(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 20221091541 1.8 (22)申请日 2022.08.01 (65)同一申请的已公布的文献号 申请公布号 CN 115001867 A (43)申请公布日 2022.09.02 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 蔡俊钒　崔寅　康吉金　樊兴华　 薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 安卫静 (51)Int.Cl. H04L 9/40(2022.01)H04L 61/4511(2022.01) G06F 16/955(2019.01) (56)对比文件 US 8201257 B1,2012.0 6.12 CN 114124586 A,202 2.03.01 CN 111800395 A,2020.10.20 CN 112636924 A,2021.04.09 审查员 田涛 (54)发明名称 网络资产数据威胁狩猎方法、 装置、 电子设 备和存储介质 (57)摘要 本申请提供一种网络资产数据威胁狩猎方 法、 装置、 电子设备和存储介质， 其中， 网络资产 数据威胁狩猎方法包括： 获取预设周期内的情报 数据； 基于预设周期内的情报数据识别预设周期 内的新增域名和新增IP； 对 新增域名和新增IP 进 行分析， 并得到新增域名的属性信息和新增IP的 属性信息； 基于资产规则库对新增域名的属性信 息中的第一匹配字段和新增IP的属性信息中的 第二匹配字段进行匹配计算， 并得到第一计算结 果； 基于第一计算结果和资产规则库， 确定新增 IP和新增域名的同源分析结果等步骤。 本申请用 于实现在增加数据类型的情况下向下兼容， 无需 调整系统本身， 而只需要直接接入数据类型， 从 而降低开发 成本。 权利要求书2页 说明书10页 附图3页 CN 115001867 B 2022.11.04 CN 115001867 B 1.一种网络资产数据威胁狩猎方法， 其特 征在于， 所述方法包括： 获取预设周期内的情 报数据； 基于所述预设周期内的情 报数据识别所述预设周期内的新增域名和新增IP； 对所述新增域名和所述新增IP进行分析， 并得到所述新增域名的属性信息和所述新增 IP的属性信息， 其中， 当所述新增域名为一般域名时， 通过支持历史Whois查询的网站的API 获取所述新增域名的历史注册信息， 通过DNS协议获取所述新增域名的MX、 SOA和TXT记录， 获取所述新增域名中出现的子域名， 计算所述新增域名的域名长度， 将所述新增域名的MX、 SOA和TXT记录、 所述新增域名中出现的子域名、 所述新增域名的域名长度、 所述新增域名的 历史注册信息作为所述 新增域名的属性信息； 获取针对所述 新增域名和所述 新增IP的自定义匹配 配置信息； 基于所述自定义匹配配置信 息确定针对所述新增域名进行同源分析的第 一匹配字段， 和针对所述 新增IP进行同源分析的第二匹配字段； 基于资产规则库对所述新增域名的属性信息中的所述第一匹配字段和所述新增IP的 属性信息中的所述第二匹配字段进行匹配 计算， 并得到第一计算结果； 基于所述第 一计算结果和所述资产规则库， 确定所述新增IP和所述新增域名的同源分 析结果。 2.如权利要求1所述的方法， 其特征在于， 所述基于资产规则库对所述新增域名的属性 信息中的所述第一匹配字段和所述新增 IP的属性信息中的所述第二匹配字段进行匹配计 算， 并得到第一计算结果， 包括： 确定所述资产规则库的匹配表达式； 基于所述匹配表达式将所述新增域名的属性信息中的所述第一匹配字段和所述新增 IP的属性信息中的所述第二匹配字段与所述资产规则库中的字段进 行匹配计算， 得到所述 第一计算结果。 3.如权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 判断所述资产规则库是否存在运 算表达式； 当所述资产规则库存在所述运算表达 式时， 基于所述运算表达式对所述新增域名的属 性信息中的所述第一匹配字段和所述新增IP的属 性信息中的所述第二匹配字段进行逻辑 计算， 并得到第二计算结果； 基于所述匹配表达 式将所述第 二计算结果与所述资产规则库中的字段进行匹配计算， 得到所述第一计算结果。 4.如权利要求3所述的方法， 其特征在于， 所述匹配表达式包括相等运算式、 不相等运 算式、 包含运算式、 排除运 算式、 正则表达式 中的至少一种； 以及， 所述 运算表达式包括四则运 算式、 逻辑 运算式中的至少一种。 5.如权利要求3所述的方法， 其特征在于， 所述基于所述第 一计算结果和所述资产规则 库， 确定所述 新增IP和所述 新增域名的同源分析 结果， 包括： 基于所述资产规则库确定规则描述； 判断所述第一计算结果是否符合所述 规则描述； 当所述第 一计算结果符合所述规则描述时， 确定所述新增IP和所述新增域名的同源分 析结果。权　利　要　求　书 1/2 页 2 CN 115001867 B 26.如权利要求5所述的方法， 其特征在于， 所述第 二匹配字段包括： 端口开放状态、 网络 空间资产测绘结果数据、 IP服务器提供商匹配、 IP反查域名的Whois、 IP的关联URL 或关联证 书的JARM 。 7.如权利要求5所述的方法， 其特征在于， 所述第 一匹配字段包括： 域名提供商、 域名长 度、 子域名、 域名的Who is、 域名的关联URL、 域名的解析IP提供商、 顶级域中的至少一种。 8.一种网络资产数据威胁狩猎装置， 其特 征在于， 所述装置包括： 第一获取模块， 用于获取 预设周期内的情 报数据； 识别模块， 用于基于所述预设周期内的情报数据识别所述预设周期内的新增域名和新 增IP； 分析模块， 用于对所述新增域名和所述新增IP进行分析， 并得到所述新增域名的属性 信息和所述新增IP的属性信息， 其中， 当所述新增域名为一般域名时， 通过支持历史Whois 查询的网站的API获取所述新增域名的历史注册信息， 通过DNS协议获取所述新增域名的 MX、 SOA和TXT记录， 获取所述新增域名中出现的子域名， 计算所述新增域名的域名长度， 将 所述新增域名的MX、 SOA和TXT记录、 所述新增域名中出现的子域名、 所述新增域名的域名长 度、 所述新增域名的历史注 册信息作为所述 新增域名的属性信息； 第二获取模块， 用于获取针对所述 新增域名和所述 新增IP的自定义匹配 配置信息； 确定模块， 用于基于所述自定义匹配配置信 息确定针对所述新增域名进行同源分析的 第一匹配字段， 和针对所述 新增IP进行同源分析的第二匹配字段； 计算模块， 用于基于资产规则库对所述新增域名的属性信 息中的所述第 一匹配字段和 所述新增IP的属性信息中的所述第二匹配字段进行匹配 计算， 并得到第一计算结果； 判断模块， 用于基于所述第一计算结果和所述资产规则库， 确定所述新增IP和所述新 增域名的同源分析 结果。 9.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 配置用于存储机器可读指令， 所述指令在由所述处理器执行时， 执行如权利要 求1‑7任一项所述的网络资产数据威胁狩猎方法。 10.一种存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计算机程序被 处理器执行如权利要求1 ‑7任一项所述的网络资产数据威胁狩猎方法。权　利　要　求　书 2/2 页 3 CN 115001867 B 3