(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211140696.9 (22)申请日 2022.09.20 (65)同一申请的已公布的文献号 申请公布号 CN 115225413 A (43)申请公布日 2022.10.21 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 王鹏云　樊兴华　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 吕爱霞 (51)Int.Cl. H04L 9/40(2022.01) G06F 40/30(2020.01)G06F 16/35(2019.01) 审查员 李晓利 (54)发明名称 一种失陷指标的提取方法、 装置、 电子设备 及存储介质 (57)摘要 本申请实施例提供一种失陷指标的提取方 法、 装置、 电子设备及存储介质， 其中， 该方法包 括： 获取包含失陷指标的样本数据； 对所述样本 数据进行预处理， 得到正样本和负样本； 将所述 正样本和所述负样本输入预先训练的语义检测 模型进行训练， 得到失陷指标检测模型； 将待检 测数据与预先建立的可信威胁情报白名单进行 匹配， 得到失陷指标； 将所述失陷指标输入所述 失陷指标检测模 型， 得到符合威胁情报的失陷指 标。 实施本申请实施例， 可以提高检测效率， 不会 造成失陷指标的遗漏， 减少误检测的发生， 不需 要依赖人工 检测， 降低人力成本 。 权利要求书2页 说明书10页 附图3页 CN 115225413 B 2022.12.23 CN 115225413 B 1.一种失陷指标的提取 方法， 其特 征在于， 所述方法包括： 获取包含失陷指标的样本数据； 对所述样本数据进行 预处理， 得到正样本和负 样本； 将所述正样本和所述负样本输入预先训练 的语义检测模型进行训练， 得到失陷指标检 测模型； 将待检测数据与预 先建立的可信威胁情 报白名单进行匹配， 得到失陷指标； 将所述失陷指标输入所述失陷指标检测模型， 得到符合 威胁情报的失陷指标； 根据所述失陷指标进行验证， 得到验证结果； 根据所述验证结果获得验证正样本和验证负 样本； 将所述验证正样本和验证负 样本输入所述失陷指标检测模型进行二次训练； 所述将待检测数据与预先建立的可信威胁情报白名单进行匹配， 得到失陷指标的步 骤， 包括： 提取所述待检测数据中的主机信息； 判断所述可信威胁情 报白名单 是否可以匹配到所述主机信息； 若是， 提取 所述待检测数据中的初始失陷指标； 对所述初始失陷指标进行验证， 若验证通过， 得到所述失陷指标； 所述对所述初始失陷指标进行验证， 若验证通过， 得到所述失陷指标的步骤， 包括： 利用多个搜索引擎对所述初始失陷指标进行验证， 得到多个验证结果； 若所述多个验证结果中为恶意的验证结果的数量达到 阈值， 则所述多个验证结果对应 的所述初始失陷指标有效， 将所述初始失陷指标作为所述失陷指标。 2.根据权利要求1所述失陷指标的提取方法， 其特征在于， 所述对所述样本数据进行预 处理， 得到正样本和负 样本的步骤， 包括： 对所述样本数据进行 过滤； 对所述过 滤后的样本数据进行正则提取， 得到失陷指标； 判断所述失陷指标中的域名类失陷指标 是否为恶意失陷指标； 若是， 根据包含判定为所述恶意失陷指标的域名类失陷指标的样本数据得到所述正样 本； 若否， 根据所述过 滤后的样本数据得到所述负 样本。 3.根据权利要求2所述失陷指标的提取方法， 其特征在于， 所述将所述正样本和所述负 样本输入预先训练的语义检测模型进行训练， 得到失陷指标检测模型的步骤， 包括： 将所述正样本和所述负样本输入预先训练 的语义检测模型进行训练， 得到初始失陷指 标检测模型； 获取测试正样本和 测试负样本； 将所述测试正样本和所述测试负样本输入所述初始失陷指标检测模型进行迭代训练， 得到所述失陷指标检测模型。 4.根据权利要求1所述失陷指标的提取方法， 其特征在于， 在所述对所述初始失陷指标 进行验证， 若验证通过， 得到所述失陷指标的步骤之后， 还 包括： 获取所述失陷指标的域名信息； 根据所述 域名信息中的域名年限和访问页面数据对所述失陷指标进行误报判断；权　利　要　求　书 1/2 页 2 CN 115225413 B 2若所述失陷指标为 误报， 不将所述失陷指标作为符合 威胁情报的失陷指标。 5.一种失陷指标的提取装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取包 含失陷指标的样本数据； 预处理模块， 用于对所述样本数据进行 预处理， 得到正样本和负 样本； 模型训练模块， 用于将所述正样本和所述负样本输入预先训练 的语义检测模型进行训 练， 得到失陷指标检测模型； 匹配模块， 用于将待检测数据与预先建立的可信威胁情报白名单进行匹配， 得到失陷 指标； 检测模块， 用于将所述失陷指标输入所述失陷指标检测模型， 得到符合威胁情报的失 陷指标； 所述装置还 包括验证模块， 用于： 根据所述失陷指标进行验证， 得到验证结果； 根据所述验证结果获得验证正样本和验证负 样本； 将所述验证正样本和验证负 样本输入所述失陷指标检测模型进行二次训练； 进一步地， 匹配模块还用于： 提取所述待检测数据中的主机信息； 判断所述可信威胁情 报白名单 是否可以匹配到所述主机信息； 若是， 提取 所述待检测数据中的初始失陷指标； 对所述初始失陷指标进行验证， 若验证通过， 得到所述失陷指标； 进一步地， 匹配模块还用于： 利用多个搜索引擎对所述初始失陷指标进行验证， 得到多个验证结果； 若所述多个验证结果中为恶意的验证结果的数量达到 阈值， 则所述多个验证结果对应 的所述初始失陷指标有效， 将所述初始失陷指标作为所述失陷指标。 6.一种电子设备， 其特征在于， 包括存储器及处理器， 所述存储器用于存储计算机程 序， 所述处理器运行所述计算机程序以使 所述电子 设备执行根据权利要求 1至4中任一项 所 述失陷指标的提取 方法。 7.一种计算机可读存储介质， 其特征在于， 其存储有计算机程序， 所述计算机程序被处 理器执行时实现如权利要求1至4中任一项所述失陷指标的提取 方法。权　利　要　求　书 2/2 页 3 CN 115225413 B 3