[发明专利]基于外部威胁情报分析的资产安全预警方法及装置

说明书

本发明公开了一种基于外部威胁情报分析的资产安全预警方法及装置，具体通过采集最新的源自国内外权威机构发布的威胁情报信息，并对采集威胁情报信息进行同类信息去重合并，生成外部威胁情报库中最终的威胁情报信息；然后，根据形成的外部威胁情报库中威胁情报的属性信息，检测内部受威胁资产信息库中是否存在受威胁设备。由于外部威胁情报库中的情报信息来源泛，因此可以实现对各威胁情报发布平台所发布的威胁情报信息的互补，形成内容全面、准确且及时性高的外部威胁情报库。同时，利用上述外部威胁情报库对目标网络中的资产设备进行安全预警时，可以避免只采用单一威胁情报平台发布的信息进行时，情报信息过于单一的问题。

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种基于外部威胁情报分析的资产安全预警方法及装置。

背景技术

随着互联网的快速发展，信息安全攻击的方式已经从“广撒网”、“简单粗暴”转变为“精准化的定向攻击”、“精细化的DDOS(Distributed Denial of Service，分布式拒绝服务)”。这些攻击行为在攻击之前都会对攻击对象进行精确的信息收集，主动挖掘被攻击对象受信系统及相关漏洞，然后择机对目标对象进行攻击。因此，如何在攻击发生之前，对可能发生的攻击进行准确、及时预警，成为当下企业亟待解决的安全问题。

为实现企业资产在信息安全方面的防护，目前通常在网络节点服务器安装漏洞威胁预警系统，并利用该系统从某个公开威胁情报发布平台(如国家信息安全漏洞库、中国国家信息安全漏洞库等)获取漏洞信息。然后，从获取的漏洞信息中解析取出漏洞属性值(如设备类型、解决方案等)。最后，以解析出的属性值为条件，从其内部存储的资产信息库中查找符合条件的资产，如果匹配成功，则认为该资产存在漏洞或有被威胁利用的可能，便会生成相应的预警信息、以及在该资产的显示页面上展现该预警信息。

但是，由于上述漏洞威胁预警系统只采集某一个公开威胁情报平台发布的信息，所以导致采集的情报信息过于单一，无法保证情报的全面性及准确性，甚至有可能会错失重要情报信息。

发明内容

本发明提供了一种基于外部威胁情报分析的资产安全预警方法及装置，以解决现有技术外部情报获取途径单一，无法确保预警的准确性、及时性及全面性的问题。

根据本发明实施例的第一方面，提供了一种基于外部威胁情报分析的资产安全预警方法，该方法包括：

对从多个威胁情报发布平台采集到的各威胁情报进行属性信息解析；

根据解析得到的各所述威胁情报的属性信息，对各所述威胁情报进行同类情报合并去重，形成外部威胁情报库；

根据所述外部威胁情报库中威胁情报的属性信息，判断目标网络的内部受威胁资产信息库中是否存在受威胁设备；

如果存在受威胁设备，则根据所述受威胁设备的资产信息、以及与所述受威胁设备相匹配的威胁情报的属性信息，生成所述受威胁设备的安全预警信息。

可选地，所述内部受威胁资产信息库的生成方法包括：

根据内部资产信息采集任务，确认目标网络中的被采集设备；

利用采集服务器登录所述被采集设备，以及在所述被采集设备上执行设备类型探测脚本，检测所述被采集设备的设备类型；

根据所述被采集设备的设备类型，所述采集服务器在所述被采集设备上执行相应的资产信息采集脚本，以采集所述被采集设备的资产信息；

根据所述采集服务器采集到的资产信息的解析结果，形成内部受威胁资产信息库。

可选地，在所述被采集设备上执行设备类型探测脚本，检测所述被采集设备的设备类型，包括：

根据从预设设备信息库中获取到的所述被采集设备的设备类型信息，向所述被采集设备下发与所述设备类型信息相匹配的初始设备类型探测脚本；