本申請公開了一種威脅情報關聯分析方法、系統、設備及計算機介質，確定各個失陷設備出現的威脅情報；對于每個失陷設備，建立失陷設備出現的威脅情報間的關聯關系；對于每個關聯關系，統計具有關聯關系的失陷設備的數量作為關聯關系的關聯程度；基于威脅情報、關聯關系及關聯程度確定威脅情報關聯分析結果。本申請中，因為威脅情報同時出現在一個失陷設備中的話，可以認為威脅情報間存在關聯關系，且如果有多個失陷設備同時出現某個關聯關系的話，可以認為該關聯關系的關聯程度較大，所以可以基于威脅情報、關聯關系及關聯程度確定威脅情報關聯分析結果；可以實現大規模的威脅情報生產與關聯分析，效率高。

技術領域

本申請涉及計算機安全技術領域，更具體地說，涉及一種威脅情報關聯分析方法、系統、設備及計算機介質。

背景技術

隨著互聯網的飛速發展，網絡攻擊也成為互聯網應用過程中難以避免的一個難題。為了更好的預防網絡攻擊，需要對網絡攻擊進行分析研究，比如通過威脅情報關聯技術來對網絡攻擊進行分析研究；威脅情報是某種基于證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持，主要內容可以為用于識別和檢測威脅的失陷標識，如文件HASH(散列)值、IP(Internet?Protocol，網際互聯協議)、域名、程序運行路徑、注冊表項等，以及相關的歸屬標簽。

現有的威脅情報關聯方法是本地搭建沙箱平臺或者實現環境來虛擬執行病毒文件，依靠執行病毒文件之后的網絡流量關系來識別病毒文件md5(Message?DigestAlgorithm?MD5，消息摘要算法)與遠控CC(Computers?and?Composition，計算機和組成)通信的IP地址或者URL(Uniform?Resource?Locator，統一資源定位器)，建立連接關系實現威脅情報之間的關聯關系。

然而，現有的威脅情報關聯方法無法對大規模的病毒文件進行處理，無法實現大規模的威脅情報生產與關聯分析，效率低。

綜上所述，如何提高威脅情報關聯方法的效率是目前本領域技術人員亟待解決的問題。

發明內容

本申請的目的是提供一種威脅情報關聯分析方法，具有效率高的效果。本申請還提供了一種威脅情報關聯分析系統、電子設備及計算機可讀存儲介質。

為了實現上述目的，本申請提供如下技術方案：

一種威脅情報關聯分析方法，包括：

確定各個失陷設備出現的威脅情報；

對于每個所述失陷設備，建立所述失陷設備出現的所述威脅情報間的關聯關系；

對于每個所述關聯關系，統計具有所述關聯關系的所述失陷設備的數量作為所述關聯關系的關聯程度；

基于所述威脅情報、所述關聯關系及所述關聯程度確定威脅情報關聯分析結果。

優選的，所述基于所述威脅情報、所述關聯關系及所述關聯程度確定威脅情報關聯分析結果，包括：

將所述威脅情報作為無向圖中的頂點；

將所述關聯關系作為所述無向圖中的邊；

將所述關聯程度轉換為對應的所述邊的長度，建立與所述威脅情報、所述關聯關系及所述關聯程度對應的所述無向圖；

對所述無向圖進行分析，確定所述威脅情報關聯分析結果。

優選的，所述將所述關聯程度轉換為對應的所述邊的長度，包括：

按照所述關聯程度與所述長度成反比的轉換規則，將所述關聯程度轉換為對應的所述邊的所述長度；

所述對所述無向圖進行分析，確定所述威脅情報關聯分析結果，包括：