本文介绍: 该论文我们提供了一个全面的开源威胁情报挖掘框架,涵盖了该领域的关键方向技术应用及未来趋势。**注意**:这篇论文发布时间稍早,最前沿的视角需要之后再去补充阅读其他相关论文。**关键词**:开源威胁情报;识别提取;融合评价;关联分析本文为综述的第四章节,将梳理开源威胁情报挖掘技术的**开源威胁情报融合评价**。有助于新入领域研究者全面理解开源威胁情报挖掘,并为细分方向研究者提供参考,以突破现有研究的局限性。

写在最前面

目前计划网络安全领域开源威胁情报挖掘展开一步实验论文写作,欢迎交流

本文基于2022年1月《信息安全学报》崔琳等老师的论文 基于开源信息平台的威胁情报挖掘综述 进行梳理了解。

该论文为我们提供了一个全面的开源威胁情报挖掘框架,涵盖了该领域的关键方向技术应用及未来趋势。
注意:这篇论文发布时间稍早,最前沿的视角需要之后再去补充阅读其他相关论文。

关键词开源威胁情报;识别提取;融合评价;关联分析


这篇综述的内容相当扎实,所以预期分几次完成阅读

前文:【开源威胁情报挖掘1】引言 + 开源威胁情报挖掘框架 + 开源威胁情报采集与识别提取

本文为综述的第四章节,将梳理开源威胁情报挖掘技术开源威胁情报融合评价

有助于新入领域研究者全面理解开源威胁情报挖掘,并为细分方向的研究者提供参考,以突破现有研究的局限性。

4 开源威胁情报融合评价

章节供了对开源威胁情报融合评价数据融合的深入分析关注如何从多源异构的情报中提取质量可信的威胁情报。

开源威胁情报的特征与挑战

质量的威胁情报应具备时效性、准确性、完整性、丰富性、可操作性和场景相关性

然而,由于开源威胁情报的多源异构性,质量良莠不齐,这在存储共享和实际应用中造成了挑战,如可能出现的漏报和误报。

4.1 开源威胁情报数据融合

数据融合有效利用开源威胁情报的关键。目前的研究工作主要集中在:①多源异构情报的一致性分析和②去伪去重等粗粒度数据融合方法

这些方法旨在扩展情报信息维度,并实现分析后的开源威胁情报的归一化封装输出

融合处理方法

由于开源威胁情报来源的开放性,其产出具有显著的多源异构性。

近年来,众多学者对开源威胁情报的融合处理进行了大量研究,主要通过一致性分析、去伪去重及数据融合分析操作进行改善。

4.1 开源威胁情报的质量评价

质量评价针对开源威胁情报的可信性和可用性进行的评估,一般包括定性评价方法定量评价方法。这些评价方法对于确保所使用的开源威胁情报的质量和可靠性至关重要

开源威胁情报的融合评价和数据融合是提高情报质量、可信性的关键。通过有效的融合处理精确的质量评价,可以从广泛的开源信息中提取出高质量的威胁情报。
这对于深入理解威胁攻击、扩充商业威胁情报的数据维度,以及提供更广泛有效防御路径具有重要意义。

4.1.1 一致性分析

开源威胁情报中的一致性分析及其在本体构建中的应用。

在开源威胁情报领域,本体为同一领域不同实体之间提供了交流连接语义基础,是理解处理开源威胁情报的关键。

一致性分析通过本体构建在开源威胁情报的共享与分析中发挥关键作用通过本体构建可以实现数据知识的转化,并为威胁情报的进一步处理提供坚实的基础。这种方法在促进开源威胁情报的有效利用提高分析效率方面具有重要价值。

本体的定义与组成

在这里插入图片描述
在这里插入图片描述

根据形式化定义[50],本体包含以下元素

本体构建的层次

本体构建层次可以参考图 4,其中安全情报本体作为情报知识图谱构建核心层次。本体构建是将信息抽取得到的实体及其关系转化为知识网络过程,同时,本体中定义约束规则为后续的质量评估和知识推理提供基础[51]。

在这里插入图片描述

实现方法

本体类型

应用案例
北京航空航天大学团队在开源威胁情报一致性分析中应用了本体,提出了描述多源异构开源威胁情报的基于本体的统一模型[52]。此外,他们开发一个基于统一模型和开源情报收集工具IntelMQ的开源威胁情报集成框架

4.1.2 去伪去重

去伪去重是开源威胁情报挖掘的一个重要环节,主要通过维度扩展和挖掘分析方法对情报数据进行提纯。

4.1.3 数据融合分析

数据融合分析通过机器学习等方法对原始情报信息进行关联融合处理,以获得具有时效性、准确性、完整性的高质量威胁情报。

4.2 开源威胁情报质量及可信性评价

专注于开源威胁情报的质量及可信性评价,特别是定性评价方法的应用和重要性。

网络安全领域,对开源威胁情报的质量和可信性进行评估对于辅助决策和安全分析至关重要国内外学者对此进行了广泛的研究,尤其是定性评价方法,对于理解和提升开源威胁情报的价值具有重要意义。

对开源威胁情报进行定性评价是确保其质量和可信性的重要步骤。这些评价方法不仅提供了一个全面的评估框架,还有助于深入理解情报内容的重要性和应用价值。对于网络安全专家来说,这些评价方法是提高情报使用效率和有效性的重要工具

4.2.1 定性评价方法

定性评价方法侧重于使用非量化标准来评估情报的质量和可用性

4.2.2 定量评价方法

定量评价方法通过使用具体的量化指标来评估开源威胁情报。

开源威胁情报的定量评价方法通过引入多种量化指标和高级数据分析技术,为评估情报的质量和可信度提供了更准确、客观的视角。这些方法不仅提高了情报的使用效率和有效性,还为网络安全专家提供了重要的技术支持

特征指标提取

从开源威胁情报的特点出发, 提取多个特征作为评价依据。

自定义定量评价标准
图挖掘技术的应用
  • 文献[72]:提出从图挖掘角度评估异构开源威胁情报的可信水平,构建了异构开源威胁情报图。
  • Roland等人[73]:提出了OSCTI源排序方法FeedRank利用模拟feed之间的关系,并对每个OSCTIF的贡献度进行量化分析。
  • 文献[74]:提出了基于知识表示算法TransE模型和RNN模型的可信评估模型,构建了一个情报知识图谱

4.3 总结讨论

开源威胁情报的数据融合、质量和可信性评价是保障其有效性和可靠性的关键。
这一领域的研究可以分为定性评价定量评价两个主要方向。

表 3 所示, 其中每一行代表一项研究工作,
第 1 列代表不同的研究方向;
第 3 列为主要的技术应用场景;
第 4 列为实现该项研究所应用的技术方法, 主要从数学模型以及评价技术两个方向进行归纳分析;
第 5 列为性能评估;
第 6 列为通过总结优缺点对该项研究工作的评价。

在这里插入图片描述

数据融合与质量评价的方法和技术

性能评估与研究评价

  • 表3中的比较分析显示不同的技术和方法有其独特的优点和局限性。例如,机器学习在处理大规模数据集时表现出色,而加权平均模型在考虑多个评价指标时更加灵活。

研究和应用的前景

  • 这些研究成果为开源威胁情报的质量评价和可信度打分提供了有效的技术支持,减少了人力需求,并帮助组织筛选出高质量、准确可信的威胁情报。

prompt阅读梳理文献的尝试

结合chatgpt阅读梳理文献。

我现在在调研网安领域的威胁情报,以期待找到能做命名实体识别or关系抽取任务

我现在是阅读一篇论文《基于开源信息平台的威胁情报挖掘综述》,请梳理这段话,表达专业明了,保留参考文献,我需要详细的内容,形成博客,方便阅读理解和后续思路整理

介绍新型网络安全威胁类型:APT、多态威胁、零日威胁、复合威胁,通过实际场景来说明,并之处其中存在命名实体识别、关系抽取任务

原文地址:https://blog.csdn.net/wtyuong/article/details/134722734

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_39652.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注