多源的威胁情报的质量评估方法及装置制造方法及图纸

本发明专利技术公开了一种多源的威胁情报的质量评估方法及装置，该方法包括：步骤1，获取需要评估的来自多源的威胁情报；步骤2，将多个对应有不同情报源的所述威胁情报进行归一化处理；步骤3，基于多个预设特征，分别对所述威胁情报进行质量评估，根据评估结果生成情报源序列。本方法可准确评估不同的情报源，一方面帮助企业做出更好的投资决策，采购和使用更高质量的情报源；另一方面，评估结果可帮助更好的实现情报的标准化处理，例如对于评估准确率较低的情报源，可对情报源发出的威胁情报整体调整可信度分值。

Quality Assessment Method and Device of Multi-source Threat Intelligence

The present invention discloses a multi-source threat information quality assessment method and device, which includes: step 1, obtaining threat information from multiple sources to be assessed; step 2, normalizing multiple threat information corresponding to different sources; step 3, evaluating the quality of the threat information based on multiple preset features, and according to the assessment results. Generate sequence of information sources. This method can accurately evaluate different information sources. On the one hand, it can help enterprises to make better investment decisions, purchase and use higher quality information sources. On the other hand, the evaluation results can help to better realize the standardization of information processing. For example, for information sources with low accuracy, it can adjust the overall credibility score of threat information from information sources.

【技术实现步骤摘要】
多源的威胁情报的质量评估方法及装置
本专利技术涉及互联网安全
，特别涉及一种多源的威胁情报的质量评估方法及装置。
技术介绍
随着互联网特别是移动互联网的高速发展，网络环境越发复杂，不同的攻击行为更具产业化，团伙化，入侵手法也越发多样化和复杂化，使得传统安全解决方案不断受到挑战。基于大数据关联分析得到的威胁情报可以推动企业和组织快速了解到内部的威胁信息，从而帮助企业提前做好安全防范、更快进行攻击检测与响应、更高效地进行事后攻击溯源。在此背景下威胁情报越发的受到企业的关注，已经有越来越多的企业通过自产或是采购的方式将威胁情报加入到本企业的安全保护网中。2013年5月16日，Gartner给威胁情报下了一个定义，威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。IOC(IndicatorofCompromise)是MANDIANT在长期的数字取证实践中定义的可以反映主机或网络行为的技术指示器。本方案提出了多源情报质量的综合评估方案，以期帮助企业选取合适本企业的威胁情报产品。业界选择威胁情报产品的主要方法是，通过威胁样本测试各厂商的情报质量，方法如下：1.情报产品的数量；2.情报产品的命中数；3.情报产品的误报数。但是，现有方式具有如下的缺点：1.通过过去的样本，无法判断情报产品的及时性，只有威胁情报及时才有它的价值。2.情报产品数量不能完全体现情报产品的价值，无法判断未命中的情报的质量。3.没有对情报丰富度进行评估，该指标可以评估情报厂商的综合实力。4.没有对情报源之间的差异性进行评估，情报的及时性及差异性能反应情报厂商是否是通过开源情报获取的情报，和自己生产的情报。
技术实现思路
有鉴于
技术介绍
中提到的上述情况，本专利技术实施例提供了一种多源的威胁情报的质量评估方法及装置，该方法包括：步骤1，获取需要评估的来自多源的威胁情报；步骤2，将多个对应有不同情报源的所述威胁情报进行归一化处理；步骤3，基于多个预设特征，分别对所述威胁情报进行质量评估，根据评估结果生成情报源序列。作为优选，所述预设特征包括所述威胁情报的来源比例信息、命中比例信息、丰富性信息、差异性信息和/或及时性信息。作为优选，所述方法还包括：统计过去一段时间内各情报源录入的所述威胁情报数与录入总数的比例，以获取所述来源比例信息。作为优选，所述方法还包括：统计过去一段时间内命中的所述威胁情报，分析所述威胁情报的来源信息；如果出现同一所述威胁情报被多个情报源录入的情况，则该多个情报源均会被记录；根据记录的信息统计各个情报源的命中数占全部命中数的比例，以获取所述命中信息。作为优选，所述方法还包括：获取过去一段时间出现的所述威胁情报，并获取所述威胁情报的来源信息；如果出现同一所述威胁情报被N个情报源录入的情况则该情报源对应的丰富性数值加N，如果该所述威胁情报还有至少一个历史威胁信息则对应的丰富性数值加2，如果还有M个当前有效的威胁情报标签则该所述威胁情报对应的丰富性数值加4*M；统计过去一段时间所述丰富性数值超过一预定值的情报来源分布，以生成所述丰富性信息。作为优选，所述方法还包括：统计过去一段时间内来自单一情报源的所述威胁情报；分析所述威胁情报的来源信息；如果同一所述威胁情报被多个情报源录入则更新该所述情报源对应的计数数值，从而得到该情报源单独录入的情报数量和非单独录入的情报数量，生成两者的比例信息，以获取所述差异性信息。作为优选，所述方法还包括：统计过去一段时间内录入的所述威胁情报；获取该所述威胁情报的来源信息；如果出现同一所述威胁情报被多个情报源录入情况则根据录入时间信息仅确认第一个录入的情报源，统计各个情报源占全部来源的比例，以获取所述及时性信息。本专利技术实施例还提供了一种多源的威胁情报的质量评估装置，所述装置包括：获取模块、归一化模块和处理模块；所述获取模块配置为获取需要评估的来自多源的威胁情报；所述归一化模块配置为将多个对应有不同情报源的所述威胁情报进行归一化处理；所述处理模块配置为基于多个预设特征，分别对所述威胁情报进行质量评估，根据评估结果生成情报源序列。作为优选，所述预设特征包括所述威胁情报的来源比例信息、命中信息、丰富性信息、差异性信息和/或及时性信息。本专利技术可准确评估不同的情报源，具有重要价值。一方面帮助企业做出更好的投资决策，采购和使用更高质量的情报源；另一方面，评估结果可帮助更好的实现情报的标准化处理，例如对于评估准确率较低的情报源，可对情报源发出的威胁情报整体调整可信度分值。附图说明图1是本专利技术实施例的多源的威胁情报的质量评估方法的流程图。图2是本专利技术实施例的质量评估方法的一个具体实施例的流程图。具体实施方式为使本领域技术人员更好的理解本专利技术的技术方案，下面结合附图和具体实施方式对本专利技术作详细说明。威胁情报数据作为特殊行业的非实体物件，在实际生产应用中不便于测评数据质量，本专利技术根据多年在威胁情报领域的积累，总结出多角度体系化的有效评估方式。如图1所示，本实施例进行如下步骤：获取需要评估的来自多源的威胁情报；将多个对应有不同情报源的所述威胁情报进行归一化处理；基于多个预设特征，分别对威胁情报进行质量评估，根据评估结果生成情报源序列。本实施例中的威胁情报可以存储在云端，获取威胁情报时，可以定期从云端获取需要评估的多源威胁情报，从而方便的进行数据处理。本实施例中的预设特征至少包括威胁情报的来源比例信息、命中比例信息、丰富性信息、差异性信息和/或及时性信息。即分别从来源比例信息、命中比例信息、丰富性信息、差异性信息、及时性信息等五个角度对威胁情报进行综合质量评估。其中，来源比例信息用于评估各情报源推送威胁情报占全部威胁情报数量的比例，该指标衡量情报源的交付数，该指标可用于考核某些情报源交付情报数稀少，性价比低；命中比例信息用于评估用户查询命中的情报分布在各情报源的比例，该指标衡量情报源的适用性，该指标可用于考核某些情报源为单纯追求数量优势，但是存在大量无效情报的情况；及时性信息包括各情报源首发情报的比例，该指标衡量情报源产出效率，该指标可用于考核情报源交付情报的及时性；丰富性信息用于评估各情报源中的辅助信息丰富的威胁情报的比例，该指标衡量情报源丰富性。其中，辅助信息可以是WHOIS信息、国际舆情印证信息、相关样本信息、rdns/pdns/端口/服务/主机名/SSL数字证书/可执行文件数字签名等技术信息，专业分析报告、以及其它的当前信息和有连续性的历史信息支撑，此类信息可作为后续溯源拓展、复盘复审、研判跟踪的重要依据。该指标可用于考核情报源的生产机构的综合实力。差异性信息用于评估情报源相互之间情报的重叠比例，该指标衡量情报源产出能力的独立性。实际工作应用中，多源威胁情报应具备合理的差异性，以便于相互查缺补漏，高度重叠的情报源不具备可信性叠加效果并且通常质量较差。该指标可用于考核情报源之间的重叠率，以及情报源的生产机构的技术特性和地域性，有效评估抄袭模仿行为。下面，对基于以上五种预设特征的评估目的及采用的算法进行详细描述：(1)情报来源比例算法：为了实现统计各威胁情报源的情报交付数占比(占比越高越好)本文档来自技高网...

【技术保护点】
1.一种多源的威胁情报的质量评估方法，其特征在于，包括：步骤1，获取需要评估的来自多源的威胁情报；步骤2，将多个对应有不同情报源的所述威胁情报进行归一化处理；步骤3，基于多个预设特征，分别对所述威胁情报进行质量评估，根据评估结果生成情报源序列。

【技术特征摘要】
1.一种多源的威胁情报的质量评估方法，其特征在于，包括：步骤1，获取需要评估的来自多源的威胁情报；步骤2，将多个对应有不同情报源的所述威胁情报进行归一化处理；步骤3，基于多个预设特征，分别对所述威胁情报进行质量评估，根据评估结果生成情报源序列。2.根据权利要求1所述的方法，其特征在于，所述预设特征包括所述威胁情报的来源比例信息、命中比例信息、丰富性信息、差异性信息和/或及时性信息。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：统计过去一段时间内各情报源录入的所述威胁情报数与录入总数的比例，以获取所述来源比例信息。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：统计过去一段时间内命中的所述威胁情报，分析所述威胁情报的来源信息；如果出现同一所述威胁情报被多个情报源录入的情况，则该多个情报源均会被记录；根据记录的信息统计各个情报源的命中数占全部命中数的比例，以获取所述命中比例信息。5.根据权利要求2所述的方法，其特征在于，所述方法还包括：获取过去一段时间出现的所述威胁情报，并获取所述威胁情报的来源信息；如果出现同一所述威胁情报被N个情报源录入的情况则该情报源对应的丰富性数值加N，如果该所述威胁情报还有至少一个历史威胁信息则对应的丰富性数值加2，如果还有M个当前有效的威胁情报标签则该所述威胁情报对...

【专利技术属性】
技术研发人员：刘阳，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：北京,11