网络威胁情报管理方法、装置、计算设备及计算机可读存储介质制造方法及图纸

提供了一种网络威胁情报管理方法。该方法包括：获取需要进行时效性判断的网络威胁情报；对所获取到的网络威胁情报进行威胁情报实体解析处理，以从网络威胁情报中解析出适格威胁情报实体；对适格威胁情报实体进行存活性探测处理，以得到适格威胁情报实体的存活状态；基于适格威胁情报实体的存活状态，对网络威胁情报进行时效评估处理，以得到网络威胁情报的时效评估结果；以及输出网络威胁情报的时效评估结果。根据本申请的网络威胁情报管理方法对网络威胁情报中的威胁情报实体进行多维度检测，识别出无效网络威胁情报。在后续操作中，无效网络威胁情报可以被过滤掉，提升了系统的处理效率。此外，针对网络攻击进行的溯源过程的效率得到提高。效率得到提高。效率得到提高。

【技术实现步骤摘要】
网络威胁情报管理方法、装置、计算设备及计算机可读存储介质


[0001]本申请涉及计算机和互联网安全的领域，尤其涉及一种网络威胁情报管理方法、装置、计算设备以及计算机可读存储介质。

技术介绍

[0002]计算机和网络技术的快速发展极大地推动了社会的发展。然而，一些具有不良意图的使用者会利用计算机和网络技术实施破坏行为，例如发起网络攻击。为了应对这些网络攻击和保护网络安全，需要对网络威胁情报进行管理。网络威胁情报记录了与网络攻击有关的信息。用户在获得网络威胁情报后，可以对网络攻击提早进行防范。例如，网络威胁情报可能记录了发动网络攻击的网络地址，在获得该网络威胁情报后，用户可以尽早将各设备设置成阻止接收来自该网络地址的信息。这样，当该网络地址发动网络攻击时，攻击命令无法到达和控制用户的设备，使得这些设备及其内部的数据得到保护。
[0003]随着网络威胁情报的数量急剧增长，占用的计算资源越来越多。然而，网络攻击经常会发生变化。比如，网络攻击发起者可以先借助某网络地址发起攻击，然后放弃使用该网络地址，甚至之后还能出现该网络地址被正常使用者使用的情况。在这种情况下，针对该网络攻击的网络威胁情报将不再有效。对于无效的网络威胁情报进行处理将大大占用计算资源，并且影响正常使用者的使用。因此，专利技术人发现，本领域中需要对网络威胁情报进行有效管理的方法，以便及时过滤掉无效的网络威胁情报。这对于网络安全是非常重要的。

技术实现思路

[0004]根据本申请的第一方面，提供了一种网络威胁情报管理方法。所述方法包括：获取需要进行时效性判断的网络威胁情报；对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体；对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态；基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果；以及输出所述网络威胁情报的时效评估结果。
[0005]在一些实施例中，基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果包括：响应于所述适格威胁情报实体的存活状态为不存活，确定所述网络威胁情报的时效评估结果为失效；响应于所述适格威胁情报实体的存活状态为存活，进行下述步骤：对所述适格威胁情报实体进行属性收集处理，以得到所述适格威胁情报实体的属性；对所述属性进行属性验证处理，以得到验证结果；以及，基于所述验证结果，确定所述网络威胁情报的时效评估结果。
[0006]在一些实施例中，对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体包括：从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。
[0007]在一些实施例中，对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态包括：对所述IP地址和所述域名的所述至少一个的进行可访问性探测；响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问，确定所述适格威胁情报实体的存活状态为不存活；以及，响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问，确定所述适格威胁情报实体的存活状态为存活。
[0008]在一些实施例中，所述适格威胁情报实体包括所述IP地址；对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报和/或对公开的网络威胁情报资源进行开放端口服务信息收集处理，以得到所述IP地址的各开放端口的收集服务信息；对所述属性进行属性验证处理包括：对所述IP地址进行全量端口探测，以得到各开放端口正在运行的验证服务信息，确定各开放端口的收集服务信息与验证服务信息是否相同，确定所述收集服务信息与所述验证服务信息不同的开放端口的数量与开放端口总数量的比率，以及判断所述比率是否大于阈值；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述比率大于所述阈值，确定所述网络威胁情报的时效评估结果为失效，以及响应于所述比率小于或等于所述阈值，确定所述网络威胁情报的时效评估结果为有效。
[0009]在一些实施例中，所述适格威胁情报实体包括所述IP地址；对所述适格威胁情报实体进行属性收集处理，包括：对所述网络威胁情报和/或对公开的网络威胁情报资源进行反查域名收集处理，以得到所述IP地址的反查域名；对所述属性进行属性验证处理包括：验证所述反查域名所绑定的IP地址以得到经验证IP地址，以及确定所述经验证IP地址与所述IP地址是否相同；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述经验证IP地址与所述IP地址不同，确定所述网络威胁情报的时效评估结果为失效，以及响应于所述经验证IP地址与所述IP地址相同，确定所述网络威胁情报的时效评估结果为有效。
[0010]在一些实施例中，所述适格威胁情报实体包括所述IP地址；对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报进行whois信息解析处理，以得到所述IP地址的待验证whois信息；对所述属性进行属性验证处理包括：对公开的网络威胁情报资源进行whois信息查询处理，以得到经验证whois信息，以及确定所述经验证whois信息与所述待验证whois信息是否相同；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述经验证whois信息与所述待验证whois信息不同，确定所述网络威胁情报的时效评估结果为失效，以及响应于所述经验证whois信息与所述待验证whois信息相同，确定所述网络威胁情报的时效评估结果为有效。
[0011]在一些实施例中，所述适格威胁情报实体包括所述IP地址；对所述适格威胁情报实体进行属性收集处理包括：对第一公开网络威胁情报资源进行whois信息查询处理，以得到所述IP地址的待验证whois信息；对所述属性进行属性验证处理包括：对第二公开网络威胁情报资源进行whois信息查询处理，以得到所述IP地址的经验证whois信息，以及确定所述经验证whois信息与所述待验证whois信息是否相同；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述经验证whois信息与所述待验证whois信息不同，确定所述网络威胁情报的时效评估结果为失效，以及响应于所述经验证whois信息与所述待验证whois信息相同，确定所述网络威胁情报的时效评估结果为有效。
[0012]在一些实施例中，所述适格威胁情报实体包括所述域名；对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报和/或对公开的网络威胁情报资源进行域名过期时间收集处理，以得到所述域名的域名过期时间；对所述属性进行属性验证处理包括：确定所述域名过期时间是否在即时时间之前；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述域名过期时间在所述即时时间之前，确定所述网络威胁情报的时效评估结果为失效，以及响应于所述域名过期时间与所述即时时间相同或在所述即时时间之本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络威胁情报管理方法，其特征在于，所述方法包括：获取需要进行时效性判断的网络威胁情报；对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体；对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态；基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果；以及输出所述网络威胁情报的时效评估结果。2.根据权利要求1所述的方法，其中，基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果包括：响应于所述适格威胁情报实体的存活状态为不存活，确定所述网络威胁情报的时效评估结果为失效；响应于所述适格威胁情报实体的存活状态为存活，执行下述步骤：对所述适格威胁情报实体进行属性收集处理，以得到所述适格威胁情报实体的属性，对所述属性进行属性验证处理，以得到验证结果，以及基于所述验证结果，确定所述网络威胁情报的时效评估结果。3.根据权利要求2所述的方法，其中，对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体包括：从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。4.根据权利要求3所述的方法，其中，对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态包括：对所述IP地址和所述域名的所述至少一个的进行可访问性探测；响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问，确定所述适格威胁情报实体的存活状态为不存活；以及响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问，确定所述适格威胁情报实体的存活状态为存活。5.根据权利要求3所述的方法，其中所述适格威胁情报实体包括所述域名；对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报和/或对公开的网络威胁情报资源进行域名过期时间收集处理，以得到所述域名的域名过期时间；对所述属性进行属性验证处理包括：确定所述域名过期时间是否在即时时间之前；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述域名过期时间在所述即时时间之前，确定所述网络威胁情报的时效评估结果为失效；以及，响应于所述域名过期时间与所述即时时间相同或在所述即时时间之后，确定所述网络威胁情报的时效评估结果为有效。6.根据权利要求3所述的方法，其中所述适格威胁情报实体包括所述域名；对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报进行注册备案信息解析处理，以得到所述域名的待验证注册备案信息；
对所述属性进行属性验证处理包括：对公开的网络威胁情报资源进行注册备案信息查询处理，以得到所述域名的经验证注册备案信息；以及，确定所述经验证注册备案信息与所述待验证注册备案信息是否相同；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述经验证注册备案信息与所述待验证注册备案信息不同，确定所述网络威胁情报的时效评估结果为失效；以及，响应于所述经验证注册备案信息与所述待验证注册备案信息相同，确定所述网络威胁情报的时效评估结果为有效。7.根据权利要求3所述的方法，其中所述适格威胁情报实体包括所述域名；对所述适格威胁情报实体进行属性收集处理包括：对第一公开网络威胁情报资源进行注册备案信息查询处理，以得到所述域名的待验证注册备案信息；对所述属性进行属性验证处理包括：对第二公开网络威胁情报资源进行注册备案信息查询处理，以得到所述域名的经验证注册备案信息；以及，确定所述经验证注册备案信息与所述待验证注册备案信息是否相同；并且，基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述经验证注册备案信息与所述待验证注册备案信息不同，确定所述网络威胁情报的时效评估结果为失效；以及，响应于所述经验证注册备案信息与所述待验证注册备案信息相同，确定所述网络威胁情报的时效评估结果为有效。8.根据权利要求3所述的方法，其中所述适格威胁情报实体包括所述IP地址；对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报进行whois信息解析处理，...

【专利技术属性】
技术研发人员：梁广鹏，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：