CN112256785A - 情报数据的处理方法、装置、电子设备、介质和程序产品 - Google Patents
情报数据的处理方法、装置、电子设备、介质和程序产品 Download PDFInfo
- Publication number
- CN112256785A CN112256785A CN202011351245.0A CN202011351245A CN112256785A CN 112256785 A CN112256785 A CN 112256785A CN 202011351245 A CN202011351245 A CN 202011351245A CN 112256785 A CN112256785 A CN 112256785A
- Authority
- CN
- China
- Prior art keywords
- data
- intelligence
- user
- information
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims description 6
- 238000000034 method Methods 0.000 claims abstract description 52
- 238000012545 processing Methods 0.000 claims abstract description 48
- 238000004519 manufacturing process Methods 0.000 claims abstract description 29
- 238000004590 computer program Methods 0.000 claims abstract description 20
- 238000011160 research Methods 0.000 claims abstract description 18
- 238000009826 distribution Methods 0.000 claims description 23
- 238000007726 management method Methods 0.000 claims description 19
- 238000003860 storage Methods 0.000 claims description 18
- 238000013500 data storage Methods 0.000 claims description 15
- 238000011958 production data acquisition Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 230000008676 import Effects 0.000 description 5
- 238000012360 testing method Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/258—Data format conversion from or to a database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Probability & Statistics with Applications (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computational Linguistics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开提供了一种情报数据的处理方法,包括:获取来自自研数据源的自产情报数据;获取来自第一客户端的推送数据,推送数据包括第一用户的用户标识和第三方情报数据;根据第一用户的用户标识,确定第一用户是否具有写入权限;在第一用户具有写入权限的情况下,根据第三方情报数据和自产情报数据,生成预设格式的情报数据;以及将情报数据写入情报库。本公开还提供了一种情报数据的处理装置、电子设备、介质和计算机程序产品。
Description
技术领域
本公开涉及一种情报数据的处理方法、装置、电子设备和介质和程序产品。
背景技术
网络威胁情报(Cyber Thraet Intelligent,CTI)是用于描述网络安全或威胁的相关信息,是包含漏洞、威胁、特征、名单、属性、解决建议等内容的知识载体。
在对网络威胁情报数据(简称情报数据)进行交换时,被交换的数据需要符合一定的格式及协议。相关技术在进行情报数据交换时,参与交换的各方所采用的数据格式不统一,因此无法统一交换共享。
发明内容
本公开的一个方面提供了一种情报数据的处理方法,包括:获取来自自研数据源的自产情报数据;获取来自第一客户端的推送数据,所述推送数据包括第一用户的用户标识和第三方情报数据;根据所述第一用户的用户标识,确定所述第一用户是否具有写入权限;在所述第一用户具有写入权限的情况下,根据所述第三方情报数据和所述自产情报数据,生成预设格式的情报数据;以及将所述情报数据写入情报库。
可选地,所述方法应用于情报处理系统,所述情报处理系统包括数据交换层和所述数据分发存储层;所述获取来自第一客户端的推送数据包括:从所述数据交换层的第一数据接口获取来自第一客户端的推送数据,并将所述推送数据发送至数据存储分发层,其中,所述第一数据接口支持指标信息的可信自动化交换协议。
可选地,所述预设格式包括结构化威胁信息表达式;所述根据所述第三方情报数据和所述自产情报数据,生成预设格式的情报数据,包括:从所述数据交换层获取自产情报数据,并将所述自产情报数据发送至数据存储分发层;通过所述数据存储分发层解析所述自产数据,以确定至少一个第一字段,并解析所述第三方数据,以确定至少一个第二字段;以及按照预设格式将所述至少一个第一字段与所述至少一个第二字段合并,以生成所述预设格式的情报数据。
可选地,所述将所述情报数据写入情报库包括:从所述数据存储分发层获取生成的情报数据,并将所述生成的情报数据发送至数据处理层;通过所述数据处理层确定所述情报数据的业务场景;在情报库中存在与所述业务场景对应的情报数据集合的情况下,将所述情报数据写入所述情报数据集合中;以及在所述情报库中不存在与所述业务场景对应的情报数据集合的情况下,在所述情报库中新建情报数据集合,并将所述情报数据写入新建的情报数据集合中。
可选地,所述方法还包括:从数据交换层接收获取来自第二客户端的拉取请求,其中,所述拉取请求包括第二用户的标识和所述第二用户请求获取的目标情报数据集合,并根据所述第二用户的标识,确定所述第二客户端是否具有目标情报数据集合的访问权限;在所述第二用户具有访问权限的情况下,数据交换层通知数据处理层,以使通过所述数据处理层在所述情报库中查询目标情报数据集合,并将查询到的目标情报数据集合发送给所述数据交换层;以及通过所述数据交换层将接收来自数据处理层的目标情报数据,将目标情报数据集合发送至所述第二客户端。
可选地,所述方法还包括:通过数据交换层生成管理页面;以及通过所述管理页面展示以下信息中的至少一种:用户信息、用户请求、数据接口连接状态、所述情报库中情报数据集合的统计数据、所述情报数据库的写入记录和所述情报数据库的访问记录。
本公开的另一个方面提供了一种情报数据的处理装置,包括:自产数据获取模块,用于获取来自自研数据源的自产情报数据;第三方数据获取模块,用于获取来自第一客户端的推送数据,所述推送数据包括第一用户的用户标识和第三方情报数据;认证模块,用于根据所述第一用户的用户标识,确定所述第一用户是否具有写入权限;数据表达模块,用于在所述第一用户具有写入权限的情况下,根据所述第三方情报数据和所述自产情报数据,生成预设格式的情报数据;以及情报写入模块,用于将所述情报数据写入情报库。
本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个计算机程序,其中,当一个或多个计算机程序被一个或多个处理器执行时,使得一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,通过获取自研数据源的自产情报数据和第一客户端的第三方情报数据,在第一用户具有写入权限的情况下,根据第三方情报数据和自产情报数据,生成预设格式的情报数据,然后将所述情报数据写入情报库,使得各方数据能够以统一的格式存储至情报库,方便后续进行共享。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1A示意性示出了根据本公开实施例的可以应用情报数据的处理方法的示例性系统架构;
图1B示意性示出了根据本公开实施例的可以应用情报数据的处理方法的示例性应用场景;
图2示意性示出了根据本公开的实施例的情报数据的处理方法的流程图;
图3示意性示出了根据本公开另一实施例的情报数据的处理方法的流程图;
图4示意性示出了根据本公开另一实施例的情报数据的处理方法的流程图;
图5示例性示出了根据本公开实施例的管理页面示意图;
图6示意性示出了根据本公开的实施例的情报数据的处理装置的框图;以及
图7示意性示出了根据本公开实施例的适于实现根据本公开实施例的方法的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供了一种情报数据的处理方法。该方法包括获取来自自研数据源的自产情报数据;获取来自第一客户端的推送数据,推送数据包括第一用户的用户标识和第三方情报数据;根据第一用户的用户标识,确定第一用户是否具有写入权限;在第一用户具有写入权限的情况下,根据第三方情报数据和自产情报数据,生成预设格式的情报数据;以及将情报数据写入情报库。
图1A示意性示出了根据本公开实施例的可以应用情报数据的处理方法的示例性系统架构100a。需要注意的是,图1A所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备或系统。
示例性系统架构100a例如可以包括数据存储分发层10、数据交换层20、数据处理层30。其中,数据存储分发层10部署在云端server,负责情报数据的整合,包括对来自自研数据源和第三方数据源的情报数据进行收集、整合、生成符合STIX表达的情报数据并存储。
数据交换层20用于完成数据的认证、用户注册、根服务节点的数据分发和情报集合的汇总,以及各业务接口的实现。其中,业务接口例如可以包括情报集列表查询接口、多情报对象查询接口、情报对象推送接口、状态查询接口等。
数据处理层30可以包括数据同步模块31、数据导入模块32、情报查询模块33和情报写入模块34,用于完成整个数据的处理。同时在不同的情报消费端分别进行如上模块之间的交互处理。
图1B示意性示出了根据本公开实施例的可以应用情报数据的处理方法的示例性应用场景100b。需要注意的是,图1B所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他环境或场景。
如图1B所示,根据该实施例的应用场景100b可以包括设备端110、云端120和情报库130。
其中,设备端110配置有设备端Stix Server(服务)和相关API(应用程序接口),云端120配置有云端Stix Server。
设备端Stix Server 110可以通过情报导入模块接收来自自研数据源的情报数据(例如Stix文件),通过相应的接口接收来自第三方数据源的第三方情报数据。然后将第三方情报数据及自产情报数据整合后进行归一、清洗,并写入情报库。
云端Stix Server 120定时与设备端Stix Server 110同步数据。云端StixServer 120根据汇总后生成的STIX数据,整合为TAXII数据服务,通过TAXII数据服务对进行分发。
图2示意性示出了根据本公开的实施例的情报数据的处理方法的流程图。
如图2所示,该方法包括操作S210~S250。
在操作S210,获取来自自研数据源的自产情报数据。
根据本公开的实施例,操作S210例如可以包括以预定时间间隔,获取自研数据源的自产情报数据。其中,预定时间间隔可以根据自研数据源生成情报数据的效率进行设置,自研数据源生成情报数据的效率越高,预定时间间隔越短。
在操作S220,获取来自第一客户端的推送数据。
其中,推送数据包括第一用户的用户标识和第三方情报数据。
根据本公开的实施例,指标信息的可信自动化交换(Trusted AutomatedeXchange of Indicator Information,TAXII)是一种用于通过HTTPS交换网络威胁情报(CTI)的协议。可以基于TAXII协议预先配置专用的情报对象推送接口(即第一应用程序接口)用于接收客户端的推送数据。基于此,操作S220例如可以包括接收第一客户端通过第一应用程序接口上传的推送数据。
根据本公开的实施例,推送数据可以是第一客户端主动上传的,也可以是被动上传的。基于此,在操作S220之前还可以包括,向第一客户端发送数据获取请求,以使第一客户端响应该数据获取请求通过第一应用程序接口上传推送数据。
在操作S230,根据第一用户的用户标识,确定第一用户是否具有写入权限。
根据本公开的实施例,用户标识用于表示用户身份,例如可以包括用户ID。
根据本公开的实施例,情报库中的情报数据根据类别的不同被划分为不同的情报数据集,为了提高数据分发时的安全性,可以针对每个用户对各个情报数据集的数据访问权限进行配置。
例如,对于情报数据集A,普通用户和管理员均可访问和写入。对于情报数据集B,除了管理员外,其他用户没有写入权限,并且除管理员外,每个用户需要有明确的授权声明后才能访问情报数据集B。
在操作S240,在第一用户具有写入权限的情况下,根据第三方情报数据和自产情报数据,生成预设格式的情报数据。
根据本公开的实施例,操作S240例如可以包括解析自产数据,以确定至少一个第一字段;解析第三方数据,以确定至少一个第二字段;以及将至少一个第一字段与至少一个第二字段合并,以生成预设格式的情报数据。
根据本公开的实施例,情报数据所采用的预设格式例如可以包括结构化威胁信息表达式(Structured Threat Information eXpression,STIX)。STIX是用于描述网络威胁情报(CTI)的语言和格式,具体体现形式为xml、json等等。根据STIX格式,情报数据例如可以包括类型、ID、创建时间、修改时间、名称、描述、标签等字段。
举例说明,通过解析自产数据,从而确定自产数据中每条情报的类型、ID、创建时间、修改时间、名称、描述、标签等信息,将这些信息相应地转换为情报数据中的字段,即第一字段。通过解析第三方数据,从而确定第三方数据中每条情报的类型、ID、创建时间、修改时间、名称、描述、标签等信息,将这些信息相应地转换为情报数据中的字段,即第二字段。然后将第一字段和第二字段合并,形成一个或多个情报数据。
在操作S250,将情报数据写入情报库,以对情报库中的情报数据进行更新。
根据本公开的实施例,操作S250例如可以包括确定情报数据的业务场景;在情报库中存在与业务场景对应的情报数据集合的情况下,将情报数据写入情报库中与业务场景对应的情报数据集合中;以及在情报库中不存在与业务场景对应的情报数据集合的情况下,在情报库中新建情报数据集合,并将情报数据写入新建的情报数据集合中。
根据本公开的实施例,对于每一个业务场景,对应有一个数据集合(collection),例如,测试collection即测试数据集合,用于做对接测试使用。基础collection即数据范围为基础的情报数据集合。开源情报collection即第三方订阅源汇总集合。
示例性地,本实施例中,除了测试场景、开源数据汇聚场景、基础场景之外,业务场景还可以包括特定攻击类型情报场景等。
根据本公开的实施例,情报库中情报数据的更新可以采用全量获取的方式,即每次更新时获取自研数据源和客户端所生成的全部情报数据,或者也可以采用增量获取的方式,即每次更新时仅获取相对于上次更新后新增的情报数据。
根据本公开的实施例,通过获取自研数据源的自产情报数据和第一客户端的第三方情报数据,在第一用户具有写入权限的情况下,根据第三方情报数据和自产情报数据,生成预设格式的情报数据,然后将所述情报数据写入情报库,使得各方数据能够以统一的格式存储至情报库,方便后续进行共享。
图3示意性示出了根据本公开另一实施例的情报数据的处理方法的流程图。
如图3所示,除了操作S210~S250,该方法还包括操作S310~S330。操作S310~S330例如可以在操作S250之后执行,但本公开不限于此。
在操作S310,接收来自第二客户端的拉取请求。
其中,拉取请求包括第二用户的标识和第二用户请求获取的目标情报数据集合。
根据本公开的实施例,第一客户端与第二客户端可以是同一个客户端,也可以是不同的客户端。第一用户和第二用户可以是同一个用户,也可以是不同用户。
根据本公开的实施例,可以基于TAXII协议预先配置专用的情报对象查询接口用于接收客户端的拉取请求。
在操作S320,根据第二用户的标识,确定二客户端是否具有目标情报数据集合的访问权限。
在操作S330,在第二用户具有访问权限的情况下,将情报库中的目标情报数据集合发送至第二客户端。
根据本公开的实施例的情报数据的处理方法实现了不同情报消费端之间的数据共享以及情报消费端与情报中心的数据共享,大大提升了数据交互和推送的效率。
图4示意性示出了根据本公开另一实施例的情报数据的处理方法的流程图。
如图4所示,除了操作S210~S250和操作S310~S330之外,该方法还包括操作S410~S420。操作S410~S420例如可以在操作S330之后执行,但本公开不限于此。
在操作S410,生成管理页面。
在操作S420,通过管理页面展示以下信息中的至少一种:用户信息、用户请求、数据接口连接状态、情报库中情报数据集合的统计数据、情报数据库的写入记录和情报数据库的访问记录。
根据本公开的实施例,可以监控情报源数据配置模块的各种信息,统计各类情报集合的数量,记录数据交换审计信息以及数据同步信息等信息,并通过管理页面对这些信息进行可视化展示,从而有助于工作人员掌握系统情况,方便对数据进行追溯及排错。
图5示例性示出了根据本公开实施例的管理页面示意图。
如图5所示,管理页面例如可以包括TAXII服务器配置、TAXII Services(服务)、情报集管理等模块。其中,TAXII服务器配置模块可以用于展示云端服务器的名称、数据分发地址、用户名和密码。TAXII Services模块可以用于展示不同数据集合进行数据分发时所对应的服务类型。情报集管理模块可以用于展示情报集的订阅(feed)情况。
根据本公开的实施例,数据分发支持的服务类型有多种,例如管理服务类型(collection management service)、发现类型(discovery service)、推送类型(inboxservice)、拉取类型(poll service)等。其中,Collection Management Service用于TAXII客户端向服务端获取可用数据集合和请求订阅。Discovery Service用于发现可用的TAXIIServices服务。Inbox Service用于TAXII客户端向TAXII服务端推送数据。Poll Service用于TAXII客户端向TAXII服务端拉取数据。
根据本公开的另一些实施例,还可以对情报库的写入和查询操作进行记录,生成数据交换审计信息。然后在管理页面中展示该数据交换审计信息。此外,还可以对情报库中各类情报数据集合的数量进行统计,然后在管理页面中展示这些统计数据。
根据本公开的实施例,图2~图4所示的方法可以应用于情报处理系统,由情报处理系统的程序模块执行。示例性地,本实施例中,情报处理系统至少设置有数据存储分发层、数据交换层和数据处理层三个程序模块。
其中,数据存储分发层可以部署在云端服务器,负责情报数据的整合,包括自研数据源、以及第三方数据源的收集、整合,并生成符合STIX表达的情报数据并存储。
数据交换层可以部署在设备端,用于执行数据的认证、用户注册、根服务节点的数据分发以及情报集合的汇总等,并对外提供各种业务接口,例如情报集列表查询接口、多情报对象查询接口、情报对象推送接口、状态查询接口等。
数据处理层可以部署在设备端,包括数据同步模块、情报导入模块、情报查询模块和情报写入模块。其中,数据同步模块可以用于与云端进行数据同步。情报导入模块可以用于情报导入。情报查询模块可以用于根据查询请求从情报库中查询相应的情报。情报写入模块可以用于将情报写入情报库中。
通过将数据存储分发层部署在云端服务器,数据交换层和数据处理层设置于设备端,使得云端与设备端相结合,方便了不同情报消费端之间的数据共享以及情报消费端与云端的数据共享。
下面结合具体实施例对各层之间的交互过程做进一步说明。
根据本公开的实施例,可以从数据交换层获取来自自研数据源的自产情报数据,并从数据交换层获取来自第一客户端通过情报对象推送接口上传的推送数据,推送数据包括第一用户的用户标识和第三方情报数据。然后,通过数据交换层根据第一用户的用户标识,确定第一用户是否具有写入权限。在第一用户具有写入权限的情况下,从数据交换层将自产情报数据和第三方情报数据发送至数据存储分发层。然后,通过数据存储分发层根据第三方情报数据和自产情报数据,生成预设格式的情报数据,并将生成的情报数据发送至数据处理层。其中,预设格式例如可以包括结构化威胁信息表达式。接下来,通过数据处理层将情报数据写入情报库。
根据本公开另一实施例,还可以从数据交换层获取来自接收来自第二客户端通过情报对象查询接口上传的拉取请求,其中,拉取请求包括第二用户的标识和第二用户请求获取的目标情报数据集合。然后通过数据交换层根据第二用户的标识,确定第二客户端是否具有目标情报数据集合的访问权限。在第二用户具有访问权限的情况下,通过数据处理层在情报库中查询目标情报数据集合,并将查询到的目标情报数据集合发送给数据交换层。接下来,通过数据交换层将接收来自数据处理层的目标情报数据集合发送至第二客户端。
根据本公开另一实施例,还可以通过数据处理层获取用户信息、用户请求、数据接口连接状态、所述情报库中情报数据集合的统计数据、所述情报数据库的写入记录和所述情报数据库的访问记录等信息,发送至数据交换层,通过数据交换层生成管理页面,利用管理页面展示用户信息、用户请求、数据接口连接状态、所述情报库中情报数据集合的统计数据、所述情报数据库的写入记录和所述情报数据库的访问记录等信息。
图6示意性示出了根据本公开的实施例的情报数据的处理装置的框图。
如图6所示,情报数据的处理装置600包括自产数据获取模块610,第三方数据获取模块620、认证模块630、数据表达模块640和情报写入模块650。该情报数据的处理装置600可以执行上面参考图2~图5描述的方法。
具体地,自产数据获取模块610,用于获取来自自研数据源的自产情报数据。
第三方数据获取模块620,用于获取来自第一客户端的推送数据,推送数据包括第一用户的用户标识和第三方情报数据。
认证模块630,用于根据第一用户的用户标识,确定第一用户是否具有写入权限。
数据表达模块640,用于在第一用户具有写入权限的情况下,根据第三方情报数据和自产情报数据,生成预设格式的情报数据。
情报写入模块650,用于将情报数据写入情报库。
根据本公开的实施例,通过获取自研数据源的自产情报数据和第一客户端的第三方情报数据,在第一用户具有写入权限的情况下,根据第三方情报数据和自产情报数据,生成预设格式的情报数据,然后将情报数据写入情报库,使得各方数据能够以统一的格式存储至情报库,方便后续进行共享。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,自产数据获取模块610,第三方数据获取模块620、认证模块630、数据表达模块640和情报写入模块650中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,自产数据获取模块610,第三方数据获取模块620、认证模块630、数据表达模块640和情报写入模块650中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,自产数据获取模块610,第三方数据获取模块620、认证模块630、数据表达模块640和情报写入模块650中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的方框图。图7示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括处理器710以及计算机可读存储介质720。该计算机系统700可以执行根据本公开实施例的方法。
具体地,处理器710例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器710还可以包括用于缓存用途的板载存储器。处理器710可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质720,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可渎存储介质720可以包括计算机程序721,该计算机程序721可以包括代码/计算机可执行指令,其在由处理器710执行时使得处理器710执行根据本公开实施例的方法或其任何变形。
计算机程序721可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序721中的代码可以包括一个或多个程序模块,例如包括721A、模块721B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器710执行时,使得处理器710可以执行根据本公开实施例的方法或其任何变形。
根据本发明的实施例,自产数据获取模块610,第三方数据获取模块620、认证模块630、数据表达模块640和情报写入模块650中的至少一个可以实现为参考图7描述的计算机程序模块,其在被处理器710执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (10)
1.一种情报数据的处理方法,包括:
获取来自自研数据源的自产情报数据;
获取来自第一客户端的推送数据,所述推送数据包括第一用户的用户标识和第三方情报数据;
根据所述第一用户的用户标识,确定所述第一用户是否具有写入权限;
在所述第一用户具有写入权限的情况下,根据所述第三方情报数据和所述自产情报数据,生成预设格式的情报数据;以及
将所述情报数据写入情报库。
2.根据权利要求1所述的方法,其中,所述方法应用于情报处理系统,所述情报处理系统包括数据交换层和所述数据分发存储层;
所述获取来自第一客户端的推送数据包括:
从所述数据交换层的第一数据接口获取来自第一客户端的推送数据,并将所述推送数据发送至数据存储分发层,其中,所述第一数据接口支持指标信息的可信自动化交换协议。
3.根据权利要求2所述的方法,其中,所述预设格式包括结构化威胁信息表达式;所述根据所述第三方情报数据和所述自产情报数据,生成预设格式的情报数据,包括:
从所述数据交换层获取自产情报数据,并将所述自产情报数据发送至数据存储分发层;通过所述数据存储分发层解析所述自产数据,以确定至少一个第一字段,并解析所述第三方数据,以确定至少一个第二字段;以及
按照预设格式将所述至少一个第一字段与所述至少一个第二字段合并,以生成所述预设格式的情报数据。
4.根据权利要求3所述的方法,其中,所述将所述情报数据写入情报库包括:
从所述数据存储分发层获取生成的情报数据,并将所述生成的情报数据发送至数据处理层;
通过所述数据处理层确定所述情报数据的业务场景;
在情报库中存在与所述业务场景对应的情报数据集合的情况下,将所述情报数据写入所述情报数据集合中;以及
在所述情报库中不存在与所述业务场景对应的情报数据集合的情况下,在所述情报库中新建情报数据集合,并将所述情报数据写入新建的情报数据集合中。
5.根据权利要求4所述的方法,还包括:
从数据交换层获取来自第二客户端的拉取请求,其中,所述拉取请求包括第二用户的标识和所述第二用户请求获取的目标情报数据集合,并根据所述第二用户的标识,确定所述第二客户端是否具有目标情报数据集合的访问权限;
在所述第二用户具有访问权限的情况下,通过所述数据处理层在所述情报库中查询目标情报数据集合,并将查询到的目标情报数据集合发送给所述数据交换层;以及
通过所述数据交换层将接收来自数据处理层的目标情报数据集合发送至所述第二客户端。
6.根据权利要求1所述的方法,还包括:
通过数据交换层生成管理页面;以及
通过所述管理页面展示以下信息中的至少一种:
用户信息、用户请求、数据接口连接状态、所述情报库中情报数据集合的统计数据、所述情报数据库的写入记录和所述情报数据库的访问记录。
7.一种情报数据的处理装置,包括:
自产数据获取模块,用于获取来自自研数据源的自产情报数据;
第三方数据获取模块,用于获取来自第一客户端的推送数据,所述推送数据包括第一用户的用户标识和第三方情报数据;
认证模块,用于根据所述第一用户的用户标识,确定所述第一用户是否具有写入权限;
数据表达模块,用于在所述第一用户具有写入权限的情况下,根据所述第三方情报数据和所述自产情报数据,生成预设格式的情报数据;以及
情报写入模块,用于将所述情报数据写入情报库。
8.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序,
其中,当一个或多个计算机程序被一个或多个处理器执行时,使得一个或多个处理器实现权利要求1至6中任一项的方法。
9.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1至6中任一项的方法。
10.一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现根据权利要求1~6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011351245.0A CN112256785A (zh) | 2020-11-26 | 2020-11-26 | 情报数据的处理方法、装置、电子设备、介质和程序产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011351245.0A CN112256785A (zh) | 2020-11-26 | 2020-11-26 | 情报数据的处理方法、装置、电子设备、介质和程序产品 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112256785A true CN112256785A (zh) | 2021-01-22 |
Family
ID=74225072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011351245.0A Pending CN112256785A (zh) | 2020-11-26 | 2020-11-26 | 情报数据的处理方法、装置、电子设备、介质和程序产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112256785A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115422242A (zh) * | 2022-11-07 | 2022-12-02 | 北京微步在线科技有限公司 | 一种情报查询方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
CN108833389A (zh) * | 2018-06-05 | 2018-11-16 | 北京奇安信科技有限公司 | 一种情报数据共享处理方法及装置 |
CN109299174A (zh) * | 2018-09-11 | 2019-02-01 | 北京奇安信科技有限公司 | 一种多源情报数据聚合处理方法及装置 |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
-
2020
- 2020-11-26 CN CN202011351245.0A patent/CN112256785A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
CN106060018A (zh) * | 2016-05-19 | 2016-10-26 | 中国电子科技网络信息安全有限公司 | 一种网络威胁情报共享模型 |
CN108833389A (zh) * | 2018-06-05 | 2018-11-16 | 北京奇安信科技有限公司 | 一种情报数据共享处理方法及装置 |
CN109299174A (zh) * | 2018-09-11 | 2019-02-01 | 北京奇安信科技有限公司 | 一种多源情报数据聚合处理方法及装置 |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115422242A (zh) * | 2022-11-07 | 2022-12-02 | 北京微步在线科技有限公司 | 一种情报查询方法及装置 |
CN115422242B (zh) * | 2022-11-07 | 2023-03-10 | 北京微步在线科技有限公司 | 一种情报查询方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113711536B (zh) | 从区块链网络中提取数据 | |
CN109981750B (zh) | 业务流程系统、业务数据处理方法和装置 | |
CN108550037B (zh) | 基于区块链的文件处理方法和装置 | |
CN108923908B (zh) | 授权处理方法、装置、设备及存储介质 | |
US9117191B2 (en) | Automatic device inventory management for different types of devices | |
EP3895049B1 (en) | Utilizing independently stored validation keys to enable auditing of instrument measurement data maintained in a blockchain | |
US8170900B2 (en) | Supply chain discovery services | |
CN107248984B (zh) | 数据交换系统、方法和装置 | |
CN109479053A (zh) | 用于区块链网络的节点发现和自愈的方法和系统 | |
CN109521956B (zh) | 一种基于区块链的云存储方法、装置、设备及存储介质 | |
US10223435B2 (en) | Data transfer between multiple databases | |
US11783374B2 (en) | Method and device for providing real-time data service | |
CN106506568B (zh) | 信息交互系统 | |
US20150113036A1 (en) | Server and method for sharing application services | |
CN112256785A (zh) | 情报数据的处理方法、装置、电子设备、介质和程序产品 | |
US11368304B2 (en) | Systems and methods for generating a parts logbook using blockchain technology | |
CN112214484B (zh) | 一种无人机数据监测系统、方法、服务器和存储介质 | |
CN116975125A (zh) | 数据统计方法、装置、系统、存储介质和程序产品 | |
CN116996408A (zh) | 一种数据传输监控方法、装置、电子设备和存储介质 | |
Dissanayake | A study on real-time database technology and its applications | |
US11563576B2 (en) | Distributed anonymous scoring technique | |
CN113723992B (zh) | 广告请求的构造方法、装置、设备及存储介质 | |
US11405364B1 (en) | Privacy-preserving endorsements in blockchain transactions | |
CN113806416B (zh) | 实时数据服务的实现方法、装置及电子设备 | |
WO2023001278A1 (zh) | 一种信息处理方法、装置、终端和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |