[发明专利]网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质

权利要求书

1. 一种网络安全威胁指标识别方法，包括：

获取网络情报；以及

针对至少两种网络安全威胁指标，利用预先适配的识别方式对所述网络情报进行识别，以得到所述至少两种网络安全威胁指标的识别结果，

其中，所述至少两种网络安全威胁指标被预先划分为至少两个组，针对所述至少两个组预先适配各自不同的识别方式，并且

其中，所述不同的识别方式包括基于机器学习模型的识别方式。

2. 如权利要求1所述的方法，在对所述网络情报进行识别之前进一步包括：

利用预先配置的机器学习分类模型，将所述网络情报分类成网络安全威胁情报或非网络安全威胁情报；并且

滤除所述网络情报中的非网络安全威胁情报。

3. 如权利要求2所述的方法，

其中，所述预先配置的机器学习分类模型包括嵌入层、卷积层、最大池化层和全连接层，并且

其中，所述分类进一步包括：

获取所述网络情报的文本并输入所述嵌入层，以将其编码为分布式表示；

将所述分布式表示输入卷积层，以提取所述网络情报的文本的特征；

将所述特征输入所述最大池化层，以提取每个特征对应的最大值，将提取的每个特征对应的最大值拼接，作为所述最大池化层的输出；

将所述最大池化层的输出输入所述全连接层，基于所述全连接层的输出获得所述分类的结果。

4. 如权利要求2所述的方法，在所述分类和所述滤除之后进一步包括：

利用预先配置的机器学习判断模型，判断分类为所述网络安全威胁情报的网络情报是否为有效的网络安全威胁情报；并且

滤除所述网络情报中的非有效的网络安全威胁情报；其中，所述机器学习判断模型包括嵌入层和随机森林层，并且

其中，所述判断包括：

将分类为所述网络安全威胁情报的网络情报的文本输入到所述嵌入层，以将其编码为分布式表示；并且

将所述分布式表示输入到随机森林层，以根据所述随机森林层的输出判断分类为所述网络安全威胁情报的网络情报是否为有效的网络安全威胁情报。

5. 如权利要求1-4中任一项所述的方法，其中，所述不同的识别方式还包括：

基于词库的识别方式，其中将所述网络情报中的词与预先建立的词库中的词进行匹配，将能够匹配的词作为识别结果；和

基于规则的识别方式，其中利用预先设置的规则对所述网络情报的文本进行解析，将符合所述规则的内容作为识别结果。

6. 如权利要求1-4中任一项所述的方法，进一步包括：

通过web页面显示所述识别结果；以及

在接收到对于所述识别结果的更正指示的情况下，对所述识别结果进行更正。

7. 如权利要求1-4中任一项所述的方法，

其中，所述至少两个组中的第一组包括以下种类的网络安全威胁指标：影响地区和平台，并且

其中所述进行识别包括：针对所述第一组中的任一种类的网络安全威胁指标，利用基于词库的识别方式对所述网络情报进行识别，其中基于词库的识别方式是将所述网络情报中的词与预先建立的词库中的词进行匹配，将能够匹配的词作为识别结果。

8. 如权利要求1-4中任一项所述的方法，

其中，所述至少两个组中的第二组包括以下种类的网络安全威胁指标：程序的基本数据文件、注册表、服务和启动项，并且

其中所述进行识别包括：针对所述第二组中的任一种类的网络安全威胁指标，利用基于规则的识别方式对所述网络情报进行识别，其中基于规则的识别方式是利用预先设置的规则对所述网络情报进行解析，将符合所述规则的内容作为识别结果。