本申请公开了一种威胁情报生成方法、装置,包括:获取大数据平台的接入数据;利用预设的解析策略将所述接入数据解析为标准格式数据;其中,所述标准格式数据包括所述接入数据对应的数据类型信息;通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报;将所述威胁情报添加至对应的目标情报库。这样,能够利用预先创建的情报自学习策略确定出大数据平台的接入数据中的威胁情报,并形成对应的情报库,从而提高了大数据平台的数据利用率。
A method and device for generating threat information
【技术实现步骤摘要】
一种威胁情报生成方法、装置
本申请涉及情报分析
,特别涉及一种威胁情报生成方法、装置。
技术介绍
随着信息技术的不断进步和发展,各个领域,各个产业都不断的朝着信息化趋势发展,信息的价值变的越来越重要。随着网络信息化的推进,如何从海量信息中收集有价值的信息数据,进行分析研究,形成关键决策,成为了当前互联网技术的关键问题,这时大数据分析、自动化分析、情报分析、情报管理技术也就应运而生。在信息化时代,每个组织每个部门每天都会产生大量信息,而大量信息中就包含有情报信息。当前大部分组织都部署了各类IT设备,各种IT设备产生不同的数据,如:流量数据、日志数据、漏洞数据、资产数据、性能数据、工单运维数据等,大数据系统收集了这么多数据,如何运用,成了很关键的问题。很多大数据系统都没有充分利用接入数据中的情报信息,如何确保基于大数据系统的数据有效利用,是需要解决的问题。
技术实现思路
有鉴于此,本申请的目的在于提供一种威胁情报生成方法,能够利用预先创建的情报自学习策略确定出大数据平台的接入数据中的威胁情报,并形成对应的情报库,从而提高了大数据平台的数据利用率。其具体方案如下:第一方面,本申请公开了一种威胁情报生成方法,应用于大数据平台,包括:获取大数据平台的接入数据;利用预设的解析策略将所述接入数据解析为标准格式数据;其中,所述标准格式数据包括所述接入数据对应的数据类型信息;通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报;将所述威胁情报添加至对应的目标情报库。可选的,所述通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报,包括:判断所述标准格式数据是否满足第一预设条件,若所述标准格式数据满足所述第一预设条件,则将所述标准格式数据的第一目标字段的字段内容确定为威胁情报。可选的,所述判断所述标准格式数据是否满足第一预设条件之前,还包括:判断所述标准格式数据的第二目标字段是否满足第二预设条件,若所述标准格式数据的第二目标字段满足第二预设条件,则将所述标准格式数据过滤,若所述标准格式数据的第二目标字段不满足所述第二预设条件,则触发所述判断所述标准格式数据是否满足第一预设条件的步骤。可选的,所述判断所述标准格式数据是否满足第一预设条件,包括:判断所述标准格式数据的第三目标字段是否满足第三预设条件,并且,在预设时间内,第三目标字段满足所述第三预设条件的所述标准格式数据的数量是否达到预设阈值;其中,所述第三目标字段满足所述第三预设条件的所述标准格式数据的所述第一目标字段的内容一致;若所述标准格式数据的第三目标字段满足所述第三预设条件,并且,在预设时间内,所述第三目标字段满足所述第三预设条件的所述标准格式数据的数量达到预设阈值,则判定所述标准格式数据满足所述第一预设条件。可选的,所述将所述威胁情报添加至对应的目标情报库之前,还包括:判断所述目标情报库中是否存在所述威胁情报,如果所述目标情报库中不存在所述威胁情报,则将所述威胁情报添加至对应的所述目标情报库。可选的,还包括:将所述标准格式数据与对应的所述目标情报库进行碰撞;当碰撞结果为所述标准格式数据包括威胁情报,则生成对应的告警信息。可选的,所述将所述标准格式数据与对应的所述目标情报库进行碰撞之前,还包括:判断所述标准格式数据的第四目标字段是否满足第四预设条件,若所述标准格式数据的第四目标字段满足第四预设条件,则将所述标准格式数据过滤,若所述标准格式数据的第四目标字段不满足所述第四预设条件,则触发所述将所述标准格式数据与对应的所述目标情报库进行碰撞的步骤。可选的,所述将所述标准格式数据与对应的所述目标情报库进行碰撞,包括:将所述标准格式数据的第五目标字段与对应的所述目标情报库进行碰撞。可选的,所述获取大数据平台的接入数据之前,还包括:创建预设类型的情报库以及确定每种类型情报库对应的IOC情报类型;确定数据分类包括的全部所述数据类型信息,并根据全部所述数据类型信息确定所述解析策略。第二方面,本申请公开了一种威胁情报生成装置,应用于大数据平台,包括:接入数据获取模块,用于获取大数据平台的接入数据;接入数据解析模块,用于利用预设的解析策略将所述接入数据解析为标准格式数据;其中,所述标准格式数据包括所述接入数据对应的数据类型信息;威胁情报生成模块,用于通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报;威胁情报入库模块,用于将所述第一目标字段的字段内容添加至所述目标情报库。可见,本申请先获取大数据平台的接入数据,然后利用预设的解析策略将所述接入数据解析为标准格式数据;其中,所述标准格式数据包括所述接入数据对应的数据类型信息,以及通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报,最后将所述威胁情报添加至对应的目标情报库。这样,能够利用预先创建的情报自学习策略确定出大数据平台的接入数据中的威胁情报,并形成对应的情报库,从而提高了大数据平台的数据利用率。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本申请公开的一种威胁情报生成方法流程图;图2为本申请公开的一种情报自学习策略创建流程图;图3为本申请公开的一种具体的威胁情报生成方法流程图;图4为本申请公开的一种情报告警碰撞策略创建流程图;图5为本申请公开的一种具体的威胁情报生成方法流程图;图6为本申请公开的一种威胁情报生成装置结构示意图;图7为本申请公开的一种具体的威胁情报生成装置结构示意图;图8为本申请公开的一种情报自学习流程示意图;图9为本申请公开的一种情报告警碰撞流程示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。参见图1所示,本申请实施例公开了一种威胁情报生成方法,包括:步骤S11:获取大数据平台的接入数据。步骤S12:利用预设的解析策略将所述接入数据解析为标准格式数据;其中,所述标准格式数据包括所述接入数据对应的数据类型信息。在具体的实施方式中,本实施例可以预先创建预设类型的情报库以及确定每种类型情报库对应的IOC(即IndicatorOfCompromise,威胁指示器)情报类型,具体的,比如,情报库及对应IoC类型包括:钓鱼网站(域名)/钓鱼网站服务器(IP)/放马网站本文档来自技高网...
【技术保护点】
1.一种威胁情报生成方法,其特征在于,应用于大数据平台,包括:/n获取大数据平台的接入数据;/n利用预设的解析策略将所述接入数据解析为标准格式数据;其中,所述标准格式数据包括所述接入数据对应的数据类型信息;/n通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报;/n将所述威胁情报添加至对应的目标情报库。/n
【技术特征摘要】
1.一种威胁情报生成方法,其特征在于,应用于大数据平台,包括:
获取大数据平台的接入数据;
利用预设的解析策略将所述接入数据解析为标准格式数据;其中,所述标准格式数据包括所述接入数据对应的数据类型信息;
通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报;
将所述威胁情报添加至对应的目标情报库。
2.根据权利要求1所述威胁情报生成方法,其特征在于,所述通过预先创建的情报自学习策略确定出所述标准格式数据中的威胁情报,包括:
判断所述标准格式数据是否满足第一预设条件,若所述标准格式数据满足所述第一预设条件,则将所述标准格式数据的第一目标字段的字段内容确定为威胁情报。
3.根据权利要求2所述威胁情报生成方法,其特征在于,所述判断所述标准格式数据是否满足第一预设条件之前,还包括:
判断所述标准格式数据的第二目标字段是否满足第二预设条件,若所述标准格式数据的第二目标字段满足第二预设条件,则将所述标准格式数据过滤,若所述标准格式数据的第二目标字段不满足所述第二预设条件,则触发所述判断所述标准格式数据是否满足第一预设条件的步骤。
4.根据权利要求2所述的威胁情报生成方法,其特征在于,所述判断所述标准格式数据是否满足第一预设条件,包括:
判断所述标准格式数据的第三目标字段是否满足第三预设条件,并且,在预设时间内,第三目标字段满足所述第三预设条件的所述标准格式数据的数量是否达到预设阈值;其中,所述第三目标字段满足所述第三预设条件的所述标准格式数据的所述第一目标字段的内容一致;
若所述标准格式数据的第三目标字段满足所述第三预设条件,并且,在预设时间内,所述第三目标字段满足所述第三预设条件的所述标准格式数据的数量达到预设阈值,则判定所述标准格式数据满足所述第一预设条件。
5.根据权利要求1所述的威胁情报生成方法,其特征在于,所述将所述威胁情报添加至对应的目标情报库之...
【专利技术属性】
技术研发人员:周刚涛,范渊,刘博,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。