一种威胁情报数据有效性验证方法
文献发布时间:2023-06-19 19:18:24
技术领域
本发明涉及网络安全技术领域,尤其涉及一种威胁情报数据有效性验证方法。
背景技术
威胁情报数据能够为威胁检测、网络安全的积极防御等方面提供基础数据支撑,但各种来源的威胁情报数据都有一定的时效性,被获取时可能已经失效,一些可能被注销不再使用,一些可能被其他组织注册使用,已不具备相关的威胁属性,如果不对威胁情报数据的有效性进行验证,这些威胁情报数据应用在威胁检测工作中将会出现大量的误报告警,对威胁分析人员锁定目标、处置响应等工作带来巨大干扰。随着威胁情报领域的不断发展,威胁情报数据量的逐步扩大,对威胁情报数据有效性验证方法进行研究是十分必要的。
发明内容
有鉴于此,本发明提供一种威胁情报数据有效性验证方法,首先获取若干威胁情报数据,按照威胁类型对获取的若干威胁情报数据进行分类得到若干威胁情报数据集,再对每一威胁情报数据集中的威胁情报数据进行组合,得到若干威胁情报数据组,最后对每一威胁情报数据组进行有效性验证。本发明能够对每一威胁类型对应的威胁情报数据的有效性进行自动化的集中验证,鉴别出每一威胁类型对应的各威胁情报数据的有效性,有利于提升威胁情报数据的质量,充分发挥有效威胁情报在网络安全领域的作用。
具体发明内容为:
一种威胁情报数据有效性验证方法,包括:
获取若干威胁情报数据。
根据每一所述威胁情报数据对应的威胁类型,对若干所述威胁情报数据进行分类,得到每一威胁类型对应的威胁情报数据集。
对每一所述威胁情报数据集中的各威胁情报数据进行组合,得到每一威胁类型对应的威胁情报数据组。
对每一所述威胁情报数据组进行有效性验证。
进一步地,所述对每一所述威胁情报数据集中的各威胁情报数据进行组合,包括:
对每一所述威胁情报数据集中包含的威胁情报数据进行去重。
根据预设格式标准,对每一所述威胁情报数据集中去重后得到的各威胁情报数据进行格式转换。
对每一所述威胁情报数据集中经过格式转换的各威胁情报数据进行组合,以得到每一威胁类型对应的威胁情报数据组。
进一步地,所述对每一所述威胁情报数据集中包含的威胁情报数据进行去重,包括:
获取每一所述威胁情报数据的数据特征。
根据所述数据特征生成每一所述威胁情报数据对应的特征向量。
对每一所述威胁情报数据集中包含的威胁情报数据对应的特征向量进行相似度计算,若计算结果满足预设阈值,则删除相应计算结果对应的两个特征向量中任一特征向量对应的威胁情报数据。
进一步地,所述对每一所述威胁情报数据集中经过格式转换的各威胁情报数据进行组合,包括:
获取所述经过格式转换的各威胁情报数据中包含的数据信息;每一经过格式转换的威胁情报数据中包含至少一个数据信息。
确定各数据信息的数据类别,根据所述数据类别对每一所述威胁情报数据集中经过格式转换的各威胁情报数据中包含的数据信息进行分类组合,以得到每一威胁类型对应的威胁情报数据组;每一所述威胁情报数据组中包含若干组合数据,每一所述组合数据对应一个数据类别,每一所述组合数据包含至少一个数据信息;所述数据类别包括文本类、网络类。
进一步地,所述对每一所述威胁情报数据组进行有效性验证,包括:
对每一所述威胁情报数据组中包含的各组合数据进行有效性验证。
其中,对文本类的组合数据进行有效性验证,包括:
将组合数据中包含的各数据信息发送至威胁情报平台进行有效性验证,并接收由所述威胁情报平台发送的所述各数据信息的有效性验证结果;所述有效性验证结果包括恶意、非恶意、未知、未检出。
进一步地,在所述接收由所述威胁情报平台发送的所述各数据信息的有效性验证结果之后,所述方法还包括:
确定有效性验证结果为未知和未检出的数据信息,将其确定为待评估数据信息。
获取每一所述待评估数据信息的情报特征;所述情报特征包括情报信誉值、情报命中次数、情报发布次数、情报发布时间。
根据预设计算规则对每一所述待评估数据信息的情报特征进行计算,根据计算结果确定每一所述待评估数据信息的有效性验证结果;所述预设计算规则包括方差计算、平均数计算、加权计算;所述待评估数据信息的有效性验证结果包括恶意、非恶意。
进一步地,对网络类的组合数据进行有效性验证,包括:
获取组合数据中包含的whois信息。
确定所述whois信息中包含的注册时间、截止时间,以确定当前时间是否在所述whois信息的注册有效时间段内。
若当前时间在所述whois信息的注册有效时间段内,则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
进一步地,对网络类的组合数据进行有效性验证,包括:
获取组合数据中包含的URL地址。
将所述URL地址发送至虚拟机中,以使所述虚拟机对所述URL地址进行访问。
对访问过程进行监测,判断是否触发恶意行为,若是则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
进一步地,在所述对每一所述威胁情报数据组中包含的各组合数据进行有效性验证之后,所述方法还包括:
根据各组合数据中包含的各数据信息的有效性验证结果,为每一所述威胁情报数据组中包含的各组合数据中包含的各数据信息设置验证标签。
进一步地,在所述设置验证标签之后,所述方法还包括:
删除每一所述威胁情报数据组中包含的各组合数据中验证标签为非恶意的数据信息,得到每一威胁类型对应的目标威胁情报数据组。
发布所述目标威胁情报数据组,用以对用户侧网络安全威胁进行检测。
接收由用户侧发送的反馈信息,用以对所述目标威胁情报数据组进行更新。
一种威胁情报数据有效性验证装置,包括:
威胁情报获取模块,用于获取若干威胁情报数据。
威胁情报数据集生成模块,用于根据每一所述威胁情报数据对应的威胁类型,对所述若干威胁情报数据进行分类,得到每一威胁类型对应的威胁情报数据集。
威胁情报数据组生成模块,用于对每一所述威胁情报数据集中的各威胁情报数据进行组合,得到每一威胁类型对应的威胁情报数据组。
威胁情报数据验证模块,用于对每一所述威胁情报数据组进行有效性验证。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述威胁情报数据有效性验证方法。
一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述威胁情报数据有效性验证方法。
本发明的有益效果体现在:
本发明能够对每一威胁类型对应的威胁情报数据的有效性进行自动化的集中验证,鉴别出每一威胁类型对应的各威胁情报数据的有效性,与对每一威胁情报数据的有效性进行单独验证相比,提升了验证效率,统一了验证标准。本发明有利于提升威胁情报数据的质量,降低威胁检测工作中的误报,充分发挥有效威胁情报在网络安全领域的基础支撑作用。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例一种威胁情报数据有效性验证方法流程图;
图2为本发明实施例另一种威胁情报数据有效性验证方法流程图;
图3为本发明实施例一种威胁情报数据有效性验证装置结构图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
本发明提供一种威胁情报数据有效性验证方法实施例,如图1所示,包括:
S11:获取若干威胁情报数据。可根据业务场景需求有针对性地获取威胁情报数据,所述业务场景包括企业单位、行政单位、研究机构、医疗机构等。
S12:根据每一所述威胁情报数据对应的威胁类型,对所述若干威胁情报数据进行分类,得到每一威胁类型对应的威胁情报数据集。所述威胁类型包括恶意软件、蠕虫、木马、间谍软件、广告软件、勒索软件、Rootkit病毒、后门软件、搜索引擎爬虫、僵尸网络、漏洞利用、网络扫描、嗅探、键盘记录、垃圾邮件、登录攻击、账户接管、网络钓鱼、鱼叉式网络钓鱼、社会工程学、煽动性言论、拒绝服务和分布式拒绝服务、高级持续性威胁、零日漏洞。
S13:对每一所述威胁情报数据集中的各威胁情报数据进行组合,得到每一威胁类型对应的威胁情报数据组。
S14:对每一所述威胁情报数据组进行有效性验证。
图1所述实施例能够对每一威胁类型对应的威胁情报数据的有效性进行自动化的集中验证,鉴别出每一威胁类型对应的各威胁情报数据的有效性,与对每一威胁情报数据的有效性进行单独验证相比,提升了验证效率,统一了验证标准。图1所述实施例有利于提升威胁情报数据的质量,降低威胁检测工作中的误报,充分发挥有效威胁情报在网络安全领域的作用。
优选地,所述对每一所述威胁情报数据集中的各威胁情报数据进行组合,包括:
对每一所述威胁情报数据集中包含的威胁情报数据进行去重。
根据预设格式标准,对每一所述威胁情报数据集中去重后得到的各威胁情报数据进行格式转换。
对每一所述威胁情报数据集中经过格式转换的各威胁情报数据进行组合,以得到每一威胁类型对应的威胁情报数据组。
上述优选方案中,去重是为了去除冗余威胁情报数据,降低冗余威胁情报数据的干扰,同时有利于降低内存消耗,优化计算运行速度。由于各威胁类型的不同,其对应的多源异构的威胁情报数据也存在诸多种不同的表达形式,某一威胁类型对应的威胁情报数据的格式不见得适用于另一种威胁类型的威胁情报数据,因此,可根据实际需要,为每一威胁情报数据集设置相同的预设格式标准,或不同的预设格式标准。根据预设格式标准统一同一威胁情报数据集中多源异构的威胁情报数据的格式,有利于对每一威胁情报数据集中的威胁情报数据进行组合,同时统一格式的威胁情报数据便于后续的对其有效性进行集中验证,不必因威胁情报数据格式的问题来回更换验证策略,或出现验证策略不适用的现象,提升验证过程的计算运行效率和验证的全覆盖性,同时保证验证结果的准确性。
优选地,所述对每一所述威胁情报数据集中包含的威胁情报数据进行去重,包括:
获取每一所述威胁情报数据的数据特征。
根据所述数据特征生成每一所述威胁情报数据对应的特征向量。
对每一所述威胁情报数据集中包含的威胁情报数据对应的特征向量进行相似度计算,若计算结果满足预设阈值,则删除相应计算结果对应的两个特征向量中任一特征向量对应的威胁情报数据。
优选地,所述对每一所述威胁情报数据集中经过格式转换的各威胁情报数据进行组合,包括:
获取所述经过格式转换的各威胁情报数据中包含的数据信息;每一经过格式转换的威胁情报数据中包含至少一个数据信息。
确定各数据信息的数据类别,根据所述数据类别对每一所述威胁情报数据集中经过格式转换的各威胁情报数据中包含的数据信息进行分类组合,以得到每一威胁类型对应的威胁情报数据组;每一所述威胁情报数据组中包含若干组合数据,每一所述组合数据对应一个数据类别,每一所述组合数据包含至少一个数据信息;所述数据类别包括文本类、网络类。
上述优选方案进一步地获取各威胁情报数据中包含的数据信息,并根据数据类别对每一威胁情报数据集中包含的数据信息进行分类组合,能够进一步细化对威胁情报数据进行有效性验证的粒度,提升对威胁情报数据进行有效性验证的全面性。将具备文本类属性的数据信息归类为文本类数据类别,包括文件HASH值等,例如文件MD5、文件SHA1、文件SHA256等,将具备网络类属性的数据信息归类为网络类数据类型,包括whois信息等,例如IP、域名、URL。
优选地,所述对每一所述威胁情报数据组进行有效性验证,包括:
对每一所述威胁情报数据组中包含的各组合数据进行有效性验证。
其中,对文本类的组合数据进行有效性验证,包括:
将组合数据中包含的各数据信息发送至威胁情报平台进行有效性验证,并接收由所述威胁情报平台发送的所述各数据信息的有效性验证结果;所述有效性验证结果包括恶意、非恶意、未知、未检出。
优选地,在所述接收由所述威胁情报平台发送的所述各数据信息的有效性验证结果之后,所述方法还包括:
确定有效性验证结果为未知和未检出的数据信息,将其确定为待评估数据信息。
获取每一所述待评估数据信息的情报特征;所述情报特征包括情报信誉值、情报命中次数、情报发布次数、情报发布时间。
根据预设计算规则对每一所述待评估数据信息的情报特征进行计算,根据计算结果确定每一所述待评估数据信息的有效性验证结果;所述预设计算规则包括方差计算、平均数计算、加权计算;所述待评估数据信息的有效性验证结果包括恶意、非恶意。
上述优选方案对通过威胁情报平台未验证出确切结果的待评估数据信息进行进一步评估验证,能够进一步确保对威胁情报数据进行有效性验证的全面性,保证最终有效性验证结果的全面性和准确性。
优选地,对网络类的组合数据进行有效性验证,包括:
获取组合数据中包含的whois信息。
确定所述whois信息中包含的注册时间、截止时间,以确定当前时间是否在所述whois信息的注册有效时间段内。
若当前时间在所述whois信息的注册有效时间段内,则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
优选地,对网络类的组合数据进行有效性验证,包括:
获取组合数据中包含的URL地址。
将所述URL地址发送至虚拟机中,以使所述虚拟机对所述URL地址进行访问。
对访问过程进行监测,判断是否触发恶意行为,若是则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
上述优选方案利用虚拟机对URL地址的恶意性进行验证,是最精准最直接的方式,与利用其他方式,如安全检测工具等相比,由于安全检测工具的检测结果存在一定的误报率,同时对于一些新增威胁可能无法检出,因此,选择虚拟机对URL地址的恶意性进行验证,能够充分保证验证结果的准确性。
优选地,在所述对每一所述威胁情报数据组中包含的各组合数据进行有效性验证之后,所述方法还包括:
根据各组合数据中包含的各数据信息的有效性验证结果,为每一所述威胁情报数据组中包含的各组合数据中包含的各数据信息设置验证标签。
优选地,在所述设置验证标签之后,所述方法还包括:
删除每一所述威胁情报数据组中包含的各组合数据中验证标签为非恶意的数据信息,得到每一威胁类型对应的目标威胁情报数据组。
发布所述目标威胁情报数据组,用以对用户侧网络安全威胁进行检测。
接收由用户侧发送的反馈信息,用以对所述目标威胁情报数据组进行更新。
上述优选方案建立了与用户侧的互动反馈机制,能够对每一威胁类型的目标威胁情报数据组进行优化更新和维护,建立威胁情报数据对网络安全工作的长效支撑机制,充分发挥威胁情报数据支撑网络安全工作的作用。
为进一步对本发明进行说明,结合前述优选方案,提供另一种威胁情报数据有效性验证方法,如图2所示,包括:
S21:根据业务场景需求获取若干威胁情报数据。
S22:根据每一所述威胁情报数据对应的威胁类型,对所述若干威胁情报数据进行分类,得到每一威胁类型对应的威胁情报数据集。
S23:获取每一所述威胁情报数据的数据特征,根据所述数据特征生成每一所述威胁情报数据对应的特征向量。
S24:对每一所述威胁情报数据集中包含的威胁情报数据对应的特征向量进行相似度计算,若计算结果满足预设阈值,则删除相应计算结果对应的两个特征向量中任一特征向量对应的威胁情报数据,以对每一所述威胁情报数据集中包含的威胁情报数据进行去重。
S25:根据预设格式标准,对每一所述威胁情报数据集中去重后得到的各威胁情报数据进行格式转换。
S26:获取所述经过格式转换的各威胁情报数据中包含的数据信息;每一经过格式转换的威胁情报数据中包含至少一个数据信息。
S27:确定各数据信息的数据类别,根据所述数据类别对每一所述威胁情报数据集中经过格式转换的各威胁情报数据中包含的数据信息进行分类组合,以得到每一威胁类型对应的威胁情报数据组;每一所述威胁情报数据组中包含若干组合数据,每一所述组合数据对应一个数据类别,每一所述组合数据包含至少一个数据信息;所述数据类别包括文本类、网络类。
S28:对每一所述威胁情报数据组中包含的各组合数据进行有效性验证;其中,对文本类的组合数据进行有效性验证包括S281-S284,对网络类的组合数据进行有效性验证包括S285-S286和S287-S289。
S281:将组合数据中包含的各数据信息发送至威胁情报平台进行有效性验证,并接收由所述威胁情报平台发送的所述各数据信息的有效性验证结果;所述有效性验证结果包括恶意、非恶意、未知、未检出。
S282:确定有效性验证结果为未知和未检出的数据信息,将其确定为待评估数据信息。
S283:获取每一所述待评估数据信息的情报特征;所述情报特征包括情报信誉值、情报命中次数、情报发布次数、情报发布时间。
S284:根据预设计算规则对每一所述待评估数据信息的情报特征进行计算,根据计算结果确定每一所述待评估数据信息的有效性验证结果;所述预设计算规则包括方差计算、平均数计算、加权计算;所述待评估数据信息的有效性验证结果包括恶意、非恶意。
S285:获取组合数据中包含的whois信息。
S286:确定所述whois信息中包含的注册时间、截止时间,以确定当前时间是否在所述whois信息的注册有效时间段内,若是则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
S287:获取组合数据中包含的URL地址。
S288:将所述URL地址发送至虚拟机中,以使所述虚拟机对所述URL地址进行访问。
S289:对访问过程进行监测,判断是否触发恶意行为,若是则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
S29:根据各组合数据中包含的各数据信息的有效性验证结果,为每一所述威胁情报数据组中包含的各组合数据中包含的各数据信息设置验证标签。
S210:删除每一所述威胁情报数据组中包含的各组合数据中验证标签为非恶意的数据信息,得到每一威胁类型对应的目标威胁情报数据组。
S211:发布所述目标威胁情报数据组,用以对用户侧网络安全威胁进行检测。
S212:接收由用户侧发送的反馈信息,用以对所述目标威胁情报数据组进行更新。
图2所述实施例能够对每一威胁类型对应的威胁情报数据的有效性进行自动化的集中验证,鉴别出每一威胁类型对应的各威胁情报数据的有效性,与对每一威胁情报数据的有效性进行单独验证相比,提升了验证效率,统一了验证标准。图2所述实施例有利于提升威胁情报数据的质量,降低威胁检测工作中的误报,充分发挥有效威胁情报在网络安全领域的作用。图2所述实施例通过去重去除冗余威胁情报数据,降低冗余威胁情报数据的干扰,同时有利于降低内存消耗,优化计算运行速度。根据预设格式标准统一同一威胁情报数据集中多源异构的威胁情报数据的格式,有利于对每一威胁情报数据集中的威胁情报数据进行组合,同时统一格式的威胁情报数据便于后续的对其有效性进行集中验证,不必因威胁情报数据格式的问题来回更换验证策略,或出现验证策略不适用的现象,提升验证过程的计算运行效率和验证的全覆盖性。进一步地获取各威胁情报数据中包含的数据信息,并根据数据类别对每一威胁情报数据集中包含的数据信息进行分类组合,能够进一步细化对威胁情报数据进行有效性验证的粒度,提升对威胁情报数据进行有效性验证的全面性。对通过威胁情报平台未验证出确切结果的待评估数据信息进行进一步评估验证,能够进一步确保对威胁情报数据进行有效性验证的全面性,保证最终有效性验证结果的全面性和准确性。建立了与用户侧的互动反馈机制,能够对每一威胁类型的目标威胁情报数据组进行优化更新和维护,建立威胁情报数据对网络安全工作的长效支撑机制,充分发挥威胁情报数据支撑网络安全工作的作用。
图2所述实施例基于图1所述实施例的优选方案得到,因此,对图2所述实施例的描述较为简单,相关之处请参照图1所述实施例。
本发明还提供一种威胁情报数据有效性验证装置实施例,如图3所示,包括:
威胁情报获取模块31,用于获取若干威胁情报数据。
威胁情报数据集生成模块32,用于根据每一所述威胁情报数据对应的威胁类型,对所述若干威胁情报数据进行分类,得到每一威胁类型对应的威胁情报数据集。
威胁情报数据组生成模块33,用于对每一所述威胁情报数据集中的各威胁情报数据进行组合,得到每一威胁类型对应的威胁情报数据组。
威胁情报数据验证模块34,用于对每一所述威胁情报数据组进行有效性验证。
图3所述实施例能够对每一威胁类型对应的威胁情报数据的有效性进行自动化的集中验证,鉴别出每一威胁类型对应的各威胁情报数据的有效性,与对每一威胁情报数据的有效性进行单独验证相比,提升了验证效率,统一了验证标准。图3所述实施例有利于提升威胁情报数据的质量,降低威胁检测工作中的误报,充分发挥有效威胁情报在网络安全领域的作用。
优选地,所述对每一所述威胁情报数据集中的各威胁情报数据进行组合,包括:
对每一所述威胁情报数据集中包含的威胁情报数据进行去重。
根据预设格式标准,对每一所述威胁情报数据集中去重后得到的各威胁情报数据进行格式转换。
对每一所述威胁情报数据集中经过格式转换的各威胁情报数据进行组合,以得到每一威胁类型对应的威胁情报数据组。
优选地,所述对每一所述威胁情报数据集中包含的威胁情报数据进行去重,包括:
获取每一所述威胁情报数据的数据特征。
根据所述数据特征生成每一所述威胁情报数据对应的特征向量。
对每一所述威胁情报数据集中包含的威胁情报数据对应的特征向量进行相似度计算,若计算结果满足预设阈值,则删除相应计算结果对应的两个特征向量中任一特征向量对应的威胁情报数据。
优选地,所述对每一所述威胁情报数据集中经过格式转换的各威胁情报数据进行组合,包括:
获取所述经过格式转换的各威胁情报数据中包含的数据信息;每一经过格式转换的威胁情报数据中包含至少一个数据信息。
确定各数据信息的数据类别,根据所述数据类别对每一所述威胁情报数据集中经过格式转换的各威胁情报数据中包含的数据信息进行分类组合,以得到每一威胁类型对应的威胁情报数据组;每一所述威胁情报数据组中包含若干组合数据,每一所述组合数据对应一个数据类别,每一所述组合数据包含至少一个数据信息;所述数据类别包括文本类、网络类。
优选地,所述对每一所述威胁情报数据组中进行有效性验证,包括:
对每一所述威胁情报数据组中包含的各组合数据进行有效性验证。
其中,对文本类的组合数据进行有效性验证,包括:
将组合数据中包含的各数据信息发送至威胁情报平台进行有效性验证,并接收由所述威胁情报平台发送的所述各数据信息的有效性验证结果;所述有效性验证结果包括恶意、非恶意、未知、未检出。
优选地,在所述接收由所述威胁情报平台发送的所述各数据信息的有效性验证结果之后,所述威胁情报数据验证模块34还用于:
确定有效性验证结果为未知和未检出的数据信息,将其确定为待评估数据信息。
获取每一所述待评估数据信息的情报特征;所述情报特征包括情报信誉值、情报命中次数、情报发布次数、情报发布时间。
根据预设计算规则对每一所述待评估数据信息的情报特征进行计算,根据计算结果确定每一所述待评估数据信息的有效性验证结果;所述预设计算规则包括方差计算、平均数计算、加权计算;所述待评估数据信息的有效性验证结果包括恶意、非恶意。
优选地,对网络类的组合数据进行有效性验证,包括:
获取组合数据中包含的whois信息。
确定所述whois信息中包含的注册时间、截止时间,以确定当前时间是否在所述whois信息的注册有效时间段内。
若当前时间在所述whois信息的注册有效时间段内,则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
优选地,对网络类的组合数据进行有效性验证,包括:
获取组合数据中包含的URL地址。
将所述URL地址发送至虚拟机中,以使所述虚拟机对所述URL地址进行访问。
对访问过程进行监测,判断是否触发恶意行为,若是则将对应数据信息的有效性验证结果确定为恶意,否则确定为非恶意。
优选地,在所述对每一所述威胁情报数据组中包含的各组合数据进行有效性验证之后,所述威胁情报数据验证模块34还用于:
根据各组合数据中包含的各数据信息的有效性验证结果,为每一所述威胁情报数据组中包含的各组合数据中包含的各数据信息设置验证标签。
优选地,在所述设置验证标签之后,所述威胁情报数据验证模块34还用于:
删除每一所述威胁情报数据组中包含的各组合数据中验证标签为非恶意的数据信息,得到每一威胁类型对应的目标威胁情报数据组。
发布所述目标威胁情报数据组,用以对用户侧网络安全威胁进行检测。
接收由用户侧发送的反馈信息,用以对所述目标威胁情报数据组进行更新。
图3所述实施例为图1、图2所述方法实施例对应的装置实施例,图3所述实施例的部分实现过程和技术效果与图1、图2所述实施例相近,因此,对图3所述实施例的描述较为简单,相关之处还请参照图1、图2所述实施例。
本发明还提供了一种计算机设备实施例,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述实施例所述的方法,所述方法可参见图1、图2所述实施例的描述,在此不再赘述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例所述的方法。
本发明能够对每一威胁类型对应的威胁情报数据的有效性进行自动化的集中验证,鉴别出每一威胁类型对应的各威胁情报数据的有效性,与对每一威胁情报数据的有效性进行单独验证相比,提升了验证效率,统一了验证标准。本发明有利于提升威胁情报数据的质量,降低威胁检测工作中的误报,充分发挥有效威胁情报在网络安全领域的基础支撑作用。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
- 一种适用于变电站的间隔五防数据有效性的判别方法
- 一种面向区块链低存储开销的审计数据有效性验证方法
- 一种数据有效性的验证方法、装置和设备