CN115225413A - 一种失陷指标的提取方法、装置、电子设备及存储介质 - Google Patents
一种失陷指标的提取方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115225413A CN115225413A CN202211140696.9A CN202211140696A CN115225413A CN 115225413 A CN115225413 A CN 115225413A CN 202211140696 A CN202211140696 A CN 202211140696A CN 115225413 A CN115225413 A CN 115225413A
- Authority
- CN
- China
- Prior art keywords
- index
- collapse
- defect
- sample
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/30—Semantic analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种失陷指标的提取方法、装置、电子设备及存储介质,其中,该方法包括:获取包含失陷指标的样本数据;对所述样本数据进行预处理,得到正样本和负样本;将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型;将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标;将所述失陷指标输入所述失陷指标检测模型,得到符合威胁情报的失陷指标。实施本申请实施例,可以提高检测效率,不会造成失陷指标的遗漏,减少误检测的发生,不需要依赖人工检测,降低人力成本。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种失陷指标的提取方法、装置、电子设备及计算机可读存储介质。
背景技术
随着威胁情报的逐渐成熟,产生了越来越多不同数据源的威胁情报。由于不同的威胁情报文章格式都不同,传统的收集开源情报的方式为人工筛选文章,去除掉文章中无相关性的域名和IP后,手动提取出失陷指标来进行整合。由此会造成两方面问题:一方面,人工的主观能动性有限,在文章发表,人工筛选,失陷指标提取整个过程往往最快也需要一到两天,不能做到快速响应,同时,人工筛选精力有限,容易造成遗漏。另一方面,传统自动化批量提取的方式,往往会提取出很多与文章无关,使用后会误报的失陷指标。程序无法自动化判断哪些是安全类文章,哪些非安全类文章,从而决定哪些失陷指标可以提取作为安全情报,哪些则不可以提取等。
发明内容
本申请实施例的目的在于提供一种失陷指标的提取方法、装置、电子设备及计算机可读存储介质,可以提高检测效率,不会造成失陷指标的遗漏,减少误检测的发生,不需要依赖人工检测,降低人力成本。
第一方面,本申请实施例提供了一种失陷指标的提取方法,所述方法包括:
获取包含失陷指标的样本数据;
对所述样本数据进行预处理,得到正样本和负样本;
将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标;
将所述失陷指标输入所述失陷指标检测模型,得到符合威胁情报的失陷指标。
在上述实现过程中,利用语义检测模型对正样本和负样本进行训练,提高失陷指标检测模型对于失陷指标的提取能力,并进一步根据可信威胁情报白名单对失陷指标进行匹配,提高检测失陷指标的准确性,提高检测效率,不会造成失陷指标的遗漏,减少误检测的发生,不需要依赖人工检测,降低人力成本。
进一步地,在所将所述失陷指标输入所述失陷指标检测模型,得到符合威胁情报的失陷指标的步骤之后,还包括:
根据所述失陷指标进行验证,得到验证结果;
根据所述验证结果获得验证正样本和验证负样本;
将所述验证正样本和验证负样本输入所述失陷指标检测模型进行二次训练,以使所述失陷指标检测模型的精度提高。
在上述实现过程中,在得到失陷指标之后,对失陷指标进行验证,并根据验证正样本和验证负样本进行二次训练,提高失陷指标检测模型的鲁棒性和精确度。
进一步地,所述对所述样本数据进行预处理,得到正样本和负样本的步骤,包括:
对所述样本数据进行过滤;
对所述过滤后的样本数据进行正则提取,得到失陷指标;
判断所述失陷指标中的域名类失陷指标是否为恶意失陷指标;
若是,根据包含判定为所述恶意失陷指标的域名类失陷指标的样本数据得到所述正样本;
若否,根据所述过滤后的样本数据得到所述负样本。
在上述实现过程中,根据过滤后的样本数据得到正样本和负样本,使得正样本和负样本中包含更多的失陷指标的特征,有助于失陷指标检测模型快速地进行检测。
进一步地,所述将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型的步骤,包括:
将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到初始失陷指标检测模型;
获取测试正样本和测试负样本;
将所述测试正样本和所述测试负样本输入所述初始失陷指标检测模型进行迭代训练,得到所述失陷指标检测模型。
在上述实现过程中,根据正样本和负样本得到初始失陷指标检测模型,再将测试正样本和测试负样本输入初始失陷指标检测模型进行迭代训练,可以提高失陷指标检测模型对失陷指标的识别率,缩短检测时间。
进一步地,所述将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标的步骤,包括:
提取所述待检测数据中的主机信息;
判断所述可信威胁情报白名单是否可以匹配到所述主机信息;
若是,提取所述待检测数据中的初始失陷指标;
对所述初始失陷指标进行验证,若验证通过,得到所述失陷指标。
在上述实现过程中,进一步地根据主机信息和可信威胁情报白名单进行匹配,同时对失陷指标进行验证,保证失陷指标的准确性,减少误差。
进一步地,所述对所述初始失陷指标进行验证,若验证通过,得到所述失陷指标的步骤,包括:
利用多个搜索引擎对所述初始失陷指标进行验证,得到多个验证结果;
若所述多个验证结果中为恶意的验证结果的数量达到阈值,则所述多个验证结果对应的所述初始失陷指标有效,将所述初始失陷指标作为所述失陷指标。
在上述实现过程中,通过搜索引擎对初始失陷指标进行验证,可以减少验证所需要的时间,同时提高验证的准确率。
进一步地,在所述对所述初始失陷指标进行验证,若验证通过,得到所述失陷指标的步骤之后,还包括:
获取所述失陷指标的域名信息;
根据所述域名信息中的域名年限和访问页面数据对所述失陷指标进行误报判断;
若所述失陷指标为误报,不将所述失陷指标作为符合威胁情报的失陷指标。
在上述实现过程中,对失陷指标进行误报判断,可以进一步地减小误差的发生。
第二方面,本申请实施例还提供了一种失陷指标的提取装置,所述装置包括:
获取模块,用于获取包含失陷指标的样本数据;
预处理模块,用于对所述样本数据进行预处理,得到正样本和负样本;
模型训练模块,用于将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型;
匹配模块,用于将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标;
检测模块,用于将所述失陷指标输入所述失陷指标检测模型,得到符合威胁情报的失陷指标。
在上述实现过程中,利用语义检测模型对正样本和负样本进行训练,提高失陷指标检测模型对于失陷指标的提取能力,并进一步根据可信威胁情报白名单对失陷指标进行匹配,提高检测失陷指标的准确性,提高检测效率,不会造成失陷指标的遗漏,减少误检测的发生,不需要依赖人工检测,降低人力成本。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供失陷指标的提取方法的流程示意图;
图2为本申请实施例提供失陷指标的提取装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
实施例一
图1是本申请实施例提供失陷指标的提取方法的流程示意图,如图1所示,该方法包括:
S1,获取包含失陷指标的样本数据;
S2,对样本数据进行预处理,得到正样本和负样本;
S3,将正样本和负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型;
S4,将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标;
S5,将失陷指标输入失陷指标检测模型,得到符合威胁情报的失陷指标。
在上述实现过程中,利用语义检测模型对正样本和负样本进行训练,提高失陷指标检测模型对于失陷指标的提取能力,并进一步根据可信威胁情报白名单对失陷指标进行匹配,提高检测失陷指标的准确性,提高检测效率,不会造成失陷指标的遗漏,减少误检测的发生,不需要依赖人工检测,降低人力成本。
进一步地,在S5之后还包括:
根据失陷指标进行验证,得到验证结果;
根据验证结果获得验证正样本和验证负样本;
将验证正样本和验证负样本输入失陷指标检测模型进行二次训练,以使失陷指标检测模型的精度提高。
在上述实现过程中,在得到失陷指标之后,对失陷指标进行验证,并根据验证正样本和验证负样本进行二次训练,提高失陷指标检测模型的鲁棒性和精确度。
在S1中,可以使用爬虫爬取包含失陷指标的威胁情报类文章,如新闻报道、主流威胁情报资讯站点等,提取文章标题、分类、摘要、主要内容和***等元素,组成json格式数据保存,作为样本数据。
进一步地,S2包括:
对样本数据进行过滤;
对过滤后的样本数据进行正则提取,得到失陷指标;
判断失陷指标中的域名类失陷指标是否为恶意失陷指标;
若是,根据包含判定为恶意失陷指标的域名类失陷指标的样本数据得到正样本;
若否,根据过滤后的样本数据得到负样本。
在上述实现过程中,根据过滤后的样本数据得到正样本和负样本,使得正样本和负样本中包含更多的失陷指标的特征,有助于失陷指标检测模型快速地进行检测。
经过过滤后,正则提取样本数据其中的失陷指标,将样本数据及失陷指标作为负样本保存。并基于TLD对其中的域名类失陷指标进行校验,符合条件的对撞主流威胁情报厂商情报库,若判断为恶意失陷指标,将相应样本数据和失陷指标作为正样本保存。例如,可以将失陷指标对应的一定长度(如20)的上下文段落进行提取,将文档转化为如20及对应的上下文段落作为部分样本数据。具体地,将失陷指标在文章中所在位置的前20个字符和后20个字符进行组合,合并后形成上下文段落,组成段落集。
具体地,对样本数据进行过滤还包括,基于unicode对样本数据的语种进行判断,如样本数据中出现汉字类unicode编码,则识别为中文类文章,若出现其他语种,则对应为其他类文章。本申请实施例中使用了两种主流语言:中文和英文,作为两种样本数据,并针对语种进行单独训练。对符合汉字编码范围(4E00-9FA5)的段落归类为中文类样本数据,符合英文编码积分为的段落归类为英文类样本数据。
对除常用类符号(如逗号,句号,分号等)之外的符号进行泛化编码,降低因特殊符号导致的算法识别语义任务准确度下降的概率。
并对样本数据中特殊类型文章进行过滤,去除如通篇无实际语义、乱码类文档等。
可选地,失陷指标作为样本数据的标签存在于样本数据中。
示例性地,可以在样本数据中选取3万条科技类文章,3万条人文类文章,3万条新闻类文章,3万条技术类文章,组成12万条负样本集;收集12万条威胁情报类文章,组成正样本集。
进一步地,S3包括:
将正样本和负样本输入预先训练的语义检测模型进行训练,得到初始失陷指标检测模型;
获取测试正样本和测试负样本;
将测试正样本和测试负样本输入初始失陷指标检测模型进行迭代训练,得到失陷指标检测模型。
在上述实现过程中,根据正样本和负样本得到初始失陷指标检测模型,再将测试正样本和测试负样本输入初始失陷指标检测模型进行迭代训练,可以提高失陷指标检测模型对失陷指标的识别率,缩短检测时间。
使用后续爬取的数据作为测试正样本和测试负样本进行模型验证,基于情报库对初始失陷指标检测模型预测的失陷指标进行结果验证。并将预测错误的样本数据、测试正样本和测试负样本输入至训练集进行迭代训练,并再次验证,直至得到的失陷指标检测模型准确率达到要求,保存模型。
示例性地,本申请实施例将正样本和负样本进行语义编码,使用Bert Tokenizer算法进行编码。其中部分参数:句子长度设为40(与段落长度相同),将编码后的段落输入至预先训练的语义检测模型进行训练,使用Adam算法作为优化器,训练轮数为3。对经过训练后的模型进行验证,使用测试正样本和测试负样本进行准确度验证。最终指标为,查准率:97.45%,准确率96.98%,效果较好。
进一步地,S4包括:
提取待检测数据中的主机信息;
判断可信威胁情报白名单是否可以匹配到主机信息;
若是,提取待检测数据中的失陷指标;
对失陷指标进行验证,若验证通过,得到失陷指标。
在上述实现过程中,进一步地根据主机信息和可信威胁情报白名单进行匹配,同时对失陷指标进行验证,保证失陷指标的准确性,减少误差。
进一步地,对初始失陷指标进行验证,若验证通过,得到失陷指标的步骤,包括:
利用多个搜索引擎对初始失陷指标进行验证,得到多个验证结果;
若多个验证结果中为恶意的验证结果的数量达到阈值,则多个验证结果对应的初始失陷指标有效,将初始失陷指标作为失陷指标。
在上述实现过程中,通过搜索引擎对初始失陷指标进行验证,可以减少验证所需要的时间,同时提高验证的准确率。
对提取出的初始失陷指标使用多个主流安全厂商的威胁情报引擎进行自动化验证,若超过一半以上的引擎识别为恶意,则判断该初始失陷指标为有效的,将该初始失陷指标作为失陷指标,保存到情报库中供产品使用。
进一步地,在对初始失陷指标进行验证,若验证通过,得到失陷指标的步骤之后,还包括:
获取失陷指标的域名信息;
根据域名信息中的域名年限和访问页面数据对失陷指标进行误报判断;
若失陷指标为误报,不将失陷指标作为符合威胁情报的失陷指标。
在上述实现过程中,对失陷指标进行误报判断,可以进一步地减小误差的发生。
建立可信威胁情报白名单,使用数据库进行保存。对主流威胁情报相关资讯类网站进行爬取,保存文章的标题,链接,摘要,内容等信息,作为待检测数据。提取待检测数据中的主机信息,并与数据库中的可信威胁情报白名单进行比对,若不在可信威胁情报白名单中,则舍弃。
基于正则扫描提取待检测数据中的失陷指标,并提取其上下一定长度字符作为上下文段落,对于域名类失陷指标,基于TLD对域名是否合法进行验证,若不合法则舍弃。
将失陷指标及其上下文输入到失陷指标检测模型中进行判断,根据上下文判断该失陷指标是否符合威胁情报相关标准。
若符合,则进行误报判断,访问域名是否有正常页面,域名是否已经被识别为可信威胁情报白名单等特征,进行误报判断,若判断为误报,则舍弃该失陷指标及其对应上下文,不作为符合威胁情报的失陷指标。
对于通过验证的失陷指标,可以重新标注为正样本;判断为误报的失陷指标,可以重新标注为负样本。当正负样本累积到一定数目时,叠加到原有正样本和负样本中进行再次训练,提高模型的精准度。
本申请实施例可以解决现有技术需要人工进行判断的过程,由于人的经验和精力,导致的标准不统一,以及响应速度慢的问题。相比人工而言,基于语义的自动化判断,无主观能动性上限,速度相比于人工也有显著提升,可以做到秒级提取,同时保证准确率,实现了智能识别失陷指标C的目的。
除此之外,本申请实施例使用了基于白名单数据库进行数据源筛选的提取方法,相比于全网盲目的爬取方案,收集到的文章与威胁情报关联性更强,质量更高,省去了大量的过滤工作。
同时,本申请实施例首创了基于失陷指标上下文一定长度组成段落的方式进行语义识别,相比于全文识别来说,与对应失陷指标的关联性更强,计算复杂度更低,全文中不相干的语句对结果的影响更小。并且,基于威胁情报引擎对结果进行自动化验证的方案,相比于传统人工验证的方式,结果更加准确,可识别的数量更高,可以适应需要海量训练和研判的样本需求。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种失陷指标的提取装置,如图2所示,该装置包括:
获取模块1,用于获取包含失陷指标的样本数据;
预处理模块2,用于对样本数据进行预处理,得到正样本和负样本;
模型训练模块3,用于将正样本和负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型;
匹配模块4,用于将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标;
检测模块5,用于将失陷指标输入失陷指标检测模型,得到符合威胁情报的失陷指标。
在上述实现过程中,利用语义检测模型对正样本和负样本进行训练,提高失陷指标检测模型对于失陷指标的提取能力,并进一步根据可信威胁情报白名单对失陷指标进行匹配,提高检测失陷指标的准确性,提高检测效率,不会造成失陷指标的遗漏,减少误检测的发生,不需要依赖人工检测,降低人力成本。
进一步地,该装置还包括验证模块,用于:
根据失陷指标进行验证,得到验证结果;
根据验证结果获得验证正样本和验证负样本;
将验证正样本和验证负样本输入失陷指标检测模型进行二次训练,以使失陷指标检测模型的精度提高。
在上述实现过程中,在得到失陷指标之后,对失陷指标进行验证,并根据验证正样本和验证负样本进行二次训练,提高失陷指标检测模型的鲁棒性和精确度。
进一步地,预处理模块2还用于:
对样本数据进行过滤;
对过滤后的样本数据进行正则提取,得到失陷指标;
判断失陷指标中的域名类失陷指标是否为恶意失陷指标;
若是,根据包含判定为恶意失陷指标的域名类失陷指标的样本数据得到正样本;
若否,根据过滤后的样本数据得到负样本。
进一步地,模型训练模块3还用于:
将正样本和负样本输入预先训练的语义检测模型进行训练,得到初始失陷指标检测模型;
获取测试正样本和测试负样本;
将测试正样本和测试负样本输入初始失陷指标检测模型进行迭代训练,得到失陷指标检测模型。
进一步地,匹配模块4还用于:
提取待检测数据中的主机信息;
判断可信威胁情报白名单是否可以匹配到主机信息;
若是,提取待检测数据中的初始失陷指标;
对初始失陷指标进行验证,若验证通过,得到失陷指标。
进一步地,匹配模块4还用于:
利用多个搜索引擎对初始失陷指标进行验证,得到多个验证结果;
若多个验证结果中为恶意的验证结果的数量达到阈值,则多个验证结果对应的初始失陷指标有效,将初始失陷指标作为失陷指标。
进一步地,该装置还包括误判模块,用于:
获取失陷指标的域名信息;
根据域名信息中的域名年限和访问页面数据对失陷指标进行误报判断;
若失陷指标为误报,不将失陷指标作为符合威胁情报的失陷指标。
上述失陷指标的提取装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一失陷指标的提取方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一失陷指标的提取方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种失陷指标的提取方法,其特征在于,所述方法包括:
获取包含失陷指标的样本数据;
对所述样本数据进行预处理,得到正样本和负样本;
将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型;
将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标;
将所述失陷指标输入所述失陷指标检测模型,得到符合威胁情报的失陷指标。
2.根据权利要求1所述失陷指标的提取方法,其特征在于,在所述将所述失陷指标输入所述失陷指标检测模型,得到符合威胁情报的失陷指标的步骤之后,还包括:
根据所述失陷指标进行验证,得到验证结果;
根据所述验证结果获得验证正样本和验证负样本;
将所述验证正样本和验证负样本输入所述失陷指标检测模型进行二次训练。
3.根据权利要求2所述失陷指标的提取方法,其特征在于,所述对所述样本数据进行预处理,得到正样本和负样本的步骤,包括:
对所述样本数据进行过滤;
对所述过滤后的样本数据进行正则提取,得到失陷指标;
判断所述失陷指标中的域名类失陷指标是否为恶意失陷指标;
若是,根据包含判定为所述恶意失陷指标的域名类失陷指标的样本数据得到所述正样本;
若否,根据所述过滤后的样本数据得到所述负样本。
4.根据权利要求3所述失陷指标的提取方法,其特征在于,所述将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型的步骤,包括:
将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到初始失陷指标检测模型;
获取测试正样本和测试负样本;
将所述测试正样本和所述测试负样本输入所述初始失陷指标检测模型进行迭代训练,得到所述失陷指标检测模型。
5.根据权利要求1所述失陷指标的提取方法,其特征在于,所述将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标的步骤,包括:
提取所述待检测数据中的主机信息;
判断所述可信威胁情报白名单是否可以匹配到所述主机信息;
若是,提取所述待检测数据中的初始失陷指标;
对所述初始失陷指标进行验证,若验证通过,得到所述失陷指标。
6.根据权利要求5所述失陷指标的提取方法,其特征在于,所述对所述初始失陷指标进行验证,若验证通过,得到所述失陷指标的步骤,包括:
利用多个搜索引擎对所述初始失陷指标进行验证,得到多个验证结果;
若所述多个验证结果中为恶意的验证结果的数量达到阈值,则所述多个验证结果对应的所述初始失陷指标有效,将所述初始失陷指标作为所述失陷指标。
7.根据权利要求5所述失陷指标的提取方法,其特征在于,在所述对所述初始失陷指标进行验证,若验证通过,得到所述失陷指标的步骤之后,还包括:
获取所述失陷指标的域名信息;
根据所述域名信息中的域名年限和访问页面数据对所述失陷指标进行误报判断;
若所述失陷指标为误报,不将所述失陷指标作为符合威胁情报的失陷指标。
8.一种失陷指标的提取装置,其特征在于,所述装置包括:
获取模块,用于获取包含失陷指标的样本数据;
预处理模块,用于对所述样本数据进行预处理,得到正样本和负样本;
模型训练模块,用于将所述正样本和所述负样本输入预先训练的语义检测模型进行训练,得到失陷指标检测模型;
匹配模块,用于将待检测数据与预先建立的可信威胁情报白名单进行匹配,得到失陷指标;
检测模块,用于将所述失陷指标输入所述失陷指标检测模型,得到符合威胁情报的失陷指标。
9.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至7中任一项所述失陷指标的提取方法。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述失陷指标的提取方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211140696.9A CN115225413B (zh) | 2022-09-20 | 2022-09-20 | 一种失陷指标的提取方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211140696.9A CN115225413B (zh) | 2022-09-20 | 2022-09-20 | 一种失陷指标的提取方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115225413A true CN115225413A (zh) | 2022-10-21 |
CN115225413B CN115225413B (zh) | 2022-12-23 |
Family
ID=83616877
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211140696.9A Active CN115225413B (zh) | 2022-09-20 | 2022-09-20 | 一种失陷指标的提取方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115225413B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105743877A (zh) * | 2015-11-02 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种网络安全威胁情报处理方法及*** |
US20180124091A1 (en) * | 2016-10-27 | 2018-05-03 | Src, Inc. | Method for the Continuous Calculation of a Cyber Security Risk Index |
CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
CN110020190A (zh) * | 2018-07-05 | 2019-07-16 | 中国科学院信息工程研究所 | 一种基于多示例学习的可疑威胁指标验证方法及*** |
CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测***及方法 |
US20200252421A1 (en) * | 2016-08-02 | 2020-08-06 | ThreatConnect, Inc. | Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events |
WO2021017261A1 (zh) * | 2019-08-01 | 2021-02-04 | 平安科技(深圳)有限公司 | 识别模型训练方法、图像识别方法、装置、设备及介质 |
CN113886829A (zh) * | 2021-12-08 | 2022-01-04 | 北京微步在线科技有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
CN114697066A (zh) * | 2020-12-30 | 2022-07-01 | 网神信息技术(北京)股份有限公司 | 网络威胁检测方法和装置 |
-
2022
- 2022-09-20 CN CN202211140696.9A patent/CN115225413B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105743877A (zh) * | 2015-11-02 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种网络安全威胁情报处理方法及*** |
US20200252421A1 (en) * | 2016-08-02 | 2020-08-06 | ThreatConnect, Inc. | Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events |
US20180124091A1 (en) * | 2016-10-27 | 2018-05-03 | Src, Inc. | Method for the Continuous Calculation of a Cyber Security Risk Index |
CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
CN110020190A (zh) * | 2018-07-05 | 2019-07-16 | 中国科学院信息工程研究所 | 一种基于多示例学习的可疑威胁指标验证方法及*** |
WO2021017261A1 (zh) * | 2019-08-01 | 2021-02-04 | 平安科技(深圳)有限公司 | 识别模型训练方法、图像识别方法、装置、设备及介质 |
CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测***及方法 |
CN114697066A (zh) * | 2020-12-30 | 2022-07-01 | 网神信息技术(北京)股份有限公司 | 网络威胁检测方法和装置 |
CN113886829A (zh) * | 2021-12-08 | 2022-01-04 | 北京微步在线科技有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115225413B (zh) | 2022-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9424524B2 (en) | Extracting facts from unstructured text | |
CN107229668B (zh) | 一种基于关键词匹配的正文抽取方法 | |
CN107437038B (zh) | 一种网页篡改的检测方法及装置 | |
CN102054015A (zh) | 使用有机物件数据模型来组织社群智能信息的***及方法 | |
CN111581956B (zh) | 基于bert模型和k近邻的敏感信息识别方法及*** | |
CN102054016A (zh) | 用于撷取及管理社群智能信息的***及方法 | |
CN111783016B (zh) | 一种网站分类方法、装置及设备 | |
Swanson et al. | Extracting the native language signal for second language acquisition | |
CN103902733A (zh) | 基于疑问词扩展的信息检索方法 | |
CN107729337B (zh) | 事件的监测方法和装置 | |
RU2738335C1 (ru) | Способ и система классификации и фильтрации запрещенного контента в сети | |
CN112131249A (zh) | 一种攻击意图识别方法及装置 | |
CN107391684B (zh) | 一种威胁情报生成的方法及*** | |
Hoy et al. | A systematic review on the detection of fake news articles | |
Samonte | Polarity analysis of editorial articles towards fake news detection | |
KR20210097408A (ko) | 유해 웹사이트 정보의 업데이트 장치 및 이에 의한 방법 | |
CN112966507A (zh) | 构建识别模型及攻击识别方法、装置、设备及存储介质 | |
KR102623120B1 (ko) | 소셜 미디어 대상 재난 안전 관심 주제 탐지 시스템 및 방법 | |
CN112434163A (zh) | 风险识别方法及模型构建方法、装置、电子设备和介质 | |
CN115225413B (zh) | 一种失陷指标的提取方法、装置、电子设备及存储介质 | |
CN114996707B (zh) | 图片木马的静态检测方法、装置、电子设备及存储介质 | |
Thanos et al. | Combined deep learning and traditional NLP approaches for fire burst detection based on twitter posts | |
CN111581950B (zh) | 同义名称词的确定方法和同义名称词的知识库的建立方法 | |
US20210216721A1 (en) | System and method to quantify subject-specific sentiment | |
CN114417860A (zh) | 一种信息检测方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |