[发明专利]网络威胁的检测方法、装置、电子装置和存储介质

权利要求书

1.一种网络威胁的检测方法，其特征在于包括：

从多个数据源中获取网络安全数据；

将所述网络安全数据输入到已训练的安全分析模型，从所述网络安全数据中提取SMB远程溢出风险数据；判断所述SMB远程溢出风险数据的攻击状态；在所述SMB远程溢出风险数据的攻击状态为成功的情况下，存储所述SMB远程溢出风险数据的源IP和目的IP；判断所述SMB远程溢出风险数据是否存在第一特征信息、第二特征信息、第三特征信息、第四特征信息，其中，所述第一特征信息为攻击频率大于第一阈值，所述第二特征信息为请求次数大于第二阈值，所述第三特征信息为连续3天每天请求次数大于第三阈值，所述第四特征信息为请求具有规律性；在所述SMB远程溢出风险数据至少包括两种特征信息的情况下，判定所述源IP存在感染，所述目的IP存在SMB漏洞，所述SMB远程溢出风险数据为待测威胁数据；其中，所述已训练的安全分析模型是被训练为根据所述网络安全数据的特征信息评估所述网络安全数据是否属于所述待测威胁数据的机器学习模型；

将所述待测威胁数据输入到第一研判平台，所述第一研判平台对所述待测威胁数据进行分类，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的分类的威胁事件；

在所述第一研判平台中发生对应于所述待测威胁数据的分类的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据。

2.根据权利要求1所述的网络威胁的检测方法，其特征在于，所述待测威胁数据包括以下至少之一：安全隐患数据、威胁攻击数据、安全事件数据。

3.根据权利要求1所述的网络威胁的检测方法，其特征在于，在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为第一威胁数据包括：

在所述第一研判平台中发生对应于所述待测威胁数据的威胁事件的情况下，获取发生对应于所述待测威胁数据的威胁事件的第一凭证信息，并在所述第一研判平台中存储所述第一凭证信息；

标记所述待测威胁数据为第一威胁数据。

4.根据权利要求1所述的网络威胁的检测方法，其特征在于，在将所述待测威胁数据输入到第一研判平台，判断在所述第一研判平台中是否发生对应于所述待测威胁数据的威胁事件之后，所述方法还包括：

在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为待测安全数据；

将所述待测安全数据输入到第二研判平台，判断在所述第二研判平台中是否存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件；

在所述第二研判平台中存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件的情况下，向所述第一研判平台发送报错信息。

5.根据权利要求4所述的网络威胁的检测方法，其特征在于，在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，标记所述待测威胁数据为待测安全数据包括：

在所述第一研判平台中未发生对应于所述待测威胁数据的威胁事件的情况下，获取未发生对应于所述待测威胁数据的威胁事件的第二凭证信息，并在所述第一研判平台中存储所述第二凭证信息；

标记所述待测威胁数据为待测安全数据。

6.根据权利要求5所述的网络威胁的检测方法，其特征在于，在所述第二研判平台中存在对应于与所述待测安全数据类型相同的威胁数据的威胁事件的情况下，向所述第一研判平台发送报错信息之后，所述方法还包括：

将对应于所述待测安全数据的第二凭证信息发送给所述第二研判平台；

在所述第二凭证信息有效的情况下，标记所述待测安全数据为第一安全数据；

或者将所述待测安全数据输入到所述第一研判平台，重新判断在所述第一研判平台中是否发生对应于所述待测安全数据的威胁事件；

在所述第一研判平台中未发生对应于所述待测安全数据的威胁事件的情况下，标记所述待测安全数据为第一安全数据。

7.根据权利要求1至6中任一项所述的网络威胁的检测方法，其特征在于，在从多个数据源中获取网络安全数据之后，所述方法还包括：

对所述网络安全数据进行预处理，得到预处理后的所述网络安全数据。