一種情報質量評估和情報融合方法及裝置制造方法及圖紙

本發明專利技術公開了一種情報質量評估和情報融合方法及裝置，用以解決現有的威脅情報數據融合方法在情報融合過程中無法保證威脅情報數據的質量和融合后的情報的質量的問題。所述情報質量評估方法，包括：接收情報源輸出的情報，其中，所述情報源為威脅情報數據源，所述情報為威脅情報數據；針對每一情報源，確定所述情報源的可信度評分以及所述情報源中的各情報的可信度評分；根據所述情報源的可信度評分和所述各情報的可信度評分評估所述各情報的質量。

A method and device of information quality evaluation and information fusion

【技術實現步驟摘要】
一種情報質量評估和情報融合方法及裝置
本專利技術涉及信息安全
，尤其涉及一種情報質量評估和情報融合方法及裝置。
技術介紹
威脅情報在網絡安全中扮演著重要的角色，安全設備結合威脅情報數據的使用才能發揮更大的作用，公司的安全運營結合威脅情報數據能夠快速響應安全事件，通過安全事件提高安全運營的效率。然而，如果威脅情報數據的質量過低，則將會降低安全運營服務的服務質量，目前，沒有有效的保證威脅情報數據質量的方法。隨著威脅情報數據源的日益多元化，威脅情報數據融合起著越來越重要的作用?，F有的威脅情報數據融合技術，僅僅從字段層面簡單的對多源威脅情報數據進行合并，由于融合過程中無法保證威脅情報數據的質量，使得合并后的情報的質量也無法得到保障。
技術實現思路
為了解決現有的情報融合方法在情報融合過程中無法保證情報的質量和融合后的情報的質量的問題，本專利技術實施例提供了一種情報質量評估和情報融合方法及裝置。第一方面，本專利技術實施例提供了一種情報質量評估方法，包括：接收情報源輸出的情報，其中，所述情報源為威脅情報數據源，所述情報為威脅情報數據；針對每一情報源，確定所述情報源的可信度評分以及所述情報源中的各情報的可信度評分；根據所述情報源的可信度評分和所述各情報的可信度評分評估所述各情報的質量。本專利技術實施例提供的情報質量評估方法中，服務器接收情報源輸出的情報，其中，所述情報源為威脅情報數據源，所述情報為威脅情報數據，針對每一情報源，確定的所述情報源的可信度評分和所述情報源中的各情報的可信度評分，根據所述情報源的可信度評分和所述情報源中的各情報的可信度評分評估所述情報源中的各情報的質量，根據本專利技術實施例提供的上述情報質量評估方法，根據情報源的可信度評分和情報源輸出的情報的可信度評分評估情報源輸出的所述情報的質量，經過質量評估的情報越多，情報源本身的可信度也越接近真實情況，使得情報質量的評估更加準確，以使得后續情報融合過程中能夠保證情報的質量，進而保證融合后的情報的質量。較佳地，針對每一情報源，確定所述情報源中的各情報的可信度評分，具體包括：針對每一情報源中的每一情報，通過以下步驟確定所述情報的可信度評分：確定所述情報源中的所述情報的各證據的置信度評分；根據所述各證據的置信度評分確定所述情報源中所述情報的可信度評分。較佳地，如果有若干情報源輸出所述情報，則確定所述情報源中的所述情報的各證據的置信度評分，具體包括：根據輸出所述情報的各情報源中所述情報的證據集合確定所述情報的多重證據集合；確定所述情報的多重證據集合中的各證據的置信度評分。較佳地，針對每一情報源中的每一情報，根據輸出所述情報的各情報源中所述情報的證據集合確定所述情報的多重證據集合，具體包括：通過以下公式確定所述情報的多重證據集合：其中，M表示所述情報的多重證據集合，j＝1,2,...,m，m表示輸出所述情報的情報源的個數；Bj表示第j個輸出所述情報的情報源中的所述情報的證據集合；Ej,i表示所述第j個輸出所述情報的情報源中的所述情報的第i個證據，i＝1,2,...,n，n表示所述第j個輸出所述情報的情報源中的所述情報的證據的個數。較佳地，初始時，為每一證據設置一個初始置信度評分；確定所述情報的多重證據集合中的各證據的置信度評分，具體包括：當確定所述情報的多重證據集合中的任一證據來自于大于等于2個不同的輸出所述情報的情報源時，則確定所述證據的當前置信度評分；判斷所述證據的當前置信度評分是否大于所述證據的上一歷史置信度評分；如果是，則利用所述當前置信度評分更新所述上一歷史置信度評分；否則，保持所述證據的置信度評分不變。較佳地，當確定所述情報的多重證據集合中的任一證據來自于大于等于2個不同的輸出所述情報的情報源時，則通過以下公式計算所述證據的當前置信度評分：其中，r表示所述證據的當前置信度評分；ra表示所述證據的上一歷史平均置信度評分；rk表示來自于第k個輸出所述情報的情報源的所述證據的上一歷史置信度評分，k＝1,2,...,p，p表示輸出包含所述證據的情報的情報源的個數；β表示置信度收斂系數。較佳地，根據所述各證據的置信度評分確定所述情報源中所述情報的可信度評分，具體包括：通過以下公式計算所述情報源中所述情報的可信度評分：其中，Rl表示所述情報源中第l個情報的可信度評分，l＝1,2,...,q，q表示所述情報源中的情報的個數；rl,0表示所述情報源中第l個情報的證據的置信度評分的最大值；rl,i表示所述情報源中第l個情報的第i個證據的可信度評分的衰減值，i＝1,2,...,n，n表示所述情報源中第l個情報的證據的個數，rl,a表示所述情報源中第l個情報的證據的可信度評分的平均衰減值；其中，t表示當前時間，ti,0表示所述情報源中第l個情報的第i個證據的輸出時間，其中，如果有多個不同輸出所述情報的情報源提供所述證據時，則tk表示來自于第k個輸出所述情報的情報源的所述證據的輸出時間，p表示輸出包含所述證據的情報的情報源的個數，α表示可信度衰減系數，γ表示可信度收斂系數。較佳地，初始時，為每一情報源設置一個初始可信度評分；針對每一情報源，確定所述情報源的可信度評分，具體包括：通過以下公式計算所述情報源的可信度評分：其中，Ir表示所述情報源的可信度評分；v表示所述情報源歷史評分總次數；m表示所述情報源評分影響數；C表示所述情報源的歷史平均可信度評分；Ra表示所有情報源的上一歷史平均可信度評分，Rl表示第l個情報源的可信度評分，r＝1,2,...,s，s表示情報源的個數。較佳地，根據所述情報源的可信度評分和所述各情報的可信度評分評估所述各情報的質量，具體包括：通過以下公式計算所述各情報的質量：Rl'＝a*Ir+b*Rl其中，Rl'表示所述情報源中第l個情報的質量，l＝1,2,...,q，q表示所述情報源中的情報的個數；Ir表示所述情報源的可信度評分，a表示Ir的權重；Rl表示所述情報源中第l個情報的可信度評分，b表示Rl的權重。第二方面，本專利技術實施例提供了一種情報質量評估裝置，包括：接收單元，用于接收情報源輸出的情報，其中，所述情報源為威脅情報數據源，所述情報為威脅情報數據；確定單元，用于針對每一情報源，確定所述情報源的可信度評分以及所述情報源中的各情報的可信度評分；評估單元，用于根據所述情報源的可信度評分和所述各情報的可信度評分評估所述各情報的質量。較佳地，所述確定單元，具體用于針對每一情報源中的每一情報，通過以下步驟確定所述情報的可信度評分：確定所述情報源中的所述情報的各證據的置信度評分；根據所述各證據的置信度評分確定所述情報源中所述情報的本文檔來自技高網...

【技術保護點】
1.一種情報質量評估方法，其特征在于，包括：/n接收情報源輸出的情報，其中，所述情報源為威脅情報數據源，所述情報為威脅情報數據；/n針對每一情報源，確定所述情報源的可信度評分以及所述情報源中的各情報的可信度評分；/n根據所述情報源的可信度評分和所述各情報的可信度評分評估所述各情報的質量。/n

【技術特征摘要】
1.一種情報質量評估方法，其特征在于，包括：
接收情報源輸出的情報，其中，所述情報源為威脅情報數據源，所述情報為威脅情報數據；
針對每一情報源，確定所述情報源的可信度評分以及所述情報源中的各情報的可信度評分；
根據所述情報源的可信度評分和所述各情報的可信度評分評估所述各情報的質量。


2.如權利要求1所述的方法，其特征在于，針對每一情報源，確定所述情報源中的各情報的可信度評分，具體包括：
針對每一情報源中的每一情報，通過以下步驟確定所述情報的可信度評分：
確定所述情報源中的所述情報的各證據的置信度評分；
根據所述各證據的置信度評分確定所述情報源中所述情報的可信度評分。


3.如權利要求2所述的方法，其特征在于，如果有若干情報源輸出所述情報，則確定所述情報源中的所述情報的各證據的置信度評分，具體包括：
根據輸出所述情報的各情報源中所述情報的證據集合確定所述情報的多重證據集合；
確定所述情報的多重證據集合中的各證據的置信度評分。


4.如權利要求3所述的方法，其特征在于，針對每一情報源中的每一情報，根據輸出所述情報的各情報源中所述情報的證據集合確定所述情報的多重證據集合，具體包括：
通過以下公式確定所述情報的多重證據集合：



其中，M表示所述情報的多重證據集合，j＝1,2,...,m，m表示輸出所述情報的情報源的個數；
Bj表示第j個輸出所述情報的情報源中的所述情報的證據集合；



Ej,i表示所述第j個輸出所述情報的情報源中的所述情報的第i個證據，i＝1,2,...,n，n表示所述第j個輸出所述情報的情報源中的所述情報的證據的個數。


5.如權利要求4所述的方法，其特征在于，初始時，為每一證據設置一個初始置信度評分；
確定所述情報的多重證據集合中的各證據的置信度評分，具體包括：
當確定所述情報的多重證據集合中的任一證據來自于大于等于2個不同的輸出所述情報的情報源時，則確定所述證據的當前置信度評分；
判斷所述證據的當前置信度評分是否大于所述證據的上一歷史置信度評分；
如果是，則利用所述當前置信度評分更新所述上一歷史置信度評分；
否則，保持所述證據的置信度評分不變。


6.如權利要求5所述的方法，其特征在于，當確定所述情報的多重證據集合中的任一證據來自于大于等于2個不同的輸出所述情報的情報源時，則通過以下公式計算所述證據的當前置信度評分：



其中，r表示所述證據的當前置信度評分；



ra表示所述證據的上一歷史平均置信度評分；
rk表示來自于第k個輸出所述情報的情報源的所述證據的上一歷史置信度評分，k＝1,2,...,p，p表示輸出包含所述證據的情報的情報源的個數；
β表示置信度收斂系數。


7.如權利要求5所述的方法，其特征在于，根據所述各證據的置信度評分確定所述情報源中所述情報的可信度評分，具體包括：
通過以下公式計算所述情報源中所述情報的可信度評分：



其中，Rl表示所述情報源中第l個情報的可信度評分，l＝1,2,...,q，q表示所述情報源中的情報的個數；
rl,0表示所述情報源中第l個情報的證據的置信度評分的最大值；

rl,i表示所述情報源中第l個情報的第i個證據的可信度評分的衰減值，i＝1,2,...,n，n表示所述情報源中第l個情報的證據的個數，rl,a表示所述情報源中第l個情報的證據的可信度評分的平均衰減值；

其中，t表示當前時間，ti,0表示所述情報源中第l個情報的第i個證據的輸出時間，其中，如果有多個不同輸出所述情報的情報源提供所述證據時，則tk表示來自于第k個輸出所述情報的情報源的所述證據的輸出時間，p表示輸出包含所述證據的情報的情報源的個數，α表示可信度衰減系數，γ表示可信度收斂系數。


8.如權利要求1所述的方法，其特征在于，初始時，為每一情報源設置一個初始可信度評分；
針對每一情報源，確定所述情報源的可信度評分，具體包括：
通過以下公式計算所述情報源的可信度評分：



其中，Ir表示所述情報源的可信度評分；
v表示所述情報源歷史評分總次數；
m表示所述情報源評分影響數；
C表示所述情報源的歷史平均可信度評分；

Ra表示所有情報源的上一歷史平均可信度評分，Rl表示第l個情報源的可信度評分，r＝1,2,...,s，s表示情報源的個數。


9.如權利要求7或8所述的方法，其特征在于，根據所述情報源的可信度評分和所述各情報的可信度評分評估所述各情報的質量，具體包括：
通過以下公式計算所述各情報的質量：
Rl'＝a*Ir+b*Rl
其中，Rl'表示所述情報源中第l個情報的質量，l＝1,2,...,q，q表示所述情報源中的情報的個數；
Ir表示所述情報源的可信度評分，a表示Ir的權重；
Rl表示所述情報源中第l個情報的可信度評分，b表示Rl的權重。


10.一種情報融合方法，其特征在于，包括：
接收情報源輸出的情報，其中，所述情報源為威脅情報數據源，所述情報為威脅情報數據；
根據權利要求1～9任一項所述的情報質量評估方法評估所述情報，確定所述情報的質量；
當確定所述情報的質量大于等于第一預設閾值時，按照預設特征抽取規則抽取所述情報的特征；
將所述情報的特征與建立的情報知識圖譜中相關聯的情報的特征進行連接，更新所述情報知識圖譜，其中，所述情報知識圖譜用于表征情報的特征之間的關聯關系；
根據所述情報知識圖譜中相連接的特征之間的關聯關系進行情報融合，生成融合后的情報。


11.如權利要求10所述的方法，其特征在于，根據所述情報知識圖譜中相連接的特征之間的關聯關系進行情報融合，具體包括：
根據第一個情報的特征值和第二情報的特征值確定所述第一情報和所述第二情報之間的相似度；
當確定所述相似度大于等于第二預設閾值時，將所述第一情報和所述第二情報進行融合。


12.如權利要求11所述的方法，其特征在于，通過以下步驟確定所述第一情報和所述第二情報的特征值：
獲取所述第一情報的第一特征集合和所述第二情報的第二特征集合，所述第一特征集合中的各特征和所述第二特征集合中的各特征分別按照預設格式進行排列；
將所述第一特征集合和所述第二特征集合取并集獲得第三特征集合；
將所述第三特征集合確定為所述第一情報的第四特征集合，以及將所述第三特征集合確定為所述第二情報的第五特征集合；
根據所述第一特征集合中的特征對所述第四特征集合特征進行向量賦值，以及根據所述第二特征集合中的特征對所述第五特征集合中的特征進行向量賦值。


13.如權利要求12所述的方法，其特征在于，
根據所述第一特征集合中的特征對所述第四特征集合中的特征進行向量賦值，具體包括：
將所述第四特征集合中與所述第一特征集合中的特征相同的特征賦值為向量1，將所述第四特征集合中與所述第一特征集合中的特征不同的特征賦值為向量0；
根據所述第二特征集合中的特征對所述第五特征集合中的特征進行向量賦值，具體包括：
將所述第五特征集合中與所述第二特征集合中的特征相同的特征賦值為向量1，將所述第五特征集合中與所述第二特征集合中的特征不同的特征賦值為向量0。


14.如權利要求13所述的方法，其特征在于，根據第一個情報的特征值和第二情報的特征值確定所述第一情報和所述第二情報之間的相似度，具體包括：
通過以下公式計算所述第一情報和所述第二情報之間的相似度：



其中，D表示所述第一情報和所述第二情報之間的相似度；
x1d表示所述第四特征集合中的第d個特征值；
x2d表示所述第五特征集合中的第d個特征值；
d＝1,2,...,N，N表示所述第四特征集合中的特征的個數或者所述第五特征集合中的特征的個數。

【專利技術屬性】
技術研發人員：孫建鵬，張宏斌，葉建偉，周素華，張宇娜，范敦球，
申請(專利權)人：北京神州綠盟信息安全科技股份有限公司，北京神州綠盟科技有限公司，
類型：發明
國別省市：北京;11