(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114338349A(43)申请公布日2022.04.12(21)申请号202111619198.8(22)申请日2021.12.27(71)申请人北京天融信网络安全技术有限公司地址100085北京市海淀区上地东路1号院3号楼四层申请人北京天融信科技有限公司北京天融信软件有限公司(72)发明人李雪莹鲍青波万卉李金戈(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人杨奇松(51)Int.Cl.H04L41/0631(2022.01)权利要求书2页说明书9页附图3页(54)发明名称威胁分析方法、装置、电子设备及存储介质(57)摘要本申请提供一种威胁分析方法、装置、电子设备及存储介质，涉及威胁分析技术领域，该方法应用于威胁分析装置，包括：由初级线索下发模块接收预设威胁分析线索，并将预设威胁分析线索发送至威胁分析模块；由威胁分析模块基于预设威胁分析线索以及获取到的第一分析数据，进行初步威胁分析，得到第一分析结果并反馈至次级线索下发模块；由次级线索下发模块对第一分析结果进行次级分析操作，得到第二分析结果，在其表征检测到新线索时，将新线索发送至威胁分析模块，以使威胁分析模块基于新线索获取对应的第二分析数据，根据第二分析数据进行初步威胁分析，得到分析结果；由分析结果反馈模块基于目标分析结果反馈威胁目标。CN114338349ACN114338349A权利要求书1/2页1.一种威胁分析方法，其特征在于，应用于威胁分析装置，所述威胁分析装置包括初级线索下发模块、威胁分析模块、次级线索下发模块和分析结果反馈模块，所述初级线索下发模块、所述威胁分析模块、所述次级线索下发模块和所述分析结果反馈模块依次连接，所述方法包括：由所述初级线索下发模块接收预设威胁分析线索，并将所述预设威胁分析线索发送至所述威胁分析模块；由所述威胁分析模块基于所述预设威胁分析线索以及获取到的第一分析数据，进行初步威胁分析，得到第一分析结果并反馈至次级线索下发模块，所述第一分析数据为与所述预设威胁分析线索对应的数据；由所述次级线索下发模块对所述第一分析结果进行次级分析操作，得到第二分析结果，在所述第二分析结果表征检测到新线索时，将所述新线索发送至所述威胁分析模块，以使所述威胁分析模块基于所述新线索获取对应的第二分析数据，并根据所述第二分析数据进行初步威胁分析，得到分析结果并反馈至所述次级线索下发模块；在所述第二分析结果表征未检测到所述新线索时，由所述次级线索下发模块生成目标分析结果并发送至所述分析结果反馈模块；由所述分析结果反馈模块基于所述目标分析结果反馈威胁目标。2.根据权利要求1所述的方法，其特征在于，所述预设威胁分析线索包括威胁情报数据、预设分析规则、数据文件以及多个事件通过逻辑联结词形成的组合中的至少一种；在所述由所述初级线索下发模块接收预设威胁分析线索，并将所述预设威胁分析线索发送至所述威胁分析模块之后，所述方法包括：由所述初级线索下发模块触发数据拉取，基于所述预设威胁分析线索从全量数据中选取所述第一分析数据并将所述第一分析数据发送至所述威胁分析模块。3.根据权利要求1所述的方法，其特征在于，所述由所述威胁分析模块基于所述预设威胁分析线索以及获取到的第一分析数据，进行初步威胁分析包括：基于多维分析引擎对所述第一分析数据进行分析，得到初步分析结果；基于所述初步分析结果确定基于下钻分析操作进行深度分析或基于扩线分析操作进行扩线式数据推荐，以得到所述第一分析结果。4.根据权利要求3所述的方法，其特征在于，在所述得到初步分析结果之后，所述方法还包括：基于所述初步分析结果发送请示指令；在接收到与所述请示指令对应的控制指令时，基于所述控制指令确定基于所述下钻分析操作进行深度分析或基于所述扩线分析操作进行扩线式数据推荐，以得到所述第一分析结果。5.根据权利要求1所述的方法，其特征在于，在所述威胁分析模块基于所述新线索获取对应的第二分析数据之后，所述方法还包括：基于所述第一分析数据对所述第二分析数据进行去重。6.根据权利要求1所述的方法，其特征在于，在所述目标分析结果表征所述第一分析数据或所述第二分析数据中存在威胁信息时，所述方法还包括：由所述分析结果反馈模块对所述威胁信息进行评估，确定所述威胁信息的威胁等级，2CN114338349A权利要求书2/2页并基于所述威胁等级确定发送警示信息。7.一种威胁分析装置，其特征在于，包括初级线索下发模块、威胁分析模块、次级线索下发模块和分析结果反馈模块，所述初级线索下发模块、所述威胁分析模块、所述次级线索下发模块和所述分析结果反馈模块依次连接；所述初级线索下发模块用于接收预设威胁分析线索，并将所述预设威胁分析线索发送至所述威胁分析模块；所述威