[发明专利]威胁预警方法和系统

说明书

本发明涉及一种威胁预警方法和系统，其中，威胁预警方法，包括：通过部署在网络出口处的装置采集网络通信数据；采用大数据处理架构，集合机器学习、文件虚拟执行检测技术、攻击行为建模分析，并结合“威胁情报大数据平台”，识别已知/未知高级威胁，并对威胁进行追踪和定位；其中，所述威胁情报大数据平台为对已知威胁进行汇总的平台；攻击行为建模分析为针对未知威胁进行预警，当识别出已知/未知高级威胁时，进行告警。

技术领域

本发明涉及数据安全相关技术领域，具体涉及一种威胁预警方法和系统。

背景技术

随着黑客技术和攻击手段的不断深入，近年来出现了一种新型网络攻击思想—APT攻击，它改写了网络安全游戏规则的攻击行为，组织严密、目标明确、手段高超、危害巨大，其受害者中不乏大型企业，国家机构。我国的政府、军工、保密机关、企事业单位和研究院所，也正遭受着频繁的APT攻击。现在需要一种可以对APT攻击，进行威胁预警方法。

发明内容

有鉴于此，提供一种威胁预警方法和系统，以解决相关技术中的问题。

第一方面，本发明实施例提供了一种威胁预警方法，该方法包括：

通过部署在网络出口处的装置采集网络通信数据；

采用大数据处理架构，集合机器学习、文件虚拟执行检测技术、攻击行为建模分析，并结合“威胁情报大数据平台”，识别已知/未知高级威胁，并对威胁进行追踪和定位；其中，所述威胁情报大数据平台为对已知威胁进行汇总的平台；

当识别出已知/未知高级威胁时，进行告警。

可选的，包括：所述采集网络通信数据包括：

采用修改网卡驱动程序实现零拷贝的报文捕获，以完成通信数据的采集。

可选的，还包括：

采用文件静态检测技术和动态检测技术相结合的方式，实现对“文档类恶意代码”和“0day及Nday漏洞利用攻击行为”的检测，以预警APT攻击入侵行为。

可选的，还包括：

基于“基于全球威胁情报(黑IP/黑URL/黑域名)检测引擎”、“恶意代码流量特征检测引擎”、“木马通信行为分析引擎”、“隐蔽信道检测引擎”及“敏感信息泄露检测引擎”，检测网络中被攻陷的主机上的恶意软件活动行为。

可选的，还包括：

对整体网络威胁态势进行监控，对安全事件进行关联分析，发现网络中的异常行为；基于时间线和killchain两种方式进行关联分析、预警。

可选的，还包括：

为分析师提供交互式溯源的可视化界面。

可选的，还包括：

所述交互式溯源的可视化界面为在自动化溯源分析的结果基础上，进行各种条件的筛选以及与威胁情报的关联查询的界面；

可选的，还包括：

所述交互式溯源的可视化界面为提供对原始安全事件的自定义条件搜索，搜索条件支持攻击IP、受害者IP、攻击类型、攻击时间条件的界面。

第二方面，本申请提供一种威胁预警系统，包括：

采集模块，用于通过部署在网络出口处的装置采集网络通信数据；

识别模块，采用大数据处理架构，集合机器学习、文件虚拟执行检测技术、攻击行为建模分析，并结合“威胁情报大数据平台”，识别已知/未知高级威胁，并对威胁进行追踪和定位；其中，所述威胁情报大数据平台为对已知威胁进行汇总的平台；

告警模块，用于当识别出已知/未知高级威胁时，进行告警。