[发明专利]一种IOC对象的自动化运营方法及装置

权利要求书

1.一种IOC对象的自动化运营方法，其特征在于，包括：

获取待分析IOC对象；

对所述待分析IOC对象进行监测，得到监测数据记录；

识别所述监测数据记录中的监测告警数据；

基于所述监测告警数据，生成攻击关系图；

对所述攻击关系图进行运营评分，得到评分分值；

当所述评分分值大于预设阈值时，将所述待分析IOC对象确定为运营对象，并对所述运营对象进行运营。

2.根据权利要求1所述的IOC对象的自动化运营方法，其特征在于，所述获取待分析IOC对象的步骤包括：

获取与识别出的APT组织相关联的待分析IOC对象；其中，所述待分析IOC对象为IPv4对象、DOMAIN对象、URL对象、MD5对象、样本或邮箱中的一种。

3.根据权利要求1所述的IOC对象的自动化运营方法，其特征在于，所述对所述待分析IOC对象进行监测，得到监测数据记录的步骤包括：

监测与所述待分析IOC对象相对应的安全日志、流量日志和审计日志；

基于预设时段对所述安全日志、所述流量日志和所述审计日志进行数据提取，得到监测数据记录。

4.根据权利要求1所述的IOC对象的自动化运营方法，其特征在于，所述识别所述监测数据记录中的监测告警数据的步骤包括：

识别所述监测数据记录中的异常行为；所述异常行为至少包括心跳检测异常、域名解析异常和登录异常中的一种；

获取与所述异常行为相对应的监测告警数据。

5.根据权利要求1所述的IOC对象的自动化运营方法，其特征在于，所述基于所述监测告警数据，生成攻击关系图的步骤包括：

基于所述监测告警数据确定告警对象和告警类型；

将所述告警对象作为节点、所述告警类型作为边线，生成攻击关系图。

6.根据权利要求1所述的IOC对象的自动化运营方法，其特征在于，所述对所述攻击关系图进行运营评分，得到评分分值的步骤包括：

基于权重评分算法对所述攻击关系图进行运营评分，得到评分分值。

7.根据权利要求1所述的IOC对象的自动化运营方法，其特征在于，所述方法还包括：

当所述评分分值不大于预设阈值时，判断所述待分析IOC对象是否为运营对象；

当所述待分析IOC对象为所述运营对象时，停止对所述运营对象的运营；

当所述待分析IOC对象不为所述运营对象时，获取新的待分析IOC对象，并触发执行所述对所述待分析IOC对象进行监测，得到监测数据记录的步骤。

8.一种IOC对象的自动化运营装置，其特征在于，所述IOC对象的自动化运营装置包括：

获取单元，用于获取待分析IOC对象；

监测单元，用于对所述待分析IOC对象进行监测，得到监测数据记录；

识别单元，用于识别所述监测数据记录中的监测告警数据；

生成单元，用于基于所述监测告警数据，生成攻击关系图；

评分单元，用于对所述攻击关系图进行运营评分，得到评分分值；

运营单元，用于当所述评分分值大于预设阈值时，将所述待分析IOC对象确定为运营对象，并对所述运营对象进行运营。

9.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至7中任一项所述的IOC对象的自动化运营方法。

10.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至7任一项所述的IOC对象的自动化运营方法。