[发明专利]威胁情报处理方法、装置、计算设备及存储介质

权利要求书

1.一种威胁情报处理方法，其特征在于，包括：

获取威胁情报源数据中的非结构化数据；

对所述非结构化数据进行分词处理，得到若干个情报知识；

利用自然语言处理技术对每一个情报知识进行语义理解，得到每一个情报知识的语义表达；

根据每一个情报知识的语义表达以及已知威胁情报类型，将每一个情报知识分别与已知威胁情报类型进行关联。

2.根据权利要求1所述的方法，其特征在于，所述情报知识包括：字、词、句、段和文中的至少一种。

3.根据权利要求1所述的方法，其特征在于，所述利用自然语言处理技术对每一个情报知识进行语义理解，得到每一个情报知识的语义表达，包括：

确定预先训练完成的卷积神经网络；所述卷积神经网络是利用样本情报知识和对应的样本语义作为样本对训练得到的；

利用所述卷积神经网络中隐藏层对每一个情报知识分别进行计算，得到每一个情报知识分别对应的多维特征向量，将得到的多维特征向量确定为对应情报知识的语义表达。

4.根据权利要求3所述的方法，其特征在于，所述卷积神经网络利用如下方式训练：

获取若干个样本对，每一个样本对包括样本情报知识及对应的样本语义；

根据设定特征维数范围，将属于所述设定特征维数范围内的每一个特征维数分别确定为所述卷积神经网络中隐藏层的特征维数，并在每确定所述卷积神经网络中隐藏层的特征维数后，均执行下一步骤；

针对每一个样本对，将该样本对中的样本情报知识作为所述卷积神经网络的输入，将该样本对中的样本语义作为所述卷积神经网络的输出，对所述卷积神经网络进行训练；

确定所述卷积神经网络对应每一个特征维数时分别对应的召回率和计算速率；

根据每一个特征维数分别对应的召回率和计算速率，确定所述卷积神经网络中隐藏层的目标特征维数，将所述目标特征维数对应训练完成的卷积神经网络确定为最终的卷积神经网络。

5.根据权利要求1所述的方法，其特征在于，所述根据每一个情报知识的语义表达以及已知威胁情报类型，将每一个情报知识分别与已知威胁情报类型进行关联，包括：

分别获取每一个已知威胁情报类型的语义表达；

根据每一个情报知识的语义表达以及每一个已知威胁情报类型的语义表达，计算各情报知识中每一个目标情报知识与各已知威胁情报类型之间的距离；

根据所述目标情报知识与各已知威胁情报类型之间的距离，确定与所述目标情报知识对应的目标威胁情报类型，将所述目标情报知识关联到所述目标威胁情报类型中。

6.根据权利要求5所述的方法，其特征在于，所述根据所述目标情报知识与各已知威胁情报类型之间的距离，确定与所述目标情报知识对应的目标威胁情报类型，包括：

确定所述目标情报知识与各已知威胁情报类型之间的距离中是否存在不大于设定距离阈值的目标距离；若存在，则将距离最小的目标距离所对应的威胁情报类型确定为所述目标威胁情报类型；若不存在，生成与所述目标情报知识对应的威胁情报类型，将该生成的该威胁情报类型确定为所述目标威胁情报类型。

7.根据权利要求6所述的方法，其特征在于，在所述生成与所述目标情报知识对应的威胁情报类型之前，还包括：

根据所述目标情报知识的语义表达，确定所述目标情报知识的语义是否具有情报意义，若有，则执行所述生成与所述目标情报知识对应的威胁情报类型，若否，则删除所述目标情报知识。

8.一种威胁情报处理装置，其特征在于，包括：

数据获取单元，用于获取威胁情报源数据中的非结构化数据；

分词处理单元，用于对所述非结构化数据进行分词处理，得到若干个情报知识；

语义理解单元，用于利用自然语言处理技术对每一个情报知识进行语义理解，得到每一个情报知识的语义表达；

情报类型关联单元，用于根据每一个情报知识的语义表达以及已知威胁情报类型，将每一个情报知识分别与已知威胁情报类型进行关联。