本發(fā)明涉及一種威脅情報(bào)IOC信譽(yù)度分析方法，獲取威脅情報(bào)IOC，分析并建立網(wǎng)絡(luò)威脅行為活動(dòng)和社區(qū)，間隔預(yù)設(shè)時(shí)間對(duì)建立的模型進(jìn)行動(dòng)態(tài)調(diào)優(yōu)。本發(fā)明中，主要以自有設(shè)備的流量數(shù)據(jù)與日志數(shù)據(jù)與第三方共享數(shù)據(jù)以及各項(xiàng)目中數(shù)據(jù)通過(guò)技術(shù)手段深度挖掘得到的攻擊者以及數(shù)據(jù)源特征，建立威脅情報(bào)IOC信譽(yù)度評(píng)分模型，可滿足各個(gè)數(shù)據(jù)源數(shù)據(jù)使用，滿足對(duì)現(xiàn)有威脅情報(bào)源共享系統(tǒng)中對(duì)數(shù)據(jù)源信譽(yù)度驗(yàn)證，解決現(xiàn)有目前市場(chǎng)中存在大量威脅情報(bào)源數(shù)據(jù)不準(zhǔn)確、威脅情報(bào)缺乏失效機(jī)制，使得無(wú)論是收集滴三方開源數(shù)據(jù)源，還是對(duì)自有設(shè)備中流量分析都能進(jìn)行信譽(yù)度評(píng)價(jià)，體系可以隨時(shí)間動(dòng)態(tài)調(diào)整模型結(jié)構(gòu)，確保數(shù)據(jù)失效機(jī)制。

技術(shù)領(lǐng)域

本發(fā)明屬于數(shù)字信息的傳輸，例如電報(bào)通信的技術(shù)領(lǐng)域，特別涉及一種威脅情報(bào)IOC信譽(yù)度分析方法。

背景技術(shù)

威脅情報(bào)在遙遠(yuǎn)的古代就應(yīng)用于軍事和生產(chǎn)過(guò)程中，近年來(lái)成為網(wǎng)路安全熱詞之一。

隨著威脅情報(bào)逐漸在國(guó)內(nèi)發(fā)展，目前內(nèi)部設(shè)有威脅情報(bào)研究團(tuán)隊(duì)的公司日益劇增，同時(shí)在互聯(lián)網(wǎng)上設(shè)計(jì)的相關(guān)產(chǎn)品、平臺(tái)、情報(bào)數(shù)據(jù)亦相應(yīng)增加。如何做好威脅情報(bào)之本——數(shù)據(jù)的把關(guān)、建立可信賴的數(shù)據(jù)信譽(yù)度評(píng)價(jià)體系、使得平臺(tái)或者產(chǎn)品使用的數(shù)據(jù)建立有效的評(píng)價(jià)機(jī)制，這成為現(xiàn)今威脅情報(bào)使用的痛點(diǎn)。

究其原因，是由于威脅情報(bào)在應(yīng)用中，存在大量第三方威脅情報(bào)數(shù)據(jù)源，各方在使用數(shù)據(jù)源時(shí)并無(wú)統(tǒng)一的評(píng)價(jià)機(jī)制對(duì)數(shù)據(jù)源進(jìn)行評(píng)價(jià)，造成數(shù)據(jù)源共享時(shí)無(wú)法知道數(shù)據(jù)源的準(zhǔn)確性以及數(shù)據(jù)的準(zhǔn)確性，而正是由于無(wú)法評(píng)估數(shù)據(jù)來(lái)源以及數(shù)據(jù)的準(zhǔn)確性，造成了大量威脅情報(bào)源數(shù)據(jù)不準(zhǔn)確、威脅情報(bào)缺乏失效機(jī)制。該問(wèn)題不解決，則客戶在使用威脅情報(bào)進(jìn)行設(shè)備中的威脅源檢測(cè)時(shí)容易造成數(shù)據(jù)誤報(bào)，同時(shí)由于收集的威脅情報(bào)源無(wú)法對(duì)其進(jìn)行追溯分析，可能存在黑客將某些白名單放置在開源情報(bào)中等，這些問(wèn)題都將造成情報(bào)業(yè)務(wù)和產(chǎn)品出現(xiàn)嚴(yán)重滯留。

發(fā)明內(nèi)容

本發(fā)明解決了現(xiàn)有技術(shù)中，存在大量第三方威脅情報(bào)數(shù)據(jù)源，各方在使用數(shù)據(jù)源時(shí)并無(wú)統(tǒng)一的評(píng)價(jià)機(jī)制對(duì)數(shù)據(jù)源進(jìn)行評(píng)價(jià)，造成了大量威脅情報(bào)源數(shù)據(jù)不準(zhǔn)確、威脅情報(bào)缺乏失效機(jī)制的問(wèn)題，提供了一種優(yōu)化的威脅情報(bào)IOC信譽(yù)度分析方法。

本發(fā)明所采用的技術(shù)方案是，一種威脅情報(bào)IOC信譽(yù)度分析方法，所述方法包括以下步驟：

步驟1：獲取威脅情報(bào)IOC；

步驟2：對(duì)威脅情報(bào)進(jìn)行分析；

步驟3：基于分析結(jié)果，建立網(wǎng)絡(luò)威脅行為活動(dòng)和社區(qū)；

步驟4：間隔預(yù)設(shè)時(shí)間，返回步驟1動(dòng)態(tài)調(diào)優(yōu)。

優(yōu)選地，所述步驟1中，獲取威脅情報(bào)IOC后，對(duì)來(lái)源進(jìn)行整理；所述威脅情報(bào)IOC的來(lái)源包括自有數(shù)據(jù)來(lái)源和第三方數(shù)據(jù)源。

優(yōu)選地，所述自有數(shù)據(jù)來(lái)源包括安全廠商自有設(shè)備及設(shè)備中的日志。

優(yōu)選地，所述第三方數(shù)據(jù)源包括開源數(shù)據(jù)、其他廠商設(shè)備及設(shè)備中的數(shù)據(jù)，數(shù)據(jù)包括Event、URL、DNS、IP、Hash、來(lái)源名稱、來(lái)源中數(shù)據(jù)標(biāo)簽詳細(xì)描述文檔、來(lái)源中是否存在定義不同的標(biāo)識(shí)。

優(yōu)選地，所述步驟2包括以下步驟：

步驟2.1：對(duì)數(shù)據(jù)源威脅情報(bào)進(jìn)行預(yù)處理；

步驟2.2：對(duì)情報(bào)準(zhǔn)確度進(jìn)行匹配分析；

步驟2.3：得到信譽(yù)度分析值；

步驟2.4：建立不同情報(bào)源在不同威脅類型情報(bào)的信譽(yù)度模型。

優(yōu)選地，所述步驟2.1中，將威脅情報(bào)分類處理，得到不同情報(bào)源下不同威脅類型的情報(bào)；所述類型包括CC、釣魚地址、木馬地址、惡意軟件、文章引用、惡意主機(jī)、掃描主機(jī)、垃圾郵件、漏洞利用。

優(yōu)選地，所述步驟2.2中，基于分類結(jié)果，得到不同的威脅情報(bào)在不同數(shù)據(jù)類型中的準(zhǔn)確率及覆蓋度。