[0001] 本发明涉及网络安全技术领域，具体涉及一种威胁情报关联分发方法及装置。另外，还涉及一种电子设备及处理器可读存储介质。

[0002] 近年来，随着网络信息化的高速发展，网络中承担了越来越多核心业务和网络应用，这些网络信息技术为我们的工作生活带来了极大便利，同时对各行业网络信息和数据的依赖程度也越来越高。网络安全建设中威胁情报作为核心发展领域，开始呈现出产品业务日趋融合、分层发展加速显现以及重视程度不断提升的趋势。各行业、企业开始逐步建设基于威胁情报进行威胁发现、威胁检测的能力，不同行业客户对于威胁情报的属性有着不同的需求，然而，现有的威胁情报关联分发方案存在信息孤岛等问题，导致实际分发精度和效率较低。因此，针对不同行业、不同规模企业，如何提供能够有效满足其需要的威胁情报服务成为亟待解决的问题。

[0059] 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获取的所有其他实施例，都属于本发明保护的范围。

[0060] 需要说明的是，本申请的说明书和上述附图中的术语“第一”、“第二”等是用于区别类似的用户，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

[0061] 目前，各行业、企业开始逐步建设基于威胁情报数据进行威胁发现、威胁检测的能力，不同行业客户对于威胁情报数据的情报属性有着不同的需求，比如：面向城域网等大流量、大规模网络场景，运营商会进行僵木蠕检测、挖矿类检测；互联网行业客户侧重于钓鱼欺诈与窃密木马；有的行业类客户侧重于在APT活动、远控木马的监测和及时阻断；有的行业类客户在某些场景下需要关联IP画像数据来提供更全面的IP信息或者关联家族团伙信息。随着业务发展，在不同工作区域的情报应用上对威胁情报属性的应用也逐渐产生了一些新的需求，比如：在办公区域重点关注勒索软件、窃密木马；在重点业务重点关注APT活动、远控木马。面对不同的攻击者群体、不同攻击技术以及不同企业类型在情报需求上具有一定的差异性。基于此背景，威胁情报数据需要具备强的情报属性关联，并且具备能够下沉到威胁情报消费设备，比如防火墙、网关等关键设备。但网络安全检测设备因不同厂家、不同功能、不同硬件等因素，大部分能分配给威胁情报模块的资源占比并不高，受制于资源限制只能接收高精准且热度高的通用网络威胁情报；或者自身无情报能力，只能通过调用外部API的方式查询情报。因此，针对不同行业、不同规模企业，威胁情报服务需要按照需求进行，比如特定情报定向分发；针对不同地细分领域与行业，威胁情报服务依照不同应用场景进一步细划，进行多种维度的划分，包括不限于通用网络威胁情报、行业网络威胁情报、分类威胁情报等。同时提供情报属性的标签的威胁情报数据由于相关性更高，可以让订阅者将注意力集中在优先级更高的安全事务上。尤其是，随着网络安全威胁情报行业地发展，网络威胁情报供需双方，尤其供方需要变更视角，站在需方应用场景的角度来思考。在应用场景中选择适用的网络威胁情报，不断提供网络威胁情报的相关性。网络威胁情报的相关性代表着定制化情报集合，包括来自基础情报的筛选子集和定向集合。本发明通过在威胁情报运营时加入情报属性的环节，最终提供各类情报属性的订阅，可以增强网络威胁情报的相关性，有助于提升安全运营中的效率，增强客户本地安全运营的时效性和机动性，使威胁情报价值最大化，降低情报分发成本和改善信息孤岛问题，进而提高客户端的威胁检测与应急响应能力。

[0062] 下面基于本发明所述的威胁情报关联分发方法，对其实施例进行详细描述。如图1所示，为本发明实施例提供的威胁情报关联分发方法的流程示意图，具体过程包括以下步骤：

[0063] 步骤101：响应于客户端发送的情报查询请求，获取所述情报查询请求中威胁情报的目标情报属性信息。

[0064] 在本发明实施例中，响应于客户端发送的情报查询请求，获取所述情报查询请求中威胁情报的目标情报属性信息。具体的，所述目标情报属性信息可包括用户选择的多个不同类型的情报属性信息以及各个情报属性信息下包含的多个类型。所述不同类型的情报属性信息为不同维度的信息，包括影响行业、数据画像、专项运营情报、恶意类型等中的至少一种。所述类型为不同类型的情报属性下的子属性。例如：若目标情报属性信息包括影响行业，则所述目标情报属性信息下的多个类型可包括下的工业互联网、教育、金融等中的至少一种，在此不做具体限定；若目标情报属性信息包括数据画像，所述目标情报属性信息下的多个类型可包括下的IP画像、攻击者画像等中的至少一种，在此不做具体限定；若目标情报属性信息包括专项运营情报，所述目标情报属性信息下的多个类型可包括下的攻防演练、重保情报等中的至少一种，在此不做具体限定；若目标情报属性信息包括恶意类型，所述目标情报属性信息下的多个类型可包括下的矿病毒、远控木马、流氓推广、窃密木马等中的至少一种，在此不做具体限定。与不同类型的情报属性信息对应，定向威胁情报库包括但不限于影响行业情报库、数据画像情报库、专项运营情报库、恶意类型情报库。

[0065] 需要说明的是，响应于客户端发送的情报查询请求之前，在检测到攻击事件的情况下，可基于预设的不同类别的情报属性信息预先对所述攻击事件中相关联的多种威胁情报数据进行分类处理，以构建不同类别的情报属性信息分别对应的定向威胁情报库。具体的，可基于预设的不同类别的情报属性信息对所述多种威胁情报数据进行分类，获得定向威胁情报数据集合；将所述定向威胁情报数据集合按照不同的分类进行标注，获得标注信息，基于标注信息确定与不同类别的情报属性信息关联的定向威胁情报数据；将所述定向威胁情报数据按照不同类别的情报属性信息存储至对应的情报库，进而构建不同类别的情报属性信息分别对应的定向威胁情报库。所述标注信息用于作为所述不同类别的定向威胁情报数据集合的索引。所述定向威胁情报库中存储有与不同类别的情报属性信息关联的定向威胁情报数据。也就是，通过情报属性对威胁情报数据进行关联，将威胁情报数据按照不同维度划分为与相应情报属性关联的定向威胁情报数据。通过预设的不同类别的情报属性信息对多种威胁情报数据进行分类处理，确定与不同类别的情报属性信息关联的定向威胁情报数据集合，然后基于所述标注信息将所述定向威胁情报数据集合按照不同类别的情报属性信息对应存储至相应的情报库，得到相应的定向威胁情报库。其中，所述情报属性信息为不同维度的信息。

[0066] 进一步的，在处理过程中，还需要对威胁情报数据根据不同情报属性进行划分和运营，以便后续制定针对各情报属性的情报分发策略。其中，不同类型的情报属性信息包括不限于影响行业、恶意类型、数据画像、专项运营情报等情报属性信息。比如可定义影响行业为M、恶意类型为N等，可实现对情报属性信息进行定向定量的表达。例如，在威胁情报数据划分的维度上，可按攻击方和防守方的视角定义2个策略集，包括：当捕获或检测到一起攻击事件发生时，会围绕攻击方做出包括不限于以下几个维度的分析与标注：攻击者身份：对攻击或恶意活动溯源或归因到相应的组织(网络犯罪团体、黑客等)；攻击目的：攻击或恶意活动旨在达成何种目的；具体实现方式：即TTP(Tactics战术、Techniques技术与Procedures程序)，包含了攻击者所用的工具、基础设施等；攻击者位置：攻击者所在的地区状况；技术指标：包含IOA、IOC的技术指标信息(比如IOA对应的攻击行为、IOC对应的恶意家族、恶意类型)，用于更准确地检测和标记恶意行为；攻击范围与方向：产生的攻击范围，是否是具有针对性的定向攻击；缓解方式：综合分析后给出的防范及处置建议。围绕防守方做出包括不限于以下几个维度的分析：防守方身份：防守方所属的行业类型；防守方位置：防守方所在的地区状况；受影响范围：遭受攻击后产生的影响(如数据泄漏、勒索等)，有助于对攻击方的攻击行为判定恶意类型；失陷路径：在遭受攻击的过程中，攻击者在何种阶段通过何种方式逐步拿下信标，为防守方提供失陷路径，有利于防守方找出薄弱点。

[0067] 基于以上的分析和标注方法，对多种威胁情报数据进行标注及运营，可以生产出包括不限于影响行业、数据画像、专项运营情报、恶意类型等定向威胁情报库，具体的：影响行业维度的类型包括不限于互联网、工业互联网、教育、金融、区块链、贸易、制造、建筑、交通运输、能源、医疗、运营商、科学研究和技术服务等；数据画像维度的类型包括不限于IP画像、家族团伙画像、攻击者画像；专项运营情报维度的类型包括不限于攻防演练；恶意类型维度的类型包括不限于恶意类型枚举：APT活动(失陷检测英文KNOWN APT，需要后端进行转换)、恶意下载、挖矿病毒、远控木马、流氓推广、窃密木马、感染型病毒、网络蠕虫、勒索软件、僵尸网络等。比如某威胁情报中心披露的信息中提到的威胁情报数据hoaquincloud[.]com，其影响行业为贸易，恶意类型为APT活动，为定向攻击，同时将信息录入到家族团伙画像、攻击者画像。

[0068] 步骤102：根据所述目标情报属性信息匹配相应的目标定向威胁情报库。定向威胁情报库与情报属性信息之间存在预设对应关系，所述定向威胁情报库中包含与相应情报属性信息关联的定向威胁情报数据。

[0069] 在本发明实施例中，可基于所述目标情报属性信息、定向威胁情报库与情报属性信息之间存在预设对应关系进行匹配，确定与所述目标情报属性信息匹配的目标定向威胁情报库。

[0070] 与不同类型的情报属性信息对应，所述定向威胁情报库可包括但不限于影响行业情报库、数据画像情报库、专项运营情报库、恶意类型情报库中的至少一种。所述定向威胁情报库中包含与相应情报属性信息关联的定向威胁情报数据，比如影响行业威胁情报数据、数据画像威胁情报数据、专项运营威胁情报数据、恶意类型威胁情报数据。所述定向威胁情报库包括所述目标定向威胁情报库。

[0071] 所述情报属性信息为不同维度的信息，且所述情报属性信息包含所述目标情报属性信息，所述目标情报属性信息可以理解为用户选择的目标维度的信息。该目标情报属性信息可包括用户选择的多个不同类型的情报属性信息以及各个情报属性信息下包含的多个类型，在此不再重复赘述。

[0072] 步骤103：将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。

[0073] 在本发明实施例中，可基于所述目标情报属性信息和预设的对应关系进行匹配，得到相应的情报分发策略。其中，所述对应关系为情报属性信息与情报分发策略之间的对应关系。所述情报分发策略包含不同类别的情报属性信息对应的定向威胁情报数据的分发比例。具体的，可基于所述情报分发策略确定所述定向威胁情报库的定向威胁情报数据的分发比例，即确定所述情报分发策略中包含的不同类别的情报属性信息对应的定向威胁情报数据的分发比例，基于所述分发比例，将所述定向威胁情报库的定向威胁情报数据按照所述分发比例发送至所述客户端。所述分发比例用于确定不同类别的定向威胁情报数据之间的发送比例。所述情报分发策略包含目标情报分发策略。

[0074] 在本发明实际实施过程中，定向情报SDK(Software Development Kit)服务设备可根据不同的情报分发策略进行定向威胁情报数据的推送。例如影响行业的威胁情报数据需要考虑行业关联性：可按高、中、低划分关联强度，比如只针对某个行业，行业关联性为高；针对多个行业，则行业关联性为中；无差别的攻击，则行业关联性为低。假设客户端(比如威胁情报消费设备)分配给定向情报SDK服务设备的内存大小为S＝200M(单位M)，假设1条威胁情报100字节，那么定向威胁情报数据的条数为T＝(200*1024*1024)/100＝2097152条。需要说明的是，所占内存大小可以根据威胁情报消费设备的资源情况自行设置，例如还可分配为400M、500M、800M、1000M，在此不做具体限定，只需要更换变量S。假设从4个情报划分维度(即影响行业、数据画像、专项运营情报、恶意类型)去筛选多种威胁情报数据，所述情报分发策略可为每个情报划分维度下发定向威胁情报数据占比均分，计算公式为:P＝T*(N/4)，其中N表示选择的各个目标情报属性；然后4个定向威胁情报数据再进行数据细分挑选，例如：(1)影响行业:用户选择1个行业那么这个行业数据就是100％，如果选择的是1个行业N个类型则每个行业可选威胁情报数据的数据量为P/N：P1＝P/∑1n；(2)数据画像:用户选择1个数据画像那么这个数据画像推送数据就是100％，如果是N个类型的数据画像则每个数据画像可推送数据量为P/N：P2＝P/∑1n；(3)专项运营情报:用户选择1个专项运营情报那么这个专项运营情报数据就是100％，如果是N个类型的专项运营情报则每个专项运营情报可选数据量为P/N：P3＝P/∑1n；(4)恶意类型:用户选择1个恶意类型那么这个恶意类型数据就是100％，如果是N个恶意类型则每个恶意类型可选数据量为P/N：P4＝P/∑1n。根据上述算法描述可以得到4种目标情报属性分类的计算公式为：(P1+P2+P3+P4)*P＝T。其中，n表示不同情报划分维度中各个类型的数据。所述情报划分维度与所述目标情报属性之间存在对应关系，即一个情报划分维度对应一个目标情报属性。

[0075] 根据以上算法可得每个推送情报划分维度的每个类型的数据占比公式：其中，1的含义是每个情报划
分维度下发数据量的和与数据总量相比应该为1。精简后：K＝{(P1+P2+P3+P4)*P/T＝1}；可通过以上公式推导出任意目标情报属性组合的下发的各类定向威胁情报数据的数据量。

[0076] 例如：情报分发策略包括：(1)如果用户选择4种情报划分维度，同时每个情报划分维度都选择2个类型(例如教育、金融；IP画像、攻击者画像；APT活动、恶意下载；攻防演练等)做下发数据，那么通过公式就可以算出不同情报划分维度下每个情报属性的下发数量：

[0077] K＝2097152*(1/4)*(4/(2+2+2+2))＝2097152*0.25*0.25＝131072条。

[0078] (2)如果用户选择3种情报划分维度，同时每个情报划分维度都选择2个类型做下发数据，那么通过公式就可以算出不同情报划分维度下每个情报属性类型的下发数量为：

[0079] K＝2097152*(1/3)*(3/(2+2+2))＝2097152*0.33*0.5＝349524条。

[0080] (3)如果用户选择2种情报划分维度，同时每个情报划分维度都选择4个类型做下发数据，那么通过公式就可以算出不同情报划分维度下每个情报属性类型的下发数量为：

[0081] K＝2097152*(1/2)*(2/(4+4))＝2097152*0.5*0.25＝262144条。

[0082] 另外，每个情报划分维度的比例也可自行设置，只要满足下发数据每个情报划分维度的和设置的内存大小换算出来的下发总条数相等即可。例如：如果用户选择2种情报划分维度，同时每个情报划分维度都选择4个类型做下发威胁情报数据，其中每个情报划分维度下的每个情报属性类型占比均为50％，30％，15％，5％，假设这些占比的数量为K 50，K 30，K 15，K 5，那么通过公式就可算出不同情报划分维度下每个类型的下发威胁情报数据的数据量为：

[0083] K 50＝2097152*(1/2)*0.5)＝2097152*0.5*0.5＝524288条；

[0084] K 30＝2097152*(1/2)*0.3)＝2097152*0.5*0.3＝314572条；

[0085] K 15＝2097152*(1/2)*0.15)＝2097152*0.5*0.15＝157286条；

[0086] K 5＝2097152*(1/2)*0.05)＝2097152*0.5*0.05＝52428条。

[0087] 其中，所述的类型即步骤101中所述的不同情报属性对应的类型。

[0088] 除此之外，本发明还可基于不同分类在置信度、风险等级、活跃程度的基础上，结合定向情报SDK(Software Development Kit)服务设备可根据不同的情报分发策略进行目标定向威胁情报库中的定向威胁情报数据推送。

[0089] 本发明在威胁情报运营过程中，可根据实际需要对威胁情报数据进行不同情报属性的划分和运营并制定各属性的情报分发策略、此处不同情报属性包括不限于影响行业、恶意类型、数据画像、专项运营情报等目标情报属性。在情报划分的维度上，可按攻击方和防守方的视角进行情报维度划分。在情报分发策略上，可基于不同分类在置信度、风险等级、活跃程度的基础上，同时考虑不同的情报分发策略。

[0090] 在基于所述威胁情报数据确定包含与不同类别的情报属性信息关联的目标定向威胁情报库之后，在所述客户端在隔离网环境中，且所述客户端已经部署了本地威胁情报系统的情况下，基于所述本地威胁情报系统检测到的当前实际威胁情报数据对所述定向威胁情报库的定向威胁情报数据进行更新处理；其中，所述本地威胁情报系统为预先设置到所述客户端中能够检测并记录威胁情报数据的程序系统(即本地服务器安装的本地威胁情报产品)。

[0091] 除此之外，还可获取基于预设格式自定义的白名单信息及其自定义的多种威胁情报数据。其中，所述白名单信息包含自定义的多种威胁情报数据，用于对所述威胁情报数据进行过滤处理；自定义的威胁情报数据用于写入所述目标定向威胁情报库中以实现对所述目标定向威胁情报库中定向威胁情报数据的更新；基于所述白名单信息及其自定义的多种威胁情报数据，对所述目标定向威胁情报库进行处理，获得处理后的目标定向威胁情报库。

[0092] 如图2所示，在本发明具体实施过程中，利用目标定向威胁情报库生产工具加载情报生产策略，可以二进制格式存储数据，无需在集成设备上安装数据库服务，对于需要集成定向情报SDK服务设备不会产生服务冲突、数据库版本冲突等影响，仅占用集成设备内存，内存占用取决于客户订阅种类数量和集成设备硬件配置。实现威胁情报检测引擎SDK包括两种模式：在选择函数模式或者API模式启动后，定向情报SDK服务设备会加载情报授权密钥文件、定向威胁情报库进行校验认证，在认证通过后即可提供数据查询服务。

[0093] 另外，本发明实施例包含多种分发方式实现定向威胁情报库中定向威胁情报数据的更新，具体的：(1)对于可访问互联网的场景，定向情报SDK服务工具可加载情报授权密钥文件与云端情报中心通过授权认证通过后，进行版本对比，如存在版本更新，即可下载云端情报中心更新的定向威胁情报库，并进行热加载流程完成定向威胁情报库升级，具体如图3所示。(2)对于隔离网环境下且所述隔离网内已经部署了本地威胁情报程序(如本地威胁情报平台TIP、威胁情报运营系统TIOS、及使用威胁情报的网元设备)且具备情报SDK认证许可的条件下，通过情报订阅管理模块管理定向情报SDK服务工具的接入，由本地威胁情报程序(即本地威胁情报产品)负责目标定向威胁情报库中定向威胁情报数据的分发。首先需要在云端情报中心获取带有定向情报SDK服务工具授权的本地威胁情报产品，以实现导入到本地威胁情报产品中，即可启用情报订阅管理模块，通过情报订阅管理模块可利用定向威胁情报库生产工具基于本地威胁情报产品的数据和规则制作可分发的目标定向威胁情报库。基于情报订阅管理模块能够实现情报SDK服务工具的接入授权，授权选项与云端情报中心获取情报授权密钥证书的选项相同，但定向情报SDK服务工具的升级地址为本地威胁情报产品地址，不会触发在线更新请求。除此之外，为了满足安全运营响应的需要，定向情报SDK服务工具支持一定量级内固定格式的白名单信息、自定义情报配置且永久生效，写入后重启SDK即可生效。具体的，如图6所示，本发明可获取用户在本地威胁情报产品中添加的白名单信息、自定义的威胁情报数据，定向情报SDK服务工具每次在制作可分发的目标定向威胁情报库时，会根据白名单信息进行威胁情报数据过滤，自定义的威胁情报数据则会写入定向威胁情报库中，实现情报共享联防。情报数据分发处理流程具体如图4所示。(3)对于隔离网环境且客户未部署本地威胁情报产品的情况。如图5所示，该种情况在云端情报中心签发情报授权密钥文件时，授权升级渠道固定为云端离线升级站点。通过云端情报中心签发的情报授权密钥文件导入进云端的离线升级站点，通过鉴权后可下载定向威胁情报库(即加密情报库)，放置在定向情报SDK服务工具加载数据的指定位置。对于离线升级渠道，定向情报SDK服务工具不会触发在线更新请求。

[0094] 在一个具体实施例中，可包含以下几个部分：云端签发授权、定向情报生产平台、定向情报SDK服务工具。客户端在云端情报中心选择需要订阅的情报属性，获取情报授权密钥文件用于定向情报SDK认证。定向情报生产平台负责根据设定的策略生产定向情报包，定向情报SDK服务工具服务则负责提供加密情报库更新及高速查询的能力。为了满足不同场景的需要，定向情报SDK服务工具可以通过以下几种升级渠道获取加密情报库：云端在线升级：支持直连云端在线升级站点获取加密情报库；隔离网环境下：支持与本地威胁情报产品(如本地威胁情报平台TIP、威胁情报运营系统TIOS)的关联，基于本地威胁情报产品(如本地威胁情报平台TIP、威胁情报运营系统TIOS)获取加密情报库；获取离线升级包：通过人工在云端离线站点下载加密情报库，拷贝到指定设备上。也就是，本发明威胁情报关联分发方法支持以下场景的定向情报数据分发：(1)客户根据实际需要在云端情报中心管理定向情报SDK接入，选择订阅不同属性地情报，此处不同属性包括不限于行业属性、恶意类型、数据画像、漏洞情报、专项运营情报等属性，授权点位数量、授权点位订阅类型、升级渠道等，获取情报授权密钥文件。(2)对于可访问互联网的场景，可以选择云端在线升级的渠道，定向情报SDK加载情报授权密钥文件与云端情报中心通过认证后，即可定时获取加密情报库。(3)对于隔离网环境且客户在隔离网内已经部署了本地威胁情报产品(如本地威胁情报平台TIP、威胁情报运营系统TIOS)且具备定向情报SDK认证许可的条件下，可以通过本地威胁情报产品上的定向情报分发模块管理定向情报SDK接入，由本地威胁情报产品负责加密情报库的制作、分发。(4)对于隔离网环境且客户未部署本地威胁情报产品(如本地威胁情报平台TIP、威胁情报运营系统TIOS)的情况，可以通过云端签发的情报授权密钥文件在离线升级站点人工下载加密情报库，放置指定位置后，启动定向情报SDK服务工具时自动加载。
(5)定向情报SDK服务工具可选函数、API模式进行高速查询情报，且定向情报SDK服务资源占用率低。(6)定向情报SDK服务工具支持通过指定方式加载客户自定义的白名单、情报，满足安全运营的需要。

[0095] 本发明实施例所述的威胁情报关联分发方法，通过响应于客户端发送的情报查询请求，来获取所述情报查询请求中威胁情报的目标情报属性信息，并根据所述目标情报属性信息匹配相应的目标定向威胁情报库，进而将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。该方法能够有效提升威胁情报数据关联分发效率，从而提高了威胁情报数据检测的准确度与应急响应能力。

[0096] 与上述提供的一种威胁情报关联分发方法相对应，本发明还提供一种威胁情报关联分发装置。由于该装置的实施例相似于上述方法实施例，所以描述得比较简单，相关之处请参见上述方法实施例部分的说明即可，下面描述的威胁情报关联分发装置的实施例仅是示意性的。请参考图7所示，其为本发明实施例提供的一种威胁情报关联分发装置的结构示意图。

[0097] 本发明所述的威胁情报关联分发装置，具体包括如下部分：

[0098] 情报属性获取单元701，用于响应于客户端发送的情报查询请求，获取所述情报查询请求中威胁情报的目标情报属性信息

[0099] 定向威胁情报库匹配单元702，用于根据所述目标情报属性信息匹配相应的目标定向威胁情报库；其中，定向威胁情报库与情报属性信息之间存在预设对应关系；所述定向威胁情报库中包含与相应情报属性信息关联的定向威胁情报数据；

[0100] 定向威胁情报数据分发单元703，用于将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。

[0101] 进一步的，所述定向威胁情报数据分发单元，具体用于：

[0102] 基于预设的目标情报分发策略，将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。

[0103] 进一步的，所述定向威胁情报数据具有多个类别，且每一目标定向威胁情报库中存储一类相应类别的定向威胁情报数据，所述目标情报分发策略用于确定各类定向威胁情报数据的分发比例；

[0104] 所述基于预设的目标情报分发策略，将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端，具体包括：

[0105] 基于所述目标情报分发策略，确定所述目标定向威胁情报库的定向威胁情报数据的分发比例；其中，所述分发比例用于确定不同类别的定向威胁情报数据之间的发送比例；

[0106] 基于所述分发比例，将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。

[0107] 进一步的，在根据所述目标情报属性信息匹配相应的目标定向威胁情报库之后，还包括：

[0108] 威胁情报库更新单元，用于在所述客户端在隔离网环境中，且所述客户端已经部署了本地威胁情报系统的情况下，基于所述本地威胁情报系统检测到的当前实际威胁情报数据对所述定向威胁情报库的定向威胁情报数据进行更新处理；其中，所述本地威胁情报系统为预先设置到所述客户端中能够检测并记录威胁情报数据的程序系统。

[0109] 进一步的，在响应于客户端发送的情报查询请求之前，还包括：

[0110] 定向威胁情报库构建单元，用于在检测到攻击事件的情况下，获取所述攻击事件相关联的多种威胁情报数据；基于预设的不同类别的情报属性信息，对所述多种威胁情报数据进行处理，获得与不同类别的情报属性信息分别对应的定向威胁情报库；其中，所述不同类别的情报属性信息为不同维度的信息。

[0111] 进一步的，基于预设的不同类别的情报属性信息，对所述攻击事件中相关联的多种威胁情报数据进行处理，获得不同类别的情报属性信息分别对应的定向威胁情报库，具体包括：

[0112] 基于预设的不同类别的情报属性信息对所述多种威胁情报数据进行分类，获得不同类别的定向威胁情报数据集合；

[0113] 将所述不同类别的定向威胁情报数据集合按照相应的分类进行标注，获得标注信息；其中，所述标注信息用于作为所述不同类别的定向威胁情报数据集合的索引；

[0114] 基于所述标注信息，将所述不同类别的定向威胁情报数据集合按照不同类别的情报属性信息存储至对应的情报库，以获得相应的定向威胁情报库。

[0115] 进一步的，在将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端之前，还包括：

[0116] 白名单信息获取单元，用于获取基于预设格式自定义的白名单信息；其中，所述白名单信息包含自定义的多种威胁情报数据；

[0117] 威胁情报数据过滤单元，用于基于所述白名单信息对所述目标定向威胁情报库中的原始定向威胁情报数据进行过滤处理，获得所述目标定向威胁情报库的定向威胁情报数据。

[0118] 本发明实施例所述的威胁情报关联分发装置，通过响应于客户端发送的情报查询请求，来获取所述情报查询请求中威胁情报的目标情报属性信息，并根据所述目标情报属性信息匹配相应的目标定向威胁情报库，进而将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。该方法能够有效提升威胁情报数据关联分发效率，从而提高了威胁情报数据检测的准确度与应急响应能力。

[0119] 与上述提供的威胁情报关联分发方法相对应，本发明还提供一种电子设备。由于该电子设备的实施例相似于上述方法实施例，所以描述得比较简单，相关之处请参见上述方法实施例部分的说明即可，下面描述的电子设备仅是示意性的。如图8所示，其为本发明实施例公开的一种电子设备的实体结构示意图。该电子设备可以包括：处理器(processor)801、存储器(memory)802和通信总线803，其中，处理器801，存储器802通过通信总线803完成相互间的通信，通过通信接口804与外部进行通信。处理器801可以调用存储器802中的逻辑指令，以执行威胁情报关联分发方法，该方法包括：响应于客户端发送的情报查询请求，获取所述情报查询请求中威胁情报的目标情报属性信息；根据所述目标情报属性信息匹配相应的目标定向威胁情报库；其中，定向威胁情报库与情报属性信息之间存在预设对应关系；所述定向威胁情报库中包含与相应情报属性信息关联的定向威胁情报数据；将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。

[0120] 此外，上述的存储器802中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：存储芯片、U盘、移动硬盘、只读存储器(ROM，Read‑Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

[0121] 另一方面，本发明实施例还提供一种计算机程序产品，所述计算机程序产品包括存储在处理器可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的威胁情报关联分发方法。该方法包括：响应于客户端发送的情报查询请求，获取所述情报查询请求中威胁情报的目标情报属性信息；根据所述目标情报属性信息匹配相应的目标定向威胁情报库；其中，定向威胁情报库与情报属性信息之间存在预设对应关系；所述定向威胁情报库中包含与相应情报属性信息关联的定向威胁情报数据；将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。

[0122] 又一方面，本发明实施例还提供一种处理器可读存储介质，所述处理器可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的威胁情报关联分发方法。该方法包括：响应于客户端发送的情报查询请求，获取所述情报查询请求中威胁情报的目标情报属性信息；根据所述目标情报属性信息匹配相应的目标定向威胁情报库；其中，定向威胁情报库与情报属性信息之间存在预设对应关系；所述定向威胁情报库中包含与相应情报属性信息关联的定向威胁情报数据；将所述目标定向威胁情报库的定向威胁情报数据发送至所述客户端。

[0123] 所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

[0124] 以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

[0125] 通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

[0126] 最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。