[发明专利]网络威胁情报管理方法、装置、计算设备及计算机可读存储介质

说明书

提供了一种网络威胁情报管理方法。该方法包括：获取需要进行时效性判断的网络威胁情报；对所获取到的网络威胁情报进行威胁情报实体解析处理，以从网络威胁情报中解析出适格威胁情报实体；对适格威胁情报实体进行存活性探测处理，以得到适格威胁情报实体的存活状态；基于适格威胁情报实体的存活状态，对网络威胁情报进行时效评估处理，以得到网络威胁情报的时效评估结果；以及输出网络威胁情报的时效评估结果。根据本申请的网络威胁情报管理方法对网络威胁情报中的威胁情报实体进行多维度检测，识别出无效网络威胁情报。在后续操作中，无效网络威胁情报可以被过滤掉，提升了系统的处理效率。此外，针对网络攻击进行的溯源过程的效率得到提高。

技术领域

本申请涉及计算机和互联网安全的领域，尤其涉及一种网络威胁情报管理方法、装置、计算设备以及计算机可读存储介质。

背景技术

计算机和网络技术的快速发展极大地推动了社会的发展。然而，一些具有不良意图的使用者会利用计算机和网络技术实施破坏行为，例如发起网络攻击。为了应对这些网络攻击和保护网络安全，需要对网络威胁情报进行管理。网络威胁情报记录了与网络攻击有关的信息。用户在获得网络威胁情报后，可以对网络攻击提早进行防范。例如，网络威胁情报可能记录了发动网络攻击的网络地址，在获得该网络威胁情报后，用户可以尽早将各设备设置成阻止接收来自该网络地址的信息。这样，当该网络地址发动网络攻击时，攻击命令无法到达和控制用户的设备，使得这些设备及其内部的数据得到保护。

随着网络威胁情报的数量急剧增长，占用的计算资源越来越多。然而，网络攻击经常会发生变化。比如，网络攻击发起者可以先借助某网络地址发起攻击，然后放弃使用该网络地址，甚至之后还能出现该网络地址被正常使用者使用的情况。在这种情况下，针对该网络攻击的网络威胁情报将不再有效。对于无效的网络威胁情报进行处理将大大占用计算资源，并且影响正常使用者的使用。因此，发明人发现，本领域中需要对网络威胁情报进行有效管理的方法，以便及时过滤掉无效的网络威胁情报。这对于网络安全是非常重要的。

发明内容

根据本申请的第一方面，提供了一种网络威胁情报管理方法。所述方法包括：获取需要进行时效性判断的网络威胁情报；对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体；对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态；基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果；以及输出所述网络威胁情报的时效评估结果。

在一些实施例中，基于所述适格威胁情报实体的存活状态，对所述网络威胁情报进行时效评估处理，以得到所述网络威胁情报的时效评估结果包括：响应于所述适格威胁情报实体的存活状态为不存活，确定所述网络威胁情报的时效评估结果为失效；响应于所述适格威胁情报实体的存活状态为存活，进行下述步骤：对所述适格威胁情报实体进行属性收集处理，以得到所述适格威胁情报实体的属性；对所述属性进行属性验证处理，以得到验证结果；以及，基于所述验证结果，确定所述网络威胁情报的时效评估结果。

在一些实施例中，对所获取到的网络威胁情报进行威胁情报实体解析处理，以从所述网络威胁情报中解析出适格威胁情报实体包括：从所获取到的网络威胁情报中解析出IP地址和域名的至少一个。

在一些实施例中，对所述适格威胁情报实体进行存活性探测处理，以得到所述适格威胁情报实体的存活状态包括：对所述IP地址和所述域名的所述至少一个的进行可访问性探测；响应于所述可访问性探测的结果为所述IP地址不可访问或所述域名不可访问，确定所述适格威胁情报实体的存活状态为不存活；以及，响应于所述可访问性探测的结果为所述IP地址和所述域名的所述至少一个可访问，确定所述适格威胁情报实体的存活状态为存活。