本發(fā)明涉及通信領域的網絡管理技術，特別是涉及報文檢測方法及裝置、建立云端威脅情報庫的方法及裝置。
背景技術：
：隨著互聯(lián)網技術的快速發(fā)展，基于特征或者正則表達式的傳統(tǒng)防御解決方案已經難以應對日益更新的網絡病毒和網絡攻擊事件，為此，威脅情報技術應運而生。威脅情報技術是指通過查詢威脅情報庫來獲取現(xiàn)存或者是即將出現(xiàn)的威脅或危險，以及提供針對威脅或危險的解決方案。由于威脅情報庫包括海量數據，通常情況下會將威脅情報庫保存在云端存儲器中。在實際應用中，由于本地的防御設備在每次執(zhí)行檢測報文流量的處理時，都需要在威脅情報庫中針對待檢測的報文流量進行信息查找和匹配，因此，防御設備需要頻繁連接互聯(lián)網以訪問處于云端的威脅情報庫。這樣，頻繁連接互聯(lián)網會占用大量的帶寬資源且耗費時間，影響防御設備的工作效率。技術實現(xiàn)要素：本發(fā)明實施方式的目的在于提供報文檢測方法及裝置、建立云端威脅情報庫的方法及裝置，能夠實現(xiàn)使用本地威脅情報庫對報文流量進行檢測，無需頻繁連接互聯(lián)網，以節(jié)省帶寬資源，提高防御設備的工作效率。具體技術方案如下：本發(fā)明的一種實施方式提供了一種報文檢測方法，應用于防御設備，所述方法包括：接收待檢測的報文流量，根據所述報文流量的特征，在本地威脅情報庫中確定是否存在與所述特征相匹配的目標情報信息；其中，所述本地威脅情報庫是通過云端服務器根據所述防御設備的第一應用場景標識發(fā)送的情報信息建立的；若確定所述本地威脅情報庫中存在與所述特征相匹配的目標情報信息，則根據所述目標情報信息，確定所述待檢測報文的檢測結果。本發(fā)明的一種實施方式還提供了一種云端威脅情報庫的建立方法，應用于云端服務器，所述方法包括：獲取情報信息，存儲至所述云端服務器的云端威脅情報庫中；當確定情報信息對應的應用場景信息時，根據所述應用場景信息，為所述情報信息增加第二應用場景標識；其中，所述第二應用場景標識用于區(qū)分情報信息的應用場景，以根據所述第二應用場景標識向與所述應用場景關聯(lián)的防御設備發(fā)送情報信息。本發(fā)明的一種實施方式又提供了一種報文檢測裝置，應用于防御設備，所述裝置包括：第一確定單元，用于接收待檢測的報文流量，根據所述報文流量的特征，在本地威脅情報庫中確定是否存在與所述特征相匹配的目標情報信息；其中，所述本地威脅情報數據庫是通過云端服務器根據所述防御設備的第一應用場景標識發(fā)送的情報信息建立的；第二確定單元，用于若確定所述本地威脅情報庫中存在與所述特征相匹配的目標情報信息，則根據所述目標情報信息，確定所述待檢測報文的檢測結果。本發(fā)明的一種實施方式另提供了一種建立云端威脅情報庫的裝置，應用于云端服務器，所述裝置包括：獲取單元，用于獲取情報信息，存儲至所述云端服務器的云端威脅情報庫中；增加單元，用于當確定情報信息對應的應用場景信息時，根據所述應用場景信息，為所述情報信息增加第二應用場景標識；其中，所述第二應用場景標識用于區(qū)分情報信息的應用場景，以根據所述第二應用場景標識向與所述應用場景關聯(lián)的防御設備發(fā)送情報信息。本發(fā)明實施方式提供的報文檢測方法及裝置、建立云端威脅情報庫的方法及裝置，能夠根據待檢測報文流量的特征，確定本地威脅情報庫中是否存在與特征相匹配的目標情報信息；若存在，則根據目標情報信息，確定待檢測報文流量的檢測結果。這樣，本發(fā)明實施方式通過使用本地威脅情報庫檢測報文流量，使得防御設備在檢測報文流量的過程中無需頻繁的連接互聯(lián)網，不僅實現(xiàn)了節(jié)省了防御設備連接互聯(lián)網的帶寬資源，而且簡化了檢測報文流量的處理流程，提高了防御設備的工作效率。附圖說明為了更清楚地說明本發(fā)明實施方式或現(xiàn)有技術中的技術方案，下面將對實施方式或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施方式，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本發(fā)明實施方式的報文檢測方法的一種流程圖；圖2為本發(fā)明實施方式的建立云端威脅情報庫的方法的一種流程圖；圖3為本發(fā)明實施方式的報文檢測裝置的一種結構圖；圖4為本發(fā)明實施方式的建立云端威脅情報庫的裝置的一種結構圖。具體實施方式下面將結合本發(fā)明實施方式中的附圖，對本發(fā)明實施方式中的技術方案進行清楚、完整地描述，顯然，所描述的實施方式僅僅是本發(fā)明一部分實施方式，而不是全部的實施方式?；诒景l(fā)明中的實施方式，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施方式，都屬于本發(fā)明保護的范圍。本發(fā)明實施方式公開了一種報文檢測方法，應用于防御設備。參見圖1，圖1為本發(fā)明實施方式的報文檢測方法的一種流程圖，包括如下步驟：步驟101，接收待檢測的報文流量，根據所述報文流量的特征，在本地威脅情報庫中確定是否存在與所述特征相匹配的目標情報信息；其中，所述本地威脅情報庫是通過云端服務器根據所述防御設備的第一應用場景標識發(fā)送的情報信息建立的。具體的，云端服務器根據防御設備的第一應用場景向防御設備發(fā)送情報信息，防御設備根據接收的情報信息建立本地威脅情報庫。目前，為了應對日益增加的網絡病毒和網絡攻擊事件，基于威脅情報的報文檢測技術開始逐漸受到人們重視。由于本地防御設備的資源有限，包含海量數據的威脅情報庫通常會保存在云端服務器。在威脅情報技術應用于防御設備的情況下，防御設備每次處理報文流量均需要在處于云端服務器的云端的威脅情報庫中進行查找匹配，一方面，防御設備頻繁聯(lián)網以訪問處于云端的威脅情報庫，占用了大量帶寬資源；另一方面，處于云端的威脅情報庫中包含了海量的情報信息，而每次查詢均需要遍歷整個威脅情報庫，導致查詢效率低，占用大量的計算資源。這些問題對威脅情報技術的實施應用帶來了較大困難。需要說明的是，在本發(fā)明實施方式中，防御設備具體可以包括入侵防御系統(tǒng)(IntrusionPreventionSystem，IPS)設備、下一代防火墻(NextGenerationFireWall，NGFW)設備、入侵檢測系統(tǒng)(IntrusionDetectionSystems，IDS)設備、無線控制器(AccessController，AC)設備、統(tǒng)一威脅管理(UnitedThreatManagement，UTM)設備等，也就是說，只要能夠支持威脅情報技術的防御設備都可以使用本發(fā)明實施方式所述的方案。在實際應用中，報文流量的特征可以是關鍵代碼、或者IP地址、或者統(tǒng)一資源標識符(UniformResourceIdentifier，URL)中的任意一個或多個。比如，當防御設備接收到報文流量，用戶要求檢測所述報文流量中是否包括病毒，那么，防御設備就可以根據報文流量中的關鍵代碼，在本地威脅情報信息庫中確定是否存在包括所述關鍵代碼的目標情報信息；其中，所述目標情報信息可以是包括關鍵代碼的報文流量，也就是病毒的情報信息。需要說明的是，在本發(fā)明實施方式中，本地威脅情報庫是云端威脅情報信息庫根據防御設備的第一應用場景標識發(fā)送到防御設備上的情報建立的，在本發(fā)明的一種優(yōu)選實施方式中，提供一種建立本地威脅情報庫的具體實施方式，所述方法還可以包括：步驟99，向云端服務器發(fā)送獲取情報信息請求；其中，所述獲取情報信息請求中包括所述防御設備的第一應用場景標識，以使所述云端服務器根據所述第一應用場景標識和云端威脅情報庫中情報信息的第二應用場景標識，確定與所述第一應用場景標識相匹配的情報信息；所述情報信息中包括：所述第二應用場景標識、以及與所述第二應用場景標識關聯(lián)的情報特征信息；步驟100，接收所述云端服務器發(fā)送的、與所述第一應用場景標識相匹配的情報信息，根據所述情報信息建立或更新所述本地威脅情報庫。需要說明的是，第一應用場景標識為防御設備的應用場景標識，第二應用場景標識為情報信息所攜帶的應用場景標識，“第一”、“第二”僅用于區(qū)別不同主體的應用場景標識，但具體的標識中所包含的信息，可以相同，也可以不同，對此不加以限制。其中，當防御設備根據情報信息建立本地威脅情報庫時，則步驟99和步驟100在步驟101之前執(zhí)行，當防御設備根據情報信息更新本地威脅情報庫時，步驟99和步驟100一般在步驟101之后執(zhí)行。在實際應用中，為了減少防御設備在檢測報文流量過程中連接互聯(lián)網的次數，在防御設備接收待檢測的報文流量之前，可以將云端威脅情報庫保存在本地的防御設備中，但由于云端威脅情報庫的數據量過大而防御設備的存儲空間有限，因此，在本發(fā)明實施方式中，可以將根據防御設備的應用場景，獲取云端威脅情報庫中與防御設備的應用場景相匹配的情報信息防御設備。具體地，防御設備的應用場景可以是金融、教育、政府、運營商等中的一個或者多個，需要根據防御設備的應用場景確定防御設備的第一應用場景標識。比如，當防御設備的應用場景為醫(yī)療時，對應的第一應用場景標識可以是“醫(yī)療”；當防御設備的應用場景為金融類學校時，對應的第一應用場景標識可以是“金融和教育”。具體的，用戶可以根據自身的需求向防御設備發(fā)送應用環(huán)境指令，應用環(huán)境指令中包括第一應用場景標識，防御設備可以根據接收的應用環(huán)境指令確定第一應用場景標識?；蛘?，防御設備通過機器學習算法確定報文流量的第一應用場景標識，具體的機器學習算法可以采用現(xiàn)有技術中的算法，在此不再贅述。需要說明的是，對于同一個防御設備，對應的第一應用場景標識也不是一成不變的，第一應用場景標識可以隨著防御設備的應用場景的變化而進行更新；可以理解的，當防御設備的應用場景發(fā)生變化時，需要根據變化后的應用場景，更新第一應用場景標識，進而重新建立與更新后的第一應用場景標識相匹配的本地威脅情報庫。具體地，為了建立本地威脅情報庫，防御設備可以向云端服務器發(fā)送包含第一應用場景標識的獲取情報信息請求；這樣，云端服務器就能夠根據第一應用場景標識，確定與第一應用場景標識相匹配的第二應用場景標識相關聯(lián)的情報特征信息，再將確定好的情報特征信息發(fā)送到防御設備，使得防御設備能夠根據接收到的情報特征信息建立或者更新本地威脅情報庫。需要說明的是，由于云端服務器中的情報信息是以情報特征信息的方式保存在云端威脅情報庫中的。當然，也可以以其他能夠體現(xiàn)情報信息特征的形式來保存。本發(fā)明對云端威脅情報庫中情報信息的保存形式不加以限制。這樣，防御設備在向云端服務器發(fā)送包括第一應用場景標識的獲取情報信息請求，并接收到來自云端服務器、與第一應用場景標識相匹配的情報信息后，能夠根據接收到的情報信息建立或者更新本地威脅情報庫；可以理解的，本地威脅情報庫中的情報信息也是以情報特征信息的方式來保存的，且與云端威脅情報庫中的情報信息中情報信息的保存形式相同。步驟102，若確定所述本地威脅情報庫中存在與所述特征相匹配的目標情報信息，則根據所述目標情報信息，確定所述待檢測報文的檢測結果。具體地，當本地威脅情報庫中存在與所述特征相匹配的目標情報信息時，可以根據目標情報信息確定待檢測報文的檢測結果。其中，待檢測報文流量的檢測結果可以與本地威脅情報庫中保存的情報特征信息相對應；比如，建立的本地威脅情報庫中的特征信息為病毒的部分代碼，那么，待檢測報文流量的檢測結果就可以是待檢測報文流量包括或者不包括病毒。或者，本地威脅情報庫中的特征信息為惡意攻擊的IP地址，則可以根據該特征信息判斷待檢測報文流量的源IP地址是否為惡意攻擊IP。當然，對于本地威脅情報庫中保存的特征信息可以為一個，也可以為多個。若特征信息為多個，則在確定是否存在與特征相匹配的目標情報信息時，需要根據多個特征進行匹配?？梢?，本發(fā)明實施方式能夠根據待檢測報文流量的特征，確定本地威脅情報庫中是否存在與特征相匹配的目標情報信息；若存在，則根據目標情報信息，確定待檢測報文流量的檢測結果。這樣，本發(fā)明實施方式通過使用本地威脅情報庫檢測報文流量，使得防御設備在檢測報文流量的過程中無需頻繁的連接互聯(lián)網，不僅實現(xiàn)了節(jié)省了防御設備連接互聯(lián)網的帶寬資源，而且簡化了檢測報文流量的處理流程，提高了防御設備的工作效率。此外，在本發(fā)明的一種優(yōu)選實施方式中，所述方法還可以包括：若確定本地威脅情報庫中不存在與所述特征匹配的目標情報信息，則向所述云端服務器發(fā)送檢測請求；其中，所述檢測請求中包括所述待檢測的報文流量的特征，以使所述云端服務器根據所述特征信息確定云端威脅情報庫是否存在與所述特征相匹配的目標情報信息。需要說明的是，由于本地威脅情報庫是根據防御設備的應用場景從云端威脅情報庫中獲取的情報信息建立的，因此當云端威脅情報庫中情報信息的第二應用場景標識錯誤或者不準確時，可能導致本地威脅情報庫不存在與所述特征匹配的目標情報信息。在本步驟中，在確定本地威脅情報庫中不存在與待檢測報文流量的特征匹配的目標情報信息時，可以連接互聯(lián)網，向云端服務器發(fā)送包括待檢測報文特征的檢測請求，使得云端服務器根據檢測請求確定云端威脅情報庫中是否存在與所述特征相匹配的目標情報信息。為了在使用中不斷完善威脅情報庫，在本發(fā)明的再一種優(yōu)選實施方式中，所述方法還可以包括：向云端服務器發(fā)送防御設備的第一應用場景標識，以使得云端服務器在根據所述特征信息確定云端威脅情報庫中存在與所述特征匹配的目標情報信息后，按照所述第一應用場景標識，更新所述目標情報信息的應用場景標識。在實際應用中，當本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息時，就需要連接互聯(lián)網，向云端服務器發(fā)送檢測請求，這樣不僅占用了連接互聯(lián)網的帶寬資源，而且增加了檢測報文流量的處理流程。因此，為了盡量避免出現(xiàn)這種情況，減少連接互聯(lián)網的次數，提高報文流量檢測的效率，需要在使用過程中逐步完善云端威脅情報庫本地威脅情報庫。需要說明的是，由于本地威脅情報庫是云端服務器通過確定與第一應用場景標識匹配的第二應用場景標識，將第二應用場景相關聯(lián)的情報信息發(fā)送到防御設備中，由防御設備建立的，當出現(xiàn)本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息的情況時，可能是云端威脅情報庫中情報信息的第二應用場景標識錯誤或者不準確；此時，需要對云端威脅情報庫中情報信息的第二應用場景標識進行更新。具體地，防御設備可以有以下兩種實施方式，使得云端威脅情報庫更新第二應用場景標識。第一種實施方式：防御設備在確定本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息之后，向云端服務器發(fā)送檢測請求；其中，檢測請求中除了攜帶待檢測報文流量的特征信息，還攜帶與待檢測報文關聯(lián)防御設備的第一應用場景標識，以使得云端服務器在確定云端威脅情報庫中存在與待檢測報文流量的特征相匹配的目標情報信息時，根據第一應用場景標識更新匹配到的目標情報信息的應用場景標識，或者根據第一應用場景標識為匹配到的目標情報信息添加應用場景標識；第二種實施方式：防御設備在確定本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息之后，向云端服務器發(fā)送檢測請求；其中，檢測請求中除了攜帶待檢測報文流量的特征，還攜帶防御設備地址信息；以使得云端服務器在確定云端威脅情報庫中存在與待檢測報文流量的特征相匹配的目標情報信息時，根據防御設備的地址信息向防御設備發(fā)送針對第一應用場景標識的獲取請求；可選的，獲取請求中包括目標情報信息的標識；防御設備接收到來自云端服務器的獲取請求后，向云端服務器發(fā)送針對獲取請求的響應信息；其中，響應信息中包括目標情報信息的標識以及第一應用場景標識；以使得云端服務器根據所述響應信息中包括的目標情報信息的標識和第一應用場景標識，更新目標情報信息的應用場景標識。云端服務器在接收到響應消息之后，獲取響應消息中的目標情報信息的標識，以及第一應用場景標識，則根據該第一應用場景標識更新目標情報信息的應用場景標識，或者根據第一應用場景標識為目標情報信息添加應用場景標識。這樣，實現(xiàn)了對云端服務器的云端威脅情報庫中情報信息的第二應用場景標識的更新，在防御設備建立或者更新本地威脅情報庫時，就能夠獲得到云端威脅情報庫中更新應用場景標識后的情報信息，使本地威脅情報庫更加完善；減少了出現(xiàn)本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息問題的幾率，從而減少了防御設備在檢測報文流量過程中連接互聯(lián)網的次數。可見，本發(fā)明實施方式在對待檢測報文的檢測過程中，能夠優(yōu)選本地威脅情報庫，在確定本地威脅情報庫中不存在與待檢測報文流量特征相匹配的目標情報信息的情況下，再在云端威脅情報庫中確定是否存在與待檢測報文流量特征相匹配的目標情報信息；并且，云端威脅情報庫和本地威脅情報庫還可以在使用過程中不斷完善。這樣，能夠盡量減少防御設備在對待檢測報文流量的檢測過程中連接互聯(lián)網的次數，不僅節(jié)省了連接互聯(lián)網的帶寬資源，而且提高了報文檢測的工作效率。此外，還需要說明的是，在實際應用中，對于同一報文流量，防御設備在對多個特征進行匹配時，相應的會得到多個檢測結果，因此，在多個檢測結果不一致的情況下，需要根據預設規(guī)則進行決策，確定報文流量的最終檢測結果。舉例來說，防御設備同時采用不同的特征對報文流量進行檢測時，例如可以使用URL過濾方式(特征為URL)和使用AV過濾方式(特征為關鍵代碼)對報文進行檢測。在用戶要求檢測接收到的報文流量中是否包括病毒時，防御設備使用URL過濾方式得到的檢測結果為報文流量中包括病毒，但是，防御設備使用AV過濾方式得到的檢測結果為報文流量中不包括病毒；在這種情況下，需要確定報文流量中到底包不包括病毒。優(yōu)選地，在本發(fā)明實施方式中，本地威脅情報庫中或者云端威脅情報庫的情報信息除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，還包括與情報特征信息關聯(lián)的權重信息，權重信息用于在確定是否存在與報文流量的特征相匹配的目標情報信息時，若報文流量與本地威脅情報庫中或者云端威脅情報庫的情報信息的多個特征匹配時，根據匹配到的特征信息的權重，確定檢測報文的最終檢測結果?？蛇x的，可以根據權重越高越優(yōu)先生效的原則，確定報文流量的最終檢測結果。舉例來說，具體地，若使用URL過濾方式(特征為URL)的權重大于使用AV過濾方式(特征為關鍵代碼)的權重，則以URL過濾方式的權重作為最終檢測結果。優(yōu)選地，在本發(fā)明實施方式中，本地威脅情報庫中或者云端威脅情報庫中的情報信息除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，還包括可信度。針對可信度，需要說明的是：在根據目標情報信息，確定待檢測報文流量的檢測結果之后，可以根據目標情報信息的可信度大小，確定下一步需要執(zhí)行的動作。在實際應用中，由于從開源機構或者海量數據同步來的情報信息數量較多，通常無法對大量的情報信息進行清洗處理；未經清洗處理的情報信息的可信度較低，而近期經過清洗處理后保留的情報信息的可信度較高；若將可信度分為0～10共十個等級，則經過處理后保留的情報信息的可信度可以為10。具體地，當目標情報信息的可信度較大，超過預設閾值時，說明目標情報信息的可靠性較高，可以直接執(zhí)行預設的處理動作；當目標情報信息的可信度較小，沒有超過預設閾值時，說明目標情報信息的可靠性較低，為了保險起見，可以先發(fā)出告警動作，進而由用戶根據實際情況來決定是否執(zhí)行處理操作。比如，在檢測結果為報文流量中包括病毒的情況下，當目標情報信息的可信度超過預設閾值時，可以直接執(zhí)行攔截報文流量的處理動作；當目標情報信息的可信度沒有超過預設閾值時，可以先向用戶發(fā)出報文流量中包括病毒的告警動作，進而由用戶根據實際情況來決定是否執(zhí)行攔截報文流量的處理動作。優(yōu)選地，在本發(fā)明實施方式中，本地威脅情報庫中或者云端威脅情報庫中的情報信息除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，還包括老化時間。針對老化時間，需要說明的是：由于超過老化時間的情報信息的有效性較差，因此，在實際應用中，可以刪除到達老化時間的情報信息；也可以根據老化時間，設置本地威脅情報庫向云端威脅情報庫的更新時間，比如可以設置“超過老化時間后立即同步”；或者按照自定義時間更新本地威脅情報庫。在實際應用中，本地威脅情報庫中或者云端威脅情報庫中的情報信息中除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，可以包括權重、可信度和老化時間中的一個或者多個?？梢?，本發(fā)明實施方式可以通過根據特征的權重，在多個檢測結果中決策出最終檢測結果；以及根據情報信息的可信度，確定是否執(zhí)行檢測結果對應的處理動作；以及根據情報信息的老化時間，確定是否從本地威脅情報庫中刪除過期的情報信息，或者是否更新本地威脅情報庫，實現(xiàn)保證最終檢測結果準確性的目的。本發(fā)明實施方式又公開了一種建立云端威脅情報庫的方法，應用于云端服務器。參見圖2，圖2為本發(fā)明實施方式的在服務器上建立云端威脅情報庫的方法的一種流程圖，包括如下步驟：步驟201，獲取情報信息，存儲至云端服務器的云端威脅情報庫中；步驟202，當確定情報信息對應的應用場景信息時，根據所述應用場景信息，為所述情報信息增加第二應用場景標識。云端服務器可以根據自身接收的情報信息，通過機器學習算法確定情報信息的應用場景標識，具體的機器學習算法可以采用現(xiàn)有技術中的算法，在此不再贅述。其中，所述第二應用場景標識用于區(qū)分情報信息的應用場景，以根據所述第二應用場景標識向與所述第二應用場景關聯(lián)的防御設備發(fā)送情報信息。在實際應用中，云端服務器為了將云端威脅情報庫中的情報信息發(fā)送至防御設備，本發(fā)明實施方式分別為云端威脅情報庫中的每條情報信息增加了第二應用場景標識。這樣，當云端服務器接收到來自防御設備的第一應用場景標識后，能夠根據第一應用場景標識，確定與第一應用場景標識相匹配的第二應用場景標識相關聯(lián)的情報信息，進而能夠將確定好的情報信息發(fā)送至防御設備，以使得防御設備能夠根據接收到的情報信息建立或者更新本地威脅情報庫。比如，可以用英文字母A～Z表示不同的第二應用場景標識，字母A可以用來表示第二應用場景標識為金融，字母B可以用來表示第二應用場景標識為政府，字母C可以用來表示第二應用場景標識為通信運營商，字母Z可以用來表示第二應用場景標識為“all”，也就是說，當第二應用場景標識為字母Z時，可以與所有的第一應用場景標識相匹配；當然，也可以同時用兩個字母AC來標識在金融場景和通信運營商場景中、均需要關注的情報信息的第二應用場景標識。這樣，云端服務器可以將第二應用場景標識為字母A的情報特征信息，發(fā)送至第一應用場景為“金融”的防御設備中，使防御設備根據接收到的情報信息建立本地威脅情報庫。在本發(fā)明的又一種優(yōu)選實施方式中，提供一種建立本地威脅情報庫的具體實施方式，所述方法包括：接收防御設備發(fā)送的獲取情報信息請求；其中，所述獲取情報信息請求中包括所述防御設備的第一應用場景標識；根據所述第一應用場景標識，確定與所述第一應用場景標識相匹配的情報信息；其中，所述情報信息中包括：第一應用場景標識和與所述第一應用場景標識關聯(lián)的情報特征信息；向所述防御設備發(fā)送與所述第一應用場景標識相匹配的情報信息，以使所述防御設備根據所述情報信息建立所述本地威脅情報庫。需要說明的是，第一應用場景標識為防御設備的應用場景標識，第二應用場景標識為情報信息所攜帶的應用場景標識，“第一”、“第二”僅用于區(qū)別不同主體的應用場景標識，但具體的標識中所包含的信息，可以相同，也可以不同，對此不加以限制。具體地，云端服務器在接收到來自防御設備的、包括第一應用場景標識的獲取情報信息請求后，能夠根據防御設備的應用場景，將與第一應用場景標識相匹配的第二應用場景標識相關聯(lián)的情報特征信息發(fā)送到防御設備，使得防御設備根據接收到的第一應用場景標識和情報特征信息，建立本地威脅情報庫。需要說明的是，由于云端威脅情報庫中的情報信息是以情報特征信息的方式保存在云端服務器中的。當然，也可以以其他能夠體現(xiàn)情報信息特征的形式來保存。本發(fā)明對云端數據庫中情報信息的保存形式不加以限制。在本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息的情況下，在本發(fā)明的另一種優(yōu)選實施方式中，所述方法還包括：接收所述防御設備發(fā)送的檢測請求；其中，所述檢測請求中包括所述待檢測的報文流量的特征信息，根據所述特征信息確定是否存在與所述特征匹配的目標情報信息；若確定存在與所述特征匹配的目標情報信息，則根據所述目標情報信息，確定所述待檢測報文的檢測結果。具體地，在本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息時，本地威脅情報庫可以連接互聯(lián)網，向云端服務器發(fā)送包括待檢測報文特征的檢測請求；當云端服務器確定云端威脅情報庫中存在與所述特征匹配的目標情報信息時，可以根據所述目標情報信息，確定所述待檢測報文的檢測結果。但是，這樣在云端威脅情報庫中對待檢測報文流量進行檢測，不僅占用了連接互聯(lián)網的帶寬資源，而且增加了檢測報文流量的處理流程。因此，為了盡量避免出現(xiàn)這種情況，減少連接互聯(lián)網的次數，提高報文流量檢測的效率，需要在使用過程中逐步完善云端威脅情報庫和本地威脅情報庫。為了在使用中不斷完善云端威脅情報庫和本地威脅情報庫，在本發(fā)明的另一種優(yōu)選實施方式中，所述方法包括：當云端服務器確定存在與所述特征匹配的目標情報信息時，獲取防御設備的應用場景標識，根據所述防御設備的應用場景標識，更新所述目標情報信息的應用場景標識。在實際應用中，在本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息，并向云端服務器發(fā)送包括待檢測報文特征的檢測請求的情況下，云端服務器在接收到來自防御設備的檢測請求，且確定云端威脅情報庫中存在與所述特征匹配的目標情報信息時，可以根據防御設備的應用場景標識，更新目標情報信息的應用場景標識。具體地，云端服務器獲取防御設備的應用場景標識，根據防御設備的應用場景標識，更新所述目標情報信息的應用場景標識，可以有以下兩種實施方式。第一種實施方式：云端服務器在接收到來自防御設備的檢測請求時，先根據檢測請求中攜帶的待檢測報文流量的特征信息，確定是否存在與所述特征相匹配的目標情報信息，若存在，則根據檢測請求中攜帶的第一應用場景標識，更新目標情報信息的第二應用場景標識，或者根據第一應用場景標識為匹配到的目標情報信息添加應用場景標識；第二種實施方式：云端服務器在接收到來自防御設備的檢測請求，且確定存在與待檢測報文的特征相匹配的目標情報信息之后，可以根據檢測請求中攜帶的防御設備地址信息或者防御設備的標識信息，向防御設備發(fā)送針對第一應用場景標識的獲取請求；可選的，獲取請求中包括目標情報信息的標識；獲取請求中可以包括目標情報信息的標識，目標情報信息的標識用于唯一標識目標情報信息；云端服務器在接收到來自防御設備的響應信息后，根據所述響應信息中包括的目標情報信息的標識和第一應用場景標識，更新目標情報信息的應用場景標識。云端服務器在接收到響應消息之后，獲取響應消息中的目標情報信息的標識，以及第一應用場景標識，則根據該第一應用場景標識更新目標情報信息的應用場景標識，或者根據第一應用場景標識為目標情報信息添加應用場景標識。這樣，實現(xiàn)了對云端威脅情報庫中情報信息的第二應用場景標識的更新，以使得防御設備在重新建立或者更新本地威脅情報庫時，能夠獲得到云端威脅情報庫中更新第二應用場景標識后的情報信息，不僅使云端威脅情報庫中情報信息的第二應用場景標識更加準確，而且使本地威脅情報庫更加完善。那么，可以減少出現(xiàn)本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息的問題的幾率，進而減少防御設備在檢測報文流量過程中連接互聯(lián)網的次數，不僅節(jié)省了連接互聯(lián)網的帶寬資源，而且提高了報文檢測的工作效率。優(yōu)選地，云端威脅情報庫的情報信息除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，還包括與情報特征信息關聯(lián)的權重信息；權重信息用于在確定是否存在與報文流量的特征相匹配的目標情報信息時，若報文流量與本地威脅情報庫中或者云端威脅情報庫的情報信息的多個特征匹配時，根據匹配到的特征信息的權重，確定檢測報文的最終檢測結果。優(yōu)選地，在本發(fā)明實施方式中，云端威脅情報庫中的情報信息除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，還包括可信度；在實際應用中，可以根據情報信息的信息來源，為情報信息增加可信度；信息來源較為可靠的情報信息對應的可信度較高，信息來源不可靠的情報信息對應的可信度較低。優(yōu)選地，在本發(fā)明實施方式中，云端威脅情報庫中的情報信息除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，還包括老化時間；老化時間用于設置云端威脅情報庫中情報信息的生存時長，或者設置云端威脅情報庫更新本地威脅情報庫的更新間隔。而情報信息的老化時間與情報信息的類型有關。比如，來源于相對固定的命令及控制(CommandandControl，CC)服務器地址的情報信息，老化時間就相對長些；來源于被感染的主機地址的情報信息，老化時間就相對短些。需要說明的是，云端威脅情報庫中的情報信息中除了包括第二應用場景標識、以及與第二應用場景標識關聯(lián)的情報特征信息以外，可以包括權重信息、可信度和老化時間中的一個或者多個。在實際應用中，對于云端威脅情報庫中的每條情報信息，可以將情報信息中的第二應用場景標識、權重信息、可信度和老化時間作為屬性信息進行標記，具體如表1所示，表1為情報信息的屬性信息表：情報編號特征類型可信度權重老化時間應用場景標識保留字段100001IP信譽度10972hZ200002惡意URL8836hC300003僵尸網絡8724hX表1在表1所示的情報信息的屬性信息表中，可以包括情報編號(標識)、特征類型、可信度、權重信息、老化時間、應用場景標識和保留字段，需要說明的是，目前威脅情報庫中的特征類型主要為IP信譽度類型、惡意URL類型、僵尸網絡類型、社工類型等；情報編號可以用于唯一標識情報信息。其中，情報編號的首數字可以對應特征類型，也就是說，屬于同一個特征類型的情報信息對應的情報編號首數字可以相同。比如，特征類型為IP信譽度的情報信息對應的情報編號首數字均為1，特征類型為惡意URL的情報信息對應的情報編號首數字均為2，特征類型為僵尸網絡的情報信息對應的情報編號首數字均為3。還需要說明的是，表1中的應用場景標識為第二應用場景標識?？梢?，本發(fā)明實施方式可以根據情報信息的權重信息，在多個檢測結果中決策出最終檢測結果；以及根據情報信息的可信度，確定是否執(zhí)行檢測結果對應的處理動作；以及根據情報信息的老化時間，確定是否從本地威脅情報庫中刪除過期的情報信息，或者是否更新本地威脅情報庫，以保證最終檢測結果準確性。本發(fā)明實施方式還公開了一種報文檢測裝置，應用于防御設備，如圖3所示，圖3為本發(fā)明實施方式的報文檢測裝置的一種結構圖，該裝置與圖1所示的方法流程相對應，所述裝置包括：第一確定單元301，用于接收待檢測的報文流量，根據所述報文流量的特征，在本地威脅情報庫中確定是否存在與所述特征相匹配的目標情報信息；其中，所述本地威脅情報數據庫是通過云端服務器根據所述防御設備的第一應用場景標識發(fā)送的情報信息建立的；第二確定單元302，用于若確定所述本地威脅情報庫中存在與所述特征相匹配的目標情報信息，則根據所述目標情報信息，確定所述待檢測報文的檢測結果。在本發(fā)明的一種優(yōu)選實施方式中，所述裝置還包括：第一發(fā)送單元，用于向云端服務器發(fā)送獲取情報信息請求；其中，所述獲取情報信息請求中包括所述防御設備的第一應用場景標識，以使所述云端服務器根據所述第一應用場景標識和云端威脅情報庫中情報信息的第二應用場景標識，確定與所述第一應用場景標識相匹配的情報信息；所述情報信息中包括：所述第二應用場景標識、以及與所述第二應用場景標識關聯(lián)的情報特征信息；第一接收單元，用于接收云端服務器發(fā)送的、與所述第一應用場景標識相匹配的情報信息，根據所述情報信息建立或更新所述本地威脅情報庫。在本發(fā)明的又一種優(yōu)選實施方式中，第二確定單元302還用于若確定本地威脅情報庫中不存在與所述特征匹配的目標情報信息，則向云端服務器發(fā)送檢測請求；其中，所述檢測請求中包括所述待檢測的報文流量的特征信息，以使云端服務器根據所述特征信息確定云端威脅情報庫中是否存在與所述特征相匹配的目標情報信息。在本發(fā)明的另一種優(yōu)選實施方式中，所述裝置還包括：第二發(fā)送單元，用于向云端服務器發(fā)送防御設備的第一應用場景標識，以使得云端服務器在根據所述特征信息確定云端威脅情報庫中存在與所述特征匹配的目標情報信息后，按照所述第一應用場景標識，更新所述目標情報信息的應用場景標識。本上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應步驟的實現(xiàn)過程，在此不再贅述?？梢姡景l(fā)明實施方式所提供的裝置，在對待檢測報文的檢測過程中，能夠優(yōu)選本地威脅情報庫，在確定本地威脅情報庫中不存在與待檢測報文流量特征相匹配的目標情報信息的情況下，再在云端威脅情報庫中確定是否存在與待檢測報文流量特征相匹配的目標情報信息；并且，云端威脅情報庫和本地威脅情報庫還可以在使用過程中不斷完善。這樣，能夠盡量減少防御設備在對待檢測報文流量的檢測過程中連接互聯(lián)網的次數，不僅節(jié)省了連接互聯(lián)網的帶寬資源，而且提高了報文檢測的工作效率。本發(fā)明實施方式再公開了一種建立云端威脅情報庫的裝置，應用于云端服務器，如圖4所示，圖4為本發(fā)明實施方式的建立云端威脅情報庫的裝置的一種結構圖，該裝置與圖2所示的方法流程相對應，所述裝置包括：獲取單元401，用于獲取情報信息，存儲至云端服務器的云端威脅情報庫中；增加單元402，用于當確定情報信息對應的應用場景信息時，根據所述應用場景信息，為所述情報信息增加第二應用場景標識；其中，所述第二應用場景標識用于區(qū)分情報信息的應用場景，以根據所述第二應用場景標識向與所述應用場景關聯(lián)的防御設備發(fā)送情報信息。在本發(fā)明的一種優(yōu)選實施方式中，所述裝置還包括：第二接收單元，用于接收防御設備發(fā)送的獲取情報信息請求；其中，所述獲取情報信息請求中包括所述防御設備的第一應用場景標識；第三確定單元，用于根據所述第一應用場景標識，確定與所述第一應用場景標識相匹配的情報信息；其中，所述情報信息中包括：第一應用場景標識和與所述第一應用場景標識關聯(lián)的情報特征信息；發(fā)送單元，用于向所述防御設備發(fā)送與所述第一應用場景標識相匹配的情報信息，以使所述防御設備根據所述情報信息建立所述本地威脅情報庫。在本發(fā)明的又一種優(yōu)選實施方式中，所述裝置還包括：第三接收單元，用于接收所述防御設備發(fā)送的檢測請求；其中，所述檢測請求中包括所述待檢測的報文流量的特征信息，根據所述特征信息確定是否存在與所述特征匹配的目標情報信息；第四確定單元，用于若確定存在于所述特征匹配的目標情報信息，則根據所述目標情報信息，確定所述待檢測報文的檢測結果。在本發(fā)明的另一種優(yōu)選實施方式中，所述裝置還包括：更新單元，用于當確定存在與所述特征匹配的目標情報信息時，獲取防御設備的應用場景標識，根據所述防御設備的應用場景標識，更新所述目標情報信息的應用場景標識。本上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應步驟的實現(xiàn)過程，在此不再贅述。這樣，本發(fā)明實施方式所提供的裝置，能夠為云端威脅情報庫中的情報信息增加應用場景標識，進而根據防御設備的應用場景，向防御設備發(fā)送與防御設備的應用場景相匹配的情報信息的效果，使得防御設備能夠根據接收到的情報信息，建立本地威脅情報庫。這樣，防御設備就能夠使用本地威脅情報庫對報文流量進行檢測，減少防御設備在對待檢測報文流量的檢測過程中連接互聯(lián)網的次數，不僅節(jié)省了連接互聯(lián)網的帶寬資源，而且提高了報文檢測的工作效率。在上述報文檢測裝置和上述建立云端威脅情報庫的裝置的基礎上，提出了一種基于威脅情報的系統(tǒng)。所述基于威脅情報的系統(tǒng)包括防御設備和云端服務器；其中，本地威脅情報庫保存在防御設備中，云端威脅情報庫保存在云端服務器中。在實際應用中，所述基于威脅情報的系統(tǒng)建立本地威脅情報庫的具體過程可以包括：防御設備向云端服務器發(fā)送獲取情報信息請求；其中，所述獲取情報信息請求中包括所述防御設備的第一應用場景標識，以使所述云端服務器根據所述第一應用場景標識和云端威脅情報庫中情報信息的第二應用場景標識，確定與所述第一應用場景標識相匹配的情報信息；所述情報信息中包括：所述第二應用場景標識、以及與所述第二應用場景標識關聯(lián)的情報特征信息；云端服務器接收防御設備發(fā)送的獲取情報信息請求；其中，所述獲取情報信息請求中包括所述防御設備的第一應用場景標識；云端服務器根據所述第一應用場景標識，確定與所述第一應用場景標識相匹配的情報信息；其中，所述情報信息中包括：第一應用場景標識和與所述第一應用場景標識關聯(lián)的情報特征信息；云端服務器向所述防御設備發(fā)送與所述第一應用場景標識相匹配的情報信息，以使所述防御設備根據所述情報信息建立所述本地威脅情報庫；防御設備接收所述云端服務器發(fā)送的、與所述第一應用場景標識相匹配的情報信息，根據所述情報信息建立或更新所述本地威脅情報庫?？梢姡谕{情報的系統(tǒng)中的云端服務器在接收到來自防御設備的、包括第一應用場景標識的獲取情報信息請求后，能夠根據防御設備的應用場景，將與第一應用場景標識相匹配的情報信息發(fā)送到防御設備，使得防御設備根據接收到的第一應用場景標識和情報信息，建立或更新本地威脅情報庫。此外，所述基于威脅情報的系統(tǒng)更新云端威脅情報庫中情報信息的第二應用場景標識的具體過程可以包括：防御設備向云端服務器發(fā)送防御設備的第一應用場景標識，以使得所述云端服務器在根據所述特征信息確定存在與所述特征匹配的目標情報信息后，按照所述第一應用場景標識，更新所述目標情報信息的應用場景標識；當所述云端服務器確定存在與所述特征匹配的目標情報信息時，獲取防御設備的應用場景標識，根據所述防御設備的應用場景標識，更新所述目標情報信息的應用場景標識?？梢?，基于威脅情報的系統(tǒng)能夠實現(xiàn)對云端威脅情報庫中情報信息的第二應用場景標識的更新，這樣，在重新建立或者更新本地威脅情報庫時，就能夠獲得到云端威脅情報庫中更新第二應用場景標識后的情報信息，使本地威脅情報庫更加完善；降低了出現(xiàn)本地威脅情報庫中不存在與待檢測報文流量的特征相匹配的目標情報信息問題的幾率，從而減少了防御設備在檢測報文流量過程中連接互聯(lián)網的次數。需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。本說明書中的各個實施方式均采用相關的方式描述，各個實施方式之間相同相似的部分互相參見即可，每個實施方式重點說明的都是與其他實施方式的不同之處。尤其，對于系統(tǒng)實施方式而言，由于其基本相似于方法實施方式，所以描述的比較簡單，相關之處參見方法實施方式的部分說明即可。以上所述僅為本發(fā)明的較佳實施方式而已，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍內。當前第1頁1 2 3