关联内部资产的情报处理方法、装置和电子设备与流程

1.本技术涉及数据处理技术领域，具体而言，涉及一种关联内部资产的情报处理方法、装置和电子设备。


背景技术：

2.威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与企业资产所面临已有的或酝酿中的威胁或危害相关，可用于企业资产相关主体对威胁或危害的响应或处理决策提供信息支持。
3.在现有的威胁情报处理方式中，一般会首先通过官网补丁发布、安全部门或厂商的通告等技术手段来获取到初始的威胁情报内容文本，基于自定义的关键字标签提取情报初始摘要，再结合外部知识来生成情报摘要文本。现有技术中的方式，利用自定义的关键字标签提取情报初始摘要将导致局限威胁情报的范围，进而导致对潜在的新型安全威胁感知失效。


技术实现要素：

4.本技术的目的包括，例如，提供了一种关联内部资产的情报处理方法、装置和电子设备，其能够得到与企业内部资产实际情况相符的威胁情报摘要，实现全面的安全威胁感知。
5.本技术的实施例可以这样实现：
6.第一方面，本技术提供一种关联内部资产的情报处理方法，所述方法包括：
7.获取初始的安全情报文本，获得所述安全情报文本对应的安全情报字段信息，所述安全情报文本为漏洞描述信息；
8.确定目标企业的内部资产对应的数据库信息，所述数据库信息包括所述目标企业使用到的多个应用系统的系统字段信息；
9.将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配；
10.若所述安全情报字段信息未匹配上所述系统字段信息，将所述安全情报字段信息丢弃；
11.若所述安全情报字段信息匹配上所述系统字段信息，按照预设标准格式对所述安全情报字段信息进行处理，输出对应的威胁情报摘要。
12.在可选的实施方式中，所述获得所述安全情报文本对应的安全情报字段信息的步骤，包括：
13.对所述安全情报文本进行预处理；
14.对预处理后的安全情报文本进行向量化处理，得到对应的安全情报字段信息。
15.在可选的实施方式中，所述安全情报文本包括从多个不同的渠道获得的安全情报文本；
16.所述对所述安全情报文本进行预处理的步骤，包括：
17.确定从多个不同的渠道获得的安全情报文本中，从目标渠道获得的目标安全情报文本；
18.针对除所述目标渠道之外的其他渠道获得的安全情报文本，将所述安全情报文本与所述目标安全情报文本进行相似度计算得到相似度值；
19.在相似度值高于预设阈值时，将所述安全情报文本保留，在相似度值低于所述预设阈值时，将所述安全情报文本丢弃。
20.在可选的实施方式中，所述确定目标企业的内部资产对应的数据库信息的步骤，包括：
21.利用指纹库中的各个探测指纹分别对目标企业的内部资产系统进行探测；
22.根据探测结果确定所述目标企业内部资产对应的应用系统；
23.根据确定的应用系统的系统字段信息得到数据库信息。
24.在可选的实施方式中，所述根据确定的应用系统的系统字段信息得到数据库信息的步骤，包括：
25.检测数据库中是否存在确定的应用系统的系统字段信息；
26.若存在，则对所述数据库中的系统字段信息进行更新；
27.若不存在，则将所述应用系统的系统字段信息添加至数据库中，得到数据库信息。
28.在可选的实施方式中，初始的所述安全情报文本通过外部渠道和/或内部渠道获得，所述内部渠道为通过所述目标企业的内部资产的日志记录进行清洗发现获得。
29.在可选的实施方式中，所述将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配的步骤，包括：
30.获取所述安全情报字段信息中的漏洞应用名称和漏洞应用版本，并获取所述数据库信息中的系统字段信息中的应用系统名称和应用系统版本；
31.将所述漏洞应用名称和漏洞应用版本，分别与所述应用系统名称和应用系统版本进行匹配；
32.若均匹配成功，则判定所述安全情报字段信息匹配上所述系统字段信息。
33.在可选的实施方式中，所述威胁情报摘要包括漏洞编号、漏洞披露时间、漏洞评分、漏洞触发规则、漏洞影响范围、漏洞信息、漏洞参考链接中的至少一项。
34.第二方面，本技术提供一种关联内部资产的情报处理装置，所述装置包括：
35.信息获取模块，用于获取初始的安全情报文本，获得所述安全情报文本对应的安全情报字段信息，所述安全情报文本为漏洞描述信息；
36.信息确定模块，用于确定目标企业的内部资产对应的数据库信息，所述数据库信息包括所述目标企业使用到的多个应用系统的系统字段信息；
37.匹配模块，用于将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配；
38.丢弃模块，用于在所述安全情报字段信息未匹配上所述系统字段信息时，将所述安全情报字段信息丢弃；
39.处理模块，用于在所述安全情报字段信息匹配上所述系统字段信息时，按照预设标准格式对所述安全情报字段信息进行处理，输出对应的威胁情报摘要。
40.第三方面，本技术提供一种电子设备，包括一个或多个存储介质和一个或多个与
存储介质通信的处理器，一个或多个存储介质存储有处理器可执行的机器可执行指令，当电子设备运行时，处理器执行所述机器可执行指令，以执行前述实施方式中任意一项所述的方法步骤。
41.本技术实施例的有益效果包括，例如：
42.本技术提供一种关联内部资产的情报处理方法、装置和电子设备，在获取初始的安全情报文本后，获得安全情报文本对应的安全情报字段信息。此外，确定目标企业的内部资产对应的数据库信息，数据库信息包括目标企业使用到的多个应用系统的系统字段信息。将安全情报字段信息与数据库信息中的系统字段信息进行匹配，在安全情报字段信息未匹配上系统字段信息时，将安全情报字段信息丢弃，在安全情报字段信息匹配上系统字段信息时，按照预设标准格式对安全情报字段信息进行处理，输出对应的威胁情报摘要。该方案基于企业内部资产实际的系统字段信息进行安全情报字段信息的匹配和处理，得到的威胁情报摘要能够与企业内部资产实际情况相符，实现针对企业内部资产的全面的安全威胁感知。
附图说明
43.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
44.图1为本技术实施例提供的关联内部资产的情报处理方法的流程图；
45.图2为图1中步骤s11包含的子步骤的流程图；
46.图3为图2中步骤s111包含的子步骤的流程图；
47.图4为图1中步骤s12包含的子步骤的流程图；
48.图5为图4中步骤s123包含的子步骤的流程图；
49.图6为图1中步骤s13包含的子步骤的流程图；
50.图7为本技术实施例提供的关联内部资产的情报处理装置的功能模块框图；
51.图8为本技术实施例提供的电子设备的结构框图。
52.图标：110-关联内部资产的情报处理装置；111-信息获取模块；112-信息确定模块；113-匹配模块；114-丢弃模块；115-处理模块；120-处理器；130-存储器；140-通信模块。
具体实施方式
53.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
54.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
55.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
56.在本技术的描述中，需要说明的是，在不冲突的情况下，本技术的实施例中的特征可以相互结合。
57.请参阅图1，为本技术提供的关联内部资产的情报处理方法的流程图，该关联内部资产的情报处理方法可应用于电子设备，该电子设备可以是服务器、终端设备等。请结合图1所示，以下对本实施例提供的关联内部资产的情报处理方法进行详细介绍。
58.s11，获取初始的安全情报文本，获得所述安全情报文本对应的安全情报字段信息，所述安全情报文本为漏洞描述信息。
59.s12，确定目标企业的内部资产对应的数据库信息，所述数据库信息包括所述目标企业使用到的多个应用系统的系统字段信息。
60.s13，将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配。
61.s14，若所述安全情报字段信息未匹配上所述系统字段信息，将所述安全情报字段信息丢弃。
62.s15，若所述安全情报字段信息匹配上所述系统字段信息，按照预设标准格式对所述安全情报字段信息进行处理，输出对应的威胁情报摘要。
63.本实施例中，初始的安全情报文本主要是指对于系统漏洞的描述文本，包括如新发布的系统漏洞的描述信息、更新的系统漏洞描述信息等。获取安全情报文本的渠道可以有多个渠道，包括从外部渠道获取，以及从内部渠道获取。
64.其中，外部渠道的方式可以包括如基于开源网络情报(open source intelligence，osint)手段从各种公开的信息资源中寻找和获取安全情报文本的方式，或者是监控黑产/羊毛党常用的贴吧/破解论坛/暗网等网站，去发现是否有与目标企业内部产品相关的安全情报文本等。
65.而内部渠道获取的方式可以包括如采用人工反馈的方式获取安全情报文本，或者是通过对目标企业的内部资产的日志记录进行清洗发现以获得安全情报文本等。
66.可以理解的是，安全情报文本即为从各种渠道获取的关于系统漏洞的描述信息。
67.本实施例中，将定期对目标企业的内部资产使用情况进行监测，所述的目标企业可以是任意需要进行漏洞安全管理的企业。当然可以是针对某个企业，也可以是针对企业中的某个部门等不限。所述的内部资产可以是企业内部所使用的应用系统，例如考勤管理系统、生产系统、订单系统等等。
68.对于目标企业的内部资产，可以利用数据库以管理目标企业的内部资产。通过发现目标企业所使用到的多个应用系统的信息从而得到数据库信息，以存入数据库中。在存入数据库时，需对应用系统的信息进行规范化处理，得到规范化的系统字段信息，并存入数据库，进而以规范化的数据库信息进行保存。
69.为了对目标企业的内部资产进行安全管理，本实施例中，在定期获取安全情报文本，并对安全情报文本进行处理得到安全情报字段信息后，将安全情报字段信息与目标企业的内部资产的数据库信息中的系统字段信息进行匹配。在安全情报字段信息匹配上系统字段信息的情况下，表明目标企业有使用到所获取的漏洞描述信息所针对的应用系统。而在安全情报字段信息未匹配上系统字段信息的情况下，表明目标企业并未使用到获取的漏
洞描述信息所针对的应用系统。
70.在目标企业有使用到所获取的漏洞描述信息所针对的应用系统的情况下，可以按预设标准格式对安全情报字段信息进行处理，得到威胁情报摘要。
71.其中，所述的预设标准格式可以是按预设标准字段，也即，将安全情报字段信息按照预设标准字段进行输出，以得到威胁情报摘要。其中，威胁情报摘要中的预设标准字段可以包括漏洞编号、漏洞披露时间、漏洞评分、漏洞触发规则、漏洞影响范围、漏洞信息、漏洞参考链接中的至少一项。
72.在目标企业并未使用到获取的漏洞描述信息所针对的应用系统的情况下，则可以将安全情报字段信息进行丢弃处理。
73.本实施例所提供的关联内部资产的情报处理方案，摒弃现有技术中采用自定义的关键字标签提取情报摘要的方式，而是基于企业内部资产实际的系统字段信息进行安全情报字段信息的匹配和处理。在实际应用过程中，企业的内部资产中应用系统的数量和类型往往是很多的，管理人员很难人为管理众多的应用系统信息。基于本实施例中所采用的定期发现内部资产的方式，可以准确地探测到应用系统信息，而避免现有技术中自定义的关键字标签提取情报摘要的方式所存在的可能与企业实际的应用系统情况不相符的缺陷。
74.基于本实施例中的方案，得到的威胁情报摘要能够与企业内部资产实际情况相符，实现针对企业内部资产的全面的安全威胁感知。
75.本实施例中，由上述可知，在获取初始的安全情报文本后，可对安全情报文本进行处理，得到对应的安全情报字段信息，可选的，请参阅图2，得到安全情报字段信息的步骤可包括以下子步骤：
76.s111，对所述安全情报文本进行预处理。
77.s112，对预处理后的安全情报文本进行向量化处理，得到对应的安全情报字段信息。
78.本实施例中，对于安全情报文本的预处理可以包括对安全情报文本的格式进行统一化处理，例如将多种不同格式的安全情报文本处理为统一格式，以便于规范化管理。
79.此外，对于安全情报文本的预处理还可包括对安全情报文本的来源的可信度进行处理。该种处理可以结合人工判断的方式来实现，或者是预先对多种不同渠道进行可信度的设定，如此，在实际获取到安全情报文本时，则可以根据获取的安全情报文本的实际来源渠道，结合预先设定的可信度值得到对应的可信度。如此，来判定获取的安全情报文本是否可信。
80.此外，对于安全情报文本的预处理还可以包括对安全情报文本进行去重处理，也即，将获取的安全情报文本中重复的部分进行去重，以避免不必要的重复的工作量。
81.请参阅图3，在一种可能的实现方式中，对于安全情报文本的预处理的步骤还可以通过以下子步骤来实现：
82.s1111，确定从多个不同的渠道获得的安全情报文本中，从目标渠道获得的目标安全情报文本。
83.s1112，针对除所述目标渠道之外的其他渠道获得的安全情报文本，将所述安全情报文本与所述目标安全情报文本进行相似度计算得到相似度值。
84.s1113，在相似度值高于预设阈值时，将所述安全情报文本保留，在相似度值低于
所述预设阈值时，将所述安全情报文本丢弃。
85.本实施例中，所述的目标渠道可以是如各个应用系统的官方网站，也即，官方网站所发布的安全情报文本可信度是最高的。若在其他渠道也获取到关于同一漏洞的安全情报文本，则可以以目标渠道所发布的目标安全情报文本为标准，若来自其他渠道的安全情报文本与来自目标渠道的目标安全情报文本的相似度相差太大，可以确定该来自其他渠道的安全情报文本的素质太低，可以将其丢弃。
86.其中，在进行来自其他渠道的安全情报文本与目标安全情报文本的相似度计算时，可以先将文本进行不同字段的划分，将对应字段的内容进行相似度的计算。其中，将对应字段进行相似度计算时，可以将字段文本进行分词处理，将分词处理后的词进行相似度的计算。
87.需要说明的是，对于安全情报文本之间的相似度的计算不限于上述方式，可以采用现有的其他文本相似度计算方式进行计算。
88.在通过上述任意一种或多种方式相结合以进行安全情报文本的预处理后，可以对预处理后的安全情报文本进行向量化处理，得到对应的安全情报字段信息。其中，可以采用ocr(optical character recognition，文字识别)或者是nlp(natural language processing，自然语言处理)的处理方式进行向量化处理。
89.此外，本实施例中，可以采用自动化资产发现系统或者是第三方的api接口以定期发现目标企业所使用的系统信息，以及时的更新目标企业内部资产的数据库中的内容。请参阅图4，作为一种可能的实现方式，可以通过以下方式定期确定目标企业的内部资产的数据库信息。
90.s121，利用指纹库中的各个探测指纹分别对目标企业的内部资产系统进行探测。
91.s122，根据探测结果确定所述目标企业内部资产对应的应用系统。
92.s123，根据确定的应用系统的系统字段信息得到数据库信息。
93.所述的指纹库中具有多个探测指纹，探测指纹的作用主要是用于探测是否存在对应的应用系统。基于此，可以利用指纹库中的各个探测指纹以对目标企业的内部资产的应用系统进行探测。
94.在利用探测指纹进行探测时，若反馈回的信息满足特定特征时，则表明成功识别到与探测指纹相对应的应用系统，否则，则表明无法识别到对应的应用系统，也即，目标企业的内部资产中并不存在与探测指纹对应的应用系统。
95.在确定目标企业的内部资产中存在与某一探测指纹对应的应用系统的情况下，则可以提取应用系统的系统字段信息，进而得到数据库信息。
96.请参阅图5，本实施例中，在提取应用系统的系统字段信息，得到数据库信息的步骤，可以通过以下方式实现：
97.s1231，检测数据库中是否存在确定的应用系统的系统字段信息，若存在，执行以下步骤s1232，若不存在，执行以下步骤s1233。
98.s1232，对所述数据库中的系统字段信息进行更新。
99.s1233，将所述应用系统的系统字段信息添加至数据库中，得到数据库信息。
100.本实施例中，若数据库中已存在某个应用系统的系统字段信息时，则可以根据当前提取的应用系统的系统字段信息，对数据库中原有的系统字段信息进行更新。其中，目标
企业的应用系统的数据库字段信息可以如下表1中所示。
101.对于应用系统的数据库信息的更新，包括如对应用系统的来源进行更新。其中，可以将目标企业的内部资产划分为不同部门的资产，应用系统的来源即指的是具体来源于哪个部门。此外，还可以对应用系统的最近更新时间进行更新，也即，在时间字段下记录对于应用系统的最近一次更新的时间。
102.表1数据库字段信息
[0103][0104]
在此基础上，可以将通过上述方式获得的安全情报字段信息与数据库信息中的系统字段信息进行匹配，来确定是否保留安全情报字段信息。请参阅图6，在本实施例中，该步骤可以通过以下方式实现：
[0105]
s131，获取所述安全情报字段信息中的漏洞应用名称和漏洞应用版本，并获取所述数据库信息中的系统字段信息中的应用系统名称和应用系统版本。
[0106]
s132，将所述漏洞应用名称和漏洞应用版本，分别与所述应用系统名称和应用系统版本进行匹配。
[0107]
s133，若均匹配成功，则判定所述安全情报字段信息匹配上所述系统字段信息。
[0108]
本实施例中，上述经过处理后得到的安全情报字段信息中包括漏洞应用名称和漏洞应用版本，也即表明所发布的漏洞安全情报是针对哪个应用的哪个版本的。此外，目标企业的内部资产的数据库中的系统字段信息包括应用系统名称和应用系统版本，表明目标企业使用到哪些应用系统，以及具体是哪个版本。
[0109]
基于此，则可以分别将漏洞应用名称与应用系统名称进行匹配，并且将漏洞应用版本与应用系统版本进行匹配，如果名称和版本均匹配得上，则表明获取的漏洞安全情报与目标企业的内部资产的应用系统是对应的，在此情况下，则可以对安全情报字段信息进行标准化处理，以得到威胁情报摘要。否则，表明漏洞安全情报是目标企业不需要的，可以
将安全情报字段信息进行丢弃。
[0110]
本实施例中，在对安全情报字段信息进行标准化处理时，可以按照表2中所示的字段进行处理，得到威胁情报摘要。
[0111]
表2威胁情报摘要字段信息
[0112]
字段类型长度漏洞编号string30披露时间datetime-cvssstring100触发规则string50漏洞影响范围string200漏洞相关信息string200参考链接string200
[0113]
本实施例所提供的关联内部资产的情报处理方法，利用自动化的应用资产发现工具，以定期的发现目标企业所使用的应用系统的系统信息，以便于与获得的安全情报进行匹配，对比现有技术中需要人工维护关键字标签的方式，对于关键字标签的获取更加及时、准确且自动化，并且，更符合企业内部资产的实际情况。对于新的威胁情报内容，可以按照标准化的模板生成指定摘要内容，与现有技术相比，不需要对外部知识进行长度判断来形成摘要内容。
[0114]
基于同一申请构思，请参阅图7，示出了本技术实施例提供的关联内部资产的情报处理装置110的功能模块示意图，本实施例可以根据上述方法实施例对该关联内部资产的情报处理装置110进行功能模块的划分。例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本技术实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
[0115]
比如，在采用对应各个功能划分各个功能模块的情况下，图7示出的关联内部资产的情报处理装置110只是一种装置示意图。其中，关联内部资产的情报处理装置110可以包括信息获取模块111、信息确定模块112、匹配模块113、丢弃模块114和处理模块115，下面分别对该关联内部资产的情报处理装置110的各个功能模块的功能进行详细阐述。
[0116]
信息获取模块111，用于获取初始的安全情报文本，获得所述安全情报文本对应的安全情报字段信息，所述安全情报文本为漏洞描述信息；
[0117]
可以理解，该信息获取模块111可以用于执行上述步骤s11，关于该信息获取模块111的详细实现方式可以参照上述步骤s11有关的内容。
[0118]
信息确定模块112，用于确定目标企业的内部资产对应的数据库信息，所述数据库信息包括所述目标企业使用到的多个应用系统的系统字段信息；
[0119]
可以理解，该信息确定模块112可以用于执行上述步骤s12，关于该信息确定模块112的详细实现方式可以参照上述步骤s12有关的内容。
[0120]
匹配模块113，用于将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配；
[0121]
可以理解，该匹配模块113可以用于执行上述步骤s13，关于该匹配模块113的详细
实现方式可以参照上述步骤s13有关的内容。
[0122]
丢弃模块114，用于在所述安全情报字段信息未匹配上所述系统字段信息时，将所述安全情报字段信息丢弃；
[0123]
可以理解，该丢弃模块114可以用于执行上述步骤s14，关于该丢弃模块114的详细实现方式可以参照上述步骤s14有关的内容。
[0124]
处理模块115，用于在所述安全情报字段信息匹配上所述系统字段信息时，按照预设标准格式对所述安全情报字段信息进行处理，输出对应的威胁情报摘要。
[0125]
可以理解，该处理模块115可以用于执行上述步骤s15，关于该处理模块115的详细实现方式可以参照上述步骤s15有关的内容。
[0126]
在一种可能的实现方式中，上述信息获取模块111可以用于：
[0127]
对所述安全情报文本进行预处理；
[0128]
对预处理后的安全情报文本进行向量化处理，得到对应的安全情报字段信息。
[0129]
在一种可能的实现方式中，所述安全情报文本包括从多个不同的渠道获得的安全情报文本，上述信息获取模块111可以用于：
[0130]
确定从多个不同的渠道获得的安全情报文本中，从目标渠道获得的目标安全情报文本；
[0131]
针对除所述目标渠道之外的其他渠道获得的安全情报文本，将所述安全情报文本与所述目标安全情报文本进行相似度计算得到相似度值；
[0132]
在相似度值高于预设阈值时，将所述安全情报文本保留，在相似度值低于所述预设阈值时，将所述安全情报文本丢弃。
[0133]
在一种可能的实现方式中，上述信息确定模块112可以用于：
[0134]
利用指纹库中的各个探测指纹分别对目标企业的内部资产系统进行探测；
[0135]
根据探测结果确定所述目标企业内部资产对应的应用系统；
[0136]
根据确定的应用系统的系统字段信息得到数据库信息。
[0137]
在一种可能的实现方式中，上述信息确定模块112可以用于：
[0138]
检测数据库中是否存在确定的应用系统的系统字段信息；
[0139]
若存在，则对所述数据库中的系统字段信息进行更新；
[0140]
若不存在，则将所述应用系统的系统字段信息添加至数据库中，得到数据库信息。
[0141]
在一种可能的实现方式中，初始的所述安全情报文本通过外部渠道和/或内部渠道获得，所述内部渠道为通过所述目标企业的内部资产的日志记录进行清洗发现获得。
[0142]
在一种可能的实现方式中，上述匹配模块113可以用于：
[0143]
获取所述安全情报字段信息中的漏洞应用名称和漏洞应用版本，并获取所述数据库信息中的系统字段信息中的应用系统名称和应用系统版本；
[0144]
将所述漏洞应用名称和漏洞应用版本，分别与所述应用系统名称和应用系统版本进行匹配；
[0145]
若均匹配成功，则判定所述安全情报字段信息匹配上所述系统字段信息。
[0146]
请参阅图8，为本技术实施例提供的电子设备的结构框图，所述电子设备包括存储器130、处理器120及通信模块140。所述存储器130、处理器120以及通信模块140各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一
条或多条通讯总线或信号线实现电性连接。
[0147]
其中，存储器130用于存储程序或者数据。所述存储器130可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
[0148]
处理器120用于读/写存储器130中存储的数据或程序，并执行本技术任意实施例提供的关联内部资产的情报处理方法。
[0149]
通信模块140用于通过网络建立电子设备与其他通信终端之间的通信连接，并用于通过网络收发数据。
[0150]
应当理解的是，图8所示的结构仅为电子设备的结构示意图，所述电子设备还可包括比图8中所示更多或者更少的组件，或者具有与图8所示不同的配置。
[0151]
进一步地，本技术实施例还提供一种计算机可读存储介质，计算机可读存储介质存储有机器可执行指令，机器可执行指令被执行时实现上述实施例提供的关联内部资产的情报处理方法。
[0152]
具体地，该计算机可读存储介质能够为通用的存储介质，如移动磁盘、硬盘等，该计算机可读存储介质上的计算机程序被运行时，能够执行上述关联内部资产的情报处理方法。关于计算机可读存储介质中的及其可执行指令被运行时，所涉及的过程，可以参照上述方法实施例中的相关说明，这里不再详述。
[0153]
综上所述，本技术实施例提供的关联内部资产的情报处理方法、装置和电子设备，在获取初始的安全情报文本后，获得安全情报文本对应的安全情报字段信息。此外，确定目标企业的内部资产对应的数据库信息，数据库信息包括目标企业使用到的多个应用系统的系统字段信息。将安全情报字段信息与数据库信息中的系统字段信息进行匹配，在安全情报字段信息未匹配上系统字段信息时，将安全情报字段信息丢弃，在安全情报字段信息匹配上系统字段信息时，按照预设标准格式对安全情报字段信息进行处理，输出对应的威胁情报摘要。该方案基于企业内部资产实际的系统字段信息进行安全情报字段信息的匹配和处理，得到的威胁情报摘要能够与企业内部资产实际情况相符，实现针对企业内部资产的全面的安全威胁感知。
[0154]
以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。

技术特征：
1.一种关联内部资产的情报处理方法，其特征在于，所述方法包括：获取初始的安全情报文本，获得所述安全情报文本对应的安全情报字段信息，所述安全情报文本为漏洞描述信息；确定目标企业的内部资产对应的数据库信息，所述数据库信息包括所述目标企业使用到的多个应用系统的系统字段信息；将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配；若所述安全情报字段信息未匹配上所述系统字段信息，将所述安全情报字段信息丢弃；若所述安全情报字段信息匹配上所述系统字段信息，按照预设标准格式对所述安全情报字段信息进行处理，输出对应的威胁情报摘要。2.根据权利要求1所述的关联内部资产的情报处理方法，其特征在于，所述获得所述安全情报文本对应的安全情报字段信息的步骤，包括：对所述安全情报文本进行预处理；对预处理后的安全情报文本进行向量化处理，得到对应的安全情报字段信息。3.根据权利要求2所述的关联内部资产的情报处理方法，其特征在于，所述安全情报文本包括从多个不同的渠道获得的安全情报文本；所述对所述安全情报文本进行预处理的步骤，包括：确定从多个不同的渠道获得的安全情报文本中，从目标渠道获得的目标安全情报文本；针对除所述目标渠道之外的其他渠道获得的安全情报文本，将所述安全情报文本与所述目标安全情报文本进行相似度计算得到相似度值；在相似度值高于预设阈值时，将所述安全情报文本保留，在相似度值低于所述预设阈值时，将所述安全情报文本丢弃。4.根据权利要求1所述的关联内部资产的情报处理方法，其特征在于，所述确定目标企业的内部资产对应的数据库信息的步骤，包括：利用指纹库中的各个探测指纹分别对目标企业的内部资产系统进行探测；根据探测结果确定所述目标企业内部资产对应的应用系统；根据确定的应用系统的系统字段信息得到数据库信息。5.根据权利要求4所述的关联内部资产的情报处理方法，其特征在于，所述根据确定的应用系统的系统字段信息得到数据库信息的步骤，包括：检测数据库中是否存在确定的应用系统的系统字段信息；若存在，则对所述数据库中的系统字段信息进行更新；若不存在，则将所述应用系统的系统字段信息添加至数据库中，得到数据库信息。6.根据权利要求1所述的关联内部资产的情报处理方法，其特征在于，初始的所述安全情报文本通过外部渠道和/或内部渠道获得，所述内部渠道为通过所述目标企业的内部资产的日志记录进行清洗发现获得。7.根据权利要求1所述的关联内部资产的情报处理方法，其特征在于，所述将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配的步骤，包括：获取所述安全情报字段信息中的漏洞应用名称和漏洞应用版本，并获取所述数据库信
息中的系统字段信息中的应用系统名称和应用系统版本；将所述漏洞应用名称和漏洞应用版本，分别与所述应用系统名称和应用系统版本进行匹配；若均匹配成功，则判定所述安全情报字段信息匹配上所述系统字段信息。8.根据权利要求1-7任意一项所述的关联内部资产的情报处理方法，其特征在于，所述威胁情报摘要包括漏洞编号、漏洞披露时间、漏洞评分、漏洞触发规则、漏洞影响范围、漏洞信息、漏洞参考链接中的至少一项。9.一种关联内部资产的情报处理装置，其特征在于，所述装置包括：信息获取模块，用于获取初始的安全情报文本，获得所述安全情报文本对应的安全情报字段信息，所述安全情报文本为漏洞描述信息；信息确定模块，用于确定目标企业的内部资产对应的数据库信息，所述数据库信息包括所述目标企业使用到的多个应用系统的系统字段信息；匹配模块，用于将所述安全情报字段信息与所述数据库信息中的系统字段信息进行匹配；丢弃模块，用于在所述安全情报字段信息未匹配上所述系统字段信息时，将所述安全情报字段信息丢弃；处理模块，用于在所述安全情报字段信息匹配上所述系统字段信息时，按照预设标准格式对所述安全情报字段信息进行处理，输出对应的威胁情报摘要。10.一种电子设备，其特征在于，包括一个或多个存储介质和一个或多个与存储介质通信的处理器，一个或多个存储介质存储有处理器可执行的机器可执行指令，当电子设备运行时，处理器执行所述机器可执行指令，以执行权利要求1-8中任意一项所述的方法步骤。

技术总结
本申请提供一种关联内部资产的情报处理方法、装置和电子设备，在获取初始的安全情报文本后，获得安全情报文本对应的安全情报字段信息。此外，确定目标企业的内部资产对应的数据库信息，数据库信息包括目标企业使用到的多个应用系统的系统字段信息。将安全情报字段信息与数据库信息中的系统字段信息进行匹配，在安全情报字段信息未匹配上系统字段信息时，将安全情报字段信息丢弃，在安全情报字段信息匹配上系统字段信息时，按照预设标准格式对安全情报字段信息进行处理，输出对应的威胁情报摘要。该方案基于企业内部资产实际的系统字段信息进行安全情报字段信息的匹配和处理，得到的威胁情报摘要能够与企业内部资产实际情况相符，实现针对企业内部资产的全面的安全威胁感知。知。知。


技术研发人员：李长龙 高斌
受保护的技术使用者：成都新希望金融信息有限公司
技术研发日：2023.06.28
技术公布日：2023/9/16