一种基于攻击者行为及资产的角色威胁情报分析方法技术

本发明专利技术公开了一种基于攻击者行为及资产的角色威胁情报分析方法，包括以下步骤：

【技术实现步骤摘要】
一种基于攻击者行为及资产的角色威胁情报分析方法


[0001]本专利技术涉及网络攻击防护
，具体为一种基于攻击者行为及资产的角色威胁情报分析方法
。

技术介绍

[0002]当前常规的威胁情报数据基于
IP、
基于事件
、
基于特征
、
基于日志，彼此关联性不高，虽海量但并不针对各行业用户的真实业务环境，尤其是面向
AI
自动化攻击行为泛滥的今天，常规威胁情报数据的参考意义大于实用意义
。
[0003]但现有技术中，随着日增的网络攻击趋势，常规威胁情报数据时效性不够及时，与用户实际需求有差距；实用场景有缺失，对应业务没有具体价值；情报可信度不高，无法直接使用输出决策
。

技术实现思路

[0004]本专利技术的目的在于提供一种基于攻击者行为及资产的角色威胁情报分析方法，以解决上述
技术介绍
提出的随着日增的网络攻击趋势，常规威胁情报数据时效性不够及时，与用户实际需求有差距；实用场景有缺失，对应业务没有具体价值；情报可信度不高，无法直接使用输出决策的问题
。
[0005]为实现上述目的，本专利技术提供如下技术方案：一种基于攻击者行为及资产的角色威胁情报分析方法，包括以下步骤：
[0006]S1、
反向代理原
Web
业务所有流量；
[0007]S2、
分析流量请求识别攻击者攻击行为和指纹信息；
[0008]S3、
识别并记录新增攻击者资产信息
、
攻击行为和其他指纹信息；
[0009]S4、
标记并存储攻击者唯一身份
、
网络指纹
、
软件指纹
、
硬件指纹
、IP、
跳板等攻击资产信息；
[0010]S5、
向云端联合共享情报共享攻击者信息和资产数据；
[0011]S6、
云端联合共享情报同步下发攻击者信息和资产数据；
[0012]S7、
各用户情报节点录入新增数据到本地攻击者情报系统
。
[0013]优选的，在步骤
S1
中，所述反向代理原
Web
业务所有流量包括以下步骤：
[0014]S11、
由客户端发起对代理服务器的请求；
[0015]S12、
代理服务器在中间将原业务的所有
Web
流量转发给反向服务器；
[0016]S13、
反向服务器将原业务处理后返回给代理服务器；
[0017]S14、
代理服务器再将结果返回给客户端
。
[0018]优选的，在步骤
S2
中，所述分析流量请求识别攻击者攻击行为和指纹信息包括以下步骤：
[0019]S21、
获取业务流量数据；
[0020]S22、
在业务流量中分析攻击者的行为；
[0021]S23、
检测攻击者的指纹数据；
[0022]S24、
建立本地数据库存储检测出的攻击者指纹数据及情报数据，通过反向侦查攻击者，收集指纹
、
网络行为
、
攻击行为
、
时空数据等等，从而对攻击者建立识别模型，形成攻击者标识，便于后续遇到攻击时快速调取相关数据进行防御
。
[0023]优选的，在步骤
S3
中，所述识别并记录新增攻击者资产信息
、
攻击行为和其他指纹信息包括以下步骤：
[0024]S31、
识别新增攻击者的资产信息
、
攻击行为和指纹数据；
[0025]S32、
在本地数据存储库中匹配新增攻击者的指纹数据；
[0026]S33、
若新增指纹数据匹配成功，则调取对应攻击者角色情报数据进行预警防御，便于根据预警信息进行针对性展开防御措施，保证防御措施的快速有效；
[0027]S34、
若新增指纹数据匹配失败，将新增数据内容进行记录；
[0028]S35、
向本地数据存储库同步新增数据内容，本地数据存储库进行数据优先同步记录，提高本地用户的防御能力
。
[0029]优选的，在步骤
S4
中，所述标记并存储攻击者唯一身份
、
网络指纹
、
软件指纹
、
硬件指纹
、IP、
跳板等攻击资产信息包括以下步骤：
[0030]S41、
标记新的攻击者指纹信息，便于新增情报数据的关联定位；
[0031]S42、
记录攻击者和业务交互的所有信息
。
[0032]优选的，在步骤
S42
中，所述攻击者和业务交互的所有信息包括请求原始报文
、
模拟漏洞返回报文
、
事件日志
、
攻击动作
、
交互次数
、
攻击
IP、
终端信息
、
浏览器指纹信息和起止时间，便于对攻击者建立识别模型，形成攻击者标识，组成并不断充实的攻击者情报网络
。
[0033]优选的，在步骤
S5
中，所述向云端联合共享情报共享攻击者信息和资产数据包括以下步骤：
[0034]S51、
提交攻击者唯一指纹数据到云端联合共享情报进行匹配；
[0035]S52、
若匹配结果不存在该攻击者指纹数据，则将该攻击者指纹数据新增录入；
[0036]S53、
若有新增数据则同时进行新增数据录入云端联合共享情报库，进行数据同步，便于云端联合共享情报库同步更新新增数据，从而便于后续情报共享
。
[0037]优选的，在步骤
S6
中，所述云端联合共享情报同步下发攻击者信息和资产数据包括以下步骤：
[0038]S61、
云端联合共享情报定期检索库内是否新增情报数据，通过检索新增情报数据便于在防守上能够做到一点发现，全网共享预警
、
联动防护，确保用户每个防护节点都具有全面协同的主动防御能力；
[0039]S62、
若有新增情报数据则将情报数据进行汇总，便于多个新增情报数据同时共享；
[0040]S63、
期同步下发新增汇总的攻击者资产情报数据
。
[0041]优选的，在步骤
S7
中，所述各用户情报节点录入新增数据到本地攻击者情报系统包括以下步骤：
[0042]S71、
接收云端联合共享情报下发的攻击者资产情报数据，使得云端情报下发数据同步；
[0043]S72、
用户本地攻击者角色情报系统同步更新，便于与用户同步共享已知的攻击者资产和威胁情报数据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于攻击者行为及资产的角色威胁情报分析方法，其特征在于，包括以下步骤：
S1、
反向代理原
Web
业务所有流量；
S2、
分析流量请求识别攻击者攻击行为和指纹信息；
S3、
识别并记录新增攻击者资产信息
、
攻击行为和其他指纹信息；
S4、
标记并存储攻击者唯一身份
、
网络指纹
、
软件指纹
、
硬件指纹
、IP、
跳板等攻击资产信息；
S5、
向云端联合共享情报共享攻击者信息和资产数据；
S6、
云端联合共享情报同步下发攻击者信息和资产数据；
S7、
各用户情报节点录入新增数据到本地攻击者情报系统
。2.
根据权利要求1所述的一种基于攻击者行为及资产的角色威胁情报分析方法，其特征在于，在步骤
S1
中，所述反向代理原
Web
业务所有流量包括以下步骤：
S11、
由客户端发起对代理服务器的请求；
S12、
代理服务器在中间将原业务的所有
Web
流量转发给反向服务器；
S13、
反向服务器将原业务处理后返回给代理服务器；
S14、
代理服务器再将结果返回给客户端
。3.
根据权利要求1所述的一种基于攻击者行为及资产的角色威胁情报分析方法，其特征在于，在步骤
S2
中，所述分析流量请求识别攻击者攻击行为和指纹信息包括以下步骤：
S21、
获取业务流量数据；
S22、
在业务流量中分析攻击者的行为；
S23、
检测攻击者的指纹数据；
S24、
建立本地数据库存储检测出的攻击者指纹数据及情报数据
。4.
根据权利要求1所述的一种基于攻击者行为及资产的角色威胁情报分析方法，其特征在于，在步骤
S3
中，所述识别并记录新增攻击者资产信息
、
攻击行为和其他指纹信息包括以下步骤：
S31、
识别新增攻击者的资产信息
、
攻击行为和指纹数据；
S32、
在本地数据存储库中匹配新增攻击者的指纹数据；
S33、
若新增指纹数据匹配成功，则调取对应攻击者角色情报数据进行预警防御；
S34、

【专利技术属性】
技术研发人员：全威，谢景扬，
申请(专利权)人：影数苏州科技有限公司，
类型：发明
国别省市：