CN113965407A

CN113965407A - Ioc情报文件生成方法、装置、存储介质及电子设备

Info

Publication number: CN113965407A
Application number: CN202111300507.5A
Authority: CN
Inventors: 刘华; 范渊; 刘博�
Original assignee: DBAPPSecurity Co Ltd
Current assignee: DBAPPSecurity Co Ltd
Priority date: 2021-11-04
Filing date: 2021-11-04
Publication date: 2022-01-21

Abstract

一种IOC情报文件生成方法、装置、存储介质及电子设备，该方法包括：获取终端系统的各个行为事件的事件日志，并将各个所述行为事件的事件日志与预置规则进行匹配；在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID；以所述进程ID为起点向上溯源其父进程ID及向下溯源其子进程ID；将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链；根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点，并根据所述有效节点生成IOC情报文件。本发明根据行为日志与预置规则的碰撞结果来确定风险告警点，并进行溯源，以此可以针对终端未知的威胁自动生成IOC情报文件。

Description

IOC情报文件生成方法、装置、存储介质及电子设备

技术领域

本发明情报分析技术领域，特别是涉及一种IOC情报文件生成方法、装置、存储介质及电子设备。

背景技术

OpenIOC是一个记录、定义以及共享安全情报的格式，它可以帮助借助机器可读的形式实现不同类型威胁情报的快速共享，便捷地分享、交流安全情报为针对特定目标攻击检测、响应和防止。

当前在情报共享领域IOC基本针对单一恶意文件的特征生成IOC作为情报文件，比如，通过沙箱分析行为以提取行为取证信息。但是随着终端威胁技术发展，可能已不再通过单个文件作为攻击特征，而是利用多元素攻击和利用，绕过一些安全扫描和检测。即现有技术都是通过单个恶意样本生成IOC情报文件或已知IOC情报文件对终端进行情报扫描检测，并不能对终端未知威胁自动生成IOC情报文件。

发明内容

鉴于上述状况，有必要针对现有技术中终端无法根据未知威胁自动生成IOC的问题，提供一种IOC情报文件生成方法、装置、存储介质及电子设备。

一种IOC情报文件生成方法，包括：

获取终端系统的各个行为事件的事件日志，并将各个所述行为事件的事件日志与预置规则进行匹配；

在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID；

以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID；

将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链；

根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点，并根据所述有效节点生成IOC情报文件。

进一步的，上述IOC情报文件生成方法，其中，所述将各个所述行为事件的事件日志与预置规则进行匹配的步骤包括：

将所述事件日志以预定义的字段顺序序列化为json格式；

将所述json格式的事件日志与预置的正则表达式特征规则进行匹配。

进一步的，上述IOC情报文件生成方法，其中，所述根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点的步骤包括：

逐个分析所述溯源链中的各个节点，并将各个所述节点的与所述终端系统当前状态下的数据进行匹配；

将匹配成功的所述节点确定为有效节点。

进一步的，上述IOC情报文件生成方法，其中，所述以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID的步骤包括：

根据所述进程ID向上逐级查询其父进程ID，以及根据所述进程ID向下逐级查询其子进程ID，并做进程判断或延时操作。

进一步的，上述IOC情报文件生成方法，其中，所述获取终端系统的各个行为事件的事件日志的步骤包括：

通过sysmon监控终端系统的各个行为事件的事件日志。

进一步的，上述IOC情报文件生成方法，其中，所述根据所述有效节点生成IOC情报文件的步骤之后还包括：

将所述IOC情报文件共享至待分析终端，以使所述待分析终端解析所述IOC情报文件并与自身系统的数据进行匹配，并当匹配度大于阈值时，确定所述IOC情报存在威胁技术共性。

进一步的，上述IOC情报文件生成方法，其中，所述匹配度x的计算公式为：

其中，m为所述IOC情报文件中与另一终端系统的数据匹配一致的节点数量，n为所述IOC情报文件中节点的数量。

本发明还公开了一种IOC情报文件生成装置，包括：

获取模块，用于获取终端系统的各个行为事件的事件日志；

匹配模块，用于将各个所述行为事件的事件日志与预置规则进行匹配；

提取模块，用于在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID；

溯源模块，用于以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID；

溯源链生成模块，用于将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链；

文件生成模块，用于根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点，并根据所述有效节点生成IOC情报文件。

进一步的，上述IOC情报文件生成装置，其中，所述匹配模块用于：

将所述事件日志以预定义的字段顺序序列化为json格式；

进一步的，上述IOC情报文件生成装置，其中，所述文件生成模块用于：

将匹配成功的所述节点确定为有效节点。

进一步的，上述IOC情报文件生成装置，还包括：

共享模块，用于将所述IOC情报文件共享至待分析终端，以使所述待分析终端解析所述IOC情报文件并与自身系统的数据进行匹配，并当匹配度大于阈值时，确定所述IOC情报存在威胁技术共性。

本发明还公开了一种计算机可读存储介质，其上存储有程序，所述程序被处理器执行时实现上述任一所述的方法。

本发明还公开了一种电子设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现上述任意一项所述的方法。

本发明基于终端行为日志记录与预置规则碰撞获取风险告警点，并以告警点作为溯源入口向上父进程及向下子进程获取完整溯源链，逐个分析溯源链各节点并实时匹配系统数据，以判断当前节点数据是否仍然有效，根据筛选的有效节点生成共享安全情报OpenIOC文件。因此，本发明可以根据行为日志与预置规则的碰撞结果来确定风险告警点，并进行溯源，以此可以针对终端未知的威胁自动生成IOC情报文件。

附图说明

图1为本发明第一实施例中IOC情报文件生成方法的流程图；

图2为本发明第二实施例中IOC情报文件生成方法的流程图；

图3为本发明第三实施例中IOC情报文件生成装置的结构框图；

图4为本发明第实施例中电子设备的结构示意图。

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本发明实施例所涉及到的技术术语解释如下。

Open IOC(Open Indicator of Compromise)，是一套威胁情报共享的标准，通过遵循该标准，我们可以建立IOC的逻辑分组，实现威胁情报的交流共享，比如事件响应团队可以使用OpenIOC的规范编写多个IOCs来描述一个威胁的技术共性。OpenIOC主要使用XML(Extensible Markup Language)来实现，XML语言提供了丰富、灵活的格式来将数据表示成可机读的形式。通常在使用OpenIOC时会定义自己的指示器属性表(Indicator TermDocumens)，里面列出了要使用的诸多属性。

溯源链，是以进程ID作为行为分类关联要素，获得其进程操作信息、文件操作信息、注册表操作信息、网络连接信息等，并根据进程的父进程ID及子进程ID进行递归搜索查询，以父子关系形成的父子关系链。

请参阅图1，为本发明第一实施例中的IOC情报文件生成方法，包括步骤S11～S15。

步骤S11，获取终端系统的各个行为事件的事件日志，并将各个所述行为事件的事件日志与预置规则进行匹配。

步骤S12，在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID。

具体实施时，可通过sysmon监控终端系统的行为事件的事件日志。该终端例如为手机、平板电脑、电脑等设备，终端系统的行为事件例如其进程操作、文件操作、注册表操作、网络连接等，即对终端系统的行为事件的日志进行监控。

该预置规则设置有多个，存储在规则库中，其为正则表达式特征规则，主要是以行为特征作为条件，如进程操作行为、网络操作行为、注册表操作行为、可疑命令行等等。举例来说：一个可疑样例将自己添加到注册表run目录下(行为a)，并禁用用户注册表和任务管理器(行为b)，该a和b是两个行为，则以这两种行为作为特征生成特征规则。

将各个行为事件的事件日志与预置规则进行匹配，若碰撞未命中规则，则将日志入库存储(如leveldb等kv数据库)，并继续采集事件日志重复操作；若碰撞命中规则，则获得当前行为事件的事件日志，并提取该行为事件的进程ID，同时将事件日志入库存储。

可以理解的，本实施例中，该预置规则可以认为是告警规则，将行为事件的时间日志与预置规则进行匹配，若匹配上，则会生成告警，并基于终端行为日志记录与告警规则碰撞获取风险告警点，并以告警点作为溯源点进行溯源。

步骤S13，以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID。

以当前进程ID为起点向上溯源其父进程ID及向下溯源其子进程ID，并递归至无法找到父进程和子进程为止。需要说明的是，在此步在实际应用场景中应做进程判断或延时操作，以获得完成进程链，否则会导致相应进程未完成获取的进程链不完整。

其中，进程判断或延时操作的步骤，是用于判断当前溯源进程或其子进程是否还没结束，若还没有结束依然在运行时，此时进行溯源操作会不完全，所以会进行判断或适当延时后进行溯源动作。

步骤S14，将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链。

将上述进程ID、父进程ID和子进程ID以父子关系生成溯源链，该溯源链以进程树形结构的json格式文件。即该溯源链由各个进程组成，每一个节点代表一个进程，各个进程之间根据父子关系形成进程树形结构。

步骤S15，根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点，根据所述有效节点生成IOC情报文件。

具体实施时，逐个解析和分析溯源链各节点，根据节点类型(进程、文件、注册表、网络等)判断当前状态是否存在，存在即确定为有效节点，并标记该节点的状态值为真，以此类推标记溯源链中各节点的状态值。再根据溯源链各节点状态值为真的节点的节点类型生成IOC情报文件。

本实施例基于终端行为日志记录与预置规则碰撞获取风险告警点，并以告警点作为溯源入口向上父进程及向下子进程获取完整溯源链，逐个分析溯源链各节点并实时匹配系统数据，以判断当前节点数据是否仍然有效，根据筛选的有效节点生成共享安全情报OpenIOC文件。因此，本实施例可以根据行为日志与预置规则的碰撞结果来确定风险告警点，并进行溯源，以此可以针对终端未知的威胁自动生成IOC情报文件。

请参阅图2，为本发明第二实施例中的IOC情报文件生成方法，包括步骤S21～S28。

步骤S21，通过sysmon监控终端系统的各个行为事件的事件日志。

终端系统的行为事件例如其进程操作、文件操作、注册表操作、网络连接等，即sysmon对终端系统的行为事件的日志进行监控。

步骤S22，解析各个行为事件的事件日志，并将各个所述行为事件的事件日志与预置规则进行匹配。

具体实施时，需要将该事件日志以预定义的字段顺序序列化为json格式，方便存储分析和预置规则的编写。再将json格式的事件日志与预置的正则表达式特征规则进行匹配。

为了提高事件日志的处理效率，可以归并一定数量的事件日志后，再与预置规则行碰撞，例如归并20条事件日志后匹配一次。

步骤S23，在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID。

将各个行为事件的事件日志与预置规则进行匹配，若碰撞未命中规则，则将事件日志入库存储(如leveldb等kv数据库)，并继续采集事件日志重复操作；若碰撞命中规则，则获得当前事件的事件日志，并提取该行为事件的进程ID，同时将事件日志入库存储。

步骤S24，根据所述进程ID向上逐级查询其父进程ID，以及根据所述进程ID向下逐级查询其子进程ID，并做进程判断或延时操作。

sysmon采集引擎会记录一个进程创建时的父进程ID和当前进程ID，其它类型行为事件，如文件创建、注册表修改、网络连接等，会记录当前事件的进程ID，通过此进程ID进行上下文关联。以当前进程ID为起点向上溯源其父进程ID及向下溯源其子进程ID，并递归至无法找到父进程和子进程为止。需要说明的是，在此步在实际应用场景中应做进程判断或延时操作，以获得完成进程链，否则会导致相应进程未完成获取的进程链不完整。

步骤S25，将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链。

将得到的各个进程ID以父子关系形成进程树形结构生成json格式，得到溯源链。

步骤S26，逐个分析所述溯源链中的各个节点，并将各个所述节点的与所述终端系统当前状态下的数据进行匹配。

步骤S27，将匹配成功的所述节点确定为有效节点，并根据所述有效节点生成IOC情报文件。

分析溯源链各节点与系统数据匹配，以判断各个节点是否仍有效，即进程节点判断当前进程是否依然存在，文件创建节点判断是否该文件仍然存在，若存在确定为有效节点，不存在则确定为无效节点。可以理解的，具体实施时，可对判断到的各个节点进行标记，将有效节点的节点状态值标记为真，无效节点的状态值标记为假。

举例来说，某恶意样例a释放并运行了文件b，b创建了c文件并修改了注册表d，同时连接了某个IP地址e，随后b进程退出了。此时，可得到从a到e的完整溯源链，将逐个分析每个节点，判断每个节点是否在不前机器中，上述中因为b进程退出了，所以这个b节点标记为假，其它节点都在系统中存在，所以都标记为真。

将溯源链上标记为真的节点提取生成OpenIOC格式共享安全情报。

步骤S28，将所述IOC情报文件共享至待分析终端，以使所述待分析终端解析所述IOC情报文件并与自身系统的数据进行匹配，并当匹配度大于阈值时，确定所述IOC情报存在威胁技术共性。

将该IOC情报文件共享至待分析终端，该待分析终端依据该IOC情报文件进行系统扫描与匹配，并根据匹配上的条目计算匹配度，确认当前系统状态是否与该共享IOC情报存在威胁技术共性。该阈值可根据实际需要进行设置，例如设置为70％。该匹配度x的计算公式为：

本实施例中，将终端系统的将特定行为以正则表达式形成规则公式，通过对采集终端系统的行为事件的事件日志，进行匹配，若匹配成功则获得安全告警风险信息。并以告警点作为溯源入口向上父进程及向下子进程获取完整溯源链，逐个分析溯源链各节点并实时匹配系统数据，以判断各节点数据当前是否仍然有效，根据筛选有效节点及对应类型生成共享安全情报OpenIOC文件。并且，响应团队分享IOC文件到其它终端扫描检测，将IOC文件安全情报节点与被扫描检测终端进行查找判断是否匹配，根据匹配相似度判断是否为存在安全威胁技术共性。

本实施例在终端采用行为告警溯源并根据溯源链状态生成IOC对未安装日志采集终端进行匹配扫描；并以相似度判断终端是否已存在类似或相近威胁风险，对企业网络排查未知威胁风险具有实用意义。

请参阅图3，为本发明第三实施例中的IOC情报文件生成装置，包括：

获取模块31，用于获取终端系统的各个行为事件的事件日志；

匹配模块32，用于将各个所述行为事件的事件日志与预置规则进行匹配；

提取模块33，用于在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID；

溯源模块34，用于以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID；

溯源链生成模块35，用于将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链；

文件生成模块36，用于根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点，并根据所述有效节点生成IOC情报文件。

进一步的，上述IOC情报文件生成装置，其中，所述匹配模块32用于：

将所述事件日志以预定义的字段顺序序列化为json格式；

进一步的，上述IOC情报文件生成装置，其中，所述文件生成模块36用于：

将匹配成功的所述节点确定为有效节点。

进一步的，上述IOC情报文件生成装置，其还包括：

本发明实施例所提供的IOC情报文件生成装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

另外，结合图1至图2描述的本申请实施例中的IOC情报文件生成方法主要由电子设备来实现。该电子设备例如为计算机设备、服务器等设备。

图4为根据本申请实施例的电子设备的硬件结构示意图。该电子设备可以包括处理器81以及存储有计算机程序指令的存储器82。

具体地，上述处理器81可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器82可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器82可在数据处理装置的内部或外部。在特定实施例中，存储器82是非易失性(Non-Volatile)存储器。在特定实施例中，存储器82包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器81所执行的可能的计算机程序指令。

处理器81通过读取并执行存储器82中存储的计算机程序指令，以实现上述实施例中的IOC情报文件生成方法。

在其中一些实施例中，该数据提供终端和平台还可包括通信接口83和总线80。其中，如图4所示，处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。

通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口83还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线80包括硬件、软件或两者，将对应设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线80可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(FrontSide Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

另外，结合上述实施例中的IOC情报文件生成方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种IOC情报文件生成方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

1.一种IOC情报文件生成方法，其特征在于，包括：

2.如权利要求1所述的IOC情报文件生成方法，其特征在于，所述将各个所述行为事件的事件日志与预置规则进行匹配的步骤包括：

将所述事件日志以预定义的字段顺序序列化为json格式；

3.如权利要求1所述的IOC情报文件生成方法，其特征在于，所述根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点的步骤包括：

将匹配成功的所述节点确定为有效节点。

4.如权利要求1所述的IOC情报文件生成方法，其特征在于，所述以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID的步骤包括：

5.如权利要求1所述的IOC情报文件生成方法，其特征在于，所述获取终端系统的各个行为事件的事件日志的步骤包括：

通过sysmon监控终端系统的各个行为事件的事件日志。

6.如权利要求1所述的IOC情报文件生成方法，其特征在于，所述根据所述有效节点生成IOC情报文件的步骤之后还包括：

7.如权利要求6所述的IOC情报文件生成方法，其特征在于，所述匹配度x的计算公式为：

8.一种IOC情报文件生成装置，其特征在于，包括：

获取模块，用于获取终端系统的各个行为事件的事件日志；

9.一种计算机可读存储介质，其上存储有程序，其特征在于，所述程序被处理器执行时实现如权利要求1－7任一所述的方法。

10.一种电子设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的程序，其特征在于，所述处理器执行所述程序时实现如权利要求1－7任意一项所述的方法。