威胁情报检测方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术公开一种威胁情报检测方法、装置、电子设备及存储介质，威胁情报检测方法，包括：获取历史回溯策略，所述历史回溯策略至少包括IOC信息及回溯时间范围；根据历史回溯策略加载符合IOC信息的新增的威胁情报数据；根据新增的威胁情报数据查询符合回溯时间范围的历史流量元数据，进行历史回溯检测。本发明专利技术能够针对新增的威胁情报IOC数据，自动回溯分析历史流量数据，评估威胁情况在监控网络中的历史影响。影响。影响。

【技术实现步骤摘要】
威胁情报检测方法、装置、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其涉及一种威胁情报检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随着计算机和网络技术的发展，不断更新的网络病毒和网络攻击事件层出不穷，网络安全也变得越来越严峻。为此，威胁情报技术应运而生，威胁情报的主要内容为用于识别和检测威胁的失陷标识，如文件HASH(MD5、SHA1)、通讯IP地址、请求解析域名、请求连接URL、邮件发件人、TLS指纹、程序运行路径、注册表项等，以及相关的归属标签(恶意软件所属家族、组织、情报来源、参考连接、可信度等)。威胁情报技术就是通过查询威胁情报库来获取现存或者是即将出现的威胁或危险，以及提供针对威胁或危险的解决方案。
[0003]目前针对网络威胁情报在网络流量处理、检测分析中的应用，主要集中在现有检测产品的能力集成(NGFW
‑
Next generation firewall下一代防火墙、IDS等)和专用威胁情报检测产品。在现有检测产品的能力集成主要是在现有的产品能力之上叠加基于威胁情报检本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种威胁情报检测方法，其特征在于，包括：获取历史回溯策略，所述历史回溯策略至少包括IOC信息及回溯时间范围；根据历史回溯策略加载符合IOC信息的新增的威胁情报数据；根据新增的威胁情报数据查询符合回溯时间范围的历史流量元数据，进行历史回溯检测。2.根据权利要求1所述的方法，其特征在于，所述IOC信息至少包括文件MD5、IP地址、域名、URL、EMAIL地址及TLS指纹中的一种分类；若所述IOC信息包括两种以上的分类，则根据新增的威胁情报数据查询符合回溯时间范围的历史流量元数据之前，还包括：将符合历史回溯策略要求的新增的威胁情报数据按照IOC信息分类进行归类整理；相应地，根据新增的威胁情报数据查询符合回溯时间范围的历史流量元数据，具体为：按照分类整理后的每一类IOC信息对应的威胁情报数据分别查询符合回溯时间范围的历史流量元数据。3.根据权利要求1所述的方法，其特征在于，根据历史回溯策略加载符合IOC信息的新增的威胁情报数据，具体为：根据历史回溯策略查找并加载情报IOC版本号大于上次已回溯的情报IOC版本号的新增的符合策略要求的威胁情报数据，所述情报IOC版本号用于标识威胁情报数据获取的先后顺序；所述进行历史回溯检测之后，还包括：设置本次回溯的情报IOC版本号的已回溯标识。4.根据权利要求1所述的方法，其特征在于，所述历史回溯策略还包括情报数据的可信度、严重级别及所属分类中的一种或多种维度的可配置策略信息；相应地，根据历史回溯策略加载符合IOC信息的新增的威胁情报数据，具体为：根据历史回溯策略加载符合IOC信息及可配置策略信息的新增的威胁情报数据。5.根据权利要求1所述的方法，其特征在于，还包括：配置威胁情报检测的历史回溯周期，根据历史回溯周期定时启动威胁情报的回溯检测，获取当前的历史回溯策略以进行历史回溯检测。6.根据权利要求1所述的方法，其特征在于，根据新增的威胁情报数据查询符合回溯时间范围的历史流量元数据之后，还包括：若查询到匹配的历史流量元数据，则生成情报回溯历史告警，并存储于告警数据库中。7.根据权利要求1
‑
6中任一项所述的方法，其特征在于，还包括：获取威胁情报实时策略，所述威胁情报实时策略至少包括用户配置的实时IOC信息，所述实时IOC信息至少包括文件MD5、IP地址、域名、URL、EMAIL地址及TLS指纹中的一种分类；根据威胁情报实时策略加载符合实时IOC信息的威胁情报数据；根据符合实时IOC信息的威胁情报数据对网络流量进行威胁情报实时检测。8.根据权利要求7所述的方法，其特征在于，根据符合实时IOC信息的威胁情报数据对网络流量进行实时检测之后，还包括：若根据符合实时IOC信息的威胁情报数据匹配到网络流量中的会话，则对匹配到的会
话创建告警事件，并存储于告警数据库中。9.根据权利要求7所述的方法，其特征在于，还包括：获取威胁情报数据并同步到本地数据库，以使进行历史回溯检测和/或威胁情报实时检测时将本地数据库中对应的威胁情报数据加载到内存中，所述威胁情报数据包括情报数据的IOC信息、可信度、严重级别、情报来源及所属分类。10.根据权利要求7所述的方法，其特征在于，还包括：获取用户配置的历史回溯策略和/或威胁情报实时策略，并存储于本地数据库，以使进行历史回溯检测时从本地数据库获取历史回溯策略，以及进行威胁情报实时检测时从本地数据库获取威胁情报实时策略。11.根据权利要求7所述的方法，其特征在于，还包括：解析获取网络流量的元数据；存储所述网络流量的元数据于元数据数据库中，以使进行历史回溯检测时从元数据数据库中查询历史流量元数据。12.根据权利要求7所述的方法，其特征在于，还包括：可视化查看及修改同步到本地数据库的威胁情报数据；根据检测需求可视化配置历史回溯策略和威胁情报实时策略。13.一种威胁情报检测装置，其特征在于，包括：回溯策略获取模块，用于获取历史回溯策略，所述历史回溯策略至少包括IOC信息及回溯时间范围；新增情报加载模块，用于根据历史回溯策略加载符合IOC信息的新增的威胁情报数据；回溯检测模块，用于根据新增的威胁情报数据查询符合回溯时间范围的历史流量元数据，...

【专利技术属性】
技术研发人员：陈志德，黎莉，谢文辉，杨国鹏，
申请(专利权)人：北京马赫谷科技有限公司，
类型：发明
国别省市：