【技术实现步骤摘要】
一种安全威胁情报的构建方法、装置、设备和存储介质
[0001]本专利技术涉及计算机
,具体涉及一种安全威胁情报的构建方法、装置、计算机设备和计算机可读存储介质。
技术介绍
[0002]现有技术中,当一次安全威胁事件被发现或被披露时,安全分析专家会通过对病毒样本的静态分析,然后利用沙箱或蜜罐等工具对病毒样本的行为进行观察,找出病毒样本及与病毒样本交互的远程站点形成一份安全威胁情报。
[0003]但是,专利技术人研究发现,病毒样本的逻辑会被设计的非常复杂,以增加被安全分析专家分析的难度,因此,安全分析专家在花费大量的时间和精力分析病毒样本后,可能只能破解病毒样本的一部分逻辑,在时间上存在一定的滞后性。另外,一次安全威胁事件可能与多个病毒样本相关,且随着时间的推移,还会产生新的病毒样本和新的远程站点,由于人工分析受限因素较多,很可能追踪不到与病毒样本有关键关联的其他病毒样本,从而增加已经被发现并有效拦截的病毒样本死灰复燃的概率。
[0004]针对现有技术中破解病毒样本在时间上存在滞后性以及已经被发现并有效拦截...
【技术保护点】
【技术特征摘要】
1.一种安全威胁情报的构建方法,其特征在于,所述方法包括:获取用户在预设时间范围内的查杀日志;解析获取到的所述查杀日志以得到用于评估安全威胁事件的实体;确定与所述实体关联的用户数,并根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度;将相似度满足预设相似度阈值的实体划分为一个实体集;在检测到某一实体存在安全威胁时,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报。2.根据权利要求1所述的方法,其特征在于,所述确定与所述实体关联的用户数,并根据确定的所述用户数,计算任意两个实体构成的实体对中两个实体之间的相似度的步骤包括:分别确定与任意两个实体构成的实体对关联的第一用户数,以及与所述实体对中每个实体关联的第二用户数;计算统计出的所述第一用户数与所述第二用户数的比值,作为该实体对中两个实体之间的相似度。3.根据权利要求1所述的方法,其特征在于,根据存在安全威胁的实体所在的实体集中的实体构建安全威胁情报的步骤包括:在解析得到的所述实体为病毒样本时,确定存在安全威胁的病毒样本所在的病毒样本集中的病毒样本;针对确定的每个所述病毒样本,确定与该病毒样本交互的远程站点;确定所述远程站点对应的远程站点集;根据确定的所述病毒样本和所述远程站点集构建所述安全威胁情报。4.根据权利要求1所述的方法,其特征在于,根据所述存在安全威胁的实体所在的实体集构建安全威胁情报的步骤包括:在解析得到的所述实体为远程站点时,确定存在安全威胁的远程站点所在的远程站点集中的远程站点;针对确定的每个所述远程站点,确定与该远程站点交互的病毒样本;确定所述病毒样本对应的病毒样本集;根据确定的所述远程站点和所述病毒样本集构建所述安全威胁情报。5.根据权利要求1所述的方法,其特征在于,所述确定与所述实体关联的用户数...
【专利技术属性】
技术研发人员:彭力扬,李振博,谢冉,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。