[发明专利]网络威胁情报信息的更新方法及系统

说明书

本申请公开了一种网络威胁情报信息的更新方法及系统，在该方法中，将设备端中命中高频情报信息所产生的日志，经过处理形成汇总数据之后，通过云平台反馈至情报服务器处，情报服务器根据反馈回来的汇总数据，将其置于情报获取队列，使得在从开源情报处获取基本信息时，能够优先根据汇总数据，获取高频情报信息对应的更新信息。并且通过将所获取的高频情报信息对应的更新信息与原来的高频情报信息进行对比，能够判断出所述高频情报信息是否存在更新，如果有，便将高频情报信息对应的更新信息通过云平台发送至设备端，使得设备端能够及时的、有针对性的对高频情报信息进行更新。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络威胁情报信息的更新方法及系统。

背景技术

随着网络技术的发展，接入互联网中的网络设备不可避免的会存在一些安全漏洞，这些安全漏洞对网络信息的安全造成了威胁。为了提高网络信息的安全性，各安全厂商及企业积极的推进网络威胁情报信息的共享。网络威胁情报信息是指能够帮助发现威胁，并对威胁进行处置的信息集，网络威胁情报信息也被称为情报信息。在实现网络威胁情报信息共享的过程中，各安全厂商通过情报服务器，从开源情报处获取大量的基本信息，然后将所获取的基本信息上传至云平台，并在云平台内形成庞大的情报信息库，然后通过云平台的情报信息库，向企业的设备端下发相应的情报信息，以供设备端使用，进而提高设备端的网络信息安全性。

对于涉及到常用网站或者应用的情报信息，设备端在使用的过程中，可能会频繁命中该情报信息，例如，某开源情报处将百度域名认定为挂马地址，情报服务器在获取该基本信息并上传至云平台之后，云平台将百度域名列入到黑名单中，设备端通过云平台获取该情报信息。由于百度域名为常用的域名，该情报信息将百度域名列入黑名单，那么设备端在访问百度网站时，将会频繁的命中该情报信息，从而产生大量的警告，这种情况下，该情报信息属于高频情报信息。由于情报信息具有时效性强以及信息量大的特点，随着时间的推移，情报信息极易过时或失真。如果将百度域名列入黑名单的这一高频情报信息为过时或者失真的情报信息，那么其在设备端中所产生的警告，将成为大量的垃圾警告，给管理人员造成困扰。所以，对情报信息及时的进行更新显得尤为重要。目前，各安全厂商在对情报信息进行更新时，主要通过尽可能多的增加情报服务器数量的方法，对情报信息进行更新，以避免情报信息的过时或者失真。

但是，申请人在本发明的研究过程中发现，情报服务器主要是按照时间顺序，依次对情报信息进行获取或者更新，对于上述将百度域名列入黑名单的这一高频情报信息，如果该情报信息是刚刚获取的，那么通过目前各安全厂商所采用的对情报信息进行更新的方式，可能会在几天以后才会轮到对该情报信息进行更新，那么不可避免的，在这几天内将产生数量巨大的警告信息，而且由于无法判断这些数量巨大的警告信息是否为垃圾警告，管理人员无法进行有效的管控。所以现有技术中通过增加情报服务器的数量，对情报信息进行更新的方法，无法针对性的对高频情报信息进行及时更新。

发明内容

为了解决在服务器数量较多时，无法有针对性的对高频情报信息及时进行更新的问题，本申请通过以下实施例公开了网络威胁情报信息的更新方法及系统。

在本申请的第一方面，公开了一种网络威胁情报信息的更新方法，包括：

设备端获取命中日志，所述命中日志为所述设备端在使用过程中，命中高频情报信息所产生的日志；

所述设备端对所述命中日志进行去重汇总，形成命中数据，并将所述命中数据上传至云平台；

所述云平台对所述命中数据进行去重汇总，形成汇总数据，所述汇总数据携带有所述高频情报信息的数据；

所述云平台将所述汇总数据下发至情报服务器；

所述情报服务器接收所述汇总数据，并将所述汇总数据置于情报获取队列的头部，形成待更新数据队列；