一种威胁情报共享的方法、代理装置及系统与流程

本发明实施例涉及网络安全技术领域，尤其涉及一种威胁情报共享的方法、代理装置及系统。

背景技术：

在科技迅猛发展的今天，保证网络的安全已经成为互联网技术发展的前提，许多具有安全研究人员、安全厂商都会通过互联网媒体发布技术研究文章、安全报告等向同行、科研人员分析技术细节。

我们经常可以从cert、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等，这些都属于典型的安全威胁情报。在实现本发明实施例的过程中，发明人发现，在很多网络安全场景下，由于受到内网网络环境的限制，通常只开放单协议或特定端口，即在内网和外网之间增加单向网闸，单向网闸只能由外网到内网发起推送数据，不能由内网向外网发起查询。因此，该情形下外网的威胁情报是不能进入到内网的，由于内网无法获得更丰富的威胁情报导致内网的安全性很低。

因此，在内网网络环境受到限制的情况下，如何将外网的威胁情报推送至内网，从而提高内网环境的安全性是现如今亟待解决的课题。

技术实现要素：

针对现有技术存在的问题，本发明实施例提供一种威胁情报共享的方法、代理装置及系统。

第一方面，本发明实施例提供一种威胁情报共享的方法，包括：

根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，更新并获得所述未知数据表中的未知数据；

根据所述未知数据向情报云服务器发送查询请求，并接收所述情报云服务器返回的查询结果，所述查询结果包括所述未知数据对应的威胁情报；

将所述查询结果推送至内网的威胁情报平台，以使所述威胁情报平台将所述查询结果进行存储，以实现威胁情报的共享。

另一方面，本发明实施例提供一种威胁情报共享的代理装置，包括：

轮询模块，用于根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，更新并获得所述未知数据表中的未知数据；

第一发送模块，用于根据所述未知数据向情报云服务器发送查询请求，并接收所述情报云服务器返回的查询结果，所述查询结果包括所述未知数据对应的威胁情报；

推送模块，用于将所述查询结果推送至内网的威胁情报平台，以使所述威胁情报平台将所述查询结果进行存储，以实现威胁情报的共享。

第三方面，本发明实施例提供一种系统，包括：威胁情报平台、情报云服务器和第二方面所述的代理装置。

第三方面，本发明实施例提供一种电子设备，包括：处理器、存储器和总线，其中，

所述处理器和所述存储器通过所述总线完成相互间的通信；

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面的方法步骤。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，包括：

所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面的方法步骤。

本发明实施例提供的一种威胁情报共享的方法、代理装置及系统，通过代理装置对内网中的未知数据表进行定期轮询，根据未知数据表中的未知数据向情报云服务器发送查询请求，并将查询结果返回至内网的威胁情报平台，对内网通过网闸对网络环境限制的情况，实现了威胁情报的共享，提高了内网环境的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种威胁情报共享方法流程示意图；

图2为本发明实施例提供的一种威胁情报共享代理装置结构示意图；

图3为本发明实施例提供的威胁情报共享系统结构示意图；

图4为本发明实施例提供的电子设备实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种威胁情报共享方法流程示意图，如图1所述，所述方法，包括：

步骤101：根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，更新并获得所述未知数据表中的未知数据；

具体的，内网中的大数据分析平台与威胁情报平台优先联动，对内网用户提交的数据进行分析，生成黑、白、灰数据，其中，用户提交的数据可以为ip地址、md5码等，通过大数据分析平台和威胁情报平台如果判断得知数据为黑数据，则说明该数据是威胁数据，如果数据是白数据，则说明该数据是安全的，如果是灰数据，则说明该数据没有被检测到，属于未知数据，将获取到的所有的未知数据存储在未知数据表中，代理装置根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，需要更新未知数据表中的未知数据，并通过轮询获取未知数据表中的未知数据。应当说明的是，代理装置可以通过sql语句对未知数据表进行轮询，预设周期可以是1秒，也可以根据实际需求进行调整，本发明实施例对此不做具体限定。未知数据表中的未知数据可以有一个也可以有多个。

步骤102：根据所述未知数据向情报云服务器发送查询请求，并接收所述情报云服务器返回的查询结果，所述查询结果包括所述未知数据对应的威胁情报；

具体的，代理装置在获取到未知数据后，向情报云服务器发送对未知数据进行查询的查询请求，情报云服务器在接收到该查询请求后，将未知数据对应的查询结果返回至代理装置，代理装置接收情报云服务器返回的查询结果，可以理解的是，查询结果中包括未知数据对应的威胁情报，可以是ioc信息以及安全通告，还可以包括其他信息，本发明实施例对此不做具体限定。

步骤103：将所述查询结果推送至内网的威胁情报平台，以使所述威胁情报平台将所述查询结果进行存储，以实现威胁情报的共享。

具体的，代理装置在接收到情报云服务器返回的未知数据对应的查询结果后，将该查询结果推送至内容的威胁情报平台，由于代理装置中存在代理服务，因此其能够与内网进行通信。当威胁情报平台接收到未知数据的查询结果后，对其进行存储，从而实现将外网的威胁情报通过代理装置推送至内网，以实现威胁情报的共享。应当说明的是，威胁情报平台根据不同类型的ioc信息进行解密解压读取，并将结果插入威胁情报平台的kv引擎进行解析，完成对威胁情报的利用。

本发明实施例通过代理装置对内网中的未知数据表进行定期轮询，根据未知数据表中的未知数据向情报云服务器发送查询请求，并将查询结果返回至内网的威胁情报平台，对内网通过网闸对网络环境限制的情况，实现了威胁情报的共享，提高了内网环境的安全性。

在上述实施例的基础上，所述方法，还包括：

接收情报云服务器定期发送的情报文件，并将所述情报文件以二进制流的形式进行存储。

具体的，代理装置可以接收情报云服务器定期发送的情报文件，在接收到该情报文件后，不对情报文件做任何解压解密等操作，直接将情报文件进行存储，可以通过sql语句将情报文件插入到数据库中，应当说明的是，利用数据库对信息的存储，通过二进制流的形式将情报文件进行存储，可以存储到content字段，数据存取方法用ado时，可以利用appendchunk和getchunk来存取字段。应当说明的是，情报文件包括ioc信息和安全通告等，在接收到情报文件后，可以定期发送至内网的威胁情报平台，以更新威胁情报平台中存储的情报文件。

本发明实施例通过代理装置接收情报云服务器定期发送的情报文件，并将情报文件以二进制流的形式进行存储，实现了代理装置中存储的情报文件的更新。

在上述实施例的基础上，所述方法，还包括：

接收所述威胁情报平台定期发送的情报查询请求，根据所述情报查询请求将数据库中的所述情报文件发送至所述威胁情报平台，以使所述威胁情报平台对所述情报文件进行解析并存储。

具体的，威胁情报平台可以根据预先设定的周期向代理装置发送情报查询请求，代理装置在接收到威胁情报平台定期发送的情报查询请求后，根据情报查询请求从数据库中获取对应的情报文件，并将情报文件发送至威胁情报平台，可以理解的是，情报查询请求可以是查询代理装置中存储的所有的情报文件，也可以是查询从上次查询到当前时间这一时间段内的情报文件。威胁情报平台在接收到情报文件后，对其进行解析并存储在数据库中，在解析时，可以根据不同类型的ioc信息进行解密解压读取。应当说明的是，情报云服务器可以每小时或每天定时生成最新情报进行推送，解决情报更新时效性问题。

本发明实施例通过代理装置接收威胁情报平台定期发送的情报查询请求，根据情报查询请求将对应的情报文件发送至威胁情报平台，实现了将外网的情报文件发送至内网，对威胁情报平台中的情报文件进行及时更新，从而提高了内网的安全性。

在上述实施例的基础上，所述方法，还包括：

若判断获知接收到的所述情报文件为预设的定向情报，则将所述情报文件发送至所述威胁情报平台。

具体的，每个行业都会有自己比较关注的威胁情报，因此，根据行业的需求，预先设置一些定向情报，当代理装置接收到情报云服务器定期推送的情报文件后，若发现情报文件中包括预先设置的定向情报，则立即将属于定向情报的情报文件发送至威胁情报平台，以使威胁情报平台能够及时对威胁情报进行处理。

本发明实施例通过代理装置对内网中的未知数据表进行定期轮询，根据未知数据表中的未知数据向情报云服务器发送查询请求，并将查询结果返回至内网的威胁情报平台，对内网通过网闸对网络环境限制的情况，实现了威胁情报的共享，提高了内网环境的安全性。

图2为本发明实施例提供的一种威胁情报共享代理装置结构示意图，如图2所述，所述装置，包括：轮询模块201、第一发送模块202和推送模块203，其中：

轮询模块201用于根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，更新并获得所述未知数据表中的未知数据；第一发送模块202用于根据所述未知数据向情报云服务器发送查询请求，并接收所述情报云服务器返回的查询结果，所述查询结果包括所述未知数据对应的威胁情报；推送模块203用于将所述查询结果推送至内网的威胁情报平台，以使所述威胁情报平台将所述查询结果进行存储，以实现威胁情报的共享。

具体的，轮询模块201根据预设周期对内网中的未知数据表进行轮询，应当说明的是，代理装置可以通过sql语句对未知数据表进行轮询，当内网发起情报查询请求时，需要更新位置数据表中的未知数据，并通过轮询获取未知数据表中的未知数据。预设周期可以是1秒，也可以根据实际需求进行调整，本发明实施例对此不做具体限定。未知数据表中的未知数据可以有一个也可以有多个。在获取到未知数据后，第一发送模块202向情报云服务器发送对未知数据进行查询的查询请求，情报云服务器在接收到该查询请求后，将未知数据对应的查询结果返回至第一发送模块202，第一发送模块202可以接收情报云服务器返回的查询结果。可以理解的是，查询结果中包括ioc信息以及安全通告，还可以包括其他信息，本发明实施例对此不做具体限定。在接收到情报云服务器返回的未知数据对应的查询结果后，推送模块203将该查询结果推送至内容的威胁情报平台，由于代理装置中存在代理服务，因此其能够与内网进行通信。当威胁情报平台接收到未知数据的查询结果后，对其进行存储，从而实现将外网的威胁情报通过代理装置推送至内网，以实现威胁情报的共享。

本发明提供的代理装置的实施例具体可以用于执行上述各方法实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

本发明实施例通过代理装置对内网中的未知数据表进行定期轮询，根据未知数据表中的未知数据向情报云服务器发送查询请求，并将查询结果返回至内网的威胁情报平台，对内网通过网闸对网络环境限制的情况，实现了威胁情报的共享，提高了内网环境的安全性。

在上述实施例的基础上，所述代理装置，还包括：

第一接收模块，用于接收情报云服务器定期发送的情报文件，并将所述情报文件以二进制流的形式进行存储。

具体的，第一接收模块可以接收情报云服务器定期发送的情报文件，在接收到该情报文件后，不对情报文件做任何解压解密等操作，直接将情报文件进行存储，可以通过sql语句将情报文件插入到数据库中，应当说明的是，利用数据库对信息的存储，通过二进制流的形式将情报文件进行存储。

本发明实施例通过代理装置接收情报云服务器定期发送的情报文件，并将情报文件以二进制流的形式进行存储，实现了代理装置中存储的情报文件的更新。

在上述实施例的基础上，所述代理装置，还包括：

第二接收模块，用于接收所述威胁情报平台定期发送的情报查询请求，根据所述情报查询请求将数据库中的所述情报文件发送至所述威胁情报平台，以使所述威胁情报平台对所述情报文件进行解析并存储。

具体的，威胁情报平台可以根据预先设定的周期向代理装置发送情报查询请求，第二接收模块在接收到威胁情报平台定期发送的情报查询请求后，根据情报查询请求从数据库中获取对应的情报文件，并将情报文件发送至威胁情报平台，可以理解的是，情报查询请求可以是查询代理装置中存储的所有的情报文件，也可以是查询从上次查询到当前时间这一时间段内的情报文件。威胁情报平台在接收到情报文件后，对其进行解析并存储，在解析时，可以根据不同类型的ioc信息进行解密解压读取。应当说明的是，情报云服务器可以每小时或每天定时生成最新情报进行推送，解决情报更新时效性问题。

本发明实施例通过代理装置接收威胁情报平台定期发送的情报查询请求，根据情报查询请求将对应的情报文件发送至威胁情报平台，实现了将外网的情报文件发送至内网，对威胁情报平台中的情报文件进行及时更新，从而提高了内网的安全性。

在上述实施例的基础上，所述代理装置，还包括：

第二发送模块，用于若判断获知接收到的所述情报文件为预设的定向情报，则将所述情报文件发送至所述威胁情报平台。

具体的，每个行业都会有自己比较关注的威胁情报，因此，根据行业的需求，预先设置一些定向情报，当第二发送模块接收到情报云服务器定期推送的情报文件后，若发现情报文件中包括预先设置的定向情报，则立即将属于定向情报的情报文件发送至威胁情报平台，以使威胁情报平台能够及时对威胁情报进行处理。

本发明实施例通过代理装置对内网中的未知数据表进行定期轮询，根据未知数据表中的未知数据向情报云服务器发送查询请求，并将查询结果返回至内网的威胁情报平台，对内网通过网闸对网络环境限制的情况，实现了威胁情报的共享，提高了内网环境的安全性。

图3为本发明实施例提供的威胁情报共享系统结构示意图，如图3所述，该系统包括：大数据平台301、威胁情报平台302、代理装置303和情报云服务器304，其中，大数据平台301和威胁情报平台302属于信息内网，情报云服务器304属于互联网，代理装置303介于信息内网和信息外网之间，用于信息内网和信息外网之间的通信。代理装置具有代理服务，主动连接内网服务端口，对内网的未知数据表进行轮询获取未知数据，并向情报云服务器304发送查询请求，情报云服务器304将查询结果返回给代理装置303，代理装置303再将查询结果发送给威胁情报平台302。情报云服务器304也可以定期向代理装置303推送情报文件。可以理解的是，代理装置303用于执行上述各实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

本发明实施例通过代理装置对内网中的未知数据表进行定期轮询，根据未知数据表中的未知数据向情报云服务器发送查询请求，并将查询结果返回至内网的威胁情报平台，对内网通过网闸对网络环境限制的情况，实现了威胁情报的共享，提高了内网环境的安全性。

图4为本发明实施例提供的电子设备实体结构示意图，如图4所述，所述电子设备，包括：处理器(processor)401、存储器(memory)402和总线403；其中，

所述处理器401和存储器402通过所述总线403完成相互间的通信；

所述处理器401用于调用所述存储器402中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，更新并获得所述未知数据表中的未知数据；根据所述未知数据向情报云服务器发送查询请求，并接收所述情报云服务器返回的查询结果，所述查询结果包括所述未知数据对应的威胁情报；将所述查询结果推送至内网的威胁情报平台，以使所述威胁情报平台将所述查询结果进行存储，以实现威胁情报的共享。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，更新并获得所述未知数据表中的未知数据；根据所述未知数据向情报云服务器发送查询请求，并接收所述情报云服务器返回的查询结果，所述查询结果包括所述未知数据对应的威胁情报；将所述查询结果推送至内网的威胁情报平台，以使所述威胁情报平台将所述查询结果进行存储，以实现威胁情报的共享。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：根据预设周期对内网中的未知数据表进行轮询，当内网发起情报查询请求时，更新并获得所述未知数据表中的未知数据；根据所述未知数据向情报云服务器发送查询请求，并接收所述情报云服务器返回的查询结果，所述查询结果包括所述未知数据对应的威胁情报；将所述查询结果推送至内网的威胁情报平台，以使所述威胁情报平台将所述查询结果进行存储，以实现威胁情报的共享。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的代理装置等实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。