【技术实现步骤摘要】
一种基于威胁情报的网络威胁识别方法及识别系统
本专利技术涉及数字信息的传输,例如电报通信的
,特别涉及一种以协议为特征的、基于威胁情报的网络威胁识别方法及识别系统。
技术介绍
随着以APT、恶意挖矿、勒索病毒等为主的新型威胁和网络攻击的不断出现,数量不断上升,网络威胁正迅速恶性演变,与此同时,网络攻击的手段和渠道亦多元化发展,对于网络安全人员的分析与处理能力提出了更高的要求,而企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁情报作为支撑,以帮助其更好的发现和应对这些新型威胁。威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。事实上,绝大多数的威胁情报是狭义的威胁情报,其主要内容为用于识别和检测威胁的对象以及这些对象的归属标签,这些威胁的对象包括但不限于IP、域名、URL、程序运行路径、注册表项、文件HASH值,而归属标签包括威胁类型、属性、威胁级别等...
【技术保护点】
1.一种基于威胁情报的网络威胁识别方法,其特征在于:所述方法包括以下步骤:/n步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;/n步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2;/n步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1;/n步骤4:基于风险数据分析并获得威胁事件信息;/n步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,进行下一步,否则,直接进行下一步;/n步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息...
【技术特征摘要】
1.一种基于威胁情报的网络威胁识别方法,其特征在于:所述方法包括以下步骤:
步骤1:检测模块启动,加载本地更新的所有威胁情报至本地威胁情报库;
步骤2:若检测模块获得基于采集的网络流量的审计数据,则进行下一步,否则,重复步骤2;
步骤3:检测模块以审计数据与本地威胁情报库中的数据进行匹配,若匹配成功,则获得风险数据,进行下一步,否则,返回步骤1;
步骤4:基于风险数据分析并获得威胁事件信息;
步骤5:若步骤4中存在失陷主机事件,获得并分析失陷主机事件的关联信息,进行下一步,否则,直接进行下一步;
步骤6:统计威胁事件信息和/或失陷主机事件的信息,分析威胁事件信息和/或失陷主机事件间的联系;展示。
2.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤1中,若检测模块中多于1个进程并发运行,则以其中任一进程加载威胁情报数据至共享内存里,当前威胁情报数据可以被当前所有进程共享访问。
3.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤2中,审计数据包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和响应内容。
4.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤3中,风险数据包括当前审计数据里的元数据的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息。
5.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤4中,基于风险数据:
若威胁事件为失陷主机事件,则将风险数据按照事件类型和威胁类型进行分类;
若威胁事件为针对性攻击事件,则获得攻击者发送的请求信息和受攻击者的返回信息,分析攻击者的目的。
6.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法,其特征在于:所述步骤5中,失陷主机事件的关联信息包括任一失陷主机事件对...
【专利技术属性】
技术研发人员:程华才,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。