[发明专利]一种基于智能化威胁情报的网络攻击检测系统和方法

说明书

本发明公开了一种基于智能化威胁情报的网络攻击检测系统和方法，涉及网络安全领域，包括网页爬虫模块、威胁情报提取模块、流量数据包解析模块和网络攻击检测模块。网页爬虫模块爬取安全厂商分析报告网页，获取最新分析报告；威胁情报提取模块提取威胁情报，流量数据包解析模块解析PCAP数据包，获取流量特征；网络攻击检测模块对流量特征和威胁情报进行匹配检测网络攻击。本发明自动提取网络中分散的威胁情报，利用威胁情报与网络流量特征匹配发现网络攻击，提升了安全检测的有效性和准确性。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于智能化威胁情报的网络攻击检测系统和方法。

背景技术

威胁情报(Threat intelligence)是循证知识，包括环境、机制、指标、意义和可行性建议，现有的或新兴的、对资产的威胁或危害，可用于主体对威胁或危害的反应做出明确决定。威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。公司企业政府等组织可能面临各种各样的威胁，威胁也可能危害到其正常的运转及发展。现在大多数情况下把精力花在了对漏洞的修补以及调查上，而威胁情报所做的事就是在攻击发生之前，发现潜在的威胁，进而阻止攻击的发生。按照使用场景可以将威胁情报分为，运营级情报，战术级情报，战略级情报，按照威胁内容还可以分成，基础网络情报，攻击团体情报，APT分析类情报。目前威胁情报的应用从厂商提供数据的方式可以分为两种，一种是提供信誉查询接口，一种是直接提供IoC feeds，从威胁情报应用场景角度看，威胁情报可以用在预防、检测、响应、防御等环节。从海量的数据中挖掘威胁，可以预测面临的攻击行为，从而可以帮助决策者在防御方面更早的做出合理的决策。威胁情报可以化被动为主动，不是被动的等待攻击者来攻击，而是主动出击，主动去发现潜在攻击者的痕迹。能够对威胁进行及时的预警，也能够为应急响应提供更多的参考信息。获取最新的漏洞信息，及时修补避免漏洞遭到恶意利用。也可以利用恶意IP，恶意域名，恶意URL，恶意样本的哈希值等进行网络攻击检测。

在实际应用中，一些安全厂商捕获到恶意样本的时候，安全专家会对这些样本进行人工分析，从中分析出CC服务器IP，域名，或者URL。分析完成之后，他们会将分析报告发布到博客上面。目前恶意病毒层出不穷，APT攻击持续不断，安全厂商也不断的在发布这些事件的报告。

另外一方面，攻击者的攻击方式越来越多种多样，传统的攻击检测不足以应对这种多变的攻击方式。在这种情况下，威胁情报这种新的技术显得尤为重要。当A厂商从恶意样本里面或者攻击事件里面提取出一些IP，域名等威胁情报，如果分享给其他厂商，其他厂商就可以将这些威胁情报部署到防火墙等边界检查设备上。由于攻击者的IP，域名等资产是有一定限额的，他不可能无限的增加这些资产，如果我们共享的情报越多，那么作为防守方，安全研究人员掌握攻击者的相关资产就越多。这样从流量里面更容易发现攻击者的痕迹。但是大多数厂商出于商业原因，他们并不会发布可以机读格式的威胁情报，仅仅会在发布的博客中提到相关信息。

由于报告数量不断增加，不可能用人工的方式去逐一提取威胁情报，采用自动化技术提取威胁情报将大大提升威胁情报的提取效率。

在各大安全厂商的分析报告中，所有的文章可以分为三类：未包含威胁情报，包含威胁情报但是文末没有列出威胁情报，包含威胁情报且文末列出威胁情报。其中文末列出威胁情报的文章占了80％。基于这种观察，可以使用一种不依赖语义的提取方法，只需从整个文章中提取出文末列出的威胁情报即可。正则表达式(Regular Expression)使用单个字符串来描述、匹配一系列匹配某个句法规则的字符串。正则表达式通常被用来检索、替换那些匹配某个模式的文本。使用正则表达式可以匹配提取报告中所需的威胁情报。