1.一种高级可持续威胁溯源方法,其特征在于,包括:
接收核心网的信令流量;
从所述信令流量中解析出用户信息,所述用户信息包括地址信息和注册信息;
基于所述用户信息生成用户信息表;
接收所述核心网的用户面流量;
对所述用户面流量进行威胁检测,判断所述用户面流量中是否存在高级可持续威胁;
当判断存在高级可持续威胁时,从所述用户面流量中获取威胁用户地址,并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。
2.根据权利要求1所述的方法,其特征在于,所述对所述用户面流量进行威胁检测的步骤包括:
对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征;和/或
对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为。
3.根据权利要求2所述的方法,其特征在于,所述判断所述用户面流量中是否存在高级可持续威胁,包括:
当所述用户面流量中存在威胁特征和/或威胁行为时,根据所述威胁特征和/或威胁行为生成威胁指数;
判断所述威胁指数是否超过预设的威胁阈值参数;
当所述威胁指数超过所述威胁阈值参数时,判断所述用户面流量中存在高级可持续威胁。
4.根据权利要求2所述的方法,其特征在于,所述对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征的步骤包括:
根据协议配置从所述用户面流量中还原出源文件;
加载威胁特征库,基于所述威胁特征库对所述源文件进行特征检测,以判断所述源文件中是否存在威胁特征。
5.根据权利要求2所述的方法,其特征在于,所述对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为的步骤包括:
基于历史异常访问数据进行机器学习,建立威胁行为识别模型;
对所述用户面流量进行流量分析,对分析得到的可疑流量进行标记;
通过所述威胁行为识别模型对标记的可疑流量进行行为检测,判断是否存在威胁行为。
6.根据权利要求1至5中任意一项所述的方法,其特征在于,所述地址信息包括用户ip和/或隧道标识;所述注册信息包括imsi、msisdn、tac以及apn中的至少一种。
7.一种高级可持续威胁检测系统,其特征在于,包括信令解析平台和威胁预警平台:
其中,所述信令解析平台包括第一流量接收模块,用于接收核心网的信令流量;流量解析模块,用于从所述信令流量中解析出用户信息,所述用户信息包括地址信息和注册信息;信息分发模块,用于将所述用户信息发送至威胁预警平台;
所述威胁预警平台包括信息存储模块,用于接收所述用户信息,并根据所述用户信息生成用户信息表;第二流量接收模块,用于接收核心网的用户面流量;威胁检测模块,用于对所述用户面流量进行威胁检测,判断所述用户面流量中是否存在高级可持续威胁;信息查询模块,用于当判断存在高级可持续威胁时,从所述用户面流量中获取威胁用户地址,并在所述用户信息表中查询与所述威胁用户地址对应的威胁用户注册信息。
8.根据权利要求7所述的高级可持续威胁检测系统,其特征在于,所述威胁检测模块包括:
静态检测单元,用于对所述用户面流量进行静态检测,以判断所述用户面流量中是否存在威胁特征;和/或
动态检测单元,用于对所述用户面流量进行动态检测,以判断所述用户面流量中是否存在威胁行为。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6中任意一项所述的高级可持续威胁检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任意一项所述的高级可持续威胁检测方法。