[发明专利]网络安全威胁知识抽取模型的训练方法和装置

说明书

公开一种网络安全威胁知识抽取模型的训练方法和装置，所述训练方法包括：通过网络安全威胁领域本体模型对预定数量的文本中的三元组进行标注，得到多个标注文本，其中，从预先获取的网络安全威胁领域的文本数据集确定网络安全威胁领域术语，并且基于确定的网络安全威胁领域术语，构建所述网络安全威胁领域本体模型；将每个标注文本作为训练样本输入网络安全威胁知识抽取模型，并利用所述网络安全威胁知识抽取模型预测所述训练样本中的三元组；基于预测结果计算损失函数的值，并根据所述损失函数的值调整所述网络安全威胁知识抽取模型的参数，从而对所述网络安全威胁知识抽取模型进行训练。该训练方法能够提高网络安全威胁知识抽取模型的性能。

技术领域

本公开总体说来涉及网络安全威胁领域，更具体地讲，涉及一种网络安全威胁知识抽取模型的训练方法和装置。

背景技术

随着网络技术和通信技术的快速发展，网络安全问题快速演进，网络攻击事件层出不穷，对个人、组织乃至政府造成了极大的危害与损失。日益复杂化、多样化、组织化的网络攻击，使得计算机网络面临着严峻的信息安全形势。传统的网络安全威胁情报分析技术无法全面、及时、准确地检测攻击技术及其内在关联，难以满足日趋复杂的网络安全防范需求。

近年来，国内外研究人员针对网络安全威胁情报的信息共享与建模分析等问题，展开了相关标准与规范的建立等工作。目前比较主流且得到广泛支持和应用的是由MITRE和OASIS（Organization for the Advancement of Structured Information Standards，结构化信息标准促进组织）网络威胁情报(Cyber Threat Intelligence，CTI)技术委员会发布的结构化威胁信息表达式（Structured Threat Information expression，STIX）、指标信息的可信自动化交换（Trusted Automated exchange of Indicator Information，TAXII）、以及网络可观察表达式（Cyber Observable expression，CyboX），通过以上标准从多角度对网络威胁要素进行统一描述，建立网络威胁要素之间的各种关联关系。

尽管学术界和工业界当前已经在网络威胁情报理论和实践方面开展了大量工作，但网络安全威胁情报因异源共享集成，具有异构性、海量性、分散性、实时性等特点，导致对威胁情报的获取、分析、利用能力不足，难以充分发挥网络安全威胁情报的价值，威胁情报数据亟待深入挖掘。因此，如何从海量的原始数据中，有效提取有用的网络安全威胁信息，并针对不同网络攻击场景产生关联分析，仍需要进一步研究。

发明内容

本公开基于构建的网络安全威胁领域本体模型，提供一种网络安全威胁知识抽取模型的训练方法和装置，在对网络安全威胁知识进行统一规范描述的基础上，提高了网络安全威胁知识抽取模型的知识挖掘效率，从而能够更有效地从海量数据中提取网络安全威胁信息。

在一个总的方面，提供一种网络安全威胁知识抽取模型的训练方法，所述训练方法包括：通过网络安全威胁领域本体模型对预定数量的文本中的三元组进行标注，得到多个标注文本，其中，从预先获取的网络安全威胁领域的文本数据集确定网络安全威胁领域术语，并且基于确定的网络安全威胁领域术语，构建所述网络安全威胁领域本体模型；将每个标注文本作为训练样本输入网络安全威胁知识抽取模型，并利用所述网络安全威胁知识抽取模型预测所述训练样本中的三元组；基于预测结果计算损失函数的值，并根据所述损失函数的值调整所述网络安全威胁知识抽取模型的参数，从而对所述网络安全威胁知识抽取模型进行训练。

可选地，所述文本数据集为非结构化数据，其中，所述从预先获取的网络安全威胁领域的文本数据集确定网络安全威胁领域术语包括：对所述文本数据集进行预处理，以去除所述文本数据集中不具有实际语义的字符；对预处理后的文本数据集进行分词处理，得到多个分词；对所述多个分词进行词频统计，并根据所述词频统计的结果，从所述多个分词中确定网络安全威胁领域术语。