【技术实现步骤摘要】
一种威胁情报方法、装置、设备及计算机存储介质
[0001]本申请实施例涉及计算机安全
,涉及但不限于一种威胁情报处理方法、装置、设备及计算机存储介质。
技术介绍
[0002]现有技术在处理威胁情报的情况下,对威胁情报进行收集后,仅基于现有的情报库做匹配,针对新产生的威胁情报没有识别以及分析能力,举例来说,一个新的恶意域名没有录入情报库的情况下,就无法识别并分析出来自哪一攻击组织。
技术实现思路
[0003]有鉴于此,本申请实施例提供一种威胁情报处理方法、装置、设备及计算机存储介质。
[0004]本申请实施例的技术方案是这样实现的:
[0005]第一方面,本申请实施例提供一种威胁情报处理,所述方法包括:获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。...
【技术保护点】
【技术特征摘要】
1.一种威胁情报处理方法,其特征在于,所述方法包括:获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合,其中,所述第一威胁情报的内容与所述第二威胁情报的内容不同;确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度;在确定所述相似度大于相似度阈值的情况下,确定所述第一威胁情报与所述第二威胁情报来自同一攻击组织。2.如权利要求1所述的方法,其特征在于,所述确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度,包括:利用相似性系数,确定所述第一失陷设备集合与所述第二失陷设备集合之间的相似度。3.如权利要求1所述的方法,其特征在于,在所述获取第一威胁情报关联的第一失陷设备集合,和第二威胁情报关联的第二失陷设备集合之前,所述方法还包括:获取用于提取所述威胁情报的告警集合;基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合。4.如权利要求3所述的方法,其特征在于,所述基于所述告警集合中每一告警的属性字段,确定所述第一威胁情报关联的第一失陷设备集合,和所述第二威胁情报关联的第二失陷设备集合,包括:基于所述告警集合中每一告警的属性字段,确定与每一所述告警一一对应的失陷设备;基于每一所述告警对应的失陷设备,和从每一所述告警的属性字段中提取出的威胁情报,确定与每一所述失陷设备关联的至少一个威胁情报;基于与所有所述失陷设备关联的威胁情报集合,确定与每一所述威胁情报关联的失陷设备集合,所述威胁情报集合包括所述第一威胁情报和所述第二威胁情报。5.如权利要求4所述的方法,其特征在于,所述告警的属性字段包括告警类型,所述从所述告警的属性字段中提取出的威胁情报,包括:获取所述告警的告警类型;基于所述告警类型,从所述告警的属性字段中提取出与所述失陷设备关联的至少一...
【专利技术属性】
技术研发人员:周运金,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。