威胁告警方式生成的方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种威胁告警方式生成的方法、装置、电子设备及存储介质，用以解决现有的威胁告警方式无法有效为易遭受APT攻击的用户揭示攻击所造成的影响以及攻击核心目的的问题。该方法包括：提取样本中的向量级威胁情报；根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。

Method, device, electronic equipment and storage medium of threat warning mode generation

【技术实现步骤摘要】
威胁告警方式生成的方法、装置、电子设备及存储介质
本专利技术涉及网络安全
，尤其涉及一种威胁告警方式生成的方法、装置、电子设备及存储介质。
技术介绍
随着计算机技术的发展与普及，计算机应用已经全面渗透到人们的工作与生活中，成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。安全软件可以用来应对网络威胁，也需要将所检测到的网络威胁的信息，向用户提出告警。一方面，对于普通用户或小型企业来说，随着其安全意识的不断加强，安全软件仅仅是静默的应对威胁是不够的，用户希望能够获得更多的信息，从而了解自己受到了何种威胁，受到威胁的频率是多少，自己受到的影响有多大，该怎样防范等；另一方面，大企业、科研组织及学校，乃至国家机构等用户的角度来讲，其遭受到的网络威胁，通常都是有组织、有计划、兼具持久性与高级技术的网络威胁，即APT(高级持续性威胁：隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定目标，通常处于商业或政治动机，并要求在长时间内保持高隐蔽性)，而针对这些高级的网空威胁，除了进行普通的告警外，用户还需要知晓自身被何种组织，以何种方式，进行了何种攻击，从而进一步探知攻击背后的目的。综上所述，在防御威胁的基础上，为用户提供准确且信息完善的告警，也是安全软件必不可少的功能之一。
技术实现思路
本专利技术实施例提供了一种威胁告警方式生成的方法、装置、电子设备及存储介质，用以解决现有的威胁告警方式无法有效为易遭受APT攻击的用户揭示攻击所造成的影响以及攻击核心目的的问题。基于上述问题，本专利技术实施例提供的一种威胁告警方式生成的方法，包括：提取样本中的向量级威胁情报；根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。进一步地，所述提取样本中的向量级威胁情报的内容包括：APT组织特定的字符串，IP地址和域名，静态分析及动态分析得到的行为信息、文件结构性信息。进一步地，配置文件分为标准配置文件和定制配置文件。进一步地，根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集，具体为：对向量级威胁情报及其对应的威胁信息进行机器学习或者人工整理，形成机器学习规则库或者人工规则库；根据配置文件，将所提取的向量级威胁情报与机器学习规则库和/或人工规则库进行匹配；匹配出对应的威胁信息，并整理得到样本对应的威胁信息合集。本专利技术实施例提供的一种威胁告警方式生成的装置，包括：情报提取单元：用于提取样本中的向量级威胁情报；整理单元：用于根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；展示信息选取单元：用于整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；展示单元：用于将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。进一步地，所述提取样本中的向量级威胁情报的内容包括：APT组织特定的字符串，IP地址和域名，静态分析及动态分析得到的行为信息、文件结构性信息。进一步地，配置文件分为标准配置文件和定制配置文件。进一步地，根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集，具体为：对向量级威胁情报及其对应的威胁信息进行机器学习或者人工整理，形成机器学习规则库或者人工规则库；根据配置文件，将所提取的向量级威胁情报与机器学习规则库和/或人工规则库进行匹配；匹配出对应的威胁信息，并整理得到样本对应的威胁信息合集。本专利技术实施例同时公开一种威胁告警方式生成的电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行任一前述的威胁告警方式生成的方法。本专利技术实施例提供了计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现任一前述的威胁告警方式生成的方法。与现有技术相比，本专利技术实施例提供的一种威胁告警方式生成的方法、装置、电子设备及存储介质，至少实现了如下的有益效果：提取样本中的向量级威胁情报；根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。本专利技术实施例依托于向量级威胁情报的整合与分析，得到攻击组织及攻击工具等信息，避免了现有技术中当攻击者对攻击工具进行简单的修改或对IP地址进行更换后便无法标识的缺陷；进一步地，威胁告警的内容不仅包括传统的病毒名称，还包括攻击组织、攻击工具等能够揭示攻击者目的的信息，便于用户对自身受到的攻击有更深入的了解，也有利于安全人员有针对性的进行防御；还能根据配置文件，控制输出内容，更加贴近用户的实际需求，提升用户体验感。附图说明图1为本专利技术实施例提供的一种威胁告警方式生成方法的流程图；图2为本专利技术实施例提供的又一种威胁告警方式生成方法的流程图；图3为本专利技术实施例提供的一种威胁告警方式生成装置的结构图；图4为本专利技术实施例提供的电子设备的结构示意图。具体实施方式现有的威胁告警方式，绝大多数都是输出病毒名称，用户只能知道自己在什么时候，受到了何种威胁以及杀毒软件的处置结果。但由于用户并不明白病毒名称的具体含义是什么，因此对自己所遭受的威胁还是一无所知。更何况，仅输出病毒名的威胁告警，对于大企业、国家机构等用户所遭受的APT威胁，所能起到的提示效果非常有限。只输出病毒名的威胁告警，无法对APT事件背后的组织进行说明，无法告知用户正在遭受何种攻击，用户无法知道攻击者的目的究竟是什么。基于此，下面结合说明书附图，对本专利技术实施例提供的一种威胁告警方式生成的方法、装置、电子设备及存储介质的具体实施方式进行说明。本专利技术实施例提供的一种威胁告警方式生成的方法，如图1所示，具体包括以下步骤：S101、提取样本中的向量级威胁情报；向量是指从样本中所提取出的具有类别与属性的数据；而威胁情报是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索；所述提取样本中的向量级威胁情报的内容包括：APT组织特定的字符串(互斥量、PDB路径、特殊组件名称等)，IP地址本文档来自技高网...

【技术保护点】
1.一种威胁告警方式生成的方法，其特征在于，包括：/n提取样本中的向量级威胁情报；/n根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；/n整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；/n将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。/n

【技术特征摘要】
1.一种威胁告警方式生成的方法，其特征在于，包括：
提取样本中的向量级威胁情报；
根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；
整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；
将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。


2.如权利要求1所述的方法，其特征在于，所述提取样本中的向量级威胁情报的内容包括：APT组织特定的字符串，IP地址和域名，静态分析及动态分析得到的行为信息、文件结构性信息。


3.如权利要求1所述的方法，其特征在于，配置文件分为标准配置文件和定制配置文件。


4.如权利要求1所述的方法，其特征在于，根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集，具体为：对向量级威胁情报及其对应的威胁信息进行机器学习或者人工整理，形成机器学习规则库或者人工规则库；根据配置文件，将所提取的向量级威胁情报与机器学习规则库和/或人工规则库进行匹配；匹配出对应的威胁信息，并整理得到样本对应的威胁信息合集。


5.一种威胁告警方式生成的装置，其特征在于，
情报提取单元：用于提取样本中的向量级威胁情报；
整理单元：用于根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；
展示信息选取单元：用于整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击...

【专利技术属性】
技术研发人员：肖新光，王天博，童志明，何公道，
申请(专利权)人：哈尔滨安天科技集团股份有限公司，
类型：发明
国别省市：黑龙;23