(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113839954A(43)申请公布日2021.12.24(21)申请号202111137971.7(22)申请日2021.09.27(71)申请人杭州安恒信息技术股份有限公司地址310000浙江省杭州市滨江区西兴街道联慧街188号(72)发明人吕杰张威武朱江马峥巍(74)专利代理机构北京集佳知识产权代理有限公司11227代理人王洋(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书7页附图2页(54)发明名称一种威胁情报获取方法、装置、设备及存储介质(57)摘要本发明公开了一种威胁情报获取方法，包括：从威胁情报基础库中确定待处理的目标威胁情报；通过外部关联感知方式及内部关联感知方式，获取与目标威胁情报关联的关联威胁情报；将关联威胁情报与威胁情报基础库进行对比确定新威胁情报，并将新威胁情报存储至威胁情报基础库。可见，在本方案中，可通过外部关联感知方式及内部关联感知方式，基于已有的目标威胁情报主动识别关联威胁情报，从而获取到新威胁情报，实现对新威胁情报的主动识别，能够灵活的对隐蔽威胁、未知威胁、新增威胁进行感知识别，提高系统防御能力。本发明还公开了一种威胁情报获取装置、设备及存储介质，同样能实现上述技术效果。CN113839954ACN113839954A权利要求书1/2页1.一种威胁情报获取方法，其特征在于，包括：从威胁情报基础库中确定待处理的目标威胁情报；通过外部关联感知方式及内部关联感知方式，获取与所述目标威胁情报关联的关联威胁情报；将所述关联威胁情报与所述威胁情报基础库进行对比确定新威胁情报，并将所述新威胁情报存储至所述威胁情报基础库。2.根据权利要求1所述的威胁情报获取方法，其特征在于，若所述目标威胁情报为目标域名，则通过外部关联感知方式获取与所述目标威胁情报关联的关联威胁情报，包括以下方式中的至少一者：通过DNS协议获取与所述目标域名关联的关联威胁情报；通过WHOIS协议获取与所述目标域名关联的关联威胁情报；从互联网爬取与所述目标域名关联的关联威胁情报。3.根据权利要求2所述的威胁情报获取方法，其特征在于，所述通过DNS协议获取与所述目标域名关联的关联威胁情报，包括以下方式中的至少一者：通过DNS协议的A记录获取与所述目标域名关联的IP；通过DNS协议的CNAME记录获取与所述目标域名关联的域名；通过DNS协议的MX记录获取与所述目标域名关联的邮件。4.根据权利要求2所述的威胁情报获取方法，其特征在于，若所述目标威胁情报为目标IP，则通过外部关联感知方式获取与所述目标威胁情报关联的关联威胁情报，包括以下方式中的至少一者：通过DNS协议的A记录获取与所述目标IP关联的关联威胁情报；通过IPWHOIS协议获取与所述目标IP关联的关联威胁情报；从互联网爬取与所述目标IP关联的关联威胁情报。5.根据权利要求4所述的威胁情报获取方法，其特征在于，若所述关联威胁情报包括邮箱，则所述威胁情报获取方法还包括：根据WHOIS协议获取与所述邮箱关联的第一关联域名；根据IPWHOIS协议获取与所述邮箱关联的第一关联IP；将所述第一关联域名和所述第一关联IP作为关联威胁情报。6.根据权利要求4所述的威胁情报获取方法，其特征在于，若所述关联威胁情报包括关联文件，则所述威胁情报获取方法还包括：在沙箱内运行所述关联文件，并获取所述关联文件运行时连接的第二关联域名和第二关联IP，并将所述第二关联域名和所述第二关联IP作为关联威胁情报。7.根据权利要求1所述的威胁情报获取方法，其特征在于，通过内部关联感知方式获取与所述目标威胁情报关联的关联威胁情报，包括：从内部流量数据、内部日志数据、内部用户数据中的任意一者中，获取与所述目标威胁情报关联的关联威胁情报。8.一种威胁情报获取装置，其特征在于，包括：确定模块，用于从威胁情报基础库中确定待处理的目标威胁情报；第一获取模块，用于通过外部关联感知方式及内部关联感知方式，获取与所述目标威2CN113839954A权利要求书2/2页胁情报关联的关联威胁情报；对比模块，用于将所述关联威胁情报与所述威胁情报基础库进行对比确定新威胁情报；存储模块，用于将所述新威胁情报存储至所述威胁情报基础库。9.一种电子设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的威胁情报获取方法的步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的威胁情报获取方法的步骤。3CN113839954A说明书1/7页一种威胁情报获取方法、装置、设备及存储介质技术领域[0001]本发明涉及