威胁情报内生方法及装置制造方法及图纸

本申请公开一种威胁情报内生方法及装置，涉及网络安全技术领域。本申请的方法包括：接收查询终端设备发送的待鉴定对象，并对待鉴定对象进行分析处理，以获得待鉴定对象对应的元数据；根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果；当待鉴定对象对应的第一鉴定结果为威胁对象时，将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台；当接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报时，将待鉴定对象对应的内生威胁情报添加至威胁情报库中。库中。库中。

【技术实现步骤摘要】
威胁情报内生方法及装置


[0001]本申请涉及网络安全
，尤其涉及一种威胁情报内生方法及装置。

技术介绍

[0002]随着互联网技术的不断发展，网络成为企业、政府等组织办公、生产不可或缺的一部分。其中，网络安全问题是企业、政府等组织的关注重点，企业、政府等组织通常通过威胁鉴定平台维护自身的网络安全。威胁鉴定平台基于威胁情报，对文件、日志、网络流量包等对象进行威胁鉴定，其中，威胁情报是一种基于证据来描述威胁的知识信息。
[0003]目前，威胁鉴定平台在基于威胁情报对大量待鉴定对象进行威胁鉴定时，所使用的威胁情报是固定不变的，即不会新增威胁情报。然而，网络攻击者的攻击手段会不断改变，因此，威胁鉴定平台基于固定不变的威胁情报对待鉴定对象进行威胁鉴定时，漏报或误报的可能性较高。

技术实现思路

[0004]本申请实施例提供一种威胁情报内生方法及装置，主要目的在于在威胁鉴定平台对待鉴定对象进行威胁鉴定的过程中，生成新的威胁情报，从而提高威胁鉴定平台对待鉴定对象进行威胁鉴定的准确率。
[0005]为解决上述技术问题，本申本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁情报内生方法，其特征在于，所述方法应用于威胁鉴定平台，包括：接收查询终端设备发送的待鉴定对象，并对所述待鉴定对象进行分析处理，以获得所述待鉴定对象对应的元数据；根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果，其中，所述威胁情报库中包含原始威胁情报和历史内生威胁情报，所述历史内生威胁情报为根据历史鉴定对象确定的威胁情报；当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象和所述待鉴定对象对应的元数据分配给目标终端设备，由所述目标终端设备根据所述待鉴定对象和所述待鉴定对象对应的元数据对所述待鉴定对象进行威胁情报运营处理；当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。2.根据权利要求1所述的方法，其特征在于，所述待鉴定对象具体为文件对象；在所述根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，所述方法还包括：对所述文件对象进行静态分析处理，以获得所述文件对象对应的静态分析结果；对所述文件对象进行动态分析处理，以获得所述文件对象对应的动态分析结果；根据所述静态分析结果和所述动态分析结果确定所述文件对象对应的第二鉴定结果；当所述第一鉴定结果与所述第二鉴定结果不同时，将所述第二鉴定结果确定为所述文件对象对应的最终鉴定结果；当所述第一鉴定结果与所述第二鉴定结果相同时，将所述第一鉴定结果确定为所述文件对象对应的最终鉴定结果。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：当所述文件对象对应的最终鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；根据预置分类算法和多个预置家族团伙标签对所述文件对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；根据预置聚类算法对所述文件对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；根据所述分类结果和所述聚类结果确定所述文件对象对应的家族团伙标签；根据所述文件对象对应的静态分析结果生成所述文件对象对应的静态行为特征标签；根据所述文件对象对应的动态分析结果生成所述文件对象对应的动态行为特征标签；根据目标威胁情报生成所述文件对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述文件对象对应的元数据匹配成功的威胁情报。4.根据权利要求3所述的方法，其特征在于，所述当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，包括：将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签发送至所述威胁情报
运营平台，以便所述威胁情报运营平台将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签对所述文件对象进行威胁情报运营处理；所述当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中，包括：当接收到所述威胁情报运营平台反馈的、所述文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签时，将所述文件对象对应的情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签添加至所述文件对象对应的内生威胁情报中；将所述文件对象对应的内生威胁情报添加至所述威胁情报库中。5.根据权利要求1所述的方法，其特征在于，所述待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象；在所述根据所述待鉴定对象对应的元数据和威胁...

【专利技术属性】
技术研发人员：白敏，齐向东，吴云坤，汪列军，王胜利，李敏，
申请(专利权)人：网神信息技术北京股份有限公司，
类型：发明
国别省市：