[发明专利]威胁情报生成方法、设备、存储介质及装置

权利要求书

1.一种威胁情报生成方法，其特征在于，所述威胁情报生成方法包括以下步骤：

获取目标终端的待检测恶意样本，将所述待检测恶意样本拷贝至沙箱运行环境，所述沙箱运行环境的配置与所述目标终端的配置相同；

在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测，获得检测结果；

根据所述检测结果生成输出日志，并对所述输出日志进行分析检索，获得威胁情报特征信息；

根据所述威胁情报特征信息生成所述待检测恶意样本的威胁情报。

2.如权利要求1所述的威胁情报生成方法，其特征在于，所述根据所述威胁情报特征信息生成所述待检测恶意样本的威胁情报的步骤，具体包括：

根据所述威胁情报特征信息确定所述待检测恶意样本的威胁情报类别；

根据所述威胁情报类别确定特征检测策略，并基于所述特征检测策略对所述威胁情报特征信息进行检测，获得检测结果；

根据所述检测结果生成所述待检测恶意样本的威胁情报。

3.如权利要求2所述的威胁情报生成方法，其特征在于，所述根据所述威胁情报类别确定特征检测策略，并基于所述特征检测策略对所述威胁情报特征信息进行检测，获得检测结果的步骤，具体包括：

在所述威胁情报类别为网络威胁情报类别或漏洞威胁情报类别时，将预设威胁情报云检测策略作为特征检测策略；

基于所述特征检测策略对所述威胁情报特征信息进行检测，获得检测结果。

4.如权利要求2所述的威胁情报生成方法，其特征在于，所述根据所述威胁情报类别确定特征检测策略，并基于所述特征检测策略对所述威胁情报特征信息进行检测，获得检测结果的步骤，具体包括：

在所述威胁情报类别为行为威胁情报类别时，将预设本地数据库检测策略作为特征检测策略；

基于所述特征检测策略对所述威胁情报特征信息进行检测，获得检测结果。

5.如权利要求1所述的威胁情报生成方法，其特征在于，所述根据所述检测结果生成输出日志，并对所述输出日志进行分析检索，获得威胁情报特征信息的步骤，具体包括：

根据所述检测结果生成输出日志，并对所述输出日志进行数据清洗，获得待处理日志；

根据预设分词模型对所述待处理日志进行分词，获得待检索日志字符；

对所述待检索日志字符进行关键词检索，获得威胁情报特征信息。

6.如权利要求5所述的威胁情报生成方法，其特征在于，所述根据所述检测结果生成输出日志，并对所述输出日志进行数据清洗，获得待处理日志的步骤，具体包括：

根据所述检测结果生成输出日志，并对所述输出日志进行分类，获得字符类别；

在预设分类表中查找所述字符类别对应的类别权重值，并根据所述类别权重值对所述字符类别进行排序，获得排序结果；

根据所述排序结果对所述输出日志进行字符删除，获得待处理日志。

7.如权利要求5所述的威胁情报生成方法，其特征在于，所述根据预设分词模型对所述待处理日志进行分词，获得待检索日志字符的步骤，具体包括：

根据预设分词模型确定所述待处理日志的当前字符以及分词属性，并根据所述分词属性生成所述当前字符的基础分值；

对所述当前字符进行相关性分析，获得相关性指标值；

根据所述当前字符以及所述待处理日志确定分词比值，并根据所述分词比值以及所述相关性指标值对所述基础分值进行调整，获得评价分值；

根据所述评价分值对所述待处理日志进行筛选，获得待检索日志字符。

8.一种威胁情报生成设备，其特征在于，所述威胁情报生成设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的威胁情报生成程序，所述威胁情报生成程序被所述处理器执行时实现如权利要求1至7中任一项所述的威胁情报生成方法的步骤。

9.一种存储介质，其特征在于，所述存储介质上存储有威胁情报生成程序，所述威胁情报生成程序被处理器执行时实现如权利要求1至7中任一项所述的威胁情报生成方法的步骤。

10.一种威胁情报生成装置，其特征在于，所述威胁情报生成装置包括：获取模块、分析模块、检索模块和生成模块；

所述获取模块，用于获取目标终端的待检测恶意样本，将所述待检测恶意样本拷贝至沙箱运行环境，所述沙箱运行环境的配置与所述目标终端的配置相同；

所述分析模块，用于在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测，获得检测结果；

所述检索模块，用于根据所述检测结果生成输出日志，并对所述输出日志进行分析检索，获得威胁情报特征信息；

所述生成模块，用于根据所述威胁情报特征信息生成所述待检测恶意样本的威胁情报。