威胁情报特征库的生成方法、装置、存储介质及处理器与流程

1.本技术涉及网络威胁处理技术领域，具体而言，涉及一种威胁情报特征库的生成方法、装置、存储介质及处理器。


背景技术：

2.随着网络技术的迅速发展，各种网络攻击、数据盗窃和金融诈骗事件不断涌现，特别是近年来的挖矿、勒索事件频发，严重威胁到企业、学校、政府部门等机构的日常工作，为网络空间的安全运行带来了极大威胁和隐患。
3.现阶段，本地的防御设备除了使用传统的防御方案外，开始逐渐使用威胁情报特征库的技术来增强对威胁或危险的感知能力，由云端威胁情报平台输出本地情报特征库，本地防御设备加载威胁情报特征库后，无需向云端查询，直接在本地即可完成查询和匹配。
4.但是，本地防御设备的传统检测方案由于本地防御设备的存储是有限的，包括内存，存储等，而威胁情报的数据量是很大的，所以单台设备无法加载所有的情报数据，通常只能加载一定规格的数据，因此会造成本地防御设备检测时的遗漏，且由于威胁情报具有时效性的特征，一些流行的网络攻击通常会只在一段时间内频繁发生，如果本地防御设备加载了过多的过时情报，也会造成漏测的现象，因此，现有技术已经越来越难以应对当前的网络攻击和威胁。
5.针对相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题，目前尚未提出有效的解决方案。


技术实现要素：

6.本技术的主要目的在于提供一种威胁情报特征库的生成方法、装置、存储介质及处理器，以解决相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题。
7.为了实现上述目的，根据本技术的一个方面，提供了一种威胁情报特征库的生成方法。该方法包括：从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；确定每个威胁情报数据的优先级；依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；通过排序后的威胁情报数据生成威胁情报特征库。
8.进一步地，在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，该方法还包括：判断多个威胁情报数据是否已按照预设排序规则排序；若多个威胁情报数据已按照预设排序规则排序，确定的数据源信息为有序数据源信息；若多个威胁情报数据未按照预设排序规则的排序，确定数据源信息为无序数据源信息。
9.进一步地，确定每个威胁情报数据的优先级包括：从有序数据源信息中获取多个有序威胁情报数据；确定有序数据源信息的第一权重预设值；若有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，第一预设分值为有序威胁情报数据的优先级初始评分；根据第二预设分值和第一权重预设值确定每个威胁情报数据的优先级。
10.进一步地，确定每个威胁情报数据的优先级包括：从无序数据源信息中获取多个无序威胁情报数据，确定无序数据源信息的第二权重预设值；将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，第三预设分值为无序威胁情报数据的优先级初始评分，预设随机数值为无序数据源信息的随机数值；基于计算结果确定每个威胁情报数据的优先级。
11.进一步地，在确定每个威胁情报数据的优先级之后，该方法还包括：若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；基于累加值确定目标威胁情报数据的目标优先级。
12.进一步地，数据源信息至少包括如下之一：云端威胁情报平台自身的数据、通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。
13.进一步地，在通过排序后的威胁情报数据生成威胁情报特征库之后，该方法还包括：通过云端威胁情报平台将威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。
14.进一步地，该方法还包括：目标防御设备通过目标特征库数据发布中心获取威胁情报特征库中的威胁情报数据；基于威胁情报特征库中的威胁情报数据对网络流量进行检测，得到检测数据；目标防御设备将检测数据上传至云端威胁情报平台中。
15.为了实现上述目的，根据本技术的另一方面，提供了一种威胁情报特征库的生成装置。该装置包括：第一获取单元，用于从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；第一确定单元，用于确定每个威胁情报数据的优先级；第一排序单元，用于依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；第一生成单元，用于通过排序后的威胁情报数据生成威胁情报特征库。
16.进一步地，该装置还包括：第一判断单元，用于在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，判断多个威胁情报数据是否已按照预设排序规则排序；第二确定单元，用于若多个威胁情报数据已按照预设排序规则排序，确定的数据源信息为有序数据源信息；第三确定单元，用于若多个威胁情报数据未按照预设排序规则的排序，确定数据源信息为无序数据源信息。
17.进一步地，第一确定单元包括：第一获取模块，用于从有序数据源信息中获取多个有序威胁情报数据；第一确定模块，用于确定有序数据源信息的第一权重预设值；第一处理模块，用于若有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，第一预设分值为有序威胁情报数据的优先级初始评分；第二确定模块，用于根据第二预设分值和第一权重预设值确定每个威胁情报数据的优先级。
18.进一步地，第一确定单元包括：第三确定模块，用于从无序数据源信息中获取多个无序威胁情报数据，确定无序数据源信息的第二权重预设值；第四确定模块，用于将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，第三预设分值为无序威胁情报数据的优先级初始评分，预设随机数值为无序数据源信息的随机数值；第五确定模块，用于基于计算结果确定每个威胁情报数据的优先级。
19.进一步地，该装置还包括：第一累加单元，用于在确定每个威胁情报数据的优先级
之后，若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；第四确定单元，用于基于累加值确定目标威胁情报数据的目标优先级。
20.进一步地，数据源信息至少包括如下之一：云端威胁情报平台自身的数据、通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。
21.进一步地，该装置还包括：第一下发单元，用于在通过排序后的威胁情报数据生成威胁情报特征库之后，通过云端威胁情报平台将威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。
22.进一步地，该装置还包括：第二获取单元，用于目标防御设备通过目标特征库数据发布中心获取威胁情报特征库中的威胁情报数据；第一检测单元，用于基于威胁情报特征库中的威胁情报数据对网络流量进行检测，得到检测数据；第一上传单元，用于目标防御设备将检测数据上传至云端威胁情报平台中。
23.根据本技术实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项的方法。
24.根据本技术实施例的另一方面，还提供了一种计算机可读存储介质，其上存储有计算机程序/指令，该计算机程序/指令被处理器执行时执行上述任意一项的方法。
25.通过本技术，采用以下步骤：从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；确定每个威胁情报数据的优先级；依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；通过排序后的威胁情报数据生成威胁情报特征库。解决了相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题。通过对每个威胁情报数据的优先级进行排序，通过排序后的威胁情报数据生成威胁情报特征库，进而达到了提高威胁情报特征库应对网络威胁时检测效率的效果。
附图说明
26.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
27.图1是根据本技术实施例提供的威胁情报特征库的生成方法的流程图；
28.图2是根据本技术实施例提供的威胁情报特征库的生成方法的威胁情报特征库的生成流程图；
29.图3是根据本技术实施例提供的威胁情报特征库的生成方法的技术实施示意图；
30.图4是根据本技术实施例提供的威胁情报特征库的生成方法的目标防御设备获取和反馈示意图；
31.图5是根据本技术实施例提供的威胁情报特征库的生成装置的示意图一；
32.图6是根据本技术实施例提供的威胁情报特征库的生成装置的本地设备特征库使用和情报反馈处理装置示意图；以及
33.图7是根据本技术实施例提供的威胁情报特征库的生成装置的示意图二。
具体实施方式
34.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相
互组合。下面将参考附图并结合实施例来详细说明本技术。
35.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
36.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
37.根据本技术的实施例，提供了一种威胁情报特征库的生成方法。
38.图1是根据本技术实施例的威胁情报特征库的生成方法的流程图。如图1所示，该方法包括以下步骤：
39.步骤s101，从云端威胁情报平台中获取数据源信息中的多个威胁情报数据。
40.例如,云端威胁情报平台中包括多个不同类型的数据源信息，其中，多个不同类型的数据源信息包含多个威胁情报数据。
41.可选地，在本技术实施例提供的威胁情报特征库的生成方法中，数据源信息至少包括如下之一：云端威胁情报平台自身的数据、通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。
42.其中，目标情报库中的数据至少包括开源数据库中的数据，例如，用户反馈的误报或者漏报的数据，本技术通过云端威胁情报平台对不同类型情报源信息中的数据进行收集，进而提升了对网络威胁信息的检出率。
43.步骤s102，确定每个威胁情报数据的优先级。
44.例如，在多个数据源信息中包括多条威胁情报数据，通过云端威胁情报平台对各种类型的情报数据进行收集，根据不同来源的特性，制定出针对威胁情报数据的优先级策略。
45.可选地，在本技术实施例提供的威胁情报特征库的生成方法中，在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，该方法还包括：判断多个威胁情报数据是否已按照预设排序规则排序；若多个威胁情报数据已按照预设排序规则排序，确定的数据源信息为有序数据源信息；若多个威胁情报数据未按照预设排序规则的排序，确定数据源信息为无序数据源信息。
46.具体的，在对每个数据源信息中每条威胁情报信息的优先级进行计算之前，需要判断数据源信息是否已按照预设排序规则排序，不同数据源信息生成的威胁情报数据按照是否已按照流行度排序算法(对应于本技术中的预设排序规则)分为有序数据源信息和无序数据源信息两种情况，通过对数据源有序以及无序的区分，使得对威胁情报数据进行优先级的计算更加精准。
47.可选地，在本技术实施例提供的威胁情报特征库的生成方法中，确定每个威胁情
报数据的优先级包括：从有序数据源信息中获取多个有序威胁情报数据；确定有序数据源信息的第一权重预设值；若有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，第一预设分值为有序威胁情报数据的优先级初始评分；根据第二预设分值和第一权重预设值确定每个威胁情报数据的优先级。
48.例如，数据源信息包含有序数据源a信息，确定数据源a信息的权重值得取值为7(对应于本技术中的第一权重预设值)，数据源a信息中包含5000条有序威胁情报数据，设置该数据源a信息中有序威胁情报数据的优先级初始评分为100，若数据源a信息的阶梯阈值为1000(对应于本技术中的预设数量阈值)，对第一预设分值按照0.1的百分比进行递减操作，得到优先级评分为第二预设分值，将第二预设分值与第一权重预设值进行乘法计算，得到有序数据源a信息中每个威胁情报数据的优先级，在本技术中，数据源信息中权重取值为0
‑
10，数据源信息的可靠性越高，其对应的权重值越大。其中，有序数据源a信息中每个威胁情报数据的优先级为y＝7*100*(1
‑
|5000/1000|*0.1)＝350。通过对有序数据源信息设置数量阈值，避免了有序数据源的威胁情报数据量过大时，导致有序数据源信息整体的优先级分值较高的情况发生，进一步提升了有序数据源信息中威胁情报数据的准确度。
49.可选地，在本技术实施例提供的威胁情报特征库的生成方法中，确定每个威胁情报数据的优先级包括：从无序数据源信息中获取多个无序威胁情报数据，确定无序数据源信息的第二权重预设值；将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，第三预设分值为无序威胁情报数据的优先级初始评分，预设随机数值为无序数据源信息的随机数值；基于计算结果确定每个威胁情报数据的优先级。
50.例如，数据源信息包含无序数据源b信息，确定数据源b信息的权重值得取值为8(对应于本技术中的第二权重预设值)，数据源b信息中包含10000条无序威胁情报数据，设置该数据源b信息中无序威胁情报数据的优先级初始评分为100(对应于本技术中的第三预设分值)，若数据源b信息的随机数值为random(0.6
‑
1.2)＝0.8(对应于本技术中的预设数量阈值)，将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果为y＝8*100*0.8＝640。通过对无序数据源信息的使用随机数值的方式，使得无序源信息中的每个无序威胁情报数据都有机会分配到高优先级。
51.可选地，在本技术实施例提供的威胁情报特征库的生成方法中，在确定每个威胁情报数据的优先级之后，该方法还包括：若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；基于累加值确定目标威胁情报数据的目标优先级。
52.例如，一个表示domain＝www.abcde.com事件的威胁情报数据(对应于本技术中的目标威胁情报数据)，同时在5个数据源信息中都存在，若云端威胁情报平台自身的数据为数据源信息a，通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据为数据源信息b，同时，有目标情报库c，目标情报库d，目标情报库e。各个数据源信息如下表1所示：
53.表1
54.数据源权重值是否有序数量a8否10000
b10是800c7是5000d6否3000e5否10000
55.则基于上述结论，每个数据源信息中表示该事件的威胁情报数据的优先级得分计算如下：
56.(1)数据源a信息：数据源权重值*初始分*random(0.6
‑
1.2)，假设random(0.6
‑
1.2)＝0.8，则该条威胁情报数据的得分y1＝8*100*0.8＝640；
57.(2)数据源b：假设阶梯阈值为1000，则该条威胁情报数据的得分y2＝10*100*(1
‑
|800/1000|*0.1)＝1000；
58.(3)数据源c：假设阶梯阈值为1000，则该条威胁情报数据的得分y3＝7*100*(1
‑
|5000/1000|*0.1)＝350；
59.(4)数据源d：假设random(0.6
‑
1.2)＝0.8，则该条威胁情报数据的得分y4＝6*100*0.8＝480；
60.(5)数据源e：假设random(0.6
‑
1.2)＝0.7，则该条威胁情报数据的得分y5＝5*100*0.7＝350；
61.(6)最终，该条威胁情报数据的优先级(对应于本技术中的目标优先级)最终得分为y1 y2 y3 y4 y5＝2820。
62.步骤s103，依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据。
63.步骤s104，通过排序后的威胁情报数据生成威胁情报特征库。
64.例如，将每个数据源信息生成的多个威胁情报数据进行排序，将排序后的威胁情报数据基于云端威胁情报平台生成威胁情报特征库，其中，威胁情报特征库中包括多个情报特征库数据。
65.可选地，在本技术实施例提供的威胁情报特征库的生成方法中，在通过排序后的威胁情报数据生成威胁情报特征库之后，该方法还包括：通过云端威胁情报平台将威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。
66.图2是根据本技术实施例提供的威胁情报特征库的生成方法的威胁情报特征库的生成流程图，如图2所示，在云端威胁情报平台中，获取各个数据源信息的威胁情报数据，并判断威胁情报数据是否为有序威胁情报数据，若为有序威胁情报数据，计算有序威胁情报数据的优先级，若为无序威胁情报数据，计算无序威胁情报数据的优先级，依据每个威胁情报数据的优先级进行排序，生成威胁情报特征库，通过云端威胁情报平台将威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。
67.可选地，在本技术实施例提供的威胁情报特征库的生成方法中，该方法还包括：目标防御设备通过目标特征库数据发布中心获取威胁情报特征库中的威胁情报数据；基于威胁情报特征库中的威胁情报数据对网络流量进行检测，得到检测数据；目标防御设备将检测数据上传至云端威胁情报平台中。
68.图3是根据本技术实施例提供的威胁情报特征库的生成方法的技术实施示意图，如图3所示，云端威胁情报平台生成威胁情报特征库之后，将威胁特征库数据下发到目标特
征库数据发布中心，本地防御设备(对应于本技术中的目标防御设备，下同)定期向特征库发布中心下载和更新特征库数据，用以保护用户网络，同时将使用该特征库对网络流量的检测数据上传反馈给云端威胁情报平台，云端威胁情报平台根据反馈数据不断调整特征库的内容，使得本地防御设备可根据自身规格加载对应数量的威胁情报数据，加载顺序按照优先级先后顺序即可，进一步保证了由云端威胁情报平台生成的情报特征库数据，优先级高的数据被优先加载。
69.具体的，由于威胁情报数据存在时效性，针对目标防御设备反馈的威胁情报数据，设置一个时间窗口，假设该时间窗口长度为n天，即每次制作特征库库时选取从当前时间起n天内的反馈数据，其中，在云端威胁平台中的威胁情报数据若得到目标防御设备反馈，则证明该威胁情报数据目前的流行度比较高。
70.图4是根据本技术实施例提供的威胁情报特征库的生成方法的目标防御设备获取和反馈示意图，如图4所示，在开始阶段，本地防御设备下载威胁情报特征库，并根据自身规格加载数据，本地网络流量查询检测，反馈情报查询结果，在云端威胁情报平台中接收本地防御设备反馈的威胁情报数据，判断该威胁情报数据是否被命中，若被命中，则将该威胁情报数据加入至本地防御设备反馈数据源信息中，若未被命中，判断该威胁情报数据是否符合筛选条件，若符合筛选条件，则将该威胁情报数据加入至本地防御设备反馈数据源信息中。
71.由上述可知，本技术基于云端威胁情报平台生成的情报特征库质量更高，能够尽可能的将威胁情报数据按照优先级排列，并且能够不断的根据使用反馈调整优先级，本地防御设备即使存在自身规格的限制，也可以尽可能的加载到流行度高，关联性强的情报数据，进而增强本地防御设备中的胁情报特征库应对网络威胁时的检测能力。
72.综上，本技术实施例提供的威胁情报特征库的生成方法，通过从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；确定每个威胁情报数据的优先级；依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；通过排序后的威胁情报数据生成威胁情报特征库。解决了相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题。通过对每个威胁情报数据的优先级进行排序，通过排序后的威胁情报数据生成威胁情报特征库，进而达到了提高威胁情报特征库应对网络威胁时检测效率的效果。
73.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
74.本技术实施例还提供了一种威胁情报特征库的生成装置，需要说明的是，本技术实施例的威胁情报特征库的生成装置可以用于执行本技术实施例所提供的用于威胁情报特征库的生成方法。以下对本技术实施例提供的威胁情报特征库的生成装置进行介绍。
75.图5是根据本技术实施例提供的威胁情报特征库的生成装置的示意图一，如图5所示，该装置包括：第一获取单元501、第一确定单元502、第一排序单元503、第一生成单元504。
76.具体的，第一获取单元501，用于从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；
77.第一确定单元502，用于确定每个威胁情报数据的优先级；
78.第一排序单元503，用于依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；
79.第一生成单元504，用于通过排序后的威胁情报数据生成威胁情报特征库。
80.综上，本技术实施例提供的威胁情报特征库的生成装置，通过第一获取单元501从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；第一确定单元502确定每个威胁情报数据的优先级；第一排序单元503依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；第一生成单元504通过排序后的威胁情报数据生成威胁情报特征库。解决了相关技术中威胁情报特征库应对网络威胁时检测效率较低的问题。通过对每个威胁情报数据的优先级进行排序，通过排序后的威胁情报数据生成威胁情报特征库，进而达到了提高威胁情报特征库应对网络威胁时检测效率的效果。
81.可选地，在本技术实施例提供的威胁情报特征库的生成装置中，该装置还包括：第一判断单元，用于在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，判断多个威胁情报数据是否已按照预设排序规则排序；第二确定单元，用于若多个威胁情报数据已按照预设排序规则排序，确定的数据源信息为有序数据源信息；第三确定单元，用于若多个威胁情报数据未按照预设排序规则的排序，确定数据源信息为无序数据源信息。
82.可选地，在本技术实施例提供的威胁情报特征库的生成装置中，第一确定单元502包括：第一获取模块，用于从有序数据源信息中获取多个有序威胁情报数据；第一确定模块，用于确定有序数据源信息的第一权重预设值；第一处理模块，用于若有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，第一预设分值为有序威胁情报数据的优先级初始评分；第二确定模块，用于根据第二预设分值和第一权重预设值确定每个威胁情报数据的优先级。
83.可选地，在本技术实施例提供的威胁情报特征库的生成装置中，第一确定单元502包括：第三确定模块，用于从无序数据源信息中获取多个无序威胁情报数据，确定无序数据源信息的第二权重预设值；第四确定模块，用于将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，第三预设分值为无序威胁情报数据的优先级初始评分，预设随机数值为无序数据源信息的随机数值；第五确定模块，用于基于计算结果确定每个威胁情报数据的优先级。
84.可选地，在本技术实施例提供的威胁情报特征库的生成装置中，该装置还包括：第一累加单元，用于在确定每个威胁情报数据的优先级之后，若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；第四确定单元，用于基于累加值确定目标威胁情报数据的目标优先级。
85.可选地，在本技术实施例提供的威胁情报特征库的生成装置中，数据源信息至少包括如下之一：云端威胁情报平台自身的数据、通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。
86.可选地，在本技术实施例提供的威胁情报特征库的生成装置中，该装置还包括：第一下发单元，用于在通过排序后的威胁情报数据生成威胁情报特征库之后，通过云端威胁情报平台将威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。
87.可选地，在本技术实施例提供的威胁情报特征库的生成装置中，该装置还包括：第二获取单元，用于目标防御设备通过目标特征库数据发布中心获取威胁情报特征库中的威胁情报数据；第一检测单元，用于基于威胁情报特征库中的威胁情报数据对网络流量进行检测，得到检测数据；第一上传单元，用于目标防御设备将检测数据上传至云端威胁情报平台中。
88.可选地，图6是根据本技术实施例提供的威胁情报特征库的生成装置的本地设备特征库使用和情报反馈处理装置示意图，如图6所示，本地设备特征库使用和情报反馈处理装置中包括威胁情报特征库更新单元、加载特征库单元、查询特征库单元、情报反馈单元以及反馈情报处理单元。
89.可选地，图7是根据本技术实施例提供的威胁情报特征库的生成装置的示意图二，如图7所示，威胁情报特征库的生成装置中还包括获取数据源数据单元、优先级计算单元、去重排序单元以及威胁情报特征库发布单元。
90.威胁情报特征库的生成装置包括处理器和存储器，上述第一获取单元501、第一确定单元502、第一排序单元503、第一生成单元504等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
91.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来进行威胁情报特征库的生成。
92.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
93.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现威胁情报特征库的生成方法。
94.本发明实施例提供了一种处理器，处理器用于运行程序，其中，程序运行时执行威胁情报特征库的生成方法。
95.本发明实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；确定每个威胁情报数据的优先级；依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；通过排序后的威胁情报数据生成威胁情报特征库。
96.处理器执行程序时还实现以下步骤：在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，判断多个威胁情报数据是否已按照预设排序规则排序；若多个威胁情报数据已按照预设排序规则排序，确定的数据源信息为有序数据源信息；若多个威胁情报数据未按照预设排序规则的排序，确定数据源信息为无序数据源信息。
97.处理器执行程序时还实现以下步骤：从有序数据源信息中获取多个有序威胁情报数据；确定有序数据源信息的第一权重预设值；若有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，第一预设分值为有序威胁情报数据的优先级初始评分；根据第二预设分值和第一权重预设值确定每个威胁情报数据的优先级。
98.处理器执行程序时还实现以下步骤：从无序数据源信息中获取多个无序威胁情报
数据，确定无序数据源信息的第二权重预设值；将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，第三预设分值为无序威胁情报数据的优先级初始评分，预设随机数值为无序数据源信息的随机数值；基于计算结果确定每个威胁情报数据的优先级。
99.处理器执行程序时还实现以下步骤：在确定每个威胁情报数据的优先级之后，若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；基于累加值确定目标威胁情报数据的目标优先级。
100.处理器执行程序时还实现以下步骤：数据源信息至少包括如下之一：云端威胁情报平台自身的数据、通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。
101.处理器执行程序时还实现以下步骤：在通过排序后的威胁情报数据生成威胁情报特征库之后，通过云端威胁情报平台将威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。
102.处理器执行程序时还实现以下步骤：目标防御设备通过目标特征库数据发布中心获取威胁情报特征库中的威胁情报数据；基于威胁情报特征库中的威胁情报数据对网络流量进行检测，得到检测数据；目标防御设备将检测数据上传至云端威胁情报平台中。
103.本文中的设备可以是服务器、pc、pad、手机等。
104.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：从云端威胁情报平台中获取数据源信息中的多个威胁情报数据；确定每个威胁情报数据的优先级；依据每个威胁情报数据的优先级进行排序，得到排序后的威胁情报数据；通过排序后的威胁情报数据生成威胁情报特征库。
105.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在从云端威胁情报平台中获取数据源信息中的多个威胁情报数据之后，判断多个威胁情报数据是否已按照预设排序规则排序；若多个威胁情报数据已按照预设排序规则排序，确定的数据源信息为有序数据源信息；若多个威胁情报数据未按照预设排序规则的排序，确定数据源信息为无序数据源信息。
106.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：从有序数据源信息中获取多个有序威胁情报数据；确定有序数据源信息的第一权重预设值；若有序威胁情报数据的数量大于预设数量阈值，则对第一预设分值按照预设百分比进行递减操作，得到每个威胁情报数据的优先级评分为第二预设分值，其中，第一预设分值为有序威胁情报数据的优先级初始评分；根据第二预设分值和第一权重预设值确定每个威胁情报数据的优先级。
107.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：从无序数据源信息中获取多个无序威胁情报数据，确定无序数据源信息的第二权重预设值；将第二权重预设值和第三预设分值以及预设随机数值进行乘法计算，得到计算结果，其中，第三预设分值为无序威胁情报数据的优先级初始评分，预设随机数值为无序数据源信息的随机数值；基于计算结果确定每个威胁情报数据的优先级。
108.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在确定
每个威胁情报数据的优先级之后，若多个不同的数据源信息中分别包括表示相同事件的目标威胁情报数据，则分别对每个表示相同事件的目标威胁情报数据的优先级进行累加，得到累加值；基于累加值确定目标威胁情报数据的目标优先级。
109.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：数据源信息至少包括如下之一：云端威胁情报平台自身的数据、通过威胁情报特征库中的威胁情报数据对网络流量进行检测得到的数据、目标情报库中的数据。
110.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：在通过排序后的威胁情报数据生成威胁情报特征库之后，通过云端威胁情报平台将威胁情报特征库中的威胁情报数据下发至目标特征库数据发布中心。
111.当在数据处理设备上执行时，还适于执行初始化有如下方法步骤的程序：目标防御设备通过目标特征库数据发布中心获取威胁情报特征库中的威胁情报数据；基于威胁情报特征库中的威胁情报数据对网络流量进行检测，得到检测数据；目标防御设备将检测数据上传至云端威胁情报平台中。
112.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
113.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
114.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
115.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
116.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
117.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
118.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。
计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
119.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
120.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
121.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。