[发明专利]一种网络威胁信息关联分析系统及方法

权利要求书

1.一种网络威胁信息关联分析系统，其特征在于，所述系统包括：日志收集服务器、日志采集数据库、情报关联分析服务器和关联分析结果数据库；

所述日志收集服务器用于采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库；其中，所述威胁信息日志包括：IP地址；

所述情报关联分析服务器用于从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库中包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库；

其中，所述情报关联分析服务器还用于从地理位置信息系统查询所述IP地址对应的地理位置信息，并记录到所述IP地址的关联分析结果中；

所述情报关联分析服务器将根据各威胁信息日志包含的IP地址，向开源威胁情报查询系统发送IP查询请求；

所述开源威胁情报查询系统中保存了预先获取的所有恶意主机的IP地址以及对应的威胁描述信息；在接收到IP查询请求后，提取所述IP查询请求中的IP地址，与保存的恶意主机的IP地址进行比对，若根据比对结果判定所述IP地址为恶意主机的IP地址，则将该恶意主机的IP地址的威胁描述信息记录到查询答复中回复给情报关联分析服务器；而若根据比对结果判定所述IP地址不是恶意主机的IP地址，则采用不回复，或者回复包含空的威胁描述信息的查询答复的方式；

所述情报关联分析服务器，对接收到查询答复进行格式化后，同样以威胁信息日志的形式记录到所述日志采集数据库；

由所述情报关联分析服务器对记录在日志采集数据库中的各威胁信息日志进行汇总分析；

根据各威胁信息日志中的IP地址，所述情报关联分析服务器对包含相同IP地址的威胁信息日志进行关联打标签，并且分析得到与各IP地址分别对应的关联分析结果。

2.根据权利要求1所述的网络威胁信息关联分析系统，其特征在于，所述系统还包括：结果展示服务器；

所述结果展示服务器用于将所述关联分析结果数据库中各IP地址的关联分析结果进行可视化展示。

3.根据权利要求1或2所述的网络威胁信息关联分析系统，其特征在于，所述关联分析结果数据库设置了用于接收外部查询的查询接口。

4.根据权利要求3所述的网络威胁信息关联分析系统，其特征在于，所述日志收集服务器为Graylog分布式日志收集服务器。

5.根据权利要求3所述的网络威胁信息关联分析系统，其特征在于，所述各威胁信息监测系统包括但不限于：分布式拒绝服务攻击DDOS威胁预警系统、反抓站检测系统和互联网数据中心IDC防火墙系统。

6.根据权利要求3所述的网络威胁信息关联分析系统，其特征在于，所述日志采集数据库为ElasticSearch日志采集数据库集群；所述ElasticSearch日志采集数据库集群，用于基于预设的数据格式对记录的威胁信息日志创建对应的索引信息。

7.根据权利要求3所述的网络威胁信息关联分析系统，其特征在于，所述开源威胁情报查询系统为开放威胁交换OTX开源威胁情报查询系统。

8.根据权利要求1或2所述的网络威胁信息关联分析系统，其特征在于，所述地理位置信息系统为GeoLite IP地理位置信息系统。

9.一种基于如权利要求1-8任一所述的网络威胁信息关联分析系统的网络威胁信息关联分析方法，其特征在于，所述方法包括：

通过日志收集服务器，采用预设的数据采集方式从各威胁信息监测系统采集威胁信息日志，并按照预设的数据格式记录到日志采集数据库；其中，所述威胁信息日志包括：IP地址；

通过情报关联分析服务器，从开源威胁情报查询系统获取各IP地址的威胁描述信息，并与所述日志采集数据库中包含相同IP地址的威胁信息日志进行合并，得到与各IP地址对应的关联分析结果存入所述关联分析结果数据库。