CN109688091B - 多源的威胁情报的质量评估方法及装置 - Google Patents

多源的威胁情报的质量评估方法及装置 Download PDF

Info

Publication number
CN109688091B
CN109688091B CN201810379261.7A CN201810379261A CN109688091B CN 109688091 B CN109688091 B CN 109688091B CN 201810379261 A CN201810379261 A CN 201810379261A CN 109688091 B CN109688091 B CN 109688091B
Authority
CN
China
Prior art keywords
intelligence
information
threat
source
sources
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810379261.7A
Other languages
English (en)
Other versions
CN109688091A (zh
Inventor
刘阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN201810379261.7A priority Critical patent/CN109688091B/zh
Publication of CN109688091A publication Critical patent/CN109688091A/zh
Application granted granted Critical
Publication of CN109688091B publication Critical patent/CN109688091B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种多源的威胁情报的质量评估方法及装置,该方法包括:步骤1,获取需要评估的来自多源的威胁情报;步骤2,将多个对应有不同情报源的所述威胁情报进行归一化处理;步骤3,基于多个预设特征,分别对所述威胁情报进行质量评估,根据评估结果生成情报源序列。本方法可准确评估不同的情报源,一方面帮助企业做出更好的投资决策,采购和使用更高质量的情报源;另一方面,评估结果可帮助更好的实现情报的标准化处理,例如对于评估准确率较低的情报源,可对情报源发出的威胁情报整体调整可信度分值。

Description

多源的威胁情报的质量评估方法及装置
技术领域
本发明涉及互联网安全技术领域,特别涉及一种多源的威胁情报的质量评估方法及装置。
背景技术
随着互联网特别是移动互联网的高速发展,网络环境越发复杂,不同的攻击行为更具产业化,团伙化,入侵手法也越发多样化和复杂化,使得传统安全解决方案不断受到挑战。基于大数据关联分析得到的威胁情报可以推动企业和组织快速了解到内部的威胁信息,从而帮助企业提前做好安全防范、更快进行攻击检测与响应、更高效地进行事后攻击溯源。在此背景下威胁情报越发的受到企业的关注,已经有越来越多的企业通过自产或是采购的方式将威胁情报加入到本企业的安全保护网中。
2013年5月16日,Gartner给威胁情报下了一个定义,威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。IOC(Indicator of Compromise)是MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器。本方案提出了多源情报质量的综合评估方案,以期帮助企业选取合适本企业的威胁情报产品。
业界选择威胁情报产品的主要方法是,通过威胁样本测试各厂商的情报质量,方法如下:1.情报产品的数量;2.情报产品的命中数;3.情报产品的误报数。
但是,现有方式具有如下的缺点:1.通过过去的样本,无法判断情报产品的及时性,只有威胁情报及时才有它的价值。2.情报产品数量不能完全体现情报产品的价值,无法判断未命中的情报的质量。3.没有对情报丰富度进行评估,该指标可以评估情报厂商的综合实力。4.没有对情报源之间的差异性进行评估,情报的及时性及差异性能反应情报厂商是否是通过开源情报获取的情报,和自己生产的情报。
发明内容
有鉴于背景技术中提到的上述情况,本发明实施例提供了一种多源的威胁情报的质量评估方法及装置,该方法包括:步骤1,获取需要评估的来自多源的威胁情报;
步骤2,将多个对应有不同情报源的所述威胁情报进行归一化处理;
步骤3,基于多个预设特征,分别对所述威胁情报进行质量评估,根据评估结果生成情报源序列。
作为优选,所述预设特征包括所述威胁情报的来源比例信息、命中比例信息、丰富性信息、差异性信息和/或及时性信息。
作为优选,所述方法还包括:
统计过去一段时间内各情报源录入的所述威胁情报数与录入总数的比例,以获取所述来源比例信息。
作为优选,所述方法还包括:
统计过去一段时间内命中的所述威胁情报,分析所述威胁情报的来源信息;
如果出现同一所述威胁情报被多个情报源录入的情况,则该多个情报源均会被记录;
根据记录的信息统计各个情报源的命中数占全部命中数的比例,以获取所述命中信息。
作为优选,所述方法还包括:获取过去一段时间出现的所述威胁情报,并获取所述威胁情报的来源信息;
如果出现同一所述威胁情报被N个情报源录入的情况则该情报源对应的丰富性数值加N,如果该所述威胁情报还有至少一个历史威胁信息则对应的丰富性数值加2,如果还有M个当前有效的威胁情报标签则该所述威胁情报对应的丰富性数值加4*M;
统计过去一段时间所述丰富性数值超过一预定值的情报来源分布,以生成所述丰富性信息。
作为优选,所述方法还包括:
统计过去一段时间内来自单一情报源的所述威胁情报;
分析所述威胁情报的来源信息;
如果同一所述威胁情报被多个情报源录入则更新该所述情报源对应的计数数值,从而得到该情报源单独录入的情报数量和非单独录入的情报数量,生成两者的比例信息,以获取所述差异性信息。
作为优选,所述方法还包括:统计过去一段时间内录入的所述威胁情报;
获取该所述威胁情报的来源信息;
如果出现同一所述威胁情报被多个情报源录入情况则根据录入时间信息仅确认第一个录入的情报源,统计各个情报源占全部来源的比例,以获取所述及时性信息。
本发明实施例还提供了一种多源的威胁情报的质量评估装置,所述装置包括:获取模块、归一化模块和处理模块;
所述获取模块配置为获取需要评估的来自多源的威胁情报;
所述归一化模块配置为将多个对应有不同情报源的所述威胁情报进行归一化处理;
所述处理模块配置为基于多个预设特征,分别对所述威胁情报进行质量评估,根据评估结果生成情报源序列。
作为优选,所述预设特征包括所述威胁情报的来源比例信息、命中信息、丰富性信息、差异性信息和/或及时性信息。
本发明可准确评估不同的情报源,具有重要价值。一方面帮助企业做出更好的投资决策,采购和使用更高质量的情报源;另一方面,评估结果可帮助更好的实现情报的标准化处理,例如对于评估准确率较低的情报源,可对情报源发出的威胁情报整体调整可信度分值。
附图说明
图1是本发明实施例的多源的威胁情报的质量评估方法的流程图。
图2是本发明实施例的质量评估方法的一个具体实施例的流程图。
具体实施方式
为使本领域技术人员更好的理解本发明的技术方案,下面结合附图和具体实施方式对本发明作详细说明。
威胁情报数据作为特殊行业的非实体物件,在实际生产应用中不便于测评数据质量,本发明根据多年在威胁情报领域的积累,总结出多角度体系化的有效评估方式。如图1所示,本实施例进行如下步骤:
获取需要评估的来自多源的威胁情报;
将多个对应有不同情报源的所述威胁情报进行归一化处理;
基于多个预设特征,分别对威胁情报进行质量评估,根据评估结果生成情报源序列。
本实施例中的威胁情报可以存储在云端,获取威胁情报时,可以定期从云端获取需要评估的多源威胁情报,从而方便的进行数据处理。
本实施例中的预设特征至少包括威胁情报的来源比例信息、命中比例信息、丰富性信息、差异性信息和/或及时性信息。即分别从来源比例信息、命中比例信息、丰富性信息、差异性信息、及时性信息等五个角度对威胁情报进行综合质量评估。
其中,来源比例信息用于评估各情报源推送威胁情报占全部威胁情报数量的比例,该指标衡量情报源的交付数,该指标可用于考核某些情报源交付情报数稀少,性价比低;命中比例信息用于评估用户查询命中的情报分布在各情报源的比例,该指标衡量情报源的适用性,该指标可用于考核某些情报源为单纯追求数量优势,但是存在大量无效情报的情况;及时性信息包括各情报源首发情报的比例,该指标衡量情报源产出效率,该指标可用于考核情报源交付情报的及时性;丰富性信息用于评估各情报源中的辅助信息丰富的威胁情报的比例,该指标衡量情报源丰富性。其中,辅助信息可以是WHOIS信息、国际舆情印证信息、相关样本信息、rdns/pdns/端口/服务/主机名/SSL数字证书/可执行文件数字签名等技术信息,专业分析报告、以及其它的当前信息和有连续性的历史信息支撑,此类信息可作为后续溯源拓展、复盘复审、研判跟踪的重要依据。该指标可用于考核情报源的生产机构的综合实力。
差异性信息用于评估情报源相互之间情报的重叠比例,该指标衡量情报源产出能力的独立性。实际工作应用中,多源威胁情报应具备合理的差异性,以便于相互查缺补漏,高度重叠的情报源不具备可信性叠加效果并且通常质量较差。该指标可用于考核情报源之间的重叠率,以及情报源的生产机构的技术特性和地域性,有效评估抄袭模仿行为。
下面,对基于以上五种预设特征的评估目的及采用的算法进行详细描述:
(1)情报来源比例算法:
为了实现统计各威胁情报源的情报交付数占比(占比越高越好),统计过去一段时间内各个情报源录入的情报数与录入总数的比例。
(2)情报命中统计算法:
为了实现统计过去一段时间内命中威胁情报的来源分布(命中率越高越好),统计过去一段时间内命中的威胁情报,取威胁情报的来源信息,如果出现一条威胁情报被多个源录入情况则多个情报源都会被记录,然后统计各个情报源命中数占全部命中数的比例,由于多源录入的情况,该数据在数值上可能等于或大于命中次数,但不影响评估效果。
(3)情报及时性:
为了实现统计过去一段时间内威胁情报被第一手录入的来源分布(及时性越高越好),统计过去一段时间内录入的威胁情报,获取威胁情报的来源信息,如果出现一条威胁情报被多个源录入情况则根据录入时间仅取第一个录入的情报源,然后统计各个情报源占全部来源的比例。
(4)情报差异性算法:
为了实现统计过去一段时间内独家威胁情报的来源分布(差异性越高越好),统计过去一段时间内某个单一情报源的威胁情报,逐条查询威胁情报的来源信息,如果出现威胁情报被多个情报源录入则计数加一,得到该情报源独家录入的情报数量和非独家情报数量,最终以比例形式展现。
(5)情报丰富性算法:
为了实现统计过去一段时间内情报的辅助信息丰富性(丰富性越高越好),获取过去一段时间某情报源的威胁情报,获取威胁情报的来源信息,如果出现一条威胁情报被N个源录入情况则该情报源丰富性加N(默认丰富性为数值1),如果该威胁情报还有若干历史威胁信息(不按照数量积分,仅按有没有积分),则丰富性加2;如果还有M个当前有效的威胁情报标签,则丰富性加4*M,最终统计过去一段时间威胁情报丰富性超过某一预定值的的威胁情报来源分布。
如图2所示,首先定期从云端更新需要评估的多源威胁情报,对威胁情报的格式进行归一化处理,再经过各个算法模型,最终生成情报源序列,如可以是情报源综合排名,企业可根据该排名,选取适合本企业的威胁情报产品。
本发明可准确评估不同的情报源,具有重要价值。一方面帮助企业做出更好的投资决策,采购和使用更高质量的情报源;另一方面,评估结果可帮助更好的实现威胁情报的标准化处理,例如对于评估准确率较低的情报源,可对情报源上的情报整体调整可信度分值。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (6)

1.一种多源的威胁情报的质量评估方法,其特征在于,包括:
步骤1,获取需要评估的来自多源的威胁情报;
步骤2,将多个对应有不同情报源的所述威胁情报进行归一化处理;
步骤3,基于多个预设特征,分别对所述威胁情报进行质量评估,根据评估结果生成情报源序列;
所述预设特征包括所述威胁情报的用于评估各情报源推送威胁情报占全部威胁情报数量的比例的来源比例信息、用于评估用户查询命中的情报分布在各情报源的比例的命中比例信息、用于评估各情报源中的辅助信息丰富的威胁情报的比例的丰富性信息、用于评估情报源相互之间情报的重叠比例的差异性信息和/或包括各情报源首发情报的比例的及时性信息;
其中:所述差异性信息的获取方式,包括:
统计过去一段时间内来自单一情报源的所述威胁情报;
分析所述威胁情报的来源信息;
如果同一所述威胁情报被多个情报源录入则更新该所述情报源对应的计数数值,从而得到该情报源单独录入的情报数量和非单独录入的情报数量,生成两者的比例信息,以获取所述差异性信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
统计过去一段时间内各情报源录入的所述威胁情报数与录入总数的比例,以获取所述来源比例信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
统计过去一段时间内命中的所述威胁情报,分析所述威胁情报的来源信息;
如果出现同一所述威胁情报被多个情报源录入的情况,则该多个情报源均会被记录;
根据记录的信息统计各个情报源的命中数占全部命中数的比例,以获取所述命中比例信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取过去一段时间出现的所述威胁情报,并获取所述威胁情报的来源信息;
如果出现同一所述威胁情报被N个情报源录入的情况则该情报源对应的丰富性数值加N,如果该所述威胁情报还有至少一个历史威胁信息则对应的丰富性数值加2,如果还有M个当前有效的威胁情报标签则该所述威胁情报对应的丰富性数值加4*M;
统计过去一段时间所述丰富性数值超过一预定值的情报来源分布,以生成所述丰富性信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:统计过去一段时间内录入的所述威胁情报;
获取该所述威胁情报的来源信息;
如果出现同一所述威胁情报被多个情报源录入情况则根据录入时间信息仅确认第一个录入的情报源,统计各个情报源占全部来源的比例,以获取所述及时性信息。
6.一种基于如权利要求1所述的方法的多源的威胁情报的质量评估装置,其特征在于,所述装置包括:获取模块、归一化模块和处理模块;
所述获取模块配置为获取需要评估的来自多源的威胁情报;
所述归一化模块配置为将多个对应有不同情报源的所述威胁情报进行归一化处理;
所述处理模块配置为基于多个所述预设特征,分别对所述威胁情报进行质量评估,根据评估结果生成情报源序列。
CN201810379261.7A 2018-04-25 2018-04-25 多源的威胁情报的质量评估方法及装置 Active CN109688091B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810379261.7A CN109688091B (zh) 2018-04-25 2018-04-25 多源的威胁情报的质量评估方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810379261.7A CN109688091B (zh) 2018-04-25 2018-04-25 多源的威胁情报的质量评估方法及装置

Publications (2)

Publication Number Publication Date
CN109688091A CN109688091A (zh) 2019-04-26
CN109688091B true CN109688091B (zh) 2021-10-08

Family

ID=66184411

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810379261.7A Active CN109688091B (zh) 2018-04-25 2018-04-25 多源的威胁情报的质量评估方法及装置

Country Status (1)

Country Link
CN (1) CN109688091B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111160749B (zh) * 2019-12-23 2023-07-21 绿盟科技集团股份有限公司 一种情报质量评估和情报融合方法及装置
CN111212049B (zh) * 2019-12-27 2022-04-12 杭州安恒信息技术股份有限公司 一种威胁情报ioc信誉度分析方法
CN113627698A (zh) * 2020-05-07 2021-11-09 中国电信股份有限公司 威胁情报信息处理方法、装置和存储介质
CN111800439B (zh) * 2020-09-08 2020-12-22 江苏苏宁银行股份有限公司 一种威胁情报在银行中的应用方法及其***
CN112836038A (zh) * 2021-01-21 2021-05-25 中国科学院沈阳自动化研究所 一种基于多源数据可信度的智能推荐***
CN113139025B (zh) * 2021-05-14 2024-06-07 恒安嘉新(北京)科技股份公司 一种威胁情报的评价方法、装置、设备及存储介质
CN113360739A (zh) * 2021-06-02 2021-09-07 北京天融信网络安全技术有限公司 情报源质量分析方法、装置、电子设备及存储介质
CN113468384B (zh) * 2021-07-20 2023-11-03 山石网科通信技术股份有限公司 网络情报源信息的处理方法、装置、存储介质及处理器
CN114666144B (zh) * 2022-03-29 2024-03-12 杭州安恒信息技术股份有限公司 一种情报源质量检测方法、装置、设备、存储介质
CN114757790B (zh) * 2022-04-06 2022-10-11 山东新潮信息技术有限公司 一种利用神经网络对多源情报风险评估的方法
CN114862257A (zh) * 2022-05-27 2022-08-05 奇安信科技集团股份有限公司 一种数据源质量的评估方法、装置和设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012164336A1 (en) * 2011-05-31 2012-12-06 Bce Inc. Distribution and processing of cyber threat intelligence data in a communications network
CN105743877A (zh) * 2015-11-02 2016-07-06 哈尔滨安天科技股份有限公司 一种网络安全威胁情报处理方法及***
CN106060018A (zh) * 2016-05-19 2016-10-26 中国电子科技网络信息安全有限公司 一种网络威胁情报共享模型
CN107730096A (zh) * 2017-09-29 2018-02-23 北京神州绿盟信息安全科技股份有限公司 一种情报数据源的质量评估方法及装置
CN107729519A (zh) * 2017-10-27 2018-02-23 上海数据交易中心有限公司 基于多源多维数据的评估方法及装置、终端

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012164336A1 (en) * 2011-05-31 2012-12-06 Bce Inc. Distribution and processing of cyber threat intelligence data in a communications network
CN105743877A (zh) * 2015-11-02 2016-07-06 哈尔滨安天科技股份有限公司 一种网络安全威胁情报处理方法及***
CN106060018A (zh) * 2016-05-19 2016-10-26 中国电子科技网络信息安全有限公司 一种网络威胁情报共享模型
CN107730096A (zh) * 2017-09-29 2018-02-23 北京神州绿盟信息安全科技股份有限公司 一种情报数据源的质量评估方法及装置
CN107729519A (zh) * 2017-10-27 2018-02-23 上海数据交易中心有限公司 基于多源多维数据的评估方法及装置、终端

Also Published As

Publication number Publication date
CN109688091A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
CN109688091B (zh) 多源的威胁情报的质量评估方法及装置
WO2019095719A1 (zh) 网络流量异常检测方法、装置、计算机设备和存储介质
Zhu et al. HGTector: an automated method facilitating genome-wide discovery of putative horizontal gene transfers
US20030236652A1 (en) System and method for anomaly detection
CN102340485A (zh) 基于信息关联的网络安全态势感知***及其方法
CN104145264A (zh) 用于通过社交网络进行情绪检测、测量和规格化的***和方法
CN110162445A (zh) 基于主机日志及性能指标的主机健康评价方法及装置
WO2018184304A1 (zh) 一种网元健康状态的检测方法及设备
CN110489314A (zh) 模型异常检测方法、装置、计算机设备和存储介质
CN103577660B (zh) 灰度实验***和方法
JP2014153721A (ja) ログ可視化装置及び方法及びプログラム
CN113139025B (zh) 一种威胁情报的评价方法、装置、设备及存储介质
CN106600303A (zh) 评估广告投放合理性的方法和装置
CN111754241A (zh) 一种用户行为感知方法、装置、设备及介质
CN109359234B (zh) 一种多维度网络安全事件分级装置
CN109145109B (zh) 基于社交网络的用户群体消息传播异常分析方法及装置
CN113360566A (zh) 一种信息内容监测方法及***
CN113360376A (zh) 埋点测试方法和装置
KR20140051678A (ko) 스마트 기기 결함 관리 장치 및 방법
CN106649765A (zh) 基于大数据技术的智能电网全景数据分析方法
CN102841922B (zh) 数据采集方法及装置
CN109614417A (zh) 基于数据流的报表指标的显示方法、装置及终端
CN116051185B (zh) 广告位数据的异常检测与筛选方法
WO2016187504A1 (en) Crowd-based sentiment indices
CN205449948U (zh) 气体苯系物探测的数据可视化***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant