CN110941823A - 威胁情报获取方法及装置 - Google Patents
威胁情报获取方法及装置 Download PDFInfo
- Publication number
- CN110941823A CN110941823A CN201811107826.2A CN201811107826A CN110941823A CN 110941823 A CN110941823 A CN 110941823A CN 201811107826 A CN201811107826 A CN 201811107826A CN 110941823 A CN110941823 A CN 110941823A
- Authority
- CN
- China
- Prior art keywords
- virus detection
- detection log
- streaming
- mobile terminal
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Telephone Function (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供一种威胁情报获取方法及装置,包括:利用流式处理框架获取移动终端的病毒检测日志,所述病毒检测日志包括所述移动终端的标识信息及在进行病毒检测后得到的检测信息;利用流式处理框架根据所述标识信息对所述病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及所述病毒检测日志作为威胁情报并输出。本发明实施例采用能够实时获取大量数据并对大量数据进行实时处理快速输出结果的流式处理框架,及时获取病毒检测日志并将病毒检测日志已知用户画像库进行快速匹配,实现了威胁情报的及时获取。
Description
技术领域
本发明实施例涉及一种威胁情报获取方法及装置。
背景技术
威胁情报是能帮助客户识别安全威胁并辅助决策的信息。随着我们对IT系统的依赖,个人以及企业面临的经济损失风险和信息泄露可能性正在不断增大。但如果能够及时获取威胁情报,便能采取相应应对措施,避免遭受损失。因此,及时获取威胁情报显得尤为重要。
在进行移动终端的威胁情报获取时,需先获取病毒检测日志并进行存储,然后从存储的位置进行查询读取病毒检测日志,将病毒检测日志与已知用户画像库中各用户画像进行匹配,得到病毒检测日志匹配到的用户画像,将病毒检测日志及其匹配到的用户画像作为威胁情报。由于病毒检测日志数量较大,若每次查询仅读取一条病毒检测日志进行威胁情报的获取,效率较低。因此,移动终端的威胁情报获取一般采用读取一批数据并依次对每个数据进行处理的批处理系统实现,以提高病毒检测日志读取效率。
由于批处理系统每次读取一批数据,因此,需要先收集一批病毒检测日志进行存储以供批处理系统查询读取。但收集操作会耗费一定的时间,导致收集的每条病毒检测日志不能及时处理。此外,批处理系统的输出特点为对读取的一批数据的全部完成处理后,将所有处理结果一次输出,导致每条威胁情报不能及时输出。由上可知,批处理系统的批读取和一次输出的特点,均会导致威胁情报的获取延迟。
发明内容
本发明实施例提供一种威胁情报获取方法及装置,用以解决现有技术中采用批处理系统获取威胁情报不够及时的问题。
本发明实施例提供一种威胁情报获取方法,包括:利用流式处理框架获取移动终端的病毒检测日志,所述病毒检测日志包括所述移动终端的标识信息及在进行病毒检测后得到的检测信息;利用流式处理框架根据所述标识信息对所述病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及所述病毒检测日志作为威胁情报并输出。
本发明实施例提供一种威胁情报的获取装置,包括:获取模块,用于利用流式处理框架获取移动终端的病毒检测日志,所述病毒检测日志包括所述移动终端的标识信息及在进行病毒检测后得到的检测信息;匹配模块,用于利用流式处理框架根据所述标识信息对所述病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及所述病毒检测日志作为威胁情报并输出。
本发明实施例提供一种计算机设备,包括:处理器;以及用于存放计算机程序的存储器,所述处理器用于执行所述存储器上所存放的计算机程序,以实现如上所述的威胁情报获取方法。
本发明实施例提供一种计算机存储介质,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的威胁情报获取方法。
本发明实施例提供的威胁情报获取方法及装置,采用能够实时获取大量数据并对大量数据进行实时处理快速输出结果的流式处理框架,及时获取病毒检测日志并将病毒检测日志与已知用户画像库进行快速匹配,实现了威胁情报的及时获取。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明方法实施例一提供的一种威胁情报获取方法的流程图;
图2为本发明方法实施例二提供的一种威胁情报获取方法的流程图;
图3为本发明方法实施例三提供的一种威胁情报获取方法的流程图;
图4为本发明方法实施例四提供的一种威胁情报获取方法的流程图;
图5为本发明方法实施例五提供的一种威胁情报获取方法的流程图;
图6为本发明方法实施例六提供的一种威胁情报获取方法的流程图;
图7为本发明方法实施例七提供的一种威胁情报获取方法的流程图;
图8为本发明方法实施例八提供的一种威胁情报获取方法的流程图;
图9为本发明装置实施例一提供的一种威胁情报获取装置的示意图;
图10为本发明装置实施例二提供的一种威胁情报获取装置的示意图;
图11为本发明装置实施例三提供的一种威胁情报获取装置的示意图;
图12为本发明装置实施例四提供的一种威胁情报获取装置的示意图;
图13为本发明装置实施例五提供的一种威胁情报获取装置的示意图;
图14为本发明装置实施例六提供的一种威胁情报获取装置的示意图;
图15为本发明装置实施例七提供的一种威胁情报获取装置的示意图;
图16为本发明装置实施例八提供的一种威胁情报获取装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如今,企业和组织常常受到针对性的网络攻击。这种针对特定企业或行业的攻击,一般经过了精心的策划,攻击方法错综复杂,常导致严重的数据泄露或者破坏。因此,及时获取威胁情报以采取应对措施显得尤为重要。
图1为本发明方法实施例一提供的一种威胁情报获取方法的流程图。在本实施例中,如图1所示,该方法包括:
步骤S101、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
流式处理框架为可对大量实时数据进行实时处理并及时输出处理结果的系统。流式处理框架的实时处理中采用的计算逻辑可根据数据处理需求进行个性化设置,具体通过配置transform实现。
在本实施例中,在使用流式处理框架前,需要进行三部分参数的配置:source、transform和sink。在本实施例中,配置source以建立移动终端的病毒检测日志的提供端与流式处理框架数据输入端之间能够进行数据传输的通道;配置transform以设置计算逻辑实现将病毒检测日志与已知用户画像进行匹配;配置sink以建立流式处理框架的数据输出端与数据存储库的数据输入端之间能够进行数据传输的通道,数据存储库用于存储威胁数据。这三部分的参数配置通常需要利用代码实现。
移动终端的病毒检测日志由移动终端上的病毒检测引擎对移动终端进行病毒检测产生并由病毒检测引擎上传至云端服务器。流式处理框架从云端服务器获取移动终端的病毒检测日志。
区别于采用批处理系统在获取病毒检测日志以得到威胁情报时,需要先收集一批病毒检测日志,流式处理框架仅获取数据源当下提供的病毒检测日志,病毒检测日志检测的数目可以为一个也可以为多个。批处理系统的收集量需要达到一定数量,因而收集操作会耗费一定的时间。而流式处理框架仅获取数据源当下提供的病毒检测日志,没有收集量的要求,因而耗时更少。
在采用本实施例的方法时,流式处理框架可根据实际情况从现有流式处理框架中选取,本实施例在此不做限定。现有流式处理框架有storm、smaza和spark streaming等。由于众多移动终端不断产生病毒检测日志,流式处理框架需具备较好处理性能和较大的处理量,此外,还需方便从数据源获取病毒检测日志且方便使用人员设置计算逻辑,因此,优选地,采用处理性能高、分布式可扩展、提供自定义数据源接入接口以及支持sql语法的流式处理框架spark streaming。
病毒检测日志中移动终端的标识信息为能够表明移动终端身份的信息,包括移动终端的MAC(Media Access Control)地址和/或IMEI(International Mobile EquipmentIdentity)。病毒检测日志中检测信息具体由病毒检测引擎的病毒检测内容决定,例如可以为:应用检测日志、短信检测日志或WiFi检测日志等,且可以为一种或多种。
其中,应用检测日志为对移动终端上的应用进行病毒检测的结果,结果一般为两种情况:无病毒和有病毒,其中,有病毒时会给出病毒名称,例如:木马、蠕虫或黄色软件等;短信检测日志为对移动终端上的短信进行病毒检测的结果,结果包括标签和是否检测到URL,其中,标签表明短信来源,是否检测到URL一般为三种情况:未检出URL、恶意URL和白URL;WiFi检测日志为对移动终端当前所连WiFi进行病毒检测的结果,判断是否存在预设种类的攻击和/或是否存在恶意WiFi设备,其中,预设种类的攻击可以为中间人攻击和/或ARP攻击等。
步骤S102、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报输出。
在本实施例中,区别于采用批处理系统在获取威胁情报时,依次根据标识信息将收集到的一批病毒检测日志中每一病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及该病毒检测日志作为该病毒检测日志对应的威胁情报,最终一起输出所有的威胁情报,流式处理框架依次根据标识信息将当下获取到的每一病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及该病毒检测日志作为该病毒检测日志对应的威胁情报输出。批处理系统在得到每条威胁情报后没有及时输出该威胁情报,而是得到所有威胁情报后最终一起输出所有的威胁情报,因而多条威胁情报的获取存在延迟。而流式处理框架每得到一条威胁情报都会及时输出,因而威胁情报的获取更及时。
在本实施例中,已知用户画像为安装有病毒检测引擎的所有移动终端对应用户的用户画像,由现有的用户画像库提供。每个已知用户画像由安装有病毒检测引擎的一个移动终端对应用户的行为信息以及该移动终端的标识信息构成。移动终端对应用户的行为信息,包括用户的历史位置信息、身份、喜好以及上网浏览记录等。
将匹配成功的用户画像以及病毒检测日志确定为威胁情报,根据病毒检测日志可以获知用户所受威胁的种类,根据匹配成功的用户画像可以获知用户的行为信息,结合用户所受威胁的种类和用户的行为信息可采取一些措施维护用户的利益,例如,可用于获取某种或某些威胁行为的受威胁人群的特征,进而对受威胁人群进行预警。
本发明方法实施例一提供的威胁情报获取方法,通过采用流式处理框架,一方面,仅获取数据源当下提供的病毒检测日志,无需收集达到一定数据量,因而数据获取耗时较少,有利于更早获取威胁情报,另一方面,依次根据当下获取到的每一病毒检测日志得到对应的威胁情报立即输出,能够及时获取到每个威胁情报。
图2为本发明方法实施例二提供的一种威胁情报获取方法的流程图。在本实施例中,如图2所示,该方法包括:
步骤S201、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
在本实施例中,步骤S201与实施例一中步骤S101相同,在此不再复述。
步骤S202、利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
在本实施例中,病毒检测日志中对应移动终端的标识信息为需要保密的敏感信息。因此,病毒检测引擎生成病毒检测日志时会对移动终端的标识信息进行加密。在根据标识信息对病毒检测日志与已知应用画像库的用户画像进行匹配时,需对移动终端的标识信息进行解密以使用标识信息。
在采用批处理系统获取威胁情报时,考虑到批处理系统处理数据量越大耗时越长的特点,在云端服务器对移动终端的标识信息进行解密。但云端服务器的使用需要支付一定的租用费用,大量的病毒检测日志的解密处理会产生较多的租用费用。通过将解密过程放在流式处理框架中,节省了解密产生的费用。
步骤S203、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
在本实施例中,步骤S203与实施例一中步骤S102相同,在此不再复述。
图3为本发明方法实施例三提供的一种威胁情报获取方法的流程图。在本实施例中,如图3所示,该方法包括:
步骤S301、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
在本实施例中,步骤S301与实施例一中步骤S101相同,在此不再复述。
步骤S302、利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志。
在本实施例中,用户终端上的病毒检测引擎上传到云端服务器的病毒检测日志,在上传过程中,可能因为网络原因导致病毒检测日志数据出错,还有可能为被修改,甚至上传的是伪造的病毒检测日志。通过对病毒检测日志进行校验,获取有效的病毒检测日志,可以保证基于病毒检测日志获取的威胁情报的准确性。校验方式可以为根据病毒检测日志中固有特征是否满足有效的病毒检测日志的固有特征规则进行校验。固有特征规则例如为:病毒检测日志中对应移动终端的标识信息加密后mac地址为16位数字英文字符,病毒检测日志中对应移动终端的标识信息加密后imei为73-140位的数字英文字符,病毒检测日志中病毒名称为规定格式等。
在采用批处理系统获取威胁情报时,考虑到批处理系统处理数据量越大耗时越长的特点,在云端服务器对病毒检测日志进行校验。但云端服务器的使用需要支付一定的租用费用,大量的病毒检测日志的校验处理会产生较多的租用费用。通过将校验过程放在流式处理框架中,节省了校验产生的费用。
步骤S303、利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
步骤S304、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
在本实施例中,步骤S303-步骤S304与实施例二中步骤S202-步骤S203相同,在此不再复述。
图4为本发明方法实施例四提供的一种威胁情报获取方法的流程图。在本实施例中,如图4所示,该方法包括:
步骤S401、将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
在本实施例中,由于云端服务器不支持流式处理框架的数据拉取请求,因此,需将病毒检测日志先缓存至支持流式处理框架数据拉取请求的流式消息队列。流式消息队列能汇总全球各地云端服务器的数据,全面获取引擎返回日志。此外,流式消息队列既支持快速高并发的数据写入请求,又支持流式处理框架高并发的数据拉取请求,同时,还具有高峰期数据缓存的作用。流式消息队列,可以采用满足上述特点的现有系统,如:kafka、activeMQ、rocketMQ等。本实施例在此不做限定,优选地,采用高吞吐量的分布式发布订阅消息系统Kafka。
步骤S402、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
步骤S403、利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
步骤S404、利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
步骤S405、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
在本实施例中,步骤S402至步骤S405与实施例三中步骤S301至步骤S304相同,在此不再复述。
本发明方法实施例四通过采用流式消息队列作为连接流式处理框架和云端服务器的桥梁,实现了流式处理框架从云端服务器获取病毒检测日志。
图5为本发明方法实施例五提供的一种威胁情报获取方法的流程图。在本实施例中,如图5所示,该方法包括:
步骤S501、将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
步骤S502、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
步骤S503、利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
步骤S504、利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
在本实施例中,步骤S501至步骤S504与实施例四中步骤S401至步骤S404相同,在此不再复述。
步骤S505、根据预设过滤规则,对病毒检测日志进行过滤;
在本实施例中,病毒检测日志显示了对应移动终端是否中病毒,以及在中病毒时所中病毒的种类。若需要对中了某种或某几种病毒的移动终端对应用户进行分析,则需要针对这些种类的病毒设计预设过滤规则,并在为流式处理框架配置transform时设定计算逻辑:根据预设过滤规则对病毒检测日志进行过滤。根据预设过滤规则对病毒检测日志进行过滤,可以得到这些种类的病毒对应的病毒检测日志,进而通过匹配得到对应的用户画像进行分析。
例如,如果希望对中了木马病毒的移动终端对应用户进行分析,确定受威胁群体,以供相关人员向受威胁群体发出预警,可设置预设过滤规则为:应用检测日志结果为木马病毒。根据该预设过滤规则对病毒检测日志进行过滤,可以得到应用检测日志结果为木马病毒的病毒检测日志。此外,预设过滤规则还可以设置为:URL检测日志结果为来自A公司的恶意URL,以对受到恶意URL攻击的移动终端对应用户进行分析;还可以设置为:WiFi检测日志结果为ARP攻击,以对受到ARP攻击的移动终端对应用户进行分析。
步骤S506、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
在本实施例中,步骤S506与实施例一中步骤S102相同,在此不再复述。
本发明方法实施例五通过根据预设过滤规则对病毒检测日志进行过滤,可以得到对应属性的病毒检测日志从而使获取的威胁情报包含的信息能够满足威胁情报的获取目的。
图6为本发明方法实施例六提供的一种威胁情报获取方法的流程图。在本实施例中,如图6所示,该方法包括:
步骤S601、将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
步骤S602、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
步骤S603、利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
步骤S604、利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
步骤S605、根据预设过滤规则,对病毒检测日志进行过滤;
在本实施例中,步骤S601至步骤S605与实施例五中步骤S501至步骤S505相同,在此不再复述。
步骤S606、当监听到新的过滤规则时,利用新的过滤规则更新预设过滤规则;
在本发明实施例中,流式处理框架一旦启动,会不断获取病毒检测日志根据预设过滤规则进行处理。然而,威胁情报的获取目的可能会发生变化,例如A时段内,威胁情报的获取目的为分析中了甲类病毒的移动终端对应用户,B时段内,威胁情报的获取目的为分析中了乙类病毒的移动终端对应用户。当威胁情报的获取目的发生变化,需要将预设过滤规则更新为新的威胁情报的获取目的对应的过滤规则。
由于流式处理框架在预设过滤规则设置完成后没有对设置预设过滤规则的代码进行监听,即使设置预设过滤规则的代码中预设过滤规则发生改变,也不会更新流式处理框架的预设过滤规则。而需停止流式处理框架的运行,在设置预设过滤规则的代码中写入新的预设过滤规则。再启动流式处理框架,在流式处理框架的参数配置过程中,会为流式处理框架配置新的预设过滤规则,进而使流式处理框架才能在新的预设过滤规则下运行。停止流式处理框架的运行无疑会使得一部分实时获取的病毒检测日志,无法得到立即的处理,进而会影响威胁情报的及时获取。
通过利用监听器对设置预设过滤规则的代码进行预设过滤规则监听,当设置预设过滤规则的代码中预设过滤规则发生改变时,可获取新的预设过滤规则以将流式处理框架的预设过滤规则替换为新的预设过滤规则,使流式处理框架继照新的预设过滤规则进行过滤,而无需停止流式处理框架从,而避免了数据拥堵,保证了更改预设过滤规则后威胁数据的及时获取。
步骤S607、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
在本实施例中,步骤S607与实施例一中步骤S102相同,在此不再复述。
图7为本发明方法实施例七提供的一种威胁情报获取方法的流程图。在本实施例中,如图7所示,该方法包括:
步骤S701、将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
步骤S702、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
步骤S703、利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
步骤S704、利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
步骤S705、根据预设过滤规则,对病毒检测日志进行过滤;
步骤S706、当监听到新的过滤规则时,利用新的过滤规则更新预设过滤规则;
步骤S707、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出;
在本实施例中,步骤S701至步骤S707与实施例六中步骤S601至步骤S607相同,在此不再复述。
步骤S708、将威胁情报存储至至少一个预定的数据存储系统。
在本实施例中,由于不同数据存储系统的数据存储方式不同,不同数据存储系统具有各自的优点,例如:hdfs数据存储量大、redis支持小数据量的快速查询。存储威胁情报时,可根据后续对威胁情报进一步操作时获取威胁情报的数据量和/或速度需求,选择具有对应优点的数据存储系统作为预定的数据存储系统用于存储威胁情报。例如:后续需对威胁情报的大量历史数据进行分析,采用数据存储量大的hdfs存储威胁情报;后续需快速查看少量的威胁情报,采用支持小数据量的快速查询的redis存储威胁情报。当对威胁情报进一步操作为多种,且每种操作获取威胁情报的数据量和/或速度等需求不同时,可以选择多种数据存储系统分别用于满足每种操作在获取威胁情报时的数据量和/或速度等需求。
本发明方法实施例七通过将威胁情报存储至至少一个预定的数据存储系统,以利用预定的数据存储系统的数据存储或读取优势满足后续使用威胁情报时获取威胁情报的数据量和/或速度等需求。
图8为本发明方法实施例八提供的一种威胁情报获取方法的流程图。在本实施例中,如图8所示,该方法包括:
步骤S801、构建流式处理框架的参数配置页面;
由于在使用流式处理框架前,需要进行三部分参数的配置,且这三部分的参数配置通常需要利用代码实现,因此,流式处理框架一般仅适用于开发人员。为了方便所有相关工作人员采用流式处理框架进行引擎返回日志的过滤处理,构建流式处理框架的参数配置页面,以供用户通过页面交互方式进行参数填写或勾选实现source、transform和sink的配置。
步骤S802、将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
步骤S803、利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
步骤S804、利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
步骤S805、利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
步骤S806、根据预设过滤规则,对病毒检测日志进行过滤;
步骤S807、当监听到新的过滤规则时,利用新的过滤规则更新预设过滤规则;
步骤S808、利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出;
步骤S809、将威胁情报分类存储至至少一个预定的数据存储系统。
在本实施例中,步骤S802至步骤S809与实施例七中步骤S701至步骤S708相同,在此不再复述。
本发明方法实施例八通过构建参数配置页面,可以实现通过界面交互方式进行参数设置,而无需进行编码,从而扩大了流式处理框架的适用人群。
图9为本发明装置实施例一提供的一种威胁情报获取装置的示意图。在本实施例中,如图9所示,该装置包括:
获取模块101,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
匹配模块102,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
本发明装置实施例一通过获取模块采用能够实时获取大量数据并对大量数据进行实时处理快速输出结果的流式处理框架,及时获取病毒检测日志并采用匹配模块将病毒检测日志已知用户画像库进行快速匹配,实现了威胁情报的及时获取。
图10为本发明装置实施例二提供的一种威胁情报获取装置的示意图。在本实施例中,如图10所示,该装置包括:
获取模块201,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
解密模块202,用于利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
匹配模块203,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
本发明装置实施例二采用解密模块利用流式处理框架进行解密操作,节省了采用云端服务器进行解密需支付的云端服务器租用费用。
图11为本发明装置实施例三提供的一种威胁情报获取装置的示意图。在本实施例中,如图11所示,该装置包括:
获取模块301,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
校验模块302,用于利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
解密模块303,用于利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
匹配模块304,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
本发明装置实施例三采用校验模块利用流式处理框架进行校验操作,节省了采用云端服务器进行校验需支付的云端服务器租用费用。
图12为本发明装置实施例四提供的一种威胁情报获取装置的示意图。在本实施例中,如图12所示,该装置包括:
第一存储模块401,用于将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
获取模块402,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
校验模块403,用于利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
解密模块404,用于利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
匹配模块405,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
本发明装置实施例四通过第一存储模块,采用流式消息队列作为连接流式处理框架和云端服务器的桥梁,实现了流式处理框架从云端服务器获取病毒检测日志。
图13为本发明装置实施例五提供的一种威胁情报获取装置的示意图。在本实施例中,如图13所示,该装置包括:
第一存储模块501,用于将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
获取模块502,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
校验模块503,用于利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
解密模块504,用于利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
过滤模块505,用于根据预设过滤规则,对病毒检测日志进行过滤;
匹配模块506,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
本发明装置实施例五通过过滤模块,根据预设过滤规则对病毒检测日志进行过滤,可以得到对应属性的病毒检测日志从而使获取的威胁情报包含的信息能够满足威胁情报的获取目的。
图14为本发明装置实施例六提供的一种威胁情报获取装置的示意图。在本实施例中,如图14所示,该装置包括:
第一存储模块601,用于将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
获取模块602,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
校验模块603,用于利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
解密模块604,用于利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
过滤模块605,用于根据预设过滤规则,对病毒检测日志进行过滤;
监听模块605,用于当监听到新的过滤规则时,利用新的过滤规则更新预设过滤规则;
匹配模块607,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出。
本发明装置实施例六通过监听模块,对设置预设过滤规则的代码进行预设过滤规则监听,当设置预设过滤规则的代码中预设过滤规则发生改变时,可获取新的预设过滤规则以将流式处理框架的预设过滤规则替换为新的预设过滤规则,使流式处理框架继照新的预设过滤规则进行过滤,而无需停止流式处理框架从,而避免了数据拥堵,保证了更改预设过滤规则后威胁数据的及时获取。
图15为本发明装置实施例七提供的一种威胁情报获取装置的示意图。在本实施例中,如图15所示,该装置包括:
第一存储模块701,用于将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
获取模块702,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
校验模块703,用于利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
解密模块704,用于利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
过滤模块705,用于根据预设过滤规则,对病毒检测日志进行过滤;
监听模块706,用于当监听到新的过滤规则时,利用新的过滤规则更新预设过滤规则;
匹配模块707,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出;
第二存储模块708,用于将威胁情报分类存储至至少一个预定的数据存储系统。
本发明装置实施例七通过第二存储模块,将威胁情报存储至至少一个预定的数据存储系统,以利用预定的数据存储系统的数据存储或读取优势满足后续使用威胁情报时获取威胁情报的数据量和/或速度等需求。
图16为本发明装置实施例八提供的一种威胁情报获取装置的示意图。在本实施例中,如图16所示,该装置包括:
参数配置模块801,用于构建流式处理框架的参数配置页面;
第一存储模块802,用于将病毒检测日志存储至流式消息队列,以供流式处理框架从流式消息队列获取病毒检测日志;
获取模块803,用于利用流式处理框架获取移动终端的病毒检测日志,病毒检测日志包括移动终端的标识信息及在进行病毒检测后得到的检测信息;
校验模块804,用于利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志;
解密模块805,用于利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理;
过滤模块806,用于根据预设过滤规则,对病毒检测日志进行过滤;
监听模块807,用于当监听到新的过滤规则时,利用新的过滤规则更新预设过滤规则;
匹配模块808,用于利用流式处理框架根据标识信息对病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及病毒检测日志作为威胁情报并输出;
第二存储模块809,用于将威胁情报分类存储至至少一个预定的数据存储系统。
本发明装置实施例八通过构建参数配置页面,可以实现通过界面交互方式进行参数设置,而无需进行编码,从而扩大了流式处理框架的适用人群。
本发明实施例提供一种计算机设备,包括:处理器以及用于存放计算机程序的存储器,处理器用于执行存储器上所存放的计算机程序,以实现方法实施例一至八所述的威胁情报获取方法。
本发明实施例提供一种计算机存储介质,计算机存储介质内存储有计算机程序,计算机程序被处理器执行时实现方法实施例一至八所述的威胁情报获取方法。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种威胁情报获取方法,包括:
利用流式处理框架获取移动终端的病毒检测日志,所述病毒检测日志包括所述移动终端的标识信息及在进行病毒检测后得到的检测信息;
利用流式处理框架根据所述标识信息对所述病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及所述病毒检测日志作为威胁情报并输出。
2.根据权利要求1所述的威胁情报获取方法,其特征在于,所述根据所述标识信息对所述病毒检测日志与已知用户画像进行匹配之前,还包括:
利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理。
3.根据权利要求2所述的威胁情报获取方法,其特征在于,所述利用流式处理框架对病毒检测日志中对应移动终端的标识信息进行解密处理之前,还包括:
利用流式处理框架对病毒检测日志进行校验,获取有效的病毒检测日志。
4.根据权利要求3所述的威胁情报获取方法,其特征在于,所述利用流式处理框架获取移动终端的病毒检测日志之前,还包括:
将所述病毒检测日志存储至流式消息队列,以供所述流式处理框架从所述流式消息队列获取所述病毒检测日志。
5.根据权利要求4所述的威胁情报获取方法,其特征在于,所述利用流式处理框架对所述病毒检测日志进行解密处理之后,还包括:
根据预设过滤规则,对所述病毒检测日志进行过滤。
6.根据权利要求5所述的威胁情报获取方法,其特征在于,还包括:
当监听到新的过滤规则时,利用新的过滤规则更新所述预设过滤规则。
7.根据权利要求2-6中任一权利要求所述的威胁情报获取方法,其特征在于,将匹配成功的用户画像以及所述病毒检测日志确定为威胁情报之后,还包括:
将所述威胁情报存储至至少一个预定的数据存储系统。
8.一种威胁情报获取装置,其特征在于,包括:
获取模块,用于利用流式处理框架获取移动终端的病毒检测日志,所述病毒检测日志包括所述移动终端的标识信息及在进行病毒检测后得到的检测信息;
匹配模块,用于利用流式处理框架根据所述标识信息对所述病毒检测日志与已知用户画像进行匹配,将匹配成功的用户画像以及所述病毒检测日志作为威胁情报并输出。
9.一种计算机设备,包括:
处理器;以及
用于存放计算机程序的存储器,
其特征在于,所述处理器用于执行所述存储器上所存放的计算机程序,以实现权利要求1至7中任一项权利要求所述的威胁情报获取方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至7中任一项权利要求所述的威胁情报获取方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811107826.2A CN110941823B (zh) | 2018-09-21 | 2018-09-21 | 威胁情报获取方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811107826.2A CN110941823B (zh) | 2018-09-21 | 2018-09-21 | 威胁情报获取方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110941823A true CN110941823A (zh) | 2020-03-31 |
| CN110941823B CN110941823B (zh) | 2022-06-21 |
Family
ID=69904768
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811107826.2A Active CN110941823B (zh) | 2018-09-21 | 2018-09-21 | 威胁情报获取方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110941823B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992436A (zh) * | 2021-12-27 | 2022-01-28 | 北京微步在线科技有限公司 | 本地情报产生方法、装置、设备及存储介质 |
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114124586A (zh) * | 2022-01-28 | 2022-03-01 | 奇安信科技集团股份有限公司 | 一种网络威胁检测方法及装置 |
| CN114726880A (zh) * | 2022-04-12 | 2022-07-08 | 铜陵久装网络科技有限公司 | 一种基于云计算的信息存储方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004070483A (ja) * | 2002-08-02 | 2004-03-04 | Rizm Broadband Solutions Co Ltd | マーケティング対応映像配信システム |
| US20140053025A1 (en) * | 2012-08-16 | 2014-02-20 | Vmware, Inc. | Methods and systems for abnormality analysis of streamed log data |
| CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
| CN106503015A (zh) * | 2015-09-07 | 2017-03-15 | 国家计算机网络与信息安全管理中心 | 一种构建用户画像的方法 |
| CN106649670A (zh) * | 2016-12-14 | 2017-05-10 | 北京五八信息技术有限公司 | 基于流式计算的数据监控方法及装置 |
-
2018
- 2018-09-21 CN CN201811107826.2A patent/CN110941823B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004070483A (ja) * | 2002-08-02 | 2004-03-04 | Rizm Broadband Solutions Co Ltd | マーケティング対応映像配信システム |
| US20140053025A1 (en) * | 2012-08-16 | 2014-02-20 | Vmware, Inc. | Methods and systems for abnormality analysis of streamed log data |
| CN104618343A (zh) * | 2015-01-06 | 2015-05-13 | 中国科学院信息工程研究所 | 一种基于实时日志的网站威胁检测的方法及系统 |
| CN106503015A (zh) * | 2015-09-07 | 2017-03-15 | 国家计算机网络与信息安全管理中心 | 一种构建用户画像的方法 |
| CN106649670A (zh) * | 2016-12-14 | 2017-05-10 | 北京五八信息技术有限公司 | 基于流式计算的数据监控方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992436A (zh) * | 2021-12-27 | 2022-01-28 | 北京微步在线科技有限公司 | 本地情报产生方法、装置、设备及存储介质 |
| CN113992436B (zh) * | 2021-12-27 | 2022-03-01 | 北京微步在线科技有限公司 | 本地情报产生方法、装置、设备及存储介质 |
| CN114003903A (zh) * | 2021-12-28 | 2022-02-01 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114003903B (zh) * | 2021-12-28 | 2022-03-08 | 北京微步在线科技有限公司 | 一种网络攻击追踪溯源方法及装置 |
| CN114124586A (zh) * | 2022-01-28 | 2022-03-01 | 奇安信科技集团股份有限公司 | 一种网络威胁检测方法及装置 |
| CN114726880A (zh) * | 2022-04-12 | 2022-07-08 | 铜陵久装网络科技有限公司 | 一种基于云计算的信息存储方法 |
| CN114726880B (zh) * | 2022-04-12 | 2024-04-26 | 于成龙 | 一种基于云计算的信息存储方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110941823B (zh) | 2022-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323471B2 (en) | Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes | |
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US11601475B2 (en) | Rating organization cybersecurity using active and passive external reconnaissance | |
| US20220053013A1 (en) | User and entity behavioral analysis with network topology enhancement | |
| US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
| CN108763031B (zh) | 一种基于日志的威胁情报检测方法及装置 | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| US11799900B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10432660B2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| CN110941823B (zh) | 威胁情报获取方法及装置 | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| US12058177B2 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US10320827B2 (en) | Automated cyber physical threat campaign analysis and attribution | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| US20220263860A1 (en) | Advanced cybersecurity threat hunting using behavioral and deep analytics | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
| TW201642135A (zh) | 文件檢測方法、裝置及系統 | |
| US11074652B2 (en) | System and method for model-based prediction using a distributed computational graph workflow | |
| US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
| CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
| WO2021055964A1 (en) | System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |