[发明专利]一种应用于网络安全威胁情报的情报关联度计算方法

说明书

本发明公开了一种应用于网络安全威胁情报的情报关联度计算方法，包括威胁情报图谱构建，基于STIX格式，对结构化半结构化数据进行提取，文章图谱抽取，实体归一化处理，词级比对，实体关联度计算和综合计分模块，对前述关联度计算进行综合计分，并录入数据库记录两篇情报文章的关联度。本发明提取文章之间的隐性关联，通过知识抽取提取情报核心内容，威胁情报知识图谱推理核心内容潜在关联来计算两份情报的关联度，包含不同名实体归一化处理，词级匹配，实体关联度计算，综合计分模块，通过三元组直接匹配计分，图谱识别不同名同实体计分及恶意软件、漏洞关联程度计分三个维度对情报关联程度进行计算。

技术领域

本发明属于网络安全技术领域，具体涉及一种应用于网络安全威胁情报的情报关联度计算方法。

背景技术

目前网络安全问题已成为各级政府、行政机关、事业单位、企业、非盈利组织等单位必须面对的问题。面对日益增多的网络威胁，对单位软件，硬件，系统针对性的进行防护是各单位的必要措施。在对单位数字资产防护之前，首先单位需要知道对什么进行防护，这就体现了网络安全威胁情报的重要性。然而，面对浩如烟海的网络安全威胁情报，获取网络安全威胁事件的全貌即成为了非常重要的事情。单一情报源的情报仅从一个角度描述事件，难以展现事件情报全貌，所以计算情报的关联度来整合关联的情报成为了网络安全事件分析必不可少的一环。

主流的关联情报整合方式有两种，第一种是人工整合，网络安全威胁情报内容点多面广、信息量庞大、时效性要求高，仅靠人工检查无法达到要求。第二种是基于机器学习的方法，包括基于内容推荐，关键词等方式。这种方式大多基于文本内容直接比对的关联性来进行关联内容判断，然而网络安全威胁情报中特殊的关联性这些方法难以涉及。例如：某个威胁组织叫Sofacy，同时这个组织也叫APT 28，Fancy bear，奇幻熊等多个名字，不同的情报文章会使用不同的名字，单纯的使用词或者文本关联度的方法难以处理字段完全不同但为同一实体的关联。同时，传统方法也难以处理文章实体之间通过第三实体为桥梁产生的关联。例如：两篇情报文章分别提到了两个漏洞CVE-2018-0001和CVE-2020-1234，两个漏洞字面上不存在关联，但是根据威胁情报知识图谱可知两个漏洞都存在于同一个软件中，这种隐性关联传统方法无法识别。

发明内容

针对目前主流的关联情报整合方式中关于隐性关联传统方法无法识别的问题，本发明提供一种应用于网络安全威胁情报的情报关联度计算方法，提取文章之间的隐性关联，通过知识抽取提取情报核心内容，威胁情报知识图谱推理核心内容潜在关联来计算两份情报的关联度。

本发明解决其技术问题所采用的方案是：一种应用于网络安全威胁情报的情报关联度计算方法，包括以下步骤。

第一步，威胁情报图谱构建：

基于STIX格式，对结构化半结构化数据进行提取，包括不限于CVE，CPE，ATTCK等数据集。

第二步，文章图谱抽取：

基于BERT-BiLSTM-CRF进行命名实体识别，获取实体后通过Pipeline的方式，通过R-bert模型进行关系抽取。

第三步，实体归一化处理：

威胁情报知识图谱中，同实体不同名称的实体类型包括恶意组织和恶意软件，首先提取文章情报三元组中的恶意组织及恶意软件实体，其次遍历威胁情报图谱中对应类实体及实体其他名称，最后定位实体，将文章情报三元组中对应的实体转为标准实体。

基于威胁情报图谱中别名数据，将所有别名转换为{别名：标准实体}，将所有恶意组织别名及文章中抽取的恶意组织实体转换为向量，并计算两组数据每个别名与实体之间的余弦相似度；完成余弦相似度计算后找到与恶意组织实体余弦相似度最高的恶意组织别名，若余弦相似度大于0.9，根据上述数据的K_V关系，将文章恶意组织实体转换为标准实体。

恶意软件通过相同的处理流程进行归一化处理，将抽取的恶意软件实体转换为恶意软件的标准实体。