【技术实现步骤摘要】
一种威胁情报处理系统以及方法
[0001]本专利技术属于计算机领域,尤其涉及一种威胁情报处理系统以及方法。
技术介绍
[0002]威胁情报,是关于IT信息或者信息资产中所面临的或者现有的潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据,威胁情报相当于为威胁数据提供了一种预警机制,威胁情报库是威胁情报信息的集合,威胁情报库包括本地威胁情报库和云端威胁情报库。
[0003]现有技术中公开了一种针对威胁数据进行处理的方法,具体的,通过监控并捕获进程中的行为,识别恶意行为且行为威胁值不大的第一行为,将进程中与第一行为相关联的其他行为与行为进行组合,并将该组合在恶意行为组合库中进行对比;响应于在恶意行为组合库中的对比表明该组合是恶意行为组合,计算恶意行为组合的组合威胁值并将组合威胁值与组合威胁阈值进行比较;响应于组合威胁值超过组合威胁阈值,将进程按第一阈值区分为恶意进程或高危进程以处理,该现有技术能够能够极大地减少待匹配恶意行为数量,提升匹配效率。
[0004]但是,注意到以上...
【技术保护点】
【技术特征摘要】
1.一种威胁情报处理方法,其特征在于,所述方法包括:根据至少一个应用平台的应用数据以及与至少一个应用平台相对应的本地威胁情报库,识别至少一个应用平台的特征接入数据项,所述至少一个应用平台包含于若干关联应用平台中;其中,所述特征数据接入项,用于表征不符合至少一个应用平台但符合其他应用平台的可能威胁数据,可能威胁数据也未被其他应用平台所监测到并且标记在威胁情报列表中;确定所述特征接入数据项中符合若干关联应用平台的业务特征数据集的第一可疑威胁数据项;将第一可疑威胁数据项对应同步到公共云端威胁情报库,以生成基于公共云端威胁情报库对第一可疑威胁数据项的判断结果;当所述判断结果表征第一可疑威胁数据项为理论业务威胁数据项时,根据所述理论业务威胁数据项识别相符合的第一关联应用平台,所述第一关联应用平台为若干关联应用平台中至少两个;所述理论业务威胁数据用于表征至少两个应用平台的可能威胁数据项之间的组合;将理论业务威胁数据项对应同步到第一关联应用平台的本地威胁情报库。2.根据权利要求1所述的威胁情报处理方法,其特征在于,所述根据至少一个应用平台的应用数据以及与若干关联应用平台相对应的本地威胁情报库,识别至少一个应用平台的特征接入数据项具体包括:识别至少一个应用平台的应用数据中符合所述本地威胁情报数据库的第一类型数据;判断第一类型数据与本地威胁情报数据库中第一标准数据之间的关联度;当所述关联度达到第一阈值但小于第二阈值时,判定达到第一阈值但小于第二阈值所对应的第一类型数据为特征接入数据。3.根据权利要求2所述的威胁情报处理方法,其特征在于,所述关联度包括相似度。4.根据权利要求2或3所述的威胁情报处理方法,其特征在于,所述方法还包括:当所述关联度不小于第二阈值时,识别所述关联度不小于第二阈值所对应的第二类型数据;将第二类型数据作为第一标准数据的子数据,或者将第二类型数据作为第一标准数据的子数据并列数据集的组成数据。5.根据权利要求2或3所述的威胁情报处理方法,其特征在于,所述方法还包括:当所述关联度小于第一阈值时,监控对应的第三类型数据是否符合威胁流量的数据特征;若是,则提取所述第三类型数据的使用特征,并且限定对包含所述使用特征的应用数据的使用。6.根据权利要求1所述的威胁情报处理方法,其特征在于,所述确定所述特征接入数据项中符合若干关联应用平台的业务特征数据集的第一可疑威胁数据项具体包括:将所述特征接入数据项按照若干关联...
【专利技术属性】
技术研发人员:张永印,
申请(专利权)人:山东鼎夏智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。