[发明专利]威胁情报生成方法、设备、存储介质及装置在审
| 申请号: | 202011554918.2 | 申请日: | 2020-12-23 |
| 公开(公告)号: | CN112632528A | 公开(公告)日: | 2021-04-09 |
| 发明(设计)人: | 马帅 | 申请(专利权)人: | 北京鸿腾智能科技有限公司 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06F21/56 |
| 代理公司: | 深圳市世纪恒程知识产权代理事务所 44287 | 代理人: | 关向兰 |
| 地址: | 100020 北京市朝阳区酒*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 威胁 情报 生成 方法 设备 存储 介质 装置 | ||
本发明公开了一种威胁情报生成方法、设备、存储介质及装置,相较于现有的基于分散存储在恶意样本日志报告各个角落的恶意样本分析信息无法直接生成恶意样本的威胁情报的方式,本发明中通过获取目标终端的待检测恶意样本,将待检测恶意样本拷贝至沙箱运行环境,沙箱运行环境的配置与目标终端的配置相同,在沙箱运行环境内对待检测恶意样本进行恶意代码检测,获得检测结果,根据检测结果生成输出日志,并对输出日志进行分析检索,获得威胁情报特征信息,根据威胁情报特征信息生成待检测恶意样本的威胁情报,克服了现有技术中无法直接生成恶意样本的威胁情报的缺陷,从而能够优化威胁情报生成过程,以满足客户需求。
技术领域
本发明涉及互联网技术领域,尤其涉及一种威胁情报生成方法、设备、存储介质及装置。
背景技术
目前,恶意样本分析是将恶意样本的具体行为特征、属性、影响行业、范围、恶意样本所属的类型、恶意样本的家族、所属国家以及影响设备等恶意样本分析信息存储,生成恶意样本日志报告。
现有技术中,是将上述恶意样本分析信息分散存储在恶意样本日志报告的各个角落。但是,在实际情况下,基于分散存储在恶意样本日志报告各个角落的恶意样本分析信息无法直接生成恶意样本的威胁情报。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种威胁情报生成方法、设备、存储介质及装置,旨在解决如何优化威胁情报生成过程的技术问题。
为实现上述目的,本发明提供一种威胁情报生成方法,所述威胁情报生成方法包括以下步骤:
获取目标终端的待检测恶意样本,将所述待检测恶意样本拷贝至沙箱运行环境,所述沙箱运行环境的配置与所述目标终端的配置相同;
在所述沙箱运行环境内对所述待检测恶意样本进行恶意代码检测,获得检测结果;
根据所述检测结果生成输出日志,并对所述输出日志进行分析检索,获得威胁情报特征信息;
根据所述威胁情报特征信息生成所述待检测恶意样本的威胁情报。
可选地,所述根据所述威胁情报特征信息生成所述待检测恶意样本的威胁情报的步骤,具体包括:
根据所述威胁情报特征信息确定所述待检测恶意样本的威胁情报类别;
根据所述威胁情报类别确定特征检测策略,并基于所述特征检测策略对所述威胁情报特征信息进行检测,获得检测结果;
根据所述检测结果生成所述待检测恶意样本的威胁情报。
可选地,所述根据所述威胁情报类别确定特征检测策略,并基于所述特征检测策略对所述威胁情报特征信息进行检测,获得检测结果的步骤,具体包括:
在所述威胁情报类别为网络威胁情报类别或漏洞威胁情报类别时,将预设威胁情报云检测策略作为特征检测策略;
基于所述特征检测策略对所述威胁情报特征信息进行检测,获得检测结果。
可选地,所述根据所述威胁情报类别确定特征检测策略,并基于所述特征检测策略对所述威胁情报特征信息进行检测,获得检测结果的步骤,具体包括:
在所述威胁情报类别为行为威胁情报类别时,将预设本地数据库检测策略作为特征检测策略;
基于所述特征检测策略对所述威胁情报特征信息进行检测,获得检测结果。
可选地,所述根据所述检测结果生成输出日志,并对所述输出日志进行分析检索,获得威胁情报特征信息的步骤,具体包括:
根据所述检测结果生成输出日志,并对所述输出日志进行数据清洗,获得待处理日志;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京鸿腾智能科技有限公司,未经北京鸿腾智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011554918.2/2.html,转载请声明来源钻瓜专利网。
