The present invention discloses a multi-source threat information quality assessment method and device, which includes: step 1, obtaining threat information from multiple sources to be assessed; step 2, normalizing multiple threat information corresponding to different sources; step 3, evaluating the quality of the threat information based on multiple preset features, and according to the assessment results. Generate sequence of information sources. This method can accurately evaluate different information sources. On the one hand, it can help enterprises to make better investment decisions, purchase and use higher quality information sources. On the other hand, the evaluation results can help to better realize the standardization of information processing. For example, for information sources with low accuracy, it can adjust the overall credibility score of threat information from information sources.
【技术实现步骤摘要】
多源的威胁情报的质量评估方法及装置
本专利技术涉及互联网安全
,特别涉及一种多源的威胁情报的质量评估方法及装置。
技术介绍
随着互联网特别是移动互联网的高速发展,网络环境越发复杂,不同的攻击行为更具产业化,团伙化,入侵手法也越发多样化和复杂化,使得传统安全解决方案不断受到挑战。基于大数据关联分析得到的威胁情报可以推动企业和组织快速了解到内部的威胁信息,从而帮助企业提前做好安全防范、更快进行攻击检测与响应、更高效地进行事后攻击溯源。在此背景下威胁情报越发的受到企业的关注,已经有越来越多的企业通过自产或是采购的方式将威胁情报加入到本企业的安全保护网中。2013年5月16日,Gartner给威胁情报下了一个定义,威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。IOC(IndicatorofCompromise)是MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器。本方案提出了多源情报质量的综合评估方案,以期帮助企业选取合适本企业的威胁情报产品。业界选择威胁情报产品的主要方法是,通过威胁样本测试各厂商的情报质量,方法如下:1.情报产品的数量;2.情报产品的命中数;3.情报产品的误报数。但是,现有方式具有如下的缺点:1.通过过去的样本,无法判断情报产品的及时性,只有威胁情报及时才有它的价值。2.情报产品数量不能完全体现情报产品的价值,无法判断未命中的情报的质量。3.没有对情报丰富度进行评估,该指标可 ...
【技术保护点】
1.一种多源的威胁情报的质量评估方法,其特征在于,包括:步骤1,获取需要评估的来自多源的威胁情报;步骤2,将多个对应有不同情报源的所述威胁情报进行归一化处理;步骤3,基于多个预设特征,分别对所述威胁情报进行质量评估,根据评估结果生成情报源序列。
【技术特征摘要】
1.一种多源的威胁情报的质量评估方法,其特征在于,包括:步骤1,获取需要评估的来自多源的威胁情报;步骤2,将多个对应有不同情报源的所述威胁情报进行归一化处理;步骤3,基于多个预设特征,分别对所述威胁情报进行质量评估,根据评估结果生成情报源序列。2.根据权利要求1所述的方法,其特征在于,所述预设特征包括所述威胁情报的来源比例信息、命中比例信息、丰富性信息、差异性信息和/或及时性信息。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:统计过去一段时间内各情报源录入的所述威胁情报数与录入总数的比例,以获取所述来源比例信息。4.根据权利要求2所述的方法,其特征在于,所述方法还包括:统计过去一段时间内命中的所述威胁情报,分析所述威胁情报的来源信息;如果出现同一所述威胁情报被多个情报源录入的情况,则该多个情报源均会被记录;根据记录的信息统计各个情报源的命中数占全部命中数的比例,以获取所述命中比例信息。5.根据权利要求2所述的方法,其特征在于,所述方法还包括:获取过去一段时间出现的所述威胁情报,并获取所述威胁情报的来源信息;如果出现同一所述威胁情报被N个情报源录入的情况则该情报源对应的丰富性数值加N,如果该所述威胁情报还有至少一个历史威胁信息则对应的丰富性数值加2,如果还有M个当前有效的威胁情报标签则该所述威胁情报对...
【专利技术属性】
技术研发人员:刘阳,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。