[发明专利]一种基于威胁情报的网络威胁识别方法及识别系统

权利要求书

1.一种基于威胁情报的网络威胁识别方法，其特征在于：所述方法包括以下步骤：

步骤1：检测模块启动，加载本地更新的所有威胁情报至本地威胁情报库；

步骤2：若检测模块获得基于采集的网络流量的审计数据，则进行下一步，否则，重复步骤2；

步骤3：检测模块以审计数据与本地威胁情报库中的数据进行匹配，若匹配成功，则获得风险数据，进行下一步，否则，返回步骤1；风险数据包括当前审计数据里的元数据的威胁程度、所属黑客组织、所属病毒家族、威胁类型、域名注册信息；

步骤4：基于风险数据分析并获得威胁事件信息；

基于风险数据：

若威胁事件为失陷主机事件，则将风险数据按照事件类型和威胁类型进行分类；

若威胁事件为针对性攻击事件，则获得攻击者发送的请求信息和受攻击者的返回信息，分析攻击者的目的；

步骤5：若步骤4中存在失陷主机事件，获得并分析失陷主机事件的关联信息，失陷主机事件的关联信息包括任一失陷主机事件对应的后续网络行为，分析失陷主机事件的关联信息包括分析该失陷主机的关联事件的时间分布及事件数量走势，进行下一步，否则，直接进行下一步；

步骤6：统计威胁事件信息和/或失陷主机事件的信息，分析威胁事件信息和/或失陷主机事件间的联系；

统计的信息包括威胁事件信息和失陷主机事件信息；

所述威胁事件信息包括任一时间范围内威胁事件信息的事件类型、威胁类型、受攻击主机数、攻击主机数、事件发生次数、首次发生时间和最近发生时间；对所述受攻击主机数、攻击主机数、事件发生次数，钻取到任一具体事件，获得受攻击主机、攻击主机和发生时间；

所述失陷主机事件信息包括任一时间范围内的失陷主机、发生的事件种类数量、恶意地址数量、访问次数、首次发生时间和最近发生时间；对所述事件种类数量、恶意地址数量，钻取到任一具体事件，获得对应的事件种类和恶意地址；

展示；所述展示是指展示攻击者、受攻击者之间的网络行为的关系图，威胁事件角度展现的关系图从事件类型和威胁类型出发进行展示；失陷主机角度展现的关系图是以一对多的形式展示，显示该失陷主机访问过的CC IP或者域名及其访问时间、这些IP或者域名分别归属的黑客组织、病毒家族，以及该失陷主机在何时被作为跳板、以攻击者的身份对内部局域网其他主机发起过攻击、或者对外部网络发起攻击。

2.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法，其特征在于：所述步骤1中，若检测模块中多于1个进程并发运行，则以其中任一进程加载威胁情报数据至共享内存里，当前威胁情报数据可以被当前所有进程共享访问。

3.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法，其特征在于：所述步骤2中，审计数据包括源IP地址、目的IP地址、域名、源端口、目的端口、请求时间、请求内容、响应码和响应内容。

4.根据权利要求1所述的一种基于威胁情报的网络威胁识别方法，其特征在于：若情报更新模块从云端下载了更新的威胁情报数据，则情报更新模块发送通知给检测模块，检测模块增量加载最近更新的威胁情报数据。

5.一种采用权利要求1~4之一所述的基于威胁情报的网络威胁识别方法的识别系统，其特征在于：所述识别系统包括：

一情报更新模块，用于定期检查云端威胁情报库最近的更新情况并确定是否需要从云端更新威胁情报数据；

一威胁情报库，用于将情报更新模块从云端下载的威胁情报数据保存到本地；

一网络流量采集与解析模块，用于获取网络流量数据并解析为审计数据；

一检测模块，用于加载威胁情报库并与网络流量采集与解析模块解析后的审计数据进行匹配得到风险数据；

一分析与展示模块，用于对检测模块输出的结果进行分析并进行展示。

6.根据权利要求5所述的一种基于威胁情报的网络威胁识别方法的识别系统，其特征在于：所述云端包括：

一云端威胁情报库，用于保存全量威胁情报数据；

一情报查询和更新接口，用于与情报更新模块对接，提供威胁情报查询接口和情报更新接口。