[发明专利]一种威胁情报IOC信誉度分析方法

权利要求书

1.一种威胁情报IOC信誉度分析方法，其特征在于：所述方法包括以下步骤：

步骤1：获取威胁情报IOC；

步骤2：对威胁情报进行分析；步骤2包括以下步骤：

步骤2.1：对数据源威胁情报进行预处理；

步骤2.2：对情报准确度进行匹配分析；

步骤2.3：得到信誉度分析值；信誉度分析值F=(2* Pre*R)/(Pre+R)，其中，Pre为可信的情报在总数中的占比，Pre=TP/(TP+FP)，R为召回率，R=TP/(TP+TN)，TP为情报预测为真且实际结果为真的值，TN为情报预测为真而实际结果为假的值，FP为情报预测为假且实际结果为真的值，FN为情报预测和实际结果均为假的值；

步骤2.4：建立不同情报源在不同威胁类型情报的信誉度模型；

步骤3：基于分析结果，建立网络威胁行为活动和社区；

步骤4：间隔预设时间，返回步骤1动态调优。

2.根据权利要求1所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述步骤1中，获取威胁情报IOC后，对来源进行整理；所述威胁情报IOC的来源包括自有数据来源和第三方数据源。

3.根据权利要求2所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述自有数据来源包括安全厂商自有设备及设备中的日志。

4.根据权利要求2所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述第三方数据源包括开源数据、其他厂商设备及设备中的数据，数据包括Event、URL、DNS、IP、Hash、来源名称、来源中数据标签详细描述文档、来源中是否存在定义不同的标识。

5.根据权利要求1所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述步骤2.1中，将威胁情报分类处理，得到不同情报源下不同威胁类型的情报；所述类型包括CC、钓鱼地址、木马地址、恶意软件、文章引用、恶意主机、扫描主机、垃圾邮件、漏洞利用。

6.根据权利要求5所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述步骤2.2中，基于分类结果，得到不同的威胁情报在不同数据类型中的准确率及覆盖度。

7.根据权利要求1所述的一种威胁情报IOC信誉度分析方法，其特征在于：所述步骤3中，对自有数据来源和第三方数据源的数据进行关联分析，建立网络威胁行为活动和社区。

8.根据权利要求7所述的一种威胁情报IOC信誉度分析方法，其特征在于：若在自有数据来源中检测到第三方数据源，则通过自由数据来源对应的模型对第三方数据源对应的模型进行修正。