[发明专利]一种融合威胁情报的网络流量入侵检测方法及系统有效
| 申请号: | 202011379756.3 | 申请日: | 2020-12-01 |
| 公开(公告)号: | CN112202818B | 公开(公告)日: | 2021-03-09 |
| 发明(设计)人: | 张海文;马奥;苗功勋;郭鹏;姜南 | 申请(专利权)人: | 南京中孚信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 南京中盟科创知识产权代理事务所(特殊普通合伙) 32279 | 代理人: | 孙丽君 |
| 地址: | 210000 江苏省南京市浦口区江*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 融合 威胁 情报 网络流量 入侵 检测 方法 系统 | ||
1.一种融合威胁情报的网络流量入侵检测方法,其特征在于,该方法包括以下步骤:
S1、通过预设方法不断扩展、更新威胁情报库;
S2、根据开源威胁情报的来源,采用预先设计的聚类方法,形成聚类表,并依据聚类表的编写算法实现网络威胁情报的分类;
S3、使用预先配置的布隆过滤器对分类后的威胁情报进行过滤,并用结构化查询语言查询命中的数据;
所述预设方法包括爬取开源威胁情报数据、挖掘生产数据及交换情报数据;
所述爬取开源威胁情报数据还包括以下步骤:
通过预先配置的浏览器爬虫和开源TI的软件开发工具包获取面向开源及私有软件项目的托管平台更新的黑名单,并从互联网中爬取到威胁情报数据;
所述挖掘生产数据还包括以下步骤:
对内生数据进行人工研判,并整理成入侵事件;
将近期的安全资讯整理成攻击链加入数据库中;
所述根据开源威胁情报的来源,采用预先设计的聚类方法,形成聚类表,并依据聚类表的编写算法实现网络威胁情报的分类还包括以下步骤:
S21、读取检测文件;
S22、解析文件;
S23、分析关联威胁情报库;
S24、分析结构数据入库;
所述根据开源威胁情报的来源,采用预先设计的聚类方法,形成聚类表,并依据聚类表的编写算法实现网络威胁情报的分类之前还包括以下步骤:
对获取的威胁情报原始数据进行清洗操作。
3.一种融合威胁情报的网络流量入侵检测系统,以实现权利要求1-2中任一项融合威胁情报的网络流量入侵检测方法的步骤,其特征在于,该系统包括:
威胁情报采集模块,用于通过预设方法不断扩展、更新威胁情报库;
数据分类入库模块,用于根据开源威胁情报的来源,采用预先设计的聚类方法,形成聚类表,并依据聚类表的编写算法实现网络威胁情报的分类;
数据碰撞模块,用于使用预先配置的布隆过滤器对分类后的威胁情报进行过滤,并用结构化查询语言查询命中的数据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京中孚信息技术有限公司,未经南京中孚信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011379756.3/1.html,转载请声明来源钻瓜专利网。
