一种嵌入式威胁情报数据集的更新方法及装置与流程

[0001]
本发明涉及网络安全技术领域，具体而言，涉及一种嵌入式威胁情报数据集的更新方法及装置。


背景技术：

[0002]
安全检测设备旁路部署于用户网络处，通过监听网络报文数据，并利用已知的威胁情报数据及时发现安全事件并进行报警。
[0003]
利用威胁情报数据检测已知威胁是一种高效的提高网络安全的方法，但完整的威胁情报数据集非常庞大，其量级可达上亿条、甚至几十亿条，只能部署在云端威胁情报服务器上，以威胁情报数据查询服务的方式对外提供使用。
[0004]
嵌入式威胁情报数据集是对庞大的威胁情报数据集的精简，量级从上亿条可精简至百万条，保留了完整的威胁情报数据集中高价值的威胁情报数据，大幅减少了数据量，可以内置在安全检测设备中使用。
[0005]
安全检测设备内置嵌入式威胁情报数据集以进行安全检测，但嵌入式威胁情报数据集受限于数据量，不可能包罗万象，所以需要频繁更新才能保持威胁情报数据的有效性和实时性。
[0006]
目前，安全检测设备中嵌入式威胁情报数据集更新的方式是：将嵌入式威胁情报数据集放在一台可以网络访问的服务器上，人工定期对庞大的威胁情报数据集进行精简，生成新的嵌入式威胁情报数据集，上传到该服务器上，安全检测设备再定期从该服务器上下载新的嵌入式威胁情报数据集，完成更新。由于上述精简过程是由人工完成，人工成本高，且无法保证能够从威胁情报数据集中挑选出高价值的威胁情报数据，导致嵌入式威胁情报数据集的可用性不高。


技术实现要素：

[0007]
本申请实施例的目的在于提供一种嵌入式威胁情报数据集的更新方法及装置，以改善上述技术问题。
[0008]
为实现上述目的，本申请提供如下技术方案：
[0009]
第一方面，本申请实施例提供一种嵌入式威胁情报数据集的更新方法，包括：当监测到安全检测设备发送的查询请求时，根据所述查询请求对对应的至少一条威胁情报数据的查询记录参数进行更新，其中，所述查询请求用于查询所述至少一条威胁情报数据；判断每一威胁情报数据的查询记录参数是否超过预设阈值；若存在超过预设阈值的查询记录参数，则基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，以使所述安全检测设备获取更新后的嵌入式威胁情报数据集。
[0010]
本申请基于使用频繁的威胁情报数据更具价值、更应该放入嵌入式威胁情报数据集当中这一技术构思，将各威胁情报数据的查询记录参数与更新动作关联，在查询记录参数超过预设阈值(表明该威胁情报数据被频繁查询)的情况下，将该威胁情报数据更新到嵌
入式威胁情报数据集，一方面，可以自动完成嵌入式威胁情报数据集的更新，省去人工成本，另一方面，可以保证嵌入式威胁情报数据集中更新的都是高价值的威胁情报数据，有利于提升情报利用率。
[0011]
在一种可选实施方式中，在基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新之后，所述方法还包括：将所述威胁情报数据的查询记录参数清零。
[0012]
在更新完成后，将威胁情报数据集中对应的威胁情报数据的查询记录参数清零。当再有安全检测设备对该威胁情报数据进行查询时，查询记录参数从起始值重新开始计算。
[0013]
在一种可选实施方式中，所述嵌入式威胁情报数据集部署在嵌入式威胁情报服务器中，所述基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，包括：向嵌入式威胁情报服务器发送更新通知，所述更新通知用于指示所述嵌入式威胁情报服务器基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新。
[0014]
将威胁情报数据的查询业务与嵌入式威胁情报数据集的下载业务分开，由单独的嵌入式威胁情报服务器对嵌入式威胁情报数据集进行更新，并向安全检测设备提供更新后的嵌入式威胁情报数据集，使业务处理更加高效。
[0015]
在一种可选实施方式中，所述方法还包括：当监测到安全检测设备发送的下载请求时，根据所述下载请求确定当前的嵌入式威胁情报数据集相比所述安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新；若有，则向所述安全检测设备提供当前的嵌入式威胁情报数据集的下载资源，以使所述安全检测设备获取更新后的嵌入式威胁情报数据集。
[0016]
在当前的嵌入式威胁情报数据集相比安全检测设备上一次下载的嵌入式威胁情报数据集有更新的情况下才提供下载资源，在无更新的情况下安全检测设备可以不必重新下载嵌入式威胁情报数据集，节省下载时间及网络资源。
[0017]
第二方面，本申请实施例提供一种嵌入式威胁情报数据集的更新方法，包括：接收云端威胁情报服务器发送的更新通知，所述更新通知是所述云端威胁情报服务器在检测到存在超出预设阈值的查询记录参数后发出的，每一查询记录参数与一条威胁情报数据相对应，所述威胁情报数据的查询记录参数在所述威胁情报数据被安全检测设备查询后进行更新；基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新；在监测到安全检测设备发送的下载请求时，向所述安全检测设备提供嵌入式威胁情报数据集的下载资源。
[0018]
在一种可选实施方式中，所述在监测到安全检测设备发送的下载请求时，向所述安全检测设备提供嵌入式威胁情报数据集的下载资源，包括：在监测到安全检测设备发送的下载请求时，根据所述下载请求确定当前的嵌入式威胁情报数据集相比所述安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新；若有，则向所述安全检测设备提供当前的嵌入式威胁情报数据集的下载资源，以使所述安全检测设备获取更新后的嵌入式威胁情报数据集。
[0019]
在一种可选实施方式中，所述根据所述下载请求确定当前的嵌入式威胁情报数据
集相比所述安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新，包括：判断所述下载请求携带的上一次下载的嵌入式威胁情报数据集的版本号与所述嵌入式威胁情报数据集的当前版本号是否一致；若不一致，则确定当前的嵌入式威胁情报数据集相比所述安全检测设备上一次下载的嵌入式威胁情报数据集有更新。
[0020]
版本号可以是根据更新日期生成，也可以是其他方式生成，能够表征安全检测设备上一次下载的嵌入式威胁情报数据集的版本，进而能快速判断出嵌入式威胁情报数据集是否有更新。
[0021]
在一种可选实施方式中，所述基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，包括：基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，并在所述嵌入式威胁情报数据集中的威胁情报数据的数据量超出预设范围时，从所述嵌入式威胁情报数据集中删除日期最早的威胁情报数据，直至所述嵌入式威胁情报数据集中的威胁情报数据的数据量处于所述预设范围内。
[0022]
嵌入式威胁情报数据集的数据量有限，如果数据量超出规定的范围，则删除老旧的威胁情报数据，尽量保留高价值的、最近活跃的威胁情报数据。
[0023]
第三方面，本申请实施例提供一种嵌入式威胁情报数据集的更新装置，包括：参数更新模块，用于当监测到安全检测设备发送的查询请求时，根据所述查询请求对对应的至少一条威胁情报数据的查询记录参数进行更新，其中，所述查询请求用于查询所述至少一条威胁情报数据；参数判断模块，用于判断每一威胁情报数据的查询记录参数是否超过预设阈值；第一更新模块，用于在存在超过预设阈值的查询记录参数时，基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，以使所述安全检测设备获取更新后的嵌入式威胁情报数据集。
[0024]
第四方面，本申请实施例提供一种嵌入式威胁情报数据集的更新装置，包括：更新指示模块，用于接收云端威胁情报服务器发送的更新通知，所述更新通知是所述云端威胁情报服务器在检测到存在超出预设阈值的查询记录参数后发出的，每一查询记录参数与一条威胁情报数据相对应，所述威胁情报数据的查询记录参数在所述威胁情报数据被安全检测设备查询后进行更新；第二更新模块，用于基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新；下载模块，用于在监测到安全检测设备发送的下载请求时，向所述安全检测设备提供嵌入式威胁情报数据集的下载资源。
附图说明
[0025]
为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0026]
图1示出了本申请第一实施例提供的一种嵌入式威胁情报数据集的更新系统的示意图；
[0027]
图2示出了本申请第一实施例提供的一种嵌入式威胁情报数据集的更新方法的流程图；
[0028]
图3示出了本申请第一实施例中安全检测设备下载嵌入式威胁情报数据集的流程图；
[0029]
图4示出了本申请第一实施例提供的嵌入式威胁情报数据集的更新方法的一种具体实施方式的流程图；
[0030]
图5示出了本申请第二实施例提供的一种嵌入式威胁情报数据集的更新系统的示意图；
[0031]
图6示出了本申请第二实施例提供的嵌入式威胁情报数据集的更新方法的一种具体实施方式的流程图；
[0032]
图7示出了本申请第三实施例提供的一种嵌入式威胁情报数据集的更新装置的示意图；
[0033]
图8示出了本申请第三实施例提供的另一嵌入式威胁情报数据集的更新装置的示意图；
[0034]
图9示出了本申请第三实施例提供的一种服务器的示意图。
具体实施方式
[0035]
下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
[0036]
威胁情报的定义是：一种基于证据的知识，包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。简而言之，威胁情报就是对用户或企业产生潜在与非潜在危害的信息的集合。因此，安全检测设备可以利用已知的威胁情报数据进行安全检测。
[0037]
第一实施例
[0038]
本申请实施例提供一种嵌入式威胁情报数据集的更新系统及方法，在本实施例中，如图1所示，嵌入式威胁情报数据集的更新系统包括安全检测设备110、云端威胁情报服务器120以及嵌入式威胁情报服务器130。安全检测设备110分别与云端威胁情报服务器120及嵌入式威胁情报服务器130网络连接，云端威胁情报服务器120与嵌入式威胁情报服务器130网络连接。
[0039]
安全检测设备110旁路部署于用户网络处，并内置有嵌入式威胁情报数据集。云端威胁情报服务器120上部署有完整的威胁情报数据集，并以威胁情报数据查询服务的方式对外提供使用，安全检测设备110通过网络可以向云端威胁情报服务器120发起对威胁情报数据的查询，并获得查询结果。嵌入式威胁情报服务器130上部署有嵌入式威胁情报数据集，嵌入式威胁情报数据集是对庞大的威胁情报数据集的精简，是威胁情报数据集的子集，保留了完整的威胁情报数据集中高价值和最近活跃的威胁情报数据，数据量相较完整的威
胁情报数据集更小，因此可以被安全检测设备110下载。
[0040]
安全检测设备110定期从嵌入式威胁情报服务器130上下载新的嵌入式威胁情报数据集，以提高安全检测的效果。
[0041]
云端威胁情报服务器120及嵌入式威胁情报服务器130可能是服务器集群，也可能是单个的服务器。
[0042]
如图2所示，基于上述更新系统，本申请实施例提供的嵌入式威胁情报数据集的更新方法的流程如下：
[0043]
步骤210：当监测到安全检测设备发送的查询请求时，云端威胁情报服务器根据该查询请求对对应的至少一条威胁情报数据的查询记录参数进行更新。
[0044]
在一些场景中，若安全检测设备未在内置的嵌入式威胁情报数据集中查询到所需的威胁情报数据时，可以向云端威胁情报服务器发起查询请求，该查询请求中携带一个或多个所请求的标识，该标识包括但不限于文件hash、ip地址、域名等。云端威胁情报服务器根据该查询请求中携带的标识，查询到对应的威胁情报数据，并将查询获得的威胁情报数据返回给安全检测设备。
[0045]
例如，安全检测设备可以在查询请求中携带某个ip地址，云端威胁情报服务器根据该ip地址查询到对应的一条威胁情报数据，并将该威胁情报数据返回给安全检测设备；安全检测设备也可以在查询请求中同时携带多个ip地址或者同时携带文件hash、ip地址、域名的组合，若同时携带五个ip地址，云端威胁情报服务器根据五个ip地址查询到对应的五条威胁情报数据，并返回给安全检测设备。
[0046]
云端威胁情报服务器在监测到安全检测设备发起的查询请求时，一方面，正常完成查询服务，将查询到的威胁情报数据返回给安全检测设备，另一方面，对安全检测设备本次查询得到的威胁情报数据的查询记录参数进行更新。
[0047]
查询记录参数可以是查询计数值，例如，每当有一安全检测设备查询得到某威胁情报数据，则将该威胁情报数据对应的查询计数值加一；查询记录参数还可以是预设时间范围(如最近一个月)内的查询频率，例如，每当有一安全检测设备查询得到某威胁情报数据，则重新计算最近一个月内该威胁情报数据被查询的频率，并更新该威胁情报数据的查询频率。
[0048]
查询记录参数表征的是所对应的威胁情报数据的查询频繁度，可间接反应威胁情报数据的价值高低，对于查询更频繁的威胁情报数据，显然，其价值更高，所以，本实施例基于威胁情报数据的查询记录参数作为更新触发条件，对嵌入式威胁情报数据集进行更新。
[0049]
步骤220：云端威胁情报服务器判断每一威胁情报数据的查询记录参数是否超过预设阈值。
[0050]
云端威胁情报服务器在对查询得到的至少一条威胁情报数据的查询记录参数进行更新后，判断查询得到的每一威胁情报数据的更新后的查询记录参数的值是否超过预设阈值。其中，该预设阈值的具体数值可灵活设置，预设阈值的数值设置与安全检测设备的数量有关，如安全检测设备的数量较多，那么预设阈值的数值可以设置的稍大，以避免查询记录参数轻易超过预设阈值，导致嵌入式威胁情报数据集频繁更新，如安全检测设备的数量较少，那么预设阈值的数值可以设置的稍小，以避免查询记录参数迟迟无法超过预设阈值，导致嵌入式威胁情报数据集长时间无法更新。
[0051]
如果查询记录参数为查询计数值，则预设阈值为计数值的阈值，如果查询记录参数为查询频率，则预设阈值为频率的阈值。
[0052]
步骤230：若存在超过预设阈值的查询记录参数，则云端威胁情报服务器基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，以使安全检测设备获取更新后的嵌入式威胁情报数据集。
[0053]
若有超过预设阈值的查询记录参数，则认为该查询记录参数所对应的威胁情报数据为近期查询频繁的数据，价值较高，可加入到嵌入式威胁情报数据集中。于是，基于该威胁情报数据对嵌入式威胁情报数据集进行更新。
[0054]
在一种具体的实施例中，对嵌入式威胁情报数据集进行更新的步骤包括：云端威胁情报服务器向嵌入式威胁情报服务器发送更新通知，该更新通知用于指示嵌入式威胁情报服务器基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新。
[0055]
在更新通知中同时携带对应的威胁情报数据，嵌入式威胁情报服务器基于更新通知中携带的数据内容，在嵌入式威胁情报数据集中更新此条威胁情报数据。
[0056]
具体的，嵌入式威胁情报服务器在收到更新通知后，查询自身存储的嵌入式威胁情报数据集，若已有相应的威胁情报数据，则对数据内容进行覆盖更新，若没有相应的威胁情报数据，则在嵌入式威胁情报数据集中添加该条威胁情报数据。
[0057]
由于嵌入式威胁情报数据集的数据量有限，如果数据量超出规定的范围，则删除老旧的威胁情报数据。因此，若在更新过程中，嵌入式威胁情报数据集中的威胁情报数据的数据量超出预设范围时，则从嵌入式威胁情报数据集中删除日期最早的威胁情报数据，直至嵌入式威胁情报数据集中的威胁情报数据的数据量处于该预设范围内，完成本次更新。
[0058]
在嵌入式威胁情报服务器完成对嵌入式威胁情报数据集的更新之后，向云端威胁情报服务器发送更新完成通知，云端威胁情报服务器在收到更新完成通知后，将威胁情报数据集中对应的威胁情报数据的查询记录参数清零。当再有安全检测设备对该威胁情报数据进行查询时，查询记录参数从起始值重新开始计算。
[0059]
安全检测设备定期从嵌入式威胁情报服务器上下载嵌入式威胁情报数据集，需说明的是，这一下载过程与前述所有步骤没有顺序上的限定，并不存在时间上的先后关系。嵌入式威胁情报服务器在监测到安全检测设备发送的下载请求时，向安全检测设备提供嵌入式威胁情报数据集的下载资源，使安全检测设备可以获取到更新后的嵌入式威胁情报数据集。
[0060]
请参照图3，安全检测设备从嵌入式威胁情报服务器上下载嵌入式威胁情报数据集的步骤包括：
[0061]
步骤310：当嵌入式威胁情报服务器监测到安全检测设备发送的下载请求时，根据该下载请求确定当前的嵌入式威胁情报数据集相比安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新；若有，执行步骤320。
[0062]
其中，当前的嵌入式威胁情报数据集只要相比安全检测设备上一次下载的嵌入式威胁情报数据集，出现了新增、删除、变更等，均算是有更新。具体的，嵌入式威胁情报服务器判断嵌入式威胁情报数据集是否有更新的实施方式可以是：
[0063]
安全检测设备向嵌入式威胁情报服务器发送下载请求，在下载请求中同时携带上
一次下载的嵌入式威胁情报数据集的版本号。嵌入式威胁情报服务器判断该下载请求所携带的版本号与嵌入式威胁情报数据集的当前版本号是否一致；若不一致，则确定当前的嵌入式威胁情报数据集相比安全检测设备上一次下载的嵌入式威胁情报数据集有更新；若一致，则确定当前的嵌入式威胁情报数据集相比安全检测设备上一次下载的嵌入式威胁情报数据集没有更新。在有更新的情况下，执行步骤320，使安全检测设备可获取到更新后的嵌入式威胁情报数据集，在没有更新的情况下，可以向安全检测设备返回无更新的通知消息。
[0064]
版本号可以是根据更新日期生成，例如，嵌入式威胁情报数据集每更新一次，其版本号变化为更新当日的日期。
[0065]
步骤320：向安全检测设备提供当前的嵌入式威胁情报数据集的下载资源，以使安全检测设备获取更新后的嵌入式威胁情报数据集。
[0066]
在一些实施例中，嵌入式威胁情报服务器可以向安全检测设备提供整个嵌入式威胁情报数据集的下载资源，也可以仅提供与安全检测设备上一次下载的嵌入式威胁情报数据集相比有更新的威胁情报数据的下载资源。下载资源可以是嵌入式威胁情报数据集的下载地址，由安全检测设备访问该下载地址进行下载，也可以是嵌入式威胁情报服务器直接向安全检测设备发送嵌入式威胁情报数据集的数据包。
[0067]
请参阅图4，基于以上实施例的内容，对本实施例提供的更新方法的一种具体实施方式进行说明。如图4所示，嵌入式威胁情报数据集的更新方法的一种具体实施方式如下：
[0068]
步骤410：安全检测设备向云端威胁情报服务器发起第一认证请求。
[0069]
其中，第一认证请求中携带第一认证信息，该第一认证信息包括但不限于安全检测设备的ip地址、产品名称、产品序列号等，第一认证信息可以是其中的一项或者多项信息的组合。
[0070]
步骤420：云端威胁情报服务器根据预存储的认证备案数据，对安全检测设备进行认证，若认证成功，则向安全检测设备返回第一认证凭证。
[0071]
在云端威胁情报服务器中存储有认证备案数据，认证备案数据中记载可访问云端威胁情报服务器的安全检测设备的预认证信息，若根据安全检测设备的第一认证信息，能够从认证备案数据中查询到相对应的预认证信息，则对该安全检测设备认证成功，向安全检测设备返回第一认证凭证，同时记录认证日志。
[0072]
若未认证成功，则拒绝安全检测设备的第一认证请求。
[0073]
安全检测设备只需向云端威胁情报服务器发起一次第一认证请求，在认证成功后，之后只需在发起查询请求时携带第一认证凭证即可。
[0074]
步骤430：安全检测设备向云端威胁情报服务器发起查询请求，查询请求携带第一认证凭证和查询的标识。
[0075]
查询的标识包括但不限于文件hash、ip地址、域名等。
[0076]
步骤440：云端威胁情报服务器根据第一认证凭证确定安全检测设备是否为已认证设备，若是，根据该查询请求携带的标识，在威胁情报数据集中查询相对应的威胁情报数据，若查询到，执行步骤450和步骤460。
[0077]
步骤450：云端威胁情报服务器向安全检测设备返回查询到的威胁情报数据。
[0078]
步骤460：云端威胁情报服务器对对应的威胁情报数据的查询记录参数进行更新，并判断每一威胁情报数据的查询记录参数是否超过预设阈值，若超过，执行步骤470。
[0079]
步骤470：云端威胁情报服务器向嵌入式威胁情报服务器发送更新通知，指示嵌入式威胁情报服务器更新该条已超过预设阈值的查询记录参数所对应的威胁情报数据。
[0080]
步骤480：嵌入式威胁情报服务器根据更新通知更新嵌入式威胁情报数据集。
[0081]
步骤490：在更新完成后，嵌入式威胁情报服务器向云端威胁情报服务器返回更新完成通知。
[0082]
步骤500：云端威胁情报服务器将对应的威胁情报数据的查询记录参数清零。
[0083]
需说明的是，下述步骤510-550与前述步骤为异步进行，其并非限定步骤510-550是在步骤410-500中的任一步骤之后执行。
[0084]
步骤510：安全检测设备向嵌入式威胁情报服务器发起第二认证请求。
[0085]
其中，第二认证请求中携带第二认证信息，该第二认证信息包括但不限于安全检测设备的ip地址、产品名称、产品序列号等，第二认证信息可以是其中的一项或者多项信息的组合。
[0086]
步骤520：嵌入式威胁情报服务器根据预存储的认证备案数据，对安全检测设备进行认证，若认证成功，则向安全检测设备返回第二认证凭证。
[0087]
在嵌入式威胁情报服务器中存储有认证备案数据，认证备案数据中记载可访问嵌入式威胁情报服务器的安全检测设备的预认证信息，若根据安全检测设备的第二认证信息，能够从认证备案数据中查询到相对应的预认证信息，则对该安全检测设备认证成功，向安全检测设备返回第二认证凭证，同时记录认证日志。
[0088]
若未认证成功，则拒绝安全检测设备的第二认证请求。
[0089]
安全检测设备只需向嵌入式威胁情报服务器发起一次第二认证请求，在认证成功后，之后只需在发起下载请求时携带第二认证凭证即可。
[0090]
嵌入式威胁情报服务器中的认证备案数据与云端威胁情报服务器中的认证备案数据可以相同，也可以不同。
[0091]
步骤530：安全检测设备向嵌入式威胁情报服务器发起下载请求，下载请求携带第二认证凭证。
[0092]
安全检测设备可以定期向嵌入式威胁情报服务器发起下载请求，其频率可以是一天一次。
[0093]
步骤540：嵌入式威胁情报服务器根据第二认证凭证确定安全检测设备是否为已认证设备，若是，确定当前的嵌入式威胁情报数据集相比安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新，若有更新，执行步骤550。
[0094]
步骤550：嵌入式威胁情报服务器向安全检测设备提供更新后的嵌入式威胁情报数据集的下载资源。
[0095]
安全检测设备根据该下载资源获得更新后的嵌入式威胁情报数据集。
[0096]
在本申请实施例中，将威胁情报数据的查询业务与嵌入式威胁情报数据集的下载业务分开，云端威胁情报服务器处理安全检测设备的查询请求，向安全检测设备提供查询结果，嵌入式威胁情报服务器处理安全检测设备的下载请求，向安全检测设备提供嵌入式威胁情报数据集的下载资源。云端威胁情报服务器与嵌入式威胁情报服务器通过威胁情报数据的查询记录参数关联，当云端威胁情报服务器中存在威胁情报数据的查询记录参数超过预设阈值，自动将该条威胁情报数据更新到嵌入式威胁情报服务器内的嵌入式威胁情报
数据集中。
[0097]
如此一来，嵌入式威胁情报数据集中的威胁情报数据将保留安全检测设备查询较频繁的威胁情报数据，各安全检测设备下载获得的嵌入式威胁情报数据集中保留的也是查询较频繁、价值较高的威胁情报数据，随着嵌入式威胁情报数据集的逐步更新，对于绝大部分安全检测场景，各安全检测设备可以直接在本地内置的嵌入式威胁情报数据集中即可查询到所需的威胁情报数据，而无需再到云端威胁情报数据集查询，节省大量查询时间，安全检测的效率提升。
[0098]
可以理解，嵌入式威胁情报数据集的更新频率也将会逐步降低，安全检测设备从嵌入式威胁情报服务器下载数据集的频率也会逐步降低，节省大量下载时间，节约网络资源。
[0099]
综上所述，本申请实施例基于使用频繁的威胁情报数据更具价值、更应该放入嵌入式威胁情报数据集当中这一技术构思，将各威胁情报数据的查询记录参数与更新动作关联，在查询记录参数超过预设阈值(表明该威胁情报数据被频繁查询)的情况下，将该威胁情报数据更新到嵌入式威胁情报数据集，一方面，可以自动完成嵌入式威胁情报数据集的更新，省去人工成本，另一方面，可以保证嵌入式威胁情报数据集中更新的都是高价值的威胁情报数据，有利于提升情报利用率。
[0100]
第二实施例
[0101]
本申请实施例提供一种嵌入式威胁情报数据集的更新系统及方法，在本实施例中，如图5所示，嵌入式威胁情报数据集的更新系统包括安全检测设备610及云端威胁情报服务器620。安全检测设备610与云端威胁情报服务器620网络连接。
[0102]
安全检测设备610旁路部署于用户网络处，并内置有嵌入式威胁情报数据集。云端威胁情报服务器620上部署有完整的威胁情报数据集，并以威胁情报数据查询服务的方式对外提供使用，安全检测设备610通过网络可以向云端威胁情报服务器620发起对威胁情报数据的查询，并获得查询结果。云端威胁情报服务器620上同时还部署有嵌入式威胁情报数据集，嵌入式威胁情报数据集是对庞大的威胁情报数据集的精简，是威胁情报数据集的子集，保留了完整的威胁情报数据集中高价值和最近活跃的威胁情报数据，数据量相较完整的威胁情报数据集更小。安全检测设备610定期从云端威胁情报服务器620上下载新的嵌入式威胁情报数据集，以提高安全检测的效果。
[0103]
云端威胁情报服务器620可能是服务器集群，也可能是单个的服务器。
[0104]
本实施例与第一实施例的不同之处在于，在本实施例中，不单独设置嵌入式威胁情报服务器，将第一实施例中嵌入式威胁情报服务器实现的功能整合到云端威胁情报服务器中，云端威胁情报服务器同时处理威胁情报数据的查询业务和嵌入式威胁情报数据集的下载业务，一方面，云端威胁情报服务器处理安全检测设备的查询请求，向安全检测设备提供查询结果，另一方面，云端威胁情报服务器处理安全检测设备的下载请求，向安全检测设备提供嵌入式威胁情报数据集的下载资源。
[0105]
在本实施例提供的嵌入式威胁情报数据集的更新方法中，安全检测设备的实施方式可参见前一实施例中安全检测设备的实施方式，云端威胁情报服务器的实施方式可参见前一实施例中云端威胁情报服务器及嵌入式威胁情报服务器的实施方式，本实施例不重复赘述。
[0106]
请参阅图6，基于以上实施例的内容，对本实施例提供的更新方法的一种具体实施方式进行说明。如图6所示，嵌入式威胁情报数据集的更新方法的具体实施方式如下：
[0107]
步骤710：安全检测设备向云端威胁情报服务器发起认证请求。
[0108]
步骤720：云端威胁情报服务器根据预存储的认证备案数据，对安全检测设备进行认证，若认证成功，则向安全检测设备返回认证凭证。
[0109]
在云端威胁情报服务器中存储有认证备案数据，认证备案数据中记载可访问云端威胁情报服务器的安全检测设备的预认证信息，若根据安全检测设备的认证信息，能够从认证备案数据中查询到相对应的预认证信息，则对该安全检测设备认证成功，向安全检测设备返回认证凭证，同时记录认证日志。
[0110]
步骤730：安全检测设备向云端威胁情报服务器发起查询请求，查询请求携带认证凭证和查询的标识。
[0111]
步骤740：云端威胁情报服务器根据认证凭证确定安全检测设备是否为已认证设备，若是，根据该查询请求携带的标识，在威胁情报数据集中查询相对应的威胁情报数据，若查询到，执行步骤750和步骤760。
[0112]
步骤750：云端威胁情报服务器向安全检测设备返回查询到的威胁情报数据。
[0113]
步骤760：云端威胁情报服务器对对应的威胁情报数据的查询记录参数进行更新，并判断每一威胁情报数据的查询记录参数是否超过预设阈值，若超过，执行步骤770。
[0114]
步骤770：云端威胁情报服务器在嵌入式威胁情报数据集中更新该条已超过预设阈值的查询记录参数所对应的威胁情报数据。
[0115]
步骤780：在更新完成后，云端威胁情报服务器将对应的威胁情报数据的查询记录参数清零。
[0116]
步骤790：安全检测设备向云端威胁情报服务器发起下载请求，下载请求携带认证凭证。
[0117]
安全检测设备可以定期向云端威胁情报服务器发起下载请求，其频率可以是一天一次。
[0118]
步骤800：云端威胁情报服务器根据认证凭证确定安全检测设备是否为已认证设备，若是，确定当前的嵌入式威胁情报数据集相比安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新，若有更新，执行步骤810。
[0119]
步骤810：云端威胁情报服务器向安全检测设备提供更新后的嵌入式威胁情报数据集的下载资源。
[0120]
安全检测设备根据该下载资源获得更新后的嵌入式威胁情报数据集。
[0121]
第三实施例
[0122]
请参阅图7，本申请实施例提供一种嵌入式威胁情报数据集的更新装置，包括：
[0123]
参数更新模块910，用于当监测到安全检测设备发送的查询请求时，根据所述查询请求对对应的至少一条威胁情报数据的查询记录参数进行更新，其中，所述查询请求用于查询所述至少一条威胁情报数据；
[0124]
参数判断模块920，用于判断每一威胁情报数据的查询记录参数是否超过预设阈值；
[0125]
第一更新模块930，用于在存在超过预设阈值的查询记录参数时，基于超过预设阈
值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，以使所述安全检测设备获取更新后的嵌入式威胁情报数据集。
[0126]
可选的，该更新装置还包括：参数清零模块，用于在第一更新模块对嵌入式威胁情报数据集进行更新之后，将所述威胁情报数据的查询记录参数清零。
[0127]
可选的，所述嵌入式威胁情报数据集部署在嵌入式威胁情报服务器中，第一更新模块930具体用于：向嵌入式威胁情报服务器发送更新通知，所述更新通知用于指示所述嵌入式威胁情报服务器基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新。
[0128]
可选的，该装置还包括：下载模块，用于当监测到安全检测设备发送的下载请求时，根据所述下载请求确定当前的嵌入式威胁情报数据集相比所述安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新；若有，则向所述安全检测设备提供当前的嵌入式威胁情报数据集的下载资源，以使所述安全检测设备获取更新后的嵌入式威胁情报数据集。
[0129]
上述提供的嵌入式威胁情报数据集的更新装置，其实现原理及产生的技术效果可以参见第一实施例及第二实施例中云端威胁情报服务器的具体介绍，为简要描述，装置实施例部分未提及之处，可参考方法实施例中的相应内容。
[0130]
请参照图8，本申请实施例还提供一种嵌入式威胁情报数据集的更新装置，包括：
[0131]
更新指示模块950，用于接收云端威胁情报服务器发送的更新通知，所述更新通知是所述云端威胁情报服务器在检测到存在超出预设阈值的查询记录参数后发出的，每一查询记录参数与一条威胁情报数据相对应，所述威胁情报数据的查询记录参数在所述威胁情报数据被安全检测设备查询后进行更新；
[0132]
第二更新模块960，用于基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新；
[0133]
下载模块970，用于在监测到安全检测设备发送的下载请求时，向所述安全检测设备提供嵌入式威胁情报数据集的下载资源。
[0134]
可选的，下载模块970具体用于：在监测到安全检测设备发送的下载请求时，根据所述下载请求确定当前的嵌入式威胁情报数据集相比所述安全检测设备上一次下载的嵌入式威胁情报数据集是否有更新；若有，则向所述安全检测设备提供当前的嵌入式威胁情报数据集的下载资源，以使所述安全检测设备获取更新后的嵌入式威胁情报数据集。
[0135]
可选的，下载模块970还具体用于：判断所述下载请求携带的上一次下载的嵌入式威胁情报数据集的版本号与所述嵌入式威胁情报数据集的当前版本号是否一致；若不一致，则确定当前的嵌入式威胁情报数据集相比所述安全检测设备上一次下载的嵌入式威胁情报数据集有更新。
[0136]
可选的，第二更新模块960具体用于：基于超过预设阈值的查询记录参数所对应的威胁情报数据，对嵌入式威胁情报数据集进行更新，并在所述嵌入式威胁情报数据集中的威胁情报数据的数据量超出预设范围时，从所述嵌入式威胁情报数据集中删除日期最早的威胁情报数据，直至所述嵌入式威胁情报数据集中的威胁情报数据的数据量处于所述预设范围内。
[0137]
上述提供的嵌入式威胁情报数据集的更新装置，其实现原理及产生的技术效果可
以参见第一实施例中嵌入式威胁情报服务器的具体介绍，为简要描述，装置实施例部分未提及之处，可参考方法实施例中的相应内容。
[0138]
图9示出了本申请实施例提供的一种服务器的可能的结构。请参照图9，服务器1000包括：处理器1010、存储器1020以及通信接口1030，这些组件通过通信总线1040和/或其他形式的连接机构(未示出)互连并相互通讯。
[0139]
其中，存储器1020包括一个或多个(图中仅示出一个)，其可以是，但不限于，随机存取存储器(random accessmemory，简称ram)，只读存储器(read only memory，简称rom)，可编程只读存储器(programmable read-only memory，简称prom)，可擦除可编程只读存储器(erasable programmable read-only memory，简称eprom)，电可擦除可编程只读存储器(electric erasable programmable read-only memory，简称eeprom)等。处理器1010以及其他可能的组件可对存储器1020进行访问，读和/或写其中的数据。
[0140]
处理器1010包括一个或多个(图中仅示出一个)，其可以是一种集成电路芯片，具有信号的处理能力。上述的处理器1010可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、微控制单元(micro controller unit，简称mcu)、网络处理器(networkprocessor，简称np)或者其他常规处理器；还可以是专用处理器，包括图形处理器(graphics processing unit，gpu)、数字信号处理器(digitalsignalprocessor,简称dsp)、专用集成电路(application specific integrated circuits，简称asic)、现场可编程门阵列(field programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。并且，在处理器1010为多个时，其中的一部分可以是通用处理器，另一部分可以是专用处理器。
[0141]
通信接口1030包括一个或多个(图中仅示出一个)，可以用于和其他设备或服务器进行直接或间接地通信，以便进行数据的交互。通信接口1030可以包括进行有线和/或无线通信的接口。
[0142]
在存储器1020中可以存储一个或多个计算机程序指令，处理器1010可以读取并运行这些计算机程序指令，以实现本申请实施例提供的嵌入式威胁情报数据集的更新方法以及其他期望的功能。
[0143]
可以理解，图9所示的结构仅为示意，服务器1000还可以包括比图9中所示更多或者更少的组件，或者具有与图9所示不同的配置。图9中所示的各组件可以采用硬件、软件或其组合实现。服务器1000可能是第一实施例及第二实施例中所述的云端威胁情报服务器，也可能是第一实施例中所述的嵌入式威胁情报服务器，并且，服务器1000也不限于单台服务器设备，也可以是多台设备的组合或者大量设备构成的服务器集群。
[0144]
本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令被计算机的处理器读取并运行时，执行本申请实施例提供的嵌入式威胁情报数据集的更新方法。例如，计算机可读存储介质可以实现为图9中服务器1000中的存储器1020。
[0145]
在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个
以上模块集成形成一个独立的部分。
[0146]
以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。