[发明专利]一种安全威胁协同建模方法及系统

权利要求书

1.一种安全威胁协同建模方法，其特征在于，包括如下步骤：

1）数据共享，多个参与方提供的数据源之间进行网络实体数据的不完全共享，在共享前，对有必要进行脱敏的网络实体数据进行脱敏；

2）数据融合，对步骤1）中共享后的数据进行属性融合、关系融合、行为融合和标签融合，形成属性融合数据、关系融合数据、行为融合数据和标签融合数据；

属性融合指通过预先定义融合策略，将同一网络实体在不同参与方处获得的属性加以融合，具体为对同一网络实体在不同数据源处记录到的不同属性信息进行相互补充，相同属性信息进行去重、纠歧；

关系融合指将一对网络实体之间的关联关系加以融合，形成图谱化的网络实体关系库，具体为对这对网络实体在不同数据源处记录到的不同关系信息进行相互补充，对相同关系信息进行去重、纠歧；

行为融合指对同一网络实体在不同数据源处所记录的行为信息加以融合，通过整合多源、零散的行为信息，形成对各网络实体更全面、完整的观察记录，具体为对同一网络实体的不同行为信息按时间顺序进行排列，对来自不同参与方处的相同行为信息进行去重，纠歧；

标签融合指不同的参与方分别提供对同一实体的研判标签，各读取方收到其他参与方发来的研判标签后，执行本地的采信策略，对各方信息进行综合，对多方给出的同一标签给与较大信任度，对多方给出的不同标签进行互相补充，从而获得各标签的置信度；

3）数据特征提取，对步骤2）中得到的属性融合数据、关系融合数据、行为融合数据分别进行数据特征提取；

4）建模，根据需要选择不同类型的建模方法，选择性载入数据特征和标签融合数据，进行机器学习具体训练过程，生成训练模型，并将训练模型输出；

5）审计，运行于多参与方共享的区块链或协作平台，根据步骤1）、步骤2）、步骤3）、步骤4）中的数据流转进行记账，根据设定的规则给不同的参与方计贡献分，根据贡献分对参与方进行奖励；

计贡献分的规则设定为：

分享属性数据，并被其他参与方读取，单个属性对应基本贡献分记作Sa；

分享关系数据，并被其他参与方读取，单个关系对应基本贡献分记作Sr；

分享行为数据，并被其他参与方读取，单个行为事件对应基本贡献分记作Sb；

分享标签数据，并被其他参与方读取，单个标签对应的基本贡献分为Sl；

分享透明数据，并被用于机器学习，单个透明数据对应的贡献分为Sf；

在其他参与方的要求下定向分享网络实体数据，单个网络实体数据对应的贡献分为St；

读取方读取数据后，应扣除读取方相应的贡献分，并且读取方选择性地对读取的数据进行评价，给出评分，如果读取方给出的评分与该数据获得的平均评分差距在一定范围内，读取方获得一定的贡献分，当该数据平均评分高于一定值时，分享该数据的参与者获得分值奖励，低于一定值时，分享该数据的参与者扣除一定分值；

参与方在初始时，默认拥有一定的初始分值。

2.根据权利要求1所述的安全威胁协同建模方法，其特征在于，步骤1）中，共享的数据包括如下类型：

实体属性数据、实体间的关联关系数据、实体行为记录数据和实体研判标签数据。

3.根据权利要求1所述的安全威胁协同建模方法，其特征在于，步骤1）中，通过不同的记号来标识不同的网络实体，对有必要进行脱敏的网络实体数据通过脱敏记号来标识，建立有必要进行脱敏的网络实体数据的记号与脱敏记号之间的彩虹表。

4.根据权利要求1所述的安全威胁协同建模方法，其特征在于，步骤1）中，数据共享的触发方式包括主动分享和求助-响应分享；数据共享的方式包括社群发布和点对点发布；数据共享的情景包括自愿分享和法定义务分享。

5.根据权利要求1所述的安全威胁协同建模方法，其特征在于，步骤3）中：

属性融合数据的数据特征包括：IP的位置、域名注册时间、文件更改时间；

关系融合数据的数据特征包括：图节点出入度、域名关联IP数、域名关联NS服务器数、域名节点限定IP类型邻居节点的出入度；

行为融合数据的数据特征包括：统计特征和敏感行为特征，统计特征包括横向通信次数、外联次数、文件访问数；敏感行为特征包括修改启动项、境外外联、访问注册表。