CN107819783A - 一种基于威胁情报的网络安全检测方法及系统 - Google Patents
一种基于威胁情报的网络安全检测方法及系统 Download PDFInfo
- Publication number
- CN107819783A CN107819783A CN201711206312.8A CN201711206312A CN107819783A CN 107819783 A CN107819783 A CN 107819783A CN 201711206312 A CN201711206312 A CN 201711206312A CN 107819783 A CN107819783 A CN 107819783A
- Authority
- CN
- China
- Prior art keywords
- data
- threat information
- information data
- threat
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供了一种基于威胁情报的网络安全检测方法及系统,用于提高网络安全检测的准确率。本发明实施例方法包括:从至少一个预置网站周期性的采集威胁情报数据;按照预置规则将所述威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组,所述威胁情报组包含至少一种类型的威胁情报数据,且每种类型的威胁情报数据包含一条或多条;将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行多维度匹配,并统计匹配成功的目标威胁情报数据,若所述匹配成功的目标威胁情报数据超过预置数量,则判定所述目标终端感染病毒。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于威胁情报的网络安全检测方法及系统。
背景技术
随着以APT为典型代表的新型威胁和攻击的不断增长,企业和组织在防范外部的攻击过程中越发需要依靠充分、有效的安全威胁情报作为支撑,以帮助其更好的应对这些新型威胁。安全威胁情报分析市场应运而生,并蓬勃发展。
目前的威胁情报系统只是作为一个数据共享和交换的平台,主要关注各个安全厂商的威胁情报数据,忽略了部分分布于互联网各个论坛、网站的威胁情报数据,利用单一维度的威胁情报库匹配客户的流量,比如:IP地址、域名、URL等。
现有方案中,仅仅是利用单一维度的威胁情报库匹配客户的流量,比如:IP地址、域名、URL等,单一维度的威胁情报库匹配,没有对各个维度的威胁情报数据做关联分析、有效性分析,匹配的准确率相对较低,匹配错误时,在用户侧很容易引起误报。
发明内容
本发明实施例提供了一种基于威胁情报的网络安全检测方法及系统,用于提高网络安全检测的准确率。
本发明实施例第一方面提供了一种基于威胁情报的网络安全检测方法,其特征在于,可包括:
从至少一个预置网站周期性的采集威胁情报数据;
按照预置规则将所述威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组,所述威胁情报组包含至少一种类型的威胁情报数据,且每种类型的威胁情报数据包含一条或多条;
将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行多维度匹配,并统计匹配成功的目标威胁情报数据,若所述匹配成功的目标威胁情报数据超过预置数量,则判定所述目标终端感染病毒。
可选的,作为一种可能的实施方式,该方法还包括:
为每一条所述威胁情报数据分配对应的加权值;
计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。
可选的,作为一种可能的实施方式,所述目标终端的网络访问数据,包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种;
可选的,作为一种可能的实施方式,所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种。
可选的,作为一种可能的实施方式,所述按照预置规则将所述威胁情报数据中相关联的数据进行分组,包括:
采用图聚类算法对所述威胁情报数据进行聚类分析,将关联度达到预置阀值的威胁情报数据分为一组,并采用图形数据库存储所述威胁情报组。
可选的,作为一种可能的实施方式,所述预置网站的类型,包括:
安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。
本发明实施例中第二方面提供了一种基于威胁情报的网络安全检测系统,其特征在于,包括:
数据采集单元,用于从至少一个预置网站周期性的采集威胁情报数据;
分组单元,用于按照预置规则将所述威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组,所述威胁情报组包含至少一种类型的威胁情报数据,且每种类型的威胁情报数据包含一条或多条;
匹配单元,用于将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行匹配,并统计匹配成功的目标威胁情报数据,若所述匹配成功的目标威胁情报数据超过预置数量,则判定所述目标终端感染病毒。
可选的,作为一种可能的实施方式,该系统还包括:
权值分配单元,用于为每一条所述威胁情报数据分配对应的加权值;
计算单元,用于计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。
可选的,作为一种可能的实施方式,所述目标终端的网络访问数据,包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种;
可选的,作为一种可能的实施方式,所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种。
可选的,作为一种可能的实施方式,所述分组单元,包括:
聚类模块,用于采用图聚类算法对所述威胁情报数据进行聚类分析,将关联度达到预置阀值的威胁情报数据分为一组;
存储模块,用于采用图形数据库存储所述威胁情报组。
可选的,作为一种可能的实施方式,所述预置网站的类型,包括:
安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,可以采集多维度的威胁情报数据进行关联分组将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配,并统计匹配成功的目标威胁情报数据,若匹配成功的目标威胁情报数据超过预置数量,则判定目标终端感染病毒。本发明实施例对目标终端的网络访问数据进行了多维度的匹配,相对于现有方案中的单维度匹配,提高了网络安全检测的准确率。
附图说明
图1为本发明实施例中一种基于威胁情报的网络安全检测方法的一个实施例示意图;
图2为本发明实施例中一种基于威胁情报的网络安全检测方法的另一个实施例示意图;
图3为本发明实施例中一种基于威胁情报的网络安全检测系统的一个实施例示意图;
图4为本发明实施例中一种基于威胁情报的网络安全检测系统的另一个实施例示意图;
图5为本发明实施例中一种基于威胁情报的网络安全检测系统中分组单元202的模块细化示意图。
具体实施方式
本发明实施例提供了一种基于威胁情报的网络安全检测方法及系统,用于提高网络安全检测的准确率。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于理解,下面对本发明实施例中的具体流程进行描述,请参阅图1,本发明实施例中一种基于威胁情报的网络安全检测方法的一个实施例可包括:
101、从至少一个预置网站周期性的采集威胁情报数据;
互联网中除了各大网络安全厂商公开的威胁情报数据,还有许多相关的网站会公布威胁情报数据,例如,各类安全论坛、安全资讯网站、病毒分析论坛等类型的网站,网络安全检测系统可以采用网络爬虫技术和网页内容识别技术自动化从至少一个预置网站周期性的采集威胁情报数据。
具体的,威胁情报数据类型可以包括病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种,可以理解的是,本实施例中的威胁情报数据类型及采集方式仅仅是示例性的,实际运用中随着网络安全攻击手段的不断更新,对应的威胁情报数据类型也会随之调整,采集方式也可以是多样化的,例如,在确认采集到的威胁情报数据的真实性之后,可以根据一条或多条威胁情报数据补充相关联的其余威胁情报数据,具体的威胁情报数据类型及采集方式此处不做限定。
102、按照预置规则将威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组;
互联网中的威胁情报数据往往是相关联的,例如,病毒木马采用的C&C(远程命令和控制)服务器控制被感染的机器时,该病毒木马的病毒样本以及对应的C&C服务器的通信域名、IP地址、URL信息、以及该通信域名的对应的域名注册状态信息、域名当前所有者、所有者联系方式、注册日期、过期日期、域名状态、DNS解析服务器等whois信息都是相关联的,进一步的,基于该病毒木马的网络行为特征可以配置对应的yara规则。可以基于这些相关联的威胁情报数据进行网络安全多维度检测,为了便于目标终端的网络访问数据的多维度匹配,网络安全检测系统可以按照预置规则将威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组,威胁情报组包含至少一种类型的威胁情报数据,且每种类型的威胁情报数据包含一条或多条。例如,网络安全检测系统可以将同一病毒相关联的多个恶意域名对应的恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则分到一组威胁情报组中,网络安全检测系统可以将恶意域名的域名whois信息中的域名当前所有者持有的所有域名分到一组威胁情报组中,具体的关联规则此处不做限定。
具体的,网络安全检测系统可以采用图聚类算法对威胁情报数据进行聚类分析,将关联度达到预置阀值的威胁情报数据分为一组,可以采用图形数据库存储分类好的威胁情报组。具体的聚类算法可以为k-means聚类算法、SOM(神经网络)聚类算法、FCM(模糊)聚类算法、层次聚类算法等,具体的算法此处不做限定。
103、将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配,并统计匹配成功的目标威胁情报数据,若匹配成功的目标威胁情报数据超过预置数量,则判定目标终端感染病毒。
实际运用中,当需要对目标终端进行网络安全检测时,可以采集目标终端的网络访问数据,并将该网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配。
具体的,目标终端的网络访问数据可以包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种,可以理解的是本实施例中的目标终端的网络访问数据仅仅是示例性的,具体的目标终端的网络访问数据可以根据检测的需求进行合理的设置,具体的目标终端的网络访问数据此处不做限定。
在获取到目标终端的网络访问数据之后,网络安全检测系统可以将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配。例如,网络安全检测系统可以从目标终端的网络访问数据中的日志信息中解析出目标终端的具体网络行为特征,并将该网络行为特征与威胁情报组中的yara规则对应的病毒木马的网络行为特征进行匹配。例如,网络安全检测系统可以解析从目标终端的网络访问数据中的域名或IP地址或URL信息对应的域名的whois信息,并将该whois信息与威胁情报组中的whois信息进行匹配。例如,网络安全检测系统可以从目标终端的网络访问数据中的DNS数据中解析目标终端的DNS请求中的DNS解析时间、请求的元IP地址、域名、解析结果对应的IP地址列表等信息,并基于域名或IP地址或URL信息在威胁情报组中进行匹配。例如,网络安全检测系统可以从目标终端的网络访问数据中的文件hash值与威胁情报组中的恶意文件hash值进行匹配。
可以理解的是,本实施例中所示的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配的实例仅是示例性的,具体的匹配规则可以根据具体病毒或网络安全漏洞进行合理的设置,只需保证网络安全检测系统对目标终端的网络访问数据进行多维度匹配即可,具体此处不做限定。
在目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配之后,网络安全检测系统可以统计匹配成功的目标威胁情报数据,若匹配成功的目标威胁情报数据超过预置数量,则判定目标终端感染病毒。
本发明实施例中,采集多维度的威胁情报数据进行关联分组,将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配,并统计匹配成功的威胁情报数据,若匹配成功的威胁情报数据超过预置数量,则判定目标终端感染病毒。本发明实施例对目标终端的网络访问数据进行了多维度的匹配,相对于现有方案中的单维度匹配,提高了网络安全检测的准确率。
在上述实施例的基础上,网络安全检测系统在按照预置规则将威胁情报数据中相关联的数据进行分组之前,还包括:
按照预置的规则对采集到的威胁情报数据的数据格式进行标准化处理。
在互联网中的公开的威胁情报数据的数据类型、数据格式都不相同,为了便于后续的存储与分组处理,需要对采集到的威胁情报数据按照预置的规则对采集到的威胁情报数据的数据格式进行标准化处理,使得同一类型的威胁情报数据按照统一的数据格式进行存储,具体的数据格式此处不做限定。
在上述实施例的基础上,为了进一步的使用户直观的了解目标终端的安全威胁情况,可以为每一个目标终端计算一个网络安全威胁值,具体的请参阅图2,本发明实施例中一种基于威胁情报的网络安全检测方法的另一个实施例可包括:
201、从至少一个预置网站周期性的采集威胁情报数据;
202、按照预置规则将威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组;
203、将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配,并统计匹配成功的目标威胁情报数据,若匹配成功的目标威胁情报数据超过预置数量,则判定目标终端感染病毒。
本实施例中步骤201至203与图1所示的实施例中的步骤101至103中描述的内容类似,具体请参阅步骤101至103,此处不做赘述。
204、为每一条所述威胁情报数据分配对应的加权值并计算匹配成功的目标威胁情报数据对应的加权值之和作为目标终端的网络安全威胁值。
安全工程师可以对采集到的威胁情报数据的有效性及重要性进行测试与验证,根据验证的结果在网络安全检测系统中设置每一条威胁情报数据分配对应的加权值,例如,可以根据安全威胁可能带来的损失大小进行分配第一权值,可以根据每一条威胁情报数的真实可靠性进行分配第二权值,并根据多维度的权值分配得出每一条威胁情报数据的加权值,具体的加权值分配原则可以根据用户的需求进行合理的设置与调整,具体此处不做限定。
在统计匹配成功的目标威胁情报数据之后,可以计算匹配成功的目标威胁情报数据对应的加权值之和作为目标终端的网络安全威胁值。可以将该网络安全威胁值展示给用户,具体的展示方式可以是文字或语音的方式,具体此处不做限定。
上述实施例对本发明实施例中的一种基于威胁情报的网络安全检测方法进行了描述,下面将对本发明实施例中一种基于威胁情报的网络安全检测系统进行描述,请参阅图3,本发明实施例中一种基于威胁情报的网络安全检测系统的一个实施例包括:
数据采集单元301,用于从至少一个预置网站周期性的采集威胁情报数据;
分组单元302,用于按照预置规则将威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组,威胁情报组包含至少一种类型的威胁情报数据,且每种类型的威胁情报数据包含一条或多条;
匹配单元303,用于将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行匹配,并统计匹配成功的目标威胁情报数据,若匹配成功的目标威胁情报数据超过预置数量,则判定目标终端感染病毒。
可选的,作为一种可能的实施方式,请参阅图4,本实施例中的基于威胁情报的网络安全检测系统还可以进一步包括:
权值分配单元304,用于为每一条所述威胁情报数据分配对应的加权值;
计算单元305,用于计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。
可选的,本实施例中目标终端的网络访问数据可以包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种;
可选的,本实施例中威胁情报数据类型可以病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种。
可选的,请参阅图5,作为一种可能的实施方式,本实施例中的分组单元302,包括:
聚类模块3021,用于采用图聚类算法对威胁情报数据进行聚类分析,将关联度达到预置阀值的威胁情报数据分为一组;
存储模块3022,用于采用图形数据库存储威胁情报组。
可选的,本实施例中预置网站的类型可以包括:
安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。
可选的,作为一种可能的实施方式,本实施例中基于威胁情报的网络安全检测系统还可以进一步包括:
标准化单元306,用于按照预置的规则对采集到的威胁情报数据的数据格式进行标准化处理。
本发明实施例中,采集多维度的威胁情报数据进行关联分组,并为每一条威胁情报数据分配对应的加权值,将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配,并计算匹配成功的威胁情报数据对应的加权值之和,若对应的加权值之和超过预置安全阀值,则判定目标终端感染病毒。本发明实施例对目标终端的网络访问数据进行了多维度的匹配,相对于现有方案中的单维度匹配,提高了网络安全检测的准确率。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于威胁情报的网络安全检测方法,其特征在于,包括:
从至少一个预置网站周期性的采集威胁情报数据;
按照预置规则将所述威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组,所述威胁情报组包含至少一种类型的威胁情报数据,且每种类型的威胁情报数据包含一条或多条;
将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行多维度匹配,并统计匹配成功的目标威胁情报数据,若所述匹配成功的目标威胁情报数据超过预置数量,则判定所述目标终端感染病毒。
2.根据权利要求1所述的方法,其特征在于,还包括:
为每一条所述威胁情报数据分配对应的加权值;
计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。
3.根据权利要求2所述的方法,其特征在于,
所述目标终端的网络访问数据,包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种;
所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种。
4.根据权利要求3所述的方法,其特征在于,所述按照预置规则将所述威胁情报数据中相关联的数据进行分组,包括:
采用图聚类算法对所述威胁情报数据进行聚类分析,将关联度达到预置阀值的威胁情报数据分为一组,并采用图形数据库存储所述威胁情报组。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述预置网站的类型,包括:
安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。
6.一种基于威胁情报的网络安全检测系统,其特征在于,包括:
数据采集单元,用于从至少一个预置网站周期性的采集威胁情报数据;
分组单元,用于按照预置规则将所述威胁情报数据中相关联的数据进行分组,形成至少一组威胁情报组,所述威胁情报组包含至少一种类型的威胁情报数据,且每种类型的威胁情报数据包含一条或多条;
匹配单元,用于将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行匹配,并统计匹配成功的目标威胁情报数据,若所述匹配成功的目标威胁情报数据超过预置数量,则判定所述目标终端感染病毒。
7.根据权利要求6所述的系统,其特征在于,还包括:
权值分配单元,用于为每一条所述威胁情报数据分配对应的加权值;
计算单元,用于计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。
8.根据权利要求7所述的系统,其特征在于,
所述目标终端的网络访问数据,包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种;
所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种。
9.根据权利要求8所述的方法,其特征在于,所述分组单元,包括:
聚类模块,用于采用图聚类算法对所述威胁情报数据进行聚类分析,将关联度达到预置阀值的威胁情报数据分为一组;
存储模块,用于采用图形数据库存储所述威胁情报组。
10.根据权利要求6至9中任一项所述的系统,其特征在于,所述预置网站的类型,包括:
安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711206312.8A CN107819783A (zh) | 2017-11-27 | 2017-11-27 | 一种基于威胁情报的网络安全检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711206312.8A CN107819783A (zh) | 2017-11-27 | 2017-11-27 | 一种基于威胁情报的网络安全检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107819783A true CN107819783A (zh) | 2018-03-20 |
Family
ID=61610409
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711206312.8A Pending CN107819783A (zh) | 2017-11-27 | 2017-11-27 | 一种基于威胁情报的网络安全检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819783A (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
| CN108810014A (zh) * | 2018-06-29 | 2018-11-13 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
| CN108875380A (zh) * | 2018-07-09 | 2018-11-23 | 广州驱创知识产权运营有限公司 | 一种通信大数据的处理系统及方法 |
| CN109274677A (zh) * | 2018-10-11 | 2019-01-25 | 四川长虹电器股份有限公司 | 基于机器学习的ip分类方法及系统 |
| CN109522504A (zh) * | 2018-10-18 | 2019-03-26 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报判别仿冒网站的方法 |
| CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、系统及存储介质 |
| CN109902176A (zh) * | 2019-02-26 | 2019-06-18 | 北京微步在线科技有限公司 | 一种数据关联拓展方法及非暂时性的计算机指令存储介质 |
| CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN110460611A (zh) * | 2019-08-16 | 2019-11-15 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
| CN110868381A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 |
| CN110912889A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测系统和方法 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN111740855A (zh) * | 2020-05-06 | 2020-10-02 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| CN111800404A (zh) * | 2020-06-29 | 2020-10-20 | 深信服科技股份有限公司 | 一种对恶意域名的识别方法、装置以及存储介质 |
| CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
| CN111858782A (zh) * | 2020-07-07 | 2020-10-30 | Oppo(重庆)智能科技有限公司 | 基于信息安全的数据库构建方法、装置、介质与设备 |
| CN112491873A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 基于字典树的网络威胁检测方法、装置、设备及存储介质 |
| CN112804226A (zh) * | 2021-01-08 | 2021-05-14 | 光通天下网络科技股份有限公司 | Ip数据处理方法、装置、设备及介质 |
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113691552A (zh) * | 2021-08-31 | 2021-11-23 | 上海观安信息技术股份有限公司 | 威胁情报有效性评估方法、装置、系统及计算机存储介质 |
| CN113839954A (zh) * | 2021-09-27 | 2021-12-24 | 杭州安恒信息技术股份有限公司 | 一种威胁情报获取方法、装置、设备及存储介质 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN115001724A (zh) * | 2021-03-01 | 2022-09-02 | 腾讯科技(深圳)有限公司 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103268443A (zh) * | 2012-12-27 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种基于符号的Android恶意代码检测方法及系统 |
| CN103810428A (zh) * | 2014-02-24 | 2014-05-21 | 珠海市君天电子科技有限公司 | 一种宏病毒检测方法及装置 |
| CN103875222A (zh) * | 2011-09-15 | 2014-06-18 | 迈可菲公司 | 用于实时定制的威胁防护的系统和方法 |
| CN103927481A (zh) * | 2013-12-17 | 2014-07-16 | 哈尔滨安天科技股份有限公司 | 一种基于字符串调整权值的恶意代码检测方法及系统 |
| US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| CN104967558A (zh) * | 2015-06-10 | 2015-10-07 | 东软集团股份有限公司 | 一种垃圾邮件的检测方法及装置 |
| CN105740706A (zh) * | 2015-12-25 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 基于api名称和立即数的启发式样本检测方法及系统 |
| CN106254368A (zh) * | 2016-08-24 | 2016-12-21 | 杭州迪普科技有限公司 | Web漏洞扫描的检测方法及装置 |
| CN106384048A (zh) * | 2016-08-30 | 2017-02-08 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
| CN106845233A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | Uefi安全检测方法和系统 |
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐系统及其数据分析方法 |
| CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
-
2017
- 2017-11-27 CN CN201711206312.8A patent/CN107819783A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103875222A (zh) * | 2011-09-15 | 2014-06-18 | 迈可菲公司 | 用于实时定制的威胁防护的系统和方法 |
| US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| CN103268443A (zh) * | 2012-12-27 | 2013-08-28 | 武汉安天信息技术有限责任公司 | 一种基于符号的Android恶意代码检测方法及系统 |
| CN103927481A (zh) * | 2013-12-17 | 2014-07-16 | 哈尔滨安天科技股份有限公司 | 一种基于字符串调整权值的恶意代码检测方法及系统 |
| CN103810428A (zh) * | 2014-02-24 | 2014-05-21 | 珠海市君天电子科技有限公司 | 一种宏病毒检测方法及装置 |
| CN104967558A (zh) * | 2015-06-10 | 2015-10-07 | 东软集团股份有限公司 | 一种垃圾邮件的检测方法及装置 |
| CN105740706A (zh) * | 2015-12-25 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 基于api名称和立即数的启发式样本检测方法及系统 |
| CN106254368A (zh) * | 2016-08-24 | 2016-12-21 | 杭州迪普科技有限公司 | Web漏洞扫描的检测方法及装置 |
| CN106384048A (zh) * | 2016-08-30 | 2017-02-08 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
| CN106878262A (zh) * | 2016-12-19 | 2017-06-20 | 新华三技术有限公司 | 报文检测方法及装置、建立云端威胁情报库的方法及装置 |
| CN106845233A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | Uefi安全检测方法和系统 |
| CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐系统及其数据分析方法 |
| CN107370763A (zh) * | 2017-09-04 | 2017-11-21 | 中国移动通信集团广东有限公司 | 基于外部威胁情报分析的资产安全预警方法及装置 |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
| CN108810014A (zh) * | 2018-06-29 | 2018-11-13 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
| CN108810014B (zh) * | 2018-06-29 | 2021-06-04 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
| CN108875380A (zh) * | 2018-07-09 | 2018-11-23 | 广州驱创知识产权运营有限公司 | 一种通信大数据的处理系统及方法 |
| CN109274677A (zh) * | 2018-10-11 | 2019-01-25 | 四川长虹电器股份有限公司 | 基于机器学习的ip分类方法及系统 |
| CN109274677B (zh) * | 2018-10-11 | 2021-04-27 | 四川长虹电器股份有限公司 | 基于机器学习的ip分类方法及系统 |
| CN109522504A (zh) * | 2018-10-18 | 2019-03-26 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报判别仿冒网站的方法 |
| CN110868381A (zh) * | 2018-12-19 | 2020-03-06 | 北京安天网络安全技术有限公司 | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 |
| CN110868381B (zh) * | 2018-12-19 | 2022-04-19 | 北京安天网络安全技术有限公司 | 基于dns解析结果触发的流量数据收集方法、装置及电子设备 |
| CN109862003A (zh) * | 2019-01-24 | 2019-06-07 | 深信服科技股份有限公司 | 本地威胁情报库的生成方法、装置、系统及存储介质 |
| CN109902176A (zh) * | 2019-02-26 | 2019-06-18 | 北京微步在线科技有限公司 | 一种数据关联拓展方法及非暂时性的计算机指令存储介质 |
| CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN110460611B (zh) * | 2019-08-16 | 2022-01-11 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
| CN110460611A (zh) * | 2019-08-16 | 2019-11-15 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
| CN110730175A (zh) * | 2019-10-16 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的僵尸网络检测方法及检测系统 |
| CN110912889A (zh) * | 2019-11-22 | 2020-03-24 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测系统和方法 |
| CN110912889B (zh) * | 2019-11-22 | 2021-08-20 | 上海交通大学 | 一种基于智能化威胁情报的网络攻击检测系统和方法 |
| CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
| CN111740855A (zh) * | 2020-05-06 | 2020-10-02 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| CN111800404A (zh) * | 2020-06-29 | 2020-10-20 | 深信服科技股份有限公司 | 一种对恶意域名的识别方法、装置以及存储介质 |
| CN111800404B (zh) * | 2020-06-29 | 2023-03-24 | 深信服科技股份有限公司 | 一种对恶意域名的识别方法、装置以及存储介质 |
| CN111858782A (zh) * | 2020-07-07 | 2020-10-30 | Oppo(重庆)智能科技有限公司 | 基于信息安全的数据库构建方法、装置、介质与设备 |
| CN111835788A (zh) * | 2020-07-24 | 2020-10-27 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
| CN111835788B (zh) * | 2020-07-24 | 2022-08-02 | 奇安信科技集团股份有限公司 | 一种情报数据分发方法和装置 |
| CN112491873A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 基于字典树的网络威胁检测方法、装置、设备及存储介质 |
| CN112804226A (zh) * | 2021-01-08 | 2021-05-14 | 光通天下网络科技股份有限公司 | Ip数据处理方法、装置、设备及介质 |
| CN115001724A (zh) * | 2021-03-01 | 2022-09-02 | 腾讯科技(深圳)有限公司 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
| CN115001724B (zh) * | 2021-03-01 | 2023-04-07 | 腾讯科技(深圳)有限公司 | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 |
| CN113472788A (zh) * | 2021-06-30 | 2021-10-01 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113472788B (zh) * | 2021-06-30 | 2023-09-08 | 深信服科技股份有限公司 | 一种威胁感知方法、系统、设备及计算机可读存储介质 |
| CN113691552A (zh) * | 2021-08-31 | 2021-11-23 | 上海观安信息技术股份有限公司 | 威胁情报有效性评估方法、装置、系统及计算机存储介质 |
| CN113839954A (zh) * | 2021-09-27 | 2021-12-24 | 杭州安恒信息技术股份有限公司 | 一种威胁情报获取方法、装置、设备及存储介质 |
| CN114006778A (zh) * | 2022-01-05 | 2022-02-01 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114006778B (zh) * | 2022-01-05 | 2022-03-25 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819783A (zh) | 一种基于威胁情报的网络安全检测方法及系统 | |
| CN106663169B (zh) | 使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法 | |
| CN103428189B (zh) | 一种识别恶意网络设备的方法、装置和系统 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
| Ali Alheeti et al. | Intelligent intrusion detection in external communication systems for autonomous vehicles | |
| CN102841990B (zh) | 一种基于统一资源定位符的恶意代码检测方法和系统 | |
| CN111949803B (zh) | 一种基于知识图谱的网络异常用户检测方法、装置和设备 | |
| CN107835149A (zh) | 基于dns流量分析的网络窃密行为检测方法以及装置 | |
| CN104579773B (zh) | 域名系统分析方法及装置 | |
| CN104506538B (zh) | 机器学习型域名系统安全防御方法和装置 | |
| KR101060612B1 (ko) | 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법 | |
| EP3329640B1 (en) | Network operation | |
| CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
| CN107465648A (zh) | 异常设备的识别方法及装置 | |
| CN110430226B (zh) | 网络攻击检测方法、装置、计算机设备及存储介质 | |
| CN105554016A (zh) | 网络攻击的处理方法和装置 | |
| CN107612911B (zh) | 基于dns流量检测受感染主机和c&c服务器的方法 | |
| CN101841533A (zh) | 分布式拒绝服务攻击检测方法和装置 | |
| CN102945340A (zh) | 信息对象检测方法及系统 | |
| CN107040405B (zh) | 网络环境下被动式多维度主机指纹模型构建方法及其装置 | |
| CN103532969A (zh) | 一种僵尸网络检测方法、装置及处理器 | |
| CN105100023B (zh) | 数据包特征提取方法及装置 | |
| CN107231383B (zh) | Cc攻击的检测方法及装置 | |
| CN105262730B (zh) | 基于企业域名安全的监控方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180320 |
|
| RJ01 | Rejection of invention patent application after publication |