CN112347474A - 一种安全威胁情报的构建方法、装置、设备和存储介质 - Google Patents
一种安全威胁情报的构建方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN112347474A CN112347474A CN202011233265.8A CN202011233265A CN112347474A CN 112347474 A CN112347474 A CN 112347474A CN 202011233265 A CN202011233265 A CN 202011233265A CN 112347474 A CN112347474 A CN 112347474A
- Authority
- CN
- China
- Prior art keywords
- entity
- security threat
- entities
- virus sample
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 40
- 241000700605 Viruses Species 0.000 claims abstract description 134
- 238000010276 construction Methods 0.000 claims abstract description 18
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 238000005336 cracking Methods 0.000 abstract description 5
- 230000000875 corresponding effect Effects 0.000 description 26
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000007547 defect Effects 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000002596 correlated effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/22—Matching criteria, e.g. proximity measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Quality & Reliability (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开一种安全威胁情报的构建方法,能够解决现有技术中破解病毒样本在时间上存在滞后性以及已经被发现并有效拦截的病毒样本死灰复燃的概率较大的技术问题,方法包括:获取用户在预设时间范围内的查杀日志;解析获取到的所述查杀日志以得到用于评估安全威胁事件的实体;确定与所述实体关联的用户数,并根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度;将相似度满足预设相似度阈值的实体划分为一个实体集;在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种安全威胁情报的构建方法、装置、计算机设备和计算机可读存储介质。
背景技术
现有技术中,当一次安全威胁事件被发现或被披露时,安全分析专家会通过对病毒样本的静态分析,然后利用沙箱或蜜罐等工具对病毒样本的行为进行观察,找出病毒样本及与病毒样本交互的远程站点形成一份安全威胁情报。
但是,发明人研究发现,病毒样本的逻辑会被设计的非常复杂,以增加被安全分析专家分析的难度,因此,安全分析专家在花费大量的时间和精力分析病毒样本后,可能只能破解病毒样本的一部分逻辑,在时间上存在一定的滞后性。另外,一次安全威胁事件可能与多个病毒样本相关,且随着时间的推移,还会产生新的病毒样本和新的远程站点,由于人工分析受限因素较多,很可能追踪不到与病毒样本有关键关联的其他病毒样本,从而增加已经被发现并有效拦截的病毒样本死灰复燃的概率。
针对现有技术中破解病毒样本在时间上存在滞后性以及已经被发现并有效拦截的病毒样本死灰复燃的概率较大的技术问题,目前尚未提供有效的解决方案。
发明内容
本发明的目的在于提供了一种安全威胁情报的构建方法、装置、计算机设备和计算机可读存储介质,能够解决现有技术中破解病毒样本在时间上存在滞后性以及已经被发现并有效拦截的病毒样本死灰复燃的概率较大的技术问题。
本发明的一个方面提供了一种安全威胁情报的构建方法,所述方法包括:获取用户在预设时间范围内的查杀日志;解析获取到的所述查杀日志以得到用于评估安全威胁事件的实体;确定与所述实体关联的用户数,并根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度;将相似度满足预设相似度阈值的实体划分为一个实体集;在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。
可选地,所述确定与所述实体关联的用户数,并根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度的步骤包括:分别确定与任意两个实体构成的实体对关联的第一用户数,以及与所述实体对中每个实体关联的第二用户数;计算统计出的所述第一用户数与所述第二用户数的比值,作为该实体对中两个实体之间的相似度。
可选地,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报的步骤包括:在解析得到的所述实体为病毒样本时,确定存在安全威胁的病毒样本所在的病毒样本集中的病毒样本;针对确定的每个所述病毒样本,确定与该病毒样本交互的远程站点;确定所述远程站点对应的远程站点集;根据确定的所述病毒样本和所述远程站点集构建所述安全威胁情报。
可选地,根据所述存在安全威胁的实体所在的实体集构建安全威胁情报的步骤包括:在解析得到的所述实体为远程站点时,确定存在安全威胁的远程站点所在的远程站点集中的远程站点;针对确定的每个所述远程站点,确定与该远程站点交互的病毒样本;确定所述病毒样本对应的病毒样本集;根据确定的所述远程站点和所述病毒样本集构建所述安全威胁情报。
可选地,所述确定与所述实体关联的用户数的步骤包括:在解析得到的所述实体为病毒样本时,判断用户是否执行了所述病毒样本;在用户执行了所述病毒样本时,确定用户与实体存在关联关系;根据该关联关系统计与实体关联的用户数。
可选地,所述确定与所述实体关联的用户数的步骤包括:在解析得到的所述实体为远程站点时,判断用户是否执行了所述该远程站点交互的病毒样本;在用户执行了与所述远程站点交互的病毒样本时,确定用户与实体存在关联关系;根据该关联关系统计与实体关联的用户数。
本发明的另一个方面提供了一种安全威胁情报的构建装置,所述装置包括:获取模块,用于获取用户在预设时间范围内的查杀日志;解析模块,用于解析获取到的所述查杀日志以得到用于评估安全威胁事件的实体;确定模块,用于确定与所述实体关联的用户数;计算模块,用于根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度;划分模块,用于将相似度满足预设相似度阈值的实体划分为一个实体集;构建模块,用于在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。
可选地,所述确定模块分别确定与任意两个实体构成的实体对关联的第一用户数,以及与所述实体对中每个实体关联的第二用户数;所述计算模块计算统计出的所述第一用户数与所述第二用户数的比值,作为该实体对中两个实体之间的相似度。
本发明的又一个方面提供了一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一实施例所述的安全威胁情报的构建方法。
本发明的又一个方面提供了一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现上述任一实施例所述的安全威胁情报的构建方法。
本发明提供的安全威胁情报的构建方法,基于用户的查杀日志确定查杀日志中相似度较高的实体并构成实体集,具体可以通过确定实体与用户的关系得到实体用户关系,然后比较实体用户关系之间的相似度确定对应实体的相似度,在相似度满足预设相似度阈值时,将对应的实体划分为一个实体集,也即该实体集中包括的实体均为相似度较高的实体,一旦检测到某一实体存在安全威胁,即可根据存在安全威胁的该实体所在的实体集中包括的相似实体构建安全威胁情报。本实施例通过将相似度较高的实体划分到一个实体集,在任一实体存在安全威胁时,即可确定出与存在安全威胁的该实体相似的实体,解决了现有技术中破解病毒样本在时间上存在滞后性的缺陷,并且由于可以确定出与存在安全威胁的该实体相似度较高的实体,即便这些实体中存在安全威胁实体的变形,由于已经通过这些实体构建了安全威胁情报,因此,可以有效的拦截这些实体,进而解决了现有技术中已经被发现并有效拦截的病毒样本死灰复燃的概率较大的缺陷。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示意性示出了根据本发明实施例的安全威胁情报的构建方法的流程图;
图2示意性示出了根据本发明实施例的相似度计算方法的流程图;
图3示意性示出了根据本发明实施例的安全威胁情报的构建装置的框图;
图4示意性示出了根据本发明实施例的适于实现安全威胁情报的构建方法的计算机设备的框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
经发明人研究发现,在一次安全威胁事件一般会涉及到一组相互配合的病毒样本(或远程站点),这些病毒样本(或远程站点)往往是在很短时间内以进程链或者释放链的方式先后在用户端出现的,通过对用户的查杀日志设置滑动时间窗,截取预设时间范围内的查杀日志,并对其进行分析统计,可以发现在时序上经常共存的病毒样本(或远程站点)组合,进而,当检测到某一个病毒样本(或远程站点)存在安全威胁(存在安全威胁的病毒样本可以称为病毒样本)时,就可以调取对应的组合,并将组合内的病毒样本(或远程站点)构建安全威胁情报,以较为全面的发现与存在安全威胁的病毒样本(或远程站点)相配合起作用的其他病毒样本(或远程站点)。其中,网络安全事件中一般会有一个或多个远程站点,病毒样本从这些远程站点接收命令、更新逻辑以及向这些远程站点反馈用户信息。通过对用户的查杀日志的分析,可以找到与病毒样本对应的远程站点以及远程站点对应的病毒样本。当时间推移,病毒样本发生变形时,又可以从与远程站点发生联系的新的病毒样本中找到变形的病毒样本,从而始终可以拦截到对应的安全威胁。
具体地,图1示意性示出了根据本发明实施例的安全威胁情报的构建方法的流程图。如图1所示,该安全威胁情报的构建方法可以包括步骤S1~步骤S5,其中:
步骤S1,获取用户在预设时间范围内的查杀日志。
其中,本实施例可以是获取一个、两个或多个用户中每个用户在预设时间范围内的查杀日志,优选地,获取多个用户的查杀日志。查杀日志可以是各种形式的查杀日志,如云查杀日志,其中,云查杀日志是指在用户端出现未知安全级别的病毒样本时,需要上传到云端,由云端的病毒查杀引擎检查上传的病毒样本的安全级别,并在云端留下查杀日志,这种日志即称为云查杀日志。
步骤S2,解析获取到的查杀日志以得到用于评估安全威胁事件的实体。
实体可以包括病毒样本,也可以包括与病毒样本交互的远程站点,其中,远程站点可以包括远程站点的IP和远程站点的域名。对于任一种类的实体,均可以通过步骤S3~步骤S4划分出对应的实体集。如对于病毒样本,可以通过步骤S3~步骤S4划分出对应的病毒样本集;对于远程站点,可以通过步骤S3~步骤S4划分出对应的远程站点集。
步骤S3,确定与实体关联的用户数,并根据确定的用户数,计算任意两个实体构成的实体对中两个实体之间的相似度。
其中,每个实体与每个用户的关系包括关联关系,还可以包括非关联关系,实体用户关系包括某一实体与步骤S1中获取的用户的关系。
作为一种可选的实施例,在实体为病毒样本时,如果用户执行过该病毒样本,则用户与该病毒样本是有关联的,此时认为该用户与该病毒样本为关联关系,否则认为该用户与该病毒样本为非关联关系,通过确定用户是否执行病毒样本可以准确无误的得到实体关联的用户,进而统计出实体关联的用户数。
例如,假设解析得到m个病毒样本,有n个用户,可以组成一个m*n的矩阵,矩阵中的每一个行可以作为一个实体用户关系,如果某个用户(即用户端)执行了某个病毒样本,则该用户与该病毒样本的关系即为关联关系,假设设定关联关系用于数字1表示,否则,则该用户与该病毒样本的关系即为非关联关系,假设设定非关联关系用于数字0表示。这样,每个实体用户关系即为一个长度为n的0/1向量。
作为另一种可选的实施例,在实体为远程站点时,由于每个病毒样本会与对应的远程站点交互,因此,如果用户执行过与某一远程站点交互过的病毒样本,则该用户与该远程站点之间也存在一定关联,此时认为该用户与该远程站点为关联关系,反之,则认为该用户与该远程站点为非关联关系,本实施例在用户执行了与远程站点交互的病毒样本时,确定用户与实体存在关联关系;进而根据该关联关系统计与实体关联的用户数。
例如,假设解析得到m个远程站点,有n个用户,可以组成一个m*n的矩阵,矩阵中的每一个行可以作为一个实体用户关系,如果某个用户(即用户端)执行了与某个远程站点交互的病毒样本,则该用户与该远程站点的关系即为关联关系,假设设定关联关系用于数字1表示,否则,则该用户与该远程站点的关系即为非关联关系,假设设定非关联关系用于数字0表示。这样,每个实体用户关系即为一个长度为n的0/1向量。
本实施例中计算相似度的方法可以包括多种方案,具体地:
方案一:是采用现有技术中的余弦相似度或Pearson相似度等计算。
方案二:由于每天的病毒样本(或远程站点)个数达到千万甚至上亿的数量级,若是采用方案一计算相似度会使得计算量非常大,因此本实施例对计算流程作出了优化,具体为,步骤S3可以包括步骤S31~步骤S32,其中:
步骤S31,分别确定与任意两个实体构成的实体对关联的第一用户数,以及与实体对中每个实体关联的第二用户数;
步骤S32,计算统计出的第一用户数与第二用户数的比值,作为该实体对中两个实体之间的相似度。
上述计算相似度采用第一用户数与第二用户数的比值,仅作为一种方便的运算逻辑,表明相似度和第一用户数与第二用户数的比值是正相关的,即,比值越大相似度越高,其仅作为一种可选的实施方式,也可以采用第二用户数与第一用户数的比值,在采用该方案时,表明相似度和第二用户数与第一用户数的比值是负相关的,即,比值越小相似度越高。
除上述方案外,在本申请的另一个可选的实施方式中,还提供了新的处理方案,具体来说,确定与实体关联的用户数,并根据确定的用户数,计算任意两个实体构成的实体对中两个实体之间的相似度还可以采用如下方案:
获取每个实体的关联用户数,获取所有用户数,计算关联用户数与所有用户数的比值,与预设的常量进行比较,将大于某一常量的所有实体,认定为高相似度,直接赋予预设的相似度。举例来说,若解析出的实体包括实体1实体2实体3共三个,用户总数为100,实体1关联的用户数为98,实体2关联的用户数为95,实体3关联的用户数为1,采用上述方法计算关联用户数与所有用户数的比值,实体1对应的比值为0.98,实体2对应的比值为0.95,实体3对应的比值为0.01,预设的常量为0.9,实体1和实体2对应的关联用户数与所有用户数的比值均大于预设的常量,则直接判定实体1和实体2具有高相似度,直接赋予实体1和实体2相似度值,例如,90%相似度(0.9)。采用本方案,设置的常量值为0至1之间,常量大小越接近1,在比值大于常量时表明实体越接近与全部用户相关联,这种情况下会直接判定大于常量的实体均是高度相似的,直接赋予这些大于常量的实体之间一个相似度值,这个直接赋予的相似度值是大于后续步骤S4中提到的预设相似度阈值的相似度值。例如,步骤S4设置的相似度阈值为0.5时,本方案中直接赋予的相似度值大于0.5,例如0.9,这样可触发步骤S4中划分实体集的动作,即,将高相似度的实体划分至后续记载的实体集中。
另外,再次考虑到数量级的问题,还可以充分利用集群的分布式计算能力,即将整个相似度计算过程拆解为一系列的map/reduce过程,然后汇总最终的计算结果。
步骤S4,将相似度满足预设相似度阈值的实体划分为一个实体集。
对于相似度满足预设相似度阈值的实体,表明实体之间是比较相似的,因此可以将这些实体划分为一个实体集。实体集例如为病毒样本集,也可以为远程站点集。其中,相似度满足预设相似度阈值可以是相似度大于等于预设相似度阈值。
可选地,步骤S4可以包括:将相似度满足预设相似度阈值的实体按照相似度大小排序;将排序之后的实体划分为一个实体集。
为了简单明了的观测出实体集中哪些实体的相似度比较高,可以按照相似度大小将实体进行排序,然后再将排序之后的实体按照从大到小的顺序划分为该实体集。这样实体集中的实体,除了表征高度相似外,还可以通过顺序更直观的了解哪些更相似,可为构建威胁情报时考虑优先级提供依据。
步骤S5,在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。
一旦检测到某一实体存在安全威胁,则可以根据预先划分的实体集中包括的相似实体构建安全威胁情报。需要说明的是,既可以选择实体集中的所有实体构建安全威胁情报,从而使得构建的安全威胁情报更为完整。在其他一些实施例中,也可以选择实体集中的部分实体构建安全威胁情报,例如,选择相似度较高的若干实体构建安全威胁情报,此时虽然可能会造成部分安全威胁情报遗漏,但是所构建的安全威胁情报往往是用户更为关注的特定类型的安全威胁情报,进而采用较少资源即可实施精准打击。用户可以根据实际需要,选择采用实体集中的哪些实体构建安全威胁情报。
作为一种可选的实施例,为了保证安全威胁情报的完整性,在实体为病毒样本时,步骤S5中根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报可以包括:在解析得到的实体为病毒样本时,确定存在安全威胁的病毒样本所在的病毒样本集中的病毒样本;针对确定的每个病毒样本,确定与该病毒样本交互的远程站点;确定远程站点对应的远程站点集;根据确定的病毒样本和远程站点集构建安全威胁情报。
其中,确定远程站点对应的远程站点集的步骤可以参考步骤S3~步骤S4,具体为:确定与远程站点关联的用户数,并根据确定的用户数,计算任意两个远程站点构成的实体对中两个远程站点之间的相似度;将相似度满足预设相似度阈值的远程站点划分为一个远程站点集。此外,本实施例中将与存在安全威胁的病毒样本有关的病毒样本和远程站点进行充分挖掘,从而形成相对完整的安全威胁情报。
作为另一种可选的实施例,为了保证安全威胁情报的完整性,在实体为远程站点时,步骤S5中根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报可以包括:在解析得到的实体为远程站点时,确定存在安全威胁的远程站点所在的远程站点集中的远程站点;针对确定的每个远程站点,确定与该远程站点交互的病毒样本;确定病毒样本对应的病毒样本集;根据确定的远程站点和病毒样本集构建安全威胁情报。
其中,确定病毒样本对应的病毒样本集的步骤可以参考步骤S3~步骤S4,具体为:确定与病毒样本关联的用户数,并根据确定的用户数,计算任意两个病毒样本构成的实体对中两个病毒样本之间的相似度;将相似度满足预设相似度阈值的病毒样本划分为一个病毒样本集。本实施例中将与存在安全威胁的远程站点有关的远程站点和病毒样本全部挖掘到,从而形成相对完整的安全威胁情报。
本发明提供的安全威胁情报的构建方法,基于用户的查杀日志确定查杀日志中相似度较高的实体并构成实体集,具体可以通过确定实体与用户的关系得到实体用户关系,然后比较实体用户关系之间的相似度确定对应实体的相似度,在相似度满足预设相似度阈值时,将对应的实体划分为一个实体集,也即该实体集中包括的实体均为相似度较高的实体,一旦检测到某一实体存在安全威胁,即可根据存在安全威胁的该实体所在的实体集中包括的相似实体构建安全威胁情报。本实施例通过将相似度较高的实体划分到一个实体集,在任一实体存在安全威胁时,即可确定出与存在安全威胁的该实体相似的实体,解决了现有技术中破解病毒样本在时间上存在滞后性的缺陷,并且由于可以确定出与存在安全威胁的该实体相似度较高的实体,即便这些实体中存在安全威胁实体的变形,由于已经通过这些实体构建了安全威胁情报,因此,可以有效的拦截这些实体,进而解决了现有技术中已经被发现并有效拦截的病毒样本死灰复燃的概率较大的缺陷。
图2示意性示出了根据本发明实施例的相似度计算方法的流程图。
如图2所示,以查杀日志为云查杀日志为例,将每个用户的云查杀日志作为输入,并按照时间排序,设置滑动时间窗,该滑动时间窗的范围为预设时间范围,获取该滑动时间窗内用户的云查杀日志,然后处理获取的这些云查杀日志,其中,对于任两个病毒样本可以称为一个样本对,样本可以称为实体用户关系,统计每个样本对的用户数即为统计两个实体用户关系的交集m,统计每个样本的用户数n1和n2,将其进行关联,确定这两个实体用户关系的并集即n1+n2-m,然后以交集作为分子并集作为分母计算这两个实体用户关系的相似度。
本发明的实施例提供了一种安全威胁情报的构建装置,该安全威胁情报的构建装置与上述实施例的安全威胁情报的构建方法相对应,相应的技术特征和技术效果在本实施例中不再详述,相关之处可参考上述安全威胁情报的构建方法。具体地,图3示意性示出了根据本发明实施例的安全威胁情报的构建装置的框图,如图3所示,该安全威胁情报的构建装置300可以包括获取模块301、解析模块302、确定模块303、计算模块304、划分模块305和构建模块306,其中:
获取模块301,用于获取用户在预设时间范围内的查杀日志;
解析模块302,用于解析获取到的查杀日志以得到用于评估安全威胁事件的实体;
确定模块303,用于确定与实体关联的用户数;
计算模块304,用于根据确定的用户数,计算任意两个实体构成的实体对中两个实体之间的相似度;
划分模块305,用于将相似度满足预设相似度阈值的实体划分为一个实体集;
构建模块306,用于在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。
可选地,确定模块分别确定与任意两个实体构成的实体对关联的第一用户数,以及与实体对中每个实体关联的第二用户数;计算模块计算统计出的第一用户数与第二用户数的比值,作为该实体对中两个实体之间的相似度。
可选地,划分模块还用于:将相似度满足预设相似度阈值的实体按照对应的相似度大小排序;将排序之后的实体按照大小顺序依次划分为一个实体集。
可选地,构建模块在根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报时,还用于:在解析得到的实体为病毒样本时,确定存在安全威胁的病毒样本所在的病毒样本集中的病毒样本;针对确定的每个病毒样本,确定与该病毒样本交互的远程站点;确定远程站点对应的远程站点集;根据确定的病毒样本和远程站点集构建安全威胁情报。
可选地,构建模块在根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报时,还用于:在解析得到的实体为远程站点时,确定存在安全威胁的远程站点所在的远程站点集中的远程站点;针对确定的每个远程站点,确定与该远程站点交互的病毒样本;确定病毒样本对应的病毒样本集;根据确定的远程站点和病毒样本集构建安全威胁情报。
可选地,确定模块在解析得到的实体为病毒样本时,判断用户是否执行了病毒样本;在用户执行了病毒样本时,确定用户与实体存在关联关系;根据该关联关系统计与实体关联的用户数。
可选地,确定模块在解析得到的实体为病毒样本时,判断用户是否执行了病毒样本;在用户执行了病毒样本时,确定用户与实体存在关联关系;根据该关联关系统计与实体关联的用户数。
图4示意性示出了根据本发明实施例的适于实现安全威胁情报的构建方法的计算机设备的框图。本实施例中,计算机设备400可以是执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备400至少包括但不限于:可通过系统总线相互通信连接的存储器401、处理器402、网络接口403。需要指出的是,图4仅示出了具有组件401-403的计算机设备400,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器403至少包括一种类型的计算机可读存储介质,可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器401可以是计算机设备400的内部存储单元,例如该计算机设备400的硬盘或内存。在另一些实施例中,存储器401也可以是计算机设备400的外部存储设备,例如该计算机设备400上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器401还可以既包括计算机设备400的内部存储单元也包括其外部存储设备。在本实施例中,存储器401通常用于存储安装于计算机设备400的操作系统和各类应用软件,例如安全威胁情报的构建方法的程序代码等。此外,存储器401还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器402在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器402通常用于控制计算机设备400的总体操作。例如执行与计算机设备400进行数据交互或者通信相关的控制和处理等的安全威胁情报的构建方法的程序代码。
在本实施例中,存储于存储器401中的安全威胁情报的构建方法还可以被分割为一个或者多个程序模块,并由一个或多个处理器(本实施例为处理器402)所执行,以完成本发明。
网络接口403可包括无线网络接口或有线网络接口,该网络接口403通常用于在计算机设备400与其他计算机设备之间建立通信链接。例如,网络接口403用于通过网络将计算机设备400与外部终端相连,在计算机设备400与外部终端之间的建立数据传输通道和通信链接等。网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communication,简称为GSM)、宽带码分多址(Wideband CodeDivision Multiple Access,简称为WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。
本实施例还提供一种计算机可读存储介质,包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等,其上存储有计算机程序,所述计算机程序被处理器执行时实现安全威胁情报的构建方法。
显然,本领域的技术人员应该明白,上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明实施例不限制于任何特定的硬件和软件结合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种安全威胁情报的构建方法,其特征在于,所述方法包括:
获取用户在预设时间范围内的查杀日志;
解析获取到的所述查杀日志以得到用于评估安全威胁事件的实体;
确定与所述实体关联的用户数,并根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度;
将相似度满足预设相似度阈值的实体划分为一个实体集;
在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。
2.根据权利要求1所述的方法,其特征在于,所述确定与所述实体关联的用户数,并根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度的步骤包括:
分别确定与任意两个实体构成的实体对关联的第一用户数,以及与所述实体对中每个实体关联的第二用户数;
计算统计出的所述第一用户数与所述第二用户数的比值,作为该实体对中两个实体之间的相似度。
3.根据权利要求1所述的方法,其特征在于,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报的步骤包括:
在解析得到的所述实体为病毒样本时,确定存在安全威胁的病毒样本所在的病毒样本集中的病毒样本;
针对确定的每个所述病毒样本,确定与该病毒样本交互的远程站点;
确定所述远程站点对应的远程站点集;
根据确定的所述病毒样本和所述远程站点集构建所述安全威胁情报。
4.根据权利要求1所述的方法,其特征在于,根据所述存在安全威胁的实体所在的实体集构建安全威胁情报的步骤包括:
在解析得到的所述实体为远程站点时,确定存在安全威胁的远程站点所在的远程站点集中的远程站点;
针对确定的每个所述远程站点,确定与该远程站点交互的病毒样本;
确定所述病毒样本对应的病毒样本集;
根据确定的所述远程站点和所述病毒样本集构建所述安全威胁情报。
5.根据权利要求1所述的方法,其特征在于,所述确定与所述实体关联的用户数的步骤包括:
在解析得到的所述实体为病毒样本时,判断用户是否执行了所述病毒样本;
在用户执行了所述病毒样本时,确定用户与实体存在关联关系;
根据该关联关系统计与实体关联的用户数。
6.根据权利要求1所述的方法,其特征在于,所述确定与所述实体关联的用户数的步骤包括:
在解析得到的所述实体为远程站点时,判断用户是否执行了与所述远程站点交互的病毒样本;
在用户执行了与所述远程站点交互的病毒样本时,确定用户与实体存在关联关系;
根据该关联关系统计与实体关联的用户数。
7.一种安全威胁情报的构建装置,其特征在于,所述装置包括:
获取模块,用于获取用户在预设时间范围内的查杀日志;
解析模块,用于解析获取到的所述查杀日志以得到用于评估安全威胁事件的实体;
确定模块,用于确定与所述实体关联的用户数;
计算模块,用于根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度;
划分模块,用于将相似度满足预设相似度阈值的实体划分为一个实体集;
构建模块,用于在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。
8.根据权利要求7所述的装置,其特征在于,
所述确定模块分别确定与任意两个实体构成的实体对关联的第一用户数,以及与所述实体对中每个实体关联的第二用户数;
所述计算模块计算统计出的所述第一用户数与所述第二用户数的比值,作为该实体对中两个实体之间的相似度。
9.一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011233265.8A CN112347474A (zh) | 2020-11-06 | 2020-11-06 | 一种安全威胁情报的构建方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011233265.8A CN112347474A (zh) | 2020-11-06 | 2020-11-06 | 一种安全威胁情报的构建方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112347474A true CN112347474A (zh) | 2021-02-09 |
Family
ID=74428728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011233265.8A Pending CN112347474A (zh) | 2020-11-06 | 2020-11-06 | 一种安全威胁情报的构建方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112347474A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343233A (zh) * | 2021-05-08 | 2021-09-03 | 山西三友和智慧信息技术股份有限公司 | 一种基于大数据的区间安全监控系统及监控方法 |
| CN114598513A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁事件的响应方法、装置、工控设备及介质 |
| CN117061218A (zh) * | 2023-09-11 | 2023-11-14 | 中安华邦(北京)安全生产技术研究院股份有限公司 | 一种安全能力评定方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160162690A1 (en) * | 2014-12-05 | 2016-06-09 | T-Mobile Usa, Inc. | Recombinant threat modeling |
| CN107464132A (zh) * | 2017-07-04 | 2017-12-12 | 北京三快在线科技有限公司 | 一种相似用户挖掘方法及装置,电子设备 |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN110198303A (zh) * | 2019-04-26 | 2019-09-03 | 北京奇安信科技有限公司 | 威胁情报的生成方法及装置、存储介质、电子装置 |
| CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
| CN111368294A (zh) * | 2018-12-25 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 病毒文件的识别方法和装置、存储介质、电子装置 |
-
2020
- 2020-11-06 CN CN202011233265.8A patent/CN112347474A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160162690A1 (en) * | 2014-12-05 | 2016-06-09 | T-Mobile Usa, Inc. | Recombinant threat modeling |
| CN107464132A (zh) * | 2017-07-04 | 2017-12-12 | 北京三快在线科技有限公司 | 一种相似用户挖掘方法及装置,电子设备 |
| CN108460278A (zh) * | 2018-02-13 | 2018-08-28 | 北京奇安信科技有限公司 | 一种威胁情报处理方法及装置 |
| CN111368294A (zh) * | 2018-12-25 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 病毒文件的识别方法和装置、存储介质、电子装置 |
| CN110198303A (zh) * | 2019-04-26 | 2019-09-03 | 北京奇安信科技有限公司 | 威胁情报的生成方法及装置、存储介质、电子装置 |
| CN111177720A (zh) * | 2019-08-08 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 基于大数据生成威胁情报的方法、装置及可读存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113343233A (zh) * | 2021-05-08 | 2021-09-03 | 山西三友和智慧信息技术股份有限公司 | 一种基于大数据的区间安全监控系统及监控方法 |
| CN114598513A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁事件的响应方法、装置、工控设备及介质 |
| CN114598513B (zh) * | 2022-02-24 | 2023-08-01 | 烽台科技(北京)有限公司 | 工控威胁事件的响应方法、装置、工控设备及介质 |
| CN117061218A (zh) * | 2023-09-11 | 2023-11-14 | 中安华邦(北京)安全生产技术研究院股份有限公司 | 一种安全能力评定方法及系统 |
| CN117061218B (zh) * | 2023-09-11 | 2024-02-06 | 中安华邦(北京)安全生产技术研究院股份有限公司 | 一种安全能力评定方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
| US11792229B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
| US10303874B2 (en) | Malicious code detection method based on community structure analysis | |
| CN112347474A (zh) | 一种安全威胁情报的构建方法、装置、设备和存储介质 | |
| US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| US9697100B2 (en) | Event correlation | |
| CN112052151A (zh) | 故障根因分析方法、装置、设备及存储介质 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| CN103379099A (zh) | 恶意攻击识别方法及系统 | |
| CN108491321B (zh) | 测试用例范围确定方法、装置及存储介质 | |
| CN109543891B (zh) | 容量预测模型的建立方法、设备及计算机可读存储介质 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| RU2722692C1 (ru) | Способ и система выявления вредоносных файлов в неизолированной среде | |
| CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
| CN104935601A (zh) | 基于云的网站日志安全分析方法、装置及系统 | |
| CN115033876A (zh) | 日志处理方法、日志处理装置、计算机设备及存储介质 | |
| CN109359251A (zh) | 应用系统使用情况的审计预警方法、装置和终端设备 | |
| CN111339535A (zh) | 面向智能合约代码的漏洞预测方法、系统、计算机设备和存储介质 | |
| CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
| Lee et al. | ATMSim: An anomaly teletraffic detection measurement analysis simulator | |
| CN110866007B (zh) | 大数据应用和表的信息管理方法、系统和计算机设备 | |
| CN117312825A (zh) | 一种目标行为检测方法、装置、电子设备及存储介质 | |
| KR101625890B1 (ko) | 인터넷 응용 트래픽 프로토콜의 시그니처 변경 탐지를 위한 테스트 자동화 방법 및 시스템 | |
| CN110727576A (zh) | 一种web页面测试方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |