情报检测方法、装置、设备及存储介质与流程

本发明涉及网络安全，具体而言，涉及一种情报检测方法、装置、设备及存储介质。

背景技术：

1、随着计算机和互联网技术的快速发展，网络安全问题也不断出现。攻击者可能对网络设备执行各种攻击行为，而各种攻击行为的相关攻击信息可能以各种样式出现在网络数据流中。因此，需要从网络数据流中检测出攻击信息的情报，以维护网络安全。

2、在相关技术中，为了从网络数据流中检测出威胁攻击信息，常常需要人工协助，也即需要操作人员来研判攻击信息的情报准确性，这样检测效率较低。若脱离了人工协助之后，情报的准确性较低。因此，相关技术中并不能兼顾攻击信息的情报的准确性及检测效率。

技术实现思路

1、本技术实施例的目的在于提供一种情报检测方法、装置、设备及存储介质，以改善上述技术问题。

2、为实现上述目的，本技术提供如下技术方案：

3、第一方面，本技术实施例提供一种情报检测方法，包括：获取网络设备的待检测日志；将所述待检测日志与情报库进行匹配，若匹配，则从所述待检测日志中确定出攻击特征信息；所述情报库内存储有网络攻击相关的情报；对所述攻击特征信息进行扩展，得到扩展后的目标攻击特征信息；根据所述目标攻击特征信息，确定所述待检测日志中攻击行为信息的情报。这样，先基于情报库对待检测日志中已知的攻击特征信息进行检测，再对增加了未知信息的目标攻击特征信息进行检测，从而实现了递进式的情报检测，逐步优化了检测结果，提高了针对待检测日志的情报检测的准确性。另外，由于操作人员可以不参与整个检测过程，从而提高了检测效率。因此，可以兼顾待检测日志的情报的准确性以及检测效率。

4、可选地，所述待检测日志包括告警日志和原始日志；所述原始日志为所述网络设备直接生成的日志，所述告警日志为所述网络设备对所述原始日志进行处理后得到的日志；以及所述将所述待检测日志与情报库进行匹配，若匹配，则从所述待检测日志中确定出攻击特征信息，包括：将所述告警日志与第一情报库内的情报进行匹配，若匹配，则从所述告警日志中确定出对应的攻击特征信息；将所述原始日志与第二情报库内的情报进行匹配，若匹配，则从所述原始日志中确定出对应的攻击特征信息；所述第二情报库与所述第一情报库不同。这样，联合使用了告警日志以及原始日志，能够更加全面地覆盖网络设备的输入数据以及输出数据，提高了检测的数据范围，从而提高了检测的准确性。另外，由于对原始日志和告警日志采用了不同的情报库进行处理，从而可以分别对原始日志以及告警日志进行适应性匹配，以加快匹配速率，提高检测效率。

5、可选地，所述第一情报库包括白名单情报库、第一失陷情报库和/或第一ip信誉情报库；所述白名单情报库存储有白名单设备的情报，所述第一失陷情报库存储有失陷对象的情报，所述第一ip信誉情报库存储有ip信誉失信的情报；以及所述将所述告警日志与第一情报库内的情报进行匹配，若匹配，则从所述告警日志中确定出对应的攻击特征信息，包括：将所述告警日志与所述白名单情报库进行匹配，若与所述白名单情报库不匹配，则将所述告警日志与所述第一失陷情报库和/或所述第一ip信誉情报库进行匹配，若与所述第一失陷情报库和/或所述第一ip信誉情报库匹配，则从所述告警日志中提取所述攻击特征信息；其中，若所述告警日志与所述白名单情报库的匹配结果表明所述告警日志中不存在白名单设备信息，则判定所述告警日志与所述白名单情报库不匹配；若所述告警日志与所述第一失陷情报库的匹配结果表明所述告警日志内存在失陷对象的信息，则判定所述告警日志与所述第一情报库匹配；若所述告警日志与所述第一ip信誉情报库的匹配结果表明所述告警日志内存在失信ip的信息，则判定所述告警日志与所述第一情报库匹配。在本实现方式中，可以通过上述白名单情报库、第一失陷情报库以及第一ip信誉情报库对告警日志进行多样化的检测，以提高针对告警日志的情报准确性。

6、可选地，所述第二情报库包括自定义情报库、第二失陷情报库和/或第二ip信誉情报库；所述自定义情报库存储有自定义情报，所述第二失陷情报库存储有失陷对象的情报；所述第二ip信誉情报库存储有ip信誉失信的情报；以及所述将所述原始日志与第二情报库内的情报进行匹配，若匹配，则从所述原始日志中确定出对应的攻击特征信息，包括：将所述原始日志与所述自定义情报库进行匹配，若匹配结果表明所述原始日志内存在设备疑似被攻击的信息，则判定所述原始日志与所述第二情报库内的情报匹配；和/或将所述原始日志与所述第二失陷情报库进行匹配，若匹配结果表明所述原始日志内存在失陷对象的信息，则判定所述原始日志与所述第二情报库内的情报匹配；和/或将所述原始日志与所述第二ip信誉情报库进行匹配，若匹配结果表明所述原始日志内存在失信ip的信息，则判定所述原始日志与所述第二情报库内的情报匹配。这样，可以通过上述自定义情报库、第二失陷情报库以及第二ip信誉情报库对原始日志进行多样化检测，提高了针对原始日志的情报准确性。

7、可选地，所述根据所述目标攻击特征信息，确定所述待检测日志中攻击行为信息的情报，包括：从所述目标攻击特征信息中提取特征；使用规则集检测所述特征，若检测结果表明所述特征符合所述规则集内的规则，则确定所述待检测日志中存在攻击行为信息。这样，可以通过规则集中的专家知识对目标攻击特征信息中的特征进行精确快速的检测，从而提高针对待检测日志的情报的准确性和检测效率。

8、可选地，所述根据所述目标攻击特征信息，确定所述待检测日志中攻击行为信息的情报，还包括：在所述特征不符合所述规则集内任一规则的情况下，利用机器学习模型基于所述目标攻击特征信息确定所述待检测日志中存在攻击行为信息的置信度；根据所述置信度确定所述待检测日志中是否存在攻击行为信息。这样，能够在目标攻击特征信息不符合规则集内任一规则的情况下，通过机器学习模型来确定待检测日志中是否存在攻击行为信息，机器学习模型具有良好的泛化能力，能够捕获规则无法覆盖的新型或变种威胁。从而能够更加全面地检测目标攻击特征信息，且该过程无需人工协助，提高了检测效率以及检测准确性。

9、可选地，所述根据所述置信度确定所述待检测日志中是否存在攻击行为信息，包括：若所述置信度大于置信度上限阈值，则确定所述待检测日志中存在攻击行为信息；若所述置信度小于置信度下限阈值，则确定所述待检测日志中不存在攻击行为信息；若所述置信度介于所述置信度上限阈值与所述置信度下限阈值之间，则确定待检测日志中疑似存在攻击行为信息。

10、第二方面，本技术实施例提供一种情报检测装置，包括：获取模块，用于获取网络设备的待检测日志；匹配模块，用于将所述待检测日志与情报库进行匹配，若匹配，则从所述待检测日志中确定出攻击特征信息；所述情报库内存储有网络攻击相关的情报；扩展模块，用于对所述攻击特征信息进行扩展，得到扩展后的目标攻击特征信息；确定模块，用于根据所述目标攻击特征信息，确定所述待检测日志中攻击行为信息的情报。这样，可以兼顾待检测日志的情报的准确性以及检测效率。

11、第三方面，本技术实施例提供一种电子设备，包括：存储器以及处理器，所述存储器中存储有计算机程序指令，所述计算机程序指令被所述处理器读取并运行时，执行如第一方面可能的实现方式提供的方法。

12、第四方面，本技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令被处理器读取并运行时，执行如第一方面可能的实现方式提供的方法。

13、第五方面，本技术实施例提供一种计算机程序产品，包括计算机程序指令，所述计算机程序指令被处理器读取并运行时，执行如第一方面可能的实现方式提供的方法。