一种基于多层感知器的陷落指标自动提取方法

技术领域

本发明涉及网络安全领域，特别涉及一种基于多层感知器的陷落指标自动提取方法。

背景技术

目前公开的网络威胁情报来源主要由AlienVault、FireEye、Malwarebyte等安全公司建立的博客或论坛。这些博客、论坛时常发布当前正在发生的网络安全事件，可以方便安全人员了解与安全事件相关的详细信息。随着网络安全事件的激增，与安全事件相关的陷落指标（IoC）信息也在不断被上述公开的威胁情报来源及时地公布、报导。如果能够及时地将计算机系统中发现的IoC信息回溯到与之相关的博客和帖子，就可以极大提高安全人员处置安全事件的效率。

由于安全公司的博客和论坛同时也会发布大量与网络安全事件无关的文章，因此如何自动化地从大量文章中分类出与安全事件有关的文章，并提取出文章中非结构化的IoC数据，构建威胁情报数据库，是本领域技术人员亟需解决的问题。

发明内容

本申请的目的是提供一种陷落指标自动提取方法，能够自动化地从大量网页中分类出安全事件类文章并从文章中提取陷落指标（IoC）。

为解决上述技术问题，本申请提供一种陷落指标自动提取的方法，该方法包括以下方法。

通过HTML处理技术，去除与文章内容无关的HTML标签，生成所述简化HTML文件。

通过自然语言处理技术替换、去除HTML所含文本信息中，为避免读者错误点击而设置的干扰符号，生成源HTML文件。

通过自然语言处理技术对所述源HTML文件所含由的文本数据进行多维特征提取，所述多维特征如下：1）文本数据中出现的各类疑似IoC数据数量；2）通过隐藏狄利克雷分布主题模型提取出的文章数据主题词；3）文本数据的大小。

通过从收集的大量网页文章中组织训练样本，提取所述的多维特征，训练多层感知器模型。使用所述的训练好的多层感知器模型，从大量网页文章中分离出安全事件类文章。

对所述源HTML文件，若其文本数据所含信息与网络安全事件有关，则通过基于HTML结构的聚类方法形成不同的疑似IoC组。

对疑似IoC组内的各个疑似IoC所在语句进行关键字匹配，判断该疑似IoC是否为所述IoC条目。若确认该疑似IoC是所述IoC条目，则提取该IoC数据，并从该所属的疑似IoC组中去除该IoC。

通过疑似IoC组中的各疑似IoC出现在文本数据中的先后顺序不同，推选该疑似IoC组的代表IoC。通过所述代表IoC在HTML结构中的位置关系，查找能够代表该疑似IoC组的关键句。使用关键字对所述关键句进行匹配，判断关键句所关联的疑似IoC组是否为IoC条目。

本发明提供了一种新的IoC提取方法，对网页文章所在HTML文件进行预处理，去除其中无文本显示意义的标签，生成简化HTML文件；通过自然语言处理技术替换、去除所述简化HTML文件中的干扰符号，生成源HTML文件；通过自然语言处理技术，从所述源HTML文件中的文本数据中提取多维特征并训练多层感知器模型，从大量网页文章中分离出与网络安全事件有关的网页文章；对所述与网络安全事件有关的网页文章，通过疑似IoC在源HTML文件中的位置结构关系查找能够指代一组具有相同标签的疑似IoC组是否为IoC条目的关键句；通过关键词匹配算法处理所述关键句以判定该疑似IoC是否为IoC条目。

附图说明

图1为本申请实施例所提供的一种陷落指标提取的方法的流程图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整描述。显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面请参加图1，图1为本申请实施例所提供的IoC提取方法的流程图。

具体步骤如下。

步骤S101：通过HTML处理技术，去除与文章内容无关的HTML标签，生成简化HTML文件：

通过HTML文件处理技术，去除只具有文本增强功能的“”，“”，“”，“”，“
”，“
”，“
”等标签；将HTML文件中的“”标签替换为“

”标签，“”标签替换为“