一种情报管理方法、系统及计算机可读存储介质技术方案

本发明专利技术公开了一种情报管理方法、系统及计算机可读存储介质。该方法包括：周期性地从若干情报源获取威胁情报更新数据保存到本地内存中供本地安全模块使用，并实时地将获取的威胁情报更新数据按照对应的数据源、以及获取时间归档到数据库中进行保存；基于用户配置的输出策略，周期性地从所述数据库中筛选相应的威胁情报更新数据传输到作为客户端的其他设备；所述其他设备利用获取的威胁情报更新数据进行安全防御。本发明专利技术提供的情报管理方案不仅能对第三方威胁情报进行归档管理，还能以安全、定制化的方式对其他设备进行情报赋能。定制化的方式对其他设备进行情报赋能。定制化的方式对其他设备进行情报赋能。

【技术实现步骤摘要】
一种情报管理方法、系统及计算机可读存储介质


[0001]本专利技术涉及信息安全领域，具体涉及一种能及时收集各情报源的威胁情报更新数据，并能以定制化的方式为其他设备（尤其是同一单位的设备）进行情报赋能的情报管理方法、系统及计算机可读存储介质。

技术介绍

[0002]随着IT技术和通信技术的发展，网络环境日趋复杂。尤其是云计算和虚拟化等技术的应用，使得主机边界、网络边界以及通讯边界变得愈发模糊，增强了网络攻击的隐蔽性，也催生出了许多新的攻击目标和新的攻击手段。
[0003]为了应对网络上种类繁多的攻击手段、保护敏感信息或有价值的信息， 防止信息资产被窃取、篡改、非法利用，许多网络安全公司基于历史攻击与已知漏洞、攻击手法等信息与经验，逐渐掌握并信息化了一定量用于识别不同网络攻击的方式、方法。这种被信息化的用于识别网络攻击的方式、方法被称为安全情报，也称为威胁情报更新数据。其中、一些准确度高、更新快、覆盖广、需要一定成本获取的商业安全情报，称为高价值安全情报。由于任一个安全公司拥有的安全情报不可能是完备的，势必存在着一些其他人或公司等拥有、但自身没有的那部分安全情报。这样对于需要进行网络安全防御的企业来说，就要纠结于每家公司的情报准确度、情报覆盖广度与情报更新及时程度。只有所选安全公司的安全情报更新的快、准确度高、覆盖面广，才能最大程度上帮助自己抵御网络攻击，防止自身的信息资产被窃取或破坏。因此，防御方希望自己能使用不止一家安全公司的情报信息来形成多家情报互相取长补短的防御体系。另外大部分防御方需要保护的不仅是自身信息资产、还有下游机构的信息资产，那么如何及时获取多种情报源的威胁情报更新数据，并且安全地将安全情报传递给自身内部的平级设备以及下游设备就成了需要解决的技术问题。

技术实现思路

[0004]为了满足防御方希望综合多种情报源，以及时获得覆盖广，准确度高的威胁情报更新数据这一需求。本专利技术提供一种情报管理方法、系统及计算机可读存储介质。
[0005]该情报管理系统能够及时收集、管理多种情报源的威胁情报更新数据，并能以定制化的方式安全、及时将获取的情报更新数据赋予到需要进行防御的客户端。
[0006]本专利技术的第一方面提供一种情报管理系统。该系统包括：威胁情报平台(TIP)设备以及若干客户端。所述威胁情报平台设备包括：情报获取模块，情报输出模块以及数据库。所述情报获取模块，周期性地从若干情报源获取威胁情报更新数据保存到本地内存中供本地安全模块使用，并实时地将获取的威胁情报更新数据按照对应的数据源、以及获取时间归档到数据库中进行存储。所述情报输出模块，基于用户配置的输出策略向所述若干客户端输出相应的威胁情报更新数据。所述若干客户端利用获取的威胁情报更新数据进行安全防御。所述情报获取模块从具体情报源获取威胁情报更新数据的周期可以根据实际需求进行调节/设置。
[0007]进一步地，所述输出策略的配置内容包括指定接收相应威胁情报更新数据的目标客户端，所述情报输出模块同时支持多个所述输出策略。
[0008]进一步地，所述输出策略的配置内容还包括：输出情报限定参数，加密配置参数以及输出频率。所述情报输出模块以具体输出策略中输出频率，周期性地从所述数据库筛选出符合该具体输出策略中输出情报限定参数限定的威胁情报更新数据，按照该具体输出策略中加密配置参数指定的加密方式进行加密、生成待传输的威胁情报更新文件保存到相应的存储路径下以供相关的客户端获取。
[0009]进一步地，所述加密配置参数包括：加密算法，加密密钥，加密输出文件名及压缩格式。所述情报输出模块，采用具体输出策略中加密配置参数设置的加密算法、加密密钥对从所述数据库筛选出的威胁情报更新数据进行加密，生成该具体输出策略中加密配置参数指定输出文件名及压缩格式的待传输威胁情报更新文件，并将该待传输威胁情报更新文件保存到相应的存储路径下以供相关的客户端获取。
[0010]进一步地，所述输出情报限定参数包括：情报源，输出字段，获取时间范围以及威胁等级。所述输出情报限定参数中的情报源，用于限定输出威胁情报更新数据的获取情报源。所述输出字段，用于限定输出威胁情报更新数据中每条威胁情报的字段。所述时间范围这一参数，用于限定输出的威胁情报更新数据距离当前输出时刻以前的时间范围。所述威胁等级，用于限定输出的威胁情报更新数据中每条情报的威胁等级。
[0011]进一步地，所述情报输出模块还基于是否设置所述获取时间范围这一参数的值，确定以全量方式或增量方式从所述数据库中获取符合所述输出情报限定参数限定的威胁情报更新数据进行加密，生成威胁数据更新文件进行输出。具体实现为：若不设置所述获取时间范围参数，按照具体输出策略配置的所述输出频率，以全量方式从所述数据库中获取符合所述输出情报限定参数中其它参数限定的威胁情报更新数据进行加密，生成待传输的威胁情报更新文件进行输出；否则、按照该具体输出策略配置的所述输出频率以增量方式，从所述数据库中获取距离当前输出时刻在所述获取时间范围参数值内、符合所述输出情报限定参数中其它参数限定的威胁情报更新数据进行加密，生成待传输的威胁情报更新文件进行输出。
[0012]进一步地，在将所述威胁情报更新数据保存到本地内存和数据库前，所述情报获取模块识别所述威胁情报更新数据中每条威胁情报的威胁等级，并对每条威胁情报附加相应的威胁等级标识信息后归档到所述数据库中进行保存。
[0013]本专利技术的第二方面提供一种威胁情报管理方法。所述方法包括：利用计算机设备周期性地从若干情报源获取威胁情报更新数据保存到本地内存中供本地安全模块使用，并实时地将获取的威胁情报更新数据按照对应的数据源、以及获取时间归档到数据库中进行保存；基于用户配置的输出策略，从所述数据库中筛选相应的威胁情报更新数据传输到作为客户端的其他设备；所述其他设备利用获取的威胁情报更新数据进行安全防御。该情报管理方法的实现细节与上述威胁情报管理系统对威胁情报更新数据的获取处理、输出处理相同，这里不再赘述。
[0014]本专利技术的第三方面提供一种计算机可读存储介质。所述计算机可读存储介质上存储有程序代码，所述程序代码被计算机执行时实现上述威胁情报管理方法。
[0015]本专利技术提供的情报管理方案不仅能及时收集、管理多种情报源的数据更新，而且
能够快速、准确地向防御企业自身内部以及上下游机构的其他客户端提供威胁情报更新数据，以及时、全方位地增强防御方对网络攻击，信息窃取等威胁的防御能力。
附图说明
[0016]图1为本专利技术提供的情报管理系统框架图。
[0017]图2为本专利技术中的输出策略内容示意图。
具体实施方式
[0018]为了使本专利技术所解决的技术问题、技术方案以及有益效果更加清楚明白，以下结合附图对本专利技术进行进一步详细说明。应该理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。
[0019]如图1所示，本专利技术提供的情报管理系统包括：威胁情报平台设备（TIP设备）以及若干客户端（图1中所示的客户端1,客户端本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种情报管理系统，其特征在于，所述系统包括：威胁情报平台(TIP)设备以及若干客户端；所述威胁情报平台设备包括：情报获取模块，情报输出模块以及数据库；所述情报获取模块，周期性地从若干情报源获取威胁情报更新数据保存到本地内存中供本地安全模块使用，并实时地将获取的威胁情报更新数据按照对应的获取数据源、以及获取时间归档到数据库中进行存储；所述情报输出模块，基于用户配置的输出策略向所述若干客户端输出相应的威胁情报更新数据；所述若干客户端利用获取的威胁情报更新数据进行安全防御。2.如权利要求1所述的情报管理系统，其特征在于，所述输出策略的配置内容包括：输出情报限定参数，加密配置参数以及输出频率；所述情报输出模块以具体输出策略中输出频率，周期性地从所述数据库筛选出符合该具体输出策略中输出情报限定参数限定的威胁情报更新数据，按照该具体输出策略中加密配置参数指定的加密方式进行加密、生成待传输的威胁情报更新文件保存到相应的存储路径下以供相关的客户端获取。3.如权利要求2所述的情报管理系统，其特征在于，所述加密配置参数包括：加密算法，加密密钥，加密输出文件名及压缩格式；所述情报输出模块，采用具体输出策略中加密配置参数设置的加密算法、加密密钥对从所述数据库筛选出的威胁情报更新数据进行加密，生成该具体输出策略中加密配置参数指定输出文件名和压缩格式的待传输威胁情报更新文件，并将该待传输威胁情报更新文件保存到相应的存储路径下以供相关的客户端获取。4.如权利要求2所述的情报管理系统，其特征在于，所述输出情报限定参数包括：情报源，输出字段，获取时间范围以及威胁等级；所述输出情报限定参数中的情报源，用于限定输出威胁情报更新数据的获取情报源；所述输出字段，用于限定输出威胁情报更新数据中每条威胁情报的字段；所述时间范围这一参数，用于限定输出的威胁情报更新数据距离当前输出时刻以前的时间范围；所述威胁等级，用于限定输出的威胁情报更新数据中每条情报的威胁等级。5.如权利要求4所述的情报管理系统，其特征在于，所述情报输出模块还基于是否设置所述获取时间范围这一参数的值，确定以全量方式或增量方式从所述数据库中获取符合所述输出情报限定参数限定的威胁情报更新数据进行加密输出；具体实现为：若不设置所述获取时间范围参数，按照具体输出策略配置的所述输出频率，以全量方式从所述数据库中获取符合所述输出情报限定参数中其它参数限定的威胁情报更新数据进行加密输出；否则、按照该具体输出策略配置的所述输出频率以增量方式，从所述数据库中获取距离当前输出时刻在所述获取时间范围参数值内、符合所述输出情报限定参数中其它参数限定的威胁情报更新数据进行加密输出。6.如权利要求1
‑
5任一项所述的情报管理系统，其特征在于，在将获取的威胁情报更新数据保存到本地内存和数据库前，所述情报获取模块识别所获取的威胁情报更新数据中每条威胁情报的威胁等级、并对每条威胁情报附加相应的威胁等级标识信息后归档到所述数据库中进行保存。7.如权利要求6所述的情报管理系统，其特征在于，所述输出策略的配置内容包括指定接收相应威胁情报更新数据的目标客户端，所述情报输出模块同时支持多个所述输出策略。8.一种威胁情报管理方法，其特征在于，所述方法包括：利用计算机设备周期性地从若
干情报源获取威胁情报更新数据保存到本...

【专利技术属性】
技术研发人员：王云赫，徐彬，薛锋，任政，童兆丰，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：