[发明专利]网络威胁情报信息的处理方法、装置、存储介质及处理器

说明书

本申请公开了一种网络威胁情报信息的处理方法、装置、存储介质及处理器。该方法包括：采集多个威胁情报信息中的时间戳信息，得到多个时间戳信息；对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息；基于多个处理后的时间戳信息确定多个威胁情报信息的关联度；基于多个威胁情报信息的关联度确定威胁情报处理策略。通过本申请，解决了相关技术中对表示不同维度的威胁情报信息的关系识别不够精准，导致对威胁情报信息处理工作效率较低的问题。

技术领域

本申请涉及信息处理技术领域，具体而言，涉及一种网络威胁情报信息的处理方法、装置、存储介质及处理器。

背景技术

网络威胁情报的价值严重依赖于所获得威胁情报的质量。只有高可信的威胁情报才能充分发挥重要决策辅助作用和经济价值，从而为国家的网络空间安全贡献力量。

然而，由于威胁情报来源多、范围广。情报数量的庞大加上情报本身的置信度问题，会带来大量的检出误报，使得安全人员工作量巨大且效率低下。威胁情报不仅种类繁杂，应用场景也很复杂，不同场景中应用的威胁情报种类也存在差别。威胁情报更新快，在“多”和“杂”的映衬下，情报更新速度之快使得安全人员工作难上加难。即使是同一安全事件，其触发、产生、关联的威胁情报依然是海量的。通过威胁情报多种维度进行数据挖掘、分类、聚类、判别是解决上述问题的重要方法。

针对相关技术中对表示不同维度的威胁情报信息的关系识别不够精准，导致对威胁情报信息处理工作效率较低的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种网络威胁情报信息的处理方法、装置、存储介质及处理器，以解决相关技术中对表示不同维度的威胁情报信息的关系识别不够精准，导致对威胁情报信息处理工作效率较低的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种网络威胁情报信息的处理方法。该方法包括：采集多个威胁情报信息中的时间戳信息，得到多个时间戳信息；对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息；基于多个处理后的时间戳信息确定多个威胁情报信息的关联度；基于多个威胁情报信息的关联度确定威胁情报处理策略。

进一步地，在对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息之前，该方法还包括：获取多个威胁情报信息中每个威胁情报信息的情报源；若存在威胁情报信息的情报源不相同，则将多个威胁情报信息中每个威胁情报信息对应的时间戳信息的时区统一为预设时区。

进一步地，对每个时间戳信息按照预设格式进行处理，得到多个处理后的时间戳信息包括：获取每个时间戳信息的第一时间格式；将第一时间格式基于目标累加算法转换为第二时间格式；将每个时间戳信息按照第二时间格式进行处理，得到多个处理后的时间戳信息。

进一步地，在基于多个处理后的时间戳信息确定多个威胁情报信息的关联度之前，该方法还包括：对多个处理后的时间戳信息基于目标公式进行计算，得到计算结果，其中，计算结果包括如下至少之一：多个处理后的时间戳信息的均值、多个处理后的时间戳信息的标准差；计算多个处理后的时间戳信息的标准差与多个处理后的时间戳信息的均值的比，获取多个目标比值。

进一步地，基于多个处理后的时间戳信息确定多个威胁情报信息的关联度包括：若目标比值小于第一预设值时，则确定多个威胁情报信息的关联度为第一关联度；若目标比值大于第二预设值时，则确定多个威胁情报信息的关联度为第二关联度；若目标比值大于第一预设值，且目标比值小于第二预设值，则确定多个威胁情报信息的关联度为第三关联度。

进一步地，基于多个威胁情报信息的关联度确定威胁情报处理策略包括：若多个威胁情报信息的关联度为第一关联度时，则对多个威胁情报信息进行合并处理，合并后的威胁情报信息表征同一威胁事件；若多个威胁情报信息的关联度为第二关联度时，则不对多个威胁情报信息进行处理；若多个威胁情报信息的关联度为第三关联度时，则对多个威胁情报信息进行分析处理。