【技術實現步驟摘要】
本專利技術涉及威脅情報,特別涉及一種基于改進pagerank算法的威脅情報平臺排序方法。
技術介紹
1、目前,隨著各種新技術的不斷涌現,網絡威脅和攻擊變得愈加復雜和嚴重。因此,越來越多的安全組織需要威脅情報平臺所提供的威脅情報數據來保護其基礎設施免受網絡攻擊的危害。這些威脅情報平臺通常提供當前最新的威脅情報信息以及查詢威脅情報數據庫的接口,方便安全從業人員獲取需要的威脅情報數據。與此同時,隨著網絡安全行業的發展以及各行業對威脅情報的重視程度不斷提高,威脅情報平臺的數量也在不斷增加。面對一個有著豐富選擇空間的威脅情報共享系統,選取高質量的威脅情報平臺就顯得尤為重要。這是因為低質量的威脅情報平臺往往會導致大量的誤報和漏報,同時由于其提供的情報重復且冗余,給安全組織增加了額外的時間成本和經濟開銷。
2、pagerank是一種由搜索引擎利用網頁間超鏈接計算網頁重要度的算法。事實上,pagerank?可以定義在任意有向圖上,后來被應用到社會影響力分析、文本摘要等多個問題。pagerank算法的基本想法是在有向圖上定義一個隨機游走模型,即一階馬爾可夫鏈,描述隨機游走者沿著有向圖隨機訪問各個結點的行為。pagerank表示這個馬爾可夫鏈的平穩分布,每個結點的平穩概率值就是其pagerank值,它對每個網頁給出一個正實數,表示網頁的重要程度,整體構成一個向量,pagerank值越高,網頁就越重要,在互聯網搜索的排序中可能就被排在前面。pagerank?是遞歸定義的,pagerank?的計算可以通過迭代算法進行,通過迭代,不斷計算所有
3、近些年,針對威脅情報平臺的評估研究層出不窮,但絕大部分研究集中在對威脅情報平臺的單項指標進行評估。在2018年meier等人提出了feedrank,一種網絡威脅情報推送的排序方法。其關鍵思想是將網絡威脅情報推送源之間的相關性建模成一個相關圖,并對該圖執行排序算法以獲取對準確性和及時性的評估結果,再結合源對于收集的整體威脅情報數量的貢獻情況對威脅情報推送源進行總體排序。
4、盡管feedrank能夠通過分析威脅情報源之間的重用情況對威脅情報源進行排序,但其存在著以下的不足:1、對于源之間的重用分析僅局限于幾個快照,無法做到在時間維度上縱向地對威脅情報平臺的報告情況進行分析;2、威脅情報源的貢獻和兩兩之間相互關系的分析是相對獨立的,在最后綜合排序是僅簡單地求兩者的平均值,缺乏整體性分析;3、整個評估過程中只涉及到對威脅情報源的分析,沒有涉及到威脅情報本身內容的分析,而威脅情報平臺數據庫中的威脅情報內容中蘊含著豐富的文本信息。
技術實現思路
1、本專利技術的主要目的在于解決上述技術問題,提出一種基于改進pagerank算法的威脅情報平臺排序方法,幫助安全從業人員選擇高質量威脅情報來源,提升情報獲取的能力及減少不必要的開銷。
2、為實現上述目的,本專利技術提供了一種威脅情報平臺排序方法,所述方法包括以下步驟:
3、步驟s100,情報收集,利用真實惡意ip數據對威脅情報平臺數據庫進行一段時間的持續采集;
4、步驟s200,情報分析,分別對收集到的威脅情報進行基于威脅情報源的分析和基于威脅情報內容的分析,得到相應的評估分數和;
5、步驟s300,引用分析,使用動態時間規整算法對時間窗口內威脅情報平臺的情報判定結果時間序列進行相似性分析,再結合惡意判定時間先后順序得出各平臺的引用情況;
6、步驟s400,相關圖構建,以各威脅情報平臺為節點,各平臺之間的引用情況為邊構建威脅情報平臺的相關圖并計算加權概率轉移矩陣;
7、步驟s500,迭代計算,將加權概率轉移矩陣以及阻尼因子代入pr公式進行馬爾可夫迭代,得到基于源和引用情況的排序分數;
8、步驟s600,將上述基于源的排序分數與步驟s200中基于威脅情報內容的評估分數進行加權計算,得到最終評估排序結果。
9、本專利技術進一步地技術方案是,所述步驟s200包括:
10、步驟s210,基于威脅情報源的分析,具體涉及命中率、重疊率與威脅情報內容無關的指標,之后根據安全從業人員自身需求分配相應權重得到最終基于威脅情報源的評估分數;
11、步驟s220,基于威脅情報內容的分析,具體涉及惡意分類、內容豐富度僅與威脅情報內容相關的指標,之后根據安全從業人員自身需求分配相應權重得到最終基于威脅情報內容的評估分數。
12、本專利技術進一步地技術方案是,所述步驟s300包括:
13、步驟s310,在時間維度上對各平臺的威脅情報的判定結果進行統;
14、步驟s320,利用動態時間規整算法,對來自不同平臺的、針對相同惡意ip的各平臺威脅情報判定結果時間序列,進行兩兩之間的相似性分析,在平臺a和平臺b中,令表示平臺a和平臺b共同檢測出的第個ip的威脅情報的相似性得分。
15、步驟s330,統計各平臺兩兩之間對相同惡意ip惡意判定時間的先后,得到各平臺之間的惡意判定領先/滯后情況:比較兩個平臺之間對相同惡意ip第一次檢測到惡意的時間先后,得到平臺b比平臺a惡意判定時間更靠前的ip集合;
16、步驟s340,結合威脅情報相似性得分和惡意判定時間的先后,得到各平臺之間的引用情況分數;平臺a對平臺b的引用情況分數,其中為平臺a引用平臺b的所有威脅情報的相似性得分之和,為平臺b檢測出的威脅情報數量。
17、本專利技術進一步地技術方案是,所述步驟s400包括:
18、步驟s410,在相關圖中,每個威脅情報平臺節點根據基于威脅情報源的指標總得分確定權重,得到各威脅情報平臺節點的權重矩陣,其中為平臺a的基于威脅情報源的評估分數,為威脅情報平臺節點數量;
19、步驟s420,通過有向邊來表示威脅情報平臺之間的引用關系,有向邊的指向由引用平臺指向被引用平臺,有向邊的權重由平臺間的引用率確定:
20、平臺b對平臺a的引用在相關圖中表示為由b指向a的一條有向邊,其權重為,由此得到n個威脅情報平臺之間的引用情況分數矩陣,其中為平臺a對平臺b的引用情況分數,各平臺對自身的引用情況分數;
21、步驟s430,將步驟s410中的權重矩陣廣播為n*n的矩陣,再與步驟s420中的引用情況分數矩陣進行哈達瑪積運算,得到最終加權概率轉移矩陣,并進行歸一化操作。
22、本專利技術進一步地技術方案是,所述步驟s500包括:
23、步驟s510,計算阻尼因子:使用威脅情報引用傳播的平均路徑長度來計算阻尼因子,其中為所有含有引用關系的威脅情報的平均路徑長度,在pagerank中,阻尼因子描述了用戶在瀏覽某個網站時通過鏈接訪問另一個網站的概率;
24、步驟s520,將阻尼因子代入pr公式中,得到馬爾可夫迭代中每個平臺pr值的計算式,其中每次馬爾可夫迭代威脅情報平臺a節點pr值的計算式為,其中為威脅情報平臺節點數量,表本文檔來自技高網...
【技術保護點】
1.一種威脅情報平臺排序方法,其特征在于,所述方法包括以下步驟:
2.根據權利要求1所述的威脅情報平臺排序方法,其特征在于,所述步驟S200包括:
3.根據權利要求2所述的威脅情報平臺排序方法,其特征在于,所述步驟S300包括:
4.根據權利要求3所述的威脅情報平臺排序方法,其特征在于,所述步驟S400包括:
5.根據權利要求4所述的威脅情報平臺排序方法,其特征在于,所述步驟S500包括:
6.一種威脅情報平臺排序系統,其特征在于,所述系統包括存儲器、處理器以及存儲在所述處理器上的威脅情報平臺排序程序,所述威脅情報平臺排序程序被所述處理器運行時執行如權利要求1至5任意一項所述的方法的步驟。
7.一種計算機可讀存儲介質,其特征在于,所述計算機可讀存儲介質存儲有威脅情報平臺排序程序,所述威脅情報平臺排序程序被處理器運行時執行如權利要求1至5任意一項所述的方法的步驟。
【技術特征摘要】
1.一種威脅情報平臺排序方法,其特征在于,所述方法包括以下步驟:
2.根據權利要求1所述的威脅情報平臺排序方法,其特征在于,所述步驟s200包括:
3.根據權利要求2所述的威脅情報平臺排序方法,其特征在于,所述步驟s300包括:
4.根據權利要求3所述的威脅情報平臺排序方法,其特征在于,所述步驟s400包括:
5.根據權利要求4所述的威脅情報平臺排序方法,其特征在于,所述...
【專利技術屬性】
技術研發人員:顧釗銓,謝琦彬,曾麗儀,張歡,胡瑋琪,賈焰,
申請(專利權)人:哈爾濱工業大學深圳哈爾濱工業大學深圳科技創新研究院,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。