本技术涉及数据处理、网络安全领域及其他相关,具体而言,涉及一种威胁情报的确定方法和装置、存储介质。
背景技术:
1、威胁狩猎(threat hunting)和安全情报生产(security intelligenceproduction)是网络安全领域的重要组成部分。威胁狩猎是一个主动防御过程,它是通过分析网络和系统的流量数据,主动寻找潜在或未知的威胁。安全情报生产则是关于收集、分析和分发有关威胁信息的过程,通过共享和利用这些信息,组织可以提前准备,更有效地防御即将到来的威胁。这两个领域的结合,为现代网络安全战略提供了强大的支持。传统方法通过对目标数据中新增的域名信息和ip信息进行匹配计算,得到与目标数据对应的同源分析结果,最终根据同源分析结果在历史威胁情报中确定目标数据的威胁情报,但该方法并不包含威胁狩猎和情报生产的过程。
2、针对相关技术中通过对目标数据新增的域名信息和ip信息进行同源分析,根据分析结果在历史威胁情报中确定与目标数据匹配的威胁情报,导致威胁情报的确定准确率比较低的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本技术的主要目的在于提供一种威胁情报的确定方法和装置、存储介质,以解决相关技术中通过对目标数据新增的域名信息和ip信息进行同源分析,根据分析结果在历史威胁情报中确定与目标数据匹配的威胁情报,导致威胁情报的确定准确率比较低的问题。
2、为了实现上述目的,根据本技术的一个方面,提供了一种威胁情报的确定方法。该方法包括:确定目标数据中的潜在威胁信息,其中,所述目标数据为存在威胁的概率大于预设概率的安全事件数据、流量数据或者日志数据;依据预设威胁检测条件,确定所述潜在威胁信息对应的目标类别,其中,所述目标类别为以下之一:第一威胁类别、第二威胁类别和第三威胁类别,所述第一威胁类别表征历史威胁信息中包括所述潜在威胁信息,所述第二威胁类别表征所述历史威胁信息中不包括所述潜在威胁信息,所述第三威胁类别表征所述潜在威胁信息为误报威胁信息;在所述目标类别为所述第一威胁类别或所述第二威胁类别的情况下,依据所述目标类别对应的处理方法,确定所述目标数据对应的目标威胁情报。
3、进一步地,若所述目标类别为所述第二威胁类别,依据所述目标类别对应的处理方法,生成所述目标数据对应的目标威胁情报包括:获取所述潜在威胁信息对应的入侵指标信息;对所述入侵指标信息进行编译和打包,得到目标配置文件;将所述目标配置文件下发给具有执行文件上传权限的目标终端;获取所述目标终端上部署的安全设备对终端日志文件和所述目标配置文件中的入侵指标信息进行匹配成功后返回的目标执行文件,其中,所述终端日志文件是与所述目标数据有关的日志文件;依据所述目标执行文件,生成所述目标数据对应的目标威胁情报。
4、进一步地,依据所述目标执行文件,生成所述目标数据对应的目标威胁情报包括:对所述目标执行文件进行静态分析,得到所述目标执行文件对应的第一分析结果;通过目标沙箱运行所述目标执行文件,得到所述目标执行文件对应的第二分析结果;依据所述第一分析结果和所述第二分析结果,生成所述目标数据对应的目标威胁情报。
5、进一步地,所述方法还包括:在接收到所述目标执行文件的情况下,将所述潜在威胁信息对应的入侵指标信息添加到入侵指标信息列表中。
6、进一步地,若所述目标类别为所述第一威胁类别,依据所述目标类别对应的处理方法,确定所述目标数据对应的目标威胁情报包括:根据历史查询记录,确定与所述潜在威胁信息匹配成功的次数高于阈值的至少一个第一威胁情报;根据至少一个所述第一威胁情报,确定所述目标数据对应的目标威胁情报。
7、进一步地,依据预设威胁检测条件,确定所述潜在威胁信息对应的目标类别包括:判断所述潜在威胁信息是否满足所述预设威胁检测条件,得到判断结果;依据所述判断结果,确定所述潜在威胁信息对应的目标类别。
8、进一步地,依据所述判断结果,确定所述潜在威胁信息对应的目标类别包括:若所述判断结果表征所述潜在威胁信息满足所述预设威胁检测条件,则确定所述潜在威胁信息对应的目标类别为所述第一威胁类别;若所述判断结果表征所述潜在威胁信息不满足所述预设威胁检测条件,则获取目标对象输入的类别输入信息;依据所述类别输入信息,确定所述潜在威胁信息对应的目标类别为所述第二威胁类别,或所述第三威胁类别。
9、为了实现上述目的,根据本技术的另一方面,提供了一种威胁情报的确定装置。该装置包括:第一确定单元,用于确定目标数据中的潜在威胁信息,其中,所述目标数据为存在威胁的概率大于预设概率的安全事件数据、流量数据或者日志数据;第二确定单元,用于依据预设威胁检测条件,确定所述潜在威胁信息对应的目标类别,其中,所述目标类别为以下之一:第一威胁类别、第二威胁类别和第三威胁类别,所述第一威胁类别表征历史威胁信息中包括所述潜在威胁信息,所述第二威胁类别表征所述历史威胁信息中不包括所述潜在威胁信息,所述第三威胁类别表征所述潜在威胁信息为误报威胁信息;第三确定单元,用于在所述目标类别为所述第一威胁类别或所述第二威胁类别的情况下,依据所述目标类别对应的处理方法,确定所述目标数据对应的目标威胁情报。
10、进一步地,第三确定单元包括:第一获取模块,用于若所述目标类别为所述第二威胁类别,获取所述潜在威胁信息对应的入侵指标信息;处理模块,用于对所述入侵指标信息进行编译和打包,得到目标配置文件;下发模块,用于将所述目标配置文件下发给具有执行文件上传权限的目标终端;第二获取模块,用于获取所述目标终端上部署的安全设备对终端日志文件和所述目标配置文件中的入侵指标信息进行匹配成功后返回的目标执行文件,其中,所述终端日志文件是与所述目标数据有关的日志文件;生成模块,用于依据所述目标执行文件,生成所述目标数据对应的目标威胁情报。
11、进一步地,生成模块包括:分析子模块,用于对所述目标执行文件进行静态分析,得到所述目标执行文件对应的第一分析结果;运行子模块,用于通过目标沙箱运行所述目标执行文件,得到所述目标执行文件对应的第二分析结果;生成子模块,用于依据所述第一分析结果和所述第二分析结果,生成所述目标数据对应的目标威胁情报。
12、进一步地,所述装置还包括:添加单元,用于在接收到所述目标执行文件的情况下,将所述潜在威胁信息对应的入侵指标信息添加到入侵指标信息列表中。
13、进一步地,第三确定单元包括:第一确定模块,用于若所述目标类别为所述第一威胁类别,根据历史查询记录,确定与所述潜在威胁信息匹配成功的次数高于阈值的至少一个第一威胁情报;第二确定模块,用于根据至少一个所述第一威胁情报,确定所述目标数据对应的目标威胁情报。
14、进一步地,第二确定单元包括:判断模块,用于判断所述潜在威胁信息是否满足所述预设威胁检测条件,得到判断结果;第三确定模块,用于依据所述判断结果,确定所述潜在威胁信息对应的目标类别。
15、进一步地,第三确定模块包括:第一确定子模块,用于若所述判断结果表征所述潜在威胁信息满足所述预设威胁检测条件,则确定所述潜在威胁信息对应的目标类别为所述第一威胁类别;获取子模块,用于若所述判断结果表征所述潜在威胁信息不满足所述预设威胁检测条件,则获取目标对象输入的类别输入信息;第二确定子模块,用于依据所述类别输入信息,确定所述潜在威胁信息对应的目标类别为所述第二威胁类别,或所述第三威胁类别。
16、为了实现上述目的,根据本技术的一方面,提供了一种计算机可读存储介质,所述存储介质存储程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述任意一项所述的威胁情报的确定方法。
17、为了实现上述目的,根据本技术的另一个方面,还提供了一种电子设备,电子设备包括一个或多个处理器和存储器,存储器用于存储一个或多个处理器实现上述任意一项所述的威胁情报的确定方法。
18、在本技术提供的技术方案中,通过预设的威胁检测条件,确定目标数据中的潜在威胁信息为已知威胁信息(即第一威胁类别)或未知威胁信息(即第二威胁类别)或误报威胁信息(即第三威胁类别)。在潜在威胁信息为已知威胁信息或未知威胁信息的情况下,根据对应的处理方法生成目标数据的目标威胁情报,以确定对潜在威胁信息的处理策略。如此通过预设威胁检测条件,可以快速地对潜在威胁信息进行分类,并准确地判断潜在威胁信息为已知威胁信息或未知威胁信息或误报威胁信息,进而根据潜在威胁信息的类别确定对应的处理方法,以得到目标威胁情报。避免了传统方法中通过对目标数据中新增的域名信息和ip信息进行匹配计算,确定与目标数据对应的同源分析结果,最终根据同源分析结果在历史威胁情报中确定目标数据的威胁情报而导致的威胁情报不准确等问题,进而提高了威胁情报的确定准确率。
1.一种威胁情报的确定方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,若所述目标类别为所述第二威胁类别,依据所述目标类别对应的处理方法,生成所述目标数据对应的目标威胁情报包括:
3.根据权利要求2所述的方法,其特征在于,依据所述目标执行文件,生成所述目标数据对应的目标威胁情报包括:
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,若所述目标类别为所述第一威胁类别,依据所述目标类别对应的处理方法,确定所述目标数据对应的目标威胁情报包括:
6.根据权利要求1至5任一项所述的方法,其特征在于,依据预设威胁检测条件,确定所述潜在威胁信息对应的目标类别包括:
7.根据权利要求6所述的方法,其特征在于,依据所述判断结果,确定所述潜在威胁信息对应的目标类别包括:
8.一种威胁情报的确定装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的威胁情报的确定方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至7中任意一项所述的威胁情报的确定方法。
