(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211016961.2 (22)申请日 2022.08.22 (71)申请人 智网安云 （武汉） 信息技 术有限公司 地址 430000 湖北省武汉市东西湖区革 新 大道388-1号 (72)发明人 方波　周淼森　孙波　 (74)专利代理 机构 武汉知产时代知识产权代理 有限公司 42 238 专利代理师 康靖 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种威胁情报数据处理方法、 设备及 存储设 备 (57)摘要 本发明涉及一种威胁情报数据处理方法、 设 备及存储设备， 包括以下步骤： 获取威胁情报数 据； 按威胁情报的不同维度属性， 对威胁情报进 行分类筛选， 得到筛选后的威胁情报； 对筛选后 的威胁情报进行数据压缩和数据转换， 得到SDK 威胁情报工具包； 将SDK威胁情报工具包加载于 内存， 并利用SDK威胁情报工具包进行实时数据 检测， 得到检测结果； 将检测结果保存至本地威 胁情报库； 利用本地威胁情报库和SDK威胁情报 包， 进行威胁情报实时预测。 本发明有益效果是： 提升了利用威胁情报进行攻击检测的效率、 建设 成本低、 降低了外部数据调用风险、 提高了威胁 情报数据的重复利用和溯源分析能力。 权利要求书1页 说明书7页 附图4页 CN 115514529 A 2022.12.23 CN 115514529 A 1.一种威胁情 报数据处 理方法， 其特 征在于： 包括以下步骤： S1： 获取威胁情报数据； 按威胁情报的不同维度属性， 对威胁情报进行分类筛选， 得到 筛选后的威胁情 报； S2： 对筛选后的威胁情 报进行数据压缩和数据转换， 得到S DK威胁情 报工具包； S3： 将SDK威胁情报工具包加载于内存， 并利用SDK威胁情报工具包进行实时数据检测， 得到检测结果； S4： 将检测结果保存至 本地威胁情报库； S5： 利用本地 威胁情报库和SDK威胁情 报包， 进行威胁情 报实时预测。 2.如权利要求1所述的一种威胁情报数据处理方法， 其特征在于： 威胁情报的不同维度 属性包括： 威胁情 报的时效性、 状态和精准度。 3.如权利要求1所述的一种威胁情报数据处理方法， 其特征在于： 步骤S2中的数据压 缩， 具体指： 对筛 选后的威胁情 报， 根据实际情况保留威胁情 报中的所需字段。 4.如权利要求3所述的一种威胁情报数据处理方法， 其特征在于： 步骤S2中的数据转 换， 具体指： 针对数据压缩后的威胁情报， 建立所需字段的数字映射表， 以数字存储形式表 示所有字段内容。 5.如权利要求4所述的一种威胁情报数据处理方法， 其特征在于： 步骤S3 中的实时数据 检测， 具体包括以下 过程： S21、 获取实时数据的网络特 征； S22、 调用SDK威胁情 报工具包 对网络特 征进行攻击检测， 得到检测结果； 判断检测结果是否属于威胁情报中的某个字段， 若是， 则将检测结果存储至本地威胁 情报数据库， 否则丢弃检测结果， 不予保存。 6.如权利要求1所述的一种威胁情报数据处理方法， 其特征在于： 所述本地威胁情报库 按照预设周期进行 更新。 7.如权利要求1所述的一种威胁情 报数据处 理方法， 其特 征在于： 步骤S5具体为： S31、 获取外 部网络安全系统的可疑网络行为数据； S32、 调用S DK威胁情 报工具包进行 可疑网络行为数据检测分析， 得到检测结果； S33、 将检测结果与本地威胁情报库进行字段匹配， 若存在相应的字段匹配， 则本地威 胁情报库输出与该匹配结果相关的其它威胁情报数据字段， 以预测该可疑 网络行为的其它 可能行为。 8.一种存储设备， 其特征在于： 所述存储设备存储指令及数据用于实现权利要求1～7 所述的任意 一种威胁情 报数据处 理方法。 9.一种威胁情报数据处理设备， 其特征在于： 包括： 处理器及存储设备； 所述处理器加 载并执行存储设备中的指令及数据用于实现权利要求1～7所述的任意一种威胁情报数据 处理方法。权　利　要　求　书 1/1 页 2 CN 115514529 A 2一种威胁情 报数据处理 方法、 设备及存储设备 技术领域 [0001]本发明涉及网络安全数据处 理领域， 尤其涉及一种威胁情 报数据处 理方法。 背景技术 [0002]根据Gartner对威胁情报的定义， 威胁情报是某种基于证据的知识， 包括上下文、 机制、 标示、 含义和能够执行的建议， 这些知识与资产所面临已有的或酝酿中的威胁或危害 相关， 可用于资产相关主体对威胁或危害的响应或处 理决策提供信息支持。 [0003]在网络安全行业， 常说的威胁情报可以认为是一种用于识别和检测威胁的失陷标 识， 如IP、 域名、 URL、 HASH等已知攻击特 征， 以及相关的归属标签。 [0004]传统网络安全防护手段通过部署防火墙、 入侵检测系统等安全产品， 配置相应访 问控制策略和审计策略， 对网络安全状况进行监测。 这种防护模式能抵御一定的网络安全 攻击， 但仍具有滞后性， 事 件处理效果受限于安全设备对安全 事件的识别能力。 [0005]现今网络攻防环境愈发复杂， 威胁情报现在作为一种弥补攻防信息不对称的安全 技术逐渐得到了广泛的认识， 基于威胁情报的攻击检测和防御手段被许多企业应用于自身 网络安全建 设。 [0006]当前对于威胁情 报数据的处 理方式主 要包括两种： [0007]1、 建立云端威胁情报平台， 将各类威胁情报数据存储于云端平台进行统一管理。 云端威胁情报平台通过提供标准接口， 将威胁情报数据开放给不同使用方。 不同企事业单 位等网络安全建设的需求方， 通过本地建设的各类网络安全系统与云端威胁情报平台进 行 对接， 按需读取威胁情 报数据进行攻击检测 和防御。 [0008]这种方案的好处是只需要建设一套云端威胁情报系统， 各个威胁情报数据的使用 方只需通过读取云端威胁情报即可， 无需各自在本地建设一套威胁情报系统， 大大降低了 威胁情报的建设和运营成本。 但存在的问题是云端威胁情报平台大多部署于公有云平台， 相对企业内网部署和建设的各类网络安全系统来说， 一般需要开放外网访问权限才能够访 问和使用威胁情报数据， 这无疑给企业内部网络带来了风险和隐患。 此外， 这种从云端读取 威胁情报进行攻击检测的方式效率较低， 无法满足网络攻击检测的实时性需求， 更多的时 候是作为 一种离线分析和的调查取证的手段。 [0009]2、 建立本地威胁情报系统， 将威胁情报数据存储于本地威胁情报数据库， 在本地 进行管理和维护。 此时威胁情报数据均存储于本地内网环境， 本地各类网络安全系统直接 读取内网威胁情报， 在需要进 行网络行为特征的检测或安全验证时实时读取威胁情报进 行 匹配分析， 帮助发现网络攻击行为并进一 步采取防御措施。 [0010]这种方案的好处是通过本地化的威胁情报建设满足了各类企事业单位等网络安 全建设者对于威胁情报的使用需求， 相比云端威胁情报平台， 无需开放访问外网即可实现 数据使用。 但是对企业而言， 本地化威胁情报数系统的建设和运营成本较高。 同样地， 这种 基于数据库查询式的攻击检测方式效率低， 在数据量大的情况无法满足网络攻击检测的实 时性需求， 通常只能作为 一种离线检测分析的手段。说　明　书 1/7 页 3 CN 115514529 A 3