网络威胁情报信息的更新方法及系统与流程
本申请涉及网络安全技术领域,尤其涉及一种网络威胁情报信息的更新方法及系统。
背景技术:
随着网络技术的发展,接入互联网中的网络设备不可避免的会存在一些安全漏洞,这些安全漏洞对网络信息的安全造成了威胁。为了提高网络信息的安全性,各安全厂商及企业积极的推进网络威胁情报信息的共享。网络威胁情报信息是指能够帮助发现威胁,并对威胁进行处置的信息集,网络威胁情报信息也被称为情报信息。在实现网络威胁情报信息共享的过程中,各安全厂商通过情报服务器,从开源情报处获取大量的基本信息,然后将所获取的基本信息上传至云平台,并在云平台内形成庞大的情报信息库,然后通过云平台的情报信息库,向企业的设备端下发相应的情报信息,以供设备端使用,进而提高设备端的网络信息安全性。
对于涉及到常用网站或者应用的情报信息,设备端在使用的过程中,可能会频繁命中该情报信息,例如,某开源情报处将百度域名认定为挂马地址,情报服务器在获取该基本信息并上传至云平台之后,云平台将百度域名列入到黑名单中,设备端通过云平台获取该情报信息。由于百度域名为常用的域名,该情报信息将百度域名列入黑名单,那么设备端在访问百度网站时,将会频繁的命中该情报信息,从而产生大量的警告,这种情况下,该情报信息属于高频情报信息。由于情报信息具有时效性强以及信息量大的特点,随着时间的推移,情报信息极易过时或失真。如果将百度域名列入黑名单的这一高频情报信息为过时或者失真的情报信息,那么其在设备端中所产生的警告,将成为大量的垃圾警告,给管理人员造成困扰。所以,对情报信息及时的进行更新显得尤为重要。目前,各安全厂商在对情报信息进行更新时,主要通过尽可能多的增加情报服务器数量的方法,对情报信息进行更新,以避免情报信息的过时或者失真。
但是,申请人在本发明的研究过程中发现,情报服务器主要是按照时间顺序,依次对情报信息进行获取或者更新,对于上述将百度域名列入黑名单的这一高频情报信息,如果该情报信息是刚刚获取的,那么通过目前各安全厂商所采用的对情报信息进行更新的方式,可能会在几天以后才会轮到对该情报信息进行更新,那么不可避免的,在这几天内将产生数量巨大的警告信息,而且由于无法判断这些数量巨大的警告信息是否为垃圾警告,管理人员无法进行有效的管控。所以现有技术中通过增加情报服务器的数量,对情报信息进行更新的方法,无法针对性的对高频情报信息进行及时更新。
技术实现要素:
为了解决在服务器数量较多时,无法有针对性的对高频情报信息及时进行更新的问题,本申请通过以下实施例公开了网络威胁情报信息的更新方法及系统。
在本申请的第一方面,公开了一种网络威胁情报信息的更新方法,包括:
设备端获取命中日志,所述命中日志为所述设备端在使用过程中,命中高频情报信息所产生的日志;
所述设备端对所述命中日志进行去重汇总,形成命中数据,并将所述命中数据上传至云平台;
所述云平台对所述命中数据进行去重汇总,形成汇总数据,所述汇总数据携带有所述高频情报信息的数据;
所述云平台将所述汇总数据下发至情报服务器;
所述情报服务器接收所述汇总数据,并将所述汇总数据置于情报获取队列的头部,形成待更新数据队列;
所述情报服务器根据所述待更新数据队列,从开源情报处获取更新数据,所述更新数据包括所述高频情报信息对应的更新信息;
所述情报服务器将所述高频情报信息对应的更新信息与所述高频情报信息进行对比,若所述高频情报信息对应的更新信息与所述高频情报信息不同,则所述情报服务器将所述更新数据上传至所述云平台;
所述云平台将所述更新数据下发至所述设备端。
可选的,所述方法还包括:
若所述高频情报信息对应的更新信息与所述高频情报信息相同,则所述情报服务器将所述高频情报信息对应的更新信息从所述更新数据中删除,并将删除之后的更新数据上传至所述云平台。
可选的,在所述设备端获取命中日志之前,所述方法还包括:
所述设备端判断是否达到预设的定时上传时间,所述定时上传时间为所述设备端根据使用情况预先设定;
若达到所述预设的定时上传时间,则所述设备端从设备端数据库中,提取所述命中高频情报信息所产生的日志,所述设备端数据库用于存储所述设备端产生的所有日志。
在本申请的第二方面,公开了一种网络威胁情报信息的更新系统,包括:设备端、云平台以及情报服务器;
其中,所述设备端包括:
命中日志获取模块,用于获取命中日志,所述命中日志为所述设备端在使用过程中,命中高频情报信息所产生的日志;
数据上传模块,用于对所述命中日志进行去重汇总,形成命中数据,并将所述命中数据上传至云平台;
所述云平台包括:
汇总模块,用于对所述命中数据进行去重汇总,形成汇总数据,所述汇总数据携带有所述高频情报信息的数据;
汇总数据下发模块,用于将所述汇总数据下发至情报服务器;
所述情报服务器包括:
队列更新模块,用于接收所述汇总数据,并将所述汇总数据置于情报获取队列的头部,形成待更新数据队列;
信息更新模块,用于根据所述待更新数据队列,从开源情报处获取更新数据,所述更新数据包括所述高频情报信息对应的更新信息;
第一上传模块,用于将所述高频情报信息对应的更新信息与所述高频情报信息进行对比,在所述高频情报信息对应的更新信息与所述高频情报信息不同时,将所述更新数据上传至所述云平台;
所述云平台还包括:
更新数据下发模块,用于将所述更新数据下发至所述设备端。
可选的,所述情报服务器还包括:
第二上传模块,用于在所述高频情报信息对应的更新信息与所述高频情报信息相同时,将所述高频情报信息对应的更新信息从所述更新数据中删除,并将删除之后的更新数据上传至所述云平台。
可选的,所述设备端还包括:
时间判断模块,用于在所述命中日志获取模块获取命中日志之前,判断是否达到预设的定时上传时间,所述定时上传时间为所述设备端根据使用情况预先设定;
命中日志提取模块,用于在达到所述预设的定时上传时间时,从设备端数据库中,提取所述命中高频情报信息所产生的日志,所述设备端数据库用于存储所述设备端产生的所有日志。
本申请实施例公开了一种网络威胁情报信息的更新方法及系统,在该方法中,通过设备端获取命中日志,对所述命中日志进行去重汇总,形成命中数据,并将所述命中数据上传至云平台。接着所述云平台对命中数据进行去重汇总,形成汇总数据,并将所述汇总数据下发至情报服务器。所述情报服务器将所述汇总数据置于情报获取队列的头部,形成待更新数据队列,并根据所述待更新数据队列,从开源情报处获取更新数据,所述更新数据包括所述高频情报信息对应的更新信息。接着所述情报服务器将所述高频情报信息对应的更新信息与所述高频情报信息进行对比,若所述高频情报信息对应的更新信息与所述高频情报信息不同,则所述情报服务器将所述更新数据上传至所述云平台。最后所述云平台将所述更新数据下发至所述设备端。
本申请利用高频情报信息在实际使用中会频繁命中的这一特点,将设备端中命中高频情报信息所产生的日志,经过处理形成汇总数据之后,通过云平台反馈至情报服务器处,情报服务器根据反馈回来的汇总数据,将其置于情报获取队列,使得在从开源情报处获取基本信息时,能够优先根据汇总数据,获取高频情报信息对应的更新信息。并且通过将所获取的高频情报信息对应的更新信息与原来的高频情报信息进行对比,能够判断出所述高频情报信息是否存在更新,如果有,便将高频情报信息对应的更新信息通过云平台发送至设备端,使得设备端能够及时的、有针对性的对高频情报信息进行更新。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种网络威胁情报信息的更新方法的工作流程示意图;
图2为本申请实施例公开的一种网络威胁情报信息的更新方法中,判断何时获取命中日志的工作流程示意图;
图3为本申请实施例公开的一种网络威胁情报信息的更新系统的结构示意图。
具体实施方式
为了解决在服务器数量较多时,无法有针对性的对高频情报信息及时进行更新的问题,本申请通过以下实施例公开了网络威胁情报信息的更新方法及系统。
在本申请各个实施例中,网络威胁情报信息是指一种能够基于数据,帮助发现威胁,并对威胁进行处置的信息集,通过网络威胁情报信息,能够实现在攻击发生前就修补好漏洞的目的。开源情报处是指能够为用户提供网络威胁情报信息相关数据服务的网站或者公司,开源情报处通常存储有最新的情报信息。命中日志是指设备端在运行时,命中情报信息所产生的记录,每一条命中日志都记载着命中情报信息的时间、使用者及动作等相关操作的描述。
本申请第一实施例公开了一种网络威胁情报信息的更新方法,参见图1所示的工作流程示意图,该方法包括:
步骤s11,设备端获取命中日志,所述命中日志为所述设备端在使用过程中,命中高频情报信息所产生的日志。
高频情报信息具有命中率高的特点,在实际的应用过程中,可以根据企业设备端的使用特点,将企业设备端常使用的网站(点击率较高的网站)所涉及的情报信息预先设置为高频情报信息。例如,某些企业允许员工在工作时间访问搜索类的网站(百度、谷歌等),但禁止员工访问一些视频类的网站,因此对于这些企业的设备端,搜索类网站的点击率相对视频类的网站要高得多,如果有涉及到这两类网站的情报信息,那么搜索类网站所涉及的情报信息的命中率将远远大于视频类网站,此时便可将涉及搜索类网站的情报信息,预先设置为高频情报信息,使得在获取命中日志时,可以针对搜索类网站情报信息的命中日志进行操作。
步骤s12,所述设备端对所述命中日志进行去重汇总,形成命中数据,并将所述命中数据上传至云平台。
针对命中某一高频情报信息所产生的日志,可能大部分都是重复的内容,例如,针对百度域名被列入黑名单这一高频情报信息,只要设备端访问百度网站,便会命中该高频情报信息。在设备端使用的过程中,如果多次访问了百度网站,将会产生多条命中日志,这些命中日志实质上是针对同一条情报信息所产生的日志。实际操作过程中,无需将针对同一条情报信息所产生的所有命中日志都上传至云平台处,可以将设备端所产生的命中日志提前进行去重汇总,形成命中数据之后,再上传至云平台,这种情况下,能够有效提高数据上传的效率。
步骤s13,所述云平台对所述命中数据进行去重汇总,形成汇总数据,所述汇总数据携带有所述高频情报信息的数据。
云平台接收到来自多个设备端的命中数据,所接收到的命中数据中,也可能存在多条命中数据针对同一条情报信息。通过对所有的命中数据进行去重汇总,准确的提取出每条情报信息,能够减小汇总数据的数据量,提高汇总数据的下发效率。
步骤s14,所述云平台将所述汇总数据下发至情报服务器。
在一种实现方式中,云平台可以定时地将汇总数据下发至情报服务器,这样不仅能够使汇总数据的下发效率提高,还可以进一步的使情报服务器,能够针对定时接收到的汇总数据,统一进行操作,提高情报信息更新的效率。
步骤s15,所述情报服务器接收所述汇总数据,并将所述汇总数据置于情报获取队列的头部,形成待更新数据队列。
情报服务器可以通过情报获取队列,从开源情报处获取信息。情报服务器通过将携带有高频情报信息数据的汇总数据,放置于情报获取队列的头部,能够优先对高频情报信息,从开源情报处获取相关信息,使得在对情报信息进行更新时具有针对性。
步骤s16,所述情报服务器根据所述待更新数据队列,从开源情报处获取更新数据。
其中,所述更新数据包括所述高频情报信息对应的更新信息。
步骤s17,所述情报服务器将所述高频情报信息对应的更新信息与所述高频情报信息进行对比,若所述高频情报信息对应的更新信息与所述高频情报信息不同,则所述情报服务器将所述更新数据上传至所述云平台。
如果高频情报信息在开源情报处发生了变化,那么情报服务器所获取的更新数据中,高频情报信息对应的更新信息会与原来的高频情报信息不同,此时将完整的更新数据上传至云平台,使云平台能够针对所述高频情报信息对应的更新信息,更新自身的情报信息库。例如,针对百度域名被列入黑名单这一高频情报信息,情报服务器从开源情报处获取关于百度域名的更新信息,并通过将所述更新信息与原来的高频情报信息进行对比,判断百度域名是否还是黑名单,若所述更新信息与原来的高频情报信息不同,则表示百度域名已经不是黑名单。此时,情报服务器将包含此更新信息的更新数据上传至云平台,云平台根据该更新数据,更新自身的情报信息库,将百度域名从黑名单中取出。
步骤s18,所述云平台将所述更新数据下发至所述设备端。
设备端接收到云平台的更新数据后,在使用过程中,能够有效避免过时或失真的高频情报信息所产生的大量垃圾警告,给管理人员造成困扰的问题。例如,针对上述涉及百度域名的这一高频情报信息,如果百度域名不再是黑名单,设备端在接收到这一更新数据之后,再访问百度网站时,便不会频繁的产生命中日志,管理人员也不会再因为无法判断出数量巨大的警告信息是否为垃圾警告,从而无法对设备端进行有效的管控。
本申请实施例公开的一种网络威胁情报信息的更新方法,利用高频情报信息在实际使用中会频繁命中的这一特点,将设备端中命中高频情报信息所产生的日志,经过处理形成汇总数据之后,通过云平台反馈至情报服务器处,情报服务器根据反馈回来的汇总数据,将其置于情报获取队列,使得在从开源情报处获取基本信息时,能够优先根据汇总数据,获取高频情报信息对应的更新信息。并且通过将所获取的高频情报信息对应的更新信息与原来的高频情报信息进行对比,能够判断出所述高频情报信息是否存在更新,如果有,便将高频情报信息对应的更新信息通过云平台发送至设备端,使得设备端能够及时的、有针对性的对高频情报信息进行更新。本申请实施例公开的网络威胁情报信息更新方法,基于设备端,形成一种自反馈式的情报信息更新机制,使得设备端能够通过云平台,将使用过程中的高频情报信息反馈至情报服务器,进而使情报服务器能够有针对性的对高频情报信息进行及时更新。
进一步的,所述方法还包括:
若所述高频情报信息对应的更新信息与所述高频情报信息相同,则所述情报服务器将所述高频情报信息对应的更新信息从所述更新数据中删除,并将删除之后的更新数据上传至所述云平台。
如果所述高频情报信息对应的更新信息与所述高频情报信息相同,表示该高频情报信息在开源情报处不存在变化,此时,情报服务器无需将其通过云平台反馈到设备端处。
进一步的,在一种实现方式中,设备端可以定时地进行命中日志获取、汇总及上传的操作,这种情况下,在所述设备端获取命中日志之前,需要对时间进行提前判断,参见图2所示的工作流程示意图,具体步骤包括:
步骤s101,所述设备端判断是否达到预设的定时上传时间,所述定时上传时间为所述设备端根据使用情况预先设定。
步骤s102,若达到所述预设的定时上传时间,则所述设备端从设备端数据库中,提取所述命中高频情报信息所产生的日志,所述设备端数据库用于存储所述设备端产生的所有日志。
若没有达到预设的定时上传时间,所述设备端便每隔固定的时间段,例如每隔1个小时或两个小时(可根据实际情况而定),重复执行步骤s101的操作,直至当前时间已达到预设的定时上传时间,设备端便执行步骤s102的操作:从设备端数据库中,提取所述命中高频情报信息所产生的日志。其中,具体的定时上传时间可根据实际情况而定,例如对大部分企业来说,白天为上班期间,企业的设备端(电脑)可能一直处于忙碌状态,此时提取命中日志将会影响正常的生产工作,因此,可以将定时上传时间设置在夜间或者其余非工作时间。
上述内容对本申请的方法实施例进行了介绍,下面通过系统实施例对一种网络威胁情报信息的更新系统进行描述。对于系统实施例中未披露的细节,请参照本申请方法实施例。
本申请第二实施例公开了一种网络威胁情报信息的更新系统,参见图3所示的结构示意图,该系统包括:设备端10、云平台20以及情报服务器30。
其中,所述设备端10包括:
命中日志获取模块101,用于获取命中日志,所述命中日志为所述设备端在使用过程中,命中高频情报信息所产生的日志。
数据上传模块102,用于对所述命中日志进行去重汇总,形成命中数据,并将所述命中数据上传至云平台。
所述云平台20包括:
汇总模块201,用于对所述命中数据进行去重汇总,形成汇总数据,所述汇总数据携带有所述高频情报信息的数据。
汇总数据下发模块202,用于将所述汇总数据下发至情报服务器。
所述情报服务器30包括:
队列更新模块301,用于接收所述汇总数据,并将所述汇总数据置于情报获取队列的头部,形成待更新数据队列。
信息更新模块302,用于根据所述待更新数据队列,从开源情报处获取更新数据,所述更新数据包括所述高频情报信息对应的更新信息。
第一上传模块303,用于将所述高频情报信息对应的更新信息与所述高频情报信息进行对比,在所述高频情报信息对应的更新信息与所述高频情报信息不同时,将所述更新数据上传至所述云平台。
所述云平台20还包括:
更新数据下发模块203,用于将所述更新数据下发至所述设备端。
进一步的,所述情报服务器30还包括:
第二上传模块,用于在所述高频情报信息对应的更新信息与所述高频情报信息相同时,将所述高频情报信息对应的更新信息从所述更新数据中删除,并将删除之后的更新数据上传至所述云平台。
进一步的,所述设备端10还包括:
时间判断模块,用于在所述命中日志获取模块获取命中日志之前,判断是否达到预设的定时上传时间,所述定时上传时间为所述设备端根据使用情况预先设定。
命中日志提取模块,用于在达到所述预设的定时上传时间时,从设备端数据库中,提取所述命中高频情报信息所产生的日志,所述设备端数据库用于存储所述设备端产生的所有日志。
具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的建立本地网络连接的方法的各实施例中的部分或全部步骤。所述存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,简称rom)或随机存储记忆体(randomaccessmemory,简称ram)等。
此外,本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得所述计算机执行上述实施例所述的建立本地网络连接的方法的部分或全部步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘)等。
以上结合具体实施方式和范例性实例对本申请进行了详细说明,不过这些说明并不能理解为对本申请的限制。本领域技术人员理解,在不偏离本申请精神和范围的情况下,可以对本申请技术方案及其实施方式进行多种等价替换、修饰或改进,这些均落入本申请的范围内。本申请的保护范围以所附权利要求为准。
- 还没有人留言评论。精彩留言会获得点赞!