未知文件的威胁性判定方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术的实施例公开一种未知文件的威胁性判定方法、装置、电子设备及存储介质，涉及计算机安全技术领域，能够较快地确定未知文件的威胁性。所述未知文件的威胁性判定方法，应用于服务器，所述方法包括：接收对与未知文件相关联的标签的输入操作；根据所述标签在预先建立的搜索存储系统中进行检索，查找与所述标签相关联的已知事件；根据所述已知事件的威胁性确定所述未知文件的威胁性。本发明专利技术适用于对未知文件的威胁性进行判定的场合。

Threat determination methods, devices, electronic devices and storage media for unknown documents

The embodiment of the present invention discloses a threat determination method, device, electronic device and storage medium for unknown files, which relates to the field of computer security technology and can determine the threat of unknown files quickly. The threat determination method of the unknown file is applied to the server. The method includes: receiving the input operation of the tag associated with the unknown file; searching in a pre-established search storage system according to the tag to find the known event associated with the tag; and according to the authority of the known event. Threat determines the threat of the unknown document. The present invention is suitable for the occasion of judging the threat of unknown documents.

【技术实现步骤摘要】
未知文件的威胁性判定方法、装置、电子设备及存储介质
本专利技术涉及计算机安全
，尤其涉及一种未知文件的威胁性判定方法、装置、电子设备及存储介质。
技术介绍
随着勒索软件，蠕虫软件的盛行，主机安全越发凸显其重要性，在瞬息万变的互联网时代，日益增长的恶意代码文件数量以及相关恶意文件形成的拓扑化攻击已经成为主机安全重点防范形式，针对种种威胁，如何快速在主机中将未知文件的威胁与否判断出来，是亟待解决的技术问题。
技术实现思路
有鉴于此，本专利技术实施例提供一种未知文件的威胁性判定方法、装置、电子设备及存储介质，能够较快地确定未知文件的威胁性。第一方面，本专利技术实施例提供一种未知文件的威胁性判定方法，应用于服务器，所述方法包括：接收对与未知文件相关联的标签的输入操作；根据所述标签在预先建立的搜索存储系统中进行检索，查找与所述标签相关联的已知事件；根据所述已知事件的威胁性确定所述未知文件的威胁性。可选地，在接收对与未知文件相关联的标签的输入操作之前，所述方法还包括：将所述未知文件与标签相关联。可选地，所述将所述未知文件与标签相关联，包括：接收客户端上报的未知文件；判断所述未知文件是否为恶意文件；若所述未知文件为恶意文件，提取所述未知文件的属性信息；根据所述未知文件的属性信息，将所述未知文件与标签相关联。可选地，在接收对与未知文件相关联的标签的输入操作之前，所述方法包括：将已知事件进行标签化关联并存储于搜索存储系统中。可选地，所述将已知事件进行标签化关联并存储于搜索存储系统中，包括：获取已知事件的属性信息；将所述已知事件的属性信息与标签相关联；将所述已知事件的属性信息及与其相关联的标签形成文档存储在搜索存储系统中的索引库中。第二方面，本专利技术实施例提供未知文件的威胁性判定装置，应用于服务器，所述装置包括：接收模块，用于接收对与未知文件相关联的标签的输入操作；检索模块，用于根据所述标签在预先建立的搜索存储系统中进行检索，查找与所述标签相关联的已知事件；判定模块，用于根据所述已知事件的威胁性确定所述未知文件的威胁性。可选地，所述的威胁性判定装置，还包括：第一关联模块，用于将所述未知文件与标签相关联。可选地，所述第一关联模块，具体用于：接收客户端上报的未知文件；判断所述未知文件是否为恶意文件；若所述未知文件为恶意文件，提取所述未知文件的属性信息；根据所述未知文件的属性信息，将所述未知文件与标签相关联。可选地，所述的威胁性判定装置，还包括：第二关联模块，用于将已知事件进行标签化关联并存储于搜索存储系统中。可选地，所述第二关联模块，具体用于：获取已知事件的属性信息；将所述已知事件的属性信息与标签相关联；将所述已知事件的属性信息及与其相关联的标签形成文档存储在搜索存储系统中的索引库中。第三方面，本专利技术实施例提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施方式所述的方法。第四方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一实施方式所述的方法。本专利技术实施例提供的一种未知文件的威胁性判定方法、装置、电子设备及存储介质，可根据与未知文件相关联的标签，在预先建立的搜索存储系统中进行标签化检索，查找与所述标签相关联的已知事件，根据所述已知事件的威胁性确定所述未知文件的威胁性，这样可对未知文件的威胁性进行快速判定。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为本专利技术实施例一未知文件的威胁性判定方法流程示意图；图2为本专利技术实施例二未知文件的威胁性判定方法流程示意图；图3为本专利技术实施例三未知文件的威胁性判定装置的结构示意图；图4为本专利技术实施例四未知文件的威胁性判定装置的结构示意图；图5为本专利技术电子设备一个实施例的结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。实施例一本实施例提供一种未知文件的威胁性判定方法，以对未知文件的威胁性进行快速判定。图1为本专利技术实施例一未知文件的威胁性判定方法流程示意图，如图1所示，本实施例的方法应用于服务器，所述方法可以包括：步骤101、接收对与未知文件相关联的标签的输入操作。通过对一文件添加标签，或者将一文件与标签相关联，可将该文件归入某一类，而不是将其视为一个独特的个体。本实施例中，可利用标签在预先建立的搜索存储系统中进行标签化检索，以查找与该标签相关联的内容。可通过人机交互接口接收与未知文件相关联的标签的输入操作。步骤102、根据所述标签在预先建立的搜索存储系统中进行检索，查找与所述标签相关联的已知事件。本实施例中，在预先建立的搜索存储系统中存储有已知事件的属性信息及与其相关联的标签。根据所述标签可在所述搜索存储系统中进行检索，查找与所述标签相关联的已知事件。步骤103、根据所述已知事件的威胁性确定所述未知文件的威胁性。本实施例中，已知事件的威胁性是已知的，因此可根据所述已知事件的威胁性确定所述未知文件的威胁性，即可将所述已知事件的威胁性确定为所述未知文件的威胁性。本实施例提供的未知文件的威胁性判定方法，可根据与未知文件相关联的标签，在预先建立的搜索存储系统中进行标签化检索，查找与所述标签相关联的已知事件，根据所述已知事件的威胁性确定所述未知文件的威胁性，这样可对未知文件的威胁性进行快速判定。实施例二图2为本专利技术实施例二未知文件的威胁性判定方法流程示意图，如图2所示，本实施例的方法可包括：步骤201、建立搜索存储系统。本实施例中，可在服务器端建立基于Elasticsearch的搜索存储系统。Elasticsearch是一种开源化全文内容检索工具，是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，其可分布式部署在需要防护的网段内。应当理解的是，在其它实施例中，也可采用其它搜索引擎来建立搜索存储系统。步骤202、将已知事件进行标签化关联并存储于所述搜索存储系统中。对于已知事件，即已被披露的事件，诸如APT(AdvancedPersistentThreat，高级持续性威胁)攻击或其他突发事件，其属性信息是已知的。所述高级持续性威胁是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。其中，所述已知事件的属性信息是指与该已知事件相关的一些指标数据信息，也可称为特征信息，或称为信标(indicatorofcompromise，ioc)。具体地，这些属性信息可包括本文档来自技高网...

【技术保护点】
1.一种未知文件的威胁性判定方法，其特征在于，应用于服务器，所述方法包括：接收对与未知文件相关联的标签的输入操作；根据所述标签在预先建立的搜索存储系统中进行检索，查找与所述标签相关联的已知事件；根据所述已知事件的威胁性确定所述未知文件的威胁性。

【技术特征摘要】
1.一种未知文件的威胁性判定方法，其特征在于，应用于服务器，所述方法包括：接收对与未知文件相关联的标签的输入操作；根据所述标签在预先建立的搜索存储系统中进行检索，查找与所述标签相关联的已知事件；根据所述已知事件的威胁性确定所述未知文件的威胁性。2.根据权利要求1所述的威胁性判定方法，其特征在于，在接收对与未知文件相关联的标签的输入操作之前，所述方法还包括：将所述未知文件与标签相关联。3.根据权利要求1所述的威胁性判定方法，其特征在于，所述将所述未知文件与标签相关联，包括：接收客户端上报的未知文件；判断所述未知文件是否为恶意文件；若所述未知文件为恶意文件，提取所述未知文件的属性信息；根据所述未知文件的属性信息，将所述未知文件与标签相关联。4.根据权利要求1所述的威胁性判定方法，其特征在于，在接收对与未知文件相关联的标签的输入操作之前，所述方法包括：将已知事件进行标签化关联并存储于搜索存储系统中。5.根据权利要求4所述的威胁性判定方法，其特征在于，所述将已知事件进行标签化关联并存储于搜索存储系统中，包括：获取已知事件的属性信息；将所述已知事件的属性信息与标签相关联；将所述已知事件的属性信息及与其相关联的标签形成文档存储在搜索存储系统中的索引库中。6.一种未知文件的威胁性判定装置，其特征在于，应用于服务器，所述装置包括：接收模块，用于接收对与未知文件相关联的标签的输入操作；检索模块，用于根据所述标签在预先建立的搜索存储系统中进行检索，查找与所述标签相关联的已知事件；判定...

【专利技术属性】
技术研发人员：孙宇，马建伟，徐翰隆，王小丰，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京,11