[发明专利]威胁情报特征库的生成方法、装置、存储介质及处理器

权利要求书

1.一种威胁情报特征库的生成方法，其特征在于，包括：

从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；

确定每个威胁情报数据的优先级；

依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；

通过所述排序后的威胁情报数据生成威胁情报特征库；

在确定每个威胁情报数据的优先级之后，所述方法还包括：若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；

基于所述累加值确定所述目标威胁情报数据的目标优先级；

其中，所述数据源信息至少包括如下之一：所述云端威胁情报平台自身的数据、通过所述威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。

2.根据权利要求1所述的方法，其特征在于，在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，所述方法还包括：

判断所述多个威胁情报数据是否已按照预设排序规则排序；

若所述多个威胁情报数据已按照预设排序规则排序，确定所述的数据源信息为有序数据源信息；

若所述多个威胁情报数据未按照预设排序规则的排序，确定所述数据源信息为无序数据源信息。

3.根据权利要求2所述的方法，其特征在于，确定每个威胁情报数据的优先级包括：

从所述有序数据源信息中获取多个有序威胁情报数据；

确定所述有序数据源信息的第一权重预设值；

若所述有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，所述第一预设分值为所述有序威胁情报数据的优先级初始评分；

根据所述第二预设分值和所述第一权重预设值确定每个威胁情报数据的优先级。

4.根据权利要求2所述的方法，其特征在于，确定每个威胁情报数据的优先级包括：

从所述无序数据源信息中获取多个无序威胁情报数据，确定所述无序数据源信息的第二权重预设值；

将所述第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，所述第三预设分值为所述无序威胁情报数据的优先级初始评分，所述预设随机数值为所述无序数据源信息的随机数值；

基于所述计算结果确定每个威胁情报数据的优先级。

5.根据权利要求1所述的方法，其特征在于，在通过所述排序后的威胁情报数据生成威胁情报特征库之后，所述方法还包括：

通过所述云端威胁情报平台将所述威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

目标防御设备通过所述目标特征库数据发布中心获取所述威胁情报特征库中的威胁情报数据；

基于所述威胁情报特征库中的威胁情报数据对所述网络流量进行检测，得到检测数据；

所述目标防御设备将所述检测数据上传至所述云端威胁情报平台中。

7.一种威胁情报特征库的生成装置，其特征在于，包括：

第一获取单元，用于从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；

第一确定单元，用于确定每个威胁情报数据的优先级；

第一排序单元，用于依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；

第一生成单元，用于通过所述排序后的威胁情报数据生成威胁情报特征库；

其中，所述威胁情报特征库的生成装置还包括：

第一累加单元，用于在确定每个威胁情报数据的优先级之后，若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；第四确定单元，用于基于所述累加值确定所述目标威胁情报数据的目标优先级；

所述数据源信息至少包括如下之一：所述云端威胁情报平台自身的数据、通过所述威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。