[发明专利]一种基于图的蜜罐系统威胁情报分析方法

权利要求书

1.一种基于图的蜜罐系统威胁情报分析方法，其特征在于，包括如下步骤：

S10.数据收集：利用蜜罐系统收集攻击者的行为数据；

S20.数据提取：基于收集到的行为数据，分析提取出元信息以及由元信息衍生出的衍生信息；

S30.构建图模型：以提取出的元信息以及衍生信息作为图模型的节点，以各种元信息以及衍生信息的关系作为图的边，构建出图模型，并实时保存至图数据库中；

S40.基于构建完成的图模型定期进行威胁情报挖掘和分析，得到威胁情报的挖掘和分析结果，并进行显示；

所述S40步骤中基于构建完成的图模型定期进行威胁情报挖掘和分析的具体方法为：

S41.基于需要发掘和分析的威胁情报，选取图模型中与威胁情报相关的节点；

S42.基于选取出的节点，结合挖掘目标应用图挖掘算法，得到相应挖掘结果：当挖掘攻击源间的群体特征时，采用基于节点相似度的社区发现算法；当挖掘攻击者的个人特征信息时，采用频繁子图挖掘算法；

S43.基于挖掘结果分析得到所需要的威胁情报；

S50.基于已得到的威胁情报挖掘和分析结果，提供节点间关系的挖掘和分析接口，用于挖掘和分析用户指定的节点信息，

所述S50步骤中基于已得到的威胁情报挖掘和分析结果，提供节点间关系的挖掘和分析接口的具体方法为：

S51.用户指定一个或多个原始节点；

S52.基于用户指定的原始节点，接口选取图模型中所有与原始节点关联的节点；

S53.基于选取出的节点，接口分析相同邻居节点或计算节点相似度，用户得到原始节点关联的节点信息。

2.根据权利要求1所述的分析方法，其特征在于，所述S40步骤中威胁情报的挖掘和分析结果包括攻击源之间关联关系、恶意文件之间模糊关系、恶意文件家族衍生图谱、同一攻击平台利用公网IP进行网络攻击情况。

3.根据权利要求1所述的分析方法，其特征在于，所述S50步骤中接口包括IP关联查询接口、恶意文件家族信息查询接口、攻击工具信息查询接口。

4.根据权利要求2所述的分析方法，其特征在于，所述攻击源之间关联关系的挖掘和分析过程为：

图模型中选取与IP节点存在关联的SAMPLE、SAMPLE_FUZZY、SAMPLE_NAME、URL、TOOL_PAYLOAD节点；

采用社区发现算法挖掘和分析出攻击蜜罐系统的攻击源IP中所存在的社区群体；

采用频繁子图挖掘算法，挖掘出攻击源使用频率较高的攻击工具，分析出不同攻击源的攻击习惯和攻击水平。

5.根据权利要求2所述的分析方法，其特征在于，所述恶意文件之间模糊关系挖掘和分析过程为：

图模型中选取所有SAMPLE_FUZZY节点；

计算SAMPLE_FUZZY之间模糊哈希值的相似度；

将相似度大于阈值的SAMPLE_FUZZY节点进行关联，从而得到出恶意文件之间的关系。

6.根据权利要求2所述的分析方法，其特征在于，所述恶意文件家族衍生图谱的挖掘和分析过程为：

图模型中选取所有SAMPLE、SAMPLE_FUZZY、RELEASE_FIL和REALSE_FILE_FUZZY节点；

基于SAMPLE、SAMPLE_FUZZY、RELEASE_FIL和REALSE_FILE_FUZZY节点分别计算各节点之间哈希值或模糊哈希值的节点相似度；

将节点相似度大于阈值的节点进行关联，从而构建出恶意文件的家族衍生图谱；

基于恶意文件的家族衍生图谱，分析得到恶意文件的进化衍生过程，可得知攻击工具的进化衍生过程以及攻击者的技术能力水平。