基于网络威胁情报分析的安全防护方法、装置及存储介质与流程

本申请涉及数据处理，尤其涉及一种基于网络威胁情报分析的安全防护方法、装置及存储介质。

背景技术：

1、随着信息技术的飞速发展，网络在各个领域的应用日益广泛，网络攻击的形式不断演变，包括恶意软件传播、网络钓鱼、分布式拒绝服务攻击（ddos）等。为了应对复杂多变的网络威胁，网络威胁情报（cyber threat intelligence，cti）的概念应运而生。网络威胁情报是指有关网络威胁的信息，包括威胁源、威胁目标、攻击手段、攻击趋势等多方面的知识。通过收集、分析和共享网络威胁情报，网络安全防御者能够提前了解潜在的威胁，制定有效的安全防护策略，从而增强网络的安全性。

2、在网络威胁情报分析中，准确识别威胁情报实体（如攻击源的ip地址、恶意软件名称、攻击目标等）是一个关键任务。传统的实体识别方法往往依赖于简单的规则匹配或者基于单一特征的机器学习模型。例如，基于规则的方法需要人工编写大量的规则来识别不同类型的威胁情报实体。这种方法的局限性在于，它难以应对复杂多变的网络威胁场景。新出现的网络攻击可能具有与以往不同的特征，需要不断更新规则，这是一个耗时且容易出错的过程。基于单一特征的机器学习模型（如仅使用词频特征的模型）在处理网络威胁情报文本时，可能会因为缺乏对文本全面特征的把握而导致实体识别的准确率不高。例如，在识别恶意软件名称时，仅考虑词频可能会将一些普通的软件名称误判为恶意软件，或者遗漏一些新出现的、低频的恶意软件名称。

技术实现思路

1、有鉴于此，本申请提供一种基于网络威胁情报分析的安全防护方法、装置及存储介质。本申请的技术方案是这样实现的：

2、一方面，本申请提供一种基于网络威胁情报分析的安全防护方法，包括：获取用作学习模板数据的网络威胁情报训练文本，根据威胁实体识别网络对所述网络威胁情报训练文本进行表征信息提取，执行得到所述网络威胁情报训练文本中包含的威胁情报实体的训练实体分布位置，以及所述训练实体分布位置对应的训练实体分布特征；将所述训练实体分布位置作为高斯分布中心，依据所述训练实体分布特征生成所述训练实体分布位置对应的预测实体概率分布序列；获取所述网络威胁情报训练文本对应的先验实体概率分布序列，其中，所述先验实体概率分布序列为所述威胁实体识别网络的调试参考标记；依据所述预测实体概率分布序列和所述先验实体概率分布序列确定所述威胁实体识别网络的网络调试误差，依据所述网络调试误差调试所述威胁实体识别网络，直至所述威胁实体识别网络达到预设的调试停止条件，获得收敛的威胁实体识别网络；获取待进行威胁情报实体识别的目标网络威胁情报文本，根据调试收敛的威胁实体识别网络对所述目标网络威胁情报文本进行表征信息提取，执行得到所述目标网络威胁情报文本中包含的威胁情报实体的目标实体分布位置，以便基于所述目标实体分布位置对应的实体内容，确定安全防护策略。

3、第二方面，本申请提供一种基于网络威胁情报分析的安全防护装置，包括：训练样本获取模块，用于获取用作学习模板数据的网络威胁情报训练文本，根据威胁实体识别网络对所述网络威胁情报训练文本进行表征信息提取，执行得到所述网络威胁情报训练文本中包含的威胁情报实体的训练实体分布位置，以及所述训练实体分布位置对应的训练实体分布特征；概率分布生成模块，用于将所述训练实体分布位置作为高斯分布中心，依据所述训练实体分布特征生成所述训练实体分布位置对应的预测实体概率分布序列；训练标签获取模块，用于获取所述网络威胁情报训练文本对应的先验实体概率分布序列，其中，所述先验实体概率分布序列为所述威胁实体识别网络的调试参考标记；网络调试模块，用于依据所述预测实体概率分布序列和所述先验实体概率分布序列确定所述威胁实体识别网络的网络调试误差，依据所述网络调试误差调试所述威胁实体识别网络，直至所述威胁实体识别网络达到预设的调试停止条件，获得收敛的威胁实体识别网络；网络调用模块，用于获取待进行威胁情报实体识别的目标网络威胁情报文本，根据调试收敛的威胁实体识别网络对所述目标网络威胁情报文本进行表征信息提取，执行得到所述目标网络威胁情报文本中包含的威胁情报实体的目标实体分布位置，以便基于所述目标实体分布位置对应的实体内容，确定安全防护策略。

4、第三方面，本申请提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以上第一方面提供的方法中的步骤。

5、本申请的有益效果：基于获取用作学习模板数据的网络威胁情报训练文本，根据威胁实体识别网络对网络威胁情报训练文本进行表征信息提取，不仅执行得到网络威胁情报训练文本中包含的威胁情报实体的训练实体分布位置，还得到训练实体分布位置对应的训练实体分布特征，将训练实体分布位置作为高斯分布中心，依据训练实体分布特征反向生成训练实体分布位置对应的预测实体概率分布序列，以便通过预测实体概率分布序列与网络威胁情报训练文本对应的先验实体概率分布序列进行比较，确定威胁实体识别网络的网络调试误差，在依据网络调试误差调试威胁实体识别网络时，也就基于预测实体概率分布序列进一步限制了威胁实体识别网络的输出，令威胁实体识别网络明确地提取到实体的信息，有利于获取到网络威胁情报训练文本中的本质特征，增加了威胁实体识别网络的能力，令在根据调试收敛的威胁实体识别网络对目标网络威胁情报文本进行表征信息提取，执行得到目标网络威胁情报文本中包含的威胁情报实体的目标实体分布位置时，可以提高威胁情报实体的精度，有利于快速准确地获取网络威胁情报内容，以进行安全防护。

技术特征：

1.一种基于网络威胁情报分析的安全防护方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述训练实体分布特征包括拟生成的基础实体概率分布序列中任一词元令牌的特征维度间的第一关联参数以及相邻位置特征的第二关联参数、所述基础实体概率分布序列中全部词元令牌的字符索引的位置分散度、所述基础实体概率分布序列中全部词元令牌的特征维度的特征分散度，所述将所述训练实体分布位置作为高斯分布中心，依据所述训练实体分布特征生成所述训练实体分布位置对应的预测实体概率分布序列，包括：

3.如权利要求2所述的方法，其特征在于，所述训练实体分布特征包括多组，所述威胁实体识别网络还执行得到每一组所述训练实体分布特征对应的所述基础实体概率分布序列的训练组分影响系数，所述依据所述基础实体概率分布序列得到所述训练实体分布位置对应的预测实体概率分布序列，包括：

4.如权利要求1所述的方法，其特征在于，所述依据所述预测实体概率分布序列和所述先验实体概率分布序列确定所述威胁实体识别网络的网络调试误差，包括：

5.如权利要求4所述的方法，其特征在于，所述依据所述第一误差值和所述第二误差值的相加结果确定所述威胁实体识别网络的网络调试误差，包括：

6.如权利要求1所述的方法，其特征在于，所述根据威胁实体识别网络对所述网络威胁情报训练文本进行表征信息提取，执行得到所述网络威胁情报训练文本中包含的威胁情报实体的训练实体分布位置，以及所述训练实体分布位置对应的训练实体分布特征，包括：

7.如权利要求6所述的方法，其特征在于，所述威胁实体识别网络根据两个决策组件分别对所述转换表征信息进行全连接映射，所述依据所述预测表征信息得到所述网络威胁情报训练文本中包含的威胁情报实体的训练实体分布位置，以及所述训练实体分布位置对应的训练实体分布特征，包括：

8.如权利要求1所述的方法，其特征在于，所述根据威胁实体识别网络对所述网络威胁情报训练文本进行表征信息提取，执行得到所述网络威胁情报训练文本中包含的威胁情报实体的训练实体分布位置，以及所述训练实体分布位置对应的训练实体分布特征，包括：

9.如权利要求8所述的方法，其特征在于，所述通过表征信息还原映射组件基于预定实体表征信息集合对所述文本表征信息进行还原映射，得到还原映射表征信息集合，包括：

10.如权利要求9所述的方法，其特征在于，所述基于所述文本表征信息得到索引表征信息和内容表征信息，包括：

11.如权利要求1所述的方法，其特征在于，所述获取所述网络威胁情报训练文本对应的先验实体概率分布序列，包括：

12.一种基于网络威胁情报分析的安全防护装置，其特征在于，包括：

13.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至8任一项所述方法中的步骤。

技术总结
本发明提供一种基于网络威胁情报分析的安全防护方法、装置及存储介质。基于获取网络威胁情报训练文本进行表征信息提取，获得训练实体分布位置和对应的训练实体分布特征，将训练实体分布位置作为高斯分布中心，依据训练实体分布特征反向生成训练实体分布位置对应的预测实体概率分布序列，通过比较确定网络调试误差，在依据网络调试误差调试威胁实体识别网络时，也就基于预测实体概率分布序列进一步限制了威胁实体识别网络的输出，令威胁实体识别网络明确地提取到实体的信息，有利于获取到网络威胁情报训练文本中的本质特征，增加了威胁实体识别网络的能力，可以提高威胁情报实体的精度，有利于快速准确地获取网络威胁情报内容，以进行安全防护。

技术研发人员：陈超,赵光宸,梁志文,林嘉裕
受保护的技术使用者：福建有度网络安全技术有限公司
技术研发日：
技术公布日：2024/11/28