[发明专利]基于联邦学习的威胁情报生产与分析方法

权利要求书

1.基于联邦学习的威胁情报生产与分析方法，其特征在于，所述方法包括：

步骤1，基于原始安全日志和情报生产模块，计算基础情报数据IoC，生产根节点或区域节点的情报；

步骤2，对生产的所述根节点或区域节点的情报进行压缩，将压缩后的情报穿透隔离装置，传输至其他区域节点，并由所述其他区域节点将穿透后的压缩情报还原成基础情报数据；

步骤3，通过写入数据库的方式，将还原后的所述基础情报数据写入区域情报数据库，并利用根节点的联邦学习调度组件，汇总根节点情报生产模块以及其他区域中间训练参数进行融合及分发；

步骤4，利用各区域节点在根节点进行基于原始安全日志的情报生产模块训练，通过加密密钥对训练参数进行加密并上传，以作为威胁情报。

2.如权利要求1所述的基于联邦学习的威胁情报生产与分析方法，其特征在于，所述基础情报数据IoC至少包括：攻击源地址、威胁类型事件、外部情报以及威胁分数，所述基础情报数据IoC的计算公式为：

IoC＝(Ip,TI,Ex,S)

式中，Ip为攻击源地址，TI为威胁类型事件，Ex为外部情报，S为威胁分数，i0为攻击序号，n0为攻击序列长度，Eq_i0为第i0次攻击的安全设备，At_i0为第i0次攻击的攻击方式，Tm_i0为第i0次攻击的攻击时间，Ei_j为第j个外部情报源的名称，At_j为第j个外部情报源的攻击方式，Tm_j为第j个外部情报源的攻击时间。

3.如权利要求1所述的基于联邦学习的威胁情报生产与分析方法，其特征在于，所述步骤1中还包括：

基于情报计算子模块，应用正则表达式，筛选所述原始安全日志中的攻击源地址Ip、攻击方式At、攻击目标De、攻击次数Co、攻击时间Tm以及安全日志源Eq，生成安全日志SL，

其中，每一条安全日志SL对应一个基础情报数据IoC。

4.如权利要求2所述的基于联邦学习的威胁情报生产与分析方法，其特征在于，所述步骤1中还包括：

当判定任两个基础情报数据IoC的所述攻击源地址Ip相同时，利用情报拼接子模块，将相同攻击源地址Ip的基础情报数据IoC进行合并；

当判定合并后的基础情报数据IoC的威胁分数小于分数阈值时，删除对应的合并后的基础情报数据IoC。

5.如权利要求1所述的基于联邦学习的威胁情报生产与分析方法，其特征在于，所述情报生产模块由权重统计模型、频度分析模型以及分数衰减模型组成。

6.如权利要求5所述的基于联邦学习的威胁情报生产与分析方法，其特征在于，所述权重统计模型用于计算威胁分数，所述威胁分数的计算公式为：

式中，下标n代表安全设备的数量，W为预先配置的各类安全设备的权重值，B为各安全设备的基准值，m代表计算权重统计跨越的天数，N_i表示m天中每天的报警次数。

7.如权利要求5所述的基于联邦学习的威胁情报生产与分析方法，其特征在于，所述频度分析模型的计算公式为：

S′_n′＝S′_n′-1*|Co_n′-Co_n′-1|/|Co_n′-1-Co_n′-2|*(1+(Co_n′+Co_n′-1+Co_n′-2)/1000)

式中，S′_n′表示时间T_n′到时间T_n′-1间隔内高危攻击源的威胁分数，S′_n′-1表示上个时间T_n′-1到时间T_n′-2间隔内攻击源的威胁分数，此时n′仅为代号，表示时间节点T的代号，Co_n′为时间T_n′的攻击次数。