[发明专利]一种恶意IOC自动采集方法

权利要求书

1.一种恶意IOC自动采集方法，其特征在于，该方法包括以下步骤：

S1、利用邮件采集器订阅原始威胁情报邮件，并将原始威胁情报邮件汇总存储到同一邮件存储库中；

S2、利用邮件存储库的下载协议获取原始威胁情报邮件内容；

S3、利用解析器将原始威胁情报邮件转化为可读邮件；

S4、设置附件获取器，检测可读邮件中编码函数，处理非法数据并输出最终的附件内容；

S5、提取原始威胁情报邮件内容或附件内容中的威胁情报IOC信息。

2.根据权利要求1所述的一种恶意IOC自动采集方法，其特征在于，所述利用邮件采集器订阅原始威胁情报邮件，并将原始威胁情报邮件存储到同一邮件存储库中还包括以下步骤：

S11、设置邮件采集器，采用多源化搜集方式通过订阅邮件获取IOC的威胁情报源；

S12、将S11步骤中获取的IOC威胁情报邮件收集起来；

S13、通过设置邮件存储库，将S12步骤中收集IOC威胁情报邮件汇总到同一个邮件库中。

3.根据权利要求2所述的一种恶意IOC自动采集方法，其特征在于，所述邮件存储库包括：将不同邮箱运营商接收到的邮件汇总起来，通过代理设置一次邮件转移，可以将国外邮件转移到国内邮箱。

4.根据权利要求1所述的一种恶意IOC自动采集方法，其特征在于，所述邮件存储库的下载协议包括：开启邮箱访问协议或邮局协议版本3。

5.根据权利要求1所述的一种恶意IOC自动采集方法，其特征在于，所述将原始威胁情报邮件转化为可读邮件还包括以下步骤：

S31、设置邮件头部解析器，通过正则匹配和统一码转码获取邮件头部信息；

S32、设置邮件文本内容解析器，通过统一码解码函数获取邮件的文本内容；

S33、设置邮件统一码数据解析器，针对邮件中的多元件数据，将其转化为列表输出。

6.根据权利要求5所述的一种恶意IOC自动采集方法，其特征在于，所述邮件头部解析器、邮件文本内容解析器和邮件多元件数据解析器包含但是不限于统一码与utf-8解析方法。

7.根据权利要求1所述的一种恶意IOC自动采集方法，其特征在于，所述设置附件获取器检测可读邮件中编码函数，处理非法数据并输出最终的附件内容还包括以下步骤：

S41、设置附件获取器，获取附件的文件名，通过统一码解码函数解码出附件数据，处理附件中的非法数据，输出最终的附件内容。

8.根据权利要求1所述的一种恶意IOC自动采集方法，其特征在于，所述提取威胁情报邮件附件内容中威胁情报IOC信息还包括以下步骤：

S51、对于获取邮件附件内容的IOC信息部分进行清洗，去除掉夹杂在IOC信息中的特殊字符，以及转化特殊编码格式生成的IOC信息；

S52、设置威胁情报IP获取器，获取邮件中的威胁情报IP信息；

S53、设置威胁情报文件的哈希算法获取器，针对不同长度的文件的哈希算法，获取威胁情报文件的哈希算法；

S54、通过设计统一资源定位符、域名、威胁情报邮箱对应的正则表达式获取邮件中的设计统一资源定位符、域名、威胁情报邮箱的IOC信息。

9.根据权利要求8所述的一种恶意IOC自动采集方法，其特征在于，所述IP获取器为通过正则表达式结合IP特征设计出从文本中提取威胁情报IP。

10.根据权利要求8所述的一种恶意IOC自动采集方法，其特征在于，所述威胁情报文件哈希算法获取器为通过正则表达式结合哈希算法的特征设计出从文本中提取威胁情报哈希算法的方法。