【技术实现步骤摘要】
一种威胁情报生成方法及装置
[0001]本申请涉及网络安全
,具体而言,涉及一种威胁情报生成方法及装置。
技术介绍
[0002]威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。现有的威胁情报生成方法,通常是先通过静态解析木马配置进行威胁情报生产,依托于人的持续逆向分析,成本高,产出低。在实际应用中,当木马经过加壳等对抗处理时,通过现有方法可能无法通过静态进行提取,导致实际提取的覆盖面较窄,威胁情报覆盖范围小、存在误报漏报问题,从而降低了威胁检测和分析能力。
技术实现思路
[0003]本申请实施例的目的在于提供一种威胁情报生成方法及装置,能够生成生产范围更广和更准确的威胁情报,有利于丰富和提高威胁检测和分析能力。
[0004]本申请实施例第一方面提供了一种威胁情报生成方法,包括:获取预收集的样本文件和候选协议指纹白名单;根据所述样本文件构建恶意指纹情报库;对所...
【技术保护点】
【技术特征摘要】
1.一种威胁情报生成方法,其特征在于,包括:获取预收集的样本文件和候选协议指纹白名单;根据所述样本文件构建恶意指纹情报库;对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合;扫描所述域名地址集合得到与所述域名地址集合对应的协议指纹数据集合;根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库;将所述恶意指纹情报库、所述域名地址集合以及所述综合协议指纹库进行对应关联,得到威胁情报库。2.根据权利要求1所述的威胁情报生成方法,其特征在于,所述获取预收集的样本文件和候选协议指纹白名单,包括:获取原始恶意样本数据、常见应用程序数据以及主流网站域名数据;对所述原始恶意样本数据进行分析检测,得到恶意样本,以及对所述常见应用程序数据进行预处理,得到白样本;汇总所述恶意样本和所述白样本,得到样本文件;扫描所述主流网站域名数据得到候选协议指纹白名单。3.根据权利要求1所述的威胁情报生成方法,其特征在于,所述根据所述样本文件构建恶意指纹情报库,包括:通过预先部署的沙箱运行白样本得到指纹白名单;其中,所述样本文件包括恶意样本和所述白样本;通过所述沙箱运行所述恶意样本得到恶意指纹名单;将所述指纹白名单和所述恶意指纹名单进行比对,确定所述恶意指纹名单中与所述指纹白名单相匹配的目标指纹;将所述恶意指纹名单中的所述目标指纹进行过滤处理,得到恶意指纹情报库。4.根据权利要求1所述的威胁情报生成方法,其特征在于,所述对所述样本文件进行分析,得到与所述恶意指纹情报库相匹配的域名地址集合,包括:判断是否获取到新的恶意样本;如果否,提取与所述恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合;如果是,则通过预先部署的沙箱运行所述新的恶意样本,得到新增恶意指纹;根据所述新增恶意指纹对所述恶意指纹情报库进行更新,得到更新的恶意指纹情报库;提取所述更新的恶意指纹情报库中每个恶意指纹对应的通信域名地址,得到域名地址集合。5.根据权利要求1所述的威胁情报生成方法,其特征在于,所述根据所述协议指纹数据集合和所述候选协议指纹白名单确定综合协议指纹库,包括:将所述协议指纹数据集合和所述候选协议指纹白名单进行匹配比较,获取可疑协议指纹集合、恶意协议指纹集合以及白协议指纹集合;其中,所述可疑协议指纹集合包括所述协议指纹数...
【专利技术属性】
技术研发人员:康吉金,曹剑锐,樊兴华,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。