(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111671703.3 (22)申请日 2021.12.31 (71)申请人 奇安信科技 集团股份有限公司 地址 100032 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 白敏　齐向东　吴云坤　汪列军　 王胜利　李敏　 (74)专利代理 机构 北京鼎佳达知识产权代理事 务所(普通 合伙) 11348 代理人 刘铁生　孟阿妮 (51)Int.Cl. G06F 21/56(2013.01) G06F 16/23(2019.01) G06F 16/2457(2019.01)G06K 9/62(2022.01) (54)发明名称 威胁情报内生方法及装置 (57)摘要 本申请公开一种威胁情报内生方法及 装置， 涉及网络安全技术领域。 本申请的方法包括： 接 收查询终端设备发送的待鉴定对象， 并对待鉴定 对象进行分析处理， 以获得待鉴定对象对应的元 数据； 根据待鉴定对象对应的元数据和威胁情报 库确定待鉴定对象对应的第一鉴定结果； 当待鉴 定对象对应的第一鉴定结果为威胁对象时， 将待 鉴定对象和待鉴定对象对应的元数据发送至威 胁情报运营平台； 当接收到威胁情报运营平台反 馈的、 待鉴定对象对应的内生威胁情报时， 将待 鉴定对象对应的内生威胁情报添加至威胁情报 库中。 权利要求书3页 说明书18页 附图2页 CN 114218578 A 2022.03.22 CN 114218578 A 1.一种威胁情 报内生方法， 其特 征在于， 所述方法应用于威胁鉴定平台， 包括： 接收查询 终端设备发送的待鉴定对象， 并对所述待鉴定对象进行分析处理， 以获得所 述待鉴定对象对应的元 数据； 根据所述待鉴定对象对应的元数据和威胁情报库确定所述待鉴定对象对应的第一鉴 定结果， 其中， 所述威胁情报库中包含原始威胁情报和历史内生威胁情报， 所述历史内生威 胁情报为根据历史鉴定对象确定的威胁情 报； 当所述待鉴定对象对应的第 一鉴定结果为威胁对象时， 将所述待鉴定对象和所述待鉴 定对象对应的元数据发送至威胁情报运营平台， 以便所述威胁情报运营平台将所述待鉴定 对象和所述待鉴定对象对应的元数据分配给目标终端设备， 由所述目标终端设备根据所述 待鉴定对象和所述待鉴定对象对应的元 数据对所述待鉴定对象进行威胁情 报运营处 理； 当接收到所述威胁情报运营平台反馈的、 所述待鉴定对象对应的内生威胁情报时， 将 所述待鉴定对象对应的内生 威胁情报添加至所述 威胁情报库中。 2.根据权利要求1所述的方法， 其特征在于， 所述待鉴定对象具体为文件对象； 在所述 根据所述待鉴定对 象对应的元数据和 威胁情报库确定所述待鉴定对 象对应的第一鉴定结 果之后， 所述方法还 包括： 对所述文件 对象进行静态分析处 理， 以获得 所述文件 对象对应的静态分析 结果； 对所述文件 对象进行动态分析处 理， 以获得 所述文件 对象对应的动态分析 结果； 根据所述静态分析 结果和所述动态分析 结果确定所述文件 对象对应的第二 鉴定结果； 当所述第一鉴定结果与所述第 二鉴定结果不同时， 将所述第 二鉴定结果确定为所述文 件对象对应的最终鉴定结果； 当所述第一鉴定结果与所述第 二鉴定结果相同时， 将所述第 一鉴定结果确定为所述文 件对象对应的最终鉴定结果。 3.根据权利要求2所述的方法， 其特 征在于， 所述方法还 包括： 当所述文件对象对应的最终鉴定结果为威胁对象时， 获取多个目标历史鉴定对象， 其 中， 所述目标历史鉴定对象是鉴定结果 为威胁对象的历史鉴定对象； 根据预置分类算法和多个预置家族团伙标签对所述文件对象和多个所述目标历史鉴 定对象进行分类处 理， 以获得分类结果； 根据预置聚类算法对所述文件对象和多个所述目标历史鉴定对象进行聚类处理， 以获 得聚类结果； 根据所述分类结果和所述聚类结果确定所述文件 对象对应的家族团伙标签； 根据所述文件 对象对应的静态分析 结果生成所述文件 对象对应的静态行为特 征标签； 根据所述文件 对象对应的动态分析 结果生成所述文件 对象对应的动态行为特 征标签； 根据目标威胁情报生成所述文件对象对应的威胁情报命中标签， 其中， 所述目标威胁 情报为所述 威胁情报库中与所述文件 对象对应的元 数据匹配成功的威胁情 报。 4.根据权利要求3所述的方法， 其特征在于， 所述当所述待鉴定对象对应的第 一鉴定结 果为威胁对象时， 将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营 平台， 包括： 将所述文件对象、 所述文件对象对应的元数据、 静态分析结果、 动态分析结果、 家族团 伙标签、 静态行为特征标签、 动态行为特征标签和威胁情报命中标签发送至所述威胁情报权　利　要　求　书 1/3 页 2 CN 114218578 A 2运营平台， 以便所述威胁情报运营平台将所述文件对象、 所述文件对象对应的元数据、 静态 分析结果、 动态分析结果、 家族团伙标签、 静态行为特征标签、 动态行为特征标签和威胁情 报命中标签分配给所述 目标终端设备， 由所述 目标终端设备根据所述文件对 象、 所述文件 对象对应的元数据、 静态分析结果、 动态分析结果、 家族团伙标签、 静态行为特征标签、 动态 行为特征标签和威胁情 报命中标签对所述文件 对象进行威胁情 报运营处 理； 所述当接收到所述威胁情报运营平台反馈的、 所述待鉴定对象对应的内生威胁情报 时， 将所述待鉴定对象对应的内生 威胁情报添加至所述 威胁情报库中， 包括： 当接收到所述威胁情报运营平台反馈的、 所述文件对象对应的内生威胁情报、 情报上 下文信息、 修正家族团伙标签、 修正静态行为特征标签、 修正动态行为特征标签和修正威胁 情报命中标签时， 将所述文件对象对应的情报上下文信息、 修正家族团伙标签、 修正静态行 为特征标签、 修正动态行为特征标签和修正威胁情报命中标签添加至所述文件对象对应的 内生威胁情报中； 将所述文件 对象对应的内生 威胁情报添加至所述 威胁情报库中。 5.根据权利要求1所述的方法， 其特征在于， 所述待鉴定对象具体为 邮件对象、 网络流 量包对象、 日志对 象或开源数据对 象； 在所述根据所述待鉴定对 象对应的元数据和 威胁情 报库确定所述待鉴定对象对应的第一 鉴定结果之后， 所述方法还 包括： 当所述待鉴定对象对应的第一鉴定结果为威胁对象时， 获取多个目标历史鉴定对象， 其中， 所述目标历史鉴定对象是鉴定结果 为威胁对象的历史鉴定对象； 根据预置分类算法和多个预置家族团伙标签对所述待鉴定对象和多个所述目标历史 鉴定对象进行分类处 理， 以获得分类结果； 根据预置聚类算法对所述待鉴定对象和多个所述目标历史鉴定对象进行聚类处理， 以 获得聚类结果； 根据所述分类结果和所述聚类结果确定所述待鉴定对象对应的家族团伙标签； 根据目标威胁情报生成所述待鉴定对象对应的威胁情报命中标签， 其中， 所述目标威 胁情报为所述 威胁情报库中与所述待鉴定对象对应的元 数据匹配成功的威胁情 报。 6.根据权利要求5所述的方法， 其特征在于， 所述当所述待鉴定对象对应的第 一鉴定结 果为威胁对象时， 将所述待鉴定对象和所述待鉴定对象对应的元数据发送至威胁情报运营 平台， 包括： 将所述待鉴定对象、 所述待鉴定对象对应的元数据、 家族团伙标签和威胁情报命中标 签发送至所述威胁情报运营平台， 以便所述威胁情报运营平台将所述待鉴定对 象、 所述待 鉴定对象对应的元数据、 家族团伙标签和威胁情报命中标签分配给所述 目标终端设备， 由 所述目标终端设备根据所述待鉴定对 象、 所述待鉴定对 象对应的元数据、 家族团伙标签和 威胁情报命中标签对所述待鉴定对象进行威胁情 报运营处 理； 所述当接收到所述威胁情报运营平台反馈的、 所述待鉴定对象对应的内生威胁情报 时， 将所述待鉴定对象对应的内生 威胁情报添加至所述 威胁情报库中， 包括： 当接收到所述威胁情报运营平台反馈的、 所述待鉴定对象对应的内生威胁情报、 修正 家族团伙标签和修正威胁情报命中标签时， 将所述待鉴定对象对应的修正家族团伙标签和 修正威胁情报命中标签添加至所述待鉴定对象对应的内生 威胁情报中； 将所述待鉴定对象对应的内生 威胁情报添加至所述 威胁情报库中。权　利　要　求　书 2/3 页 3 CN 114218578 A 3