一种情报告警方法、装置、设备及存储介质与流程

1.本发明涉及信息处理技术领域，更具体地说，涉及一种情报告警方法、装置、设备及存储介质。


背景技术：

2.威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议；这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或风险提供决策信息。在数据安全分析平台中，现缺少一种能够有效提高数据分析质量的技术方案。


技术实现要素：

3.本发明的目的是提供一种情报告警方法、装置、设备及存储介质，能够有效提高数据分析质量。
4.为了实现上述目的，本发明提供如下技术方案：
5.一种情报告警方法，包括：
6.获取各情报源中包含的情报信息，并将所述情报信息均转换为相应的预先定义的标准情报信息；
7.获取与各所述标准情报信息对应的情报告警信息，将各所述标准情报信息及对应的情报告警信息封装为情报告警模型；
8.获取当前待检测平台的平台数据，将所述平台数据输入至所述情报告警模型中，并按照所述情报告警模型输出的情报告警信息实现相应的告警；其中，所述情报告警模型在接收到的平台数据中包含任意标准情报信息时，输出与该任意标准情报信息对应的情报告警信息。
9.优选的，将所述情报信息均转换为相应的预先定义的标准情报信息包括：
10.将所述情报信息与所述待检测平台的标准情报信息进行比对，并基于比对的结果将所述情报信息映射为具有相同含义的标准情报信息。
11.优选的，将所述情报信息均转换为相应的预先定义的标准情报信息之后，还包括：
12.建立情报源数据字典；其中，所述情报源数据字典中包括情报源、情报源包含的情报信息以及情报源包含的情报信息映射为的标准情报信息。
13.优选的，将所述情报信息均转换为相应的预先定义的标准情报信息之前，还包括：
14.获取所述情报信息中包含的情报置信度，并将所述情报置信度低于置信度阈值的情报信息删除。
15.优选的，获取与各所述标准情报信息对应的情报告警信息，包括：
16.将各所述标准情报信息提供给外界，并接收外界输入的与各所述标准情报信息对应的情报告警策略，并将所述情报告警策略加入至情报告警信息中。
17.优选的，将各所述标准情报信息及对应的情报告警信息封装为情报告警模型之
前，还包括：
18.获取所述标准情报信息中包含的情报危害等级，并将所述情报危害等级加入至所述情报告警信息中。
19.优选的，还包括：
20.如果所述情报告警模型未输出情报告警信息，则确定输入至所述情报告警模型中的平台数据表示所述待检测平台为安全的平台。
21.一种情报告警装置，包括：
22.转换模块，用于：获取各情报源中包含的情报信息，并将所述情报信息均转换为相应的预先定义的标准情报信息；
23.封装模块，用于：获取与各所述标准情报信息对应的情报告警信息，将各所述标准情报信息及对应的情报告警信息封装为情报告警模型；
24.告警模块，用于：获取当前待检测平台的平台数据，将所述平台数据输入至所述情报告警模型中，并按照所述情报告警模型输出的情报告警信息实现相应的告警；其中，所述情报告警模型在接收到的平台数据中包含任意标准情报信息时，输出与该任意标准情报信息对应的情报告警信息。
25.一种情报告警设备，包括：
26.存储器，用于存储计算机程序；
27.处理器，用于执行所述计算机程序时实现如上任一项所述情报告警方法的步骤。
28.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项情报告警方法的步骤。
29.本发明提供了一种情报告警方法、装置、设备及存储介质，该方法包括：获取各情报源中包含的情报信息，并将所述情报信息均转换为相应的预先定义的标准情报信息；获取与各所述标准情报信息对应的情报告警信息，将各所述标准情报信息及对应的情报告警信息封装为情报告警模型；获取当前待检测平台的平台数据，将所述平台数据输入至所述情报告警模型中，并按照所述情报告警模型输出的情报告警信息实现相应的告警；其中，所述情报告警模型在接收到的平台数据中包含任意标准情报信息时，输出与该任意标准情报信息对应的情报告警信息。本技术实施例获取到全部情报源中包含的情报信息，将这些情报信息转换为具有统一标准的标准情报信息，并将这些标准情报信息及对应的情报告警信息封装为情报告警模型；在将待检测平台的平台数据输入至情报告警模型后，由情报告警模型确定出与平台数据对应的标准情报信息，进而将该标准情报信息对应情报告警信息输出，以供实现该情报告警信息对应的告警。可见，本技术通过接入多方情报源并将各情报源的情报信息进行标准化转换后建立多样化的情报告警模型，并利用该情报告警模型实现待检测平台的安全性检测，从而获得高质量、通用的情报告警，能够有效提高数据分析质量。
附图说明
30.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
31.图1为本发明实施例提供的一种情报告警方法的流程图；
32.图2为本发明实施例提供的一种情报告警装置的结构示意图。
具体实施方式
33.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
34.请参阅图1，其示出了本发明实施例提供的一种情报告警方法的流程图，具体可以包括：
35.s11：获取各情报源中包含的情报信息，并将情报信息均转换为相应的预先定义的标准情报信息。
36.本技术实施例中的情报即为背景技术中的威胁情报，而情报源可以为存储有情报相应信息的第三方情报源。为了获取到全面的情报相应信息，本技术实施例中拉取各第三方情报源推送的情报信息(即接口数据信息)，而情报信息包括但不限于情报本身、情报置信度以及情报危险等级等；其中，情报本身为可能存在安全威胁的网站、域名、邮箱等信息，情报置信度为表示相应情报的可信度的信息，情报危险等级为表示相应情报对安全造成的威胁程度的信息。由于不同第三方情报源中存储的情报信息分别为按照所属情报源的标准实现的，因此不同第三方情报源中存储的情报信息的标准可能是不同的，因此为了便于基于全部第三方情报源中存储的情报信息实现数据分析，本技术实施例中需要将获取的全部情报信息均转换为预先定义的统一标准的情报信息(即标准情报信息)；简单来说，不同第三方情报源中存储的情报信息表示相同含义的字段可能不同，因此本技术实施例需要按照预先定义的标准将获取的情报源中的情报信息均转换为统一标准的情报信息，而统一标准的情报信息中表示相同含义的字段是相同的。
37.s12：获取与各标准情报信息对应的情报告警信息，将各标准情报信息及对应的情报告警信息封装为情报告警模型。
38.其中，情报告警信息为表示针对所对应的情报信息需实现的告警相应信息，如针对存在安全威胁的网站需要实现的告警可以为禁止访问该网站并输出相应的提示信息。本技术实施例中获取到全部数据源中存储的情报信息所转换得到的标准情报信息，以及各标准情报信息分别对应的情报告警信息之后，可以将标准情报信息及对应的情报告警信息封装为实现合理有效的告警评价体系的软件模块(即情报告警模型)；具体来说，本技术实施例可以通过包括但不限于模型维护人经验、历史数据及情报源威望等信息，生成各标准情报信息与情报告警信息的对应关系，进而基于该对应关系生成包含各标准情报信息、各情报告警信息及各标准情报信息与各情报信息的对应关系的情报告警模型，以基于该情报告警信息实现情报告警。
39.s13：获取当前待检测平台的平台数据，将平台数据输入至情报告警模型中，并按照情报告警模型输出的情报告警信息实现相应的告警；其中，情报告警模型在接收到的平台数据中包含任意标准情报信息时，输出与该任意标准情报信息对应的情报告警信息。
40.其中，待检测平台可以为需要实现安全检测的计算机或者计算机内任意模块等，
而平台数据可以包括待检测平台内的日志数据及流量数据等(包括但不限于待检测平台访问的网站、域名等信息)。本技术实施例中定时或者实时获取待检测平台的平台数据，然后将平台数据输入至情报告警模型中；情报告警模型接收到平台数据后，将平台数据分别与各标准情报信息进行比对，如果存在包含于平台数据中的标准情报信息，则确定该标准情报信息对应的情报告警信息为针对平台数据需要实现的情报告警信息，进而实现情报告警信息对应的告警。
41.本技术实施例获取到全部情报源中包含的情报信息，将这些情报信息转换为具有统一标准的标准情报信息，并将这些标准情报信息及对应的情报告警信息封装为情报告警模型；在将待检测平台的平台数据输入至情报告警模型后，由情报告警模型确定出与平台数据对应的标准情报信息，进而将该标准情报信息对应情报告警信息输出，以供实现该情报告警信息对应的告警。可见，本技术通过接入多方情报源并将各情报源的情报信息进行标准化转换后建立多样化的情报告警模型，并利用该情报告警模型实现待检测平台的安全性检测，从而获得高质量、通用的情报告警，能够有效提高数据分析质量。
42.本发明实施例提供的一种情报告警方法，将情报信息均转换为相应的预先定义的标准情报信息，可以包括：
43.将情报信息与待检测平台的标准情报信息进行比对，并基于比对的结果将情报信息映射为具有相同含义的标准情报信息。
44.需要说明的是，本技术实施例在获取到各情报源的情报信息之后，分析获取的情报信息(包括信息内容及数据字段等)，然后将情报信息与本地的标准情报信息(标准情报信息则为具有统一标准的情报信息)进行映射，从而使得具有相同含义的情报信息与标准情报信息具有映射关系，最终形成情报源字段与本地字段的映射关系。在得到上述映射关系后，则可以将情报源的各情报信息转换为具有映射关系的标准情报信息，从而通过这种方式简便有效的实现情报信息的标准化转换。例如，情报置信度映射及情报危害等级映射可以分别如下表所示。
[0045][0046][0047]
本发明实施例提供的一种情报告警方法，将情报信息均转换为相应的预先定义的
标准情报信息之后，还可以包括：
[0048]
建立情报源数据字典；其中，情报源数据字典中包括情报源、情报源包含的情报信息以及情报源包含的情报信息映射为的标准情报信息。
[0049]
本技术实施例还可以建立情报源数据字典，该字典中可以包括情报源、情报源字段以及具有映射关系的本地字段，从而在需要实现情报告警模型建立时可以基于该情报源数据字典建立，还可以在需要时由情报源数据字典中查询其包含的各项信息，从而实现对字段的有效管理，便于后续对字段的使用等操作。例如情报源数据字典中的部分字段可以如下表所示。
[0050][0051]
本发明实施例提供的一种情报告警方法，将情报信息均转换为相应的预先定义的标准情报信息之前，还可以包括：
[0052]
获取情报信息中包含的情报置信度，并将情报置信度低于置信度阈值的情报信息删除。
[0053]
其中，置信度阈值可以根据实际需要进行设定，如0.7、0.8等；由于每一种情报源所存储的情报信息均存在置信度，因此本技术实施例需要对不同情报源所存储的情报信息进行综合分析，以提高情报告警质量；具体来说，对于情报信息中包含的情报置信度，如果情报置信度低于置信度阈值，则说明相应的情报信息可信度比较低，因此可以将该情报信息删除。
[0054]
本发明实施例提供的一种情报告警方法，获取与各标准情报信息对应的情报告警信息，可以包括：
[0055]
将各标准情报信息提供给外界，并接收外界输入的与各标准情报信息对应的情报告警策略，并将情报告警策略加入至情报告警信息中；
[0056]
将各标准情报信息及对应的情报告警信息封装为情报告警模型之前，还可以包括：
[0057]
获取标准情报信息中包含的情报危害等级，并将情报危害等级加入至情报告警信息中。
[0058]
本技术实施例情报告警信息中的情报告警策略(即如何告警)可以由工作人员或者用户设定，进而将各标准情报信息输出给外界人员后，外界人员确定相应的情报告警策略后输入，进而将外界人员输入的情报告警策略加入至情报告警信息中，并且还可以获取标准情报信息中的情报危害等级(即情报存在威胁的程度)，将情报危险等级也加入至情报告警信息中；从而得到包括有情报告警策略及情报危害等级的情报告警信息，以使得情报告警信息能够全面且有效的体现告警对应信息。
[0059]
另外，本技术实施例中如果情报告警模型未输出情报告警信息，则可以确定输入至情报告警模型中的平台数据表示待检测平台为安全的平台；具体来说，如果情报告警模型确定输入的平台数据中不包含任何标准情报信息，则可以确定当前待检测平台是安全的，从而实现待检测平台是否安全的有效确定。
[0060]
在一种具体实现方式中，标准情报信息可以包括threada、threadb、threadc，情报告警模型可以将输入的平台数据分别与threadb、threada、threadc进行比对，从而得到结
果为threada*10％ threadb*80％ threadc10％。
[0061]
本技术无需修改底层代码、高效对接第三方情报源；通过接入多方情报源，建立多样化情报告警模型，将待检测平台的平台数据输入情报告警模型后得到相应的情报告警信息，能够高效对接各种情报源，并且取各家情报源之长，得到优质的告警情报，从而高效获得高质量的、通用的情报告警。另外，本技术还可以得到情报告警信息后得到相应的分析报告，并将分析报告输出，便于对情报信息的分析。
[0062]
本发明实施例还提供了一种情报告警装置，如图2所示，可以包括：
[0063]
转换模块11，用于：获取各情报源中包含的情报信息，并将情报信息均转换为相应的预先定义的标准情报信息；
[0064]
封装模块12，用于：获取与各标准情报信息对应的情报告警信息，将各标准情报信息及对应的情报告警信息封装为情报告警模型；
[0065]
告警模块13，用于：获取当前待检测平台的平台数据，将平台数据输入至情报告警模型中，并按照情报告警模型输出的情报告警信息实现相应的告警；其中，情报告警模型在接收到的平台数据中包含任意标准情报信息时，输出与该任意标准情报信息对应的情报告警信息。
[0066]
本发明实施例还提供了一种情报告警设备，可以包括：
[0067]
存储器，用于存储计算机程序；
[0068]
处理器，用于执行所述计算机程序时实现如上任一项所述情报告警方法的步骤。
[0069]
本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述情报告警方法的步骤。
[0070]
需要说明的是，本发明实施例提供的一种情报告警装置、设备及存储介质中相关部分的说明请参见本发明实施例提供的一种情报告警方法中对应部分的详细说明，在此不再赘述。另外本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。
[0071]
对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。