[发明专利]一种威胁情报识别方法、装置、系统及可读存储介质

说明书

本发明公开了一种威胁情报识别方法、装置、系统及计算机可读存储介质，包括向目标服务器发送获取威胁情报请求，威胁情报请求包括威胁情报信息，以便目标服务器根据威胁情报信息从自身的威胁情报数据库中确定出目标威胁情报数据；接收目标服务器返回的目标威胁情报数据，根据目标威胁情报数据确定出各个数据项信息；数据项信息包括数据项名称及数据项数值信息；获取预先建立的、与目标服务器对应的威胁情报规则库，威胁情报规则库包括数据项名称的对应关系以及对应的数值转换关系；根据各个数据项信息及威胁情报规则库，确定出与每个数据项信息各自对应的原始数据项名称及与原始数据项名称对应的当前数值信息；识别效率高、实现方式简单便于维护。

技术领域

本发明实施例涉及威胁情报技术领域，特别是涉及一种威胁情报识别方法、装置、系统及计算机可读存储介质。

背景技术

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，这些知识与资产所面临已有的或酝酿中的威胁或危害相关。在安全从业者的角度，是指一些入侵威胁指标，可用于判定这些指标是否对系统存在安全威胁。

威胁情报是某种基于证据的知识，不同的组织机构对于这种知识都有不同程度的储备，储备的数量和质量是组织的核心竞争力之一。对于情报使用者来说，不同组织的知识进行交换或归集，可能达到最好的利用效果。

组织之间进行威胁情报情报交换时，对情报的理解类似，但表现形式不同，在数据结构组织上，各自的表现形式是有差异的。比如“情报置信度”的表述，可以使用“高/中/低”文字表示，也可以使用“3/2/1”等级表示，还可以使用“100/60/10”等评分表示。这就导致不同组织要实现互换，需要在接入端进行软件开发时，针对其他所有需要接入组织定制化解析程序，在代码层面进行数据转换。随着组织机构越来越多，开发工作量增加，并且系统复杂度和冗余代码量也会增加，难以维护，耗费大量人力资源。

鉴于此，如何提供一种省时省力、高效、便于维护的威胁情报识别方法、装置、系统及计算机可读存储介质成为本领域技术人员需要解决的问题。

发明内容

本发明实施例的目的是提供一种威胁情报识别方法、装置、系统及计算机可读存储介质，在使用过程中能够提高组织之间威胁情报交换时的识别效率，减少人力资源的浪费，且实现方式简单便于维护。

为解决上述技术问题，本发明实施例提供了一种威胁情报识别方法，包括：

向目标服务器发送获取威胁情报请求，所述威胁情报请求包括威胁情报信息，以便所述目标服务器根据所述威胁情报信息从自身的威胁情报数据库中确定出目标威胁情报数据；

接收所述目标服务器返回的所述目标威胁情报数据，并根据所述目标威胁情报数据确定出各个数据项信息；所述数据项信息包括数据项名称及数据项数值信息；

获取预先建立的、与所述目标服务器对应的威胁情报规则库，所述威胁情报规则库包括数据项名称的对应关系以及对应的数值转换关系；

根据各个所述数据项信息及所述威胁情报规则库，确定出与每个所述数据项信息各自对应的原始数据项名称及与所述原始数据项名称对应的当前数值信息。

可选的，与所述目标服务器对应的威胁情报规则库的建立过程为：

从与自身服务器对应的、预先建立的威胁情报样本库中抽取多个威胁情报样本；

针对每个所述威胁情报样本，根据所述威胁情报样本生成获取请求；

将所述获取请求发送至目标服务器，以便所述目标服务器根据所述获取请求信息从自身的数据库中确定出所有的威胁情报响应信息；

接收所述目标服务器返回的威胁情报响应信息，并得到所述威胁情报响应信息中的各个数据项的第一数据项名称及与每个所述数据项名称各自对应的第一数值信息；