CN116471113A - 一种威胁情报生成方法、装置、设备及存储介质 - Google Patents
一种威胁情报生成方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116471113A CN116471113A CN202310525241.7A CN202310525241A CN116471113A CN 116471113 A CN116471113 A CN 116471113A CN 202310525241 A CN202310525241 A CN 202310525241A CN 116471113 A CN116471113 A CN 116471113A
- Authority
- CN
- China
- Prior art keywords
- threat
- information
- threat information
- analysis result
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 238000004458 analytical method Methods 0.000 claims abstract description 87
- 238000004140 cleaning Methods 0.000 claims abstract description 43
- 239000012535 impurity Substances 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 28
- 238000004590 computer program Methods 0.000 claims description 14
- 230000001960 triggered effect Effects 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 8
- 238000007405 data analysis Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种威胁情报生成方法、装置、设备及存储介质,涉及信息安全领域,包括:提取针对企业内部网络安全的告警信息的五元组,联动终端Agent基于五元组进行告警溯源分析得到分析结果;联动第三方威胁情报平台对分析结果进行查询,基于查询结果生成初始威胁情报;利用预设杂质清洗模型对初始威胁情报进行清洗,基于预设标准化格式对清洗后的威胁情报进行标准化,生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。本申请通过应用于安全编排自动化与响应系统,自动对告警信息进行提取和分析,生成威胁情报,提高生成效率;并且由于告警信息是针对企业内部网络安全的,提高威胁情报的针对性。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种威胁情报生成方法、装置、设备及存储介质。
背景技术
传统的网络安全威胁情报生产方法可以由本地安全工程师查看相关安全资讯网站获取,但需要专业的安全人员进行数据的收集、分析和验证。或者,可以基于第三方安全情报服务生成,但通常需要从第三方安全情报服务获取数据,而这个过程可能会受到许多因素的影响,例如网络延迟等;并且需要通过互联网连接到这些服务,但如果这些数据未经加密或未经安全处理,那么攻击者可能会通过网络拦截数据包等方式获取敏感信息;另外,还需要对获取的来自多个渠道的数据进行分析和验证,如果分析和验证的过程不够严谨,可能会导致虚假威胁情报的出现。因此这种方式容易出现响应速度慢、信息泄露风险、数据可靠性问题以及个性化需求等问题。这些缺点和不足可能会使企业面临未知的安全风险,无法及时发现和处理;同时,情报的可靠性不足,容易导致监控平台(例:大数据分析系统)产生大量的误报告警,干扰安全分析人员的日常分析工作,同时增加人力成本和时间成本。
发明内容
有鉴于此,本发明的目的在于提供一种威胁情报生成方法、装置、设备及存储介质,能够通过应用于安全编排自动化与响应系统,自动对告警信息进行提取和分析,生成威胁情报,提高生成效率;并且由于告警信息是针对企业内部网络安全的,提高威胁情报的针对性。其具体方案如下:
第一方面,本申请提供了一种威胁情报生成方法,应用于安全编排自动化与响应系统,包括:
提取针对企业内部网络安全的告警信息的五元组,并联动终端Agent基于所述五元组进行告警溯源分析,以得到相应的分析结果;
联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报;
利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗,并基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
可选的,所述联动第三方威胁情报平台对所述分析结果进行查询之前,还包括:
对所述分析结果进行正则表达式匹配,以得到HASH类分析结果和C2类分析结果。
可选的,所述联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报,包括:
联动第三方威胁情报平台查询所述HASH类分析结果是否已经被标记为恶意状态;
若未被标记为恶意状态,则联动所述第三方威胁情报平台和所述终端Agent查询所述HASH类分析结果是否触发过告警;
若触发过告警,则基于所述HASH类分析结果生成相应的初始HASH类威胁情报。
可选的,所述联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报,包括:
联动所述第三方威胁情报平台查询所述C2类分析结果是否已经被标记为恶意状态;
若未被标记为恶意状态,则基于所述C2类分析结果生成相应的初始C2类威胁情报。
可选的,所述基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报之后,还包括:
将所述标准化威胁情报保存至本地威胁情报库;
若获取到所述第三方威胁情报平台发送的调用请求,则从所述本地威胁情报库中获取与所述调用请求对应的所述标准化威胁情报。
可选的,所述基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报之后,还包括:
利用与所述第三方威胁情报平台对应的威胁情报格式对所述标准化威胁情报进行格式更改,以得到更改后的威胁情报;
将所述更改后的威胁情报推送至所述第三方威胁情报平台,并基于所述第三方威胁情报平台提供的预设接口对所述本地威胁情报库中的威胁情报进行新增操作和/或更新操作。
可选的,所述基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报之后,还包括:
根据所述标准化威胁情报从soar剧本中确定出基于情报的威胁狩猎方式;所述soar剧本包括不同类型的威胁狩猎方式;
联动所述第三方威胁情报平台利用所述标准化威胁情报对历史日志进行基于情报的威胁狩猎,以查找出当前企业内部中与所述标准化威胁情报相应类型的网络安全威胁。
第二方面,本申请提供了一种威胁情报生成装置,应用于安全编排自动化与响应系统,包括:
五元组提取模块,用于提取针对企业内部网络安全的告警信息的五元组;
五元组分析模块,用于联动终端Agent基于所述五元组进行告警溯源分析,以得到相应的分析结果;
初始情报生成模块,用于联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报;
标准化情报生成模块,用于利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗,并基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
第三方面,本申请提供了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现前述的威胁情报生成方法。
第四方面,本申请提供了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的威胁情报生成方法。
本申请中,提取针对企业内部网络安全的告警信息的五元组,并联动终端Agent基于所述五元组进行告警溯源分析,以得到相应的分析结果;联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报;利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗,并基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。由此可见,一方面,本申请通过应用于安全编排自动化与响应系统,自动对告警信息进行提取得到五元组,并联动终端Agent和第三方威胁情报平台自动对五元组进行分析和查询,生成初始威胁情报,从而减少人工参与,提高自动化能力,缩短生成时间,提高生成效率,并通过应用于安全编排自动化与响应系统,缓解了应用于第三方威胁情报平台所带来的响应速度慢、信息泄露风险等问题;另一方面,由于告警信息是针对企业内部网络安全的,因此生成的威胁情报也可以反映出企业内部实际情况,从而提高了威胁情报的针对性,也可以更好地满足企业的个性化需求;并且,本申请通过对初始威胁情报进行杂质清洗,可以提高威胁情报的可信度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种威胁情报生成方法流程图;
图2为本申请公开的一种威胁情报生成流程图;
图3为本申请公开的一种威胁情报生成装置结构示意图;
图4为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
传统的网络安全威胁情报生产方法通常是基于第三方安全情报服务生成或者由本地安全工程师查看相关安全资讯网站获取,存在较多的缺点和不足。因此,本申请提供了一种威胁情报生成方法,通过应用于安全编排自动化与响应系统,自动对告警信息进行提取和分析,生成威胁情报,提高生成效率;并且由于告警信息是针对企业内部网络安全的,提高威胁情报的针对性。
参见图1所示,本发明实施例公开了一种威胁情报生成方法,应用于安全编排自动化与响应系统,包括:
步骤S11、提取针对企业内部网络安全的告警信息的五元组,并联动终端Agent基于所述五元组进行告警溯源分析,以得到相应的分析结果。
本实施例中,安全编排自动化与响应系统(SOAR,Security OrchestrationAutomation and Response)从第三方威胁情报平台获取针对企业内部网络安全的告警信息,并从告警信息中提取五元组。其中,第三方威胁情报平台包括但不限于大数据分析系统,大数据分析系统是一种基于大数据技术实现的分析平台,能够对各种类型的数据进行采集、存储、处理和分析,从而帮助企业更好地理解其业务和运营状况,并发现潜在的告警和威胁;SOAR是一种安全编排自动化与响应系统,其主要功能是自动化安全操作和事件响应流程,通过集成各种安全工具和系统,实现事件的自动化响应、调查和纠正;五元组(5-tuple)是指计算机网络通信中,数据包所包含的五个关键信息,包括源IP(InternetProtocol,网际互连协议)地址、目的IP地址、源端口、目的端口和使用的传输层协议,例如TCP(Transmission Control Protocol,传输控制协议)或UDP(User Datagram Protocol,用户数据报协议),五元组是网络安全分析中非常重要的概念,通过分析五元组可以了解网络中的通信流量、发现异常流量以及追踪攻击来源等。
本实施例中,在获取到五元组之后,将其作为输入参数,联动终端Agent进行告警溯源分析,获取相关的分析结果。其中,终端Agent是指安装在终端设备(如PC、笔记本电脑、服务器等)上的一种软件代理程序,用于监测终端设备的活动、获取终端设备的系统信息、检测恶意行为以及提供安全保护等功能。
步骤S12、联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报。
本实施例中,在所述联动第三方威胁情报平台对所述分析结果进行查询之前,还可以包括对所述分析结果进行正则表达式匹配,以得到HASH类分析结果和C2类分析结果。其中,HASH类分析结果包括但不限于触发告警的进程名称、释放的程序、文件HASH;C2类分析结果包括但不限于网络通信中的IP地址、Domain域名、URL(Uniform Resource Locator,统一资源定位符)地址。
本实施例中,对于HASH类分析结果,联动第三方威胁情报平台查询所述HASH类分析结果是否已经被标记为恶意状态;若未被标记为恶意状态,则联动所述第三方威胁情报平台和所述终端Agent查询所述HASH类分析结果是否触发过告警;若触发过告警,则基于所述HASH类分析结果生成相应的初始HASH类威胁情报。可以理解的是,联动威胁情报系统查询相关程序/文件HASH是否已经被标记为恶意状态,其中,相关程序包括触发告警的进程名称和释放的程序。若已经被标记为恶意状态,则结束威胁情报生成的流程;若未被标记为恶意状态,则进一步联动大数据分析系统和终端Agent查询相关程序/文件HASH是否触发过告警(扫描或者攻击等),若未触发过告警,则结束威胁情报生成的流程;若触发过告警,则基于相关程序/文件HASH生成相应的初步程序/文件HASH威胁情报。
本实施例中,对于C2类分析结果,联动所述第三方威胁情报平台查询所述C2类分析结果是否已经被标记为恶意状态;若未被标记为恶意状态,则基于所述C2类分析结果生成相应的初始C2类威胁情报。可以理解的是,联动威胁情报系统查询IP地址/Domain域名/URL地址是否已经被标记为恶意状态,若已经被标记为恶意状态,则结束威胁情报生成的流程;若未被标记为恶意状态,则基于IP地址/Domain域名/URL地址生成相应的初步IP地址/Domain域名/URL地址威胁情报。
步骤S13、利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗,并基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
本实施例中,将初始HASH类/C2类威胁情报通过预先训练好的杂质清洗模型进行杂质清洗,从而去除白名单中的HASH类/C2类情报、以及去除重复、错误、无效等垃圾情报和冗余情报,以得到清洗后的威胁情报。这样一来,通过对初始威胁情报进行杂质清洗,提高威胁情报的可信度。然后基于SOAR自身的预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报。
本实施例中,在生成标准化威胁情报之后,还可以包括将所述标准化威胁情报保存至本地威胁情报库;若获取到所述第三方威胁情报平台发送的调用请求,则从所述本地威胁情报库中获取与所述调用请求对应的所述标准化威胁情报。可以理解的是,SOAR将生成的高可信的标准化威胁情报录入SOAR自有的威胁情报库,即本地威胁情报库,以保证威胁情报的留存及后续使用。另外,在获取到第三方威胁情报平台发送的调用请求时,即从本地威胁情报库中调取与调用请求对应的标准化威胁情报,以供第三方威胁情报平台使用。
本实施例中,在生成标准化威胁情报之后,还可以包括利用与所述第三方威胁情报平台对应的威胁情报格式对所述标准化威胁情报进行格式更改,以得到更改后的威胁情报;将所述更改后的威胁情报推送至所述第三方威胁情报平台,并基于所述第三方威胁情报平台提供的预设接口对所述本地威胁情报库中的威胁情报进行新增操作和/或更新操作。可以理解的是,若SOAR主动将威胁情报推送至第三方威胁情报平台,则需要利用第三方威胁情报平台对应的威胁情报格式对标准化威胁情报进行格式更改,然后再将更改后的威胁情报推送至第三方威胁情报平台,其中,第三方威胁情报平台包括但不限于态势感知、SIEM(Security Information and Event Management,安全信息和事件管理)、威胁情报系统、大数据分析系统。并且,第三方威胁情报平台上设置的有情报增加和更新的接口,通过该接口可以对SOAR本地威胁情报库中的威胁情报进行新增或者更改操作,从而实现对威胁情报的扩展应用。
本实施例中,在生成标准化威胁情报之后,还可以包括根据所述标准化威胁情报从soar剧本中确定出基于情报的威胁狩猎方式;所述soar剧本包括不同类型的威胁狩猎方式;联动所述第三方威胁情报平台利用所述标准化威胁情报对历史日志进行基于情报的威胁狩猎,以查找出当前企业内部中与所述标准化威胁情报相应类型的网络安全威胁。可以理解的是,SOAR自身便拥有一个soar剧本,这个soar剧本中存储了多种类型的威胁狩猎方法,例如,基于情报的威胁狩猎方式、基于行为的威胁狩猎方式。根据新生成的标准化威胁情报从soar剧本中找出对应的威胁狩猎方式,然后联动第三方威胁情报平台利用标准化威胁情报对历史日志及时地进行基于情报的威胁狩猎,以发现当前企业内部环境中潜藏的与标准化威胁情报同类型的网络安全威胁,从而实现SOAR的自动化威胁狩猎。
由此可见,一方面,本申请通过应用于安全编排自动化与响应系统,自动对告警信息进行提取得到五元组,并联动终端Agent和第三方威胁情报平台自动对五元组进行分析和查询,生成初始威胁情报,从而减少人工参与,提高自动化能力,缩短生成时间,提高生成效率,并通过应用于安全编排自动化与响应系统,缓解了应用于第三方威胁情报平台所带来的响应速度慢、信息泄露风险等问题;另一方面,由于告警信息是针对企业内部网络安全的,因此生成的威胁情报也可以反映出企业内部实际情况,从而提高了威胁情报的针对性,也可以更好地满足企业的个性化需求;并且,本申请通过对初始威胁情报进行杂质清洗,可以提高威胁情报的可信度。
参见图2所示,本发明实施例公开了一种威胁情报生成方法,应用于安全编排自动化与响应系统,包括:
从第三方威胁情报平台获取针对企业内部网络安全的告警信息,并从告警信息中提取五元组,联动终端Agent基于五元组进行告警溯源分析,获取相关的分析结果。具体的,终端Agent获取SAOR下发的告警溯源任务,并基于五元组进行告警溯源分析,以得到相应的分析结果,并将分析结果返回至SOAR。其中,分析结果包括触发告警的进程名称、释放的程序/文件HASH、网络通信中的IP地址/Domain域名/URL地址。对分析结果进行正则表达式匹配,以得到包括触发告警的进程名称、释放的程序、文件HASH的HASH类分析结果和包括IP地址、Domain域名、URL地址的C2类分析结果。
本实施例中,SOAR联动威胁情报系统查询相关程序/文件HASH是否已经被标记为恶意状态,若未被标记为恶意状态,则进一步联动大数据分析系统和终端Agent查询相关程序/文件HASH是否触发过告警,若触发过告警,则基于相关程序/文件HASH生成相应的初步程序/文件HASH威胁情报。同时,SOAR联动威胁情报系统查询IP地址/Domain域名/URL地址是否已经被标记为恶意状态,若未被标记为恶意状态,则基于IP地址/Domain域名/URL地址生成相应的初步IP地址/Domain域名/URL地址威胁情报。
本实施例中,初始HASH类/C2类威胁情报可以为IOC(Indicator Of Compromise,失陷检测情报),利用预设杂质清洗模型对初始IOC威胁情报进行杂质清洗,即从初始IOC威胁情报中去除白名单内的IOC情报,也即去除白名单中的HASH类/C2类情报,并去除公共设施/服务(网盘、GitHub等)的情报,以得到清洗后的威胁情报。然后利用SOAR自身的预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报。
本实施例中,SOAR将生成的高可信的标准化威胁情报录入SOAR本地威胁情报库,并在获取到第三方威胁情报平台发送的调用请求时,从本地威胁情报库中调取与调用请求对应的标准化威胁情报,以供第三方威胁情报平台使用。同时,若SOAR主动将威胁情报推送至第三方威胁情报平台,则需要利用第三方威胁情报平台对应的威胁情报格式对标准化威胁情报进行格式更改,然后再将更改后的威胁情报推送至第三方威胁情报平台。
由此可见,一方面,本申请通过应用于安全编排自动化与响应系统,自动对告警信息进行提取得到五元组,并联动终端Agent和第三方威胁情报平台自动对五元组进行分析和查询,生成初始威胁情报,从而减少人工参与,提高自动化能力,缩短生成时间,提高生成效率,并通过应用于安全编排自动化与响应系统,缓解了应用于第三方威胁情报平台所带来的响应速度慢、信息泄露风险等问题;另一方面,由于告警信息是针对企业内部网络安全的,因此生成的威胁情报也可以反映出企业内部实际情况,从而提高了威胁情报的针对性,也可以更好地满足企业的个性化需求;并且,本申请通过对初始威胁情报进行杂质清洗,可以提高威胁情报的可信度。
参见图3所示,本发明实施例公开了一种威胁情报生成装置,应用于安全编排自动化与响应系统,包括:
五元组提取模块11,用于提取针对企业内部网络安全的告警信息的五元组;
五元组分析模块12,用于联动终端Agent基于所述五元组进行告警溯源分析,以得到相应的分析结果;
初始情报生成模块13,用于联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报;
标准化情报生成模块14,用于利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗,并基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
由此可见,一方面,本申请通过应用于安全编排自动化与响应系统,自动对告警信息进行提取得到五元组,并联动终端Agent和第三方威胁情报平台自动对五元组进行分析和查询,生成初始威胁情报,从而减少人工参与,提高自动化能力,缩短生成时间,提高生成效率,并通过应用于安全编排自动化与响应系统,缓解了应用于第三方威胁情报平台所带来的响应速度慢、信息泄露风险等问题;另一方面,由于告警信息是针对企业内部网络安全的,因此生成的威胁情报也可以反映出企业内部实际情况,从而提高了威胁情报的针对性,也可以更好地满足企业的个性化需求;并且,本申请通过对初始威胁情报进行杂质清洗,可以提高威胁情报的可信度。
在一些具体实施例中,所述威胁情报生成装置,还可以包括:
正则匹配单元,用于对所述分析结果进行正则表达式匹配,以得到HASH类分析结果和C2类分析结果。
在一些具体实施例中,所述初始情报生成模块13,具体可以包括:
第一标记查询单元,用于联动第三方威胁情报平台查询所述HASH类分析结果是否已经被标记为恶意状态;
告警触发查询单元,用于若未被标记为恶意状态,则联动所述第三方威胁情报平台和所述终端Agent查询所述HASH类分析结果是否触发过告警;
第一初始情报生成单元,用于若触发过告警,则基于所述HASH类分析结果生成相应的初始HASH类威胁情报。
在一些具体实施例中,所述初始情报生成模块13,具体可以包括:
第二标记查询单元,用于联动所述第三方威胁情报平台查询所述C2类分析结果是否已经被标记为恶意状态;
第二初始情报生成单元,用于若未被标记为恶意状态,则基于所述C2类分析结果生成相应的初始C2类威胁情报。
在一些具体实施例中,所述威胁情报生成装置,还可以包括:
情报保存单元,用于将所述标准化威胁情报保存至本地威胁情报库;
情报调用单元,用于若获取到所述第三方威胁情报平台发送的调用请求,则从所述本地威胁情报库中获取与所述调用请求对应的所述标准化威胁情报。
在一些具体实施例中,所述威胁情报生成装置,还可以包括:
格式更改单元,用于利用与所述第三方威胁情报平台对应的威胁情报格式对所述标准化威胁情报进行格式更改,以得到更改后的威胁情报;
情报推送单元,用于将所述更改后的威胁情报推送至所述第三方威胁情报平台,并基于所述第三方威胁情报平台提供的预设接口对所述本地威胁情报库中的威胁情报进行新增操作和/或更新操作。
在一些具体实施例中,所述威胁情报生成装置,还可以包括:
威胁狩猎方式确定单元,用于根据所述标准化威胁情报从soar剧本中确定出基于情报的威胁狩猎方式;所述soar剧本包括不同类型的威胁狩猎方式;
威胁狩猎单元,用于联动所述第三方威胁情报平台利用所述标准化威胁情报对历史日志进行基于情报的威胁狩猎,以查找出当前企业内部中与所述标准化威胁情报相应类型的网络安全威胁。
进一步的,本申请实施例还公开了一种电子设备,图4是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图4为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的威胁情报生成方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的威胁情报生成方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的威胁情报生成方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种威胁情报生成方法,其特征在于,应用于安全编排自动化与响应系统,包括:
提取针对企业内部网络安全的告警信息的五元组,并联动终端Agent基于所述五元组进行告警溯源分析,以得到相应的分析结果;
联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报;
利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗,并基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
2.根据权利要求1所述的威胁情报生成方法,其特征在于,所述联动第三方威胁情报平台对所述分析结果进行查询之前,还包括:
对所述分析结果进行正则表达式匹配,以得到HASH类分析结果和C2类分析结果。
3.根据权利要求2所述的威胁情报生成方法,其特征在于,所述联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报,包括:
联动第三方威胁情报平台查询所述HASH类分析结果是否已经被标记为恶意状态;
若未被标记为恶意状态,则联动所述第三方威胁情报平台和所述终端Agent查询所述HASH类分析结果是否触发过告警;
若触发过告警,则基于所述HASH类分析结果生成相应的初始HASH类威胁情报。
4.根据权利要求2所述的威胁情报生成方法,其特征在于,所述联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报,包括:
联动所述第三方威胁情报平台查询所述C2类分析结果是否已经被标记为恶意状态;
若未被标记为恶意状态,则基于所述C2类分析结果生成相应的初始C2类威胁情报。
5.根据权利要求1所述的威胁情报生成方法,其特征在于,所述基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报之后,还包括:
将所述标准化威胁情报保存至本地威胁情报库;
若获取到所述第三方威胁情报平台发送的调用请求,则从所述本地威胁情报库中获取与所述调用请求对应的所述标准化威胁情报。
6.根据权利要求5所述的威胁情报生成方法,其特征在于,所述基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报之后,还包括:
利用与所述第三方威胁情报平台对应的威胁情报格式对所述标准化威胁情报进行格式更改,以得到更改后的威胁情报;
将所述更改后的威胁情报推送至所述第三方威胁情报平台,并基于所述第三方威胁情报平台提供的预设接口对所述本地威胁情报库中的威胁情报进行新增操作和/或更新操作。
7.根据权利要求1至6任一项所述的威胁情报生成方法,其特征在于,所述基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报之后,还包括:
根据所述标准化威胁情报从soar剧本中确定出基于情报的威胁狩猎方式;所述soar剧本包括不同类型的威胁狩猎方式;
联动所述第三方威胁情报平台利用所述标准化威胁情报对历史日志进行基于情报的威胁狩猎,以查找出当前企业内部中与所述标准化威胁情报相应类型的网络安全威胁。
8.一种威胁情报生成装置,其特征在于,应用于安全编排自动化与响应系统,包括:
五元组提取模块,用于提取针对企业内部网络安全的告警信息的五元组;
五元组分析模块,用于联动终端Agent基于所述五元组进行告警溯源分析,以得到相应的分析结果;
初始情报生成模块,用于联动第三方威胁情报平台对所述分析结果进行查询,并基于查询结果生成相应的初始威胁情报;
标准化情报生成模块,用于利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗,并基于预设标准化格式对清洗后的威胁情报进行标准化,以生成标准化威胁情报;所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的威胁情报生成方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的威胁情报生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310525241.7A CN116471113A (zh) | 2023-05-10 | 2023-05-10 | 一种威胁情报生成方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310525241.7A CN116471113A (zh) | 2023-05-10 | 2023-05-10 | 一种威胁情报生成方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116471113A true CN116471113A (zh) | 2023-07-21 |
Family
ID=87184372
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310525241.7A Pending CN116471113A (zh) | 2023-05-10 | 2023-05-10 | 一种威胁情报生成方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116471113A (zh) |
-
2023
- 2023-05-10 CN CN202310525241.7A patent/CN116471113A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
CN107404465B (zh) | 网络数据分析方法及服务器 | |
CN110798472B (zh) | 数据泄露检测方法与装置 | |
US9516041B2 (en) | Cyber security analytics architecture | |
US20160191549A1 (en) | Rich metadata-based network security monitoring and analysis | |
RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
US20080229419A1 (en) | Automated identification of firewall malware scanner deficiencies | |
CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN107360198B (zh) | 可疑域名检测方法及系统 | |
US12003517B2 (en) | Enhanced cloud infrastructure security through runtime visibility into deployed software | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
CN111241104A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
CN110620690A (zh) | 一种网络攻击事件的处理方法及其电子设备 | |
CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
RU2769075C1 (ru) | Система и способ активного обнаружения вредоносных сетевых ресурсов | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
CN113098727A (zh) | 一种数据包检测处理方法与设备 | |
CN113965394B (zh) | 网络攻击信息获取方法、装置、计算机设备和介质 | |
CN113839948B (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
CN116471113A (zh) | 一种威胁情报生成方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |