[发明专利]网络安全情报威胁度的检测方法、装置和电子装置有效
| 申请号: | 202010782330.6 | 申请日: | 2020-08-06 |
| 公开(公告)号: | CN112019519B | 公开(公告)日: | 2023-04-07 |
| 发明(设计)人: | 温延龙;范渊 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 杭州华进联浙知识产权代理有限公司 33250 | 代理人: | 聂磊 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 网络安全 情报 威胁 检测 方法 装置 电子 | ||
1.一种网络安全情报威胁度的 检测方法,其特征在于包括:
从多个数据源获取网络安全情报数据;
从所述网络安全情报数据中提取多个网络安全情报的特征,并整合所述多个网络安全情报中第一网络安全情报的特征,得到所述第一网络安全情报的特征信息;
通过网络安全情报置信度评估模型处理所述第一网络安全情报的特征信息,得到所述第一网络安全情报的第一置信度,其中,所述网络安全情报置信度评估模型是被训练为根据网络安全情报的特征信息评估网络安全情报属于威胁情报的置信度的机器学习模型;
通过以下方式获取所述第一网络安全情报的第二置信度:在预设沙箱中运行所述第一网络安全情报的特征信息中的恶意文件,并根据所述恶意文件是否存在恶意通信行为确定所述第一网络安全情报的第三置信度;在预设情报库中匹配所述第一网络安全情报,并根据匹配结果确定所述第一网络安全情报的第四置信度;根据所述第一网络安全情报的特征信息中的发现时间,根据所述第一网络安全情报是否为失效情报确定所述第一网络安全情报的第五置信度;所述第二置信度为所述第三置信度、所述第四置信度以及所述第五置信度的和;
根据所述第一置信度和所述第二置信度,判断所述第一网络安全情报是否为威胁情报;
在所述第一网络安全情报为威胁情报的情况下,将所述第一网络安全情报存储至威胁情报数据库。
2.根据权利要求1所述的网络安全情报威胁度的检测方法,其特征在于,通过网络安全情报置信度评估模型处理所述第一网络安全情报的特征信息,得到所述第一网络安全情报的第一置信度包括:
分别从所述多个数据源获取所述第一网络安全情报的辅助信息,其中,所述辅助信息包括以下至少之一:IP位置、域名的关联子域名、域名的备案信息、IP关联的域名信息;
在预设白名单库中匹配所述辅助信息;
在所述预设白名单库中未匹配到所述辅助信息的情况下,通过网络安全情报置信度评估模型处理所述第一网络安全情报的特征信息,得到与所述第一网络安全情报的特征信息对应的第一置信度。
3.根据权利要求2所述的网络安全情报威胁度的检测方法,其特征在于,所述方法还包括:
在所述预设白名单库中匹配到所述辅助信息的情况下,将所述第一网络安全情报标记为安全情报。
4.根据权利要求1所述的网络安全情报威胁度的检测方法,其特征在于,根据所述第一置信度和所述第二置信度,判断所述第一网络安全情报是否为威胁情报包括:
确定所述第一置信度和所述第二置信度的加权和,得到所述第一网络安全情报的第六置信度;
在所述第一网络安全情报的第六置信度高于预设值的情况下,确定所述第一网络安全情报为威胁情报。
5.根据权利要求1至4中任一项所述的网络安全情报威胁度的检测方法,其特征在于,在从多个数据源获取网络安全情报数据之后,所述方法还包括:
将所述网络安全情报数据进行标准化处理,得到标准化处理后的网络安全情报数据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010782330.6/1.html,转载请声明来源钻瓜专利网。
