(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111398817.5 (22)申请日 2021.11.19 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 冯豪龙　范渊　刘博　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 冯海刚 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/00(2006.01) (54)发明名称 一种威胁情报攻击源的识别方法、 装置、 设 备及介质 (57)摘要 本申请公开了一种威胁情报攻击源的识别 方法， 包括： 获取目标服务器的威胁情报； 基于灰 狼算法， 利用威胁情报创建初始网络矩阵， 并在 初始网络矩阵确定威胁情报的攻击发生地、 攻击 发生地的上一次跳转路径以及与攻击发生地相 关联的目标网关； 对攻击发生地、 攻击发生地的 上一次跳转路径和目标网关进行迭代更新， 并利 用攻击发生地、 攻击发生地的上一次跳转路径和 目标网关确定威胁情报的攻击源。 由于该方法可 以避免人工手动对威胁情报攻击源进行查找的 繁琐流程， 所以， 利用该方法就能够快速、 准确地 查找到威胁情报的攻击源。 相应的， 本申请所提 供的一种威胁情报攻击源的识别装置、 设备及介 质， 同样具有上述有益效果。 权利要求书2页 说明书7页 附图3页 CN 114039791 A 2022.02.11 CN 114039791 A 1.一种威胁情 报攻击源的识别方法， 其特 征在于， 包括： 获取目标服 务器的威胁情 报； 基于灰狼算法， 利用所述威胁情报创建初始网络矩阵， 并在所述初始网络矩阵确定所 述威胁情报的攻击发生地、 所述攻击发生地的上一次跳转路径以及与所述攻击发生地相关 联的目标网关； 对所述攻击发生地、 所述攻击发生地的上一次跳转路径和所述目标网关进行迭代更 新， 并利用所述攻击发生地、 所述攻击发生地的上一次跳转路径和所述 目标网关确定所述 威胁情报的攻击源。 2.根据权利要求1所述的识别方法， 其特征在于， 所述获取目标服务器的威胁情报的过 程之后， 还 包括： 对所述威胁情报进行清洗 。 3.根据权利要求1所述的识别方法， 其特征在于， 所述获取目标服务器的威胁情报的过 程， 包括： 利用部署在所述目标服务器各个网络端口上的硬件探针和/或软件探针获取所述目标 服务器的所述 威胁情报。 4.根据权利要求1至3任一项所述的识别方法， 其特征在于， 所述对所述攻击发生地、 所 述攻击发生 地的上一次跳转路径和所述目标网关进行迭代更新的过程， 包括： 将所述攻击发生地、 所述攻击发生地的上一 次跳转路径和所述目标网关分别标记为L、 M和N， 并利用第一目标模型分别对L、 M和N进行迭代更新； 其中， 所述第一目标模型的表达式为： T(t+1)＝Tp(t) ‑A*D； 式中， D＝|C*Tp(t) ‑T(t)|表示L、 M或者N与理想猎物间的距离， t为当前的迭代次数， A 和C均为系数向量， Tp(t)和T(t)分别表示 L、 M或者N的起始向量和当前位置向量。 5.根据权利要求4所述的识别方法， 其特征在于， 利用所述攻击发生地、 所述攻击发生 地的上一次跳转路径和所述目标网关确定所述 威胁情报的攻击源的过程， 包括： 利用L、 M、 N和第二目标模型确定目标探测点 W的目标更新位置； 其中， 所述第二目标模型的表达式为： X(t+1)＝(X1+X2+X3)/3； 式中， X1＝Xl‑A1*Dl、 X2＝Xn‑A2*Dm、 X3＝Xn‑A3*Dn， Dl＝|C1*Xl ‑X|、 Dm＝|C2*Xm ‑X|、 Dn ＝|C3*Xn ‑X|； Dl、 Dm和Dn分别表示L、 M和N与所述网络矩阵中其它个体间的距离， Xl、 Xm和Xn 分别表示 L、 M和N的当前位置， C1、 C2和C 3均为随机向量， X为所述目标探测点 W的当前位置； 判断所述目标 更新位置是否收敛； 若所述目标 更新位置收敛， 则判定所述目标 更新位置为所述 威胁情报的所述 攻击源。 6.根据权利要求5所述的识别方法， 其特征在于， 所述判断所述目标更新位置是否收敛 的过程之后， 还 包括： 若所述目标更新位置非收敛， 则判断所述目标探测点W的更新迭代次数是否达到预设 阈值； 若所述目标探测点W的更新迭代次数达到所述预设阈值， 则判定所述威胁情报为无效 数据；权　利　要　求　书 1/2 页 2 CN 114039791 A 2若所述目标探测点W的更新迭代次数没有达到所述预设阈值， 则继续执行所述利用L、 M、 N和第二目标模型确定目标探测点 W的目标更新位置的步骤。 7.一种威胁情 报攻击源的识别装置， 其特 征在于， 包括： 情报获取模块， 用于获取目标服 务器的威胁情 报； 初始点确定模块， 用于基于灰狼算法， 利用所述威胁情报创建初始网络矩阵， 并在所述 初始网络矩阵确定所述威胁情报的攻击发生地、 所述攻击发生地的上一次跳转路径以及与 所述攻击发生 地相关联的目标网关； 攻击源确定模块， 用于对所述攻击发生地、 所述攻击发生地的上一次跳转路径和所述 目标网关进行迭代更新， 并利用所述攻击发生地、 所述攻击发生地的上一次跳转路径和所 述目标网关确定所述 威胁情报的攻击源。 8.一种威胁情 报攻击源的识别设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至6任一项所述的一种威胁情报 攻击源的识别方法的步骤。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至6任一项 所述的一种威胁情报攻 击源的识别方法的步骤。权　利　要　求　书 2/2 页 3 CN 114039791 A 3