多源情报聚合方法、设备、存储介质及装置与流程

本发明涉及网络安全，尤其涉及一种多源情报聚合方法、设备、存储介质及装置。

背景技术：

1、目前，用户通常通过部署多个威胁情报源来提高系统安全性。但是，在实际应用中，不同的威胁情报源可能存在不同检测结果，从而导致用户无法快速采信结果，进而导致无法快速、准确地生成威胁情报。

2、上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

1、本发明的主要目的在于提供一种多源情报聚合方法、设备、存储介质及装置，旨在解决现有技术中在多个威胁情报源存在不同检测结果时，无法快速采信结果，从而导致无法快速、准确地生成威胁情报的技术问题。

2、为实现上述目的，本发明提供一种多源情报聚合方法，所述多源情报聚合方法包括以下步骤：

3、获取威胁情报源的白名单命中信息和失陷指标命中信息，其中，所述失陷指标命中信息用于判断终端设备是否受到入侵；

4、根据所述白名单命中信息和所述失陷指标命中信息生成聚合威胁情报。

5、可选地，所述根据所述白名单命中信息和所述失陷指标命中信息生成聚合威胁情报的步骤，包括：

6、根据所述白名单命中信息判断所述威胁情报源是否命中白名单，并根据所述失陷指标命中信息判断所述威胁情报源是否命中失陷指标；

7、在所述威胁情报源命中白名单或失陷指标时，获取所述白名单或所述失陷指标对应的威胁情报；

8、将所述白名单或失陷指标对应的威胁情报作为聚合威胁情报。

9、可选地，所述根据所述白名单命中信息判断所述威胁情报源是否命中白名单，并根据所述失陷指标命中信息判断所述威胁情报源是否命中失陷指标的步骤之后，还包括：

10、在所述威胁情报源未命中白名单和失陷指标时，获取所述威胁情报源的源权重分值；

11、根据所述源权重分值对所述威胁情报源进行筛选，获得目标威胁情报源；

12、根据所述目标威胁情报源的威胁情报生成聚合威胁情报。

13、可选地，所述根据所述源权重分值对所述威胁情报源进行筛选，获得目标威胁情报源的步骤，包括：

14、获取所述威胁情报源的置信度等级；

15、根据所述源权重分值和所述置信度等级对所述威胁情报源进行筛选，获得目标威胁情报源。

16、可选地，所述根据所述源权重分值和所述置信度等级对所述威胁情报源进行筛选，获得目标威胁情报源的步骤，包括：

17、根据所述源权重分值对所述威胁情报源进行排序，获得排序结果；

18、根据所述排序结果和所述置信度等级对所述威胁情报源进行筛选，获得目标威胁情报源。

19、可选地，所述在所述威胁情报源未命中白名单和失陷指标时，获取所述威胁情报源的源权重分值的步骤之前，还包括：

20、获取威胁情报源的源信息；

21、根据所述源信息配置所述威胁情报源的源权重分值。

22、可选地，所述根据所述目标威胁情报源的威胁情报生成聚合威胁情报的步骤之后，还包括：

23、接收用户根据所述聚合威胁情报反馈的评价信息；

24、根据所述评价信息调整所述威胁情报源的源权重分值。

25、可选地，所述获取威胁情报源的白名单命中信息和失陷指标命中信息的步骤之前，还包括：

26、获取安全需求信息，并根据所述安全需求信息确定情报聚合模式；

27、相应地，所述获取威胁情报源的黑名单命中信息的步骤，包括：

28、在所述情报聚合模式为权重优先模式时，获取威胁情报源的白名单命中信息和失陷指标命中信息。

29、可选地，所述获取安全需求信息，并根据所述安全需求信息确定情报聚合模式的步骤，包括：

30、获取安全需求信息和威胁情报源的可信分值；

31、根据所述安全需求信息和可信分值确定情报聚合模式。

32、可选地，所述获取安全需求信息，并根据所述安全需求信息确定情报聚合模式的步骤之后，还包括：

33、在所述情报聚合模式为威胁敏感模式时，获取威胁情报源的黑名单命中信息；

34、根据所述黑名单命中信息对所述威胁情报源进行筛选，获得目标威胁情报源；

35、根据所述目标威胁情报源的威胁情报生成聚合威胁情报。

36、可选地，所述获取安全需求信息，并根据所述安全需求信息确定情报聚合模式的步骤之后，还包括：

37、在所述情报聚合模式为综合加权模式时，获取各威胁情报源的风险分值和置信度分值；

38、根据所述风险分值和所述置信度分值确定多个威胁情报源的综合威胁分值、综合风险分值以及综合置信度分值；

39、根据所述综合威胁分值、所述综合风险分值以及所述综合置信度分值生成多个威胁情报源的聚合威胁情报。

40、此外，为实现上述目的，本发明还提出一种多源情报聚合设备，所述多源情报聚合设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的多源情报聚合程序，所述多源情报聚合程序配置为实现如上文所述的多源情报聚合方法。

41、此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有多源情报聚合程序，所述多源情报聚合程序被处理器执行时实现如上文所述的多源情报聚合方法。

42、此外，为实现上述目的，本发明还提出一种多源情报聚合装置，所述多源情报聚合装置包括：信息获取模块和情报聚合模块；

43、所述信息获取模块，用于获取威胁情报源的白名单命中信息和失陷指标命中信息，其中，所述失陷指标命中信息用于判断终端设备是否受到入侵；

44、所述情报聚合模块，用于根据所述白名单命中信息和所述失陷指标命中信息生成聚合威胁情报。

45、可选地，所述情报聚合模块，还用于根据所述白名单命中信息判断所述威胁情报源是否命中白名单，并根据所述失陷指标命中信息判断所述威胁情报源是否命中失陷指标；

46、所述情报聚合模块，还用于在所述威胁情报源命中白名单或失陷指标时，获取所述白名单或所述失陷指标对应的威胁情报；

47、所述情报聚合模块，还用于将所述白名单或失陷指标对应的威胁情报作为聚合威胁情报。

48、可选地，所述情报聚合模块，还用于在所述威胁情报源未命中白名单和失陷指标时，获取所述威胁情报源的源权重分值；

49、所述情报聚合模块，还用于根据所述源权重分值对所述威胁情报源进行筛选，获得目标威胁情报源；

50、所述情报聚合模块，还用于根据所述目标威胁情报源的威胁情报生成聚合威胁情报。

51、可选地，所述情报聚合模块，还用于获取所述威胁情报源的置信度等级；

52、所述情报聚合模块，还用于根据所述源权重分值和所述置信度等级对所述威胁情报源进行筛选，获得目标威胁情报源。

53、可选地，所述情报聚合模块，还用于根据所述源权重分值对所述威胁情报源进行排序，获得排序结果；

54、所述情报聚合模块，还用于根据所述排序结果和所述置信度等级对所述威胁情报源进行筛选，获得目标威胁情报源。

55、可选地，所述多源情报聚合装置还包括：权重配置模块；

56、所述权重配置模块，用于获取威胁情报源的源信息；

57、所述权重配置模块，还用于根据所述源信息配置所述威胁情报源的源权重分值。

58、可选地，所述多源情报聚合装置还包括：权重调整模块；

59、所述权重调整模块，用于接收用户根据所述聚合威胁情报反馈的评价信息；

60、所述权重调整模块，还用于根据所述评价信息调整所述威胁情报源的源权重分值。

61、在本发明中，公开了获取威胁情报源的白名单命中信息和失陷指标命中信息，其中，失陷指标命中信息用于判断终端设备是否受到入侵，根据白名单命中信息和失陷指标命中信息生成聚合威胁情报；由于本发明在存在多个威胁情报源时，会基于多个威胁情报源的白名单命中信息和失陷指标命中信息生成聚合威胁情报，从而提高了威胁情报的生成效率和准确性。