面对日益复杂化、持续化、组织化、武器化的网络攻击,世界各地越来越多的组织和个人开始利用和共享网络威胁情报以全面了解快速演变的网络威胁形势,防范网络攻击。随着威胁情报技术的快速推进,威胁情报来源广、种类多、数量大、更新快、价值高的特点给威胁情报的可信感知带来了一系列新的问题与挑战:威胁情报源可信性评估中信任因子考虑不足、信任因子权重分配主观性的问题,情报内容本身可信评估机制的缺失问题,威胁情报中基础设施节点的威胁类型标记效率低和准确率低的问题等。因此,本文围绕大数据环境中威胁情报的可信感知问题,分别从如何设计准确的情报源可信性评估方法、如何度量和分析威胁情报内容本身的可信性、如何设计有效的基于异质图卷积网络的威胁类型智能识别方法三个方面展开研究,提出了一系列的新方法和新模型。本文的主要工作和创新点如下。(1)针对威胁情报源可信性评估中信任因子考虑不足的问题,提出了一种多维度威胁情报源可信性评估方法。首先从身份信任因子、行为信任因子、关系信任因子和反馈信任因子四个方面对情报源的可信度进行了多维度的评估,然后通过有序加权平均和加权移动平均组合算法为四个信任因子动态分配权重。本文提出的多维度威胁情报源可信性评估方法超越了现有方法信任因子考虑不足、信任因子权重分配主观性等限制。基于新浪微博真实数据集的实验结果表明,所提出的威胁情报源可信性评估方法具有较高的准确性和自适应性。(2)针对威胁情报内容本身可信评估机制缺失问题,提出了一种基于图挖掘的威胁情报内容本身可信评估模型。所提模型通过信任感知的威胁情报架构模型、基于图挖掘的情报特征提取方法,以及自动的可解释的信任评估算法,为威胁情报共享平台情报可信度评估提供解决方案。基于真实数据集的实验结果显示该信任评估机制可以达到92.83%的精确率和93.84%的召回率。尽我们所知,本文是首次从基于图挖掘和多维特征的角度对威胁情报内容进行可信度评估。本文所提出的情报内容可信评估模型有利于安全分析师进行策略决定,有利于构建信任感知的威胁情报平台,有利于提高威胁情报的可用性,从而更有效地保护各组织抵御网络攻击。(3)针对威胁情报中基础设施节点威胁类型标记效率低和准确率低的问题,提出了一种实用的网络威胁情报建模方法和一种基于异质图卷积网络的基础设施节点威胁类型智能识别算法。考虑到威胁情报中涉及的多种类型基础设施节点和节点关系,我们首先建立了威胁情报异质信息网络模型,设计了威胁情报元模式来描述基础设施节点之间的语义关联;然后定义了一种基于元路径和元图实例的威胁基础设施相似度度量方法;最后提出了一种基于元路径和元图实例的异质图卷积网络算法来识别威胁情报中涉及的基础设施节点的威胁类型,并通过分层正则化策略缓解了过拟合问题,在基础设施节点的威胁类型识别中取得了良好效果。(4)基于本文第三、四、五章所提方法和模型,设计并实现了一个威胁情报可信感知系统。系统首先从多个主流情报源站点采集情报数据,然后构建威胁情报图并提取多维度的可信特征,使用基于图挖掘的情报内容可信评估算法为用户提供情报可信感知功能,解决了现有情报共享平台的情报可信感知功能缺失问题。系统的功能测试和性能测试结果显示该系统能够满足用户对威胁情报的可信感知需求。综上,本文从情报源的可信评估、情报内容本身的可信感知和基于异质图卷积网络的威胁类型智能识别三个方面,提出了一系列的方法和模型,并通过理论分析和大量的实验验证了它们的有效性,为大数据环境下实现威胁情报可信感知提供了重要的理论和技术支撑。