一种未知威胁感知方法、装置、设备及系统与流程

本发明涉及网络威胁检测技术领域，更具体地说，涉及一种未知威胁感知方法、装置、设备、系统及计算机可读存储介质。

背景技术：

目前，对用户网络流量中隐藏的攻击行进行检测时，都是通过威胁感知系统进行检测；但是现有的安全厂商的威胁感知系统都是基于单个客户的威胁感知，只能够检测这个客户的网络环境中隐藏的威胁，很难发现整个互联网中隐藏的未知威胁。并且，目前的安全厂商都是基于定时发布规则库的形式进行安全能力提升，这种方法很难做到对未知威胁的实时防护。

因此，如何提高对未知威胁的防御能力，是本领域技术人员需要解决的问题。

技术实现要素：

本发明的目的在于提供一种未知威胁感知方法、装置、设备、系统及计算机可读存储介质，以实现提高对未知威胁的防御能力。

为实现上述目的，本发明实施例提供了如下技术方案：

一种未知威胁感知方法，包括：

接收每个设备上传的未知数据；

通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；

若存在恶意数据，则将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；

若不存在恶意数据，则生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行所述通过威胁分析系统对未知数据进行分析识别的步骤。

其中，所述接收每个设备上传的未知数据，包括：

接收每个设备上传的根据匹配规则匹配的未知数据；或者，

接收每个设备上传的黑白名单库以外的未知数据。

其中，所述接收每个设备上传的未知数据之后，还包括：

设置所述未知数据的数据标签；

根据所述未知数据的数据类型进行标准化处理，并存储。

其中，所述通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据，包括：

利用特征分析系统对未知数据进行分析，判断所述未知数据中是否存在恶意数据；

若存在恶意数据，则执行所述将所述恶意数据下发至每个设备的步骤；

若不存在恶意数据，则将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别，判断所述未知数据中是否存在恶意数据。

其中，所述将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别，包括：

识别所述未知数据的数据类型；

若所述数据类型为域名数据，则将所述未知数据输入域名分析系统；若所述数据类型为url数据，则将所述未知数据输入url分析系统；若所述数据类型为可疑文件，则将所述未知数据输入病毒分析系统。

其中，所述将所述恶意数据下发至每个设备之后，还包括：

将所述恶意数据输出成标准威胁情报格式，并发布至互联网威胁情报平台，以使所述互联网威胁情报平台对全网发布威胁预警。

一种未知威胁感知装置，包括：

接收模块，用于接收每个设备上传的未知数据；所述未知数据包括每个设备上传的与所述匹配规则对应的未知数据；

判断模块，用于通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；

数据下发模块，用于存在恶意数据时，将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；

规则下发模块，用于不存在恶意数据时，生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备。

其中，所述接收模块，包括：

第一接收单元，用于接收每个设备上传的根据匹配规则匹配的未知数据；或者，

第二接收单元，用于接收每个设备上传的黑白名单库以外的未知数据。

其中，本方案还包括：

数据处理模块，用于设置所述未知数据的数据标签，根据所述未知数据的数据类型进行标准化处理，并存储。

其中，所述判断模块包括：

第一判断单元，用于利用特征分析系统对未知数据进行分析，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则调用数据下发模块；

数据输入单元，用于不存在恶意数据时，将所述未知数据输入与所述未知数据的数据类型相对应的分析系统；

第二判断单元，用于通过与所述未知数据的数据类型相对应的分析系统对所述未知数据进行分析识别，判断所述未知数据中是否存在恶意数据。

其中，所述数据输入单元包括：

数据类型识别子单元，用于识别所述未知数据的数据类型；

数据输入子单元，用于在所述数据类型为域名数据时，将所述未知数据输入域名分析系统；所述数据类型为url数据，将所述未知数据输入url分析系统；所述数据类型为可疑文件，将所述未知数据输入病毒分析系统。

其中，本方案还包括：

数据发布模块，用于将所述恶意数据输出成标准威胁情报格式，并发布至互联网威胁情报平台，以使所述互联网威胁情报平台对全网发布威胁预警。

一种未知威胁感知设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述未知威胁感知方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述未知威胁感知方法的步骤。

一种未知威胁感知系统，包括设备及未知威胁感知云平台；每个设备用于上传未知数据；

所述未知威胁感知云平台，用于执行计算机程序，以实现上述未知威胁感知方法的步骤。

通过以上方案可知，本发明实施例提供的一种未知威胁感知方法，包括：接收每个设备上传的未知数据；通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；若不存在恶意数据，则生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行所述通过威胁分析系统对未知数据进行分析识别的步骤。

可见，在本方案中，每个设备检测到未知数据后会将未知数据上传，通过云端的威胁分析系统对未知数据进行分析识别；若没有检测到恶意数据，则生成对应的匹配规则，以继续收集与匹配规则对应的未知数据，继续进行分析；检测到恶意数据后，会通知所有的设备，实现每个设备对未知威胁的预警及防护，从而提高对未知威胁的防御能力；本发明还公开了一种未知威胁感知装置、设备、系统及计算机可读存储介质，同样能实现上述技术效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例公开的一种未知威胁感知方法流程示意图；

图2为本发明实施例公开的另一种未知威胁感知方法流程示意图；

图3为本发明实施例公开的一具体的未知威胁感知方法流程示意图；

图4为本发明实施例公开的一种未知威胁感知装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例公开了一种未知威胁感知方法、装置、设备、系统及计算机可读存储介质，以实现提高对未知威胁的防御能力。

参见图1，本发明实施例提供的一种未知威胁感知方法，包括：

s101、接收每个设备上传的未知数据；

其中，所述接收每个设备上传的未知数据，包括：接收每个设备上传的根据匹配规则匹配的未知数据；或者，接收每个设备上传的黑白名单库以外的未知数据。

具体的，在本实施例中，每个设备上传的未知数据，包括以下两种情况下上报的未知数据：一种是云端首先将需要上报的数据以规则的形式下发到安全设备，设备将匹配到这些规则的流量上报到云端。另一种是预先设定黑白名单库，每个设备将黑白名单库之外的dns、http等数据，按照一定的格式上报到云端。

需要说明的是，本方案中的规则包括s104中生成的匹配规；具体来说，该规则可以是ip地址或者网址，例如：若云端想要ip地址：1.1.1.1的流量，则需要将包括ip地址1.1.1.1的规则下发到设备；同样的，若云端想要baidu.com的流量，则将包括baidu.com的规则下发下去；进一步的，如果云端想要某个病毒特征的流量，则将包括这些特征的规则下发下去，以使设备采集到数据后上传至云端进行分析。

s102、通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；

其中，所述接收每个设备上传的未知数据之后，还包括：设置所述未知数据的数据标签；根据所述未知数据的数据类型进行标准化处理，并存储。

具体来说，云端将接收到的数据打上时间、数据源等标签。并将数据按照不同维度(可疑文件、dns、http、pcap)进行标准化处理和存储。

在进行标准化处理时，需要根据数据维度的不同进行标准化处理，例如：dns数据可能最关心的是域名、目的ip、解析时间、ttl、请求类型等信息，将这些信息以一条记录的形式进行存储。可疑文件可能最关心的是文件类型、文件大小、文件md5、文件哈希、文件存储位置、被下载次数等信息，将这些信息以一条记录的形式进行存储。

s103、若存在恶意数据，则将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；

具体的，在本实施例中，云端接收到每个设备的发送的未知数据后，会对未知数据进行检测，来判断未知数据中是否存在恶意数据；这里的恶意数据是具有攻击行为的恶意数据；若检测到，则将该恶意数据下发至每个设备，这样其他设备接收到该恶意数据后，就能快速的识别出来，从而实现每个设备对未知威胁的预警及防护，提高了对未知威胁的防御能力。

s104、若不存在恶意数据，则生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行s102。

需要说明的是，如果该未知数据中不存在恶意数据，为了避免该未知数据是由于数据收集不充分导致识别不出的情况出现，在本实施例中，会生成与该未知数据匹配的规则，通过将该规则下发至每个设备，从而收集更多的相关数据，以实现再次进行分析。可以理解的是，若间隔预定时间或者能判定该未知数据为安全的数据时，便可将该匹配规则从每个设备中清除，不再进行相关数据的收集。

在本方案中，通过设备端和云端的实时交互，设备端按需采集设备端的未知dns、http等数据，使云端从中发现未知威胁，并向全网所有设备端下发拦截策略，实现了每个设备对未知威胁的预警及防护，从而提高对未知威胁的防御能力。

参见图2，为本实施例提供的一种具体的未知威胁感知方法，包括：

s201、接收每个设备上传的未知数据；

s202、利用特征分析系统对未知数据进行分析，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则执行s205；若不存在恶意数据，则执行s203；

s203、将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别；

s204、判断所述未知数据中是否存在恶意数据；若存在恶意数据，则执行s205；若不存在恶意数据，则执行s207；

s205、将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；

s206、将所述恶意数据输出成标准威胁情报格式，并发布至互联网威胁情报平台，以使所述互联网威胁情报平台对全网发布威胁预警；

s207、生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行s202。

其中，将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别，包括：

识别所述未知数据的数据类型；

若所述数据类型为域名数据，则将所述未知数据输入域名分析系统；若所述数据类型为url数据，则将所述未知数据输入url分析系统；若所述数据类型为可疑文件，则将所述未知数据输入病毒分析系统。

参见图3，为本实施例提供的一具体的未知威胁感知方法流程示意图；由图3可知，外部威胁情报即为本方案中每个设备上传的未知数据，云平台接收到该未知数据后，会存储至原始数据仓库，并进行数据标准化处理，进行数据聚合后发送至特征分析系统，通过该特征分析系统对标准化处理的数据进行多维度的特征分析，例如：dga域名、dns隧道域名识别、url聚类、关联分析等。

进一步的，将特征分析后仍然不能确定是否为恶意数据的未知数据，按照数据类型发送到对应的分析系统，在本实施例中，提供三种不同类型的分析系统，具体包括：域名分析系统、url分析系统、病毒沙盒分析系统。域名分析系统用于分析未识别出恶意数据的域名数据，url分析系统用于分析未识别出恶意数据的url数据，病毒沙盒分析系统用于分析未识别出恶意数据的可以文件。经过上述系统分析过之后的数据，如果仍然不能确定威胁度，则将这些数据自动化生成规则下发到设备端，采集匹配到这些规则的数据，继续分析；可以理解的是，在本方案中仅以域名分析系统、url分析系统、病毒沙盒分析系统为例对本方案进行说明，但并不局限于此，在实际应用时，只要是与数据类型相对应的分析系统均可。

如果分析出恶意数据，则将分析的恶意数据下发到每个设备进行防护，同时将这些恶意数据输出成标准威胁情报格式，发布到互联网威胁情报平台，并对全网发布威胁预警；需要说明的是，标准威胁情报格式不仅包括恶意数据的规则信息，还包括恶意数据的其他维度的相关信息，例如ip端口、域名、规则、url等。

可见在本方案中，通过云端与设备端实时数据交互，基于大数据分析，做到了对未知威胁的实时防护与预警，实现了一种云+端的新型产品形态，这种产品形态的安全分析能力主要集中于云端，从而提高了每个设备对未知威胁的预警及防护，提高对未知威胁的防御能力。

下面对本发明实施例提供的未知威胁感知装置进行介绍，下文描述的未知威胁感知装置与上文描述的未知威胁感知方法可以相互参照。

参见图4，本发明实施例提供的一种未知威胁感知装置，包括：

接收模块100，用于接收每个设备上传的未知数据；所述未知数据包括每个设备上传的与所述匹配规则对应的未知数据；

判断模块200，用于通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；

数据下发模块300，用于存在恶意数据时，将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；

规则下发模块400，用于不存在恶意数据时，生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备。

其中，所述接收模块100，包括：

第一接收单元，用于接收每个设备上传的根据匹配规则匹配的未知数据；或者，

第二接收单元，用于接收每个设备上传的黑白名单库以外的未知数据。

其中，本方案还包括：

数据处理模块，用于设置所述未知数据的数据标签，根据所述未知数据的数据类型进行标准化处理，并存储。

其中，所述判断模块200包括：

第一判断单元，用于利用特征分析系统对未知数据进行分析，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则调用数据下发模块；

数据输入单元，用于不存在恶意数据时，将所述未知数据输入与所述未知数据的数据类型相对应的分析系统；

第二判断单元，用于通过与所述未知数据的数据类型相对应的分析系统对所述未知数据进行分析识别，判断所述未知数据中是否存在恶意数据。

其中，所述数据输入单元包括：

数据类型识别子单元，用于识别所述未知数据的数据类型；

数据输入子单元，用于在所述数据类型为域名数据时，将所述未知数据输入域名分析系统；所述数据类型为url数据，将所述未知数据输入url分析系统；所述数据类型为可疑文件，将所述未知数据输入病毒分析系统。

其中，本方案还包括：

数据发布模块，用于将所述恶意数据输出成标准威胁情报格式，并发布至互联网威胁情报平台，以使所述互联网威胁情报平台对全网发布威胁预警。

本发明实施例还提供一种未知威胁感知设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述未知威胁感知方法的步骤。

本发明实施例还提供一种未知威胁感知系统，包括设备及未知威胁感知云平台；每个设备用于上传未知数据；

所述未知威胁感知云平台，用于执行计算机程序，以实现上述未知威胁感知方法的步骤。

本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述未知威胁感知方法的步骤。

具体的，该存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。