[发明专利]威胁情报信息处理方法、装置和存储介质

说明书

本公开提出一种威胁情报信息处理方法、装置和存储介质，涉及信息安全技术领域。本公开的一种威胁情报信息处理方法，包括：获取威胁情报数据，和威胁情报数据对应的证据数据；确定威胁情报数据的准确度评估值、全面性评估值和时效性评估值；根据准确度评估值，和情报数据库中已有情报的准确度确定待存入数据库的威胁情报数据；根据待存入数据库的威胁情报数据的准确度评估值、全面性评估值和时效性评估值，更新情报数据库。通过这样的方法，从而提高情报数据库中情报的准确性、全面性和实时性，进而提高基于情报数据库的威胁防御的及时性和准确度。

技术领域

本公开涉及信息安全技术领域，特别是一种威胁情报信息处理方法、装置和存储介质。

背景技术

随着信息技术的发展，网络安全形势日益严峻。为快速有效的了解内、外部威胁信息，以便尽早做好安全防范、更快进行攻击检测与响应、更高效地进行事后攻击溯源，需建立威胁情报库，为企业提供威胁情报信息。威胁情报库中除了收集了企业自有情报数据外，还需获取互联网公开情报源及第三方合作伙伴的情报数据。

威胁情报是一种基于证据来描述威胁的知识信息，包括威胁相关的上下文信息、威胁所使用的方法机制、威胁相关指标攻击影响以及应对行动建议等。在新的威胁形势下，威胁情报将过去以漏洞为中心的被动防御思路进化为基于威胁的主动防御思路，利用威胁情报以空间换时间，与传统的安全防御相比可以大幅提高威胁检测和应急响应的效率。

发明内容

本公开的一个目的在于提高威胁防御的及时性和准确度。

根据本公开的一些实施例的一个方面，提出一种威胁情报信息处理方法，包括：获取威胁情报数据，和威胁情报数据对应的证据数据；确定威胁情报数据的准确度评估值、全面性评估值和时效性评估值；根据准确度评估值，和情报数据库中已有情报的准确度确定待存入数据库的威胁情报数据；根据待存入数据库的威胁情报数据的准确度评估值、全面性评估值和时效性评估值，更新情报数据库。

在一些实施例中，威胁情报信息处理方法还包括：对威胁情报数据和证据数据做标准化处理，获取标准化情报；确定威胁情报数据的准确度评估值、全面性评估值和时效性评估值为：处理标准化情报数据，确定标准化情报数据中威胁情报数据的准确度评估值、全面性评估值和时效性评估值。

在一些实施例中，对威胁情报数据和证据数据做标准化处理，获取标准化情报包括：基于语法分析和语义分析进行威胁情报数据的初筛选和分类；确定筛选出的每条威胁情报数据的证据链；对筛选出的每条威胁情报数据和对应的证据链进行格式标准化处理，获取标准化情报。

在一些实施例中，确定威胁情报数据的准确度评估值包括：根据情报源置信度、证据准确度和历史情报确定威胁情报数据的准确度评估值。

在一些实施例中，威胁情报信息处理方法还包括在确定威胁情报数据的准确度评估值后，根据威胁情报数据的准确度评估值更新情报源置信度。

在一些实施例中，威胁情报信息处理方法还包括在确定威胁情报数据的准确度评估值后，对相同威胁情报数据的不同证据进行冲突分析，更新证据准确度。

在一些实施例中，根据待存入数据库的威胁情报数据的全面性评估值和时效性评估值，更新情报数据库包括：在情报数据库中已存储与待存入数据库的威胁情报数据相同类型情报的情况下：将待存入数据库的威胁情报数据与情报数据库中已存储的相同类型的情报融合为一个情报存储；在情报数据库中未存储与待存入数据库的威胁情报数据相同类型情报的情况下，将待存入数据库的威胁情报数据存入情报数据库。

在一些实施例中，融合为一个情报存储包括：在待存入数据库的威胁情报数据与已存储的情报数据未发生冲突的情况下，根据全面性评估值和时效性评估值对待存入数据库的威胁情报数据排序，按照从高到低的顺序更新已存储数据，以及补充已存储数据的缺失字段。