[发明专利]基于蚁群算法的威胁情报分析方法及系统

说明书

本发明提供了一种基于蚁群算法的威胁情报分析方法及系统，涉及网络安全的技术领域，包括：先获取待检测主机的流量信息，然后利用蚁群算法信息素计算待检测主机的流量信息的目标信息素；若目标信息素达到预设阈值，则将待检测主机的流量信息确定为威胁情报。本发明先基于待检测主机的流量信息计算出与其对应的目标信息素，基于目标信息素这一个因素即可确定待检测主机的流量信息是威胁情报还是非威胁情报，可以应对复杂的流量信息，计算操作简单、节约了人力物力，且减少了分析时间。

技术领域

本发明涉及网络安全的技术领域，尤其是涉及一种基于蚁群算法的威胁情报分析方法及系统。

背景技术

目前检测威胁情报的常规方法为通过人工经验进行筛选排查。由于不同人员的经验不在同一水平，因此存在对同一流量信息的分析具有不同判断结果的可能。此外，传统方法无法应对复杂的流量信息，且浪费了大量的人力物力，时间成本较高。

发明内容

本发明的目的在于提供一种基于蚁群算法的威胁情报分析方法及系统，可以应对复杂的流量信息，计算操作简单、节约了人力物力，且减少了分析时间。

本发明提供的一种基于蚁群算法的威胁情报分析方法，其中，包括：获取待检测主机的流量信息；利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素；若所述目标信息素达到预设阈值，则将所述待检测主机的流量信息确定为威胁情报。

进一步的，方法还包括：对所述威胁情报进行预处理，其中，所述预处理包括以下至少一种方式：阻断处理、沙箱保存处理。

进一步的，方法还包括：通过以下方式确定所述预设阈值：获取第一训练样本和第二训练样本；其中，所述第一训练样本用于表征确定为非威胁情报的流量信息样本，所述第二训练样本用于表征确定为威胁情报的流量信息样本；基于所述第一训练样本确定第一信息素矩阵；基于所述第二训练样本确定第二信息素矩阵；基于所述第一信息素矩阵和所述第二信息素矩阵中的信息素确定所述预设阈值。

进一步的，在基于所述第二训练样本确定第二信息素矩阵之后，方法还包括：获取目标测试样本；其中所述目标测试样本为去重后的测试样本；若所述目标测试样本为威胁情报，则利用蚁群算法信息素计算所述目标测试样本的信息素；基于所述目标测试样本的信息素更新所述第二信息素矩阵。

进一步的，基于所述第一训练样本确定第一信息素矩阵包括：对所述第一训练样本进行去重，得到去重后的第一训练样本；基于所述去重后的第一训练样本，训练蚁群算法的初始信息素矩阵，得到第一信息素矩阵。

进一步的，基于所述第二训练样本确定第二信息素矩阵包括：对所述第二训练样本进行去重，得到去重后的第二训练样本；基于所述去重后的第二训练样本，训练蚁群算法的初始信息素矩阵，得到第二信息素矩阵。

本发明提供的一种基于蚁群算法的威胁情报分析系统，其中，包括：获取模块，用于获取待检测主机的流量信息；计算模块，用于利用蚁群算法信息素计算所述待检测主机的流量信息的目标信息素；第一确定模块，用于若所述目标信息素达到预设阈值，则将所述待检测主机的流量信息确定为威胁情报。

进一步的，系统还包括：预处理模块，用于对所述威胁情报进行预处理，其中，所述预处理包括以下至少一种方式：阻断处理、沙箱保存处理。

本发明还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，其中，所述处理器执行计算机程序时实现所述的基于蚁群算法的威胁情报分析方法。

本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，其中，所述程序代码使所述处理器执行所述的基于蚁群算法的威胁情报分析方法。