(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111575617.2 (22)申请日 2021.12.2 2 (65)同一申请的已公布的文献号 申请公布号 CN 113961969 A (43)申请公布日 2022.01.21 (73)专利权人 北京金睛云华科技有限公司 地址 100088 北京市海淀区北三环中路4 4 号58号1层21号 专利权人 金睛云华 （沈阳） 科技有限公司 (72)发明人 胡文友　曲武　胡永亮　 (74)专利代理 机构 沈阳友和欣知识产权代理事 务所(普通 合伙) 21254 代理人 杨群　郭悦 (51)Int.Cl. G06F 21/62(2013.01)G06F 30/27(2020.01) G06N 20/00(2019.01) (56)对比文件 CN 112039840 A,2020.12.04 CN 112348204 A,2021.02.09 CN 104660594 A,2015.0 5.27 审查员 周杨 (54)发明名称 一种安全威胁协同建模方法及系统 (57)摘要 本发明属于安全威胁鉴别技术领域， 具体涉 及一种安全威胁协同建模 方法及系统， 方法包括 如下步骤： 数据共享； 数据融合； 数据特征提取； 建模； 审计。 本发明对数据的分享行为通过贡献 分的形式进行量化和结算， 鼓励数据交易和数据 共享； 实体ID以脱敏方式交换， 在保障数据安全 的前提下仍能支持联合建模能力和威胁I OC匹配 能力； 支持普通的本地机器学习和联邦学习， 各 参与方可按需选择数据开放程度， 根据自身预算 取得外部数据资源， 独立或合作性地完成AI建 模， 增强安全智能。 权利要求书3页 说明书8页 附图2页 CN 113961969 B 2022.03.15 CN 113961969 B 1.一种安全威胁协同建模方法， 其特 征在于， 包括如下步骤： 1） 数据共享， 多个参与方提供的数据源之间进行网络实体数据的不完全共享， 在共享 前， 对有必要 进行脱敏的网络实体数据进行脱敏； 2） 数据融合， 对步骤1） 中共享后的数据进行属性融合、 关系融合、 行为融合和标签融 合， 形成属性融合数据、 关系融合数据、 行为融合数据和标签融合数据； 属性融合指通过预先定义融合策略， 将同一网络实体在不同参与 方处获得的属性加以 融合， 具体为对同一网络实体在不同数据源处记录到的不同属 性信息进行相互补充， 相同 属性信息进行去重、 纠歧； 关系融合指将一对网络实体之间的关联关系加以融合， 形成图谱化的网络实体关系 库， 具体为对这对网络实体在不同数据源处记录到的不同关系信息进行相互补充， 对相同 关系信息进行去重、 纠歧； 行为融合指对同一网络实体在不同数据源处所记录的行为信 息加以融合， 通过整合多 源、 零散的行为信息， 形成对各网络实体更全面、 完整的观察记录， 具体为对同一网络实体 的不同行为信息按时间顺序进行排列， 对来自不同参与方处的相同行为信息进行去重， 纠 歧； 标签融合指不同的参与 方分别提供对同一实体的研判标签， 各读取方收到其他参与方 发来的研判标签后， 执行本地的采信策略， 对各方信息进行综合， 对多 方给出的同一标签给 与较大信任度， 对多方 给出的不同标签进行互相补充， 从而获得 各标签的置信度； 3） 数据特征提取， 对步骤2） 中得到的属性融合数据、 关系融合数据、 行为融合数据分别 进行数据特征提取； 4） 建模， 根据需要选择不同类型的建模方法， 选择性载入数据特征和标签 融合数据， 进 行机器学习具体训练过程， 生成训练模型， 并将训练模型输出； 5） 审计， 运行于多参与方共享的区块链或协作平台， 根据 步骤1） 、 步骤2） 、 步骤3） 、 步骤 4） 中的数据流转进行记账， 根据设定的规则给不同的参与方计贡献分， 根据贡献分对参与 方进行奖励； 计贡献分的规则设定为： 分享属性数据， 并被其 他参与方读取， 单个属性对应 基本贡献分记作Sa； 分享关系数据， 并被其 他参与方读取， 单个关系对应 基本贡献分记作Sr； 分享行为数据， 并被其 他参与方读取， 单个行为事 件对应基本贡献分记作Sb； 分享标签数据， 并被其 他参与方读取， 单个标签对应的基本贡献分为Sl； 分享透明数据， 并被用于 机器学习， 单个透明数据对应的贡献分为Sf； 在其他参与方的要求下定向分享网络实体数据， 单个网络实体数据对应的贡献分为 St； 读取方读取数据后， 应扣除读取方相应的贡献分， 并且读取方选择性地对读取的数据 进行评价， 给出评分， 如果读取方给出的评 分与该数据获得的平均评 分差距在一定范围内， 读取方获得一定的贡献分， 当该数据平均评分高于一定值时， 分享该数据的参与者获得分 值奖励， 低于一定值时， 分享该 数据的参与者扣除一定分值； 参与方在 初始时， 默认拥有一定的初始分值。 2.根据权利要求1所述的安全威胁协同建模方法， 其特征在于， 步骤1） 中， 共享的数据权　利　要　求　书 1/3 页 2 CN 113961969 B 2包括如下类型： 实体属性数据、 实体间的关联关系数据、 实体行为记录数据和实体 研判标签数据。 3.根据权利要求1所述的安全威胁协同建模方法， 其特征在于， 步骤1） 中， 通过不同的 记号来标识不同的网络实体， 对有必要进行脱敏的网络实体数据通过脱敏记号来标识， 建 立有必要 进行脱敏的网络实体数据的记号与脱敏记号之间的彩虹表。 4.根据权利要求1所述的安全威胁协同建模方法， 其特征在于， 步骤1） 中， 数据共享的 触发方式包括主动分享和求助 ‑响应分享； 数据共享的方式包括社群发布和点对点 发布； 数 据共享的情景包括自愿分享和法定义 务分享。 5.根据权利要求1所述的安全威胁协同建模方法， 其特 征在于， 步骤3） 中： 属性融合数据的数据特 征包括： IP的位置、 域名注 册时间、 文件更改时间； 关系融合数据的数据特征包括： 图节点出入度、 域名关联IP数、 域名关联NS服务器数、 域名节点限定IP类型邻居节点的出入度； 行为融合数据的数据特征包括： 统计特征和敏感行为特征， 统计特征包括横向通信次 数、 外联次数、 文件访问数； 敏感行为特 征包括修改启动项、 境外 外联、 访问注 册表。 6.根据权利要求1所述的安全威胁协同建模方法， 其特征在于， 步骤4） 中， 建模方法包 括本地训练、 联邦学习 、 情报聚合和集成学习， 具体的： 本地训练， 任一参与方根据其掌握的数据特征和标签融合数据， 按需执行机器学习训 练任务， 获得AI模型； 联邦学习， 多个参与方在不完全 共享数据的情形 下， 约定共同训练AI模型； 情报聚合， 参与方对被标记为恶意的网络实体执行自定义的采信策略， 将脱敏后的具 有恶意标签的网络实体当做自定义IOC指标， IOC指标连通各参与方自定义的置信度阈值构 成了一类决策模型， 能够判断输入的网络实体数据是否以大于置信度阈值的置信度匹配已 知IOC指标， 即得到IOC模型； 集成学习， 综合运行不同参数设定下的本地训练、 联邦学习和 情报聚合手段， 产生多个 威胁研判模型， 并通过投票方式综合各个模型 的初始研判 结果， 产生可信度更高的最终研 判结果， 单独使用本地训练、 联邦学习或情 报聚合视作集成学习的特例。 7.一种利用权利要求1所述的安全威胁协同建模方法进行安全威胁协同建模的系统， 其特征在于， 包括如下模块： 数据共享单元， 用于多个参与 方之间进行网络实体数据的不完全共享， 在共享前， 对有 必要进行脱敏的网络实体数据进行脱敏； 数据融合单元， 用于对共享后的数据进行属性融合、 关系融合、 行为融合和标签融合， 形成属性融合数据、 关系融合数据、 行为融合数据和标签融合数据； 数据特征提取单元， 用于对属性融合数据、 关系融合数据、 行为融合数据分别进行数据 特征提取； 建模单元， 包括数据载入单元、 模型训练单元和模型输出单元， 根据需要选择不同类型 的建模方法， 数据载入单元用于选择性载入数据特征和标签融合数据， 模型训练单元用于 进行机器学习具体训练过程， 生成训练模型， 模型输出 单元用于训练模型输出； 审计单元， 运行于各个参与方共享的区块链或协作平台， 用于对数据共享单元、 数据融 合单元、 数据特征提取单元、 建模单元中的数据流转进 行记账， 根据设定的规则给不同的参权　利　要　求　书 2/3 页 3 CN 113961969 B 3