[发明专利]一种基于威胁情报的网络安全检测方法及系统

权利要求书

1.一种基于威胁情报的网络安全检测方法，其特征在于，包括：

从至少一个预置网站周期性的采集威胁情报数据；

按照预置规则将所述威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组，所述威胁情报组包含至少一种类型的威胁情报数据，且每种类型的威胁情报数据包含一条或多条；

将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行多维度匹配，并统计匹配成功的目标威胁情报数据，若所述匹配成功的目标威胁情报数据超过预置数量，则判定所述目标终端感染病毒。

2.根据权利要求1所述的方法，其特征在于，还包括：

为每一条所述威胁情报数据分配对应的加权值；

计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。

3.根据权利要求2所述的方法，其特征在于，

所述目标终端的网络访问数据，包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种；

所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种。

4.根据权利要求3所述的方法，其特征在于，所述按照预置规则将所述威胁情报数据中相关联的数据进行分组，包括：

采用图聚类算法对所述威胁情报数据进行聚类分析，将关联度达到预置阀值的威胁情报数据分为一组，并采用图形数据库存储所述威胁情报组。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述预置网站的类型，包括：

安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。

6.一种基于威胁情报的网络安全检测系统，其特征在于，包括：

数据采集单元，用于从至少一个预置网站周期性的采集威胁情报数据；

分组单元，用于按照预置规则将所述威胁情报数据中相关联的数据进行分组，形成至少一组威胁情报组，所述威胁情报组包含至少一种类型的威胁情报数据，且每种类型的威胁情报数据包含一条或多条；

匹配单元，用于将采集到的目标终端的网络访问数据与所述威胁情报组中的威胁情报数据进行匹配，并统计匹配成功的目标威胁情报数据，若所述匹配成功的目标威胁情报数据超过预置数量，则判定所述目标终端感染病毒。

7.根据权利要求6所述的系统，其特征在于，还包括：

权值分配单元，用于为每一条所述威胁情报数据分配对应的加权值；

计算单元，用于计算所述匹配成功的目标威胁情报数据对应的加权值之和作为所述目标终端的网络安全威胁值。

8.根据权利要求7所述的系统，其特征在于，

所述目标终端的网络访问数据，包括DNS数据、URL访问数据、IP地址、文件hash值、日志信息中的一种或多种；

所述威胁情报数据类型包括病毒样本、恶意域名、恶意域名whois信息、恶意IP地址、恶意URL信息、yara规则、恶意文件hash值中的一种或多种。

9.根据权利要求8所述的方法，其特征在于，所述分组单元，包括：

聚类模块，用于采用图聚类算法对所述威胁情报数据进行聚类分析，将关联度达到预置阀值的威胁情报数据分为一组；

存储模块，用于采用图形数据库存储所述威胁情报组。

10.根据权利要求6至9中任一项所述的系统，其特征在于，所述预置网站的类型，包括：

安全论坛、安全资讯网站、病毒分析论坛、安全厂商的威胁情报数据网站。