CN114003904A - 情报共享方法、装置、计算机设备及存储介质 - Google Patents
情报共享方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN114003904A CN114003904A CN202111647283.5A CN202111647283A CN114003904A CN 114003904 A CN114003904 A CN 114003904A CN 202111647283 A CN202111647283 A CN 202111647283A CN 114003904 A CN114003904 A CN 114003904A
- Authority
- CN
- China
- Prior art keywords
- attack
- attack event
- information
- event
- intelligence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种情报共享方法、装置、计算机设备及存储介质,其中,情报共享方法包括:获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,所述本地威胁情报信息包括至少两个攻击事件的信息;基于所述攻击事件的信息,确定所述攻击事件的威胁等级;基于所述攻击事件的威胁等级和所述攻击对象的行业信息筛选出定向攻击事件;基于所述定向攻击事件的信息生成情报共享信息;将所述情报共享信息同步至第二用户所在的设备终端,所述第二用户为情报共享订阅者。本申请能够将更具威胁的攻击者从海量报警中筛选出来,从而使基于情报共享系统的用户,能够优先关注这些攻击,进而缩短威胁响应时间,从而避免更大的损失。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种情报共享方法、装置、计算机设备及存储介质。
背景技术
APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,这类攻击表现有以下几个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。从行业角度来讲,针对性强表现在不同的黑客组织有自己擅长攻击的行业,或者某个事件发生后,集中针对某个行为的攻击特别多,比如疫情期间,针对疫苗研发、医药生物工程行业的攻击会特别多。所以对于企业来说,为了缩短威胁响应时间(MTTR),及时的掌握已经发生的针对同行业企业的攻击,是一个有效且重要的手段。因此,研究一种准确的、高效的行业威胁情报共享机制具有重要意义。
发明内容
本申请实施例的目的在于提供一种情报共享方法、装置、计算机设备及存储介质。用以至少基于攻击事件的信息从众多的攻击事件筛选出威胁高的攻击事件,并通过情报分享,使得相关用户能够及时的、优先地关注到威胁高的攻击事件。
为此本申请第一方面公开一种情报共享方法,所述方法应用于云综合判断系统中,所述方法包括:
获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,所述本地威胁情报信息包括至少两个攻击事件的信息;
基于所述攻击事件的信息,确定所述攻击事件的威胁等级;
基于所述攻击事件的威胁等级和所述攻击对象的行业信息筛选出定向攻击事件;
基于所述定向攻击事件的信息生成情报共享信息;
将所述情报共享信息同步至第二用户所在的设备终端,所述第二用户为情报共享订阅者。
在本申请第一方面中,作为一种可选的实施方式,所述攻击事件的信息包括所述攻击事件命中的检测规则;
以及,所述基于所述攻击事件的信息,确定所述攻击事件的威胁等级,包括:
基于所述攻击事件命中的检测规则确定所述攻击事件的攻击类型;
基于所述攻击事件的攻击类型确定所述攻击事件的威胁等级。
在本申请第一方面中,作为一种可选的实施方式,在所述基于所述攻击事件的攻击类型确定所述攻击事件的威胁等级之后,所述基于所述攻击事件的信息,确定所述攻击事件的威胁等级,还包括:
基于所述攻击事件命中的检测规则,判断所述攻击事件是否命中两条或两条以上的所述检测规则,若所述攻击事件命中两条或两条以上的所述检测规则,则调整所述攻击事件的威胁等级。
在本申请第一方面中,作为一种可选的实施方式,基于所述攻击事件的威胁等级和所述攻击对象的行业信息筛选出定向攻击事件,包括:
基于所述攻击对象的行业信息判断所述攻击事件是否针对同一行业的用户发起攻击;
当所述攻击事件针对同一行业的用户发起攻击时,则判断所述攻击事件的威胁等级是否大于预设值,如果是,则将威胁等级大于所述预设值的攻击事件确定为所述定向攻击事件。
在本申请第一方面中,作为一种可选的实施方式,所述方法还包括:
当所述定向攻击事件针对同一行业的用户发起攻击时,则基于用户的行业信息确定同一行业的用户;
将所述情报共享信息同步至所述同一行业的用户所在的终端设备。
本申请第二方面公开一种情报共享装置,所述装置应用于云综合判断系统中,所述装置包括:
获取模块,用于获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,所述本地威胁情报信息包括至少两个攻击事件的信息;
第一确定模块,用于基于所述攻击事件的信息,确定所述攻击事件的威胁等级;
第二确定模块,用于基于所述攻击事件的信息,确定所述攻击事件的攻击对象;
筛选模块,用于基于所述攻击事件的威胁等级和所述攻击对象的行业信息筛选出定向攻击事件;
生成模块,用于基于所述定向攻击事件的信息生成情报共享信息;
情报同步模块,用于将所述情报共享信息同步至第二用户所在的设备终端,所述第二用户为情报共享订阅者。
在本申请第二方面中,作为一种可选的实施方式,所述攻击事件的信息包括所述攻击事件命中的检测规则;所述第一确定模块包括:
第一确定子模块,用于基于所述攻击事件命中的检测规则确定所述攻击事件的攻击类型;
第二确定子模块,基于所述攻击事件的攻击类型确定所述攻击事件的威胁等级。
在本申请第二方面中,作为一种可选的实施方式,所述确定子模块还包括:
判断子模块,用于基于所述攻击事件命中的检测规则,判断所述攻击事件是否命中两条或两条以上的所述检测规则,若所述攻击事件命中两条或两条以上的所述检测规则,则调整所述攻击事件的威胁等级。
本申请第三方面公开一种计算机设备,所述设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本申请第一方面的情报共享方法。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本申请第一方面的情报共享方法。
综上可见,本申请通过获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,进而能够得到至少两个攻击事件的信息,另一方面,基于攻击事件的信息,能够确定攻击事件的威胁等级,进而基于攻击事件威胁等级从两个以上的攻击事件中确定出定向攻击事件,从而使得作为情报共享订阅者的第二用户能够优先关注到定向攻击事件,从而进而缩短威胁响应时间,从而避免更大的损失。在上述过程中,定向攻击事件其威胁等级比普通攻击事件的威胁等级高,对用户所造成的危害也更高,因此为了第二用户需要优先关注到定向攻击事件。
与现有技术相比,现有技术无法从攻击者的角度判定一个攻击事件是否为定向攻击事件,即无法确定攻击事件是否具有针对性,然而本申请基于攻击事件的信息可确定攻击事件的威胁等级,进而基于攻击事件的威胁等级和攻击对象可判定攻击事件是否为定向攻击事件,这样一来,就能够将更具威胁的攻击者从海量报警中筛选出来,从而使基于情报共享系统的用户,能够优先关注这些攻击,进而缩短威胁响应时间,从而避免更大的损失,其中,由于攻击事件的针对性越高,其威胁等级就越高,因此基于威胁等级与针对性之间的关系可确定一攻击事件是否为定向攻击事件。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的情报共享方法的流程示意图;
图2是本申请实施例公开的情报共享装置的结构示意图;
图3是本申请实施例公开的计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的情报共享方法的流程示意图,其中,该方法应用于云综合判断系统中。如图1所示,本申请实施例的方法包括以下步骤:
101、获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,本地威胁情报信息包括至少两个攻击事件的信息;
102、基于攻击事件的信息,确定攻击事件的威胁等级;
103、基于攻击事件的信息,确定攻击事件的攻击对象;
104、基于攻击事件的威胁等级和攻击对象的行业信息筛选出定向攻击事件;
105、基于定向攻击事件的信息生成情报共享信息;
106、将情报共享信息同步至第二用户所在的设备终端,第二用户为情报共享订阅者。
在本申请实施例中,通过获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,进而能够得到至少两个攻击事件的信息,另一方面,基于攻击事件的信息,能够确定攻击事件的威胁等级和攻击事件的攻击对象,进而基于攻击事件威胁等级和攻击对象从两个以上的攻击事件中确定出定向攻击事件,从而使得作为情报共享订阅者的第二用户能够优先关注到定向攻击事件,从而进而缩短威胁响应时间,从而避免更大的损失。
在上述过程中,定向攻击事件其威胁等级比普通攻击事件的威胁等级高,对用户所造成的危害也更高,因此为了第二用户需要优先关注到定向攻击事件。
与现有技术相比,现有技术无法从攻击者的角度判定一个攻击事件是否为定向攻击事件,即无法确定攻击事件是否具有针对性,然而本申请实施例的方法基于攻击事件的信息可确定攻击事件的威胁等级和攻击对象,进而基于攻击事件的威胁等级和攻击对象可判定攻击事件是否为定向攻击事件,这样一来,就能够将更具威胁的攻击者从海量报警中筛选出来,从而使基于情报共享系统的用户,能够优先关注这些攻击,进而缩短威胁响应时间,从而避免更大的损失。
在本申请实施例中,对于步骤101,第一用户所在的本地检测系统会基于系统日志、与本地检测系统相关的网络流量、本地情报库等数据生成攻击事件的信息,进而将攻击事件的信息发送给云综合判断系统。
进一步地,在步骤101中,本地检测系统生成的攻击事件的信息包括了多个攻击事件的信息,例如包括了在时间节点A所产生的攻击事件的信息和在时间节点B所产生的攻击事件的信息。进一步地,每一个攻击事件的信息包括了攻击者的IP地址、检测规则、攻击事件的ID等信息,其中,检测规则是指安全检测配置信息,该安全检测配置信息配置了攻击行为特征信息,如果一网络事件中的数据与安全检测配置信息匹配,则该网络事件为攻击事件。
在本申请实施例中,对于步骤103,基于攻击事件的威胁等级和攻击对象的行业信息筛选出定向攻击事件是指基于攻击事件的威胁等级和攻击对象从众多的攻击事件中确定出具有针对性、威胁高的攻击事件,例如,从众多的攻击事件中,筛选出针对行业A发起的攻击,且威胁等级高于L2等级的攻击事件。
在本申请实施例中,对于步骤104,基于定向攻击事件的信息生成情报共享信息的具体方式为:将定向攻击事件的攻击IP地址、攻击时长等作为情报共享信息。
在本申请实施例中,可选地,步骤105:将情报共享信息同步至第二用户所在的设备终端,第二用户为情报共享订阅者的一种具体实施方式是:
获取第二用户的账户信息;
基于第二用户的账户信息将情报共享信息同步至第二用户所在的设备终端。
在本可选的实施方式中,可选地,第二用户的账户信息可以是第二用户的邮件账号、也可以是第二用户的手机号码,也可以是其他可接收情报共享信息的应用程序的账号信息。
作为本可选的实施方式的一个示例,当生产情报共享信息后,云综合判断系统将情报共享信息发送到第二用户的邮件,以使得第二用户优先关注。
在本申请实施例中,作为一种可选的实施方式,攻击事件的信息包括攻击事件命中的检测规则,相应地,步骤102基于攻击事件的信息,确定攻击事件的威胁等级,包括以下步骤:
基于攻击事件命中的检测规则确定攻击事件的攻击类型;
基于攻击事件的攻击类型确定攻击事件的威胁等级。
在本可选的实施方式中,攻击事件的攻击类型为手动攻击和自动攻击中的一种,其中,由于手动攻击会比自动攻击造成更大的破坏,因此,当攻击事件的攻击类型为手动攻击时,攻击事件的威胁等级为高,而当攻击事件的攻击类型为自动攻击时,攻击事件的威胁等级为低。
在本可选的实施方式中,由于自动攻击与手动攻击相比,其具有区别特征,进而基于是否存在区别特征可判断攻击事件是自动攻击还是手动攻击,例如,自动攻击通常会在Http请求加上特定的请求头,从而通过检测规则检测攻击事件的Http请求是否包括特定的请求头,可判断攻击事件是自动攻击还是手动攻击。
在本申请实施例中,作为一种可选的实施方式,在基于攻击事件的攻击类型确定攻击事件的威胁等级之后,步骤102:基于攻击事件的信息,确定攻击事件的威胁等级,还包括以下子步骤:
基于攻击事件命中的检测规则,判断攻击事件是否命中两条或两条以上的检测规则,若攻击事件命中两条或两条以上的检测规则,则调整攻击事件的威胁等级。
在本可选的实施方式中,如果一个攻击事件被多个检测规则命中,则说明该攻击事件会造成的破坏大,因此需要调高攻击事件的威胁等级,这样一来,基于攻击事件的攻击类型和命中检测规则的数量,能够从多个维度判定攻击事件的威胁等级,从而降低误判的概率,举例来说,当基于攻击事件的攻击类型为自动攻击时,而该攻击事件能够命中多个检测规则的前提,如果仅依靠攻击事件攻击类型判断其威胁等级,则会出现误判,因为由于攻击事件能够命中多个检测规则,其威胁等级应该被判定为更高。
在本申请实施例中,作为一种可选的实施方式,基于攻击事件的威胁等级和攻击对象的行业信息筛选出定向攻击事件,包括:
基于攻击对象的行业信息判断攻击事件是否针对同一行业的用户发起攻击;
当攻击事件针对同一行业的用户发起攻击时,则判断攻击事件的威胁等级是否大于预设值,如果是,则将威胁等级大于预设值的攻击事件确定为定向攻击事件。
在本可选的实施方式,具体地,通过攻击事件的IP信息可判断一个攻击事件是否攻击了多个用户,进而基于多个用户的行业信息可判断该攻击事件是否是针对某一行业的攻击,例如,假设一个攻击事件同时攻击了A用户、B用户,其中,A用户的行业标签为行业s,B用户的行业标签也为行业s,即A用户和B用户为同行业的用户,这样一来,就可以确定攻击事件为针对行业s发起。
在本可选的实施方式中,可选地,用户的行业信息可预先存储在云综合判断系统中。
在本申请实施例中,作为一种可选的实施方式,本申请实施例的方法还包括以下子步骤:
当定向攻击事件针对同一行业的用户发起攻击时,则基于用户的行业信息确定同一行业的用户;
将情报共享信息同步至同一行业的用户所在的终端设备。
本可选的实施方式将情报共享信息同步至同一行业的用户所在的终端设备,能够及时提醒情报共享订阅者之外的、同一行业的用户防护该攻击事件。
实施例二
请参阅图2,图2是本申请实施例公开的一种情报共享装置的结构示意图,其中,该装置应用于云综合判断系统中。如图2所示,本申请实施例的装置包括以下功能模块:
获取模块201,用于获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,本地威胁情报信息包括至少两个攻击事件的信息;
第一确定模块202,用于基于攻击事件的信息,确定攻击事件的威胁等级;
第二确定模块203,用于基于攻击事件的信息,确定攻击事件的攻击对象;
筛选模块204,用于基于攻击事件的威胁等级和攻击对象的行业信息筛选出定向攻击事件;
生成模块205,用于基于定向攻击事件的信息生成情报共享信息;
情报同步模块206,用于将情报共享信息同步至第二用户所在的设备终端,第二用户为情报共享订阅者。
本申请实施例通过获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,进而能够得到至少两个攻击事件的信息,另一方面,基于攻击事件的信息,能够确定攻击事件的威胁等级和攻击对象,进而基于攻击事件威胁等级和攻击对象从两个以上的攻击事件中确定出定向攻击事件,从而使得作为情报共享订阅者的第二用户能够优先关注到定向攻击事件,从而进而缩短威胁响应时间,从而避免更大的损失。
在本申请实施例中,作为一种可选的实施方式,攻击事件的信息包括攻击事件命中的检测规则,以及第一确定模块包括:
第一确定子模块,用于基于攻击事件命中的检测规则确定攻击事件的攻击类型;
第二确定子模块,基于攻击事件的攻击类型确定攻击事件的威胁等级。
在本申请实施例中,作为一种可选的实施方式,确定子模块还包括:
判断子模块,用于基于攻击事件命中的检测规则,判断攻击事件是否命中两条或两条以上的检测规则,若攻击事件命中两条或两条以上的检测规则,则调整攻击事件的威胁等级。
需要说明说是,关于本申请实施例的装置的其他详细说明,请参阅本申请实施例一的详细说明,本申请实施例对此不作赘述。
实施例三
请参阅图3,图3是本申请实施例公开的一种计算机设备的结构示意图。如图3所示,本申请实施例的设备包括:
存储有可执行程序代码的存储器301;
与存储器301耦合的处理器302;
处理器302调用存储器301中存储的可执行程序代码,执行本申请实施例一的情报共享方法。
本申请实施例通过获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,进而能够得到至少两个攻击事件的信息,另一方面,基于攻击事件的信息,能够确定攻击事件的威胁等级,进而基于攻击事件威胁等级从两个以上的攻击事件中确定出定向攻击事件,从而使得作为情报共享订阅者的第二用户能够优先关注到定向攻击事件,从而进而缩短威胁响应时间,从而避免更大的损失。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机指令,计算机指令被调用时,用于执行本申请实施例一的情报共享方法。
本申请实施例通过获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,进而能够得到至少两个攻击事件的信息,另一方面,基于攻击事件的信息,能够确定攻击事件的威胁等级,进而基于攻击事件威胁等级从两个以上的攻击事件中确定出定向攻击事件,从而使得作为情报共享订阅者的第二用户能够优先关注到定向攻击事件,从而进而缩短威胁响应时间,从而避免更大的损失。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种情报共享方法,其特征在于,所述方法应用于云综合判断系统中,所述方法包括:
获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,所述本地威胁情报信息包括至少两个攻击事件的信息;
基于所述攻击事件的信息,确定所述攻击事件的威胁等级;
基于所述攻击事件的信息,确定所述攻击事件的攻击对象;
基于所述攻击事件的威胁等级和所述攻击对象的行业信息筛选出定向攻击事件;
基于所述定向攻击事件的信息生成情报共享信息;
将所述情报共享信息同步至第二用户所在的设备终端,所述第二用户为情报共享订阅者。
2.如权利要求1所述的方法,其特征在于,所述攻击事件的信息包括所述攻击事件命中的检测规则;
以及,所述基于所述攻击事件的信息,确定所述攻击事件的威胁等级,包括:
基于所述攻击事件命中的检测规则确定所述攻击事件的攻击类型;
基于所述攻击事件的攻击类型确定所述攻击事件的威胁等级。
3.如权利要求2所述的方法,其特征在于,在所述基于所述攻击事件的攻击类型确定所述攻击事件的威胁等级之后,所述基于所述攻击事件的信息,确定所述攻击事件的威胁等级,还包括:
基于所述攻击事件命中的检测规则,判断所述攻击事件是否命中两条或两条以上的所述检测规则,若所述攻击事件命中两条或两条以上的所述检测规则,则调整所述攻击事件的威胁等级。
4.如权利要求3所述的方法,其特征在于,基于所述攻击事件的威胁等级和所述攻击对象的行业信息筛选出定向攻击事件,包括:
基于所述攻击对象的行业信息判断所述攻击事件是否针对同一行业的用户发起攻击;
当所述攻击事件针对同一行业的用户发起攻击时,则判断所述攻击事件的威胁等级是否大于预设值,如果是,则将威胁等级大于所述预设值的攻击事件确定为所述定向攻击事件。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
当所述攻击事件针对同一行业的用户发起攻击时,将所述情报共享信息同步至所述同一行业的用户所在的终端设备。
6.一种情报共享装置,其特征在于,所述装置应用于云综合判断系统中,所述装置包括:
获取模块,用于获取若干个第一用户所在的本地检测系统发送的本地威胁情报信息,所述本地威胁情报信息包括至少两个攻击事件的信息;
第一确定模块,用于基于所述攻击事件的信息,确定所述攻击事件的威胁等级;
第二确定模块,用于基于所述攻击事件的信息,确定所述攻击事件的攻击对象;
筛选模块,用于基于所述攻击事件的威胁等级和所述攻击对象的行业信息筛选出定向攻击事件;
生成模块,用于基于所述定向攻击事件的信息生成情报共享信息;
情报同步模块,用于将所述情报共享信息同步至第二用户所在的设备终端,所述第二用户为情报共享订阅者。
7.如权利要求6所述的装置,其特征在于,所述攻击事件的信息包括所述攻击事件命中的检测规则;所述第一确定模块包括:
第一确定子模块,用于基于所述攻击事件命中的检测规则确定所述攻击事件的攻击类型;
第二确定子模块,基于所述攻击事件的攻击类型确定所述攻击事件的威胁等级。
8.如权利要求7所述的装置,其特征在于,所述确定子模块还包括:
判断子模块,用于基于所述攻击事件命中的检测规则,判断所述攻击事件是否命中两条或两条以上的所述检测规则,若所述攻击事件命中两条或两条以上的所述检测规则,则调整所述攻击事件的威胁等级。
9.一种计算机设备,其特征在于,所述设备包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行如权利要求1-5任一项所述的情报共享方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被调用时,用于执行如权利要求1-5任一项所述的情报共享方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111647283.5A CN114003904B (zh) | 2021-12-31 | 2021-12-31 | 情报共享方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111647283.5A CN114003904B (zh) | 2021-12-31 | 2021-12-31 | 情报共享方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114003904A true CN114003904A (zh) | 2022-02-01 |
CN114003904B CN114003904B (zh) | 2022-03-08 |
Family
ID=79932367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111647283.5A Active CN114003904B (zh) | 2021-12-31 | 2021-12-31 | 情报共享方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114003904B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
CN116781432A (zh) * | 2023-08-24 | 2023-09-19 | 北京微步在线科技有限公司 | 一种情报数据的更新方法、装置、计算机设备及存储介质 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
CN108009425A (zh) * | 2017-11-29 | 2018-05-08 | 四川无声信息技术有限公司 | 文件检测及威胁等级判定方法、装置及系统 |
US20180234434A1 (en) * | 2017-02-14 | 2018-08-16 | Symantec Corporation | Systems and methods for detecting malicious computing events |
CN108830075A (zh) * | 2018-06-13 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种ssr集中管理平台的应用程序管控方法 |
CN108881283A (zh) * | 2018-07-13 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 评估网络攻击的模型训练方法、装置及储存介质 |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN111628990A (zh) * | 2020-05-22 | 2020-09-04 | 北京金山云网络技术有限公司 | 识别攻击的方法、装置和服务器 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
-
2021
- 2021-12-31 CN CN202111647283.5A patent/CN114003904B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180234434A1 (en) * | 2017-02-14 | 2018-08-16 | Symantec Corporation | Systems and methods for detecting malicious computing events |
CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
CN107480533A (zh) * | 2017-08-08 | 2017-12-15 | 深圳市腾讯计算机系统有限公司 | 一种漏洞修复的方法、装置及装置 |
CN108009425A (zh) * | 2017-11-29 | 2018-05-08 | 四川无声信息技术有限公司 | 文件检测及威胁等级判定方法、装置及系统 |
CN108830075A (zh) * | 2018-06-13 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种ssr集中管理平台的应用程序管控方法 |
CN108881283A (zh) * | 2018-07-13 | 2018-11-23 | 杭州安恒信息技术股份有限公司 | 评估网络攻击的模型训练方法、装置及储存介质 |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN111628990A (zh) * | 2020-05-22 | 2020-09-04 | 北京金山云网络技术有限公司 | 识别攻击的方法、装置和服务器 |
CN111859400A (zh) * | 2020-07-29 | 2020-10-30 | 中国工商银行股份有限公司 | 风险评估方法、装置、计算机系统和介质 |
CN113515433A (zh) * | 2021-07-28 | 2021-10-19 | 中移(杭州)信息技术有限公司 | 告警日志处理方法、装置、设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
VASILEIOS MAVROEIDIS 等: "Threat Actor Type Inference and Characterization within Cyber Threat Intelligence", 《2021 13TH INTERNATIONAL CONFERENCE ON CYBER CONFLICT(CYCON)》 * |
党超辉 等: "基于大数据与威胁情报的防御体系研究", 《计算机与网络》 * |
杨明: "基于威胁情报的安卓恶意应用溯源分析方案的研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
CN116527323B (zh) * | 2023-04-04 | 2024-01-30 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
CN116781432A (zh) * | 2023-08-24 | 2023-09-19 | 北京微步在线科技有限公司 | 一种情报数据的更新方法、装置、计算机设备及存储介质 |
CN116781432B (zh) * | 2023-08-24 | 2024-05-28 | 北京微步在线科技有限公司 | 一种情报数据的更新方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114003904B (zh) | 2022-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
CN114003904B (zh) | 情报共享方法、装置、计算机设备及存储介质 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
US8196204B2 (en) | Active computer system defense technology | |
CN111581397A (zh) | 一种基于知识图谱的网络攻击溯源方法、装置及设备 | |
CN109688166A (zh) | 一种异常外发行为检测方法及装置 | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
US10489720B2 (en) | System and method for vendor agnostic automatic supplementary intelligence propagation | |
US11128649B1 (en) | Systems and methods for detecting and responding to anomalous messaging and compromised accounts | |
US20170155683A1 (en) | Remedial action for release of threat data | |
EP3692695B1 (en) | Intrusion investigation | |
CN108600145B (zh) | 一种确定DDoS攻击设备的方法及装置 | |
CN111885007A (zh) | 信息溯源方法、装置、系统及存储介质 | |
CN111259382A (zh) | 恶意行为识别方法、装置、系统和存储介质 | |
US10742668B2 (en) | Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof | |
CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
CN114301696A (zh) | 恶意域名检测方法、装置、计算机设备及存储介质 | |
TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
US8555379B1 (en) | Method and apparatus for monitoring communications from a communications device | |
CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
CN110730165A (zh) | 数据处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |