威胁情报自动生成方法、装置、计算机设备和存储介质与流程

本申请涉及网络安全技术领域，特别是涉及一种威胁情报自动生成方法、装置、计算机设备和存储介质。

背景技术

在当前网络环境中，高级威胁的攻防对抗日益激烈，其中主要的对抗手段是通过运用已知的威胁情报进行对抗。威胁情报一般包括攻击IP、域名、程序运行路径、注册表项以及样本哈希等信息。在实际对抗中，通过解析网络流量并与攻击特征库、威胁情报库等进行匹配，进而发现各种网络威胁事件。

通常威胁情报的获取需要安全专家长期对恶意的攻击活动进行跟踪，并从海量的数据中提取攻击活动用到的威胁情报。但在实际情况中，不同时间节点的攻击，威胁情报都会不同，安全专家也无法做到即时跟踪，因此无法及时更新威胁情报。

针对相关技术中存在威胁情报无法及时更新的问题，目前还没有提出有效的解决方案。

技术实现要素：

在本实施例中提供了一种威胁情报自动生成方法、装置、计算机设备和存储介质，以解决相关技术中威胁情报无法及时更新的问题。

第一个方面，在本实施例中提供了一种威胁情报自动生成方法，包括：

通过分析恶意软件，提取所述恶意软件的流量特征；

基于所述流量特征，生成相应的检测规则；

获取网络通信数据，对所述网络通信数据进行解析，得到解析结果；

根据所述检测规则和所述解析结果，生成威胁情报。

在其中的一些实施例中，所述通过分析恶意软件，提取所述恶意软件的流量特征，包括：

在沙箱环境中运行所述恶意软件，得到运行结果；

对所述运行结果进行分析，提取所述恶意软件的流量特征。

在其中的一些实施例中，所述根据所述检测规则和所述解析结果，生成威胁情报包括：

基于所述检测规则，对所述解析结果进行检测，得到检测结果；

根据所述检测结果，以生成威胁情报。

在其中的一些实施例中，在所述生成威胁情报之后，还包括：

根据所述威胁情报和预定义信息，生成威胁情报库；

对新获取的网络通信数据进行解析，并根据新的解析结果和所述威胁情报库，生成对应的威胁情报。

在其中的一些实施例中，在所述通过分析恶意软件，提取所述恶意软件的流量特征之前，还包括：

通过分析已知恶意样本，获取所述恶意软件。

第二个方面，在本实施例中提供了一种威胁情报自动生成装置，包括：特征提取模块、规则生成模块、数据解析模块以及威胁生成模块；

所述特征提取模块，用于通过分析恶意软件，提取所述恶意软件的流量特征；

所述规则生成模块，用于基于所述流量特征，生成相应的检测规则；

所述数据解析模块，用于获取网络通信数据，对所述网络通信数据进行解析，得到解析结果；

所述威胁生成模块，用于根据所述检测规则和所述解析结果，生成威胁情报。

在其中的一些实施例中，所述特征提取模块，还用于在沙箱环境中运行所述恶意软件，得到运行结果；

对所述运行结果进行分析，提取所述恶意软件的流量特征。

第三个方面，在本实施例中提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一个方面所述的威胁情报自动生成方法。

第四个方面，在本实施例中提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一个方面所述的威胁情报自动生成方法。

与相关技术相比，在本实施例中提供的威胁情报自动生成方法、装置、计算机设备和存储介质，通过分析恶意软件，自动提取所述恶意软件的流量特征；基于所述流量特征，生成相应的检测规则；对网络通信数据进行解析，并基于所述检测规则生成威胁情报，解决了相关技术中存在威胁情报无法及时更新的问题，实现了能够实时更新威胁情报的效果。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为一个实施例中威胁情报自动生成方法的终端的硬件结构框图；

图2为一个实施例中威胁情报自动生成方法的流程图；

图3为一个优选实施例中威胁情报自动生成方法的流程图；

图4为一个实施例中威胁情报自动生成装置的结构框图。

图中：410、特征提取模块；420、规则生成模块；430、数据解析模块；440、威胁生成模块。

具体实施方式

为更清楚地理解本申请的目的、技术方案和优点，下面结合附图和实施例，对本申请进行了描述和说明。

除另作定义外，本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。

在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行，图1是本实施例的威胁情报自动生成方法的终端的硬件结构框图。如图1所示，终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的威胁情报自动生成方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种威胁情报自动生成方法，图2是相应的流程图，如图2所示，该方法包括以下步骤：

步骤S210，通过分析恶意软件，提取恶意软件的流量特征。

具体地，通过运行恶意软件，自动对恶意软件进行分析，或者通过人工对恶意软件进行调试分析，从大量相似的恶意软件中提取代码中相似的部分作为流量特征。在本实施例中，恶意软件指的是攻击组织发起恶意攻击活动时使用的攻击软件，流量特征具体可以是请求协议或其他网络协议中特定字段的一些固定特征。

步骤S220，基于流量特征，生成相应的检测规则。

具体地，获得的流量特征还无法直接进行后续的检测实际应用，需要产品研发人员对获取的流量特征进行转换，生成相应的可应用于相关检测产品的检测规则。上述检测规则可以加载在相关检测产品的扫描引擎或者扫描设备中进行应用。

步骤S230，获取网络通信数据，对网络通信数据进行解析，得到解析结果。

具体地，对网卡上抓取的网络通信数据基于网络协议进行解析，具体可以基于HTTP和TCP等协议，得到的解析结果包括网络通信数据中特定字段的消息结构。

步骤S240，根据检测规则和解析结果，生成威胁情报。

具体地，将检测规则加载在扫描引擎或者扫描设备中，通过扫描引擎或扫描设备会解析结果进行扫描对比，得到检测结果。如果网络通信数据的解析结果中有符合检测规则的相关特征，那么产生告警，并从检测结果生成威胁情报。

上述步骤通过分析恶意软件，提取恶意软件的流量特征；基于流量特征，生成相应的检测规则；获取网络通信数据，对网络通信数据进行解析，得到解析结果；根据检测规则和解析结果，生成威胁情报。

现有的方法需要安全专家对恶意的攻击活动进行长期连续的跟踪，并从大量的攻击活动的数据中提取攻击活动用到的威胁情报。但是在实际情况中，即使是同一攻击组织发起的攻击活动，也不会每次的威胁情报都相同，安全专家也无法做到即时跟踪，因此无法及时更新威胁情报。本实施例在现有技术的基础上提供了有效的补充，通过上述步骤，根据攻击组织用到的恶意软件具有相似性的特点，从恶意软件中提取特定的流量特征，并将流量特征转换成相应的检测规则，基于检测规则再对网络通信数据进行检测，并自动生成威胁情报。对同一攻击组织使用相似的恶意软件发起的攻击活动，可以自动生成威胁情报，无需安全专家再进行跟踪提取威胁情报，从而解决了现有技术中存在威胁情报无法及时更新的问题。

在其中的一些实施例中，上述通过分析恶意软件，提取恶意软件的流量特征，包括以下步骤：

(1)在沙箱环境中运行恶意软件，得到运行结果；

(2)对运行结果进行分析，提取恶意软件的流量特征。

具体地，通过在沙箱环境中自动运行恶意软件，得到网络通信数据包，再通过分析网络通信数据包来提取其流量特征。其中，沙箱环境是一种虚拟的类似沙盒的独立作业环境，在其中运行文件或应用程序等所产生的变化可以随后删除，因此在其内部运行的程序并不能对硬盘产生永久性的影响。在网络安全领域中，通常用来测试不受信任的文件或应用程序等行为的工具，本实施例中的恶意软件也属于不受信任的文件或应用程序。

进一步地，对一些无法通过运行来提取流量特征的恶意软件，可以通过人工逆向分析和调试，提取其流量特征。

通过本实施例中提供的自动化执行的沙箱分析方法，能够提取恶意软件中的流量特征，并且对无法运行的恶意样本提供了补充手段，通过人工逆向分析调试恶意软件提取流量特征，这样能够较全面地对恶意软件进行分析，提取更多的流量特征，以便后续根据这些流量特征形成更完善的检测规则。

在其中的一些实施例中，上述根据检测规则和解析结果，生成威胁情报包括以下步骤：

(1)基于检测规则，对解析结果进行检测，得到检测结果；

(2)根据检测结果，以生成威胁情报。

具体地，将流量检测设备装载上述检测规则，通过规则扫描引擎对解析结果进行扫描检测，规则扫描引擎通过将解析结果与检测规则进行碰撞，如果解析结果中有符合检测规则的相关特征，那么命中产生告警，从中提取跟威胁情报信息相关的数据字段生成威胁情报，其中，相关的数据字段可以包括TCP协议的目的IP、HTTP协议的HOST、HTTP协议的URL等字段。

通过本实施例，将网络通信数据解析得到相关协议数据字段，并通过规则扫描引擎基于检测规则，对解析得到的上述数据字段进行扫描碰撞，命中则生成威胁情报，这样能够实现根据提取的流量特征对网络通信数据进行威胁检测的效果。

在其中的一些实施例中，在上述生成威胁情报之后，还包括以下步骤：

(1)根据威胁情报和预定义信息，生成威胁情报库；

(2)对新获取的网络通信数据进行解析，并根据新的解析结果和威胁情报库，生成对应的威胁情报。

具体地，预定义信息指的是上述检测规则中威胁情报相关的附属信息，包括家族名称、组织名称、威胁类型以及威胁等级等信息，根据这些预定义信息和威胁情报中相关的数据字段，共同生成威胁情报库。

进一步地，上述威胁情报库可以用来参与后续网络流量的威胁检测。通过威胁情报库进行的检测过程与上述步骤相似，对获取的网络通信数据进行解析，并将得到的解析结果发送给威胁情报匹配引擎，威胁情报匹配引擎通过加载上述威胁情报库对上述解析结果进行扫描碰撞，如果解析结果中有符合威胁情报库的相关特征，那么命中产生告警。其中，上述解析结果主要是网络通信数据中的网络协议字段，包括TCP协议的目的IP、HTTP协议的HOST字段、HTTP协议的URL字段以及DNS请求域名。

通过本实施例，将生成的威胁情报与预定义信息结合，生成威胁情报库，并利用该威胁情报库对后续获得的新的网络通信数据进行威胁检测，再生成新的威胁情报，从而实现了对威胁情报库的不断更新，进而能够更全面、及时地对获取的网络通信数据进行威胁检测。

在其中的一些实施例中，在上述通过分析恶意软件，提取恶意软件的流量特征之前，还包括：

通过分析已知恶意样本，获取恶意软件。

具体地，一般通过对大量的样本(文件或恶意软件)进行分析来发现恶意攻击组织，分析方法包括自动化分析(静态分析和动态分析)和人工分析(逆向分析)，然后获取上述恶意攻击组织用到的恶意软件。其中，本实施例中的静态分析包括反病毒软件扫描、文件格式识别、字符串提取分析、二进制结构分析、反汇编、反编译、代码结果与逻辑分析、加壳识别以及代码脱壳等方法。动态分析是在运行恶意代码之后进行检查的过程，是恶意样本分析流程的第二步，一般在静态分析基础技术进入一个困难的时候，动态分析能让你观察到恶意样本的真实功能，一个行为存在二进制程序中，并不意味着它就会执行，动态分析也是一种识别恶意代码功能的有效方法。

通过本实施例中对恶意攻击组织进行跟踪，通过静态分析和动态分析分析获取其用到的恶意软件，进而能够在后续利用这些恶意软件的相似性，更全面地获取恶意软件相似的流量特征。

下面通过优选实施例对本实施例进行描述和说明。

图3是本优选实施例的威胁情报自动生成方法的流程图，如图3所示，该方法包括以下步骤：

步骤S310，通过分析已知恶意样本，获取恶意软件。

若上述恶意软件可以运行，则执行步骤S321；若上述恶意软件无法运行，则执行步骤S322。

步骤S321，在沙箱环境中运行恶意软件，得到运行结果；对运行结果进行分析，提取恶意软件的流量特征。

步骤S322，通过逆向分析恶意软件，提取恶意软件的流量特征。

步骤S330，基于流量特征，生成相应的检测规则。

步骤S340，获取网络通信数据，对网络通信数据进行解析，得到解析结果。

步骤S350，基于检测规则，对解析结果进行检测，得到检测结果；根据检测结果，以生成威胁情报。

步骤S360，根据威胁情报和预定义信息，生成威胁情报库；对新获取的网络通信数据进行解析，并根据新的解析结果和威胁情报库，生成对应的威胁情报。

在本实施例中以挖矿组织“某鸭”为例对上述优选步骤进行说明，“某鸭”是一个已知的恶意攻击组织，它发起的攻击活动具有以下特征：

(1)起源于针对“驱动人生”供应链的APT攻击；

(2)持续时间长，从2018年12月份起持续至今；

(3)影响范围广泛，波及全球，已有数百万设备被感染；

(4)传播途径多样，通过漏洞利用、Outlook邮件、移动存储设备进行传播；

(5)利用新冠疫情对邮件攻击模块做针对性升级，以提高感染效率；

(6)频繁利用开源项目及新披露漏洞的POC来增强蠕虫感染能力；

(7)多样性，迭代/升级的频率远超以往发现的同类型威胁攻击。

通过分析该组织发起恶意攻击使用的一些互相关联的恶意软件，发现其中C&C请求头的唯一出现的Header配置User-Agent使用了以下特殊的前缀：

Lemon-Duck：

$Lemon_Duck＝'MTXDaxu\\qWPoOkQu'；#历史版本出现过的变量赋值

$Lemon_Duck＝'\\'；#近期攻击中的赋值

$webclient.Headers.add(\"User-Agent\",\"Lemon-Duck-\" $Lemon_Duck.replace('\\','-'))#User-Agent:Lemon-Duck--。

由此可以得到上述恶意软件中固定的特征是HTTP请求的User-Agent字段中的：Lemon-Duck--，并将此特征作为恶意软件的流量特征。

进一步地，根据该流量特征提取相应的检测规则，并装载应用到检测产品中，具体检测规则如下：

alert http any any->any any(msg:\"挖矿组织某鸭恶意外连通信\"；

flow:to_server,established；http.user_agent；content:\"Lemon-Duck-\"；

fast_pattern；

pcre:\"/^\\s{0,5}Lemon-Duck-/V\"；

priority:1；classtype:Malware_BotTrojWorm；

sid:93003103；rev:2；gid:1；metadata:raw_sid 0x1002069E_9186,attack_result OK,created_at 2021_03_09,updated_at 2021_08_15；)

进一步地，通过将规则扫描引擎装载上述检测规则，并与经过解析的网络通信数据进行扫描匹配，对命中该检测规则的数据，提取目的IP地址或域名信息，作为新的威胁情报。

进一步地，通常检测规则中还包括威胁情报的附属信息，也就是预定义信息，包括：

-组织名称：某鸭；-威胁类型：挖矿软件；-危害等级：中危，等等。将这些预定义信息和威胁情报中的目的IP地址或域名信息共同生成威胁情报库。再基于威胁情报库与新获取的网络通信数据中的HTTP、TCP以及DNS协议数据进行扫描碰撞，如果命中告警，则生成新的威胁情报。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在本实施例中还提供了一种威胁情报自动生成装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图4是本实施例的威胁情报自动生成装置的结构框图，如图4所示，该装置包括：特征提取模块410、规则生成模块420、数据解析模块430以及威胁生成模块440；

特征提取模块410，用于通过分析恶意软件，提取恶意软件的流量特征。

具体地，通过运行恶意软件，自动对恶意软件进行分析，或者通过人工对恶意软件进行调试分析，从大量相似的恶意软件中提取代码中相似的部分作为流量特征。在本实施例中，恶意软件指的是攻击组织发起恶意攻击活动时使用的攻击软件，流量特征具体可以是请求协议或其他网络协议中特定字段的一些固定特征。

规则生成模块420，用于基于流量特征，生成相应的检测规则。

具体地，获得的流量特征还无法直接进行后续的检测实际应用，需要产品研发人员对获取的流量特征进行转换，生成相应的可应用于相关检测产品的检测规则。上述检测规则可以加载在相关检测产品的扫描引擎或者扫描设备中进行应用。

数据解析模块430，用于获取网络通信数据，对网络通信数据进行解析，得到解析结果。

具体地，对网卡上抓取的网络通信数据基于网络协议进行解析，具体可以基于HTTP和TCP等协议，得到的解析结果包括网络通信数据中特定字段的消息结构。

威胁生成模块440，用于根据检测规则和解析结果，生成威胁情报。

具体地，将检测规则加载在扫描引擎或者扫描设备中，通过扫描引擎或扫描设备会解析结果进行扫描对比，得到检测结果。如果网络通信数据的解析结果中有符合检测规则的相关特征，那么产生告警，并从检测结果生成威胁情报。

通过本实施例中提供的装置，根据攻击组织用到的恶意软件具有相似性的特点，从恶意软件中提取特定的流量特征，并将流量特征转换成相应的检测规则，基于检测规则再对网络通信数据进行检测，并自动生成威胁情报。对同一攻击组织使用相似的恶意软件发起的攻击活动，可以自动生成威胁情报，无需安全专家再进行跟踪提取威胁情报，从而解决了现有技术中存在威胁情报无法及时更新的问题。

在其中的一些实施例中，上述特征提取模块，还用于在沙箱环境中运行恶意软件，得到运行结果；对运行结果进行分析，提取恶意软件的流量特征。

在其中的一些实施例中，上述特征提取模块，还用于通过逆向分析恶意软件，提取恶意软件的流量特征。

在其中的一些实施例中，上述威胁生成模块，还用于基于检测规则，对解析结果进行检测，得到检测结果；根据检测结果，以生成威胁情报。

在其中的一些实施例中，上述装置还包括威胁情报库模块，用于在生成威胁情报之后，根据威胁情报和预定义信息，生成威胁情报库；对新获取的网络通信数据进行解析，并根据新的解析结果和威胁情报库，生成对应的威胁情报。

在其中的一些实施例中，上述装置还包括恶意软件获取模块，用于在通过分析恶意软件，提取恶意软件的流量特征之前，通过分析已知恶意样本，获取恶意软件。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

在本实施例中还提供了一种计算机设备，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述计算机设备还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。

此外，结合上述实施例中提供的威胁情报自动生成方法，在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种威胁情报自动生成方法。

应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本申请提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本申请保护范围。

显然，附图只是本申请的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本申请适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本申请公开的内容不足。

“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本申请中描述的实施例在没有冲突的情况下，可以与其它实施例结合。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。