本公開提供了一種檢測情報數據的方法、裝置及計算機可讀存儲介質，涉及信息安全領域。其中的檢測情報數據的方法包括：從服務器日志中獲取服務器受到網絡攻擊的目標情報數據；確定目標情報數據的已存在時長；從目標情報數據中提取攻擊類型特征、情報地區特征以及情報關聯特征；將已存在時長、攻擊類型特征、情報地區特征、以及情報關聯特征輸入預先訓練的機器學習模型獲得檢測結果，檢測結果指示目標情報數據是否失效。本公開從情報數據中提取各項特征，進而通過機器學習模型檢測情報數據是否失效，提高了檢測情報數據是否失效的準確性及檢測效率。

技術領域

本公開涉及信息安全領域，特別涉及一種檢測情報數據的方法、裝置及計算機可讀存儲介質。

背景技術

隨著網絡信息的激增，信息安全問題的重要性也日趨增強。

服務器受到網絡攻擊等安全威脅時會獲得情報數據，基于對情報數據的分析能夠在一定程度上發現現存的信息安全問題。

然而，情報數據是信息的集合，凡是信息都具有時效性。情報數據的有效時間通常較短，攻擊者可能會為了隱藏自己的蹤跡不斷的更換一些攻擊特征信息。例如，某企業服務器一直被大量的CC(Challenge Collapsar，挑戰黑洞)攻擊，通過調取服務器日志，并且成功溯源到攻擊者的IP地址之后，企業發現未遭受損失因此未采取措施。等企業發現有機密信息被竊取后再進行處理，發現追蹤到的IP地址已經無效，錯過了情報的有效期。因此，檢測情報數據的有效性顯得尤為重要。

發明內容

本公開解決的一個技術問題是，如何提高檢測情報數據是否失效的準確性及檢測效率。

根據本公開實施例的一個方面，提供了一種檢測情報數據的方法，包括：從服務器日志中獲取服務器受到網絡攻擊的目標情報數據；確定目標情報數據的已存在時長；從目標情報數據中提取攻擊類型特征、情報地區特征以及情報關聯特征；將已存在時長、攻擊類型特征、情報地區特征、以及情報關聯特征輸入預先訓練的機器學習模型獲得檢測結果，檢測結果指示目標情報數據是否失效。

在一些實施例中，通過以下方式從目標情報數據中提取情報關聯特征：從服務器日志中獲取服務器受到網絡攻擊的其他各個情報數據；分別提取目標情報數據及其他各個情報數據中的網絡攻擊IP地址、網絡攻擊域名以及網絡攻擊腳本文件的哈希值；生成情報數據網絡，情報數據網絡中的各個節點分別表示目標情報數據及其他各個情報數據，情報數據網絡中的邊表示所連接節點對應的兩個情報數據具有相同的網絡攻擊IP地址、相同的網絡攻擊域名或相同的網絡攻擊腳本文件哈希值；利用不同的節點標識分別表示情報數據網絡中的各個節點，利用不同的節點標識序列分別表示情報數據網絡中的各條鏈路；將目標節點的節點標識輸入利用各個節點標識序列訓練得到的第一詞向量模型，獲得情報關聯特征。

在一些實施例中，該方法還包括：利用各個節點標識序列對第一詞向量模型進行訓練，使第一詞向量模型能夠對輸入的目標節點的節點標識進行處理，獲得情報關聯特征。

在一些實施例中，通過以下方式從目標情報數據中提取攻擊類型特征：從目標情報數據中提取網絡攻擊的攻擊類型信息；對攻擊類型信息進行獨熱編碼，獲得攻擊類型特征。

在一些實施例中，通過以下方式從目標情報數據中提取情報地區特征：從目標情報數據中提取網絡攻擊的攻擊地區信息；將攻擊地區信息輸入預先訓練的第二詞向量模型，獲得情報地區特征。

在一些實施例中，該方法還包括：從服務器日志中獲取服務器受到網絡攻擊的樣本情報數據；確定樣本情報數據的已存在時長；從樣本情報數據中提取攻擊類型特征、情報地區特征以及情報關聯特征；將樣本情報數據的已存在時長、樣本情報數據的攻擊類型特征、情報地區特征、情報關聯特征作為訓練數據，將樣本情報數據是否失效作為訓練標簽，對機器學習模型進行訓練，使機器學習模型能夠檢測目標情報數據是否失效。