CN114006778A - 一种威胁情报的识别方法、装置、电子设备及存储介质 - Google Patents
一种威胁情报的识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114006778A CN114006778A CN202210005865.1A CN202210005865A CN114006778A CN 114006778 A CN114006778 A CN 114006778A CN 202210005865 A CN202210005865 A CN 202210005865A CN 114006778 A CN114006778 A CN 114006778A
- Authority
- CN
- China
- Prior art keywords
- threat
- intelligence
- information
- threat intelligence
- network flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种威胁情报的识别方法、装置、电子设备及存储介质,其中,该方法包括:获取威胁情报数据库的威胁情报信息;对威胁情报信息进行特征提取,获得威胁情报特征;对威胁情报特征进行整合,获得威胁情报文件;获取网络流量;对威胁情报文件和网络流量进行特征匹配,获得网络流量威胁情报;生成网络流量威胁情报对应的地址的日志。实施本申请实施例,可以及时通过威胁情报发现网络威胁,提高威胁情报的识别效率和利用效率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种威胁情报的识别方法、装置、电子设备及计算机可读存储介质。
背景技术
由于演练时的攻击方威胁情报信息在完整演习过程中严格保密,因此防守方通常通过两种方式获取威胁情报。
然而,现有的情报获取的主要来源是情报交换和共享,但目前交换共享的方式均在安全系统体系之外,通过邮件,即时通信工具,口头通知等人工传播方法进行,并需要人工整理才能使用,或通过在日志分析平台中创建分析规则手动分析,难以第一时间发现威胁,无法在第一时间获取有效情报,导致情报识别效率低下、利用效率低下。
发明内容
本申请实施例的目的在于提供一种威胁情报的识别方法、装置、电子设备及计算机可读存储介质,可以及时通过威胁情报发现网络威胁,提高威胁情报的识别效率和利用效率。
第一方面,本申请实施例提供了一种威胁情报的识别方法,所述方法包括:
获取威胁情报数据库的威胁情报信息;
对所述威胁情报信息进行特征提取,获得威胁情报特征;
对所述威胁情报特征进行整合,获得威胁情报文件;
获取网络流量;
对所述威胁情报文件和所述网络流量进行特征匹配,获得网络流量威胁情报;
生成所述网络流量威胁情报对应的地址的日志。
在上述实现过程中,通过对威胁情报信息进行识别、标记的方法,提高威胁情报的利用效率和识别效率,确保获得的威胁情报信息的准确、有效,也避免遗漏新的威胁情报导致无法发现网络威胁造成损失。
进一步地,所述对所述威胁情报信息进行特征提取,获得威胁情报特征的步骤,包括:
对所述威胁情报信息进行解析处理,获得入站情报特征、出站情报特征、Hash(哈希)情报特征和规则特征中的任意一种或者多种。
在上述实现过程中,将威胁情报信息中的具体威胁情报特征提取出来,保证威胁情报信息的准确性和有效性,同时可以使得威胁情报文件不会占用太多内存空间,加快威胁情报文件的运行速度,有效提高威胁情报的检测效率。
进一步地,所述对所述威胁情报特征进行整合,获得威胁情报文件的步骤,包括:
获取格式列表;
根据所述格式列表将所述入站情报特征、所述出站情报特征、所述Hash情报特征和所述规则特征进行格式转换,获得格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征;
对所述格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征进行整合,获得所述威胁情报文件。
在上述实现过程中,从格式列表中可以获得威胁情报特征所适合的数据格式,使得威胁情报特征可以被快速识别、匹配,减少检测失误,同时转换为合适的数据格式可以减少计算过程中所占用的内存。
进一步地,所述对所述威胁情报文件和所述网络流量进行特征匹配,获得网络流量威胁情报的步骤,包括:
对所述网络流量进行特征提取,获得网络流量日志;
对所述威胁情报文件和所述网络流量日志进行匹配,得到所述网络流量威胁情报。
在上述实现过程中,获得网络流量日志可以直接获取到威胁情报文件和网络流量在特征匹配过程中网络流量的特征信息,可以减少匹配过程的计算量,同时避免遗漏网络流量中的威胁情报特征。
进一步地,所述对所述威胁情报文件和所述网络流量日志进行匹配,得到所述网络流量威胁情报的步骤,包括:
判断所述网络流量日志是否存在所述威胁情报文件的所述入站情报特征、所述出站情报特征、所述Hash情报特征和所述规则特征中的一个或多个;
若是,根据所述威胁情报文件的所述入站情报特征、所述出站情报特征、所述Hash情报特征和所述规则特征生成所述网络流量威胁情报。
在上述实现过程中,直接将威胁情报文件中的威胁情报特征与网络流量进行匹配,可以减少匹配过程中的误差,不会遗漏网络流量中的威胁情报特征,保证识别到的威胁情报特征是真实、有效的。
进一步地,所述生成所述网络流量威胁情报对应的地址的日志的步骤,包括:
根据所述网络流量威胁情报在所述网络流量日志中添加标记字段,获得所述网络流量威胁情报对应的地址的日志。
在上述实现过程中,将网络流量日志中添加标记字段,使得网络流量中的网络流量威胁情报更加容易被检测,同时可以快速的从网络流量威胁情报对应的地址的日志中获取威胁情报特征。
进一步地,所述根据所述网络流量威胁情报在所述网络流量日志中添加标记字段的步骤,包括:
获取所述网络流量威胁情报的字段;
在所述字段的前面添加所述标记字段。
在上述实现过程中,将标记字段添加在网络流量威胁情报的字段的前面,可以使得网络流量威胁情报更加突出,防止网络流量威胁情报被遗漏。
第二方面,本申请实施例还提供了一种威胁情报的识别装置,所述装置包括:
获取模块,用于获取威胁情报数据库的威胁情报信息;还用于获取网络流量;
特征提取模块,用于对所述威胁情报信息进行特征提取,获得威胁情报特征;
整合模块,用于对所述威胁情报特征进行整合,获得威胁情报文件;
匹配模块,用于对所述威胁情报文件和所述网络流量进行特征匹配,获得网络流量威胁情报;
生成模块,用于生成所述网络流量威胁情报对应的地址的日志。
在上述实现过程中,通过对威胁情报信息进行识别、标记的方法,提高威胁情报的利用效率和识别效率,确保获得的威胁情报信息的准确、有效,也避免遗漏新的威胁情报导致无法发现网络威胁造成损失。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的威胁情报的识别方法的流程示意图;
图2为本申请实施例提供的威胁情报的识别装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
实施例一
图1是本申请实施例提供的威胁情报的识别方法的流程示意图,如图1所示,该方法包括:
S1,获取威胁情报数据库的威胁情报信息;
S2,对威胁情报信息进行特征提取,获得威胁情报特征;
S3,对威胁情报特征进行整合,获得威胁情报文件;
S4,获取网络流量;
S5,对威胁情报文件和网络流量进行特征匹配,获得网络流量威胁情报;
S6,生成网络流量威胁情报对应的地址的日志。
在上述实现过程中,通过对威胁情报信息进行识别、标记的方法,提高威胁情报的利用效率和识别效率,确保获得的威胁情报信息的准确、有效,也避免遗漏新的威胁情报导致无法发现网络威胁造成损失。
示例性地,本申请实施例的应用场景为攻防演练活动,演练攻击方会与作为防守方的企业进行真实对抗。并基于实际入侵结果及处置响应表现进行评分,因此对于防守方来说,第一时间识别攻击方活动并尽早做出妥善处置响应无疑是获取好成绩的关键。其中最有效的办法便是及时掌握攻击方威胁情报信息并应用到演练的检测响应流程中。
示例性地,在获取威胁情报数据库的威胁情报信息之前,可以对威胁情报数据库进行实时更新,保证威胁情报数据库中的威胁情报符合最新的网络安全要求,防止网络威胁的遗漏,示例性地,在现有安全设备上设置定时任务主动访问威胁情报数据库进行更新,定时任务可以设置为5分钟,即每5分钟威胁情报数据库便会进行一次更新,满足攻防演练对攻击方威胁情报的高频更新需求。
进一步地,S2包括:
对威胁情报信息进行解析处理,获得入站情报特征、出站情报特征、Hash情报特征和规则特征中的任意一种或者多种。
威胁情报特征包括入站情报特征、出站情报特征、Hash情报特征和规则特征,其中,入站情报特征,指发起攻击的攻击方的IP源地址;出站情报特征,指攻击方使用的钓鱼、远控服务器的域名信息或主机IP地址;Hash情报特征,指攻击方使用木马的散列特征;规则特征,指攻击方使用攻击工具的流量特征。
在上述实现过程中,将威胁情报信息中的具体威胁情报特征提取出来,保证威胁情报信息的准确性和有效性,同时可以使得威胁情报文件不会占用太多内存空间,加快威胁情报文件的运行速度,有效提高威胁情报的检测效率。
进一步地,S3包括:
获取格式列表;
根据格式列表将入站情报特征、出站情报特征、Hash情报特征和规则特征进行格式转换,获得格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征;
对格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征进行整合,获得威胁情报文件。
格式列表中包含了检测设备可以读取的数据格式,检测设备可以为计算机、服务器等可以实现对威胁情报的检测的硬件设备,格式列表里面包含了各种检测设备对应的适用格式,将威胁情报特征转换为相应的数据格式,可以方便后续对威胁情报的检测,避免检测设备重新对威胁情报特征进行格式转换的繁琐过程。
根据格式列表将入站情报特征、出站情报特征、Hash情报特征和规则特征进行格式转换操作,将这些威胁情报特征转换为检测设备可读的机读格式,打包成一个威胁情报文件,该威胁情报文件支持威胁检测设备的自动读取。
在上述实现过程中,从格式列表中可以获得威胁情报特征所适合的数据格式,使得威胁情报特征可以被快速识别、匹配,减少检测失误,同时转换为合适的数据格式可以减少计算过程中所占用的内存。
进一步地,S5包括:
对网络流量进行特征提取,获得网络流量日志;
对威胁情报文件和网络流量日志进行匹配,得到网络流量威胁情报。
在上述实现过程中,获得网络流量日志可以直接获取到威胁情报文件和网络流量在特征匹配过程中网络流量的特征信息,可以减少匹配过程的计算量,同时避免遗漏网络流量中的威胁情报特征。
进一步地,对威胁情报文件和网络流量日志进行匹配,得到网络流量威胁情报的步骤,包括:
判断网络流量日志是否存在威胁情报文件的入站情报特征、出站情报特征、Hash情报特征和规则特征中的一个或多个;
若是,根据威胁情报文件的入站情报特征、出站情报特征、Hash情报特征和规则特征生成网络流量威胁情报。
将威胁情报文件中的威胁情报特征与网络流量进行匹配,得到网络流量中与威胁情报文件中相同的威胁情报特征,同时生成网络流量日志,网络流量日志中的入站情报特征、出站情报特征、Hash情报特征和规则特征作为网络流量威胁情报,会对网络流量所处的计算机或检测设备造成威胁。
在上述实现过程中,直接将威胁情报文件中的威胁情报特征与网络流量进行匹配,可以减少匹配过程中的误差,不会遗漏网络流量中的威胁情报特征,保证识别到的威胁情报特征是真实、有效的。
进一步地,S6包括:
根据网络流量威胁情报在网络流量日志中添加标记字段,获得网络流量威胁情报对应的地址的日志。
示例性地,网络流量威胁情报包含IP地址或者域名,本申请实施例在网络流量日志中添加标记字段,是将IP地址或者域名与网络流量日志进行碰撞,可以将其突出表示出来。
在上述实现过程中,将网络流量日志中添加标记字段,使得网络流量中的网络流量威胁情报更加容易被检测,同时可以快速的从网络流量威胁情报对应的地址的日志中获取威胁情报特征。
进一步地,根据网络流量威胁情报在网络流量日志中添加标记字段的步骤,包括:
获取网络流量威胁情报的字段;
在字段的前面添加标记字段。
在上述实现过程中,将标记字段添加在网络流量威胁情报的字段的前面,可以使得网络流量威胁情报更加突出,防止网络流量威胁情报被遗漏。
示例性地,将网络流量威胁情报标记为高亮的模式,相应的添加高亮的标记字段,该字段可作为搜索条件帮助使用者快速筛选出所有和攻击方相关的威胁行为,在所有的威胁检测与分析视角的产品中,均可增加特殊标记突出展示威胁行为或实体与攻击方的关联性,包括但不限于日志分析,告警分析,威胁事件分析,全网威胁态势等。
以本实施例为例,将网络流量日志中添加标记字段,使得网络流量中的网络流量威胁情报更加容易被检测,同时可以快速的从网络流量威胁情报对应的地址的日志中获取威胁情报特征。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种威胁情报的识别装置,如图2所示,该装置包括:
获取模块1,用于获取威胁情报数据库的威胁情报信息;还用于获取网络流量;
特征提取模块2,用于对威胁情报信息进行特征提取,获得威胁情报特征;
整合模块3,用于对威胁情报特征进行整合,获得威胁情报文件;
匹配模块4,用于对威胁情报文件和网络流量进行特征匹配,获得网络流量威胁情报;
生成模块5,用于生成网络流量威胁情报对应的地址的日志。
在上述实现过程中,通过对威胁情报信息进行识别、标记的方法,提高威胁情报的利用效率和识别效率,确保获得的威胁情报信息的准确、有效,也避免遗漏新的威胁情报导致无法发现网络威胁造成损失。
进一步地,特征提取模块2还用于:对威胁情报信息进行解析处理,获得入站情报特征、出站情报特征、Hash情报特征和规则特征中的任意一种或者多种。
进一步地,整合模块3还用于:获取格式列表;根据格式列表将入站情报特征、出站情报特征、Hash情报特征和规则特征进行格式转换,获得格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征;对格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征进行整合,获得威胁情报文件。
进一步地,匹配模块4还用于:对所述网络流量进行特征提取,获得网络流量日志;对威胁情报文件和网络流量日志进行匹配,得到网络流量威胁情报。
进一步地,匹配模块4还用于:判断网络流量日志是否存在威胁情报文件的入站情报特征、出站情报特征、Hash情报特征和规则特征中的一个或多个;
若是,根据威胁情报文件的入站情报特征、出站情报特征、Hash情报特征和规则特征生成网络流量威胁情报。
进一步地,生成模块5还用于:根据网络流量威胁情报在网络流量日志中添加标记字段,获得网络流量威胁情报对应的地址的日志。
进一步地,生成模块5还用于:获取网络流量威胁情报的字段;在字段的前面添加标记字段。
进一步地,该装置还包括更新模块,用于实时更新威胁情报数据库。
上述的威胁情报的识别装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的威胁情报的识别方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的威胁情报的识别方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种威胁情报的识别方法,其特征在于,所述方法包括:
获取威胁情报数据库的威胁情报信息;
对所述威胁情报信息进行特征提取,获得威胁情报特征;
对所述威胁情报特征进行整合,获得威胁情报文件;
获取网络流量;
对所述威胁情报文件和所述网络流量进行特征匹配,获得网络流量威胁情报;
生成所述网络流量威胁情报对应的地址的日志。
2.根据权利要求1所述的威胁情报的识别方法,其特征在于,所述对所述威胁情报信息进行特征提取,获得威胁情报特征的步骤,包括:
对所述威胁情报信息进行解析处理,获得入站情报特征、出站情报特征、Hash情报特征和规则特征中的任意一种或者多种。
3.根据权利要求2所述的威胁情报的识别方法,其特征在于,所述对所述威胁情报特征进行整合,获得威胁情报文件的步骤,包括:
获取格式列表;
根据所述格式列表将所述入站情报特征、所述出站情报特征、所述Hash情报特征和所述规则特征进行格式转换,获得格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征;
对所述格式转换后的入站情报特征、出站情报特征、Hash情报特征和规则特征进行整合,获得所述威胁情报文件。
4.根据权利要求1所述的威胁情报的识别方法,其特征在于,所述对所述威胁情报文件和所述网络流量进行特征匹配,获得网络流量威胁情报的步骤,包括:
对所述网络流量进行特征提取,获得网络流量日志;
对所述威胁情报文件和所述网络流量日志进行匹配,得到所述网络流量威胁情报。
5.根据权利要求3或4所述的威胁情报的识别方法,其特征在于,所述对所述威胁情报文件和所述网络流量日志进行匹配,得到所述网络流量威胁情报的步骤,包括:
判断所述网络流量日志是否存在所述威胁情报文件的所述入站情报特征、所述出站情报特征、所述Hash情报特征和所述规则特征中的一个或多个;
若是,根据所述威胁情报文件的所述入站情报特征、所述出站情报特征、所述Hash情报特征和所述规则特征生成所述网络流量威胁情报。
6.根据权利要求1所述的威胁情报的识别方法,其特征在于,所述生成所述网络流量威胁情报对应的地址的日志的步骤,包括:
根据所述网络流量威胁情报在所述网络流量日志中添加标记字段,获得所述网络流量威胁情报对应的地址的日志。
7.根据权利要求6所述的威胁情报的识别方法,其特征在于,所述根据所述网络流量威胁情报在所述网络流量日志中添加标记字段的步骤,包括:
获取所述网络流量威胁情报的字段;
在所述字段的前面添加所述标记字段。
8.一种威胁情报的识别装置,其特征在于,所述装置包括:
获取模块,用于获取威胁情报数据库的威胁情报信息;还用于获取网络流量;
特征提取模块,用于对所述威胁情报信息进行特征提取,获得威胁情报特征;
整合模块,用于对所述威胁情报特征进行整合,获得威胁情报文件;
匹配模块,用于对所述威胁情报文件和所述网络流量进行特征匹配,获得网络流量威胁情报;
生成模块,用于生成所述网络流量威胁情报对应的地址的日志。
9.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至7中任一项所述的威胁情报的识别方法。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的威胁情报的识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210005865.1A CN114006778B (zh) | 2022-01-05 | 2022-01-05 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210005865.1A CN114006778B (zh) | 2022-01-05 | 2022-01-05 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114006778A true CN114006778A (zh) | 2022-02-01 |
CN114006778B CN114006778B (zh) | 2022-03-25 |
Family
ID=79932605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210005865.1A Active CN114006778B (zh) | 2022-01-05 | 2022-01-05 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114006778B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114598514A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁检测方法及装置 |
CN114598513A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁事件的响应方法、装置、工控设备及介质 |
CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
CN116708024A (zh) * | 2023-07-31 | 2023-09-05 | 天际友盟(珠海)科技有限公司 | 威胁情报碰撞筛选方法、网关系统、电子设备和存储介质 |
CN117792789A (zh) * | 2024-01-09 | 2024-03-29 | 无锡联云世纪科技股份有限公司 | 安全接入服务边缘系统及方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105743877A (zh) * | 2015-11-02 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种网络安全威胁情报处理方法及系统 |
CN106372504A (zh) * | 2016-08-30 | 2017-02-01 | 北京奇艺世纪科技有限公司 | 一种安全威胁数据整合方法、装置及系统 |
CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
US10924503B1 (en) * | 2018-05-30 | 2021-02-16 | Amazon Technologies, Inc. | Identifying false positives in malicious domain data using network traffic data logs |
CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
-
2022
- 2022-01-05 CN CN202210005865.1A patent/CN114006778B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105743877A (zh) * | 2015-11-02 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种网络安全威胁情报处理方法及系统 |
CN106372504A (zh) * | 2016-08-30 | 2017-02-01 | 北京奇艺世纪科技有限公司 | 一种安全威胁数据整合方法、装置及系统 |
CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
US10924503B1 (en) * | 2018-05-30 | 2021-02-16 | Amazon Technologies, Inc. | Identifying false positives in malicious domain data using network traffic data logs |
CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
CN110351280A (zh) * | 2019-07-15 | 2019-10-18 | 杭州安恒信息技术股份有限公司 | 一种威胁情报提取的方法、系统、设备及可读存储介质 |
CN112861132A (zh) * | 2021-02-08 | 2021-05-28 | 杭州迪普科技股份有限公司 | 一种协同防护方法和装置 |
CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114598514A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁检测方法及装置 |
CN114598513A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控威胁事件的响应方法、装置、工控设备及介质 |
CN116527323A (zh) * | 2023-04-04 | 2023-08-01 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
CN116527323B (zh) * | 2023-04-04 | 2024-01-30 | 中国华能集团有限公司北京招标分公司 | 一种动态威胁分析方法 |
CN116708024A (zh) * | 2023-07-31 | 2023-09-05 | 天际友盟(珠海)科技有限公司 | 威胁情报碰撞筛选方法、网关系统、电子设备和存储介质 |
CN116708024B (zh) * | 2023-07-31 | 2023-11-03 | 天际友盟(珠海)科技有限公司 | 威胁情报碰撞筛选方法、网关系统、电子设备和存储介质 |
CN117792789A (zh) * | 2024-01-09 | 2024-03-29 | 无锡联云世纪科技股份有限公司 | 安全接入服务边缘系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114006778B (zh) | 2022-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114006778B (zh) | 一种威胁情报的识别方法、装置、电子设备及存储介质 | |
CN108881294B (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
US20230028382A1 (en) | Systems and Methods for Digital Certificate Security | |
CN104937605B (zh) | 攻击分析系统、协作装置、攻击分析协作方法 | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
RU2750627C2 (ru) | Способ поиска образцов вредоносных сообщений | |
CN112131571B (zh) | 威胁溯源方法及相关设备 | |
CN113992431B (zh) | 一种联动阻断方法、装置、电子设备及存储介质 | |
WO2019181005A1 (ja) | 脅威分析システム、脅威分析方法および脅威分析プログラム | |
CN116074278A (zh) | 恶意邮件的识别方法、系统、电子设备和存储介质 | |
CN114024773B (zh) | 一种webshell文件检测方法及系统 | |
JP2018073140A (ja) | ネットワーク監視装置、プログラム及び方法 | |
CN115208643A (zh) | 一种基于web动态防御的追踪溯源方法及装置 | |
CN116032576A (zh) | 一种基于不确定性攻击资源图谱的构建方法及系统 | |
CN113722705B (zh) | 一种恶意程序清除方法及装置 | |
WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
CN114003914A (zh) | 一种文件的安全性检测方法、装置、电子设备及存储介质 | |
CN109194690B (zh) | 仿冒邮件检测方法、装置及设备 | |
CN113364780A (zh) | 网络攻击受害者确定方法、设备、存储介质及装置 | |
CN114004604B (zh) | 一种邮件中url数据的检测方法、装置、电子设备 | |
CN117294527B (zh) | 一种攻击判定方法、装置、存储介质及设备 | |
CN114143105B (zh) | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 | |
US11750371B1 (en) | Web domain correlation hashing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |