一种网络威胁情报的搜索方法、装置、设备及存储介质与流程

1.本技术涉及网络威胁情报技术领域，尤其涉及一种网络威胁情报的搜索方法、装置、设备及存储介质。


背景技术：

2.根据gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件hash，ip，域名，程序运行路径，注册表项等，以及相关的归属标签。
3.现有技术中威胁情报的获取大多是基于恶意攻击行为的事后分析，这种方式分析过程缓慢冗长，缺乏主动探测的能力；在传统的威胁情报的搜集方法定义中，缺乏主动且快速的搜集方法，识别的威胁情报是滞后的。


技术实现要素：

4.为了解决上述技术问题，本技术公开了一种网络威胁情报的搜索方法，通过主动对恶意网站标识进行威胁情报信息的搜集，能够快速准确地识别出对特定网站标识具有威胁或恶意攻击行为恶意网站标识。
5.为了达到上述发明目的，本技术提供了一种网络威胁情报的搜索方法，所述的方法包括：
6.获取参考网站标识的参考网站头像和与所述参考网站头像对应的参考哈希值；
7.基于所述参考哈希值从哈希检索数据库中确定出与所述参考哈希值对应的目标网站标识；
8.获取所述目标网站标识的目标互联网协议地址；
9.若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息；
10.根据所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息确定所述参考网站标识对应的目标威胁情报。
11.在一些实施方式中，在所述若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的目标位置信息、目标端口信息和目标自制系统号信息之前，还包括：
12.获取参考网站标识的参考标签信息和目标网站标识的目标标签信息；
13.将所述目标标签信息与所述参考标签信息进行对比，得到对比结果；
14.判断对比结果是否为所述目标标签信息与所述参考标签信息不相同；
15.若是，则判定所述目标网站标识的目标互联网协议地址满足预设条件。
16.在一些实施方式中，所述将所述目标标签信息与所述参考标签信息进行对比，得
到对比结果；包括：
17.获取参考网站标识的参考网站证书信息和目标网站标识的目标网站证书信息；
18.判断所述目标网站证书信息是否与所述参考网站证书信息相同；
19.若否，则判定所述目标标签信息与所述参考标签信息不同；
20.将所述目标标签信息与所述参考标签信息不同确定为所述对比结果。
21.在一些实施方式中，所述将所述目标标签信息与所述参考标签信息进行对比，得到对比结果；还包括：
22.获取参考网站标识的参考自制系统号信息和目标网站标识的目标自制系统号信息；
23.判断所述目标自制系统号信息是否与所述参考自制系统号信息相同；
24.若否，则判定所述目标标签信息与所述参考标签信息不同；
25.将所述目标标签信息与所述参考标签信息不同确定为所述对比结果。
26.在一些实施方式中，所述若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息；包括：
27.若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口，查找目标互联网协议地址对应的目标端口信息、目标地理位置信息、目标自制系统号信息和目标域名信息；
28.基于所述目标域名信息确定与所述目标域名信息对应的目标域名对象信息；
29.将所述目标地理位置信息、所述目标域名信息和所述目标域名对象信息确定为目标位置数据信息。
30.在一些实施方式中，所述根据所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息确定所述参考网站标识对应的目标威胁情报，包括：
31.基于所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息进行画像绘制，得到目标威胁网站标识对应的目标数据链画像；
32.将所述目标数据链画像确定为所述参考网站标识对应的目标威胁情报。
33.在一些实施方式中，在所述基于所述参考哈希值从哈希检索数据库中确定出与所述参考哈希值对应的目标哈希值以及与目标哈希值对应的目标网站标识，所述哈希检索数据库为预先配置的之前，还包括：
34.获取多个网站头像；
35.基于预设哈希算法对各网站头像分别进行哈希计算，得到各网站头像各自对应的哈希值；
36.针对每个网站头像，将所述网站头像以及所述网站头像对应的网站标识和互联网协议地址，与所述网站头像对应的哈希值进行关联存储，得到哈希检索数据库。
37.本技术还提供了一种网络威胁情报的搜索装置，所述的装置包括：
38.第一获取模块，用于获取参考网站标识的参考网站头像和与所述参考网站头像对应的参考哈希值；
39.第一确定模块，用于基于所述参考哈希值从哈希检索数据库中确定出与所述参考哈希值对应的目标网站标识；
40.第二获取模块，用于获取所述目标网站标识的目标互联网协议地址；
41.第三获取模块，用于若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的位置数据信息、目标端口信息和目标自制系统号信息；
42.第二确定模块，用于根据所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息确定所述参考网站标识对应的目标威胁情报。
43.本技术还提供了一种网络威胁情报的搜索设备，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由所述处理器加载并执行以实现如上述所述的网络威胁情报的搜索方法。
44.本技术还提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行如上述所述的网络威胁情报的搜索方法。
45.实施本技术实施例，具有如下有益效果：
46.本技术公开的网络威胁情报的搜索方法，通过主动对恶意网站标识进行威胁情报信息的搜集，能够快速准确地识别出对特定网站标识具有威胁或恶意攻击行为恶意网站标识。
附图说明
47.为了更清楚地说明本技术所述的网络威胁情报的搜索方法、装置、设备及存储介质，下面将对实施例所需要的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。
48.图1为本技术实施例提供的一种网络威胁情报的搜索系统的示意图；
49.图2为本技术实施例提供的一种互联网协议地址判定方法的流程示意图；
50.图3为本技术实施例提供的一种网络威胁情报的搜索装置的结构示意图；
51.图4为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
52.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
53.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
54.对本技术实施例进行进一步详细说明之前，对本技术实施例中涉及的名词和术语进行说明，本技术实施例中涉及的名词和术语适用于如下的解释。
55.favicon，即favorites icon的缩写，顾名思义，便是其可以让浏览器的收藏夹中除显示相应的标题外，还以图标的方式区别不同的网站标识；favicon中文名称是网站头像。
56.murmur哈希，是一种非加密散列函数，适用于一般的基于散列的查找。它在2008年由austin appleby创建，在github上托管，名为“smhasher”的测试套件。它也存在许多变种，所有这些变种都已经被公开。该名称来自两个基本操作，乘法(mu)和旋转(r)，在其内部循环中使用。当前版本的murmurhash是murmurhash3，可以生成32位或128位哈希值；当使用128位时，x86和x64版本不会产生相同的值，因为算法针对各自的平台进行了优化。murmurhash3128位版本的生成速度是md5的十倍。
57.asn号，可以叫做自治系统号，是区别整个相互连接的网络中的各个网络的唯一标识，用于bgp路由中的每个自治系统都被分配一个唯一的自治系统编号。
58.python，(计算机编程语言)python由荷兰数学和计算机科学研究学会的吉多
·
范罗苏姆于1990年代初设计，作为一门叫做abc语言的替代品。python提供了高效的高级数据结构，还能简单有效地面向对象编程。python语法和动态类型，以及解释型语言的本质，使它成为多数平台上写脚本和快速开发应用的编程语言。
59.威胁情报旨在帮助减轻网络空间发生的潜在攻击和有害事件。威胁情报来源包括开源情报、社交媒体情报、人类社会情报、设备日志以及从互联网流量中取证获得的数据或情报等。
60.网页安全证书，ssl安全套接字层协议(secure sockets layer)，提供了一个传输层安全的应用协议，解决互联网服务网站标识的身份识别，机密、隐私信息的加密传输问题。
61.以下结合图1介绍本技术网络威胁情报的搜索方法，可以应用于钓鱼或恶意网站标识的威胁情报的搜索等，具体的，通过哈希值实现对钓鱼或恶意网站标识的快速识别，进一步搜索恶意网站标识对应的目标位置数据信息、目标端口信息和目标自制系统号信息进行搜集以实现对威胁情报的搜集。
62.请参考图1，其所示为本技术实施例提供的一种网络威胁情报的搜索方法的流程示意图，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规；或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序，网络威胁情报的搜索方法，可以按照实施例或附图所示的方法顺序执行。具体的如图1所示，所述方法包括：
63.s101,获取参考网站标识的参考网站头像和与参考网站头像对应的参考哈希值。
64.需要说明的是，在本技术实施例中，参考网站头像可以是参考网站标识的favicon；因恶意或者钓鱼站点多采用与参考网站视觉效果相同的头像，增加恶意或者钓鱼站点的识别难度，因此，本技术采用网站头像作为识别标识，可以识别出具有明显危害特性的网站。
65.参考哈希值可以是将参考网站头像采用murmur哈希函数计算得到的哈希值。示例性的，可以是使用python中设置的哈希值；murmur哈希函数是一种非加密的哈希算法；本申
请中由于数据量较小，因此采用非加密哈希算法可以有效提高数据的处理速度；另外，采用哈希函数计算网站头像对应的哈希值具有唯一性，且采用murmur哈希函数进行计算，使得在favicon发生微小的变化时，哈希值可以发生显著变化，这种方式能够有效提高后续识别的准确性。
66.具体的，网站标识可以包括网站id、网站名称等信息。
67.s102，基于参考哈希值从哈希检索数据库中确定出与参考哈希值对应的目标网站标识。
68.在本技术中实施例中，哈希检索数据库为预先配置的。
69.具体的，可以基于参考哈希值从哈希检索数据库中确定出与参考哈希值对应的目标哈希值，再基于目标哈希值确定出与目标哈希值对应的目标网站标识。
70.具体的，目标哈希值可以是与参考哈希值的数值相同的哈希值。目标哈希值至少包括一个。
71.在本技术实施例中，在哈希检索数据库中，哈希值，网站头像和网站标识分别具有一一对应的关系；相对应的，目标哈希值与目标网站标识具有对应关系。
72.具体的，在查找到目标哈希值后，即可基于哈希值与网站标识的对应关系确定目标哈希值对应的目标网站标识；本技术通过网站头像对应的哈希值进行查找，可以筛选出所有具备该哈希值的网站，可以有效缩小查找范围，更加精确的查找出威胁网站。
73.在本技术一些实施例中，还包括对哈希检索数据库的创建；具体的创建方法可以包括以下步骤。
74.获取多个网站头像；
75.具体的，可以获取整个网络系统中每个网站的网站头像。
76.基于预设哈希算法对各网站头像分别进行哈希计算，得到各网站头像各自对应的哈希值；
77.具体的，预设哈希算法可以为murmur哈希函数计算方法；相对应的，可以采用murmur哈希函数对各网站头像分别进行哈希计算，得到各网站头像各自对应的哈希值。
78.针对每个网站头像，将所述网站头像以及所述网站头像对应的网站标识和互联网协议地址，与所述网站头像对应的哈希值进行关联存储，得到哈希检索数据库。
79.在本技术实施例中，将各网站头像和各网站头像各自对应的哈希值分别进行关联存储，使得哈希值、网站头像一一对应；
80.具体的，针对每个网站头像，网站头像与网站头像对应的网站标识和互联网协议地址具有一一对应关系；将网站头像对应的网站标识和互联网协议地址与网站头像对应的哈希值进行关联存储；进而使得哈希值、网站头像、网站标识以及互联网协议地址之间均具有一一对应关系。
81.具体的，基于网站标识与网站标识对应的互联网协议地址之间的对应关系，使得后续可以确定相应网站标识对应的互联网协议地址。
82.具体的，哈希检索数据库至少包括多个哈希值、多个网站头像、多个网站标识、多个互联网协议地址，以及哈希值、网站头像和网站标识之间的对应关系，以及网站标识与互联网协议地址之间的映射关系等。
83.s103，获取目标网站标识的目标互联网协议地址。
84.在本技术实施例中，互联网协议地址可以是ip地址；相对应的，目标互联网协议地址可以为目标网站标识的ip地址。
85.具体的，可以基于目标网站标识与目标互联网协议地址之间的映射关系从哈希检索数据库获取目标网站标识对应的目标互联网协议地址。
86.s104，若目标互联网协议地址满足预设条件，则调用预设应用程序接口获取目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息。
87.在本技术实施例中，预设条件可以是标签信息与参考标签信息不相同的网站标识。
88.在本技术实施例中，在若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息之前，还包括对目标互联网协议地址是否满足预设条件进行判断的步骤。
89.在本技术一些实施例中，判断目标互联网协议地址是否满足预设条件可以通过网站标识的标签信息进行判断，具体的，如图2，其所示为本技术实施例提供的一种互联网协议地址判定方法的流程示意图；具体的步骤如下。
90.s201，获取参考网站标识的参考标签信息和目标网站标识的目标标签信息；
91.在本技术实施例中，标签信息可以为网站标识的ip地址的标签信息。相对应的，标签信息可以为ip地址具有的唯一性的标识信息。示例性的，标签信息可以包括但不限于网站证书信息和自制系统号信息等。
92.s202，将目标标签信息与参考标签信息进行对比，得到对比结果；
93.在本技术实施例中，可以包括将参考网站标识的参考网站证书信息和目标网站标识的目标网站证书信息进行对比；以及将参考网站标识的参考自制系统号信息和目标网站标识的目标自制系统号信息进行对比，进而得到的对比结果。
94.具体的，对比结果可以包括目标标签信息与参考标签信息相同；以及目标标签信息与参考标签信息不同。
95.在本技术一些实施例中，采用参考网站证书信息和目标网站证书信息进行对比的情况下，包括以下步骤。
96.获取参考网站标识的参考网站证书信息和目标网站标识的目标网站证书信息；
97.在本技术实施例中，参考网站证书信息可以是参考网站标识的网页安全证书，目标网站证书信息可以是目标网站标识的网页安全证书。相对应的，网站标识的网页安全证书可以为用于对网站标识进行身份识别的信息。
98.具体的，后续可以根据网站标识的网站证书信息，对网站标识进行判定。
99.判断所述目标网站证书信息是否与所述参考网站证书信息相同；
100.若否，则判定所述目标标签信息与所述参考标签信息不同；
101.将所述目标标签信息与所述参考标签信息不同确定为所述对比结果。
102.在本技术实施例中，若目标网站证书信息与参考网站证书信息不同，则可以判定目标标签信息与参考标签信息不同；此时将目标标签信息与参考标签信息不同确定为目标标签信息与参考标签信息的对比结果。
103.在本技术另一些实施例中，采用参考自制系统号信息和目标自制系统号信息进行对比的情况下，包括以下步骤。
104.获取参考网站标识的参考自制系统号信息和目标网站标识的目标自制系统号信息；
105.在本技术实施例中，自制系统号信息可以为网站标识的asn号。
106.判断所述目标自制系统号信息是否与所述参考自制系统号信息相同；
107.若否，则判定所述目标标签信息与所述参考标签信息不同；
108.将所述目标标签信息与所述参考标签信息不同确定为所述对比结果。
109.在本技术实施例中，若目标自制系统号信息与参考自制系统号信息不同，则可以判定目标标签信息与参考标签信息不同；此时将目标标签信息与参考标签信息不同确定为目标标签信息与参考标签信息的对比结果。
110.s203，判断对比结果是否为目标标签信息与参考标签信息不同；
111.s204，若是，则判定目标网站标识的目标互联网协议地址满足预设条件。
112.在本技术实施例中，若目标标签信息与参考标签信息不同，则可以判定目标网站标识与参考网站标识为不同的两个网站标识。
113.具体的，若目标网站标识不是参考网站标识，则可以判定目标网站标识为参考网站标识的目标威胁网站标识。
114.在本技术实施例中，预设应用程序接口可以api接口，相对应的，可以通过api接口获取目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息。
115.目标位置数据信息至少可以包括目标网站标识的地理位置信息、域名信息和域名对象信息；示例性的，域名对象信息可以是域名注册对象信息。
116.目标端口信息可以为ip地址的开放端口；目标自制系统号信息可以为目标网站标识的asn号。
117.在本技术一些实施例中，若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息可以包括以下步骤。
118.若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口，查找目标互联网协议地址对应的目标端口信息、目标地理位置信息、目标自制系统号信息和目标域名信息。
119.在本技术实施例中，若所述目标互联网协议地址满足预设条件，可以根据目标互联网协议地址，调用该目标互联网协议地址对应的api接口，查找目标互联网协议地址对应的目标端口信息、目标地理位置信息、目标自制系统号信息和目标域名信息。
120.基于所述目标域名信息确定与所述目标域名信息对应的目标域名对象信息。
121.具体的，可以根据域名信息查询域名信息对应的注册对象信息，即可得到目标域名对象信息。
122.将所述目标地理位置信息、所述目标域名信息和所述目标域名对象信息确定为目标位置数据信息。
123.s105，根据目标位置数据信息、目标端口信息和目标自制系统号信息确定参考网站标识对应的目标威胁情报。
124.在本技术实施例中，若目标互联网协议地址满足预设条件，则可以判定目标互联
网协议地址位参考网站标识的目标威胁网站标识地址，目标互联网协议地址对应的网站标识为目标威胁网站标识。
125.在本技术一些实施例中，若目标互联网协议地址为目标威胁网站标识地址，可以将目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息直接确定为目标威胁情报。
126.在本技术另一些实施例中，根据所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息确定所述参考网站标识对应的目标威胁情报可以包括以下步骤。
127.基于目标位置数据信息、目标端口信息和目标自制系统号信息进行画像绘制，得到目标威胁网站标识对应的目标数据链画像；
128.在本技术一些实施例中，若目标网站标识为目标威胁网站标识，则将基于目标互联网协议地址获取到的目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息进行画像绘制，得到目标威胁网站标识的目标数据链画像。
129.具体的，目标数据链画像可以为网站标识的ip地址画像。
130.具体的，若存在多个目标威胁网站标识，则将每个目标威胁网站标识各自对应的目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息共同进行画像绘制，得到包含所有目标威胁网站标识的目标数据链画像。
131.相对应的，目标数据链画像中包含各威胁网站标识、各威胁网站标识各自对应的互联网协议地址，以及各互联网协议地址各自对应的目标位置数据信息、目标端口信息和目标自制系统号信息。
132.在本技术另一些实施例中，若目标网站标识为目标威胁网站标识则将目标互联网协议地址相关的各标签信息均进行画像绘制，以得到目标威胁网站标识的目标数据链画像；其中，目标互联网协议地址相关的各标签信息至少包括目标地理位置信息、目标域名信息、目标域名对象信息、目标端口信息和目标自制系统号信息。
133.具体的，目标互联网协议地址相关的各标签信息还可以包括网站证书信息。
134.将目标数据链画像确定为参考网站标识对应的目标威胁情报。
135.在本技术实施例中，将目标数据链画像以及目标数据链画像中包含的每个信息均确定为参考网站标识对应的目标威胁情报；以便于直观的观察参考网站标识对应的威胁情报。
136.在本技术一些实施例中，目标威胁情报可以包括网络的物理威胁以及威胁行为者的知识、技能和经验信息等。
137.在本技术一个优选的实施例中，以paypal作为参考网站标识；搜索paypal的威胁网站标识以及威胁情报；具体的搜索步骤如下。
138.获取paypal的网站头像；采用murmurhash3对paypal的网站头像图片进行计算，得到paypal的网站头像对应的第一哈希值，示例性的，第一哈希值可以为309020573。
139.基于第一哈希值，从哈希检索数据库确定出与第一哈希值相同的至少一个第二哈希值，进而确定各第二哈希值各自对应的网站标识，下述将第二哈希值对应的网站标识表述为可疑网站标识。
140.获取各可疑网站标识各自对应的可疑互联网协议地址。
141.获取paypal的网站证书和各可疑网站标识各自对应的可疑网站证书。
142.将每个可疑网站证书分别与paypal的网站证书进行一一对比，确定出与paypal的网站证书不同的可疑网站证书，进一步的，将与paypal的网站证书不同的可疑网站证书对应的可疑互联网协议地址确定为目标可疑互联网协议地址，其中，目标可疑互联网协议地址包括至少一个。
143.进一步的，将目标可疑互联网协议地址对应的目标网站标识确定为paypal的目标威胁网站标识。
144.调用api接口，获取目标可疑互联网协议地址对应的目标端口信息、目标地理位置信息、目标自制系统号信息和目标域名信息；
145.具体的，目标端口信息可以为ip地址的开放端口及服务信息。
146.基于所述目标域名信息确定与所述目标域名信息对应的目标域名对象信息。
147.获取目标端口信息、目标地理位置信息、目标自制系统号信息、目标域名信息和目标域名对象信息。
148.基于目标威胁网站标识对应的目标端口信息、目标地理位置信息、目标自制系统号信息、目标域名信息和目标域名对象信息进行画像绘制，得到目标威胁网站标识对应的目标数据链画像；
149.将所述目标数据链画像确定为paypal对应的目标威胁情报。
150.由上述本技术提供的网络威胁情报的搜索方法、装置、设备及存储介质的实施例可见，本技术实施例获取参考网站标识的参考网站头像和与所述参考网站头像对应的参考哈希值；基于所述参考哈希值从哈希检索数据库中确定出与所述参考哈希值对应的目标网站标识；获取所述目标网站标识的目标互联网协议地址；若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的目标位置数据信息、目标端口信息和目标自制系统号信息；根据所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息确定所述参考网站标识对应的目标威胁情报；利用本说明书实施例提供的技术方案，通过主动对恶意网站标识进行威胁情报信息的搜集，能够快速准确地识别出对特定网站标识具有威胁或恶意攻击行为恶意网站标识。
151.本技术实施例还提供了一种网络威胁情报的搜索装置，如图3所示，其所示为本技术实施例提供的一种网络威胁情报的搜索装置的结构示意图；具体的，所述的装置包括：
152.第一获取模块310，用于获取参考网站标识的参考网站头像和与所述参考网站头像对应的参考哈希值；
153.第一确定模块320，用于基于所述参考哈希值从哈希检索数据库中确定出与所述参考哈希值对应的目标网站标识；
154.第二获取模块330，用于获取所述目标网站标识的目标互联网协议地址；
155.第三获取模块340，用于若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口获取所述目标互联网协议地址对应的位置数据信息、目标端口信息和目标自制系统号信息；
156.第二确定模块350，用于根据所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息确定所述参考网站标识对应的目标威胁情报。
157.在本技术实施例中，还包括：
158.第四获取模块，用于获取参考网站标识的参考标签信息和目标网站标识的目标标
签信息；
159.对比模块，用于将所述目标标签信息与所述参考标签信息进行对比，得到对比结果；
160.第一判断模块，用于判断对比结果是否为所述目标标签信息与所述参考标签信息不同；
161.第一判定模块，用于若目标标签信息与参考标签信息不同，则判定所述目标网站标识的目标互联网协议地址满足预设条件。
162.在本技术实施例中，对比模块包括：
163.第一获取单元，用于获取参考网站标识的参考网站证书信息和目标网站标识的目标网站证书信息；
164.第一判断单元，用于判断所述目标网站证书信息是否与所述参考网站证书信息相同；
165.第一判定单元，用于若目标网站证书信息与参考网站证书信息不同，则判定所述目标标签信息与所述参考标签信息不同；
166.第一确定单元，用于将所述目标标签信息与所述参考标签信息不同确定为所述对比结果。
167.在本技术实施例中，对比模块还包括：
168.第二获取单元，用于获取参考网站标识的参考自制系统号信息和目标网站标识的目标自制系统号信息；
169.第二判断单元，用于判断所述目标自制系统号信息是否与所述参考自制系统号信息相同；
170.第二判定单元，用于若目标自制系统号信息与参考自制系统号信息不同，则判定所述目标标签信息与所述参考标签信息不同；
171.第二确定单元，用于将所述目标标签信息与所述参考标签信息不同确定为所述对比结果。
172.在本技术实施例中，第三获取模块包括：
173.信息查找单元，用于若所述目标互联网协议地址满足预设条件，则调用预设应用程序接口，查找目标互联网协议地址对应的目标端口信息、目标地理位置信息、目标自制系统号信息和目标域名信息；
174.第三确定单元，用于基于所述目标域名信息确定与所述目标域名信息对应的目标域名对象信息；
175.第四确定单元，用于将所述目标地理位置信息、所述目标域名信息和所述目标域名对象信息确定为目标位置数据信息。
176.在本技术实施例中，第二确定模块350包括：
177.画像绘制单元，用于基于所述目标位置数据信息、所述目标端口信息和所述目标自制系统号信息进行画像绘制，得到目标威胁网站标识对应的目标数据链画像；
178.第五确定单元，用于将所述目标数据链画像确定为所述参考网站标识对应的目标威胁情报。
179.在本技术实施例中，还包括：
180.第六获取模块，用于获取多个网站头像；
181.处理模块，用于基于预设哈希算法对各网站头像分别进行哈希计算，得到各网站头像各自对应的哈希值；
182.数据库构建模块，用于将针对每个网站头像，将所述网站头像以及所述网站头像对应的网站标识和互联网协议地址，与所述网站头像对应的哈希值进行关联存储，得到哈希检索数据库。
183.需要说明的，所述装置实施例中的装置与方法实施例基于同样的发明构思。
184.本技术实施例提供了一种网络威胁情报的搜索设备，设备包括处理器和存储器，存储器中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现如上述方法实施例所述的网络威胁情报的搜索方法。
185.进一步地，图4示出了一种用于实现本技术实施例所提供的网络威胁情报的搜索方法的电子设备的硬件结构示意图，所述电子设备可以参与构成或包含本技术实施例所提供的网络威胁情报的搜索装置。如图4所示，电子设备40可以包括一个或多个(图中采用402a、402b，
……
，402n来示出)处理器402(处理器402可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器404、以及用于通信功能的传输装置406。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为i/o接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图4所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，电子设备40还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。
186.应当注意到的是上述一个或多个处理器402和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到电子设备40(或移动设备)中的其他元件中的任意一个内。如本技术实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
187.存储器404可用于存储应用软件的软件程序以及模块，如本技术实施例中所述的网络威胁情报的搜索方法对应的程序指令/数据存储装置，处理器402通过运行存储在存储器404内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的一种网络威胁情报的搜索方法。存储器404可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器404可进一步包括相对于处理器402远程设置的存储器，这些远程存储器可以通过网络连接至电子设备40。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
188.传输装置406用于经由一个网络接收或者发送数据。上述的网络具体实例可包括电子设备40的通信供应商提供的无线网络。在一个实例中，传输装置406包括一个网络适配器(networkinterfacecontroller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实施例中，传输装置406可以为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。
189.显示器可以例如触摸屏式的液晶显示器(lcd)，该液晶显示器可使得用户能够与
电子设备40(或移动设备)的用户界面进行交互。
190.本技术的实施例还提供了一种计算机可读存储介质，所述存储介质可设置于电子设备之中以保存用于实现方法实施例中一种网络威胁情报的搜索方法相关的至少一条指令或至少一段程序，该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述方法实施例提供的网络威胁情报的搜索方法。
191.可选地，在本实施例中，上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
192.需要说明的是：上述本技术实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本技术特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
193.根据本技术的一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各种可选实现方式中提供的方法。
194.本技术中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置和电子设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
195.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
196.以上所述仅为本技术的较佳实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。