威胁情报的攻击技术提取方法技术

本申请实施例提供一种威胁情报的攻击技术提取方法

【技术实现步骤摘要】
威胁情报的攻击技术提取方法、装置、设备及存储介质


[0001]本申请涉及安全分析
，具体而言，涉及一种威胁情报的攻击技术提取方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]企业通过对收集到的威胁情报进行分析和信息提取，能够直观了解攻击相关的信息，包括攻击组织
、
攻击目标
、
攻击使用的技术和工具等，并根据这些信息及时采取相应的应对措施
。
开源威胁情报是企业收集威胁情报的一个主要来源
。
开源威胁情报的主要来源包括安全厂商
、
组织和个人提供的安全公告
、
博客
、
技术报告等，由于这些开源威胁情报属于人读情报，因此无法自动从中抽取攻击相关的信息
。
[0003]目前，对于威胁情报的攻击技术信息提取，主要依靠人工对收集到的威胁情报进行阅读，结合开源知识库进行分析并提取出攻击技术信息，提取效率不高
。

技术实现思路

[0004]本申请实施例的目的在于提供一种威胁情报的攻击技术提取方法
、
装置
、
设备及存储介质，用以提高从威胁情报中提取攻击技术信息的效率
。
[0005]第一方面，本申请实施例提供了一种威胁情报的攻击技术提取方法，包括：
[0006]基于待测威胁情报数据获取至少一待测动名词组合，根据预存的信息增益记录表确定每一待测动名词组合对应的信息增益；
[0007]从所有待测动名词组合中筛选出信息增益满足预设条件的若干候选动名词组合；
[0008]获取每一所述候选动名词组合与预设开源知识库中的攻击信息的相似度，基于获取的相似度从所有候选动名词组合中提取出至少一目标动名词组合，作为所述待测威胁情报数据的攻击技术信息
。
[0009]在本申请实施例中，通过获取待测威胁情报的动名词组合，并根据信息增益对获取的动名词组合进行筛选，最后根据与开源知识库的攻击信息相似度提取出待测威胁情报的攻击技术信息，能够有效提高攻击技术信息提取的效率
。
[0010]在一些可能的实施例中，在所述从所有待测动名词组合中筛选出信息增益满足预设条件的若干候选动名词组合之后，在所述获取每一所述候选动名词组合与预设开源知识库中的攻击信息的相似度之前，还包括：
[0011]在筛选得到的候选动名词组合中，将满足预设拼接范围的任意两个候选动名词组合进行拼接，作为新的候选动名词组合
。
[0012]在本申请实施例中，在筛选得到候选动名词组合之后，再在一定范围内对候选动名词组合进行拼接，得到新的候选动名词组合，通过对候选动名词组合进行拼接扩充，从而有效提高攻击技术信息的检出率
。
[0013]在一些可能的实施例中，所述基于待测威胁情报数据获取至少一待测动名词组合，包括：
[0014]对待测威胁情报数据进行数据预处理；
[0015]对数据预处理之后的待测威胁情报数据进行动词和名词提取；
[0016]基于设定的第一组合范围对提取到的动词和名词进行组合，得到至少一待测动名词组合；
[0017]其中，所述数据预处理包括以下至少一项：过滤无效字符数据
、
对图片内容进行文字转换
、
对文本中的威胁指标进行标识转换
。
[0018]在本申请实施例中，通过对威胁情报进行数据预处理之后再进行动名词提取，增加了提取到的动名词的全面性，进一步提高了攻击技术信息的检出率
。
[0019]在一些可能的实施例中，所述基于设定的第一组合范围对提取到的动词和名词进行组合，得到至少一待测动名词组合，包括：
[0020]基于预设的近义词词库对提取到的动词或名词进行扩充，基于设定的第一组合范围对扩充后的动词和名词进行组合，得到至少一待测动名词组合
。
[0021]在本申请实施例中，通过对提取的动名词进行扩充后再组合为动名词组合，提高了提取得到的待测动名词组合的全面性，从而进一步提高了攻击技术信息的检出率
。
[0022]在一些可能的实施例中，所述预存的信息增益记录表的生成方式包括：
[0023]基于收集到的威胁情报样本数据获取至少一动名词组合；
[0024]基于所述威胁情报样本数据计算每一动名词组合的信息增益，并基于各个动名词组合及其对应的信息增益生成信息增益记录表
。
[0025]在本申请实施例中，通过收集威胁情报样本数据进行动名词组合，并根据威胁情报样本数据计算各个动名词组合的信息增益，以生成信息增益记录表，能够提高信息增益获取的准确性，从而进一步提高攻击技术提取的效率
。
[0026]在一些可能的实施例中，所述根据预存的信息增益记录表确定每一待测动名词组合对应的信息增益，包括：
[0027]检索预存的信息增益记录表并判断是否存在与待测动名词组合相匹配的动名词组合；
[0028]若是，则将匹配到的动名词组合对应的信息增益确定为所述待测动名词组合的信息增益；
[0029]若否，则将当前的待测威胁情报数据与待测动名词组合添加至威胁情报样本数据，以对所述信息增益记录表进行更新并存储
。
[0030]在本申请实施例中，当预存的信息增益记录表检索不到当前待测动名词组合对应的信息增益时，则将当前的待测威胁情报及待测动名词组合添加至样本数据以实现对信息增益记录表的更新，从而能够进一步提高攻击技术信息的检出率
。
[0031]在一些可能的实施例中，所述基于收集到的威胁情报样本数据获取至少一动名词组合，包括：
[0032]对威胁情报样本数据进行数据预处理；
[0033]对数据预处理之后的威胁情报样本数据进行动词和名词提取；
[0034]基于设定的第二组合范围对提取到的动词和名词进行组合，得到至少一动名词组合；
[0035]其中，所述数据预处理包括以下至少一项：过滤无效字符数据
、
对图片内容进行文
字转换
、
对文本中的威胁指标进行标识转换
。
[0036]在本申请实施例中，通过对威胁情报样本数据进行数据预处理之后再进行动名词提取，增加了提取到的动名词的全面性，进一步提高了攻击技术信息的检出率
。
[0037]在一些可能的实施例中，所述基于设定的第二组合范围对提取到的动词和名词进行组合，得到至少一动名词组合，包括：
[0038]基于预设的近义词词库对提取到的动词或名词进行扩充，基于设定的第二组合范围对扩充后的动词和名词进行组合，得到至少一动名词组合；
[0039]在本申请实施例中，通过对提取的动名词进行扩充后再组合为动名词组合，提高了动名词组合的样本量，从而进一步提高了攻击技术信息的检出率
。
[0040]在一些可能的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种威胁情报的攻击技术提取方法，其特征在于，包括：基于待测威胁情报数据获取至少一待测动名词组合，根据预存的信息增益记录表确定每一待测动名词组合对应的信息增益；从所有待测动名词组合中筛选出信息增益满足预设条件的若干候选动名词组合；获取每一所述候选动名词组合与预设开源知识库中的攻击信息的相似度，基于获取的相似度从所有候选动名词组合中提取出至少一目标动名词组合，作为所述待测威胁情报数据的攻击技术信息
。2.
根据权利要求1所述的威胁情报的攻击技术提取方法，其特征在于，在所述从所有待测动名词组合中筛选出信息增益满足预设条件的若干候选动名词组合之后，在所述获取每一所述候选动名词组合与预设开源知识库中的攻击信息的相似度之前，还包括：在筛选得到的候选动名词组合中，将满足预设拼接范围的任意两个候选动名词组合进行拼接，作为新的候选动名词组合
。3.
根据权利要求1所述的威胁情报的攻击技术提取方法，其特征在于，所述基于待测威胁情报数据获取至少一待测动名词组合，包括：对待测威胁情报数据进行数据预处理；对数据预处理之后的待测威胁情报数据进行动词和名词提取；基于设定的第一组合范围对提取到的动词和名词进行组合，得到至少一待测动名词组合；其中，所述数据预处理包括以下至少一项：过滤无效字符数据
、
对图片内容进行文字转换
、
对文本中的威胁指标进行标识转换
。4.
根据权利要求3所述的威胁情报的攻击技术提取方法，其特征在于，所述基于设定的第一组合范围对提取到的动词和名词进行组合，得到至少一待测动名词组合，包括：基于预设的近义词词库对提取到的动词或名词进行扩充，基于设定的第一组合范围对扩充后的动词和名词进行组合，得到至少一待测动名词组合
。5.
根据权利要求1所述的威胁情报的攻击技术提取方法，其特征在于，所述预存的信息增益记录表的生成方式包括：基于收集到的威胁情报样本数据获取至少一动名词组合；基于所述威胁情报样本数据计算每一动名词组合的信息增益，并基于各个动名词组合及其对应的信息增益生成信息增益记录表
。6.
根据权利要求5所述的威胁情报的攻击技术提取方法，其特征在于，所述根据预存的信息增益记录表确定每一待测动名词组合对应的信息增益，包括：检索预存的信息增益记录表并判断是否存在与待测动名词组合相匹配的动名词组合；若是，则将匹配到的动名词组合对应的信息增益确定为所述待测动名词组合的信息增益；若否，则将当前的待测威胁情报数据与待...

【专利技术属性】
技术研发人员：张新，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：