一种更新本地威胁情报数据的方法、装置及介质与流程

本申请涉及威胁检测领域，具体而言本申请实施例涉及一种更新本地威胁情报数据的方法、装置及介质。

背景技术：

1、威胁检测分析中，威胁情报的检测实时性和准确性是安全产品及安全分析强依赖的要求和目标。根据威胁情报研判定位到的高级威胁日渐增长，所以情报数据的更新和如何提高准确性，是目前安全类产品追求的首要目标。

2、威胁情报数据更新通常做法是：将云端威胁情报数据定时从云端升级到本地(产品或服务器)中。此时，强依赖与云端的数据更新频率与本地的数据更新频率，包括升级的数据量级。当云地同步机制产生问题或者网络故障时，本地的情报数据就会与云端产生较大的差异，在威胁检测方面会影响其及时性和准确性。即便是重试、将升级频率缩短，也不能解决情报变化的实时性带来的影响。

技术实现思路

1、本申请实施例的目的在于提供一种更新本地威胁情报数据的方法、装置及介质，通过本申请实施例的技术方案能够保障威胁情报数据更新的及时性以及准确性，将云端的威胁情报的变更信息完整并及时地推送到本地设备。

2、第一方面，本申请实施例提供一种更新本地威胁情报数据的方法，所述方法包括：获取从多个字段中选择的被比较字段；根据所述被比较字段将云端威胁情报数据与本地威胁情报数据进行对比，获取差异威胁情报数据；根据所述差异威胁情报数据更新所述本地威胁情报数据。

3、本申请的一些实施例通过比较选择的比较字段来确定需要更新的威胁情报数据提升数据更新的准确性、即时性。

4、在一些实施例中，所述获取从多个字段中选择的被比较字段，包括：响应于用户在web页面上对所述多个字段的选择操作，得到所述被比较字段。

5、本申请的一些实施例通过用户介入的方式选择感兴趣的字段，使得基于这些字段得到的更新数据更能满足用户需求，提升技术方案的应用场景。

6、在一些实施例中，所述根据所述差异威胁情报数据更新所述本地威胁情报数据，包括：响应于用户选择的同步操作，根据所述差异威胁情报数据和所述被比较字段更新所述本地威胁情报数据；或者，在采用异步任务的方式进行批量数据同步时，根据所述差异威胁情报数据和所述被比较字段更新所述本地威胁情报数据。

7、本申请的一些实施例通过同步或者异步方式来更新本地设备相对于云端的威胁情报数据，提升技术方案的通用性同时将云端的威胁情报的变更信息完整并及时地推送到本地设备。

8、在一些实施例，所述威胁情报数据属于多种数据类型中的目标数据类型，且每种数据类型均采用多个维度进行表征，每个维度包括多个字段，所述被比较字段属于所述所有维度包括的字段，其中，在所述获取差异威胁情报数据之前，所述方法还包括：确认与所述差异威胁情报数据对应的云地数据差异总量大于差异阈值，其中，所述云地数据差异总量是由与所述目标数据类型对应的所有维度的所述被比较字段的字段差确定的。

9、本申请的一些实施例在确认云端与本地存储的威胁情报数据的差异足够大时，才更新本地设备的本次威胁情报数据，减少过于频繁的对本地设备的数据更新。

10、在一些实施例中，在所述确认与所述差异威胁情报数据对应的云地数-据差异总量大于差异阈值之前，所述方法包括：获取所述被比较字段中每个字段对应的字段差；至少根据所述字段差得到所述云地数据差异总量。

11、本申请的一些实施例通过获取被比较字段的字段差来确定云地数据差异总量，以提升得到的该值的准确性。

12、在一些实施例中，所述至少根据所述字段差得到所述云地数据差异总量，包括：根据所述字段差对应字段所属维度的权重值，确定所述字段差的权重值，其中，不同维度对应的权重值不同；根据所述权重值和所述字段差得到所述云地数据差异总量。

13、本申请的一些实施例还按照重要程度为各维度分配对应的权重值，之后再根据权重值和相应的字段差来综合确定云地数据差异总量，提升得该值的准确性。

14、在一些实施例中，所述权重值是与相应维度对应的优先级相关的。

15、在一些实施例中，所述目标数据类型为ip信誉数据，与所述ip信誉数据对应的多个维度为：基础信息、地理信息、失陷信息、恶意行为信息和总结信息，且所述多个维度优先级从高到底的排序为：所述基础信息、所述恶意行为信息、所述失陷信息、所述总结信息和所述地理信息，其中，在所述根据所述字段差对应字段所属维度的权重值，确定所述字段差的权重值之前，所述方法还包括：根据优先级越高权重值越大的原则为与所述ip信誉数据对应的多个维度中的各维度设置对应权重值。

16、本申请的一些实施例按照优先级为不同维度设置对应权重值，且优先级越高则权重值越大，这样可以保证高优先级的维度的更新被更易察觉，提升对敏感更新数据获取的速度和即时性。

17、在一些实施例中，所述基础信息包括：自治系统号信息、代理信息、用户类型或者是否属于互联网数据集中心idc(internet data center)。

18、在一些实施例中，所述恶意行为信息用于表征是否存在不同的恶意行为以及各不同的恶意行为的发生时间。

19、在一些实施例中，所述失陷信息包括：每次的失陷时间、恶意类型和恶意家族。

20、在一些实施例中，所述总结信息包括：建议加白等级、网络类型、恶意标签和是否失陷。

21、在一些实施例中，所述地理信息包括：国家、省份/州、城市、区县和经纬度。

22、在一些实施例中，所述多种数据类型还包括：失陷检测数据类型和文件信誉数据类型，与所述检测数据类型对应的多个维度分别为：基础信息、关联信息和研判信息，与所述文件信誉数据类型对应的多个维度为：基础信息、研判信息和网络行为。

23、第二方面，本申请的一些实施例提供一种更新本地设备威胁情报数据的装置，所述装置包括：字段选择模块，被配置为从多个字段中选择被比较字段；对比模块，被配置为根据所述被比较字段将云端威胁情报数据与本地威胁情报数据进行对比，获取差异威胁情报数据；更新模块，被配置为在数据同步时，根据所述差异威胁情报数据更新所述本地威胁情报数据。

24、第三方面，本申请的一些实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时可实现如第一方面任意实施例所述的方法。

25、第四方面，本申请的一些实施例提供一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时可实现如第一方面任意实施例所述的方法。

技术特征：

1.一种更新本地威胁情报数据的方法，其特征在于，所述方法包括：

2.如权利要求1所述的方法，其特征在于，所述获取从多个字段中选择的被比较字段，包括：

3.如权利要求1所述的方法，其特征在于，所述根据所述差异威胁情报数据更新所述本地威胁情报数据，包括：

4.如权利要求1所述的方法，其特征在于，所述威胁情报数据属于多种数据类型中的目标数据类型，且每种数据类型均采用多个维度进行表征，每个维度包括多个字段，所述被比较字段属于所有维度包括的字段，其中，

5.如权利要求4所述的方法，其特征在于，在所述确认与所述差异威胁情报数据对应的云地数据差异总量大于差异阈值之前，所述方法包括：

6.如权利要求5所述的方法，其特征在于，所述至少根据所述字段差得到所述云地数据差异总量，包括：

7.如权利要求4所述的方法，其特征在于，所述权重值与相应维度对应的优先级相关。

8.如权利要求7所述的方法，其特征在于，所述目标数据类型为ip信誉数据，与所述ip信誉数据对应的多个维度为：基础信息、地理信息、失陷信息、恶意行为信息和总结信息，且所述多个维度的优先级从高到底的排序为：所述基础信息、所述恶意行为信息、所述失陷信息、所述总结信息和所述地理信息，其中，

9.如权利要求8所述的方法，其特征在于，所述基础信息包括：自治系统号信息、代理信息、用户类型或者是否属于互联网数据集中心idc。

10.如权利要求8所述的方法，其特征在于，所述恶意行为信息用于表征是否存在不同的恶意行为以及各不同的恶意行为的发生时间。

11.如权利要求8所述的方法，其特征在于，所述失陷信息包括：每次的失陷时间、恶意类型和恶意家族。

12.如权利要求8所述的方法，其特征在于，所述总结信息包括：建议加白等级、网络类型、恶意标签和是否失陷。

13.如权利要求8所述的方法，其特征在于，所述地理信息包括：国家、省份/州、城市、区县和经纬度。

14.如权利要求4所述的方法，其特征在于，所述多种数据类型还包括：失陷检测数据类型和文件信誉数据类型，与所述检测数据类型对应的多个维度分别为：基础信息、关联信息和研判信息，与所述文件信誉数据类型对应的多个维度为：基础信息、研判信息和网络行为。

15.一种更新本地设备威胁情报数据的装置，其特征在于，所述装置包括：

16.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时可实现如权利要求1-14中任意一项权利要求所述的方法。

17.一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其中，所述处理器执行所述程序时可实现如权利要求1-14中任意一条项权利要求所述的方法。

技术总结
本申请实施例提供一种更新本地威胁情报数据的方法、装置及介质，所述方法包括：获取从多个字段中选择的被比较字段；根据所述被比较字段将云端威胁情报数据与本地威胁情报数据进行对比，获取差异威胁情报数据；根据所述差异威胁情报数据更新所述本地威胁情报数据。通过本申请实施例的技术方案能够保障威胁情报数据更新的及时性以及准确性，将云端的威胁情报的变更信息完整并及时地推送到本地设备。

技术研发人员：白敏,汪列军,杨筱
受保护的技术使用者：奇安信科技集团股份有限公司
技术研发日：
技术公布日：2024/1/13