[发明专利]一种威胁情报识别方法、装置、系统及可读存储介质

权利要求书

1.一种威胁情报识别方法，其特征在于，包括：

向目标服务器发送获取威胁情报请求，所述威胁情报请求包括威胁情报信息，以便所述目标服务器根据所述威胁情报信息从自身的威胁情报数据库中确定出目标威胁情报数据；

接收所述目标服务器返回的所述目标威胁情报数据，并根据所述目标威胁情报数据确定出各个数据项信息；所述数据项信息包括数据项名称及数据项数值信息；

获取预先建立的、与所述目标服务器对应的威胁情报规则库，所述威胁情报规则库包括数据项名称的对应关系以及对应的数值转换关系；

根据各个所述数据项信息及所述威胁情报规则库，确定出与每个所述数据项信息各自对应的原始数据项名称及与所述原始数据项名称对应的当前数值信息。

2.根据权利要求1所述的威胁情报识别方法，其特征在于，与所述目标服务器对应的威胁情报规则库的建立过程为：

从与自身服务器对应的、预先建立的威胁情报样本库中抽取多个威胁情报样本；

针对每个所述威胁情报样本，根据所述威胁情报样本生成获取请求；

将所述获取请求发送至目标服务器，以便所述目标服务器根据所述获取请求信息从自身的数据库中确定出所有的威胁情报响应信息；

接收所述目标服务器返回的威胁情报响应信息，并得到所述威胁情报响应信息中的各个数据项的第一数据项名称及与每个所述数据项名称各自对应的第一数值信息；

从所述威胁情报样本库中提取出所有数据项，并确定出每个所述数据项各自的所有第二数据项名称；各个所述第二数据项名称中包括原始数据项名称；

针对每个所述第一数据项名称，将所有的所述第二数据项名称与所述第一数据项名称分别进行对比，当存在与所述第一数据项名称一致的第二数据项名称时，确定出与所述第一数据项名称对应的原始数据项名称，以建立每个原始数据项名称与各自对应的第一数据项名称之间的数据项名称的对应关系；

根据与所述原始数据项名称对应的数值及与相应的第一数据项名称对应的数值，确定出与所述原始数据项名称和所述第一数据项名称对应的数据项数值之间的数值转换关系；

根据每个所述数据项名称的对应关系和对应的数值转化关系，建立与所述目标服务器对应的威胁情报规则库。

3.根据权利要求2所述的威胁情报识别方法，其特征在于，所述将所述获取请求发送至目标服务器的过程为：

获取目标服务器的接口定义信息；

根据所述接口定义信息将所述获取请求发送至所述目标服务器。

4.根据权利要求3所述的威胁情报识别方法，其特征在于，所述接口定义信息包括：

接口地址、请求参数定义、请求参数示例以及请求头。

5.根据权利要求3所述的威胁情报识别方法，其特征在于，所述获取目标服务器的接口定义信息的过程为：

通过curl命令获取目标服务器的接口定义信息。

6.根据权利要求2所述的威胁情报识别方法，其特征在于，所述根据所述威胁情报样本生成获取请求的过程为：

提取所述威胁情报样本的关键词，并根据所述关键词生成获取请求。

7.一种威胁情报识别装置，其特征在于，包括：

发送模块，用于向目标服务器发送获取威胁情报请求，所述威胁情报请求包括威胁情报信息，以便所述目标服务器根据所述威胁情报信息从自身的威胁情报数据库中确定出目标威胁情报数据；

接收模块，用于接收所述目标服务器返回的所述目标威胁情报数据，并根据所述目标威胁情报数据确定出各个数据项信息；所述数据项信息包括数据项名称及数据项数值信息；

获取模块，用于获取预先建立的、与所述目标服务器对应的威胁情报规则库，所述威胁情报规则库包括数据项名称的对应关系以及对应的数值转换关系；

匹配模块，用于根据各个所述数据项信息及所述威胁情报规则库，确定出与每个所述数据项信息各自对应的原始数据项名称及与所述原始数据项名称对应的当前数值信息。