[发明专利]一种威胁情报IOC信誉度分析方法

说明书

本发明涉及一种威胁情报IOC信誉度分析方法，获取威胁情报IOC，分析并建立网络威胁行为活动和社区，间隔预设时间对建立的模型进行动态调优。本发明中，主要以自有设备的流量数据与日志数据与第三方共享数据以及各项目中数据通过技术手段深度挖掘得到的攻击者以及数据源特征，建立威胁情报IOC信誉度评分模型，可满足各个数据源数据使用，满足对现有威胁情报源共享系统中对数据源信誉度验证，解决现有目前市场中存在大量威胁情报源数据不准确、威胁情报缺乏失效机制，使得无论是收集滴三方开源数据源，还是对自有设备中流量分析都能进行信誉度评价，体系可以随时间动态调整模型结构，确保数据失效机制。

技术领域

本发明属于数字信息的传输，例如电报通信的技术领域，特别涉及一种威胁情报IOC信誉度分析方法。

背景技术

威胁情报在遥远的古代就应用于军事和生产过程中，近年来成为网路安全热词之一。

随着威胁情报逐渐在国内发展，目前内部设有威胁情报研究团队的公司日益剧增，同时在互联网上设计的相关产品、平台、情报数据亦相应增加。如何做好威胁情报之本——数据的把关、建立可信赖的数据信誉度评价体系、使得平台或者产品使用的数据建立有效的评价机制，这成为现今威胁情报使用的痛点。

究其原因，是由于威胁情报在应用中，存在大量第三方威胁情报数据源，各方在使用数据源时并无统一的评价机制对数据源进行评价，造成数据源共享时无法知道数据源的准确性以及数据的准确性，而正是由于无法评估数据来源以及数据的准确性，造成了大量威胁情报源数据不准确、威胁情报缺乏失效机制。该问题不解决，则客户在使用威胁情报进行设备中的威胁源检测时容易造成数据误报，同时由于收集的威胁情报源无法对其进行追溯分析，可能存在黑客将某些白名单放置在开源情报中等，这些问题都将造成情报业务和产品出现严重滞留。

发明内容

本发明解决了现有技术中，存在大量第三方威胁情报数据源，各方在使用数据源时并无统一的评价机制对数据源进行评价，造成了大量威胁情报源数据不准确、威胁情报缺乏失效机制的问题，提供了一种优化的威胁情报IOC信誉度分析方法。

本发明所采用的技术方案是，一种威胁情报IOC信誉度分析方法，所述方法包括以下步骤：

步骤1：获取威胁情报IOC；

步骤2：对威胁情报进行分析；

步骤3：基于分析结果，建立网络威胁行为活动和社区；

步骤4：间隔预设时间，返回步骤1动态调优。

优选地，所述步骤1中，获取威胁情报IOC后，对来源进行整理；所述威胁情报IOC的来源包括自有数据来源和第三方数据源。

优选地，所述自有数据来源包括安全厂商自有设备及设备中的日志。

优选地，所述第三方数据源包括开源数据、其他厂商设备及设备中的数据，数据包括Event、URL、DNS、IP、Hash、来源名称、来源中数据标签详细描述文档、来源中是否存在定义不同的标识。

优选地，所述步骤2包括以下步骤：

步骤2.1：对数据源威胁情报进行预处理；

步骤2.2：对情报准确度进行匹配分析；

步骤2.3：得到信誉度分析值；

步骤2.4：建立不同情报源在不同威胁类型情报的信誉度模型。

优选地，所述步骤2.1中，将威胁情报分类处理，得到不同情报源下不同威胁类型的情报；所述类型包括CC、钓鱼地址、木马地址、恶意软件、文章引用、恶意主机、扫描主机、垃圾邮件、漏洞利用。

优选地，所述步骤2.2中，基于分类结果，得到不同的威胁情报在不同数据类型中的准确率及覆盖度。