本發明提出了一種基于統計學習的威脅情報利用與繁殖方法，應用于網絡安全領域，基于有限的已知威脅情報，通過統計學習，發現大量未知的威脅情報，實現威脅情報的繁殖。為了躲避安全檢測，網絡攻擊的變化速度越來越快，導致威脅情報的數量增多、時效性縮短。只利用已知威脅情報的安全檢測模型，會受到模型退化問題的影響，準確度下降。本發明基于統計學習算法，引入可信度，代替靜態閾值，提高模型對未知威脅的識別能力；該方法支持多種異構檢測模型，基于可信度對比，實現多模型協同防御；該方法引入滑動時間窗概念，實現檢測模型對新出現的威脅情報的快速吸收，對過期情報的有效遺忘。

技術領域

本發明屬于計算機網絡安全領域。

背景技術

為了躲避安全檢測，網絡攻擊方不斷改進使用的攻擊手段，例如域名生成算法(Domain Generate Algorithm，DGA)，可以生成海量惡意域名，使得網絡攻擊可以繞過安全防火墻，威脅用戶的計算機安全。不斷更新的攻擊手段導致威脅情報的數量激增、時效性縮短。傳統的只利用已知威脅情報的安全檢測模型，會受到模型退化的影響，無法準確檢測出眾多新的威脅情報。故而要求威脅情報檢測方法能夠根據已知的有限情報，構建出一個更加全面的檢測模型來應對還未發現的威脅。

發明內容

本發明目的是緩解傳統安全監測模型面對海量、時效性顯著的威脅情報，出現的模型退化進而導致預測準確率下降的問題，提供一種基于統計學習的威脅情報利用與繁殖方法。該方法基于統計學習算法，引入可信度，代替靜態閾值，提高模型對未知威脅的識別能力；該方法支持多種異構檢測模型，實現了多模型協同防御；該方法引入滑動時間窗概念，實現檢測模型對預測出的新威脅情報的快速吸收，對過期已知情報的有效遺忘，緩解模型退化，提高預測準確度。

本發明的技術方案

基于統計學習的威脅情報利用與繁殖方法，包括如下步驟：

第1、基本概念：

(1)威脅情報：是通過大數據、分布式系統或其它特定收集方式獲取的，包括漏洞、威脅、特征、行為等一系列證據的知識集合及可操作性建議。

(2)不一致度量函數：是通過得分來評價待測樣本與已知樣本集合不一致性的函數。

描述一個樣本與一組已知樣本的不一致性，輸入是一組已知樣本和一個測試樣本，輸出是一個數值，也叫做不一致性得分。得分越高，說明待測樣本與該組樣本越不一致，得分越低，說明待測樣本與該組樣本越一致。

(3)基于閾值的檢測模型：是依據不一致度量函數給出待測樣本得分，將之與固定閾值比較，給出預測結果的模型。

(4)P-Value：是衡量當前樣本在已知樣本集合中顯著度的統計量，用于多模型預測結果可信度的比較。

(5)基于Conformal Prediction的統計學習算法：是將檢測模型根據不一致度量函數計算的樣本得分作為輸入，通過計算得分高于或等于被檢測樣本得分的樣本數量與總數的比值得到樣本 P-Value的算法。

第2、多模型不一致得分的計算，包括如下步驟：

第2.1步、提取特征矩陣

第2.1.1、設定不同的特征集合，對威脅情報提取出每個特征的特征值f；

第2.1.2、將威脅情報的所有特征值組成特征向量V(f₁,f₂,...f_n)，將多個特征向量值組成特征矩陣 C(V₁,V₂,...V_n)；

第2.2步、計算不一致得分