[发明专利]一种基于开源信息的可疑威胁指标主动验证方法和系统

说明书

本发明涉及一种基于开源信息的可疑威胁指标主动验证方法和系统。该方法包括以下步骤：1)设计特定查询语句，所述特定查询语句是可疑威胁指标与特定场景的组合；2)收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息；3)将所述结果信息中的相关开源信息进行结构化处理，得到结构化数据；4)利用所述结构化数据，充分学习其中的隐藏特征，训练相应的分类模型；5)利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性，从而识别网络威胁。该系统包括查询设计模块、信息采集模块、数据处理模块、模型训练模块、指标验证模块。本发明能够高效准确地完成对可疑威胁指标的验证，帮助人们识别高级威胁攻击，保证网络安全。

技术领域

本发明属于网络空间安全技术领域，具体涉及一种基于开源信息的可疑威胁指标主动验证方法和系统。

背景技术

近年来，以APT(Advanced Persistent Threats，高级持续性威胁)为典型代表的高级网络威胁增长迅速并日益复杂。为了保证网络安全，一些安全公司、安全厂商或安全研究人员会在互联网上发布一些安全报告、技术博客等专业文章来分析已有高级威胁攻击及其技术细节。这些信息有助于人们快速了解已有网络威胁的演变及实现过程，及时发现攻击的早期迹象，并做出合适的防御响应。

可疑威胁指标是指在网络流量或日志中发现的不确定是否异常的指标，如可疑的IP地址，域名及MD5值等。对可疑威胁指标的验证不仅仅包括简单的是否恶意的验证，还包括对其适用的特定场景的验证，如一个可疑域名，不仅验证该域名是否是恶意域名，还确认其使用场景是APT攻击，还是僵尸网络攻击等。唯有掌握可疑威胁指标的场景信息，才能制定合理策略，保证网络安全。

验证可疑威胁指标，可利用网络威胁情报(Cyber Threat Intelligence，CTI)来完成。网络威胁情报是关于现有或潜在威胁的详细的证据知识，包括情境、机制、指标、推论与可行建议。这些知识是安全专家或专业团队分析整理出来的，可为威胁响应提供决策依据。威胁情报根据来源主要分为两大类：内部威胁情报和外部威胁情报。内部威胁情报多是从分析系统内部数据如恶意代码、网络日志等收集处理的，外部威胁情报主要源自企业和社区的共享情报、安全服务商的情报服务以及互联网的公开情报等。鉴于内部威胁情报的封闭性和特殊性，验证可疑威胁指标时一般不使用内部威胁情报。通过外部威胁情报的验证，主要是基于商用情报的验证与基于开源情报的验证。

基于商用情报的可疑威胁指标验证方法主要是通过购买安全公司或厂商的威胁情报服务来完成。这种方法成本较高且无法做到对已有情报的全覆盖。基于开源情报的验证方法多是人们先定点监控一些公开情报源，并收集其发布的威胁攻击信息，然后从相关信息中抽取出入侵威胁指标(Indicators of Compromise，IOC)形成威胁情报库以供后续使用。这种方法是被动的，复杂的。并且，定点监控的公开情报源不完整，无法监控所有的公开情报源。此外，还需要对不同情报源的信息进行分析整理，代价大。

发明内容

本发明的目的在于提供一种基于开源信息的可疑威胁指标主动验证方法和系统，充分利用互联网上公开的相关威胁信息，高效准确地完成对可疑威胁指标的验证，帮助人们识别高级威胁攻击，保证网络安全。

本发明采用的技术方案如下：

一种基于开源信息的可疑威胁指标主动验证方法，包括以下步骤：

1)设计特定查询语句，所述特定查询语句是可疑威胁指标与特定场景的组合；

2)收集和爬取根据所述特定查询语句在互联网上检索得到的结果信息；

3)将所述结果信息中的相关开源信息进行结构化处理，得到结构化数据；

4)利用所述结构化数据，充分学习其中的隐藏特征，训练相应的分类模型；

5)利用所述分类模型验证在特定场景下的可疑威胁指标的恶意性，从而识别网络威胁。