一种情报查询方法及装置与流程

1.本技术涉及网络安全领域，具体而言，涉及一种情报查询方法及装置。


背景技术：

2.目前，对于情报的检测方法通常是基于厂商采集的情报和其他开源的情报来进行检测的。基于该种情报数据，传统方法通常是找出相同ip、域名、hash等关键属性相同的情报，以此来实现情报的检索。但是，该种检测方法只能针对于情报本身进行检测，从而忽视了其他因素对于情报的影响，进而导致了情报检测的准确性较低，适应能力较弱。


技术实现要素：

3.本技术实施例的目的在于提供一种情报查询方法及装置，能够基于场景来对情报进行更有效的检测，从而提高情报检测的准确性，进而有利于提高情报检测方法对于场景的适应能力。
4.本技术实施例第一方面提供了一种情报查询方法，包括：识别接收到的情报查询请求，得到查询内容和查询场景；检测情报管理数据库中是否存在与所述查询内容相关联的情报数据；当所述情报数据存在时，基于所述查询场景和所述情报数据生成情报查询结果。
5.在上述实现过程中，该方法可以识别接收到的情报查询请求，得到查询内容和查询场景；再检测情报管理数据库中是否存在与查询内容相关联的情报数据；最后再在情报数据存在时，基于查询场景和情报数据生成情报查询结果。可见，该方法可以通过用户输入的查询请求来确定出想要查询的情报内容和场景信息，从而使得该方法可以基于情报内容和场景信息进行综合检索，进而保证了检索得到的结果是与情报内容和场景信息相适应的，以使合适当前场景的情报可以被输出或接收，避免了对该情报全盘否定的情况出现。
6.进一步地，所述基于所述查询场景和所述情报数据生成情报查询结果的步骤包括：识别当前场景；判断所述查询场景是否与所述当前场景相匹配；当所述查询场景与所述当前场景相匹配时，基于所述当前场景和所述情报数据生成情报检测结果。
7.在上述实现过程中，该方法可以对场景进行有效匹配，从而将不符合当前场景的情报确定与当前场景对应的情报检测结果，并及时通报该情报给工作人员知晓。
8.进一步地，所述基于所述查询场景和所述情报数据生成情报查询结果的步骤包括：识别所述情报查询请求对应的查询方向；当所述情报查询请求中不包括所述查询方向时，基于所述查询场景和所述情报数据生成情报查询结果。
9.在上述实现过程中，该方法可以进一步检测情报的出入站方向，从而生成与出入站方向相关联的情报查询结果。
10.进一步地，所述方法还包括：当所述情报查询请求中包括所述查询方向时，基于所述查询方向、所述查询场景和所述情报数据生成情报查询结果；所述查询方向包括出站方向和入站方向。
11.进一步地，所述基于所述查询方向、所述查询场景和所述情报数据生成情报查询结果的步骤包括：当所述查询方向为所述出站方向时，基于所述查询方向、所述查询场景和所述情报数据生成情报出站查询结果；当所述查询方向为所述入站方向时，基于所述查询方向、所述查询场景和所述情报数据生成情报入站查询结果。
12.进一步地，所述检测情报管理数据库中是否存在与所述查询内容相关联的情报数据的步骤包括：基于高速缓存检测情报管理数据库中是否存在与所述查询内容相关联的情报数据。
13.在上述实现过程中，该方法能够保证查询速度，提高查询效率。
14.本技术实施例第二方面提供了一种情报查询装置，所述情报查询装置包括：识别单元，用于识别接收到的情报查询请求，得到查询内容和查询场景；检测单元，用于检测情报管理数据库中是否存在与所述查询内容相关联的情报数据；生成单元，用于当所述情报数据存在时，基于所述查询场景和所述情报数据生成情报查询结果。
15.在上述实现过程中，该装置可以通过识别单元识别接收到的情报查询请求，得到查询内容和查询场景；通过检测单元检测情报管理数据库中是否存在与查询内容相关联的情报数据；通过生成单元在情报数据存在时，基于查询场景和情报数据生成情报查询结果。可见，该装置可以通过用户输入的查询请求来确定出想要查询的情报内容和场景信息，从而使得该装置可以基于情报内容和场景信息进行综合检索，进而保证了检索得到的结果是与情报内容和场景信息相适应的，以使合适当前场景的情报可以被输出或接收，避免了对该情报全盘否定的情况出现。
16.进一步地，所述生成单元包括：识别子单元，用于识别当前场景；判断子单元，用于判断所述查询场景是否与所述当前场景相匹配；生成子单元，用于当所述查询场景与所述当前场景相匹配时，基于所述当前场景和所述情报数据生成情报检测结果。
17.在上述实现过程中，该装置可以对场景进行有效匹配，从而将不符合当前场景的情报确定与当前场景对应的情报检测结果，并及时通报该情报给工作人员知晓。
18.进一步地，所述生成单元包括：检测子单元，用于识别所述情报查询请求对应的查询方向；生成子单元，用于当所述情报查询请求中不包括所述查询方向时，基于所述查询
场景和所述情报数据生成情报查询结果。
19.在上述实现过程中，该装置可以进一步检测情报的出入站方向，从而生成与出入站方向相关联的情报查询结果。
20.进一步地，所述生成子单元，用于当所述情报查询请求中包括所述查询方向时，基于所述查询方向、所述查询场景和所述情报数据生成情报查询结果；所述查询方向包括出站方向和入站方向。
21.进一步地，所述生成子单元具体用于当所述查询方向为所述出站方向时，基于所述查询方向、所述查询场景和所述情报数据生成情报出站查询结果；具体还用于当所述查询方向为所述入站方向时，基于所述查询方向、所述查询场景和所述情报数据生成情报入站查询结果。
22.进一步地，所述检测单元，具体用于基于高速缓存检测情报管理数据库中是否存在与所述查询内容相关联的情报数据。
23.在上述实现过程中，该装置能够保证查询速度，提高查询效率。
24.本技术实施例第三方面提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本技术实施例第一方面中任一项所述的情报查询方法。
25.本技术实施例第四方面提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本技术实施例第一方面中任一项所述的情报查询方法。
附图说明
26.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的一种情报查询方法的流程示意图；图2为本技术实施例提供的一种情报查询装置的结构示意图；图3为本技术实施例提供的一种情报概览示意图；图4为本技术实施例提供的一种情报查询方法的举例流程示意图；图5为本技术实施例提供的一种apikey配置示意图；图6为本技术实施例提供的一种检测结果的示意图；图7为本技术实施例提供的另一种检测结果的示意图。
具体实施方式
28.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
29.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
30.实施例1
请参看图1，图1为本实施例提供了一种情报查询方法的流程示意图。其中，该情报查询方法包括：s101、识别接收到的情报查询请求，得到查询内容和查询场景。
31.本实施例中，查询场景可以是内置的场景或自定义配置的场景。可见，该方法允许用户自定配置查询场景。
32.s102、基于高速缓存检测情报管理数据库中是否存在与查询内容相关联的情报数据，若是，则执行步骤s103；若否，则结束本流程。
33.本实施例中，图3示出了一种情报概览示意图。其中，图3中的tip（threat intelligence platform
ꢀ‑ꢀ
tip本地威胁情报管理平台）的情报中可以具有以下几个关键字段：1）情报标签；2）威胁级别；3）地理位置；4）可信度；5）封禁建议；6）等等。
34.s103、识别当前场景。
35.s104、判断查询场景是否与当前场景相匹配，若是，则执行步骤s105；如否，则结束本流程。
36.s105、识别情报查询请求对应的查询方向，若是，则执行步骤s107；如否，则执行步骤s106。
37.本实施例中，查询方向包括出站方向和入站方向。
38.s106、基于当前场景和情报数据生成情报检测结果。
39.本实施例中，情报检测结果对于同一个查询参数（ip地址或域名）是相同的，而经过场景匹配是为了丰富该检测结果，生成符合该场景的相关内容（是否应该封禁，封禁建议等）。
40.s107、当查询方向为入站方向或出站方向时，基于查询方向、查询场景和情报数据对应生成情报入站查询结果或情报出站查询结果。
41.本实施例中，上述tip中具有情报源管理模块与场景管理模块。其中，情报源管理模块负责情报的更新与存储，以及高速缓存的刷新，以保证情报基础数据的可用性与及时性；场景管理模块提供了情报使用场景的相关配置，并内置了几种常用的场景，例如登录场景等。
42.在本实施例中，该方法可以在tip中执行情报查询时，将上述两个模块的功能结合，以实现不同用户场景动态生成检测结果的功能。
43.举例来说，该方法可以如图4示出的一种情报查询方法的举例流程示意图。
44.1）用户发起情报查询请求，根据请求中附带的参数，tip可以识别该请求的查询方向是入站还是出站，以及本次查询所应用的场景。
45.2）为了保证查询速度，tip的情报查询请求均会使用高速缓存。
46.3）如若命中了相关情报，则将情报查询结果传递给场景管理模块进行场景匹配处
理。
47.4）场景管理模块处理后的查询结果，会根据查询方向的不同交由不同的结果处理器进行处理。
48.5）将处理后的结果返回给调用方，本次查询流程结束。
49.在本实施例中，该方法应用的环境：1台tip设备，1台客户端c1。
50.在本实施例中，该方法可以在tip上配置一个用于情报查询的apikey，设置查询次数为不限，到期时间为不限，qps为不限。复制生成的apikey，具体可以参看图5示出的apikey配置示意图。
51.在本实施例中，该方法在tip上开启内置的登录场景，修改配置为：地理位置仅北京市，威胁级别仅低，情报标签允许白名单，封禁恶意软件、远控等高危标签。
52.在本实施例中，由于登录请求一般为外到内，则调用入站接口进行检测，指定场景参数为登录场景，则拼接参数后，获得的查询地址为：http://xxxxxxxxxxxxxxxxxxxxxxxxxx，通过浏览器访问该地址后，保留检测结果。图6示出的结果可见字段ban不包含封禁建议，且附带地理位置、asn等信息。
53.在本实施例中，在tip中开启内置的严格场景，使用默认配置（保证最低风险，情报标签仅允许白名单，威胁级别必须是低等等）。
54.在本实施例中，使用同样的ip拼接出站检测接口路由，获得的查询地址为：http://xxxxxxxxxxxxxxxxxxxxxxxx。通过浏览器访问该地址后，观察检测结果可见返回内容与上述步骤获得的结果（如图7）并不相同：ban字段附带了封禁建议，且附带端口port、传播范围tlp等字段，并且没有地理位置、asn信息字段。
55.本实施例中，该方法提供了一种更加细化的情报查询方式，支持访问方向的区分；还提供了场景相关配置，并将场景与情报查询结合起来，从而实现了根据场景动态生成情报查询检测结果的功能。
56.在本实施例中，该方法能够实现同一份情报但不同碰撞结果内容的功能。不仅限于简单的查询、匹配、返回结果，微步tip实现了将情报查询按方向分为出站、入站，对于同一个ip，根据访问方向的不同，返回的情报信息、封禁建议等内容会有很大不同。用户可以根据自身需求来使用这些查询结果。还能够实现根据用户场景动态生成情报检测结果的功能。其中，该功能依托于微步tip情报扩展的字段，可以根据用户配置的查询场景，根据不同的条件实现该生成字段结果的差异化，使检测结果更加贴合该情报所被使用到的场景中。
57.本实施例中，该方法的执行主体可以为计算机、服务器等计算装置，对此本实施例中不作任何限定。
58.在本实施例中，该方法的执行主体还可以为智能手机、平板电脑等智能设备，对此本实施例中不作任何限定。
59.可见，实施本实施例所描述的情报查询方法，能够通过结合场景与查询方向等关键信息，实现情报检测结果的动态变化，从而使得情报查询流程更加丰富，检测结果更贴合用户使用场景，最大限度降低信息噪音。同时，还能够使用户通过丰富场景，来为每个不同的网络安防设备进行配置，从而做到更加精确的检测与防御；还能够根据情报返回结果中某些字段是否存在，以及该字段值是什么来判定情报后续的处理流程。
60.实施例2
请参看图2，图2为本实施例提供的一种情报查询装置的结构示意图。如图2所示，该情报查询装置包括：识别单元210，用于识别接收到的情报查询请求，得到查询内容和查询场景；检测单元220，用于检测情报管理数据库中是否存在与查询内容相关联的情报数据；生成单元230，用于当情报数据存在时，基于查询场景和情报数据生成情报查询结果。
61.作为一种可选的实施方式，生成单元230包括：识别子单元231，用于识别当前场景；判断子单元232，用于判断查询场景是否与当前场景相匹配；生成子单元233，用于当查询场景与当前场景相匹配时，基于当前场景和情报数据生成情报检测结果。
62.作为一种可选的实施方式，生成单元230包括：检测子单元234，用于识别情报查询请求对应的查询方向；生成子单元233，用于当情报查询请求中不包括查询方向时，基于查询场景和情报数据生成情报查询结果。
63.作为一种可选的实施方式，生成子单元233，用于当情报查询请求中包括查询方向时，基于查询方向、查询场景和情报数据生成情报查询结果；查询方向包括出站方向和入站方向。
64.作为一种可选的实施方式，生成子单元233具体用于当查询方向为出站方向时，基于查询方向、查询场景和情报数据生成情报出站查询结果；具体还用于当查询方向为入站方向时，基于查询方向、查询场景和情报数据生成情报入站查询结果。
65.作为一种可选的实施方式，检测单元220，具体用于基于高速缓存检测情报管理数据库中是否存在与查询内容相关联的情报数据。
66.本技术实施例中，对于情报查询装置的解释说明可以参照实施例1中的描述，对此本实施例中不再多加赘述。
67.可见，实施本实施例所描述的情报查询装置，能够通过结合场景与查询方向等关键信息，实现情报检测结果的动态变化，从而使得情报查询流程更加丰富，检测结果更贴合用户使用场景，最大限度降低信息噪音。同时，还能够使用户通过丰富场景，来为每个不同的网络安防设备进行配置，从而做到更加精确的检测与防御；还能够根据情报返回结果中某些字段是否存在，以及该字段值是什么来判定情报后续的处理流程。
68.本技术实施例提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本技术实施例1中的情报查询方法。
69.本技术实施例提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本技术实施例1中的情报查询方法。
70.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、
功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
71.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
72.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
73.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
74.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
75.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。