本发明专利技术公开了基于外部威胁情报的系统宏观威胁评估方法,包括以下步骤:步骤一,数据采集,通过网络动态实时爬虫的方式获取第一手的情报信息,主要爬虫对象是社交平台、技术论坛、新闻媒体;步骤二,将步骤一中的数据进行处理与分析,通过数据清洗、数据集成的方式对爬取到的威胁情报进行处理,然后通过关联分析、一致性分析、数据融合的方式对数据进行分析以达到确认情报真伪的目的。本发明专利技术的目的是提供一种用于评估预测防御单位在未来是否会遭受APT组织威胁攻击以及遭受哪些APT组织威胁的攻击,针对可能遭受的威胁攻击,进而做出针对性的重点防御。的重点防御。的重点防御。
【技术实现步骤摘要】
基于外部威胁情报的系统宏观威胁评估方法
[0001]本专利技术属于网络威胁分析
,具体为基于外部威胁情报的系统宏观威胁评估方法。
技术介绍
[0002]近些年来,APT组织的也如雨后春笋般层数不穷。APT组织的攻击具有强烈的商业经济目的和政治动机目的,且在攻击时具有强烈的地缘政治特点,针对特定的组织或国家发起攻击。APT组织的攻击是长期的、高隐蔽性的,这就导致我们难以发现追踪到APT攻击行为,同时防御主体与攻击者处于严重的信息不对称的窘况,同时并非所有的APT组织都会成为我们的敌人,这些攻击特点导致我们在建立防御体系时,无法做到针对性防御。
技术实现思路
[0003]针对上述情况,为克服现有技术的缺陷,本专利技术提供基于外部威胁情报的系统宏观威胁评估方法,有效的解决了
技术介绍
中的问题。
[0004]为实现上述目的,本专利技术提供如下技术方案:基于外部威胁情报的系统宏观威胁评估方法,包括以下步骤:
[0005]步骤一,数据采集,通过网络动态实时爬虫的方式获取第一手的情报信息,主要爬虫对象是社交平台、技术论坛、新闻媒体;
[0006]步骤二,将步骤一中的数据进行处理与分析,通过数据清洗、数据集成的方式对爬取到的威胁情报进行处理,然后通过关联分析、一致性分析、数据融合的方式对数据进行分析以达到确认情报真伪的目的;
[0007]步骤三,在步骤二的基础上,将情报为真的信息进行归纳总结分类,分类时遵循威胁情报组织为主体的方式,攻击网站类型、攻击方式,攻击目的为客体的原则;r/>[0008]步骤四,对防御主体单位进行分析,主要分析地理位置、单位性质、网站类型、网络系统中主要的操作系统、系统中开放的端口、服务以及安装的中间件;
[0009]步骤五,在步骤三与步骤四基础上,针对网络防御主体单位进行宏观威胁估值,评估出该防御单位将遭受那个APT组织的那种攻击方式,针对评估结果进行针对性防御。
[0010]优选的,所述步骤二中,在针对威胁情报真伪性分析时,采用SCLS
‑
Apriori更强关联更少扫描Aprior算法进行分析,具体包括:
[0011]将清洗后的数据进行分类处理,然后对数据进行相关性分析r,相关性计算公式如下:
[0012][0013]其中,式(Ⅰ)中的rank(x)代表事件等级,在r的计算出结果后,选取r大于0.9的事件关系集合,
[0014]然后在Apriori的基础上,在进行事务支持度的扫描时,只扫描r大于0.9的关系事
件集,同时在扫描时,按照逐次递减的方式进行扫描处理,
[0015]在进行k次扫描后,剩下的事件便是真实事件,即经过SCLS
‑
Apriori扫描后获得了真实的威胁情报事件。
[0016]优选的,所述步骤三中,采用STIX作为威胁情报输出数据格式标准,同时选取多种要素作为威胁指标,进行威胁等级的区分仅是为了后续的相关性分析处理。
[0017]优选的,所述步骤四中,仅需要确定防御单位系统的地理位置、网站类型、操作系统类型、开放的端口、服务这些内容即可,而不需要对其进行复杂的漏洞扫描和渗透测试评估。
[0018]优选的,所述步骤五中,将步骤三中获取到的威胁情报与防御主体单位进行相关性分析,如果存在威胁情报事件与防御单位之间有高度相关的关系,便可预测防御单位将有可能遭受APT
‑
K的攻击,且攻击手段会与事件A的攻击手段高度类似的结论。
[0019]与现有技术相比,本专利技术的有益效果是:
[0020]本专利技术的目的是提供一种用于评估预测防御单位在未来是否会遭受APT组织威胁攻击以及遭受哪些APT组织威胁的攻击,针对可能遭受的威胁攻击,进而做出针对性的重点防御。
附图说明
[0021]附图用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与本专利技术的实施例一起用于解释本专利技术,并不构成对本专利技术的限制。在附图中:
[0022]图1为本专利技术的威胁情报预测的流程示意图。
具体实施方式
[0023]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例;基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0024]由图1给出,本专利技术公开了基于外部威胁情报的系统宏观威胁评估方法,所述方法包括以下步骤:
[0025]步骤一,数据采集,通过网络动态实时爬虫的方式获取第一手的情报信息,主要爬虫对象是社交平台、技术论坛、新闻媒体;
[0026]步骤二,将步骤一中的数据进行处理与分析,通过数据清洗、数据集成的方式对爬取到的威胁情报进行处理,然后通过关联分析、一致性分析、数据融合的方式对数据进行分析以达到确认情报真伪的目的;
[0027]步骤三,在步骤二的基础上,将情报为真的信息进行归纳总结分类。分类时遵循威胁情报组织(所属国家地区)为主体的方式,攻击网站类型(金融、政府)、攻击方式(钓鱼攻击、水坑攻击),攻击目的(情报窃取、金钱获取)为客体的原则;
[0028]步骤四,对防御主体单位进行分析,主要分析地理位置、单位性质、网站类型、网络系统中主要的操作系统、系统中开放的端口、服务以及安装的中间件;
[0029]步骤五,在步骤三与步骤四基础上,针对网络防御主体单位进行宏观威胁估值,评
估出该防御单位将遭受那个APT组织的那种攻击方式,针对评估结果进行针对性防御。
[0030]优选的是,所述步骤二中,本专利技术在针对威胁情报真伪性分析时,采用SCLS
‑
Apriori(Stronger correlation Letter Scan Aprior)更强关联更少扫描Aprior算法进行分析,具体包括:
[0031]将清洗后的数据进行分类处理,然后对数据进行相关性分析(r),相关性计算公式如下:
[0032][0033]其中,式(Ⅰ)中的rank(x)代表事件等级,在r的计算出结果后,我们选取哪些r大于0.9的事件关系集合,因为这些事件都是具有很强关联的。
[0034]然后我们在Apriori的基础上,在进行事务支持度的扫描时,只扫描r大于0.9的关系事件集,同时在扫描时,按照逐次递减的方式进行扫描处理,这样能有效提升扫描处理的效率。
[0035]这样在进行k次(k为事件集合元素数)扫描后,剩下的事件便是真实事件,即经过SCLS
‑
Apriori扫描后获得了真实的威胁情报事件。
[0036]优选的是,所述步骤三中,本专利技术采用STIX(结构化威胁信息表达式)作为我们威胁情报输出数据格式标准,同时选取以下要素作为我们的威胁指标,进行威胁等级的区分仅是为了后续的相关性分析处理。
[0037][0038]优选的是,所述步骤四中,我们仅需要确定防御单位系统的地理本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于外部威胁情报的系统宏观威胁评估方法,其特征在于:包括以下步骤:步骤一,数据采集,通过网络动态实时爬虫的方式获取第一手的情报信息,主要爬虫对象是社交平台、技术论坛、新闻媒体;步骤二,将步骤一中的数据进行处理与分析,通过数据清洗、数据集成的方式对爬取到的威胁情报进行处理,然后通过关联分析、一致性分析、数据融合的方式对数据进行分析以达到确认情报真伪的目的;步骤三,在步骤二的基础上,将情报为真的信息进行归纳总结分类,分类时遵循威胁情报组织为主体的方式,攻击网站类型、攻击方式,攻击目的为客体的原则;步骤四,对防御主体单位进行分析,主要分析地理位置、单位性质、网站类型、网络系统中主要的操作系统、系统中开放的端口、服务以及安装的中间件;步骤五,在步骤三与步骤四基础上,针对网络防御主体单位进行宏观威胁估值,评估出该防御单位将遭受那个APT组织的那种攻击方式,针对评估结果进行针对性防御。2.根据权利要求1所述的基于外部威胁情报的系统宏观威胁评估方法,其特征在于:所述步骤二中,在针对威胁情报真伪性分析时,采用SCLS
‑
Apriori更强关联更少扫描Aprior算法进行分析,具体包括:将清洗后的数据进行分类处理,然后对数据进行相关性分析r,相关性计算公式如下:其中,式(Ⅰ)中的r...
【专利技术属性】
技术研发人员:田新远,
申请(专利权)人:北京华清信安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。