本发明专利技术提供了一种开源威胁情报的可靠性评估方法及系统,涉及威胁情报可靠性评估技术领域,其中,方法包括:从公开网络资源中进行开源威胁情报的收集,为所收集的开源威胁情报新增来源信息与信息映射;基于用于描述网络威胁情报的
【技术实现步骤摘要】
开源威胁情报的可靠性评估方法及系统
[0001]本文件涉及威胁情报可靠性评估
,尤其涉及一种开源威胁情报的可靠性评估方法及系统
。
技术介绍
[0002]近年来,高级持续性威胁即
APT
日益猖獗,
APT
攻击手段复杂,远远超出了一般网络攻击的范畴,除了攻击技术本身,还可能会使用社会工程学
、
情报学等综合手段
。
而发布虚假的威胁情报,也成为了手段之一,
Priyank
等人提出与评估了使用基于
Transformer
的技术自动生成虚假的威胁情报描述
。
这类虚假的威胁情报可能造成巨大的损害,误导安全团队,使他们做出错误的决策,从而导致系统遭受攻击或数据泄露
。
同时随着深度学习技术在网络安全领域的应用越来越广泛,虚假的威胁情报甚至可以能会对网络防御的模型实现模型投毒的效果,使用虚假威胁情报训练得到的防御模型将失效或者被针对性绕过
。
[0003]即使排除故意伪造威胁情报的因素,开源威胁情报本身也来源复杂,缺乏统一的撰写格式
、
撰写者掌握的资源以及技术水平不同
、
传播过程中的误差等问题,可信度也存在的差异
。
为此网络安全从业者也采取了一些措施,用来降低威胁情报可靠性不足的问题
。
[0004]面对海量多源非结构化的开源威胁情报,在传统文件管理
、
数据库管理的基础上,专业人员虽然会对情报的信息来源
、
准确度进行确认,但是这一类工作普遍依靠大量人工参与,成本居高不下,进展缓慢,同时又会受专业人员技术能力和工作状态限制
。
情报的收集与确认往往会被分成互相独立的两个步骤,再确认情报来源时还需要重新溯源到原本情报的出处,造成大量的
。
被的虽然提出了使用自然语言和知识图谱技术,建立情报知识库
。
但是研究聚焦于对开源非结构情报本身语义上面的解析,希望能自动抽取情报的信息,构建语义三元组,最终填入设计好的模式结构之中,实现对网络情报知识图谱的自动化构建
。
[0005]但这类研究忽略了情报本身的可靠性差异,造成的结果是,要么为了控制知识图谱录入信息的质量,采用大量的人为干预
。
对信息进行严格的审核,这种方式虽然得到知识图谱内容的质量比较高,但是由于繁重的人为操作,让基于自然语言技术的自动化构建的工作近乎失效,最终还是回到了人工分析的方法上面;或者来了获取情报的数量和广度,牺牲知识图谱内信息的质量,进而造成基于知识图谱的知识推理等算法的可靠性如滚雪球一般进一步下降,使得当前网络安全知识图谱在实际工业应用中落地困难
。
技术实现思路
[0006]本专利技术提供了一种开源威胁情报的可靠性评估方法及系统,旨在解决上述问题
。
[0007]本专利技术提供了一种开源威胁情报的可靠性评估方法,包括:
[0008]S1、
从公开网络资源中进行开源威胁情报的收集,为所收集的开源威胁情报新增来源信息与信息映射;
[0009]S2、
基于用于描述网络威胁情报的
STIX
和
UCO
标准,构建知识图谱本体模型;
[0010]S3、
根据收集的开源威胁情报以及来源信息与信息映射基于知识图谱本体模型构
建不确定性网络安全知识图谱;
[0011]S4、
根据不确定性网络安全知识图谱预测每个实体
、
关系或属性的置信度,从而对网络威胁情报知识图谱进行可靠性评估
。
[0012]本专利技术提供了一种开源威胁情报的可靠性评估系统,包括:
[0013]信息收集模块,用于从公开网络资源中进行开源威胁情报的收集,为所收集的开源威胁情报新增来源信息与信息映射;
[0014]知识图谱本体构建模块,基于用于描述网络威胁情报的
STIX
和
UCO
标准,构建知识图谱本体模型;
[0015]不确定知识图谱构建模块,用于根据收集的开源威胁情报以及来源信息与信息映射基于知识图谱本体模型构建不确定性网络安全知识图谱;
[0016]可靠性评估模块,用于根据不确定性网络安全知识图谱预测每个实体
、
关系或属性的置信度,从而对网络威胁情报知识图谱进行可靠性评估
。
[0017]通过采用本专利技术实施例可以帮助企业发现潜在威胁,改善安全决策,并降低安全成本
。
但是虚假的威胁情报一直困扰着网络安全从业者
。
如果仅仅使用人工筛查,无异于海里捞针
。
虽然各大公司和研究机构都提出利用构建统一的网络安全知识图谱,但是并没有完全绕开虚假情报问题,依然无法摆脱沉重的人力消耗
。
本专利技术提出的开源威胁情报可靠性评估方法,在融合复杂
、
多源威胁情报的同时,通过增加情报的来源信息编码,构建不确定性网络安全知识图谱,使用机器学习的方法评估知识图谱三元组的置信度,便于进一步筛选虚假的情报,为后续图谱归因分析结果提供依据
。
附图说明
[0018]为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图
。
[0019]图1为本专利技术实施例的开源威胁情报的可靠性评估方法的流程图;
[0020]图2为本专利技术实施例的开源威胁情报的可靠性评估系统的示意图;
[0021]图3为本专利技术实施例的知识图谱的本体关系荷结构的示意图;
[0022]图4为本专利技术实施例的新增来源信息与信息映射的示意图;
[0023]图5为本专利技术实施例的在实体层面和关系层面评估置信度的示意图
。
具体实施方式
[0024]为了使本
的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚
、
完整地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例
。
基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围
。
[0025]方法实施例
[0026]根据本专利技术实施例,提供了一种开源威胁情报的可靠性评估方法,图1为本专利技术实
施例的开源威胁情报的可靠性评估方法的流程图,根据图1所示,本专利技术实施例的开源威胁情报的可靠性评估方法具体包括;
[002本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种开源威胁情报的可靠性评估方法,其特征在于,包括:
S1、
从公开网络资源中进行开源威胁情报的收集,为所收集的开源威胁情报新增来源信息与信息映射;
S2、
基于用于描述网络威胁情报的
STIX
和
UCO
标准,构建知识图谱本体模型;
S3、
根据收集的开源威胁情报以及来源信息与信息映射基于知识图谱本体模型构建不确定性网络安全知识图谱;
S4、
根据不确定性网络安全知识图谱预测每个实体
、
关系或属性的置信度,从而对网络威胁情报知识图谱进行可靠性评估
。2.
根据权利要求1所述的方法,其特征在于,所述从公开网络资源中进行开源威胁情报的收集具体包括:利用爬虫技术获取安全公司情报发布页的网页内容获取威胁情报信息;从社交网络中提取威胁情报信息;使用
Python
编写脚本,利用威胁情报平台提供的
API
或者
RSS
订阅从安全媒体和博客获取威胁情报信息;并将以上方式得到的威胁情报信息存储到数据库中
。3.
根据权利要求1所述的方法,其特征在于,所述所收集都开源威胁情报新增来源信息与信息映射具体包括:在获取开源威胁情报时,分配唯一的
id
,并同时将开源威胁情报都情报获取类型
、URL、
作者
、
引用出处同时存储到数据库中
。4.
根据权利要求1所述的方法,其特征在于,所述
S3
具体包括:根据所述开源威胁情报的来源信息设置可信度参数值;在实体层面和关系层面计算知识图谱三元组的置信度
。5.
根据权利要求4所述的方法,其特征在于,所述在实体层面和关系层面计算知识图谱三元组的置信度具体包括:在实体层面通过
ResourceRank
算法通过度量聚合到尾实体
t
的资源数量,就能评估关联的强弱;在关系层面使用头尾实体词向量距离以及关系的低维嵌入表示,建立学习模型,预测候选关系类别发生的概率,使用
softmax
...
【专利技术属性】
技术研发人员:田志宏,吴未,戚吴祺,仇晶,王昊,王瑞,鲁辉,苏申,刘园,孙彦斌,李默涵,欧露,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。