一种情报数据的更新方法、装置、计算机设备及存储介质与流程

1.本公开涉及网络安全技术领域，具体而言，涉及一种情报数据的更新方法、装置、计算机设备及存储介质。


背景技术：

2.随着互联网技术的快速发展，网络安全问题日益突出，为了应对网络中种类繁多的攻击手段，网络安全公司基于历史攻击与已知漏洞、攻击手法等信息与经验，逐渐掌握了用于识别不同网络攻击的方法。这种用于识别网络攻击的方法被称为安全情报（也称威胁情报）。
3.因此，如何安全且高效的传递威胁情报，以通过传递的威胁情报中的情报数据进行网络安全维护成为了亟待解决的问题。


技术实现要素：

4.本公开实施例至少提供一种情报数据的更新方法、装置、计算机设备及存储介质。
5.第一方面，本公开实施例提供了一种情报数据的更新方法，包括：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求；接收所述上游威胁情报平台发送的情报源验证信息；对所述情报源验证信息进行验证，并在验证结果为通过的情况下，向所述上游威胁情报平台发送情报源文件获取请求；根据接收的所述上游威胁情报平台发送的目标情报源文件，对所述目标威胁情报平台中存储的情报数据进行更新；基于更新后的所述目标威胁情报平台中存储的情报数据，对与所述目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。
6.一种可能的实施方式中，所述目标威胁情报平台中存储有多个包含情报数据的情报源文件；所述在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，包括：在检测到任一情报源文件满足预设的情报源文件更新条件，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送，与该情报源文件对应的情报源验证信息获取请求。
7.一种可能的实施方式中，所述接收所述上游威胁情报平台发送的情报源验证信息，包括：接收所述上游威胁情报平台在安全验证通过后发送的情报源验证信息；其中，所述安全验证包括白名单验证和/或令牌认证。
8.一种可能的实施方式中，所述接收所述上游威胁情报平台发送的情报源验证信息，包括：接收所述上游威胁情报平台发送的包括与所述情报源验证信息获取请求匹配的情报源文件的哈希值的情报源验证信息；其中，所述情报源文件的哈希值为，对与所述情报源验证信息获取请求匹配的情报源文件进行哈希处理后得到的。
9.一种可能的实施方式中，所述对所述情报源验证信息进行验证，包括：确定所述目标威胁情报平台中存储的，与所述情报源验证信息获取请求对应的情报源文件的待匹配哈希值；在检测到所述待匹配哈希值与所述情报源验证信息中的哈希值不相同的情况下，确定验证结果为通过。
10.一种可能的实施方式中，所述级联关系包括环状级联关系或者串行级联关系，所述情报源验证信息包括用于记录情报源文件传递情况的传递链路信息；所述接收所述上游威胁情报平台发送的情报源验证信息，包括：接收所述上游威胁情报平台发送的包括所述传递链路信息的情报源验证信息；其中，所述传递链路信息中包括所述上游威胁情报平台对应的网络地址信息。
11.一种可能的实施方式中，与所述目标威胁情报平台具有级联关系的上游威胁情报平台的数量为多个；所述向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，包括：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，按照轮询请求对应的轮询顺序依次向，与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台发送情报源验证信息获取请求；或者，在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，从与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台中确定目标上游威胁情报平台，并向所述目标上游威胁情报平台发送情报源验证信息获取请求。
12.第二方面，本公开实施例还提供一种情报数据的更新装置，包括：发送模块，用于在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求；接收模块，用于接收所述上游威胁情报平台发送的情报源验证信息；验证模块，用于对所述情报源验证信息进行验证，并在验证结果为通过的情况下，向所述上游威胁情报平台发送情报源文件获取请求；第一更新模块，用于根据接收的所述上游威胁情报平台发送的目标情报源文件，对所述目标威胁情报平台中存储的情报数据进行更新；第二更新模块，用于基于更新后的所述目标威胁情报平台中存储的情报数据，对与所述目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。
13.一种可能的实施方式中，所述目标威胁情报平台中存储有多个包含情报数据的情报源文件；所述发送模块，在检测到目标威胁情报平台满足预设的情报数据更新条件的情况
下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求时，用于：在检测到任一情报源文件满足预设的情报源文件更新条件，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送，与该情报源文件对应的情报源验证信息获取请求。
14.一种可能的实施方式中，所述接收模块，在接收所述上游威胁情报平台发送的情报源验证信息时，用于：接收所述上游威胁情报平台在安全验证通过后发送的情报源验证信息；其中，所述安全验证包括白名单验证和/或令牌认证。
15.一种可能的实施方式中，所述接收模块，在接收所述上游威胁情报平台发送的情报源验证信息时，用于：接收所述上游威胁情报平台发送的包括与所述情报源验证信息获取请求匹配的情报源文件的哈希值的情报源验证信息；其中，所述情报源文件的哈希值为，对与所述情报源验证信息获取请求匹配的情报源文件进行哈希处理后得到的。
16.一种可能的实施方式中，所述验证模块，在对所述情报源验证信息进行验证时，用于：确定所述目标威胁情报平台中存储的，与所述情报源验证信息获取请求对应的情报源文件的待匹配哈希值；在检测到所述待匹配哈希值与所述情报源验证信息中的哈希值不相同的情况下，确定验证结果为通过。
17.一种可能的实施方式中，所述级联关系包括环状级联关系或者串行级联关系，所述情报源验证信息包括用于记录情报源文件传递情况的传递链路信息；所述接收模块，在接收所述上游威胁情报平台发送的情报源验证信息时，用于：接收所述上游威胁情报平台发送的包括所述传递链路信息的情报源验证信息；其中，所述传递链路信息中包括所述上游威胁情报平台对应的网络地址信息。
18.一种可能的实施方式中，与所述目标威胁情报平台具有级联关系的上游威胁情报平台的数量为多个；所述发送模块，在向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求时，用于：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，按照轮询请求对应的轮询顺序依次向，与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台发送情报源验证信息获取请求；或者，在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，从与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台中确定目标上游威胁情报平台，并向所述目标上游威胁情报平台发送情报源验证信息获取请求。
19.第三方面，本公开实施例还提供一种计算机设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当计算机设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤。
20.第四方面，本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤。
21.本公开实施例提供的情报数据的更新方法、装置、计算机设备及存储介质，应用于与其他威胁情报平台具有级联关系的目标威胁情报平台，可以在满足情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，并在对上游威胁情报平台发送的情报源验证信息验证通过的情况下，使用从上游威胁情报平台发送的目标情报源文件，对存储的情报数据进行更新。这样，通过多个威胁情报平台之间的级联关系实现情报数据在多个威胁情报平台之间直接进行传递，无需其他中转设备即可对情报源文件中的情报数据进行高效传递；另一方面，通过在情报数据传递过程中设置验证过程，可以提高情报数据在传递过程中的安全性，从而可以安全且高效的传递威胁情报。
22.为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
23.为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，此处的附图被并入说明书中并构成本说明书中的一部分，这些附图示出了符合本公开的实施例，并与说明书一起用于说明本公开的技术方案。应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
24.图1示出了本公开实施例所提供的一种情报数据的更新方法的流程图；图2示出了本公开实施例所提供的情报数据的更新方法中，威胁情报平台之间的级联关系的示意图；图3示出了本公开实施例所提供的一种情报数据的更新装置的架构示意图；图4示出了本公开实施例所提供的一种计算机设备的结构示意图。
具体实施方式
25.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围，而是仅仅表示本公开的选定实施例。基于本公开的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。
26.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
27.本文中术语“和/或”，仅仅是描述一种关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中术语“至
少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括a、b、c中的至少一种，可以表示包括从a、b和c构成的集合中选择的任意一个或多个元素。
28.可以理解的是，在使用本公开各实施例公开的技术方案之前，均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
29.例如，在响应于接收到用户的主动请求时，向用户发送提示信息，以明确地提示用户，其请求执行的操作将需要获取和使用到用户的个人信息。从而，使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
30.作为一种可选的但非限定性的实现方式，响应于接收到用户的主动请求，向用户发送提示信息的方式例如可以是弹窗的方式，弹窗中可以以文字的方式呈现提示信息。此外，弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。
31.可以理解的是，上述通知和获取用户授权过程仅是示意性的，不对本公开的实现方式构成限定，其它满足相关法律法规的方式也可应用于本公开的实现方式中。
32.经研究发现，如何安全且高效的传递威胁情报，以通过传递的威胁情报中的情报数据进行网络安全维护成为了亟待解决的问题。
33.基于上述研究，本公开提供了一种情报数据的更新方法、装置、计算机设备及存储介质，应用于与其他威胁情报平台具有级联关系的目标威胁情报平台，可以在满足情报数据更新条件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，并在对上游威胁情报平台发送的情报源验证信息验证通过的情况下，使用从上游威胁情报平台发送的目标情报源文件，对存储的情报数据进行更新。这样，通过多个威胁情报平台之间的级联关系实现情报数据在多个威胁情报平台之间直接进行传递，无需其他中转设备即可对情报源文件中的情报数据进行高效传递；另一方面，通过在情报数据传递过程中设置验证过程，可以提高情报数据在传递过程中的安全性，从而可以安全且高效的传递威胁情报。
34.为便于对本实施例进行理解，首先对本公开实施例所公开的一种情报数据的更新方法进行详细介绍，本公开实施例所提供的情报数据的更新方法的执行主体为情报数据共享平台的威胁情报平台，威胁情报平台（threat intelligence platform，tip），可以根据存储的威胁情报数据（以下简称情报数据）实现威胁检测、网络攻击防御、输出威胁信息等功能，威胁情报平台可以部署在具有一定计算能力的计算机设备上，该计算机设备例如包括：终端设备或服务器或其它处理设备，终端设备可以为用户设备（user equipment，ue）、移动设备、用户终端、终端、个人数字助理（personal digital assistant，pda）、手持设备、计算设备、车载设备、可穿戴设备等，具有级联关系的多个威胁情报平台可以部署在同一网络环境中的不同计算机设备上，从而可以通过网络连接进行通信。在一些可能的实现方式中，该情报数据的更新方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
35.参见图1所示，为本公开实施例提供的情报数据的更新方法的流程图，方法包括s101~s104，其中：
s101：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求。
36.s102：接收上游威胁情报平台发送的情报源验证信息。
37.s103：对情报源验证信息进行验证，并在验证结果为通过的情况下，向上游威胁情报平台发送情报源文件获取请求。
38.s104：根据接收的上游威胁情报平台发送的目标情报源文件，对目标威胁情报平台中存储的情报数据进行更新。
39.s105：基于更新后的目标威胁情报平台中存储的情报数据，对与目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。
40.以下是对上述步骤的详细介绍。
41.针对s101、目标威胁情报平台中可以存储有多个包含情报数据的情报源文件；与目标威胁情报平台具有级联关系的上游威胁情报平台的数量可以为多个，这样目标威胁情报平台可以从多个上游威胁情报平台中获取情报数据；威胁情报平台之间的级联关系可以由上游威胁情报平台和/或下游威胁情报平台配置，通过配置各级威胁情报平台之间的级联关系，即可实现情报数据在各威胁情报平台之间的共享；情报源验证信息获取请求中可以包括请求方的ip地址、请求的时间戳信息、请求的令牌token、需要更新的情报源文件的名称、请求类型等请求参数。
42.其中，情报源文件的来源可以为以下来源中的任一种：来源1、网络安全服务商提供的情报数据云服务发送这里，网络安全服务商可以将情报数据上传至情报数据云服务器中，并通过云服务器向连接至情报数据云服务的威胁情报平台发送情报源文件。
43.来源2、在威胁情报平台中手动输入这里，用户可以在威胁情报平台中通过相应的触发操作上传情报源文件，威胁情报平台在接收到用户上传的情报数据后，可以按照预设的情报源文件验证方式对上传的情报数据进行有效性验证，过滤其中无效的数据，并将其中有效的数据存储为情报源文件。
44.来源3、具有级联关系的其他威胁情报平台发送这里，具有级联关系的其他威胁情报平台，可以是级联关系中位于上游的上游威胁情报平台，如何通过上游威胁情报平台获取情报数据的具体过程将在下文进行介绍，在此不再展开说明。
45.示例性的，威胁情报平台之间的级联关系的示意图可以如图2所示，图2中，tip1为tip2的上游威胁情报平台，tip2为tip3的上游威胁情报平台，tip1的情报数据可以通过tip2传递给tip3，通过这种串行的级联关系，可以将情报数据从一个tip共享至多个tip；tip4为tip6的上游威胁情报平台，tip4为tip5的下游威胁情报平台，tip5为tip4的上游威胁情报平台，tip5为tip6的下游威胁情报平台，tip6为tip5的上游威胁情报平台，tip6为tip4的下游威胁情报平台，通过这种环状的级联关系，可以实现情报数据在各tip中共享；tip8、tip9、tip10均为tip7的上游威胁情报平台，tip7可以通过轮询等方式从上游威胁情报平台中获取情报数据。
46.一种可能的实施方式中，在检测到目标威胁情报平台满足预设的情报数据更新条
件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求时，可以是在检测到任一情报源文件满足预设的情报源文件更新条件，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送，与该情报源文件对应的情报源验证信息获取请求。
47.其中，情报源文件更新条件可以是情报源文件对应的情报来源发生更新，比如情报源文件1对应的情报数据云服务器发生更新，则可以确定情报源文件1满足情报源文件更新条件；或者，情报源文件更新条件还可以是当前时刻达到了情报源文件对应的更新时间，更新时间可以是通过预设的更新时间间隔和上次更新时间确定的，比如当前时刻达到了情报源文件2对应的更新时间，则可以确定情报源文件2满足情报源文件更新条件。
48.一种可能的实施方式中，在向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求时，可以为以下情况中的任一种：情况1、在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，按照轮询请求对应的轮询顺序依次向，与目标威胁情报平台具有级联关系的多个上游威胁情报平台发送情报源验证信息获取请求。
49.这里，通过按照轮询请求对应的轮询顺序依次向，与目标威胁情报平台具有级联关系的多个上游威胁情报平台发送情报源验证信息获取请求，可以实现对于目标威胁情报平台中情报数据的有序更新；另一方面，多个上游威胁情报平台中可以存储相同的情报数据，以实现对情报数据的备份，从而可以避免单个上游威胁情报平台存储情报数据导致的情报数据缺少备份的问题。
50.情况2、在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，从与目标威胁情报平台具有级联关系的多个上游威胁情报平台中确定目标上游威胁情报平台，并向目标上游威胁情报平台发送情报源验证信息获取请求。
51.这里，在从与目标威胁情报平台具有级联关系的多个上游威胁情报平台中确定目标上游威胁情报平台时，可以将待更新的情报源文件对应的上游威胁情报平台作为目标上游威胁情报平台。
52.示例性的，以目标威胁情报平台对应的上游威胁情报平台为上游威胁情报平台1~3，上游威胁情报平台1存储情报源文件1，上游威胁情报平台2存储情报源文件2，上游威胁情报平台3存储情报源文件3为例，则在检测到目标威胁情报平台中的情报源文件1满足情报数据更新条件的情况下，可以将情报源文件1对应的上游威胁情报平台1作为目标上游威胁情报平台，并向上游威胁情报平台1发送情报源验证信息获取请求。
53.针对s102、这里，情报源验证信息可以包括与情报源验证信息获取请求匹配的情报源文件的哈希值，以及用于记录情报源文件传递情况的传递链路信息；通过接收上游威胁情报平台发送的情报源验证信息，可以验证此时的情报源文件是否对应有可更新的情报数据。
54.一种可能的实施方式中，在接收上游威胁情报平台发送的情报源验证信息时，可以接收上游威胁情报平台在安全验证通过后，发送的情报源验证信息；其中，安全验证可以包括以下验证方式中的任一种：1、白名单验证这里，针对任一上游威胁情报平台，在为该上游威胁情报平台配置级联关系的相
关参数时，可以配置能够连接至该上游威胁情报平台的下游威胁情报平台，能够连接至该上游威胁情报平台的下游威胁情报平台即构成该上游威胁情报平台的白名单，只有在白名单中的下游威胁情报平台发送的情报源验证信息获取请求才能通过白名单验证。
55.具体的，上游威胁情报平台在进行白名单验证时，可以基于情报源验证信息获取请求中的请求方的ip地址进行验证，若请求方的ip地址在白名单中，则白名单验证通过；而若请求方的ip地址不在白名单中，则白名单验证不通过。此外，还可以建立通信日志，并在通信日志中记录未通过白名单验证的请求等内容。
56.这样，通过设置白名单的方式，可以有效的对情报数据在各威胁情报平台之间的传输进行监管，提高情报数据在共享时的数据安全。
57.2、令牌认证这里，上游威胁情报平台接收到的情报源验证信息获取请求中，可以包含用于进行令牌认证的token，通过预设的令牌认证方法对情报源验证信息获取请求中的token进行验证，从而得到令牌认证结果。
58.一种可能的实施方式中，在接收上游威胁情报平台发送的情报源验证信息时，可以接收上游威胁情报平台发送的情报源验证信息；其中，情报源验证信息中的哈希值为，对与情报源验证信息获取请求匹配的情报源文件进行哈希处理后得到的。
59.具体的，在确定情报源文件对应的哈希值时，可以基于信息摘要算法（message-digest algorithm，md5）对情报源文件进行哈希处理，得到情报源文件对应的md5值。
60.一种可能的实施方式中，在接收上游威胁情报平台发送的情报源验证信息时，可以接收上游威胁情报平台发送的情报源验证信息；其中，情报源验证信息中可以包括上游威胁情报平台对应的网络地址信息。
61.这里，网络地址信息可以是上游威胁情报平台的本机mac地址，通过对mac地址进行记录，可以记录情报源文件在进行级联更新时的传递链路，从而避免使用情报源文件进行重复更新。
62.具体的，在使用情报源验证信息中的本机mac地址对级联更新时的传递链路进行记录时，可以是在各威胁情报平台之间的级联关系为环状级联关系的情况下使用，也即在存在重复更新可能的情况下使用mac地址对级联更新时的传递链路进行记录；或者，也可以在计算情报源文件对应的哈希值时使用源文件对应的情报数据和本机mac地址（传递链路信息）进行计算，从而使得生成的哈希值中包含与传递链路信息对应的部分内容，也可以起到避免使用情报源文件进行重复更新的效果。
63.针对s103、一种可能的实施方式中，在对情报源验证信息进行验证时，可以通过以下步骤a1~a2：a1：确定目标威胁情报平台中存储的，与情报源验证信息获取请求对应的情报源文件的待匹配哈希值。
64.这里，在确定目标威胁情报平台中存储的，与情报源验证信息获取请求对应的情报源文件的待匹配哈希值时，可以采用与情报源验证信息中的哈希值相同的处理方式，生成与情报源验证信息中的哈希值类型相同的待匹配哈希值，比如情报源验证信息中的哈希
值和待匹配哈希值的类型均为md5值。
65.a2：在检测到待匹配哈希值与情报源验证信息中的哈希值不相同的情况下，确定验证结果为通过。
66.这里，若待匹配哈希值与情报源验证信息中的哈希值不相同，则表示目标威胁情报平台此时存储的情报源文件的版本，与上游威胁情报平台的情报源文本的版本不同，此时上游威胁情报平台的情报源文件具有更新价值，验证结果为通过；而若待匹配哈希值与情报源验证信息中的哈希值相同，则表示目标威胁情报平台此时存储的情报源文件的版本，与上游威胁情报平台的情报源文本的版本相同，此时上游威胁情报平台的情报源文件不具有更新价值，验证结果为不通过。
67.这样，通过对情报源验证信息进行验证，并在验证结果为通过的情况下，向上游威胁情报平台发送情报源文件获取请求，可以在传输数据量更大的情报源文件之前，先验证情报源文件是否具有更新价值，并在具有更新价值的情况下再传输情报源文件，从而节约了情报数据更新时所花费的数据传输成本。
68.针对s104、一种可能的实施方式中，在根据接收的上游威胁情报平台发送的目标情报源文件，对目标威胁情报平台中存储的情报数据进行更新时，可以按照预设的数据更新方式和目标情报源文件，对目标威胁情报平台中与目标情报源文件匹配的待更新情报源文件进行更新。
69.其中，预设的数据更新方式包括全量更新，或者增量更新。
70.具体的，在预设的数据更新方式为全量更新的情况下，可以根据接收到的目标情报源文件，对目标威胁情报平台中存储的与目标情报源文件对应的情报源文件进行全量更新，以实现对于原有情报源文件的替换；在预设的数据更新方式为增量更新的情况下，可以根据接收到的目标情报源文件与目标威胁情报平台中存储的，与目标情报源文件对应的情报源文件之间的数据对比情况，对目标威胁情报平台中存储的与目标情报源文件对应的情报源文件进行增量更新。
71.针对s105、这里，所述目标威胁情报平台中的情报数据在更新后，即可将所述目标威胁情报平台作为上游威胁情报平台，对与所述目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。
72.具体的，关于如何使用所述目标威胁情报平台，对与所述目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新的具体描述，可以参照上文使用上游威胁情报平台对目标威胁情报平台中存储的情报数据进行更新的描述，在此不再赘述。
73.本公开实施例提供的情报数据的更新方法，应用于与其他威胁情报平台具有级联关系的目标威胁情报平台，可以在满足情报数据更新条件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，并在对上游威胁情报平台发送的情报源验证信息验证通过的情况下，使用从上游威胁情报平台发送的目标情报源文件，对存储的情报数据进行更新。这样，通过多个威胁情报平台之间的级联关系实现情报数据在多个威胁情报平台之间直接进行传递，无需其他中转设备即可对情报源文件中的
情报数据进行高效传递；另一方面，通过在情报数据传递过程中设置验证过程，可以提高情报数据在传递过程中的安全性，从而可以安全且高效的传递威胁情报。
74.本领域技术人员可以理解，在具体实施方式的上述方法中，各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定，各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
75.基于同一发明构思，本公开实施例中还提供了与情报数据的更新方法对应的情报数据的更新装置，由于本公开实施例中的装置解决问题的原理与本公开实施例上述情报数据的更新方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。
76.参照图3所示，为本公开实施例提供的一种情报数据的更新装置的架构示意图，情报数据的更新装置应用于目标威胁情报平台，目标威胁情报平台与其他威胁情报平台具有级联关系，装置包括：发送模块301、接收模块302、验证模块303、第一更新模块304、第二更新模块305；其中，发送模块301，用于在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求；接收模块302，用于接收所述上游威胁情报平台发送的情报源验证信息；验证模块303，用于对所述情报源验证信息进行验证，并在验证结果为通过的情况下，向所述上游威胁情报平台发送情报源文件获取请求；第一更新模块304，用于根据接收的所述上游威胁情报平台发送的目标情报源文件，对所述目标威胁情报平台中存储的情报数据进行更新；第二更新模块305，用于基于更新后的所述目标威胁情报平台中存储的情报数据，对与所述目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。
77.一种可能的实施方式中，所述目标威胁情报平台中存储有多个包含情报数据的情报源文件；所述发送模块301，在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求时，用于：在检测到任一情报源文件满足预设的情报源文件更新条件，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送，与该情报源文件对应的情报源验证信息获取请求。
78.一种可能的实施方式中，所述接收模块302，在接收所述上游威胁情报平台发送的情报源验证信息时，用于：接收所述上游威胁情报平台在安全验证通过后发送的情报源验证信息；其中，所述安全验证包括白名单验证和/或令牌认证。
79.一种可能的实施方式中，所述接收模块302，在接收所述上游威胁情报平台发送的情报源验证信息时，用于：接收所述上游威胁情报平台发送的包括与所述情报源验证信息获取请求匹配的情报源文件的哈希值的情报源验证信息；其中，所述情报源文件的哈希值为，对与所述情报
源验证信息获取请求匹配的情报源文件进行哈希处理后得到的。
80.一种可能的实施方式中，所述验证模块303，在对所述情报源验证信息进行验证时，用于：确定所述目标威胁情报平台中存储的，与所述情报源验证信息获取请求对应的情报源文件的待匹配哈希值；在检测到所述待匹配哈希值与所述情报源验证信息中的哈希值不相同的情况下，确定验证结果为通过。
81.一种可能的实施方式中，所述级联关系包括环状级联关系或者串行级联关系，所述情报源验证信息包括用于记录情报源文件传递情况的传递链路信息；所述接收模块302，在接收所述上游威胁情报平台发送的情报源验证信息时，用于：接收所述上游威胁情报平台发送的包括所述传递链路信息的情报源验证信息；其中，所述传递链路信息中包括所述上游威胁情报平台对应的网络地址信息。
82.一种可能的实施方式中，与所述目标威胁情报平台具有级联关系的上游威胁情报平台的数量为多个；所述发送模块301，在向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求时，用于：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，按照轮询请求对应的轮询顺序依次向，与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台发送情报源验证信息获取请求；或者，在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，从与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台中确定目标上游威胁情报平台，并向所述目标上游威胁情报平台发送情报源验证信息获取请求。
83.本公开实施例提供的情报数据的更新装置，应用于与其他威胁情报平台具有级联关系的目标威胁情报平台，可以在满足情报数据更新条件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，并在对上游威胁情报平台发送的情报源验证信息验证通过的情况下，使用从上游威胁情报平台发送的目标情报源文件，对存储的情报数据进行更新。这样，通过多个威胁情报平台之间的级联关系实现情报数据在多个威胁情报平台之间直接进行传递，无需其他中转设备即可对情报源文件中的情报数据进行高效传递；另一方面，通过在情报数据传递过程中设置验证过程，可以提高情报数据在传递过程中的安全性，从而可以安全且高效的传递威胁情报。
84.关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明，这里不再详述。
85.基于同一技术构思，本公开实施例还提供了一种计算机设备。参照图4所示，为本公开实施例提供的计算机设备400的结构示意图，包括处理器401、存储器402、和总线403。其中，存储器402用于存储执行指令，包括内存4021和外部存储器4022；这里的内存4021也称内存储器，用于暂时存放处理器401中的运算数据，以及与硬盘等外部存储器4022交换的数据，处理器401通过内存4021与外部存储器4022进行数据交换，当计算机设备400运行时，处理器401与存储器402之间通过总线403通信，使得处理器401在执行以下指令：
在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求；接收上游威胁情报平台发送的情报源验证信息；对情报源验证信息进行验证，并在验证结果为通过的情况下，向上游威胁情报平台发送情报源文件获取请求；根据接收的上游威胁情报平台发送的目标情报源文件，对目标威胁情报平台中存储的情报数据进行更新；基于更新后的目标威胁情报平台中存储的情报数据，对与目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。
86.一种可能的实施方式中，处理器401的指令中，目标威胁情报平台中存储有多个包含情报数据的情报源文件；在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，包括：在检测到任一情报源文件满足预设的情报源文件更新条件，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送，与该情报源文件对应的情报源验证信息获取请求。
87.一种可能的实施方式中，处理器401的指令中，接收上游威胁情报平台发送的情报源验证信息，包括：接收上游威胁情报平台在安全验证通过后发送的情报源验证信息；其中，安全验证包括白名单验证和/或令牌认证。
88.一种可能的实施方式中，处理器401的指令中，接收上游威胁情报平台发送的情报源验证信息，包括：接收上游威胁情报平台发送的包括与情报源验证信息获取请求匹配的情报源文件的哈希值的情报源验证信息；其中，情报源文件的哈希值为，对与情报源验证信息获取请求匹配的情报源文件进行哈希处理后得到的。
89.一种可能的实施方式中，处理器401的指令中，对情报源验证信息进行验证，包括：确定目标威胁情报平台中存储的，与情报源验证信息获取请求对应的情报源文件的待匹配哈希值；在检测到待匹配哈希值与情报源验证信息中的哈希值不相同的情况下，确定验证结果为通过。
90.一种可能的实施方式中，处理器401的指令中，级联关系包括环状级联关系或者串行级联关系，情报源验证信息包括用于记录情报源文件传递情况的传递链路信息；接收上游威胁情报平台发送的情报源验证信息，包括：接收上游威胁情报平台发送的包括传递链路信息的情报源验证信息；其中，传递链路信息中包括上游威胁情报平台对应的网络地址信息。
91.一种可能的实施方式中，处理器401的指令中，与目标威胁情报平台具有级联关系的上游威胁情报平台的数量为多个；向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，包括：
在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，按照轮询请求对应的轮询顺序依次向，与目标威胁情报平台具有级联关系的多个上游威胁情报平台发送情报源验证信息获取请求；或者，在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，从与目标威胁情报平台具有级联关系的多个上游威胁情报平台中确定目标上游威胁情报平台，并向目标上游威胁情报平台发送情报源验证信息获取请求。
92.本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述方法实施例中的情报数据的更新方法的步骤。其中，该存储介质可以是易失性或非易失的计算机可读取存储介质。
93.本公开实施例还提供一种计算机程序产品，该计算机程序产品承载有程序代码，程序代码包括的指令可用于执行上述方法实施例中的情报数据的更新方法的步骤，具体可参见上述方法实施例，在此不再赘述。
94.其中，上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中，计算机程序产品具体体现为计算机存储介质，在另一个可选实施例中，计算机程序产品具体体现为软件产品，例如软件开发包（software development kit，sdk）等等。
95.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本公开所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
96.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
97.另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
98.功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本公开各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（read-only memory，rom）、随机存取存储器（random access memory，ram）、磁碟或者光盘等各种可以存储程序代码的介质。
99.最后应说明的是：以上实施例，仅为本公开的具体实施方式，用以说明本公开的技术方案，而非对其限制，本公开的保护范围并不局限于此，尽管参照前述实施例对本公开进
行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以权利要求的保护范围为准。

技术特征：
1.一种情报数据的更新方法，其特征在于，包括：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求；接收所述上游威胁情报平台发送的情报源验证信息；对所述情报源验证信息进行验证，并在验证结果为通过的情况下，向所述上游威胁情报平台发送情报源文件获取请求；根据接收的所述上游威胁情报平台发送的目标情报源文件，对所述目标威胁情报平台中存储的情报数据进行更新；基于更新后的所述目标威胁情报平台中存储的情报数据，对与所述目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。2.根据权利要求1所述的方法，其特征在于，所述目标威胁情报平台中存储有多个包含情报数据的情报源文件；所述在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，包括：在检测到任一情报源文件满足预设的情报源文件更新条件，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送，与该情报源文件对应的情报源验证信息获取请求。3.根据权利要求1所述的方法，其特征在于，所述接收所述上游威胁情报平台发送的情报源验证信息，包括：接收所述上游威胁情报平台在安全验证通过后发送的情报源验证信息；其中，所述安全验证包括白名单验证和/或令牌认证。4.根据权利要求1所述的方法，其特征在于，所述接收所述上游威胁情报平台发送的情报源验证信息，包括：接收所述上游威胁情报平台发送的包括与所述情报源验证信息获取请求匹配的情报源文件的哈希值的情报源验证信息；其中，所述情报源文件的哈希值为，对与所述情报源验证信息获取请求匹配的情报源文件进行哈希处理后得到的。5.根据权利要求4所述的方法，其特征在于，所述对所述情报源验证信息进行验证，包括：确定所述目标威胁情报平台中存储的，与所述情报源验证信息获取请求对应的情报源文件的待匹配哈希值；在检测到所述待匹配哈希值与所述情报源验证信息中的哈希值不相同的情况下，确定验证结果为通过。6.根据权利要求1所述的方法，其特征在于，所述级联关系包括环状级联关系或者串行级联关系，所述情报源验证信息包括用于记录情报源文件传递情况的传递链路信息；所述接收所述上游威胁情报平台发送的情报源验证信息，包括：接收所述上游威胁情报平台发送的包括所述传递链路信息的情报源验证信息；其中，所述传递链路信息包括所述上游威胁情报平台对应的网络地址信息。7.根据权利要求1所述的方法，其特征在于，与所述目标威胁情报平台具有级联关系的上游威胁情报平台的数量为多个；
所述向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求，包括：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，按照轮询请求对应的轮询顺序依次向，与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台发送情报源验证信息获取请求；或者，在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，从与所述目标威胁情报平台具有级联关系的多个上游威胁情报平台中确定目标上游威胁情报平台，并向所述目标上游威胁情报平台发送情报源验证信息获取请求。8.一种情报数据的更新装置，其特征在于，包括：发送模块，用于在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与所述目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求；接收模块，用于接收所述上游威胁情报平台发送的情报源验证信息；验证模块，用于对所述情报源验证信息进行验证，并在验证结果为通过的情况下，向所述上游威胁情报平台发送情报源文件获取请求；第一更新模块，用于根据接收的所述上游威胁情报平台发送的目标情报源文件，对所述目标威胁情报平台中存储的情报数据进行更新；第二更新模块，用于基于更新后的所述目标威胁情报平台中存储的情报数据，对与所述目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。9.一种计算机设备，其特征在于，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当计算机设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的情报数据的更新方法的步骤。10.一种计算机可读存储介质，其特征在于，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行如权利要求1至7任一所述的情报数据的更新方法的步骤。

技术总结
本公开提供了一种情报数据的更新方法、装置、计算机设备及存储介质，其中，该方法包括：在检测到目标威胁情报平台满足预设的情报数据更新条件的情况下，向与目标威胁情报平台具有级联关系的上游威胁情报平台发送情报源验证信息获取请求；接收上游威胁情报平台发送的情报源验证信息；对情报源验证信息进行验证，并在验证结果为通过的情况下，向上游威胁情报平台发送情报源文件获取请求；根据接收的上游威胁情报平台发送的目标情报源文件，对目标威胁情报平台中存储的情报数据进行更新；基于更新后的目标威胁情报平台中存储的情报数据，对与目标威胁情报平台具有级联关系的下游威胁情报平台中存储的情报数据进行更新。情报平台中存储的情报数据进行更新。情报平台中存储的情报数据进行更新。


技术研发人员：王云赫 徐彬 樊兴华 童兆丰 薛锋
受保护的技术使用者：北京微步在线科技有限公司
技术研发日：2023.08.24
技术公布日：2023/9/20