本發明公開一種安全威脅情報的構建方法，能夠解決現有技術中破解病毒樣本在時間上存在滯后性以及已經被發現并有效攔截的病毒樣本死灰復燃的概率較大的技術問題，方法包括：獲取用戶在預設時間范圍內的查殺日志；解析獲取到的所述查殺日志以得到用于評估安全威脅事件的實體；確定與所述實體關聯的用戶數，并根據確定的所述用戶數，計算任意兩個實體構成的實體對中兩個實體之間的相似度；將相似度滿足預設相似度閾值的實體劃分為一個實體集；在檢測到某一實體存在安全威脅時，根據存在安全威脅的實體所在的實體集中的實體構建安全威脅情報。

技術領域

本發明涉及計算機技術領域，具體涉及一種安全威脅情報的構建方法、裝置、計算機設備和計算機可讀存儲介質。

背景技術

現有技術中，當一次安全威脅事件被發現或被披露時，安全分析專家會通過對病毒樣本的靜態分析，然后利用沙箱或蜜罐等工具對病毒樣本的行為進行觀察，找出病毒樣本及與病毒樣本交互的遠程站點形成一份安全威脅情報。

但是，發明人研究發現，病毒樣本的邏輯會被設計的非常復雜，以增加被安全分析專家分析的難度，因此，安全分析專家在花費大量的時間和精力分析病毒樣本后，可能只能破解病毒樣本的一部分邏輯，在時間上存在一定的滯后性。另外，一次安全威脅事件可能與多個病毒樣本相關，且隨著時間的推移，還會產生新的病毒樣本和新的遠程站點，由于人工分析受限因素較多，很可能追蹤不到與病毒樣本有關鍵關聯的其他病毒樣本，從而增加已經被發現并有效攔截的病毒樣本死灰復燃的概率。

針對現有技術中破解病毒樣本在時間上存在滯后性以及已經被發現并有效攔截的病毒樣本死灰復燃的概率較大的技術問題，目前尚未提供有效的解決方案。

發明內容

本發明的目的在于提供了一種安全威脅情報的構建方法、裝置、計算機設備和計算機可讀存儲介質，能夠解決現有技術中破解病毒樣本在時間上存在滯后性以及已經被發現并有效攔截的病毒樣本死灰復燃的概率較大的技術問題。

本發明的一個方面提供了一種安全威脅情報的構建方法，所述方法包括：獲取用戶在預設時間范圍內的查殺日志；解析獲取到的所述查殺日志以得到用于評估安全威脅事件的實體；確定與所述實體關聯的用戶數，并根據確定的所述用戶數，計算任意兩個實體構成的實體對中兩個實體之間的相似度；將相似度滿足預設相似度閾值的實體劃分為一個實體集；在檢測到某一實體存在安全威脅時，根據存在安全威脅的實體所在的實體集中的實體構建安全威脅情報。

可選地，所述確定與所述實體關聯的用戶數，并根據確定的所述用戶數，計算任意兩個實體構成的實體對中兩個實體之間的相似度的步驟包括：分別確定與任意兩個實體構成的實體對關聯的第一用戶數，以及與所述實體對中每個實體關聯的第二用戶數；計算統計出的所述第一用戶數與所述第二用戶數的比值，作為該實體對中兩個實體之間的相似度。

可選地，根據存在安全威脅的實體所在的實體集中的實體構建安全威脅情報的步驟包括：在解析得到的所述實體為病毒樣本時，確定存在安全威脅的病毒樣本所在的病毒樣本集中的病毒樣本；針對確定的每個所述病毒樣本，確定與該病毒樣本交互的遠程站點；確定所述遠程站點對應的遠程站點集；根據確定的所述病毒樣本和所述遠程站點集構建所述安全威脅情報。

可選地，根據所述存在安全威脅的實體所在的實體集構建安全威脅情報的步驟包括：在解析得到的所述實體為遠程站點時，確定存在安全威脅的遠程站點所在的遠程站點集中的遠程站點；針對確定的每個所述遠程站點，確定與該遠程站點交互的病毒樣本；確定所述病毒樣本對應的病毒樣本集；根據確定的所述遠程站點和所述病毒樣本集構建所述安全威脅情報。

可選地，所述確定與所述實體關聯的用戶數的步驟包括：在解析得到的所述實體為病毒樣本時，判斷用戶是否執行了所述病毒樣本；在用戶執行了所述病毒樣本時，確定用戶與實體存在關聯關系；根據該關聯關系統計與實體關聯的用戶數。