[发明专利]一种基于机器学习的IOC检测方法、装置、介质及设备

说明书

本发明涉及计算机安全领域，特别是涉及一种基于机器学习的IOC检测方法、装置、介质及设备。包括：获取多个已知情报指标。使用机器学习的聚类算法，根据每一已知情报指标对应的属性值对每一已知情报指标进行聚类，生成多个族群。根据每一族群中包括的所有已知情报指标以及所有属性值，生成对应的威胁判定信息。根据威胁判定信息对目标行为进行检测，生成对应的检测信息。本发明中从已知情报指标本身出发，通过机器学习的聚类方法，可以快速将具有较强相关性的多个已知情报指标聚类成一个族群。通过将多个具有强关联的已知情报指标同时作为威胁的判断依据，可以增加判断依据的数量以及维度，进而提高威胁判断时的准确率，提高检测能力。

技术领域

本发明涉及计算机安全领域，特别是涉及一种基于机器学习的IOC检测方法、装置、介质及设备。

背景技术

随着互联网的快速发展，网络攻击事件频发，针对个人、公司以及国家的攻击行为数量日益攀升，网络攻击所带来的经济利益和政治利益是此类事件频发的主因，网络安全已经成为国家的重点关注方向，没有网络安全就没有国家安全，如何有效的追踪攻击来源，及时阻止或预防攻击事件的发生显得尤为重要。

情报指标也即IOC(IndicatorsofCompromise，陷落标识)是一种作为检测攻击的重要指标。通过IOC可以更加容易的还原攻击实体的实体画像，还原攻击实体的攻击路径和行为，从而保障网络安全。但是，现有的利用IOC进行威胁检测时，均是利用单一的IOC作为指标进行的威胁判断，其检测精度较低。

发明内容

针对上述技术问题，本发明采用的技术方案为：

根据本发明的一个方面，提供了一种基于机器学习的IOC检测方法，方法包括如下步骤：

获取多个已知情报指标。每一已知情报指标具有多个对应的属性值。

使用机器学习的聚类算法，根据每一已知情报指标对应的属性值对每一已知情报指标进行聚类，生成多个族群。

根据每一族群中包括的所有已知情报指标以及所有属性值，生成对应的威胁判定信息。

根据威胁判定信息对目标行为进行检测，生成对应的检测信息。

在本发明中，进一步的，在根据每一族群中包括的所有已知情报指标以及所有属性值，生成对应的威胁判定信息之后，该方法还包括：

每隔一个探测间隔，对当前探测周期对应的每一族群进行指标探测处理，生成下一探测周期对应的未知情报指标。

指标探测处理包括：

从族群中获取符合预设指标类型的已知情报指标，生成当前探测周期对应的探测指标集。

根据当前探测周期对应的探测指标集中的已知情报指标，获取下一探测周期对应的未知情报指标。

在本发明中，进一步的，预设指标类型为IP地址或域名。

根据当前探测周期对应的探测指标集中的已知情报指标，获取下一探测周期对应的未知情报指标，包括：

获取当前探测周期对应的探测指标集中的每一IP地址和域名分别对应的网络资源。

获取每一网络资源中的可执行体。

将可执行体作为下一探测周期对应的未知情报指标。

在本发明中，进一步的，预设指标类型为可执行体。

从族群中获取符合预设指标类型的已知情报指标，生成当前探测周期对应的探测指标集，包括：

从族群中获取预设指标类型为可执行体的第一已知情报指标。

从每一第一已知情报指标中的提取目标字符串。为每一目标字符串，匹配对应的IP地址或域名。