[发明专利]威胁情报处理方法、装置、计算设备及存储介质

说明书

本发明提供了一种威胁情报处理方法、装置、计算设备及存储介质，其中方法包括：获取威胁情报源数据中的非结构化数据；对该非结构化数据进行分词处理，得到若干个情报知识；利用自然语言处理技术对每一个情报知识进行语义理解，得到每一个情报知识的语义表达；根据每一个情报知识的语义表达以及已知威胁情报类型，将每一个情报知识分别与已知威胁情报类型进行关联。本方案，能够提高威胁情报的识别量，进而实现对威胁情报源数据的有效利用。

技术领域

本发明实施例涉及网络安全技术领域，特别涉及一种威胁情报处理方法、装置、计算设备及存储介质。

背景技术

随着信息技术的不断进步和发展，大规模网络空间安全的保障越来越依赖于威胁情报的提取、理解、构建与共享。威胁情报能够针对特定行业或地理区域范围的攻击者使用的特定攻击向量进行表达，为威胁响应提供决策依据。

威胁情报源数据包括非结构化数据、半结构化数据和结构化数据，针对非结构化数据，比如，邮件、网页、文本等，需要将其转化为自然语言进行分析。相关技术中，在对非结构化数据进行威胁情报抽取时，一般是利用带有标签标注的文本数据集训练神经网络模型，然后利用训练好的神经网络模型进行威胁情报实体的识别。

发明内容

基于相关技术中只能识别出较少的威胁情报，无法实现对威胁情报源数据的有效利用的问题，本发明实施例提供了一种威胁情报处理方法、装置、计算设备及存储介质，能够提高威胁情报的识别量，实现对威胁情报源数据的有效利用。

第一方面，本发明实施例提供了一种威胁情报处理方法，包括：

获取威胁情报源数据中的非结构化数据；

对所述非结构化数据进行分词处理，得到若干个情报知识；

利用自然语言处理技术对每一个情报知识进行语义理解，得到每一个情报知识的语义表达；

根据每一个情报知识的语义表达以及已知威胁情报类型，将每一个情报知识分别与已知威胁情报类型进行关联。

优选地，所述情报知识包括：字、词、句、段和文中的至少一种。

优选地，所述利用自然语言处理技术对每一个情报知识进行语义理解，得到每一个情报知识的语义表达，包括：

确定预先训练完成的卷积神经网络；所述卷积神经网络是利用样本情报知识和对应的样本语义作为样本对训练得到的；

利用所述卷积神经网络中隐藏层对每一个情报知识分别进行计算，得到每一个情报知识分别对应的多维特征向量，将得到的多维特征向量确定为对应情报知识的语义表达。

优选地，所述卷积神经网络利用如下方式训练：

获取若干个样本对，每一个样本对包括样本情报知识及对应的样本语义；

根据设定特征维数范围，将属于所述设定特征维数范围内的每一个特征维数分别确定为所述卷积神经网络中隐藏层的特征维数，并在每确定所述卷积神经网络中隐藏层的特征维数后，均执行下一步骤；

针对每一个样本对，将该样本对中的样本情报知识作为所述卷积神经网络的输入，将该样本对中的样本语义作为所述卷积神经网络的输出，对所述卷积神经网络进行训练；

确定所述卷积神经网络对应每一个特征维数时分别对应的召回率和计算速率；

根据每一个特征维数分别对应的召回率和计算速率，确定所述卷积神经网络中隐藏层的目标特征维数，将所述目标特征维数对应训练完成的卷积神经网络确定为最终的卷积神经网络。

优选地，所述根据每一个情报知识的语义表达以及已知威胁情报类型，将每一个情报知识分别与已知威胁情报类型进行关联，包括：

分别获取每一个已知威胁情报类型的语义表达；