本发明专利技术属于计算机技术领域,公开了一种情报分析方法、装置、设备及存储介质。本发明专利技术通过获取待分析地址对应的安全情报信息;根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果;根据所述安全分析结果确定所述待分析地址是否存在安全风险;在所述待分析地址存在安全风险时,根据所述待分析地址及所述安全分析结果生成告警事件。由于在获取到待分析地址时可以自动获取待分析地址对应的安全情报信息,并根据安全情报信息确定待分析地址是否存在安全风险,在存在安全风险时生成告警事件,安全运营人员仅需关注告警事件即可,可以极大减少安全运营人员的工作量,便于安全运营人员应对交汇复杂的攻击报警。于安全运营人员应对交汇复杂的攻击报警。于安全运营人员应对交汇复杂的攻击报警。
【技术实现步骤摘要】
情报分析方法、装置、设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种情报分析方法、装置、设备及存储介质。
技术介绍
[0002]无论是实网攻防演练还是企业内部的日常安全运营,都会有海量来自互联网的攻击报警需要运营分析。此类攻击警报中既有良性探测造成的虚假报警、不需要关注的自动化扫描记录,也存在高风险的人工渗透和勒索蠕虫传播。面对这种交汇复杂的情况,若由安全运营人员逐条进行分析,需要消耗极大的人力,成本极高,且处置效率低下,难以有效、准确的应对。
[0003]上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
[0004]本专利技术的主要目的在于提供一种情报分析方法、装置、设备及存储介质,旨在解决面对交汇复杂的攻击警报,安全运行人员难以应对的技术问题。
[0005]为实现上述目的,本专利技术提供了一种情报分析方法,所述方法包括以下步骤:
[0006]获取待分析地址对应的安全情报信息;
[0007]根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果;
[0008]根据所述安全分析结果确定所述待分析地址是否存在安全风险;
[0009]在所述待分析地址存在安全风险时,根据所述待分析地址及所述安全分析结果生成告警事件。
[0010]可选的,所述获取待分析地址对应的安全情报信息的步骤之前,还包括:
[0011]在获取到待分析地址时,检测所述待分析地址是否为内网地址;/>[0012]在所述待分析地址不为内网地址时,执行所述获取待分析地址对应的安全情报信息的步骤。
[0013]可选的,所述在所述待分析地址不为内网地址时,执行所述获取待分析地址对应的安全情报信息的步骤,包括:
[0014]在所述待分析地址不为内网地址时,获取业务服务器地址列表;
[0015]将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配;
[0016]在未匹配到所述待分析地址对应的业务服务器地址时,执行所述获取待分析地址对应的安全情报信息的步骤。
[0017]可选的,所述根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果的步骤,包括:
[0018]根据所述安全情报信息确定所述待分析地址对应的设备类型;
[0019]将所述设备类型与预设异常类型列表中的异常类型进行匹配,获得匹配结果;
[0020]根据所述匹配结果确定风险原因及风险级别;
[0021]根据所述风险原因及所述风险级别生成安全分析结果。
[0022]可选的,所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤之前,还包括:
[0023]获取预设异常地址列表;
[0024]将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配;
[0025]在未匹配到所述待分析地址对应的异常地址时,执行所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤。
[0026]可选的,所述将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配的步骤之后,还包括:
[0027]在匹配到所述待分析地址对应的异常地址时,将匹配到的异常地址作为目标异常地址;
[0028]获取所述目标异常地址对应的异常原因,根据所述目标异常地址及所述异常原因确定风险原因及风险级别;
[0029]根据所述风险原因及所述风险级别生成安全分析结果。
[0030]可选的,所述根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果的步骤,包括:
[0031]根据所述安全情报信息确定所述待分析地址对应的访问行为;
[0032]根据所述访问行为确定所述待分析地址对应的程序类型,并获取预设安全防控级别;
[0033]根据所述预设安全防控级别及所述程序类型确定风险原因及风险级别;
[0034]根据所述风险原因及所述风险级别生成安全分析结果。
[0035]可选的,所述根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果的步骤,包括:
[0036]根据所述安全情报信息确定所述待分析地址是否存在恶意攻击行为特征;
[0037]在所述待分析地址存在恶意攻击行为特征时,查找所述恶意攻击行为特征对应的攻击意图及风险等级;
[0038]根据所述攻击意图及所述风险等级确定风险原因及风险级别;
[0039]根据所述风险原因及所述风险级别生成安全分析结果。
[0040]可选的,所述根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果的步骤,包括:
[0041]根据所述安全情报信息确定所述待分析地址对应的历史访问行为;
[0042]根据所述历史访问行为确定所述待分析地址是否为真实网络地址,获得转发检测结果;
[0043]根据所述转发检测结果确定风险原因及风险级别;
[0044]根据所述风险原因及所述风险级别生成安全分析结果。
[0045]可选的,所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤之前,还包括:
[0046]将所述待分析地址与转发地址列表中的转发地址进行匹配;
[0047]在未匹配到所述待分析地址对应的转发地址时,执行所述根据所述安全情报信息确定所述待分析地址对应的历史访问行为的步骤。
[0048]可选的,所述将所述待分析地址与转发地址列表中的转发地址进行匹配的步骤之后,还包括:
[0049]在匹配到所述待分析地址对应的转发地址时,将匹配到的转发地址作为目标地址;
[0050]获取所述目标地址对应的转发服务器信息;
[0051]根据所述目标地址及所述转发服务器信息确定风险原因及风险级别;
[0052]根据所述风险原因及所述风险级别生成安全分析结果。
[0053]可选的,所述在所述待分析地址存在安全风险时,根据所述待分析地址及所述安全分析结果生成告警事件的步骤之后,还包括:
[0054]根据所述安全分析结果确定风险原因及风险级别;
[0055]根据所述风险原因及所述风险级别确定对应的风险处置策略;
[0056]将所述风险处置策略及所述告警事件进行展示。
[0057]此外,为实现上述目的,本专利技术还提出一种情报分析装置,所述情报分析装置包括以下模块:
[0058]情报获取模块,用于获取待分析地址对应的安全情报信息;
[0059]安全分析模块,用于根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果;
[0060]风险判定模块,用于根据所述安全分析结果确定所述待分析地址是否存在安全风险;
[0061]事件生成模块,用于在所述待分析地址存在安全风险时,根据所述待分析地址及所述安全分析结果生成告警事件。
[0062]可选的,所述情报获取模块,还用于本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种情报分析方法,其特征在于,所述情报分析方法包括以下步骤:获取待分析地址对应的安全情报信息;根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果;根据所述安全分析结果确定所述待分析地址是否存在安全风险;在所述待分析地址存在安全风险时,根据所述待分析地址及所述安全分析结果生成告警事件。2.如权利要求1所述的情报分析方法,其特征在于,所述获取待分析地址对应的安全情报信息的步骤之前,还包括:在获取到待分析地址时,检测所述待分析地址是否为内网地址;在所述待分析地址不为内网地址时,执行所述获取待分析地址对应的安全情报信息的步骤。3.如权利要求2所述的情报分析方法,其特征在于,所述在所述待分析地址不为内网地址时,执行所述获取待分析地址对应的安全情报信息的步骤,包括:在所述待分析地址不为内网地址时,获取业务服务器地址列表;将所述待分析地址与所述业务服务器地址列表中的业务服务器地址进行匹配;在未匹配到所述待分析地址对应的业务服务器地址时,执行所述获取待分析地址对应的安全情报信息的步骤。4.如权利要求1所述的情报分析方法,其特征在于,所述根据所述安全情报信息对所述待分析地址进行安全性分析,获得安全分析结果的步骤,包括:根据所述安全情报信息确定所述待分析地址对应的设备类型;将所述设备类型与预设异常类型列表中的异常类型进行匹配,获得匹配结果;根据所述匹配结果确定风险原因及风险级别;根据所述风险原因及所述风险级别生成安全分析结果。5.如权利要求4所述的情报分析方法,其特征在于,所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步骤之前,还包括:获取预设异常地址列表;将所述待分析地址与所述预设异常地址列表中的异常地址进行匹配;在未匹配到所述待分析地址对应的异常地址时,执行所述根据所述安全情报信息确定所述待分析地址对应的设备类型的步...
【专利技术属性】
技术研发人员:韩志立,张玉兵,刘凯,陆贝,高学文,
申请(专利权)人:北京鸿腾智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。