[0001] 本申请涉及智能化情报分析领域，具体涉及一种基于大规模模型协同的威胁情报分析方法。

[0002] 随着互联网和物联网技术的飞速发展，网络安全问题日益严峻，各类网络攻击和威胁层出不穷。企业和个人面临着前所未有的安全挑战，如何及时、准确地识别、预测和防范网络威胁，已成为互联网时代的核心议题。在这一背景下，威胁情报作为网络安全防御的重要组成部分，其收集、分析和利用的效率与质量直接关系到网络安全的整体效能。

[0003] 然而，当前物联网威胁情报获取具有较高的局限性。传统威胁情报的获取主要依赖于人工搜索及信息提取，不仅效率低下，且人工成本高、及时性不足。并且，威胁情报数据通常具有多样性和复杂性，包含了大量的非结构化文本数据，如安全报告、漏洞预警、安全资讯等。这些数据在格式、语言和内容上存在显著差异，缺乏统一的结构化标准，进一步加大了情报整合与智能化分析的难度。因此，期待一种优化的基于大规模模型协同的威胁情报分析方法。

[0016] 下面将结合附图对本申请实施例中的技术方案进行清楚、完整地描述，显而易见地，所描述的实施例仅仅是本申请的部分实施例，而不是全部的实施例。基于本申请实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，也属于本申请保护的范围。

[0017] 本说明书中使用的术语是考虑到关于本申请的功能而在本领域中当前广泛使用的那些通用术语，但是这些术语可以根据本领域普通技术人员的意图、先例或本领域新技术而变化。此外，特定术语可以进行选择，并且在这种情况下，其详细含义将在本申请的详细描述中描述。因此，说明书中使用的术语不应理解为简单的名称，而是基于术语的含义和本申请的总体描述。

[0018] 虽然本申请对根据本申请的实施例的系统中的某些模块做出了各种引用，然而，任何数量的不同模块可以被使用并运行在用户终端和/或服务器上。所述模块仅是说明性的，并且所述系统和方法的不同方面可以使用不同模块。

[0019] 本申请中使用了流程图来说明根据本申请的实施例的系统所执行的操作。应当理解的是，前面或下面操作不一定按照顺序来精确地执行。相反，根据需要，可以按照倒序或同时处理各种步骤。同时，也可以将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。

[0020] 图1示出了本申请实施例中基于大规模模型协同的威胁情报分析方法的应用架构示意图，包括服务器100、终端设备200。

[0021] 终端设备200与服务器100之间可以通过互联网相连，实现相互之间的通信。可选地，上述的互联网使用标准通信技术和/或协议。互联网通常为因特网、但也可以是任何网络，包括但不限于局域网（Local Area Network，LAN）、城域网（Metropolitan Area Network，MAN）、广域网（Wide Area Network，WAN）、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合。在一些实施例中，使用包括超文本标记语言（Hyper Text Markup Language，HTML）、可扩展标记语言（Extensible Markup Language，XML）等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层（Secure Socket Layer，SSL）、传输层安全（Transport Layer Security，TLS）、虚拟专用网络（Virtual Private Network，VPN）、网际协议安全（Internet Protocol Security，IPsec）等常规加密技术来加密所有或者一些链路。在另一些实施例中，还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。

[0022] 服务器100可以为终端设备200提供各种网络服务，其中，服务器100可以是一台服务器、若干台服务器组成的服务器集群或云计算中心。具体地，服务器100可以包括处理器110（Center Processing Unit，CPU）、存储器120、输入设备130和输出设备140等，输入设备
130可以包括键盘、鼠标、触摸屏等，输出设备140可以包括显示设备，如液晶显示器（Liquid Crystal Display，LCD）、阴极射线管（Cathode Ray Tube，CRT）等。

[0023] 存储器120可以包括只读存储器（ROM）和随机存取存储器（RAM），并向处理器110提供存储器120中存储的程序指令和数据。在本申请实施例中，存储器120可以用于存储本申请实施例中基于大规模模型协同的威胁情报分析方法的程序。

[0024] 处理器110通过调用存储器120存储的程序指令，处理器110用于按照获得的程序指令执行本申请实施例中任一种基于大规模模型协同的威胁情报分析方法的步骤。

[0025] 另外，本申请实施例中的应用架构图是为了更加清楚地说明本申请实施例中的技术方案，并不构成对本申请实施例提供的技术方案的限制，当然，对于其它的应用架构和业务应用，本申请实施例提供的技术方案对于类似的问题，同样适用。

[0026] 下面通过几个示例或实施例对根据本申请至少一个实施例提供的基于大规模模型协同的威胁情报分析方法进行非限制性的说明，如下面所描述的，在不相互抵触的情况下这些具体示例或实施例中不同特征可以相互组合，从而得到新的示例或实施例，这些新的示例或实施例也都属于本申请保护的范围。

[0027] 针对上述技术问题，本申请的技术构思为采用基于深度学习的自然语言处理技术对从暗网网页提取威胁情报内容信息，并分别对威胁情报内容信息进行全局内容信息语义特征提取以及关键词信息语义特征提取，进而基于威胁情报的关键词信息对其全局内容信息进行细粒度的上下文语义关联强化，以实现对威胁情报内容的深度理解和结构化表征。这样，可以有效地将非结构化的威胁情报报告转换为结构化数据，提升威胁情报的利用效率和分析准确性。

[0028] 基于此，图2示出了本申请实施例中基于大规模模型协同的威胁情报分析方法的流程图。例如，该基于大规模模型协同的威胁情报分析方法可以由服务器来执行，该服务器可以是图1中所示的服务器100。如图2所示，根据本申请实施例的基于大规模模型协同的威胁情报分析方法，包括步骤：S510，获取暗网网页；S520，从所述暗网网页提取威胁情报内容信息；S530，对所述威胁情报内容信息进行基于词粒度的全局内容语义编码以得到威胁情报内容词粒度编码向量的集合；S540，对所述威胁情报内容信息进行关键词提取和语义编码以得到威胁情报关键词上下文语义编码向量的集合；S550，计算所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量相对于所述威胁情报关键词上下文语义编码向量的集合的交互匹配结果以得到所述威胁情报内容信息的结构化数据。

[0029] 具体地，在本申请的技术方案中，首先，获取暗网网页，从所述暗网网页提取威胁情报内容信息。应可以理解，暗网（Dark Web）是指互联网上那些难以通过常规搜索引擎访问的隐藏网络部分，由于暗网的隐蔽性，许多网络黑客攻击、恶意软件交易都倾向于在暗网上进行，使得暗网网页中蕴含着丰富的威胁情报信息。也就是说，由于暗网网页中的信息具有高度的相关性和针对性，因此，在本申请的技术方案中，基于自然语言处理技术从混杂的暗网网页数据中提取有效的物联网威胁情报，可以了解最新的网络攻击趋势、识别新型威胁、追踪黑客活动轨迹等，显著提高威胁情报的时效性和准确性。

[0030] 其次，为了实现对所述威胁情报内容信息的细粒度语义理解，进一步对所述威胁情报内容信息进行分词处理后通过包含词嵌入层的威胁情报语义编码器进行语义编码。具体地，词嵌入（Word Embedding）技术可以将所述威胁情报内容信息中的各个词汇单元转换为向量空间中的稠密向量，捕捉到各个关键词的语义信息。进而，利用所述威胁情报语义编码器的自注意力机制对各个词汇单元的嵌入向量进行上下文建模，捕捉词汇单元之间的潜在语义依赖关系，在各个词汇单元的嵌入向量中融入周围词汇的语义关联，以得到威胁情报内容词粒度编码向量的集合，从而实现了更准确的语义理解和特征表示，为后续的语义分析和关联提供有力支持。

[0031] 相应地，在步骤S530中，对所述威胁情报内容信息进行基于词粒度的全局内容语义编码以得到威胁情报内容词粒度编码向量的集合，包括：对所述威胁情报内容信息进行分词处理后通过包含词嵌入层的威胁情报语义编码器以得到所述威胁情报内容词粒度编码向量的集合。

[0032] 接着，考虑到在文本数据中，关键词往往承载着最核心的信息和意图，是理解和分析文本内容的关键所在。因此，在本申请的技术方案中，为了更加聚焦地分析威胁情报，引入了基于AIGC模型的关键词提取器对所述威胁情报内容信息进行关键词提取。其中，AIGC（Artificial Intelligence Generated Content）模型能够深入理解文本语义，识别并提取出文本中的关键信息点，从所述威胁情报内容信息中快速抽取出具有代表性的关键词，生成威胁情报关键词的集合，为威胁情报的深入分析提供重要线索。

[0033] 然后，为了进一步理解各个威胁情报关键词的语义信息以及关键词之间的上下文语义关联，提升威胁情报分析的精准度，同样地，将所述威胁情报关键词的集合输入包含关键词嵌入层的关键词上下文关联编码器进行处理，通过词嵌入技术和自注意力机制的处理，挖掘出各个关键词的深层语义特征，理解关键词间的内在联系，从而得到威胁情报关键词上下文语义编码向量的集合。

[0034] 相应地，在步骤S540中，如图3所示，对所述威胁情报内容信息进行关键词提取和语义编码以得到威胁情报关键词上下文语义编码向量的集合，包括：S541，对所述威胁情报内容信息进行关键词提取以得到威胁情报关键词的集合；S542，对所述威胁情报关键词的集合进行上下文关联编码以得到所述威胁情报关键词上下文语义编码向量的集合。

[0035] 其中，在步骤S541中，对所述威胁情报内容信息进行关键词提取以得到威胁情报关键词的集合，包括：将所述威胁情报内容信息输入基于AIGC模型的关键词提取器以得到所述威胁情报关键词的集合。

[0036] 其中，在步骤S542中，对所述威胁情报关键词的集合进行上下文关联编码以得到所述威胁情报关键词上下文语义编码向量的集合，包括：将所述威胁情报关键词的集合输入包含关键词嵌入层的关键词上下文关联编码器以得到所述威胁情报关键词上下文语义编码向量的集合。

[0037] 接着，考虑到威胁情报关键词代表了情报文本中的关键信息和主题，对于威胁情报内容的深入理解具有重要的指导意义。因此，在本申请的技术方案中，为了强化威胁情报内容的语义特征表达，提高特征表示的有效性，进一步以所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量作为查询特征向量，通过计算所述查询特征向量相对于所述威胁情报关键词上下文语义编码向量的集合的单向注意力逐粒度扫描交互匹配结果以得到关键词信息引导威胁情报内容词粒度编码向量的集合，以此来作为所述威胁情报内容信息的结构化数据。也就是，将威胁情报内容中的词汇单元作为查询特征，通过单向注意力机制，根据查询词汇与各个威胁情报关键词之间的语义相似度对各个威胁情报关键词的编码特征进行加权融合，以获得所述威胁情报关键词的集合中与查询词汇相关的语义特征综合表示，进而通过其与该查询词汇语义特征的按位置点乘，强化查询词汇中的关键语义信息，得到关键词信息引导威胁情报内容词粒度编码向量。通过这种方式，增强了威胁情报内容中各个词汇单元与关键词之间的语义关联性，使得威胁情报内容的语义表达更加精确，从而实现了对威胁情报内容的深度理解和结构化表征。

[0038] 相应地，在步骤S550中，计算所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量相对于所述威胁情报关键词上下文语义编码向量的集合的交互匹配结果以得到所述威胁情报内容信息的结构化数据，包括：以所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量作为查询特征向量，计算所述查询特征向量相对于所述威胁情报关键词上下文语义编码向量的集合的单向注意力逐粒度扫描交互匹配结果以得到关键词信息引导威胁情报内容词粒度编码向量的集合作为所述威胁情报内容信息的结构化数据。

[0039] 具体地，以所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量作为查询特征向量，计算所述查询特征向量相对于所述威胁情报关键词上下文语义编码向量的集合的单向注意力逐粒度扫描交互匹配结果以得到关键词信息引导威胁情报内容词粒度编码向量的集合作为所述威胁情报内容信息的结构化数据，包括：计算所述查询特征向量与所述威胁情报关键词上下文语义编码向量的集合中各个威胁情报关键词上下文语义编码向量之间的语义度量系数以得到单向匹配语义度量系数的序列；将所述单向匹配语义度量系数的序列通过softmax函数进行归一化处理以得到单向匹配语义度量权重的序列；以所述单向匹配语义度量权重的序列作为权重，计算所述威胁情报关键词上下文语义编码向量的集合的加权和以得到威胁情报关键词上下文语义重塑表示向量；计算所述查询特征向量与所述威胁情报关键词上下文语义重塑表示向量之间的按位置点乘以得到所述关键词信息引导威胁情报内容词粒度编码向量。

[0040] 其中，计算所述查询特征向量与所述威胁情报关键词上下文语义编码向量的集合中各个威胁情报关键词上下文语义编码向量之间的语义度量系数以得到单向匹配语义度量系数的序列，包括：计算所述威胁情报关键词上下文语义编码向量的集合中各个威胁情报关键词上下文语义编码向量的各个特征值的平方以得到非线性变换威胁情报关键词上下文语义编码向量的集合；将所述查询特征向量与所述非线性变换威胁情报关键词上下文语义编码向量的集合中的各个非线性变换威胁情报关键词上下文语义编码向量分别进行级联以得到语义关联特征向量的序列；使用预设变换向量与所述语义关联特征向量的序列中的各个语义关联特征向量分别进行相乘以得到语义相似度的序列；将所述语义相似度的序列中的各个语义相似度分别加上偏置项后通过sigmoid激活函数以得到所述单向匹配语义度量系数的序列。

[0041] 在一个具体示例中，以所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量作为查询特征向量，计算所述查询特征向量相对于所述威胁情报关键词上下文语义编码向量的集合的单向注意力逐粒度扫描交互匹配结果以得到关键词信息引导威胁情报内容词粒度编码向量的集合作为所述威胁情报内容信息的结构化数据，包括：以如下单向交互匹配公式对所述查询特征向量和所述威胁情报关键词上下文语义编码向量的集合进行处理以得到所述关键词信息引导威胁情报内容词粒度编码向量，其中，所述单向交互匹配公式为：其中， 表示所述查询特征向量， 表示所述威胁情报关键词上下文语义编码向量的集合中的第 个威胁情报关键词上下文语义编码向量， 表示级联操作， 为预设变换向量，为偏置参数，表示 函数， 表示所述查询特征向量与所述第 个威胁情报关键词上下文语义编码向量之间的单向匹配语义度量系数， 为所述威胁情报关键词上下文语义编码向量的个数， 表示以e为底的指数函数运算， 表示所述查询特征向量与所述第 个威胁情报关键词上下文语义编码向量之间的单向匹配语义度量权重，表示威胁情报关键词上下文语义重塑表示向量， 表示按位置点乘， 表示所述关键词信息引导威胁情报内容词粒度编码向量。

[0042] 优选地，在本申请一个较佳实施例中，对所述关键词信息引导威胁情报内容词粒度编码向量的集合进行优化，包括步骤：将所述关键词信息引导威胁情报内容词粒度编码向量的集合级联为关键词信息引导威胁情报内容词粒度编码级联特征向量，并将所述威胁情报内容词粒度编码向量的集合级联为威胁情报内容词粒度编码级联特征向量；计算所述关键词信息引导威胁情报内容词粒度编码级联特征向量和所述威胁情报内容词粒度编码级联特征向量的均值向量的一范数和二范数；计算所述二范数的平方根的倒数与所述一范数的加权和，并与所述关键词信息引导威胁情报内容词粒度编码级联特征向量和所述威胁情报内容词粒度编码级联特征向量的点加求和向量进行点乘以获得第一威胁情报内容词粒度校正子向量；将所述关键词信息引导威胁情报内容词粒度编码级联特征向量和所述威胁情报内容词粒度编码级联特征向量的点乘乘积向量与所述威胁情报内容词粒度编码向量的长度的平方根进行点加以获得第二威胁情报内容词粒度校正子向量；计算所述第一威胁情报内容词粒度校正子向量和所述第二威胁情报内容词粒度校正子向量的加权和以得到威胁情报内容词粒度校正向量；将所述威胁情报内容词粒度校正向量与所述关键词信息引导威胁情报内容词粒度编码级联特征向量进行点乘以获得校正的关键词信息引导威胁情报内容词粒度编码级联特征向量；以及，将所述校正的关键词信息引导威胁情报内容词粒度编码级联特征向量按照级联模式进行拆分以得到优化的关键词信息引导威胁情报内容词粒度编码向量的集合。

[0043] 其中，所述威胁情报内容词粒度校正向量的计算过程以如下校正公式表示为：和 分别是所述关键词信息引导威胁情报内容词粒度编码级联特征向量和所
述威胁情报内容词粒度编码级联特征向量， 是所述关键词信息引导威胁情报内容词粒度编码级联特征向量和所述威胁情报内容词粒度编码级联特征向量的均值向量， 表示特征向量的一范数， 表示特征向量的二范数，是所述威胁情报内容词粒度编码向量的长度，且 和 是作为超参数的加权和权重， 表示按位置点加， 表示按位置点乘，表示所述威胁情报内容词粒度校正向量。

[0044] 这里，考虑到所述关键词信息引导威胁情报内容词粒度编码向量的集合和所述威胁情报内容词粒度编码向量的集合分别表示威胁情报关键词的基于威胁情报内容信息为检索语料库的关键词文本结构化查询语义特征和威胁情报内容信息的词粒度文本语义特征。这样，以所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量作为查询特征向量，计算所述查询特征向量相对于所述威胁情报关键词上下文语义编码向量的集合的单向注意力逐粒度扫描交互匹配结果时，期望进一步补偿序列细粒度分布下的对应性比例不平衡引起的语义极端偏移，提升威胁情报关键词的文本语义结构化编码的准确性。

[0045] 由此，基于所述关键词信息引导威胁情报内容词粒度编码向量的集合和所述威胁情报内容词粒度编码向量的集合间的均值向量范数对于所述关键词信息引导威胁情报内容词粒度编码向量的集合和所述威胁情报内容词粒度编码向量的集合的超流形体的结构化前景和背景区分的约束化表示，来建模所述关键词信息引导威胁情报内容词粒度编码向量的集合和所述威胁情报内容词粒度编码向量的集合的特征向量间的特征级关键对应性，并调节对应特征间的全局关联关系，从而通过所述关键词信息引导威胁情报内容词粒度编码向量的集合和所述威胁情报内容词粒度编码向量的集合的对应特征值之间的不平衡比例控制进行正面的细粒度对应建议，以通过关注焦点的方式来避免所述关键词信息引导威胁情报内容词粒度编码向量的集合和所述威胁情报内容词粒度编码向量的集合的特征向量间语义极端不平衡。这样，提升威胁情报关键词的文本语义结构化编码的准确性。

[0046] 进一步地，值得一提是，暗网网页中包含大量威胁内容，如0day漏洞信息、某个入侵事件信息、泄露数据售卖等信息，但这些内容被包含在海量的暗网网页中。利用基于深度学习的自然语言处理方法建立提取模型，通过将Doc2vec和深度聚类应用到暗网威胁情报获取，在大量的网页信息中有效提取包含关于恶意软件、黑客技术、网络攻击的信息。

[0047] 暗网威胁情报提取框架如图4所示。首先，需要针对暗网的特点从暗网网站上爬取大量的数据信息，由Doc2vec从收集的内容中提取特征，然后将自动编码器和聚类相结合的深度聚类算法应用于提取的特征。聚类后网页内容按照内容类型分为每个集群，根据分类结果筛选出含有威胁情报信息的文本，不需要大量地标记收集的帖子。

[0048] 网页内容是文本数据，在收集到数据后需要对数据进行标记化、清洗、归一化、词干提取和停用词等预处理。还需要执行自然语言处理来使用这些数据作为机器学习的输入，提取适合分类的特征。Doc2vec是一种无监督算法，能对变长的文本学习得到固定长度的向量表示，是对Word2Vec的升级，用于计算文档向量。使用Doc2vec进行自然语言处理和特征提取，获得反映这个词在上下文含义的特征。

[0049] 将自动编码器和聚类相结合的深度聚类应用于提取的特征。将由Doc2vec获得的特征输入自动编码器获得一个低维的特征表示，通过k‑means对编码器的输出进行聚类分类。将自动编码器的编码器输出看作标签的一种表示{0,1}k，这个标签表示原始文本对k种可能的预定义类的归属关系，聚类结果的表示为y={0,1}k。使用分类结果作为伪标签，作为监督来更新自动编码器的权值，交替进行聚类和通过预测聚类结果更新自动编码器网络，对特征进行迭代分组，以获得最优的聚类结果。

[0050] 进一步地，暗网的信息一般具有强时新性，对于暗网种获得的威胁情报信息可以通过在明网上是否出现及出现频数的大小来判断该条暗网威胁情报的价值。信息的传播需要时间，强时新性的信息出现在明网中一段时间后，随着时新性减弱，与之相关的信息量会在明网中逐渐积累。因此，通过计算暗网信息在明网中的信息量，依据时新性越强、信息量越少的规律，从侧面评估某条暗网信息是否已经在明网中出现或被关注。要计算和评估暗网信息在明网中的信息量，可以利用搜索引擎对暗网数据中出现的关键词进行信息检索的结果。对提取出来的IoC对象在明网上进行检索。搜索引擎显示的检索结果是根据检索结果和被检索词的关联度，由高到低先后排列的，关联度较高的显示位置靠前，较低则靠后。

[0051] 基于上述实施例，参阅图5所示，为本申请实施例中一种基于大规模模型协同的威胁情报分析系统800的结构示意图。该基于大规模模型协同的威胁情报分析系统800，包括：网页获取模块810，用于获取暗网网页；信息提取模块820，用于从所述暗网网页提取威胁情报内容信息；全局内容语义编码模块830，用于对所述威胁情报内容信息进行基于词粒度的全局内容语义编码以得到威胁情报内容词粒度编码向量的集合；向量提取模块840，用于对所述威胁情报内容信息进行关键词提取和语义编码以得到威胁情报关键词上下文语义编码向量的集合；结构化数据计算模块850，用于计算所述威胁情报内容词粒度编码向量的集合中的各个威胁情报内容词粒度编码向量相对于所述威胁情报关键词上下文语义编码向量的集合的交互匹配结果以得到所述威胁情报内容信息的结构化数据。

[0052] 这里，本领域技术人员可以理解，上述基于大规模模型协同的威胁情报分析系统800中的各个模块的具体功能和操作已经在上面参考图2到图4的基于大规模模型协同的威胁情报分析方法的描述中得到了详细介绍，并因此，将省略其重复描述。

[0053] 图6为根据本申请实施例的基于大规模模型协同的威胁情报分析方法的应用场景图。如图6所示，在该应用场景中，首先，获取暗网网页（例如，图6中所示意的D），然后，将所述暗网网页输入至部署有基于大规模模型协同的威胁情报分析算法的服务器（例如，图6中所示意的S）中，其中，所述服务器能够使用所述基于大规模模型协同的威胁情报分析算法对所述暗网网页进行处理以得到威胁情报内容信息的结构化数据。

[0054] 基于上述实施例，本申请实施例中还提供了另一示例性实施方式的电子设备。在一些可能的实施方式中，本申请实施例中电子设备可以包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行程序时可以实现上述实施例中基于大规模模型协同的威胁情报分析方法的步骤。

[0055] 例如，以电子设备为本申请图1中的服务器100为例进行说明，则该电子设备中的处理器即为服务器100中的处理器110，该电子设备中的存储器即为服务器100中的存储器120。

[0056] 本申请的实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机可执行指令。当所述计算机可执行指令由处理器运行时，可以执行参照以上附图描述的根据本申请实施例的基于大规模模型协同的威胁情报分析方法。所述计算机可读存储介质包括但不限于例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器（RAM）和/或高速缓冲存储器（cache）等。所述非易失性存储器例如可以包括只读存储器（ROM）、硬盘、闪存等。

[0057] 本申请的实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机可执行指令，该计算机可执行指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机可执行指令，处理器执行该计算机可执行指令，使得该计算机设备执行根据本申请实施例的基于大规模模型协同的威胁情报分析方法。

[0058] 本领域技术人员能够理解，本申请所披露的内容可以出现多种变型和改进。例如，以上所描述的各种设备或组件可以通过硬件实现，也可以通过软件、固件、或者三者中的一些或全部的组合实现。

[0059] 此外，虽然本申请对根据本申请的实施例的系统中的某些单元做出了各种引用，然而，任何数量的不同单元可以被使用并运行在客户端和/或服务器上。所述单元仅是说明性的，并且所述系统和方法的不同方面可以使用不同单元。

[0060] 本领域普通技术人员可以理解上述方法中的全部或部分的步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本申请并不限制于任何特定形式的硬件和软件的结合。

[0061] 除非另有定义，这里使用的所有术语（包括技术和科学术语）具有与本申请所属领域的普通技术人员共同理解的相同含义。还应当理解，诸如在通常字典里定义的那些术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义，而不应用理想化或极度形式化的意义来解释，除非这里明确地这样定义。

[0062] 以上是对本申请的说明，而不应被认为是对其的限制。尽管描述了本申请的如果干示例性实施例，但本领域技术人员将容易地理解，在不背离本申请的新颖教学和优点的前提下可以对示例性实施例进行许多修改。