[发明专利]网络安全情报威胁度的检测方法、装置和电子装置

说明书

本申请涉及一种网络安全情报威胁度的检测方法、装置、电子装置和存储介质，其中，该网络安全情报威胁度的检测方法包括：从多个数据源获取网络安全情报数据；从网络安全情报数据中提取多个网络安全情报的特征，并整合多个网络安全情报中第一网络安全情报的特征，得到第一网络安全情报的特征信息；通过网络安全情报置信度评估模型处理第一网络安全情报的特征信息，得到第一网络安全情报的第一置信度；至少根据第一置信度，判断第一网络安全情报是否为威胁情报。解决了相关技术中对网络安全情报的威胁度的检测准确率低的问题，实现了提高对网络安全情报的威胁度的检测准确率的技术效果。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种网络安全情报威胁度的检测方法、装置、电子装置和存储介质。

背景技术

随着以APT、恶意挖矿、勒索病毒等为主的新型威胁和网络攻击的不断出现，数量不断上升，网络威胁正迅速恶性演变，与此同时，网络攻击的手段和渠道亦多元化发展，对于网络安全人员的分析与处理能力提出了更高的要求，而企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁情报作为支撑，以帮助其更好的发现和应对这些新型威胁。

威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。事实上，绝大多数的威胁情报是狭义的威胁情报，其主要内容为用于识别和检测威胁的对象以及这些对象的归属标签，这些威胁的对象包括但不限于IP、域名、URL、程序运行路径、注册表项、文件HASH值，而归属标签包括威胁类型、属性、威胁级别等。

威胁情报可以帮助用户明确其在线信息资产和安全状况，根据自身资产的重要程度和影响面，进行相关的漏洞修补和风险管理。威胁情报还可以帮助用户了解其所在行业的威胁环境，有哪些攻击者，攻击者使用的战术技术等。

随着威胁情报的发展与应用，特别是网络安全企业，怎样快速的建立自己的威胁情报数据库显得非常重要。目前网络中存在数量庞大的开源网络安全情报，但是这些情报我们很难准确的判断它是否是威胁情报，所以怎么结合多源情报来实现网络安全情报的威胁度检测就很重要。

相关技术中的网络安全情报的威胁度检测往往是采用人工判断数量庞大的开源网络安全情报的威胁度，然而可以获取网络安全情报的数据源数量巨大，因此，人工对多源网络安全情报的威胁度进行判断需要耗费大量人力，同时对网络安全情报的威胁度的检测准确率也较低。

目前针对相关技术中对网络安全情报的威胁度的检测准确率低的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种网络安全情报威胁度的检测方法、装置、电子装置和存储介质，以至少解决相关技术中对网络安全情报的威胁度的检测准确率低的问题。

第一方面，本申请实施例提供了一种网络安全情报威胁度的检测方法，包括：从多个数据源获取网络安全情报数据；从所述网络安全情报数据中提取多个网络安全情报的特征，并整合所述多个网络安全情报中第一网络安全情报的特征，得到所述第一网络安全情报的特征信息；通过网络安全情报置信度评估模型处理所述第一网络安全情报的特征信息，得到所述第一网络安全情报的第一置信度，其中，所述网络安全情报置信度评估模型是被训练为根据网络安全情报的特征信息评估网络安全情报属于威胁情报的置信度的机器学习模型；至少根据所述第一置信度，判断所述第一网络安全情报是否为威胁情报；在所述第一网络安全情报为威胁情报的情况下，将所述第一网络安全情报存储至威胁情报数据库。