CN114338349B - 威胁分析方法、装置、电子设备及存储介质 - Google Patents

威胁分析方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114338349B
CN114338349B CN202111619198.8A CN202111619198A CN114338349B CN 114338349 B CN114338349 B CN 114338349B CN 202111619198 A CN202111619198 A CN 202111619198A CN 114338349 B CN114338349 B CN 114338349B
Authority
CN
China
Prior art keywords
analysis
threat
clue
module
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111619198.8A
Other languages
English (en)
Other versions
CN114338349A (zh
Inventor
李雪莹
鲍青波
万卉
李金戈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111619198.8A priority Critical patent/CN114338349B/zh
Publication of CN114338349A publication Critical patent/CN114338349A/zh
Application granted granted Critical
Publication of CN114338349B publication Critical patent/CN114338349B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请提供一种威胁分析方法、装置、电子设备及存储介质,涉及威胁分析技术领域,该方法应用于威胁分析装置,包括:由初级线索下发模块接收预设威胁分析线索,并将预设威胁分析线索发送至威胁分析模块;由威胁分析模块基于预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析,得到第一分析结果并反馈至次级线索下发模块;由次级线索下发模块对第一分析结果进行次级分析操作,得到第二分析结果,在其表征检测到新线索时,将新线索发送至威胁分析模块,以使威胁分析模块基于新线索获取对应的第二分析数据,根据第二分析数据进行初步威胁分析,得到分析结果;由分析结果反馈模块基于目标分析结果反馈威胁目标。

Description

威胁分析方法、装置、电子设备及存储介质
技术领域
本申请涉及威胁分析领域,具体而言,涉及一种威胁分析方法、装置、电子设备及存储介质。
背景技术
在对一起安全事件或突发告警进行调查分析的过程中,需要对攻击线索或源头进行排查,溯源并分析其影响面及攻击过程。特别是针对高级威胁分析来说,目前实现的手段通常为从外部情报线索入手,在海量数据中进行挖掘,这一过程往往需要人工介入辅助分析。
而对于一些复杂攻击过程,通过一次性的线索输入无法立刻得到分析结果,在面对复杂攻击过程的开始阶段,分析人员往往无太多特定的分析方向,只能通过线索的输入、发现以及迭代过程,从而缩小分析的范围,因此存在威胁分析效率低的问题。
发明内容
本申请实施例的目的在于提供一种威胁分析方法、装置、电子设备及存储介质,用以能够提高威胁分析的效率。
第一方面,本申请实施例提供一种威胁分析方法,应用于威胁分析装置,所述威胁分析装置包括初级线索下发模块、威胁分析模块、次级线索下发模块和分析结果反馈模块,所述初级线索下发模块、所述威胁分析模块、所述次级线索下发模块和所述分析结果反馈模块依次连接,所述方法包括:
由所述初级线索下发模块接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块;
由所述威胁分析模块基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析,得到第一分析结果并反馈至次级线索下发模块,所述第一分析数据为与所述预设威胁分析线索对应的数据;
由所述次级线索下发模块对所述第一分析结果进行次级分析操作,得到第二分析结果,在所述第二分析结果表征检测到新线索时,将所述新线索发送至所述威胁分析模块,以使所述威胁分析模块基于所述新线索获取对应的第二分析数据,并根据所述第二分析数据进行初步威胁分析,得到分析结果并反馈至所述次级线索下发模块;
在所述第二分析结果表征未检测到所述新线索时,由所述次级线索下发模块生成目标分析结果并发送至所述分析结果反馈模块;
由所述分析结果反馈模块基于所述目标分析结果反馈威胁目标。
在上述实现过程中,可以通过预设威胁分析线索创建分析过程进行初步分析,根据次级线索下发模块和威胁分析模块的迭代分析,不断从数据源中获取相关新线索以及与之对应的新数据,通过逐步对新数据的排查,逐步明确分析的方向以及缩小数据范围,从而实现对威胁目标的检测,能够提高威胁分析的效率以及提高威胁分析的准确性,从而有效解决高威胁分析的问题。
可选地,所述预设威胁分析线索包括威胁情报数据、预设分析规则、数据文件以及多个事件通过逻辑联结词形成的组合中的至少一种;
在所述由所述初级线索下发模块接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块之后,所述方法包括:
由所述初级线索下发模块触发数据拉取,基于所述预设威胁分析线索从全量数据中选取所述第一分析数据并将所述第一分析数据发送至所述威胁分析模块。
可选地,所述由所述威胁分析模块基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析包括:
基于多维分析引擎对所述第一分析数据进行分析,得到初步分析结果;
基于所述初步分析结果确定基于下钻分析操作进行深度分析或基于扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
在上述实现过程中,基于初步分析结果确定后一步的分析策略,可以提高应用的灵活性,根据威胁信息不同的特征选择合适的分析策略,从而能够提高威胁分析的灵活性和准确性。
可选地,在所述得到初步分析结果之后,所述方法还包括:
基于所述初步分析结果发送请示指令;
在接收到与所述请示指令对应的控制指令时,基于所述控制指令确定基于所述下钻分析操作进行深度分析或基于所述扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
在上述实现过程中,可以基于人机交互的方式选择对应的分析策略,能够解决基于人机交互的高威胁分析的问题,使威胁分析装置可以自动化或半自动化地进行威胁信息检测,能够提高威胁分析的灵活性和准确性。
可选地,在所述威胁分析模块基于所述新线索获取对应的第二分析数据之后,所述方法还包括:
基于所述第一分析数据对所述第二分析数据进行去重。
在上述实现过程中,通过对分析数据进行去重操作,能够筛选出其中重复的数据,防止在威胁分析过程中对数据进行重复分析的情况,能够节省计算资源,提高分析效率。
可选地,在所述目标分析结果表征所述第一分析数据或所述第二分析数据中存在威胁信息时,所述方法还包括:
由所述分析结果反馈模块对所述威胁信息进行评估,确定所述威胁信息的威胁等级,并基于所述威胁等级确定发送警示信息。
在上述实现过程中,通过设置不同的威胁等级,以不同的警示方式提示威胁分析的结果,从而能够及时向用户提示威胁检测结果,能够提高用户体验。
第二方面,本申请实施例提供一种威胁分析装置,包括初级线索下发模块、威胁分析模块、次级线索下发模块和分析结果反馈模块,所述初级线索下发模块、所述威胁分析模块、所述次级线索下发模块和所述分析结果反馈模块依次连接;
所述初级线索下发模块用于接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块;
所述威胁分析模块用于基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析,得到第一分析结果并反馈至次级线索下发模块,所述第一分析数据为与所述预设威胁分析线索对应的数据;
所述次级线索下发模块用于对所述第一分析结果进行次级分析操作,得到第二分析结果,在所述第二分析结果表征检测到新线索时,将所述新线索发送至所述威胁分析模块,以使所述威胁分析模块基于所述新线索获取对应的第二分析数据,并根据所述第二分析数据进行初步威胁分析,得到分析结果并反馈至所述次级线索下发模块;以及在所述第二分析结果表征未检测到所述新线索时,由所述次级线索下发模块生成目标分析结果并发送至所述分析结果反馈模块;
所述分析结果反馈模块用于基于所述目标分析结果反馈威胁目标。
在上述实现过程中,可以通过预设威胁分析线索创建分析过程进行初步分析,根据次级线索下发模块和威胁分析模块的迭代分析,不断从数据源中获取相关新线索以及与之对应的新数据,通过逐步对新数据的排查,逐步明确分析的方向以及缩小数据范围,从而实现对威胁目标的检测,能够提高威胁分析的效率以及提高威胁分析的准确性,从而有效解决高威胁分析的问题。
可选地,初级线索下发模块还可用于:
触发数据拉取,基于所述预设威胁分析线索从全量数据中选取所述第一分析数据并将所述第一分析数据发送至所述威胁分析模块。
可选地,威胁分析模块可具体用于:
基于多维分析引擎对所述第一分析数据进行分析,得到初步分析结果;
基于所述初步分析结果确定基于下钻分析操作进行深度分析或基于扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
在上述实现过程中,基于初步分析结果确定后一步的分析策略,可以提高应用的灵活性,根据威胁信息不同的特征选择合适的分析策略,从而能够提高威胁分析的灵活性和准确性。
可选地,威胁分析模块还可用于:
基于所述初步分析结果发送请示指令;
在接收到与所述请示指令对应的控制指令时,基于所述控制指令确定基于所述下钻分析操作进行深度分析或基于所述扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
在上述实现过程中,可以基于人机交互的方式选择对应的分析策略,能够解决基于人机交互的高威胁分析的问题,使威胁分析装置可以自动化或半自动化地进行威胁信息检测,能够提高威胁分析的灵活性和准确性。
可选地,威胁分析装置还可以包括去重模块,用于基于所述第一分析数据对所述第二分析数据进行去重。
在上述实现过程中,通过对分析数据进行去重操作,能够筛选出其中重复的数据,防止在威胁分析过程中对数据进行重复分析的情况,能够节省计算资源,提高分析效率。
可选地,威胁分析装置还可以包括警示模块,用于确定所述威胁信息的威胁等级,并基于所述威胁等级确定发送警示信息。
在上述实现过程中,通过设置不同的威胁等级,以不同的警示方式提示威胁分析的结果,从而能够及时向用户提示威胁检测结果,能够提高用户体验。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
第四方面,本申请实施例还提供一种计算机可读存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的威胁分析方法的步骤示意图;
图2为本申请实施例提供的一种对第一分析数据进行初步分析的步骤示意图;
图3为本申请实施例提供的另一种对第一分析数据进行初步分析的步骤示意图;
图4为本申请实施例提供的威胁分析装置的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。例如,附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
申请人在研究的过程中发现,传统的威胁分析系统通常是针对收集到的数据源作统一的采集和整理,然后通过多种分析引擎如关联分析、机器学习等分析手段分析产生告警,随后由分析研判人员对产生的告警进行分析确认,对于确认的告警可以进行后续的通报处置等处理流程。因此常规的分析系统遵循采集、检测、分析、处置等一整套流程。
这一流程需要将一些分析要求(如关联规则、算法模型等)固化在系统中,这些规则通常只能在系统升级等过程中进行一些维护性修改,一旦固化在系统中,则会基于采集到的各种安全数据进行分析产生告警,这一过程不能进行人工干预,只能在研判确认阶段进行分析。
但在一些高级威胁狩猎过程,特别是复杂攻击场景下,攻击者通常使用未知的攻击手段或利用0day漏洞等,导致在分析最初分析的方向是不确定的,也无法形成有效的关联分析规则,因此存在分析结果准确性低的问题。
有基于此,本申请实施例提供一种威胁分析方法,基于多次线索下发以及分析逐渐缩小分析面向的数据范围,从而得到最终的分析结果,以确定是否存在威胁信息。请参看图1,图1为本申请实施例提供的威胁分析方法的步骤示意图,本申请实施例中提供的威胁分析方法可应用于威胁分析装置,威胁分析的实现流程可以包括如下步骤:
在步骤S11中,由所述初级线索下发模块接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块。
在步骤S12中,由所述威胁分析模块基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析,得到第一分析结果并反馈至次级线索下发模块,所述第一分析数据为与所述预设威胁分析线索对应的数据。
在步骤S13中,由所述次级线索下发模块对所述第一分析结果进行次级分析操作,得到第二分析结果,在所述第二分析结果表征检测到新线索时,将所述新线索发送至所述威胁分析模块,以使所述威胁分析模块基于所述新线索获取对应的第二分析数据,并根据所述第二分析数据进行初步威胁分析,得到分析结果并反馈至所述次级线索下发模块。
在步骤S14中,在所述第二分析结果表征未检测到所述新线索时,由所述次级线索下发模块生成目标分析结果并发送至所述分析结果反馈模块。
在步骤S15中,由所述分析结果反馈模块基于所述目标分析结果反馈威胁目标。
其中,本申请实施例以应用于大数据安全分析产品或监管单位等态势感知项目中,涉及告警研判,高级威胁分析或威胁狩猎业务过程进行示例说明。
在实现本申请实施例之前,可以基于从大数据安全分析平台中获取以及保存流量数据以及日志数据,并经过大数据安全分析平台中内置的分析引擎产生告警。
示例性地,可以将告警过程中出现的攻击者信息或受害者信息作为预设威胁分析线索,基于初级线索下发模块接收该预设威胁分析线索,并将预设威胁分析线索发送至威胁分析模块。第一分析结果为表征从第一分析数据中排查出的与威胁有关的数据结果。第二分析结果为表征是否检测出与威胁有关的新线索的数据结果。
通过次级线索下发模块和威胁分析模块进行迭代分析,以实现告警的研判以及威胁溯源分析,在多轮交互迭代之后,得到分析结果,确定威胁目标。
由此可见,本申请实施例可以通过预设威胁分析线索创建分析过程进行初步分析,根据次级线索下发模块和威胁分析模块的迭代分析,不断从数据源中获取相关新线索以及与之对应的新数据,通过逐步对新数据的排查,逐步明确分析的方向以及缩小数据范围,从而实现对威胁目标的检测,能够提高威胁分析的效率以及提高威胁分析的准确性,从而有效解决高威胁分析的问题。
在一可选的实施例中,在步骤S11由所述初级线索下发模块接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块之后,该方法还可以包括:
由所述初级线索下发模块触发数据拉取,基于所述预设威胁分析线索从全量数据中选取所述第一分析数据并将所述第一分析数据发送至所述威胁分析模块。
示例性地,预设威胁分析线索可以是威胁情报数据、预设分析规则、数据文件以及多个事件通过逻辑联结词形成的组合中的一种或多种,在上述通过次级线索下发模块和威胁分析模块进行迭代分析的过程中,可以基于威胁情报的上下文、机制、标示、含义等、分析规则、交互的数据文件以及如数据地址和连字符组成的通信规则等逐步对威胁信息进行筛选以及排查,从而对威胁目标进行检测。
在初级线索下发模块接收到预设分析线索后,将触发首次全量数据拉取动作,全量数据可以是存储在本地的日志信息以及流量数据,也可以是从大数据安全分析平台中获取的交互缓存数据,初级线索模块可以根据预设分析线索确定对数据进行抽取,如在预设分析线索为数据文件时,可以从全量数据中抽取固定格式的数据以作为第一分析数据。
在一可选的实施例中,针对步骤S12,本申请实施例提供一种对第一分析数据进行初步分析的实现方式,请参看图2,图2为本申请实施例提供的一种对第一分析数据进行初步分析的步骤示意图,该步骤可以包括如下:
在步骤S21中,基于多维分析引擎对所述第一分析数据进行分析,得到初步分析结果。
在步骤S22中,基于所述初步分析结果确定基于下钻分析操作进行深度分析或基于扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
其中,可以通过多维分析引擎(Mondrian)对第一分析数据进行钻取、切块或旋转等交互操作,从而得到初步分析结果,初步分析结果可以是对某字段的查询结果、多维数据集、以及数据维度和度量等信息。
基于数据中的初步分析结果可以确定接下来的分析步骤时基于某个特征进行深入分析或是基于某个线索获取其他的数据,可以基于下钻分析操作实现对某个特征的深入分析,可以使用扩线分析操作基于关系、关联角度进行扩线式操作。
由此可见,本申请实施例基于初步分析结果确定后一步的分析策略,可以提高应用的灵活性,根据威胁信息不同的特征选择合适的分析策略,从而能够提高威胁分析的灵活性和准确性。
在另一可选的实施方式中,针对步骤S12,本申请实施例还提供另一种对第一分析数据进行初步分析的实现方式,请参看图3,图3为本申请实施例提供的另一种对第一分析数据进行初步分析的步骤示意图,该步骤可以包括如下:
在步骤S31中,基于所述初步分析结果发送请示指令。
在步骤S32中,在接收到与所述请示指令对应的控制指令时,基于所述控制指令确定基于所述下钻分析操作进行深度分析或基于所述扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
其中,可以基于人机交互的方式对威胁分析过程进行干预,可以基于自动化威胁分析结果选择合适的分析策略,也可以根据实际分析的业务特点进行推荐,引导进行下一步人工分析操作。示例性地,自动化威胁分析可以是利用多维分析引擎对数据进行自动化、半自动化地初步分析,并将初步分析的结果反馈给分析人员。分析的方法可以包括统计、关联分析、关系分析等。
由此可见,本申请实施例可以基于人机交互的方式选择对应的分析策略,能够解决基于人机交互的高威胁分析的问题,使威胁分析装置可以自动化或半自动化地进行威胁信息检测,能够提高威胁分析的灵活性和准确性。
可选地,在步骤S13威胁分析模块基于所述新线索获取对应的第二分析数据之后,本申请实施例提供的方法还可以包括:
基于所述第一分析数据对所述第二分析数据进行去重。
其中,可以通过SHA156或MD5等算法将第一分析数据以及第二分析数据分成数据块,以计算出的特征值作为关键字,查找重复数据块,在查询到重复数据块时,只存储数据块引用,同时增加对应数据块的引用计数。
由此可见,本申请实施例通过对分析数据进行去重操作,能够筛选出其中重复的数据,防止在威胁分析过程中对数据进行重复分析的情况,能够节省计算资源,提高分析效率。
在一可选的实施例中,在目标分析结果表征所述第一分析数据或所述第二分析数据中存在威胁信息时,本申请实施例提供的方法还可以包括:
由所述分析结果反馈模块对所述威胁信息进行评估,确定所述威胁信息的威胁等级,并基于所述威胁等级确定发送警示信息。
具体地,可以将威胁信息划分为低危、中危和高危三个威胁等级,分别对每个威胁等级设置相应的警示方式,如在威胁信息为低危时,可以使用发送弹窗的方式进行警示,在威胁信息为中危时,可以使用提示音的方式进行警示,在威胁新为高危时,可以使用控制警示灯闪烁的方式进行警示。
由此可见,本申请实施例通过设置不同的威胁等级,以不同的警示方式提示威胁分析的结果,从而能够及时向用户提示威胁检测结果,能够提高用户体验。
基于同一发明构思,本申请实施例还提供一种威胁分析装置40,请参看图4,图4为本申请实施例提供的威胁分析装置的示意图,威胁分析装置40可以包括初级线索下发模块41、威胁分析模块42、次级线索下发模块43和分析结果反馈模块44,所述初级线索下发模块41、所述威胁分析模块42、所述次级线索下发模块43和所述分析结果反馈模块44依次连接;
所述初级线索下发模块41用于接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块42;
所述威胁分析模块42用于基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析,得到第一分析结果并反馈至次级线索下发模块43,所述第一分析数据为与所述预设威胁分析线索对应的数据;
所述次级线索下发模块43用于对所述第一分析结果进行次级分析操作,得到第二分析结果,在所述第二分析结果表征检测到新线索时,将所述新线索发送至所述威胁分析模块42,以使所述威胁分析模块42基于所述新线索获取对应的第二分析数据,并根据所述第二分析数据进行初步威胁分析,得到分析结果并反馈至所述次级线索下发模块;以及在所述第二分析结果表征未检测到所述新线索时,生成目标分析结果并发送至所述分析结果反馈模块44;
所述分析结果反馈模块44用于基于所述目标分析结果反馈所述第一分析数据或所述第二分析数据中是否存在威胁信息。
可选地,初级线索下发模块41还可用于:
触发数据拉取,基于所述预设威胁分析线索从全量数据中选取所述第一分析数据并将所述第一分析数据发送至所述威胁分析模块42。
可选地,威胁分析模块42可具体用于:
基于多维分析引擎对所述第一分析数据进行分析,得到初步分析结果;
基于所述初步分析结果确定基于下钻分析操作进行深度分析或基于扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
可选地,威胁分析模块42还可用于:
基于所述初步分析结果发送请示指令;
在接收到与所述请示指令对应的控制指令时,基于所述控制指令确定基于所述下钻分析操作进行深度分析或基于所述扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
可选地,威胁分析装置40还可以包括去重模块,用于基于所述第一分析数据对所述第二分析数据进行去重。
可选地,威胁分析装置40还可以包括警示模块,用于确定所述威胁信息的威胁等级,并基于所述威胁等级确定发送警示信息。
基于同一发明构思,本申请实施例还提供一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述任一实现方式中的步骤。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述任一实现方式中的步骤。
所述计算机可读存储介质可以是随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等各种可以存储程序代码的介质。其中,存储介质用于存储程序,所述处理器在接收到执行指令后,执行所述程序,本发明实施例任一实施例揭示的过程定义的电子终端所执行的方法可以应用于处理器中,或者由处理器实现。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
可以替换的,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。
所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种威胁分析方法,其特征在于,应用于威胁分析装置,所述威胁分析装置包括初级线索下发模块、威胁分析模块、次级线索下发模块和分析结果反馈模块,所述初级线索下发模块、所述威胁分析模块、所述次级线索下发模块和所述分析结果反馈模块依次连接,所述方法包括:
由所述初级线索下发模块接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块;
由所述威胁分析模块基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析,得到第一分析结果并反馈至次级线索下发模块,所述第一分析数据为与所述预设威胁分析线索对应的数据;
由所述次级线索下发模块对所述第一分析结果进行次级分析操作,得到第二分析结果,在所述第二分析结果表征检测到新线索时,将所述新线索发送至所述威胁分析模块,以使所述威胁分析模块基于所述新线索获取对应的第二分析数据,并根据所述第二分析数据进行初步威胁分析,得到分析结果并反馈至所述次级线索下发模块;
在所述第二分析结果表征未检测到所述新线索时,由所述次级线索下发模块生成目标分析结果并发送至所述分析结果反馈模块;
由所述分析结果反馈模块基于所述目标分析结果反馈威胁目标;
在所述由所述初级线索下发模块接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块之后,所述方法包括:
由所述初级线索下发模块触发数据拉取,基于所述预设威胁分析线索从全量数据中选取所述第一分析数据并将所述第一分析数据发送至所述威胁分析模块。
2.根据权利要求1所述的方法,其特征在于,所述预设威胁分析线索包括威胁情报数据、预设分析规则、数据文件以及多个事件通过逻辑联结词形成的组合中的至少一种。
3.根据权利要求1所述的方法,其特征在于,所述由所述威胁分析模块基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析包括:
基于多维分析引擎对所述第一分析数据进行分析,得到初步分析结果;
基于所述初步分析结果确定基于下钻分析操作进行深度分析或基于扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
4.根据权利要求3所述的方法,其特征在于,在所述得到初步分析结果之后,所述方法还包括:
基于所述初步分析结果发送请示指令;
在接收到与所述请示指令对应的控制指令时,基于所述控制指令确定基于所述下钻分析操作进行深度分析或基于所述扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
5.根据权利要求1所述的方法,其特征在于,在所述威胁分析模块基于所述新线索获取对应的第二分析数据之后,所述方法还包括:
基于所述第一分析数据对所述第二分析数据进行去重。
6.根据权利要求1所述的方法,其特征在于,在所述目标分析结果表征所述第一分析数据或所述第二分析数据中存在威胁信息时,所述方法还包括:
由所述分析结果反馈模块对所述威胁信息进行评估,确定所述威胁信息的威胁等级,并基于所述威胁等级确定发送警示信息。
7.一种威胁分析装置,其特征在于,包括初级线索下发模块、威胁分析模块、次级线索下发模块和分析结果反馈模块,所述初级线索下发模块、所述威胁分析模块、所述次级线索下发模块和所述分析结果反馈模块依次连接;
所述初级线索下发模块用于接收预设威胁分析线索,并将所述预设威胁分析线索发送至所述威胁分析模块;
所述威胁分析模块用于基于所述预设威胁分析线索以及获取到的第一分析数据,进行初步威胁分析,得到第一分析结果并反馈至次级线索下发模块,所述第一分析数据为与所述预设威胁分析线索对应的数据;以及,由所述初级线索下发模块触发数据拉取,基于所述预设威胁分析线索从全量数据中选取所述第一分析数据并将所述第一分析数据发送至所述威胁分析模块;
所述次级线索下发模块用于对所述第一分析结果进行次级分析操作,得到第二分析结果,在所述第二分析结果表征检测到新线索时,将所述新线索发送至所述威胁分析模块,以使所述威胁分析模块基于所述新线索获取对应的第二分析数据,并根据所述第二分析数据进行初步威胁分析,得到分析结果并反馈至所述次级线索下发模块;以及在所述第二分析结果表征未检测到所述新线索时,由所述次级线索下发模块生成目标分析结果并发送至所述分析结果反馈模块;
所述分析结果反馈模块用于基于所述目标分析结果反馈威胁目标。
8.根据权利要求7所述的装置,其特征在于,所述威胁分析模块还用于:
基于多维分析引擎对所述第一分析数据进行分析,得到初步分析结果;
基于所述初步分析结果确定基于下钻分析操作进行深度分析或基于扩线分析操作进行扩线式数据推荐,以得到所述第一分析结果。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-6中任一项所述方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-6任一项所述方法中的步骤。
CN202111619198.8A 2021-12-27 2021-12-27 威胁分析方法、装置、电子设备及存储介质 Active CN114338349B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111619198.8A CN114338349B (zh) 2021-12-27 2021-12-27 威胁分析方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111619198.8A CN114338349B (zh) 2021-12-27 2021-12-27 威胁分析方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114338349A CN114338349A (zh) 2022-04-12
CN114338349B true CN114338349B (zh) 2023-11-10

Family

ID=81014162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111619198.8A Active CN114338349B (zh) 2021-12-27 2021-12-27 威胁分析方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114338349B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015134008A1 (en) * 2014-03-05 2015-09-11 Foreground Security Automated internet threat detection and mitigation system and associated methods
CN108965349A (zh) * 2018-10-19 2018-12-07 周红梅 一种监测高级持续性网络攻击的方法和系统
CN110012013A (zh) * 2019-04-04 2019-07-12 电子科技大学成都学院 一种基于knn的虚拟平台威胁行为分析方法及系统
CN110688456A (zh) * 2019-09-25 2020-01-14 北京计算机技术及应用研究所 一种基于知识图谱的漏洞知识库构建方法
CN110875920A (zh) * 2018-12-24 2020-03-10 哈尔滨安天科技集团股份有限公司 一种网络威胁分析方法、装置、电子设备及存储介质
CN111368302A (zh) * 2020-03-08 2020-07-03 北京工业大学 基于攻击者攻击策略生成的自动威胁检测方法
CN112073437A (zh) * 2020-10-09 2020-12-11 腾讯科技(深圳)有限公司 多维度的安全威胁事件分析方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015134008A1 (en) * 2014-03-05 2015-09-11 Foreground Security Automated internet threat detection and mitigation system and associated methods
CN108965349A (zh) * 2018-10-19 2018-12-07 周红梅 一种监测高级持续性网络攻击的方法和系统
CN110875920A (zh) * 2018-12-24 2020-03-10 哈尔滨安天科技集团股份有限公司 一种网络威胁分析方法、装置、电子设备及存储介质
CN110012013A (zh) * 2019-04-04 2019-07-12 电子科技大学成都学院 一种基于knn的虚拟平台威胁行为分析方法及系统
CN110688456A (zh) * 2019-09-25 2020-01-14 北京计算机技术及应用研究所 一种基于知识图谱的漏洞知识库构建方法
CN111368302A (zh) * 2020-03-08 2020-07-03 北京工业大学 基于攻击者攻击策略生成的自动威胁检测方法
CN112073437A (zh) * 2020-10-09 2020-12-11 腾讯科技(深圳)有限公司 多维度的安全威胁事件分析方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114338349A (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
US10853487B2 (en) Path-based program lineage inference analysis
CN107666468B (zh) 网络安全检测方法和装置
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
CN115001753B (zh) 一种关联告警的分析方法、装置、电子设备及存储介质
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
CN110598180A (zh) 一种基于统计分析的事件检测方法、装置及系统
WO2019032277A1 (en) AUTOMATED SOFTWARE SECURITY CATEGORIZATION HAVING A INSTALLATION LINE AND HYBRID INFORMATION SOURCES
CN114338349B (zh) 威胁分析方法、装置、电子设备及存储介质
CN112148545B (zh) 嵌入式系统的安全基线检测方法以及安全基线检测系统
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN104424435B (zh) 一种获取病毒特征码的方法及装置
CN113206849A (zh) 一种基于ghidra的漏洞扫描方法、装置及相关设备
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
CN112733015B (zh) 一种用户行为分析方法、装置、设备及介质
CN113297583B (zh) 漏洞风险分析方法、装置、设备及存储介质
CN105553767A (zh) 网站后门文件检测方法及装置
CN110555308A (zh) 一种终端应用行为跟踪和威胁风险评估方法及系统
US10789238B2 (en) Event management systems and event triggering methods and systems thereof applied to a version control server
CN103150512B (zh) 一种蜜罐系统和运用该系统检测木马的方法
CN108600197B (zh) 可自动学习更新的特征码阻断文件上传防御系统及方法
KR101986498B1 (ko) 전자전 장비의 로그파일을 관리하는 로그파일 관리시스템 및 방법
CN109492400B (zh) 对计算机硬件固件进行安全检测和防护的方法及装置
WO2020065777A1 (ja) 情報処理装置、制御方法、及びプログラム
CN117744083A (zh) 恶意组件的检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant