[发明专利]网络威胁情报管理方法、装置、计算设备及计算机可读存储介质

权利要求书

1.一种网络威胁情报管理方法，其特征在于，所述方法包括：

获取需要进行时效性判断的网络威胁情报；

对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体；

对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态；

基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果；以及

输出所述网络威胁情报的时效评估结果。

2.根据权利要求1所述的方法，其中，基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果包括：

响应于所述适格威胁情报实体的存活状态为不存活，确定所述网络威胁情报的时效评估结果为失效；

响应于所述适格威胁情报实体的存活状态为存活，执行下述步骤：

对所述适格威胁情报实体进行属性收集处理，以得到所述适格威胁情报实体的属性，

对所述属性进行属性验证处理，以得到验证结果，以及

基于所述验证结果，确定所述网络威胁情报的时效评估结果。

3.根据权利要求2所述的方法，其中，对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体包括：

从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。

4.根据权利要求3所述的方法，其中，对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态包括：

对所述IP地址和所述域名的所述至少一个的进行可访问性探测；

响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问，确定所述适格威胁情报实体的存活状态为不存活；以及

响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问，确定所述适格威胁情报实体的存活状态为存活。

5.根据权利要求3所述的方法，其中所述适格威胁情报实体包括所述域名；

对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报和/或对公开的网络威胁情报资源进行域名过期时间收集处理，以得到所述域名的域名过期时间；

对所述属性进行属性验证处理包括：确定所述域名过期时间是否在即时时间之前；并且，

基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述域名过期时间在所述即时时间之前，确定所述网络威胁情报的时效评估结果为失效；以及，响应于所述域名过期时间与所述即时时间相同或在所述即时时间之后，确定所述网络威胁情报的时效评估结果为有效。

6.根据权利要求3所述的方法，其中所述适格威胁情报实体包括所述域名；

对所述适格威胁情报实体进行属性收集处理包括：对所述网络威胁情报进行注册备案信息解析处理，以得到所述域名的待验证注册备案信息；

对所述属性进行属性验证处理包括：对公开的网络威胁情报资源进行注册备案信息查询处理，以得到所述域名的经验证注册备案信息；以及，确定所述经验证注册备案信息与所述待验证注册备案信息是否相同；并且，

基于所述验证结果，确定所述网络威胁情报的时效评估结果包括：响应于所述经验证注册备案信息与所述待验证注册备案信息不同，确定所述网络威胁情报的时效评估结果为失效；以及，响应于所述经验证注册备案信息与所述待验证注册备案信息相同，确定所述网络威胁情报的时效评估结果为有效。