[发明专利]网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质

说明书

公开了一种网络安全威胁指标识别方法，包括：获取网络情报；以及针对至少两种网络安全威胁指标，对所述网络情报进行识别，以得到所述至少两种网络安全威胁指标的识别结果，其中，所述至少两种网络安全威胁指标被预先划分为至少两个组，针对所述至少两个组预先适配各自不同的识别方式，并且其中，所述不同的识别方式包括基于机器学习模型的识别方式。还公开了一种网络安全威胁指标识别设备、装置和计算机可读存储介质。

技术领域

本申请涉及网络安全，更具体地，涉及网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质。

背景技术

威胁情报，根据Gartner的定义，是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测网络安全威胁指标(Indicators of Compromise，IOC)，如文件哈希、IP地址、域名等，本文中将此类威胁情报称为网络安全威胁情报。网络情报，泛指网络安全威胁情报和非网络安全威胁情报，可能仅具有网络安全威胁情报，或可能仅具有非网络安全威胁情报，或可能二者都有。从可能同时具有网络安全威胁情报和非网络安全威胁情报的网络情报中提取网络安全威胁情报是一件费时费力的工作。此外，网络安全威胁情报中包含威胁信息，可供分析以识别网络安全威胁指标(Indicators of Compromise，IOC)，来例如形成威胁情报库等以供后续使用。网络安全威胁情报根据来源主要分为两大类：内部网络安全威胁情报和外部网络安全威胁情报。内部网络安全威胁情报多是通过分析系统内部数据来收集、处理的，外部网络安全威胁情报主要源自企业和/或社区提供的共享或付费的网络安全威胁情报。鉴于内部网络安全威胁情报的封闭性和特殊性，验证网络安全威胁指标时一般不使用内部网络安全威胁情报。在网络安全领域，外部网络安全威胁情报对全网网络安全感知有很重要的作用，但是外部网络安全威胁情报数据量巨大，很难通过人工的方式逐一识别，费时费力且可能存在漏报、误报。

发明内容

本发明的实施例提供了网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质，至少部分地解决上面提及的问题。

根据本发明的第一方面，提供一种网络安全威胁指标识别方法，包括：获取网络情报；以及针对至少两种网络安全威胁指标，对所述网络情报进行识别，以得到所述至少两种网络安全威胁指标的识别结果，其中，所述至少两种网络安全威胁指标被预先划分为至少两个组，针对所述至少两个组预先适配各自不同的识别方式，并且其中，所述不同的识别方式包括基于机器学习模型的识别方式。

根据一个实施例，在所述识别之前所述方法进一步包括：利用预先配置的机器学习分类模型，将所述网络情报分类成网络安全威胁情报或非网络安全威胁情报；并且滤除所述网络情报中的非网络安全威胁情报。

根据一个实施例，其中，所述预先配置的机器学习分类模型包括嵌入层、卷积层、最大池化层和全连接层，并且其中，所述分类进一步包括：获取所述网络情报的文本并输入所述嵌入层，以将其编码为分布式表示；将所述分布式表示输入卷积层，以提取所述网络情报的文本的特征；将所述特征输入所述最大池化层，以提取每个特征对应的最大值，将提取的每个特征对应的最大值拼接，作为所述最大池化层的输出；将所述最大池化层的输出输入所述全连接层，基于所述全连接层的输出获得所述分类的结果。

根据一个实施例，所述方法，在所述分类和所述滤除之后进一步包括：利用预先配置的机器学习判断模型，判断分类为所述网络安全威胁情报的网络情报是否为有效的网络安全威胁情报；并且滤除所述网络情报中的非有效的网络安全威胁情报。

根据一个实施例，其中，所述机器学习判断模型包括嵌入层和随机森林层，并且其中，所述判断包括：将分类为所述网络安全威胁情报的网络情报的文本输入到所述嵌入层，以将其编码为分布式表示；并且将所述分布式表示输入到随机森林层，以根据所述随机森林层的输出判断分类为所述网络安全威胁情报的网络情报是否为有效的网络安全威胁情报。