文献类型：期刊文章

作　　者：史慧洋[1,2] 魏靖烜[3] 蔡兴业[3] 王鹤[4] 高随祥[5,6] 张玉清[1,2,4,6]

SHI Huiyang;WEI Jingxuan;CAI Xingye;WANG He;GAO Suixiang;ZHANG Yuqing(School of Computer Science and Technology,University of Chinese Academy of Sciences,Beijing 101408,China;National Computer Network Intrusion Prevention Center,University of Chinese Academy of Sciences,Beijing 101408,China;Shenyang Institute of Computing Technology,University of Chinese Academy of Sciences,Shenyang 110168,China;School of Cyber Engineering,Xidian University,Xi’an 710071,China;School of Mathematical Sciences,University of Chinese Academy of Sciences,Beijing 101408,China;Zhongguancun Laboratory,Beijing 100094,China)

机构地区：[1]中国科学院大学计算机科学与技术学院,北京101408 [2]中国科学院大学国家计算机网络入侵防范中心,北京101408 [3]中国科学院大学沈阳计算技术研究所,辽宁沈阳110168 [4]西安电子科技大学网络与信息安全学院,陕西西安710071 [5]中国科学院大学数学科学学院,北京101408 [6]中关村实验室,北京100094

出　　处：《西安电子科技大学学报》

基　　金：国家自然科学基金(11991022,12071459)。

年　　份：2023

卷　　号：50

期　　号：4

起止页码：65-75

语　　种：中文

收录情况：AJ、BDHX、BDHX2020、CAS、CSCD、CSCD2023_2024、EI、IC、JST、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：目前,攻击者使用的基础设施能适应更多的目标环境,成功侵入目标后,使用合法的用户凭证取得信任,并通过不断学习利用新的漏洞达到攻击目的。为了对抗攻击,提高威胁情报的使用价值,提出由情报搜集、信息抽取、本体构建和知识推理构建威胁情报的知识图谱框架,该框架可实现情报中重要指标的搜索和相互关联。然后基于Bert+BiSLTM+CRF的失陷指标,识别抽取方法,加以正则匹配机制进行输出限制,用于从文本信息中识别抽取失陷指标信息,并进行结构化威胁信息表达标准格式转换。经过横向和纵向对比,该抽取模型在文本信息抽取中的精度和召回率较高。最后,以APT1为例,构建出威胁情报实体关系图,结合对抗战术和技术知识库框架将攻击行为转换为结构化格式,建立本体与原子本体知识图谱;通过知识图谱关联分析数据之间潜在的关联,发现具有相似性和相关性的威胁情报潜在的关联信息和攻击主体,进行威胁情报的关联分析,为制定防御策略提供依据。

关 键 词：威胁情报  神经网络 本体 失陷指标抽取  对抗战术和技术知识库存  知识图谱

分 类 号：TP399]