【技术实现步骤摘要】
一种威胁情报识别方法、装置、系统及可读存储介质
[0001]本专利技术实施例涉及威胁情报
,特别是涉及一种威胁情报识别方法、装置、系统及计算机可读存储介质。
技术介绍
[0002]根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,这些知识与资产所面临已有的或酝酿中的威胁或危害相关。在安全从业者的角度,是指一些入侵威胁指标,可用于判定这些指标是否对系统存在安全威胁。
[0003]威胁情报是某种基于证据的知识,不同的组织机构对于这种知识都有不同程度的储备,储备的数量和质量是组织的核心竞争力之一。对于情报使用者来说,不同组织的知识进行交换或归集,可能达到最好的利用效果。
[0004]组织之间进行威胁情报情报交换时,对情报的理解类似,但表现形式不同,在数据结构组织上,各自的表现形式是有差异的。比如“情报置信度”的表述,可以使用“高/中/低”文字表示,也可以使用“3/2/1”等级表示,还可以使用“100/60/10”等评分表示。这就导致不同组织要实现互换,需要在接入端进行软件开发时,针对其他所有需...
【技术保护点】
【技术特征摘要】
1.一种威胁情报识别方法,其特征在于,包括:向目标服务器发送获取威胁情报请求,所述威胁情报请求包括威胁情报信息,以便所述目标服务器根据所述威胁情报信息从自身的威胁情报数据库中确定出目标威胁情报数据;接收所述目标服务器返回的所述目标威胁情报数据,并根据所述目标威胁情报数据确定出各个数据项信息;所述数据项信息包括数据项名称及数据项数值信息;获取预先建立的、与所述目标服务器对应的威胁情报规则库,所述威胁情报规则库包括数据项名称的对应关系以及对应的数值转换关系;根据各个所述数据项信息及所述威胁情报规则库,确定出与每个所述数据项信息各自对应的原始数据项名称及与所述原始数据项名称对应的当前数值信息。2.根据权利要求1所述的威胁情报识别方法,其特征在于,与所述目标服务器对应的威胁情报规则库的建立过程为:从与自身服务器对应的、预先建立的威胁情报样本库中抽取多个威胁情报样本;针对每个所述威胁情报样本,根据所述威胁情报样本生成获取请求;将所述获取请求发送至目标服务器,以便所述目标服务器根据所述获取请求信息从自身的数据库中确定出所有的威胁情报响应信息;接收所述目标服务器返回的威胁情报响应信息,并得到所述威胁情报响应信息中的各个数据项的第一数据项名称及与每个所述数据项名称各自对应的第一数值信息;从所述威胁情报样本库中提取出所有数据项,并确定出每个所述数据项各自的所有第二数据项名称;各个所述第二数据项名称中包括原始数据项名称;针对每个所述第一数据项名称,将所有的所述第二数据项名称与所述第一数据项名称分别进行对比,当存在与所述第一数据项名称一致的第二数据项名称时,确定出与所述第一数据项名称对应的原始数据项名称,以建立每个原始数据项名称与各自对应的第一数据项名称之间的数据项名称的对应关系;根据与所述原始数据项名称对应的数值及与相应的第一数据项名称对应的数值,确定出与所述原始数据项名称和所述第一数据项名称对应的数据项数值之间的数值转换关系;根据每个所述数据项名称的对应关系和...
【专利技术属性】
技术研发人员:梁杰,范渊,吴卓群,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。