[发明专利]IOC情报文件生成方法、装置、存储介质及电子设备

说明书

一种IOC情报文件生成方法、装置、存储介质及电子设备，该方法包括：获取终端系统的各个行为事件的事件日志，并将各个所述行为事件的事件日志与预置规则进行匹配；在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID；以所述进程ID为起点向上溯源其父进程ID及向下溯源其子进程ID；将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链；根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点，并根据所述有效节点生成IOC情报文件。本发明根据行为日志与预置规则的碰撞结果来确定风险告警点，并进行溯源，以此可以针对终端未知的威胁自动生成IOC情报文件。

技术领域

本发明情报分析技术领域，特别是涉及一种IOC情报文件生成方法、装置、存储介质及电子设备。

背景技术

OpenIOC是一个记录、定义以及共享安全情报的格式，它可以帮助借助机器可读的形式实现不同类型威胁情报的快速共享，便捷地分享、交流安全情报为针对特定目标攻击检测、响应和防止。

当前在情报共享领域IOC基本针对单一恶意文件的特征生成IOC作为情报文件，比如，通过沙箱分析行为以提取行为取证信息。但是随着终端威胁技术发展，可能已不再通过单个文件作为攻击特征，而是利用多元素攻击和利用，绕过一些安全扫描和检测。即现有技术都是通过单个恶意样本生成IOC情报文件或已知IOC情报文件对终端进行情报扫描检测，并不能对终端未知威胁自动生成IOC情报文件。

发明内容

鉴于上述状况，有必要针对现有技术中终端无法根据未知威胁自动生成IOC的问题，提供一种IOC情报文件生成方法、装置、存储介质及电子设备。

一种IOC情报文件生成方法，包括：

获取终端系统的各个行为事件的事件日志，并将各个所述行为事件的事件日志与预置规则进行匹配；

在当前行为事件的事件日志匹配成功时，提取所述当前行为事件的进程ID；

以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID；

将所述进程ID、所述父进程ID，以及所述子进程ID，以父子关系生成溯源链；

根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点，并根据所述有效节点生成IOC情报文件。

进一步的，上述IOC情报文件生成方法，其中，所述将各个所述行为事件的事件日志与预置规则进行匹配的步骤包括：

将所述事件日志以预定义的字段顺序序列化为json格式；

将所述json格式的事件日志与预置的正则表达式特征规则进行匹配。

进一步的，上述IOC情报文件生成方法，其中，所述根据所述终端系统当前状态下的系统数据确定所述溯源链中的有效节点的步骤包括：

逐个分析所述溯源链中的各个节点，并将各个所述节点的与所述终端系统当前状态下的数据进行匹配；

将匹配成功的所述节点确定为有效节点。

进一步的，上述IOC情报文件生成方法，其中，所述以所述进程ID为起点向上溯源其父进程ID，并以所述进程ID为起点向下溯源其子进程ID的步骤包括：

根据所述进程ID向上逐级查询其父进程ID，以及根据所述进程ID向下逐级查询其子进程ID，并做进程判断或延时操作。

进一步的，上述IOC情报文件生成方法，其中，所述获取终端系统的各个行为事件的事件日志的步骤包括：

通过sysmon监控终端系统的各个行为事件的事件日志。