一种用于威胁情报匹配的方法、装置、电子设备及介质制造方法及图纸

本申请实施例提供一种用于威胁情报匹配的方法、装置、电子设备及介质，该方法包括：将安全日志与采集代理缓存中存储的内容进行实时匹配，判断是否匹配成功，其中，采集代理缓存为获取安全日志的进程所对应的缓存；若匹配成功，则依据所述内容对所述安全日志进行补充，获得更新安全日志；或者，若匹配不成功，则依据所述网络安全设备的缓存对所述安全日志进行补充，获得更新安全日志；存储所述更新安全日志，以使根据所述更新安全日志进行威胁告警。通过本申请的一些实施例能够减小在威胁情报匹配的过程中的系统性能消耗，从而提升威胁情报的匹配效率，保证数据的实时性。保证数据的实时性。保证数据的实时性。

【技术实现步骤摘要】
一种用于威胁情报匹配的方法、装置、电子设备及介质


[0001]本申请实施例涉及网络安全领域，具体涉及一种用于威胁情报匹配的方法、装置、电子设备及介质。

技术介绍

[0002]威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。简言之，威胁情报可以帮助企业和组织快速了解到对方对自己的威胁信息，从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。
[0003]相关技术中，通过数据采集点采集终端获取到的安全数据，周期性的与威胁情报专家库进行匹配，获得匹配结果。但是，威胁情报匹配时效性差，导致不能及时高效的获得匹配结果。
[0004]因此，如何高效匹配威胁情报数据成为需要解决的问题。

技术实现思路

[0005]本申请实施例提供一种用于威胁情报匹配的方法、装置、电子设备及介质，通过本申请的一些实施例能够减小在威胁情报匹配的过程中的系统性能消耗，从而提升威胁情报的匹配效率，保证数据的实时性。
[0006]第一方面，本申请提供了一种用于威胁情报匹配的方法，应用于网络安全设备，所述方法包括：将安全日志与采集代理缓存中存储的内容进行实时匹配，判断是否匹配成功，其中，采集代理缓存为获取安全日志的进程所对应的缓存；若匹配成功，则依据所述内容对所述安全日志进行补充，获得更新安全日志；或者，若匹配不成功，则依据所述网络安全设备的缓存对所述安全日志进行补充，获得更新安全日志；存储所述更新安全日志，以使根据所述更新安全日志进行威胁告警。
[0007]因此，与相关技术中周期性的与威胁情报专家库进行匹配，获得匹配结果的方法不同的是，本申请实施例通过将安全日志在采集代理缓存中进行实时匹配，能够减小在威胁情报匹配的过程中的系统性能消耗，从而提升威胁情报的匹配效率，保证数据的实时性。
[0008]结合第一方面，在本申请的一种实施方式中，所述内容包括热点威胁情报数据，其中，所述热点威胁情报数据为历史匹配成功次数大于匹配次数阈值的威胁情报数据；所述若匹配成功，则依据所述内容对所述安全日志进行补充，获得更新安全日志，包括：若匹配成功，则在相对应的热点威胁情报数据中获取所述安全日志的补充信息，其中，所述补充信息包括所述安全日志的级别和类型；将所述补充信息添加在所述安全日志中，获得所述更新安全日志。
[0009]因此，本申请实施例通过在采集代理缓存中将安全日志与热点威胁情报数据进行匹配，能够实现不需要所有的匹配过程均从网络安全设备的缓存中获取，从而能够提升匹
配的速度。
[0010]结合第一方面，在本申请的一种实施方式中，所述若匹配不成功，则依据所述网络安全设备的缓存对所述安全日志进行补充，获得更新安全日志，包括：若匹配不成功，则从所述网络安全设备的缓存中获取威胁情报数据；从所述威胁情报数据中获取与所述安全日志对应的补充信息；将所述安全日志与所述威胁情报数据进行匹配，并且确认匹配成功，则将所述补充信息添加在所述安全日志中，获得所述更新安全日志。
[0011]因此，本申请实施例通过在采集代理缓存中不存在热点威胁情报数据的情况下，再从网络安全设备的缓存中获取威胁情报数据，能够提升匹配速度。
[0012]结合第一方面，在本申请的一种实施方式中，在所述将所述安全日志与所述威胁情报数据进行匹配，并且确认匹配成功之后，所述方法还包括：确认所述威胁情报数据的匹配成功次数大于匹配次数阈值，则将所述威胁情报数据确定为热点威胁情报数据；将所述热点威胁情报数据存储至所述采集代理缓存。
[0013]因此，本申请实施例通过将匹配次数多的热点威胁情报数据，放置在采集代理缓存中，能够在采集代理缓存中放置常用的威胁情报数据，从而能够实现快速匹配。
[0014]结合第一方面，在本申请的一种实施方式中，在所述将所述热点威胁情报数据存储至所述采集代理缓存之前，所述方法还包括：获取所述采集代理缓存中已经存在的热点威胁情报数据的数量；在所述热点威胁情报数据的数量大于情报数量阈值的情况下，获取所述热点威胁情报数据的匹配成功次数的排序；按照所述排序释放排在所述情报数量阈值之后的热点威胁情报数据。
[0015]因此，本申请实施例通过限制热点威胁情报数据的数量，释放多余的热点威胁情报数据，能够保证采集代理缓存中具有一定的剩余空间，防止由于空间过大而导致的系统卡顿。
[0016]结合第一方面，在本申请的一种实施方式中，在所述将安全日志与采集代理缓存中存储的内容进行实时匹配，判断是否匹配成功之前，所述方法还包括：建立所有威胁情报数据的索引；所述将安全日志与采集代理缓存中存储的内容进行匹配，判断是否匹配成功，包括：按照所述索引将所述安全日志与所述采集代理缓存中存储的内容进行匹配，判断是否匹配成功。
[0017]因此，本申请实施例通过为威胁情报数据建立索引，能够保证匹配速度。
[0018]结合第一方面，在本申请的一种实施方式中，在所述将安全日志与采集代理缓存中存储的内容进行实时匹配，判断是否匹配成功之前，所述方法还包括：基于历史安全日志进行日志画像分析，得到待添加的日志画像；将所述待添加的日志画像与威胁情报库进行匹配，若匹配成功，则将所述待添加的日志画像作为威胁情报数据，存储在所述网络安全设备的缓存中。
[0019]因此，本申请实施例通过对历史安全日志进行画像分析的方式来建立威胁情报数据，能够基于画像来对当前的安全日志进行匹配，提升匹配的准确性。
[0020]第二方面，本申请提供了一种用于威胁情报匹配的装置，应用于网络安全设备，所述装置包括：安全日志匹配模块，被配置为将安全日志与采集代理缓存中存储的内容进行实时匹配，判断是否匹配成功，其中，采集代理缓存为获取安全日志的进程所对应的缓存；安全日志更新模块，被配置为若匹配成功，则依据所述内容对所述安全日志进行补充，获得
更新安全日志；或者，若匹配不成功，则依据所述网络安全设备的缓存对所述安全日志进行补充，获得更新安全日志；安全日志存储模块，被配置为存储所述更新安全日志，以使根据所述更新安全日志进行威胁告警。
[0021]结合第二方面，在本申请的一种实施方式中，所述内容包括热点威胁情报数据，其中，所述热点威胁情报数据为历史匹配成功次数大于匹配次数阈值的威胁情报数据；所述安全日志更新模块还被配置为：若匹配成功，则在相对应的热点威胁情报数据中获取所述安全日志的补充信息，其中，所述补充信息包括所述安全日志的级别和类型；将所述补充信息添加在所述安全日志中，获得所述更新安全日志。
[0022]结合第二方面，在本申请的一种实施方式中，所述安全日志更新模块还被配置为：若匹配不成功，则从所述网络安全设备的缓存中获取威胁情报数据；从所述威胁情报数据中获取与所述安全日志对应的补充信息；将所述安全日志与所述威胁情报数据进行匹配，并且确认匹配成功，则将所述补充信息添加在所述安全日志中，获得所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于威胁情报匹配的方法，其特征在于，应用于网络安全设备，所述方法包括：将安全日志与采集代理缓存中存储的内容进行实时匹配，判断是否匹配成功，其中，采集代理缓存为获取安全日志的进程所对应的缓存；若匹配成功，则依据所述内容对所述安全日志进行补充，获得更新安全日志；或者，若匹配不成功，则依据所述网络安全设备的缓存对所述安全日志进行补充，获得更新安全日志；存储所述更新安全日志，以使根据所述更新安全日志进行威胁告警。2.根据权利要求1所述的方法，其特征在于，所述内容包括热点威胁情报数据，其中，所述热点威胁情报数据为历史匹配成功次数大于匹配次数阈值的威胁情报数据；所述若匹配成功，则依据所述内容对所述安全日志进行补充，获得更新安全日志，包括：若匹配成功，则在相对应的热点威胁情报数据中获取所述安全日志的补充信息，其中，所述补充信息包括所述安全日志的级别和类型；将所述补充信息添加在所述安全日志中，获得所述更新安全日志。3.根据权利要求1所述的方法，其特征在于，所述若匹配不成功，则依据所述网络安全设备的缓存对所述安全日志进行补充，获得更新安全日志，包括：若匹配不成功，则从所述网络安全设备的缓存中获取威胁情报数据；从所述威胁情报数据中获取与所述安全日志对应的补充信息；将所述安全日志与所述威胁情报数据进行匹配，并且确认匹配成功，则将所述补充信息添加在所述安全日志中，获得所述更新安全日志。4.根据权利要求3所述的方法，其特征在于，在所述将所述安全日志与所述威胁情报数据进行匹配，并且确认匹配成功之后，所述方法还包括：确认所述威胁情报数据的匹配成功次数大于匹配次数阈值，则将所述威胁情报数据确定为热点威胁情报数据；将所述热点威胁情报数据存储至所述采集代理缓存。5.根据权利要求4所述的方法，其特征在于，在所述将所述热点威胁情报数据存储至所述采集代理缓存之前，所述方法还包括：获取所述采集代理缓存中已经存在的热点威胁情报数据的数量；在所述热点威胁情报数据的数量大于情报数量阈值的情况下，获取所述热点威胁情报数据的匹...

【专利技术属性】
技术研发人员：高璐，赵明，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：