技术总结
本发明涉及一种基于威胁情报的僵尸网络检测方法及检测系统,检测模块启动并加载本地更新的所有威胁情报至本地威胁情报库,获得第一审计数据与本地威胁情报库中的数据匹配,保存第一审计数据,匹配成功则保存风险数据到数据库,获得第一审计数据的源IP在T时间内的第二审计数据,基于风险数据对威胁事件进行分类,将第一审计数据、第二审计数据和分类后的数据关联,以存在网络请求行为符合僵尸网络特征的若干个IP为僵尸网络。本发明基于精准的威胁情报检测,并且可以从云端实时更新下载威胁情报,误报率和漏报率低;先根据威胁情报检测到风险,再对发生风险的这些源IP进行网络行为分析,判断是否符合僵尸网络的行为特征,误报率和漏报率低。
技术研发人员:程华才;范渊
受保护的技术使用者:杭州安恒信息技术股份有限公司
技术研发日:2019.10.16
技术公布日:2020.01.24