本公开提供了一种网络威胁检测方法,包括:获取威胁指标IOC数据;进行针对所述IOC数据的特征提取处理,得到与所述IOC数据关联的至少一个威胁指标特征;利用预设的威胁检测模型,进行基于所述至少一个威胁指标特征的恶意规则匹配操作,得到恶意匹配分值,其中,所述恶意匹配分值根据匹配的恶意规则数量和恶意规则类型进行确定;以及在所述恶意匹配分值高于预设阈值的情况下,确定所述IOC数据为恶意IOC数据。本公开还提供了一种网络威胁检测装置、一种电子设备以及一种计算机可读存储介质。一种电子设备以及一种计算机可读存储介质。一种电子设备以及一种计算机可读存储介质。
【技术实现步骤摘要】
网络威胁检测方法和装置
[0001]本公开涉及网络安全领域,特别是涉及一种网络威胁检测方法、一种网络威胁检测装置、一种电子设备、一种计算机可读存储介质以及一种计算机程序产品。
技术介绍
[0002]随着网络攻击手段和渠道的多元化发展,网络威胁呈现迅速恶性演变,这对网络威胁检测能力提出了更高的要求。IOC(Indicator of Compromise,威胁情报)数据为能够描述威胁事件信息的威胁情报数据,基于IOC数据有利于实现网络威胁检测和外部攻击防范。
[0003]在实现本公开技术构思过程中,专利技术人发现相关技术中需要强依赖于安全分析师的时间投入与经验累积,进行基于IOC数据的网络威胁检测,这存在专业要求高、检测效率低、检测结果不稳定的问题。
技术实现思路
[0004]本公开的一个方面提供了一种网络威胁检测方法,包括:获取威胁指标IOC数据;进行针对所述IOC数据的特征提取处理,得到与所述IOC数据关联的至少一个威胁指标特征;利用预设的威胁检测模型,进行基于所述至少一个威胁指标特征的恶意规则匹配操作,得到恶意匹配分值,其中,所述恶意匹配分值根据匹配的恶意规则数量和恶意规则类型进行确定,以及在所述恶意匹配分值高于预设阈值的情况下,确定所述IOC数据为恶意IOC数据。
[0005]可选地,所述利用预设的威胁检测模型,进行基于所述至少一个威胁指标特征的恶意规则匹配操作,执行包括:利用所述威胁检测模型对各所述威胁指标特征进行向量化处理,得到与所述IOC数据关联的至少一个威胁指标向量;根据所述至少一个威胁指标向量,进行基于预设恶意规则的匹配操作。
[0006]可选地,所述威胁指标特征包括以下任意至少一种:恶意样本关联特征、统一资源定位符URL关联特征、网际互联协议IP特征、域名字符特征、域名解析量特征、域名注册人特征。
[0007]可选地,在确定出所述恶意IOC数据后,还包括:利用所述恶意IOC数据,更新预设恶意规则,和/或,基于所述恶意IOC数据生成威胁预警信息,并将所述威胁预警信息发送给对应的网元设备。
[0008]可选地,当利用所述威胁检测模型进行针对多个IOC数据的威胁检测时,还包括:利用所述威胁检测模型根据与各所述IOC数据关联的至少一个威胁指标特征,进行针对不同IOC数据的相似度计算,得到每两个IOC数据的相似度分值并输出;将所述相似度分值高于第一预设阈值的IOC数据划分为相同聚类分类,以实现将所述多个IOC数据划分为至少一个聚类分类。
[0009]可选地,所述方法还包括:针对任一待分析的目标IOC数据,根据与所述目标IOC数
据关联的至少一个威胁指标特征,在所述至少一个聚类分类中确定与所述目标IOC数据的相似度高于第二预设阈值的其他IOC数据,其中,所述第二预设阈值不小于所述第一预设阈值。
[0010]可选地,所述方法还包括:根据与所述IOC数据关联的至少一个威胁指标特征,基于预设分类规则对所述IOC数据进行分类,所述分类结果包括以下之一:木马、病毒及后门程序。
[0011]可选地,所述IOC数据的来源包括以下至少之一:企业自产情报、第三方聚合情报和云端共享情报。
[0012]可选地,所述威胁检测模型的训练方法,包括:获取具有安全性标识的多个样本IOC数据,其中,任一所述样本IOC数据的安全性标识为恶意标识或良性标识;对各所述样本IOC数据进行特征提取处理,得到与各所述样本IOC数据关联的至少一个威胁指标特征;基于与各所述样本IOC数据关联的所述安全性标识和所述至少一个威胁指标特征进行模型训练,得到所述威胁检测模型。
[0013]本公开的另一方面提供了一种网络威胁检测装置,包括:获取模块,用于获取威胁指标IOC数据;第一处理模块,用于进行针对所述IOC数据的特征提取处理,得到与所述IOC数据关联的至少一个威胁指标特征;第二处理模块,用于利用预设的威胁检测模型,进行基于所述至少一个威胁指标特征的恶意规则匹配操作,得到恶意匹配分值,其中,所述恶意匹配分值根据匹配的恶意规则数量和恶意规则类型进行确定,以及在所述恶意匹配分值高于预设阈值的情况下,确定所述IOC数据为恶意IOC数据。
[0014]可选地,所述第二处理模块包括:第一处理子模块,用于利用所述威胁检测模型对各所述威胁指标特征进行向量化处理,得到与所述IOC数据关联的至少一个威胁指标向量;第二处理子模块,用于根据所述至少一个威胁指标向量,进行基于预设恶意规则的匹配操作。
[0015]可选地,所述威胁指标特征包括以下任意至少一种:恶意样本关联特征、统一资源定位符URL关联特征、网际互联协议IP特征、域名字符特征、域名解析量特征、域名注册人特征。
[0016]可选地,所述装置还包括第三处理模块,用于在所述第二处理模块确定出所述恶意IOC数据后,利用所述恶意IOC数据,更新预设恶意规则,和/或,基于所述恶意IOC数据生成威胁预警信息,并将所述威胁预警信息发送给对应的网元设备。
[0017]可选地,所述装置还包括第四处理模块,用于当所述第二处理模块利用所述威胁检测模型进行针对多个IOC数据的威胁检测时,利用所述威胁检测模型根据与各所述IOC数据关联的至少一个威胁指标特征,进行针对不同IOC数据的相似度计算,得到每两个IOC数据的相似度分值并输出;将所述相似度分值高于第一预设阈值的IOC数据划分为相同聚类分类,以实现将所述多个IOC数据划分为至少一个聚类分类。
[0018]可选地,所述装置还包括第五处理模块,用于针对任一待分析的目标IOC数据,根据与所述目标IOC数据关联的至少一个威胁指标特征,在所述至少一个聚类分类中确定与所述目标IOC数据的相似度高于第二预设阈值的其他IOC数据,其中,所述第二预设阈值不小于所述第一预设阈值。
[0019]可选地,所述装置还包括第六处理模块,用于根据与所述IOC数据关联的至少一个
威胁指标特征,基于预设分类规则对所述IOC数据进行分类,所述分类结果包括以下之一:木马、病毒及后门程序。
[0020]可选地,所述IOC数据的来源包括以下至少之一:企业自产情报、第三方聚合情报和云端共享情报。
[0021]本公开的另一方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现本公开实施例的方法。
[0022]本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现本公开实施例的的方法。
[0023]本公开的另一方面提供了一种计算机程序产品,包括计算机可读指令,其中,所述计算机可读指令被执行时用于执行本公开实施例的的方法。
附图说明
[0024]为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
[0025]图1示意性示出了根据本公开实施例的网络威胁检测方法和装置的系统架构;
[0026]图2示意性本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络威胁检测方法,包括:获取威胁指标IOC数据;进行针对所述IOC数据的特征提取处理,得到与所述IOC数据关联的至少一个威胁指标特征;利用预设的威胁检测模型,进行基于所述至少一个威胁指标特征的恶意规则匹配操作,得到恶意匹配分值,其中,所述恶意匹配分值根据匹配的恶意规则数量和恶意规则类型进行确定;以及,在所述恶意匹配分值高于预设阈值的情况下,确定所述IOC数据为恶意IOC数据。2.根据权利要求1所述的方法,其中,所述利用预设的威胁检测模型,进行基于所述至少一个威胁指标特征的恶意规则匹配操作,执行包括:利用所述威胁检测模型对各所述威胁指标特征进行向量化处理,得到与所述IOC数据关联的至少一个威胁指标向量;根据所述至少一个威胁指标向量,进行基于预设恶意规则的匹配操作。3.根据权利要求1或2所述的方法,其中,所述威胁指标特征包括以下任意至少一种:恶意样本关联特征、统一资源定位符URL关联特征、网际互联协议IP特征、域名字符特征、域名解析量特征、域名注册人特征。4.根据权利要求1或2所述的方法,其中,在确定出所述恶意IOC数据后,还包括:利用所述恶意IOC数据,更新预设恶意规则,和/或基于所述恶意IOC数据生成威胁预警信息,并将所述威胁预警信息发送给对应的网元设备。5.根据权利要求1所述的方法,其中,当利用所述威胁检测模型进行针对多个IOC数据的威胁检测时,还包括:利用所述威胁检测模型根据与各所述IOC数据关联的至少一个威胁指标特征,进行针对不同IOC数据的相似度计算,得到每两个IOC数据的相似度分值并输出;将所述相似度分值高于第一预设阈值的IOC数据划分为相同聚类分类,以实现将所述多个IOC数据划分为至少一个聚类分类。6.根据权利要求5所述的方法,还包括:针对任一待分析的目标IOC数据,根据与所述目标IOC数据关联的至少一个威胁指标特征,在所述至少一个聚类分类中确定与所述目标IOC数据的相似度高于第二预设阈...
【专利技术属性】
技术研发人员:黄朝文,陈劲,路文超,白敏,李佳馨,齐向东,吴云坤,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。