[发明专利]一种威胁检测方法及系统

说明书

本发明提供的威胁检测方法及系统，预先基于正常网络流量及预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量分别构建了多个子检测模型，各个子检测模块与各个阶段一一对应，在此基础上，针对每个子网络流量，分别利用各个子检测模型对其进行检测，之后进一步基于预设时长内多个子网络流量的检测结果，确定由所述多个子网络流量所组成的网络流量的检测结果，以最终获知所述网络流量是否属于所述预定类型的网络威胁。由于本发明基于预定类型网络威胁的生命周期中不同阶段所对应的恶意网络流量进行了子检测模型的构建及流量检测，从而，本发明充分学习了网络威胁生命周期中不同阶段的入侵特点，可有效确保网络威胁检测的高准确度。

技术领域

本发明属于计算机网络安全领域，尤其涉及一种威胁检测方法及系统。

背景技术

高级持续性威胁(Advanced Persistent Threat，APT)是一种隐匿而持久的计算机网络入侵过程，通常出于商业或政治动机、针对特定组织或国家、且在长时间内保持高隐蔽性。

高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞，长期暗指某个外部力量会持续监控特定目标并从其获取数据，威胁则指人为参与策划的攻击。

在基于网络的入侵检测领域(Network Based Intrusion Detection System，NIDS)，已经出现了很多基于机器学习的检测方法，尤其是基于监督式机器学习的方法研究更为广泛。但由于高级持续性威胁的全生命周期中入侵特点的复杂性、多变性，目前的检测方法对高级持续性威胁的检测效果并不尽如人意，检测的准确性较差。

发明内容

有鉴于此，本发明的目的在于提供一种威胁检测方法及系统，以通过充分考虑网络威胁的生命周期中不同阶段的入侵特点，来确保网络威胁检测的高准确度。

为此，本发明公开如下技术方案：

一种威胁检测方法，包括：

获取待检测的子网络流量；

获取预先训练的检测模型，所述检测模型包括多个子检测模型，各个子检测模型与预定类型网络威胁的生命周期中所包括的各个阶段一一对应，且每个子检测模型为：基于正常网络流量及所述预定类型网络威胁的生命周期中相应阶段所对应的恶意网络流量所构建的模型；

分别利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测，得到所述子网络流量的多个子检测结果；

基于所述多个子检测结果，确定所述子网络流量的检测结果；

基于预设时长内多个子网络流量的检测结果，确定所述预设时长内由所述多个子网络流量所组成的网络流量的检测结果，以获知所述网络流量是否属于所述预定类型的网络威胁。

上述方法，优选的，所述预定类型网络威胁为高级持续性威胁，所述预定类型网络威胁的生命周期中所包括的各个阶段包括：漏洞利用阶段、横向移动阶段、木马安装阶段、命令与控制阶段；

所述利用所述多个子检测模型中的各个子检测模型对所述子网络流量进行检测，包括：

提取所述子网络流量的至少一个流量特征，得到流量特征集；

将所述流量特征集分别输入第一子检测模型、第二子检测模型、第三子检测模型及第四子检测模型，相应得到各个子检测模型输出的第一子检测结果、第二子检测结果、第三子检测结果及第四子检测结果；

其中，所述第一子检测模型与所述漏洞利用阶段相对应，所述第二子检测模型与所述横向移动阶段相对应，所述第三子检测模型与所述木马安装阶段相对应，所述第四子检测模型与所述命令与控制阶段相对应。

上述方法，优选的，所述提取所述网络流量单元的至少一个流量特征，包括：