[发明专利]一种IOC对象的自动化运营方法及装置

说明书

本申请提供一种IOC对象的自动化运营方法及装置，该方法包括：获取待分析IOC对象；对待分析IOC对象进行监测，得到监测数据记录；识别监测数据记录中的监测告警数据；基于监测告警数据，生成攻击关系图；对攻击关系图进行运营评分，得到评分分值；当评分分值大于预设阈值时，将待分析IOC对象确定为运营对象，并对运营对象进行运营。可见，该方法及装置能够通过对IOC对象进行自动运营分析，从而避免人工分析方式中存在的问题，进而能够提高IOC对象的自动运营分析效率和效果。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种IOC对象的自动化运营方法及装置。

背景技术

持续性威胁(APT)正日益成为针对政府和企业重要资产的不可忽视的网络空间重大威胁。目前，在跟踪这些APT的过程中，系统通常会基于部分IOC来对攻击进行持续跟踪，从而完成分析攻击目标、攻击方式、攻击者组织的目的。然而，在实践中发现，该种跟踪分析工作涉及的数据量非常之大，从而导致当下的人工分析方式越来越困难，进而使得攻击者难以追踪，并影响着对攻击进展程度、受害者覆盖程度的掌握。

发明内容

本申请实施例的目的在于提供一种IOC对象的自动化运营方法及装置，能够通过对IOC对象进行自动运营分析，从而避免人工分析方式中存在的问题，进而能够提高IOC对象的自动运营分析效率和效果。

本申请实施例第一方面提供了一种IOC对象的自动化运营方法，包括：

获取待分析IOC对象；

对所述待分析IOC对象进行监测，得到监测数据记录；

识别所述监测数据记录中的监测告警数据；

基于所述监测告警数据，生成攻击关系图；

对所述攻击关系图进行运营评分，得到评分分值；

当所述评分分值大于预设阈值时，将所述待分析IOC对象确定为运营对象，并对所述运营对象进行运营。

在上述实现过程中，该方法可以优先获取待分析IOC对象；可见，该方法可以不区分是否为运营对象来获取待分析的IOC对象，从而使得该方法能够对运营对象和非运营对象都进行有效的分析，进而便于对运营对象进行实时自动的出入管理。然后，该方法再对待分析IOC对象进行监测，得到监测数据记录；可见，该方法能够获取与该待分析IOC对象相关的监测数据，从而使得该方法能够以此数据为基础做出准确的运营判断。在获取到上述监测数据记录之后，该方法可以进一步识别监测数据记录中的监测告警数据；可见，该方法可以在监测数据记录中获取实际与APT有关的告警数据，从而在降低数据量及进行相关的聚合的同时，提高运营判断的针对性，进而提高IOC对象的自动化运营的准确性。再后，该方法可以基于监测告警数据，生成攻击关系图；可见，该方法可以将告警数据转换成图形式，以此来直观的表现攻击关系的溯源情况，从而便于后续步骤对该攻击关系图进行运营评分，得到评分分值，进而实现有效评分的效果，保障IOC对象的运营分析效果。最后，该方法再在评分分值大于预设阈值时，将待分析IOC对象确定为运营对象，并对运营对象进行运营；可见，该方法能够在待分析IOC对象不为运营对象时将其确定为运营对象，并对其进行实时监控；还能够在待分析IOC对象为运营对象时，保持对该IOC对象的持续监控，从而以此来保障IOC对象的自动化运营效果。

进一步地，所述获取待分析IOC对象的步骤包括：

获取与识别出的APT组织相关联的待分析IOC对象；其中，所述待分析IOC对象为IPv4对象、DOMAIN对象、URL对象、MD5对象、样本或邮箱中的一种。

在上述实现过程中，该方法可以将IPv4对象、DOMAIN对象、URL对象、MD5对象、样本或邮箱中的一种确定为待分析的IOC对象，从而使得任何与APT有关的对象都可以参与到该方法中进行自动化运营分析，从而使得该方法能够具有一定的通用性，进而使得该方法能够更好的对IOC对象进行有效的运营。