[发明专利]威胁情报自动生成方法、装置、计算机设备和存储介质在审
| 申请号: | 202111380950.8 | 申请日: | 2021-11-20 |
| 公开(公告)号: | CN114157459A | 公开(公告)日: | 2022-03-08 |
| 发明(设计)人: | 计东;范渊;刘博 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 杭州华进联浙知识产权代理有限公司 33250 | 代理人: | 李丽华 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 威胁 情报 自动 生成 方法 装置 计算机 设备 存储 介质 | ||
本申请涉及一种威胁情报自动生成方法、装置、计算机设备和存储介质,该方法包括:通过分析恶意软件,提取恶意软件的流量特征;基于流量特征,生成相应的检测规则;获取网络通信数据,对网络通信数据进行解析,得到解析结果;根据检测规则和解析结果,生成威胁情报。通过本申请,解决了威胁情报无法及时更新的问题,实现了能够自动生成威胁情报,无需安全专家再进行跟踪提取威胁情报的效果。
技术领域
本申请涉及网络安全技术领域,特别是涉及一种威胁情报自动生成方法、装置、计算机设备和存储介质。
背景技术
在当前网络环境中,高级威胁的攻防对抗日益激烈,其中主要的对抗手段是通过运用已知的威胁情报进行对抗。威胁情报一般包括攻击IP、域名、程序运行路径、注册表项以及样本哈希等信息。在实际对抗中,通过解析网络流量并与攻击特征库、威胁情报库等进行匹配,进而发现各种网络威胁事件。
通常威胁情报的获取需要安全专家长期对恶意的攻击活动进行跟踪,并从海量的数据中提取攻击活动用到的威胁情报。但在实际情况中,不同时间节点的攻击,威胁情报都会不同,安全专家也无法做到即时跟踪,因此无法及时更新威胁情报。
针对相关技术中存在威胁情报无法及时更新的问题,目前还没有提出有效的解决方案。
发明内容
在本实施例中提供了一种威胁情报自动生成方法、装置、计算机设备和存储介质,以解决相关技术中威胁情报无法及时更新的问题。
第一个方面,在本实施例中提供了一种威胁情报自动生成方法,包括:
通过分析恶意软件,提取所述恶意软件的流量特征;
基于所述流量特征,生成相应的检测规则;
获取网络通信数据,对所述网络通信数据进行解析,得到解析结果;
根据所述检测规则和所述解析结果,生成威胁情报。
在其中的一些实施例中,所述通过分析恶意软件,提取所述恶意软件的流量特征,包括:
在沙箱环境中运行所述恶意软件,得到运行结果;
对所述运行结果进行分析,提取所述恶意软件的流量特征。
在其中的一些实施例中,所述根据所述检测规则和所述解析结果,生成威胁情报包括:
基于所述检测规则,对所述解析结果进行检测,得到检测结果;
根据所述检测结果,以生成威胁情报。
在其中的一些实施例中,在所述生成威胁情报之后,还包括:
根据所述威胁情报和预定义信息,生成威胁情报库;
对新获取的网络通信数据进行解析,并根据新的解析结果和所述威胁情报库,生成对应的威胁情报。
在其中的一些实施例中,在所述通过分析恶意软件,提取所述恶意软件的流量特征之前,还包括:
通过分析已知恶意样本,获取所述恶意软件。
第二个方面,在本实施例中提供了一种威胁情报自动生成装置,包括:特征提取模块、规则生成模块、数据解析模块以及威胁生成模块;
所述特征提取模块,用于通过分析恶意软件,提取所述恶意软件的流量特征;
所述规则生成模块,用于基于所述流量特征,生成相应的检测规则;
所述数据解析模块,用于获取网络通信数据,对所述网络通信数据进行解析,得到解析结果;
所述威胁生成模块,用于根据所述检测规则和所述解析结果,生成威胁情报。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111380950.8/2.html,转载请声明来源钻瓜专利网。
