数据分析方法、装置、电子设备及存储介质制造方法及图纸

本申请提供一种数据分析方法、装置、电子设备及存储介质，数据分析方法包括：接收用户在目标威胁研判平台输入的待分析对象；确定待分析对象的数据类型；根据类型与威胁研判工具的对应关系从威胁研判工具集中调用与待分析对象的类型对应的目标威胁研判工具；采用目标威胁研判工具对待分析对象进行威胁情报关联分析，输出研判分析结果。通过将各种威胁研判工具整合至目标威胁研判平台，使得用户通过一个平台即可获得各种类型实体的威胁研判结果，提高了待分析对象的分析效率。并且，在同一平台内，能够支持各种类型待分析对象的的研判，全方位输出，使得分析师能够更加高效准确的对可疑或恶意的待分析对象进行溯源。可疑或恶意的待分析对象进行溯源。可疑或恶意的待分析对象进行溯源。

【技术实现步骤摘要】
数据分析方法、装置、电子设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种数据分析方法、装置、电子设备及存储介质。

技术介绍

[0002]在安全业务分析场景中，威胁研判分析师需要利用各类情报、线索及其上下文提供针对各类实体(例如：网际互连协议(Internet Protocol，IP)、域(Domain)、哈希(Hash)、电子邮件(Electronic Mail、email)等)进行威胁研判以及追踪溯源，以确保网络安全。
[0003]目前，当需要基于待分析对象进行威胁研判时，分析师需要根据待分析对象的类型以及威胁研判的目标从多个威胁研判平台中确定出此次进行威胁研判需要使用的平台，然后分别将不同类型的待分析对象输入相应的平台，以利用相应平台提供的检测功能获得待分析对象的威胁研判结果。
[0004]然而，各威胁研判平台的检测功能单一，随着待分析对象种类的增多，依靠分析师按照待分析对象的种类分别将待分析对象输入不同的平台进行威胁情报关联分析，以获得威胁研判结果，这无疑会降低待分析对象威胁研判的效率。

技术实现思路

[0005]本申请实施例的目的是提供一种数据分析方法、装置、电子设备及存储介质，以提高待分析对象威胁研判的效率。
[0006]为解决上述技术问题，本申请实施例提供如下技术方案：
[0007]本申请第一方面提供一种数据分析方法，所述方法应用于目标威胁研判平台，所述目标威胁研判平台中存储有威胁研判工具集，所述威胁研判工具集中包括多个威胁研判工具，每个威胁研判工具能够对一种类型的对象进行分析；所述方法包括：接收用户在所述目标威胁研判平台输入的待分析对象；确定所述待分析对象的类型；根据类型与威胁研判工具的对应关系从所述威胁研判工具集中调用与所述待分析对象的类型对应的目标威胁研判工具；采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析，输出研判分析结果。
[0008]本申请第二方面提供一种数据分析装置，所述装置应用于目标威胁研判平台，所述目标威胁研判平台中存储有威胁研判工具集，所述威胁研判工具集中包括多个威胁研判工具，每个威胁研判工具能够对一种类型的对象进行分析；所述装置包括：接收模块，用于接收用户在所述目标威胁研判平台输入的待分析对象；确定模块，用于确定所述待分析对象的类型；调用模块，用于根据类型与威胁研判工具的对应关系从所述威胁研判工具集中调用与所述待分析对象的类型对应的目标威胁研判工具；分析模块，用于采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析，输出研判分析结果。
[0009]本申请第三方面提供一种电子设备，包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程
序指令，以执行第一方面中的方法。
[0010]本申请第四方面提供一种计算机可读存储介质，包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。
[0011]相较于现有技术，本申请第一方面提供的数据分析方法，在接收到用户在目标威胁研判平台输入的待分析对象后，首先确定待分析对象的类型，然后根据类型与威胁研判工具的对应关系从威胁研判工具集中调用与待分析对象的类型对应的目标威胁研判工具，最后采用目标威胁研判工具对待分析对象进行威胁情报关联分析，结合威胁情报研判输出研判分析结果。通过将各种威胁研判工具整合至目标威胁研判平台，使得用户通过一个平台即可获得各种类型实体的威胁研判结果，无需再分别通过各种平台分析各种类型的待分析对象，提高了数据分析效率。并且，在同一平台内，能够支持各种类型待分析对象的研判，全方位输出，使得分析师能够更加高效准确的对可疑或恶意的待分析对象进行溯源。
[0012]本申请第二方面提供的数据分析装置、第三方面提供的电子设备、第四方面提供的计算机可读存储介质，与第一方面提供的数据分析方法具有相同或相似的有益效果。
附图说明
[0013]通过参考附图阅读下文的详细描述，本申请示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本申请的若干实施方式，相同或对应的标号表示相同或对应的部分，其中：
[0014]图1为本申请实施例中数据分析平台的架构示意图；
[0015]图2为本申请实施例中数据分析方法的流程示意图一；
[0016]图3为本申请实施例中进行APT家族检测的流程示意图；
[0017]图4为本申请实施例中数据分析方法的流程示意图二；
[0018]图5为本申请实施例中目标威胁研判平台的界面图一；
[0019]图6为本申请实施例中目标威胁研判平台的界面图二；
[0020]图7为本申请实施例中目标威胁研判平台的界面图三；
[0021]图8为本申请实施例中目标威胁研判平台的界面图四；
[0022]图9为本申请实施例中目标威胁研判平台的界面图五；
[0023]图10为本申请实施例中目标威胁研判平台的界面图六；
[0024]图11为本申请实施例中目标威胁研判平台的界面图七；
[0025]图12为本申请实施例中目标威胁研判平台的界面图八；
[0026]图13为本申请实施例中目标威胁研判平台的界面图九；
[0027]图14为本申请实施例中数据分析的结构示意图；
[0028]图15为本申请实施例中电子设备的结构示意图。
具体实施方式
[0029]下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式，然而应当理解，可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本申请，并且能够将本申请的范围完整的传达给本领域的技术人员。
[0030]需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
[0031]目前，为了对待分析对象进行威胁情报相关的威胁研判，需要情报分析师将待分析对象输入至相应的威胁研判工具，以获得待分析对象的威胁研判结果。而随着待分析对象种类的不断增加，仅仅依靠情报分析师将不同种类的待分析对象加入不同的威胁研判工具进行威胁研判，使得待分析对象的分析效率低下。
[0032]专利技术人经过研究发现，导致大量待分析对象分析效率低下的主要原因在于不同种类的待分析对象需要在不同的威胁研判工具中进行威胁情报关联分析，而不同的威胁研判工具位于不同的平台，在从一种待分析对象的分析切换至另一种待分析对象的分析时，需要从一个平台切换至另一个平台，比较费时。
[0033]有鉴于此，本申请实施例提供一种数据分析方法、装置、电子设备及存储介质，通过将各种威胁研判工具进行整合，统一进行调度以管理，仅依靠一个平台或系统就可以完成多种类大量待分析对象的分析，提高了待分析对象的分析效率。并且，在同一平台或系统内，能够支持各种类本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据分析方法，其特征在于，所述方法应用于目标威胁研判平台，所述目标威胁研判平台中存储有威胁研判工具集，所述威胁研判工具集中包括多个威胁研判工具，每个威胁研判工具能够对一种类型的对象进行分析；所述方法包括：接收用户在所述目标威胁研判平台输入的待分析对象；确定所述待分析对象的类型；根据类型与威胁研判工具的对应关系从所述威胁研判工具集中调用与所述待分析对象的类型对应的目标威胁研判工具；采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析，输出研判分析结果。2.根据权利要求1所述的方法，其特征在于，所述确定所述待分析对象的类型，包括：接收用户的选择内容，所述选择内容用于指示所述待分析对象的类型；根据所述选择内容确定所述待分析对象的类型；或，获取所述待分析对象的格式特征，所述格式特征为所述待分析对象的后缀或数据组合方式；根据格式特征与数据类型的对应关系确定所述待分析对象对应的类型；或，接收用户的输入内容，所述输入内容用于指示所述待分析对象的格式特征，所述格式特征为所述待分析对象的后缀或数据组合方式；根据输入内容与数据类型的对应关系确定所述待分析对象对应的类型。3.根据权利要求1所述的方法，其特征在于，在接收用户在所述目标威胁研判平台输入的待分析对象之前，所述方法还包括：整合各种威胁研判工具，其中，不同种类的威胁研判工具能够对不同类型的待分析对象进行威胁情报关联分析；确定各种威胁研判工具所属的数据类型；将不同数据类型的威胁研判工具存储至不同的数据库，使得各数据库中的威胁研判工具构成威胁研判工具集。4.根据权利要求1所述的方法，其特征在于，所述采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析，输出研判分析结果，包括：采用高级持续性威胁APT家族检测引擎对所述待分析对象进行检测，得到第一检测结果；采用样本静态检测引擎对所述待分析对象进行检测，得到第二检测结果；当所述第一检测结果命中APT内容，或者，所述第一检测结果命中非APT内容且所述第二检测结果未命中APT内容时，输出所述APT家族检测引擎对应的标签；当所述第一检测结果未命中内容且所述第二检测结果命中非APT内容，或者，所述第一检测结果命中非APT内容且所述第二检测结果命中APT内容时，输出所述样本静态检测引擎对应的标签；当所述第一检测结果和所述第二检测结果均未命中内容时，输出为空。5.根据权利要求1所述的方法，其特征在于，当所述待分析对象为PCAP包时，所述采用所述目标威胁研判工具对所述待分析对象进行威胁情报关联分析，输出研判分析结果，包括：解析所述PCAP包中的域名系统DNS数据、传输控制协议TCP数据以及网页请求流量数
据，得到数据集合；调用批量失陷攻击指标工具对所述数据集合进行检测，输出所述PCAP包的检测结果。6.根据权利要求5所述的方法，其特征在于，所述解析所述PCAP包中的域名系统DNS数据、传输控制协议TCP数据以及网页请求流量数据，得到数据集合，包括：解析所述PCAP包中的域名系统DNS数据，得到DNS数据列表，所述DNS数据列表中包含失陷攻击指标IOC中的统一资源定位系统URL内容；获取所述DNS列表中每一项DNS字段的值；将...

【专利技术属性】
技术研发人员：白敏，汪列军，王胜利，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：