[发明专利]一种基于大数据的网络攻击监测方法和装置

权利要求书

1.一种基于大数据的网络攻击监测方法，用于高级网络安全威胁的识别，其特征在于，分为如下步骤：

S1：采集信息系统超大时空范围的安全相关数据；

S2：根据网络安全威胁线索，在所述安全相关数据中搜索与所述网络安全威胁线索相关的威胁基础数据；

S3：基于所述威胁基础数据，根据威胁模型和关联分析模型识别并描述高级网络安全威胁。

2.根据权利要求1所述的网络攻击监测方法，其特征在于，在所述“S1：采集信息系统超大时空范围的安全相关数据”之前，能够制定数据采集的时间策略和空间策略；所述时间策略可指定数据采集的开始时间点和结束时间点，所述时间点可设置为从信息系统开始运行的时间至当前时间中的任意时间点；所述空间策略可指定数据采集的网络地址范围，可设置为采集一个网络地址至信息系统全部的网络地址中的任意数量。

3.根据权利要求1所述的网络攻击监测方法，其特征在于，在所述“S1：采集信息系统超大时空范围的安全相关数据”之后，所述安全相关数据通过大数据平台进行预处理、传输汇聚和融合，并存储到数据库。

4.根据权利要求1所述的网络攻击监测方法，其特征在于，在所述“S2：根据网络安全威胁线索”之前，应利用信息系统中常规的病毒检测、恶意代码检测和网络入侵检测等安全防护产品的威胁检测结果，获得所述网络安全威胁线索。

5.根据权利要求1所述的网络攻击监测方法，其特征在于，所述“在所述安全相关数据中搜索与所述网络安全威胁线索相关的威胁基础数据”，具体包括：

S201：以所述网络安全威胁线索中的域名，在所述安全相关数据中搜索与该域名所指向的网络地址相关的所有威胁基础数据；

S202：以所述网络安全威胁线索中的网络地址，在所述安全相关数据中搜索与该网络地址相关的所有威胁基础数据；

S203：以所述网络安全威胁线索中的威胁特征，在所述安全相关数据中搜索包含所述威胁特征的所有威胁基础数据。

6.根据权利要求5所述的网络攻击监测方法，其特征在于，在所述“S203：以所述网络安全威胁线索中的威胁特征，在所述安全相关数据中搜索包含所述威胁特征的所有威胁基础数据”中，如果搜索得到的威胁基础数据还包含域名或网络地址信息，则继续重复S201和S202步骤。

7.根据权利要求1所述的网络攻击监测方法，其特征在于，所述“S3：基于所述威胁基础数据，根据威胁模型和关联分析模型识别并描述高级网络安全威胁”，具体包括：

获得高级网络安全威胁的特征、动态域名、控制端网络地址、传播方式、传播途径和作者等自身属性信息；

获得高级网络安全威胁对信息系统产生的安全事件和危害后果；

获得信息系统曾经对高级网络安全威胁所采取的安全防护行为和效果。

8.一种基于大数据的网络攻击监测装置，用于高级网络安全威胁的识别，其特征在于，包括：

主机资源数据采集模块，用于采集信息系统超大时空范围的安全相关数据，运行在终端主机上，采集操作系统配置、进程启动与停止、文件访问行为、审计日志和安全软件告警信息等主机资源数据；

网络数据采集模块，用于采集信息系统超大时空范围的安全相关数据，作为独立设备或运行在专门的服务器上，采集网络数据；

威胁数据搜索模块，用于根据网络安全威胁线索，在所述安全相关数据中搜索与所述网络安全威胁线索相关的威胁基础数据；

威胁识别模块，用于基于所述威胁基础数据，根据威胁模型和关联分析模型识别并描述高级网络安全威胁。

9.根据权利要求8所述的网络攻击监测装置，其特征在于，所述安全相关数据在采集之后，通过大数据平台进行预处理、传输汇聚和融合，并存储到数据库中，以备威胁数据搜索模块进行处理。

10.根据权利要求8所述的网络攻击监测装置，其特征在于，所述识别并描述高级网络安全威胁包括：

获得网络安全威胁的特征、动态域名、控制端网络地址、传播方式、传播途径和作者等自身属性信息；

获得网络安全威胁对信息系统产生的安全事件和危害后果；

获得信息系统曾经对网络安全威胁采取的安全防护行为和效果。