[发明专利]一种基于威胁情报的网络威胁识别方法及识别系统

说明书

本发明涉及一种基于威胁情报的网络威胁识别方法及识别系统，检测模块启动后加载情报更新模块更新的所有威胁情报至本地，获得采集并解析的审计数据后与威胁情报库中的数据匹配，成功则通过分析与展示模块基于风险数据分析并获得威胁事件信息，获得并分析可能存在的失陷主机事件的关联信息，统计、分析其间的联系并展示。本发明从威胁事件信息和失陷主机事件两个角度分析并展现全网威胁状况，确定已失陷主机，准确识别针对性攻击，对威胁进行关联性分析和展现，提升处理网络攻击事件的效率，误报率低，可发现潜在威胁，极大方便对威胁事件的溯源和事后处理，预测将来可能发生的攻击，从而深度分析并发现真正有价值的攻击事件。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种以协议为特征的、基于威胁情报的网络威胁识别方法及识别系统。

背景技术

随着以APT、恶意挖矿、勒索病毒等为主的新型威胁和网络攻击的不断出现，数量不断上升，网络威胁正迅速恶性演变，与此同时，网络攻击的手段和渠道亦多元化发展，对于网络安全人员的分析与处理能力提出了更高的要求，而企业和组织在防范外部的攻击过程中越发需要依靠充分、高效、精准的安全威胁情报作为支撑，以帮助其更好的发现和应对这些新型威胁。

威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临的、已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。事实上，绝大多数的威胁情报是狭义的威胁情报，其主要内容为用于识别和检测威胁的对象以及这些对象的归属标签，这些威胁的对象包括但不限于IP、域名、URL、程序运行路径、注册表项、文件HASH值，而归属标签包括威胁类型、属性、威胁级别等。

如申请号为201810306120.2的中国专利“一种基于日志的威胁情报检测方法及装置”，通过获取不同文件类型的日志文件，对日志文件进行解析，匹配不同威胁指标IOC类型，并将不同IOC类型的解析文件添加至检测引擎队列；从检测引擎队列中获取目标解析文件，根据目标解析文件的IOC类型确定对应的目标查询方式；若根据目标查询方式查询到目标解析文件中存在威胁情报，则生成威胁告警信息，如包含失陷主机或恶意文件。

现有技术的缺陷在于，仅是单纯匹配威胁情报，若产生多个的单个告警则没有关联性分析，不方便网络攻击溯源分析，不方便从全局角度查看全网威胁，判断不准确、不全面客观。

发明内容

本发明解决了现有技术中，存在的单纯匹配威胁情报，威胁情况间未进行关联性分析，不方便网络攻击溯源分析，不方便从全局角度查看全网威胁，进而极大程度导致判断不准确的问题，提供了一种优化的基于威胁情报的网络威胁识别方法及识别系统。

本发明所采用的技术方案是，一种基于威胁情报的网络威胁识别方法，所述方法包括以下步骤：

步骤1：检测模块启动，加载本地更新的所有威胁情报至本地威胁情报库；

步骤2：若检测模块获得基于采集的网络流量的审计数据，则进行下一步，否则，重复步骤2；

步骤3：检测模块以审计数据与本地威胁情报库中的数据进行匹配，若匹配成功，则获得风险数据，进行下一步，否则，返回步骤1；

步骤4：基于风险数据分析并获得威胁事件信息；

步骤5：若步骤4中存在失陷主机事件，获得并分析失陷主机事件的关联信息，进行下一步，否则，直接进行下一步；

步骤6：统计威胁事件信息和/或失陷主机事件的信息，分析威胁事件信息和/或失陷主机事件间的联系；展示。

优选地，所述步骤1中，若检测模块中多于1个进程并发运行，则以其中任一进程加载威胁情报数据至共享内存里，当前威胁情报数据可以被当前所有进程共享访问。