[发明专利]基于暗网威胁情报分析的网络资产风险评估方法及系统

权利要求书

1.基于暗网威胁情报分析的网络资产风险评估方法，其特征在于，包括以下步骤：

获取用于评估网络资产风险的暗网威胁情报数据，得到威胁情报数据集；

获得专业词语分词词典，并通过自适应调整消除威胁情报数据集中的词语细粒度，得到威胁情报数据的分词文本，并对其进行NLP分析，获取威胁情报数据的内部特征；

根据威胁情报数据的分词文本，从网页两域中提取搜索威胁情报数据的文本分身，计算威胁情报数据的文本分身与其分词文本的相似度，若相似度超过规定阈值则判定该网页与事件级情报相关，得到相关的网页数量；根据所获得的网页数量，使用P@n算法计算获得威胁情报数据的网络传播度，并将其代入自定义时效性函数，得到威胁情报数据的时效性；

根据威胁情报数据集及威胁情报数据的内部特征，分别计算暗网威胁情报关联资产价值A、暗网威胁情报威胁发生概率T，将威胁情报数据的时效性作为暗网威胁情报关联脆弱性严重程度V，再计算威胁情报关联资产的风险值：

根据威胁情报关联资产的风险值，进行待评定资产的网络资产风险评估。

2.根据权利要求1所述的基于暗网威胁情报分析的网络资产风险评估方法，其特征在于：所述获取用于评估网络资产风险的暗网威胁情报数据，得到威胁情报数据集，包括：

设置前端代理，通过Tor浏览器作为暗网入口进入暗网威胁情报库中的暗网网站；

利用cow软件完成暗网代理协议socks5与超文本传输协议http的协议转换；

根据爬取网站的数据特征，使用python中的requests、lxml、scrapy库设计自定义爬虫，完成暗网网站数据的爬取解析，存储暗网威胁情报数据；所爬取信息包括商品情报发布标题、价格、内容、发布者、购买量。

3.根据权利要求1所述的基于暗网威胁情报分析的网络资产风险评估方法，其特征在于：所述获得专业词语分词词典，并通过自适应调整消除威胁情报数据集中的词语细粒度，得到威胁情报数据的分词文本，包括：

将威胁情报数据集以中文文本words为输入请求搜索引擎，得到结果域R{r₁,r₂,...r_k}；

匹配所述结果域中所有words子字符串，获得子字符串集substring。

统计子字符串集substring中各个子字符串出现的次数，通过将出现次数逆排序，获得共现度前n的子字符串，存入专业词语分词字典Dic；

加载jieba分词算法，载入专业词语分词字典Dic，输入威胁情报数据集中需要进行分词的文本text，完成text初级分词，获得初级分词文本W_pri；

构建并训练词向量模型w2v，以词向量模型w2v中的词为元素，采用二次自适应分词方法遍历初级分词文本W_pri，得到威胁情报数据的分词文本W；

所述二次自适应分词方法，包括：

通过词向量模型w2v匹配初级分词文本W_pri中的词语所相对应的词向量，进行自适应选择，判定词向量是否存在；

若匹配失败，且所匹配的词语长度超过阈值t_v，则将该词语载出专业词语分词字典Dic，使用jieba分词算法对词语进行二次分词。

4.根据权利要求3所述的基于暗网威胁情报分析的网络资产风险评估方法，其特征在于：对所述威胁情报数据的分词文本进行NLP分析，获取威胁情报数据的内部特征，包括：

对威胁情报分词文本进行聚类、分类、模糊匹配、关键词获取，得到威胁情报数据的内部特征。