基于多源异构数据的网络威胁情报质量评估方法

作     者：周景贤 李其蔚 程志棚 ZHOU Jingxian;LI Qiwei;CHENG Zhipeng

作者机构：中国民航大学信息安全测评中心天津300300 中国民航大学计算机科学与技术学院天津300300 中国民用航空华北地区空中交通管理局通信网络中心北京100621 

出 版 物：《中国民航大学学报》 (Journal of Civil Aviation University of China)

年 卷 期：2024年第42卷第4期

页      面：29-36页

学科分类：0839[工学-网络空间安全] 08[工学] 

基　　金：民航安全能力建设资金项目(PESA2019074 PESA2021009) 

主　　题：网络安全 威胁情报 多源情报 量化评估 Critic权重法 

摘      要：随着网络攻击形式的多样化和攻击手段的复杂化,网络威胁情报(CTI,cyber threat intelligence)已成为应对未知网络威胁的重要手段。为有效解决网络威胁情报因来源广和重复性高而导致其质量难以评估的问题,本文提出一种基于多源异构数据的网络威胁情报质量评估方法ISU-Measure(intelligence-source-user measure)。首先,设计及时性、活跃性、关联性、完整性作为量化指标来表征微观威胁情报的质量;其次,提出将规模性、周期性、独创性作为量化指标来评估威胁情报源整体质量;然后,针对用户需求差异性设计了用户指标偏好并与Critic权重法结合生成复合权重,同时对7个量化指标赋权构建量化评估模型。通过对12个主流威胁情报源的质量评估结果显示,ISU-Measure方法设计的复合权重法优于Critic权重法和均值法,相比其他研究方法在指标覆盖范围、获取难度、区分性上具有明显优势。