[发明专利]一种数据关联拓展方法及非暂时性的计算机指令存储介质

说明书

本公开涉及一种数据关联拓展方法及非暂时性的计算机指令存储介质，所述数据关联拓展方法包括：基于第一特征信息与第二特征信息的聚类结果进行拟合；其中，所述第一特征信息对应于输入数据，所述第二特征信息对应于已有的威胁线索；所述拟合结果用于获取与所述输入数据相关联的威胁线索。本公开所提供的数据关联拓展方法，通过对已有的威胁线索的第二特征信息进行聚类，建立已有的威胁线索之间的关联，基于第一特征信息去自动拟合第二特征信息的聚类结果，以根据拟合结果得到与输入线索相关联的威胁线索，不需要人工参与，提高了数据关联拓展的效率，且准确率也较高。

技术领域

本公开涉及互联网领域，尤其涉及一种数据关联拓展方法及非暂时性的计算机指令存储介质。

背景技术

安全厂商、企业以及国家政府都越来越重视威胁情报的发展，对网络安全情报信息的共享以及将基础威胁情报高级化有着迫切的期待和需求。现有的威胁线索关联拓展方法主要以人工结合半自动化分析程序对威胁线索进行处理分析，在分析处理过程过度依赖分析师的人工参与，关联分析结果与分析师的水平有关，导致分析结果质量参差不齐，随着威胁线索数据业务量的增大，原本的依靠半自动化的分析方式已经不能满足现有需求，迫切需要全自动化的威胁线索自动化关联拓展系统的出现，以解决日益增长的威胁线索分析需求，同时保证威胁线索的分析质量以及准确性，但由于威胁线索数据以及基础数据难以收集，关联拓展方式复杂，目前还缺乏有效的解决方案。

发明内容

为了解决以上技术问题，本公开的实施例提供了一种数据关联拓展的效率较高，且准确率也较高的数据关联拓展方法及非暂时性的计算机指令存储介质。

根据本公开的第一方案，提供了一种数据关联拓展方法，所述数据关联拓展方法包括：基于第一特征信息与第二特征信息的聚类结果进行拟合；其中，所述第一特征信息对应于输入数据，所述第二特征信息对应于已有的威胁线索；所述拟合结果用于获取与所述输入数据相关联的威胁线索。

在一些实施例中，所述第二特征信息的聚类结果通过第一聚类获取，且基于所述聚类结果建立学习模型，以供所述第一特征信息输入。

在一些实施例中，所述数据关联拓展方法还包括：在根据拟合结果获取不到与所述输入数据相关联的威胁线索的情况下，将第三特征信息添加到所述第二特征信息的聚类结果中进行第二聚类；其中，所述第三特征信息对应于所述输入数据；所述第三特征信息的类型与所述第一特征信息的类型不相同。

在一些实施例中，所述第二特征信息的类型至少包括所述第一特征信息的类型和所述第三特征信息的类型。

在一些实施例中，在基于第一特征信息与第二特征信息的聚类结果进行拟合之前，包括：对第一输入数据进行拓展，以形成所述输入数据。

在一些实施例中，所述拓展包括IP地址拓展、域名拓展和hash拓展。

在一些实施例中，所述数据关联拓展方法还包括：基于时间维度获取与所述输入数据相关联的威胁线索。

在一些实施例中，在基于第一特征信息与第二特征信息的聚类结果进行拟合之前，包括：对所述第二特征信息进行向量化。

在一些实施例中，在基于第一特征信息与第二特征信息的聚类结果进行拟合之前，还包括：对所述第一特征信息进行向量化。

根据本公开的第二方案，提供了一种非暂时性的计算机指令存储介质，其上存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现如下步骤：基于第一特征信息与第二特征信息的聚类结果进行拟合；其中，所述第一特征信息对应于输入数据，所述第二特征信息对应于已有的威胁线索；所述拟合结果用于获取与所述输入数据相关联的威胁线索。

与现有技术相比，本公开的有益效果在于：