申请/专利权人：奇安信科技集团股份有限公司

申请日：2018-11-28

公开（公告）日：2024-04-19

公开（公告）号：CN109740344B

主分类号：G06F21/55

分类号：G06F21/55

优先权：

专利状态码：有效-授权

法律状态：2024.04.19#授权;2019.07.30#著录事项变更;2019.06.04#实质审查的生效;2019.05.10#公开

摘要：本发明公开了一种威胁情报模型建立方法，适用于数据处理领域，该方法包括：获取威胁情报内的攻击事件，该威胁情报包括多个攻击事件，对攻击事件进行预处理，得到攻击事件的元特征和元特征之间属性关系，将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。本发明还公开了一种威胁情报模型建立装置、电子设备及存储介质，提高威胁情报模型的可视性。

主权项：1.一种威胁情报模型建立方法，其特征在于，包括：获取威胁情报内的攻击事件，所述威胁情报包括多个攻击事件；对所述攻击事件进行预处理，得到所述攻击事件的元特征和所述元特征之间属性关系；将所述元特征作为节点，所述元特征之间属性关系作为连接节点的线段，建立威胁情报模型；其中，所述元特征包括攻击发起对象和威胁特征，所述元特征之间属性关系是指两个元特征之间发生的某种动作或隶属关系，所述威胁情报模型用于发掘攻击发起对象的元特征和元特征之间的多维属性关系；所述属性关系至少包括下列关系之一：使用、访问、包含、释放、注册、绑定、认定、位于，其中，在所述攻击事件中，元特征之间由属性关系相互联系。

全文数据：威胁情报模型建立方法、装置、电子设备及存储介质技术领域本发明涉及数据处理技术领域，尤其涉及一种威胁情报模型建立方法、装置、电子设备及存储介质。背景技术面对日益严峻的网络安全形势，如何及时的有效的处理网络攻击，是各组织和企业关注的核心问题。随着虚拟化和云计算技术的发展，大型数据中心虚拟化程度越来越高，网络边界变得日益模糊。与此同时，高级持续威胁AdvancedPersistentThreat，APT攻击成为大众关注的焦点，APT攻击还被称作“针对特定目标”的攻击，是一种有组织、有特定目标、持续时间极长的新型攻击。因此，如何将已发生的攻击进行准确、清楚的描述，以用来分析后续可能的威胁行为，成为当下企业亟待解决的安全问题。发明内容本发明的主要目的在于提供一种威胁情报模型建立方法、装置、电子设备及存储介质，提高现有威胁情报模型的可视性。为实现上述目的，本发明实施例第一方面提供一种威胁情报模型建立方法，包括：获取威胁情报内的攻击事件，所述威胁情报包括多个攻击事件；对所述攻击事件进行预处理，得到所述攻击事件的元特征和所述元特征之间属性关系；将所述元特征作为节点，所述元特征之间属性关系作为连接节点的线段，建立威胁情报模型。本发明实施例第二方面提供一种的威胁情报模型建立装置，包括：获取模块，用于获取威胁情报内的攻击事件，所述威胁情报包括多个攻击事件；预处理模块，用于对所述攻击事件进行预处理，得到所述攻击事件的元特征和所述元特征之间属性关系；建立模块，用于将所述元特征作为节点，所述元特征之间属性关系作为连接节点的线段，建立威胁情报模型。本发明实施例第三方面提供了一种电子设备，包括：存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现本发明实施例第一方面提供的威胁情报模型建立方法。本发明实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例第一方面提供的威胁情报模型建立方法。从上述本发明实施例可知，本发明提供的威胁情报模型建立方法、装置、电子设备及存储介质，在本发明实施例中，通过获取威胁情报内的攻击事件，并对攻击事件进行预处理，得到攻击事件的元特征和元特征之间属性关系，然后将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。可提高威胁情报模型的可视性，找出攻击发起对象的元特征和元特征之间的多维属性关系。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明一实施例提供的威胁情报模型建立方法的流程示意图；图2为本发明另一实施例提供的威胁情报模型建立方法的流程示意图；图3为本发明另一实施例提供的威胁情报模型的示意图；图4为本发明又一实施例提供的威胁情报模型建立装置的结构示意图；图5示出了一种电子设备的硬件结构图。具体实施方式为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。请参阅图1，图1为本发明一实施例提供的威胁情报模型建立方法的流程示意图，该方法可应用于电子设备中，电子设备可包括：手机、平板电脑PortableAndroidDevice，PAD，笔记本电脑以及个人数字助理PersonalDigitalAssistant，PDA等，该方法包括以下步骤：S101、获取威胁情报内的攻击事件，该威胁情报包括多个攻击事件；威胁情报是指关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据，其由攻击事件组成。攻击事件是指通过攻击团伙通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。可理解的，在本发明实施例中，攻击事件的数量应为多个，以增大威胁情报模型的完整性，便于后续威胁入侵的关联分析。S102、对攻击事件进行预处理，得到攻击事件的元特征和该元特征之间属性关系；元特征是指描述攻击事件的最小属性单元，例如，一条学生信息记录，其中包括字段姓名name、年龄age、性别male、班级class等，那么元特征为name、age、male、class。在本发明实施例中，一个攻击事件，其元特征为时间戳、阶段侦察、武器化、剥削、结果成功、失败、机密性受到损害、完整性受到损害、方向单向、双向、方法鱼叉式网络钓鱼、拒绝服务攻击以及成功完成事件活动所需的外部资源。具体的，例如，攻击发起对象APT_Group、攻击中间人attack_mid、团伙别名group_alias、攻击域名attack_domain、注册邮箱reg_email、文件名file_name、程序数据库文件ProgramDatabaseFile，PDB、文件路径file_path以及互斥量mutex等。属性关系是指两个元特征之间发生的某种动作或隶属关系，例如，使用use、访问access、包含Contain、释放Release、注册Reg、绑定Bind、认定Is、位于At等。S103、将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。其中，节点表示攻击事件的元特征，连接两个节点的线段表示元特征之间的属性关系。例如，节点file_hash与节点file_name之间表示file_hash使用的文件名称。在本发明实施例中，通过获取威胁情报内的攻击事件，并对攻击事件进行预处理，得到攻击事件的元特征和元特征之间属性关系，然后将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。可提高威胁情报模型的可视性，找出攻击发起对象的元特征和元特征之间的多维属性关系。请参阅图2，图2为图2为本发明另一实施例提供的威胁情报模型建立方法的流程示意图，该方法可应用与电子设备，该方法包括以下步骤：S201、获取威胁情报内的攻击事件，该威胁情报包括多个攻击事件；威胁情报由多个攻击事件组成。例如，APT攻击团伙通过钓鱼攻击的方式诱骗被攻击对象通过超文本转移协议Hypertexttransferprotocol，HTTP下载特殊的多文本格式RichTextFormat，RTF文档附件。S202、对攻击事件进行预处理，得到攻击事件的元特征和元特征之间属性关系，该元特征包括攻击发起对象和威胁特征；根据节点的分类，元特征大致可分为攻击发起对象和威胁特征两类。其中，攻击发起对象APT_Group，即攻击实体、攻击团伙名称、攻击对手。威胁特征，即攻击中间人attack_mid、团伙别名group_alias、攻击域名attack_domain、注册邮箱reg_email、文件名file_name、程序数据库文件ProgramDatabaseFile，PDB、文件路径file_path以及互斥量mutex等。在完整的攻击事件中，元特征之间由属性关系相互联系，例如，元特征为攻击发起对象APT_Group和团伙别名group_alias，两者之间的属性关系为别名alias，表示在此攻击事件中攻击发起对象的团伙别名。具体的，USE代表两个节点之间的关系为使用被使用，例如：某Campaign使用了某个域名IPURLMD5，某个域名使用某IP作为解析地址。ACCESS代表两个节点之间的关系为访问被访问，例如：某HASH访问了某域名IP。CONTAIN代表两个节点之间的关系为包含被包含，例如：某个HASH里面包含了某个互斥体。RELEASE代表的是两个节点之间关系为释放被释放，例如：一个HASH文件释放了另一个HASH。REG代表注册，某实体注册了邮箱。BIND代表绑定，例如，某IP绑定了一个域名。IS代表认定某个事件或实体。AT代表位于，例如，某实体在某地点进行了某种活动。S203、将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。请参阅图3，图3为本发明另一实施例提供的威胁情报模型的示意图，通过该威胁情报模型，可知道攻击组织的相关元特征，找出元特征之间的多维属性关系。其中，如图3所示，子节点可划分为多级。例如，一级子节点、二级子节点等。示例性的，父节点和一级子节点及其之间的属性关系如表1：表1父节点一级子节点属性关系APT_GroupIPAttackAPT_GroupMachineIDAttackAPT_GroupIPUseAPT_GroupDomainUseAPT_GroupMachineIDUseAPT_GroupSampleHashUseGroupAliasAPTGroupAlias示例性的，一级子节点和二级子节点及其之间的属性关系如表2：表2一级子节点二级子节点属性关系Attck_domainregregistorAttck_domainregreg_emailAttck_domainatcreated_dateAttck_domainbindattck_ipAttck_domainusefile_hashfile_hashcontainpdbfile_hashusefile_namefile_hashusefile_pathfile_hashusemutex在本发明实施例中，通过获取威胁情报内的攻击事件，并对攻击事件进行预处理，得到攻击事件的元特征和元特征之间属性关系，然后将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。可提高威胁情报模型的可视性，找出攻击发起对象的元特征和元特征之间的多维属性关系。请参阅图4，图4为本发明又一实施例提供的威胁情报模型建立装置的结构示意图，该装置可内置于电子设备，该装置包括：获取模块301、预处理模块302和建立模块303。获取模块301，用于获取威胁情报内的攻击事件，该威胁情报包括多个攻击事件。威胁情报是指威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据，其由攻击事件组成。攻击事件是指通过攻击团伙通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。预处理模块302，用于对攻击事件进行预处理，得到攻击事件的元特征和元特征之间属性关系。元特征是指描述攻击事件的最小属性单元，例如，一条学生信息记录，其中包括字段姓名name、年龄age、性别male、班级class等，那么元特征为name、age、male、class。在本发明实施例中，一个攻击事件，其元特征的类型可分为时间戳、阶段侦察、武器化、剥削、结果成功、失败、机密性受到损害、完整性受到损害、方向单向、双向、方法鱼叉式网络钓鱼、拒绝服务攻击以及成功完成事件活动所需的外部资源。具体的，例如，攻击发起对象APT_Group、攻击中间人attack_mid、团伙别名group_alias、攻击域名attack_domain、注册邮箱reg_email、文件名file_name、程序数据库文件ProgramDatabaseFile，PDB、文件路径file_path以及互斥量mutex等。属性关系是指两个元特征之间发生的某种动作或使用关系，例如，使用use、访问access、包含Cotain、释放Release、注册Reg、绑定Bind、认定Is、位于At等。建立模块303，用于将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。其中，节点表示攻击事件的元特征，连接两个节点的线段表示元特征之间的属性关系。例如，节点file_hash与节点file_name之间表示file_hash使用的文件名称file_name。在本发明实施例中，通过获取威胁情报内的攻击事件，并对攻击事件进行预处理，得到攻击事件的元特征和元特征之间属性关系，然后将元特征作为节点，元特征之间属性关系作为连接节点的线段，建立威胁情报模型。可提高威胁情报模型的可视性、找出攻击发起对象的元特征和元特征之间的多维属性关系。请参见图5，图5示出了一种电子设备的硬件结构图。本实施例中所描述的电子设备，包括：存储器41、处理器42及存储在存储器41上并可在处理器上运行的计算机程序，处理器执行该程序时实现前述图1或图2所示实施例中描述的威胁情报模型建立方法。进一步地，该电子设备还包括：至少一个输入设备43；至少一个输出设备44。上述存储器41、处理器42输入设备43和输出设备44通过总线45连接。其中，输入设备43具体可为摄像头、触控面板、物理按键或者鼠标等等。输出设备44具体可为显示屏。存储器41可以是高速随机存取记忆体RAM，RandomAccessMemory存储器，也可为非不稳定的存储器non-volatilememory，例如磁盘存储器。存储器41用于存储一组可执行程序代码，处理器42与存储器41耦合。进一步地，本发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以是设置于上述各实施例中的终端中，该计算机可读存储介质可以是前述图5所示实施例中的存储器。该计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现前述图1或图2所示实施例中描述的威胁情报模型建立方法。进一步地，该计算机可存储介质还可以是U盘、移动硬盘、只读存储器ROM，Read-OnlyMemory、随机存取存储器RAM，RandomAccessMemory、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来。需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本发明所必须的。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。以上为对本发明所提供的一种威胁情报模型建立方法、装置、电子设备及存储介质的描述，对于本领域的技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。

权利要求：1.一种威胁情报模型建立方法，其特征在于，包括：获取威胁情报内的攻击事件，所述威胁情报包括多个攻击事件；对所述攻击事件进行预处理，得到所述攻击事件的元特征和所述元特征之间属性关系；将所述元特征作为节点，所述元特征之间属性关系作为连接节点的线段，建立威胁情报模型。2.根据权利要求1所述的方法，其特征在于，所述元特征包括攻击发起对象和威胁特征。3.根据权利要求2所述的方法，其特征在于，所述节点包括父节点和子节点；所述父节点表示所述攻击发起对象，所述子节点表示所述威胁特征。4.根据权利要求1至3任意一项所述的方法，其特征在于，所述将所述元特征和属性关系输入给预置的威胁情报模型包括：将所述攻击发起对象作为父节点、所述威胁特征作为子节点输入给预置的威胁情报模型。5.一种威胁情报模型建立装置，其特征在于，包括：获取模块，用于获取威胁情报内的攻击事件，所述威胁情报包括多个攻击事件；预处理模块，用于对所述攻击事件进行预处理，得到所述攻击事件的元特征和所述元特征之间属性关系；建立模块，用于将所述元特征作为节点，所述元特征之间属性关系作为连接节点的线段，建立威胁情报模型。6.根据权利要求5所述的装置，其特征在于，所述预处理模块内的所述元特征包括攻击发起对象和威胁特征。7.根据权利要求6所述的装置，其特征在于，所述输入模块中内的所述节点包括父节点和子节点；所述父节点表示所述攻击发起对象，所述子节点表示所述威胁特征。8.根据权利要求5至7任意一项所述的装置，其特征在于，所述输入模块具体用于将所述攻击发起对象作为父节点、所述威胁特征作为子节点输入给预置的威胁情报模型。9.一种电子设备，包括：存储器，处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时，实现权利要求1至4中的任一项所述的威胁情报模型建立方法中的各个步骤。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现权利要求1至4中的任一项所述的威胁情报模型建立方法中的各个步骤。

百度查询： 奇安信科技集团股份有限公司 威胁情报模型建立方法、装置、电子设备及存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD