CN115842685B - 一种威胁情报的生成方法、装置、电子设备及存储介质 - Google Patents
一种威胁情报的生成方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115842685B CN115842685B CN202310140452.9A CN202310140452A CN115842685B CN 115842685 B CN115842685 B CN 115842685B CN 202310140452 A CN202310140452 A CN 202310140452A CN 115842685 B CN115842685 B CN 115842685B
- Authority
- CN
- China
- Prior art keywords
- information
- domain name
- process file
- threat
- unknown domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本申请实施例提供一种威胁情报的生成方法、装置、电子设备及存储介质,其中,该方法包括:获取访问请求为未知域名查询的访问进程;根据nss模型插件对所述访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息;将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果;根据所述上报分析结果获得灰度情报;对所述灰度情报进行验证分析,得到所述威胁情报。实施本申请实施例,可以准确、快速地获取到访问进程中的威胁情报,避免网络威胁扩散,提高威胁情报的生成效率,可以有效的对网络威胁进行阻击。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种威胁情报的生成方法、装置、电子设备及计算机存储介质。
背景技术
在网络安全领域中,威胁情报技术近些年来大力发展,作为企业安全建设中不可缺少的一环,企业通过订阅威胁情报服务,自生产威胁情报技术,接入威胁情报产品等方式加强企业安全能力。其中作为威胁数据中恶意域名情报作为企业自建安全DNS服务重要一环,也通常是作为中小企业低成本高回报的安全能力接入方式。威胁情报的生产方式通常是通过蜜罐技术捕获恶意活动中的IOC信息,网络空间测绘系统对全网进行测绘和扫描,寻找恶意服务器信息,云沙箱服务提供大量恶意样本等。
目前基于蜜罐技术的威胁情报自生产系统难以解决的问题的是,如果想要质量高的威胁情报,那需要系统在互联网空间均匀部署大量的蜜罐服务,而且需要及时更新蜜罐插件,使之更快速的响应模拟互联网空间的最新漏洞,捕获攻击者的攻击数据,这个过程中需要大量的成本贡献,且威胁情报是有保质期,生产成本高。
并且,蜜罐技术是用来模拟真实的应用服务,而不是真实环境,攻击者在实施攻击的过程中会有意的判断当前环境是否处于蜜罐中,当识别到当前的运行环境为蜜罐环境,攻击者会停止攻击或者干扰蜜罐服务,后续的攻击行为也无法获取或者采集错误的基础数据。
发明内容
本申请实施例的目的在于提供一种威胁情报的生成方法、装置、电子设备及存储介质,可以准确、快速地获取到访问进程中的威胁情报,避免网络威胁扩散,提高威胁情报的生成效率,可以有效的对网络威胁进行阻击。
第一方面,本申请实施例提供了一种威胁情报的生成方法,所述方法包括:
获取访问请求为未知域名查询的访问进程;
根据nss模型插件对所述访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息;
将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果;
根据所述上报分析结果获得灰度情报;
对所述灰度情报进行验证分析,得到所述威胁情报。
在上述实现过程中,对访问请求为未知域名查询的访问进程进行分析,得到包含恶意域名的进程文件信息,并对进程文件信息进行上报分析,将得到的进程文件哈希作为灰度情报,可以准确、快速地获取到访问进程中的威胁情报,避免网络威胁扩散,提高威胁情报的生成效率,可以有效的对网络威胁进行阻击。
进一步地,在所述将未知域名和进程文件信息打包发送至套接字对象中进行上报分析之前,还包括:
获取新的未知域名及其对应的进程文件信息;
当所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息相同时,将所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析。
在上述实现过程中,将新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析,可以提高上报分析的效率,避免重复上报。
进一步地,所述根据nss模型插件对所述访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息的步骤,包括:
记录所述访问请求为未知域名查询的访问进程的请求域名;
获得记录请求域名的访问进程的进程文件信息。
在上述实现过程中,记录访问进程的请求域名,可以在后续快速地获知某一个访问进程的请求域名,无需再进行重复查找,节省时间。
进一步地,所述获得记录请求域名的访问进程的进程文件信息的步骤,包括:
调用第一函数获取所述记录请求域名的访问进程的进程PID;
根据所述进程PID获得所述进程文件信息。
在上述实现过程中,根据第一函数获取访问进程的进程PID,并根据进程PID补全可执行文件位置,确保进程文件信息中包含完整的访问进程中的信息。
进一步地,所述将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果的步骤,包括:
将所述未知域名和所述进程文件信息以用户数据报协议的格式发送至所述套接字对象中,以使威胁情报自生产引擎对所述套接字中的信息进行分析,返回所述上报分析结果。
在上述实现过程中,将未知域名和进程文件信息发送至套接字对象,以使威胁情报自生产引擎对其进行分析,通过威胁情报自生产引擎可以准确地识别进程文件信息中的进程文件哈希,提高威胁情报生成的准确率。
进一步地,所述根据所述上报分析结果获得灰度情报的步骤,包括:
通过上报的信息和威胁情报自生产引擎已有的威胁情报信息进行碰撞;
当所述未知域名与威胁情报信息中的恶意域名相同时,将对应的进程文件信息作为灰度情报;
当所述未知域名的进程文件信息中的进程文件哈希和威胁情报信息中的恶意文件哈希值相同时,将所述未知域名作为灰度情报。
在上述实现过程中,通过将已经识别到的恶意域名的进程文件哈希作为灰度情报进行分析,从进程维度和域名维度对进程文件信息和未知域名进行二次碰撞,极大的提高了威胁情报的利用率和响应效率。
第二方面,本申请实施例还提供了一种威胁情报的生成装置,所述装置包括:
获取模块,用于获取访问请求为未知域名查询的访问进程;
过滤模块,用于根据nss模型插件对所述访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息;
上报分析模块,用于将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果;
碰撞分析模块,用于根据所述上报分析结果获得灰度情报;
验证分析模块,用于对所述灰度情报进行验证分析,得到所述威胁情报。
在上述实现过程中,对访问请求为未知域名查询的访问进程进行分析,得到包含恶意域名的进程文件信息,并对进程文件信息进行上报分析,将得到的进程文件哈希作为灰度情报,可以准确、快速地获取到访问进程中的威胁情报,避免网络威胁扩散,提高威胁情报的生成效率,可以有效的对网络威胁进行阻击。
进一步地,所述装置还包括合并模块,用于:
获取新的未知域名及其对应的进程文件信息;
当所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息相同时,将所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析。
在上述实现过程中,将新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析,可以提高上报分析的效率,避免重复上报。
进一步地,所述碰撞分析模块还用于:
通过上报的信息和威胁情报自生产引擎已有的威胁情报信息进行碰撞;
当所述未知域名与威胁情报信息中的恶意域名相同时,将对应的进程文件信息作为灰度情报;
当所述未知域名的进程文件信息中的进程文件哈希和威胁情报信息中的恶意文件哈希值相同时,将所述未知域名作为灰度情报。
在上述实现过程中,通过将已经识别到的恶意域名的进程文件哈希作为灰度情报进行分析,从进程维度和域名维度对进程文件信息和未知域名进行二次碰撞,极大的提高了威胁情报的利用率和响应效率。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围值的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的威胁情报的生成方法的流程示意图;
图2为本申请实施例提供的威胁情报的生成装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围值。
实施例一
图1是本申请实施例提供的威胁情报的生成方法的流程示意图,如图1所示,该方法包括:
S1,获取访问请求为未知域名查询的访问进程;
S2,根据nss模型插件对访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息;
S3,将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果;
S4,根据上报分析结果获得灰度情报;
S5,对灰度情报进行验证分析,得到威胁情报。
在上述实现过程中,对访问请求为未知域名查询的访问进程进行分析,得到包含恶意域名的进程文件信息,并对进程文件信息进行上报分析,将得到的进程文件哈希作为灰度情报,可以准确、快速地获取到访问进程中的威胁情报,避免网络威胁扩散,提高威胁情报的生成效率,可以有效的对网络威胁进行阻击。
本申请实施例需要在EDR产品设计威胁情报自生产模块,模块分为两部分,一部分为EDR产品终端agent nss增强型网络日志采集插件,一部分为EDR产品服务端server 威胁情报自生产引擎。
本申请实施例需要安装nss模型插件来实现,首先获取nss服务so库(动态名库)的配置地址,并把安装的插件放置在该目录下,并缓存当前位置,方便卸载时候使用,最后配置/etc/nsswitch.conf文件配置,给主机配置项追加自定义插件的名称,使得Linux在调用nss服务的时候会执行到自定义插件的逻辑代码中。
可选地,当卸载nss模型插件的时候,首先从缓存中读取so库的配置地址,并把安装的插件卸载掉,同时删除掉在配置文件/etc/nsswitch.conf中的插件配置。
本申请实施例的环境搭建需要两台装有EDR agent的Linux主机A和B,一台装有EDR server的服务器C,服务器连接两台EDR agent主机。
进一步地,在在所述将未知域名和进程文件信息打包发送至套接字对象中进行上报分析之前,还包括:
获取新的未知域名及其对应的进程文件信息;
当新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息相同时,将新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析。
在上述实现过程中,将新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析,可以提高上报分析的效率,避免重复上报。
进一步地,S2包括:
记录访问请求为未知域名查询的访问进程的请求域名;
获得记录请求域名的访问进程的进程文件信息。
在上述实现过程中,记录访问进程的请求域名,可以在后续快速地获知某一个访问进程的请求域名,无需再进行重复查找,节省时间。
进一步地,获得记录请求域名的访问进程的进程文件信息的步骤,包括:
调用第一函数获取记录请求域名的访问进程的进程PID;
根据进程PID获得进程文件信息。
在上述实现过程中,根据第一函数获取访问进程的进程PID,并根据进程PID补全可执行文件位置,确保进程文件信息中包含完整的访问进程中的信息。
安装nss模型插件之后,当访问进程需要访问域名时候,尝试调用gethostbyname_r函数来获取主机IP,这个函数调用的时候会通过nss服务来按照配置顺序决定从哪里获取,在安装的时候,nss模型插件配置了主机设置,将nss模型插件加入到了寻找队列中,此时程序执行流就会到nss模块模块中,通过函数参数获取到请求的域名信息,通过调用第一函数(可以是getPID函数)获取当前进程的PID(process id)。
通过进程PID在procfs(进程文件系统)补全访问进程的可执行文件位置、进程运行命令行、进程的工作目录等,通过访问进程的可执行文件位置,获取包含文件访问属性、文件权限、文件所有者信息等。
其中,进程文件信息包含进程的运行文件,进程运行命令行,进程启动时间,父进程信息等。
进一步地,S3包括:
将未知域名和进程文件信息以用户数据报协议的格式发送至套接字对象中,以使威胁情报自生产引擎对套接字中的信息进行分析,返回上报分析结果。
在上述实现过程中,将未知域名和进程文件信息发送至套接字对象,以使威胁情报自生产引擎对其进行分析,通过威胁情报自生产引擎可以准确地识别进程文件信息中的进程文件哈希,提高威胁情报生成的准确率。
nss模型插件获取到未知域名和进程文件信息之后,将未知域名和进程文件信息以用户数据报协议(User Datagram Protocol,UDP)的方式发送到本地套接字对象,而EDR中agent部分监控套接字对象,当从套接字对象接受到消息的时候,将消息封装上传到EDRserver部分。
进一步地,S4包括:
通过上报的信息和威胁情报自生产引擎已有的威胁情报信息进行碰撞;
当未知域名与威胁情报信息中的恶意域名相同时,将对应的进程文件信息作为灰度情报;
当未知域名的进程文件信息中的进程文件哈希和威胁情报信息中的恶意文件哈希值相同时,将未知域名作为灰度情报。
在上述实现过程中,通过将已经识别到的恶意域名的进程文件哈希作为灰度情报进行分析,从进程维度和域名维度对进程文件信息和未知域名进行二次碰撞,极大的提高了威胁情报的利用率和响应效率。
当未知域名与威胁情报信息中的恶意域名相同时,在这种情况下将对应的进程文件信息作为灰度情报。可选地,最节省资源的方式是:将对应的进程文件哈希值作为灰度情报。
本申请实施例通过两个维度进行碰撞,一个是进程维度,一个是域名维度,碰撞到的信息会转至威胁情报自生产引擎,通过威胁情报自生产引擎生产灰度情报,比如,碰撞到了已知的威胁情报中恶意域名,那么发起这个域名查询请求的访问进程就为灰度情报,或者进程文件碰撞到了已知的威胁情报恶意文件哈希,那么对于这个访问进程发起的域名请求就为灰度情报,灰度情报会进行二次处理,和云端其他灰度情报进行碰撞,或者基于AI模型判定等,灰度情报进行过滤筛选之后加入到已知的威胁情报中。
示例性地,若主机A发起恶意域名查询请求(test1.com)的访问进程proc1,主机B发起未知域名查询请求(test2.com)的访问进程proc1。值得注意的是,在采集器采集访问进程时,无法获知未知域名是否为恶意域名,此处主机A发起的为包含恶意域名的未知域名查询请求。
主机A请求域名后,通过nss插件,记录了请求的域名(test1.com),通过获取到当前进程的PID,通过PID从进程文件系统中获取了访问进程的运行文件、进程运行命令行、进程启动时间和父进程信息等。
主机A中nss模型插件将上述信息打包发送到本地套接字对象中,EDR agent进程从本地套接字中获取到信息进行上报,主机C接受到主机Aagent进程上报的日志,推送给威胁情报自生产引擎进行消费,威胁情报自生产引擎识别到恶意域名(test1.com),并将进程proc1的进程文件哈希作为灰度情报(即包含恶意域名的进程文件),主机BEDR agent上报进程proc1查询域名请求(test2.com)到主机CEDR server,威胁情报自生产引擎识别到灰度情报proc1进程文件哈希,同时将进程proc1查询的域名请求(test2.com)也作为灰度情报。
进一步地,在S5中,通过对获得的灰度情报进行验证分析,得到真实威胁情报,具体是通过云端的灰度情报直接进行碰撞确认,或者基于云端AI模型进行判断,得到真实的威胁情报,加入到已知威胁情报中。
灰度情报验证为威胁情报的过程,通过其他方式(比如:大数据统计关联,AI引擎判断,可信度分析)完成,通过验证后可将灰度情报变为正式的威胁情报,情报生产完毕。
本申请实施例通过对基于主机安全产品EDR来实现威胁情报自生产,源于互联网空间中真实业务主机,提供真实可靠的环境,同时因为使用了主机安全EDR的安全建设基础,减少了部署的复杂度,实现了主机安全和威胁情报自生产系统的共同建设,降低了威胁情报生产的成本建设,同时通过情报共享和大数据模型,建立灰度情报研判机制,对情报的利用及时应用到主机安全上。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种威胁情报的生成装置,如图2所示,该装置包括:
获取模块1,用于获取访问请求为未知域名查询的访问进程;
过滤模块2,用于根据nss模型插件对访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息;
上报分析模块3,用于将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果;
碰撞分析模块4,用于根据上报分析结果获得灰度情报;
验证分析模块5,用于对灰度情报进行验证分析,得到威胁情报。
在上述实现过程中,对访问请求为未知域名查询的访问进程进行分析,得到包含恶意域名的进程文件信息,并对进程文件信息进行上报分析,将得到的进程文件哈希作为灰度情报,可以准确、快速地获取到访问进程中的威胁情报,避免网络威胁扩散,提高威胁情报的生成效率,可以有效的对网络威胁进行阻击。
进一步地,该装置还包括合并模块,用于:
获取新的未知域名及其对应的进程文件信息;
当新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息相同时,将新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析。
在上述实现过程中,将新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析,可以提高上报分析的效率,避免重复上报。
进一步地,过滤模块2还用于:
记录访问请求为未知域名查询的访问进程的请求域名;
获得记录请求域名的访问进程的进程文件信息。
在上述实现过程中,记录访问进程的请求域名,可以在后续快速地获知某一个访问进程的请求域名,无需再进行重复查找,节省时间。
进一步地,过滤模块2还用于:
调用第一函数获取所述记录请求域名的访问进程的进程PID;
根据所述进程PID获得所述进程文件信息。
在上述实现过程中,根据第一函数获取访问进程的进程PID,并根据进程PID补全可执行文件位置,确保进程文件信息中包含完整的访问进程中的信息。
进一步地,上报分析模块3还用于:
将未知域名和进程文件信息以用户数据报协议的格式发送至套接字对象中,以使威胁情报自生产引擎对套接字中的信息进行分析,返回上报分析结果。
在上述实现过程中,将未知域名和进程文件信息发送至套接字对象,以使威胁情报自生产引擎对其进行分析,通过威胁情报自生产引擎可以准确地识别进程文件信息中的进程文件哈希,提高威胁情报生成的准确率。
进一步地,碰撞分析模块4还用于:
通过上报的信息和威胁情报自生产引擎已有的威胁情报信息进行碰撞;
当未知域名与威胁情报信息中的恶意域名相同时,将对应的进程文件信息作为灰度情报;
当未知域名的进程文件信息中的进程文件哈希和威胁情报信息中的恶意文件哈希值相同时,将未知域名作为灰度情报。
在上述实现过程中,通过将已经识别到的恶意域名的进程文件哈希作为灰度情报进行分析,从进程维度和域名维度对进程文件信息和未知域名进行二次碰撞,极大的提高了威胁情报的利用率和响应效率。
上述的威胁情报的生成装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的威胁情报的生成方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable ProgrammableRead-Only Memory,EPROM),电可擦除只读存储器(ElectricErasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的威胁情报的生成方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围值,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围值之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围值并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围值内,可轻易想到变化或替换,都应涵盖在本申请的保护范围值之内。因此,本申请的保护范围值应所述以权利要求的保护范围值为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (6)
1.一种威胁情报的生成方法,其特征在于,所述方法包括:
获取访问请求为未知域名查询的访问进程;
根据nss模型插件对所述访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息;
将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果;
根据所述上报分析结果获得灰度情报;
对所述灰度情报进行验证分析,得到所述威胁情报;
在所述将未知域名和进程文件信息打包发送至套接字对象中进行上报分析之前,还包括:
获取新的未知域名及其对应的进程文件信息;
当所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息相同时,将所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析;
所述根据所述上报分析结果获得灰度情报的步骤,包括:
通过上报的信息和威胁情报自生产引擎已有的威胁情报信息进行碰撞;
当所述未知域名与威胁情报信息中的恶意域名相同时,将对应的进程文件信息作为灰度情报;
当所述未知域名的进程文件信息中的进程文件哈希和威胁情报信息中的恶意文件哈希值相同时,将所述未知域名作为灰度情报。
2.根据权利要求1所述的威胁情报的生成方法,其特征在于,所述根据nss模型插件对所述访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息的步骤,包括:
记录所述访问请求为未知域名查询的访问进程的请求域名;
获得记录请求域名的访问进程的进程文件信息。
3.根据权利要求2所述的威胁情报的生成方法,其特征在于,所述获得记录请求域名的访问进程的进程文件信息的步骤,包括:
调用第一函数获取所述记录请求域名的访问进程的进程PID;
根据所述进程PID获得所述进程文件信息。
4.根据权利要求1所述的威胁情报的生成方法,其特征在于,所述将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果的步骤,包括:
将所述未知域名和所述进程文件信息以用户数据报协议的格式发送至所述套接字对象中,以使威胁情报自生产引擎对所述套接字中的信息进行分析,返回所述上报分析结果。
5.一种威胁情报的生成装置,其特征在于,所述装置包括:
获取模块,用于获取访问请求为未知域名查询的访问进程;
过滤模块,用于根据nss模型插件对所述访问请求为未知域名查询的访问进程进行过滤,得到进程文件信息;
上报分析模块,用于将未知域名和进程文件信息打包发送至套接字对象中进行上报分析,得到上报分析结果;
碰撞分析模块,用于根据所述上报分析结果获得灰度情报;
验证分析模块,用于对所述灰度情报进行验证分析,得到所述威胁情报;
所述装置还包括合并模块,用于:
获取新的未知域名及其对应的进程文件信息;
当所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息相同时,将所述新的未知域名及其对应的进程文件信息与待上报未知域名及其对应的进程文件信息合并后进行上报分析;
所述碰撞分析模块还用于:
通过上报的信息和威胁情报自生产引擎已有的威胁情报信息进行碰撞;
当所述未知域名与威胁情报信息中的恶意域名相同时,将对应的进程文件信息作为灰度情报;
当所述未知域名的进程文件信息中的进程文件哈希和威胁情报信息中的恶意文件哈希值相同时,将所述未知域名作为灰度情报。
6.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至4中任一项所述的威胁情报的生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310140452.9A CN115842685B (zh) | 2023-02-21 | 2023-02-21 | 一种威胁情报的生成方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310140452.9A CN115842685B (zh) | 2023-02-21 | 2023-02-21 | 一种威胁情报的生成方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115842685A CN115842685A (zh) | 2023-03-24 |
CN115842685B true CN115842685B (zh) | 2023-05-05 |
Family
ID=85579969
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310140452.9A Active CN115842685B (zh) | 2023-02-21 | 2023-02-21 | 一种威胁情报的生成方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115842685B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015134008A1 (en) * | 2014-03-05 | 2015-09-11 | Foreground Security | Automated internet threat detection and mitigation system and associated methods |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
WO2021109669A1 (zh) * | 2019-12-05 | 2021-06-10 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
CN113422771A (zh) * | 2021-06-22 | 2021-09-21 | 北京华圣龙源科技有限公司 | 威胁预警方法和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8813228B2 (en) * | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
-
2023
- 2023-02-21 CN CN202310140452.9A patent/CN115842685B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015134008A1 (en) * | 2014-03-05 | 2015-09-11 | Foreground Security | Automated internet threat detection and mitigation system and associated methods |
CN110460594A (zh) * | 2019-07-31 | 2019-11-15 | 平安科技(深圳)有限公司 | 威胁情报数据采集处理方法、装置及存储介质 |
WO2021109669A1 (zh) * | 2019-12-05 | 2021-06-10 | 华为技术有限公司 | 恶意域名访问的检测方法、装置及计算机可读存储介质 |
CN111737696A (zh) * | 2020-06-28 | 2020-10-02 | 杭州安恒信息技术股份有限公司 | 一种恶意文件检测的方法、系统、设备及可读存储介质 |
CN113422771A (zh) * | 2021-06-22 | 2021-09-21 | 北京华圣龙源科技有限公司 | 威胁预警方法和系统 |
Non-Patent Citations (2)
Title |
---|
基于威胁情报技术的软件恶意行为分析模型;肖治华等;《计算机与数字工程》;第48卷(第7期);全文 * |
基于威胁情报的恶意软件识别;周松松 等;《计算机与数字工程》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115842685A (zh) | 2023-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10904277B1 (en) | Threat intelligence system measuring network threat levels | |
US10257674B2 (en) | System and method for triggering on platform usage | |
CN107634959B (zh) | 基于汽车的防护方法、装置及系统 | |
Kumar et al. | Signature based intrusion detection system using SNORT | |
CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
US20170163660A1 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
CN111176941B (zh) | 一种数据处理的方法、装置和存储介质 | |
CN111262875B (zh) | 服务器安全监测方法、装置、系统及存储介质 | |
CN108282446B (zh) | 识别扫描器的方法及设备 | |
CN110309669B (zh) | 一种数据标注方法、装置及设备 | |
CN114301706A (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
CN115842685B (zh) | 一种威胁情报的生成方法、装置、电子设备及存储介质 | |
CN108880920B (zh) | 云服务管理方法、装置以及电子设备 | |
CN114006772B (zh) | 一种反制黑客攻击的方法、装置、电子设备及存储介质 | |
CN113256360B (zh) | 基于Ukey机柜的发票处理控制方法、装置、设备和存储介质 | |
CN115361235A (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
CN115378655A (zh) | 漏洞检测方法及装置 | |
CN114969744A (zh) | 进程拦截方法及系统、电子设备、存储介质 | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
CN113536304A (zh) | 一种基于运维审计系统的防绕行方法及设备 | |
CN111475783B (zh) | 数据检测方法、系统及设备 | |
CN113127856A (zh) | 网络安全运维管理方法、装置、计算设备及存储介质 | |
JPWO2019220480A1 (ja) | 監視装置、監視方法及びプログラム | |
US20230069731A1 (en) | Automatic network signature generation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |