[发明专利]一种威胁情报提取的方法、系统、设备及可读存储介质

权利要求书

1.一种威胁情报提取的方法，其特征在于，包括：

获取日志文件，并确定所述日志文件中的访问源IP；

确定每个所述访问源IP的类型；

确定每个所述访问源IP的攻击性强度；

确定每个所述访问源IP的活跃情况；

根据所述类型、所述攻击性强度及所述活跃情况生成每个所述访问源IP的威胁情报数据；

其中，在获取日志文件，并确定所述日志文件中的访问源IP之后，还包括：

对每个所述访问源IP的访问次数进行统计，对所述访问次数大于第二阈值的访问源IP进行日志聚合，得到聚合后的日志文件；

所述确定每个所述访问源IP的活跃情况，包括：

根据每个所述访问源IP的访问日志计算每个所述访问源IP的访问频率；

将所述访问频率小于第一阈值的访问源IP标记为低活跃度；

将所述访问频率大于或等于所述第一阈值的访问源IP标记为高活跃度；

并且，所述方法还包括：

确定每个所述访问源IP的访问频率是否具有周期性；

将具有周期性的所述访问源IP的有效期设置为第一有效期；

将不具有周期性且为低活跃度的所述访问源IP的有效期设置为第二有效期；

将不具有周期性且为高活跃度的所述访问源IP的有效期设置为第三有效期；

其中，所述第一有效期大于所述第二有效期大于所述第三有效期。

2.根据权利要求1所述的方法，其特征在于，所述确定每个所述访问源IP的类型，包括：

提取每个所述访问源IP的访问日志中的用户代理字段，并根据所述用户代理字段确定每个所述访问源IP是否为大型互联网出口IP；

根据每个所述访问源IP的开放端口确定每个所述访问源IP是否为互联网数据中心IP、动态IP或代理IP；

根据每个所述访问源IP的访问日志的属性确定每个所述访问源IP是否为所述代理IP。

3.根据权利要求1所述的方法，其特征在于，所述确定每个所述访问源IP的攻击性强度，包括：

通过WEB检测策略识别所述日志文件中的攻击报文，并确定所述攻击报文所属的访问源IP；

根据所述攻击报文所属的访问源IP的攻击与访问特性确定所述攻击报文所属的访问源IP的攻击性强度。

4.一种威胁情报提取的系统，其特征在于，包括：

获取模块，用于获取日志文件，并确定所述日志文件中的访问源IP；

第一确定模块，用于确定每个所述访问源IP的类型；

第二确定模块，用于确定每个所述访问源IP的攻击性强度；

第三确定模块，用于确定每个所述访问源IP的活跃情况；

生成模块，用于根据所述类型、所述攻击性强度及所述活跃情况生成每个所述访问源IP的威胁情报数据；

该系统还包括：

聚合模块，用于对每个访问源IP的访问次数进行统计，对访问次数大于第二阈值的访问源IP进行日志聚合，得到聚合后的日志文件；

该第三确定模块包括：

计算子模块，用于根据每个访问源IP的访问日志计算每个访问源IP的访问频率；

第一标记子模块，用于将访问频率小于第一阈值的访问源IP标记为低活跃度；

第二标记子模块，用于将访问频率大于或等于第一阈值的访问源IP标记为高活跃度；

该第三确定模块还包括：

第六确定子模块，用于确定每个访问源IP的访问频率是否具有周期性；

第一设置子模块，用于将具有周期性的访问源IP的有效期设置为第一有效期；

第二设置子模块，用于将不具有周期性且为低活跃度的访问源IP的有效期设置为第二有效期；

第三设置子模块，用于将不具有周期性且为高活跃度的访问源IP的有效期设置为第三有效期；

其中，第一有效期大于第二有效期大于第三有效期。