一种威胁情报处理方法及装置与流程

本发明实施例涉及数据安全
技术领域：
，具体涉及一种威胁情报处理方法及装置。
背景技术：
：随着互联网的不断发展，信息安全攻击的方式已经转变为“精准化的定向攻击”。这些攻击行为在攻击之前都会对攻击对象进行精确的信息收集，主动挖掘被攻击对象的相关漏洞，然后择机对目标对象进行攻击。因此，如何在攻击发生之前，对可能发生的攻击进行准确、及时预警，成为当下企业亟待解决的安全问题。目前出现了各种各样的防御手段来应对黑客的入侵。例如，网盾、杀毒软件、安全卫士、网络保镖等安全软件都能够在一定程度上抵御黑客的入侵，维护网络安全。但是，发明人在实现本发明的过程中，发现现有技术中的上述安全软件至少存在如下问题：现有的安全软件大多是根据数据访问记录来查杀恶意文件，但是，由于数据访问记录具有一定的滞后性和片面性，导致实时性和覆盖率较差，无法及时和全面地发现最新出现的恶意文件。技术实现要素：由于现有方法存在上述问题，本发明实施例提出一种威胁情报处理方法及装置。第一方面，本发明实施例提出一种威胁情报处理方法，包括：获取多源情报的威胁指标ioc数据，并对所述ioc数据进行预处理，得到待分析数据；将所述待分析数据输入威胁情报检测模型进行检测，得到威胁检测结果；若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端进行显示。可选地，所述获取多源情报的威胁指标ioc数据，并对所述ioc数据进行预处理，得到待分析数据，具体包括：获取多源情报的威胁指标ioc数据，并对所述ioc数据进行数据归一化处理、去噪处理、静态化处理和去重处理，得到待分析数据。可选地，所述将所述待分析数据输入威胁情报检测模型进行检测，得到威胁检测结果，具体包括：若判断获知所述待分析数据与本地或云端的威胁数据匹配后确定为威胁情报，则将所述威胁情报输入威胁情报检测模型进行检测，得到威胁检测结果；其中，所述本地或云端的威胁数据包括定期更新的白名单、黑名单和威胁系数变更名单。可选地，所述若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端进行显示，具体包括：若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端，以使所述显示终端显示所述威胁情报的威胁统计评分和匹配检测情况。可选地，所述方法还包括：根据所述威胁检测结果和/或用户的输入指令确定所述威胁情报的威胁权重，并根据所述威胁权重确定所述威胁情报的可信度。可选地，所述方法还包括：将可信度大于阈值的威胁情报从云端下载至本地，以方便本地实时地进行数据匹配。可选地，所述方法还包括：将所述威胁情报存储至本地数据库，并对所述威胁情报建立本地索引。可选地，所述方法还包括：根据所述威胁情报生成告警信息，将所述告警信息发送至所述显示终端进行显示，并将所述告警信息存储至所述本地数据库。可选地，所述方法还包括：将所述威胁情报下发给防火墙fw设备、入侵预防系统ips设备，根据所述威胁情报生成安全通告，并将所述安全通告发送至各网元设备。可选地，所述威胁情报检测模型包括统一资源定位符url分析方法、恶意样本分析方法、日志处理匹配方法和远程命令和控制服务器c&c、捕获恶意流量的槽洞sinkhole、文件信誉情报的检测学习模型，所述检测学习模型根据日志的输入不断自学习优化。可选地，所述多源情报包括：企业自产情报、第三方情报聚合部分和云端情报中心提供的情报信息。第二方面，本发明实施例还提出一种威胁情报处理装置，包括：数据预处理模块，用于获取多源情报的威胁指标ioc数据，并对所述ioc数据进行预处理，得到待分析数据；数据检测模块，用于将所述待分析数据输入威胁情报检测模型进行检测，得到威胁检测结果；结果显示模块，用于若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端进行显示。可选地，所述数据预处理模块具体用于获取多源情报的威胁指标ioc数据，并对所述ioc数据进行数据归一化处理、去噪处理、静态化处理和去重处理，得到待分析数据。可选地，所述数据检测模块具体用于若判断获知所述待分析数据与本地或云端的威胁数据匹配后确定为威胁情报，则将所述威胁情报输入威胁情报检测模型进行检测，得到威胁检测结果；其中，所述本地或云端的威胁数据包括定期更新的白名单、黑名单和威胁系数变更名单。可选地，所述结果显示模块具体用于若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端，以使所述显示终端显示所述威胁情报的威胁统计评分和匹配检测情况。可选地，所述装置还包括：可信度确定模块，用于根据所述威胁检测结果和/或用户的输入指令确定所述威胁情报的威胁权重，并根据所述威胁权重确定所述威胁情报的可信度。可选地，所述装置还包括：本地下载模块，用于将可信度大于阈值的威胁情报从云端下载至本地，以方便本地实时地进行数据匹配。可选地，所述装置还包括：索引建立模块，用于将所述威胁情报存储至本地数据库，并对所述威胁情报建立本地索引。可选地，所述装置还包括：告警显示模块，用于根据所述威胁情报生成告警信息，将所述告警信息发送至所述显示终端进行显示，并将所述告警信息存储至所述本地数据库。可选地，所述装置还包括：情报下发模块，用于将所述威胁情报下发给防火墙fw设备、入侵预防系统ips设备，根据所述威胁情报生成安全通告，并将所述安全通告发送至各网元设备。可选地，所述威胁情报检测模型包括统一资源定位符url分析方法、恶意样本分析方法、日志处理匹配方法和远程命令和控制服务器c&c、捕获恶意流量的槽洞sinkhole、文件信誉情报的检测学习模型，所述检测学习模型根据日志的输入不断自学习优化。可选地，所述多源情报包括：企业自产情报、第三方情报聚合部分和云端情报中心提供的情报信息。第三方面，本发明实施例还提出一种电子设备，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述方法。第四方面，本发明实施例还提出一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机程序，所述计算机程序使所述计算机执行上述方法。由上述技术方案可知，本发明实施例通过获取多源情报的威胁指标数据并进行预处理和检测，得到威胁检测结果，确定威胁情报后将所述威胁检测结果发送至显示终端进行显示，保证了恶意ip检测及恶意文件查杀的实时性和覆盖率。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。图1为本发明一实施例提供的一种威胁情报处理方法的流程示意图；图2为本发明一实施例提供的云端下载情报和第三方情报源的处理过程示意图；图3为本发明一实施例提供的威胁情报分析检测平台的结构示意图；图4为本发明一实施例提供的具体数据处理流程示意图；图5为本发明一实施例提供的一种威胁情报处理装置的结构示意图；图6为本发明一实施例提供的电子设备的逻辑框图。具体实施方式下面结合附图，对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。图1示出了本实施例提供的一种威胁情报处理方法的流程示意图，包括：s101、获取多源情报的ioc(indicatorofcompromise，威胁指标)数据，并对所述ioc数据进行预处理，得到待分析数据；其中，所述多源情报包括：企业自产情报、第三方情报聚合部分和云端情报中心提供的情报信息。所述预处理是指对ioc数据进行规范化处理，以方便后续的数据分析。s102、将所述待分析数据输入威胁情报检测模型进行检测，得到威胁检测结果；其中，所述威胁情报检测模型包括统一资源定位符url分析方法、恶意样本分析方法、日志处理匹配方法和远程命令和控制服务器c&c、捕获恶意流量的槽洞sinkhole、文件信誉情报的检测学习模型，所述检测学习模型根据日志的输入不断自学习优化。具体地，将待分析数据输入威胁情报检测模型后，根据url分析方法、恶意样本分析方法、日志处理匹配方法和c&c、sinkhole、文件信誉情报的检测学习模型进行检测和分析，得到威胁检测结果，确认待分析数据是否包含威胁情报，即是否为恶意文件。s103、若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端进行显示。通过将威胁检测结果发送至显示终端进行显示，能够便于用于实时了解威胁风险，以便及时采取相应措施。本实施例通过获取多源情报的威胁指标数据并进行预处理和检测，得到威胁检测结果，确定威胁情报后将所述威胁检测结果发送至显示终端进行显示，保证了恶意ip检测及恶意文件查杀的实时性和覆盖率。进一步地，在上述方法实施例的基础上，s101具体包括：获取多源情报的威胁指标ioc数据，并对所述ioc数据进行数据归一化处理、去噪处理、静态化处理和去重处理，得到待分析数据。具体地，对每次获取的ioc数据进行数据归一化处理、去噪处理、静态化处理和去重处理，以规范数据，并可以将ioc数据处理后得到的待分析数据存入kv数据库，以方便实时分析。进一步地，在上述方法实施例的基础上，s102具体包括：若判断获知所述待分析数据与本地或云端的威胁数据匹配后确定为威胁情报，则将所述威胁情报输入威胁情报检测模型进行检测，得到威胁检测结果；其中，所述本地或云端的威胁数据包括定期更新的白名单、黑名单和威胁系数变更名单。当接收到的日志记录及异构数据后，对日志记录和异构数据进行解析并入库，与本地及云端情报做检测引擎的匹配。具体地，所述待分析数据与本地或云端的威胁数据匹配也称为“文件信誉检测”，通过把云端文件信誉库高频查询及重要的ioc情报下沉到本地，实现本地系统的实时查询。文件信誉库包括黑、白两种类型，每种类型中都包含md5和sha1。采用kv(kc)引擎数据库存储。具体存入数据库的字段如下表所示：属性类型可选值说明md5字符串n/a样本对应的md5sha1字符串n/a样本对应的sha1sha256字符串n/a样本对应的sha256type字符串黑/白/未知样本判定结果malicious_type字符串n/a恶意类型family字符串n/a恶意家族first_seen时间n/a样本最早发现时间filesize数字n/a样本大小filetype字符串n/a样本类型filename字符串n/a样本名称ioc列表n/a样本相关已知cncnetworkn/a样本已知网络行为文件信誉将定期更新，主要包括白名单的文件信誉更新(增量)、黑名单的文件信誉更新(增量)、value发生变更的文件信誉更新(全量)。通过定期进行情报ioc信息，日增量较大的情况下，对恶意文件进行ioc匹配检测，同时反馈告知在线设备。并将更新后的数据导入第三方及企业自有情报ioc，更新集合到kvstore。进一步地，在上述方法实施例的基础上，s103具体包括：若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端，以使所述显示终端显示所述威胁情报的威胁统计评分和匹配检测情况。其中，所述威胁统计评分为待分析数据的威胁程度的评分，评分越高，其危险系数越大。所述匹配检测情况为所述待分析数据与本地或云端的威胁数据匹配情况，包括其匹配项、匹配程度等信息。进一步地，在上述方法实施例的基础上，所述方法还包括：s104、根据所述威胁检测结果和/或用户的输入指令确定所述威胁情报的威胁权重，并根据所述威胁权重确定所述威胁情报的可信度。具体地，根据威胁检测结果对各个威胁情报进行权重编排，权重高的可信度高，或者由用户可对各个威胁情报进行权重调整。具体地，通过api网关聚合方式配置accesskey配置apikey，支持提供get或put方式进行情报的导入和查询，系统内部获取后整合处理，分别提供查询。当查询结果均存在并不同时，提供权重配置，优先显示和高可信度的权重比高的ioc信息，方便用户查看。进一步地，在上述方法实施例的基础上，所述方法还包括：s105、将可信度大于阈值的威胁情报从云端下载至本地，以方便本地实时地进行数据匹配。具体地，通过提供restful查询接口，可供webbrowser或第三方应用程序直接在接口批量查询，且系统记录打点日志，并进行命中数的统计，包括接口收到提交查询md5、host或domain等，返回ioc信息，打点记录信息，日志条目入库等。其中，打点日志match_log表字段如下表所示：本地下载可信度大于阈值的威胁情报后，同时支持整合第三方情报源或开源情报，如图2所示，获取云端情况cc、sinkhole、dga、file后，情报落地本地，进行解密或解压，分表入库，批量设置设备自身字段信息后，进行本地存储。同时获取第三方情报源或开源情报。根据cc、sinkhole、dga、文件信誉和第三方信誉格式化输出查询实例，并进行分类展示。若导入的第三方情报中包含无效字段和无关情报字段时，则在查找表中不提供关联查找信息，以及后续匹配字段。进一步地，在上述方法实施例的基础上，所述方法还包括：s106、将所述威胁情报存储至本地数据库，并对所述威胁情报建立本地索引。具体地，威胁情报匹配后存入本地数据库，支持高性能匹配查询，并建立本地索引，方便数据查找。需要说明的是，可以将威胁情报去重后再建立索引，同时提供ioc定期升级，可以读取、删除、修改状态，并提供restapi接口。进一步地，在上述方法实施例的基础上，所述方法还包括：s107、根据所述威胁情报生成告警信息，将所述告警信息发送至所述显示终端进行显示，并将所述告警信息存储至所述本地数据库。当本地上报日志与本地或云端的威胁数据进行匹配并且产生告警信息时，说明此日志中包含恶意信息，此时生成告警信息并记录打点数据库，使得用户及时或者威胁情报，以采取相应地措施。需要说明的是，本实施例中除了告警消息，还包括调试信息和情报消息。情报消息包括，c&c情报、sinkhole情报、dga情报以及文件信誉情报和ip情报等。调试信息包括debug、info、warn、error等级别信息。进一步地，在上述方法实施例的基础上，所述方法还包括：s108、将所述威胁情报下发给防火墙fw设备、入侵预防系统ips设备，根据所述威胁情报生成安全通告，并将所述安全通告发送至各网元设备。通过对ioc数据进行预处理和分析，匹配到流量、日志、恶意文件等信息，系统可以采取安全监控和主动策略控制下发给其他网元设备。在事件响应方面，通过自动推送高风险等级的ioc威胁情报安全通告给第三方和网络设备，同时可下载结构化数据如stix2格式或cvs格式的ioc文件信息，提高情报的落地及应用效率，建立全面的威胁评估，并提供特殊威胁检测，将外部情报源叠加到内部情报上，对现网中频繁出现的各类恶意ioc信息更加精确的捕获到。具体来说，图3示出了威胁情报分析检测平台的结构示意图，所述威胁情报分析检测平台用于执行上述实施例提供的微信情报处理方法，具体用于处理事件中威胁情报产生的聚合、主动控制和事件响应。该平台包括：管理层和数据分析层，其中数据分析层包括深度分析模块和对比分析模块，包含了数据归一化处理、数据预处理、业务处理和前端展示等功能。数据归一化处理包括各异构数据源，包括外部ip情报、sinkhole、文件信誉等，企业产生维护的自有情报，以及第三方情报聚合；数据预处理包括数据去噪后进入kvstore，静态化及去重存储，为本地查询及云端查询提高效率；业务处理包括url分析模块、恶意样本分析模块以及日志处理匹配告警模块；前端展示包括系统的威胁统计评分和威胁情报的匹配检测情况展示。该平台还包括情报升级及入库升级，以及情报的反馈机制等。通过此平台能够准确检测到网络中的威胁并提供处置建议。具体的数据处理流程如图4所示，本地获取日志后，由本地进行数据分析和告警，发送至fw等其他网络设备，并支持第三方数据聚合和流量日志及其他日志的分析。通过对现网中各类信息的分析，关注url记录、域名、ip地址、恶意程序文件hash、以及手机号等重要日志信息，支持解析的格式多种，可以为syslog、txt、json或者特定协议的pcap网络数据包(如http，dns等)以及数据流进行解析入库，或者日志告警信息、fw日志或者dns日志等。图5示出了本实施例提供的一种威胁情报处理装置的结构示意图，所述装置包括：数据预处理模块501、数据检测模块502和结果显示模块503，其中：所述数据预处理模块501用于获取多源情报的威胁指标ioc数据，并对所述ioc数据进行预处理，得到待分析数据；所述数据检测模块502用于将所述待分析数据输入威胁情报检测模型进行检测，得到威胁检测结果；所述结果显示模块503用于若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端进行显示。具体地，所述数据预处理模块501获取多源情报的威胁指标ioc数据，并对所述ioc数据进行预处理，得到待分析数据；所述数据检测模块502将所述待分析数据输入威胁情报检测模型进行检测，得到威胁检测结果；所述结果显示模块503若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端进行显示。本实施例通过获取多源情报的威胁指标数据并进行预处理和检测，得到威胁检测结果，确定威胁情报后将所述威胁检测结果发送至显示终端进行显示，保证了恶意ip检测及恶意文件查杀的实时性和覆盖率。进一步地，在上述装置实施例的基础上，所述数据预处理模块501具体用于获取多源情报的威胁指标ioc数据，并对所述ioc数据进行数据归一化处理、去噪处理、静态化处理和去重处理，得到待分析数据。进一步地，在上述装置实施例的基础上，所述数据检测模块502具体用于若判断获知所述待分析数据与本地或云端的威胁数据匹配后确定为威胁情报，则将所述威胁情报输入威胁情报检测模型进行检测，得到威胁检测结果；其中，所述本地或云端的威胁数据包括定期更新的白名单、黑名单和威胁系数变更名单。进一步地，在上述装置实施例的基础上，所述结果显示模块503具体用于若根据所述威胁检测结果判断获知所述待分析数据为威胁情报，则将所述威胁检测结果发送至显示终端，以使所述显示终端显示所述威胁情报的威胁统计评分和匹配检测情况。进一步地，在上述装置实施例的基础上，所述装置还包括：可信度确定模块，用于根据所述威胁检测结果和/或用户的输入指令确定所述威胁情报的威胁权重，并根据所述威胁权重确定所述威胁情报的可信度。进一步地，在上述装置实施例的基础上，所述装置还包括：本地下载模块，用于将可信度大于阈值的威胁情报从云端下载至本地，以方便本地实时地进行数据匹配。进一步地，在上述装置实施例的基础上，所述装置还包括：索引建立模块，用于将所述威胁情报存储至本地数据库，并对所述威胁情报建立本地索引。进一步地，在上述装置实施例的基础上，所述装置还包括：告警显示模块，用于根据所述威胁情报生成告警信息，将所述告警信息发送至所述显示终端进行显示，并将所述告警信息存储至所述本地数据库。进一步地，在上述装置实施例的基础上，所述装置还包括：情报下发模块，用于将所述威胁情报下发给防火墙fw设备、入侵预防系统ips设备，根据所述威胁情报生成安全通告，并将所述安全通告发送至各网元设备。进一步地，在上述装置实施例的基础上，所述威胁情报检测模型包括统一资源定位符url分析方法、恶意样本分析方法、日志处理匹配方法和远程命令和控制服务器c&c、捕获恶意流量的槽洞sinkhole、文件信誉情报的检测学习模型，所述检测学习模型根据日志的输入不断自学习优化。进一步地，在上述装置实施例的基础上，所述多源情报包括：企业自产情报、第三方情报聚合部分和云端情报中心提供的情报信息。本实施例所述的威胁情报处理装置可以用于执行上述方法实施例，其原理和技术效果类似，此处不再赘述。参照图6，所述电子设备，包括：处理器(processor)601、存储器(memory)602和总线603；其中，所述处理器601和存储器602通过所述总线603完成相互间的通信；所述处理器601用于调用所述存储器602中的程序指令，以执行上述各方法实施例所提供的方法。本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法。本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。当前第1页12