网络资产数据威胁狩猎方法、装置、电子设备和存储介质与流程

1.本技术涉及计算机技术领域，具体而言，涉及一种网络资产数据威胁狩猎方法、装置、电子设备和存储介质。


背景技术：

2.目前，现有的同源分析主要是通过人工对恶意代码进行分析，进而基于专业分析人员的经验对样本的同源关系进行分析，提取样本中的共有特征，形成静态规则，在采集到新样本后匹配静态规则，达到同源样本狩猎的目的，即完成同源分析。


技术实现要素：

3.本技术实施例的目的在于提供一种网络资产数据威胁狩猎方法、装置、电子设备和存储介质，用于实现在增加数据类型的情况下向下兼容，无需调整系统本身，而只需要直接接入数据类型，从而降低开发成本。
4.第一方面，本技术提供一种网络资产数据威胁狩猎方法，所述方法包括：获取预设周期内的情报数据；基于所述预设周期内的情报数据识别所述预设周期内的新增域名和新增ip；对所述新增域名和所述新增ip进行分析，并得到所述新增域名的属性信息和所述新增ip的属性信息，其中，当所述新增域名为一般域名时，通过支持历史whois查询的网站的api获取所述新增域名的历史注册信息，通过dns协议获取所述新增域名的mx、soa和txt记录，获取所述新增域名中出现的子域名，计算所述新增域名的域名长度，将所述新增域名的mx、soa和txt记录、所述新增域名中出现的子域名、所述新增域名的域名长度、所述新增域名的历史注册信息作为所述新增域名的属性信息；获取针对所述新增域名和所述新增ip的自定义匹配配置信息；获取针对所述新增域名和所述新增ip的自定义匹配配置信息；基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段；基于资产规则库对所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行匹配计算，并得到所述第一计算结果；基于所述第一计算结果和所述资产规则库，确定所述新增ip和所述新增域名的同源分析结果。
5.在本技术第一方面中，通过获取预设周期内的情报数据，进而能够基于所述预设周期内的情报数据识别所述预设周期内的新增域名和新增ip，进而能够对所述新增域名和所述新增ip进行分析，并得到所述新增域名的属性信息和所述新增ip的属性信息，通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而能够基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对所述新增域名的属性信息中的所述第
一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行匹配计算，并得到所述第一计算结果，进而能够基于所述第一计算结果和所述资产规则库，确定所述新增ip和所述新增域名的同源分析结果。
6.与现有技术相比，本技术能够通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
7.在可选的实施方式中，所述基于资产规则库对所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行匹配计算，并得到所述第一计算结果，包括：确定所述资产规则库的匹配表达式；基于所述匹配表达式将所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段与所述资产规则库中的字段进行匹配计算，得到第一计算结果。
8.在本可选的实施方式中，通过确定所述资产规则库的匹配表达式，进而能够基于所述匹配表达式将所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段与所述资产规则库中的字段进行匹配计算，得到第一计算结果。
9.在可选的实施方式中，所述方法还包括：判断所述资产规则库是否存在运算表达式；当所述资产规则库存在所述运算表达式时，基于所述运算表达式对所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行逻辑计算，并得到第二计算结果；基于所述匹配表达式将所述第二计算结果与所述资产规则库中的字段进行匹配计算，得到所述第一计算结果。
10.与现有技术相比，现有的同源分析方式只能够局限于数据的匹配而无法对算法的计算过程做同源分析，而本可选的实施方式能够在进行匹配之前，能够先基于资产规则库的运算表达式对相关字段进行运算，这样一来，本可选的实施方式就能够匹配一些无法直接基于字段进行匹配的字段，从而能够拓宽规则描述维度，提高同源分析。精确度。
11.在可选的实施方式中，所述匹配表达式包括相等运算式、不相等运算式、包含运算式、排除运算式、正则表达式中的至少一种；以及，所述运算表达式包括四则运算式、逻辑运算式中的至少一种。
12.在本可选的实施方式中，通过相等运算式、不相等运算式、包含运算式、排除运算式、正则表达式能够实现根据多中匹配方式匹配第一字段和第二字段，进而提高第一字段和第二字段的匹配维度，从而提高基于第一字段和第二字段的同源分析精确度。
13.在可选的实施方式中，所述基于所述第一计算结果和所述资产规则库，确定所述新增ip和所述新增域名的同源分析结果，包括：
基于所述资产规则库确定规则描述；判断所述第一计算结果是否符合所述规则描述；当所述第一计算结果符合所述规则描述时，确定所述新增ip和所述新增域名的同源分析结果。
14.在本可选的实施方式中，基于所述资产规则库确定规则描述，进而能够判断所述第一计算结果是否符合所述规则描述，进而当所述第一计算结果符合所述规则描述时，能够确定所述新增ip和所述新增域名的同源分析结果。
15.在可选的实施方式中，所述第一匹配字段包括：域名提供商、域名长度、子域名、域名的whois、域名的关联url、域名的解析ip提供商、顶级域中的至少一种；在可选的实施方式中，所述第二匹配字段包括：端口开放状态、网络空间资产测绘结果数据、ip服务器提供商匹配、ip反查域名的whois、ip的关联url、关联证书的jarm。
16.第二方面，本技术提供一种网络资产数据威胁狩猎装置，所述装置包括：第一获取模块，用于获取预设周期内的情报数据；识别模块，用于基于所述预设周期内的情报数据识别所述预设周期内的新增域名和新增ip；分析模块，用于对所述新增域名和所述新增ip进行分析，并得到所述新增域名的属性信息和所述新增ip的属性信息；第二获取模块，用于获取针对所述新增域名和所述新增ip的自定义匹配配置信息，其中，当所述新增域名为一般域名时，通过支持历史whois查询的网站的api获取所述新增域名的历史注册信息，通过dns协议获取所述新增域名的mx、soa和txt记录，获取所述新增域名中出现的子域名，计算所述新增域名的域名长度，将所述新增域名的mx、soa和txt记录、所述新增域名中出现的子域名、所述新增域名的域名长度、所述新增域名的历史注册信息作为所述新增域名的属性信息；获取针对所述新增域名和所述新增ip的自定义匹配配置信息；确定模块，用于基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段；计算模块，用于基于资产规则库对所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行匹配计算，并得到所述第一计算结果；判断模块，用于基于所述第一计算结果和所述资产规则库，确定所述新增ip和所述新增域名的同源分析结果。
17.在本技术第二方面中，通过获取预设周期内的情报数据，进而能够基于所述预设周期内的情报数据识别所述预设周期内的新增域名和新增ip，进而能够对所述新增域名和所述新增ip进行分析，并得到所述新增域名的属性信息和所述新增ip的属性信息，通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而能够基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行匹配计算，并得到所述第一计算结果，进而能够基于所述第一计算结果和所述资产规则库，确定所述新增ip和所述
新增域名的同源分析结果。
18.与现有技术相比，本技术能够通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
19.第三方面，本技术提供一种电子设备，包括：处理器；以及存储器，配置用于存储机器可读指令，所述指令在由所述处理器执行时，执行如前述实施方式任一项所述的网络资产数据威胁狩猎方法。
20.在本技术第三方面中，通过获取预设周期内的情报数据，进而能够基于所述预设周期内的情报数据识别所述预设周期内的新增域名和新增ip，进而能够对所述新增域名和所述新增ip进行分析，并得到所述新增域名的属性信息和所述新增ip的属性信息，通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而能够基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行匹配计算，并得到所述第一计算结果，进而能够基于所述第一计算结果和所述资产规则库，确定所述新增ip和所述新增域名的同源分析结果。
21.与现有技术相比，本技术能够通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
22.第四方面，本技术提供一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行如前述实施方式任一项所述的网络资产数据威胁狩猎方法。
23.在本技术第四方面中，通过获取预设周期内的情报数据，进而能够基于所述预设周期内的情报数据识别所述预设周期内的新增域名和新增ip，进而能够对所述新增域名和所述新增ip进行分析，并得到所述新增域名的属性信息和所述新增ip的属性信息，通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而能够基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对所述新增域名的属性信息中的所述第一匹配字段和所述新增ip的属性信息中的所述第二匹配字段进行匹配计算，并得到所述第一计算结果，进而能够基于所述第一计算结果和所述资产规则库，确定所述新增ip和所述新增域名的同源分析结果。
24.与现有技术相比，本技术能够通过获取针对所述新增域名和所述新增ip的自定义匹配配置信息，进而基于所述自定义匹配配置信息确定针对所述新增域名进行同源分析的
第一匹配字段，和针对所述新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
附图说明
25.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
26.图1是本技术实施例公开的一种网络资产数据威胁狩猎方法的流程示意图；图2是本技术实施例公开的一种网络资产数据威胁狩猎装置的结构示意图；图3是本技术实施例公开的一种电子设备的结构示意图。
具体实施方式
27.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
28.实施例一请参阅图1，图1是本技术实施例公开的一种网络资产数据威胁狩猎方法的流程示意图，如图1所示，本技术实施例的方法包括以下步骤：101、获取预设周期内的情报数据；102、基于预设周期内的情报数据识别预设周期内的新增域名和新增ip；103、对新增域名和新增ip进行分析，并得到新增域名的属性信息和新增ip的属性信息，其中，当新增域名为一般域名时，通过支持历史whois查询的网站的api获取新增域名的历史注册信息，通过dns协议获取新增域名的mx、soa和txt记录，获取新增域名中出现的子域名，计算新增域名的域名长度，将新增域名的mx、soa和txt记录、新增域名中出现的子域名、新增域名的域名长度、新增域名的历史注册信息作为新增域名的属性信息；104、获取针对新增域名和新增ip的自定义匹配配置信息；105、基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段；106、基于资产规则库对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行匹配计算，并得到第一计算结果；107、基于第一计算结果和资产规则库，确定新增ip和新增域名的同源分析结果。
29.在本技术实施例中，通过获取预设周期内的情报数据，进而能够基于预设周期内的情报数据识别预设周期内的新增域名和新增ip，进而能够对新增域名和新增ip进行分析，并得到新增域名的属性信息和新增ip的属性信息，通过获取针对新增域名和新增ip的自定义匹配配置信息，进而能够基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行匹配计算，并得到第一计算结果，进而能够基于第一计算结果和资产规则库，确定新增ip和新
增域名的同源分析结果。
30.与现有技术相比，本技术实施例能够通过获取针对新增域名和新增ip的自定义匹配配置信息，进而基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
31.在本技术实施例中，作为一个示例，假设针对场景s1，需要将字段a、字段b作为第一字段，来对目标报文进行同源分析，而在场景s2中，需要将字段a、字段b、字段c作为第一字段，来对目标报文进行同源分析，此时，本技术实施例就能够在场景s1的基础上，通过自定义匹配配置信息增加字段c，以将字段a、字段b、字段c作为第一字段，来对目标报文进行同源分析，在该过程中，本技术实施例对目标报文进行同源分析并不是基于固定字段进行同源分析，而是能够通过自定义匹配配置信息自定义不同场景下同源分析所需字段，并且基于自定义匹配配置信息调整不同场景下同源分析所需字段这一方式，无需对同源分析的系统代码进行调整，从而能够降低开发成本。
32.在本技术实施例中，针对步骤101，预设周期可以是一天、一个月，本技术实施例对其不作限定。
33.在本技术实施例中，针对步骤102，预设周期内的新增域名和新增ip是指相对于历史周期而言，新出现的域名和ip，例如，在s1历史周期内，出现了域名a、域名b，而在s1周期之后的s2周期内，出现了域名a、域名b、域名c，则域名c为新增域名。
34.在本技术实施例中，针对步骤103，如果新增域名为一般域名，则对新增域名的分析过程为：通过支持历史whois查询的网站（如https://x.threatbook.cn/）的api获取新增域名的历史注册信息、通过dns协议获取新增域名的mx、soa、txt等记录、获取新增域名中出现的子域名、计算新增域名的域名长度。
35.相应地，将新增域名的mx、soa、txt等记录、新增域名中出现的子域名、计算新增域名的域名长度、新增域名的历史注册信息作为新增域名的属性信息。
36.在本技术实施例中，针对步骤103，如果新增ip为一般ip服务器的ip，则对新增ip的分析过程为：通过网络空间资产测绘系统（例如：https://www.zoomeye.org/，可购买商业网络空间测绘系统生产的数据，或者私有的自研系统生产的数据）对ip服务器进行探测，拿到ip服务器对外开放的端口、服务类型（如http、apache）。
37.相应地，将端口、服务类型作为新增ip的属性信息。
38.在本技术实施例中，针对步骤103，还可通过沙箱（https://s.threatbook.cn/）、开源数据平台、收费数据平台（virustoal），收集新增ip和新增域名出现的url和对应url响应的数据（如http响应体、响应码），并将新增ip和新增域名出现的url和对应url响应的数据加入到新增ip的属性信息和新增域名的属性信息中。
39.相应地，针对步骤105，第一匹配字段包括：域名提供商、域名长度、子域名、域名的whois、域名的关联url、域名的解析ip提供商、顶级域中的至少一种，而第二匹配字段包括：
端口开放状态、网络空间资产测绘结果数据、ip服务器提供商匹配、ip反查域名的whois、ip的关联url、关联证书的jarm。
40.在本技术实施例中，针对步骤104，自定义匹配配置信息可以存储在配置文件中，其中，本技术实施例通过读取配置文件并遍历配置文件的内容，能够获取自定义匹配配置信息。
41.在本技术实施例中，针对步骤107，同源分析结果可以是指新增ip和新增域名所属的apt组织。
42.在可选的实施方式中，步骤：基于资产规则库对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行匹配计算，并得到第一计算结果，包括以下子步骤：确定资产规则库的匹配表达式；基于匹配表达式将新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段与资产规则库中的字段进行匹配计算，得到第一计算结果。
43.在本可选的实施方式中，通过确定资产规则库的匹配表达式，进而能够基于匹配表达式将新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段与资产规则库中的字段进行匹配计算，得到第一计算结果。
44.在可选的实施方式中，匹配表达式包括相等运算式、不相等运算式、包含运算式、排除运算式、正则表达式中的至少一种，例如，匹配表达式包括不相等运算式、包含运算式，相应地，基于不相等运算式、包含运算式，可判断第一字段与资产规则库的某一个字段是否值相等，而基于包含运算式能够判断资产规则库是否包含了第一字段。
45.在可选的实施方式中，本技术实施例的方法还包括以下步骤：判断资产规则库是否存在运算表达式；当资产规则库存在运算表达式时，基于运算表达式对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行逻辑计算，并得到第二计算结果；基于匹配表达式将第二计算结果与资产规则库中的字段进行匹配计算，得到第一计算结果。
46.与现有技术相比，现有的同源分析方式只能够局限于数据的匹配而无法对算法的计算过程做同源分析，而本可选的实施方式能够在进行匹配之前，能够先基于资产规则库的运算表达式对相关字段进行运算，这样一来，本可选的实施方式就能够匹配一些无法直接基于字段进行匹配的字段，从而能够拓宽规则描述维度，提高同源分析精确度。
47.在本可选的实施方式中，作为一种示例，在一些场景中，如果直接将第一字段与资产规则库中的字段进行匹配，所得到第一计算结果无法判断新增域名apt组织，而需要对第一字段中的多个字段组合情况才能够判断新增域名apt组织，例如，基于新增域名的字段a的值无法判断新增域名所属apt组织，但是将新增域名的字段a的值与新增域名的字段b的值进行相加后，就能够与资产规则库中的某一字段的值匹配成功，进而能够判断新增域名所属apt组织。
48.相应地，在本可选的实施方式中，运算表达式包括四则运算式、逻辑运算式中的至少一种，例如，运算表达式可以只包括四则运算式，也可以同时包括四则运算式、逻辑运算式。进一步地，逻辑运算式包括了或运算、异或等逻辑运算。
49.在本可选的实施方式中，通过相等运算式、不相等运算式、包含运算式、排除运算式、正则表达式能够实现根据多中匹配方式匹配第一字段和第二字段，进而提高第一字段和第二字段的匹配维度，从而提高基于第一字段和第二字段的同源分析精确度。
50.在可选的实施方式中，步骤：基于第一计算结果和资产规则库，确定新增ip和新增域名的同源分析结果，包括以下子步骤：基于资产规则库确定规则描述；判断第一计算结果是否符合规则描述；当第一计算结果符合规则描述时，确定新增ip和新增域名的同源分析结果。
51.在本可选的实施方式中，基于资产规则库确定规则描述，进而能够判断第一计算结果是否符合规则描述，进而当第一计算结果符合规则描述时，能够确定新增ip和新增域名的同源分析结果。
52.在可选的实施方式中，规则描述表述第一计算结果应当满足何种条件才能够确定新增域名和新增ip所属的apt组织，例如，规则描述可以是“字段a和字段b均被资产规则库的字段所包含时，apt组织为g”。
53.实施例二请参阅图2，图2是本技术实施例公开的一种网络资产数据威胁狩猎方法的结构示意图，如图2所示，本技术实施例的装置包括以下功能模块：第一获取模块201，用于获取预设周期内的情报数据；识别模块202，用于基于预设周期内的情报数据识别预设周期内的新增域名和新增ip；分析模块203，用于对新增域名和新增ip进行分析，并得到新增域名的属性信息和新增ip的属性信息，其中，当新增域名为一般域名时，通过支持历史whois查询的网站的api获取新增域名的历史注册信息，通过dns协议获取新增域名的mx、soa和txt记录，获取新增域名中出现的子域名，计算新增域名的域名长度，将新增域名的mx、soa和txt记录、新增域名中出现的子域名、新增域名的域名长度、新增域名的历史注册信息作为新增域名的属性信息；第二获取模块204，用于获取针对新增域名和新增ip的自定义匹配配置信息；确定模块205，用于基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段；计算模块206，用于基于资产规则库对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行匹配计算，并得到第一计算结果；判断模块207，用于基于第一计算结果和资产规则库，确定新增ip和新增域名的同源分析结果。
54.在本技术实施例中，通过获取预设周期内的情报数据，进而能够基于预设周期内的情报数据识别预设周期内的新增域名和新增ip，进而能够对新增域名和新增ip进行分析，并得到新增域名的属性信息和新增ip的属性信息，通过获取针对新增域名和新增ip的自定义匹配配置信息，进而能够基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行匹
配计算，并得到第一计算结果，进而能够基于第一计算结果和资产规则库，确定新增ip和新增域名的同源分析结果。
55.与现有技术相比，本技术实施例能够通过获取针对新增域名和新增ip的自定义匹配配置信息，进而基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
56.需要说明的是，关于本技术实施例的其他说明，请参阅本技术实施例的相关说明，本技术实施例对此不作赘述。
57.实施例三请参阅图3，图3是本技术实施例公开的一种电子设备的结构示意图，如图3所示，本技术实施例的电子设备包括：处理器301；以及存储器302，配置用于存储机器可读指令，指令在由处理器301执行时，执行如前述实施方式任一项的网络资产数据威胁狩猎方法。
58.在本技术实施例中，通过获取预设周期内的情报数据，进而能够基于预设周期内的情报数据识别预设周期内的新增域名和新增ip，进而能够对新增域名和新增ip进行分析，并得到新增域名的属性信息和新增ip的属性信息，通过获取针对新增域名和新增ip的自定义匹配配置信息，进而能够基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行匹配计算，并得到第一计算结果，进而能够基于第一计算结果和资产规则库，确定新增ip和新增域名的同源分析结果。
59.与现有技术相比，本技术实施例能够通过获取针对新增域名和新增ip的自定义匹配配置信息，进而基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
60.实施例四本技术实施例提供一种存储介质，存储介质存储有计算机程序，计算机程序被处理器执行如前述实施方式任一项的网络资产数据威胁狩猎方法。
61.在本技术实施例中，通过获取预设周期内的情报数据，进而能够基于预设周期内的情报数据识别预设周期内的新增域名和新增ip，进而能够对新增域名和新增ip进行分析，并得到新增域名的属性信息和新增ip的属性信息，通过获取针对新增域名和新增ip的自定义匹配配置信息，进而能够基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，进而能够基于资产规则库对新增域名的属性信息中的第一匹配字段和新增ip的属性信息中的第二匹配字段进行匹
配计算，并得到第一计算结果，进而能够基于第一计算结果和资产规则库，确定新增ip和新增域名的同源分析结果。
62.与现有技术相比，本技术实施例能够通过获取针对新增域名和新增ip的自定义匹配配置信息，进而基于自定义匹配配置信息确定针对新增域名进行同源分析的第一匹配字段，和针对新增ip进行同源分析的第二匹配字段，这样一来，就能够实现在同源分析过程中，基于自定义匹配配置信息灵活调整第一匹配字段和第二匹配字段，进而能够在增加数据类型的情况下向下兼容，并无需调整系统本身，而只需要直接接入数据类型即可，从而降低开发成本。
63.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
64.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
65.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
66.需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（read-only memory，rom）随机存取存储器（random access memory，ram）、磁碟或者光盘等各种可以存储程序代码的介质。
67.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
68.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。