本技術涉及網絡安全，具體而言，涉及一種威脅情報的分類方法、程序產品、電子設備及存儲介質。

背景技術：

1、當前，網絡攻擊的復雜性和頻率正以驚人的速度增長，傳統的防御機制難以全面應對。攻擊者越來越多地利用高級持續性威脅(advanced?persistent?threat，apt)、零日漏洞，以實現精確且隱蔽的攻擊目標。同時，攻擊活動展現出高度的多樣化和分布式特性，涵蓋了從勒索軟件到供應鏈攻擊的廣泛類型。這些攻擊常常通過模糊或變形的手段規避檢測，例如對攻擊手段進行動態調整，或在不同的攻擊階段采用相似但語義復雜的描述，增加了威脅情報分析的難度。但是，現有技術中檢測網絡安全威脅的準確率較低。

技術實現思路

1、本技術實施例的目的在于提供一種，用以解決現有技術中檢測網絡安全威脅的準確率較低的技術問題。

2、第一方面，本技術實施例提供一種威脅情報的分類方法，包括：獲取待分類威脅情報數據；將所述待分類威脅情報數據輸入預先訓練好的威脅情報分類模型中，得到所述威脅情報分類模型輸出的分類結果，其中，所述威脅情報分類模型包括多層分類器，所述分類結果包括所述待分類威脅情報數據對應的戰術類別、技術類別以及子技術類別；根據所述分類結果確定所述待分類威脅情報對應的目標ttp名稱。

3、在上述方案中，可以利用預先訓練好的威脅情報分類模型對待分類威脅情報數據進行分類，其中，上述威脅情報分類模型包括多層分類器，可以逐層對待分類威脅情報對應的戰術、技術以及子技術進行分類，從而可以減少類別之間的干擾并能夠逐步細化分類結果，提高對待分類威脅情報數據進行分類的準確率，進而提高檢測網絡安全威脅的準確率。

4、在可選的實施方式中，所述威脅情報分類模型包括戰術分類器、技術分類器以及子技術分類器；所述將所述待分類威脅情報數據輸入預先訓練好的威脅情報分類模型中，得到所述威脅情報分類模型輸出的分類結果，包括：將所述待分類威脅情報數據輸入所述戰術分類器中，得到所述戰術分類器輸出的戰術條件概率；將所述戰術條件概率輸入所述技術分類器中，得到所述技術分類器輸出的技術條件概率；將所述技術條件概率輸入所述子技術分類器中，得到所述子技術分類器輸出的子技術條件概率；根據所述戰術條件概率、技術條件概率以及子技術條件概率計算聯合概率，得到所述分類結果。在上述方案中，威脅情報分類模型可以包括三層分類器，分別為戰術分類器、技術分類器以及子技術分類器；其中，戰術分類器用于確定待分類威脅情報數據的戰術類別，技術分類器用于確定待分類威脅情報數據的技術類別，子技術分類器用于確定待分類威脅情報數據的子技術類別。通過逐層計算條件概率的方式，有效降低了每個分類器的復雜度，可以高效處理復雜層次化多分類問題，從而可以提高分類的準確性以及模型的解釋性。

5、在可選的實施方式中，在所述根據所述分類結果確定所述待分類威脅情報對應的目標ttp名稱之前，所述方法還包括：構造ttp名稱映射表，其中，所述ttp名稱映射表包括每一初始ttp名稱與某戰術類別下的某技術類別下的某子技術類別的映射關系；所述根據所述分類結果確定所述待分類威脅情報對應的目標ttp名稱，包括：查詢所述ttp名稱映射表中與所述分類結果對應的初始ttp名稱，作為所述目標ttp名稱。在上述方案中，在確定待分類威脅情報對應的目標ttp名稱之前，可以預先構造ttp名稱映射表，從而可以通過查表的方式，快速且準確的從上述ttp名稱映射表中找到與模型輸出的分類結果對應的初始ttp名稱。

6、在可選的實施方式中，所述獲取待分類威脅情報數據，包括：獲取原始威脅情報數據；對所述原始威脅情報數據進行預處理，得到中間威脅情報數據；根據所述中間威脅情報數據確定所述待分類威脅情報數據。在上述方案中，在獲取到原始威脅情報數據后，可以先對原始威脅情報數據進行預處理，從而便于后續進一步確定待分類威脅情報數據，以及利用威脅情報分類模型進行分類。

7、在可選的實施方式中，所述根據所述中間威脅情報數據確定所述待分類威脅情報數據，包括：將所述中間威脅情報數據輸入預先訓練好的語言模型中，得到所述語言模型輸出的所述待分類威脅情報數據。在上述方案中，通過將中間威脅情報數據輸入語言模型中，從而可以將上述中間威脅情報數據編碼為高維嵌入并提取對應的語義特征，以便于后續進一步利用威脅情報分類模型進行分類。

8、在可選的實施方式中，所述威脅情報的分類方法還包括：利用如下步驟對支持向量機進行參數優化得到所述威脅情報分類模型：獲取樣本數據，其中，所述樣本數據包括樣本描述數據以及與每個樣本描述數據分別對應的初始ttp名稱；利用所述樣本數據對所述支持向量機進行參數優化，得到所述威脅情報分類模型。在上述方案中，可以利用樣本數據對支持向量機進行參數優化，以得到威脅情報分類數據。由于上述威脅情報分類模型包括多層分類器，可以逐層對待分類威脅情報對應的戰術、技術以及子技術進行分類，從而可以減少類別之間的干擾并能夠逐步細化分類結果，提高對待分類威脅情報數據進行分類的準確率，進而提高檢測網絡安全威脅的準確率。

9、在可選的實施方式中，所述樣本描述數據包括第一描述數據以及第二描述數據，所述第一描述數據對應的初始ttp名稱已知，所述第二描述數據對應的初始ttp名稱未知；所述獲取樣本數據，包括：獲取所述樣本描述數據以及所述第一描述數據對應的初始ttp名稱；計算所述第一描述數據與所述第二描述數據之間的相似度，并根據所述相似度確定所述第二描述數據對應的初始ttp名稱。在上述方案中，對于初始ttp名稱未知的第二描述數據，可以通過計算其與第一描述數據之間的相似度，為其匹配合適的初始ttp名稱，從而擴充樣本數據中的數據量，進而提高對待分類威脅情報數據進行分類的準確率。

10、第二方面，本技術實施例提供一種威脅情報的分類裝置，包括：獲取模塊，用于獲取待分類威脅情報數據；輸入模塊，用于將所述待分類威脅情報數據輸入預先訓練好的威脅情報分類模型中，得到所述威脅情報分類模型輸出的分類結果，其中，所述威脅情報分類模型包括多層分類器，所述分類結果包括所述待分類威脅情報數據對應的戰術類別、技術類別以及子技術類別；確定模塊，用于根據所述分類結果確定所述待分類威脅情報對應的目標ttp名稱。

11、在上述方案中，可以利用預先訓練好的威脅情報分類模型對待分類威脅情報數據進行分類，其中，上述威脅情報分類模型包括多層分類器，可以逐層對待分類威脅情報對應的戰術、技術以及子技術進行分類，從而可以減少類別之間的干擾并能夠逐步細化分類結果，提高對待分類威脅情報數據進行分類的準確率，進而提高檢測網絡安全威脅的準確率。

12、在可選的實施方式中，所述威脅情報分類模型包括戰術分類器、技術分類器以及子技術分類器；所述輸入模塊具體用于：將所述待分類威脅情報數據輸入所述戰術分類器中，得到所述戰術分類器輸出的戰術條件概率；將所述戰術條件概率輸入所述技術分類器中，得到所述技術分類器輸出的技術條件概率；將所述技術條件概率輸入所述子技術分類器中，得到所述子技術分類器輸出的子技術條件概率；根據所述戰術條件概率、技術條件概率以及子技術條件概率計算聯合概率，得到所述分類結果。在上述方案中，威脅情報分類模型可以包括三層分類器，分別為戰術分類器、技術分類器以及子技術分類器；其中，戰術分類器用于確定待分類威脅情報數據的戰術類別，技術分類器用于確定待分類威脅情報數據的技術類別，子技術分類器用于確定待分類威脅情報數據的子技術類別。通過逐層計算條件概率的方式，有效降低了每個分類器的復雜度，可以高效處理復雜層次化多分類問題，從而可以提高分類的準確性以及模型的解釋性。

13、在可選的實施方式中，所述威脅情報的分類裝置還包括：構造模塊，用于構造ttp名稱映射表，其中，所述ttp名稱映射表包括每一初始ttp名稱與某戰術類別下的某技術類別下的某子技術類別的映射關系；所述確定模塊具體用于：查詢所述ttp名稱映射表中與所述分類結果對應的初始ttp名稱，作為所述目標ttp名稱。在上述方案中，在確定待分類威脅情報對應的目標ttp名稱之前，可以預先構造ttp名稱映射表，從而可以通過查表的方式，快速且準確的從上述ttp名稱映射表中找到與模型輸出的分類結果對應的初始ttp名稱。

14、在可選的實施方式中，所述獲取模塊具體用于：獲取原始威脅情報數據；對所述原始威脅情報數據進行預處理，得到中間威脅情報數據；根據所述中間威脅情報數據確定所述待分類威脅情報數據。在上述方案中，在獲取到原始威脅情報數據后，可以先對原始威脅情報數據進行預處理，從而便于后續進一步確定待分類威脅情報數據，以及利用威脅情報分類模型進行分類。

15、在可選的實施方式中，所述獲取模塊還用于：將所述中間威脅情報數據輸入預先訓練好的語言模型中，得到所述語言模型輸出的所述待分類威脅情報數據。在上述方案中，通過將中間威脅情報數據輸入語言模型中，從而可以將上述中間威脅情報數據編碼為高維嵌入并提取對應的語義特征，以便于后續進一步利用威脅情報分類模型進行分類。

16、在可選的實施方式中，所述威脅情報的分類裝置還包括：訓練模塊，用于利用如下步驟對支持向量機進行參數優化得到所述威脅情報分類模型：獲取樣本數據，其中，所述樣本數據包括樣本描述數據以及與每個樣本描述數據分別對應的初始ttp名稱；利用所述樣本數據對所述支持向量機進行參數優化，得到所述威脅情報分類模型。在上述方案中，可以利用樣本數據對支持向量機進行參數優化，以得到威脅情報分類數據。由于上述威脅情報分類模型包括多層分類器，可以逐層對待分類威脅情報對應的戰術、技術以及子技術進行分類，從而可以減少類別之間的干擾并能夠逐步細化分類結果，提高對待分類威脅情報數據進行分類的準確率，進而提高檢測網絡安全威脅的準確率。

17、在可選的實施方式中，所述樣本描述數據包括第一描述數據以及第二描述數據，所述第一描述數據對應的初始ttp名稱已知，所述第二描述數據對應的初始ttp名稱未知；所述訓練模塊具體用于：獲取所述樣本描述數據以及所述第一描述數據對應的初始ttp名稱；計算所述第一描述數據與所述第二描述數據之間的相似度，并根據所述相似度確定所述第二描述數據對應的初始ttp名稱。在上述方案中，對于初始ttp名稱未知的第二描述數據，可以通過計算其與第一描述數據之間的相似度，為其匹配合適的初始ttp名稱，從而擴充樣本數據中的數據量，進而提高對待分類威脅情報數據進行分類的準確率。

18、第三方面，本技術實施例提供一種計算機程序產品，包括計算機程序指令，所述計算機程序指令被處理器讀取并運行時，執行如第一方面所述的威脅情報的分類方法。

19、第四方面，本技術實施例提供一種電子設備，包括：處理器、存儲器和總線；所述處理器和所述存儲器通過所述總線完成相互間的通信；所述存儲器存儲有可被所述處理器執行的計算機程序指令，所述處理器調用所述計算機程序指令能夠執行如第一方面所述的威脅情報的分類方法。

20、第五方面，本技術實施例提供一種計算機可讀存儲介質，所述計算機可讀存儲介質存儲計算機程序指令，所述計算機程序指令被計算機運行時，使所述計算機執行如第一方面所述的威脅情報的分類方法。

21、為使本技術的上述目的、特征和優點能更明顯易懂，下文特舉本技術實施例，并配合所附附圖，作詳細說明如下。