[发明专利]特征库的确定方法和装置、存储介质及电子装置

权利要求书

1.一种特征库的确定方法，其特征在于，包括：

根据目标对象的检测需求，从预设威胁框架库中确定出目标威胁框架，根据所述目标威胁框架从第一攻击样本中提取第一样本特征，其中，所述第一样本特征包括：静态特征和/或动态特征；

通过预设映射算法对所述第一样本特征与所述目标威胁框架进行框架技术映射，得到映射后的第一威胁技术特征；

根据所述第一威胁技术特征和所述第一样本特征形成所述第一攻击样本对应的威胁技术特征库。

2.根据权利要求1所述的特征库的确定方法，其特征在于，根据所述第一威胁技术特征和所述第一样本特征形成所述第一攻击样本对应的威胁技术特征库之后，所述方法还包括：

确定多个第二攻击样本的第二样本特征，得到第二样本特征集合；通过预设映射算法对所述第二样本特征集合与所述目标威胁框架进行框架技术映射，得到映射后的第二威胁技术特征；

使用所述第二威胁技术特征和所述第二样本特征集合更新所述威胁技术特征库。

3.根据权利要求1或2所述的特征库的确定方法，其特征在于，所述方法还包括：

若获取到未知威胁的未知攻击样本，确定所述未知攻击样本对应的第三样本特征；

通过预设映射算法对所述第三样本特征与所述目标威胁框架进行框架技术映射，得到映射后的第三威胁技术特征；

确定所述第三威胁技术特征与所述威胁技术特征库中的威胁技术特征的匹配度；

若所述匹配度大于预设匹配度，对所述未知攻击样本进行威胁分析。

4.根据权利要求3所述的特征库的确定方法，其特征在于，若所述匹配度大于预设匹配度，对所述未知攻击样本进行威胁分析之后，所述方法还包括：

将所述未知攻击样本发送至目标对象进行样本分析；

获取所述目标对象针对所述未知攻击样本确定的分析结果；

对所述分析结果进行解析，以确定是否使用所述未知攻击样本对所述威胁技术特征库进行补充。

5.根据权利要求4所述的特征库的确定方法，其特征在于，对所述分析结果进行解析，以确定是否使用所述未知攻击样本对所述威胁技术特征库进行补充，包括：

若所述分析结果指示所述未知攻击样本的样本类型为高级持续威胁样本，确定使用所述未知攻击样本对所述威胁技术特征库进行补充；若所述分析结果指示所述未知攻击样本的样本类型不为高级持续威胁样本，确定不使用所述未知攻击样本对所述威胁技术特征库进行补充。

6.根据权利要求5所述的特征库的确定方法，其特征在于，确定使用所述未知攻击样本对所述威胁技术特征库进行补充，包括：

确定所述未知攻击样本对应的目标特征向量，其中，所述目标特征向量包括：所述未知攻击样本对应的第三样本特征以及第三威胁技术特征；

使用所述目标特征向量补充已有特征向量，以对所述威胁技术特征库进行补充，其中，所述已有特征向量用于指示所述威胁技术特征库中存在的向量。

7.根据权利要求1所述的特征库的确定方法，其特征在于，根据目标对象的检测需求，从预设威胁框架库中确定出目标威胁框架，包括：

根据所述检测需求确定待查找的威胁框架的目标类别参数，其中，所述目标类别参数用于指示所述目标对象待执行的分析类别以及映射类别；

确定所述预设威胁框架库中每一个威胁框架对应的框架类别参数与所述目标类别参数的相似度；

将与所述目标类别参数相似度最大的框架类别参数对应的威胁框架确定为待使用的目标威胁框架。

8.一种特征库的确定装置，其特征在于，包括：

提取模块，用于根据目标对象的检测需求，从预设威胁框架库中确定出目标威胁框架，根据所述目标威胁框架从第一攻击样本中提取第一样本特征，其中，所述第一样本特征包括：静态特征和/或动态特征；映射模块，用于通过预设映射算法对所述第一样本特征与所述目标威胁框架进行框架技术映射，得到映射后的第一威胁技术特征；

特征模块，用于根据所述第一威胁技术特征和所述第一样本特征形成所述第一攻击样本对应的威胁技术特征库。