别方法及装置。

背景技术

威胁情报是一种基于证据来描述威胁的知识信息，包括威胁相关的上下文信息、威胁所使用的方法机制、威胁相关指标攻击影响以及应对行动建议等。威胁情报的作用是为还原已发生和预测未发生的攻击提供一切线索，尽可能多的了解攻击者的动机、战术方法、工具、资源以及行为过程等诸多方面，并建立有效的安全防御体系。由于威胁情报具有信息量大、重复率高及来源广等特性，实际应用中，威胁情报在获取、组织和使用的过程中，可能存在误导或混淆的假情报，由此需要一种能够判别威胁情报可信度的方法。

已知的威胁情报可信性的判别方法是建立黑名单库，该黑名单库中的威胁情报都为不可信威胁情报，通过将待检测威胁情报与该黑名单库中不可信威胁情报进行比较，从而判断出该待检测威胁情报是否可信。由于该判别方法的主观性较强，且黑名单库中存储的不可信威胁情报不全面，存在误判、漏判的情况，降低了判断待检测威胁情报的准确率。

发明内容

本发明实施例的目的在于提供一种基于多维度可信特征的威胁情报可信性判别方法及装置，以提高判断待检测威胁情报的准确率。具体技术方案如下：

第一方面，本发明实施例提供了一种基于多维度可信特征的威胁情报可信性判别方法，所述方法包括：

获取待检测威胁情报，其中，所述待检测威胁情报的内容包括情报来源、情报发布时间和情报威胁描述信息；

根据所述待检测威胁情报的类别，获取与其对应的验证威胁情报集，其中，所述验证威胁情报集包含多个可信的验证威胁情报；

根据内容验证一致性识别算法，计算所述待检测威胁情报与所述验证威胁情报之间的相似度值；

比较所述相似度值与预设的阈值的大小，将所述相似度值大于所述阈值的待检测威胁情报确定为初步可信威胁情报；

提取所述初步可信威胁情报的多维度可信特征，并构建多维度可信特征向量；

将所述多维度可信特征向量输入深度信念网络DBN判别模型中，输出表示所述初步可信威胁情报的可信性的判别结果。

可选的，所述根据内容验证一致性识别算法，计算所述待检测威胁情报与所述验证威胁情报之间的相似度值的步骤，包括：

采用如下公式计算所述待检测威胁情报与所述验证威胁情报之间的相似度值：

S＝θ₁*S_time+θ₂*S_source+(1-θ₁-θ₂)*S_desc；