[发明专利]基于大数据生成威胁情报的方法、装置及可读存储介质

权利要求书

1.一种基于大数据生成威胁情报的方法，其特征在于，包括：

获取病毒样本及所述病毒样本对应的威胁指标，所述威胁指标用于表征所述病毒样本的特征信息；

根据所述威胁指标和所述病毒样本确定所述病毒样本的传播路径；

根据所述威胁指标确定所述病毒样本的传播规模；

根据所述威胁指标确定所述病毒样本对应的当前攻击事件的家族关系，所述家族关系为所述当前攻击事件中所述威胁指标间的关联关系，和/或所述当前攻击事件中所述威胁指标与历史攻击事件中历史威胁指标间的关联关系；

根据所述传播路径、所述传播规模和所述家族关系生成威胁情报。

2.根据权利要求1所述的方法，其特征在于，所述根据所述威胁指标和所述病毒样本确定所述病毒样本的传播路径包括：

将所述病毒样本确定为子样本；

根据所述威胁指标确定所述子样本的父样本及所述父样本与所述子样本之间的传播途径；

获取所述父样本对应的威胁指标；

将所述父样本确定为新的子样本；

重复执行上述操作直到所述子样本为源头样本；

根据所有子样本、所有父样本及每对父样本与子样本之间的传播途径确定所述病毒样本的传播路径。

3.根据权利要求2所述的方法，其特征在于，所述威胁指标包括哈希值且不包括下载来源域名；

所述根据所述威胁指标确定所述子样本的父样本及所述父样本与所述子样本之间的传播途径包括：

根据所述哈希值判断样本行为日志中是否存在创建所述子样本的行为；

若所述样本行为日志中存在创建所述子样本的行为，则将创建所述子样本的样本确定所述子样本的父样本，并将所述父样本与所述子样本之间的传播途径确定为直接释放。

4.根据权利要求2所述的方法，其特征在于，所述威胁指标包括哈希值；

所述根据所述威胁指标确定所述子样本的父样本及所述父样本与所述子样本之间的传播途径包括：

根据所述哈希值判断样本行为日志中是否存在下载所述子样本的行为；

若所述样本行为日志中存在下载所述子样本的行为，则将下载所述子样本的样本确定所述子样本的父样本，并将所述父样本与所述子样本之间的传播途径确定为网络下载。

5.根据权利要求2所述的方法，其特征在于，所述威胁指标包括哈希值；

所述根据所述威胁指标确定所述子样本的父样本及所述父样本与所述子样本之间的传播途径包括：

根据所述哈希值判断样本行为日志中是否存在与所述子样本相关的远程攻击行为；

若样本行为日志中存在与所述子样本相关的远程执行行为，则将远程攻击的样本确定为所述子样本的父样本，并将所述父样本与所述子样本之间的传播途径确定为远程攻击。

6.根据权利要求1至5中任意一项所述的方法，其特征在于，所述威胁指标包括哈希值；

所述根据所述威胁指标确定所述病毒样本的传播规模包括：

根据所述哈希值统计存在所述病毒样本的第一终端数量，所述第一终端数量用于表征所述病毒样本的传播规模。

7.根据权利要求1至5中任意一项所述的方法，其特征在于，所述威胁指标包括所述病毒样本访问的IP地址；

所述根据所述威胁指标确定所述病毒样本的传播规模包括：

统计访问所述IP地址的第二终端数量，所述第二终端数量用于表征所述病毒样本的传播规模。

8.根据权利要求2至5中任意一项所述的方法，其特征在于，所述根据所述威胁指标确定所述病毒样本对应的当前攻击事件的家族关系包括：

根据所述病毒样本的威胁指标和所有父样本的威胁指标确定所述病毒样本对应的当前攻击事件的家族关系。