[发明专利]基于统计学习的威胁情报利用与繁殖方法

说明书

本发明提出了一种基于统计学习的威胁情报利用与繁殖方法，应用于网络安全领域，基于有限的已知威胁情报，通过统计学习，发现大量未知的威胁情报，实现威胁情报的繁殖。为了躲避安全检测，网络攻击的变化速度越来越快，导致威胁情报的数量增多、时效性缩短。只利用已知威胁情报的安全检测模型，会受到模型退化问题的影响，准确度下降。本发明基于统计学习算法，引入可信度，代替静态阈值，提高模型对未知威胁的识别能力；该方法支持多种异构检测模型，基于可信度对比，实现多模型协同防御；该方法引入滑动时间窗概念，实现检测模型对新出现的威胁情报的快速吸收，对过期情报的有效遗忘。

技术领域

本发明属于计算机网络安全领域。

背景技术

为了躲避安全检测，网络攻击方不断改进使用的攻击手段，例如域名生成算法(Domain Generate Algorithm，DGA)，可以生成海量恶意域名，使得网络攻击可以绕过安全防火墙，威胁用户的计算机安全。不断更新的攻击手段导致威胁情报的数量激增、时效性缩短。传统的只利用已知威胁情报的安全检测模型，会受到模型退化的影响，无法准确检测出众多新的威胁情报。故而要求威胁情报检测方法能够根据已知的有限情报，构建出一个更加全面的检测模型来应对还未发现的威胁。

发明内容

本发明目的是缓解传统安全监测模型面对海量、时效性显著的威胁情报，出现的模型退化进而导致预测准确率下降的问题，提供一种基于统计学习的威胁情报利用与繁殖方法。该方法基于统计学习算法，引入可信度，代替静态阈值，提高模型对未知威胁的识别能力；该方法支持多种异构检测模型，实现了多模型协同防御；该方法引入滑动时间窗概念，实现检测模型对预测出的新威胁情报的快速吸收，对过期已知情报的有效遗忘，缓解模型退化，提高预测准确度。

本发明的技术方案

基于统计学习的威胁情报利用与繁殖方法，包括如下步骤：

第1、基本概念：

(1)威胁情报：是通过大数据、分布式系统或其它特定收集方式获取的，包括漏洞、威胁、特征、行为等一系列证据的知识集合及可操作性建议。

(2)不一致度量函数：是通过得分来评价待测样本与已知样本集合不一致性的函数。

描述一个样本与一组已知样本的不一致性，输入是一组已知样本和一个测试样本，输出是一个数值，也叫做不一致性得分。得分越高，说明待测样本与该组样本越不一致，得分越低，说明待测样本与该组样本越一致。

(3)基于阈值的检测模型：是依据不一致度量函数给出待测样本得分，将之与固定阈值比较，给出预测结果的模型。

(4)P-Value：是衡量当前样本在已知样本集合中显著度的统计量，用于多模型预测结果可信度的比较。

(5)基于Conformal Prediction的统计学习算法：是将检测模型根据不一致度量函数计算的样本得分作为输入，通过计算得分高于或等于被检测样本得分的样本数量与总数的比值得到样本 P-Value的算法。

第2、多模型不一致得分的计算，包括如下步骤：

第2.1步、提取特征矩阵

第2.1.1、设定不同的特征集合，对威胁情报提取出每个特征的特征值f；

第2.1.2、将威胁情报的所有特征值组成特征向量V(f₁,f₂,...f_n)，将多个特征向量值组成特征矩阵 C(V₁,V₂,...V_n)；

第2.2步、计算不一致得分