[发明专利]网络威胁报文检测及溯源取证方法和装置有效
| 申请号: | 202110640273.2 | 申请日: | 2021-06-09 |
| 公开(公告)号: | CN113162953B | 公开(公告)日: | 2022-02-18 |
| 发明(设计)人: | 王利宝;唐开达;陈虎 | 申请(专利权)人: | 南京聚铭网络科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L41/142;G06K9/62 |
| 代理公司: | 北京知果之信知识产权代理有限公司 11541 | 代理人: | 卜荣丽 |
| 地址: | 210000 江苏省南京市*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 网络 威胁 报文 检测 溯源 取证 方法 装置 | ||
1.一种网络威胁报文检测及溯源取证方法,其特征在于,应用于检测装置,所述方法包括:
根据与云端情报平台同步的网络威胁报文情报库判断接收到的报文是否为网络威胁报文;
如果是网络威胁报文,则发出安全告警信息;
所述情报库包括预先经过训练的第一识别模型、第二识别模型和情报列表;
根据预先设置的情报库判断接收到的报文是否为网络威胁报文,包括:
获取所述报文的元数据,所述元数据包括:第一类元数据、第二类元数据和第三类元数据;
所述第一类元数据为通讯元数据;
第二类元数据为文件元数据;
第三类元数据为情报元数据;
判断所述第三类元数据和情报列表中的特征数据是否匹配;
如果是,则将所述第一类元数据输入到第一识别模型得到第一识别结果;
如果第一识别结果大于预定的第一识别阈值;
则将所述第二类元数据输入到第二识别模型得到第二识别结果;
如果所述第二识别结果大于预定的第二识别阈值;
则发出报警信息;
发出安全告警信息后,所述方法还包括:
向所述云端情报平台发送通知消息,以使所述云端情报平台根据通知消息生成所述网络威胁报文的溯源报告;
接收所述云端情报平台发送的溯源报告;
所述溯源报告包括以下的一种或几种:情报来源、情报相关报道、通讯样本、沙箱检测结果、情报发展历程;所述情报发展历程具体包括:攻击者的组织、近期活跃时间、近期攻击目标、近期采用的攻击;
还包括:与所述云端情报平台实时同步更新所述网络威胁报文情报库。
2.一种网络威胁报文检测及溯源取证方法,其特征在于,应用于云端的情报平台,所述方法包括:
接收检测装置发送的发现网络威胁报文的通知消息,其中,检测装置根据与所述情报平台同步的网络威胁报文情报库发现网络威胁报文;
所述通知消息的内容包括:所述检测装置所属的用户标识、攻击时间、攻击手段;
将所述通知消息的内容补充到情报发展历程记录表中并生成所述网络威胁报文的溯源报告;
将所述溯源报告发送给所述检测装置;
接收检测装置发送的发现网络威胁报文通知消息之前,所述方法还包括:
检测及溯源取证方法从各个网站情报平台获取疑似网络威胁报文的第一集合;
对所述疑似网络威胁报文的第一集合进行可信度筛选得到疑似网络威胁报文的第二集合,所述第二集合的范围小于所述第一集合的范围;
对所述疑似网络威胁报文的第二集合进行参数筛选得到疑似网络威胁报文的第三集合,所述第三集合的范围小于所述第二集合的范围;
对所述疑似网络威胁报文的第一集合进行可信度筛选得到疑似网络威胁报文的第二集合,包括:
对于所述疑似网络威胁报文的第一集合中的任意一个疑似网络威胁报文,
计算所述疑似网络威胁报文的可信度;
如果所述疑似网络威胁报文的可信度大于预定的疑似网络威胁报文可信度阈值;
则将所述疑似网络威胁报文加入到所述第二集合;
对所述疑似网络威胁报文的第二集合进行参数筛选得到疑似网络威胁报文的第三集合,包括:
对于所述第二集合中的任意的一个疑似网络威胁报文,获取所述疑似网络威胁报文的相关参数,相关参数包括通讯报文样本、域名和文件样本;
根据所述相关参数对所述疑似网络威胁报文进行进一步筛选;
将通过筛选的疑似网络威胁报文加入第三集合;
根据所述相关参数对所述疑似网络威胁报文进行进一步筛选,包括:
分别获取所述疑似网络威胁报文的通讯报文样本、域名和文件样本;
将所述通讯报文样本、域名和文件样本分别发送到对应的检测设备进行检测,接收所述对应的检测设备返回的检测结果;
计算所述疑似网络威胁报文的可信度,包括:
统计报告该疑似网络威胁报文的网站情报平台的数量m;
计算比例值K=m/n;
其中,K为可信度,n为网站情报平台总数。
3.一种网络威胁报文检测装置,其特征在于,包括:
判断模块,用于根据与云端情报平台同步的网络威胁报文情报库判断接收到的报文是否为网络威胁报文;
发送模块,用于如果判断模块确定所述报文为网络威胁报文,则发出安全告警信息;
所述情报库包括预先经过训练的第一识别模型、第二识别模型和情报列表;
判断模块还用于,获取所述报文的元数据,所述元数据包括:第一类元数据、第二类元数据和第三类元数据;
判断所述第三类元数据和情报列表中的特征数据是否匹配;如果是,则将所述第一类元数据输入到第一识别模型得到第一识别结果;
如果第一识别结果大于预定的第一识别阈值;
则将所述第二类元数据输入到第二识别模型得到第二识别结果;
如果所述第二识别结果大于预定的第二识别阈值,则发出报警信息;
发送模块,用于向所述云端情报平台发送通知消息,以使所述云端情报平台根据通知消息生成所述网络威胁报文的溯源报告;
接收模块,用于接收所述云端情报平台生成的所述网络威胁报文的溯源报告,所述溯源报告包括:所述网络威胁报文的发起者、所述发起者的近期攻击目标的集合;
同步模块,用于与所述云端情报平台实时同步更新所述网络威胁报文情报库。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南京聚铭网络科技有限公司,未经南京聚铭网络科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110640273.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:粗四氯化钛除钒方法及系统
- 下一篇:一种可降解的生物基聚乙烯的制备系统
