[发明专利]基于统计学习的威胁情报利用与繁殖方法

权利要求书

1.基于统计学习的威胁情报利用与繁殖方法，其特征在于，包括：

第1、基本概念：

(1)威胁情报：是通过大数据、分布式系统获取的，包括漏洞、威胁、特征、行为的一系列证据的知识集合及可操作性建议；

(2)不一致度量函数：是通过得分来评价待测样本与已知样本集合不一致性的函数；

描述一个样本与一组已知样本的不一致性，输入是一组已知样本和一个测试样本，输出是一个数值，也叫做不一致性得分，得分越高，说明待测样本与该组样本越不一致，得分越低，说明待测样本与该组样本越一致；

(3)基于阈值的检测模型：是依据不一致度量函数给出待测样本得分，将之与固定阈值比较，给出预测结果的模型；

(4)P-Value：是衡量当前样本在已知样本集合中显著度的统计量，用于多模型预测结果可信度的比较；

(5)基于Conformal Prediction的统计学习算法：是将检测模型根据不一致度量函数计算的样本得分作为输入，通过计算得分高于或等于被检测样本得分的样本数量与总数的比值得到样本P-Value的算法；

第2、多模型不一致得分的计算，包括如下步骤：

第2.1步、提取特征矩阵

第2.1.1、设定不同的特征集合，对威胁情报提取出每个特征的特征值f；

第2.1.2、将威胁情报的所有特征值组成特征向量V(f₁,f₂,...f_n)，将多个特征向量值组成特征矩阵C(V₁,V₂,...V_n)；

第2.2步、计算不一致得分

第2.2.1、每一个异构的检测模型，对待测样本x，能根据情报库样本集合T，利用不一致度量函数g，计算出不一致得分α；异构模型给出的不一致得分之间不具有可比较性，不能根据不一致得分，来直接对比模型预测结果的质量；

第2.2.2、不一致度量的输入：情报库样本集合T、待测样本集合X、不一致度量函数集合G：

①情报库样本集合T：包含n个情报库样本t_i，i∈{1,2,…,n},T＝{t₁,…,t_n}；

②待测样本集合X：包含n’个待测样本x_j,j∈{1,2,…,n’},X＝{x₁,…,x_n’}；

③不一致度量函数集合G：包含m个不一致度量函数g_k,k∈{1,2,…,m},G＝{g₁,…,g_m}；该函数集合的输入均为一个待测样本和情报库样本集合T，返回值均为一个实数，该实数表明待测样本与情报库中已知样本的不一致性；

第2.2.3、不一致度量的输出：待测样本的不一致得分集合；

第3、基于统计学习的威胁情报利用与繁殖方法，包括如下步骤：

第3.1步、计算P-Value

第3.1.1、每个检测模型将对待测样本x进行不一致度量得到对应的不一致得分α，多个检测模型从不同角度对待测样本x进行度量，得到不一致得分集合{α₁,α₂,…,α_m}；

第3.1.2、将待测样本x的不一致得分α放入黑名单情报库样本的不一致得分集合中，黑名单中P-Value值P_{nj_m}是小于或等于该待测样本x不一致得分的黑名单情报库样本数量与总数的比值；将待测样本x的不一致得分α放入白名单情报库样本的不一致得分集合中，白名单中P-Value值P_{nj_b}是高于或等于该待测样本x不一致得分的白名单情报库样本数量与总数的比值；

第3.1.3、P-Value值越大说明该待测样本x在白名单或黑名单中的显著度越高；不同检测模型中，待测样本x的所有P_{nj_m}和P_{nj_b}是可以比较的；

第3.2步、基于统计学习预测待测样本

第3.2.1、若P-Value值取值于P_{nj_m}的最大值，则预测该待测样本x为恶意样本；若P-Value值取值于P_{nj_b}的最大值，则预测该待测样本x为正常样本；

第3.2.2、输入：可接受最大出错概率ε，由用户提供，表明用户能够接受的最大出错概率；

第3.2.3、输出：预测结果；

第3.2.4、算法流程：

第3.3步、基于时间窗的情报繁殖

采用滑动时间窗对情报库进行繁殖，根据待测样本的检测在时间轴上的分布密度和检测时长设定滑动时间窗；时间窗的设定能够快速吸收新发现的威胁情报，并依据遗忘规则有效遗忘时间窗外的过期情报；

在待测样本的时间窗内，其P-Value值是基于上一个时间窗的情报库的样本集合计算得到的；在一个时间窗内，若待测样本被判断为恶意，同时在用户可接受的最大出错概率内，可将该待测样本吸收进情报库，实现威胁情报的繁殖；

在当前时间窗结束后，下一个时间窗开始前，遗忘新时间窗之外的过期威胁情报，对新的威胁情报库重新建模。