CN113890758B - 一种威胁情报方法、装置、设备及计算机存储介质 - Google Patents

一种威胁情报方法、装置、设备及计算机存储介质 Download PDF

Info

Publication number
CN113890758B
CN113890758B CN202111135055.XA CN202111135055A CN113890758B CN 113890758 B CN113890758 B CN 113890758B CN 202111135055 A CN202111135055 A CN 202111135055A CN 113890758 B CN113890758 B CN 113890758B
Authority
CN
China
Prior art keywords
threat
alarm
threat intelligence
threat information
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111135055.XA
Other languages
English (en)
Other versions
CN113890758A (zh
Inventor
周运金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202111135055.XA priority Critical patent/CN113890758B/zh
Publication of CN113890758A publication Critical patent/CN113890758A/zh
Application granted granted Critical
Publication of CN113890758B publication Critical patent/CN113890758B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种威胁情报处理方法、装置、设备及计算机存储介质,其中,所述方法包括:获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。

Description

一种威胁情报方法、装置、设备及计算机存储介质
技术领域
本申请实施例涉及计算机安全技术领域,涉及但不限于一种威胁情报处理方法、装置、设备及计算机存储介质。
背景技术
现有技术在处理威胁情报的情况下,对威胁情报进行收集后,仅基于现有的情报库做匹配,针对新产生的威胁情报没有识别以及分析能力,举例来说,一个新的恶意域名没有录入情报库的情况下,就无法识别并分析出来自哪一攻击组织。
发明内容
有鉴于此,本申请实施例提供一种威胁情报处理方法、装置、设备及计算机存储介质。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种威胁情报处理,所述方法包括:获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。
第二方面,本申请实施例提供一种威胁情报处理装置,所述装置包括:获取模块,用于获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;第一确定模块,用于确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;第二确定模块,用于在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。
第三方面,本申请实施例提供一种威胁情报处理方法,所述方法包括:获取用于提取威胁情报的告警集合;基于所述告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备;基于每一所述告警对应的失陷设备,和从每一所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报。
第四方面,本申请实施例提供一种威胁情报处理装置,所述装置包括:第三获取模块,用于获取用于提取威胁情报的告警集合;第四确定模块,用于基于所述告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备;第五确定模块,用于基于每一所述告警对应的失陷设备,和从每一所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报。
第五方面,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述第一方面或第三方面的方法。
第六方面,本申请实施例提供一种计算机存储介质,存储有可执行指令,用于引起处理器执行时,实现上述第一方面或第三方面的方法。
本申请实施例中,首先获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,然后确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度,最后在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。这样,可以通过确定两个威胁情报关联的失陷设备集合之间的相似度,有效确定所述两个威胁情报来自同一攻击组织,解决了现有技术中对威胁情报进行收集后,仅基于现有的情报库做匹配,针对新产生的威胁情报没有识别以及分析能力。
附图说明
图1为本申请实施例提供的一种威胁情报处理方法的实现流程示意图;
图2为本申请实施例提供的一种威胁情报处理方法的实现流程示意图;
图3A为本申请实施例提供的一种从告警中提取威胁情报的流程示意图;
图3B为本申请实施例提供的一种包括攻击利用载荷的代码示意图;
图4为本申请实施例提供的一种通过威胁情报关联一个攻击组织及其影响主机的架构示意图;
图5A为本申请实施例提供的一种威胁情报处理装置的组成结构示意图;
图5B为本申请实施例提供的一种威胁情报处理装置的组成结构示意图;
图6为本申请实施例提供的一种电子设备的硬件实体示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对发明的具体技术方案做进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明,本申请实施例中涉及的名词和术语适用于如下的解释。
态势感知:是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地;
威胁情报:是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,主要内容可以为用于识别和检测威胁的失陷标识,如文件散列(HASH)值、网际互联协议(Internet Protocol,IP)、域名、程序运行路径、注册表项等,以及相关的归属标签。
MD4(Message-Digest 4):一种信息摘要算法,用来测试信息完整性的密码散列函数的实行。
MD5:一种信息摘要算法,一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(HASH VALUE),用于确保信息传输完整一致。MD5用以取代MD4算法。
妥协指标(indicator of compromise,IOC)在信息安全领域中,IOC是威胁情报的一种具体存在形式,可用于威胁情报共享、交换。具体地,IOC指的是能够标识系统已经被黑客攻陷或者已感染病毒等的一些特征或现象。
攻击利用载荷(Payload),在计算机科学与电信领域,载荷是数据传输中所欲传输的实际信息,通常也被称作实际数据或者数据体。在计算机病毒或电脑蠕虫领域中,攻击利用载荷指的是进行有害操作的部分,例如:数据销毁、发送垃圾邮件等。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应当理解,此处所描述的一些实施例仅仅用以解释本申请的技术方案,并不用于限定本申请的技术范围。
本申请实施例提供的一种威胁情报处理方法,如图1所示,该方法包括:
步骤S110、获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;
这里,威胁情报的类型至少包括以下之一:恶意域名、恶意互联网协议地址(Internet Protocol,IP)、木马的统一资源定位符(Uniform Resource Locator,URL)、病毒的消息摘要算法值,其中,病毒的消息摘要算法值包括文件MD4、文件MD5。
在一些实施例中,由于在两个威胁情报的类型不同的情况下,威胁情报的内容也不相同,所以第一威胁情报的类型可以与第二威胁情报的类型不同,举例来说,第一威胁情报的类型可以是恶意域名,第二威胁情报的类型可以是恶意互联网协议地址。
在另一些实施例中,在第一威胁情报与第二威胁情报的类型相同的情况下,第一威胁情报的内容与所述第二威胁情报的内容不同,举例来说,第一威胁情报与第二威胁情报的类型都是恶意互联网协议地址,但第一威胁情报的恶意互联网协议地址与第二威胁情报的恶意互联网协议地址不同。
这里,失陷设备可以是已经被攻击者或者病毒成功入侵的服务器、主机等。
值得注意的是,获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合的执行顺序不限定,可以先执行获取第一威胁情报关联的第一失陷设备集合,也可以先执行获取第二威胁情报关联的第二失陷设备集合,也可以同时执行。
步骤S120、确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;
这里,集合与集合之间的相似度可以用于表征集合中包含的元素的相似度。在一些实施例中,第一失陷设备集合与第二失陷设备集合之间的相似度可以用于标识两个失陷设备集合中包含的失陷设备的相似度。
步骤S130、在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。
这里,可以根据实际情况确定相似度阈值。在实施过程中,第一失陷设备集合与第二失陷设备集合之间的相似度大于相似度阈值,举例来说,在第一失陷设备集合与第二失陷设备集合的相似度为1的情况下,第一失陷设备集合与第二失陷设备集合中包含的失陷设备是完全相同的,在这种情况下,可以确定第一威胁情报与所述第二威胁情报来自同一攻击组织。
本申请实施例中,首先获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,然后确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度,最后在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。这样,可以通过确定两个威胁情报关联的失陷设备集合之间的相似度,有效确定所述两个威胁情报来自同一攻击组织,解决了现有技术中对威胁情报进行收集后,仅基于现有的情报库做匹配,针对新产生的威胁情报没有识别以及分析能力。
在一些实施例中,步骤S120可以通过以下过程实现:利用相似性系数,确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度。
在实施过程中,可以利用杰卡德相似性系数公式(1)计算集合A与集合B的相似度:
其中,A,B分别代表符合某种条件的集合,即,A可以代表第一失陷设备集合,B可以代表第二失陷设备集合。
本申请实施例中,利用杰卡德相似性系数,可以有效确定出第一失陷设备集合与第二失陷设备集合之间的相似度。
本申请实施例提供的一种威胁情报处理方法,如图2所示,该方法包括:
步骤S210、获取用于提取所述威胁情报的告警集合;
这里,告警可以是在用户系统遭受病毒侵袭的情况下,从态势感知平台获取的,告警集合包括多条不同的告警,其中,每一个告警可以是基于一个设备上报的。
举例来说,可以从本地态势感知平台获取告警集合;还可以从本地的网关设备侧获取告警集合,对获取告警集合的平台不做限制。
步骤S220、基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合;
这里,告警的属性字段可以包括多种不同的属性字段,其中,每一属性字段的取值可以用于记录该告警的一种维度数据。在实施过程中,可以基于告警的属性字段的取值,确定该条告警对应的失陷设备,以及针对该失陷设备产生的威胁情报。举例来说,告警的属性字段可以包括用于标识该失陷设备的IP地址,那么可以利用该IP地址确定失陷设备;告警的属性字段还可以包括告警类型,这样,可以根据告警的类型确定该失陷设备产生的威胁情报。
步骤S230、获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;
步骤S240、确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;
步骤S250、在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。
本申请实施例中,首先获取用于提取威胁情报的告警集合,然后基于所述告警集合中每一告警的属性字段,确定第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合。这样,可以实现从设备上报的告警集合中,有效获取失陷设备关联的威胁指标。
本申请实施提供一种威胁情报处理方法,该方法包括:
步骤221、基于所述告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备;
在实施过程中,告警的属性字段包括用于标识对应失陷设备的属性字段,获取该属性字段的取值,即可以确定告警对应的失陷设备。
步骤222、基于每一所述告警对应的失陷设备,和从每一所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报;
在实施过程中,可以先基于告警的属性字段确定与该告警对应的失陷设备,再从该条告警的其他属性字段中提取出威胁情报,也可以从该条告警的其他属性字段中提取出威胁情报,再基于告警的属性字段确定与该告警对应的失陷设备,本申请对提取的顺序不做限制。
步骤223、基于所述与所有所述失陷设备关联的威胁情报集合,与每一所述威胁情报关联的失陷设备集合。
这里,威胁情报集合是基于获取到的所有的失陷设备关联的威胁情报确定的,即,将每一失陷设备关联的威胁情报汇总组成一个威胁情报集合。
所述威胁情报集合包括所述第一威胁情报和所述第二威胁情报,上述步骤S220“基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合”可以基于步骤221至223实现。
在实施过程中,在确定了每一失陷设备关联的至少一个威胁情报的映射关系后,可以基于该映射关联确定第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合。
本申请实施例中,首先基于告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备,然后基于所述告警对应的失陷设备,和从所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报,最后基于所述与每一所述失陷设备关联的至少一个威胁情报,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合。这样,可以基于告警集合中每一告警的属性字段,有效确定每一失陷设备关联的至少一个威胁情报的映射关系,基于该映射关系,可以有效确定第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合。
在一些实施例中,告警的属性字段包括告警类型,上述步骤222中“从所述告警的属性字段中提取出的威胁情报”,可以通过以下步骤实现:
步骤222A、获取所述告警的告警类型;
这里,告警类型可以用于表征该告警被何种病毒侵袭的病毒类型,也可以用于表征该告警对应的设备由于病毒侵袭出现的问题,当然还可以有其他表征方面,这里不做限制。举例来说,告警类型可以是“通过http下载恶意脚本”、“通过硬编码域名算法检测的告警”、“通过web漏洞检测的告警”。
步骤222B、基于所述告警类型,从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报。
在实施过程中,可以基于不同的告警类型获取对应不同的威胁情报。举例来说,在告警类型为“通过http下载恶意脚本”的情况下,对应的威胁情报可以是目的恶意互联网协议地址和/或木马的统一资源定位符;在告警类型为“通过硬编码域名算法检测的告警”的情况下,对应的威胁情报可以是恶意域名;在告警类型为“通过web漏洞检测的告警”的情况下,对应的威胁情报可以是以下至少之一:恶意互联网协议地址、域名、木马的统一资源定位符。
在一些实施例中,步骤222B可以通过以下过程实现:基于所述告警类型,利用正则表达式从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报。
本申请实施例中,首先获取告警的告警类型,然后基于所述告警类型,从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报。这样,由于不同的告警类型可以对应不同的威胁情报,可以有效根据告警的类型来提取出与失陷设备关联的至少一个威胁情报。
在一些实施例中,告警的属性字段至少包括以下之一:请求域名、攻击利用载荷、源IP、目的IP、统一资源定位符、下载文件;威胁情报至少包括以下之一:恶意域名、恶意互联网协议地址、木马的统一资源定位符、病毒的消息摘要算法值。上述步骤222中“从所述告警的属性字段中提取出的威胁情报”,可以通过以下过程实现:
在所述告警的属性字段为所述请求域名的情况下,提取出所述恶意域名;在所述告警的属性字段为所述攻击利用载荷的情况下,提取出以下至少之一:所述恶意域名、所述木马的统一资源定位符、所述恶意互联网协议地址;在所述告警的属性字段为所述源IP或所述目的IP的情况下,提取出所述恶意互联网协议地址;在所述告警的属性字段为所述下载文件的情况下,提取出所述病毒的消息摘要算法值。
在一些实施例中,在所述告警的属性字段为所述攻击利用载荷的情况下,可以利用正则表达式提取出以下至少之一:所述恶意域名、所述木马的统一资源定位符、所述恶意互联网协议地址。
本申请实施例中,描述了如何基于告警的属性字段,有效确定出对应的威胁情报。
图3A为本申请实施例提供的一种从告警中提取威胁情报的流程示意图,如图3A所示,包括以下步骤:
步骤S310、获取告警集合;
步骤S320、从所述告警集合中的告警中确定以下至少之一属性字段:域名、payload、源IP、目的IP、URL、下载文件;
通常在传输数据时,为了使数据传输更可靠,要把原始数据分批传输,并且在每一批数据的头部和尾部都加上一定的辅助信息,比如数据量的大小、校验位等,这样就相当于给已经分批的原始数据加一些外套,这些外套起标示作用,使得原始数据不易丢失,一批数据加上“外套”就形成了传输通道的基本传输单元,叫做数据帧或数据包,而其中的原始数据就是payload。举例来说,如图3B所示的代码示意图,该代码示意图包括payload 31,payload 31里面外连的域名ackng.com 311。
步骤S330、基于属性字段确定以下至少之一威胁情报:恶意域名、恶意互联网协议地址、木马的统一资源定位符、病毒的消息摘要算法值;
在一些实施例中,告警的属性字段为域名,则该属性字段的取值为对应的威胁情报为恶意域名;告警的属性字段为源IP或目的IP,则该属性字段的取值对应的威胁情报为恶意互联网协议地址;告警的属性字段为URL,则该属性字段的取值对应的威胁情报为木马的统一资源定位符;告警的属性字段为URL,则该属性字段的取值对应的威胁情报为木马的统一资源定位符;告警的属性字段为URL,则该属性字段的取值对应的威胁情报为木马的统一资源定位符;告警的属性字段为下载文件,则该属性字段的取值对应的威胁情报为病毒的消息摘要算法值。告警的属性字段为payload,可以利用正则表达式从该属性字段的取值中提取出以下至少之一的威胁情报:所述恶意域名、所述木马的统一资源定位符、所述恶意互联网协议地址。举例来说,如图3B所示,可以从payload 31中可以提取出payload 31里面外连的域名ackng.com 311作为木马的统一资源定位符。
步骤S340、将确定的威胁情报存入本地数据库。
本申请实施例中,描述了如何从告警中提取本地威胁情报,实现了针对各类威胁告警有效进行本地威胁情报提取。
以失陷设备为主机,不同威胁指标为IOC1、IOC2、IOCm为例,图4为本申请实施例提供的一种通过威胁情报关联一个攻击组织及其影响主机的架构示意图,如图4所示,包括告警41、本地情报库42、IOC集合43、与IOC1关联的主机集合44、与IOC2关联的主机集合45、与IOCm关联的主机集合46、攻击组织集合47,其中,IOC集合43包括IOC1、IOC2、IOCm;攻击组织集合47包括攻击组织1和攻击组织m。
从图4中可以看出,获取到的告警经过本地威胁情报库筛选后得出各个IOC命中的主机,其中,IOC1命中主机为主机1、主机2和主机n;IOC2命中主机为主机1、主机2和主机n;IOCm命中主机为主机3、主机4和主机m。
IOC1与IOC2命中的主机是完全相同的,即相似度为100%,则可以确定IOC1与IOC2有非常大的可能性来自于同一攻击组织。
本申请实施例中,确定两个威胁情报关联的失陷设备集合之间的相似度,有效确定所述两个威胁情报来自同一攻击组织,解决了现有技术中对威胁情报进行提取后,仅基于现有的情报库做匹配,针对威胁情报没有识别以及分析能力的问题。
基于前述的实施例,本申请实施例提供两种威胁情报处理装置,该装置包括所包括的各模块,各模块包括各子模块,各子模块包括单元,各单元包括子单元,可以通过电子设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图5A为本申请实施例提供的威胁情报处理装置的组成结构示意图,如图5A所示,所述装置500包括:
第一获取模块501,用于获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;
第一确定模块502,用于确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;
第二确定模块503,用于在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。
在一些实施例中,所述第一确定模块502还用于利用杰卡德相似性系数,确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度。
在一些实施例中,所述装置还包括第二获取模块和第三确定模块,其中,所述第二获取模块,用于获取用于提取所述威胁情报的告警集合;所述第三确定模块,用于基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合。
在一些实施例中,所述第三确定模块包括第一确定子模块、提取子模块和第二确定子模块,其中,所述第一确定子模块,用于基于所述告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备;所述提取子模块,用于基于每一所述告警对应的失陷设备,和从每一所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报;所述第二确定子模块,用于基于所述与所有所述失陷设备关联的威胁情报集合,与每一所述威胁情报关联的失陷设备集合,所述威胁情报集合包括所述第一威胁情报和所述第二威胁情报。
在一些实施例中,告警的属性字段包括告警类型,所述提取子模块包括获取单元和提取单元,所述获取单元用于获取所述告警的告警类型;所述提取单元,用于基于所述告警类型,从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报。
在一些实施例中,所述提取单元还用于基于所述告警类型,利用正则表达式从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报。
在一些实施例中,所述告警的属性字段至少包括以下之一:请求域名、攻击利用载荷、源IP、目的IP、统一资源定位符、下载文件;所述威胁情报至少包括以下之一:恶意域名、恶意互联网协议地址、木马的统一资源定位符、病毒的消息摘要算法值。
在一些实施例中,所述提取单元包括第一提取子单元、第二提取子单元、第三提取子单元、第四提取子单元,其中,所述第一提取子单元,用于在所述告警的属性字段为所述请求域名的情况下,提取出所述恶意域名;所述第二提取子单元,用于在所述告警的属性字段为所述攻击利用载荷的情况下,提取出以下至少之一:所述恶意域名、所述木马的统一资源定位符、所述恶意互联网协议地址;所述第三提取子单元,用于在所述告警的属性字段为所述源IP或所述目的IP的情况下,提取出所述恶意互联网协议地址;所述第四提取子单元,用于在所述告警的属性字段为所述下载文件的情况下,提取出所述病毒的消息摘要算法值。
图5B为本申请实施例提供的威胁情报处理装置的组成结构示意图,如图5B所示,所述装置510包括:
第三获取模块511,用于获取用于提取威胁情报的告警集合;
第四确定模块512,用于基于所述告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备;
第五确定模块513,用于基于每一所述告警对应的失陷设备,和从每一所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备(可以是手机、平板电脑、笔记本电脑、台式计算机等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的威胁情报处理方法中的步骤。
对应地,本申请实施例提供一种电子设备,图6为本申请实施例提供的电子设备的一种硬件实体示意图,如图6所示,该设备600的硬件实体包括:包括存储器601和处理器602,所述存储器601存储有可在处理器602上运行的计算机程序,所述处理器602执行所述程序时实现上述实施例中提供的威胁情报处理方法中的步骤。
存储器601配置为存储由处理器602可执行的指令和应用,还可以缓存待处理器602以及电子设备600中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory,RAM)实现。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备(可以是手机、平板电脑、笔记本电脑、台式计算机等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (8)

1.一种威胁情报处理方法,其特征在于,所述方法包括:
获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;
确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;
在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织;
在所述获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合之前,所述方法还包括:
获取用于提取所述威胁情报的告警集合;
基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合。
2.如权利要求1所述的方法,其特征在于,所述确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度,包括:
利用相似性系数,确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度。
3.如权利要求1所述的方法,其特征在于,所述基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合,包括:
基于所述告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备;
基于每一所述告警对应的失陷设备,和从每一所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报;
基于与所有所述失陷设备关联的威胁情报集合,确定与每一所述威胁情报关联的失陷设备集合,所述威胁情报集合包括所述第一威胁情报和所述第二威胁情报。
4.如权利要求3所述的方法,其特征在于,所述告警的属性字段包括告警类型,所述从所述告警的属性字段中提取出的威胁情报,包括:
获取所述告警的告警类型;
基于所述告警类型,从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报。
5.如权利要求4所述的方法,其特征在于,所述基于所述告警类型,从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报,包括:
基于所述告警类型,利用正则表达式从所述告警的属性字段中提取出与所述失陷设备关联的至少一个威胁情报。
6.一种威胁情报处理装置,其特征在于,所述装置包括:
第一获取模块,用于获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;
第一确定模块,用于确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;
第二确定模块,用于在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织;
第二获取模块,用于获取用于提取所述威胁情报的告警集合;
第三确定模块,用于基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合。
7.一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至5任一项所述方法中的步骤。
8.一种计算机存储介质,其特征在于,存储有可执行指令,用于引起处理器执行时,实现权利要求1至5任一项所述方法中的步骤。
CN202111135055.XA 2021-09-27 2021-09-27 一种威胁情报方法、装置、设备及计算机存储介质 Active CN113890758B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111135055.XA CN113890758B (zh) 2021-09-27 2021-09-27 一种威胁情报方法、装置、设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111135055.XA CN113890758B (zh) 2021-09-27 2021-09-27 一种威胁情报方法、装置、设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN113890758A CN113890758A (zh) 2022-01-04
CN113890758B true CN113890758B (zh) 2024-04-12

Family

ID=79006887

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111135055.XA Active CN113890758B (zh) 2021-09-27 2021-09-27 一种威胁情报方法、装置、设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN113890758B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115118463A (zh) * 2022-06-10 2022-09-27 深信服科技股份有限公司 一种失陷主机检测方法、装置、电子设备及存储介质
CN115118464B (zh) * 2022-06-10 2024-07-09 深信服科技股份有限公司 一种失陷主机检测方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110460594A (zh) * 2019-07-31 2019-11-15 平安科技(深圳)有限公司 威胁情报数据采集处理方法、装置及存储介质
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN110868418A (zh) * 2019-11-18 2020-03-06 杭州安恒信息技术股份有限公司 一种威胁情报生成方法、装置
CN111245787A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 一种失陷设备识别与设备失陷度评估的方法、装置
CN111490970A (zh) * 2020-02-19 2020-08-04 西安交大捷普网络科技有限公司 一种网络攻击的溯源分析方法
CN112769775A (zh) * 2020-12-25 2021-05-07 深信服科技股份有限公司 一种威胁情报关联分析方法、系统、设备及计算机介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407645B2 (en) * 2014-08-29 2016-08-02 Accenture Global Services Limited Security threat information analysis
US11431745B2 (en) * 2018-04-30 2022-08-30 Microsoft Technology Licensing, Llc Techniques for curating threat intelligence data

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110460594A (zh) * 2019-07-31 2019-11-15 平安科技(深圳)有限公司 威胁情报数据采集处理方法、装置及存储介质
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN110868418A (zh) * 2019-11-18 2020-03-06 杭州安恒信息技术股份有限公司 一种威胁情报生成方法、装置
CN111245787A (zh) * 2019-12-31 2020-06-05 西安交大捷普网络科技有限公司 一种失陷设备识别与设备失陷度评估的方法、装置
CN111490970A (zh) * 2020-02-19 2020-08-04 西安交大捷普网络科技有限公司 一种网络攻击的溯源分析方法
CN112769775A (zh) * 2020-12-25 2021-05-07 深信服科技股份有限公司 一种威胁情报关联分析方法、系统、设备及计算机介质

Also Published As

Publication number Publication date
CN113890758A (zh) 2022-01-04

Similar Documents

Publication Publication Date Title
US8893278B1 (en) Detecting malware communication on an infected computing device
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
JP5631988B2 (ja) ウイルス対策スキャン
CA2856729C (en) Detecting malware using stored patterns
CN108804925B (zh) 用于检测恶意代码的方法和系统
US8910285B2 (en) Methods and systems for reciprocal generation of watch-lists and malware signatures
US8578496B1 (en) Method and apparatus for detecting legitimate computer operation misrepresentation
CN111737696A (zh) 一种恶意文件检测的方法、系统、设备及可读存储介质
WO2015051720A1 (zh) 检测可疑dns的方法、装置和可疑dns的处理方法、系统
CN113890758B (zh) 一种威胁情报方法、装置、设备及计算机存储介质
US20150371043A1 (en) Controlling a Download Source of an Electronic File
US20180375884A1 (en) Detecting user behavior activities of interest in a network
CN108156270B (zh) 域名请求处理方法和装置
KR20100005518A (ko) 확장자를 위장한 파일을 탐지하는 방법 및 그 장치
US8726377B2 (en) Malware determination
Wu et al. Detect repackaged android application based on http traffic similarity
CN107070845B (zh) 用于检测网络钓鱼脚本的系统和方法
US11582226B2 (en) Malicious website discovery using legitimate third party identifiers
US10169582B2 (en) System, method, and computer program product for identifying a file used to automatically launch content as unwanted
US8516100B1 (en) Method and apparatus for detecting system message misrepresentation using a keyword analysis
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
CN112583827A (zh) 一种数据泄露检测方法及装置
WO2016118153A1 (en) Marking nodes for analysis based on domain name system resolution
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets
US11973773B2 (en) Detecting and mitigating zero-day attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant