一种威胁情报处置方法及装置与流程

本技术涉及网络安全，特别是涉及一种威胁情报处置方法及装置。

背景技术：

1、近年来，通常采用对威胁情报进行处置的方式维护企业、政府等组织机构的网络安全。但是，目前通常采用单一情报厂商提供的威胁情报集来检测威胁，受限于单一情报厂商的威胁情报集的情报质量，难以准确且全面检测出网络中存在的威胁情报，经常出现威胁情报遗漏和错误检测的情况，从而造成难以对网络中存在的威胁情报进行全面及准确的处置，为组织机构的网络带来安全隐患。

技术实现思路

1、有鉴于此，本技术提出了一种威胁情报处置方法及装置，主要目的在于提高威胁情报处置的全面性和准确性。

2、为了达到上述目的，本技术主要提供了如下技术方案：

3、第一方面，本技术提供了一种威胁情报处置方法，该威胁情报处置方法包括：

4、获取待威胁检测数据；

5、基于多个来源的威胁情报集，分别对所述待威胁检测数据进行威胁检测；

6、若检测出多个威胁告警信息，则对所述多个威胁告警信息指示的威胁情报进行融合处理；其中，所述威胁告警信息用于指示所述待威胁检测数据中存在威胁情报；

7、基于融合处理后的威胁情报，进行威胁情报处置。

8、在本技术一些实施例中，在检测出多个威胁告警信息之后，该威胁情报处置方法还包括：判断所述多个威胁告警信息是否基于同一来源的威胁情报集检测得到；若否，则执行对所述多个威胁告警信息指示的威胁情报进行融合处理的步骤。

9、在本技术一些实施例中，该威胁情报处置方法还包括：确定威胁情报集的多个来源，以及每个来源对应的威胁检测引擎；其中，所述威胁检测引擎基于相应来源的威胁情报集建立，并通过相应来源的威胁情报集进行威胁检测；

10、则，基于多个来源的威胁情报集，分别对所述待威胁检测数据进行威胁检测，包括：通过多个所述威胁检测引擎对所述待威胁检测数据进行威胁检测。

11、在本技术一些实施例中，每个所述威胁检测引擎存在匹配的目标特征；其中，所述目标特征用于指示匹配的威胁检测引擎可用于检测的待威胁检测数据，所述目标特征包括如下至少一种：数据来源、数据类型以及威胁类型；则，该威胁情报处置方法还包括：从威胁检测引擎中，选取与所述待威胁检测数据的目标特征匹配的目标威胁检测引擎；通过所述目标威胁检索引擎对所述待威胁检测数据进行威胁检测。

12、在本技术一些实施例中，该威胁情报处置方法还包括：为每个所述来源分配对应的预设威胁检测引擎，以供每个所述来源基于自身对应的双向认证和加密传输方式，向对应的预设威胁检测引擎推送自有的威胁情报集；将每个所述来源推送的威胁情报集添加至对应的预设威胁检测引擎，得到每个所述来源对应的威胁检测引擎。

13、在本技术一些实施例中，所述预设威胁检测引擎为布隆过滤器，则，将每个所述来源推送的威胁情报集添加至对应的预设威胁检测引擎，得到每个所述来源对应的威胁检测引擎，包括：将每个所述来源推送的威胁情报集内的威胁情报数据处理为对应的布隆过滤器可用的加密数据；将处理所得的加密数据哈希映射至对应的布隆过滤器，得到每个所述来源对应的威胁检测引擎。

14、在本技术一些实施例中，对所述多个威胁告警信息指示的威胁情报进行融合处理，包括：对所述多个威胁告警信息指示的威胁情报进行目标操作；其中，所述目标操作包括如下至少一种：去重操作、去噪操作；融合目标操作后的各威胁告警信息指示的威胁情报，得到融合处理后的威胁情报。

15、在本技术一些实施例中，对所述多个威胁告警信息指示的威胁情报进行去重操作，包括：检测所述多个威胁告警信息指示的威胁情报中是否存在第一威胁情报；其中，所述第一威胁情报为被所述多个威胁告警信息中的至少两个第一威胁告警信息重复指示，且在不同的第一威胁告警信息中对应的威胁评估分值之间的分值差异符合要求的威胁情报；若存在，则仅在一个第一威胁告警信息中保留对所述第一威胁情报的指示。

16、在本技术一些实施例中，对所述多个威胁告警信息指示的威胁情报进行去噪操作，包括：检测所述多个威胁告警信息指示的威胁情报中是否存在第二威胁情报；其中，所述第二威胁情报为被所述多个威胁告警信息中的至少两个第二威胁告警信息重复指示，且在不同的第二威胁告警信息中对应的威胁评估分值之间的分值差异不符合要求的威胁情报；若存在，则为所述第二威胁情报的每个威胁评估分值分别确定对应的威胁情报质量权重；基于所述第二威胁情报的每个威胁评估分值以及相应的威胁情报质量权重，重新确定所述第二威胁情报的威胁评估分值；仅在一个第二威胁告警信息中保留对所述第二威胁情报的指示，并将所述第二威胁情报的威胁评估分值修改为重新确定的威胁评估分值。

17、在本技术一些实施例中，该威胁情报处置方法还包括：确定所述第二威胁情报的每个威胁评估分值对应的威胁情报集的来源；基于每个所述来源对应的特征信息，确定每个所述来源对应的威胁评估分值的威胁情报质量权重；其中，所述特征信息包括如下至少一种：情报规模量、情报精准度、情报与所述待威胁检测数据的相关度。

18、在本技术一些实施例中，对所述多个威胁告警信息指示的威胁情报进行融合处理之前，该威胁情报处置方法还包括：基于预设格式，对每个所述威胁告警信息进行格式转换。

19、在本技术一些实施例中，基于融合处理后的威胁情报，进行威胁情报处置，包括：对融合处理后的威胁情报进行关联分析，确定每个所述威胁情报关联的情报事件；基于所述情报事件，确定每个所述威胁情报的处置建议。

20、在本技术一些实施例中，所述情报事件包括如下至少一种：安全事件、定向威胁攻击档案、安全线索、案件管理信息、资产漏洞信息。

21、在本技术一些实施例中，基于融合处理后的威胁情报，进行威胁情报处置，包括：若判定融合处理后的威胁情报中存在指定威胁情报，则生成所述指定威胁情报对应的上报信息，并上报至指定威胁情报处置平台，以供所述指定威胁情报处置平台基于所述上报信息对所述指定威胁情报进行威胁情报处置；其中，所述上报信息用于指示所述指定威胁情报的威胁情况或指示所述指定威胁情报的威胁情况和处置情况。

22、在本技术一些实施例中，该威胁情报处置方法还包括：确定所述指定威胁情报对应的实体；其中，所述实体包括如下中的至少一种：网络实体、网络实体在真实世界中对应的真实实体；将所述实体对应的实体信息上报至所述指定威胁情报处置平台。

23、在本技术一些实施例中，该威胁情报处置方法还包括：若检测出融合处理后的威胁情报中存在威胁评估分值达到预设分值的威胁情报，则判定融合处理后的威胁情报中存在指定威胁情报。

24、在本技术一些实施例中，该威胁情报处置方法还包括：确定至少一个威胁维度；其中，每个所述威胁维度存在对应的取值范围；所述威胁维度包括如下至少一种：威胁来源、威胁等级、威胁类型、威胁影响；若检测出融合处理后的威胁情报中存在每个威胁维度对应的特征值均落入对应的取值范围的威胁情报，则判定融合处理后的威胁情报中存在指定威胁情报。

25、在本技术一些实施例中，该威胁情报处置方法还包括：通过所述多个来源对应的探针设备，从指定接口采集网络数据；通过与所述网络数据的数据类型匹配的数据提取方式，从所述网络数据提取所述待威胁检测数据。

26、第二方面，本技术提供了一种威胁情报处置装置，该威胁情报处置装置包括：

27、获取模块，用于获取待威胁检测数据；

28、检测模块，用于基于多个来源的威胁情报集，分别对所述待威胁检测数据进行威胁检测；

29、处理模块，用于若检测出多个威胁告警信息，则对所述多个威胁告警信息指示的威胁情报进行融合处理；其中，所述威胁告警信息用于指示所述待威胁检测数据中存在威胁情报；

30、处置模块，用于基于融合处理后的威胁情报，进行威胁情报处置。

31、第三方面，本技术提供了一种计算机可读存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行第一方面的威胁情报处置方法。

32、第四方面.一种电子设备，所述电子设备包括：存储器，用于存储程序；处理器，耦合至所述存储器，用于运行所述程序以执行第一方面的威胁情报处置方法。

33、本技术提供的威胁情报处置方法及装置，基于多个来源的威胁情报集，分别对待威胁检测数据进行威胁检测。若检测出多个威胁告警信息，则对多个威胁告警信息指示的威胁情报进行融合处理。最后基于融合处理后的威胁情报，进行威胁情报处置。可见，本技术实施例提供的方案能够通过多源的威胁情报集检测同一待威胁检测数据，并在检测出多个威胁告警信息的情况下，对所有威胁告警信息指示的威胁情报进行融合处理，以及对融合处理后的威胁情报进行威胁情报处置。这样，能够充分发挥多个来源的威胁情报集的情报价值，实现各来源的威胁情报集在威胁情报检测中的互补，从而实现准确且全面检测出网络中存在的威胁情报，进而能够对网络中存在的威胁情报进行全面及准确的处置，减少网络中的安全隐患。

34、上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。