【技术实现步骤摘要】
一种基于智能化威胁情报的网络攻击检测系统和方法
本专利技术涉及网络安全领域,尤其涉及一种基于智能化威胁情报的网络攻击检测系统和方法。
技术介绍
威胁情报(Threatintelligence)是循证知识,包括环境、机制、指标、意义和可行性建议,现有的或新兴的、对资产的威胁或危害,可用于主体对威胁或危害的反应做出明确决定。威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。公司企业政府等组织可能面临各种各样的威胁,威胁也可能危害到其正常的运转及发展。现在大多数情况下把精力花在了对漏洞的修补以及调查上,而威胁情报所做的事就是在攻击发生之前,发现潜在的威胁,进而阻止攻击的发生。按照使用场景可以将威胁情报分为,运营级情报,战术级情报,战略级情报,按照威胁内容还可以分成,基础网络情报,攻击团体情报,APT分析类情报。目前威胁情报的应用从厂商提供数据的方式可以分为两种,一种是提供信誉查询接口,一种是直接提供IoCfeeds,从威胁情报应用场景角度看,威胁情报可以用在预防、检测、响应、防御等环...
【技术保护点】
1.一种基于智能化威胁情报的网络攻击检测系统,其特征在于,包括网页爬虫模块、威胁情报提取模块、流量数据包解析模块和网络攻击检测模块;/n所述网页爬虫模块爬取安全厂商分析报告网页,获取最新分析报告;/n所述威胁情报提取模块从所述分析报告中提取威胁情报,保存所述威胁情报至数据库;/n所述流量数据包解析模块解析PCAP数据包,获取流量特征,保存所述流量特征至所述数据库;/n所述网络攻击检测模块对所述流量特征和所述威胁情报进行匹配,将匹配的记录作为事件保存到所述数据库中,做进一步的攻击检测分析。/n
【技术特征摘要】
1.一种基于智能化威胁情报的网络攻击检测系统,其特征在于,包括网页爬虫模块、威胁情报提取模块、流量数据包解析模块和网络攻击检测模块;
所述网页爬虫模块爬取安全厂商分析报告网页,获取最新分析报告;
所述威胁情报提取模块从所述分析报告中提取威胁情报,保存所述威胁情报至数据库;
所述流量数据包解析模块解析PCAP数据包,获取流量特征,保存所述流量特征至所述数据库;
所述网络攻击检测模块对所述流量特征和所述威胁情报进行匹配,将匹配的记录作为事件保存到所述数据库中,做进一步的攻击检测分析。
2.如权利要求1所述的基于智能化威胁情报的网络攻击检测系统,其特征在于,所述网页爬虫模块以安全厂商的分析报告主页的链接作为输入。
3.如权利要求1所述的基于智能化威胁情报的网络攻击检测系统,其特征在于,所述威胁情报提取模块采用基于区块的提取方法。
4.如权利要求1所述的基于智能化威胁情报的网络攻击检测系统,其特征在于,所述威胁情报提取模块采用基于机器学习的方法。
5.如权利要求1所述的基于智能化威胁情报的网络攻击检测系统,其特征在于,所述流量数据包解析模块解析TCP/UDP/ICMP流、DNS流、HTTP头,并保存其特征信息。
6.如权利要求1所述的基于智能化威胁情报的网络攻击检测系统,其特征在于,所述流量数据包解析模块对传输文件进行重组,并保存传输文件的特征信息。
7.如权利要求1所述的基于智能化威胁情报的网络攻击检测系统,其特征在于,所述网络攻击检测模块对所述威胁情报和所述流量特征进行匹配,匹配上的记录作为事件记录到所述数据库中。
8.如权利要求7所述的基于智...
【专利技术属性】
技术研发人员:邹福泰,杨正瑭,武永兴,薛广涛,齐开悦,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。