CN113810395B - 一种威胁情报的检测方法、装置及电子设备 - Google Patents

Abstract

本发明实施例公开一种威胁情报检测方法、装置及电子设备，涉及网络安全技术领域。所述方法包括：根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；所述信标包括主机信标和/或网络信标，所述主机信标和网络信标分别包括一种或多种类型的信标；根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报；本发明可以在一定程度上提高威胁情报检测的准确性。

Description

一种威胁情报的检测方法、装置及电子设备

技术领域

本发明涉及网络安全技术领域，尤其涉及一种威胁情报的检测方法、装置及电子设备。

背景技术

威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。

对于网络安全来说，威胁情报是发现网络威胁的有效手段，威胁情报的来源渠道有多种，充分利用多源威胁情报，是提升威胁检测能力和实现高级威胁检测的必要手段。当前，各安全厂商针对网络安全检测技术中的多情报源的情报判定依据比较单一，且侧重各有不同，导致同信标下的判定结果以及基本信息各不相同，有些价值很高，能作为最终判定依据，而有些则可能会对判定结果不利，从而影响威胁情报检测的准确性。

发明内容

有鉴于此，本发明实施例提供一种威胁情报检测方法、装置及电子设备，可以在一定程度上提高威胁情报检测的准确性。

为达到上述发明目的，采用如下技术方案：

第一方面，本发明实施例提供一种威胁情报检测方法，包括步骤：根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；所述信标包括主机信标和/或网络信标，所述主机信标和网络信标分别包括一种或多种类型的信标；

根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；其中，所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；

根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报。

结合第一方面，在第一方面的第一种实施方式中，所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集包括：

基于所述第一类型的信标，直接从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集；或者，

将所述第一类型的信标拆解为多个查询字段；

基于所述查询字段，从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集。

结合第一方面及第一方面的第一种实施方式，在第一方面的第二种实施方式中，所述搜集的情报数据来自多个情报源；

所述根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标包括：

接收用户对情报源类型的筛选指令，确定目标情报源，在所述目标情报源下的情报数据中确定待检测情报数据；

根据所述目标情报源下的情报数据的信标的类型，利用正则表达式从所述确定的待检测情报数据中提取对应类型的信标。

结合第一方面，第一方面的第一种及第二种实施方式，在第一方面的第三种实施方式中，所述主机信标包括注册表键值、文件名、文本字符串、进程名、互斥量、文件哈希、用户账号和/或目录路径；所述网络信标包括软件名称标识、域名和/或网站地址。

结合第一方面，第一方面的第一种、第二种及第三种实施方式，在第一方面的第四种实施方式中，所述多个维度的可信或威胁标识包括：厂商名称、信誉度、作者名、黑名单、白名单和/或发布者。

结合第一方面，第一方面的第一种、第二种、第三及第四种实施方式，在第一方面的第五种实施方式中，在确定出所述待检测情报数据为威胁情报之后，所述方法还包括：根据多个维度的威胁标识确定威胁情报信息，并将所述威胁情报信息输出展示；所述威胁情报信息包括威胁情报来源、威胁情报名称、威胁情报生产厂商和/或威胁情报等级。

结合第一方面，第一方面的第一种、第二种、第三、第四及第五种实施方式，在第一方面的第六种实施方式中，在所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集之后，所述方法还包括：

对相同维度的可信或威胁标识对应的情报集中的情报数据进行权重排序；

若根据所述可信或威胁标识确定所述情报集中的情报数据为威胁情报，则将权重值大于第一预设阈值的情报数据确定为高价值威胁情报；

将权重值小于第一预设阈值的情报数据滤除或确定为低价值威胁情报；其中，所述情报数据通过机器或人工标记有权重值，所述权重值用于表示所述情报数据对决策分析及研判结果的价值重要程度。

结合第一方面，第一方面的第一至第六种任一实施方式，在第一方面的第七种实施方式中，所述根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报包括：

根据不同维度的可信或威胁标识对待检测情报数据的相应维度指标分别进行判定，得到相应维度指标信息；所述维度指标信息包括：搜集时间、首次发现时间、厂商名称、攻击者名称、攻击目标位置、攻击者位置和/或标签；

基于所述相应维度指标信息综合确定所述待检测情报数据是否为威胁情报。

第二方面，本发明实施例提供一种威胁情报检测装置，所述装置包括：提取模块，用于根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；所述信标包括主机信标和/或网络信标，所述主机信标和网络信标分别包括一种或多种类型的信标；

匹配查询模块，用于根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；其中，所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；

判定模块，用于根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报。

第三方面，本发明实施例提供一种电子设备，所述电子设备，包括：一个或者多个处理器；存储器；所述存储器中存储有一个或者多个可执行程序，所述一个或者多个处理器读取存储器中存储的可执行程序代码，来运行与可执行程序代码对应的程序，以用于执行第一方面任一所述的方法。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现第一方面任一所述的方法。

本发明实施例提供的威胁情报的检测方法、装置及电子设备，通过根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报。由于情报威胁库中的情报集中的每条情报数据标记有多个维度的可信或威胁标识，根据标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报，相对于现有情报数据采用单一判定依据的检测方式，可以在一定程度上提高威胁情报检测的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明威胁情报的检测方法一实施例的流程示意图；

图2为本发明威胁情报的检测方法另一实施例的流程示意图；

图3为本发明威胁情报的检测方法又一实施例的流程示意图；

图4为本发明威胁情报检测方法又一实施例的流程图；

图5为本发明威胁情报检测装置一实施例结构示意框图；

图6为本发明威胁情报检测装置又一实施例结构示意框图；

图7为本发明中对于url类型的信标拆解示例图；

图8为本发明电子设备的一个实施例结构示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明威胁情报的检测方法一实施例的流程示意图；如图1所示，本实施例的方法可应用于对特定的机构、企业、网络或者活动的分析研判场景中，以维护特定机构、企业、网络以及活动的安全。其中，威胁情报是一种基于证据的知识，包括了情境、机制、指标、影响和操作建议等内容。其可用于描述现存的、或者是即将出现的针对资产、网络等威胁或危险，威胁情报分析人员基于获取的威胁情报可以作进一步地分析及研判，确定是否存在威胁或危险，并作出决策响应。

所述方法可以包括：步骤101、根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标。

所述信标也称为威胁指标或失陷标识，其英文为“Indicator of compromise”，在业内通常用其简称“IOC”表示，为了便于描述，在下文中也以信标与IOC混合使用。

所述信标包括主机信标和/或网络信标，所述主机信标和网络信标分别包括一种或多种类型的信标。

狭义来说，威胁情报有时就是指的IOC，根据分析需求的不同，对于不同类型的情报数据，会用不同类型的威胁信标表征。例如，对于基础数据的分析，IOC通常包含开放端口/服务、WHOIS(用来查询域名的IP以及所有者等信息的传输协议)、ASN(Abstract SyntaxNotation One，一种ISO/ITU-T标准，描述了一种对数据进行表示、编码、传输和解码的数据格式。它提供了一整套正规的格式用于描述对象的结构，而不管语言上如何执行及这些数据的具体指代，也不用去管到底是什么样的应用程序。)、HASH、地理位置信息等。

对于威胁对象数据(用于提供与威胁相关的对象信息)的分析，IOC一般包括IP地址、域名、URL(统一资源定位符，Uniform Resource Locator)、漏洞规则、邮箱地址等。

情报数据的搜集，一般有三个来源，分别为：OSINT(Open source intelligence)、封闭数据以及机密数据。

其中，OSINT是可公开可获取的数据，简称为开源数据，是最常见的情报数据获取途径。其包括：媒体，机构，开放博客，社交平台，会议论文，大厂公告等。一般认为，只要通过互联网能够访问的信息，都属于OSINT数据。该情报数据源，可以采用爬虫爬取网页、API(应用程序的一个调用接口)、RSS(Really Simple Syndication，一种站点之间用来共享内容的简易方式)或者邮件订阅等方式获得。当然也可以直接基于OSINT数据的威胁情报平台搜集情报数据。

封闭数据源是为了特定方向收集情报数据，往往对公开访问进行限制。例如，RedQueen安全智能服务平台、微步在线等。

机密数据，也称为自生产数据，是通过特定、隐蔽的手段收集的信息，准确性较高、可信度大、高精度且及时，例如，安天捕风蜜罐系统捕获及自产的情报数据。

在一些实施例中，所述主机信标包括注册表键值、文件名、文本字符串、进程名、互斥量、文件哈希、用户账号和/或目录路径；所述网络信标包括软件名称标识、域名和/或网站地址。当然这里只是粗略分类，有时候同一信标类型在二者中均会涉及，例如文件哈希既可能在主机信标中作为一种类型出现，也可能在网络信标中作为一种类型出现。

步骤102、根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集。

其中，所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识。

所述多个维度的可信或威胁标识包括：厂商名称、信誉度、作者名、黑名单、白名单和/或发布者；在一些实施例中，所述可信或威胁标识还可以包括活跃时间及关联对象。

所述关联对象为与当前情报数据的可信或威胁标识相关的情报数据的信息。

例如，在威胁情报库中预先存储的文件类情报数据，标记有该文件类情报数据的作者名、信誉度、黑名单、白名单、发布者、出现时间等标识，以便于根据该可信或威胁标识快速确定该情报数据可否作为威胁情报。

步骤103、根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报。

本实施例提供的威胁情报检测方法，通过所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报，可以在一定程度上提高对威胁情报检测的准确度。

在一些实施例中，步骤102中，所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集包括：基于所述第一类型的信标，直接从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集。

本实施例中，信标包括ip、url、domain、email、md5、sha1、sha256、以及域名端口和ip端口等9种类型。可以根据情报分析目的，选择其中一种类型的信标作为查询信标从威胁情报库中完全匹配查询。

在另一可选实施例中，步骤102中，所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集包括：

1021、将所述第一类型的信标拆解为多个查询字段。

示例性地，第一类型的信标选择为域名类型的信标，其拆解策略为：基于父域名拆解成多个相关域名，即将信标拆解成多个相关信标，每个相关信标都可以作为一个查询字段，再按照与检测信标的吻合度(一般是从长到短)排序并分别参与检测；例如，父域名为a.b.c.d.com，可以将其拆解成多个相关域名，例如，a.b.c.d.com、b.c.d.com、c.d.com、d.com。

示例性地，第一类型的信标选择为域名端口类型的信标，其拆解策略为：

先按域名和端口拆解出第一个相关信标，然后再按前述域名类信标的拆解步骤拆解域名，得到第二个和第三个相关信标，并按照与检测信标的吻合度排序。例如，域名为b.c.com，80端口，可以将其表示为b.c.com:80，然后将其拆解成多个相关域名，例如b.c.com:80、b.c.com、c.com。

示例性地，第一类型的信标选择为IP(本文中也以ip表示)端口类型的信标，其拆解策略：按照IP和端口拆解出第一个相关信标，同样地，按照前述列举的信标的拆解步骤，依次对IP拆分，并按照与检测信标的吻合度从高到低排序；例如：IP为1.1.1.1，80端口，可以将其表示为1.1.1.1:80，然后将其拆解成多个相关域名，例如1.1.1.1:80、1.1.1.1。

示例性地，第一类型的信标选择为url类型的信标，此类型信标拆解策略比较复杂，按协议、域名或IP、端口、参数等拆分为多个相关信标，其中端口可根据协议自行填补或去除。拆分过程描述如下：

protocol+hostname(域名/ip+端口)+地址+参数；

protocol+域名/ip+地址+参数；

protocol+域名/ip+地址；

protocol+hostname(域名/ip+端口)+地址；

hostname(域名/ip+端口)；

域名/ip；进一步地，根据需要，还可以按照域名类型拆解规则继续拆解，可参见前述描述，在此就不再赘述。

对于url类型的信标拆解示例可以参看图7所示。

1022、基于所述查询字段，从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集。

本实施例中，通过将第一类型的信标拆解成多个相关的不同类型的信标，形成一个信标集合，根据该信标集合作为查询字段分别参与匹配查询，不仅可以实现精准匹配检测，还可以根据所有信标匹配检测得到相关的情报集，提高了检测的全面性。

在依据拆分后的信标集合分别按对应类型参与匹配检测时，可以通过完全匹配方式实现精确检测，也可以通过相关性快速检测匹配检测到目标情报集及相关情报集，还可以通过递归检测方式匹配检测。

所谓的相关性检测即一个父IOC拆解成多个相关子IOC有序任务集合，分别依序参与检测，直到查询到匹配的情报集为止；所谓精确检测即子IOC等于父IOC，即精准查询；所谓递归检测即一个父IOC拆解成多个相关子IOC有序任务集合，分别参与检测，直到所有的子IOC参于匹配检测为止。

在一些可选实施例中，所述搜集的情报数据来自多个情报源；所述情报数据包括文件类情报数据、漏洞类情报数据、文章类情报数据等。

参看图2所示，所述根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标包括：1011、接收用户对情报源类型的筛选指令，确定目标情报源，在所述目标情报源下的情报数据中确定待检测情报数据。

可以理解的是，数据量大，处理任务多，相应检测效率就低，反之，检测效率就高。本实施例中，用户根据分析目的需要对情报源进行情报筛选，不指定默认为全部情报源，这样，在IOC检测时，可以大大降低数据量对检测效率的影响，从而提高后续的威胁情报检测效率。

在进行筛选时，根据情报源的具体类型以及情报分析目的，可以将明显对分析目的无关或关系不大的情报，即无效情报数据过滤掉；其中，无效情报数据可以溯源。

1012、根据所述目标情报源下的情报数据的信标的类型，利用正则表达式从所述确定的待检测情报数据中提取对应类型的信标。

可以理解的是，在已经搜集了大量的情报数据之后，还需要将这些情报数据转化为可行的威胁检测指标(即前述的信标)，以用于检测进行中的事件以及将来的攻击，而搜集的情报数据中会包括恶意操作的可检测信标。因此，本实施例通过采用正则表达式，从所述确定的待检测情报数据中提取对应类型的信标，可以使后续的威胁情报检测具备可行性操作。

参看图3所示，在又一些实施例中，在确定出所述待检测情报数据为威胁情报之后，所述方法还包括：步骤104、根据多个维度的威胁标识确定威胁情报信息，并将所述威胁情报信息输出展示；所述威胁情报信息包括威胁情报来源、威胁情报名称、威胁情报生产厂商和/或威胁情报等级。这样，可以便于机器或分析人员根据威胁情报信息作进一步地分析研判以及决策。

作为又一可选实施例，在所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集之后，所述方法还包括：对相同维度的可信或威胁标识对应的情报集中的情报数据进行权重排序；若根据所述可信或威胁标识确定所述情报集中的情报数据为威胁情报，则将权重值大于第一预设阈值的情报数据确定为高价值威胁情报；将权重值小于第一预设阈值的情报数据滤除或确定为低价值威胁情报；其中，所述情报数据通过机器或人工标记有权重值，所述权重值用于表示所述情报数据对决策分析及研判结果的价值重要程度。这样，可以提高威胁情报的可信度及价值，有利于改善后续分析结果的准确性。

示例性地，对于文件类情报数据，可以根据情报源权重以及作者权重过滤筛选情报，例如，先按照作者权重值由高到底排列，如果没有作者权重值，便按照情报源权重值排序，否则按照默认情报源权重阈值进行排序，将低于权重阈值的情报集过滤掉，保留高权重情报数据。

为了得到有价值的威胁情报，在一些实施例中，所述多个维度的可信或威胁标识还包括：有效性、时效性、源信誉分数、作者信誉分数、指定源、判定结果(黑/白)。

在从威胁情报库中匹配查询与所述第一类型的信标对应的情报集之后，所述方法还包括：根据用户的分析需求，将基于信标匹配查询得到的情报集按照有效性、时效性、源信誉分数、作者信誉分数、指定源、判定结果六种可信或威胁标识对情报集进行过滤筛选，并根据匹配查询模式以及分析需求确定输出的威胁情报的格式。

其中，情报集中包含多源情报针对信标的综合判定结果(黑/白)；如果确定为恶意情报数据，还可以输出威胁名称，同时也可输出漏洞信息、攻击者信息、标签信息、涉及行业信息、关联信息、威胁等级以及其他威胁信息等多指标的信息。

在又一些实施例中，还可以根据情报集的信誉度过滤无效情报。具体为：根据IOC匹配查询得到的所有情报集的信誉值，过滤掉低质量、无效的情报源记录。

在又一些实施例中，根据情报集的时效性过滤情报，具体为：优先选择情报集中标记的活跃时间最新的情报数据为威胁情报。

可以理解的是，不同类型的IOC时效性不同，因此，在一些实施例中，时效性的优先级为：hash>email>domain>url>ip>其它等；为了解决不同信标IOC的时效性不同可能对情报分析及决策的误导，可选地，IOC类型的时效周期支持动态可配。

具体地，所述根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报包括：根据不同维度的可信或威胁标识对待检测情报数据的相应维度指标分别进行判定，得到相应维度指标信息；所述维度指标信息包括：搜集时间、首次发现时间、厂商名称、攻击者名称、攻击目标位置、攻击者位置和/或标签；基于所述相应维度指标信息综合确定所述待检测情报数据是否为威胁情报，以作为决策分析及研判对象。

示例性地，综合判定以及多源情报融合过程包括：

第一、信标匹配查询得到的情报集标记的可信或威胁标识基础数据字段列表如下：

Indicator

type

md5

sha1

sha256

source

author

valid

relation

其中，Indicator表示信标；type表示信标类型；md5、sha1及sha256为字符串，三者分别为加密传输协议的一种；source为情报来源；valid表示有效或无效二值；relation为关联信息。

在基于信标IOC匹配查询得到情报集之后，根据标记的可信或威胁标识选择信誉度得分较高的情报集，作为授信情报源。

第二、选择授信情报源，信标匹配查询得到的情报集标记的可信或威胁标识的判定数据字段列表如下：

Trust

malware_name

threat_level

Trust为判定结果标识，黑或白；malware_name为恶意软件名称标识；threat_level为威胁等级标识。

根据上述各维度指标信息初步确定威胁情报。在初步确定威胁情报之后，为了提高情报的准确性，融合其它维度指标信息综合判定是否可作为威胁情报。

第三、在初步确定威胁情报之后，结合以下字段列表综合判定是否可以作为威胁情报，具体字段如下：

(1)event_time(搜集时间)，取max(event_time)

(2)first_seen(首次发现时间)，取min(first_seen)

(3)industries(生产或提供者名称)，若综合判定该字段值为白或灰时，选择授信情报源，即选择该字段中信誉度较高的。若综合判定为黑：则对该字段下的情报数据合并(指的是数据放到一起)、去重处理。

(4)attacker_name；综合判定为白、灰时，选择授信情报源。综合判定黑，则对该字段下的情报数据合并、去重处理。

(5)target_location，综合判定为白、灰时，选择授信情报源。综合判定黑，进行合并、去重处理。

(6)attacker_location，综合判定为白、灰时：选择授信情报源。综合判定黑进行合并、去重处理。

第四、在结合情报的上述维度指标信息判定之后，开始标签融合。

若综合判定为黑：tags去重；去重方式为：白标签+灰标签+黑标签-whitelist标签，其中，whitelist标签为白名单标签。可以理解的是，判定为黑的标签中正常是不应该有白名单标签的，但是有的情报有误报的情况，就需要人工去重。

若综合判定为白、灰：tags去重，去重方式即将授信情报源标签中重复的情报数据去掉。

第五、情报融合。融合方式包括：1、根据基础数据、判定数据确定授信源情报；2、多源情报标签字段融合；3、多源情报攻击信息字段融合；4、多源情报关联关系融合等。

在确定威胁情报之后，所述方法还包括：根据用户正回馈信息，调整情报源权重值和情报记录信誉值大小，更新威胁情报库中的多个维度的可信或威胁标识信息；从而提高情报检测质量。

具体地，在确定威胁情报之后，还包括：分析人员根据威胁情报对情报威胁事件进行分析研判，根据分析结论，调整情报源权重值和情报记录信誉值大小，进而动态改善情报检测结果。

进一步地，分析人员对情报威胁事件分析、研判、验证，发现误报，可向威胁情报检测系统添加误报规则，进而提高情报检测质量。

再进一步地，用户可向威胁情报检测系统批量添加第三方情报数据、用户场景情报，如用户信誉库，进而提升在特定场景下威胁检测能力和高级威胁发现能力。

更进一步地，情报检测系统会根据用户反馈结果，统计计算不同情报源误报率，评估情报质量，动态调整高误报率情报源权重值及其它维度的可信或威胁标识。

本发明实施例提供的威胁情报的检测方法，通过根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报。由于情报威胁库中的情报集中的每条情报数据标记有多个维度的可信或威胁标识，根据标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报，相对于现有情报数据采用单一判定依据的检测方式，可以在一定程度上提高威胁情报检测的准确性。

实施例二

图4为本发明威胁情报检测装置一实施例的结构示意框图；如图4所示，所述威胁情报检测装置包括：

提取模块21，用于根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；所述信标包括主机信标和/或网络信标，所述主机信标和网络信标分别包括一种或多种类型的信标；

匹配查询模块22，用于根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；其中，所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；

判定模块23，用于根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报。

本实施例的装置可以用于执行图1所示方法实施例的技术方案，本实施例的装置，其实现原理和技术效果类似，此处不再多赘述，可相互参看。

参看图5所示，本实施例中，作为一可选实施例，提供的装置与前述实施例所述的装置类似，不同之处在于：所述搜集的情报数据来自多个情报源；所述提取模块21包括：筛选单元211，用于接收用户对情报源类型的筛选指令，确定目标情报源，在所述目标情报源下的情报数据中确定待检测情报数据；

提取单元212，用于根据所述目标情报源下的情报数据的信标的类型，利用正则表达式从所述确定的待检测情报数据中提取对应类型的信标。

本实施例中，作为另一可选实施例，所述主机信标包括注册表键值、文件名、文本字符串、进程名、互斥量、文件哈希、用户账号和/或目录路径；所述网络信标包括软件名称标识、域名和/或网站地址。

作为又一可选实施例，所述多个维度的可信或威胁标识包括：厂商名称、信誉度、作者名、黑名单、白名单和/或发布者。

参看图6所示，作为另一可选实施例，所述装置还包括：展示模块，用于在确定出所述待检测情报数据为威胁情报之后，根据多个维度的威胁标识确定威胁情报信息，并将所述威胁情报信息输出展示；所述威胁情报信息包括威胁情报来源、威胁情报名称、威胁情报生产厂商和/或威胁情报等级。

本实施例中，作为另一可选实施例，在所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集之后，所述装置还包括：

确定模块，用于在所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集之后，对相同维度的可信或威胁标识对应的情报集中的情报数据进行权重排序；若根据所述可信或威胁标识确定所述情报集中的情报数据为威胁情报，则将权重值大于第一预设阈值的情报数据确定为高价值威胁情报；将权重值小于第一预设阈值的情报数据滤除或确定为低价值威胁情报。

其中，所述情报数据通过机器或人工标记有权重值，所述权重值用于表示所述情报数据对决策分析及研判结果的价值重要程度。

本实施例中，作为又一可选实施例，所述判定模块包括：判定单元，用于根据不同维度的可信或威胁标识对待检测情报数据的相应维度指标分别进行判定，得到相应维度指标信息；所述维度指标信息包括：搜集时间、首次发现时间、厂商名称、攻击者名称、攻击目标位置、攻击者位置和/或标签；

综合确定单元，用于基于所述相应维度指标信息综合确定所述待检测情报数据是否为威胁情报，以作为决策分析及研判对象。

本发明实施例提供的威胁情报检测装置，包括：提取模块、匹配查询模块及判定模块，通过提取模块根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；匹配查询模块根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；判定模块根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报。由于情报威胁库中的情报集中的每条情报数据标记有多个维度的可信或威胁标识，根据标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报，相对于现有情报数据采用单一判定依据的检测方式，可以在一定程度上提高威胁情报检测的准确性。

对于本发明提供的威胁检测装置的各实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例部分的说明即可。

本发明还实施例提供了一种电子设备，包括一个或者多个处理器；存储器；所述存储器中存储有一个或者多个可执行程序，所述一个或者多个处理器读取存储器中存储的可执行程序代码，来运行与可执行程序代码对应的程序，以用于执行实施例一任一所述的方法。

图8为本发明电子设备一个实施例的结构示意图，其可以实现本发明实施例一任一所述的方法，如图8所示，作为一可选实施例，上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述是实施例一任一所述的威胁情报检测方法。

处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见本发明威胁情报检测方法实施例一的描述，在此不再赘述。

该电子设备以多种形式存在，包括但不限于：(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：PDA、MID和UMPC设备等，例如iPad。(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放模块(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。(5)其他具有数据交互功能的电子设备。

本发明还实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例一任一所述的威胁情报检测方法。

根据前述实施例公开的威胁情报检测方法及装置，本发明还实施例提供一种威胁情报检测引擎，基于所述威胁情报检测方法，可以帮助用户快速对威胁情报进行查询检测。

进一步地，本发明实施例提供的检测引擎，自身服务轻量，接口通用，方便与其它安全产品集成调用，可为自有安全产品或第三方安全产品提供情报赋能。

更进一步地，基于前述实施例一描述的威胁情报检测方法可知，本发明实施例提供的检测引擎，具备多源情报综合查询能力，支持多种IOC类型情报查询，可以实现情报相关性、递归、精确、批量等查询功能。

再进一步地，根据前述实施例一的描述可知，集成实施例一所述方法的检测引擎，具有自定义情报源检测、情报更新、情报统计、权限管理等功能，通过整合多源情报综合判定结果，细划分质量高低的情报源的情报数据，可以在一定程度上提高威胁情报检测的准确性。

综上，根据上述各实施例描述可知，本发明提供的威胁情报检测方法、装置、设备及引擎，基于多来源情报、多维度多指标相结合，实现对威胁情报的综合检测，相对于现有情报数据采用单一判定依据的检测方式，可以在一定程度上提高威胁情报检测的准确性。

进一步地，本发明实时提供的技术方案，可以对海量日志信标进行迅速检测，以确定威胁情报，从而根据威胁情报快速定位威胁事件，并输出威胁信息、标签知识、攻击者信息、APT(Advanced Persistent Threat)组织、关联信息等高价值情报数据，以在一定程度上可使用户根据该高价值威胁情报数据提高分析及研判结果的精准性，并作出正确的决策响应。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质还可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (18)

1.一种威胁情报检测方法，其特征在于，所述方法包括步骤：

根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；所述信标包括主机信标和/或网络信标，所述主机信标和网络信标分别包括一种或多种类型的信标；

根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；其中，所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；

根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报；

所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集包括：

将所述第一类型的信标拆解为多个查询字段；

基于所述查询字段，从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集；

所述第一类型的信标选择为域名类型的信标，所述将所述第一类型的信标拆解为多个查询字段包括：基于父域名拆解成多个相关域名；

将每个相关域名作为一个查询字段，按照与所述信标的吻合度从长到短排序并分别参与检测；

所述基于所述查询字段，从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集包括：将拆解成的多个相关的不同类型的域名，形成一个信标集合，根据该信标集合作为查询字段分别参与匹配查询。

2.根据权利要求1所述的方法，其特征在于，所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集包括：

基于所述第一类型的信标，直接从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集。

3.根据权利要求1所述的方法，其特征在于，所述搜集的情报数据来自多个情报源；

所述根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标包括：

接收用户对情报源类型的筛选指令，确定目标情报源，在所述目标情报源下的情报数据中确定待检测情报数据；

根据所述目标情报源下的情报数据的信标的类型，利用正则表达式从所述确定的待检测情报数据中提取对应类型的信标。

4.根据权利要求1所述的方法，其特征在于，所述主机信标包括注册表键值、文件名、文本字符串、进程名、互斥量、文件哈希、用户账号和/或目录路径；所述网络信标包括软件名称标识、域名和/或网站地址。

5.根据权利要求4所述的方法，其特征在于，所述多个维度的可信或威胁标识包括：厂商名称、信誉度、作者名、黑名单、白名单和/或发布者。

6.根据权利要求1所述的方法，其特征在于，在确定出所述待检测情报数据为威胁情报之后，所述方法还包括：根据多个维度的威胁标识确定威胁情报信息，并将所述威胁情报信息输出展示；所述威胁情报信息包括威胁情报来源、威胁情报名称、威胁情报生产厂商和/或威胁情报等级。

7.根据权利要求6所述的方法，其特征在于，在所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集之后，所述方法还包括：

对相同维度的可信或威胁标识对应的情报集中的情报数据进行权重排序；

若根据所述可信或威胁标识确定所述情报集中的情报数据为威胁情报，则将权重值大于第一预设阈值的情报数据确定为高价值威胁情报；

将权重值小于第一预设阈值的情报数据滤除或确定为低价值威胁情报；其中，所述情报数据通过机器或人工标记有权重值，所述权重值用于表示所述情报数据对决策分析及研判结果的价值重要程度。

8.根据权利要求6或7所述的方法，其特征在于，所述根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报包括：

根据不同维度的可信或威胁标识对待检测情报数据的相应维度指标分别进行判定，得到相应维度指标信息；所述维度指标信息包括：搜集时间、首次发现时间、厂商名称、攻击者名称、攻击目标位置、攻击者位置和/或标签；

基于所述相应维度指标信息综合确定所述待检测情报数据是否为威胁情报。

9.一种威胁情报检测装置，其特征在于，所述装置包括：

提取模块，用于根据搜集的情报数据的信标类型，提取待检测情报数据携带的对应类型的信标；所述信标包括主机信标和/或网络信标，所述主机信标和网络信标分别包括一种或多种类型的信标；

匹配查询模块，用于根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集；其中，所述威胁情报库中至少存储有第一类型的信标对应的情报集，所述情报集标记有多个维度的可信或威胁标识；

判定模块，用于根据所述情报集标记的多个维度的可信或威胁标识确定所述待检测情报数据是否为威胁情报；

所述匹配查询模块包括：拆解单元，用于将所述第一类型的信标拆解为多个查询字段；

匹配单元，用于基于所述查询字段，从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集；

所述第一类型的信标选择为域名类型的信标，所述将所述第一类型的信标拆解为多个查询字段包括：基于父域名拆解成多个相关域名；

将每个相关域名作为一个查询字段，按照与所述信标的吻合度从长到短排序并分别参与检测；

匹配单元，具体用于将拆解成的多个相关的不同类型的域名，形成一个信标集合，根据该信标集合作为查询字段分别参与匹配查询。

10.根据权利要求9所述的装置，其特征在于，所述匹配查询模块包括：

匹配单元，用于基于所述第一类型的信标，直接从所述威胁情报库中匹配查询与所述第一类型的信标对应的情报集。

11.根据权利要求9所述的装置，其特征在于，所述搜集的情报数据来自多个情报源；

所述提取模块包括：

筛选单元，用于接收用户对情报源类型的筛选指令，确定目标情报源，在所述目标情报源下的情报数据中确定待检测情报数据；

提取单元，用于根据所述目标情报源下的情报数据的信标的类型，利用正则表达式从所述确定的待检测情报数据中提取对应类型的信标。

12.根据权利要求9所述的装置，其特征在于，所述主机信标包括注册表键值、文件名、文本字符串、进程名、互斥量、文件哈希、用户账号和/或目录路径；所述网络信标包括软件名称标识、域名和/或网站地址。

13.根据权利要求12所述的装置，其特征在于，所述多个维度的可信或威胁标识包括：厂商名称、信誉度、作者名、黑名单、白名单和/或发布者。

14.根据权利要求9所述的装置，其特征在于，所述装置还包括：

展示模块，用于在确定出所述待检测情报数据为威胁情报之后，根据多个维度的威胁标识确定威胁情报信息，并将所述威胁情报信息输出展示；所述威胁情报信息包括威胁情报来源、威胁情报名称、威胁情报生产厂商和/或威胁情报等级。

15.根据权利要求14所述的装置，其特征在于，所述装置还包括：

确定模块，用于在所述根据所述待检测情报数据的第一类型的信标，从威胁情报库中匹配查询与所述第一类型的信标对应的情报集之后，对相同维度的可信或威胁标识对应的情报集中的情报数据进行权重排序；

若根据所述可信或威胁标识确定所述情报集中的情报数据为威胁情报，则将权重值大于第一预设阈值的情报数据确定为高价值威胁情报；

将权重值小于第一预设阈值的情报数据滤除或确定为低价值威胁情报；其中，所述情报数据通过机器或人工标记有权重值，所述权重值用于表示所述情报数据对决策分析及研判结果的价值重要程度。

16.根据权利要求14至15任一所述的装置，其特征在于，所述判定模块包括：

判定单元，用于根据不同维度的可信或威胁标识对待检测情报数据的相应维度指标分别进行判定，得到相应维度指标信息；所述维度指标信息包括：搜集时间、首次发现时间、厂商名称、攻击者名称、攻击目标位置、攻击者位置和/或标签；

综合确定单元，用于基于所述相应维度指标信息综合确定所述待检测情报数据是否为威胁情报。

17.一种电子设备，其特征在于，包括：

一个或者多个处理器；

存储器；

所述存储器中存储有一个或者多个可执行程序，所述一个或者多个处理器读取存储器中存储的可执行程序代码，来运行与可执行程序代码对应的程序，以用于执行权利要求1至8任一所述的方法。

18.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述权利要求1至8任一所述的方法。

Images