CN115001724B - 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 - Google Patents
网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115001724B CN115001724B CN202110223806.7A CN202110223806A CN115001724B CN 115001724 B CN115001724 B CN 115001724B CN 202110223806 A CN202110223806 A CN 202110223806A CN 115001724 B CN115001724 B CN 115001724B
- Authority
- CN
- China
- Prior art keywords
- threat intelligence
- information
- address
- threat
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种网络威胁情报管理方法。该方法包括:获取需要进行时效性判断的网络威胁情报;对所获取到的网络威胁情报进行威胁情报实体解析处理,以从网络威胁情报中解析出适格威胁情报实体;对适格威胁情报实体进行存活性探测处理,以得到适格威胁情报实体的存活状态;基于适格威胁情报实体的存活状态,对网络威胁情报进行时效评估处理,以得到网络威胁情报的时效评估结果;以及输出网络威胁情报的时效评估结果。根据本申请的网络威胁情报管理方法对网络威胁情报中的威胁情报实体进行多维度检测,识别出无效网络威胁情报。在后续操作中,无效网络威胁情报可以被过滤掉,提升了系统的处理效率。此外,针对网络攻击进行的溯源过程的效率得到提高。
Description
技术领域
本申请涉及计算机和互联网安全的领域,尤其涉及一种网络威胁情报管理方法、装置、计算设备以及计算机可读存储介质。
背景技术
计算机和网络技术的快速发展极大地推动了社会的发展。然而,一些具有不良意图的使用者会利用计算机和网络技术实施破坏行为,例如发起网络攻击。为了应对这些网络攻击和保护网络安全,需要对网络威胁情报进行管理。网络威胁情报记录了与网络攻击有关的信息。用户在获得网络威胁情报后,可以对网络攻击提早进行防范。例如,网络威胁情报可能记录了发动网络攻击的网络地址,在获得该网络威胁情报后,用户可以尽早将各设备设置成阻止接收来自该网络地址的信息。这样,当该网络地址发动网络攻击时,攻击命令无法到达和控制用户的设备,使得这些设备及其内部的数据得到保护。
随着网络威胁情报的数量急剧增长,占用的计算资源越来越多。然而,网络攻击经常会发生变化。比如,网络攻击发起者可以先借助某网络地址发起攻击,然后放弃使用该网络地址,甚至之后还能出现该网络地址被正常使用者使用的情况。在这种情况下,针对该网络攻击的网络威胁情报将不再有效。对于无效的网络威胁情报进行处理将大大占用计算资源,并且影响正常使用者的使用。因此,发明人发现,本领域中需要对网络威胁情报进行有效管理的方法,以便及时过滤掉无效的网络威胁情报。这对于网络安全是非常重要的。
发明内容
根据本申请的第一方面,提供了一种网络威胁情报管理方法。所述方法包括:获取需要进行时效性判断的网络威胁情报;对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体;对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态;基于所述适格威胁情报实体的存活状态,对所述网络威胁情报进行时效评估处理,以得到所述网络威胁情报的时效评估结果;以及输出所述网络威胁情报的时效评估结果。
在一些实施例中,基于所述适格威胁情报实体的存活状态,对所述网络威胁情报进行时效评估处理,以得到所述网络威胁情报的时效评估结果包括:响应于所述适格威胁情报实体的存活状态为不存活,确定所述网络威胁情报的时效评估结果为失效;响应于所述适格威胁情报实体的存活状态为存活,进行下述步骤:对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性;对所述属性进行属性验证处理,以得到验证结果;以及,基于所述验证结果,确定所述网络威胁情报的时效评估结果。
在一些实施例中,对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体包括:从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。
在一些实施例中,对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态包括:对所述IP地址和所述域名的所述至少一个的进行可访问性探测;响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问,确定所述适格威胁情报实体的存活状态为不存活;以及,响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问,确定所述适格威胁情报实体的存活状态为存活。
在一些实施例中,所述适格威胁情报实体包括所述IP地址;对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报和/或对公开的网络威胁情报资源进行开放端口服务信息收集处理,以得到所述IP地址的各开放端口的收集服务信息;对所述属性进行属性验证处理包括:对所述IP地址进行全量端口探测,以得到各开放端口正在运行的验证服务信息,确定各开放端口的收集服务信息与验证服务信息是否相同,确定所述收集服务信息与所述验证服务信息不同的开放端口的数量与开放端口总数量的比率,以及判断所述比率是否大于阈值;并且,基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述比率大于所述阈值,确定所述网络威胁情报的时效评估结果为失效,以及响应于所述比率小于或等于所述阈值,确定所述网络威胁情报的时效评估结果为有效。
在一些实施例中,所述适格威胁情报实体包括所述IP地址;对所述适格威胁情报实体进行属性收集处理,包括:对所述网络威胁情报和/或对公开的网络威胁情报资源进行反查域名收集处理,以得到所述IP地址的反查域名;对所述属性进行属性验证处理包括:验证所述反查域名所绑定的IP地址以得到经验证IP地址,以及确定所述经验证IP地址与所述IP地址是否相同;并且,基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证IP地址与所述IP地址不同,确定所述网络威胁情报的时效评估结果为失效,以及响应于所述经验证IP地址与所述IP地址相同,确定所述网络威胁情报的时效评估结果为有效。
在一些实施例中,所述适格威胁情报实体包括所述IP地址;对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报进行whois信息解析处理,以得到所述IP地址的待验证whois信息;对所述属性进行属性验证处理包括:对公开的网络威胁情报资源进行whois信息查询处理,以得到经验证whois信息,以及确定所述经验证whois信息与所述待验证whois信息是否相同;并且,基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证whois信息与所述待验证whois信息不同,确定所述网络威胁情报的时效评估结果为失效,以及响应于所述经验证whois信息与所述待验证whois信息相同,确定所述网络威胁情报的时效评估结果为有效。
在一些实施例中,所述适格威胁情报实体包括所述IP地址;对所述适格威胁情报实体进行属性收集处理包括:对第一公开网络威胁情报资源进行whois信息查询处理,以得到所述IP地址的待验证whois信息;对所述属性进行属性验证处理包括:对第二公开网络威胁情报资源进行whois信息查询处理,以得到所述IP地址的经验证whois信息,以及确定所述经验证whois信息与所述待验证whois信息是否相同;并且,基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证whois信息与所述待验证whois信息不同,确定所述网络威胁情报的时效评估结果为失效,以及响应于所述经验证whois信息与所述待验证whois信息相同,确定所述网络威胁情报的时效评估结果为有效。
在一些实施例中,所述适格威胁情报实体包括所述域名;对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报和/或对公开的网络威胁情报资源进行域名过期时间收集处理,以得到所述域名的域名过期时间;对所述属性进行属性验证处理包括:确定所述域名过期时间是否在即时时间之前;并且,基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述域名过期时间在所述即时时间之前,确定所述网络威胁情报的时效评估结果为失效,以及响应于所述域名过期时间与所述即时时间相同或在所述即时时间之后,确定所述网络威胁情报的时效评估结果为有效。
在一些实施例中,所述适格威胁情报实体包括所述域名;对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报进行注册备案信息解析处理,以得到所述域名的待验证注册备案信息;对所述属性进行属性验证处理包括:对公开的网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的经验证注册备案信息,以及确定所述经验证注册备案信息与所述待验证注册备案信息是否相同;并且,基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证注册备案信息与所述待验证注册备案信息不同,确定所述网络威胁情报的时效评估结果为失效,以及响应于所述经验证注册备案信息与所述待验证注册备案信息相同,确定所述网络威胁情报的时效评估结果为有效。
在一些实施例中,所述适格威胁情报实体包括所述域名;对所述适格威胁情报实体进行属性收集处理包括:对第一公开网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的待验证注册备案信息;对所述属性进行属性验证处理包括:对第二公开网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的经验证注册备案信息,以及确定所述经验证注册备案信息与所述待验证注册备案信息是否相同;并且,基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证注册备案信息与所述待验证注册备案信息不同,确定所述网络威胁情报的时效评估结果为失效,以及响应于所述经验证注册备案信息与所述待验证注册备案信息相同,确定所述网络威胁情报的时效评估结果为有效。
根据本申请的第二方面,提供了一种网络威胁情报管理装置。该装置包括:网络威胁情报获取模块,其配置成获取需要进行时效性判断的网络威胁情报;适格威胁情报实体解析模块,其配置成对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体;适格威胁情报实体存活性探测模块,其配置成对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态;网络威胁情报时效评估模块,其配置成基于所述适格威胁情报实体的存活状态,对所述网络威胁情报进行时效评估处理,以得到所述网络威胁情报的时效评估结果;以及时效评估结果输出模块,其配置成输出所述网络威胁情报的时效评估结果。
根据本申请的第三方面,提供了一种计算设备。该计算设备包括:存储器,其被配置成存储计算机可执行指令;处理器,其被配置成当所述计算机可执行指令被处理器执行时执行如本申请实施例所述的网络威胁情报管理方法。
根据本申请的第四方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,其特征在于,当所述计算机可执行指令被执行时,执行如本申请实施例所述的网络威胁情报管理方法。
根据本申请实施例的网络威胁情报管理方法对网络威胁情报中的适格威胁情报实体进行多维度的检测,并基于检测结果识别出无效的网络威胁情报。在后续操作中,无效的网络威胁情报可以被过滤掉,使得具有更高有效性和价值的警告被突出,提升了系统的处理效率。另外,在针对网络攻击进行的溯源过程中,由于无效的警告已被过滤掉,溯源过程所需要处理或分析的网络威胁情报的数量被减小,从而提升了溯源效率。
附图说明
现在将更详细并且参考附图来描述本申请的实施例,其中:
图1示意性地示出了根据本申请实施例的技术方案可以实施在其中的网络架构的结构;
图2示意性地示出了根据本申请实施例的网络威胁情报管理方法的流程图;
图3示意性地示出了根据本申请实施例的网络威胁情报管理方法的具体步骤的更详细的流程图;
图4-12分别示意性地示出了根据本申请实施例的网络威胁情报管理方法针对不同威胁情报实体的不同属性的流程图;
图13示意性地示出了根据本申请实施例的网络威胁情报管理装置的结构框图;以及
图14示意性地示出了可以实现本申请描述的各种技术的示例计算设备。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本申请将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能威胁情报实体,不一定必须与物理上独立的威胁情报实体相对应。即,可以采用软件形式来实现这些功能威胁情报实体,或在一个或多个硬件模块或集成电路中实现这些功能威胁情报实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能威胁情报实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本申请概念的教示。如本文中所使用,术语“和/或”及类似术语包括相关联的列出项目中的任一个、多个和全部的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本申请所必须的,因此不能用于限制本申请的保护范围。
网络威胁情报是一种信息,其涉及潜在的安全威胁的能力、资源、动机和目标。这些信息被用于识别和防范安全漏洞和数据盗窃。利用已知的网络威胁情报对未知的攻击行为等进行防御是一种以检测和分析为手段的主动防御方式。相比于传统的被动防御,主动防御具有优秀的预警能力和快速的响应能力。
网络威胁情报是一个不断发展的过程,包括识别潜在网络攻击的参与者、了解它们危害安全的动机和途径、以及主动实施策略和流程以阻止攻击参与者进行破坏并在破坏发生时限制破坏程度。如果实施得当,那么网络威胁情报可以帮助用户及时了解攻击的数量、方法、漏洞、目标和实施者,并且使得用户能够更加主动地应对未来的网络攻击或威胁。
为躲避安全检测,网络攻击的变化速度越来越快,这导致网络威胁情报的数量越来越多,但针对发生变化前的网络攻击的警告将不再有效。对这类警告的处理将大大占用有限的处理能力。
基于整体应用场景,网络威胁情报可以分为三类:战术级警告、运营级警告和战略级警告。战术级警告的作用主要是发现攻击事件以及进行报警确认或优先级排序,其一般是可机读的情报,可以直接被设备使用,以自动化的完成上述的安全工作。运营级警告主要由安全分析师或者安全事件响应人员使用,目的是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等)或者利用已知的攻击者技战术手法主动地查找攻击相关线索。战略级警告是给组织的安全管理者使用的。它能够帮助决策者把握当前的安全态势,在安全决策上更加有理有据。
战术级警告的一种类型是失陷检测情报,即关于攻击者控制被害主机所使用的远程命令与控制服务器的情报。根据所记载的数据本身,失陷检测情报的威胁情报实体往往是域名、IP地址的形式,有时也会包括文件HASH值等形式。这类情报基本上都会提供危害等级、攻击团伙、恶意家族等更丰富的上下文信息,来帮助确定事件优先级并指导后续安全响应活动。使用这类情报是及时发现已经渗透的APT(Advanced Persistent Threat,高级可持续威胁攻击)团伙、木马蠕虫的最简单、及时、有效的方式。
为了便于对本申请的理解,下面先对前面提到的几个概念进行简单介绍:HASH值:一般指样本、文件的HASH值,比如MD5和SHA系列。由于HASH函数的雪崩效应,文件任何微弱地改变,都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下,它变得不值得跟踪,所以它带来的防御效果也是最低的。
IP(Internet Protocol,互联网协议)地址:用来给互联网上的每个计算机或其它设备赋予一个唯一的地址。通过IP地址的访问控制可以抵御很多常见的攻击。
域名:尽管IP地址能够唯一地标记网络上的计算机,但IP地址是一长串数字,不直观,而且用户记忆十分不方便。于是人们又发明了字符型的地址方案,即所谓的域名地址。IP地址和域名是一一对应的。有些攻击类型或攻击手法出于隐藏的目的,攻击者会通过域名连接外部服务器进行间接通信。由于域名需要购买、注册、与服务器绑定等操作,它的成本相对IP地址是比较高的,对域名的把控产生的防御效果也是较好的。
在这三类威胁情报实体中,IP地址和域名属于公共资源,可以通过购买获得。因此,IP地址和域名可能被攻击者先使用然后释放,之后被正常用户获取(即,IP地址或域名的重新分配)。在正常用户的使用下,该IP地址和域名将不会对其它网络设备构成威胁,关于该IP地址和域名的网络威胁情报也将过时并且失效。这种过时的网络威胁情报是没有价值的,如果利用有限的资源对这类警告进行处理,那么就会影响警告的处理效率和攻击的溯源效率。因此,需要一种网络威胁情报管理方法,可以判断出网络威胁情报有效还是失效,以便随后及时过滤掉过时警告,改善警告处理效率和攻击溯源效率。
本申请的一方面提供了一种网络威胁情报管理方法。图1示意性地示出了根据本申请实施例的技术方案可以在其中实施的网络架构的结构。
如图1所示,网络架构100可以包括终端设备105。终端设备105与服务器110通过网络进行连接,使得终端设备105可以与服务器110进行数据交互,从而使服务器110按照终端设备105的指令进行操作。在另一些实施例中,服务器110也可以是终端设备105的一部分。服务器110通过网络连接到另一服务器115,例如可公开访问的服务器,其上存储有公开的数据。本申请中的服务器115例如可以是独立的物理服务器,也可以是由多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备例如可以是智能移动电话、平板电脑、笔记本电脑、桌上型电脑、智能电视等智能终端。
下面以终端设备105、服务器110与服务器115之间的通信为例,描述本申请的实施例。
图2示意性地示出了根据本申请实施例的网络威胁情报管理方法的流程图。下面将对一些实施例中的网络威胁情报管理方法进行详细介绍。
在一些实施例中,该方法包括获取需要进行时效性判断的网络威胁情报(步骤S103)。这些网络威胁情报例如可以从公开的情报源获得,如知名安全站点、安全博客等。在实际应用中,服务器110可以从(例如设置在服务器115上的)多个情报源获取待进行时效性判断的网络威胁情报。例如,可以从网络威胁情报共享交换平台、情报供应商及各个网站来获取待进行时效性判断的网络威胁情报。
在一些实施例中,在获取需要进行时效性判断的网络威胁情报之后,可以对所获取到的网络威胁情报进行威胁情报实体解析处理,以从该网络威胁情报中解析出适格威胁情报实体(步骤S105)。该步骤具体例如可以是,从网络威胁情报中提取至少一个适格威胁情报实体。网络威胁情报可以是文本数据,因此可以利用在文本中提取特定类型信息的方式,从网络威胁情报中解析出适格威胁情报实体。该步骤例如可以在终端设备105或服务器110中完成。
术语“适格威胁情报实体”可以理解为一种或多种特定的威胁情报实体,尤其是指属性容易发生变化的威胁情报实体。涉及这样的威胁情报实体的网络威胁情报的时效性容易变化,因此这样的网络威胁情报更适合被管理。对涉及适格威胁情报实体的网络威胁情报的时效性进行判断是对于有限的计算资源和网络资源的更有效的利用。下面将更具体地解释术语“适格威胁情报实体”。网络威胁情报的威胁情报实体类型不止一种,并且不同类型威胁情报实体的文本的构成特点不一,因此为了提高威胁情报实体提取的准确率可能需要利用不同的模型来提取不同类型的威胁情报实体。根据威胁威胁情报实体的构成特点,在一些示例性的分类方式中,网络威胁情报的威胁情报实体类型可以分为三类。第一种类型是IP地址、域名、文件Hash等可通过模板匹配的威胁情报实体。这种类型的威胁情报实体都具有非常明显的结构特征,可以使用基于规则模板的方法进行威胁情报实体提取,例如可以建立正则表达式编写的规则模板进行提取。这些威胁情报实体的提取准确率比较高。应当理解的是,上述基于正则表达式的方法仅为一种示例,其不应解释为对本申请的保护范围的限定。第二种类型是恶意软件名等具有较为明显的统计特征与字符特征的威胁情报实体。该类型的威胁情报实体由一些单词组合而成,还会混以大小写字母混用,数字字母混用等,因此具有较为明显的统计特征与字符特征。在一些实施例中,可以使用基于序列化标注算法(sequence labeling algorithm)的模型,例如基于条件随机场(ConditionalRandom Field,简称CRF)的序列标注模型,进行威胁情报实体识别。对于CRF模型,可以利用单词本身构成、是否全为大写字母、是否首字母大写、是否除首字母外还有大写字母、是否包含数字、单词词性等作为特征函数。第三种类型是人名、地名、组织名、系统组件名、攻击方法等没有明显构成特征的威胁情报实体。由于这类威胁情报实体没有明显的构成特征,在一些实施例中,可以使用深度学习的方法自动提取特征,以便更有效地识别出威胁情报实体。例如,可以利用基于神经网络模型的方法,提取这类威胁情报实体。更具体的,例如,可以使用word2vec算法计算语料文本的词向量表示,利用卷积神经网络自动提取单词局部特征的特性,对单个单词进行卷积与池化操作,提取出字符特征向量,作为神经网络输入的一部分,通过词向量与字符特征相结合提高神经网络模型性能。在上述众多威胁情报实体中,适格威胁情报实体是指攻击性会发生变化的威胁情报实体。例如,适格威胁情报实体的某些属性发生变化可能意味着其可能从会发起攻击变为不会发起攻击,因此,对这些实体所处的网络威胁情报进行管理才是有效的。
在适格威胁情报实体被解析出后,可以对适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态(步骤S110)。存活性探测处理例如包括,确定从网络威胁情报中解析出的每一个适格威胁情报实体是否存活。存活性探测是一种主机层面的探测。主机层面的存活性探测可以通过以下方式进行。例如,先根据网络协议类型生成对应的检测数据包,然后将检测数据包发送至目标主机,然后根据预设时间内是否接收到目标主机返回的响应数据包判定目标主机是否存活。存活性探测例如可以使用基于互联网控制报文协议(Internet Control Message Protocol,简称ICMP)的方式来实现,也可以使用基于互联网包探索器(Packet Internet Groper,简称PING)协议的方式(如,SYN PING、ACK PING、Fin PING、Null PING等方式)来实现,还可以使用基于地址解析协议(AddressResolution Protocol,简称ARP)的方式来实现。当然,还可以采用本领域技术人员可知的其它方式来进行主机存活性检测。例如,服务器110可以向威胁情报实体所在的服务器115发送PING数据包。如果被检测的服务器115接收到该PING命令,会相应的返回一个相同大小的PING数据包。通过检查所返回的PING数据包,服务器110就能得知服务器115的存活状况。如果服务器115没有做出响应,则认为服务器115是不存活的,那么该威胁情报实体也是不存活的。在一些实施例中,可以从多个不同的网络地址发起威胁情报实体是否存活的探测,以避免因为防火墙等过滤因素导致实际可访问的威胁情报实体无法正常访问,以致无法进行存活性探测处理的情况。
在一些实施例中,在存活性探测处理之后,可以基于适格威胁情报实体的存活状态,对网络威胁情报进行时效评估处理,以得到网络威胁情报的时效评估结果(步骤S119)。适格威胁情报实体的存活状态有时可以直接反映网络威胁情报的时效性,因此在一些实施例中,可以基于该适格威胁情报实体的存活状态对网络威胁情报进行时效评估处理。例如,当适格威胁情报实体不存活时,该威胁情报实体无法发起攻击,因此不构成威胁,那么在对该威胁情报实体的网络威胁情报进行时效评估时,则可以认为该网络威胁情报是失效的。当适格威胁情报实体的存活性探测处理的结果为该适格威胁情报实体存活时,可以进行一些子步骤,以便进一步对网络威胁情报进行时效评估处理,以得到网络威胁情报的时效评估结果。这些子步骤将在下文更详细的描述。
在一些实施例中,在通过时效评估处理得到时效评估结果之后,可以输出网络威胁情报的时效评估结果(步骤S140)。例如,可以对经过时效性判断的网络威胁情报进行时效性标记操作,以便向这些网络威胁情报的使用者提示其状态。使用者可以根据这些状态过滤掉已经失效的网络威胁情报,以节省后续操作所需的计算资源和网络资源。所述网络威胁情报的使用者可能是人,也有可能是进行网络威胁预防工作的软件或设备。
根据本申请实施例的网络威胁情报管理方法对网络威胁情报中的威胁情报实体进行多维度的检测。该方法首先了分析了威胁情报实体的存活性,并可以基于此,在不进行后续操作的情况下能够确定一些网络威胁情报失效。因此该方法的处理效率较高,节省了有限的计算资源。在威胁情报实体存活的情况下,该方法继续验证威胁情报实体的属性,并基于此继续判断网络威胁情报的有效性,进而更准确地确定关于该威胁情报实体的网络威胁情报是否仍然有效。
在后续操作中,无效的网络威胁情报可以被过滤掉,使得具有更高有效性和价值的警告被留下,接下来的处理将仅针对所留下的网络威胁情报,所处理的警告的量将大大减少,从而提升了系统的处理效率。另外,在针对网络攻击进行的溯源过程中,由于失效的警告已被过滤掉,溯源过程所需要处理或分析的警告的数量被减小,从而提升了溯源效率。
图3更详细地示出了根据本申请实施例的网络威胁情报管理方法的流程图。如图3所示,基于适格威胁情报实体的存活状态,对网络威胁情报进行时效评估处理,以得到网络威胁情报的时效评估结果(步骤S119)可以包括,响应于适格威胁情报实体的存活状态为不存活,确定网络威胁情报的时效评估结果为失效(步骤S115)。通常,一份网络威胁情报仅针对一个网络攻击事件。在一些实施例中,一份网络威胁情报可能仅包含一类威胁情报实体,每一类威胁情报实体中只包含一个威胁情报实体。例如,一份网络威胁情报所包含的威胁情报实体的类型是IP地址,并且所包含的IP地址的个数是一个。如果一份网络威胁情报中只提取出一个适格威胁情报实体,那么该适格威胁情报实体的不存活则可能意味着该网络威胁情报的失效。因此,在该步骤的具体的实施例中,在从网络威胁情报中解析出一个适格威胁情报实体时,当该适格威胁情报实体的存活状态为不存活时,即可确定网络威胁情报的时效评估结果为失效。在其它实施例中,一份网络威胁情报可能包含两类或更多类适格威胁情报实体,但同样的,每一类适格威胁情报实体所包含的威胁情报实体的数量也只是一个。例如,一份网络威胁情报所包含的适格威胁情报实体的类型是IP地址和域名这两种类型,并且每种类型的威胁情报实体具体仅包含一个威胁情报实体,例如该网络威胁情报仅包含一个IP地址和一个域名。不过,即使一份网络威胁情报包含两类或更多类威胁情报实体,这些类威胁情报实体针对的是同一个网络攻击事件。也就是说,这些类威胁情报实体实际上是在从不同的侧面描述同一个网络攻击事件。因此,虽然一份网络威胁情报可能包含两个或更多个适格威胁情报实体,但这些威胁情报实体是彼此密切相关的。通常情况下,一个适格威胁情报实体不存活可能足以认为主机不存活,因此可以得出网络威胁情报失效的结论。至少为了使未被过滤掉的网络威胁情报具有比较强的有效性,在一些实施例中,在从网络威胁情报中解析出两个或更多个适格威胁情报实体的情况下,在其中至少一个不存活时,确定网络威胁情报的时效评估结果为失效。例如,在一份网络威胁情报包含两个或更多个威胁情报实体的情况下,只要这些威胁情报实体中有一个威胁情报实体不存活,那么就可以确定该网络威胁情报失效。在其它实施例中,例如,为了避免将针对实际上仍有可能发动攻击的威胁情报实体的网络威胁情报认定为失效,也可以在一份网络威胁情报中提取出两个或更多个威胁情报实体的情况下,在所有威胁情报实体都不存活时,才认定该网络威胁情报失效。
在一些实施例中,如图3所示,步骤S119还可以包括,响应于适格威胁情报实体的存活状态为存活,进行下述步骤,具体包括:对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性(步骤S120);对属性进行属性验证处理,以得到验证结果(S125);以及,基于所述验证结果,确定所述网络威胁情报的时效评估结果(S129)。在具体的实施例中,可以在确定所有适格威胁情报实体都存活的情况下,进行上述步骤S120、S125和S129,以继续判断网络威胁情报的有效性。除了威胁情报实体本身,网络威胁情报中还可能记载着与威胁情报实体有关的详细信息。这些详细信息可以被统称为威胁情报实体的属性。在一些实施例中,根据本申请的网络威胁情报管理方法还包括:响应于每个适格威胁情报实体的都存活,收集至少一个适格威胁情报实体的属性,例如收集至少一种属性。取决于属性在判断网络威胁情报有效性的过程中被使用的具体使用方式,不同属性的收集方式不同。例如,在一些实施例中,威胁情报实体的属性可以从网络威胁情报中直接得到。属性是一种可以记载在网络威胁情报中的数据,所以与从网络威胁情报中提取威胁情报实体类似,基于属性的构成特点,例如是否可通过模板匹配,是否具有较为明显的统计特征与字符特征等,不同的属性也可能需要不同的提取方法。在另一些实施例中,威胁情报实体的属性可以从互联网上的公开资源中得到。例如,服务器115中可能存储有网络威胁情报所涉及的威胁情报实体的属性。服务器110可以向服务器115发出指令,从中获得该威胁情报实体的属性。在其它实施例中,威胁情报实体的属性可以既从网络威胁情报中得到,又从公开资源中得到。例如,如果从网络威胁情报中提取的属性的量比较少,那么可以从公开资源中进一步提取,以便起到补充和富化的作用。
在收集到适格威胁情报实体的属性后,在一些实施例中,可以对属性进行属性验证处理,以得到验证结果(步骤S125)。更具体的,该步骤可以包括,基于收集到属性中的至少一种来判断网络威胁情报的有效性。比如,在收集到两种或更多种属性的情况下,可以仅基于其中一种属性来得出网络威胁情报是否有效的结论。与上文关于威胁情报实体是否存活的判断原理类似,为了使未被过滤掉的网络威胁情报具有比较强的有效性,只要通过一种属性验证得出了网络威胁情报无效的结论,那么就可以认定该网络威胁情报无效。而在其他实施例中,为了避免将针对实际上仍有可能发动攻击的威胁情报实体的网络威胁情报认定为失效,也可以在每一种属性都验证得出网络威胁情报无效的结论的情况下,才认定该网络威胁情报无效。
前文提到了一些威胁情报实体可能先被攻击者使用然后释放。这个过程有时可以通过威胁情报实体的属性来体现。因此,在一些实施例中,可以基于对适格威胁情报实体的属性的验证,确定网络威胁情报的时效评估结果,例如确定网络威胁情报有效或者无效。关于威胁情报实体的各种属性的更详细的示例性介绍将在后文介绍。
在利用适格威胁情报实体的属性判断网络威胁情报的有效性时,在一些实施例中,需要对威胁情报实体的属性进行验证。关于威胁情报实体先被攻击者使用然后被释放再被普通用户获取的过程(即,重新分配的过程)如何被各种属性体现,各种属性体现这种过程的方式并不相同,因此不同的属性需要采取不同的验证方式。例如,在上述重新分配的过程中,威胁情报实体的一些属性自身可能发生改变。因此,这些属性的验证方式可以是,由用户调查威胁情报实体的这些属性,并将调查得到的属性与前述步骤中收集得到的属性进行比较。如果所收集的属性和所调查的属性的属性值不同,那么可以认为发生了重新分配的过程。此时,可认为针对该威胁情报实体的网络威胁情报失效。相反,如果所收集的属性和所调查的属性的属性值相同,那么可以认为并未发生重新分配的过程,意味着该威胁情报实体仍被攻击者拥有和使用。此时可认为针对该威胁情报实体的网络威胁情报仍然有效。此外,还有一些属性的属性值自身能够直接或间接地反映威胁情报实体的拥有者是否被改变。这些属性的验证方式将可以是将所收集的属性的属性值与参考值进行比较,而不是与用户调查得到的属性进行比较。基于这种比较,可以判断网络威胁情报的有效性。另外,还有一些属性的验证方式不是与用户调查得到的属性进行比较,也不是与参考值进行比较,而是对前述步骤中所收集到的威胁情报实体的属性自身进行验证。基于这些属性的验证结果,可以判断网络威胁情报的有效性。各种属性的具体验证方式将在后文中更详细地阐述。
在一些实施例中,对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体(步骤S105)包括:从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。如前文所述,IP地址和域名属于公共资源,可以通过购买获得,因此可能先被攻击者使用然后释放,之后被正常用户获取。因此,在网络威胁情报形成后,这两类威胁情报实体很有可能被重新分配,使得它们不再发起攻击,那么针对这两类威胁情报实体的网络威胁情报也将随之过期和失效。因此,这两种威胁情报实体是适格威胁情报实体。相反的,其它类型的威胁情报实体并非公共资源。这些威胁情报实体将会在相对较长的时间范围内处于攻击状态,因此针对这些威胁情报实体的网络威胁情报的有效性将在相对较长的期限内保持不变。因此,将适格威胁情报实体锁定为IP地址或域名将使网络威胁情报有效性的判断更有针对性和效率。
在此基础上,从网络威胁情报中提取至少一个威胁情报实体包括:从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。该步骤例如可以包括从所获取到的网络威胁情报中只提取出IP地址,只提取出域名,或提取出IP地址和域名这两者。并且,对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态包括:对所述IP地址和所述域名的所述至少一个的进行可访问性探测;响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问,确定所述适格威胁情报实体的存活状态为不存活;以及响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问,确定所述适格威胁情报实体的存活状态为存活。例如,如果从网络威胁情报中只提取出IP地址,那么在IP地址不可访问时,就可以得出所述适格威胁情报实体不存活的结论,进而确定所述网络威胁情报失效;类似的,如果从网络威胁情报中只提取出域名,那么在域名不可访问时,就可以得出所述适格威胁情报实体不存活的结论,进而确定所述网络威胁情报失效。对应地,如果从网络威胁情报中只提取出IP地址,那么在IP地址可访问时,就可以得出所述适格威胁情报实体存活的结论,进而进行后续操作;类似的,如果从网络威胁情报中只提取出域名,那么在域名可访问时,就可以得出所述适格威胁情报实体存活的结论,进进行后续操作。如果从网络威胁情报中提取出IP地址和域名这两者,那么在一些实施例中,在IP地址和域名中的至少一个不可访问时,就可以得出所述适格威胁情报实体不存活的结论,进而确定所述网络威胁情报失效,例如响应于IP地址不存活、域名不存活、或两者都不存活,确定网络威胁情报失效。对应地,在在IP地址和域名都可访问时,就可以得出所述适格威胁情报实体存活的结论,进而进行后续操作。
IP地址和域名的存活性体现在两者各自是否可访问。判断IP地址和域名是否可访问的方法可以利用本领域中常用的方法。本申请并不意图进行限制。在IP地址或域名不可访问的情况下,可以认为针对该IP地址或域名的网络威胁情报失效。
上述后续操作可以例如包括对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性。例如收集至少一个适格威胁情报实体中的属性。更具体的,如果从网络威胁情报中提取的威胁情报实体是IP地址,则响应于IP地址可访问,收集该IP地址的属性。如果从网络威胁情报中提取的威胁情报实体是域名,则响应于域名可访问,收集该域名的属性。如果从网络威胁情报中提取的威胁情报实体是IP地址和域名这两者,则响应于IP地址和域名都可访问,确定收集该IP地址和域名中的至少一个的属性。
下面具体介绍可以用于判断网络威胁情报有效性的IP地址和域名的各自的属性。IP地址的属性例如包括IP地址的URL地址、反查域名、开放端口服务信息、whois信息。首先简单介绍各属性。URL(Uniform Resource Locator,统一资源定位符)地址也称为网页地址,是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示。互联网上的每个文件都有一个唯一的URL地址。URL地址的一个重要的作用是用来定位网页资源,为用户提供访问网页的可用链接。通过URL地址是否可访可以确定针对该IP的网络威胁情报是否有效。IP反查域名,是指通过IP地址作为条件查询得到的与此IP地址相匹配的一系列域名。通过验证这些域名是否仍然绑定在该IP地址下,可以确定针对该IP的网络威胁情报是否有效。开放端口服务信息是指IP地址所在服务器的每个逻辑端口所对应的服务。通常来说,每个服务会默认地对应特定的端口。但是,默认端口号是可以修改的。因此,可以通过比较所收集的IP地址的端口的服务和使用者探测得到的端口的服务来确定网络威胁情报的有效性是否发生变化。IP地址的whois信息是关于IP地址的注册和使用信息的数据,其例如可以体现IP地址所属的网段、AS号、注册时间、注册组织以及注册组织所属的国家。某些情况下,注册组织可能会上报IP地址的规划情况。前文所述的IP地址的重新分配可以通过IP地址的whois信息来体现。具体的,可以通过比较所收集的IP地址的whois和使用者探测得到的whois信息来确定网络威胁情报的有效性是否发生变化。
域名的属性例如包括URL地址、域名过期时间和注册备案信息等。与IP地址类似,域名的属性也包括URL地址。通过URL地址是否可访可以确定针对该域名的网络威胁情报是否有效。域名的注册是有期限的,当域名所有者在域名到期后没有对该域名续费时,域名可能被锁定或删除。因此,可以通过域名的过期时间是否已到,来确定针对该域名的网络威胁情报是否有效。域名的注册备案信息与IP地址的whois信息类似,可描述域名的详细信息。域名的重新分配可以通过域名的注册备案信息来体现。因此,可以通过比较所收集的域名的注册备案信息和使用者探测得到的域名的注册备案信息来确定网络威胁情报的有效性是否发生变化。
下面将分别介绍如何利用IP地址和域名的各种属性来管理网络威胁情报。
图4示意性地示出了从网络威胁情报中提取出的适格威胁情报实体是IP地址,且通过属性收集处理所得到的IP地址的属性是URL地址时,根据本申请实施例的网络威胁情报管理方法的流程。
在该实施例中,对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体的步骤(步骤S105)可以具体包括从所获取到的网络威胁情报中解析出IP地址(步骤S105a)。在该步骤中,在解析出IP地址的同时,还可能解析出其它的适格威胁情报实体。IP地址具有非常明显的结构特征,可以使用基于规则模板的方法进行提取。具体的提取方式已在前文阐述,在此不再赘述。
在从网络威胁情报中提取IP地址之后,对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态的步骤(步骤S110)将具体包括对IP地址进行可访问性探测,以确定IP地址是否可访问(步骤S110a)。确定IP地址是否可访问的方式可以使用本领域已知的方式,例如通过向IP地址发送数据包,并确认是否收到回复及查看回复内容。
之后,可以根据IP地址是否可访问的判断结果,对网络威胁情报的有效性进行初步判断,其中包括,响应于IP地址不可访问,确定所述适格威胁情报实体的存活状态为不存活,从而确定(针对该IP地址的)网络威胁情报失效(步骤S115a)。IP地址不可访问意味着IP地址的主机不存活。这种IP地址并不会作为威胁情报实体发起攻击。所以针对该IP地址的网络威胁情报可能是过时的和无效的。
根据IP地址是否可访问的判断结果,对网络威胁情报的有效性进行初步判断还可包括响应于所述可访问性探测的结果为所述IP地址可访问,确定所述适格威胁情报实体的存活状态为存活,以便进行后续步骤。如果IP地址是否可访问的判断结果是IP地址可访问,那么可以继续通过IP地址的属性来进一步判断针对该IP地址的网络威胁情报的有效性。在一些实施例中,用于判断网络威胁情报的有效性的属性是该IP地址的URL地址。例如,如果一个IP地址为1.1.1.1,则所收集到的URL信息可以是http://1.1.1.1/1.txt等等。此时,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)具体包括对IP地址进行URL地址收集处理,以收集IP地址的URL地址(步骤S120a),且对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)包括对URL地址进行可访问性探测,以确定该URL地址是否可访问(步骤S125a)。
在一些实施例中,收集IP地址的URL地址的步骤可以包括从网络威胁情报中解析出该IP地址的URL地址。如果网络威胁情报中没有该IP地址的URL地址或URL地址的数量较少,也可以从公开资源中查询该IP地址的URL地址。在一些实施例中,如果网络威胁情报中解析出的IP地址的URL地址小于用户设定的阈值(例如,3个),则从公开资源中查询该IP地址的更多的URL地址,使得所收集的URL地址达到至少3个。在另一些实施例中,可以不依赖于网络威胁情报中解析出的IP地址的URL地址的数量,而直接从公开资源中查询该IP地址的URL地址。换句话说,无论从网络威胁情报中解析出的IP地址的URL地址的数量为零,还是从网络威胁情报中解析出的IP地址的非常多个URL地址,都可以仍然从公开资源中查询该IP地址的URL地址。
在收集IP地址的URL地址之后,将对这些URL地址进行验证。在一些实施例中,对所述属性进行属性验证处理,以得到验证结果(步骤S125)具体包括对URL地址进行可访问性探测,以确定该URL地址是否可访问(步骤S125a)。判断URL地址是否可访问可以采用本领域已知的多种方法。例如,向各个URL地址发送访问请求,获取URL地址对应的网页状态码,然后可以根据网页状态码确定与URL地址是否可以访问。状态码通常表示用户试图通过HTTP访问一台正在运行互联网信息服务的服务器上的内容时,由该互联网信息服务返回的表示用户请求的状态的数字代码。状态码可以指明具体请求是否已成功,还可以揭示请求失败的确切原因。现有技术中的状态码大致分为5类,分别使用数字1-5作为起始,可以表示信息提示、请求成功、重定向、客户端报错、服务器报错等等,每个状态码的长度为3位。例如,如果URL地址无法被访问,则http返回码为404。
之后,基于所述验证结果,确定所述网络威胁情报的时效评估结果(步骤S129)可以具体包括基于URL地址是否可访问判断网络威胁情报的有效性。在一些实施例中,当所有URL地址都无法访问时,才认为该网络威胁情报失效(步骤S115a);当至少一个URL地址可访问时,认为该网络威胁情报有效(步骤S130a)。本申请的网络威胁情报管理方法一方面希望通过过滤掉失效的网络威胁情报来提升系统的处理效率,另一方面也希望有效的网络威胁情报不被错误地去除。一般认为,只要有一个URL地址可以访问,则该URL地址所属的IP地址将仍然存在发动攻击可能性。为了网络安全得到更全面的保护和减少误判,可以要求当所有URL地址都无法访问时,才认为该网络威胁情报失效(步骤S115a)。在过滤掉失效的网络威胁情报时,应该避免有效的网络威胁情报被过滤掉。这样可以在减少有效的网络威胁情报被判定为失效的可能性。
在一些其它实施例中,也可以在仅一个或少量URL地址无法访问时,就认为该网络威胁情报失效。相应的,当所有URL地址都可以访问时,才认为该网络威胁情报有效。
图5示意性地示出了从网络威胁情报中提取出的适格威胁情报实体是IP地址,且通过属性收集处理所得到的IP地址的属性是该IP地址的开放端口的服务信息时,根据本申请实施例的网络威胁情报管理方法的流程。该实施例同样包括从所获取到的网络威胁情报中解析出IP地址(步骤S105b),对IP地址进行可访问性探测,以确定IP地址是否可访问(步骤S110b),以及响应于IP地址不可访问,确定(针对该IP地址的)网络威胁情报失效(步骤S115b)等步骤。这些步骤与前文关于IP地址的URL地址的实施例中的对应步骤相似,故此处为了简洁性不再赘述。
在一些实施例中,响应于IP地址可访问,可以继续通过IP地址的开放端口的服务来进一步判断针对该IP地址的网络威胁情报的有效性。例如,基于从网络威胁情报中得到的IP地址(例如,1.1.1.1),可以收集到该IP地址上的开放了80端口,且该端口上部署了http服务。一般来说,每种服务会对应于一个默认的端口号。但是,该默认端口号是可以修改的,主要是为了伪装、隐蔽、安全之类的目的。在该实施例中对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)具体包括对所述网络威胁情报和/或对公开的网络威胁情报资源进行开放端口服务信息收集处理,以得到所述IP地址的各开放端口的收集服务信息(步骤S120b),且对所述属性进行属性验证处理,以得到验证结果(步骤S125)包括基于IP地址的开放端口的服务确定所述网络威胁情报的有效性(步骤S125b),具体包括对所述IP地址进行全量端口探测,以得到各开放端口正在运行的验证服务信息(步骤S126b),确定各开放端口的收集服务信息与验证服务信息是否相同(步骤S128a),确定所述收集服务信息与所述验证服务信息不同的开放端口的数量与开放端口总数量的比率,以及(步骤S128b),判断所述比率是否大于阈值(步骤S127b)。
在一些实施例中,IP地址的开放端口服务信息收集处理可以包括从网络威胁情报中解析出该IP地址的开放端口的服务。如果网络威胁情报中没有该IP地址的开放端口的服务或数量较少,也可以从公开资源中查询该IP地址的开放端口的服务。在一些实施例中,如果网络威胁情报中解析出的IP地址的开放端口的服务数量小于用户设定的阈值(例如,3个),则从公开资源中查询该IP地址的更多的开放端口的服务,使得所收集的开放端口的服务达到至少3个。在另一些实施例中,可以不依赖于网络威胁情报中解析出的IP地址的开放端口的服务的数量,而直接从公开资源中查询该IP地址的开放端口的服务。换句话说,无论从网络威胁情报中解析出的IP地址的开放端口的服务的数量为零,还是从网络威胁情报中解析出的IP地址的非常多个开放端口的服务,都可以仍然从公开资源中查询该IP地址的开放端口的服务。
在收集IP地址的开放端口的服务之后,将对这些开放端口的服务进行验证。在一些实施例中,对所述属性进行属性验证处理,以得到验证结果(步骤S126)具体包括对所述IP地址进行全量端口探测,以得到各开放端口正在运行的验证服务信息(步骤S126b),并确定(前述步骤中所收集的)收集服务信息与经验证服务信息是否相同(步骤S128a)。验证IP地址的开放端口的服务可以采用本领域已知的多种方法。例如,可以对该IP地址进行全量端口探测,具体方式可以是向目标端口发送服务探测数据,然后判断是否接收到目标端口发送的应答数据;若接收到应答数据,则从应答数据中检索可能的服务版本信息,以获取所有开放的端口所对应使用的服务。经过上述验证,可能各个开放端口所对应的服务与步骤S120b中所收集的服务信息一致,或者一些开放端口的服务信息发生变化,出现不同。例如,有可能通过步骤S120b收集到某IP地址的22端口上存在ssh服务,但经过步骤S126b的验证,发现该IP地址虽然开放22端口,但使用的是http服务。这种情况即为开放端口的服务发生变化。
之后,对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)确定所述收集服务信息与所述验证服务信息不同的开放端口的数量与开放端口总数量的比率(步骤S128b),以及判断所述比率是否大于阈值(步骤S127b)。在一些实施例中,可以通过判断验证后服务出现变化的开放端口的数量与开放端口的总数量的比率来判断网络威胁情报的有效性。如果该比率大于一阈值,则可以确定该IP地址所针对的网络威胁情报失效(步骤S115b);如果该比率小于或等于该阈值,则可以确定该IP地址所针对的网络威胁情报有效(步骤S130b)。此阈值可以根据实际需要由使用者来设置。例如,在一些实施例中,该比率可以被设置为50%。发明人发现,当服务出现变化的端口的数量找过开放端口的总数的50%,则有可能意味着该IP地址进行了大规模的重新配置,此时该IP地址有可能不再会发起攻击。因此针对该IP地址的网络威胁情报将失效。在其它实施例中,为了避免有效的网络威胁情报被错误地去除。可以将该阈值进一步提升为60%,甚至70%。当阈值处于50%至70%的区间内时,可以在过滤掉失效警告的同时减少有效的网络威胁情报被判定为失效的可能性。相应的,当验证后服务出现变化的开放端口的数量与开放端口的总数量的比率小于或等于该阈值时,可认为该网络威胁情报有效(步骤S130b)。
图6示意性地示出了从网络威胁情报中提取出的威胁情报实体是IP地址,且收集和验证的IP地址的属性是反查域名时,根据本申请实施例的网络威胁情报管理方法的流程。该实施例同样包括从所获取到的网络威胁情报中解析出IP地址(步骤S105c),对IP地址进行可访问性探测,以确定IP地址是否可访问(步骤S110c),以及响应于IP地址不可访问,确定所述适格威胁情报实体的存活状态为不存活,进而确定针对该IP地址的网络威胁情报失效(步骤S115c)等步骤。这些步骤与前文关于IP地址的URL地址的实施例中的对应步骤相似,故此处为了简洁性不再赘述。
在一些实施例中,响应于IP地址可访问,确定所述适格威胁情报实体的存活状态为存活,然后可以继续通过IP地址的反查域名来进一步判断针对该IP地址的网络威胁情报的有效性。反查域名是指可以通过一个已知的IP地址作为条件反过来查询与此条件相匹配的一系列其它域名。被查询到的域名可以被理解为绑定在该IP地址下。例如,通过网络威胁情报中提取得到的IP地址(例如,1.1.1.1),可以收集到该IP地址上绑定了xxx.com这个域名。该域名即为本申请中的反查域名。在该实施例中,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)包括对所述网络威胁情报和/或对公开的网络威胁情报资源进行反查域名收集处理,以得到所述IP地址的反查域名(步骤S120c),以及对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)包括基于IP地址的反查域名确定所述网络威胁情报的有效性(步骤S125c),具体包括验证所述反查域名所绑定的IP地址以得到经验证IP地址(步骤S126c),以及确定所述经验证IP地址与所述IP地址是否相同(步骤S127c)。
在一些实施例中,反查域名收集处理可以包括从网络威胁情报中解析出该IP地址的反查域名。如果网络威胁情报中没有解析出该IP地址的反查域名或数量较少,也可以从公开资源中查询该IP地址的反查域名。在一些实施例中,如果网络威胁情报中解析出的IP地址的反查域名的数量小于用户设定的阈值(例如,3个),则从公开资源中查询该IP地址的更多的反查域名,使得所收集的反查域名达到至少3个。在另一些实施例中,可以不依赖于网络威胁情报中解析出的IP地址的反查域名的数量,而直接从公开资源中查询该IP地址的反查域名。换句话说,无论从网络威胁情报中解析出的IP地址的反查域名的数量为零,还是从网络威胁情报中解析出的IP地址的非常多个反查域名,都可以仍然从公开资源中查询该IP地址的反查域名。
在收集IP地址的反查域名之后,将对这些反查域名进行验证,以得到验证结果。在一些实施例中,步骤S125c具体包括验证反查域名所绑定的IP地址以得到经验证IP地址(步骤S126c)。验证IP地址的反查域名可以采用本领域已知的多种方法。例如,可以通过ping命令或nslookup命令来查询反查域名所绑定的经验证IP地址。
之后,对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)可以进一步包括确定经验证IP地址与(前述步骤中所收集的)IP地址是否相同(步骤S127c)。也就是,可以通过判断反查域名是否仍然绑定在网络威胁情报所针对的IP地址下来判断网络威胁情报的有效性。在一些实施例中,基于所述验证结果,确定所述网络威胁情报的时效评估结果的步骤(步骤S129)包括:当所有反查域名都不绑定在原IP地址下(即经验证IP地址与网络威胁情报所针对的IP地址不同)时,才认为该网络威胁情报失效(步骤S115c);当至少一个反查域名绑定在原IP地址下(即经验证IP地址与网络威胁情报所针对的IP地址相同)时,认为该网络威胁情报有效(步骤S130c)。与前述关于IP地址的URL地址的实施例类似,一般认为,只要有一个反查域名绑定在原IP地址下,则该反查域名所绑定的IP地址将仍然存在发动攻击可能性。为了网络安全得到更全面的保护和减少误判,可以要求当所有反查域名都不绑定在原IP地址下时,才认为该网络威胁情报失效(步骤S115c)。
在一些其它实施例中,也可以在仅一个反查域名不绑定在原IP地址下时,认为该网络威胁情报失效(步骤S115c)。相应的,当所有反查域名都绑定在原IP地址下时,可认为该网络威胁情报有效(步骤S130c)。
图7示意性地示出了从网络威胁情报中提取出的适格威胁情报实体是IP地址,且收集和验证的IP地址的属性是whois时,根据本申请实施例的网络威胁情报管理方法的流程。该实施例同样包括从所获取到的网络威胁情报中解析出IP地址(步骤S105d),对IP地址进行可访问性探测,以确定IP地址是否可访问(步骤S110d),以及响应于IP地址不可访问,确定针对该IP地址的网络威胁情报失效(步骤S115d)等步骤。这些步骤与前文关于IP地址的URL地址的实施例中的对应步骤相似,故此处为了简洁性不再赘述。
在一些实施例中,响应于IP地址可访问,确定所述适格威胁情报实体的存活状态为存活,然后可以继续通过IP地址的whois信息来进一步判断针对该IP地址的网络威胁情报的有效性。Whois可以用于帮助了解域名的详细信息,如域名的IP地址以及所有者等信息。因此,在知晓IP地址的情况下,可以借助whois工具来获得IP地址的拥有者或运营商等信息。以IP地址的拥有者为例,如果IP地址的拥有者发生变化,往往可以表示该IP地址已经被攻击者放弃,并由普通用户所购买和使用。此时,该IP地址可能不再会发起攻击,针对该IP地址的网络威胁情报也将无效。
在一些实施例中,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)可以包括对所述网络威胁情报进行whois信息解析处理,以得到所述IP地址的待验证whois信息(步骤S120d),且对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)包括基于IP地址的whois信息确定所述网络威胁情报的有效性(步骤S125d)。
在从网络威胁情报中提取IP地址的whois信息之后,将对该whois信息进行验证。在一些实施例中,步骤S125d具体包括对公开的网络威胁情报资源进行whois信息查询处理,以得到经验证whois信息(步骤S126d),以及确定所述经验证whois信息与所述待验证whois信息是否相同(步骤S127d)。从公开资源查询IP地址的whois信息可以采用本领域已知的多种方法。例如,很多公开网站都提供根据IP地址搜索WEB服务的功能。经过上述验证,从公开资源查询的IP地址的whois信息可能与从网络威胁情报中提取的IP地址的whois信息相同或不同。
之后,步骤S125d可以进一步包括确定所述经验证whois信息与所述待验证whois信息是否相同(步骤S127d)。在一些实施例中,如果从公开资源查询的所述IP地址的whois信息与从网络威胁情报中提取的IP地址的whois信息不同,则可以确定该IP地址所针对的网络威胁情报失效(步骤S115d);如果相同,则可以确定该IP地址所针对的网络威胁情报有效(步骤S130d)。例如,如果网络威胁情报中解析出IP地址的拥有者为张三,而经由公开资源查询到的拥有者为李四,则认为该IP地址的whois发生了改变。此时可认为针对该域名的网络威胁情报是失效的。
图8示意性地示出了从网络威胁情报中提取出的威胁情报实体是IP地址,且收集和验证的IP地址的属性是whois信息时,根据本申请另一实施例的网络威胁情报管理方法的流程。该实施例同样包括从所获取到的网络威胁情报中提取IP地址(步骤S105e),对IP地址进行可访问性探测,以确定IP地址是否可访问(步骤S110e),以及响应于IP地址不可访问,确定针对该IP地址的网络威胁情报失效(步骤S115e)等步骤。这些步骤与前文关于IP地址的URL地址的实施例中的对应步骤相似,故此处为了简洁性不再赘述。
在该实施例中,利用两个不同的公开资源进行IP地址的whois信息的收集和验证。具体的,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)可以包括对第一公开网络威胁情报资源进行whois信息查询处理,以得到所述IP地址的待验证whois信息(步骤S120e),且对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)包括基于IP地址的whois信息确定所述网络威胁情报的有效性(步骤S125e)。具体的,步骤S125e可以包括对第二公开网络威胁情报资源进行whois信息查询处理,以得到所述IP地址的经验证whois信息(步骤S126e),以及确定所述经验证whois信息与所述待验证whois信息是否相同(步骤S127e)。如果不同的公开资源查询得到的IP地址的whois信息不同,则可能表示IP地址的拥有者发生变动,因此可以确定该IP地址所针对的网络威胁情报失效(步骤S115e);如果不同的公开资源查询得到的IP地址的whois信息相同,则可以确定该IP地址所针对的网络威胁情报有效(步骤S130e)。
可理解,IP地址的whois信息还包括运营商、联系地址、电话、邮箱、位置、最后修改时间等信息。这些信息也可用于网络威胁情报的有效性的判断。
除了IP地址之外,从网络威胁情报中提取的威胁情报实体还可能包括域名。下面将介绍如何根据域名的各种属性来判断网络威胁情报的有效性,从而管理网络威胁情报。
图9示意性地示出了从网络威胁情报中提取出的适格威胁情报实体是域名,且收集和验证的域名的属性是URL地址时,根据本申请实施例的网络威胁情报管理方法的流程。
在该实施例中,对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体的步骤(步骤S105)可以具体包括从所获取到的网络威胁情报中解析出域名(步骤S105f)。与IP地址类似,域名也具有非常明显的结构特征,可以使用基于规则模板的方法进行提取。具体的提取方式已在前文阐述,在此不再赘述。
在从网络威胁情报中解析出域名之后,对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态的步骤(步骤S110)将具体包括对所述域名进行可访问性探测,以确定所述域名是否可访问(步骤S110f)。确定域名是否可访问的方式可以使用本领域已知的方式,例如,可以将域名转换成URL,使用HTTP GET进行访问,获取到HTTP状态码200(ok)或者302(跳转)即可证明域名存活。之后,可以根据域名是否可访问的判断结果,对网络威胁情报的有效性进行初步判断,其中包括,响应于域名不可访问,确定所述适格威胁情报实体的存活状态为不存活,进而确定针对该域名的网络威胁情报失效(步骤S115f)。域名不可访问意味着域名所在的主机不存活,因此不会发起攻击。所以针对该域名的网络威胁情报可能是过时的和无效的。
如果对域名进行可访问性探测的结果是域名可访问,那么可以继续通过域名的属性来进一步判断针对该域名的网络威胁情报的有效性。在一些实施例中,用于判断网络威胁情报的有效性的属性是该域名的URL地址。例如,如果一个域名为xxx.com,则该域名上可访问的URL地址可能有xxx.com/a.html,xxx.com/b.html等。此时,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)具体包括对域名进行URL地址收集处理,以收集域名的URL地址(步骤S120f),且对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)包括对URL地址进行可访问性探测,以确定该URL地址是否可访问(步骤S125f)。
验证域名的URL地址是否可访问的方式与验证IP地址的URL地址是否可访问的方式类似。在此将仅进行简单介绍。在一些实施例中,收集域名的URL地址的步骤可以包括从网络威胁情报中解析出该IP地址的URL地址。如果网络威胁情报中没有该IP地址的URL地址或数量较少(例如,少于3个),也可以从公开资源中查询该IP地址的URL地址。在另一些实施例中,可以不依赖于网络威胁情报中解析出的域名的URL地址的数量,而直接从公开资源中查询该域名的URL地址。
在收集域名的URL地址之后,将对这些URL地址进行验证。在一些实施例中,对所述属性进行属性验证处理,以得到验证结果(步骤S125)具体包括对URL地址进行可访问性探测,以确定该URL地址是否可访问(步骤S125f)。判断URL地址是否可访问可以采用本领域已知的多种方法,例如可以采用前文描述的判断IP地址的URL地址是否可访问的方法。
之后,基于所述验证结果,确定所述网络威胁情报的时效评估结果(步骤S129)可以具体包括基于URL地址是否可访问判断网络威胁情报的有效性。在一些实施例中,当所有URL地址都无法访问时,才认为该网络威胁情报失效;当至少一个URL地址可访问时,认为该网络威胁情报有效。在一些其它实施例中,也可以在仅一个或少量URL地址无法访问时,认为该网络威胁情报失效;相应的,当所有URL地址都可以访问时,认为该网络威胁情报有效。
图10示意性地示出了从网络威胁情报中提取出的适格威胁情报实体是域名,且收集和验证的域名的属性是域名过期时间时,根据本申请实施例的网络威胁情报管理方法的流程。该实施例同样包括从所获取到的网络威胁情报中解析出域名(步骤S105g),对所述域名进行可访问性探测,以确定域名是否可访问(步骤S110g),以及响应于域名不可访问,确定所述适格威胁情报实体的存活状态为不存活,从而确定针对该域名的网络威胁情报失效(步骤S115g)等步骤。这些步骤与前文关于域名的URL地址的实施例中的对应步骤相似,故此处为了简洁性不再赘述。
在一些实施例中,响应于域名可访问,可以继续通过域名的域名过期时间来进一步判断针对该域名的网络威胁情报的有效性。如果域名已到期且没有续费,那么域名的注册局会收回这个域名,域名拥有者将失去该域名的使用权。如果该域名用来建站,则会导致网站无法打开和访问。因此,如果发现域名过期时间已到,则认为该域名可能不再会发动攻击,针对该域名的网络威胁情报将无效。
在一些实施例中,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)可以包括对所述网络威胁情报和/或对公开的网络威胁情报资源进行域名过期时间收集处理,以得到所述域名的域名过期时间(步骤S120g)。在一些实施例中,可以从网络威胁情报中解析出该域名的域名过期时间。如果网络威胁情报中没有解析出该域名的域名过期时间,也可以从公开资源中查询该域名的域名过期时间。在收集到域名的域名过期时间之后,对所述属性进行属性验证处理,以得到验证结果(步骤S125)可以包括确定所述域名过期时间是否在即时时间之前(步骤S125g)。术语“即时时间”是指步骤S125执行时所处的时间,其可以精确到日、时、分、秒等。如果步骤S125g是在步骤S120g之后立刻进行,那么即时时间例如可以是步骤S120g完成的时刻。在另一实施例中,也可能在步骤S120g完成后的一段时间之后再进行步骤S125g。此时,即时时间是步骤S125g被执行时所处的时间。
之后,可以进一步基于即时时间与域名过期时间的前后判断网络威胁情报的有效性。在一些实施例中,如果域名过期时间在即时时间之前,则认为该网络威胁情报失效(步骤S115g);如果域名过期时间在即时时间之后,则认为该网络威胁情报有效(步骤S130g)。例如,如果从网络威胁情报或公开资源中得知该域名的过期时间为2019年1月1日,而根据本申请实施例的判断网络威胁情报的有效性的方法的运行时间(即步骤S125g的运行时间)为2021年1月1日,则认为该域名已过期,针对该域名的网络威胁情报已失效。或者,如果域名的购买时间是2019年1月1日,购买期限为一年,则可知该域名的域名过期时间是2020年1月1日,如果根据本申请实施例的判断网络威胁情报的有效性的方法的运行时间为2021年1月1日,则认为该域名已过期,针对该域名的网络威胁情报已失效。
图11示意性地示出了从网络威胁情报中提取出的适格威胁情报实体是域名,且收集和验证的域名的属性是注册备案信息时,根据本申请实施例的网络威胁情报管理方法的流程。该实施例同样包括从所获取到的网络威胁情报中提取域名(步骤S105h),对所述域名进行可访问性探测,以确定域名是否可访问(步骤S110h),以及响应于域名不可访问,确定针对该域名的网络威胁情报失效(步骤S115h)等步骤。这些步骤与前文关于域名的URL地址的实施例中的对应步骤相似,故此处为了简洁性不再赘述。
在一些实施例中,响应于IP地址可访问,可以继续通过域名的注册备案信息来进一步判断针对该域名的网络威胁情报的有效性。域名的注册备案信息是指注册时和备案时所提供的信息,例如包括域名的注册者、注册邮箱、注册电话、历史注册信息、备案主体名称、主体性质、备案号、备案更新时间等。如果域名的注册备案信息发生变化,往往可以表示该域名已经被攻击者放弃,并由普通用户所购买和使用。此时,该域名可能不再会发起攻击,针对该域名的网络威胁情报也将无效。
在一些实施例中,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)可以包括对所述网络威胁情报进行注册备案信息解析处理,以得到所述域名的待验证注册备案信息(步骤S120h),且对所述属性进行属性验证处理,以得到验证结果的步骤(步骤S125)包括基于域名的注册备案信息确定所述网络威胁情报的有效性(步骤125h),具体包括,对公开的网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的经验证注册备案信息(步骤S126h),以及确定所述经验证注册备案信息与所述待验证注册备案信息是否相同(步骤S127h)。
从公开资源查询域名的注册备案信息可以采用本领域已知的多种方法。例如,域名注册商的网站可以查询到域名的注册备案信息。因此可以通过向这些网站发送相应的请求来获得域名的注册备案信息。经过上述验证,从公开资源查询的域名的注册备案信息可能与从网络威胁情报中提取的域名的注册备案信息相同或不同。
之后,可以基于(从公开资源查询的域名的)经验证注册备案信息与(从网络威胁情报中提取的域名的)注册备案信息是否相同,确定网络威胁情报的有效性(步骤S127h)。在一些实施例中,如果从公开资源查询的域名的注册备案信息与从网络威胁情报中提取的域名的注册备案信息不同,则可以确定该域名所针对的网络威胁情报失效(步骤S115h);如果相同,则可以确定该域名所针对的网络威胁情报有效(步骤S130h)。
在一些实施例中,可以要求注册备案信息中的所有信息都不一致的情况下,才认为该网络威胁情报已失效。例如,如果在步骤S120h中从网络威胁情报中提取的该域名的注册备案信息为:主体aaa、备案号bbb、主体性质ccc、站点名称ddd,通过步骤126h查询到该域名的注册备案信息为:主体xxx、备案号bbb、主体性质ccc、站点名称ddd,那么可以看到两者之间除主体不一样,其他信息都一致。在这种情况下,可以不认为该域名的注册备案信息发生改变,并认为该网络威胁情报仍然有效。
在其它实施例中,也可以在仅一项注册备案信息发生不一致的情况下认定该网络威胁情报已失效。
图12示意性地示出了从网络威胁情报中提取出的适格威胁情报实体是域名,且收集和验证的域名的属性是域名的注册备案信息时,根据本申请另一实施例的网络威胁情报管理方法的流程。该实施例同样包括从所获取到的网络威胁情报中提取域名(步骤S105i),对所述域名进行可访问性探测,以确定域名是否可访问(步骤S110i),以及响应于域名不可访问,确定针对该域名的网络威胁情报失效(步骤S115i)等步骤。这些步骤与前文关于域名的URL地址的实施例中的对应步骤相似,故此处为了简洁性不再赘述。
在该实施例中,利用两个不同的公开资源进行域名的注册备案信息的收集和验证。具体的,对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性的步骤(步骤S120)可以包括对第一公开网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的待验证注册备案信息(步骤S120i)。对所述属性进行属性验证处理,以得到验证结果包括(步骤S125)可以包括:基于域名的注册备案信息确定所述网络威胁情报的有效性(步骤125i),具体包括对第二公开网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的经验证注册备案信息(步骤S126i),以及确定所述经验证注册备案信息与所述待验证注册备案信息是否相同(步骤S127i)。如果不同的公开资源查询得到的域名的注册备案信息不同,则可能表示域名的注册者发生变动,因此可以确定该域名所针对的网络威胁情报失效(步骤S115i);如果不同的公开资源查询得到的域名的注册备案信息相同,则可以确定该域名所针对的网络威胁情报有效(步骤S130i)。
根据本申请实施例的判断网络威胁情报有效性的方法对网络威胁情报中的IP地址和/或域名进行多维度的检测。该方法首先了分析了IP地址和/或域名的存活性,并可以基于此,在不进行后续操作的情况下能够确定一些网络威胁情报失效。因此该方法的处理效率较高,节省了有限的计算资源。在IP地址和/或域名存活的情况下,该方法继续验证其属性,如IP地址的URL地址、开放端口的服务、反查域名、whois信息中的至少一种和域名的URL地址、域名过期时间、注册备案信息中的至少一种,并基于此继续判断网络威胁情报的有效性。这些特定的属性的收集和利用可以更准确地识别出威胁情报实体是否出现变化,进而准确地确定关于该威胁情报实体的网络威胁情报是否仍然有效。
在以上实施例的后续操作中,可以输出所述网络威胁情报的时效评估结果。无效的网络威胁情报可以被过滤掉,使得具有更高有效性和价值的警告被突出,提升了系统的处理效率。另外,在针对网络攻击进行的溯源过程中,由于失效的警告已被过滤掉,溯源过程所需要处理或分析的警告的数量被减小,从而提升了溯源效率。
图13示意性地示出了根据本申请实施例的网络威胁情报管理装置200的结构框图。如图13所示,该装置包括网络威胁情报获取模块203、适格威胁情报实体解析模块205、适格威胁情报实体存活性探测模块210、网络威胁情报时效评估模块215、和时效评估结果输出模块220。
网络威胁情报获取模块203配置成获取需要进行时效性判断的网络威胁情报。例如,网络威胁情报获取模块203可以从网络威胁情报共享交换平台、情报供应商及各个网站来获取待进行时效性判断的网络威胁情报。
适格威胁情报实体解析模块205配置成对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体。如前所述,不同类型威胁情报实体的文本的构成特点不一,因此可能需要利用不同的模型来提取不同类型的威胁情报实体。在一些实施例中,从网络威胁情报中提取的威胁情报实体可以是IP地址或域名中的至少一个。
适格威胁情报实体存活性探测模块210配置成对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态。可以利用将数据包发送至威胁情报实体所在的目标主机,然后根据预设时间内是否接收到目标主机返回的响应数据包判定威胁情报实体是否存活。
网络威胁情报时效评估模块215配置成基于所述适格威胁情报实体的存活状态,对所述网络威胁情报进行时效评估处理,以得到所述网络威胁情报的时效评估结果。其具体可以响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问,确定所述适格威胁情报实体的存活状态为不存活,从而确定所述网络威胁情报无效,并且响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问,确定所述适格威胁情报实体的存活状态为存活,从而继续进行对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性,对所述属性进行属性验证处理,以得到验证结果,以及,基于所述验证结果,确定所述网络威胁情报的时效评估结果等步骤。当威胁情报实体不存活时,该威胁情报实体无法发起攻击,因此针对该威胁情报实体的网络威胁情报则是失效的,所以可以基于威胁情报实体中的至少一个不存活,直接确定所述网络威胁情报失效。当威胁情报实体存活的情况下,可以根据威胁情报实体的属性继续判断网络威胁情报的有效性。威胁情报实体的属性既可能从网络威胁情报中获得,也可能从公开资源中获得。在收集到威胁情报实体的属性后,网络威胁情报时效评估模块215可以基于收集到的属性判断网络威胁情报的有效性。各属性各自的判断方式已在上文中描述,此处为了简洁性将不再赘述。
在得到网络威胁情报的时效评估结果后,可以由时效评估结果输出模块220输出时效评估结果,例如在网络威胁情报中进行标记。
图14图示了示例系统300,其包括代表可以实现本文描述的各种技术的一个或多个系统和/或设备的示例计算设备310。计算设备310可以是例如服务提供商的服务器、与服务器相关联的设备、片上系统、和/或任何其它合适的计算设备或计算系统。上面参照图13描述的网络威胁情报管理装置200可以采取计算设备310的形式。替换地,网络威胁情报管理装置200可以以应用316的形式被实现为计算机程序。
如图示的示例计算设备310包括彼此通信耦合的处理系统311、一个或多个计算机可读介质312以及一个或多个I/O接口313。尽管未示出,但是计算设备310还可以包括系统总线或其他数据和命令传送系统,其将各种组件彼此耦合。系统总线可以包括不同总线结构的任何一个或组合,所述总线结构诸如存储器总线或存储器控制器、外围总线、通用串行总线、和/或利用各种总线架构中的任何一种的处理器或局部总线。还构思了各种其他示例,诸如控制和数据线。
处理系统311代表使用硬件执行一个或多个操作的功能。因此,处理系统311被图示为包括可被配置为处理器、功能块等的硬件元件314。这可以包括在硬件中实现为专用集成电路或使用一个或多个半导体形成的其它逻辑器件。硬件元件314不受其形成的材料或其中采用的处理机构的限制。例如,处理器可以由(多个)半导体和/或晶体管(例如,电子集成电路(IC))组成。在这样的上下文中,处理器可执行指令可以是电子可执行指令。
计算机可读介质312被图示为包括存储器/存储装置315。存储器/存储装置315表示与一个或多个计算机可读介质相关联的存储器/存储容量。存储器/存储装置315可以包括易失性介质(诸如随机存取存储器(RAM))和/或非易失性介质(诸如只读存储器(ROM)、闪存、光盘、磁盘等)。存储器/存储装置315可以包括固定介质(例如,RAM、ROM、固定硬盘驱动器等)以及可移动介质(例如,闪存、可移动硬盘驱动器、光盘等)。计算机可读介质312可以以下面进一步描述的各种其他方式进行配置。
一个或多个I/O接口313代表允许用户使用各种输入设备向计算设备310输入命令和信息并且可选地还允许使用各种输出设备将信息呈现给用户和/或其他组件或设备的功能。输入设备的示例包括键盘、光标控制设备(例如,鼠标)、麦克风(例如,用于语音输入)、扫描仪、触摸功能(例如,被配置为检测物理触摸的容性或其他传感器)、相机(例如,可以采用可见或不可见的波长(诸如红外频率)将不涉及触摸的运动检测为手势)等等。输出设备的示例包括显示设备(例如,监视器或投影仪)、扬声器、打印机、网卡、触觉响应设备等。因此,计算设备310可以以下面进一步描述的各种方式进行配置以支持用户交互。
计算设备310还包括应用316。应用316可以例如是网络威胁情报管理装置200的软件实例,并且与计算设备310中的其他元件相组合地实现本文描述的技术。
本文可以在软件硬件元件或程序模块的一般上下文中描述各种技术。一般地,这些模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、元素、组件、数据结构等。本文所使用的术语“模块”,“功能”和“组件”一般表示软件、固件、硬件或其组合。本文描述的技术的特征是与平台无关的,意味着这些技术可以在具有各种处理器的各种计算平台上实现。
所描述的模块和技术的实现可以存储在某种形式的计算机可读介质上或者跨某种形式的计算机可读介质传输。计算机可读介质可以包括可由计算设备310访问的各种介质。作为示例而非限制,计算机可读介质可以包括“计算机可读存储介质”和“计算机可读信号介质”。
与单纯的信号传输、载波或信号本身相反,“计算机可读存储介质”是指能够持久存储信息的介质和/或设备,和/或有形的存储装置。因此,计算机可读存储介质是指非信号承载介质。计算机可读存储介质包括诸如易失性和非易失性、可移动和不可移动介质和/或以适用于存储信息(诸如计算机可读指令、数据结构、程序模块、逻辑元件/电路或其他数据)的方法或技术实现的存储设备之类的硬件。计算机可读存储介质的示例可以包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字通用盘(DVD)或其他光学存储装置、硬盘、盒式磁带、磁带,磁盘存储装置或其他磁存储设备,或其他存储设备、有形介质或适于存储期望信息并可以由计算机访问的制品。
“计算机可读信号介质”是指被配置为诸如经由网络将指令发送到计算设备310的硬件的信号承载介质。信号介质典型地可以将计算机可读指令、数据结构、程序模块或其他数据体现在诸如载波、数据信号或其它传输机制的调制数据信号中。信号介质还包括任何信息传递介质。术语“调制数据信号”是指这样的信号,该信号的特征中的一个或多个被设置或改变,从而将信息编码到该信号中。作为示例而非限制,通信介质包括诸如有线网络或直接连线的有线介质以及诸如声、RF、红外和其它无线介质的无线介质。
如前所述,硬件元件314和计算机可读介质312代表以硬件形式实现的指令、模块、可编程器件逻辑和/或固定器件逻辑,其在一些实施例中可以用于实现本文描述的技术的至少一些方面。硬件元件可以包括集成电路或片上系统、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)以及硅中的其它实现或其他硬件设备的组件。在这种上下文中,硬件元件可以作为执行由硬件元件所体现的指令、模块和/或逻辑所定义的程序任务的处理设备,以及用于存储用于执行的指令的硬件设备,例如,先前描述的计算机可读存储介质。
前述的组合也可以用于实现本文所述的各种技术和模块。因此,可以将软件、硬件或程序模块和其它程序模块实现为在某种形式的计算机可读存储介质上和/或由一个或多个硬件元件314体现的一个或多个指令和/或逻辑。计算设备310可以被配置为实现与软件和/或硬件模块相对应的特定指令和/或功能。因此,例如通过使用处理系统的计算机可读存储介质和/或硬件元件314,可以至少部分地以硬件来实现将模块实现为可由计算设备310作为软件执行的模块。指令和/或功能可以由一个或多个制品(例如,一个或多个计算设备310和/或处理系统311)可执行/可操作以实现本文所述的技术、模块和示例。
在各种实施方式中,计算设备310可以采用各种不同的配置。例如,计算设备310可以被实现为包括个人计算机、台式计算机、多屏幕计算机、膝上型计算机、上网本等的计算机类设备。计算设备310还可以被实现为包括诸如移动电话、便携式音乐播放器、便携式游戏设备、平板计算机、多屏幕计算机等移动设备的移动装置类设备。计算设备310还可以实现为电视类设备,其包括具有或连接到休闲观看环境中的一般地较大屏幕的设备。这些设备包括电视、机顶盒、游戏机等。
本文描述的技术可以由计算设备310的这些各种配置来支持,并且不限于本文所描述的技术的具体示例。功能还可以通过使用分布式系统、诸如通过如下所述的平台322而在“云”320上全部或部分地实现。
云320包括和/或代表用于资源324的平台322。平台322抽象云320的硬件(例如,服务器)和软件资源的底层功能。资源324可以包括在远离计算设备310的服务器上执行计算机处理时可以使用的应用和/或数据。资源324还可以包括通过因特网和/或通过诸如蜂窝或Wi-Fi网络的订户网络提供的服务。
平台322可以抽象资源和功能以将计算设备310与其他计算设备连接。平台322还可以用于抽象资源的分级以提供遇到的对于经由平台322实现的资源324的需求的相应水平的分级。因此,在互连设备实施例中,本文描述的功能的实现可以分布在整个系统300内。例如,功能可以部分地在计算设备310上以及通过抽象云320的功能的平台322来实现。
应当理解,为清楚起见,参考不同的功能单元对本申请的实施例进行了描述。然而,将明显的是,在不偏离本申请的情况下,每个功能单元的功能性可以被实施在单个单元中、实施在多个单元中或作为其它功能单元的一部分被实施。例如,被说明成由单个单元执行的功能性可以由多个不同的单元来执行。因此,对特定功能单元的参考仅被视为对用于提供所描述的功能性的适当单元的参考,而不是表明严格的逻辑或物理结构或组织。因此,本申请可以被实施在单个单元中,或者可以在物理上和功能上被分布在不同的单元和电路之间。
尽管已经结合一些实施例描述了本申请,但是其不旨在被限于在本文中所阐述的特定形式。相反,本申请的范围仅由所附权利要求来限制。附加地,尽管单独的特征可以被包括在不同的权利要求中,但是这些可以可能地被有利地组合,并且包括在不同权利要求中不暗示特征的组合不是可行的和/或有利的。特征在权利要求中的次序不暗示特征必须以其工作的任何特定次序。此外,在权利要求中,词“包括”不排除其它元件,并且术语“一”或“一个”不排除多个。权利要求中的附图标记仅作为明确的例子被提供,不应该被解释为以任何方式限制权利要求的范围。
Claims (14)
1.一种网络威胁情报管理方法,其特征在于,所述方法包括:
获取需要进行时效性判断的网络威胁情报;
对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体;
对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态;
基于所述适格威胁情报实体的存活状态,对所述网络威胁情报进行时效评估处理,以得到所述网络威胁情报的时效评估结果;以及
输出所述网络威胁情报的时效评估结果。
2.根据权利要求1所述的方法,其中,基于所述适格威胁情报实体的存活状态,对所述网络威胁情报进行时效评估处理,以得到所述网络威胁情报的时效评估结果包括:
响应于所述适格威胁情报实体的存活状态为不存活,确定所述网络威胁情报的时效评估结果为失效;
响应于所述适格威胁情报实体的存活状态为存活,执行下述步骤:
对所述适格威胁情报实体进行属性收集处理,以得到所述适格威胁情报实体的属性,
对所述属性进行属性验证处理,以得到验证结果,以及
基于所述验证结果,确定所述网络威胁情报的时效评估结果。
3.根据权利要求2所述的方法,其中,对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体包括:
从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。
4.根据权利要求3所述的方法,其中,对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态包括:
对所述IP地址和所述域名的所述至少一个的进行可访问性探测;
响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问,确定所述适格威胁情报实体的存活状态为不存活;以及
响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问,确定所述适格威胁情报实体的存活状态为存活。
5.根据权利要求3所述的方法,其中所述适格威胁情报实体包括所述域名;
对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报和/或对公开的网络威胁情报资源进行域名过期时间收集处理,以得到所述域名的域名过期时间;
对所述属性进行属性验证处理包括:确定所述域名过期时间是否在即时时间之前;并且,
基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述域名过期时间在所述即时时间之前,确定所述网络威胁情报的时效评估结果为失效;以及,响应于所述域名过期时间与所述即时时间相同或在所述即时时间之后,确定所述网络威胁情报的时效评估结果为有效。
6.根据权利要求3所述的方法,其中所述适格威胁情报实体包括所述域名;
对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报进行注册备案信息解析处理,以得到所述域名的待验证注册备案信息;
对所述属性进行属性验证处理包括:对公开的网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的经验证注册备案信息;以及,确定所述经验证注册备案信息与所述待验证注册备案信息是否相同;并且,
基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证注册备案信息与所述待验证注册备案信息不同,确定所述网络威胁情报的时效评估结果为失效;以及,响应于所述经验证注册备案信息与所述待验证注册备案信息相同,确定所述网络威胁情报的时效评估结果为有效。
7.根据权利要求3所述的方法,其中所述适格威胁情报实体包括所述域名;
对所述适格威胁情报实体进行属性收集处理包括:对第一公开网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的待验证注册备案信息;
对所述属性进行属性验证处理包括:对第二公开网络威胁情报资源进行注册备案信息查询处理,以得到所述域名的经验证注册备案信息;以及,确定所述经验证注册备案信息与所述待验证注册备案信息是否相同;并且,
基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证注册备案信息与所述待验证注册备案信息不同,确定所述网络威胁情报的时效评估结果为失效;以及,响应于所述经验证注册备案信息与所述待验证注册备案信息相同,确定所述网络威胁情报的时效评估结果为有效。
8.根据权利要求3所述的方法,其中所述适格威胁情报实体包括所述IP地址;
对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报进行whois信息解析处理,以得到所述IP地址的待验证whois信息;
对所述属性进行属性验证处理包括:对公开的网络威胁情报资源进行whois信息查询处理,以得到经验证whois信息;以及,确定所述经验证whois信息与所述待验证whois信息是否相同;并且,
基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证whois信息与所述待验证whois信息不同,确定所述网络威胁情报的时效评估结果为失效;以及,响应于所述经验证whois信息与所述待验证whois信息相同,确定所述网络威胁情报的时效评估结果为有效。
9.根据权利要求3所述的方法,其中所述适格威胁情报实体包括所述IP地址;
对所述适格威胁情报实体进行属性收集处理包括:对第一公开网络威胁情报资源进行whois信息查询处理,以得到所述IP地址的待验证whois信息;
对所述属性进行属性验证处理包括:对第二公开网络威胁情报资源进行whois信息查询处理,以得到所述IP地址的经验证whois信息;以及,确定所述经验证whois信息与所述待验证whois信息是否相同;并且,
基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证whois信息与所述待验证whois信息不同,确定所述网络威胁情报的时效评估结果为失效;以及,响应于所述经验证whois信息与所述待验证whois信息相同,确定所述网络威胁情报的时效评估结果为有效。
10.根据权利要求3所述的方法,其中所述适格威胁情报实体包括所述IP地址;
对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报和/或对公开的网络威胁情报资源进行开放端口服务信息收集处理,以得到所述IP地址的各开放端口的收集服务信息;
对所述属性进行属性验证处理包括:对所述IP地址进行全量端口探测,以得到各开放端口正在运行的验证服务信息;确定各开放端口的收集服务信息与验证服务信息是否相同;确定所述收集服务信息与所述验证服务信息不同的开放端口的数量与开放端口总数量的比率;以及,判断所述比率是否大于阈值;并且,
基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述比率大于所述阈值,确定所述网络威胁情报的时效评估结果为失效;以及,响应于所述比率小于或等于所述阈值,确定所述网络威胁情报的时效评估结果为有效。
11.根据权利要求3所述的方法,其中所述适格威胁情报实体包括所述IP地址;
对所述适格威胁情报实体进行属性收集处理包括:对所述网络威胁情报和/或对公开的网络威胁情报资源进行反查域名收集处理,以得到所述IP地址的反查域名;
对所述属性进行属性验证处理包括:验证所述反查域名所绑定的IP地址以得到经验证IP地址;以及,确定所述经验证IP地址与所述IP地址是否相同;并且,
基于所述验证结果,确定所述网络威胁情报的时效评估结果包括:响应于所述经验证IP地址与所述IP地址不同,确定所述网络威胁情报的时效评估结果为失效;以及,响应于所述经验证IP地址与所述IP地址相同,确定所述网络威胁情报的时效评估结果为有效。
12.一种网络威胁情报管理装置,其特征在于,所述装置包括:
网络威胁情报获取模块,其配置成获取需要进行时效性判断的网络威胁情报;
适格威胁情报实体解析模块,其配置成对所获取到的网络威胁情报进行威胁情报实体解析处理,以从所述网络威胁情报中解析出适格威胁情报实体;
适格威胁情报实体存活性探测模块,其配置成对所述适格威胁情报实体进行存活性探测处理,以得到所述适格威胁情报实体的存活状态;
网络威胁情报时效评估模块,其配置成基于所述适格威胁情报实体的存活状态,对所述网络威胁情报进行时效评估处理,以得到所述网络威胁情报的时效评估结果;以及
时效评估结果输出模块,其配置成输出所述网络威胁情报的时效评估结果。
13.一种计算设备,其特征在于,所述计算设备包括:
存储器,其被配置成存储计算机可执行指令;
处理器,其被配置成当所述计算机可执行指令被处理器执行时执行如权利要求1-11中的任一项所述的方法。
14.一种计算机可读存储介质,其存储有计算机可执行指令,其特征在于,当所述计算机可执行指令被执行时,执行如权利要求1-11中的任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110223806.7A CN115001724B (zh) | 2021-03-01 | 2021-03-01 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110223806.7A CN115001724B (zh) | 2021-03-01 | 2021-03-01 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115001724A CN115001724A (zh) | 2022-09-02 |
CN115001724B true CN115001724B (zh) | 2023-04-07 |
Family
ID=83018058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110223806.7A Active CN115001724B (zh) | 2021-03-01 | 2021-03-01 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115001724B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116132101A (zh) * | 2022-12-02 | 2023-05-16 | 安天科技集团股份有限公司 | 一种验证威胁情报误报的方法、装置及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106384048A (zh) * | 2016-08-30 | 2017-02-08 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN111431939A (zh) * | 2020-04-24 | 2020-07-17 | 郑州大学体育学院 | 基于cti的sdn恶意流量防御方法及系统 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
CN111600842A (zh) * | 2020-04-17 | 2020-08-28 | 国网浙江省电力有限公司电力科学研究院 | 一种可信威胁情报的物联网终端安全控制方法以及系统 |
CN111935082A (zh) * | 2020-06-28 | 2020-11-13 | 新浪网技术(中国)有限公司 | 一种网络威胁信息关联系统及方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10764310B2 (en) * | 2016-03-25 | 2020-09-01 | Cisco Technology, Inc. | Distributed feedback loops from threat intelligence feeds to distributed machine learning systems |
-
2021
- 2021-03-01 CN CN202110223806.7A patent/CN115001724B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106384048A (zh) * | 2016-08-30 | 2017-02-08 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
CN111490970A (zh) * | 2020-02-19 | 2020-08-04 | 西安交大捷普网络科技有限公司 | 一种网络攻击的溯源分析方法 |
CN111600842A (zh) * | 2020-04-17 | 2020-08-28 | 国网浙江省电力有限公司电力科学研究院 | 一种可信威胁情报的物联网终端安全控制方法以及系统 |
CN111431939A (zh) * | 2020-04-24 | 2020-07-17 | 郑州大学体育学院 | 基于cti的sdn恶意流量防御方法及系统 |
CN111935082A (zh) * | 2020-06-28 | 2020-11-13 | 新浪网技术(中国)有限公司 | 一种网络威胁信息关联系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115001724A (zh) | 2022-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11343269B2 (en) | Techniques for detecting domain threats | |
CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
CN109074454B (zh) | 基于赝象对恶意软件自动分组 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
US10097569B2 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
CN112887341B (zh) | 一种外部威胁监控方法 | |
CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
US20150213272A1 (en) | Conjoint vulnerability identifiers | |
WO2021154114A1 (ru) | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника | |
Wu et al. | Detect repackaged android application based on http traffic similarity | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
US9239907B1 (en) | Techniques for identifying misleading applications | |
US11811587B1 (en) | Generating incident response action flows using anonymized action implementation data | |
EP3361405B1 (en) | Enhancement of intrusion detection systems | |
TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
CN111371917B (zh) | 一种域名检测方法及系统 | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
CN115865438B (zh) | 网络攻击的防御方法、装置、设备及介质 | |
US11962618B2 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks | |
KR102367545B1 (ko) | 네트워크 파밍 차단 방법 및 시스템 | |
Kent et al. | Web adoption: an attempt toward classifying risky Internet web browsing behavior |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |