IOCs信誉动态评价及动态衰减方法、装置和电子设备

技术领域

本发明涉及网络安全技术领域，尤其涉及一种IOCs信誉动态评价及动态衰减方法、装置和电子设备。

背景技术

IOCs(Indicator of compromises，攻击指示器)常被用在调查取证的场景下，指的是受害主机被攻破的证据，包含恶意文件哈希值、恶意软件的特征、恶意的IP地址、URL、域名等被动识别的信标。对IOCs进行信誉评价可以从及时性、有效性、完整性三个方面量化IOCs的威胁程度，主要体现在如下几个方面：信誉评价可以通过风险等级标记IOCs的威胁程度，可以使得情报使用者制定相应的策略实现对恶意攻击的检测和对恶意流量的告警/阻断；信誉评价可以帮助区分不同的威胁主体（threat actor），不同的威胁主体可能有不同的攻击目的、危害、技术、战术等相关内容，这些信息对于事件响应和威胁狩猎都很有价值；信誉评价可以提高检测准确性和速度，以及缩短修复时间。一般来说，越早发现攻击，对业务的影响就越小，解决起来也越容易。信誉评价可以帮助识别重复出现的IOCs，从而提供对攻击者的技术和方法的洞察，进而改进安全工具、事件响应能力和安全策略，防止未来的事件。

目前，IOCs信誉评价的方法一般为：基于安全人员的经验进行人工标定，给每个数据源一个初始信誉值和衰减值。但是，由于数据源的质量是随着时间不断变化的，因此，通过人工标定为每个数据源的初始信誉值和衰减值赋值的方法，无法反映数据源的质量变化，进而无法有效的评价数据源的质量。

发明内容

为了解决现有技术中存在的问题，本发明提供了如下技术方案。

本发明第一方面提供了一种IOCs信誉动态评价及动态衰减方法，包括：

确定量化IOCs数据源质量的影响因素及各影响因素的权重；

确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点，所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化；

在下次的更新时间节点按照当前更新模式对IOCs数据源的初始信誉值和衰减值进行动态调整，得到动态调整后的IOCs数据源的初始信誉值和衰减值；所述动态调整包括：在更新周期内，基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计，若聚合统计后得到的数据条数为零，则对IOCs数据源的初始信誉值进行加分调整，同时对衰减值进行减分调整以减速衰减；若聚合统计后得到的数据条数小于阈值，则保持IOCs数据源的初始信誉值和衰减值不变；若聚合统计后得到的数据条数大于阈值，则对IOCs数据源的初始信誉值进行减分调整，同时对衰减值进行加分调整以加速衰减。

优选地，在所述对IOCs数据源的初始信誉值进行减分调整中，需要减少的初始信誉值的分值采用如下方法计算得到：

根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合，统计每个标识对应的数据条数，记作

基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合，统计每个标识对应的数据条数，记作

计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的

IOCs数据源中不准确数据所占比例

；

计算

；

其中，

针对IOCs数据源的数据，计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第

；

针对IOCs数据源的数据，计算需要减少的分值

；

其中，

优选地，所述对IOCs数据源的初始信誉值进行减分调整，调整后的初始信誉值采用如下公式计算：

；

其中，

优选地，在所述对衰减值进行加分调整以加速衰减中，加速衰减系数采用如下方法计算得到：

根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合，统计每个标识对应的数据条数，记作

基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合，统计每个标识对应的数据条数，记作

计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例

；

计算

；

其中，

计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第

；

针对IOCs数据源的数据，计算加速衰减系数：

；

其中，

优选地，所述对衰减值进行加分调整以加速衰减中，调整后的衰减值采用如下方法计算得到：

；

其中，

优选地，在所述基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合之前，还包括：

基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型、IOCs数据来源和值为标识进行数据的聚合，统计每个标识包含的数据和每个标识对应的数据总条目数，记作

在

优选地，在所述对IOCs数据源的初始信誉值进行加分调整中，需要增加的初始信誉值的分值采用如下公式计算：

；

其中，

优选地，在所述对衰减值进行减分调整以减速衰减中，调整后的衰减值采用如下公式计算：

；

其中，

优选地，所述动态调整后的IOCs数据源的初始信誉值和/或衰减值若达到上限或下限，则进行告警并由人工介入进行IOCs数据源的审查和分析。

优选地，所述方法还包括强制回退步骤，即通过人工介入将IOCs数据源的初始信誉值和衰减值的当前值回退为上一值。

优选地，所述量化IOCs数据源质量的影响因素包括白名单、内网IP、格式校验、灰名单-自证成本高、灰名单-误报和ASN过滤；其中，各影响因素对IOCs数据源初始信誉值的重要度分别为5、4、3、0、5、0；各影响因素对IOCs数据源衰减值的重要度分别为5、4、0、3、5、1。

优选地，各所述影响因素的权重采用层次分析法计算得到。

优选地，所述当前更新模式包括：

不更新模式：适用于指定的IOCs数据源；

日更新模式：IOCs数据源的平均更新间隔为天，IOCs数据源的平均更新比率≥80%，更新模式的更新间隔为每天；

周更新模式： IOCs数据源的平均更新间隔≤一周，40%≤IOCs数据源的平均更新比率<80%，更新模式更新间隔为每周；

月更新模式：默认的更新模式，更新模式更新间隔为每月；

立即更新模式：若灰名单中新增IOCs数据源的过滤项总条数大于等于预设值，则在当前的更新模式下，另外独立启动立即更新模式。

优选地，所述确定IOCs数据源初始信誉值和衰减值的初始更新模式包括：除指定的IOCs数据源采用不更新模式外，其余的IOCs数据源采用默认的月更新模式。

优选地，确定IOCs数据源初始信誉值和衰减值的当前更新模式和下次的更新时间节点包括：基于上一更新模式的更新时间节点确定当前更新模式，确定当前是否处于更新节点，若处于更新节点则计算当前的IOCs数据源平均更新比率和IOCs数据源平均更新间隔；基于当前的IOCs数据源平均更新比率和IOCs数据源平均更新间隔确定当前更新模式；

若更新模式退化，即从上一更新模式的日更新模式变化为当前更新模式的周更新模式，或从上一更新模式的周更新模式变化为当前更新模式的月更新模式：将上次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点；

若更新模式进化，即从上一更新模式的月更新模式变化为当前更新模式的周更新模式，或从上一更新模式的周更新模式变化为当前更新模式的日更新模式：将本次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点；

若更新模式不变，即上一更新模式与当前更新模式相同：将本次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点。

优选地，当前的IOCs数据源更新比率，采用如下公式计算：

；

式中，

本发明第二方面提供了一种IOCs信誉动态评价及动态衰减装置，包括：

影响因素及其权重确定模块，用于确定量化IOCs数据源质量的影响因素及各影响因素的权重；

更新模式确定模块，用于确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点，所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化；

动态调整模块，用于在下次的更新时间节点对IOCs数据源的初始信誉值和衰减值进行动态调整，得到动态调整后的IOCs数据源的初始信誉值和衰减值；所述动态调整包括：在更新周期内，基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计，若聚合统计后得到的数据条数为零，则对IOCs数据源的初始信誉值进行加分调整，同时对衰减值进行减分调整以减速衰减；若聚合统计后得到的数据条数小于阈值，则保持IOCs数据源的初始信誉值和衰减值不变；若聚合统计后得到的数据条数大于阈值，则对IOCs数据源的初始信誉值进行减分调整，同时对衰减值进行加分调整以加速衰减。

本发明第三方面提供了一种存储器，存储有多条指令，所述指令用于实现如第一方面所述的方法。

本发明第四方面提供了一种电子设备，包括处理器和与所述处理器连接的存储器，所述存储器存储有多条指令，所述指令可被所述处理器加载并执行，以使所述处理器能够执行如第一方面所述的方法。

本发明的有益效果是：本发明提供的IOCs信誉动态评价及动态衰减方法、装置、存储器和电子设备，根据IOCs数据源质量影响因素的每日命中日志情况，构建的综合信誉评价体系，不仅包含IOCs初始信誉值的动态调整方法，也包含衰减值的动态调整方法，同时还包含更新模式的自动计算和切换方法，能够从IOCs数据源的更新比率和数据质量等多个角度进行IOCs信誉的综合自适应量化，有效的表达了IOCs数据源随时间的威胁程度变化情况。

附图说明

图1为本发明所述IOCs信誉动态评价及动态衰减方法流程示意图；

图2为本发明所述IOCs信誉动态评价及动态衰减装置功能结构示意图。

具体实施方式

为了更好地理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案做详细地说明。

本发明提供的方法可以在如下的终端环境中实施，该终端可以包括一个或多个如下部件：处理器、存储器和显示屏。其中，存储器中存储有至少一条指令，所述指令由处理器加载并执行以实现下述实施例所述的方法。

处理器可以包括一个或者多个处理核心。处理器利用各种接口和线路连接整个终端内的各个部分，通过运行或执行存储在存储器内的指令、程序、代码集或指令集，以及调用存储在存储器内的数据，执行终端的各种功能和处理数据。

存储器可以包括随机存储器(Random Access Memory，RAM)，也可以包括只读存储器(Read-Only Memory，ROM)。存储器可用于存储指令、程序、代码、代码集或指令。

显示屏用于显示各个应用程序的用户界面。

除此之外，本领域技术人员可以理解，上述终端的结构并不构成对终端的限定，终端可以包括更多或更少的部件，或者组合某些部件，或者不同的部件布置。比如，终端中还包括射频电路、输入单元、传感器、音频电路、电源等部件，在此不再赘述。

本发明为了解决现有技术存在的问题，基于业务场景抽象后得到如下需求：如何量化IOCs的可信度，提高IOCs的易用性；如何动态调整数据源的初始信誉，使得数据源的初始信誉能够及时反映数据源质量；因IOCs是和时间高度相关的威胁指标，因此IOCs的信誉值应随时间动态变化，即存在信誉随时间衰减现象。因此，如何动态调整衰减值，使得质量高的数据源慢速衰减，质量低的数据源快速衰减。为了满足业务需求，本发明提供了IOCs信誉动态评价及动态衰减的解决方案。

实施例一

如图1所示，本发明实施例提供了一种IOCs信誉动态评价及动态衰减方法，包括：

S101，确定量化IOCs数据源质量的影响因素及各影响因素的权重；

S102，确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点，所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化；

S103，在下次的更新时间节点对IOCs数据源的初始信誉值和衰减值进行动态调整，得到动态调整后的IOCs数据源的初始信誉值和衰减值；所述动态调整包括：在更新周期内，基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别(category)、IOCs数据类型（type）和IOCs数据来源(source)为标识(key)进行聚合统计，若聚合统计后得到的数据条数为零，则对IOCs数据源的初始信誉值进行加分调整，同时对衰减值进行减分调整以减速衰减；若聚合统计后得到的数据条数小于阈值，则保持IOCs数据源的初始信誉值和衰减值不变；若聚合统计后得到的数据条数大于阈值，则对IOCs数据源的初始信誉值进行减分调整，同时对衰减值进行加分调整以加速衰减。

在步骤S101中，所述量化IOCs数据源质量的影响因素包括白名单、内网IP、格式校验、灰名单-自证成本高、灰名单-误报和ASN（Aviation Safety Network，航空安全网）过滤；其中，各影响因素对IOCs数据源初始信誉值的重要度分别为5、4、3、0、5、0；各影响因素对IOCs数据源衰减值的重要度分别为5、4、0、3、5、1。其中，重要度数值基于层次分析法，定义了该影响因素相对于整个评价体系的重要度，数值越大，重要度越高。

进一步地，各所述影响因素的权重可以采用层次分析法计算得到。具体的计算过程可以为：

首先构造判断矩阵。Saaty[指层次分析法(AHP)和网络程序法(ANP)的创始人Thomas L. Saaty(中文名：萨蒂)]给出的9个重要性等级及其赋值如表1所示：

表1

两相邻判断的中间值2、4、6、8。

基于每个影响因素的重要性度，以及Saaty给出的重要性等级，按照两两因素之间的重要性等级构造判断矩阵【矩阵的每个元素A[i][j]表示影响因素i（矩阵中的行对应的影响因素）对影响因素j（矩阵中的列对应的影响因素）的重要程度】，即正互反矩阵如表2和表3所示：

表2 IOCs数据源初始信誉值影响因素正反矩阵

表3 IOCs数据源衰减值影响因素正反矩阵

其中对于IP类型的数据，只需要去除内网IP这一影响因素就可以获得对应的正反矩阵。

构建判断矩阵后，可以按照如下步骤计算判断矩阵的特征向量（权重矩阵）：计算矩阵每一行元素的乘积，得到n行1列的矩阵M；对矩阵M计算n次方根；然后进行归一化处理，即：每个元素除以总元素之和，得到特征向量。

然后，可以按照如下步骤计算判断矩阵的最大特征根

采用如下方法进行判断矩阵的一致性检验：所谓的一致性是指判断思维的逻辑一致性。当甲比丙是强烈重要，而乙比丙是稍微重要时，显然甲一定比乙重要。这就是判断思维的逻辑一致性，否则判断就会有矛盾。判断矩阵在满足上述完全一致性的条件下，具有唯一非零的、同时也是最大的特征值

；

其中，

当一致性指标

为了度量不同判断矩阵是否具有满意一致性，根据经验，还需引入判断矩阵的平均随机一致性指标RI值。对于1-9阶判断矩阵，RI值如表4所示：

表4 1-9阶判断矩阵的RI值

当阶数>2时，判断矩阵的一致性指标

当

最终求解得到具有满意一致性的权重矩阵，并根据两种特殊情况分别得出权重矩阵，两种特殊情况为：当数据类型为 IP类型的数据时，其影响因素为白名单、内网IP、格式校验、灰名单-自证成本高、灰名单-误报和ASN过滤等全部的影响因素；当数据类型为非IP类型的数据时，其影响因素需要去除“内网IP”这一项，即判断矩阵中去除该因素的行和对应的列，得到新的判断矩阵，再进行后续计算。

在步骤S102中，基于上一个更新窗口，IOCs数据源的平均更新比率和更新间隔设置数据源的初始更新模式。其中平均更新比率和平均更新间隔均指相对更新次数的平均值。如：在一周的更新模式更新间隔中，数据源更新了5次，则数据源平均更新比率为5次更新比率的平均值；数据源平均更新间隔指的是，5次更新中每两次更新间隔的天数的总天数除以更新次数，获得在更新周期内，相对于更新次数的数据源平均更新间隔。具体的，所述当前更新模式包括如下几种：

不更新模式：适用于指定的IOCs数据源；

日更新模式：IOCs数据源的平均更新间隔为天，IOCs数据源的平均更新比率≥80%，更新模式的更新间隔为每天；

周更新模式： IOCs数据源的平均更新间隔≤一周，40%≤IOCs数据源的平均更新比率<80%，更新模式更新间隔为每周；

月更新模式：默认的更新模式，更新模式更新间隔为每月；

立即更新模式：若灰名单中新增IOCs数据源的过滤项总条数大于等于预设值，则在当前的更新模式下，另外独立启动立即更新模式。

在具体应用过程中，可以按照如下方式确定IOCs数据源初始信誉值和衰减值的初始更新模式：除指定的IOCs数据源采用不更新模式外，其余的IOCs数据源采用默认的月更新模式。

由于数据质量和数据量等随时间不断地进行更新，因此，更新模式会随着时间发生变化，从而使得动态调整的节点会随时间发生变化。本发明中，随着时间的变化，可以按照如下方法确定IOCs数据源初始信誉值和衰减值的当前更新模式和下次的更新时间节点包括：基于上一更新模式的更新时间节点确定当前更新模式，确定当前是否处于更新节点，若处于更新节点则计算当前的IOCs数据源更新比率；基于当前的IOCs数据源更新比率确定当前更新模式；

若更新模式退化，即从上一更新模式的日更新模式变化为当前更新模式的周更新模式，或从上一更新模式的周更新模式变化为当前更新模式的月更新模式：将上次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点；

若更新模式进化，即从上一更新模式的月更新模式变化为当前更新模式的周更新模式，或从上一更新模式的周更新模式变化为当前更新模式的日更新模式：将本次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点；

若更新模式不变，即上一更新模式与当前更新模式相同：将本次的更新时间节点作为当前更新模式的间隔起始点，并根据当前更新模式的间隔计算下次的更新时间节点。

其中，更新模式只能从日更模式退化到周更模式，周更模式退化到月更模式，不能跨级。更新模式进化同上述规则，不能跨级。

具体的，更新模式的变更方式可以包括如下几种：

对于日更新模式：需要每日进行数据源初始信誉值和衰减值的更新。在更新的时间节点，基于最新的数据源平均更新比率和数据源平均更新间隔进行当前更新模式的计算和变更：若最新的数据源平均更新比率和数据源平均更新间隔仍符合日更新模式的要求，则按照日更新模式进行数据源初始信誉值和衰减值的更新，更新模式不变；若最新的数据源平均更新比率和数据源平均更新间隔达不到日更新模式的要求，则日更新模式退化成周更新模式，下次更新时间节点按照周更新模式执行，更新间隔的起始时间节点为该数据源上次进行数据源初始信誉值和衰减值调整的时间点。本次不执行数据源初始信誉值和衰减值的更新操作。

对于周更新模式：需要每周进行数据源初始信誉值和衰减值的更新。在更新的时间节点，基于更新周期内，数据源平均更新比率和平均更新间隔进行当前更新模式的计算和变更，其中平均更新比率和平均更新间隔均指相对更新次数的平均值：若最新的数据源平均更新比率和平均更新间隔仍符合周更新模式的要求，则周更新模式不变，正常进行数据源初始信誉值和衰减值的更新；若更新周期内，数据源平均更新比率和平均更新间隔达不到周更新模式的要求，则更新模式退化成月更新模式，下次更新时间节点按照月更新模式执行，更新间隔的起始时间节点为该数据源上次进行数据源初始信誉值和衰减值调整的时间点。本次不执行数据源初始信誉值和衰减值的更新操作；若更新周期内，数据源平均更新比率和平均更新间隔达到日更新模式的要求，则更新模式进化为日更新模式，下次更新时间节点按照日更新模式执行，更新间隔的起始时间节点为该数据源本次进行数据源初始信誉值和衰减值调整的时间点。本次按照日更新模式标准执行数据源初始信誉值和衰减值的更新操作。

对于月更新模式：需要每月进行数据源初始信誉值和衰减值的更新。在更新的时间节点，基于更新周期内，数据源平均更新比率和平均更新间隔进行当前更新模式的计算和变更：若最新的数据源平均更新比率和平均更新间隔仍符合月更新模式的要求，则月更新模式不变，正常进行数据源初始信誉值和衰减值的更新；若更新周期内，数据源平均更新比率和平均更新间隔达到周更新模式的要求，则更新模式进化为周更新模式，下次更新时间节点按照周更新模式执行，更新间隔的起始时间节点为该数据源本次进行数据源初始信誉值和衰减值调整的时间点。本次按照周更新模式标准执行数据源初始信誉值和衰减值的更新操作。

另外，本发明实施例中，采用如下公式计算当前的IOCs数据源更新比率：

；

式中，

执行步骤S103，在下次的更新时间节点按照当前更新模式对IOCs数据源的初始信誉值和衰减值进行动态调整，得到动态调整后的IOCs数据源的初始信誉值和衰减值；所述动态调整包括：在更新周期内，基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计，若聚合统计后得到的数据条数为零，则对IOCs数据源的初始信誉值进行加分调整，同时对衰减值进行减分调整以减速衰减；若聚合统计后得到的数据条数小于阈值，则保持IOCs数据源的初始信誉值和衰减值不变；若聚合统计后得到的数据条数大于阈值，则对IOCs数据源的初始信誉值进行减分调整，同时对衰减值进行加分调整以加速衰减。

对初始信誉值的加分和减分的动态调整可以按照如下方法进行实施。

首先，按照如下方法对数据进行预处理：基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型、IOCs数据来源和值为标识进行数据的聚合，统计每个标识包含的数据和每个标识对应的数据总条目数，记作

在

预处理后的数据用于调整计算。

在所述对IOCs数据源的初始信誉值进行减分调整中，需要减少的初始信誉值的分值采用如下方法计算得到：

根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合，统计每个标识对应的数据条数，记作

基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合，统计每个标识对应的数据条数，记作

计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例

；

计算

；

其中，

针对IOCs数据源的数据，计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第

；

针对IOCs数据源的数据，计算需要减少的分值

；

其中，

所述对IOCs数据源的初始信誉值进行减分调整，调整后的初始信誉值采用如下公式计算：

；

其中，

另外，在所述对IOCs数据源的初始信誉值进行加分调整中，需要增加的初始信誉值的分值采用如下公式计算：

；

其中，

对衰减值的加分和减分的动态调整可以按照如下方法进行实施。

首先，按照如下方法对数据进行预处理：基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型、IOCs数据来源和值为标识进行数据的聚合，统计每个标识包含的数据和每个标识对应的数据总条目数，记作

在

预处理后的数据用于衰减值的调整计算。

其中，在所述对衰减值进行加分调整以加速衰减中，加速衰减系数采用如下方法计算得到：

根据IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识对IOCs数据源第m天新增数据进行聚合，统计每个标识对应的数据条数，记作

基于影响因素第m天命中日志，按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行数据聚合，统计每个标识对应的数据条数，记作

计算第m天按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的IOCs数据源中不准确数据所占比例

；

计算

；

其中，

计算按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识的第

；

针对IOCs数据源的数据，计算加速衰减系数：

；

其中，

进一步地，所述对衰减值进行加分调整以加速衰减中，调整后的衰减值采用如下方法计算得到：

；

其中，

在一个具体实施例中，可以设定衰减值的最高上限为20分。当数据的信誉衰减值调整后大于20分，进行告警，用于分析数据来源质量问题。除非人工介入，否则自动调整的信誉衰减值不会大于20分。

另外，在所述对衰减值进行减分调整以减速衰减中，调整后的衰减值采用如下公式计算：

；

其中，

在本发明的一个优选实施例中，所述动态调整后的IOCs数据源的初始信誉值和/或衰减值若达到上限或下限，则进行告警并由人工介入进行IOCs数据源的审查和分析。比如可以预先设定初始信誉值的最低分为60。当数据源的初始信誉值调整后的分数低于60则进行告警，由人工接入，分析数据源的质量问题。

本发明中提供的所述IOCs信誉动态评价及动态衰减方法还包括强制回退步骤，即通过人工介入将IOCs数据源的初始信誉值和衰减值的当前值回退为上一值。在业务数据生产过程中，可能由于程序问题或者人为的失误操作导致数据源初始信誉值或衰减值的更新异常，因此需要一种强制回退机制，以提高程序运行的鲁棒性。强制回退机制可以存在如下特性：强制回退机制只能人为启动；强制回退机制运行时可强制打断正在进行的数据源初始信誉值和衰减值调整动作；强制回退机制每次执行需要记录执行人、原因、执行时间、数据源初始信誉值和衰减值在强制回退机制执行前后的数值等。

实施例二

如图2所示，本发明的另一方面还包括和前述方法流程完全对应一致的功能模块架构，即本发明实施例还提供了一种IOCs信誉动态评价及动态衰减装置，包括：

影响因素及其权重确定模块201，用于确定量化IOCs数据源质量的影响因素及各影响因素的权重；

更新模式确定模块202，用于确定IOCs数据源初始信誉值和衰减值的初始更新模式、当前更新模式和下次的更新时间节点，所述当前更新模式和下次的更新时间节点随着IOCs数据源的更新不断变化；

动态调整模块203，用于在下次的更新时间节点对IOCs数据源的初始信誉值和衰减值进行动态调整，得到动态调整后的IOCs数据源的初始信誉值和衰减值；所述动态调整包括：在更新周期内，基于影响因素命中日志对IOCs数据源的数据按照IOCs威胁类别、IOCs数据类型和IOCs数据来源为标识进行聚合统计，若聚合统计后得到的数据条数为零，则对IOCs数据源的初始信誉值进行加分调整，同时对衰减值进行减分调整以减速衰减；若聚合统计后得到的数据条数小于阈值，则保持IOCs数据源的初始信誉值和衰减值不变；若聚合统计后得到的数据条数大于阈值，则对IOCs数据源的初始信誉值进行减分调整，同时对衰减值进行加分调整以加速衰减。

该装置可通过上述实施例一提供的一种IOCs信誉动态评价及动态衰减方法实现，具体的实现方法可参见实施例一中的描述，在此不再赘述。

本发明还提供了一种存储器，存储有多条指令，所述指令用于实现如实施例一所述的方法。

本发明还提供了一种电子设备，包括处理器和与所述处理器连接的存储器，所述存储器存储有多条指令，所述指令可被所述处理器加载并执行，以使所述处理器能够执行如实施例一所述的方法。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。