一种基于威胁情报的网络安全检测方法及系统与流程

本发明涉及网络安全领域，尤其涉及一种基于威胁情报的网络安全检测方法及系统。

背景技术：

随着以apt为典型代表的新型威胁和攻击的不断增长，企业和组织在防范外部的攻击过程中越发需要依靠充分、有效的安全威胁情报作为支撑，以帮助其更好的应对这些新型威胁。安全威胁情报分析市场应运而生，并蓬勃发展。

目前的威胁情报系统只是作为一个数据共享和交换的平台，主要关注各个安全厂商的威胁情报数据，忽略了部分分布于互联网各个论坛、网站的威胁情报数据，利用单一维度的威胁情报库匹配客户的流量，比如：ip地址、域名、url等。

现有方案中，仅仅是利用单一维度的威胁情报库匹配客户的流量，比如：ip地址、域名、url等，单一维度的威胁情报库匹配，没有对各个维度的威胁情报数据做关联分析、有效性分析，匹配的准确率相对较低，匹配错误时，在用户侧很容易引起误报。

技术实现要素：

本发明实施例提供了一种基于威胁情报的网络安全检测方法及系统，用于提高网络安全检测的准确率。

本发明实施例第一方面提供了一种基于威胁情报的网络安全检测方法，其特征在于，可包括：

从至少一个预置网站周期性的采集威胁情报数据；

按照预置规则将所述威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组，所述威胁情报组包含至少一种类型的威胁情报数据，且每种类型的威胁情报数据包含一条或多条；

将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行多维度匹配，并统计匹配成功的目标威胁情报数据，若所述匹配成功的目标威胁情报数据超过预置数量，则判定所述目标终端感染病毒。

可选的，作为一种可能的实施方式，该方法还包括：

为每一条所述威胁情报数据分配对应的加权值；

计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。

可选的，作为一种可能的实施方式，所述目标终端的网络访问数据，包括dns数据、url访问数据、ip地址、文件hash值、日志信息中的一种或多种；

可选的，作为一种可能的实施方式，所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意ip地址、恶意url信息、yara规则、恶意文件hash值中的一种或多种。

可选的，作为一种可能的实施方式，所述按照预置规则将所述威胁情报数据中相关联的数据进行分组，包括：

采用图聚类算法对所述威胁情报数据进行聚类分析，将关联度达到预置阀值的威胁情报数据分为一组，并采用图形数据库存储所述威胁情报组。

可选的，作为一种可能的实施方式，所述预置网站的类型，包括：

安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。

本发明实施例中第二方面提供了一种基于威胁情报的网络安全检测系统，其特征在于，包括：

数据采集单元，用于从至少一个预置网站周期性的采集威胁情报数据；

分组单元，用于按照预置规则将所述威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组，所述威胁情报组包含至少一种类型的威胁情报数据，且每种类型的威胁情报数据包含一条或多条；

匹配单元，用于将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行匹配，并统计匹配成功的目标威胁情报数据，若所述匹配成功的目标威胁情报数据超过预置数量，则判定所述目标终端感染病毒。

可选的，作为一种可能的实施方式，该系统还包括：

权值分配单元，用于为每一条所述威胁情报数据分配对应的加权值；

计算单元，用于计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。

可选的，作为一种可能的实施方式，所述目标终端的网络访问数据，包括dns数据、url访问数据、ip地址、文件hash值、日志信息中的一种或多种；

可选的，作为一种可能的实施方式，所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意ip地址、恶意url信息、yara规则、恶意文件hash值中的一种或多种。

可选的，作为一种可能的实施方式，所述分组单元，包括：

聚类模块，用于采用图聚类算法对所述威胁情报数据进行聚类分析，将关联度达到预置阀值的威胁情报数据分为一组；

存储模块，用于采用图形数据库存储所述威胁情报组。

可选的，作为一种可能的实施方式，所述预置网站的类型，包括：

安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，可以采集多维度的威胁情报数据进行关联分组将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配，并统计匹配成功的目标威胁情报数据，若匹配成功的目标威胁情报数据超过预置数量，则判定目标终端感染病毒。本发明实施例对目标终端的网络访问数据进行了多维度的匹配，相对于现有方案中的单维度匹配，提高了网络安全检测的准确率。

附图说明

图1为本发明实施例中一种基于威胁情报的网络安全检测方法的一个实施例示意图；

图2为本发明实施例中一种基于威胁情报的网络安全检测方法的另一个实施例示意图；

图3为本发明实施例中一种基于威胁情报的网络安全检测系统的一个实施例示意图；

图4为本发明实施例中一种基于威胁情报的网络安全检测系统的另一个实施例示意图；

图5为本发明实施例中一种基于威胁情报的网络安全检测系统中分组单元202的模块细化示意图。

具体实施方式

本发明实施例提供了一种基于威胁情报的网络安全检测方法及系统，用于提高网络安全检测的准确率。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为了便于理解，下面对本发明实施例中的具体流程进行描述，请参阅图1，本发明实施例中一种基于威胁情报的网络安全检测方法的一个实施例可包括：

101、从至少一个预置网站周期性的采集威胁情报数据；

互联网中除了各大网络安全厂商公开的威胁情报数据，还有许多相关的网站会公布威胁情报数据，例如，各类安全论坛、安全资讯网站、病毒分析论坛等类型的网站，网络安全检测系统可以采用网络爬虫技术和网页内容识别技术自动化从至少一个预置网站周期性的采集威胁情报数据。

具体的，威胁情报数据类型可以包括病毒样本、恶意域名、恶意域名whois信息、恶意ip地址、恶意url信息、yara规则、恶意文件hash值中的一种或多种，可以理解的是，本实施例中的威胁情报数据类型及采集方式仅仅是示例性的，实际运用中随着网络安全攻击手段的不断更新，对应的威胁情报数据类型也会随之调整，采集方式也可以是多样化的，例如，在确认采集到的威胁情报数据的真实性之后，可以根据一条或多条威胁情报数据补充相关联的其余威胁情报数据，具体的威胁情报数据类型及采集方式此处不做限定。

102、按照预置规则将威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组；

互联网中的威胁情报数据往往是相关联的，例如，病毒木马采用的c&c(远程命令和控制)服务器控制被感染的机器时，该病毒木马的病毒样本以及对应的c&c服务器的通信域名、ip地址、url信息、以及该通信域名的对应的域名注册状态信息、域名当前所有者、所有者联系方式、注册日期、过期日期、域名状态、dns解析服务器等whois信息都是相关联的，进一步的，基于该病毒木马的网络行为特征可以配置对应的yara规则。可以基于这些相关联的威胁情报数据进行网络安全多维度检测，为了便于目标终端的网络访问数据的多维度匹配，网络安全检测系统可以按照预置规则将威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组，威胁情报组包含至少一种类型的威胁情报数据，且每种类型的威胁情报数据包含一条或多条。例如，网络安全检测系统可以将同一病毒相关联的多个恶意域名对应的恶意域名whois信息、恶意ip地址、恶意url信息、yara规则分到一组威胁情报组中，网络安全检测系统可以将恶意域名的域名whois信息中的域名当前所有者持有的所有域名分到一组威胁情报组中，具体的关联规则此处不做限定。

具体的，网络安全检测系统可以采用图聚类算法对威胁情报数据进行聚类分析，将关联度达到预置阀值的威胁情报数据分为一组，可以采用图形数据库存储分类好的威胁情报组。具体的聚类算法可以为k-means聚类算法、som(神经网络)聚类算法、fcm(模糊)聚类算法、层次聚类算法等，具体的算法此处不做限定。

103、将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配，并统计匹配成功的目标威胁情报数据，若匹配成功的目标威胁情报数据超过预置数量，则判定目标终端感染病毒。

实际运用中，当需要对目标终端进行网络安全检测时，可以采集目标终端的网络访问数据，并将该网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配。

具体的，目标终端的网络访问数据可以包括dns数据、url访问数据、ip地址、文件hash值、日志信息中的一种或多种，可以理解的是本实施例中的目标终端的网络访问数据仅仅是示例性的，具体的目标终端的网络访问数据可以根据检测的需求进行合理的设置，具体的目标终端的网络访问数据此处不做限定。

在获取到目标终端的网络访问数据之后，网络安全检测系统可以将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配。例如，网络安全检测系统可以从目标终端的网络访问数据中的日志信息中解析出目标终端的具体网络行为特征，并将该网络行为特征与威胁情报组中的yara规则对应的病毒木马的网络行为特征进行匹配。例如，网络安全检测系统可以解析从目标终端的网络访问数据中的域名或ip地址或url信息对应的域名的whois信息，并将该whois信息与威胁情报组中的whois信息进行匹配。例如，网络安全检测系统可以从目标终端的网络访问数据中的dns数据中解析目标终端的dns请求中的dns解析时间、请求的元ip地址、域名、解析结果对应的ip地址列表等信息，并基于域名或ip地址或url信息在威胁情报组中进行匹配。例如，网络安全检测系统可以从目标终端的网络访问数据中的文件hash值与威胁情报组中的恶意文件hash值进行匹配。

可以理解的是，本实施例中所示的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配的实例仅是示例性的，具体的匹配规则可以根据具体病毒或网络安全漏洞进行合理的设置，只需保证网络安全检测系统对目标终端的网络访问数据进行多维度匹配即可，具体此处不做限定。

在目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配之后，网络安全检测系统可以统计匹配成功的目标威胁情报数据，若匹配成功的目标威胁情报数据超过预置数量，则判定目标终端感染病毒。

本发明实施例中，采集多维度的威胁情报数据进行关联分组，将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配，并统计匹配成功的威胁情报数据，若匹配成功的威胁情报数据超过预置数量，则判定目标终端感染病毒。本发明实施例对目标终端的网络访问数据进行了多维度的匹配，相对于现有方案中的单维度匹配，提高了网络安全检测的准确率。

在上述实施例的基础上，网络安全检测系统在按照预置规则将威胁情报数据中相关联的数据进行分组之前，还包括：

按照预置的规则对采集到的威胁情报数据的数据格式进行标准化处理。

在互联网中的公开的威胁情报数据的数据类型、数据格式都不相同，为了便于后续的存储与分组处理，需要对采集到的威胁情报数据按照预置的规则对采集到的威胁情报数据的数据格式进行标准化处理，使得同一类型的威胁情报数据按照统一的数据格式进行存储，具体的数据格式此处不做限定。

在上述实施例的基础上，为了进一步的使用户直观的了解目标终端的安全威胁情况，可以为每一个目标终端计算一个网络安全威胁值，具体的请参阅图2，本发明实施例中一种基于威胁情报的网络安全检测方法的另一个实施例可包括：

201、从至少一个预置网站周期性的采集威胁情报数据；

202、按照预置规则将威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组；

203、将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配，并统计匹配成功的目标威胁情报数据，若匹配成功的目标威胁情报数据超过预置数量，则判定目标终端感染病毒。

本实施例中步骤201至203与图1所示的实施例中的步骤101至103中描述的内容类似，具体请参阅步骤101至103，此处不做赘述。

204、为每一条所述威胁情报数据分配对应的加权值并计算匹配成功的目标威胁情报数据对应的加权值之和作为目标终端的网络安全威胁值。

安全工程师可以对采集到的威胁情报数据的有效性及重要性进行测试与验证，根据验证的结果在网络安全检测系统中设置每一条威胁情报数据分配对应的加权值，例如，可以根据安全威胁可能带来的损失大小进行分配第一权值，可以根据每一条威胁情报数的真实可靠性进行分配第二权值，并根据多维度的权值分配得出每一条威胁情报数据的加权值，具体的加权值分配原则可以根据用户的需求进行合理的设置与调整，具体此处不做限定。

在统计匹配成功的目标威胁情报数据之后，可以计算匹配成功的目标威胁情报数据对应的加权值之和作为目标终端的网络安全威胁值。可以将该网络安全威胁值展示给用户，具体的展示方式可以是文字或语音的方式，具体此处不做限定。

上述实施例对本发明实施例中的一种基于威胁情报的网络安全检测方法进行了描述，下面将对本发明实施例中一种基于威胁情报的网络安全检测系统进行描述，请参阅图3，本发明实施例中一种基于威胁情报的网络安全检测系统的一个实施例包括：

数据采集单元301，用于从至少一个预置网站周期性的采集威胁情报数据；

分组单元302，用于按照预置规则将威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组，威胁情报组包含至少一种类型的威胁情报数据，且每种类型的威胁情报数据包含一条或多条；

匹配单元303，用于将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行匹配，并统计匹配成功的目标威胁情报数据，若匹配成功的目标威胁情报数据超过预置数量，则判定目标终端感染病毒。

可选的，作为一种可能的实施方式，请参阅图4，本实施例中的基于威胁情报的网络安全检测系统还可以进一步包括：

权值分配单元304，用于为每一条所述威胁情报数据分配对应的加权值；

计算单元305，用于计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。

可选的，本实施例中目标终端的网络访问数据可以包括dns数据、url访问数据、ip地址、文件hash值、日志信息中的一种或多种；

可选的，本实施例中威胁情报数据类型可以病毒样本、恶意域名、恶意域名whois信息、恶意ip地址、恶意url信息、yara规则、恶意文件hash值中的一种或多种。

可选的，请参阅图5，作为一种可能的实施方式，本实施例中的分组单元302，包括：

聚类模块3021，用于采用图聚类算法对威胁情报数据进行聚类分析，将关联度达到预置阀值的威胁情报数据分为一组；

存储模块3022，用于采用图形数据库存储威胁情报组。

可选的，本实施例中预置网站的类型可以包括：

安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。

可选的，作为一种可能的实施方式，本实施例中基于威胁情报的网络安全检测系统还可以进一步包括：

标准化单元306，用于按照预置的规则对采集到的威胁情报数据的数据格式进行标准化处理。

本发明实施例中，采集多维度的威胁情报数据进行关联分组，并为每一条威胁情报数据分配对应的加权值，将采集到的目标终端的网络访问数据与威胁情报组中的威胁情报数据进行多维度匹配，并计算匹配成功的威胁情报数据对应的加权值之和，若对应的加权值之和超过预置安全阀值，则判定目标终端感染病毒。本发明实施例对目标终端的网络访问数据进行了多维度的匹配，相对于现有方案中的单维度匹配，提高了网络安全检测的准确率。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。