[发明专利]威胁情报特征库的生成方法、装置、存储介质及处理器

说明书

本申请公开了一种威胁情报特征库的生成方法、装置、存储介质及处理器。该方法包括：从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；确定每个威胁情报数据的优先级；依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；通过排序后的威胁情报数据生成威胁情报特征库。通过本申请，解决了相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题。

技术领域

本申请涉及网络威胁处理技术领域，具体而言，涉及一种威胁情报特征库的生成方法、装置、存储介质及处理器。

背景技术

随着网络技术的迅速发展，各种网络攻击、数据盗窃和金融诈骗事件不断涌现，特别是近年来的挖矿、勒索事件频发，严重威胁到企业、学校、政府部门等机构的日常工作，为网络空间的安全运行带来了极大威胁和隐患。

现阶段，本地的防御设备除了使用传统的防御方案外，开始逐渐使用威胁情报特征库的技术来增强对威胁或危险的感知能力，由云端威胁情报平台输出本地情报特征库，本地防御设备加载威胁情报特征库后，无需向云端查询，直接在本地即可完成查询和匹配。

但是，本地防御设备的传统检测方案由于本地防御设备的存储是有限的，包括内存，存储等，而威胁情报的数据量是很大的，所以单台设备无法加载所有的情报数据，通常只能加载一定规格的数据，因此会造成本地防御设备检测时的遗漏，且由于威胁情报具有时效性的特征，一些流行的网络攻击通常会只在一段时间内频繁发生，如果本地防御设备加载了过多的过时情报，也会造成漏测的现象，因此，现有技术已经越来越难以应对当前的网络攻击和威胁。

针对相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种威胁情报特征库的生成方法、装置、存储介质及处理器，以解决相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种威胁情报特征库的生成方法。该方法包括：从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；确定每个威胁情报数据的优先级；依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；通过排序后的威胁情报数据生成威胁情报特征库。

进一步地，在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，该方法还包括：判断多个威胁情报数据是否已按照预设排序规则排序；若多个威胁情报数据已按照预设排序规则排序，确定的数据源信息为有序数据源信息；若多个威胁情报数据未按照预设排序规则的排序，确定数据源信息为无序数据源信息。

进一步地，确定每个威胁情报数据的优先级包括：从有序数据源信息中获取多个有序威胁情报数据；确定有序数据源信息的第一权重预设值；若有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，第一预设分值为有序威胁情报数据的优先级初始评分；根据第二预设分值和第一权重预设值确定每个威胁情报数据的优先级。

进一步地，确定每个威胁情报数据的优先级包括：从无序数据源信息中获取多个无序威胁情报数据，确定无序数据源信息的第二权重预设值；将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，第三预设分值为无序威胁情报数据的优先级初始评分，预设随机数值为无序数据源信息的随机数值；基于计算结果确定每个威胁情报数据的优先级。

进一步地，在确定每个威胁情报数据的优先级之后，该方法还包括：若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；基于累加值确定目标威胁情报数据的目标优先级。

进一步地，数据源信息至少包括如下之一：云端威胁情报平台自身的数据、通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。