一种威胁情报生成方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种威胁情报生成方法、装置、设备及存储介质，涉及信息安全领域，包括：提取针对企业内部网络安全的告警信息的五元组，联动终端Agent基于五元组进行告警溯源分析得到分析结果；联动第三方威胁情报平台对分析结果进行查询，基于查询结果生成初始威胁情报；利用预设杂质清洗模型对初始威胁情报进行清洗，基于预设标准化格式对清洗后的威胁情报进行标准化，生成标准化威胁情报；所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。本申请通过应用于安全编排自动化与响应系统，自动对告警信息进行提取和分析，生成威胁情报，提高生成效率；并且由于告警信息是针对企业内部网络安全的，提高威胁情报的针对性。情报的针对性。情报的针对性。

【技术实现步骤摘要】
一种威胁情报生成方法、装置、设备及存储介质


[0001]本专利技术涉及信息安全领域，特别涉及一种威胁情报生成方法、装置、设备及存储介质。

技术介绍

[0002]传统的网络安全威胁情报生产方法可以由本地安全工程师查看相关安全资讯网站获取，但需要专业的安全人员进行数据的收集、分析和验证。或者，可以基于第三方安全情报服务生成，但通常需要从第三方安全情报服务获取数据，而这个过程可能会受到许多因素的影响，例如网络延迟等；并且需要通过互联网连接到这些服务，但如果这些数据未经加密或未经安全处理，那么攻击者可能会通过网络拦截数据包等方式获取敏感信息；另外，还需要对获取的来自多个渠道的数据进行分析和验证，如果分析和验证的过程不够严谨，可能会导致虚假威胁情报的出现。因此这种方式容易出现响应速度慢、信息泄露风险、数据可靠性问题以及个性化需求等问题。这些缺点和不足可能会使企业面临未知的安全风险，无法及时发现和处理；同时，情报的可靠性不足，容易导致监控平台(例:大数据分析系统)产生大量的误报告警，干扰安全分析人员的日常分析工作，同时增加人力成本和时间成本。

技术实现思路

[0003]有鉴于此，本专利技术的目的在于提供一种威胁情报生成方法、装置、设备及存储介质，能够通过应用于安全编排自动化与响应系统，自动对告警信息进行提取和分析，生成威胁情报，提高生成效率；并且由于告警信息是针对企业内部网络安全的，提高威胁情报的针对性。其具体方案如下：
[0004]第一方面，本申请提供了一种威胁情报生成方法，应用于安全编排自动化与响应系统，包括：
[0005]提取针对企业内部网络安全的告警信息的五元组，并联动终端Agent基于所述五元组进行告警溯源分析，以得到相应的分析结果；
[0006]联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报；
[0007]利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗，并基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报；所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
[0008]可选的，所述联动第三方威胁情报平台对所述分析结果进行查询之前，还包括：
[0009]对所述分析结果进行正则表达式匹配，以得到HASH类分析结果和C2类分析结果。
[0010]可选的，所述联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报，包括：
[0011]联动第三方威胁情报平台查询所述HASH类分析结果是否已经被标记为恶意状态；
[0012]若未被标记为恶意状态，则联动所述第三方威胁情报平台和所述终端Agent查询
所述HASH类分析结果是否触发过告警；
[0013]若触发过告警，则基于所述HASH类分析结果生成相应的初始HASH类威胁情报。
[0014]可选的，所述联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报，包括：
[0015]联动所述第三方威胁情报平台查询所述C2类分析结果是否已经被标记为恶意状态；
[0016]若未被标记为恶意状态，则基于所述C2类分析结果生成相应的初始C2类威胁情报。
[0017]可选的，所述基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报之后，还包括：
[0018]将所述标准化威胁情报保存至本地威胁情报库；
[0019]若获取到所述第三方威胁情报平台发送的调用请求，则从所述本地威胁情报库中获取与所述调用请求对应的所述标准化威胁情报。
[0020]可选的，所述基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报之后，还包括：
[0021]利用与所述第三方威胁情报平台对应的威胁情报格式对所述标准化威胁情报进行格式更改，以得到更改后的威胁情报；
[0022]将所述更改后的威胁情报推送至所述第三方威胁情报平台，并基于所述第三方威胁情报平台提供的预设接口对所述本地威胁情报库中的威胁情报进行新增操作和/或更新操作。
[0023]可选的，所述基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报之后，还包括：
[0024]根据所述标准化威胁情报从soar剧本中确定出基于情报的威胁狩猎方式；所述soar剧本包括不同类型的威胁狩猎方式；
[0025]联动所述第三方威胁情报平台利用所述标准化威胁情报对历史日志进行基于情报的威胁狩猎，以查找出当前企业内部中与所述标准化威胁情报相应类型的网络安全威胁。
[0026]第二方面，本申请提供了一种威胁情报生成装置，应用于安全编排自动化与响应系统，包括：
[0027]五元组提取模块，用于提取针对企业内部网络安全的告警信息的五元组；
[0028]五元组分析模块，用于联动终端Agent基于所述五元组进行告警溯源分析，以得到相应的分析结果；
[0029]初始情报生成模块，用于联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报；
[0030]标准化情报生成模块，用于利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗，并基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报；所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。
[0031]第三方面，本申请提供了一种电子设备，包括：
[0032]存储器，用于保存计算机程序；
[0033]处理器，用于执行所述计算机程序以实现前述的威胁情报生成方法。
[0034]第四方面，本申请提供了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的威胁情报生成方法。
[0035]本申请中，提取针对企业内部网络安全的告警信息的五元组，并联动终端Agent基于所述五元组进行告警溯源分析，以得到相应的分析结果；联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报；利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗，并基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报；所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。由此可见，一方面，本申请通过应用于安全编排自动化与响应系统，自动对告警信息进行提取得到五元组，并联动终端Agent和第三方威胁情报平台自动对五元组进行分析和查询，生成初始威胁情报，从而减少人工参与，提高自动化能力，缩短生成时间，提高生成效率，并通过应用于安全编排自动化与响应系统，缓解了应用于第三方威胁情报平台所带来的响应速度慢、信息泄露风险等问题；另一方面，由于告警信息是针对企业内部网络安全的，因此生成的威胁情报也可以反映出企业内部实际情况，从而提高了威胁情报的针对性，也可以更好地满足企业的个性化需求；并且，本申请通过对初始威胁情报进行杂质清洗，可以提高威胁情报的可信度。
附图说本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁情报生成方法，其特征在于，应用于安全编排自动化与响应系统，包括：提取针对企业内部网络安全的告警信息的五元组，并联动终端Agent基于所述五元组进行告警溯源分析，以得到相应的分析结果；联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报；利用预设杂质清洗模型对所述初始威胁情报进行杂质清洗，并基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报；所述预设杂质清洗模型为对威胁情报中的垃圾情报和冗余情报进行清洗的模型。2.根据权利要求1所述的威胁情报生成方法，其特征在于，所述联动第三方威胁情报平台对所述分析结果进行查询之前，还包括：对所述分析结果进行正则表达式匹配，以得到HASH类分析结果和C2类分析结果。3.根据权利要求2所述的威胁情报生成方法，其特征在于，所述联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报，包括：联动第三方威胁情报平台查询所述HASH类分析结果是否已经被标记为恶意状态；若未被标记为恶意状态，则联动所述第三方威胁情报平台和所述终端Agent查询所述HASH类分析结果是否触发过告警；若触发过告警，则基于所述HASH类分析结果生成相应的初始HASH类威胁情报。4.根据权利要求2所述的威胁情报生成方法，其特征在于，所述联动第三方威胁情报平台对所述分析结果进行查询，并基于查询结果生成相应的初始威胁情报，包括：联动所述第三方威胁情报平台查询所述C2类分析结果是否已经被标记为恶意状态；若未被标记为恶意状态，则基于所述C2类分析结果生成相应的初始C2类威胁情报。5.根据权利要求1所述的威胁情报生成方法，其特征在于，所述基于预设标准化格式对清洗后的威胁情报进行标准化，以生成标准化威胁情报之后，还包括：将所述标准化威胁情报保存至本地威胁情报库；若获取到所述第三方威胁情报平台发送的调用请求，则从所述本地威胁情报库中获取与所述调用请求对应的所述标准化威胁情报。6....

【专利技术属性】
技术研发人员：宋振，刘书航，
申请(专利权)人：江苏安恒网络安全有限公司，
类型：发明
国别省市：