一种威胁处置方法及装置与流程

1.本发明涉及网络安全技术领域，特别是涉及一种威胁处置方法及装置。


背景技术：

2.近年来，网络安全形式愈发严峻，网络安全对抗形式不断升级，对线索进行威胁处置已成为安全分析人员的重要工作之一。目前，对线索进行威胁处置通常基于安全分析人员的人工研判进行。这种人工研判的方式不仅效率低，且由于研判过程依赖人工经验，一旦人工经验出现偏差，则会影响威胁处置的准确度。


技术实现要素：

3.有鉴于此，本发明提出了一种威胁处置方法及装置，主要目的在于提高威胁处置的效率和准确度。
4.为了达到上述目的，本发明主要提供了如下技术方案：
5.第一方面，本发明提供了一种威胁处置方法，该方法包括：
6.基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息，所述威胁分析项用于提取满足对应条件的威胁情报信息；
7.根据所提取的威胁情报信息中的情报关键字，确定对应的情报处置建议。
8.第二方面，本发明提供了一种威胁处置装置，该装置包括：
9.提取单元，用于基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息，所述威胁分析项用于提取满足对应条件的威胁情报信息；
10.确定单元，用于根据所提取的威胁情报信息中的情报关键字，确定对应的情报处置建议。
11.第三方面，本发明提供了一种计算机可读存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行第一方面所述的威胁处置方法。
12.第四方面，本发明提供了一种存储管理设备，所述存储管理设备包括：存储器，用于存储程序；处理器，耦合至所述存储器，用于运行所述程序以执行第一方面所述的威胁处置方法。
13.借由上述技术方案，本发明提供的威胁处置方法及装置，在需要处置待威胁处置的线索时，首先根据预设威胁分析项从威胁情报库中提取线索所对应的威胁情报信息，然后根据所提取的威胁情报信息中的情报关键字确定对应的情报处置建议。可见，本发明提供的方案能够结合预设威胁分析和威胁情报库对线索进行拓线研判分析，并根据拓线研判分析所提取的威胁情报信息给出相应的情报处置建议，所涉及的线索研判分析过程和情报处置建议的确定过程均无需人工介入，因此本发明提供的方案能够提高威胁处置的效率和准确度。
14.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，
而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
15.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
16.图1示出了本发明一个实施例提供的一种威胁处置方法的流程图；
17.图2示出了本发明另一个实施例提供的一种威胁处置装置的结构示意图；
18.图3示出了本发明另一个实施例提供的一种威胁处置装置的结构示意图。
具体实施方式
19.下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
20.网络安全形式愈发严峻，网络安全对抗形式不断升级，对线索进行威胁处置已成为安全分析人员的重要工作之一。对线索进行威胁处置，由于不仅能够及时分析已发生的攻击，而且能够对未来威胁态势进行有效预判，并指导用户制定有效的安全决策，因此，对线索进行威胁分析，对用户网络设施的安全防护具有重要的意义。
21.目前，对线索进行威胁处置通常基于安全分析人员的人工研判进行。这种人工研判的方式不仅效率低，且由于研判过程依赖人工经验，一旦人工经验出现偏差，则会影响威胁处置的准确度。
22.为了提高威胁处置的效率和准确度，本发明实施例提供了一种威胁处置方法及装置，以自动化的手段对线索进行威胁处置。下面对本发明实施例提供的威胁处置方法及装置进行具体说明。
23.如图1所示，本发明实施例提供了一种威胁处置方法，该方法主要包括：
24.101、基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息，威胁分析项用于提取满足对应条件的威胁情报信息。
25.待威胁处置的线索为存在异常需要进行威胁处置的信息。待威胁处置的线索可通过如下方式获取：采集安全监控点的网络流量及日志信息，从网络流量及日志信息中提取网络特征，当判定所提取的网络特征异常时，则基于异常的网络特征获取待威胁处置的线索。其中，异常的网络特征描述异常的网络行为。
26.示例性的，安全监控点的网络流量及日志信息中存在如下网络特征：“ip：111.122.101.120”请求了地址“122.122.101.120”，经分析，“122.122.101.120”为apt(advanced persistent threat，高级持续性威胁)团伙aa控制的远程服务器，确定上述的网络特征为异常网络特征。则确定待威胁处置的线索为：“ip：111.122.101.120”请求了apt团伙aa控制的远程服务器。
27.在确定待威胁处置的线索之后，需要选取对该线索进行威胁处置所需的预设威胁分析项，以利用预设威胁分析项对线索进行拓线研判分析，在步骤101基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之前，还可以包括如下步骤一至步骤二：
28.步骤一，基于线索的类型，选取威胁处置报告模板。
29.线索通常会涉及到具体的客户，在对线索进行威胁处置之后，需要根据威胁处置生成威胁处置报告，以将威胁处置报告提供给线索所涉及的客户，以指导用户指定有效的安全防护策略。
30.在实际应用中，线索具有不同的类型，不同类型的线索所用的威胁分析项略有所不同，因此在对线索进行威胁处置时，需要确定线索的类型，并基于线索的类型选取威胁处置报告模板，以便基于所选取的威胁处置报告模板所包括的威胁处置项对线索进行有针对性的分析。
31.在确定线索的类型时，基于线索所包括的具体信息确定。线索的类型包括如下三种：一是，ip类；二是；样本类；三是，域名类。其中，样本类描述受控对象的某一特征的值，比如，为受控对象对应的md5值。
32.示例性的，待威胁处置的线索为：“ip：111.122.101.120”请求了apt团伙aa控制的远程服务器。确定该线索的类型为ip类，则为其选用对应于ip类的威胁处置报告模板。
33.步骤二，将威胁处置报告模板所包括的威胁分析项确定为预设威胁分析项。
34.对应不同线索类型的威胁处置报告模板具有的威胁分析项不同，威胁处置报告模板具有的威胁分析项用于提取满足对应条件的威胁情报信息，以利用所提取的威胁情报信息来对线索进行研判分析。每个线索类型对应的威胁处置报告模板所具体的威胁分析项可以基于业务需求确定，本实施例不做具体限定。示例性，威胁分析项可以包括但不限于：地理信息项、家族攻击手法项、攻击行为项、高级持续性威胁项等。
35.在威胁处置报告选定后，将所选定的威胁处置报告所包括的威胁分析项确定为预设威胁分析项，以利用预设威胁风险项结合威胁情报库提取线索分析研判所用的威胁情报信息。
36.需要说明的是，为了提高威胁处置报告模板对待威胁处置的线索的适用度，则在选取线索对应的威胁处置报告模板之后，可将所选取的威胁处置报告模板具有的威胁分析项提供给分析研判人员，以使分析研判人员基于具体业务需求对威胁分析项进行增、删、改等操作。
37.若研判人员针对威胁分析项进行增、删、改等操作完成，或接收到研判人员针对威胁分析项的确认指令后，将威胁处置报告模板所包括的威胁分析项确定为预设威胁分析项。其中，确认指令是研判人员对威胁分析项不做修改的情况下下发的。
38.在选定预设威胁分析项之后，基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息，该基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息的方法至少包括如下两种：
39.第一种，基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息的具体过程包括如下步骤101a至101b：
40.101a、从线索中提取威胁分析项对应的网络特征。
41.示例性的，线索为：“ip：111.122.101.120”请求了apt团伙aa控制的远程服务器。确定的威胁分析项为地理信息项，其对应的网络特征为“ip：111.122.101.120”。确定的威胁分析项为高级持续性威胁项，其对应的网络特征为“apt团伙aa控制的远程服务器”。
42.101b、基于威胁分析项对应的网络特征，从对应于威胁分析项的威胁情报库中提取对应的威胁情报信息。
43.在实际应用中，可提前预设至少一个威胁情报库，以利用这些威胁情报库中的情报信息来为线索的威胁处置提供证据。所述的至少一个威胁情报库包括如下中的至少一个：地理信息情报库、家族攻击手法情报库、攻击行为情报库、高级持续性威胁情报库。地理信息情报库用于提供与ip地理位置相关的情报信息。家族攻击手法情报库用于提供与家族攻击手法相关的情报信息。攻击行为情报库用于提供与攻击行为相关的情报信息。高级持续性威胁情报库用于提供与高级持续性威胁相关的情报信息。
44.威胁分析项与威胁情报库存在对应关系。示例性，地理信息项对应的威胁情报库为地理信息情报库、家族攻击手法项对应的威胁情报库为家族攻击手法情报库、攻击行为项对应的威胁情报库为攻击行为情报库、高级持续性威胁项对应的威胁情报库为高级持续性威胁情报库。
45.威胁情报库中存在有威胁情报信息与网络特征的对应关系，因此对于每一个威胁分析项，基于威胁分析项对应的网络特征从威胁分析项对应的威胁情报库中提取对应的威胁情报信息。
46.示例性的，地理信息项的网络特征为“ip：111.122.101.120”，则在对应的地理信息情报库，提取“ip：111.122.101.120”的所属地理位置、国家等详情。
47.示例性的，高级持续性威胁项的网络特征为“apt团伙aa控制的远程服务器”，则在对应的高级持续性威胁情报库，提取apt团伙aa的组织信息详情，活动特征以及ttp(tactics，techniques，and procedures，技战术信息)等信息，以及该组织擅长的攻击方式及常见攻击手法，以及定向攻击国家等，攻击组织涉及的行业，如科技、教育、政府、外贸、科研、基础通讯、运输等行业信息，以便于后续线索追查及跟踪。
48.第二种，基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息的具体过程包括如下步骤101c至101e：
49.101c、确定威胁分析项的排序。
50.在确定威胁分析项的排序，依据威胁分析项的依存关系进行。对于排序中任一两个相邻的威胁分析项来说，后一位的威胁分析项的使用需要依据使用前一位的威胁分析项对应提取的威胁情报信息进行，若使用前一位的威胁分析项对应提取的威胁情报信息中不存在后一位的威胁分析项对应的威胁特征，说明不存在后一位的威胁分析项进行威胁情报信息提取的依据，则不能针对后一位的威胁分析项进行情报信息的提取。
51.在确定威胁分析项的排序时，若存在两个或两个以上的威胁分析项的排序需要相同，则为这些威胁分析项赋予并列的排序位置。对于排序中的一个威胁分析项而言，若其前一位存在两个或两个以上的威胁分析项并列，则这些并列的威胁分析项均为其前一位的威胁分析项。
52.101d、对于排序位于首位的威胁分析项，从线索中提取威胁分析项对应的网络特征，并基于网络特征从至少一个威胁情报库中提取对应的威胁情报信息。
53.排序位于首位的威胁分析项为首个进行威胁情报信息提取的威胁分析项，因此需要从线索中提取其对应的网络特征，以所提取的网络特征作为提取威胁情报信息的依据。
54.示例性的，线索为：“ip：111.122.101.120”请求了apt团伙aa控制的远程服务器。威胁分析项“地理信息项和高级持续性威胁项”并列排序在首位，确定地理信息项对应的网络特征为“ip：111.122.101.120”。确定高级持续性威胁项对应的网络特征为“apt团伙aa控制的远程服务器”。地理信息项的网络特征为“ip：111.122.101.120”，则在对应的地理信息情报库，提取“ip：111.122.101.120”的所属地理位置、国家等详情。高级持续性威胁项的网络特征为“apt团伙aa控制的远程服务器”，则在对应的高级持续性威胁情报库，提取apt团伙aa的组织信息详情、活动特征以及ttp(tactics，techniques，and procedures，技战术信息)等信息。
55.101e、对于排序位于非首位的威胁分析项，按照排序进行遍历：若位于前一位的威胁分析项的威胁情报信息中存在当前遍历的威胁分析项对应的威胁特征，则基于威胁特征从至少一个威胁情报库中提取对应的威胁情报信息；若位于前一位的威胁分析项的威胁情报信息中不存在当前遍历的威胁分析项对应的威胁特征，则结束遍历操作。
56.威胁特征为用于提取威胁情报信息的特征，基于其所提取的威胁情报信息是拓展出来的用于对线索进行威胁研判的进一步证据。
57.若位于前一位的威胁分析项的威胁情报信息中存在当前遍历的威胁分析项对应的威胁特征，说明还可以进一步提取出针对线索的威胁研判证据，因此基于威胁特征从至少一个威胁情报库中提取对应的威胁情报信息。威胁情报库中存在有威胁情报信息与威胁特征的对应关系，因此对于每一个威胁分析项，基于威胁分析项对应的威胁特征从威胁分析项对应的威胁情报库中提取对应的威胁情报信息。
58.若位于前一位的威胁分析项的威胁情报信息中不存在当前遍历的威胁分析项对应的威胁特征，说明针对线索的威胁研判证据的收集已完成，因此结束遍历操作即可。
59.示例性的，位于前一位的威胁分析项为并列排序在首位的“地理信息项和高级持续性威胁项”，提取的威胁情报信息为：“ip：111.122.101.120”的所属地理位置、国家等详情”和“apt团伙aa的组织信息详情、活动特征以及ttp(tactics，techniques，and procedures，技战术信息)等信息”。排序位于第二位的为“攻击行为项”，位于前一位的威胁分析项的威胁情报信息中存在当前遍历的威胁分析项“攻击行为项”对应的威胁特征“apt团伙aa”，则基于威胁特征“apt团伙aa”从威胁情报库“攻击行为情报库”中提取对应的威胁情报信息“apt团伙aa擅长的攻击方式及常见攻击手法，以及定向攻击国家等，攻击组织涉及的行业，如科技、教育、政府、外贸、科研、基础通讯、运输等行业信息，以便于后续线索追查及跟踪”。
60.102、根据所提取的威胁情报信息中的情报关键字，确定对应的情报处置建议。
61.为了便于指导用户制定有效的安全决策，在提取威胁情报信息之后，需要从威胁情报信息中提取出情报关键字，以通过情报关键字来确定对应的情报处置建议。
62.情报关键字描述线索中存在的主要异常情况，其是确定情报处置建议的关键信息。情报关键字的确定方法可以为：将所提取的威胁情报信息经过分词处理后，输入情报关键字确定模型，由情报关键字确定模型识别出情报关键字。其中，情报关键字确定模型为预先训练好的，用于识别情报关键的模型。
63.示例性的，所提取的威胁情报信息中的情报关键字为：apt团伙aa，bb攻击手法。也就是说，apt团伙aa采用了bb攻击手法实施例了攻击。因此，选取对应与上述关键字的情报处置建议，该情报处置建议即为针对apt团伙aa的bb攻击手法的处置方案。
64.本发明实施例提供的威胁处置方法，在需要处置待威胁处置的线索时，首先根据预设威胁分析项从威胁情报库中提取线索所对应的威胁情报信息，然后根据所提取的威胁情报信息中的情报关键字确定对应的情报处置建议。可见，本发明实施例提供的方案能够结合预设威胁分析和威胁情报库对线索进行拓线研判分析，并根据拓线研判分析所提取的威胁情报信息给出相应的情报处置建议，所涉及的线索研判分析过程和情报处置建议的确定过程均无需人工介入，因此本发明实施例提供的方案能够提高威胁处置的效率和准确度。
65.在一些实施例中，为了富化威胁处置的证据，则在上述步骤101基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，威胁处置方法还可以包括如下步骤201至202：
66.201、判断所提取的威胁情报信息中是否存在关联关键字，其中，关联关键字用于提取与其所在的威胁情报信息相关的关联线索信息；若存在，执行步骤202；否则，执行步骤102。
67.关联关键字用于提取与其所在的威胁情报信息相关的关联线索信息，关联线索信息用于富化对应的威胁情报信息。威胁情报信息中能够进一步细化的关键字均可以作为关联关键字。
68.关联关键字的确定方法可以为：将所提取的威胁情报信息经过分词处理后，输入关联关键字，由关联关键字确定模型识别出关联关键字。其中，关联关键字确定模型为预先训练好的，用于识别关联关键字的模型。
69.示例性的，威胁情报信息中包括有：“ip：111.122.101.120”的所属地理位置、国家等详情。则可将ip：111.122.101.120以及所属地理位置、国家确定为关联关键字。
70.示例性的，威胁情报信息中包括有：apt团伙aa，bb攻击手法，则将apt团伙aa，bb攻击手法确定为关联关键字。
71.202、从至少一个关联线索库中提取关联关键字对应的关联线索信息，并将关联线索信息并入对应的威胁情报信息中。
72.在确定出关联关键字之后，从关联线索库中提取关联关键字对应的关联线索信息。
73.示例性的，关联关键字为：ip：111.122.101.120以及所属地理位置、国家，则在关联线索库中基于上述关键字，可反查出ip地址的域名、域名后的公司信息等。
74.示例性的，关联关键字为：apt团伙aa，bb攻击手法，则在关联线索库中基于上述关键字，可查取出bb攻击手法关联的其他攻击手法、apt团伙aa所属的攻击家族等。
75.在提取出关联线索信息之后，将关联线索信息并入对应的威胁情报信息中，从而实现威胁分析信息的富化。
76.在一些实施例中，为了富化威胁处置报告中的证据，则在101基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，威胁处置方法还可以包括如下步骤301至302：
77.301、从至少一个攻击信息库中提取历史攻击信息，历史攻击信息用于对线索进行攻击趋势分析。
78.历史攻击信息的具体类型本实施例不做限定。历史攻击信息包括如下两种类型：一种是与线索所涉及的受害对象自身相关的信息；示例性的，历史攻击信息为：“ip：111.122.101.120”在一个月之内请求apt团伙aa控制的远程服务器的次数，以及每次请求的时间。另一种是与线索所涉及的攻击手法相关的信息。示例性，历史信息为：一个月内，apt团伙aa采用bb攻击手法进行攻击所涉及的攻击范围，以及攻击范围内受害者的位置分布信息。
79.302、基于历史攻击信息生成对应于线索的历史攻击趋势信息。
80.历史攻击趋势信息对于情报处置建议的确定有指导意义。因此需要基于历史攻击信息生成对应于线索的历史攻击趋势信息。
81.示例性，历史攻击信息为：“ip：111.122.101.120”在一个月之内请求apt团伙aa控制的远程服务器的次数，以及每次请求的时间。则历史攻击趋势信息可以为统计一个月的请求总次数，以及请求次数最多的时间段。
82.进一步的，若需要为线索生成威胁处置报告，则将历史攻击趋势信息添加至威胁处置报告模板对应的威胁分析项中。将历史攻击趋势信息添加至威胁处置报告模板对应的威胁分析项中，以供用户能够在威胁处置报告中观看到，便于用户指定相应的安全防护策略。
83.在一些实施例中，为了不断完善威胁情报库中的情报信息，则在上述101基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，威胁处置方法还可以包括如下步骤：若所述至少一个威胁情报库中的第一目标威胁情报库内不存在线索对应的威胁情报信息，则针对第一目标威胁情报库发出添加威胁情报信息的提示。
84.第一目标威胁情报库内不存在线索对应的威胁情报信息时，说明第一目标威胁情报库中的情报信息不完善，因此需要针对第一目标威胁情报库发出添加威胁情报信息的提示，以使安全分析人员基于该提示来完善第一目标威胁情报库。提示中可以携带未提取到对应的情报信息的威胁分析项对应的网络特征，以使安全分析人员基于这些网络特征完善情报库。
85.在一些实施例中，在上述步骤102101基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，威胁处置方法还可以包括如下步骤：若所有威胁情报库中均不存在线索对应的威胁情报信息，则发出针对线索的威胁处置终止提示。
86.若所有威胁情报库中均不存在线索对应的威胁情报信息，可能存在如下两种情况：一是，线索不是威胁线索，所以所有威胁情报库中都不存在证明其为威胁线索的情报信息。二是，线索为威胁线索，但是所有的威胁情报库中的情报信息均已陈旧，没有其相关的证据。因此在所有威胁情报库中均不存在线索对应的威胁情报信息，发出针对线索的威胁处置终止提示，以使安全分析人员基于该提示进行具体情况确定。
87.在一些实施例中，为了给线索涉及的用户提供更为直观的安全防护策略，则在上述步骤102根据所提取的威胁情报信息中的情报关键字，确定对应的情报处置建议之后，威
胁处置方法还需要包括如下步骤：生成针对线索的威胁处置报告。该生成针对线索的威胁处置报告的方法包括如下步骤401至403：
88.401、基于线索的类型，选取威胁处置报告模板。
89.402、对于威胁处置报告模板内的每一个威胁分析项，基于对应的威胁情报信息确定威胁分析项的值，并根据所确定的值对威胁分析项进行赋值处理。
90.示例性的，地理信息项对应的情报信息为“ip：111.122.101.120”的所属地理位置、国家。则将地址位置和国家作为地理信息项值，并赋值至地理信息项。
91.403、将情报处置建议处理为具有逻辑关系的处置方案，并将处置方案添加至威胁处置报告模板，形成针对所述线索的威胁处置报告。
92.为了使用户可以清楚明确的理解情报处置建议，则根据情报处置建议中所涉及的处置方案的特征，将情报处置建议处理为具有逻辑关系的处置方案。在处置方案中明确了用户执行安全操作的执行步骤。
93.在确定处置方案之后，将处置方案转换为威胁处置报告模板可使用的格式，并将转换后的处置方案添加到威胁处置报告模板中，从而形成一个可以指导用户进行安全处置的威胁处置报告。
94.在形成威胁处置报告之后，可针对威胁处置报告做导出，并展示在预设报告列表中，以使安全分析人员能够查看威胁处置报告。
95.进一步的，依据上述方法实施例，本发明的另一个实施例还提供了一种威胁处置装置，如图2所示，所述装置包括：
96.提取单元51，用于基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息，所述威胁分析项用于提取满足对应条件的威胁情报信息；
97.确定单元52，用于根据所提取的威胁情报信息中的情报关键字，确定对应的情报处置建议。
98.本发明实施例提供的威胁处置装置，在需要处置待威胁处置的线索时，首先根据预设威胁分析项从威胁情报库中提取线索所对应的威胁情报信息，然后根据所提取的威胁情报信息中的情报关键字确定对应的情报处置建议。可见，本发明实施例提供的方案能够结合预设威胁分析和威胁情报库对线索进行拓线研判分析，并根据拓线研判分析所提取的威胁情报信息给出相应的情报处置建议，所涉及的线索研判分析过程和情报处置建议的确定过程均无需人工介入，因此本发明实施例提供的方案能够提高威胁处置的效率和准确度。
99.可选的，如图3所示，提取单元51包括：
100.第一提取模块511，用于从所述线索中提取所述威胁分析项对应的网络特征；
101.第二提取模块512，用于基于所述威胁分析项对应的网络特征，从对应于所述威胁分析项的威胁情报库中提取对应的威胁情报信息。
102.可选的，如图3所示，提取单元51包括：
103.第一确定模块513，用于确定所述威胁分析项的排序；
104.第三提取模块514，用于对于排序位于首位的威胁分析项，从所述线索中提取所述威胁分析项对应的网络特征，并基于所述网络特征从所述至少一个威胁情报库中提取对应
的威胁情报信息；
105.第四提取模块515，用于对于排序位于非首位的威胁分析项，按照所述排序进行遍历：若位于前一位的威胁分析项的威胁情报信息中存在当前遍历的威胁分析项对应的威胁特征，则基于所述威胁特征从所述至少一个威胁情报库中提取对应的威胁情报信息；若位于前一位的威胁分析项的威胁情报信息中不存在当前遍历的威胁分析项对应的威胁特征，则结束遍历操作。
106.可选的，如图3所示，所述装置还包括：
107.关联单元53，用于在提取单元51基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，判断所提取的威胁情报信息中是否存在关联关键字，其中，所述关联关键字用于提取与其所在的威胁情报信息相关的关联线索信息；若存在，从至少一个关联线索库中提取所述关联关键字对应的关联线索信息，并将所述关联线索信息并入对应的威胁情报信息中。
108.可选的，如图3所示，所述装置还包括：
109.添加单元54，用于在提取单元51基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，从至少一个攻击信息库中提取所述的历史攻击信息，所述历史攻击信息用于对所述线索进行攻击趋势分析；基于所述历史攻击信息生成对应于所述线索的历史攻击趋势信息；将所述历史攻击趋势信息添加至所述威胁处置报告模板对应的威胁分析项中。
110.可选的，如图3所示，所述装置还包括：
111.第一提示单元55，用于在提取单元51基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，若所述至少一个威胁情报库中的第一目标威胁情报库内不存在所述线索对应的威胁情报信息，则针对所述第一目标威胁情报库发出添加威胁情报信息的提示。
112.可选的，如图3所示，所述装置还包括：
113.第二提示单元56，用于在提取单元51基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之后，若所有威胁情报库中均不存在所述线索对应的威胁情报信息，则发出针对所述线索的威胁处置终止提示。
114.可选的，如图3所示，所述装置还包括：
115.选取单元57，用于在提取单元51基于预设威胁分析项，从至少一个威胁情报库中提取待威胁处置的线索所对应的威胁情报信息之前，基于所述线索的类型，选取威胁处置报告模板；将所述威胁处置报告模板所包括的威胁分析项确定为所述预设威胁分析项。
116.可选的，如图3所示，所述装置还包括：
117.生成单元58，用于在确定单元52根据所提取的威胁情报信息中的情报关键字，确定对应的情报处置建议之后，基于所述线索的类型，选取威胁处置报告模板；对于所述威胁处置报告模板内的每一个威胁分析项，基于对应的威胁情报信息确定所述威胁分析项的值，并根据所确定的值对所述威胁分析项进行赋值处理；将所述情报处置建议处理为具有逻辑关系的处置方案，并将所述处置方案添加至所述威胁处置报告模板，形成针对所述线索的威胁处置报告。
118.可选的，如图3所示，提取单元51所涉及的所述至少一个威胁情报库包括如下中的
至少一个：地理信息情报库、家族攻击手法情报库、攻击行为情报库、高级持续性威胁情报库。
119.本发明实施例提供的威胁处置装置中，各个功能模块运行过程中所采用的方法详解可以参见上述方法实施例的对应方法详解，在此不再赘述。
120.进一步的，依据上述实施例，本发明的另一个实施例还提供了一种计算机可读存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述的威胁处置方法。
121.本技术实施例提供的计算机可读存储介质的有益效果可以参照上述威胁处置方法的实施例中的描述，在此不予赘述。
122.进一步的，依据上述实施例，本发明的另一个实施例还提供了一种存储管理设备，所述存储管理设备包括：存储器，用于存储程序；处理器，耦合至所述存储器，用于运行所述程序以执行上述的威胁处置方法。
123.本技术实施例提供的存储管理设备的有益效果可以参照上述威胁处置方法的实施例中的描述，在此不予赘述。
124.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。
125.可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。
126.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
127.在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
128.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
129.此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
130.本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的深度神经网络模型的运行方法、装置及框架中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，
或者以任何其他形式提供。
131.应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。