(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111503503.7 (22)申请日 2021.12.10 (71)申请人 北京知道创宇信息技 术股份有限公 司 地址 100000 北京市朝阳区阜通 东大街1号 院5号楼1单 元311501室 (72)发明人 王开心　代皓　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 戴尧罡 (51)Int.Cl. G06F 21/55(2013.01) H04L 9/40(2022.01) (54)发明名称 威胁信息采集方法、 装置、 服务器及计算机 可读存储介质 (57)摘要 本发明实施例提出一种威胁信息采集方法、 装置、 服务器及计算机可读存储介质， 属于网络 安全技术领域， 方法包括： 将多个威胁信息进行 汇集， 得到至少一个测绘数据集， 一个测绘数据 集中的所有威胁信息属于同一类型， 对每个威胁 信息进行特征分割， 得到每个测绘数据集所对应 的多个测绘特征， 从而计算出每个测绘特征在所 对应的测绘数据集中出现的频率， 并根据频率从 每个测绘数据集对应的多个测绘特征中确定出 共性测绘特征， 进而对网络上的信息载体进行匹 配， 将具有共性测绘特征的信息载体作为第一威 胁载体， 以得到新威胁信息， 实现主动获取还未 被获知的威胁信息， 从而有助于将持续性威胁攻 击阻止在萌芽 状态。 权利要求书2页 说明书9页 附图4页 CN 114297633 A 2022.04.08 CN 114297633 A 1.一种威胁信息采集方法， 其特 征在于， 所述方法包括： 将多个威胁信 息进行汇集， 得到至少一个测绘数据集， 其中， 一个所述测绘数据集中的 所有威胁信息属于同一类型； 对每个所述威胁信息进行特征分割， 得到每个所述测绘数据集所对应的多个测绘特 征； 计算出每个所述测绘特征在所对应的测绘数据集中出现的频率， 并根据 所述频率从每 个测绘数据集对应的多个测绘特 征中确定出共性测绘特 征； 根据所述共性测绘特征， 对网络上的信息载体进行匹配， 将具有所述共性测绘特征的 所述信息载体作为第一 威胁载体， 以得到新 威胁信息 。 2.根据权利要求1所述的威胁信 息采集方法， 其特征在于， 所述新威胁信 息包括第 一威 胁载体和第二威胁载体， 在所述捕获具有所述共性测绘特征 的第一威胁载体的步骤之后， 所述方法还 包括： 获取与所述第一 威胁载体关联的第二 威胁载体。 3.根据权利要求2所述的威胁信 息采集方法， 其特征在于， 所述第 一威胁载体包括第 一 IP， 所述获取与所述第一 威胁载体关联的第二 威胁载体的步骤， 包括： 查询所述第一IP的历史DNS解析记录， 得到多个域名， 捕获每个所述域名对应的第二 IP， 得到第二 威胁载体， 所述第二 威胁载体包括第二 IP。 4.根据权利要求1所述的威胁信 息采集方法， 其特征在于， 所述计算出每个所述测绘特 征在所对应的测绘数据集中出现的频率的步骤， 包括： 针对所述测绘数据集所对应的每个测绘特征， 统计出该测绘数据集中包含该测绘特征 的威胁信息的个数； 计算出包括该测绘特征的威胁信 息在该测绘数据集中的比值， 将所述比值作为该测绘 特征的频率。 5.根据权利要求1或4所述的威胁信息采集方法， 其特征在于， 所述根据所述频率从每 个测绘数据集对应的多个测绘特 征中确定出共性测绘特 征的步骤， 包括： 从每个所述测绘数据集对应的多个所述测绘特征中， 选择所述频率大于预设阈值的测 绘特征作为共性测绘特 征。 6.根据权利要求1所述的威胁信 息采集方法， 其特征在于， 所述对每个所述威胁信 息进 行特征分割， 得到每 个所述测绘数据集所对应的多个测绘特 征的步骤， 包括： 针对每个所述测绘数据集中的每个威胁信息， 提取出该威胁信息的特征， 所述特征包 括HTTP状态行、 响应头和响应正文； 针对每个所述特 征， 采用该 特征所对应分割规则， 对该 特征进行分割， 得到测绘特 征。 7.根据权利要求6所述的威胁信息采集方法， 其特征在于， 所述特征为HTTP状态行或响 应头时， 所述分割规则为按行分割； 所述特征为响应正文时， 所述分割规则为按标题分割。 8.一种威胁信 息采集装置， 其特征在于， 所述威胁信 息采集装置与安全设备通信连接， 所述安全设备包括威胁信息平台， 所述威胁信息采集装置包括分割模块、 处理模块和主动 捕获模块； 所述分割模块， 用于获取所述威胁信息平台中存储的已披露的威胁信息， 将多个威胁权　利　要　求　书 1/2 页 2 CN 114297633 A 2信息进行汇集， 得到至少一个测绘数据集， 一个所述测绘数据集中的所有威胁信息属于同 一类型， 对每个所述威胁信息进行特征分割， 得到每个所述测绘数据集所对应的多个测绘 特征； 所述处理模块， 用于计算出每个所述测绘特征在所对应的测绘数据集中出现的频率， 并根据所述频率从每 个测绘数据集对应的多个测绘特 征中确定出共性测绘特 征； 所述主动捕 获模块， 用于根据 所述共性测绘特征， 对 网络上的信 息载体进行匹配， 将具 有所述共性测绘特征 的所述信息载体作为第一威胁载体， 以得到新威胁信息， 并将所述新 威胁信息发送至所述 安全设备。 9.一种服务器， 其特征在于， 包括处理器和存储器， 所述存储器存储有能够被所述处理 器执行的机器可执行指令， 所述处理器可执行所述机器可执行指令以实现如权利要求1 ‑7 中任一项所述的威胁信息采集方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1 ‑7中任一项所述的威胁信息采集方法。权　利　要　求　书 2/2 页 3 CN 114297633 A 3