本发明专利技术提供了一种威胁情报处理方法、装置、计算设备及存储介质,其中方法包括:获取威胁情报源数据中的非结构化数据;对该非结构化数据进行分词处理,得到若干个情报知识;利用自然语言处理技术对每一个情报知识进行语义理解,得到每一个情报知识的语义表达;根据每一个情报知识的语义表达以及已知威胁情报类型,将每一个情报知识分别与已知威胁情报类型进行关联。本方案,能够提高威胁情报的识别量,进而实现对威胁情报源数据的有效利用。进而实现对威胁情报源数据的有效利用。进而实现对威胁情报源数据的有效利用。
【技术实现步骤摘要】
威胁情报处理方法、装置、计算设备及存储介质
[0001]本专利技术实施例涉及网络安全
,特别涉及一种威胁情报处理方法、装置、计算设备及存储介质。
技术介绍
[0002]随着信息技术的不断进步和发展,大规模网络空间安全的保障越来越依赖于威胁情报的提取、理解、构建与共享。威胁情报能够针对特定行业或地理区域范围的攻击者使用的特定攻击向量进行表达,为威胁响应提供决策依据。
[0003]威胁情报源数据包括非结构化数据、半结构化数据和结构化数据,针对非结构化数据,比如,邮件、网页、文本等,需要将其转化为自然语言进行分析。相关技术中,在对非结构化数据进行威胁情报抽取时,一般是利用带有标签标注的文本数据集训练神经网络模型,然后利用训练好的神经网络模型进行威胁情报实体的识别。
技术实现思路
[0004]基于相关技术中只能识别出较少的威胁情报,无法实现对威胁情报源数据的有效利用的问题,本专利技术实施例提供了一种威胁情报处理方法、装置、计算设备及存储介质,能够提高威胁情报的识别量,实现对威胁情报源数据的有效利用。
[0005]第一方面,本专利技术实施例提供了一种威胁情报处理方法,包括:
[0006]获取威胁情报源数据中的非结构化数据;
[0007]对所述非结构化数据进行分词处理,得到若干个情报知识;
[0008]利用自然语言处理技术对每一个情报知识进行语义理解,得到每一个情报知识的语义表达;
[0009]根据每一个情报知识的语义表达以及已知威胁情报类型,将每一个情报知识分别与已知威胁情报类型进行关联。
[0010]优选地,所述情报知识包括:字、词、句、段和文中的至少一种。
[0011]优选地,所述利用自然语言处理技术对每一个情报知识进行语义理解,得到每一个情报知识的语义表达,包括:
[0012]确定预先训练完成的卷积神经网络;所述卷积神经网络是利用样本情报知识和对应的样本语义作为样本对训练得到的;
[0013]利用所述卷积神经网络中隐藏层对每一个情报知识分别进行计算,得到每一个情报知识分别对应的多维特征向量,将得到的多维特征向量确定为对应情报知识的语义表达。
[0014]优选地,所述卷积神经网络利用如下方式训练:
[0015]获取若干个样本对,每一个样本对包括样本情报知识及对应的样本语义;
[0016]根据设定特征维数范围,将属于所述设定特征维数范围内的每一个特征维数分别确定为所述卷积神经网络中隐藏层的特征维数,并在每确定所述卷积神经网络中隐藏层的
特征维数后,均执行下一步骤;
[0017]针对每一个样本对,将该样本对中的样本情报知识作为所述卷积神经网络的输入,将该样本对中的样本语义作为所述卷积神经网络的输出,对所述卷积神经网络进行训练;
[0018]确定所述卷积神经网络对应每一个特征维数时分别对应的召回率和计算速率;
[0019]根据每一个特征维数分别对应的召回率和计算速率,确定所述卷积神经网络中隐藏层的目标特征维数,将所述目标特征维数对应训练完成的卷积神经网络确定为最终的卷积神经网络。
[0020]优选地,所述根据每一个情报知识的语义表达以及已知威胁情报类型,将每一个情报知识分别与已知威胁情报类型进行关联,包括:
[0021]分别获取每一个已知威胁情报类型的语义表达;
[0022]根据每一个情报知识的语义表达以及每一个已知威胁情报类型的语义表达,计算各情报知识中每一个目标情报知识与各已知威胁情报类型之间的距离;
[0023]根据所述目标情报知识与各已知威胁情报类型之间的距离,确定与所述目标情报知识对应的目标威胁情报类型,将所述目标情报知识关联到所述目标威胁情报类型中。
[0024]优选地,所述根据所述目标情报知识与各已知威胁情报类型之间的距离,确定与所述目标情报知识对应的目标威胁情报类型,包括:
[0025]确定所述目标情报知识与各已知威胁情报类型之间的距离中是否存在不大于设定距离阈值的目标距离;若存在,则将距离最小的目标距离所对应的威胁情报类型确定为所述目标威胁情报类型;若不存在,生成与所述目标情报知识对应的威胁情报类型,将该生成的该威胁情报类型确定为所述目标威胁情报类型。
[0026]优选地,在所述生成与所述目标情报知识对应的威胁情报类型之前,还包括:
[0027]根据所述目标情报知识的语义表达,确定所述目标情报知识的语义是否具有情报意义,若有,则执行所述生成与所述目标情报知识对应的威胁情报类型,若否,则删除所述目标情报知识。
[0028]第二方面,本专利技术实施例还提供了一种威胁情报处理装置,包括:
[0029]数据获取单元,用于获取威胁情报源数据中的非结构化数据;
[0030]分词处理单元,用于对所述非结构化数据进行分词处理,得到若干个情报知识;
[0031]语义理解单元,用于利用自然语言处理技术对每一个情报知识进行语义理解,得到每一个情报知识的语义表达;
[0032]情报类型关联单元,用于根据每一个情报知识的语义表达以及已知威胁情报类型,将每一个情报知识分别与已知威胁情报类型进行关联。
[0033]第三方面,本专利技术实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0034]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0035]本专利技术实施例提供了一种威胁情报处理方法、装置、计算设备及存储介质,采用分
词处理方式可以从非结构化数据中得到若干个情报知识,此时的情报知识只是非结构化数据中的原有文字,可以利用自然语言处理技术对情报知识进行语义理解,以得到情报知识的语义表达,利用该语义表达能够使得情报知识被机器识别和处理,如此可以根据该语义表达将情报知识与威胁情报类型进行关联。可见本方案针对每一个情报知识均进行了分析,如此可以提高威胁情报的识别量,进而实现对威胁情报源数据的有效利用。
附图说明
[0036]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0037]图1是本专利技术一实施例提供的一种威胁情报处理方法流程图;
[0038]图2是本专利技术一实施例提供的一种语义理解方法流程图;
[0039]图3是本专利技术一实施例提供的一种情报知识关联方法流程图;
[0040]图4是本专利技术一实施例提供的一种计算设备的硬件架构图;
[0041]图5是本专利技术一实施例提供的一种威胁情报处理装置结构图。
具体实施方式
[0042]为使本专利技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种威胁情报处理方法,其特征在于,包括:获取威胁情报源数据中的非结构化数据;对所述非结构化数据进行分词处理,得到若干个情报知识;利用自然语言处理技术对每一个情报知识进行语义理解,得到每一个情报知识的语义表达;根据每一个情报知识的语义表达以及已知威胁情报类型,将每一个情报知识分别与已知威胁情报类型进行关联。2.根据权利要求1所述的方法,其特征在于,所述情报知识包括:字、词、句、段和文中的至少一种。3.根据权利要求1所述的方法,其特征在于,所述利用自然语言处理技术对每一个情报知识进行语义理解,得到每一个情报知识的语义表达,包括:确定预先训练完成的卷积神经网络;所述卷积神经网络是利用样本情报知识和对应的样本语义作为样本对训练得到的;利用所述卷积神经网络中隐藏层对每一个情报知识分别进行计算,得到每一个情报知识分别对应的多维特征向量,将得到的多维特征向量确定为对应情报知识的语义表达。4.根据权利要求3所述的方法,其特征在于,所述卷积神经网络利用如下方式训练:获取若干个样本对,每一个样本对包括样本情报知识及对应的样本语义;根据设定特征维数范围,将属于所述设定特征维数范围内的每一个特征维数分别确定为所述卷积神经网络中隐藏层的特征维数,并在每确定所述卷积神经网络中隐藏层的特征维数后,均执行下一步骤;针对每一个样本对,将该样本对中的样本情报知识作为所述卷积神经网络的输入,将该样本对中的样本语义作为所述卷积神经网络的输出,对所述卷积神经网络进行训练;确定所述卷积神经网络对应每一个特征维数时分别对应的召回率和计算速率;根据每一个特征维数分别对应的召回率和计算速率,确定所述卷积神经网络中隐藏层的目标特征维数,将所述目标特征维数对应训练完成的卷积神经网络确定为最终的卷积神经网络。5.根据权利要求1所述的方法,其特征在于,所述根据每一个情报知识的语义表达以及已知威胁情报类型,将每一个情报知识分别与已知威胁情报类型进行关联,包括:分别获取每一个已知威胁情报类型的语义表达;根据每一个情报知...
【专利技术属性】
技术研发人员:王晓波,徐菲,郑然德,谢兰天,
申请(专利权)人:北京信安天途科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。