本申請公開了一種威脅情報生成方法、裝置、設備及存儲介質,涉及信息安全領域,包括:提取針對企業內部網絡安全的告警信息的五元組,聯動終端Agent基于五元組進行告警溯源分析得到分析結果;聯動第三方威脅情報平臺對分析結果進行查詢,基于查詢結果生成初始威脅情報;利用預設雜質清洗模型對初始威脅情報進行清洗,基于預設標準化格式對清洗后的威脅情報進行標準化,生成標準化威脅情報;所述預設雜質清洗模型為對威脅情報中的垃圾情報和冗余情報進行清洗的模型。本申請通過應用于安全編排自動化與響應系統,自動對告警信息進行提取和分析,生成威脅情報,提高生成效率;并且由于告警信息是針對企業內部網絡安全的,提高威脅情報的針對性。情報的針對性。情報的針對性。
【技術實現步驟摘要】
一種威脅情報生成方法、裝置、設備及存儲介質
[0001]本專利技術涉及信息安全領域,特別涉及一種威脅情報生成方法、裝置、設備及存儲介質。
技術介紹
[0002]傳統的網絡安全威脅情報生產方法可以由本地安全工程師查看相關安全資訊網站獲取,但需要專業的安全人員進行數據的收集、分析和驗證。或者,可以基于第三方安全情報服務生成,但通常需要從第三方安全情報服務獲取數據,而這個過程可能會受到許多因素的影響,例如網絡延遲等;并且需要通過互聯網連接到這些服務,但如果這些數據未經加密或未經安全處理,那么攻擊者可能會通過網絡攔截數據包等方式獲取敏感信息;另外,還需要對獲取的來自多個渠道的數據進行分析和驗證,如果分析和驗證的過程不夠嚴謹,可能會導致虛假威脅情報的出現。因此這種方式容易出現響應速度慢、信息泄露風險、數據可靠性問題以及個性化需求等問題。這些缺點和不足可能會使企業面臨未知的安全風險,無法及時發現和處理;同時,情報的可靠性不足,容易導致監控平臺(例:大數據分析系統)產生大量的誤報告警,干擾安全分析人員的日常分析工作,同時增加人力成本和時間成本。
技術實現思路
[0003]有鑒于此,本專利技術的目的在于提供一種威脅情報生成方法、裝置、設備及存儲介質,能夠通過應用于安全編排自動化與響應系統,自動對告警信息進行提取和分析,生成威脅情報,提高生成效率;并且由于告警信息是針對企業內部網絡安全的,提高威脅情報的針對性。其具體方案如下:
[0004]第一方面,本申請提供了一種威脅情報生成方法,應用于安全編排自動化與響應系統,包括:
[0005]提取針對企業內部網絡安全的告警信息的五元組,并聯動終端Agent基于所述五元組進行告警溯源分析,以得到相應的分析結果;
[0006]聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報;
[0007]利用預設雜質清洗模型對所述初始威脅情報進行雜質清洗,并基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報;所述預設雜質清洗模型為對威脅情報中的垃圾情報和冗余情報進行清洗的模型。
[0008]可選的,所述聯動第三方威脅情報平臺對所述分析結果進行查詢之前,還包括:
[0009]對所述分析結果進行正則表達式匹配,以得到HASH類分析結果和C2類分析結果。
[0010]可選的,所述聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報,包括:
[0011]聯動第三方威脅情報平臺查詢所述HASH類分析結果是否已經被標記為惡意狀態;
[0012]若未被標記為惡意狀態,則聯動所述第三方威脅情報平臺和所述終端Agent查詢
所述HASH類分析結果是否觸發過告警;
[0013]若觸發過告警,則基于所述HASH類分析結果生成相應的初始HASH類威脅情報。
[0014]可選的,所述聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報,包括:
[0015]聯動所述第三方威脅情報平臺查詢所述C2類分析結果是否已經被標記為惡意狀態;
[0016]若未被標記為惡意狀態,則基于所述C2類分析結果生成相應的初始C2類威脅情報。
[0017]可選的,所述基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報之后,還包括:
[0018]將所述標準化威脅情報保存至本地威脅情報庫;
[0019]若獲取到所述第三方威脅情報平臺發送的調用請求,則從所述本地威脅情報庫中獲取與所述調用請求對應的所述標準化威脅情報。
[0020]可選的,所述基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報之后,還包括:
[0021]利用與所述第三方威脅情報平臺對應的威脅情報格式對所述標準化威脅情報進行格式更改,以得到更改后的威脅情報;
[0022]將所述更改后的威脅情報推送至所述第三方威脅情報平臺,并基于所述第三方威脅情報平臺提供的預設接口對所述本地威脅情報庫中的威脅情報進行新增操作和/或更新操作。
[0023]可選的,所述基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報之后,還包括:
[0024]根據所述標準化威脅情報從soar劇本中確定出基于情報的威脅狩獵方式;所述soar劇本包括不同類型的威脅狩獵方式;
[0025]聯動所述第三方威脅情報平臺利用所述標準化威脅情報對歷史日志進行基于情報的威脅狩獵,以查找出當前企業內部中與所述標準化威脅情報相應類型的網絡安全威脅。
[0026]第二方面,本申請提供了一種威脅情報生成裝置,應用于安全編排自動化與響應系統,包括:
[0027]五元組提取模塊,用于提取針對企業內部網絡安全的告警信息的五元組;
[0028]五元組分析模塊,用于聯動終端Agent基于所述五元組進行告警溯源分析,以得到相應的分析結果;
[0029]初始情報生成模塊,用于聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報;
[0030]標準化情報生成模塊,用于利用預設雜質清洗模型對所述初始威脅情報進行雜質清洗,并基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報;所述預設雜質清洗模型為對威脅情報中的垃圾情報和冗余情報進行清洗的模型。
[0031]第三方面,本申請提供了一種電子設備,包括:
[0032]存儲器,用于保存計算機程序;
[0033]處理器,用于執行所述計算機程序以實現前述的威脅情報生成方法。
[0034]第四方面,本申請提供了一種計算機可讀存儲介質,用于保存計算機程序,所述計算機程序被處理器執行時實現前述的威脅情報生成方法。
[0035]本申請中,提取針對企業內部網絡安全的告警信息的五元組,并聯動終端Agent基于所述五元組進行告警溯源分析,以得到相應的分析結果;聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報;利用預設雜質清洗模型對所述初始威脅情報進行雜質清洗,并基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報;所述預設雜質清洗模型為對威脅情報中的垃圾情報和冗余情報進行清洗的模型。由此可見,一方面,本申請通過應用于安全編排自動化與響應系統,自動對告警信息進行提取得到五元組,并聯動終端Agent和第三方威脅情報平臺自動對五元組進行分析和查詢,生成初始威脅情報,從而減少人工參與,提高自動化能力,縮短生成時間,提高生成效率,并通過應用于安全編排自動化與響應系統,緩解了應用于第三方威脅情報平臺所帶來的響應速度慢、信息泄露風險等問題;另一方面,由于告警信息是針對企業內部網絡安全的,因此生成的威脅情報也可以反映出企業內部實際情況,從而提高了威脅情報的針對性,也可以更好地滿足企業的個性化需求;并且,本申請通過對初始威脅情報進行雜質清洗,可以提高威脅情報的可信度。
附圖說本文檔來自技高網...
【技術保護點】
【技術特征摘要】
1.一種威脅情報生成方法,其特征在于,應用于安全編排自動化與響應系統,包括:提取針對企業內部網絡安全的告警信息的五元組,并聯動終端Agent基于所述五元組進行告警溯源分析,以得到相應的分析結果;聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報;利用預設雜質清洗模型對所述初始威脅情報進行雜質清洗,并基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報;所述預設雜質清洗模型為對威脅情報中的垃圾情報和冗余情報進行清洗的模型。2.根據權利要求1所述的威脅情報生成方法,其特征在于,所述聯動第三方威脅情報平臺對所述分析結果進行查詢之前,還包括:對所述分析結果進行正則表達式匹配,以得到HASH類分析結果和C2類分析結果。3.根據權利要求2所述的威脅情報生成方法,其特征在于,所述聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報,包括:聯動第三方威脅情報平臺查詢所述HASH類分析結果是否已經被標記為惡意狀態;若未被標記為惡意狀態,則聯動所述第三方威脅情報平臺和所述終端Agent查詢所述HASH類分析結果是否觸發過告警;若觸發過告警,則基于所述HASH類分析結果生成相應的初始HASH類威脅情報。4.根據權利要求2所述的威脅情報生成方法,其特征在于,所述聯動第三方威脅情報平臺對所述分析結果進行查詢,并基于查詢結果生成相應的初始威脅情報,包括:聯動所述第三方威脅情報平臺查詢所述C2類分析結果是否已經被標記為惡意狀態;若未被標記為惡意狀態,則基于所述C2類分析結果生成相應的初始C2類威脅情報。5.根據權利要求1所述的威脅情報生成方法,其特征在于,所述基于預設標準化格式對清洗后的威脅情報進行標準化,以生成標準化威脅情報之后,還包括:將所述標準化威脅情報保存至本地威脅情報庫;若獲取到所述第三方威脅情報平臺發送的調用請求,則從所述本地威脅情報庫中獲取與所述調用請求對應的所述標準化威脅情報。6....
【專利技術屬性】
技術研發人員:宋振,劉書航,
申請(專利權)人:江蘇安恒網絡安全有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。