[发明专利]一种威胁情报获取方法、装置、设备及存储介质

权利要求书

1.一种威胁情报获取方法，其特征在于，包括：

从威胁情报基础库中确定待处理的目标威胁情报；

通过外部关联感知方式及内部关联感知方式，获取与所述目标威胁情报关联的关联威胁情报；

将所述关联威胁情报与所述威胁情报基础库进行对比确定新威胁情报，并将所述新威胁情报存储至所述威胁情报基础库。

2.根据权利要求1所述的威胁情报获取方法，其特征在于，若所述目标威胁情报为目标域名，则通过外部关联感知方式获取与所述目标威胁情报关联的关联威胁情报，包括以下方式中的至少一者：

通过DNS协议获取与所述目标域名关联的关联威胁情报；

通过WHOIS协议获取与所述目标域名关联的关联威胁情报；

从互联网爬取与所述目标域名关联的关联威胁情报。

3.根据权利要求2所述的威胁情报获取方法，其特征在于，所述通过DNS协议获取与所述目标域名关联的关联威胁情报，包括以下方式中的至少一者：

通过DNS协议的A记录获取与所述目标域名关联的IP；

通过DNS协议的CNAME记录获取与所述目标域名关联的域名；

通过DNS协议的MX记录获取与所述目标域名关联的邮件。

4.根据权利要求2所述的威胁情报获取方法，其特征在于，若所述目标威胁情报为目标IP，则通过外部关联感知方式获取与所述目标威胁情报关联的关联威胁情报，包括以下方式中的至少一者：

通过DNS协议的A记录获取与所述目标IP关联的关联威胁情报；

通过IP WHOIS协议获取与所述目标IP关联的关联威胁情报；

从互联网爬取与所述目标IP关联的关联威胁情报。

5.根据权利要求4所述的威胁情报获取方法，其特征在于，若所述关联威胁情报包括邮箱，则所述威胁情报获取方法还包括：

根据WHOIS协议获取与所述邮箱关联的第一关联域名；

根据IP WHOIS协议获取与所述邮箱关联的第一关联IP；

将所述第一关联域名和所述第一关联IP作为关联威胁情报。

6.根据权利要求4所述的威胁情报获取方法，其特征在于，若所述关联威胁情报包括关联文件，则所述威胁情报获取方法还包括：

在沙箱内运行所述关联文件，并获取所述关联文件运行时连接的第二关联域名和第二关联IP，并将所述第二关联域名和所述第二关联IP作为关联威胁情报。

7.根据权利要求1所述的威胁情报获取方法，其特征在于，通过内部关联感知方式获取与所述目标威胁情报关联的关联威胁情报，包括：

从内部流量数据、内部日志数据、内部用户数据中的任意一者中，获取与所述目标威胁情报关联的关联威胁情报。

8.一种威胁情报获取装置，其特征在于，包括：

确定模块，用于从威胁情报基础库中确定待处理的目标威胁情报；

第一获取模块，用于通过外部关联感知方式及内部关联感知方式，获取与所述目标威胁情报关联的关联威胁情报；

对比模块，用于将所述关联威胁情报与所述威胁情报基础库进行对比确定新威胁情报；

存储模块，用于将所述新威胁情报存储至所述威胁情报基础库。

9.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的威胁情报获取方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的威胁情报获取方法的步骤。