(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111380950.8 (22)申请日 2021.11.20 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310051 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 计东　范渊　刘博　 (74)专利代理 机构 杭州华进联浙知识产权代理 有限公司 3 3250 代理人 李丽华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 威胁情报自动生成方法、 装置、 计算机设备 和存储介质 (57)摘要 本申请涉及一种威胁情报自动生 成方法、 装 置、 计算机设备和存储介质， 该方法包括： 通过分 析恶意软件， 提取恶意软件的流量特征； 基于流 量特征， 生成相应的检测规则； 获取网络通信数 据， 对网络通信数据进行解析， 得到解析结果； 根 据检测规则和解析结果， 生成威胁情报。 通过本 申请， 解决了威胁情报无法及时更新的问题， 实 现了能够自动生成威胁情报， 无需安全专家再进 行跟踪提取威胁情 报的效果。 权利要求书1页 说明书9页 附图3页 CN 114157459 A 2022.03.08 CN 114157459 A 1.一种威胁情 报自动生成方法， 其特 征在于， 包括： 通过分析恶意软件， 提取 所述恶意软件的流 量特征； 基于所述 流量特征， 生成相应的检测规则； 获取网络通信数据， 对所述网络通信数据进行解析， 得到解析 结果； 根据所述检测规则和所述 解析结果， 生成威胁情 报。 2.根据权利要求1所述的威胁情报自动生成方法， 其特征在于， 所述通过分析恶意软 件， 提取所述恶意软件的流 量特征， 包括： 在沙箱环境中运行 所述恶意软件， 得到运行 结果； 对所述运行结果进行分析， 提取 所述恶意软件的流 量特征。 3.根据权利要求1所述的威胁情报自动生成方法， 其特征在于， 所述通过分析恶意软 件， 提取所述恶意软件的流 量特征， 包括： 通过逆向分析 所述恶意软件， 提取 所述恶意软件的流 量特征。 4.根据权利要求1所述的威胁情报自动 生成方法， 其特征在于， 所述根据 所述检测规则 和所述解析结果， 生成威胁情 报包括： 基于所述检测规则， 对所述 解析结果进行检测， 得到检测结果； 根据所述检测结果， 以生成威胁情 报。 5.根据权利要求1所述的威胁情报自动 生成方法， 其特征在于， 在所述生成威胁情报之 后， 还包括： 根据所述 威胁情报和预定义信息， 生成威胁情 报库； 对新获取的网络通信数据进行解析， 并根据新的解析结果和所述威胁情报库， 生成对 应的威胁情 报。 6.根据权利要求1所述的威胁情报自动 生成方法， 其特征在于， 在所述通过分析恶意软 件， 提取所述恶意软件的流 量特征之前， 还 包括： 通过分析已知恶意样本， 获取 所述恶意软件。 7.一种威胁情报自动生成装置， 其特征在于， 包括： 特征提取模块、 规则生成模块、 数据 解析模块以及威胁生成模块； 所述特征提取模块， 用于通过分析恶意软件， 提取 所述恶意软件的流 量特征； 所述规则生成模块， 用于基于所述 流量特征， 生成相应的检测规则； 所述数据解析模块， 用于获取网络通信数据， 对所述网络通信数据进行解析， 得到解析 结果； 所述威胁生成模块， 用于根据所述检测规则和所述 解析结果， 生成威胁情 报。 8.根据权利要求7所述的威胁情报自动生成装置， 其特征在于， 所述特征提取模块， 还 用于在沙箱 环境中运行 所述恶意软件， 得到运行 结果； 对所述运行结果进行分析， 提取 所述恶意软件的流 量特征。 9.一种计算机设备， 包括存储器和处理器， 其特征在于， 所述存储器中存储有计算机程 序， 所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项 所述的威胁情 报自动生成方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至 6中任一项所述的威胁情 报自动生成方法的步骤。权　利　要　求　书 1/1 页 2 CN 114157459 A 2威胁情报自动生成方 法、 装置、 计算机设 备和存储介质 技术领域 [0001]本申请涉及网络安全技术领域， 特别是涉及一种威胁情报自动生成方法、 装置、 计 算机设备和存 储介质。 背景技术 [0002]在当前网络环境中， 高级威胁的攻 防对抗日益激烈， 其中主要的对抗手段是通过 运用已知的威胁情报进行对抗。 威胁情报一般包括攻击IP、 域名、 程序运行路径、 注册表项 以及样本哈希等信息。 在实际对抗中， 通过解析网络流量并与攻击特征库、 威胁情报库等进 行匹配， 进 而发现各种网络威胁事 件。 [0003]通常威胁情报的获取 需要安全专家长期对恶意的攻击活动进行跟踪， 并从海量的 数据中提取攻击活动用到的威胁情报。 但在实际情况中， 不同时间节点的攻击， 威胁情报都 会不同， 安全专 家也无法做到即时跟踪， 因此 无法及时更新 威胁情报。 [0004]针对相关技术中存在威胁情报 无法及时更新的问题， 目前还没有提出有效的解决 方案。 发明内容 [0005]在本实施例中提供了一种威胁情报自动生成方法、 装置、 计算机设备和存储介质， 以解决相关技 术中威胁情 报无法及时更新的问题。 [0006]第一个方面， 在本实施例中提供了一种威胁情 报自动生成方法， 包括： [0007]通过分析恶意软件， 提取 所述恶意软件的流 量特征； [0008]基于所述 流量特征， 生成相应的检测规则； [0009]获取网络通信数据， 对所述网络通信数据进行解析， 得到解析 结果； [0010]根据所述检测规则和所述 解析结果， 生成威胁情 报。 [0011]在其中的一些实施例中， 所述通过分析恶意软件， 提取所述恶意软件的流量特征， 包括： [0012]在沙箱环境中运行 所述恶意软件， 得到运行 结果； [0013]对所述运行结果进行分析， 提取 所述恶意软件的流 量特征。 [0014]在其中的一些实施例中， 所述根据所述检测规则和所述解析结果， 生成威胁情报 包括： [0015]基于所述检测规则， 对所述 解析结果进行检测， 得到检测结果； [0016]根据所述检测结果， 以生成威胁情 报。 [0017]在其中的一些实施例中， 在所述 生成威胁情 报之后， 还 包括： [0018]根据所述 威胁情报和预定义信息， 生成威胁情 报库； [0019]对新获取的网络通信数据进行解析， 并根据新的解析结果和所述威胁情报库， 生 成对应的威胁情 报。 [0020]在其中的一些实施例中， 在所述通过分析恶意软件， 提取所述恶意软件的流量特说　明　书 1/9 页 3 CN 114157459 A 3