情报分析方法、装置、设备及存储介质与流程

1.本发明涉及计算机技术领域，尤其涉及一种情报分析方法、装置、设备及存储介质。


背景技术：

2.无论是实网攻防演练还是企业内部的日常安全运营，都会有海量来自互联网的攻击报警需要运营分析。此类攻击警报中既有良性探测造成的虚假报警、不需要关注的自动化扫描记录，也存在高风险的人工渗透和勒索蠕虫传播。面对这种交汇复杂的情况，若由安全运营人员逐条进行分析，需要消耗极大的人力，成本极高，且处置效率低下，难以有效、准确的应对。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提供一种情报分析方法、装置、设备及存储介质，旨在解决面对交汇复杂的攻击警报，安全运行人员难以应对的技术问题。
5.为实现上述目的，本发明提供了一种情报分析方法，所述方法包括以下步骤:
6.获取待分析地址对应的安全情报信息；
7.根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；
8.根据所述安全分析结果确定所述待分析地址是否存在安全风险；
9.在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。
10.可选的，所述获取待分析地址对应的安全情报信息的步骤之前，还包括：
11.在获取到待分析地址时，检测所述待分析地址是否为内网地址；
12.在所述待分析地址不为内网地址时，执行所述获取待分析地址对应的安全情报信息的步骤。
13.可选的，所述在所述待分析地址不为内网地址时，执行所述获取待分析地址对应的安全情报信息的步骤，包括：
14.在所述待分析地址不为内网地址时，获取业务服务器地址列表；
15.将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配；
16.在未匹配到所述待分析地址对应的业务服务器地址时，执行所述获取待分析地址对应的安全情报信息的步骤。
17.可选的，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
18.根据所述安全情报信息确定所述待分析地址对应的设备类型；
19.将所述设备类型与预设异常类型列表中的异常类型进行匹配，获得匹配结果；
20.根据所述匹配结果确定风险原因及风险级别；
21.根据所述风险原因及所述风险级别生成安全分析结果。
22.可选的，所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤之前，还包括：
23.获取预设异常地址列表；
24.将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配；
25.在未匹配到所述待分析地址对应的异常地址时，执行所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤。
26.可选的，所述将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配的步骤之后，还包括：
27.在匹配到所述待分析地址对应的异常地址时，将匹配到的异常地址作为目标异常地址；
28.获取所述目标异常地址对应的异常原因，根据所述目标异常地址及所述异常原因确定风险原因及风险级别；
29.根据所述风险原因及所述风险级别生成安全分析结果。
30.可选的，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
31.根据所述安全情报信息确定所述待分析地址对应的访问行为；
32.根据所述访问行为确定所述待分析地址对应的程序类型，并获取预设安全防控级别；
33.根据所述预设安全防控级别及所述程序类型确定风险原因及风险级别；
34.根据所述风险原因及所述风险级别生成安全分析结果。
35.可选的，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
36.根据所述安全情报信息确定所述待分析地址是否存在恶意攻击行为特征；
37.在所述待分析地址存在恶意攻击行为特征时，查找所述恶意攻击行为特征对应的攻击意图及风险等级；
38.根据所述攻击意图及所述风险等级确定风险原因及风险级别；
39.根据所述风险原因及所述风险级别生成安全分析结果。
40.可选的，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
41.根据所述安全情报信息确定所述待分析地址对应的历史访问行为；
42.根据所述历史访问行为确定所述待分析地址是否为真实网络地址，获得转发检测结果；
43.根据所述转发检测结果确定风险原因及风险级别；
44.根据所述风险原因及所述风险级别生成安全分析结果。
45.可选的，所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤之前，还包括：
46.将所述待分析地址与转发地址列表中的转发地址进行匹配；
47.在未匹配到所述待分析地址对应的转发地址时，执行所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤。
48.可选的，所述将所述待分析地址与转发地址列表中的转发地址进行匹配的步骤之后，还包括：
49.在匹配到所述待分析地址对应的转发地址时，将匹配到的转发地址作为目标地址；
50.获取所述目标地址对应的转发服务器信息；
51.根据所述目标地址及所述转发服务器信息确定风险原因及风险级别；
52.根据所述风险原因及所述风险级别生成安全分析结果。
53.可选的，所述在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件的步骤之后，还包括：
54.根据所述安全分析结果确定风险原因及风险级别；
55.根据所述风险原因及所述风险级别确定对应的风险处置策略；
56.将所述风险处置策略及所述告警事件进行展示。
57.此外，为实现上述目的，本发明还提出一种情报分析装置，所述情报分析装置包括以下模块：
58.情报获取模块，用于获取待分析地址对应的安全情报信息；
59.安全分析模块，用于根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；
60.风险判定模块，用于根据所述安全分析结果确定所述待分析地址是否存在安全风险；
61.事件生成模块，用于在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。
62.可选的，所述情报获取模块，还用于在获取到待分析地址时，检测所述待分析地址是否为内网地址；在所述待分析地址不为内网地址时，获取待分析地址对应的安全情报信息。
63.可选的，所述情报获取模块，还用于在所述待分析地址不为内网地址时，获取业务服务器地址列表；将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配；在未匹配到所述待分析地址对应的业务服务器地址时，获取待分析地址对应的安全情报信息。
64.可选的，所述安全分析模块，还用于根据所述安全情报信息确定所述待分析地址对应的设备类型；将所述设备类型与预设异常类型列表中的异常类型进行匹配，获得匹配结果；根据所述匹配结果确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
65.可选的，所述安全分析模块，还用于获取预设异常地址列表；将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配；在未匹配到所述待分析地址对应的异常地址时，根据所述安全情报信息确定所述待分析地址对应的设备类型。
66.可选的，所述安全分析模块，还用于在匹配到所述待分析地址对应的异常地址时，将匹配到的异常地址作为目标异常地址；获取所述目标异常地址对应的异常原因，根据所
述目标异常地址及所述异常原因确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
67.此外，为实现上述目的，本发明还提出一种情报分析设备，所述情报分析设备包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的情报分析程序，所述情报分析程序被处理器执行时实现如上所述的情报分析方法的步骤。
68.此外，为实现上述目的，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有情报分析程序，所述情报分析程序执行时实现如上所述的情报分析方法的步骤。
69.本发明通过获取待分析地址对应的安全情报信息；根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；根据所述安全分析结果确定所述待分析地址是否存在安全风险；在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。由于在获取到待分析地址时可以自动获取待分析地址对应的安全情报信息，并根据安全情报信息确定待分析地址是否存在安全风险，在存在安全风险时生成告警事件，安全运营人员仅需关注告警事件即可，可以极大减少安全运营人员的工作量，便于安全运营人员应对交汇复杂的攻击报警。
附图说明
70.图1是本发明实施例方案涉及的硬件运行环境的电子设备的结构示意图；
71.图2为本发明情报分析方法第一实施例的流程示意图；
72.图3为本发明情报分析方法第二实施例的流程示意图；
73.图4为本发明情报分析方法第三实施例的流程示意图；
74.图5为本发明情报分析装置第一实施例的结构框图。
75.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
76.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
77.参照图1，图1为本发明实施例方案涉及的硬件运行环境的情报分析设备结构示意图。
78.如图1所示，该电子设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless
‑
fidelity，wi
‑
fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)，也可以是稳定的非易失性存储器(non
‑
volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
79.本领域技术人员可以理解，图1中示出的结构并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
80.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模
块、用户接口模块以及情报分析程序。
81.在图1所示的电子设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明电子设备中的处理器1001、存储器1005可以设置在情报分析设备中，所述电子设备通过处理器1001调用存储器1005中存储的情报分析程序，并执行本发明实施例提供的情报分析方法。
82.本发明实施例提供了一种情报分析方法，参照图2，图2为本发明一种情报分析方法第一实施例的流程示意图。
83.本实施例中，所述情报分析方法包括以下步骤：
84.步骤s10：获取待分析地址对应的安全情报信息。
85.需要说明的是，本实施例的执行主体可以是所述情报分析设备，所述情报分析设备可以是个人电脑、服务器等电子设备，还可以是其他可实现相同或相似功能的设备，本实施例对此不加以限制，在本实施例及下述各实施例中，以情报分析设备为例对本发明情报分析方法进行说明。
86.需要说明的是，待分析地址可以是需要进行安全性分析的ip(internet protocol)地址，待分析地址可以由用户在情报分析设备提供的地址输入界面中手动输入，也可以是接收生成的攻击报警，并解析该攻击报警，从而获得待分析地址。安全情报信息可以包括地理位置、设备类型、网络类型、攻击行为特征、行为属性、风险等级和阻断影响等信息。获取待分析地址对应的安全情报信息可以是在安全情报库中查找待分析地址对应的安全情报信息，安全情报库可以由情报分析设备的管理人员预先设置，其中存储有各个ip地址对应的安全情报信息。
87.步骤s20：根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果。
88.需要说明的是，安全分析结果可以包括风险级别及风险原因，风险级别根据实际需要可以设置多个等级，例如：低、中、高、严重等，风险原因可以为判定具备风险的理由。安全性分析可以包括异常ip分析、虚警分析、风险分析、匿踪分析等分析中的至少一种。
89.在具体实现中，为了快速确定待分析地址是否为伪造的ip地址，可对待分析地址进行异常ip分析，则本实施例所述步骤s20，可以包括：
90.根据所述安全情报信息确定所述待分析地址对应的设备类型；将所述设备类型与预设异常类型列表中的异常类型进行匹配，获得匹配结果；根据所述匹配结果确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
91.需要说明的是，部分设备的ip地址理论上并不应该出现在网络流量中，例如：基站设备或cdn(content delivery network)设备此类设备并不会主动进行对外访问，则此类设备的ip地址并不应该出现在网络流量中。
92.在实际使用中，根据所述安全情报信息确定所述待分析地址对应的设备类型可以是在获取到待分析地址对应的安全情报信息之后，提取安全情报信息中记录的设备类型。预设异常类型列表可以由情报分析设备的管理人员预先进行设置，其中包含有各种不应该出现网络流量中的设备的设备类型。
93.可以理解的是，将待分析地址对应的设备类型与预设异常类型列表中的异常类型进行匹配，若匹配成功，则可以说明待分析地址并不应该出现在网络流量中，待分析地址可
能为伪造的ip地址，则此时可以根据匹配结果确定匹配成功的异常类型，根据匹配成功的异常类型生成风险原因，并获取伪造ip地址对应的风险级别，然后根据风险原因及风险级别生成安全分析结果。若匹配失败，则无法确定该ip地址是否为伪造的ip地址，因此，可以将风险原因及风险级别置空，并根据置空的风险原因及风险级别生成安全分析结果。
94.进一步地，为了节省分析时间，本实施例所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤之前，还可以包括：
95.获取预设异常地址列表；将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配。
96.需要说明的是，若每次均需要根据安全情报信息确定待分析地址对应的设备类型，再根据设备类型确定待分析地址是否为伪造的ip地址，其需要进行多次解析及匹配步骤，若数据量极大，则其性能消耗较大，耗时较多，不利于大批量数据处理，因此，在确定某一ip地址为伪造的ip地址之后，可以将该ip地址加入到预设异常地址列表中，在根据安全情报信息确定待分析地址对应的设备类型之前，可以先将待分析地址与异常地址列表中的异常地址进行匹配，在无法匹配到对应的异常地址时，才根据安全情报信息确定待分析地址对应的设备类型并进行后续分析，可以节省分析时间，减少不必要的性能消耗。其中，预设异常地址列表可以由情报分析设备的管理人员预先创建，情报分析设备的管理人员可以根据实际需要在预设异常地址列表中添加或清除记录的异常地址。
97.可以理解的是，若匹配到待分析地址对应的异常地址，则可以直接判定待分析地址为伪造的ip地址，可以不必再进行后续分析，直接生成安全分析结果。因此，本实施例所述将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配的步骤之后，还可以包括：
98.在匹配到所述待分析地址对应的异常地址时，将匹配到的异常地址作为目标异常地址；获取所述目标异常地址对应的异常原因，根据所述目标异常地址及所述异常原因确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
99.需要说明的是，在将ip地址作为异常地址添加至预设异常地址列表中时，可以将判定该ip地址为异常地址的原因也一同添加。获取所述目标异常地址对应的异常原因可以是获取目标异常地址被判定为异常地址的原因。根据所述目标异常地址及所述异常原因确定风险原因及风险级别可以是获取伪造ip地址对应的风险级别，然后根据匹配到的目标异常地址及异常原因生成风险原因。
100.在具体实现中，为了快速分辨自动访问爬虫、资产测绘程序等低风险程序引起的攻击报警，可对待分析地址进行虚警分析，则本实施例所述步骤s20，可以包括：
101.根据所述安全情报信息确定所述待分析地址对应的访问行为；根据所述访问行为确定所述待分析地址对应的程序类型，并获取预设安全防控级别；根据所述预设安全防控级别及所述程序类型确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
102.需要说明的是，程序类型可以包括自动访问爬虫、资产测绘程序等。日常安全运营或实网攻防演练时，自动访问爬虫、资产测绘程序或其他类似程序通常会被判定为攻击行为并生成对应的攻击报警，但是，此类程序其实一般不具备太大的威胁性，甚至可以不做处理，因此，需要在攻击报警中识别该类程序，并对其进行标记。
103.在实际使用中，根据安全情报信息确定待分析地址对应的访问行为可以是根据待分析地址对应的安全情报信息确定待分析地址的对外访问请求，根据对外访问请求的请求时间及访问目标确定待分析地址对应的访问行为。根据访问行为确定待分析地址对应的程序类型可以是将访问行为与各程序类型对应的行为特征进行匹配，确定访问行为对应的程序类型，例如：待分析地址的访问行为为周期性访问同一访问目标，则其与自动访问爬虫的行为特征匹配，因此，可以判定待分析地址对应的程序类型为自动访问爬虫。预设安全防控级别可以由情报分析设备的管理人员预先进行设置，其中包含有各个不同程序类型对应的风险级别。根据安全防控级别及程序类型确定风险原因及风险级别可以是根据带分析地址对应的程序类型在预设安全防控级别中查找对应的风险级别，并根据程序类型生成风险原因。
104.在具体实现中，为了快速确定待分析地址是否存在对应的恶意攻击行为，可对待分析地址进行风险分析，则本实施例步骤s20，可以包括：
105.根据所述安全情报信息确定所述待分析地址是否存在恶意攻击行为特征；在所述待分析地址存在恶意攻击行为特征时，查找所述恶意攻击行为特征对应的攻击意图及风险等级；根据所述攻击意图及所述风险等级确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
106.需要说明的是，安全情报信息中记录有待分析地址对应的攻击行为特征，根据待分析地址对应的安全情报信息即可确定待分析地址对应的攻击行为特征，将待分析地址对应的攻击行为特征与恶意攻击特征库中的各个恶意攻击行为对应的攻击特征进行匹配，在匹配成功时，判定待分析地址存在恶意攻击行为特征，并将匹配到的恶意攻击行为作为目标恶意攻击行为，在恶意攻击特征库中查找目标恶意攻击行为的攻击意图及风险等级。其中，恶意攻击特征库可以由情报分析设备的管理人员预先进行设置。根据攻击意图及风险等级确定风险原因及风险级别可以是将风险等级直接作为风险级别，将攻击意图作为风险原因。
107.在具体实现中，为了快速分辨攻击警报是否通过代理ip地址触发，可对待分析地址进行匿踪分析，则本实施例步骤s20，可以包括：
108.根据所述安全情报信息确定所述待分析地址对应的历史访问行为；根据所述历史访问行为确定所述待分析地址是否为真实网络地址，获得转发检测结果；根据所述转发检测结果确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
109.需要说明的是，转发检测结果可以包括判定结果及判定原因，判定结果为待分析地址是否为真实网络地址，判定原因为判定是否为真实网络地址的原因。根据安全情报信息确定待分析地址对应的历史访问行为可以是根据安全情报信息确定待分析地址的历史访问参数、历史访问时间及历史访问业务类型。根据历史访问行为确定待分析地址是否为真实网络地址可以是根据历史访问行为中的历史访问参数确定其是否通过tor(the onion routers)代理、或开放代理等代理方式进行访问，在判定通过代理方式进行访问时，可以判定待分析地址不是真实网络地址，在判定并非通过代理方式进行访问时，可以判定待分析地址是真实网络地址。根据历史访问行为确定待分析地址是否为真实网络地址还可以是根据历史访问行为中的历史访问时间及历史访问业务，从而根据历史访问时间及历史访问业务确定待分析地址为真实网络地址或代理网络地址，从而获得转发检测结果，例如：若待分
析地址在同一时刻访问业务为视频播放和游戏，则可以判定待分析地址为一个代理网络地址。
110.在实际使用中，根据所述转发检测结果确定风险原因及风险级别可以是获取转发检测结果中的判定结果及判定原因，在判定结果为待分析地址不是真实网络地址时，获取通过代理方式进行访问对应的风险级别，并根据判定结果及判定原因生成风险原因，在判定结果为待分析地址是真实网络地址时，将风险级别及风险原因置空。
111.进一步地，为了减少分析时间，节省分析资源，本实施例所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤之前，还可以包括：
112.将所述待分析地址与转发地址列表中的转发地址进行匹配。
113.需要说明的是，转发地址列表可以由情报分析设备的管理人员预先进行设置，其中可以存储有各个代理服务器的转发地址，即代理服务器的ip地址。
114.在实际使用中，在未匹配到所述待分析地址对应的转发地址时，无法根据匹配结果确定待分析地址是否为真实网络地址，因此，需要进行后续的分析步骤，可以执行所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤继续进行后续分析。
115.在实际使用中，在匹配到待分析地址对应的转发地址时，根据匹配结果可以直接判定待分析地址不是真实网络地址，则不必进行后续分析，可以直接执行下述步骤：
116.在匹配到所述待分析地址对应的转发地址时，将匹配到的转发地址作为目标地址；获取所述目标地址对应的转发服务器信息；根据所述目标地址及所述转发服务器信息确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
117.可以理解的是，在将转发地址添加至转发地址列表中时可以将该转发地址对应的转发服务器信息也一同添加，因此，在匹配到待分析地址对应的转发地址时，可以将匹配到的转发地址作为目标地址，并获取与目标地址一同被添加至转发地址列表中的转发服务器信息。根据目标地址及转发服务器信息确定风险原因及风险级别可以是获取通过代理方式进行访问对应的风险级别，并根据目标地址及转发服务器信息生成风险原因。
118.步骤s30：根据所述安全分析结果确定所述待分析地址是否存在安全风险。
119.需要说明的是，若待分析地址存在安全风险，则安全分析结果中的风险级别及风险原因不为空。若待分析地址不存在安全风险，则安全分析结果中的风险级别及风险原因可以为空。因此，根据安全分析结果确定待分析地址是否存在安全风险可以是判断安全分析结果中的风险级别及风险原因是否为空。
120.在实际使用中，根据实际场景的设置，部分低风险级别的异常可能并不需要进行处理，例如：对于搜索引擎爬虫、互联网资产测绘等，其也存在异常，但不会对实际业务产生影响，因此，不需要进行处理。在此种情况下，根据安全分析结果确定待分析地址是否存在安全风险可以是获取安全分析结果中的风险级别，在风险级别不为空时，将风险级别与预设防控级别进行对比，在风险级别高于预设防控级别时，判定待分析地址存在安全风险。其中，预设防控级别可以由情报分析设备的管理人员预先根据实际需要进行设置。
121.步骤s40：在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。
122.可以理解的是，若判定待分析地址存在安全风险，则说明该待分析地址需要进行进一步分析，则此时可以根据待分析地址及安全分析结果生成告警事件，并将告警事件推
送给安全运行人员，由安全运营人员进行进一步排查。
123.本实施例通过获取待分析地址对应的安全情报信息；根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；根据所述安全分析结果确定所述待分析地址是否存在安全风险；在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。由于在获取到待分析地址时可以自动获取待分析地址对应的安全情报信息，并根据安全情报信息确定待分析地址是否存在安全风险，在存在安全风险时生成告警事件，安全运营人员仅需关注告警事件即可，可以极大减少安全运营人员的工作量，便于安全运营人员应对交汇复杂的攻击报警。
124.参考图3，图3为本发明一种情报分析方法第二实施例的流程示意图。
125.基于上述第一实施例，本实施例情报分析方法在所述步骤s10之前，还包括：
126.步骤s01：在获取到待分析地址时，检测所述待分析地址是否为内网地址。
127.需要说明的是，检测待分析地址是否为内网地址可以是判定待分析地址是否为内网服务器的ip地址，内网服务器的ip地址包括两种，分别为内网ip及外网ip，其中，内网ip为内网服务器在内网中通信所使用的ip地址，外网ip为内网服务器对外通信时所使用的ip地址。
128.在实际使用中，检测待分析地址是否为内网地址可以是将待分析地址与各内网服务器的ip地址进行比对，在存在与待分析地址一致的内网服务器的ip地址时，可以判定待分析地址为内网地址，否则，则可以判定待分析地址不为内网地址。
129.步骤s02：在所述待分析地址不为内网地址时，执行所述获取待分析地址对应的安全情报信息的步骤。
130.需要说明的是，若待分析地址为内网地址，则说明需要进行安全性分析的待分析地址对应的可能是内网服务器，而若攻击报警中记录的攻击ip地址为内网服务器的ip地址，则该攻击可能是外部攻击者穿透内网后利用内网ip发起的攻击行为，此时情况较为复杂，需要人工进行处理，则可以直接向安全运营人员推送该待分析地址，由人工进行分析。
131.可以理解的是，若待分析地址不为内网地址，则该攻击来源于外部，则可以由情报分析设备确定其是否存在误报等现象，对其进行分析筛除，从而节省安全运营人员的工作量，因此，在待分析地址不为内网地址时，可以执行所述获取待分析地址对应的安全情报信息的步骤进行后续分析。
132.进一步地，在实际情况中，企业根据实际需要可能会部署多套内网或需要与其他企业进行合作，业务服务器会与外部的业务服务器进行交互，而在此期间，需要进行交互的外部业务服务器也有可能会被攻陷，攻击者可能会利用该服务器进行攻击，而此种情况较为严重，但为了避免影响公司业务又无法直接使用网络阻断等手段进行处理，为了应对此种情况，本实施例所述步骤s02，可以具体包括：
133.在所述待分析地址不为内网地址时，获取业务服务器地址列表；将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配；在未匹配到所述待分析地址对应的业务服务器地址时，执行所述获取待分析地址对应的安全情报信息的步骤。
134.需要说明的是，业务服务器地址列表中由情报分析设备的管理人员预先进行设置，其中可以包括有需要进行通信交互的各个业务服务器的ip地址，例如：合作方业务服务器ip地址。
135.可以理解的是，若在业务服务器地址列表中匹配到待分析地址对应的业务服务器地址，则说明待分析地址可能为合作方业务服务器的ip地址或企业内部其他服务器集群中的业务服务器的ip地址，则此时可以直接将待分析地址推送给安全运营人员，由安全运营人员进行人工排查。若在业务服务器地址列表中未匹配到待分析地址对应的业务服务器地址，则可以说明待分析地址并非合作方业务服务器的ip地址，也并非企业内部其他服务器集群中的业务服务器的ip地址，因此，可以执行所述获取待分析地址对应的安全情报信息的步骤进行后续分析。
136.本实施例通过在获取到待分析地址时，检测所述待分析地址是否为内网地址；在所述待分析地址不为内网地址时，执行所述获取待分析地址对应的安全情报信息的步骤。由于在获取到待分析地址时对待分析地址进行分类，若待分析地址为内网地址，则通知安全运营人员进行人工分析处理，若待分析地址不为内网地址，则进行后续分析减少安全运营人员的工作量，在保证可减少安全运营人员的工作量的同时也可适应复杂的实际应用场景，避免出现漏报现象。
137.参考图3，图3为本发明一种情报分析方法第三实施例的流程示意图。
138.基于上述第一实施例，本实施例情报分析方法在所述步骤s40之后，还包括：
139.步骤s50：根据所述安全分析结果确定风险原因及风险级别。
140.需要说明的是，安全分析结果包括风险原因及风险级别，根据安全分析结果确定风险原因及风险级别可以是对安全分析结果进行解析，提取其中的数据，从而获得风险原因及风险级别。
141.步骤s60：根据所述风险原因及所述风险级别确定对应的风险处置策略。
142.需要说明的是，风险原因中可以包括风险判定关键词，根据风险原因及风险级别确定对应的风险处置策略可以是提取风险原因中的风险判定关键词，根据风险判定关键词及风险级别在风险处置策略库中查找对应的风险处置策略。其中，风险处置策略库中可以包含有风险处置策略与风险判定关键词及风险级别的对应关系，该对应关系可以由情报分析设备的管理人员预先进行设置。
143.步骤s70：将所述风险处置策略及所述告警事件进行展示。
144.需要说明的是，将风险处置策略及告警事件进行展示可以是将风险处置策略及告警事件发送至情报分析设备的显示装置上进行展示，也可以是将风险处置策略及告警事件推送至安全运营人员的终端上进行展示，本实施例对此不加以限制。
145.可以理解的是，将风险处置策略及告警事件进行展示可以便于安全运营人员根据告警事件迅速确定待分析地址对应的安全分析结果，根据安全分析结果确定风险原因及风险级别，并根据风险原因确定异常类别，从而确定是否需要立即处理，在需要进行处理时还可以参考风险处置策略进行处置，可以极大减少安全运营人员的工作量。
146.本实施例通过根据所述安全分析结果确定风险原因及风险级别；根据所述风险原因及所述风险级别确定对应的风险处置策略；将所述风险处置策略及所述告警事件进行展示。由于在生成告警事件之后还根据告警事件中记录的安全分析结果确定风险原因及风险级别，并根据风险原因及风险级别确定了对应的风险处置策略，并将风险处置策略及告警事件进行展示，便于安全运营人员快速明确异常类别，并在需要进行处理时可以参考风险处置策略，进一步减少了安全运营人员的工作量。
147.此外，本发明实施例还提出一种存储介质，所述存储介质上存储有情报分析程序，所述情报分析程序被处理器执行时实现如上文所述的情报分析方法的步骤。
148.参照图5，图5为本发明情报分析装置第一实施例的结构框图。
149.如图5所示，本发明实施例提出的情报分析装置包括：
150.情报获取模块10，用于获取待分析地址对应的安全情报信息；
151.安全分析模块20，用于根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；
152.风险判定模块30，用于根据所述安全分析结果确定所述待分析地址是否存在安全风险；
153.事件生成模块40，用于在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。
154.本实施例通过获取待分析地址对应的安全情报信息；根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；根据所述安全分析结果确定所述待分析地址是否存在安全风险；在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。由于在获取到待分析地址时可以自动获取待分析地址对应的安全情报信息，并根据安全情报信息确定待分析地址是否存在安全风险，在存在安全风险时生成告警事件，安全运营人员仅需关注告警事件即可，可以极大减少安全运营人员的工作量，便于安全运营人员应对交汇复杂的攻击报警。
155.进一步地，所述情报获取模块10，还用于在获取到待分析地址时，检测所述待分析地址是否为内网地址；在所述待分析地址不为内网地址时，获取待分析地址对应的安全情报信息。
156.进一步地，所述情报获取模块10，还用于在所述待分析地址不为内网地址时，获取业务服务器地址列表；将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配；在未匹配到所述待分析地址对应的业务服务器地址时，获取待分析地址对应的安全情报信息。
157.进一步地，所述安全分析模块20，还用于根据所述安全情报信息确定所述待分析地址对应的设备类型；将所述设备类型与预设异常类型列表中的异常类型进行匹配，获得匹配结果；根据所述匹配结果确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
158.进一步地，所述安全分析模块20，还用于获取预设异常地址列表；将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配；在未匹配到所述待分析地址对应的异常地址时，根据所述安全情报信息确定所述待分析地址对应的设备类型。
159.进一步地，所述安全分析模块20，还用于在匹配到所述待分析地址对应的异常地址时，将匹配到的异常地址作为目标异常地址；获取所述目标异常地址对应的异常原因，根据所述目标异常地址及所述异常原因确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
160.进一步地，所述安全分析模块20，还用于根据所述安全情报信息确定所述待分析地址对应的访问行为；根据所述访问行为确定所述待分析地址对应的程序类型，并获取预设安全防控级别；根据所述预设安全防控级别及所述程序类型确定风险原因及风险级别；
根据所述风险原因及所述风险级别生成安全分析结果。
161.进一步地，所述安全分析模块20，还用于根据所述安全情报信息确定所述待分析地址是否存在恶意攻击行为特征；在所述待分析地址存在恶意攻击行为特征时，查找所述恶意攻击行为特征对应的攻击意图及风险等级；根据所述攻击意图及所述风险等级确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
162.进一步地，所述安全分析模块20，还用于根据所述安全情报信息确定所述待分析地址对应的历史访问行为；根据所述历史访问行为确定所述待分析地址是否为真实网络地址，获得转发检测结果；根据所述转发检测结果确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
163.进一步地，所述安全分析模块20，还用于将所述待分析地址与转发地址列表中的转发地址进行匹配；在未匹配到所述待分析地址对应的转发地址时，根据所述安全情报信息确定所述待分析地址对应的历史访问行为。
164.进一步地，所述安全分析模块20，还用于在匹配到所述待分析地址对应的转发地址时，将匹配到的转发地址作为目标地址；获取所述目标地址对应的转发服务器信息；根据所述目标地址及所述转发服务器信息确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
165.进一步地，所述事件生成模块40，还用于根据所述安全分析结果确定风险原因及风险级别；根据所述风险原因及所述风险级别确定对应的风险处置策略；将所述风险处置策略及所述告警事件进行展示。
166.应当理解的是，以上仅为举例说明，对本发明的技术方案并不构成任何限定，在具体应用中，本领域的技术人员可以根据需要进行设置，本发明对此不做限制。
167.需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。
168.另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的情报分析方法，此处不再赘述。
169.此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
170.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
171.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器(read only memory，rom)/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
172.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
173.本发明公开了a1、一种情报分析方法，所述情报分析方法包括以下步骤：
174.获取待分析地址对应的安全情报信息；
175.根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；
176.根据所述安全分析结果确定所述待分析地址是否存在安全风险；
177.在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。
178.a2、如a1所述的情报分析方法，所述获取待分析地址对应的安全情报信息的步骤之前，还包括：
179.在获取到待分析地址时，检测所述待分析地址是否为内网地址；
180.在所述待分析地址不为内网地址时，执行所述获取待分析地址对应的安全情报信息的步骤。
181.a3、如a2所述的情报分析方法，所述在所述待分析地址不为内网地址时，执行所述获取待分析地址对应的安全情报信息的步骤，包括：
182.在所述待分析地址不为内网地址时，获取业务服务器地址列表；
183.将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配；
184.在未匹配到所述待分析地址对应的业务服务器地址时，执行所述获取待分析地址对应的安全情报信息的步骤。
185.a4、如a1所述的情报分析方法，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
186.根据所述安全情报信息确定所述待分析地址对应的设备类型；
187.将所述设备类型与预设异常类型列表中的异常类型进行匹配，获得匹配结果；
188.根据所述匹配结果确定风险原因及风险级别；
189.根据所述风险原因及所述风险级别生成安全分析结果。
190.a5、如a4所述的情报分析方法，所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤之前，还包括：
191.获取预设异常地址列表；
192.将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配；
193.在未匹配到所述待分析地址对应的异常地址时，执行所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤。
194.a6、如a5所述的情报分析方法，所述将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配的步骤之后，还包括：
195.在匹配到所述待分析地址对应的异常地址时，将匹配到的异常地址作为目标异常地址；
196.获取所述目标异常地址对应的异常原因，根据所述目标异常地址及所述异常原因确定风险原因及风险级别；
197.根据所述风险原因及所述风险级别生成安全分析结果。
198.a7、如a1所述的情报分析方法，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
199.根据所述安全情报信息确定所述待分析地址对应的访问行为；
200.根据所述访问行为确定所述待分析地址对应的程序类型，并获取预设安全防控级别；
201.根据所述预设安全防控级别及所述程序类型确定风险原因及风险级别；
202.根据所述风险原因及所述风险级别生成安全分析结果。
203.a8、如a1所述的情报分析方法，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
204.根据所述安全情报信息确定所述待分析地址是否存在恶意攻击行为特征；
205.在所述待分析地址存在恶意攻击行为特征时，查找所述恶意攻击行为特征对应的攻击意图及风险等级；
206.根据所述攻击意图及所述风险等级确定风险原因及风险级别；
207.根据所述风险原因及所述风险级别生成安全分析结果。
208.a9、如a1所述的情报分析方法，所述根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果的步骤，包括：
209.根据所述安全情报信息确定所述待分析地址对应的历史访问行为；
210.根据所述历史访问行为确定所述待分析地址是否为真实网络地址，获得转发检测结果；
211.根据所述转发检测结果确定风险原因及风险级别；
212.根据所述风险原因及所述风险级别生成安全分析结果。
213.a10、如a9所述的情报分析方法，所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤之前，还包括：
214.将所述待分析地址与转发地址列表中的转发地址进行匹配；
215.在未匹配到所述待分析地址对应的转发地址时，执行所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤。
216.a11、如a10所述的情报分析方法，所述将所述待分析地址与转发地址列表中的转发地址进行匹配的步骤之后，还包括：
217.在匹配到所述待分析地址对应的转发地址时，将匹配到的转发地址作为目标地址；
218.获取所述目标地址对应的转发服务器信息；
219.根据所述目标地址及所述转发服务器信息确定风险原因及风险级别；
220.根据所述风险原因及所述风险级别生成安全分析结果。
221.a12、如a1
‑
a11任一项所述的情报分析方法，所述在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件的步骤之后，还包括：
222.根据所述安全分析结果确定风险原因及风险级别；
223.根据所述风险原因及所述风险级别确定对应的风险处置策略；
224.将所述风险处置策略及所述告警事件进行展示。
225.本发明公开了b13、一种情报分析装置，所述情报分析装置包括以下模块：
226.情报获取模块，用于获取待分析地址对应的安全情报信息；
227.安全分析模块，用于根据所述安全情报信息对所述待分析地址进行安全性分析，获得安全分析结果；
228.风险判定模块，用于根据所述安全分析结果确定所述待分析地址是否存在安全风险；
229.事件生成模块，用于在所述待分析地址存在安全风险时，根据所述待分析地址及所述安全分析结果生成告警事件。
230.b14、如b13所述的情报分析装置，所述情报获取模块，还用于在获取到待分析地址时，检测所述待分析地址是否为内网地址；在所述待分析地址不为内网地址时，获取待分析地址对应的安全情报信息。
231.b15、如b14所述的情报分析装置，所述情报获取模块，还用于在所述待分析地址不为内网地址时，获取业务服务器地址列表；将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配；在未匹配到所述待分析地址对应的业务服务器地址时，获取待分析地址对应的安全情报信息。
232.b16、如b13所述的情报分析装置，所述安全分析模块，还用于根据所述安全情报信息确定所述待分析地址对应的设备类型；将所述设备类型与预设异常类型列表中的异常类型进行匹配，获得匹配结果；根据所述匹配结果确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
233.b17、如b16所述的情报分析装置，所述安全分析模块，还用于获取预设异常地址列表；将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配；在未匹配到所述待分析地址对应的异常地址时，根据所述安全情报信息确定所述待分析地址对应的设备类型。
234.b18、如b17所述的情报分析装置，所述安全分析模块，还用于在匹配到所述待分析地址对应的异常地址时，将匹配到的异常地址作为目标异常地址；获取所述目标异常地址对应的异常原因，根据所述目标异常地址及所述异常原因确定风险原因及风险级别；根据所述风险原因及所述风险级别生成安全分析结果。
235.本发明公开了c19、一种情报分析设备，所述情报分析设备包括：处理器、存储器及存储在所述存储器上并可在所述处理器上运行的情报分析程序，所述情报分析程序被处理器执行时实现如上所述的情报分析方法的步骤。
236.本发明公开了d20、一种计算机可读存储介质，所述计算机可读存储介质上存储有情报分析程序，所述情报分析程序执行时实现如上所述的情报分析方法的步骤。