一种互联网安全威胁的安全智能分析方法技术

本技术应用于网络安全领域，提供了一种互联网安全威胁的的安全智能分析方法。主旨在通过该方法进行将互联网外部的百万威胁中筛选出高可信度、高准确度的威胁，主要方案包括对自有的ip或域名资产进行相应的属性特征检测收集，形成自有资产的属性因子、互斥因子；对源威胁的SIP生成源威胁情报因子的分数；对源威胁的Playload生成源威胁行为因子的分数；对源威胁的Alarm name、Attack type、Playload生成源威胁属性因子的分数；对源威胁的Alarm name、Attack type、Playload生成源威胁互斥因子的分数；通过对源威胁中的情报因子、行为因子、属性因子、互斥因子分数进行累加得到威胁分数，根据分数进行处置。根据分数进行处置。根据分数进行处置。

【技术实现步骤摘要】
一种互联网安全威胁的安全智能分析方法


[0001]本技术应用于网络安全领域，提供了一种互联网安全威胁的的安全智能分析方法。
技术背景
[0002]随着互联网安全威胁攻击等高隐蔽未知威肋的出现与技术手段的不断革新，安全威胁分析的对象的庞大而复杂多样，传统安全分析技术难以满足处理互联网攻击的时效性要求，亟需融合多手段的检测技术来应对种类日益多样化的安全威胁攻击。在安全威肋具有更强的破坏力与隐蔽性的形势下，结合大数据和人工智能技术的安全智能分析成为新一代安全能力的关键，是网络空间安全的一种重要发展方向。
[0003]由于互联网安全威胁攻击等网络威胁依托于大数据分析、自动化工具等先进技术来提升恶意攻击的效率和隐蔽性，使得加快推动了网络安全分析突破依赖安全专家的传统“人工”阶段过渡，进入安全智能分析阶段。

技术实现思路
：
[0004]本专利技术的目的在于解决从百万威胁中筛选出高可信高准确的威胁的技术问题。
[0005]为了实现上述互联网安全威胁的安全智能分析技术，本专利技术采用如下技术方案：
[0006]一种互联网安全威胁的安全智能分析方法，包括以下步骤：
[0007]步骤1.对自有的ip或域名资产通过安全智能分析器资产智能收集模块进行相应的属性特征检测收集，形成自有资产的属性因子、互斥因子，将各个资产的属性因子及互斥因子缓存加载到安全智能分析器的属性因子分析模块、安全智能分析器互斥因子分析模块；
[0008]步骤2.对源威胁的SIP(源IP)进行安全智能分析器情报因子分析模块的检测分析计算，生成源威胁情报因子的分数；
[0009]步骤3.对源威胁的playload进行安全智能分析器行为因子分析模块的检测分析计算，生成源威胁行为因子的分数；
[0010]步骤4.对源威胁的Alarm name、Attack type、Playload进行安全智能分析器属性因子分析模块进行检测分析计算，生成源威胁属性因子的分数；
[0011]步骤5.对源威胁的Alarm name、Attack type、Playload进行安全智能分析器互斥因子分析模块进行检测分析计算，生成源威胁互斥因子的分数；
[0012]步骤6.通过对源威胁中的情报因子、行为因子、属性因子、互斥因子分数进行累加得到威胁分数，根据威胁分数大小分别定义威胁等级为高、中、低、极低；
[0013]步骤7.对威胁等级为高、中、低、极低的威胁进行相应的处置。
[0014]上述技术方案中，步骤1具体包括以下步骤：
[0015]步骤1.1、对自有的IP资产属性因子和互斥因子收集方式：通过安全智能分析器资产智能收集模块的端口识别检测项、系统识别检测项、服务识别检测项对IP资产进行全面
的检测，依据端口识别检测项、系统识别检测项、服务识别检测项返回的状态码和特征值进行检测计算，生成特有的IP资产属性因子和IP资产互斥因子；
[0016]步骤1.2、对自有的域名资产属性因子和互斥因子收集方式：首先通过安全智能分析器资产智能收集模块对域名进行域名DNS枚举算法生成有限个子域名，再通过安全智能分析器资产智能收集模块的端口识别检测项、系统识别检测项、服务识别检测项、web指纹检测项对域名及子域名进行全面的检测，依据端口识别检测项、系统识别检测项、服务识别检测项返回的状态码和特征值进行检测计算，生成特有的域名资产属性因子和域名资产互斥因子；
[0017]步骤1.3、通过对安全智能分析器资产智能收集模块把ip和域名生成特有的属性因子，以[IP，属性因子]或[域名，互斥因子]的json格式通过kafka通道加载到安全智能分析器的属性因子分析模块topic，以便后续安全智能分析器的属性因子分析模块对topic中属性因子进行拉取、消费以完成相应的检测分析；
[0018]步骤1.4、通过对安全智能分析器资产智能收集模块把ip和域名生成特有的互斥因子，以[IP，互斥因子]或[域名，互斥因子]的json格式通过kafka通道加载到安全智能分析器的互斥因子分析模块topic，以便后续安全智能分析器的互斥因子分析模块对topic中互斥因子进行拉取、消费以完成相应的检测分析。
[0019]上述技术方案中，步骤2具体包括以下步骤：
[0020]步骤2.1、源威胁中SIP对安全智能分析器情报因子分析模块检测匹配分析计算，如命中情报因子分析模块地理位置检测项
‑
国外，且同时命中情报因子分析模块威胁属性检测项
‑
恶意时，情报因子分数为4；
[0021]步骤2.2、源威胁中SIP对安全智能分析器情报因子分析模块检测匹配分析计算，如命中情报因子分析模块地理位置检测项
‑
国外，但未命中情报因子分析模块威胁属性检测项
‑
恶意时，情报因子分数为3；
[0022]步骤2.3、源威胁中SIP对安全智能分析器情报因子分析模块检测匹配分析计算，如未命中情报因子分析模块地理位置检测项
‑
国外，但命中情报因子分析模块威胁属性检测项
‑
恶意时，情报因子分数为2；
[0023]步骤2.4、源威胁中SIP对安全智能分析器情报因子分析模块检测匹配分析计算，如未命中情报因子分析模块地理位置检测项
‑
国外，且未命中情报因子分析模块威胁属性检测项
‑
恶意时，情报因子分数为1；
[0024]上述技术方案中，步骤3具体包括以下步骤：
[0025]步骤3.1、源威胁playload通过进行其去转义化算法处理，后进行安全智能分析器行为因子分析模块检测匹配分析计算，如命中行为因子分析模块高危命令检测项或行为因子分析模块敏感信息检测项时，行为因子分数为2；
[0026]步骤3.2、源威胁playload通过进行其去转义化算法处理，后进行安全智能分析器行为因子分析模块检测匹配分析计算，如未命中行为因子分析模块高危命令检测项且未命中行为因子分析模块敏感信息检测项时，行为因子分数为0。
[0027]上述技术方案中，步骤4具体包括以下步骤：
[0028]步骤4.1、源威胁中Alarm name、Attack type、playload中对安全智能分析器属性因子分析模块中涉及对目标资产的属性因子缓存信息进行特征分析计算，依据比对该属性
因子的专有属性特征，通过进行其去转义化算法后进行匹配精确度，计算精确度达达到65％，则命中该属性因子，即分数为1；
[0029]步骤4.2、源威胁中Alarm name、Attack type、playload中对安全智能分析器属性因子分析模块中涉及对目标资产的属性因子缓存信息进行特征分析计算，依据比对该属性因子的专有属性特征，通过进行其去转义化算法后进行匹配精确度，计算精确度未达到65％，则未命中该属性因子，即分数为0。
[0030]上述技术方案中，步骤5具体包括以下步骤：
[0031]步骤5.1、源本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种互联网安全威胁的安全智能分析方法，其特征在于，包括以下步骤：步骤1.对自有的ip或域名资产通过安全智能分析器资产智能收集模块进行相应的属性特征检测收集，形成自有资产的属性因子、互斥因子，将各个资产的属性因子及互斥因子缓存加载到安全智能分析器的属性因子分析模块、安全智能分析器互斥因子分析模块；步骤2.对源威胁的SIP进行安全智能分析器情报因子分析模块的检测分析计算，生成源威胁情报因子的分数；步骤3.对源威胁的Playload进行安全智能分析器行为因子分析模块的检测分析计算，生成源威胁行为因子的分数；步骤4.对源威胁的Alarm name、Attack type、Playload进行安全智能分析器属性因子分析模块进行检测分析计算，生成源威胁属性因子的分数；步骤5.对源威胁的Alarm name、Attack type、Playload进行安全智能分析器互斥因子分析模块进行检测分析计算，生成源威胁互斥因子的分数；步骤6.通过对源威胁中的情报因子、行为因子、属性因子、互斥因子分数进行累加得到威胁分数，根据威胁分数大小分别定义威胁等级为高、中、低、极低；步骤7.对威胁等级为高、中、低、极低的威胁进行相应的处置。2.根据权利要求1所述的一种互联网安全威胁的安全智能分析方法，其特征在于，步骤1具体包括以下步骤：步骤1.1、对自有的IP资产属性因子和互斥因子收集方式：通过安全智能分析器资产智能收集模块的端口识别检测项、系统识别检测项、服务识别检测项对IP资产进行全面的检测，依据端口识别检测项、系统识别检测项、服务识别检测项返回的状态码和特征值进行检测计算，生成特有的IP资产属性因子和IP资产互斥因子；步骤1.2、对自有的域名资产属性因子和互斥因子收集方式：首先通过安全智能分析器资产智能收集模块对域名进行域名DNS枚举算法生成有限个子域名，再通过安全智能分析器资产智能收集模块的端口识别检测项、系统识别检测项、服务识别检测项、web指纹检测项对域名及子域名进行全面的检测，依据端口识别检测项、系统识别检测项、服务识别检测项返回的状态码和特征值进行检测计算，生成特有的域名资产属性因子和域名资产互斥因子；步骤1.4、通过对安全智能分析器资产智能收集模块把ip和域名生成特有的属性因子，以[IP，属性因子]或[域名，互斥因子]的json格式通过kafka通道加载到安全智能分析器的属性因子分析模块topic，以便后续安全智能分析器的属性因子分析模块对topic中属性因子进行拉取、消费以完成相应的检测分析；步骤1.4、通过对安全智能分析器资产智能收集模块把ip和域名生成特有的互斥因子，以[IP，互斥因子]或[域名，互斥因子]的json格式通过kafka通道加载到安全智能分析器的互斥因子分析模块topic，以便后续安全智能分析器的互斥因子分析模块对topic中互斥因子进行拉取、消费以完成相应的检测分析。3.根据权利要求1所述的一种互联网安全威胁的安全智能分析方法，其特征在于，步骤2具体包括以下步骤：步骤2.1、源威胁中SIP对安全智能分析器情报因子分析模块检测匹配分析计算，如命中情报因子分析模块地理位置检测项
‑
国外，且同时命中情报因子分析模块威胁属性检测
项
‑
恶意时，情报因子分数为4；步骤2.2、源威胁中SIP对安全智能分析器情报因子分析模块检测匹配分析计算，如命中情报因子分析模块地理位置检测项
‑
国外，但未命中情报因子分析模块威胁属性检测项
‑
恶意时，情报因子分数为3；步骤2.3、源威胁中SIP对安全智能分析器情报因子分析模块检测匹配分析计算，如未命中情报因子分析模块地理位置检测项
‑
国外，但命中情报因子分析模块威胁属性检测项

【专利技术属性】
技术研发人员：贺虎林，张雯，彭进，陈思琪，史晋彪，田骏，李耀，
申请(专利权)人：武汉众邦银行股份有限公司，
类型：发明
国别省市：