[发明专利]一种融合威胁情报的网络流量入侵检测方法及系统

说明书

本发明公开了一种融合威胁情报的网络流量入侵检测方法及系统，该方法包括以下步骤：S1、通过预设方法不断扩展、更新威胁情报库；S2、根据开源威胁情报的来源，采用预先设计的聚类方法，形成聚类表，并依据聚类表的编写算法实现网络威胁情报的分类；S3、使用预先配置的布隆过滤器对分类后的威胁情报进行过滤，并用结构化查询语言查询命中的数据。本发明的有益效果为：通过在恶意流量检测中加入威胁情报模块可以使得防御者联合起来，在一定程度上缓解攻防不对等的现状。另外，在原有入侵检测系统中加入根据情报库筛选、展示攻击链环节及打分的功能，增加了数据展示的维度和可信度，从而可以过滤掉很多误报数据。

技术领域

本发明涉及数据检测技术领域，具体来说，涉及一种融合威胁情报的网络流量入侵检测方法及系统。

背景技术

互联网时代的到来，给人们的生活带来了种种便利，但也给隐私、信息资产带来了一些威胁。为保护好人们的隐私和信息资产，我们必须及时发现这些威胁流量，并给出告警。在传统基于规则的威胁检测方案效果平庸的情况下，对现有方案进行优化尤为重要。

目前恶意流量检测方案分为两类，一类是基于正则规则进行特征匹配的，一类是基于算法进行模式匹配。从人工发现威胁到形成规则和算法时间跨度较大，更新完成后大概率也只会支持某一类的恶意流量监测，很容易被攻击者花式绕过，从而出现攻防不对等的现象。

针对相关技术中的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中的问题，本发明提出一种融合威胁情报的网络流量入侵检测方法及系统，以克服现有相关技术所存在的上述技术问题。

为此，本发明采用的具体技术方案如下：

根据本发明的一个方面，提供了一种融合威胁情报的网络流量入侵检测方法，该方法包括以下步骤：

S1、通过预设方法不断扩展、更新威胁情报库；

S2、根据开源威胁情报的来源，采用预先设计的聚类方法，形成聚类表，并依据聚类表的编写算法实现网络威胁情报的分类；

S3、使用预先配置的布隆过滤器对分类后的威胁情报进行过滤，并用结构化查询语言查询命中的数据。

进一步的，所述预设方法包括爬取开源威胁情报数据、挖掘生产数据及交换情报数据。

进一步的，所述爬取开源威胁情报数据还包括以下步骤：

通过预先配置的浏览器爬虫和开源TI的软件开发工具包获取面向开源及私有软件项目的托管平台更新的黑名单，并从互联网中爬取到威胁情报数据。

进一步的，所述挖掘生产数据还包括以下步骤：

对内生数据进行人工研判，并整理成入侵事件；

将近期的安全资讯整理成攻击链加入数据库中。

进一步的，所述根据开源威胁情报的来源，采用预先设计的聚类方法，形成聚类表，并依据聚类表的编写算法实现网络威胁情报的分类还包括以下步骤：

S21、读取检测文件；

S22、解析文件；

S23、分析关联威胁情报库；

S24、分析结构数据入库。

进一步的，所述根据开源威胁情报的来源，采用预先设计的聚类方法，形成聚类表，并依据聚类表的编写算法实现网络威胁情报的分类之前还包括以下步骤：

对获取的威胁情报原始数据进行清洗操作。

进一步的，所述清洗操作还包括以下步骤：

洗去乱码数据以及翻译外语数据；