建立检测网络威胁模型的方法、装置和存储介质制造方法及图纸
Method, device, storage medium and processor for detecting network threat model
The invention discloses a method, a device, a storage medium and a processor for establishing a detection network threat model. Among them, the method includes: collecting network data flow and network security threat data stream; by analyzing the difference between the network and the network security threat data flow between data streams, a detection model is established by parameter adjustment; the detection efficiency detection model preset detection data stream and machine learning network threat data flow and data flow of network security. The invention solves the technical problems existing in the prior art of detecting the limitation of the detection in the advanced long term threat attack.
【技术实现步骤摘要】
建立检测网络威胁模型的方法、装置、存储介质和处理器
本专利技术涉及网络安全技术应用领域,具体而言,涉及一种建立检测网络威胁模型的方法、装置、存储介质和处理器。
技术介绍
随着互联网的发展,某些人员(黑客)针对特定的目标来精心策划和实施这种入侵,已达到商业或政治目的。高级长期威胁往往针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指黑客会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。高级长期威胁中,黑客利用恶意软件在收控主机上进行长期隐蔽的通讯,控制和信息盗取。高级长期威胁中采用的恶意软件具有隐蔽性和多变性。目前,传统的安全产品(如杀毒、入侵检测系统(IntrusionDetectionSystems,简称IDS)),使用的基于已知的签名技术,难以有效监测到高级持续性威胁(AdvancedPersistentThreat,简称APT),使得企业和机构的信息系统处于高级持续性威胁的重大威胁之中。要保护组织团体免于高级长期威胁攻击日益困难。在检...
【技术保护点】
一种建立检测网络威胁模型的方法,其特征在于,包括:采集网络威胁数据流和网络安全数据流;通过分析所述网络威胁数据流和所述网络安全数据流之间的区别,建立检测模型;通过预设检测数据流的检测效率调整所述检测模型的参数和提供机器学习的网络威胁数据流和网络安全数据流。
【技术特征摘要】
1.一种建立检测网络威胁模型的方法,其特征在于,包括:采集网络威胁数据流和网络安全数据流;通过分析所述网络威胁数据流和所述网络安全数据流之间的区别,建立检测模型;通过预设检测数据流的检测效率调整所述检测模型的参数和提供机器学习的网络威胁数据流和网络安全数据流。2.根据权利要求1所述的方法,其特征在于,所述通过分析所述网络威胁数据流和所述网络安全数据流之间的区别,建立检测模型包括:依据所述网络威胁数据流和所述网络安全数据流的超文本协议对话进行分离,得到所述网络威胁数据流和所述网络安全数据流的超文本协议会话集合;依据所述网络威胁数据流和所述网络安全数据流的所述超文本协议会话集合进行分离,将每个超文本协议会话对应到一个已知的恶意软件家族或安全流量,其中,所述安全流量包括:家族标识;依据每个恶意软件家族对应的所述超文本协议会话集合,和所述安全流量对应的所述超文本协议会话集,在每一个超文本协议会话中分离对应的头域信息,获取所述头域信息对应的所述恶意软件家族,和所述安全流量的数据流特征,并依据所有所述恶意软件家族的超文本协议会话集合和所述安全流量的数据流特征得到所述检测模型。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:对所述网络威胁数据流进行净化,并且对所述网络威胁数据流对应的头域集合进行分类,得到编号和建立映射得到对应所述分类的数据流特征。4.根据权利要求3所述的方法,其特征在于,所述依据所述网络威胁数据流和所述网络安全数据流的所述超文本协议会话集合进行分离,将每个超文本协议会话对应到一个已知的恶意软件家族或安全流量包括:判断单个超文本协议会话是否属于预存恶意软件家族;其中,所述判断单个超文本协议会话是否属于预存恶意软件家族包括:依据所述单个超文本协议会话中的验证码判断是否属于所述预存恶意软件家族;对所有超文本协议会话,根据映射,产生网络威胁集群;所有映射到恶意软件家族的所有超文本协议会话属于同一个网络威胁集群,并对所述所有超文本协议会话分配第一分类标识;其中,所述第一分类标识,用于表示所述超文本协议会话集合属于所述恶意软件家族;或者,在所有映射到安全流量的所有超文本协议会话属于同一个安全网络流量集群,并对所述网络威胁集群分配第二分类标识;其中,所述第二分类标识,用于表示所述超文本协议会话集合属于所述安全网络集群。5.根据权利要求3所述的方法,其特征在于,所述方法还包括:对所述网络威胁数据流进行净化,对第一分类标识的每个超文本协议会话,如果所述超文本协议会话的HOST或用户代理User-Agent字段是白字段;或者,所述超文本协议会话HOST字段的域名被域名信誉系统标识为白域名,则将所述超文本协议会话从所述网络威胁集群中剔除,并将所述超文本协议会话加入未知网络流量集群,并对所述超文本协议会话添加第三分类标识;其中,所述第三分类标识,用于表示不能判断所述超文本会话是否是威胁网络流量还是安全网络流量;或者,若在多个超文本协议会话存在多个HOST或用户代理User-Agent字段,且将所述多个超文本协议会话映射到多个不同的恶意软件家族名称,则将所述HOST或所述用户代理User-Agent字段标为未知,并将所有包含所述HOST或所述用户代理User-Agent字段的超文本协议会话从所述网络威胁集群中剔除,并对所述超文本协议会话添加所述第三分类标识。6.根据权利要求1所述的方法,其特征在于,所述通过预设检测数据流的检测效率调整所述检测模型的参数和提供机器学习的网络威胁数据流和网络安全数据流包括:接收所述预设检测数据流;依据所述检测模型对所述预设检测数据流进行检测,得到检测结果;其中,对于网络威胁集群,如果一个超文本协议会话被检测模型标记为安全,且通过分析所述超文本协议会话为安全,则将所述超文本协议会话转移到网络安全集群;对于网络安全集群,如果一个超文本协议会话被所述检测模型标记为威胁,且报告为恶意软件家族,并且手工分析所述超文本协议会话为威胁,则将所述超文本协议会话转移到网络威胁集群中对应的超文本协议会话集合,并以恶意软件家族进行标记;对于网络未知集群,如果一个超文本协议会话被所述检测模型标记为威胁,且报告恶意软件家族,并通过手工分析所述超文本协议会话为威胁,则将所述超文本协议会话转移到网络威胁集群中对应的超文本协议会话集合,并以恶意软件家族进行标记;并且如果手工分析所述超文本协议会话为安全,则将所述超文本协议会话转移到网络安全集群。7.根据权利要求6所述的方法,其特征在于,所述方法还包括:依据已有域名和超文本协议头域调整所述检测模型,在所述检测模型中净化所述已有域名和所述超文本协议头域中的数据流特征。8.一种建立检测网络威胁模型的装置,其特征在于,包括:采集模块,用于采集网络威胁数据流和网络安全数据流;模型建...
【专利技术属性】
技术研发人员:陆骋怀,於大维,尚进,蒋东毅,董浩,谢军,李矩希,
申请(专利权)人:山石网科通信技术有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。