[发明专利]基于蚁群算法的威胁情报分析方法及系统

权利要求书

1.一种基于蚁群算法的威胁情报分析方法，其特征在于，包括：

获取待检测主机的流量信息；

利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素；

若所述目标信息素达到预设阈值，则将所述待检测主机的流量信息确定为威胁情报；

其中，通过以下方式确定所述预设阈值：

获取第一训练样本和第二训练样本；其中，所述第一训练样本用于表征确定为非威胁情报的流量信息样本，所述第二训练样本用于表征确定为威胁情报的流量信息样本；

基于所述第一训练样本确定第一信息素矩阵和非威胁情报的特征信息；

基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息；所述第二信息素矩阵是对所述第二训练样本对应的威胁情报的攻击操作过程进行分析得到的；

基于所述非威胁情报的特征信息和所述威胁情报的特征信息，对所述第一信息素矩阵和所述第二信息素矩阵进行比对，得到去除威胁情报的信息素的第一信息素矩阵和去除非威胁情报的信息素的第二信息素矩阵；

基于所述去除威胁情报的信息素的第一信息素矩阵和所述去除非威胁情报的信息素的第二信息素矩阵中的信息素确定所述预设阈值。

2.根据权利要求1所述的基于蚁群算法的威胁情报分析方法，其特征在于，方法还包括：

对所述威胁情报进行预处理，其中，所述预处理包括以下至少一种方式：阻断处理、沙箱保存处理。

3.根据权利要求1所述的基于蚁群算法的威胁情报分析方法，其特征在于，在基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息之后，方法还包括：

获取目标测试样本；其中所述目标测试样本为去重后的测试样本；

若所述目标测试样本为威胁情报，则利用蚁群算法信息素计算所述目标测试样本的信息素；

基于所述目标测试样本的信息素更新所述第二信息素矩阵。

4.根据权利要求1所述的基于蚁群算法的威胁情报分析方法，其特征在于，基于所述第一训练样本确定第一信息素矩阵和非威胁情报的特征信息包括：

对所述第一训练样本进行去重，得到去重后的第一训练样本；

基于所述去重后的第一训练样本，训练蚁群算法的初始信息素矩阵，得到第一信息素矩阵。

5.根据权利要求1所述的基于蚁群算法的威胁情报分析方法，其特征在于，基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息包括：

对所述第二训练样本进行去重，得到去重后的第二训练样本；

基于所述去重后的第二训练样本，训练蚁群算法的初始信息素矩阵，得到第二信息素矩阵。

6.一种基于蚁群算法的威胁情报分析系统，其特征在于，包括：

获取模块，用于获取待检测主机的流量信息；

计算模块，用于利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素；

第一确定模块，用于若所述目标信息素达到预设阈值，则将所述待检测主机的流量信息确定为威胁情报；

其中，所述第一确定模块通过以下方式确定所述预设阈值：

获取第一训练样本和第二训练样本；其中，所述第一训练样本用于表征确定为非威胁情报的流量信息样本，所述第二训练样本用于表征确定为威胁情报的流量信息样本；

基于所述第一训练样本确定第一信息素矩阵和非威胁情报的特征信息；

基于所述第二训练样本确定第二信息素矩阵和威胁情报的特征信息；所述第二信息素矩阵是对所述第二训练样本对应的威胁情报的攻击操作过程进行分析得到的；

基于所述非威胁情报的特征信息和所述威胁情报的特征信息，对所述第一信息素矩阵和所述第二信息素矩阵进行比对，得到去除威胁情报的信息素的第一信息素矩阵和去除非威胁情报的信息素的第二信息素矩阵；

基于所述去除威胁情报的信息素的第一信息素矩阵和所述去除非威胁情报的信息素的第二信息素矩阵中的信息素确定所述预设阈值。

7.根据权利要求6所述的基于蚁群算法的威胁情报分析系统，其特征在于，系统还包括：

预处理模块，用于对所述威胁情报进行预处理，其中，所述预处理包括以下至少一种方式：阻断处理、沙箱保存处理。