【技术实现步骤摘要】
一种基于攻击者行为及资产的角色威胁情报分析方法
[0001]本专利技术涉及网络攻击防护
,具体为一种基于攻击者行为及资产的角色威胁情报分析方法
。
技术介绍
[0002]当前常规的威胁情报数据基于
IP、
基于事件
、
基于特征
、
基于日志,彼此关联性不高,虽海量但并不针对各行业用户的真实业务环境,尤其是面向
AI
自动化攻击行为泛滥的今天,常规威胁情报数据的参考意义大于实用意义
。
[0003]但现有技术中,随着日增的网络攻击趋势,常规威胁情报数据时效性不够及时,与用户实际需求有差距;实用场景有缺失,对应业务没有具体价值;情报可信度不高,无法直接使用输出决策
。
技术实现思路
[0004]本专利技术的目的在于提供一种基于攻击者行为及资产的角色威胁情报分析方法,以解决上述
技术介绍
提出的随着日增的网络攻击趋势,常规威胁情报数据时效性不够及时,与用户实际需求有差距;实用场景有缺失,对应业务没有具体价值;情报可信度不高,无法直接使用输出决策的问题
。
[0005]为实现上述目的,本专利技术提供如下技术方案:一种基于攻击者行为及资产的角色威胁情报分析方法,包括以下步骤:
[0006]S1、
反向代理原
Web
业务所有流量;
[0007]S2、
分析流量请求识别攻击者攻击行为和指纹信息;
[0008]S3、
识别并记录新增攻击者 ...
【技术保护点】
【技术特征摘要】
1.
一种基于攻击者行为及资产的角色威胁情报分析方法,其特征在于,包括以下步骤:
S1、
反向代理原
Web
业务所有流量;
S2、
分析流量请求识别攻击者攻击行为和指纹信息;
S3、
识别并记录新增攻击者资产信息
、
攻击行为和其他指纹信息;
S4、
标记并存储攻击者唯一身份
、
网络指纹
、
软件指纹
、
硬件指纹
、IP、
跳板等攻击资产信息;
S5、
向云端联合共享情报共享攻击者信息和资产数据;
S6、
云端联合共享情报同步下发攻击者信息和资产数据;
S7、
各用户情报节点录入新增数据到本地攻击者情报系统
。2.
根据权利要求1所述的一种基于攻击者行为及资产的角色威胁情报分析方法,其特征在于,在步骤
S1
中,所述反向代理原
Web
业务所有流量包括以下步骤:
S11、
由客户端发起对代理服务器的请求;
S12、
代理服务器在中间将原业务的所有
Web
流量转发给反向服务器;
S13、
反向服务器将原业务处理后返回给代理服务器;
S14、
代理服务器再将结果返回给客户端
。3.
根据权利要求1所述的一种基于攻击者行为及资产的角色威胁情报分析方法,其特征在于,在步骤
S2
中,所述分析流量请求识别攻击者攻击行为和指纹信息包括以下步骤:
S21、
获取业务流量数据;
S22、
在业务流量中分析攻击者的行为;
S23、
检测攻击者的指纹数据;
S24、
建立本地数据库存储检测出的攻击者指纹数据及情报数据
。4.
根据权利要求1所述的一种基于攻击者行为及资产的角色威胁情报分析方法,其特征在于,在步骤
S3
中,所述识别并记录新增攻击者资产信息
、
攻击行为和其他指纹信息包括以下步骤:
S31、
识别新增攻击者的资产信息
、
攻击行为和指纹数据;
S32、
在本地数据存储库中匹配新增攻击者的指纹数据;
S33、
若新增指纹数据匹配成功,则调取对应攻击者角色情报数据进行预警防御;
S34、
【专利技术属性】
技术研发人员:全威,谢景扬,
申请(专利权)人:影数苏州科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。