[发明专利]威胁信息处理方法、装置、电子设备及介质

说明书

本发明公开了一种威胁信息处理方法，涉及信息安全技术领域，用于解决难以对各个攻击源作出针对性威胁预测的问题，该方法具体包括以下步骤：获取待处理集合，将待处理集合的事件记为威胁事件，各个威胁事件的攻击类型相同且所属地址均位于预设区域内；获取各个威胁事件的基础信息，基础信息包括攻击源和攻击目标；将攻击源相同的威胁事件归为同组并记为嫌疑组；统计各个嫌疑组的攻击目标数量并记为数量a1，判断数量a1是否大于预设值b1，若是，则标记对应的攻击源。本发明还公开了一种威胁信息处理装置、电子设备、计算机可读介质。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种威胁信息处理方法、装置、电子设备及介质。

背景技术

当今的信息化发展及演变已极大地改变了人类的社会生活，但伴随着信息化的快速发展，网络安全形势也愈加严峻。尽管网络攻击手段逐步向简单化综合化演变，但网络攻击类型却逐步向多样化复杂化发展。

目前在网络安全分析的相关技术中，使用的分析数据一般是通用设备的安全数据，例如防火墙、安全日志等数据，对这些数据进行分析可以获取网络的整体安全状况，但是针对性不强，难以对各个攻击源作出针对性威胁预测。

发明内容

为了克服现有技术的不足，本发明的目的之一在于提供一种威胁信息处理方法，其具有便于对各个攻击源做出针对性威胁预测的优点。

本发明的目的之一采用如下技术方案实现：一种威胁信息处理方法，包括以下步骤：

获取待处理集合，将所述待处理集合的事件记为威胁事件，各个威胁事件的攻击类型相同且所属地址均位于预设区域内；

获取各个威胁事件的基础信息，所述基础信息包括攻击源和攻击目标；

将攻击源相同的所述威胁事件归为同组并记为嫌疑组；

统计各个嫌疑组对应的攻击目标数量并记为数量a1，判断所述数量a1是否大于预设值b1，若是，则标记对应的攻击源。

将攻击目标相同的所述威胁事件归为同组并记为受害组；

统计各个受害组对应的攻击源数量并记为数量a2，判断所述数量a2是否大于预设值b2，若是，则标记对应的攻击目标；

将被标记的所述攻击源、被标记的所述攻击目标均记为标记IP；

将所述标记IP与IP地址库匹配，得到所述标记IP的区域数据；

判断所述区域数据是否为无，若否则进入有区域处理模式，若是则进入无区域处理模式；

其中，所述有区域处理模式包括以下步骤：获取IP通报数据库，所述IP通报数据库包括被通报的IP；判断所述标记IP是否与所述IP通报数据库匹配，若否，则更新所述IP通报数据库；

其中，所述无区域处理模式包括以下步骤：获取IP通报数据库，所述IP通报数据库包括被通报的IP；判断所述标记IP是否与所述IP通报数据库匹配，若否则更新所述IP通报数据库，并对所述标记IP进行溯源；若是，将所述IP通报数据库内与所述标记IP匹配的IP记为匹配IP；判断所述匹配IP与所述标记IP的规则ID是否相同，若否，则更新所述IP通报数据库，并对所述标记IP进行溯源。

进一步地，所述攻击类型包括DDoS攻击、木马攻击、邮件威胁、蠕虫攻击、网络钓鱼攻击、口令入侵、节点攻击、网络监听、安全漏洞、端口扫描。

进一步地，所述基础信息还包括所述威胁事件的发生时间，所述嫌疑组和所述受害组均基于所述发生时间排序。

本发明的目的之二在于提供一种威胁信息处理方法，其具有便于对各个攻击源做出针对性威胁预测的优点。

本发明的目的之二采用如下技术方案实现：一种威胁信息处理装置，其特征在于，包括：