[发明专利]建立检测网络威胁模型的方法、装置和存储介质

说明书

本发明公开了一种建立检测网络威胁模型的方法、装置、存储介质和处理器。其中，该方法包括：采集网络威胁数据流和网络安全数据流；通过分析网络威胁数据流和网络安全数据流之间的区别，建立检测模型；通过预设检测数据流的检测效率调整检测模型的参数和提供机器学习的网络威胁数据流和网络安全数据流。本发明解决了由于现有技术中在检测高级长期威胁攻击中，存在的检测局限性的技术问题。

技术领域

本发明涉及网络安全技术应用领域，具体而言，涉及一种建立检测网络威胁模型的方法、装置、存储介质和处理器。

背景技术

随着互联网的发展，某些人员(黑客)针对特定的目标来精心策划和实施这种入侵，已达到商业或政治目的。高级长期威胁往往针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指黑客会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。高级长期威胁中，黑客利用恶意软件在收控主机上进行长期隐蔽的通讯，控制和信息盗取。高级长期威胁中采用的恶意软件具有隐蔽性和多变性。

目前，传统的安全产品(如杀毒、入侵检测系统(Intrusion Detection Systems，简称IDS))，使用的基于已知的签名技术，难以有效监测到高级持续性威胁(AdvancedPersistent Threat，简称APT)，使得企业和机构的信息系统处于高级持续性威胁的重大威胁之中。要保护组织团体免于高级长期威胁攻击日益困难。在检测高级长期威胁的过程中，目前常用以下两种检测方式：

方式一:传统的安全产品(如杀毒、IDS)是目前常用的防止目高级长期威胁的一个手段。

其中，杀毒软件和IDS使用基于已知知识的签名技术。它们手工分析已知恶意软件的静态特征和网络特征，提取字端或字段哈希值作为签名。检测一个未知文件时，就已知签名进行比对。

但是，杀毒软件和IDS对已知恶意软件的检测比较有效。高级长期威胁常常使用针对性的恶意软件。这些恶意软件基本上是未知的，有隐蔽性和多变性。所以杀毒软件和IDS较难发现。

方式二：利用沙箱技术来分析发现高级长期威胁的恶意软件。

其中，沙箱技术在虚拟的环境中执行可疑文件(包括恶意软件)，并抓取该文件在沙箱中的动态执行行为。通过对可疑文件的动态行为特征来发现恶意软件。

但是，沙箱技术需要在网络流量中抓取文件。需要比较完整的协议分析和文件提取技术。另外，这些文件需要好的沙箱技术进行分析。沙箱技术比较复杂，实现上对性能(特别是内存和CPU)也有较高的要求。

针对上述由于现有技术中在检测高级长期威胁攻击中，存在的检测局限性的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种建立检测网络威胁模型的方法、装置、存储介质和处理器，以至少解决由于现有技术中在检测高级长期威胁攻击中，存在的检测局限性的技术问题。

根据本发明实施例的一个方面，提供了一种建立检测网络威胁模型的方法，包括：采集网络威胁数据流和网络安全数据流；通过分析网络威胁数据流和网络安全数据流之间的区别，建立检测模型；通过预设检测数据流的检测效率调整检测模型的参数和提供机器学习的网络威胁数据流和网络安全数据流。