(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211068358.9 (22)申请日 2022.09.02 (65)同一申请的已公布的文献号 申请公布号 CN 115145941 A (43)申请公布日 2022.10.04 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 王云赫　徐彬　薛锋　任政　 童兆丰　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 崔振 (51)Int.Cl. G06F 16/23(2019.01)G06F 16/2457(2019.01) G06F 21/55(2013.01) (56)对比文件 CN 114417329 A,2022.04.29 CN 114500048 A,202 2.05.13 US 2015207809 A1,2015.07.23 US 2019220580 A1,2019.07.18 审查员 李文浩 (54)发明名称 一种情报管 理方法、 系统及计算机可读存储 介质 (57)摘要 本发明公开了一种情报管 理方法、 系统及计 算机可读存储介质。 该方法包括： 周 期性地从若 干情报源获取威胁情报更新数据保存到本地内 存中供本地安全模块使用， 并实时地将获取的威 胁情报更新数据按照对应的数据源、 以及获取时 间归档到 数据库中进行保存； 基于用户配置的输 出策略， 周期性地从所述数据库中筛选相应的威 胁情报更新数据传输到作为客户端的其他设备； 所述其他设备利用获取的威胁情报更新数据进 行安全防御。 本发明提供的情报管理方案不仅能 对第三方威胁情报进行归档管理， 还能以安全、 定制化的方式对其 他设备进行情 报赋能。 权利要求书2页 说明书4页 附图2页 CN 115145941 B 2022.12.16 CN 115145941 B 1.一种情报管理系统， 其特征在于， 所述系 统包括： 威胁情报平台(TIP)设备以及若干 客户端； 所述 威胁情报平台设备包括： 情 报获取模块， 情 报输出模块以及数据库； 所述情报获取模块， 周期性地从若干情报源获取威胁情报更新数据， 保存到本地内存 中供本地安全模块使用， 并实时地将获取 的威胁情报更新数据按照对应的获取数据源、 以 及获取时间归档到数据库中进 行存储； 将获取的威胁情报更新数据保存到本地内存和数据 库前， 所述情报获取模块还识别所获取 的威胁情报更新数据中每条威胁情报的威胁等级、 并对每条威胁情 报附加相应的威胁等级标识信息后归档到所述数据库中进行保存； 所述情报输出模块， 基于用户配置的输出策略向所述若干客户端输出相应的威胁情报 更新数据， 其同时支持多个输出配置策略； 所述输出策略的配置内容包括： 输出情报限定参数， 加密配置参数， 输出频率以及指定 接收相应威胁情报更新数据的目标客户端； 所述输出情报限定参数包括： 用于限定输出威 胁情报更新数据的获取情报来源的情报源参数， 用于限定输出威胁情报更新数据中每条威 胁情报的字段的输出字段参数， 用于限定输出的威胁情报更新数据获取时间距离当前输出 时刻以前时间范围的获取时间范围参数， 用于限定输出的威胁情报更新数据中每条情报的 威胁等级的威胁等级参数； 所述加密配置参数包括： 加密算法， 加密密钥， 加密输出文件名 及压缩格式； 所述情报输出模块以具体输出策略中的输出频率， 周期性地从所述数据库筛选出符合 该具体输出策略中输出情报限定参数限定的威胁情报更新数据； 按照该具体输出策略中加 密配置参数指 定的加密方式进 行加密， 生成该具体输出策略中加密配置参数指 定的输出文 件名和压缩格式的待传输威胁情报更新文件保存到相应的存储路径下， 以供对应的目标客 户端获取进行安全防御。 2.如权利要求1所述的情报管理系统， 其特征在于， 所述情报输出模块还基于是否设置 所述获取时间范围参数的值， 确定以全量方式或增量方式从所述数据库中获取符合所述输 出情报限定参数限定的威胁情报更新数据进行加密输出； 具体实现为： 若不设置所述获取 时间范围参数 的值， 按照具体输出策略配置的所述输出频率， 以全量方式从所述数据库中 获取符合所述输出情报限定参数中其它参数限定的威胁情报更新数据进行加密输出； 否 则， 按照该具体输出策略配置的所述输出频率以增量方式， 从所述数据库中获取距离当前 输出时刻在所述 获取时间范围参数值内、 符合所述输出情报限定参数中其它参数限定的威 胁情报更新数据进行加密输出。 3.一种威胁情报管理方法， 其特征在于， 所述方法包括： 利用计算机设备周期性地从若 干情报源获取威胁情报更新数据保存到本地内存中供本地安全模块使用， 并实时地将获取 的威胁情报更新数据按照对应的获取数据源、 以及获取时间归档到数据库中进行保存； 将 获取的威胁情报更新数据保存到本地内存和数据库前， 识别所获取的威胁情报更新数据中 每条威胁情报的威胁等级、 并对每条威胁情报附加相应的威胁等级标识信息后归档到所述 数据库中进行保存； 配置若干个输出策略， 所述输出策略的配置内容包括： 输出情报限定参数， 加密配置参 数， 输出频率以及指定接 收相应威胁情报更新数据的目标客户端设备； 所述输出情报限定 参数包括： 用于限定输出威胁情报更新数据的获取情报来源的情报源参数， 用于限定输出 威胁情报更新数据中每条威胁情报的字段的输出字段参数， 用于限定输出的威胁情报更新权　利　要　求　书 1/2 页 2 CN 115145941 B 2数据获取时间距离 当前输出时刻以前时间范围的获取时间范围参数， 用于限定输出的威胁 情报更新数据中每条情报的威胁等级的威胁等级参数； 所述加密配置参数包括： 加密算法， 加密密钥， 加密输出文件名及压缩格式； 设置所述计算机设备按照具体输出策略中指定的输出频率， 周期性地从所述数据库筛 选出符合所述具体输出策略中输出情报限定参数所限定的威胁情报更新数据， 按照该具体 输出策略中加密配置参数指定的加密方式进 行加密， 生成该具体输出策略中加密配置参数 指定的输出文件名和压缩格式的待传输威胁情报更新文件 保存到相应的存储路径下， 以供 对应的目标客户端设备获取进行安全防御。 4.如权利要求3所述的威胁情报管理方法， 其特征在于， 所述方法还包括： 基于是否设 置所述获取时间范围参数的值， 确定以全量方式或增量方式从所述数据库中获取符合所述 输出情报限定参数限定的威胁情报更新数据进行加密输出， 具体实现为： 若不设置所述获 取时间范围参数 的值， 所述威胁情报平台设备按照配置的所述输出频率， 以全量方式从所 述数据库中获取符合所述输出情报限定参数限定的威胁情报更新数据进行加密输出； 否 则， 所述威胁情报平台设备按照配置的所述输出频率以增 量方式， 从所述数据库中获取距 离当前输出时刻在所述 获取时间范围参数值内、 符合所述输出情报限定参数中其它参数限 定的威胁情 报更新数据进行加密输出。 5.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有程序代 码， 所述程序代码被 计算机执 行时实现如权利要求3 ‑4中任一项所述的威胁情 报管理方法。权　利　要　求　书 2/2 页 3 CN 115145941 B 3