本发明专利技术涉及一种基于威胁情报的网络威胁识别方法及识别系统,检测模块启动后加载情报更新模块更新的所有威胁情报至本地,获得采集并解析的审计数据后与威胁情报库中的数据匹配,成功则通过分析与展示模块基于风险数据分析并获得威胁事件信息,获得并分析可能存在的失陷主机事件的关联信息,统计、分析其间的联系并展示。本发明专利技术从威胁事件信息和失陷主机事件两个角度分析并展现全网威胁状况,确定已失陷主机,准确识别针对性攻击,对威胁进行关联性分析和展现,提升处理网络攻击事件的效率,误报率低,可发现潜在威胁,极大方便对威胁事件的溯源和事后处理,预测将来可能发生的攻击,从而深度分析并发现真正有价值的攻击事件。
A method and system of network threat identification based on Threat Intelligence
【技术实现步骤摘要】
一种基于威胁情报的网络威胁识别方法及识别系统
本专利技术涉及数字信息的传输,例如电报通信的
,特别涉及一种以协议为特征的、基于威胁情报的网络威胁识别方法及识别系统。
技术介绍
随着以APT、恶意挖矿、勒索病毒等为主的新型威胁和网络攻击的不断出现,数量不断上升,网络威胁正迅速恶性演变,与此同时,网络攻击的手段和渠道亦多元化发展,对于网络安全人员的分析与处理能力提出了更高的要求,而企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁情报作为支撑,以帮助其更好的发现和应对这些新型威胁。威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。事实上,绝大多数的威胁情报是狭义的威胁情报,其主要内容为用于识别和检测威胁的对象以及这些对象的归属标签,这些威胁的对象包括但不限于IP、域名、URL、程序运行路径、注册表项、文件HASH值,而归属标签包括威胁类型、属性、威胁级别等。如申请号为201810306120.2的中国专利“一种基于日志的威胁情报检测方法及装置”,通过获取不同文件类型的日志文件,对日志文件进行解析,匹配不同威胁指标IOC类型,并将不同IOC类型的解析文件添加至检测引擎队列;从检测引擎队列中获取目标解析文件,根据目标解析文件的IOC类型确定对应的目标查询方式;若根据目标查询方式查询到目标解析文件中存在威胁情报,则生成威胁告警信息,如包含失陷主机或恶意文件。现有技术的缺陷在于,仅是单纯匹配威胁情报,若产生多个的单个告警则没有关联性分析,不方便网络攻击溯源分析,不方便从全局角度查看全网威胁,判断不准确、不全面客观。
技术实现思路
本专利技术解决了现有技术中,存在的单纯匹配威胁情报,威胁情况间未进行关联性分析,不方便网络攻击溯源分析,不方便从全局角度查看全网威胁,进而极大程度导致判断不准确的问题,提供了一种优化的基于威胁情报的网络威胁识别方法及识别系统。本专利技术所采用的技术方案是,一种基于威胁情报的网络威胁识别方法,所述方法包括以下步骤:步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2;步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1;步骤4:基于风险数据分析并获得威胁事件信息;步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,进行下一步,否则,直接进行下一步;步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息和/或失陷主机事件间的联系;展示。优选地,所述步骤1中,若检测模块中多于1个进程并发运行,则以其中任一进程加载威胁情报数据至共享内存里,当前威胁情报数据可以被当前所有进程共享访问。优选地,所述步骤2中,审计数据包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和响应内容。优选地,所述步骤3中,风险数据包括当前审计数据里的元数据的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。优选地,所述步骤4中,基于风险数据:若威胁事件为失陷主机事件,则将风险数据按照事件类型和威胁类型进行分类;若威胁事件为针对性攻击事件,则获得攻击者发送的请求信息和受攻击者的返回信息,分析攻击者的目的。优选地,所述步骤5中,失陷主机事件的关联信息包括任一失陷主机事件对应的后续网络行为;分析失陷主机事件的关联信息包括分析该失陷主机的关联事件的时间分布及事件数量走势。优选地,所述步骤6中,统计的信息包括威胁事件信息和失陷主机事件信息;所述威胁事件信息包括任一时间范围内威胁事件信息的事件类型、威胁类型、受攻击主机数、攻击主机数、事件发生次数、首次发生时间和最近发生时间;对所述受攻击主机数、攻击主机数、事件发生次数,钻取到任一具体事件,获得受攻击主机、攻击主机和发生时间;所述失陷主机事件信息包括任一时间范围内的失陷主机、发生的事件种类数量、恶意地址数量、访问次数、首次发生时间和最近发生时间;对所述事件种类数量、恶意地址数量,钻取到任一具体事件,获得对应的事件种类和恶意地址。优选地,若情报更新模块从云端下载了更新的威胁情报数据,则情报更新模块发送通知给检测模块,检测模块增量加载最近更新的威胁情报数据。一种采用所述的基于威胁情报的网络威胁识别方法的识别系统,所述检测系统包括:一情报更新模块,用于定期检查云端威胁情报库最近的更新情况并确定是否需要从云端更新威胁情报数据;一威胁情报库,用于将情报更新模块从云端下载的威胁情报数据保存到本地;一网络流量采集与解析模块,用于获取网络流量数据并解析为审计数据;一检测模块,用于加载威胁情报库并与网络流量采集与解析模块解析后的审计数据进行匹配得到风险数据;一分析与展示模块,用于对检测模块输出的结果进行分析并进行展示。优选地,所述云端包括:一云端威胁情报库,用于保存全量威胁情报数据;一情报查询和更新接口,用于与情报更新模块对接,提供威胁情报查询接口和情报更新接口。本专利技术提供了一种优化的基于威胁情报的网络威胁识别方法及识别系统,检测模块启动后加载情报更新模块更新的所有威胁情报至本地威胁情报库,当获得基于网络流量采集与解析模块采集并解析的审计数据后与本地威胁情报库中的数据进行匹配,匹配成功则通过分析与展示模块基于风险数据分析并获得威胁事件信息,获得并分析可能存在的失陷主机事件的关联信息,对威胁事件信息和/或失陷主机事件的信息进行统计并分析其间的联系,展示。本专利技术基于威胁情报检测网络威胁,从威胁事件信息和失陷主机事件两个角度分析并展现全网威胁状况,确定已经失陷的主机,准确识别针对服务器的针对性攻击,并对威胁进行关联性分析和展现,将多个威胁事件、威胁事件与审计数据进行关联,大大提升网络安全人员处理网络攻击事件的效率,误报率低,可发现潜在的威胁,极大方便了对威胁事件的溯源和事后处理,预测将来可能发生的攻击,从而深度分析并发现真正有价值的攻击事件。附图说明图1为本专利技术的方法流程图;图2为本专利技术的系统结构示意图,其中,箭头表示数据传输的方向。具体实施方式下面结合实施例对本专利技术做进一步的详细描述,但本专利技术的保护范围并不限于此。本专利技术涉及一种基于威胁情报的网络威胁识别方法,基于威胁情报检测网络流量里的攻击行为和潜在的威胁,将防护网络内的主机访问的目标地址,或者网络请求客户端IP与威胁情报库匹配,如果匹配成功,对同一失陷主机的多次网络行为进行关联性分析、对发生同一个事件类型的失陷主机或者针对性攻击事件攻击者的网络行为进行关联性分析,用以确认这些主机本文档来自技高网...
【技术保护点】
1.一种基于威胁情报的网络威胁识别方法,其特征在于:所述方法包括以下步骤:/n步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;/n步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2;/n步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1;/n步骤4:基于风险数据分析并获得威胁事件信息;/n步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,进行下一步,否则,直接进行下一步;/n步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息和/或失陷主机事件间的联系;展示。/n
【技术特征摘要】
1.一种基于威胁情报的网络威胁识别方法,其特征在于:所述方法包括以下步骤:
步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;
步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2;
步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1;
步骤4:基于风险数据分析并获得威胁事件信息;
步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,进行下一步,否则,直接进行下一步;
步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息和/或失陷主机事件间的联系;展示。
2.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤1中,若检测模块中多于1个进程并发运行,则以其中任一进程加载威胁情报数据至共享内存里,当前威胁情报数据可以被当前所有进程共享访问。
3.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤2中,审计数据包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和响应内容。
4.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤3中,风险数据包括当前审计数据里的元数据的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。
5.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤4中,基于风险数据:
若威胁事件为失陷主机事件,则将风险数据按照事件类型和威胁类型进行分类;
若威胁事件为针对性攻击事件,则获得攻击者发送的请求信息和受攻击者的返回信息,分析攻击者的目的。
6.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤5中,失陷主机事件的关联信息包括任一失陷主机事件对...
【专利技术属性】
技术研发人员:程华才,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。