[0001] 本发明涉及数据处理技术领域，特别是涉及一种威胁情报使用方法。

[0002] 威胁情报（和攻击者相关）、漏洞情报（和脆弱点相关）、资产情报（内部IT业务资产和人的信息），都属于情报的范畴，但作用和生产维护方法都不同，需要明确区分。它们都是安全分析需要的信息，资产和漏洞在多年前就一直被重视，甚至安全建设就是被认为是围绕着资产和漏洞的。随着现实中攻防对抗的不断演进，让企业不得不进入主动安全建设阶段，因此需要更多的去关注威胁，让威胁情报去引领安全建设，进一步的提高完善检测、分析、预测预防的能力。

[0003] 然而现有技术中，对于威胁情报的获取方式通常是在海量的日志数据中进行提取，但是对于该过程中的数据分析过程都是通过人工分析的形式，但在该种分析方式中，会耗费大量的人力，同时也存在分析出来的结果无法适应具体网络环境的情况，并且，威胁情报之间不具有数据关联性，无法对威胁情报准确分析。因此，如何提供一种威胁情报使用方法是本领域技术人员急需解决的技术问题。

[0017] 下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

[0018] 在本申请的描述中，需要理解的是，术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。

[0019] 术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中，除非另有说明，“多个”的含义是两个或两个以上。

[0020] 在本申请的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内侧的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。

[0021] 现有技术中，对于威胁情报的获取方式通常是在海量的日志数据中进行提取，但是对于该过程中的数据分析过程都是通过人工分析的形式，但在该种分析方式中，会耗费大量的人力，同时也存在分析出来的结果无法适应具体网络环境的情况，并且，威胁情报之间不具有数据关联性，存在无法对威胁情报准确分析等问题。

[0022] 因此，本发明提供了一种威胁情报使用方法，通过获取威胁情报数据的多个数据类型并获取多个数据关系，在建立威胁情报分析模型，通过威胁情报分析模型将分析结果进行展示，通过历史威胁情报数据关联分析建立数据模型，对获取到的实时威胁情报数据进行自主化检测分析，有效地提高了威胁情报分析的准确性以及数据响应速度。

[0023] 参阅图1所示，本发明的公开实施例提供了一种威胁情报使用方法，包括：获取若干历史待分析威胁情报数据的多个数据类型；
获取多个数据类型之间的多个数据关系；数据关系包括若干个历史待分析威胁情
报数据之间的关联关系；
确定与多个数据关系之间对应的多个数据关联指向，并建立威胁情报分析模型；
根据威胁情报分析模型对获取的实时威胁情报数据进行自主化检测分析，并将分
析结果进行展示。

[0024] 在本申请的一种具体实施例中，威胁情报分析模型是通过以下方法建立的,包括：将多个数据类型定义为图谱模型的顶点，将多个历史待分析威胁情报数据之间的
关联关系定义为图谱模型的边线，根据多个数据关联指向建立基于历史待分析威胁情报数据的威胁情报分析模型。

[0025] 在本申请的一种具体实施例中，获取多个数据类型之间的多个数据关系，包括：获取与多个数据类型所对应的多个数据关系集合；其中，数据关系集合包括数据
自相关关系子集合和数据互相关关系子集合；
对多个数据互相关关系子集合中的数据关系进行去重，并得到去重结果；
将去重结果和数据自相关关系子集合进行组合，并得到多个数据类型之间的多个
数据关系。

[0026] 在本申请的一种具体实施例中，获取多个数据类型之间的多个数据关系后，还包括：清洗若干历史待分析威胁情报数据，并将不同数据源格式的同一历史待分析威胁
情报数据进行聚合处理；其中，多个数据关系包括：Attack、Alias、Bind、Register、Created at、Use、Contain中的至少一种。

[0027] 在本申请的一种具体实施例中，根据威胁情报分析模型对获取的实时威胁情报数据进行自主化检测分析并将分析结果进行展示，包括：获取实时威胁情报数据；
根据威胁情报分析模型对实时威胁情报数据进行数据构建，并得到json数据；
将json数据推送到分布式文件系统，并通过分布式文件系统对json数据进行数据
处理，得到图数据库。

[0028] 在本申请的一种具体实施例中，若干历史待分析威胁情报数据是通过以下方法获取的，包括：实时获取主机的流量信息；
利用蚁群算法信息素计算主机的流量信息的目标信息素；
当目标信息素达到预设阈值时，将待检测主机的流量信息确定为威胁情报数据，
并将若干威胁情报数据作为历史待分析威胁情报数据存储至历史数据库中，历史数据库中包括若干历史待分析威胁情报数据。

[0029] 在本申请的一种具体实施例中，预设阈值是通过以下方法确定的，包括：获取第一训练样本和第二训练样本；其中，第一训练样本包括若干用于表征确定
为非威胁情报的流量信息样本，第二训练样本包括若干用于表征确定为威胁情报的流量信息样本；
基于第一训练样本确定第一信息素矩阵；
基于第二训练样本确定第二信息素矩阵；
基于第一信息素矩阵和第二信息素矩阵中的信息素确定预设阈值。

[0030] 在本申请的一种具体实施例中，根据威胁情报分析模型对获取的实时威胁情报数据进行自主化检测分析并将分析结果进行展示，还包括：根据威胁情报查询信息在图数据库中查找与查询信息相匹配的查询数据结果；
将查询数据结果进行自主化检测分析，得到分析结果； 对分析结果进行可视化展
示。

[0031] 在本申请的一种具体实施例中，根据威胁情报分析模型对获取的实时威胁情报数据进行自主化检测分析并将分析结果进行展示，还包括：将实时威胁情报数据作为节点，通过威胁情报分析模型从某个节点溯源已得到相
关威胁信息的分析结果，并以图关联的方式进行展示。

[0032] 在本申请的一种具体实施例中，json数据包括IP和Domain。

[0033] 综上所述，本发明通过获取历史待分析威胁情报数据的多个数据类型以及获取多个数据类型之间的多个数据关系，并确定与多个数据关系之间对应的多个数据关联指向以建立威胁情报分析模型，通过威胁情报分析模型进行自主化检测分析，并结合数据去重操作，降低了大量繁杂重复的数据对分析效率的影响。本发明提高了威胁情报数据检测分析的结果，根据数据分析模型对实时化的威胁情报数据进行分析，改变了传统的人力检测方式，降低了人力分析消耗时间的过程，提高了对数据分析的响应速度。

[0034] 以上所述仅为本发明的一个实施例子，但不能以此限制本发明的范围，凡依据本发明所做的结构上的变化，只要不失本发明的要义所在，都应视为落入本发明保护范围之内受到制约。

[0035] 所属技术领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程及有关说明，可以参考前述方法实施例中的对应过程，在此不再赘述。

[0036] 需要说明的是，上述实施例提供的系统，仅以上述各功能模块的划分进行举例说明，在实际应用中，可以根据需要而将上述功能分配由不同的功能模块来完成，即将本发明实施例中的模块或者步骤再分解或者组合，例如，上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块，以完成以上描述的全部或者部分功能。对于本发明实施例中涉及的模块、步骤的名称，仅仅是为了区分各个模块或者步骤，不视为对本发明的不当限定。

[0037] 本领域技术人员应该能够意识到，结合本文中所公开的实施例描述的各示例的模块、方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，软件模块、方法步骤对应的程序可以置于随机存储器（RAM）、内存、只读存储器（ROM）、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD‑ROM、或技术领域内所公知的任意其它形式的存储介质中。为了清楚地说明电子硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

[0038] 术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素，而且还包括没有明确列出的其它要素，或者还包括这些过程、方法、物品或者设备/装置所固有的要素。

[0039] 至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术特征作出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

[0040] 以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。