一种威胁情报共享方法、装置、设备及介质

本发明涉及信息安全技术领域，尤其涉及一种威胁情报共享方法、装置、设备及介质。

威胁情报是情报在网络空间对抗领域的一种存在形式，通过挖掘和分析海量数据中有价值的信息，形成威胁情报要素，包括威胁指标或行动指南。威胁情报共享是威胁情报持有体将威胁情报共享给威胁情报需求体的过程。威胁情报共享组织的建立有助于提高情报流转速度，缩短防御响应周期。当前，不同威胁情报持有体和威胁情报需求体的组建行为涉及因素较多，过程较为复杂，共享行为体的构成取决于情报共享的成本和预期收益。当威胁情报需求者要求加入一定规模的威胁情报共享行为，要求分享情报资源，将带来原共享对情报需求者的共享价值判别成本，同时新威胁情报需求者对于加入共享体的接入路径不清晰，对高价值的威胁情报持有体很难辨别，也导致不能及时获取关键情报信息，延长防御响应周期，使防御者不能及时对威胁进行有效防御。

有鉴于此，为了解决现有技术中存在的部分问题，本发明实施例提供了威胁情报共享方法、装置、设备及介质，能够有效简化威胁情报需求体的入过程，提高威胁情报共享行为的更新效率，在合理范围内扩大威胁情报的共享范围，充分发挥威胁情报的共享价值，同时有助于高价值威胁情报的及时共享，协助防御者及时获取关键情报信息，缩短防御响应时间。

具体发明内容为：

一种用于威胁情报需求体加入共享行为的方法，包括：

通过纳什均衡模型计算申请入的威胁情报需求体与指定的威胁情报共享行为体的纳什均衡，并判断是否达成纳什均衡解；

若是，则将所述申请入的威胁情报需求体加入威胁情报共享行为，以用于所述申请入的威胁情报需求体与所述威胁情报共享行为中的威胁情报共享行为体进行威胁情报共享。

进一步地，所述威胁情报共享行为体包括达成纳什均衡解的威胁情报持有体和威胁情报需求体。

进一步地，所述通过纳什均衡模型计算申请入的威胁情报需求体与指定的威胁情报共享行为体的纳什均衡，具体包括：

通过纳什均衡模型计算申请入的威胁情报需求体与所述威胁情报共享行为内排序靠前的规定数量的威胁情报共享行为体中的威胁情报持有体的纳什均衡。

进一步地，所述威胁情报共享行为内排序靠前的规定数量的威胁情报共享行为体，是根据共享行为体网络得到的，具体包括：

基于所述威胁情报共享行为内的威胁情报共享行为体构建共享行为体网络；

通过节点影响力算法对所述共享行为体网络进行计算，得到所述威胁情报共享行为内各威胁情报共享行为体的重要程度；

基于所述重要程度对所述各威胁情报共享行为体进行排序，得到排序靠前的规定数量的威胁情报共享行为体。

进一步地，所述基于所述威胁情报共享行为内的威胁情报共享行为体构建共享行为体网络，具体包括：

通过所述纳什均衡模型确定所述威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡解，根据达成纳什均衡解的威胁情报共享行为体之间的对应关系形成无向边，构建共享行为体网络。

进一步地，所述确定所述威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡解，具体包括：

当一个威胁情报共享行为体中的威胁情报持有体与另一个威胁情报共享行为体中的威胁情报需求体达成纳什均衡解，则判定相应的威胁情报共享行为体之间达成纳什均衡解。

进一步地，在所述将所述申请入的威胁情报需求体加入威胁情报共享行为的同时，所述方法还包括：

根据所述申请入的威胁情报需求体与排序靠前的规定数量的威胁情报共享行为体的纳什均衡计算结果，将所述申请入的威胁情报需求体加入最优计算结果对应的威胁情报共享行为体。

一种用于威胁情报需求体加入共享行为的装置，包括：

纳什均衡计算模块，用于通过纳什均衡模型计算申请入的威胁情报需求体与指定的威胁情报共享行为体的纳什均衡，并将计算结果发送至入判定模块；

入判定模块，用于接收由所述纳什均衡计算模块发送的计算结果，判断所述计算结果是否为纳什均衡解，若是，则将所述申请入的威胁情报需求体加入威胁情报共享行为，以用于所述申请入的威胁情报需求体与所述威胁情报共享行为体进行威胁情报共享。

一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器、存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述方法。

一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述方法。

本发明的有益效果体现在：

本发明能够有效简化威胁情报需求体的入过程，提高威胁情报共享行为的更新效率，在合理范围内扩大威胁情报的共享范围，充分发挥威胁情报的共享价值，同时有助于高价值威胁情报的及时共享，协助防御者及时获取关键情报信息，缩短防御响应时间。

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例一种用于威胁情报需求体加入共享行为的方法流程图；

图2为本发明实施例一种共享行为体网络Fs值分配情况示意图；

图3为本发明实施例一种共享行为图网络示意图；

图4为本发明实施例另一种用于威胁情报需求体加入共享行为的方法流程图；

图5为本发明实施例一种用于威胁情报需求体加入共享行为的装置结构图；

图6为本发明实施例一种电子设备结构示意图。

下面结合附图对本发明实施例进行详细描述。

需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合；并且，基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。

本发明提供一种用于威胁情报需求体加入共享行为的方法实施例，如图1所示，包括：

S11：通过纳什均衡模型计算申请入的威胁情报需求体与指定的威胁情报共享行为体的纳什均衡；

S12：判断是否达成纳什均衡解，若是，则进入S13；否则拒绝入申请；

S13：将所述申请入的威胁情报需求体加入威胁情报共享行为，以用于所述申请入的威胁情报需求体与所述威胁情报共享行为中的威胁情报共享行为体进行威胁情报共享。

优选地，所述威胁情报共享行为体包括达成纳什均衡解的威胁情报持有体和威胁情报需求体。

优选地，所述通过纳什均衡模型计算申请入的威胁情报需求体与指定的威胁情报共享行为体的纳什均衡，具体包括：

通过纳什均衡模型计算申请入的威胁情报需求体与所述威胁情报共享行为内排序靠前的规定数量的威胁情报共享行为体中的威胁情报持有体的纳什均衡。该过程是判定申请入的威胁情报需求体是否被所述威胁情报共享行为(G)接受的过程，当申请入的威胁情报需求体与所述威胁情报共享行为(G)中排序靠前的规定数量(m)的威胁情报共享行为体中的威胁情报持有体达成纳什均衡解时，判定为所述申请入的威胁情报需求体被所述威胁情报共享行为(G)所接受，允许其入进行威胁情报共享。所述m的取值可根据实际应用场景和具体需求设定，例如取m＝n/3，n为所述威胁情报共享行为中共享行为体的总数。

优选地，所述威胁情报共享行为内排序靠前的规定数量的威胁情报共享行为体，是根据共享行为体网络得到的，具体包括：

基于所述威胁情报共享行为内的威胁情报共享行为体构建共享行为体网络；通过节点影响力算法对所述共享行为体网络进行计算，得到所述威胁情报共享行为内各威胁情报共享行为体的重要程度；基于所述重要程度对所述各威胁情报共享行为体进行排序，得到排序靠前的规定数量的威胁情报共享行为体。

上述优选方案所述节点影响力算法可采用优化的K-shell算法，计算威胁情报共享行为体重要程度目的是对内威胁情报共享行为体按重要程度进行排序，为新威胁情报需求体入资格判定和入路径确定奠定基础。所述K-shell算法的计算过程举例如下：

利用K-shell算法对所述共享行为体网络(N)进行计算，N中的每一个节点对应一个威胁情报共享行为体；

在N中搜索并删除所有度为1的节点，并为此类节点分配Fs值，令Fs＝1；判断是否存在由于节点的移除而变成度为1的其他节点，若存在此类节点，则将其删除并令Fs＝1；

搜索并删除度为2的节点，并为此类节点分配Fs值，令Fs＝2；判断是否存在由于节点的移除而变成度为2的其他节点，若存在此类节点，则将其删除并令Fs＝2；

对于更新后的网络，搜索度为l(l≥3)的节点，重复上述过程，直到网络中所有节点均被分配Fs值，N的Fs值分配情况举例如图2所示；

计算网络中所有威胁情报共享行为体的度F(i)和两步邻域内的威胁情报共享行为体的总数L(i)；

根据得到的F(i)和L(i)，计算各个节点的影响系数ηi，

根据得到的F(i)和L(i)，计算次邻居威胁情报共享行为体的个数E(i)，E(i)＝L(i)-F(i)；E(i)代表次邻居威胁情报共享行为体的个数；

根据得到的ηi、E(i)，计算威胁情报共享行为体的综合度D(i)，D(i)＝F(i)+ηiE(i)；

将同一核心层的威胁情报共享行为体根据综合度D(i)区分其重要程度，Fs相等时，D(i)值大的威胁情报共享行为体更重要，按重要程度对威胁情报共享行为体进行排序，降序排列记为G＝{I1，I2，…，In}。

优选地，所述基于所述威胁情报共享行为内的威胁情报共享行为体构建共享行为体网络，具体包括：

通过所述纳什均衡模型确定所述威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡解，根据达成纳什均衡解的威胁情报共享行为体之间的对应关系形成无向边，构建共享行为体网络。

优选地，所述确定所述威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡解，具体包括：

当一个威胁情报共享行为体中的威胁情报持有体与另一个威胁情报共享行为体中的威胁情报需求体达成纳什均衡解，则判定相应的威胁情报共享行为体之间达成纳什均衡解。

结合上述优选方案，对共享行为体网络的构建举例如下：

威胁情报共享行为体由达成纳什均衡解的威胁情报持有体H和威胁情报需求体R组成，对威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡进行计算，即对威胁情报共享行为体Ci中的威胁情报持有体Hi和威胁情报需求体Ri与内其他威胁情报共享行为体Cj中的威胁情报持有体Hj和威胁情报需求体Rj的纳什均衡进行计算，当Ci中的Hi与Cj中的Rj达成纳什均衡，或Ci中的Ri与Cj中的Hj达成纳什均衡时，则判定Ci和Cj达成纳什均衡解，并在Ci和Cj间创建无向边，直至威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡计算完毕，形成威胁情报共享行为体无向网络，即共享行为体网络。对照图2，共享行为体网络示意图举例如图3所示，图中每一个带数字的圆圈即为一个威胁情报共享行为体。

优选地，在所述将所述申请入的威胁情报需求体加入威胁情报共享行为的同时，所述方法还包括：

根据所述申请入的威胁情报需求体与排序靠前的规定数量的威胁情报共享行为体的纳什均衡计算结果，将所述申请入的威胁情报需求体加入最优计算结果对应的威胁情报共享行为体。该过程为新威胁情报共享需求体提供入路径，对于可以入的新威胁情报需求体，获取其和{I1，I2，…，In}中前m个威胁情报共享行为体纳什均衡计算的最优解，将新威胁情报需求体加入最优解对应的威胁情报共享行为体，即将新威胁情报需求体与其重要程度最接近的威胁情报共享行为体相结合，构成新的威胁情报共享行为体。

为进一步对本发明进行说明，结合前述优选方案，提供另一种用于威胁情报需求体加入共享行为的方法实施例，如图4所示，包括：

S41：通过纳什均衡模型确定威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡解；

S42：根据达成纳什均衡解的威胁情报共享行为体之间的对应关系形成无向边，构建共享行为网络；

S43：通过节点影响力算法对所述共享行为体网络进行计算，得到所述威胁情报共享行为内各威胁情报共享行为体的重要程度；

S44：基于所述重要程度对所述各威胁情报共享行为体进行排序，得到排序靠前的规定数量的威胁情报共享行为体；

S45：通过所述纳什均衡模型计算申请入的威胁情报需求体与所述威胁情报共享行为内排序靠前的规定数量的威胁情报共享行为体中的威胁情报持有体的纳什均衡；

S46：判断是否达成纳什均衡解，若是，则进入S47；否则拒绝入申请；

S47：将所述申请入的威胁情报需求体加入威胁情报共享行为；

S48：根据所述申请入的威胁情报需求体与排序靠前的规定数量的威胁情报共享行为体的纳什均衡计算结果，将所述申请入的威胁情报需求体加入最优计算结果对应的威胁情报共享行为体。

图4所述实施例首先确定威胁情报共享行为内的威胁情报共享行为体的重要程度排序，结合排序情况按规定对申请入的威胁情报需求体与威胁情报共享行为体的纳什均衡进行计算，若达成纳什均衡解，则申请入的威胁情报需求体可以入，以实现威胁情报的共享。同时，为申请入的新威胁情报需求体提供入路径，根据申请入的威胁情报需求体与排序靠前的规定数量的威胁情报共享行为体的纳什均衡计算结果，将新威胁情报需求体加入纳什均衡计算中最优解对应的威胁情报共享行为体，即将新威胁情报需求体与其重要程度最接近的威胁情报共享行为体相结合，构成新的威胁情报共享行为体。本实施例能够有效简化威胁情报需求体的入过程，无需付出共享价值判别成本，加快威胁情报共享行为的更新，提高价值，有助于威胁情报的及时共享，保证威胁情报的时效性。图4所述实施例是基于图1所述实施例的优选方案得到的，因此对图4所述实施例的描述较为简单，相应部分请参照图1所述实施例。

本发明提供一种用于威胁情报需求体加入共享行为的装置实施例，如图5所示，包括：

纳什均衡计算模块51，用于通过纳什均衡模型计算申请入的威胁情报需求体与指定的威胁情报共享行为体的纳什均衡，并将计算结果发送至入判定模块52；

入判定模块52，用于接收由所述纳什均衡计算模块51发送的计算结果，判断所述计算结果是否为纳什均衡解，若是，则将所述申请入的威胁情报需求体加入威胁情报共享行为，以用于所述申请入的威胁情报需求体与所述威胁情报共享行为体进行威胁情报共享。

优选地，所述威胁情报共享行为体包括达成纳什均衡解的威胁情报持有体和威胁情报需求体。

优选地，所述通过纳什均衡模型计算申请入的威胁情报需求体与指定的威胁情报共享行为体的纳什均衡，具体包括：

通过纳什均衡模型计算申请入的威胁情报需求体与所述威胁情报共享行为内排序靠前的规定数量的威胁情报共享行为体中的威胁情报持有体的纳什均衡。

优选地，所述威胁情报共享行为内排序靠前的规定数量的威胁情报共享行为体，是根据共享行为体网络得到的，具体包括：

基于所述威胁情报共享行为内的威胁情报共享行为体构建共享行为体网络；通过节点影响力算法对所述共享行为体网络进行计算，得到所述威胁情报共享行为内各威胁情报共享行为体的重要程度；基于所述重要程度对所述各威胁情报共享行为体进行排序，得到排序靠前的规定数量的威胁情报共享行为体。

优选地，所述基于所述威胁情报共享行为内的威胁情报共享行为体构建共享行为体网络，具体包括：

通过所述纳什均衡模型确定所述威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡解，根据达成纳什均衡解的威胁情报共享行为体之间的对应关系形成无向边，构建共享行为体网络。

优选地，所述确定所述威胁情报共享行为内的威胁情报共享行为体之间的纳什均衡解，具体包括：

当一个威胁情报共享行为体中的威胁情报持有体与另一个威胁情报共享行为体中的威胁情报需求体达成纳什均衡解，则判定相应的威胁情报共享行为体之间达成纳什均衡解。

优选地，在所述将所述申请入的威胁情报需求体加入威胁情报共享行为的同时，所述入判定模块52还用于：

根据所述申请入的威胁情报需求体与排序靠前的规定数量的威胁情报共享行为体的纳什均衡计算结果，将所述申请入的威胁情报需求体加入最优计算结果对应的威胁情报共享行为体。

本发明装置实施例部分过程与方法实施例相近，对于装置实施例的描述较为简单，相应部分请参照方法实施例。

本发明实施例还提供一种电子设备，如图6所示，可以实现本发明图1、4所示实施例的流程，所述电子设备包括：壳体61、处理器62、存储器63、电路板64和电源电路65，其中，电路板64安置在壳体61围成的空间内部，处理器62、存储器63设置在电路板64上；电源电路65，用于为上述电子设备的各个电路或器件供电；存储器63用于存储可执行程序代码；处理器62通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例所述的方法。

处理器62对上述步骤的具体执行过程以及处理器62通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1、4所示实施例的描述，在此不再赘述。

该电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例所述的方法。

本发明能够有效简化威胁情报需求体的入过程，提高威胁情报共享行为的更新效率，在合理范围内扩大威胁情报的共享范围，充分发挥威胁情报的共享价值，同时有助于高价值威胁情报的及时共享，协助防御者及时获取关键情报信息，缩短防御响应时间。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。