情报信息的融合方法、装置、计算设备及存储介质

技术领域

本发明实施例涉及信息安全技术领域，特别涉及一种情报信息的融合方法、装置、计算设备及存储介质。

背景技术

现如今，同一个情报信息会存在于多个情报源中，这种多源情报信息的时效性较强，更新迭代比较快，而且同一情报信息在不同情报源中的结构和表述也是多种多样的。因此，仅仅采用替换和去重的传统融合方法处理多源情报信息，是难以得到准确有效的情报信息的。

因此，亟需一种新的情报信息的融合方法。

发明内容

为了解决传统融合方法难以保证情报信息的准确度的问题，本发明实施例提供了一种情报信息的融合方法、装置、计算设备及存储介质。

第一方面，本发明实施例提供了一种情报信息的融合方法，包括：

获取若干个情报信息；其中，每一个情报信息均包括名称字段、基础属性字段和关联关系字段；

基于预先构建的标准字典表，对每一个情报信息中的名称字段、基础属性字段和关联关系字段进行标准字段转换；

将标准字段转换后名称字段相同的情报信息进行信息融合，以融合生成目标情报信息；

基于预先构建的关系模式表，对目标情报信息中的关联关系进行过滤，得到标准情报信息。

优选的，基于预先构建的标准字典表，对每一个情报信息中的名称字段、基础属性字段和关联关系字段进行标准字段转换，包括：

基于情报信息中的名称字段、基础属性字段和关联关系字段，生成原始信息表；

将原始信息表中的每一个名称字段、每一个基础属性字段和每一个关联关系字段，与预先构建的标准字典表中的每一个标准字段进行相似性分析，生成映射关系表；

基于映射关系表，对原始信息表中的每一个情报信息的名称字段、基础属性字段和关联关系字段进行标准字段转换。

优选的，相似性分析采用如下中的任意一种方式：余弦相似度、欧氏距离。

优选的，将标准字段转换后名称字段相同的情报信息进行信息融合，以融合生成目标情报信息，包括：

将标准字段转换后名称字段相同的情报信息进行排序；

按照降序顺序，针对第一个情报信息之后的每一个情报信息，均执行：

将当前情报信息的基础属性字段和关联关系字段分别与第一个情报信息的基础属性字段和关联关系字段进行比对；

若当前情报信息存在与第一个情报信息不同的基础属性字段和关联关系字段，则将该不同的基础属性字段和关联关系字段补充至第一个情报信息中；

将补充后的第一个情报信息作为目标情报信息。

优选的，将标准字段转换后名称字段相同的情报信息进行排序，包括：

获取将标准字段转换后名称字段相同的情报信息的情报源权重；

按照情报源权重的降序顺序，对将标准字段转换后名称字段相同的情报信息进行排序。

优选的，在按照情报源权重的降序顺序，对将标准字段转换后名称字段相同的情报信息进行排序之后，还包括：

当情报信息的情报源权重相同时，按照情报信息的生成时间进行排序。

优选的，基于预先构建的关系模式表，对目标情报信息中的关联关系进行过滤，得到标准情报信息，包括：

获取预先构建的关系模式表；其中，关系模式表中含有每一个类型的目标情报信息所要保留的关联关系的类型；

基于目标情报信息的类型和关系模式表中每一个类型的目标情报信息所要保留的关联关系的类型，对目标情报信息中的关联关系进行过滤，得到标准情报信息。

第二方面，本发明实施例还提供了一种情报信息的融合装置，包括：

获取单元，用于获取若干个情报信息；其中，每一个情报信息均包括名称字段、基础属性字段和关联关系字段；

归一化单元，用于基于预先构建的标准字典表，对每一个情报信息中的名称字段、基础属性字段和关联关系字段进行标准字段转换；

融合单元，用于将标准字段转换后名称字段相同的情报信息进行信息融合，以融合生成目标情报信息；

过滤单元，用于基于预先构建的关系模式表，对目标情报信息中的关联关系进行过滤，得到标准情报信息。

第三方面，本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。

本发明实施例提供了一种情报信息的融合方法、装置、计算设备及存储介质，首先，获取含有名称字段、基础属性字段和关联关系字段的若干个情报信息；然后，基于预先构建的标准字典表，对每一个情报信息中的名称字段、基础属性字段和关联关系字段进行标准字段转换，以将每一个情报信息的名称字段、基础属性字段和关联关系字段转换成统一的标准字段；接着，将标准字段转换后名称字段相同的情报信息进行信息融合，以融合生成对应的目标情报信息；最后，基于关系模式表，对融合生成的每一个目标情报信息中的关联关系进行过滤，得到与每一个目标情报信息对应的标准情报信息，以此来自动更新融合出更加准确的标准情报信息。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的一种情报信息的融合方法流程图；

图2是本发明一实施例提供的一种计算设备的硬件架构图；

图3是本发明一实施例提供的一种情报信息的融合装置结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

如前所述，在一些传统的情报信息的融合方法中，需要对多源情报信息进行信息的合并，但是每个情报源对于同一情报信息的定义又不完全一样，所以会产生对于同一情报信息有不同表述的情况。那么，随着历史数据的积累，对同一情报信息的相近的表述会越来越多，从而使得利用传统的情报信息的融合方法融合后的情报信息会有大量不准确的表述，并且对于不再使用的关联信息不会进行自动的删除，这就导致了传统融合方法会产生大量冗余和错误的情报信息。

为了解决上述技术问题，发明人可以考虑利用预先构建的标准字典表，来自动地对情报信息进行标准字段转换，以此将每一个情报信息的名称字段、基础属性字段和关联关系字段进行统一的标准转换，然后再将转换后的多源情报信息融合成一个目标情报信息，最后基于关系模式表，将目标情报信息中不再使用的关联信息进行过滤，以此来自动更新融合出更加准确的标准情报信息。

下面描述以上构思的具体实现方式。

请参考图1，本发明实施例提供了一种情报信息的融合方法，该方法包括：

步骤100：获取若干个情报信息；其中，每一个情报信息均包括名称字段、基础属性字段和关联关系字段；

步骤102：基于预先构建的标准字典表，对每一个情报信息中的名称字段、基础属性字段和关联关系字段进行标准字段转换；

步骤104：将标准字段转换后名称字段相同的情报信息进行信息融合，以融合生成目标情报信息；

步骤106：基于预先构建的关系模式表，对目标情报信息中的关联关系进行过滤，得到标准情报信息。

本发明实施例中，首先，获取含有名称字段、基础属性字段和关联关系字段的若干个情报信息；然后，基于预先构建的标准字典表，对每一个情报信息中的名称字段、基础属性字段和关联关系字段进行标准字段转换，以将每一个情报信息的名称字段、基础属性字段和关联关系字段转换成统一的标准字段；接着，将标准字段转换后名称字段相同的情报信息进行信息融合，以融合生成对应的目标情报信息；最后，基于关系模式表，对融合生成的每一个目标情报信息中的关联关系进行过滤，得到与每一个目标情报信息对应的标准情报信息，以此来自动更新融合出更加准确的标准情报信息。

下面描述图1所示的各个步骤的执行方式。

针对步骤100：

在本发明实施例中，获取的若干个情报信息中可能存在多源情报信息，即来自不同情报源的同一个情报信息。例如以威胁组织海莲花为例，一些情报源将威胁组织海莲花的名称字段定义为APT-TOCS，一些情报源定义为海莲花/APT-C-00，还有一些情报源定义为APT32，可以理解在不同情报源获取的关于威胁组织海莲花的情报信息中，不仅仅是名称不同，基础属性和关联关系可能也不相同。

针对步骤102：

如前所述，多元情报信息是来自不同情报源的同一个情报信息，描述的是同一个组织，但是却存在名称字段不同，基础属性字段不同和关联关系字段不同的情况。那么，为了对多源情报信息进行准确的信息融合，就需要先对每一个情报信息的名称字段、基础属性字段和关联关系字段进行标准归一化。

在一些实施方式中，步骤102可以包括：

基于情报信息中的名称字段、基础属性字段和关联关系字段，生成原始信息表；

将原始信息表中的每一个名称字段、每一个基础属性字段和每一个关联关系字段，与预先构建的标准字典表中的每一个标准字段进行相似性分析，生成映射关系表；

基于映射关系表，对原始信息表中的每一个情报信息的名称字段、基础属性字段和关联关系字段进行标准字段转换。

在本实施例中，首先将每一个情报信息中的名称字段、基础属性字段和关联关系字段录入到原始信息表中，以对原始信息表中的每一个情报信息的名称字段、基础属性字段和关联关系字段进行标准字段转换，以防止直接对原始情报信息进行转换而造成信息丢失。标准字典表中含有每一个情报信息的名称字段、基础属性字段和关联关系字段所对应的标准字段。举例来说，在标准字典表中，威胁组织A的名称所对应的标准字段可以设置为“A”，而从情报源1获取的情报信息1对其名称字段定义为“A1”，情报源2获取的情报信息2的名称字段定义为“A2”，那么从原始信息表中获取的情报信息1的名称字段“A1”与标准字典表中的每一个标准字段进行相似性分析，可以确定出情报信息1的名称字段“A1”与标准字段“A”的相似性最大的。此时，会在映射关系表中创建标准字段“A”与“A1”的映射关系，同理，也会在映射关系表中创建标准字段“A”与“A2”的映射关系。这样，可以基于映射关系表，将原始信息表中的情报信息1的名称字段从“A1”转换为“A”，将情报信息2的名称字段从“A2”转换为“A”。可以理解，基础属性字段和关联关系字段的标准字段转换方式与上述的名称字段同理。

需要说明的是，标准字典表是人为预先基于已知的情报信息来构建的。并且，初始状态下的映射关系表是空的，随着实际应用，自动化地逐步的完善补全映射关系，补全的方式包含了语义拆解、语义分析、统计分析和人工纠正等方式。

在一些实施方式中，相似性分析采用如下中的任意一种方式：余弦相似度、欧氏距离。

在一些实施方式中，在步骤“生成映射关系表”之后，在“基于映射关系表，对原始信息表中的每一个情报信息的名称字段、基础属性字段和关联关系字段进行标准字段转换”之前，还包括：对映射关系表中的映射关系进行审核纠正。

在本实施例中，为了提高映射关系的准确度，可以人为地对映射关系表中的映射关系进行审核纠正，以此来提高情报信息的标准字段转换的准确度，从而可以解决融合后的情报信息存在冗余和错误信息的问题。

针对步骤104：

在一些实施方式中，步骤104可以包括如下步骤S1-S4：

步骤S1，将标准字段转换后名称字段相同的情报信息进行排序；

步骤S2，按照降序顺序，针对第一个情报信息之后的每一个情报信息，均执行：将当前情报信息的基础属性字段和关联关系字段分别与第一个情报信息的基础属性字段和关联关系字段进行比对；

步骤S3，若当前情报信息存在与第一个情报信息不同的基础属性字段和关联关系字段，则将该不同的基础属性字段和关联关系字段补充至第一个情报信息中

步骤S4，将补充后的第一个情报信息作为目标情报信息。

在本实施例中，为了方便后续进行信息融合，需要首先将标准字段转换后名称字段相同的情报信息进行排序，排序方式可以为随机排序。举例来说，排序后关于威胁组织A的情报信息有三个，排序后依次为情报信息1、情报信息2和情报信息3，若情报信息2中含有基础属性B1和关联关系C1，而情报信息1中并没有基础属性B1和关联关系C1，那么会将基础属性B1和关联关系C1添加至情报信息1中，且情报信息3中不光含有基础属性B1和关联关系C1，还含有情报信息1中没有的关联关系C2，那么在添加完情报信息2的基础属性B1和关联关系C1之后，还会将情报信息3中的关联关系C2添加至情报信息1中，最后将得到的情报信息1作为威胁组织A融合后的目标情报信息。

在一些实施方式中，步骤S1可以包括：

获取将标准字段转换后名称字段相同的情报信息的情报源权重；

按照情报源权重的降序顺序，对将标准字段转换后名称字段相同的情报信息进行排序。

在本实施例中，由于不同情报源生产出来的情报信息的丰富程度和有效性是不相同的，那么需要根据每一个情报信息对应的情报源权重来对该组中的情报信息进行排序。举例来说，若情报信息1的情报源权重为100，情报信息2和情报信息3的情报源权重分别为50和80，那么代表情报信息的优质程度依次为：情报信息1、情报信息3和情报信息2，且排序结果也依次为：情报信息1、情报信息3和情报信息2。若情报信息1中关于基础属性B0的内容和情报信息2中关于基础属性B0的内容不一致，则会以情报信息1为准，以此来将优质的情报信息中的基础属性和关联关系优先使用，可以提高融合后得到的目标情报信息的准确度。

在一些实施方式中，在步骤“按照情报源权重从大到小的顺序，对该组中的多个情报信息进行排序”之后，还包括：当情报信息的情报源权重相同时，按照情报信息的生成时间进行排序。

在本实施例中，可能会出现多条情报信息的情报源权重相同的情况，那么当情报信息的情报源权重相同时，可以按照情报信息的生成时间进行排序。举例来说，若情报信息1的情报源权重为100，情报信息2和情报信息3的情报源权重均为80，那么可以按照情报信息2和情报信息3的生成时间进行排序，将生成时间较晚的情报信息排在第二位，这样可以将生成时间更近的情报信息中的基础属性和关联关系优先使用，可以提高融合后得到的目标情报信息的时效性。

针对步骤106：

在一些实施方式中，步骤106可以包括：

获取预先构建的关系模式表；其中，关系模式表中含有每一个类型的目标情报信息所要保留的关联关系的类型；

基于目标情报信息的类型和关系模式表中每一个类型的目标情报信息所要保留的关联关系的类型，对目标情报信息中的关联关系进行过滤，得到标准情报信息。

在本实施例中，由于情报信息的时效性较强，更新迭代比较快，有很多的关联关系在当下可能已经失效了，因此，可以动态地修改关系模式表中需要保留的关联关系的类型，以此来将步骤104中融合得到的每一个目标情报信息中不需要保留的关联关系过滤掉，从而可以降低目标情报信息的冗余度，可以根据关系模式表动态地调整标准情报信息的关联关系。

如图2、图3所示，本发明实施例提供了一种情报信息的融合装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言，如图2所示，为本发明实施例提供的一种情报信息的融合装置所在电子设备的一种硬件架构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的电子设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等。以软件实现为例，如图3所示，作为一个逻辑意义上的装置，是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。

如图3所示，本实施例提供的一种情报信息的融合装置，包括：

获取单元301，用于获取若干个情报信息；其中，每一个情报信息均包括名称字段、基础属性字段和关联关系字段；

归一化单元302，用于基于预先构建的标准字典表，对每一个情报信息中的名称字段、基础属性字段和关联关系字段进行标准字段转换；

融合单元303，用于将标准字段转换后名称字段相同的情报信息进行信息融合，以融合生成目标情报信息；

过滤单元304，用于基于预先构建的关系模式表，对目标情报信息中的关联关系进行过滤，得到标准情报信息。

在本发明的一个实施例中，归一化单元302用于执行：

基于情报信息中的名称字段、基础属性字段和关联关系字段，生成原始信息表；

将原始信息表中的每一个名称字段、每一个基础属性字段和每一个关联关系字段，与预先构建的标准字典表中的每一个标准字段进行相似性分析，生成映射关系表；

基于映射关系表，对原始信息表中的每一个情报信息的名称字段、基础属性字段和关联关系字段进行标准字段转换。

在本发明的一个实施例中，归一化单元302中，相似性分析采用如下中的任意一种方式：余弦相似度、欧氏距离。

在本发明的一个实施例中，融合单元303，用于执行：

将标准字段转换后名称字段相同的情报信息进行排序；

按照降序顺序，针对第一个情报信息之后的每一个情报信息，均执行：

将当前情报信息的基础属性字段和关联关系字段分别与第一个情报信息的基础属性字段和关联关系字段进行比对；

若当前情报信息存在与第一个情报信息不同的基础属性字段和关联关系字段，则将该不同的基础属性字段和关联关系字段补充至第一个情报信息中；

将补充后的第一个情报信息作为目标情报信息。

在本发明的一个实施例中，融合单元303，在执行将标准字段转换后名称字段相同的情报信息进行排序时，用于执行：

获取将标准字段转换后名称字段相同的情报信息的情报源权重；

按照情报源权重的降序顺序，对将标准字段转换后名称字段相同的情报信息进行排序。

在本发明的一个实施例中，融合单元303，在执行按照情报源权重的降序顺序，对将标准字段转换后名称字段相同的情报信息进行排序之后，还用于：当情报信息的情报源权重相同时，按照情报信息的生成时间进行排序。

在本发明的一个实施例中，过滤单元304，用于执行：

获取预先构建的关系模式表；其中，关系模式表中含有每一个类型的目标情报信息所要保留的关联关系的类型；

基于目标情报信息的类型和关系模式表中每一个类型的目标情报信息所要保留的关联关系的类型，对目标情报信息中的关联关系进行过滤，得到标准情报信息。

可以理解的是，本发明实施例示意的结构并不构成对一种情报信息的融合装置的具体限定。在本发明的另一些实施例中，一种情报信息的融合装置可以包括比图示更多或者更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。

上述装置内的各模块之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本发明任一实施例中的一种情报信息的融合方法。

本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行时，使所述处理器执行本发明任一实施例中的一种情报信息的融合方法。

具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。

在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。

用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地，可以由通信网络从服务器计算机上下载程序代码。

此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。

此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。

需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。