本發明公開了一種應用于網絡安全威脅情報的情報關聯度計算方法，包括威脅情報圖譜構建，基于STIX格式，對結構化半結構化數據進行提取，文章圖譜抽取，實體歸一化處理，詞級比對，實體關聯度計算和綜合計分模塊，對前述關聯度計算進行綜合計分，并錄入數據庫記錄兩篇情報文章的關聯度。本發明提取文章之間的隱性關聯，通過知識抽取提取情報核心內容，威脅情報知識圖譜推理核心內容潛在關聯來計算兩份情報的關聯度，包含不同名實體歸一化處理，詞級匹配，實體關聯度計算，綜合計分模塊，通過三元組直接匹配計分，圖譜識別不同名同實體計分及惡意軟件、漏洞關聯程度計分三個維度對情報關聯程度進行計算。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種應用于網絡安全威脅情報的情報關聯度計算方法。

背景技術

目前網絡安全問題已成為各級政府、行政機關、事業單位、企業、非盈利組織等單位必須面對的問題。面對日益增多的網絡威脅，對單位軟件，硬件，系統針對性的進行防護是各單位的必要措施。在對單位數字資產防護之前，首先單位需要知道對什么進行防護，這就體現了網絡安全威脅情報的重要性。然而，面對浩如煙海的網絡安全威脅情報，獲取網絡安全威脅事件的全貌即成為了非常重要的事情。單一情報源的情報僅從一個角度描述事件，難以展現事件情報全貌，所以計算情報的關聯度來整合關聯的情報成為了網絡安全事件分析必不可少的一環。

主流的關聯情報整合方式有兩種，第一種是人工整合，網絡安全威脅情報內容點多面廣、信息量龐大、時效性要求高，僅靠人工檢查無法達到要求。第二種是基于機器學習的方法，包括基于內容推薦，關鍵詞等方式。這種方式大多基于文本內容直接比對的關聯性來進行關聯內容判斷，然而網絡安全威脅情報中特殊的關聯性這些方法難以涉及。例如：某個威脅組織叫Sofacy，同時這個組織也叫APT 28，Fancy bear，奇幻熊等多個名字，不同的情報文章會使用不同的名字，單純的使用詞或者文本關聯度的方法難以處理字段完全不同但為同一實體的關聯。同時，傳統方法也難以處理文章實體之間通過第三實體為橋梁產生的關聯。例如：兩篇情報文章分別提到了兩個漏洞CVE-2018-0001和CVE-2020-1234，兩個漏洞字面上不存在關聯，但是根據威脅情報知識圖譜可知兩個漏洞都存在于同一個軟件中，這種隱性關聯傳統方法無法識別。

發明內容

針對目前主流的關聯情報整合方式中關于隱性關聯傳統方法無法識別的問題，本發明提供一種應用于網絡安全威脅情報的情報關聯度計算方法，提取文章之間的隱性關聯，通過知識抽取提取情報核心內容，威脅情報知識圖譜推理核心內容潛在關聯來計算兩份情報的關聯度。

本發明解決其技術問題所采用的方案是：一種應用于網絡安全威脅情報的情報關聯度計算方法，包括以下步驟。

第一步，威脅情報圖譜構建：

基于STIX格式，對結構化半結構化數據進行提取，包括不限于CVE，CPE，ATTCK等數據集。

第二步，文章圖譜抽取：

基于BERT-BiLSTM-CRF進行命名實體識別，獲取實體后通過Pipeline的方式，通過R-bert模型進行關系抽取。

第三步，實體歸一化處理：

威脅情報知識圖譜中，同實體不同名稱的實體類型包括惡意組織和惡意軟件，首先提取文章情報三元組中的惡意組織及惡意軟件實體，其次遍歷威脅情報圖譜中對應類實體及實體其他名稱，最后定位實體，將文章情報三元組中對應的實體轉為標準實體。

基于威脅情報圖譜中別名數據，將所有別名轉換為{別名：標準實體}，將所有惡意組織別名及文章中抽取的惡意組織實體轉換為向量，并計算兩組數據每個別名與實體之間的余弦相似度；完成余弦相似度計算后找到與惡意組織實體余弦相似度最高的惡意組織別名，若余弦相似度大于0.9，根據上述數據的K_V關系，將文章惡意組織實體轉換為標準實體。

惡意軟件通過相同的處理流程進行歸一化處理，將抽取的惡意軟件實體轉換為惡意軟件的標準實體。