(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211139104.1 (22)申请日 2022.09.19 (71)申请人 中国工商银行股份有限公司 地址 100140 北京市西城区复兴门内大街 55号 (72)发明人 金慧敏　朱宏亮　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 田勇　任默闻 (51)Int.Cl. G06Q 30/02(2012.01) H04L 9/40(2022.01) (54)发明名称 威胁情报资质评价方法和装置 (57)摘要 本申请实施例提供一种威胁情报资质评价 方法和装置。 所述方法包括： 获取供应商服务综 合指标、 服务技术测试基本指标以及服务技术测 试一般指标； 确定所述服务技术测试基本指标是 否满足第一评价规则； 在所述服务技术测试基本 指标满足所述第一评价规则的情况下， 根据所述 供应商服务综合指标以及所述服务技术测试一 般指标计算评价值， 根据所述评价值是否满足第 二评价规则确定是否具有评价威胁情报的资质。 由此， 能够提供一种可操作、 可量化、 较全面的是 否具有评价威胁情报的资质的方法和装置， 并且 能够从多方面衡量各威胁情报数据的质量， 以及 能够满足 企业对各类威胁情 报数据的各项 要求。 权利要求书1页 说明书14页 附图4页 CN 115496529 A 2022.12.20 CN 115496529 A 1.一种威胁情 报资质评价方法， 其特 征在于， 所述方法包括： 获取供应商服 务综合指标、 服 务技术测试基本指标以及服 务技术测试一般指标； 确定所述 服务技术测试基本指标 是否满足第一评价 规则； 在所述服务技术测试基本指标满足所述第 一评价规则的情况下， 根据 所述供应商服务 综合指标以及所述 服务技术测试一般指标计算评价 值， 根据所述评价 值是否满足第二评价 规则确定是否具有评价 威胁情报的资质。 2.根据权利要求1所述的方法， 其特征在于， 根据 所述评价值是否满足所述第 二评价规 则确定是否具有评价 威胁情报的资质包括： 在所述评价 值大于或者 等于第一阈值的情况 下， 确定具有评价 威胁情报的资质； 在所述评价 值小于所述第一阈值的情况 下， 确定不具有评价所述 威胁情报的资质。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在所述服务技术测试基本指标不满足所述第 一评价规则的情况下， 确定不具有评价所 述威胁情报的资质。 4.根据权利要求2所述的方法， 其特征在于， 根据第 三评价规则确定所述供应商服务综 合指标， 其中， 所述第三评价规则根据以下信息的至少一种确定： 反馈信息、 人员专业能力信 息、 文档专业 性信息。 5.根据权利要求2所述的方法， 其特征在于， 所述服务技术测试基本指标包括以下指标 的至少一种： 实施能力指标、 情报类型指标、 数据传输指标、 数据存储指标、 数据格式指标、 数据展示指标、 数据老化指标、 情 报查询指标、 或者情 报报告指标。 6.根据权利要求2所述的方法， 其特征在于， 根据第四评价规则确定所述服务技术测试 一般指标， 其中， 根据测评指标、 情 报类型、 能力 信息确定所述第四评价 规则。 7.根据权利要求6所述的方法， 其特征在于， 根据测评数据的置信度和准确命中的样例 信息确定所述测评指标。 8.一种威胁情 报资质评价装置， 其特 征在于， 所述装置包括： 获取单元， 获取服 务综合指标、 服 务技术测试基本指标以及服 务技术测试一般指标； 确定单元， 其确定所述 服务技术测试基本指标 是否满足第一评价 规则； 计算单元， 其在所述服务技术测试基本指标满足所述第一评价规则的情况下， 根据所 述服务综合指标以及所述 服务技术测试一般指标计算评价 值， 评价单元， 其根据所述评价值是否满足第 二评价规则确定是否具有评价威胁情报的资 质。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至7任意一项所 述方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有执行权利 要求1至7任意 一项所述方法的计算机程序。权　利　要　求　书 1/1 页 2 CN 115496529 A 2威胁情报资质评价 方法和装置 技术领域 [0001]本申请涉及网络安全技 术领域， 特别涉及一种威胁情 报资质评价方法和装置 。 背景技术 [0002]目前， 为有效应对当前严峻的网络安全角势带来的内外部威胁， 各大企业亟需由 被动防御转换为主动防御， 目前在主动防御方面， 业界均处于探索尝试建设阶段， 缺乏统一 的建设思路和标准。 而威胁情报作为构建主动防御体系的关键要 素， 同样缺少统一的、 明确 的规格要求， 各同业只能根据自身实际需要制定需求。 [0003]威胁情报 是安全信息中具备较高价值和较强时效性的一个知识子集。 此价值的定 义， 取决于能否通过有效信息的获取和分析手段的利用， 减少攻防对抗和安全管理中的不 确定因素， 从而辅助决策， 保障安全行动。 威胁情报对组织即将面临的攻击进行预测， 可帮 助企业在防御上做出更优的决策， 利用威胁情报的目的主要为： (1)采取积极的措施， 提前 建立计划预防威胁； (2)获取了解安全技术的最新 发展， 及时阻止出现的威胁； (3)形成安全 预警机制， 在攻击到达前就能够知晓； (4)完善安全事件响应方案； (5)提高企业 或组织已有 的安全运营效率和安全投入产出比。 [0004]应该注意， 上面对技术背景的介绍只是为了方便对本申请的技术方案进行清楚、 完整的说明， 并方便本领域技术人员的理解而阐述的。 不能仅仅因为这些方案在本申请的 背景技术部分进行了阐 述而认为上述 技术方案为本领域 技术人员所公知。 发明内容 [0005]目前， 虽威胁情报价值较高， 但是其有明显的3个特点： (1)多： 威胁情报 来源多， 范 围广； 情报数量的庞大加上情报本身的置信度问题， 会带来大量的检出误报， 使得安全人员 工作量巨大且效率低； (2)杂： 威胁情报不仅种类繁杂， 应用场景也很复杂， 不同场景中应用 的威胁情报种类也存在差别； (3)快： 威胁情报更新快， 在 “多”和“杂”的映衬下， 威胁情报更 新速度之快使得安全人员工作难上加难； 若没有合适的情报自动化运营流程， 这些情报检 测， 事件确认和威胁溯源等方面的工作将使得安全 人力投入产出比极低。 因此， 正是威胁情 报多、 杂、 快的特点， 使得在采购威胁情 报时， 衡量 威胁情报数据的质量变得困难。 [0006]为有效保障采购的威胁情报数据能切实满足各企业构建由威胁预警、 持续监控、 态势感知、 快速响应、 追溯反制组成的主动防御体系的目标， 对于威胁情报数据种类较多、 要求较高、 技术复杂， 包括全面准确的攻击信息、 安全漏洞、 追踪溯源信息等情况下， 为了解 决上述问题中的至少一个， 本申请实施例提供一种威胁情 报资质评价方法和装置 。 [0007]由此， 能够提供一种可操作、 可量化、 较全面的是否具有评价威胁情报的资质的方 法和装置， 并且能够从多方面衡量各威胁情报数据的质量， 以及能够满足企业对各类威胁 情报数据的各项 要求。 [0008]根据本申请实施例的一方面， 提供了一种威胁情 报资质评价方法， 所述方法包括： [0009]获取供应商服 务综合指标、 服 务技术测试基本指标以及服 务技术测试一般指标；说　明　书 1/14 页 3 CN 115496529 A 3