WO2023124166A1

WO2023124166A1 - 威胁情报内生方法及装置

Info

Publication number: WO2023124166A1
Application number: PCT/CN2022/115680
Authority: WO
Inventors: 白敏�; 齐向东; 吴云坤; 汪列军; 王胜利; 李敏
Original assignee: 奇安信科技集团股份有限公司; 奇安信网神信息技术(北京)股份有限公司
Priority date: 2021-12-31
Filing date: 2022-08-30
Publication date: 2023-07-06
Also published as: CN114218578A

Abstract

本申请公开一种威胁情报内生方法及装置，涉及网络安全技术领域。本申请的方法包括：接收查询终端设备发送的待鉴定对象，并对待鉴定对象进行分析处理，以获得待鉴定对象对应的元数据；根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果；当待鉴定对象对应的第一鉴定结果为威胁对象时，将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台；当接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报时，将待鉴定对象对应的内生威胁情报添加至威胁情报库中。

Description

威胁情报内生方法及装置

技术领域

本申请涉及网络安全技术领域，尤其涉及一种威胁情报内生方法及装置。

背景技术

随着互联网技术的不断发展，网络成为企业、政府等组织办公、生产不可或缺的一部分。其中，网络安全问题是企业、政府等组织的关注重点，企业、政府等组织通常通过威胁鉴定平台维护自身的网络安全。威胁鉴定平台基于威胁情报，对文件、日志、网络流量包等对象进行威胁鉴定，其中，威胁情报是一种基于证据来描述威胁的知识信息。

目前，威胁鉴定平台在基于威胁情报对大量待鉴定对象进行威胁鉴定时，所使用的威胁情报是固定不变的，即不会新增威胁情报。然而，网络攻击者的攻击手段会不断改变，因此，威胁鉴定平台基于固定不变的威胁情报对待鉴定对象进行威胁鉴定时，漏报或误报的可能性较高。

发明内容

本申请实施例提供一种威胁情报内生方法及装置，主要目的在于在威胁鉴定平台对待鉴定对象进行威胁鉴定的过程中，生成新的威胁情报，从而提高威胁鉴定平台对待鉴定对象进行威胁鉴定的准确率。

为解决上述技术问题，本申请实施例提供如下技术方案：

第一方面，本申请提供了一种威胁情报内生方法，所述方法应用于威胁鉴定平台，包括：

接收查询终端设备发送的待鉴定对象，并对所述待鉴定对象进行分析处理，以获得所述待鉴定对象对应的元数据；

根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果，其中，所述威胁情报库中包含原始威胁情报和历史内生威胁情报，所述历史内生威胁情报为根据历史鉴定对象确定的威胁情报；

当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象和所述待鉴定对象对应的元数据分配给目标终端设备，由所述目标终端设备根据所述待鉴定对象和所述待鉴定对象对应的元数据对所述待鉴定对象进行威胁情报运营处理；

当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。

可选的，所述待鉴定对象具体为文件对象；在所述根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，所述方法还包括：

对所述文件对象进行静态分析处理，以获得所述文件对象对应的静态分析结果；

对所述文件对象进行动态分析处理，以获得所述文件对象对应的动态分析结果；

根据所述静态分析结果和所述动态分析结果确定所述文件对象对应的第二鉴定结果；

当所述第一鉴定结果与所述第二鉴定结果不同时，将所述第二鉴定结果确定为所述文件对象对应的最终鉴定结果；

当所述第一鉴定结果与所述第二鉴定结果相同时，将所述第一鉴定结果确定为所述文件对象对应的最终鉴定结果。

可选的，所述方法还包括：

当所述文件对象对应的最终鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

根据预置分类算法和多个预置家族团伙标签对所述文件对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

根据预置聚类算法对所述文件对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

根据所述分类结果和所述聚类结果确定所述文件对象对应的家族团伙标签；

根据所述文件对象对应的静态分析结果生成所述文件对象对应的静态行为特征标签；

根据所述文件对象对应的动态分析结果生成所述文件对象对应的动态行为特征标签；

根据目标威胁情报生成所述文件对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述文件对象对应的元数据匹配成功的威胁情报。

可选的，所述当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，包括：

将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签对所述文件对象进行威胁情报运营处理；

所述当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中，包括：

当接收到所述威胁情报运营平台反馈的、所述文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签时，将所述文件对象对应的情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签添加至所述文件对象对应的内生威胁情报中；

将所述文件对象对应的内生威胁情报添加至所述威胁情报库中。

可选的，所述待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象；在所述根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，所述方法还包括：

当所述待鉴定对象对应的第一鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

根据预置分类算法和多个预置家族团伙标签对所述待鉴定对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

根据预置聚类算法对所述待鉴定对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

根据所述分类结果和所述聚类结果确定所述待鉴定对象对应的家族团伙标签；

根据目标威胁情报生成所述待鉴定对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述待鉴定对象对应的元数据匹配成功的威胁情报。

将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签对所述待鉴定对象进行威胁情报运营处理；

当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签时，将所述待鉴定对象对应的修正家族团伙标签和修正威胁情报命中标签添加至所述待鉴定对象对应的内生威胁情报中；

将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。

第二方面，本申请还提供一种威胁情报内生装置，所述装置应用于威胁鉴定平台，包括：

第一分析单元，用于接收查询终端设备发送的待鉴定对象，并对所述待鉴定对象进行分析处理，以获得所述待鉴定对象对应的元数据；

第一确定单元，用于根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果，其中，所述威胁情报库中包含原始威胁情报和历史内生威胁情报，所述历史内生威胁情报为根据历史鉴定对象确定的威胁情报；

发送单元，用于当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象和所述待鉴定对象对应的元数据分配给目标终端设备，由所述目标终端设备根据所述待鉴定对象和所述待鉴定对象对应的元数据对所述待鉴定对象进行威胁情报运营处理；

添加单元，用于当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。

可选的，所述待鉴定对象具体为文件对象；所述装置还包括：

第二分析单元，用于在所述第一确定单元根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，对所述文件对象进行静态分析处理，以获得所述文件对象对应的静态分析结果；

第三分析单元，用于对所述文件对象进行动态分析处理，以获得所述文件对象对应的动态分析结果；

第二确定单元，用于根据所述静态分析结果和所述动态分析结果确定所述文件对象对应的第二鉴定结果；

第三确定单元，用于当所述第一鉴定结果与所述第二鉴定结果不同时，将所述第二鉴定结果确定为所述文件对象对应的最终鉴定结果；

所述第三确定单元，还用于当所述第一鉴定结果与所述第二鉴定结果相同时，将所述第一鉴定结果确定为所述文件对象对应的最终鉴定结果。

可选的，所述装置还包括：

第一获取单元，用于当所述文件对象对应的最终鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

第一分类单元，用于根据预置分类算法和多个预置家族团伙标签对所述文件对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

第一聚类单元，用于根据预置聚类算法对所述文件对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

第四确定单元，用于根据所述分类结果和所述聚类结果确定所述文件对象对应的家族团伙标签；

第一生成单元，用于根据所述文件对象对应的静态分析结果生成所述文件对象对应的静态行为特征标签；

所述第一生成单元，还用于根据所述文件对象对应的动态分析结果生成所述文件对象对应的动态行为特征标签；

所述第一生成单元，还用于根据目标威胁情报生成所述文件对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述文件对象对应的元数据匹配成功的威胁情报。

可选的，所述发送单元，具体用于将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签对所述文件对象进行威胁情报运营处理；

所述添加单元，具体用于当接收到所述威胁情报运营平台反馈的、所述文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签时，将所述文件对象对应的情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签添加至所述文件对象对应的内生威胁情报中；将所述文件对象对应的内生威胁情报添加至所述威胁情报库中。

可选的，所述待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象；所述装置还包括：

第二获取单元，用于在所述第一确定单元根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，当所述待鉴定对象对应的第一鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

第二分类单元，用于根据预置分类算法和多个预置家族团伙标签对所述待鉴定对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

第二聚类单元，用于根据预置聚类算法对所述待鉴定对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

第五确定单元，用于根据所述分类结果和所述聚类结果确定所述待鉴定对象对应的家族团伙标签；

第二生成单元，用于根据目标威胁情报生成所述待鉴定对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述待鉴定对象对应的元数据匹配成功的威胁情报。

可选的，所述发送单元，具体用于将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签对所述待鉴定对象进行威胁情报运营处理；

所述添加单元，具体用于当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签时，将所述待鉴定对象对应的修正家族团伙标签和修正威胁情报命中标签添加至所述待鉴定对象对应的内生威胁情报中；将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。

第三方面，本申请的实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行第一方面所述的威胁情报内生方法。

第四方面，本申请的实施例提供了一种威胁情报内生装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行第一方面所述的威胁情报内生方法。

借由上述技术方案，本申请提供的技术方案至少具有下列优点：

本申请提供一种威胁情报内生方法及装置，本申请能够在威胁鉴定平台接收得到查询终端设备发送的待鉴定对象后，由威胁鉴定平台对待鉴定对象进行分析处理，从而获得待鉴定对象对应的元数据，再根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果，当确定待鉴定对象对应的第一鉴定结果为威胁对象时，威胁鉴定平台将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台，以便威胁情报运营平台将待鉴定对象和待鉴定对象对应的元数据分配给目标终端设备，由目标终端设备对应的威胁情报分析师根据待鉴定对象和待鉴定对象对应的元数据对待鉴定对象进行威胁情报运营处理，从而确定待鉴定对象对应的内生威胁情报，并通过目标终端设备将待鉴定对象对应的内生威胁情报发送给威胁情报运营平台，再由威胁情报运营平台将待鉴定对象对应的内生威胁情报转发给威胁鉴定平台；威胁鉴定平台在接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报后，便可将待鉴定对象对应的内生威胁情报添加至威胁情报库中，从而更新威胁情报库。由于，威胁鉴定平台在对待鉴定对象进行威胁鉴定的过程中，会生成新的威胁情报，并将新生成的威胁情报添加至威胁情报库中，从而实现更新威胁情报库，进而能够提高威胁鉴定平台对待鉴定对象进行威胁鉴定的准确率。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

通过参考附图阅读下文的详细描述，本申请示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本申请的若干实施方式，相同或对应的标号表示相同或对应的部分，其中：

图1示出了本申请实施例提供的一种威胁情报内生方法流程图；

图2示出了本申请实施例提供的另一种威胁情报内生方法流程图；

图3示出了本申请实施例提供的一种威胁情报内生装置的组成框图；

图4示出了本申请实施例提供的另一种威胁情报内生装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式，然而应当理解，可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本申请，并且能够将本申请的范围完整的传达给本领域的技术人员。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。

本申请实施例提供一种威胁情报内生方法，该方法应用于威胁鉴定平台，具体如图1所示，该方法包括：

101、接收查询终端设备发送的待鉴定对象，并对待鉴定对象进行分析处理，以获得待鉴定对象对应的元数据。

其中，查询终端设备为企业(政府或其他组织)内部需要对待鉴定对象进行威胁鉴定的终端设备；其中，待鉴定对象可以但不限于为：文件对象、邮件对象、网络流量包对象、日志对象或开源数据对象等等，待鉴定对象对应的元数据为用于描述待鉴定对象特征的数据。

在本申请实施例中，当查询终端设备期望对待鉴定对象进行威胁鉴定时，查询终端设备便会向威胁鉴定平台发送待鉴定对象，此时，威胁鉴定平台便可接收得到查询终端设备发送的待鉴定对象；威胁鉴定平台在接收得到查询终端设备发送的待鉴定对象后，需要对待鉴定对象进行分析处理，从而获得待鉴定对象对应的元数据。

具体的，在步骤中，当待鉴定对象具体为邮件对象时，威胁鉴定平台可以通过邮件检测引擎对待鉴定对象进行分析处理，从而获得待鉴定对象对应的元数据；当待鉴定对象具体为文件对象时，威胁鉴定平台可以通过RAS(RedDrip APT Scanner，红雨滴APT检测引擎)引擎对待鉴定对象进行分析处理，从而获得待鉴定对象对应的元数据，但不限于此。

102、根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果。

其中，威胁情报库中包含原始威胁情报和历史内生威胁情报，原始威胁情报为威胁鉴定平台投入使用前工作人员为威胁鉴定平台配置的威胁情报，历史内生威胁情报为威胁鉴定平台投入使用后，其根据历史鉴定对象确定的威胁情报，历史鉴定对象为在本次威胁鉴定之前，进行威胁鉴定的对象。

在本申请实施例中，威胁鉴定平台在获取得到待鉴定对象对应的元数据后，便可根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的鉴定结果(即第一鉴定结果)，即将待鉴定对象对应的元数据与威胁情报库中包含的原始威胁情报和历史内生威胁情报进行匹配，当待鉴定对象对应的元数据与威胁数据库中的所有威胁情报均匹配失败时，确定待鉴定对象对应的第一鉴定结果为非威胁对象(即待鉴定对象不具备威胁)，当待鉴定对象对应的元数据与威胁数据库中的某个威胁情报匹配成功时，确定待鉴定对象对应的第一鉴定结果为威胁对象(即待鉴定对象具备威胁)。

需要进行说明的是，当确定待鉴定对象对应的第一鉴定结果为非威胁对象时，需要向查询终端设备反馈待鉴定对象为非威胁对象的鉴定结果。

103、当待鉴定对象对应的第一鉴定结果为威胁对象时，将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台。

在本申请实施例中，当确定待鉴定对象对应的第一鉴定结果为威胁对象时，威胁鉴定平台便可将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台，以便威胁情报运营平台将待鉴定对象和待鉴定对象对应的元数据分配给目标终端设备，其中，目标终端设备为某个威胁情报分析师对应的终端设备；目标终端设备在接收得到威胁情报运营平台分配的待鉴定对象和待鉴定对象对应的元数据后，目标终端设备对应的威胁情报分析师便可根据待鉴定对象和待鉴定对象对应的元数据对待鉴定对象进行威胁情报运营处理，即先根据待鉴定对象和待鉴定对象对应的元数据确定待鉴定对象对应的第一鉴定结果是否正确，当确定待鉴定对象对应的第一鉴定结果正确时，便会根据待鉴定对象和待鉴定对象对应的元数据确定待鉴定对象对应的威胁情报(即内生威胁情报)，并通过目标终端设备将待鉴定对象对应的内生威胁情报发送给威胁情报运营平台，再由威胁情报运营平台将待鉴定对象对应的内生威胁情报转发给威胁鉴定平台；当确定待鉴定对象对应的第一鉴定结果错误时，便会通过目标终端设备向威胁情报运营平台发送报错信息，再由威胁情报运营平台将报错信息转发给威胁鉴定平台。

104、当接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报时，将待鉴定对象对应的内生威胁情报添加至威胁情报库中。

在本申请实施例中，当接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报时，威胁鉴定平台便可将待鉴定对象对应的内生威胁情报添加至威胁情报库中，从而更新威胁情报库。

需要进行说明的是，威胁鉴定平台在将待鉴定对象对应的内生威胁情报添加至威胁情报库中后，需要向查询终端设备反馈待鉴定对象为威胁对象的鉴定结果，同时也可以将待鉴定对象对应的内生威胁情报连同鉴定结果一起反馈给查询终端设备。

需要进行说明的是，当接收到威胁情报运营平台反馈的报错信息时，威胁鉴定平台需要向查询终端设备反馈待鉴定对象为非威胁对象的鉴定结果。

本申请实施例提供一种威胁情报内生方法，本申请实施例能够在威胁鉴定平台接收得到查询终端设备发送的待鉴定对象后，由威胁鉴定平台对待鉴定对象进行分析处理，从而获得待鉴定对象对应的元数据，再根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果，当确定待鉴定对象对应的第一鉴定结果为威胁对象时，威胁鉴定平台将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台，以便威胁情报运营平台将待鉴定对象和待鉴定对象对应的元数据分配给目标终端设备，由目标终端设备对应的威胁情报分析师根据待鉴定对象和待鉴定对象对应的元数据对待鉴定对象进行威胁情报运营处理，从而确定待鉴定对象对应的内生威胁情报，并通过目标终端设备将待鉴定对象对应的内生威胁情报发送给威胁情报运营平台，再由威胁情报运营平台将待鉴定对象对应的内生威胁情报转发给威胁鉴定平台；威胁鉴定平台在接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报后，便可将待鉴定对象对应的内生威胁情报添加至威胁情报库中，从而更新威胁情报库。由于，威胁鉴定平台在对待鉴定对象进行威胁鉴定的过程中，会生成新的威胁情报，并将新生成的威胁情报添加至威胁情报库中，从而实现更新威胁情报库，进而能够提高威胁鉴定平台对待鉴定对象进行威胁鉴定的准确率。

以下为了更加详细地说明，本申请实施例提供了另一种威胁情报内生方法，该方法应用于渲染服务器，具体如图2所示，该方法包括：

201、接收查询终端设备发送的待鉴定对象，并对待鉴定对象进行分析处理，以获得待鉴定对象对应的元数据。

其中，关于步骤201、接收查询终端设备发送的待鉴定对象，并对待鉴定对象进行分析处理，以获得待鉴定对象对应的元数据，可以参考图1对应部分的描述，本申请实施例此处将不再赘述。

202、根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果。

其中，关于步骤202、根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果，可以参考图1对应部分的描述，本申请实施例此处将不再赘述。

203、确定待鉴定对象对应的家族团伙标签。

在本申请实施例中，威胁鉴定平台在根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果之后，还需要确定待鉴定对象对应的家族团伙标签。

具体的，在本步骤中，威胁鉴定平台可以采用以下方式确定待鉴定对象对应的家族团伙标签：

(1)当待鉴定对象具体为文件对象时，威胁鉴定平台需要先对文件对象进行静态分析处理，从而获得文件对象对应的静态分析结果；再对文件对象进行动态分析处理，从而获得文件对象对应的动态分析结果；然后，根据文件对象对应的静态分析结果和动态分析结果确定文件对象对应的第二鉴定结果；当文件对象对应的第一鉴定结果与第二鉴定结果不同时，将文件对象对应的第二鉴定结果确定为文件对象对应的最终鉴定结果；当文件对象对应的第一鉴定结果与第二鉴定结果相同时，将文件对象对应的第一鉴定结果确定为文件对象对应的最终鉴定结果，从而实现基于文件对象的动态分析结果和静态分析结果修正基于威胁情报库确定的鉴定结果，从而提高威胁鉴定平台对文件对象进行威胁鉴定的准确率。

其中，威胁鉴定平台对文件对象进行动态分析处理的具体过程为：通过预置文件动态高对抗分析器对文件对象进行动态分析处理，从而获得文件对象对应的动态分析结果，预置文件动态高对抗分析器可以但不限于为：沙箱、RAS引擎或其他文件鉴定器；其中，威胁鉴定平台根据文件对象对应的静态分析结果和动态分析结果确定文件对象对应的第二鉴定结果的具体过程为：当文件对象对应的静态分析结果和动态分析结果均为威胁对象时，确定文件对象对应的第二鉴定结果为威胁对象；当文件对象对应的静态分析结果和动态分析结果均为非威胁对象时，确定文件对象对应的第二鉴定结果为非威胁对象；当文件对象对应的静态分析结果为威胁对象、动态分析结果为非威胁对象时，确定文件对象对应的第二鉴定结果为非威胁对象；当文件对象对应的静态分析结果为非威胁对象、动态分析结果为威胁对象时，确定文件对象对应的第二鉴定结果为威胁对象。

当文件对象对应的最终鉴定结果为威胁对象时，威胁鉴定平台便可执行确定文件对象对应的家族团伙标签的操作，其具体过程为：首先，获取多个目标历史鉴定对象，其中，目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；其次，根据预置分类算法和多个预置家族团伙标签对文件对象和多个目标历史鉴定对象进行分类处理，从而获得分类结果，其中，分类结果中包含多个类别，每个类别包含多个鉴定对象，每个类别对应于一个预置家族团伙标签，预置分类算法可以但不限于为：随机森林分类算法；再次，根据预置聚类算法对文件对象和多个目标历史鉴定对象进行聚类处理，从而获得聚类结果，其中，聚类结果中包含多个类簇，每个类簇包含多个鉴定对象，预置聚类算法可以但不限于为：K临近聚类算法；然后，根据分类结果和聚类结果确定文件对象对应的家族团伙标签，即当分类结果包含的多个类别与聚类结果包含的多个类簇相互对应时，将文件对象所处类别对应的预置家族团伙标签确定为文件对象对应的家族团伙标签，当分类结果包含的多个类别与聚类结果包含的多个类簇存在差异时，将分类结果和聚类结果暂时确定为文件对象对应的家族团伙标签，以便后续威胁情报分析师根据分类结果和聚类结果确定文件对象对应的家族团伙标签；其中，根据文件对象对应的家族团伙标签可以对文件对象进行威胁溯源，确定文件对象对应的威胁源头。

需要进行说明的是，当确定文件对应的最终鉴定结果为非威胁对象时，威胁鉴定平台需要向查询终端设备反馈文件对象为非威胁对象的鉴定结果。

进一步的，在本申请实施例中，威胁鉴定平台在确定文件对象对应的家族团伙标签后，还可以先根据文件对象对应的静态分析结果生成文件对象对应的静态行为特征标签，即根据预置规则在文件对象对应的静态分析结果中提取文件对象对应的静态行为特征，并根据文件对象对应的静态行为特征生成文件对象对应的静态行为特征标签；再根据文件对象对应的动态分析结果生成文件对象对应的动态行为特征标签，即根据预置规则在文件对象对应的动态分析结果中提取文件对象对应的动态行为特征，并根据文件对象对应的动态行为特征生成文件对象对应的动态行为特征标签；最后，根据目标威胁情报生成文件对象对应的威胁情报命中标签，其中，目标威胁情报为威胁情报库中与文件对象对应的元数据匹配成功的威胁情报，文件对象对应的威胁情报命中标签用于表明文件对象命中了威胁情报库中的哪个威胁情报。

(2)当待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象时，威胁鉴定平台便可直接执行确定待鉴定对象对应的家族团伙标签的操作，其具体过程为：首先，获取多个目标历史鉴定对象；其次，根据预置分类算法和多个预置家族团伙标签对待鉴定对象和多个目标历史鉴定对象进行分类处理，从而获得分类结果，其中，分类结果中包含多个类别，每个类别包含多个鉴定对象，每个类别对应于一个预置家族团伙标签；再次，根据预置聚类算法对待鉴定对象和多个目标历史鉴定对象进行聚类处理，从而获得聚类结果，其中，聚类结果中包含多个类簇，每个类簇包含多个鉴定对象；然后，根据分类结果和聚类结果确定待鉴定对象对应的家族团伙标签，即当分类结果包含的多个类别与聚类结果包含的多个类簇相互对应时，将待鉴定对象所处类别对应的预置家族团伙标签确定为待鉴定对象对应的家族团伙标签，当分类结果包含的多个类别与聚类结果包含的多个类簇存在差异时，将分类结果和聚类结果暂时确定为待鉴定对象对应的家族团伙标签，以便后续威胁情报分析师根据分类结果和聚类结果确定待鉴定对象对应的家族团伙标签；其中，根据待鉴定对象对应的家族团伙标签可以对待鉴定对象进行威胁溯源，确定待鉴定对象对应的威胁源头。

进一步的，在本申请实施例中，威胁鉴定平台在确定待鉴定对象对应的家族团伙标签后，还可以根据目标威胁情报生成待鉴定对象对应的威胁情报命中标签，其中，目标威胁情报为威胁情报库中与待鉴定对象对应的元数据匹配成功的威胁情报，待鉴定对象对应的威胁情报命中标签用于表明待鉴定对象命中了威胁情报库中的哪个威胁情报。

204、当待鉴定对象对应的第一鉴定结果为威胁对象时，将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台。

具体的，在本步骤中，当待鉴定对象具体为文件对象，且确定文件对象对应的最终鉴定结果为威胁对象时，需要将文件对象、文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签发送至威胁情报运营平台，以便威胁情报运营平台将文件对象、文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签分配给目标终端设备；目标终端设备在接收得到威胁情报运营平台分配的文件对象、文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签后，目标终端设备对应的威胁情报分析师便可根据文件对象、文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签对文件对象进行威胁情报运营处理，即先根据文件对象、文件对象对应的元数据、静态分析结果和动态分析结果确定文件对象对应的最终鉴定结果是否正确，当确定文件对象对应的最终鉴定结果正确时，便会根据文件对象和文件对象对应的元数据确定文件对象对应的内生威胁情报，并根据文件对象对应的静态分析结果和动态分析结果确定文件对象对应的情报上下文信息，以及对文件对象对应的家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签进行修正处理，以获得文件对象对应的修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签，最后通过目标终端设备将文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签发送给威胁情报运营平台，再由威胁情报运营平台将文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签转发给威胁鉴定平台；当确定文件对象对应的最终鉴定结果错误时，便会通过目标终端设备向威胁情报运营平台发送报错信息，再由威胁情报运营平台将报错信息转发给威胁鉴定平台。其中，当文件对象对应的家族团伙标签具体为分类结果和聚类结果时，威胁情报分析师便可根据分类结果和聚类结果确定文件对象对应的修正家族团伙标签。

具体的，在本步骤中，当待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象，且确定待鉴定对象对应的第一鉴定结果为威胁对象时，需要将待鉴定对象、待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签发送至威胁情报运营平台，以便威胁情报运营平台将待鉴定对象、待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签分配给目标终端设备；目标终端设备在接收得到威胁情报运营平台分配的待鉴定对象、待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签后，目标终端设备对应的威胁情报分析师便可根据待鉴定对象、待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签对待鉴定对象进行威胁情报运营处理，即先根据待鉴定对象和待鉴定对象对应的元数据确定待鉴定对象对应的第一鉴定结果是否正确，当确定待鉴定对象对应的第一鉴定结果正确时，便会根据待鉴定对象和待鉴定对象对应的元数据确定待鉴定对象对应的内生威胁情报，并对待鉴定对象对应的家族团伙标签和威胁情报命中标签进行修正处理，以获得待鉴定对象对应的修正家族团伙标签和修正威胁情报命中标签，最后通过目标终端设备将待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签发送给威胁情报运营平台，再由威胁情报运营平台将待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签转发给威胁鉴定平台；当确定待鉴定对象对应的第一鉴定结果错误时，便会通过目标终端设备向威胁情报运营平台发送报错信息，再由威胁情报运营平台将报错信息转发给威胁鉴定平台。其中，当待鉴定对象对应的家族团伙标签具体为分类结果和聚类结果时，威胁情报分析师便可根据分类结果和聚类结果确定待鉴定对象对应的修正家族团伙标签。

205、当接收到目标终端设备反馈的、待鉴定对象对应的内生威胁情报时，将待鉴定对象对应的内生威胁情报添加至威胁情报库中。

具体的，在本步骤中，当待鉴定对象具体为文件对象时，威胁情报运营平台会将文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签发送给威胁鉴定平台，当接收到威胁情报运营平台反馈的、文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签时，威胁鉴定平台需要先将文件对象对应的情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签添加至文件对象对应的内生威胁情报中；再将文件对象对应的内生威胁情报添加至威胁情报库中，从而丰富文件对象对应的内生威胁情报所包含的内容。

具体的，在本步骤中，当待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象时，威胁情报运营平台会将待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签转发给威胁鉴定平台，当接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签时，威胁鉴定平台需要先将待鉴定对象对应的修正家族团伙标签和修正威胁情报命中标签添加至待鉴定对象对应的内生威胁情报中，再将待鉴定对象对应的内生威胁情报添加至威胁情报库中，从而丰富文件对象对应的内生威胁情报所包含的内容。

需要进行说明的是，当接收到目标终端设备反馈的报错信息时，威胁鉴定平台需要向查询终端设备反馈待鉴定对象为非威胁对象的鉴定结果。

为了实现上述目的，根据本申请的另一方面，本申请实施例还提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述所述的威胁情报内生方法。

为了实现上述目的，根据本申请的另一方面，本申请实施例还提供了一种威胁情报内生装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行上述所述的威胁情报内生方法。

进一步的，作为对上述图1及图2所示方法的实现，本申请另一实施例还提供了一种威胁情报内生装置，该装置应用于威胁鉴定平台。该装置实施例与前述方法实施例对应，为便于阅读，本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。该装置应用于在威胁鉴定平台对待鉴定对象进行威胁鉴定的过程中，生成新的威胁情报，从而提高威胁鉴定平台对待鉴定对象进行威胁鉴定的准确率，具体如图3所示，该装置包括：

第一分析单元301，用于接收查询终端设备发送的待鉴定对象，并对所述待鉴定对象进行分析处理，以获得所述待鉴定对象对应的元数据；

第一确定单元302，用于根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果，其中，所述威胁情报库中包含原始威胁情报和历史内生威胁情报，所述历史内生威胁情报为根据历史鉴定对象确定的威胁情报；

发送单元303，用于当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象和所述待鉴定对象对应的元数据分配给目标终端设备，由所述目标终端设备根据所述待鉴定对象和所述待鉴定对象对应的元数据对所述待鉴定对象进行威胁情报运营处理；

添加单元304，用于当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。

进一步的，如图4所示，所述待鉴定对象具体为文件对象；该装置还包括：

第二分析单元305，用于在第一确定单元302根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，对所述文件对象进行静态分析处理，以获得所述文件对象对应的静态分析结果；

第三分析单元306，用于对所述文件对象进行动态分析处理，以获得所述文件对象对应的动态分析结果；

第二确定单元307，用于根据所述静态分析结果和所述动态分析结果确定所述文件对象对应的第二鉴定结果；

第三确定单元308，用于当所述第一鉴定结果与所述第二鉴定结果不同时，将所述第二鉴定结果确定为所述文件对象对应的最终鉴定结果；

第三确定单元308，还用于当所述第一鉴定结果与所述第二鉴定结果相同时，将所述第一鉴定结果确定为所述文件对象对应的最终鉴定结果。

进一步的，如图4所示，该装置还包括：

第一获取单元309，用于当所述文件对象对应的最终鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

第一分类单元310，用于根据预置分类算法和多个预置家族团伙标签对所述文件对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

第一聚类单元311，用于根据预置聚类算法对所述文件对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

第四确定单元312，用于根据所述分类结果和所述聚类结果确定所述文件对象对应的家族团伙标签；

第一生成单元313，用于根据所述文件对象对应的静态分析结果生成所述文件对象对应的静态行为特征标签；

第一生成单元313，还用于根据所述文件对象对应的动态分析结果生成所述文件对象对应的动态行为特征标签；

第一生成单元313，还用于根据目标威胁情报生成所述文件对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述文件对象对应的元数据匹配成功的威胁情报。

进一步的，如图4所示，发送单元303，具体用于将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签对所述文件对象进行威胁情报运营处理；

添加单元304，具体用于当接收到所述威胁情报运营平台反馈的、所述文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签时，将所述文件对象对应的情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签添加至所述文件对象对应的内生威胁情报中；将所述文件对象对应的内生威胁情报添加至所述威胁情报库中。

进一步的，如图4所示，所述待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象；该装置还包括：

第二获取单元314，用于在第一确定单元302根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，当所述待鉴定对象对应的第一鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

第二分类单元315，用于根据预置分类算法和多个预置家族团伙标签对所述待鉴定对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

第二聚类单元316，用于根据预置聚类算法对所述待鉴定对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

第五确定单元317，用于根据所述分类结果和所述聚类结果确定所述待鉴定对象对应的家族团伙标签；

第二生成单元318，用于根据目标威胁情报生成所述待鉴定对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述待鉴定对象对应的元数据匹配成功的威胁情报。

进一步的，如图4所示，发送单元303，具体用于将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签对所述待鉴定对象进行威胁情报运营处理；

添加单元304，具体用于当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签时，将所述待鉴定对象对应的修正家族团伙标签和修正威胁情报命中标签添加至所述待鉴定对象对应的内生威胁情报中；将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。

本申请实施例提供一种威胁情报内生方法及装置，本申请实施例能够在威胁鉴定平台接收得到查询终端设备发送的待鉴定对象后，由威胁鉴定平台对待鉴定对象进行分析处理，从而获得待鉴定对象对应的元数据，再根据待鉴定对象对应的元数据和威胁情报库确定待鉴定对象对应的第一鉴定结果，当确定待鉴定对象对应的第一鉴定结果为威胁对象时，威胁鉴定平台将待鉴定对象和待鉴定对象对应的元数据发送至威胁情报运营平台，以便威胁情报运营平台将待鉴定对象和待鉴定对象对应的元数据分配给目标终端设备，由目标终端设备对应的威胁情报分析师根据待鉴定对象和待鉴定对象对应的元数据对待鉴定对象进行威胁情报运营处理，从而确定待鉴定对象对应的内生威胁情报，并通过目标终端设备将待鉴定对象对应的内生威胁情报发送给威胁情报运营平台，再由威胁情报运营平台将待鉴定对象对应的内生威胁情报转发给威胁鉴定平台；威胁鉴定平台在接收到威胁情报运营平台反馈的、待鉴定对象对应的内生威胁情报后，便可将待鉴定对象对应的内生威胁情报添加至威胁情报库中，从而更新威胁情报库。由于，威胁鉴定平台在对待鉴定对象进行威胁鉴定的过程中，会生成新的威胁情报，并将新生成的威胁情报添加至威胁情报库中，从而实现更新威胁情报库，进而能够提高威胁鉴定平台对待鉴定对象进行威胁鉴定的准确率。

所述威胁情报内生装置包括处理器和存储器，上述第一分析单元、第一确定单元、发送单元和添加单元等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来在威胁鉴定平台对待鉴定对象进行威胁鉴定的过程中，生成新的威胁情报，从而提高威胁鉴定平台对待鉴定对象进行威胁鉴定的准确率。

本申请实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述所述的威胁情报内生方法。

存储介质可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。

本申请实施例还提供了一种威胁情报内生装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行上述所述的威胁情报内生方法。

本申请实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：

可选的，所述方法还包括：

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序代码：接收查询终端设备发送的待鉴定对象，并对所述待鉴定对象进行分析处理，以获得所述待鉴定对象对应的元数据；根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果，其中，所述威胁情报库中包含原始威胁情报和历史内生威胁情报，所述历史内生威胁情报为根据历史鉴定对象确定的威胁情报；当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象和所述待鉴定对象对应的元数据分配给目标终端设备，由所述目标终端设备根据所述待鉴定对象和所述待鉴定对象对应的元数据对所述待鉴定对象进行威胁情报运营处理；当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、***或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

一种威胁情报内生方法，其特征在于，所述方法应用于威胁鉴定平台，包括：

接收查询终端设备发送的待鉴定对象，并对所述待鉴定对象进行分析处理，以获得所述待鉴定对象对应的元数据；

根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果，其中，所述威胁情报库中包含原始威胁情报和历史内生威胁情报，所述历史内生威胁情报为根据历史鉴定对象确定的威胁情报；

当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象和所述待鉴定对象对应的元数据分配给目标终端设备，由所述目标终端设备根据所述待鉴定对象和所述待鉴定对象对应的元数据对所述待鉴定对象进行威胁情报运营处理；

当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。
根据权利要求1所述的方法，其特征在于，所述待鉴定对象具体为文件对象；在所述根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，所述方法还包括：

对所述文件对象进行静态分析处理，以获得所述文件对象对应的静态分析结果；

对所述文件对象进行动态分析处理，以获得所述文件对象对应的动态分析结果；

根据所述静态分析结果和所述动态分析结果确定所述文件对象对应的第二鉴定结果；

当所述第一鉴定结果与所述第二鉴定结果不同时，将所述第二鉴定结果确定为所述文件对象对应的最终鉴定结果；

当所述第一鉴定结果与所述第二鉴定结果相同时，将所述第一鉴定结果确定为所述文件对象对应的最终鉴定结果。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

当所述文件对象对应的最终鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

根据预置分类算法和多个预置家族团伙标签对所述文件对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

根据预置聚类算法对所述文件对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

根据所述分类结果和所述聚类结果确定所述文件对象对应的家族团伙标签；

根据所述文件对象对应的静态分析结果生成所述文件对象对应的静态行为特征标签；

根据所述文件对象对应的动态分析结果生成所述文件对象对应的动态行为特征标签；

根据目标威胁情报生成所述文件对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述文件对象对应的元数据匹配成功的威胁情报。
根据权利要求3所述的方法，其特征在于，所述当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，包括：

将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述文件对象、所述文件对象对应的元数据、静态分析结果、动态分析结果、家族团伙标签、静态行为特征标签、动态行为特征标签和威胁情报命中标签对所述文件对象进行威胁情报运营处理；

所述当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中，包括：

当接收到所述威胁情报运营平台反馈的、所述文件对象对应的内生威胁情报、情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签时，将所述文件对象对应的情报上下文信息、修正家族团伙标签、修正静态行为特征标签、修正动态行为特征标签和修正威胁情报命中标签添加至所述文件对象对应的内生威胁情报中；

将所述文件对象对应的内生威胁情报添加至所述威胁情报库中。
根据权利要求1所述的方法，其特征在于，所述待鉴定对象具体为邮件对象、网络流量包对象、日志对象或开源数据对象；在所述根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，所述方法还包括：

当所述待鉴定对象对应的第一鉴定结果为威胁对象时，获取多个目标历史鉴定对象，其中，所述目标历史鉴定对象是鉴定结果为威胁对象的历史鉴定对象；

根据预置分类算法和多个预置家族团伙标签对所述待鉴定对象和多个所述目标历史鉴定对象进行分类处理，以获得分类结果；

根据预置聚类算法对所述待鉴定对象和多个所述目标历史鉴定对象进行聚类处理，以获得聚类结果；

根据所述分类结果和所述聚类结果确定所述待鉴定对象对应的家族团伙标签；

根据目标威胁情报生成所述待鉴定对象对应的威胁情报命中标签，其中，所述目标威胁情报为所述威胁情报库中与所述待鉴定对象对应的元数据匹配成功的威胁情报。
根据权利要求5所述的方法，其特征在于，所述当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，包括：

将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签发送至所述威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签分配给所述目标终端设备，由所述目标终端设备根据所述待鉴定对象、所述待鉴定对象对应的元数据、家族团伙标签和威胁情报命中标签对所述待鉴定对象进行威胁情报运营处理；

所述当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中，包括：

当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报、修正家族团伙标签和修正威胁情报命中标签时，将所述待鉴定对象对应的修正家族团伙标签和修正威胁情报命中标签添加至所述待鉴定对象对应的内生威胁情报中；

将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。
一种威胁情报内生装置，其特征在于，所述装置应用于威胁鉴定平台，包括：

第一分析单元，用于接收查询终端设备发送的待鉴定对象，并对所述待鉴定对象进行分析处理，以获得所述待鉴定对象对应的元数据；

第一确定单元，用于根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果，其中，所述威胁情报库中包含原始威胁情报和历史内生威胁情报，所述历史内生威胁情报为根据历史鉴定对象确定的威胁情报；

发送单元，用于当所述待鉴定对象对应的第一鉴定结果为威胁对象时，将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营平台，以便所述威胁情报运营平台将所述待鉴定对象和所述待鉴定对象对应的元数据分配给目标终端设备，由所述目标终端设备根据所述待鉴定对象和所述待鉴定对象对应的元数据对所述待鉴定对象进行威胁情报运营处理；

添加单元，用于当接收到所述威胁情报运营平台反馈的、所述待鉴定对象对应的内生威胁情报时，将所述待鉴定对象对应的内生威胁情报添加至所述威胁情报库中。
根据权利要求7所述的装置，其特征在于，所述待鉴定对象具体为文件对象；所述装置还包括：

第二分析单元，用于在所述第一确定单元根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴定结果之后，对所述文件对象进行静态分析处理，以获得所述文件对象对应的静态分析结果；

第三分析单元，用于对所述文件对象进行动态分析处理，以获得所述文件对象对应的动态分析结果；

第二确定单元，用于根据所述静态分析结果和所述动态分析结果确定所述文件对象对应的第二鉴定结果；

第三确定单元，用于当所述第一鉴定结果与所述第二鉴定结果不同时，将所述第二鉴定结果确定为所述文件对象对应的最终鉴定结果；

所述第三确定单元，还用于当所述第一鉴定结果与所述第二鉴定结果相同时，将所述第一鉴定结果确定为所述文件对象对应的最终鉴定结果。
一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行权利要求1至6中任一项所述的威胁情报内生方法。
一种威胁情报内生装置，其特征在于，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行权利要求1至6中任一项所述的威胁情报内生方法。