威胁告警方式生成的方法、装置、电子设备及存储介质与流程

本发明涉及网络安全技术领域，尤其涉及一种威胁告警方式生成的方法、装置、电子设备及存储介质。

背景技术：

随着计算机技术的发展与普及，计算机应用已经全面渗透到人们的工作与生活中，成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。

安全软件可以用来应对网络威胁，也需要将所检测到的网络威胁的信息，向用户提出告警。一方面，对于普通用户或小型企业来说，随着其安全意识的不断加强，安全软件仅仅是静默的应对威胁是不够的，用户希望能够获得更多的信息，从而了解自己受到了何种威胁，受到威胁的频率是多少，自己受到的影响有多大，该怎样防范等；另一方面，大企业、科研组织及学校，乃至国家机构等用户的角度来讲，其遭受到的网络威胁，通常都是有组织、有计划、兼具持久性与高级技术的网络威胁，即apt(高级持续性威胁：隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定目标，通常处于商业或政治动机，并要求在长时间内保持高隐蔽性)，而针对这些高级的网空威胁，除了进行普通的告警外，用户还需要知晓自身被何种组织，以何种方式，进行了何种攻击，从而进一步探知攻击背后的目的。

综上所述，在防御威胁的基础上，为用户提供准确且信息完善的告警，也是安全软件必不可少的功能之一。

技术实现要素：

本发明实施例提供了一种威胁告警方式生成的方法、装置、电子设备及存储介质，用以解决现有的威胁告警方式无法有效为易遭受apt攻击的用户揭示攻击所造成的影响以及攻击核心目的的问题。

基于上述问题，本发明实施例提供的一种威胁告警方式生成的方法，包括：

提取样本中的向量级威胁情报；根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。

进一步地，所述提取样本中的向量级威胁情报的内容包括：apt组织特定的字符串，ip地址和域名，静态分析及动态分析得到的行为信息、文件结构性信息。

进一步地，配置文件分为标准配置文件和定制配置文件。

进一步地，根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集，具体为：对向量级威胁情报及其对应的威胁信息进行机器学习或者人工整理，形成机器学习规则库或者人工规则库；根据配置文件，将所提取的向量级威胁情报与机器学习规则库和/或人工规则库进行匹配；匹配出对应的威胁信息，并整理得到样本对应的威胁信息合集。

本发明实施例提供的一种威胁告警方式生成的装置，包括：

情报提取单元：用于提取样本中的向量级威胁情报；整理单元：用于根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；展示信息选取单元：用于整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；展示单元：用于将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。

进一步地，所述提取样本中的向量级威胁情报的内容包括：apt组织特定的字符串，ip地址和域名，静态分析及动态分析得到的行为信息、文件结构性信息。

进一步地，配置文件分为标准配置文件和定制配置文件。

进一步地，根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集，具体为：对向量级威胁情报及其对应的威胁信息进行机器学习或者人工整理，形成机器学习规则库或者人工规则库；根据配置文件，将所提取的向量级威胁情报与机器学习规则库和/或人工规则库进行匹配；匹配出对应的威胁信息，并整理得到样本对应的威胁信息合集。

本发明实施例同时公开一种威胁告警方式生成的电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行任一前述的威胁告警方式生成的方法。

本发明实施例提供了计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现任一前述的威胁告警方式生成的方法。

与现有技术相比，本发明实施例提供的一种威胁告警方式生成的方法、装置、电子设备及存储介质，至少实现了如下的有益效果：提取样本中的向量级威胁情报；根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。本发明实施例依托于向量级威胁情报的整合与分析，得到攻击组织及攻击工具等信息，避免了现有技术中当攻击者对攻击工具进行简单的修改或对ip地址进行更换后便无法标识的缺陷；进一步地，威胁告警的内容不仅包括传统的病毒名称，还包括攻击组织、攻击工具等能够揭示攻击者目的的信息，便于用户对自身受到的攻击有更深入的了解，也有利于安全人员有针对性的进行防御；还能根据配置文件，控制输出内容，更加贴近用户的实际需求，提升用户体验感。

附图说明

图1为本发明实施例提供的一种威胁告警方式生成方法的流程图；

图2为本发明实施例提供的又一种威胁告警方式生成方法的流程图；

图3为本发明实施例提供的一种威胁告警方式生成装置的结构图；

图4为本发明实施例提供的电子设备的结构示意图。

具体实施方式

现有的威胁告警方式，绝大多数都是输出病毒名称，用户只能知道自己在什么时候，受到了何种威胁以及杀毒软件的处置结果。但由于用户并不明白病毒名称的具体含义是什么，因此对自己所遭受的威胁还是一无所知。更何况，仅输出病毒名的威胁告警，对于大企业、国家机构等用户所遭受的apt威胁，所能起到的提示效果非常有限。只输出病毒名的威胁告警，无法对apt事件背后的组织进行说明，无法告知用户正在遭受何种攻击，用户无法知道攻击者的目的究竟是什么。

基于此，下面结合说明书附图，对本发明实施例提供的一种威胁告警方式生成的方法、装置、电子设备及存储介质的具体实施方式进行说明。

本发明实施例提供的一种威胁告警方式生成的方法，如图1所示，具体包括以下步骤：

s101、提取样本中的向量级威胁情报；

向量是指从样本中所提取出的具有类别与属性的数据；而威胁情报是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索；所述提取样本中的向量级威胁情报的内容包括：apt组织特定的字符串(互斥量、pdb路径、特殊组件名称等)，ip地址和域名，静态分析及动态分析得到的行为信息、文件结构性信息等；向量级威胁情报提取的内容不仅仅限于上述内容，任何可以从样本中提取出来的、能够对攻击组织和攻击工具进行标识的信息，都可以算作向量级威胁情报。

s102、根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；

其中，配置文件会记录对哪些信息进行整理，以及最终的结果输出给用户的方式；配置文件分为标准配置文件和定制配置文件，根据配置文件的不同，威胁信息生成方法不同，因此最终得到的威胁信息合集不同，最终输出的威胁信息内容也不同；根据用户的需求定制配置文件，没有定制化的配置文件，则使用标准配置文件进行标定信息的生成；而标准配置文件是根据以往的经验总结的统一配置；配置文件可以是明文的，也可以是加密的，对配置文件进行加密可以防止对其进行恶意篡改。

s103、整理最终输出给用户的威胁信息，选择威胁信息展示方式；

所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；其中，病毒类型包括勒索病毒、挖矿软件等；攻击组织基本信息包含组织名称、组织别名(包含多个)、组织性质、组织归属国家、组织描述以及组织成员等，此外，还包含姓名、虚拟id、社交账号、联系方式等组织人员信息；行攻击行为信息包括遭受攻击的国家、攻击的领域、具体攻击的机构或部门名称、受影响的系统平台、攻击中所使用的漏洞信息、攻击中所使用的持久化方法、攻击中使用的算法、攻击手段以及攻击意图等；最终输出给用户的威胁信息只要是可以帮助用户对所受攻击进行深入了解并辅助其作出防御的信息，都可以进行输出。

s104、将威胁信息展示给用户；

展示方式包括：日志展示、图形界面标签展示等；可以根据用户的需求，更换其他展示方式。

本发明实施例依托于向量级威胁情报的整合与分析，得到攻击组织及攻击工具等信息，避免了现有技术中当攻击者对攻击工具进行简单的修改或对ip地址进行更换后便无法标识的缺陷；进一步地，威胁告警的内容不仅包括传统的病毒名称，还包括攻击组织、攻击工具等能够揭示攻击者目的的信息，便于用户对自身受到的攻击有更深入的了解，也有利于安全人员有针对性的进行防御；还能根据配置文件，控制输出内容，更加贴近用户的实际需求；对配置文件进行加密可以防止对其进行恶意篡改，进一步提升用户的安全性。

本发明实施例提供的又一种威胁告警方式生成的方法，如图2所示，具体包括以下步骤：

s201、对向量级威胁情报及其对应的威胁信息进行机器学习或者人工整理，形成机器学习规则库或者人工规则库；

s202、提取样本中的向量级威胁情报；

例如，检测到某apt组织的样本，可利用向量级威胁情报引擎，对该apt样本中的向量级威胁情报进行提取。

s203、根据配置文件，将所提取的向量级威胁情报与机器学习规则库和/或人工规则库进行匹配；

s204、匹配出对应的威胁信息，并整理得到样本对应的威胁信息合集；

对已有的apt组织所用工具中的向量信息进行拟合，可以得到该样本所属的工具类型，例如根据工具中所含有的apt组织独有的一些特殊的字符串向量如pdb路径、互斥量等，可以判定该样本属于何种apt组织；利用类似的方法可以得到多种威胁信息，并形成威胁信息合集。

s205、整理最终输出给用户的威胁信息，选择威胁信息展示方式；

同一种整理方法可以输出多种结果，例如可以同时输出病毒名、攻击组织、攻击工具及其对应说明，攻击行为信息，也可以就用户侧重的内容进行展示。

s206、将威胁信息展示给用户。

本发明实施例依托于向量级威胁情报的整合与分析，得到攻击组织及攻击工具等信息，避免了现有技术中当攻击者对攻击工具进行简单的修改或对ip地址进行更换后便无法标识的缺陷；进一步地，威胁告警的内容不仅包括传统的病毒名称，还包括攻击组织、攻击工具等能够揭示攻击者目的的信息，便于用户对自身受到的攻击有更深入的了解，也有利于安全人员有针对性的进行防御；还能根据配置文件，控制输出内容，更加贴近用户的实际需求，提升用户体验感。

本发明实施例还提供的一种威胁告警方式生成的装置，如图3所示，包括：

情报提取单元310：用于提取样本中的向量级威胁情报；

整理单元320：用于根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集；

展示信息选取单元330：用于整理最终输出给用户的威胁信息，选择威胁信息展示方式，所述威胁信息的内容包括：病毒名称、病毒类型、攻击组织、攻击工具及其对应说明，攻击行为信息；

展示单元340：用于将威胁信息展示给用户并作出告警，展示方式包括：日志展示、图形界面标签展示。

进一步地，所述提取样本中的向量级威胁情报的内容包括：apt组织特定的字符串，ip地址和域名，静态分析及动态分析得到的行为信息、文件结构性信息。

进一步地，配置文件分为标准配置文件和定制配置文件。

进一步地，根据配置文件，对所提取的向量级威胁情报进行整理，得到样本对应的威胁信息合集，具体为：对向量级威胁情报及其对应的威胁信息进行机器学习或者人工整理，形成机器学习规则库或者人工规则库；根据配置文件，将所提取的向量级威胁情报与机器学习规则库和/或人工规则库进行匹配；匹配出对应的威胁信息，并整理得到样本对应的威胁信息合集。

本发明实施例还提供一种电子设备，图4为本发明电子设备一个实施例的结构示意图，可以实现本发明图1-2所示实施例的流程，如图4所示，上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的程序启动方法。

处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1-2所示实施例的描述，在此不再赘述。

该电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

本发明的实施例还提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述的程序启动方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。