[发明专利]一种基于多示例学习的可疑威胁指标验证方法及系统

说明书

本发明公开了一种基于多示例学习的可疑威胁指标验证方法及系统。本方法为：对各可疑威胁指标相关的情报信息文本内容进行处理，生成含有原语义信息的词序列；对于每一所述可疑威胁指标，选择该可疑威胁指标对应的多个处理后的词序列，应用多示例学习算法对选取的各所述可疑指标对应的词序列进行训练并生成一多示例学习验证模型；采用自然语言处理技术对待测可疑威胁指标的情报信息文本进行处理，生成该待测可以威胁指标对应的词序列；然后利用所述多示例学习验证模型对该待测可疑威胁指标对应的词序列进行预测验证，确定该待预测可疑威胁指标是否为恶意威胁指标。本发明可高效准确地完成对可疑威胁指标的验证。

技术领域

本发明涉及网络空间安全领域，特别涉及一种基于多示例学习的可疑威胁指标验证方法及系统。

背景技术

可疑威胁指标验证是对网络或日志中出现的可疑指标进行恶意性判断，即确定其是否为真实的恶意威胁指标的问题。验证可疑威胁指标，可及时识别网络威胁，保证网络安全。

针对具体的可疑威胁指标，可依据与其相关的情报信息来进行验证。目前，该类型的验证方法主要有三种：一种是基于安全专家的人工验证方法，即利用安全专家分析已收集的相关情报信息，人工确定可疑指标的威胁性；一种是基于规则匹配的验证方法，即简单地利用正则表达式或自定义规则匹配已有的情报信息，根据匹配结果判断可疑指标；一种是基于特定上下文词汇的验证方法，即通过查看情报信息中可疑威胁指标的上下文中是否含有特定的上下文词汇来研判可疑指标是否是真实的恶意威胁指标。

基于安全专家的人工验证方法，往往依赖于安全专家积累的经验，人工分析与整理已有情报信息，人力成本高。

基于规则匹配的验证方法，直接应用正则表达式匹配可疑指标，忽略情报信息中的语义信息，导致验证的误报率较高。

基于特定上下文词汇的验证方法，需要提前收集候选上下文词汇，然后抽取情报信息中的上下文词汇匹配，该方法复杂度高，且候选集的更新如若不及时，则验证的准确率也没有办法保证。

发明内容

针对现有技术的不足，本发明的目的在于提供一种基于多示例学习的可疑威胁指标验证方法及系统，本发明充分利用收集到的多个相关威胁信息，高效准确地完成对可疑威胁指标的验证，为解决可疑威胁指标验证提供一种行之有效的方法和思路。

本发明的技术方案为：

一种基于多示例学习的可疑威胁指标验证方法，其步骤包括：

采用自然语言处理技术对各可疑威胁指标相关的情报信息文本内容进行处理，生成含有原语义信息的词序列，并将各所述情报信息文本中的可疑威胁指标替换成统一的设定短语；各所述可疑威胁指标为同一类别的可疑威胁指标，每一可疑威胁指标对应多个情报信息文本；

对于每一所述可疑威胁指标，选择该可疑威胁指标对应的多个处理后的词序列，应用多示例学习算法对选取的各所述可疑指标对应的词序列进行训练并生成一多示例学习验证模型；

采用自然语言处理技术对待测可疑威胁指标的情报信息文本进行处理，生成该待测可疑威胁指标对应的词序列；然后利用所述多示例学习验证模型对该待测可疑威胁指标对应的词序列进行预测验证，确定该待预测可疑威胁指标是否为恶意威胁指标。

进一步的，生成所述多示例学习验证模型的方法为：将每一个所述可疑威胁指标对应的各词序列作为一个包，每一个词序列作为一个示例，生成对应可疑威胁指标的训练集；利用多示例学习算法对各所述训练集进行训练，生成所述多示例学习验证模型。

进一步的，所述多示例学习算法为多示例神经网络模型。