[发明专利]一种基于内生安全的威胁情报获取方法及装置

权利要求书

1.一种基于内生安全的威胁情报获取方法，其特征在于，所述方法包括：

获取多个情报源的情报数据；

基于情报源对应的威胁情报模板，从多个所述情报源的情报数据中进行威胁情报抓取，获取待处理威胁情报；

对所述待处理威胁情报进行数据预处理，获取处理后的威胁情报；

对所述处理后的威胁情报进行冲突检测，获取存在冲突的至少两个威胁情报；

对所述存在冲突的至少两个威胁情报进行冲突处理，获取冲突处理之后的威胁情报。

2.根据权利要求1所述的方法，其特征在于，所述对所述存在冲突的至少两个威胁情报进行冲突处理，获取冲突处理之后的威胁情报，包括：

确定所述存在冲突的至少两个威胁情报分别所属的对象情报源；

基于所述存在冲突的至少两个威胁情报以及至少两个所述对象情报源，获取目标情报源的属性重要度值；所述目标情报源为所述对象情报源中的任一个；

基于所述目标情报源的属性重要度值，对所述对象情报源进行优先级排序，确定预设优先级排序范围内的对象情报源；

将所述存在冲突的至少两个威胁情报中的目标威胁情报进行保留，获取冲突处理之后的威胁情报；所述目标威胁情报为所述预设优先级排序范围内的对象情报源对应的威胁情报。

3.根据权利要求2所述的方法，其特征在于，所述基于所述存在冲突的至少两个威胁情报以及至少两个所述对象情报源，获取目标情报源的属性重要度值，包括：

计算在目标时间段内，目标情报源的情报数量与至少两个所述对象情报源的情报总数量的比例系数；

获取所述存在冲突的至少两个威胁情报的第一数量；

确定所述目标情报源中的基础数据标签的第二数量以及丰富数据标签的第三数量；

确定所述目标情报源的置信度；

基于所述比例系数、所述第一数量、所述第二数量、所述第三数量以及所述置信度，计算所述目标情报源的属性重要度值。

4.根据权利要求3所述的方法，其特征在于，所述确定所述目标情报源的置信度，包括：

当所述目标情报源为用户提供时，将所述用户设置的置信度确定为所述目标情报源的置信度；

或者，对所述目标情报源进行质量评估，生成质量评估结果，并基于所述质量评估结果生成所述目标情报源的置信度；

或者，根据所述目标情报源的种类，确定所述目标情报源对应的置信度。

5.根据权利要求4所述的方法，其特征在于，所述对所述情报源进行质量评估，生成质量评估结果，并基于所述质量评估结果生成情报源的置信度，包括：

根据所述情报源提供的情报数据是否符合预设条件以及所述情报源中的威胁情报是否存在情报冲突，确定所述情报源的质量评估结果；

基于所述质量评估结果生成情报源的置信度。

6.根据权利要求1-5任一项所述的方法，其特征在于，所述对所述处理后的威胁情报进行冲突检测，获取存在冲突的至少两个威胁情报，包括：

确定所述处理后的威胁情报为关键词，构建关键词共现矩阵；

对所述关键词共现矩阵进行二值化处理，获取二值化关键词共现矩阵；

根据所述二值化关键词共现矩阵，建立关键词共现网络；

提取所述关键词共现网络中的内容数据，获取内容数据集；

对所述内容数据集中的内容数据进行冲突检测，将存在冲突的至少两个内容数据所属的威胁情报确定为存在冲突的至少两个威胁情报。

7.根据权利要求1-5任一项所述的方法，其特征在于，所述数据预处理至少包括匹配白名单、数据清洗、数据去重、数据去尾、数据校验、数据格式统一、数据标签标记和数据归一化中的一项或多项。

8.根据权利要求7所述的方法，其特征在于，所述数据标签标记为对所述情报数据标记属性信息；所述属性信息至少包括首次发现时间、最后发现时间、数据类型标签、地域、组织、行业、攻击类型、威胁等级、情报来源和家族团伙信息中的一项或多项。