【技术实现步骤摘要】
基于大数据生成威胁情报的方法、装置及可读存储介质
本申请涉及网络安全
,尤其涉及一种基于大数据生成威胁情报的方法、装置及可读存储介质。
技术介绍
病毒样本是由黑客编写恶意代码并编译生成,且对用户设备具有一定危害的可执行文件。威胁情报是分析病毒样本的一种有效方式。然而,现有的威胁情报仅对病毒样本造成的攻击事件的危害进行描述,而不能对攻击事件进行立体化及全面的描述。
技术实现思路
本申请实施例提供了一种基于大数据生成威胁情报的方法、装置及可读存储介质,能够全面地且立体化地描述病毒样本造成的攻击事件。有鉴于此,本申请实施例第一方面提供一种基于大数据生成威胁情报的方法,包括:获取病毒样本及所述病毒样本对应的威胁指标,所述威胁指标用于表征所述病毒样本的特征信息;根据所述威胁指标和所述病毒样本确定所述病毒样本的传播路径;根据所述威胁指标确定所述病毒样本的传播规模;根据所述威胁指标确定所述病毒样本对应的当前攻击事件的家族关系,所述家族关系为所述当前攻击事件中所述威胁...
【技术保护点】
1.一种基于大数据生成威胁情报的方法,其特征在于,包括:/n获取病毒样本及所述病毒样本对应的威胁指标,所述威胁指标用于表征所述病毒样本的特征信息;/n根据所述威胁指标和所述病毒样本确定所述病毒样本的传播路径;/n根据所述威胁指标确定所述病毒样本的传播规模;/n根据所述威胁指标确定所述病毒样本对应的当前攻击事件的家族关系,所述家族关系为所述当前攻击事件中所述威胁指标间的关联关系,和/或所述当前攻击事件中所述威胁指标与历史攻击事件中历史威胁指标间的关联关系;/n根据所述传播路径、所述传播规模和所述家族关系生成威胁情报。/n
【技术特征摘要】
1.一种基于大数据生成威胁情报的方法,其特征在于,包括:
获取病毒样本及所述病毒样本对应的威胁指标,所述威胁指标用于表征所述病毒样本的特征信息;
根据所述威胁指标和所述病毒样本确定所述病毒样本的传播路径;
根据所述威胁指标确定所述病毒样本的传播规模;
根据所述威胁指标确定所述病毒样本对应的当前攻击事件的家族关系,所述家族关系为所述当前攻击事件中所述威胁指标间的关联关系,和/或所述当前攻击事件中所述威胁指标与历史攻击事件中历史威胁指标间的关联关系;
根据所述传播路径、所述传播规模和所述家族关系生成威胁情报。
2.根据权利要求1所述的方法,其特征在于,所述根据所述威胁指标和所述病毒样本确定所述病毒样本的传播路径包括:
将所述病毒样本确定为子样本;
根据所述威胁指标确定所述子样本的父样本及所述父样本与所述子样本之间的传播途径;
获取所述父样本对应的威胁指标;
将所述父样本确定为新的子样本;
重复执行上述操作直到所述子样本为源头样本;
根据所有子样本、所有父样本及每对父样本与子样本之间的传播途径确定所述病毒样本的传播路径。
3.根据权利要求2所述的方法,其特征在于,所述威胁指标包括哈希值且不包括下载来源域名;
所述根据所述威胁指标确定所述子样本的父样本及所述父样本与所述子样本之间的传播途径包括:
根据所述哈希值判断样本行为日志中是否存在创建所述子样本的行为;
若所述样本行为日志中存在创建所述子样本的行为,则将创建所述子样本的样本确定所述子样本的父样本,并将所述父样本与所述子样本之间的传播途径确定为直接释放。
4.根据权利要求2所述的方法,其特征在于,所述威胁指标包括哈希值;
所述根据所述威胁指标确定所述子样本的父样本及所述父样本与所述子样本之间的传播途径包括:
根据所述哈希值判断样本行为日志中是否存在下载所述子样本的行为;
若所述样本行为日志中存在下载所述子样本的行为,则将下载所述子样本的样本确定所述子样本的父样本,并将所述父样本与所述子样本之间的传播途径确定为网络下载。
5.根据权利要求2所述的方法,其特征在于,所述威胁指...
【专利技术属性】
技术研发人员:刘涛,谭昱,沈江波,程虎,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。