CN109862003A - 本地威胁情报库的生成方法、装置、***及存储介质 - Google Patents
本地威胁情报库的生成方法、装置、***及存储介质 Download PDFInfo
- Publication number
- CN109862003A CN109862003A CN201910071066.2A CN201910071066A CN109862003A CN 109862003 A CN109862003 A CN 109862003A CN 201910071066 A CN201910071066 A CN 201910071066A CN 109862003 A CN109862003 A CN 109862003A
- Authority
- CN
- China
- Prior art keywords
- information
- intranet
- local
- security log
- bank
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种本地威胁情报库的生成方法,包括以下步骤:获取本地的安全日志;根据网络行为数据从所述安全日志中分类提取威胁情报;根据所述威胁情报生成本地威胁情报库。本发明还公开了一种本地威胁情报库的生成装置、***及存储介质。本发明能针对个体用户进行定制,有效提升情报的利用率。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种本地威胁情报库的生成方法、装置、***及存储介质。
背景技术
威胁情报通常是指对已知威胁进行分析后提取的与该威胁有关的基础安全数据,如样本md5(Message-Digest,消息摘要)、恶意URL(Uniform Resoure Locator,统一资源定位符)、恶意域名、恶意IP(Internet Protocol Address,互联网协议地址)等已知威胁的信息。
目前,安全产品的威胁情报主要包括以下三个来源:(1)从开源机构订阅;(2)支付一定费用从专门输出威胁情报的机构获取(如微步在线、Google VirusTotal等);(3)通过已有的自动化分析样本生成威胁情报。安全产品将上述来源的情报做成威胁情报库内置在产品里面,并提供云端更新服务,进而将威胁情报间接输出给用户。由于上述威胁情报并非针对用户的个体独立性专门制定的,大部分情报并不适用于用户自身,使得用户对情报的利用率不高,造成了情报及***资源的浪费,以及用户投资资金的浪费。
综上,现有的威胁情报存在着对于个体用户适用性不强、情报利用率低等问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种本地威胁情报库的生成方法,旨在解决现有的威胁情报存在的对于个体用户适用性不强、情报利用率低的问题。
为实现上述目的,本发明提供一种本地威胁情报库的生成方法,所述本地威胁情报库的生成方法包括以下步骤:
获取本地的安全日志;
根据网络行为数据从所述安全日志中分类提取威胁情报;
根据所述威胁情报生成本地威胁情报库。
优选地,所述根据网络行为数据从所述安全日志中分类提取威胁情报的步骤包括:获取各类威胁情报对应的网络行为数据;根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报。
优选地,所述威胁情报包括:描述内网向外网的请求的第二情报、描述外网攻击信息的第三情报和描述内网攻击信息的第四情报三种情报中至少一种的组合,和描述内网设备信息的第一情报。
优选地,所述根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报的步骤包括:检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报;检测所述安全日志,分析内网向外网发出的请求,提取内网的异常访问信息,将内网的异常访问信息记录为第二情报;和/或检测所述安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报;和/或检测所述安全日志,分析访问内网的内网设备的的异常访问信息,将所述异常访问信息记录为第四情报。
优选地,所述检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报的步骤之后,还包括:检测所述内网设备的描述信息,提取内网设备的异常描述信息;存储所述异常描述信息以生成各个内网设备的电子病历。
优选地,所述本地威胁情报库的生成方法还包括:在检测到内网设备的网络数据时,将所述网络数据与所述本地威胁情报库中的威胁情报进行比对;根据比对结果更新所述安全日志。
为实现上述目的,本发明还提供一种本地威胁情报库的生成装置,所述装置包括:获取模块,用于获取本地的安全日志;威胁情报提取模块,用于根据网络行为数据从所述安全日志中分类提取威胁情报;生成模块,用于根据所述威胁情报生成本地威胁情报库。
为实现上述目的,本发明还提供一种本地威胁情报库的生成***,所述装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的本地威胁情报库的生成程序,所述本地威胁情报库的生成程序被所述处理器执行时实现如上所述的本地威胁情报库的生成方法的步骤。
为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有本地威胁情报库的生成程序,所述本地威胁情报库的生成程序被处理器执行时实现如上所述的本地威胁情报库的生成方法的步骤。
本发明实施例提出的一种本地威胁情报库的生成方法、装置、***及存储介质,通过获取本地的安全日志,利用网络行为数据从安全日志中分类提取威胁情报,从而根据威胁情报生成本地威胁情报库,由于提取的威胁情报均由本地生成并获取,该威胁情报与本地的网络设备及该网络设备对应的各网络行为直接关联,生成的本地威胁情报库更贴近本地用户的需求,对个体用户适用性强,威胁情报的利用率高。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端\装置结构示意图;
图2是本发明本地威胁情报库的生成方法第一实施例的流程示意图;
图3是本发明本地威胁情报库的生成方法第二实施例的流程示意图;
图4是本发明本地威胁情报库的生成方法第四实施例的流程示意图;
图5是本发明本地威胁情报库的生成方法第五实施例的流程示意图;
图6是本发明本地威胁情报库的生成方法第六实施例的流程示意图;
图7是本发明本地威胁情报库的生成装置的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:获取本地的安全日志;根据网络行为数据从安全日志中分类提取威胁情报;根据威胁情报生成本地威胁情报库。
本发明实施例提供一种本地威胁情报库的生成方法、装置、***及存储介质,通过获取本地的安全日志,利用网络行为数据从安全日志中分类提取威胁情报,从而根据威胁情报生成本地威胁情报库,由于提取的威胁情报均由本地生成并获取,该威胁情报与本地的网络设备及该网络设备对应的各网络行为直接关联,生成的本地威胁情报库更贴近本地用户的需求,对个体用户适用性强,威胁情报的利用率高。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端可以是PC(PersonalComputer,个人计算机),也可以是智能手机、平板电脑、电子书阅读器、MP3(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)播放器、MP4(Moving Picture Experts Group AudioLayer IV,动态影像专家压缩标准音频层面3)播放器、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU(Central Processing Unit,中央处理器),网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元(比如键盘,Keyboard),可选地,用户接口1003还可以包括标准的有线接口或无线接口。可选地,网络接口1004可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器(易失性存储器),也可以是稳定的非易失性存储器(NVM,non-volatilememory),例如磁盘存储器。可选地,存储器1005还可以是独立于前述处理器1001的存储装置。
可选地,终端还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。其中,传感器可以为光传感器、运动传感器或其他传感器。
具体地,所述光传感器包括环境光传感器或接近传感器,所述环境光传感器可根据环境光线的明暗来调节显示屏的亮度,所述接近传感器可在移动终端靠近物体(如人体耳部)时,关闭显示屏和/或调整背光。所述运动传感器包括重力加速度传感器,作为运动传感器的一种,重力加速度传感器可检测终端处于运动状态时各个方向上(一般为三轴)的加速度大小,还可用于识别移动终端姿态的应用(比如横竖屏切换、相关游戏的感应控制、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;当然,移动终端还可配置陀螺仪、气压计、湿度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者部件的不同布置。
如图1所示,在另一些实施例中,所述计算机存储介质的存储器1005包括电连接的存储单元、网络通信模块以及用户接口模块,该存储单元存储的内容包括但不限于本地威胁情报库的生成程序或操作***。所述操作***用于管理本地威胁情报库的生成程序、网络通信模块以及用户接口模块。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的本地威胁情报库的生成程序,并执行以下操作:
获取本地的安全日志;
根据网络行为数据从所述安全日志中分类提取威胁情报;
根据所述威胁情报生成本地威胁情报库。
进一步地,处理器1001可以调用存储器1005中存储的本地威胁情报库的生成程序,还执行以下操作:
获取各类威胁情报对应的网络行为数据;
根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报。
进一步地,描述内网向外网的请求的第二情报、描述外网攻击信息的第三情报和描述内网攻击信息的第四情报三种情报中至少一种的组合,和描述内网设备信息的第一情报。
进一步地,处理器1001可以调用存储器1005中存储的本地威胁情报库的生成程序,还执行以下操作:
检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报;
检测所述安全日志,分析内网向外网发出的请求,提取内网的异常访问信息,将内网的异常访问信息记录为第二情报;和/或
检测所述安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报;和/或
检测所述安全日志,分析访问内网的内网设备的的异常访问信息,将所述异常访问信息记录为第四情报。
进一步地,处理器1001可以调用存储器1005中存储的本地威胁情报库的生成程序,还执行以下操作:
检测所述内网设备的描述信息,提取内网设备的异常描述信息;
存储所述异常描述信息以生成各个内网设备的电子病历。
进一步地,处理器1001可以调用存储器1005中存储的本地威胁情报库的生成程序,还执行以下操作:
在检测到内网设备的网络数据时,将所述网络数据与所述本地威胁情报库中的威胁情报进行比对;
根据比对结果更新所述安全日志。
参照图2,本发明第一实施例提供一种本地威胁情报库的生成方法,所述本地威胁情报库的生成方法包括:
步骤S210,获取本地的安全日志;
所述安全日志包括每次终端开关机、运行程序、***报错时生成的信息,这些信息以文件的形式存储,该文件可以但不限于是txt(Text,文本)、doc/docx(DOCument,文档)、电子表格、以及图片等。终端将该文件记为安全日志。
本实施例中,获取安全日志的方式可以是通过用户手动添加,也可以是本地应用生成后自动获取。所述本地应用可以是本地的IDS(Intrusion Detection System,入侵检测***)、态势感知应用等。
所述入侵检测***包括实时入侵检测和事后入侵检测两种。实时入侵检测是指在网络连接过程中进行,***根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是指由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测***。
所述态势感知应用能够通过深入采集网络中的原始流量和关键设备日志,对用户和实体行为进行分析、结合安全情报关联和威胁建模能力,深入研究攻击者行为逻辑,从而能够让***识别和判断合法用户和恶意攻击者的行为,进行业务、威胁等可视化展示,解决安全不可知的问题,实现全天候全方位感知网络安全态势。态势感知应用包括工业互联网安全态势感知和预警平台、网络资产信息普查和风险感知***等。
步骤S220,根据网络行为数据从安全日志中分类提取威胁情报;
网络行为数据包括网络设备的网络访问行为。网络行为数据可以根据访问的路径进行分类。例如,网络行为数据可以是内网的网络设备访问外网,也可以是外网的网络设备访问内网,还可以是内网的网络设备之间互相访问等。其中,网络设备可以是PC、服务器、集线器、交换机、网桥、路由器、网关、网络接口卡、WAP(Wireless Application Protocol,无线应用协议)接入点、打印机和调制解调器、光纤收发器、光缆等。
由于网络安全故障的发生存在多种情况,例如可能是与内网通信连接的网络设备发生异常,可能是内网请求外网时发生的异常,可能是外网请求内网时发生的异常,还可能是内网之间互相请求访问时发生的异常等,因此有必要针对网络安全故障的类别对威胁情报进行分类,以更清晰条理地对威胁情报进行分析。
终端根据网络行为数据的分类从安全日志中分类地提取威胁情报。其中,威胁情报为对网络安全故障进行分析后提取的与该网络安全故障有关的基础安全数据,如样本md5、恶意URL、恶意域名/IP等。具体地,终端根据对应的网络行为数据检索安全日志,从安全日志中提取该网络行为数据对应的威胁情报。
步骤S230,根据威胁情报生成本地威胁情报库。
终端建立本地威胁情报库,将威胁情报存入本地威胁情报库。其中,本地威胁情报库可以是以文件的形式存储在终端的存储器内。该文件可以但不限于是txt(Text,文本)、doc/docx(DOCument,文档)、电子表格、以及图片等。存储器包括但不限于寄存器、高速缓存、内存和外部存储设备等。进一步地,终端将威胁情报存入本地威胁情报库。终端可以是以时间顺序将威胁情报依次存入本地威胁情报库,还可以是以威胁情报的数据大小将威胁情报按照从大到小或者从小到大的顺序依次存入本地威胁情报库。
优选的,本地威胁情报库的数量可以是一个或多个。例如可以将不同分类的威胁情报共同存入同一个本地威胁情报库,也可以是分别一一对应地存入多个本地威胁情报库(即一类威胁情报对应存储于一个本地威胁情报库中,威胁情报分类数量与本地威胁情报库的数量一致),还可以是其中几个威胁情报的分类的组合存入某一个本地威胁情报库。在另一些实施例中,终端的其他应用程序还可以从本地威胁情报库中获取存储的威胁情报以便使用。
本实施例提供的本地威胁情报库的生成方法,通过获取本地的安全日志,利用网络行为数据从安全日志中分类提取威胁情报,从而根据威胁情报生成本地威胁情报库,由于提取的威胁情报均由本地生成并获取,该威胁情报与本地的网络设备及该网络设备对应的各网络行为直接关联,生成的本地威胁情报库更贴近本地用户的需求,对个体用户适用性强,威胁情报的利用率高。
参照图3,本发明第二实施例提供一种本地威胁情报库的生成方法,基于第一实施例,步骤S220包括:
步骤S310,获取各类威胁情报对应的网络行为数据;
终端分类的获取网络行为数据。其中,网络行为数据包括网络设备访问的端口信息。在本实施例中,网络行为数据根据访问的路径进行分类。例如,网络行为数据可以是内网的网络设备访问外网产生的数据,还可以是外网的网络设备访问内网产生的数据,还可以是内网的网络设备之间互相访问产生的数据等。
步骤S320,根据网络行为数据从安全日志中提取各类的威胁情报。
终端根据各类的网络行为数据从安全日志中提取对应的威胁情报。具体地,终端根据网络设备访问的端口信息提取对应的网络行为数据所对应的威胁情报。其中,网络设备包括内网设备和外网设备。内网设备为与内网通信连接的网络设备,外网设备为与外网通信连接的网络设备。具体地,终端解析安全日志,根据网络设备访问的端口信息提取对应的威胁情报。
本发明第三实施例提供一种本地威胁情报库的生成方法,基于第二实施例,威胁情报包括描述内网设备信息的第一情报、描述内网向外网的请求的第二情报和/或描述外网攻击信息的第三情报和/或描述内网攻击信息的第四情报。
本实施例中,威胁情报的分类根据网络行为数据分为第一情报、第二情报和/或第三情报和/或第四情报。其中,第一情报描述内网设备信息,内网设备包括但不限于服务器、终端等网络设备。内网设备信息包括但不限于内网设备的IP及描述信息等。即第一情报包括内网设备IP和内网设备的描述信息。第二情报描述内网向外网的请求;本实施例中,第二情报包括但不限于内网向外网请求的内网设备的IP、外网设备的IP、内网设备请求的DNS和URL,内网设备请求外网设备的请求数据和外网设备响应该请求的响应数据等。第三情报描述外网攻击信息,具体地,第三情报描述外网设备向内网设备的攻击信息;本实施例中,具体可包括:外网向内网的攻击请求中外网设备的IP、内网设备的IP、外网设备攻击内网设备的攻击请求数据和内网设备响应该请求的响应数据等。
本实施例提供的本地威胁情报库的生成方法,通过对威胁情报进行分类,能够更有序清晰的对本地的网络安全状态进行分析,使得用户可以更为清楚地知晓网络安全的问题所在,从而针对性的采用相应措施维护网络安全。
参照图4,本发明第四实施例提供一种本地威胁情报库的生成方法,基于第三实施例,步骤S220包括:
步骤S410,检测安全日志,从安全日志中提取内网设备的描述信息,将描述信息记录为第一情报;
终端检测安全日志,提取安全日志中的内网设备IP,根据内网设备IP提取对应的内网设备的描述信息,将该描述信息记录为第一情报。其中,内网设备的描述信息包括内网设备的IP、名称、存储地址和功能描述等信息。第一情报包括安全日志中内网设备所有的描述信息。
步骤S420,检测安全日志,分析内网向外网发出的请求,提取内网的异常访问信息,将内网的异常访问信息记录为第二情报;和/或
终端检测安全日志,根据安全日志中的内网设备的访问端口获取内网向外网发出的请求。具体地,终端分析内网设备向外网设备发出的请求数据,根据该请求数据从安全日志内提取内网的异常访问信息,将内网的异常访问信息记录为第二情报。本实施例中,终端采用DGA(Domain Generate Algorithm)、DNS隧道等检测技术检测安全日志,提取内网请求的外网设备IP或外网设备域名;终端采用UA(User-Agent,用户代理)分析技术分析安全日志,提取内网设备IP访问的恶意URL。UA指浏览器,它的信息包括硬件平台、***软件、应用软件和用户个人偏好设置信息。终端采用UA分析技术分析安全日志,获取浏览器的访问数据,从中提取内网设备IP访问的恶意URL。终端采用沙盒检测技术检测安全日志,提取恶意文件执行时请求的DNS、URL。其中,内网设备IP访问的恶意URL和恶意文件执行时请求的DNS、URL为第二情报。沙盒是在受限的安全环境中运行应用程序的一种做法,这种做法是要限制授予应用程序的代码访问权限。例如,下载到IE(Internet Explorer,网络探路者)浏览器的控件使用互联网权限集运行。驻留在局域网共享上的应用程序在终端上使用局域网权限集运行。终端可以使用沙盒运行下载到终端上的部分受信任的应用程序。终端采用沙盒检测技术检测安全日志,将其中未受信任的文件对应的DNS、URL提取出来。其中,未受信任的文件即为恶意文件。
步骤S430,检测安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报;和/或
终端检测安全日志,根据安全日志中的外网设备的访问端口信息获取外网向内网发出的请求。进一步地,终端分析外网向内网发出的请求,具体地,终端分析外网设备向内网设备发出的请求,根据该请求的数据从安全日志内提取外网的异常访问信息,将外网的异常访问信息记录为第三情报。本实施例中,具体地,终端采用DGA(Domain GenerateAlgorithm)、DNS隧道等检测技术检测安全日志,提取内网请求的外网设备IP或外网设备域名;终端采用UA(User-Agent,用户代理)分析技术分析安全日志,提取内网设备IP访问的恶意URL。终端采用沙盒检测技术检测安全日志,提取恶意文件执行时请求的DNS、URL。其中,内网设备IP访问的恶意URL和恶意文件执行时请求的DNS、URL为第二情报。终端根据安全日志内的网络设备的IP和文件MD5检测安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报。其中,异常访问信息包括但不限于是访问出错信息、异常频率的访问信息、具有攻击性的访问信息等。具体地,终端采用WAF(WebApplication Firewall,网站应用级入侵防御***)、IPS(Intrusion Prevention System,入侵防御***)等检测技术检测安全日志,提取对内网发起攻击行为的外网设备IP。其中,外网设备可以是外网服务器或外网终端等。具体地,终端采用杀毒引擎检测安全日志,提取恶意文件对应的哈希值。终端将对内网发起攻击行为的外网设备IP和恶意文件对应的哈希值记录为第三情报。
步骤S440,检测安全日志,分析访问内网的内网设备的的异常访问信息,将异常访问信息记录为第四情报。
终端检测安全日志,根据安全日志中的内网设备的访问端口信息获取内网设备之间互相发出的请求。具体地,终端分析内网设备之间的请求,根据该请求的数据从安全日志内提取内网的异常访问信息,将内网的异常访问信息记录为第四情报。其中,该请求的数据包括发出请求的网络设备的标识信息和IP,请求的目标网络设备的标识信息和IP,以及发出请求的指令信息等。本实施例中,具体地,终端根据检测安全日志内的IP,分析内网设备之间的访问信息,提取其中的异常访问信息,将该异常访问信息记录为第四情报。具体地,终端采用WAF、IPS等检测技术检测安全日志,提取对内网发起攻击或者扫描行为的内网设备IP。终端将对内网发起攻击或者扫描行为的内网设备IP记录为第四情报。
终端可以将各类威胁情报一一对应地存入多个本地威胁情报库,例如建立四个本地威胁情报库,将第一情报、第二情报、第三情报和第四情报分别存入四个本地威胁情报库。终端还可以将各类威胁情报同时存入一个本地威胁情报库。终端还可以以多个类别的威胁情报的组合方式存入多个本地威胁情报库。例如将第一情报和第二情报存入一个本地威胁情报库,将第三情报和第四情报存入另一个本地威胁情报库等。
本实施例提供的本地威胁情报库的生成方法,终端可以通过描述内网设备信息的第一情报、描述内网向外网的请求的第二情报和/或描述外网攻击信息的第三情报和/或描述内网攻击信息的第四情报,获取内网设备信息、检测内网访问外网的威胁情报、外网访问内网的威胁情报、内网访问内网的威胁情报,更清晰明确的对威胁情报进行细化分类,使得用户可以更清晰的对各类网络完全进行检测,提高了利用本地威胁情报库检测网络安全的效率。
参照图5,本发明第五实施例提供一种本地威胁情报库的生成方法,基于第四实施例,步骤S410之后还包括:
步骤S510,检测内网设备的描述信息,提取内网设备的异常描述信息;
终端检测内网设备的描述信息,从所有内网设备的描述信息内提取出异常描述信息。具体地,终端检测内网设备的描述信息,判断对应的内网设备的网络行为数据是否异常,提取网络行为数据异常的内网设备的异常描述信息。例如,若某内网设备IP发起DNS请求,并且遭受了WAF攻击,则提取该内网设备IP和描述各内网设备的历史失陷、漏洞等情况的信息。其中,内网设备IP和描述各内网设备的历史失陷、漏洞等情况的信息即为异常描述信息。
步骤S520,存储异常描述信息以生成各个内网设备的电子病历。
具体地,终端存储异常描述信息,生成第一情报的电子病历。电子病历包括各内网设备在历史时间内的所有异常描述信息。终端可以根据内网设备IP对异常描述信息进行对应的归类记录。本实施例中,终端将该电子病历存储在第一情报所在的本地威胁情报库内。
在其中一个实施例中,步骤S520之后还包括:输出电子病历。
终端可以将该电子病历输出至显示屏进行展示,以供用户阅览。
本实施例提供的本地威胁情报库的生成方法,通过生成电子病历,使得用户可以获取内网设备的历史异常描述信息,使用户更清楚直接地掌握内网设备的历史风险状况,从而可以利用电子病历进行态势感知等操作,增强了本地的网络安全性。
参照图6,本发明第六实施例提供一种本地威胁情报库的生成方法,基于第一实施例,所述方法还包括:
步骤S610,在检测到内网设备的网络数据时,将网络数据与本地威胁情报库中的威胁情报进行比对;
步骤S620,根据比对结果更新所述安全日志。
所述内网设备的网络数据为待检测数据,由本地的网络设备的网络行为数据产生。终端可以根据本地威胁情报库对网络数据进行网络安全检测,获得网络数据的安全状态。具体地,终端将网络数据与本地威胁情报库中的威胁情报进行比对,获得网络数据的安全状态。具体地,终端判断网络数据内是否存在本地威胁情报库内的威胁情报,若存在,则更新安全日志。其中,更新后的安全日志包括网络数据异常状态的描述。简言之,网络数据的安全状态包括异常状态和正常状态,当终端判定网络数据内存在本地威胁情报库内的威胁情报时,将当期网络数据的安全状态设置为异常状态,并更新安全日志。
本实施例提供的本地威胁情报库的生成方法,通过将网络数据与本地威胁情报库进行比对,更新安全日志,从而可以检测本地的网络设备的网络安全状态并将其记录在安全日志内供用户获取。
参照图7,本发明实施例还提出一种本地威胁情报库的生成装置,所述装置包括:
获取模块710,用于获取本地的安全日志;
威胁情报提取模块720,用于根据网络行为数据从所述安全日志中分类提取威胁情报;
生成模块730,用于根据所述威胁情报生成本地威胁情报库。
进一步地,威胁情报提取模块720还用于获取各类威胁情报对应的网络行为数据;根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报。
进一步地,描述内网向外网的请求的第二情报、描述外网攻击信息的第三情报和描述内网攻击信息的第四情报三种情报中至少一种的组合,和描述内网设备信息的第一情报。
进一步地,威胁情报提取模块720还用于检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报;检测所述安全日志,分析内网向外网发出的请求,提取内网的异常访问信息,将内网的异常访问信息记录为第二情报;和/或检测所述安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报;和/或检测所述安全日志,分析访问内网的内网设备的的异常访问信息,将所述异常访问信息记录为第四情报。
进一步地,威胁情报提取模块720还用于检测所述内网设备的描述信息,提取内网设备的异常描述信息;存储所述异常描述信息以生成各个内网设备的电子病历。
进一步地,所述本地威胁情报库的生成装置还包括本地威胁情报库应用模块,用于在检测到内网设备的网络数据时,将所述网络数据与所述本地威胁情报库中的威胁情报进行比对;根据比对结果更新所述安全日志。
本发明实施例还提出一种本地威胁情报库的生成***,所述***包括:存储器、处理器及存储在所述存储器上并可在处理器上运行的本地威胁情报库的生成程序,所述本地威胁情报库的生成程序被处理器执行时实现如下操作:获取安全日志;根据网络行为数据从所述安全日志中分类提取威胁情报;根据所述威胁情报生成本地威胁情报库。优选的,所述安全日志存储于本地。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:获取各类威胁情报对应的网络行为数据;根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报。
进一步地,描述内网向外网的请求的第二情报、描述外网攻击信息的第三情报和描述内网攻击信息的第四情报三种情报中至少一种的组合,和描述内网设备信息的第一情报。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报;检测所述安全日志,分析内网向外网发出的请求,提取内网的异常访问信息,将内网的异常访问信息记录为第二情报;和/或检测所述安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报;和/或检测所述安全日志,分析访问内网的内网设备的的异常访问信息,将所述异常访问信息记录为第四情报。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:检测所述内网设备的描述信息,提取内网设备的异常描述信息;存储所述异常描述信息以生成各个内网设备的电子病历。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:在检测到内网设备的网络数据时,将所述网络数据与所述本地威胁情报库中的威胁情报进行比对;根据比对结果更新所述安全日志。
本发明实施例还提出一种存储介质,所述存储介质上存储有本地威胁情报库的生成程序,所述本地威胁情报库的生成程序被处理器执行时实现如下操作:获取本地的安全日志;根据网络行为数据从所述安全日志中分类提取威胁情报;根据所述威胁情报生成本地威胁情报库。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:获取各类威胁情报对应的网络行为数据;根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报。
进一步地,描述内网向外网的请求的第二情报、描述外网攻击信息的第三情报和描述内网攻击信息的第四情报三种情报中至少一种的组合,和描述内网设备信息的第一情报。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报;检测所述安全日志,分析内网向外网发出的请求,提取内网的异常访问信息,将内网的异常访问信息记录为第二情报;和/或检测所述安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报;和/或检测所述安全日志,分析访问内网的内网设备的的异常访问信息,将所述异常访问信息记录为第四情报。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:检测所述内网设备的描述信息,提取内网设备的异常描述信息;存储所述异常描述信息以生成各个内网设备的电子病历。
进一步地,所述本地威胁情报库的生成程序被处理器执行时还实现如下操作:在检测到内网设备的网络数据时,将所述网络数据与所述本地威胁情报库中的威胁情报进行比对;根据比对结果更新所述安全日志。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种本地威胁情报库的生成方法,其特征在于,所述方法包括以下步骤:
获取本地的安全日志;
根据网络行为数据从所述安全日志中分类提取威胁情报;
根据所述威胁情报生成本地威胁情报库。
2.如权利要求1所述的本地威胁情报库的生成方法,其特征在于,所述根据网络行为数据从所述安全日志中分类提取威胁情报的步骤包括:
获取各类威胁情报对应的网络行为数据;
根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报。
3.如权利要求2所述的本地威胁情报库的生成方法,其特征在于,所述威胁情报包括:描述内网向外网的请求的第二情报、描述外网攻击信息的第三情报和描述内网攻击信息的第四情报三种情报中至少一种的组合,和描述内网设备信息的第一情报。
4.如权利要求3所述的本地威胁情报库的生成方法,其特征在于,所述根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报的步骤包括:
检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报;
检测所述安全日志,分析内网向外网发出的请求,提取内网的异常访问信息,将内网的异常访问信息记录为第二情报;和/或
检测所述安全日志,分析访问内网的外网信息,提取外网的异常访问信息,将外网的异常访问信息记录为第三情报;和/或
检测所述安全日志,分析访问内网的内网设备的的异常访问信息,将所述异常访问信息记录为第四情报。
5.如权利要求4所述的本地威胁情报库的生成方法,其特征在于,所述检测所述安全日志,从所述安全日志中提取内网设备的描述信息,将所述描述信息记录为第一情报的步骤之后,还包括:
检测所述内网设备的描述信息,提取内网设备的异常描述信息;
存储所述异常描述信息以生成各个内网设备的电子病历。
6.如权利要求1所述的本地威胁情报库的生成方法,其特征在于,所述本地威胁情报库的生成方法还包括:
在检测到由内网设备的网络行为产生的网络数据时,将所述网络数据与所述本地威胁情报库中的威胁情报进行比对;
根据比对结果更新所述安全日志。
7.一种本地威胁情报库的生成装置,其特征在于,所述装置包括:
获取模块,用于获取本地的安全日志;
威胁情报提取模块,用于根据网络行为数据从所述安全日志中分类提取威胁情报;
生成模块,用于根据所述威胁情报生成本地威胁情报库。
8.如权利要求7所述的本地威胁情报库的生成装置,其特征在于,威胁情报提取模块还用于获取各类威胁情报对应的网络行为数据;根据所述网络行为数据从所述安全日志中提取各类的所述威胁情报。
9.一种本地威胁情报库的生成***,其特征在于,所述***包括:存储器和处理器,所述存储器存储有本地威胁情报库的生成程序,所述本地威胁情报库的生成程序被所述处理器执行时实现如权利要求1至6中任一项所述的本地威胁情报库的生成方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有本地威胁情报库的生成程序,所述本地威胁情报库的生成程序被处理器执行时实现如权利要求1至6中任一项所述的本地威胁情报库的生成方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910071066.2A CN109862003B (zh) | 2019-01-24 | 2019-01-24 | 本地威胁情报库的生成方法、装置、***及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910071066.2A CN109862003B (zh) | 2019-01-24 | 2019-01-24 | 本地威胁情报库的生成方法、装置、***及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109862003A true CN109862003A (zh) | 2019-06-07 |
| CN109862003B CN109862003B (zh) | 2022-02-22 |
Family
ID=66896069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910071066.2A Active CN109862003B (zh) | 2019-01-24 | 2019-01-24 | 本地威胁情报库的生成方法、装置、***及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109862003B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111641611A (zh) * | 2020-05-20 | 2020-09-08 | 深信服科技股份有限公司 | 一种数据处理方法、设备、***及计算机存储介质 |
| CN111858782A (zh) * | 2020-07-07 | 2020-10-30 | Oppo(重庆)智能科技有限公司 | 基于信息安全的数据库构建方法、装置、介质与设备 |
| CN112434894A (zh) * | 2019-08-23 | 2021-03-02 | 上海哔哩哔哩科技有限公司 | 一种实时风险控制方法、计算机设备及可读存储介质 |
| CN112749390A (zh) * | 2020-12-28 | 2021-05-04 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、设备及计算机可读存储介质 |
| CN113098852A (zh) * | 2021-03-25 | 2021-07-09 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
| CN113300997A (zh) * | 2020-02-21 | 2021-08-24 | 中国电信股份有限公司 | 多维度网络设备评估方法和装置、计算机可读存储介质 |
| CN113627698A (zh) * | 2020-05-07 | 2021-11-09 | 中国电信股份有限公司 | 威胁情报信息处理方法、装置和存储介质 |
| CN113992436A (zh) * | 2021-12-27 | 2022-01-28 | 北京微步在线科技有限公司 | 本地情报产生方法、装置、设备及存储介质 |
| CN114531253A (zh) * | 2020-10-30 | 2022-05-24 | 深信服科技股份有限公司 | 一种威胁情报生成方法、设备、***及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888459A (zh) * | 2014-03-25 | 2014-06-25 | 深信服网络科技(深圳)有限公司 | 网络内网入侵的检测方法及装置 |
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| US9641544B1 (en) * | 2015-09-18 | 2017-05-02 | Palo Alto Networks, Inc. | Automated insider threat prevention |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析*** |
| CN107579995A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 车载***的网络防护方法及装置 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及*** |
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
| CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
| US10178119B1 (en) * | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
-
2019
- 2019-01-24 CN CN201910071066.2A patent/CN109862003B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888459A (zh) * | 2014-03-25 | 2014-06-25 | 深信服网络科技(深圳)有限公司 | 网络内网入侵的检测方法及装置 |
| US9641544B1 (en) * | 2015-09-18 | 2017-05-02 | Palo Alto Networks, Inc. | Automated insider threat prevention |
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
| US10178119B1 (en) * | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析*** |
| CN107579995A (zh) * | 2017-09-30 | 2018-01-12 | 北京奇虎科技有限公司 | 车载***的网络防护方法及装置 |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及*** |
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
| CN108965346A (zh) * | 2018-10-10 | 2018-12-07 | 上海工程技术大学 | 一种失陷主机检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李超,周瑛: "大数据环境下的威胁情报分析", 《情报杂志》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112434894A (zh) * | 2019-08-23 | 2021-03-02 | 上海哔哩哔哩科技有限公司 | 一种实时风险控制方法、计算机设备及可读存储介质 |
| CN113300997A (zh) * | 2020-02-21 | 2021-08-24 | 中国电信股份有限公司 | 多维度网络设备评估方法和装置、计算机可读存储介质 |
| CN113627698A (zh) * | 2020-05-07 | 2021-11-09 | 中国电信股份有限公司 | 威胁情报信息处理方法、装置和存储介质 |
| CN111641611A (zh) * | 2020-05-20 | 2020-09-08 | 深信服科技股份有限公司 | 一种数据处理方法、设备、***及计算机存储介质 |
| CN111858782A (zh) * | 2020-07-07 | 2020-10-30 | Oppo(重庆)智能科技有限公司 | 基于信息安全的数据库构建方法、装置、介质与设备 |
| CN114531253A (zh) * | 2020-10-30 | 2022-05-24 | 深信服科技股份有限公司 | 一种威胁情报生成方法、设备、***及存储介质 |
| CN112749390A (zh) * | 2020-12-28 | 2021-05-04 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、设备及计算机可读存储介质 |
| CN113098852A (zh) * | 2021-03-25 | 2021-07-09 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
| CN113098852B (zh) * | 2021-03-25 | 2022-11-22 | 绿盟科技集团股份有限公司 | 一种日志处理方法及装置 |
| CN113992436A (zh) * | 2021-12-27 | 2022-01-28 | 北京微步在线科技有限公司 | 本地情报产生方法、装置、设备及存储介质 |
| CN113992436B (zh) * | 2021-12-27 | 2022-03-01 | 北京微步在线科技有限公司 | 本地情报产生方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109862003B (zh) | 2022-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109862003A (zh) | 本地威胁情报库的生成方法、装置、***及存储介质 | |
| US11973774B2 (en) | Multi-stage anomaly detection for process chains in multi-host environments | |
| Gassais et al. | Multi-level host-based intrusion detection system for Internet of things | |
| EP3800856B1 (en) | A cyber security appliance for a cloud infrastructure | |
| EP3716110A1 (en) | Computer-security event clustering and violation detection | |
| EP3716111A1 (en) | Computer-security violation detection using coordinate vectors | |
| CN102088379A (zh) | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 | |
| CN114584405A (zh) | 一种电力终端安全防护方法及*** | |
| US20220159020A1 (en) | Network protection | |
| Nguyen et al. | A heuristics approach to mine behavioural data logs in mobile malware detection system | |
| Sahar et al. | Deep learning approach-based network intrusion detection system for fog-assisted iot | |
| Anumol | Use of machine learning algorithms with SIEM for attack prediction | |
| US20230362142A1 (en) | Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing | |
| Kabanda | Performance of machine learning and other artificial intelligence paradigms in cybersecurity | |
| US20240056475A1 (en) | Techniques for detecting living-off-the-land binary attacks | |
| CN108595957A (zh) | 浏览器主页篡改检测方法、装置及存储介质 | |
| Shahin et al. | Implementation of a novel fully convolutional network approach to detect and classify cyber-attacks on IoT devices in smart manufacturing systems | |
| Sallay et al. | Intrusion detection alert management for high‐speed networks: current researches and applications | |
| CN112580022B (zh) | 一种主机***安全预警方法、装置、设备及存储介质 | |
| Rajagopal et al. | Adopting artificial intelligence in ITIL for information security management—way forward in industry 4.0 | |
| Prasse et al. | Learning explainable representations of malware behavior | |
| CN111181756B (zh) | 一种域名安全性判定方法、装置、设备及介质 | |
| Mukesh et al. | Real-time framework for malware detection using machine learning technique | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| Zhou et al. | Characterizing Network Anomaly Traffic with Euclidean Distance‐Based Multiscale Fuzzy Entropy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |