【技术实现步骤摘要】
数据分析方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种数据分析方法、装置、电子设备及存储介质。
技术介绍
[0002]在安全业务分析场景中,威胁研判分析师需要利用各类情报、线索及其上下文提供针对各类实体(例如:网际互连协议(Internet Protocol,IP)、域(Domain)、哈希(Hash)、电子邮件(Electronic Mail、email)等)进行威胁研判以及追踪溯源,以确保网络安全。
[0003]目前,当需要基于待分析对象进行威胁研判时,分析师需要根据待分析对象的类型以及威胁研判的目标从多个威胁研判平台中确定出此次进行威胁研判需要使用的平台,然后分别将不同类型的待分析对象输入相应的平台,以利用相应平台提供的检测功能获得待分析对象的威胁研判结果。
[0004]然而,各威胁研判平台的检测功能单一,随着待分析对象种类的增多,依靠分析师按照待分析对象的种类分别将待分析对象输入不同的平台进行威胁情报关联分析,以获得威胁研判结果,这无疑会降低待分析对象威胁研判的效率。
技术实现思路
[0005]本申请实施例的目的是提供一种数据分析方法、装置、电子设备及存储介质,以提高待分析对象威胁研判的效率。
[0006]为解决上述技术问题,本申请实施例提供如下技术方案:
[0007]本申请第一方面提供一种数据分析方法,所述方法应用于目标威胁研判平台,所述目标威胁研判平台中存储有威胁研判工具集,所述威胁研判工具集中包括多个威胁研判工具,每个 ...
【技术保护点】
【技术特征摘要】
1.一种数据分析方法,其特征在于,所述方法应用于目标威胁研判平台,所述目标威胁研判平台中存储有威胁研判工具集,所述威胁研判工具集中包括多个威胁研判工具,每个威胁研判工具能够对一种类型的对象进行分析;所述方法包括:接收用户在所述目标威胁研判平台输入的待分析对象;确定所述待分析对象的类型;根据类型与威胁研判工具的对应关系从所述威胁研判工具集中调用与所述待分析对象的类型对应的目标威胁研判工具;采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析,输出研判分析结果。2.根据权利要求1所述的方法,其特征在于,所述确定所述待分析对象的类型,包括:接收用户的选择内容,所述选择内容用于指示所述待分析对象的类型;根据所述选择内容确定所述待分析对象的类型;或,获取所述待分析对象的格式特征,所述格式特征为所述待分析对象的后缀或数据组合方式;根据格式特征与数据类型的对应关系确定所述待分析对象对应的类型;或,接收用户的输入内容,所述输入内容用于指示所述待分析对象的格式特征,所述格式特征为所述待分析对象的后缀或数据组合方式;根据输入内容与数据类型的对应关系确定所述待分析对象对应的类型。3.根据权利要求1所述的方法,其特征在于,在接收用户在所述目标威胁研判平台输入的待分析对象之前,所述方法还包括:整合各种威胁研判工具,其中,不同种类的威胁研判工具能够对不同类型的待分析对象进行威胁情报关联分析;确定各种威胁研判工具所属的数据类型;将不同数据类型的威胁研判工具存储至不同的数据库,使得各数据库中的威胁研判工具构成威胁研判工具集。4.根据权利要求1所述的方法,其特征在于,所述采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析,输出研判分析结果,包括:采用高级持续性威胁APT家族检测引擎对所述待分析对象进行检测,得到第一检测结果;采用样本静态检测引擎对所述待分析对象进行检测,得到第二检测结果;当所述第一检测结果命中APT内容,或者,所述第一检测结果命中非APT内容且所述第二检测结果未命中APT内容时,输出所述APT家族检测引擎对应的标签;当所述第一检测结果未命中内容且所述第二检测结果命中非APT内容,或者,所述第一检测结果命中非APT内容且所述第二检测结果命中APT内容时,输出所述样本静态检测引擎对应的标签;当所述第一检测结果和所述第二检测结果均未命中内容时,输出为空。5.根据权利要求1所述的方法,其特征在于,当所述待分析对象为PCAP包时,所述采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析,输出研判分析结果,包括:解析所述PCAP包中的域名系统DNS数据、传输控制协议TCP数据以及网页请求流量数
据,得到数据集合;调用批量失陷攻击指标工具对所述数据集合进行检测,输出所述PCAP包的检测结果。6.根据权利要求5所述的方法,其特征在于,所述解析所述PCAP包中的域名系统DNS数据、传输控制协议TCP数据以及网页请求流量数据,得到数据集合,包括:解析所述PCAP包中的域名系统DNS数据,得到DNS数据列表,所述DNS数据列表中包含失陷攻击指标IOC中的统一资源定位系统URL内容;获取所述DNS列表中每一项DNS字段的值;将...
【专利技术属性】
技术研发人员:白敏,汪列军,王胜利,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。