一种未知威胁感知方法、装置、设备及系统制造方法及图纸

本发明专利技术公开了一种未知威胁感知方法，包括：每个设备检测到未知数据后会将未知数据上传，通过云端的威胁分析系统对未知数据进行分析识别；若没有检测到恶意数据，则生成对应的匹配规则，以继续收集与匹配规则对应的未知数据，继续进行分析；检测到恶意数据后，会通知所有的设备，实现每个设备对未知威胁的预警及防护，从而提高对未知威胁的防御能力；本发明专利技术还公开了一种未知威胁感知装置、设备、系统及计算机可读存储介质，同样能实现上述技术效果。

An unknown threat perception method, device, device and system

The invention discloses an unknown threat perception method, including: each device can upload unknown data after detection of unknown data, analyze and identify the unknown data through a threat analysis system at the cloud end. If no malicious data is detected, the corresponding matching rule is generated to continue to collect the matching rules. The unknown data will continue to be analyzed; after the detection of malicious data, all devices will be notified to realize early warning and protection of unknown threats by each device, thus improving the defense capability of unknown threats; the invention also discloses an unknown threat perception device, device, system and computer readable storage medium, as well. The above technical effect can be realized.

【技术实现步骤摘要】
一种未知威胁感知方法、装置、设备及系统
本专利技术涉及网络威胁检测
，更具体地说，涉及一种未知威胁感知方法、装置、设备、系统及计算机可读存储介质。
技术介绍
目前，对用户网络流量中隐藏的攻击行进行检测时，都是通过威胁感知系统进行检测；但是现有的安全厂商的威胁感知系统都是基于单个客户的威胁感知，只能够检测这个客户的网络环境中隐藏的威胁，很难发现整个互联网中隐藏的未知威胁。并且，目前的安全厂商都是基于定时发布规则库的形式进行安全能力提升，这种方法很难做到对未知威胁的实时防护。因此，如何提高对未知威胁的防御能力，是本领域技术人员需要解决的问题。
技术实现思路
本专利技术的目的在于提供一种未知威胁感知方法、装置、设备、系统及计算机可读存储介质，以实现提高对未知威胁的防御能力。为实现上述目的，本专利技术实施例提供了如下技术方案：一种未知威胁感知方法，包括：接收每个设备上传的未知数据；通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；若不存在恶意数据，则生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行所述通过威胁分析系统对未知数据进行分析识别的步骤。其中，所述接收每个设备上传的未知数据，包括：接收每个设备上传的根据匹配规则匹配的未知数据；或者，接收每个设备上传的黑白名单库以外的未知数据。其中，所述接收每个设备上传的未知数据之后，还包括：设置所述未知数据的数据标签；根据所述未知数据的数据类型进行标准化处理，并存储。其中，所述通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据，包括：利用特征分析系统对未知数据进行分析，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则执行所述将所述恶意数据下发至每个设备的步骤；若不存在恶意数据，则将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别，判断所述未知数据中是否存在恶意数据。其中，所述将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别，包括：识别所述未知数据的数据类型；若所述数据类型为域名数据，则将所述未知数据输入域名分析系统；若所述数据类型为URL数据，则将所述未知数据输入URL分析系统；若所述数据类型为可疑文件，则将所述未知数据输入病毒分析系统。其中，所述将所述恶意数据下发至每个设备之后，还包括：将所述恶意数据输出成标准威胁情报格式，并发布至互联网威胁情报平台，以使所述互联网威胁情报平台对全网发布威胁预警。一种未知威胁感知装置，包括：接收模块，用于接收每个设备上传的未知数据；所述未知数据包括每个设备上传的与所述匹配规则对应的未知数据；判断模块，用于通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；数据下发模块，用于存在恶意数据时，将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；规则下发模块，用于不存在恶意数据时，生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备。其中，所述接收模块，包括：第一接收单元，用于接收每个设备上传的根据匹配规则匹配的未知数据；或者，第二接收单元，用于接收每个设备上传的黑白名单库以外的未知数据。其中，本方案还包括：数据处理模块，用于设置所述未知数据的数据标签，根据所述未知数据的数据类型进行标准化处理，并存储。其中，所述判断模块包括：第一判断单元，用于利用特征分析系统对未知数据进行分析，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则调用数据下发模块；数据输入单元，用于不存在恶意数据时，将所述未知数据输入与所述未知数据的数据类型相对应的分析系统；第二判断单元，用于通过与所述未知数据的数据类型相对应的分析系统对所述未知数据进行分析识别，判断所述未知数据中是否存在恶意数据。其中，所述数据输入单元包括：数据类型识别子单元，用于识别所述未知数据的数据类型；数据输入子单元，用于在所述数据类型为域名数据时，将所述未知数据输入域名分析系统；所述数据类型为URL数据，将所述未知数据输入URL分析系统；所述数据类型为可疑文件，将所述未知数据输入病毒分析系统。其中，本方案还包括：数据发布模块，用于将所述恶意数据输出成标准威胁情报格式，并发布至互联网威胁情报平台，以使所述互联网威胁情报平台对全网发布威胁预警。一种未知威胁感知设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述未知威胁感知方法的步骤。一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述未知威胁感知方法的步骤。一种未知威胁感知系统，包括设备及未知威胁感知云平台；每个设备用于上传未知数据；所述未知威胁感知云平台，用于执行计算机程序，以实现上述未知威胁感知方法的步骤。通过以上方案可知，本专利技术实施例提供的一种未知威胁感知方法，包括：接收每个设备上传的未知数据；通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；若不存在恶意数据，则生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行所述通过威胁分析系统对未知数据进行分析识别的步骤。可见，在本方案中，每个设备检测到未知数据后会将未知数据上传，通过云端的威胁分析系统对未知数据进行分析识别；若没有检测到恶意数据，则生成对应的匹配规则，以继续收集与匹配规则对应的未知数据，继续进行分析；检测到恶意数据后，会通知所有的设备，实现每个设备对未知威胁的预警及防护，从而提高对未知威胁的防御能力；本专利技术还公开了一种未知威胁感知装置、设备、系统及计算机可读存储介质，同样能实现上述技术效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例公开的一种未知威胁感知方法流程示意图；图2为本专利技术实施例公开的另一种未知威胁感知方法流程示意图；图3为本专利技术实施例公开的一具体的未知威胁感知方法流程示意图；图4为本专利技术实施例公开的一种未知威胁感知装置结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例公开了一种未知威胁感知方法、装置、设备、系统及计算机可读存储介质，以实现提高对未知威胁的防御能力。参见图1，本专利技术实施例提供的一种未知威胁感知方法，包括：S101、接收每个设备本文档来自技高网...

【技术保护点】
一种未知威胁感知方法，其特征在于，包括：接收每个设备上传的未知数据；通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；若不存在恶意数据，则生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行所述通过威胁分析系统对未知数据进行分析识别的步骤。

【技术特征摘要】
1.一种未知威胁感知方法，其特征在于，包括：接收每个设备上传的未知数据；通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则将所述恶意数据下发至每个设备，以使每个设备根据所述恶意数据识别攻击行为；若不存在恶意数据，则生成与所述未知数据对应的匹配规则，将所述匹配规则下发至每个设备，并在接收到每个设备上传的与所述匹配规则对应的未知数据后，继续执行所述通过威胁分析系统对未知数据进行分析识别的步骤。2.根据权利要求1所述的未知威胁感知方法，其特征在于，所述接收每个设备上传的未知数据，包括：接收每个设备上传的根据匹配规则匹配的未知数据；或者，接收每个设备上传的黑白名单库以外的未知数据。3.根据权利要求1所述的未知威胁感知方法，其特征在于，所述接收每个设备上传的未知数据之后，还包括：设置所述未知数据的数据标签；根据所述未知数据的数据类型进行标准化处理，并存储。4.根据权利要求3所述的未知威胁感知方法，其特征在于，所述通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是否存在恶意数据，包括：利用特征分析系统对未知数据进行分析，判断所述未知数据中是否存在恶意数据；若存在恶意数据，则执行所述将所述恶意数据下发至每个设备的步骤；若不存在恶意数据，则将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别，判断所述未知数据中是否存在恶意数据。5.根据权利要求4所述的未知威胁感知方法，其特征在于，所述将所述未知数据输入与所述未知数据的数据类型相对应的分析系统，通过相对应的分析系统对所述未知数据进行分析识别，包括：识别所述未知数据的数据类型；若所述数据类型为域名数据，则将所述未知数据输入域名分析系统；若所述数据类型为URL数据，则将所述未知数据输入URL分析系统；若所述数据类型为可疑文件，则将所述未知数据输入病毒分析系统。6.根据权利要求1至5中任意一项所述的未知威胁感知方法，其特征在于，所述将所述恶意数据下发至每个设备之后，还包括：将所述恶意数据输出成标准威胁情报格式，并发布至互联网威胁情报平台，以使所述互联网威胁情报平台对全网发布威胁预警。7.一种未知威胁感知装置，其特征在于，包括：接收模块，用于接收每个设备上传的未知数据；所述未知数据包括每个设备上传的与所述匹配规则对应的未知数据；判断模块，用于通过威胁分析系统对未知数据进行分析识别，判断所述未知数据中是...

【专利技术属性】
技术研发人员：张斌，赵振洋，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44