本發明公開了一種IoC自動抽取與挖掘方法，涉及計算機網絡安全領域，包括詞嵌入層、序列表示層、全連接層，序列表示層包括雙向LSTM網絡、注意力機制和上下文特征，基于該方法，本發明還公開了IoC自動抽取與挖掘系統，包括文本自動獲取模塊、非結構化文本預處理模塊、攻擊指標(IoC)提取模塊、IoC數據庫和IoC短語匹配庫。本發明針對非結構化文本，利用正則匹配和雙向長短期記憶網絡的組合算法，結合注意力機制和上下文內容特征，進一步提高了IoC提取的準確率和有效率。

技術領域

本發明涉及計算機網絡安全領域，尤其涉及一種IoC(攻擊指標,Indicator ofCompromise)自動抽取與挖掘方法與系統。

背景技術

近年來，隨著網絡技術的快速發展，網絡上的安全威脅也在增加。網絡安全專家和分析師們通過積極地在公共平臺上交換威脅情報來跟進對這些威脅的研究和防范。威脅情報是基于證據的知識，它是圍繞著現存的或者即將對資產發生威脅和危害的信息，包括了上下文、機制、指標、含義或者以行動為中心的建議。這種情報可用于告知受害對象，讓他們能夠針對這樣的威脅和危害進行決策。這些威脅情報大多為描述性文本包涵了關鍵信息(例如，僵尸網絡IP，惡意軟件的簽名等)。這些信息通過文章、博文或是白皮書的形式呈現出來。更進一步，這些信息能夠被轉化成結構化信息，即攻擊指標(IoC，Indicator ofCompromise),參照OpenIoC(Open Indicator of Compromise)標準、STIX(StructuredThreat Information Expression)標準等。這有利于計算機進行分析，并且基于此快速開發出應對威脅的方案。

隨著計算機應用領域的不斷擴大，自然語言處理受到了人們的高度重視。機器翻譯、語音識別以及信息檢索等應用需求對計算機的自然語言處理能力提出了越來越高的要求。為了使計算機能夠處理自然語言，首先需要對自然語言進行建模。自然語言建模方法經歷了從基于規則的方法到基于統計方法的轉變。

在對統計語言模型進行研究的背景下，Google公司在2013年開放了Word2vec這一款用于訓練詞向量的軟件工具。Word2vec可以根據給定的語料庫，通過優化后的訓練模型快速有效地將一個詞語表達成向量形式。Word2vec依賴skip-grams或連續詞袋(CBOW)來建立神經詞嵌入。Skip-gram模型是在給出目標單詞(中心單詞)的情況下，預測它的上下文單詞出現的概率。

循環神經網絡(Recurrent Neural Network，RNN)在自然語言處理(NaturalLanguage Processing，NLP)的文本處理上取得了很大的成功，但RNN是單向的，是根據前面的信息推出后面的，但有時候只看前面的詞是不夠的，不僅要看上文，還需要看下文。Bi-LSTM，即雙向LSTM(Long Short-Term Memory)，較單向的LSTM，能更好地捕獲句子中上下文的信息，從而使得分類效果更佳。

由于海量的非結構化威脅情報在各個平臺上由若干專業人士上傳，這些信息通常是描述性的語言。由于專業的分析專家精力和時間的限制，這些數量龐大的信息和報告無法被立即獲得和分析，獲得后也要耗費時間對其可信度進行判斷，就延誤了對威脅的處理和進一步的應對，如此便可能造成被攻擊的潛在目標的損失。

因此，本領域的技術人員致力于開發一種IoC自動抽取與挖掘方法與系統，基于人工智能對IoC進行自動抽取與挖掘。

發明內容

有鑒于現有技術的上述缺陷，本發明所要解決的技術問題是是收集和提取威脅報告文本中的IoC，從而幫助分析員對海量威脅情報進行收集、處理和提取關鍵信息，提高安全事件分析員的分析效率和對于安全事件的洞察力。

為實現上述目的，本發明提供了一種IoC自動抽取與挖掘方法，包括詞嵌入層、序列表示層、全連接層；

詞嵌入層將輸入詞語轉換為詞向量；