[发明专利]使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法

权利要求书

1.一种整并计算机网络的威胁情报数据的方法，该方法由一计算机系统执行，该方法包括：

从多个来源收集威胁情报数据，并将所收集的威胁情报数据标准化成一致数据格式；

使用无监督式机器学习算法将经过标准化的威胁情报数据分组成群集，其中每一群集均包括代表威胁情报数据的一属性的一群数据；

针对对于该计算机网络而言具有严重性的群集进行分类；

将被分类成具有严重性的群集与该计算机网络的一安全态势比较以确定该计算机系统感兴趣的群集；以及

将被确定为该计算机系统感兴趣的群集格式化成该计算机网络的一预定义格式；以及

其中针对对于该计算机网络而言具有严重性的群集进行分类包括：撷取与该计算机网络相关联的计算机资产的一列表；标识出影响所述计算机资产的一计算特征的群集；以及将被标识出的影响所述计算机资产的一计算特征的群集分类成对于该计算机网络而言具有严重性。

2.如权利要求1所述的方法，还包括：

撷取赋予与该计算机网络相关联的所述计算机资产中的每一者的严重性权重数值；

加总所撷取的严重性权重数值；以及

将加总后的严重性权重数值分配给该计算机网络。

3.如权利要求1所述的方法，其中该计算特征包括一计算机资产的一操作系统或一网络协议。

4.如权利要求1所述的方法，其中在将被分类成具有严重性的群集与该计算机网络的一安全态势比较以确定该计算机系统感兴趣的群集之前，该方法还包括：

产生该计算机网络的该安全态势。

5.如权利要求4所述的方法，其中产生该计算机网络的该安全态势包括：

建立代表该计算机网络的一对象模型，其中该对象模型包括该计算机网络内所包含的计算机资产的计算机安全信息；以及

执行一分析程序，该分析程序可操作以使用该对象模型运行该计算机网络之中的所述计算机资产中的每一者的漏洞测试，其中该漏洞测试的结果被用来确定该计算机网络的该安全态势。

6.如权利要求5所述的方法，其中使用该对象模型的该计算机网络之中的所述计算机资产中的每一者的漏洞测试包括有关该计算机网络的系统层级和拓扑漏洞的测试、以及所述计算机资产的节点层级漏洞的测试。

7.如权利要求1所述的方法，其中使用机器学习算法将经过标准化的威胁情报数据分组成群集，其中每一群集均包括代表威胁情报数据的一属性的一群数据的步骤还包括：

使用每一群集之中的威胁情报数据验证所述群集。

8.如权利要求7所述的方法，其中验证所述群集包括：

指派权重数值给包含于所述群集之中的每一记录，其中相较于指派给一源自一商业来源的记录的一权重数值，一源自一开放来源的记录被指派一较低的权重数值；

加总包含于每一群集之中的记录的权重数值；以及

验证所具有的加总权重数值超过一预定义阈值的群集。

9.如权利要求1所述的方法，还包括：

使用所述经过格式化的群集来更新该计算机网络的该安全态势。

10.如权利要求1所述的方法，其中该威胁情报数据的该属性包括一计算机安全威胁或一因特网协议(IP)地址。