[发明专利]一种威胁情报提取的方法、系统、设备及可读存储介质

说明书

本申请公开了一种威胁情报提取的方法，包括：获取日志文件，并确定日志文件中的访问源IP；确定每个访问源IP的类型；确定每个访问源IP的攻击性强度；确定每个访问源IP的活跃情况；根据类型、攻击性强度及活跃情况生成每个访问源IP的威胁情报数据。本申请通过对日志文件进行分析来生成威胁情报数据，可以保证威胁情报数据的质量与时效性；同时，不需要通过逆向分析或者自动化沙箱技术提取网络特征，而是利用对应的日志文件的内容对访问源IP的类型、攻击性强度及活跃情况进行分析，能够更高效、准确的提取威胁情报数据。本申请同时还提供了一种威胁情报提取的系统、设备及计算机可读存储介质，具有上述有益效果。

技术领域

本申请涉及数据安全技术领域，特别涉及一种威胁情报提取的方法、系统、设备及计算机可读存储介质。

背景技术

随着威胁情报技术被网络安全领域接受并成为重要的检测手段之后，其中可被机读的威胁指标(Indicator of Compromise，IOC)数据可协同各类检测防御设备，将带有威胁标签的IP或域名进行实时告警与防御。而为了提升检测的准确性并降低误报率，需要IOC具备精准性与时效性。

目前的威胁情报数据大部分来源于病毒文件分析产生的IOC，如文件HASH，恶意域名，恶意IP等，这类数据通过逆向分析或者自动化沙箱技术，提取出网络特征，将其标记为相应的IOC。

然而，病毒文件分析产生的威胁只是各类网络威胁中的一部分，此类方法提取的威胁情报只覆盖了一部分的数据，还有大量来自于黑客发起的主动攻击，漏洞扫描以及针对性攻击等威胁情报数据并未被提取，而且，由于病毒文件的网络对抗会产生大量噪音数据，使得得到的威胁情报数据存在较高的误报率。

因此，如何提取准确并有时效性的威胁情报数据是本领域技术人员目前需要解决的技术问题。

发明内容

本申请的目的是提供一种威胁情报提取的方法、系统、设备及计算机可读存储介质，用于提取准确并有时效性的威胁情报数据。

为解决上述技术问题，本申请提供一种威胁情报提取的方法，该方法包括：

获取日志文件，并确定所述日志文件中的访问源IP；

确定每个所述访问源IP的类型；

确定每个所述访问源IP的攻击性强度；

确定每个所述访问源IP的活跃情况；

根据所述类型、所述攻击性强度及所述活跃情况生成每个所述访问源IP的威胁情报数据。

可选的，所述确定每个所述访问源IP的类型，包括：

提取每个所述访问源IP的访问日志中的用户代理字段，并根据所述用户代理字段确定每个所述访问源IP是否为大型互联网出口IP；

根据每个所述访问源IP的开放端口确定每个所述访问源IP是否为互联网数据中心IP、动态IP或代理IP；

根据每个所述访问源IP的访问日志的属性确定每个所述访问源IP是否为所述代理IP。

可选的，所述确定每个所述访问源IP的攻击性强度，包括：

通过WEB检测策略识别所述日志文件中的攻击报文，并确定所述攻击报文所属的访问源IP；

根据所述攻击报文所属的访问源IP的攻击与访问特性确定所述攻击报文所属的访问源IP的攻击性强度。

可选的，所述确定每个所述访问源IP的活跃情况，包括：

根据每个所述访问源IP的访问日志计算每个所述访问源IP的访问频率；

将所述访问频率小于第一阈值的访问源IP标记为低活跃度；