[发明专利]网络威胁报文检测及溯源取证方法和装置

说明书

本申请公开了一种网络威胁报文的检测及溯源取证方法、装置、设备和存储介质。一种网络威胁报文的检测及溯源取证方法，包括：根据与云端情报平台同步的网络威胁报文情报库判断接收到的报文是否为网络威胁报文；如果是网络威胁报文，则发出安全告警信息。本申请的方法提高了网络威胁报文的识别能力，提高了安全性。

技术领域

本申请涉及计算机技术领域，具体而言，涉及一种网络威胁报文检测及溯源取证方法和装置。

背景技术

随着情报技术的发展，国内外很多安全检测产品将情报分析纳入网络威胁分析模型中。现有技术中，很难发现情报是网络威胁情报，导致企业、机关等单位经常被黑客攻击后造成网络不安全，对于报文缺乏一种识别能力。

发明内容

本申请的主要目的在于提供一种网络威胁报文检测及溯源取证方法和装置，以解决上述问题。

为了实现上述目的，根据本申请的一个方面，提供了一种网络威胁报文检测及溯源取证方法，包括：

根据与云端情报平台同步的网络威胁报文情报库判断接收到的报文是否为网络威胁报文；

如果确定是网络威胁报文，则发出安全告警信息。

在一种实施方式中，所述情报库包括预先经过训练的第一识别模型、第二识别模型和情报列表；

根据预先设置的情报库判断接收到的报文是否为网络威胁报文，包括：

获取所述报文的元数据，所述元数据包括：第一类元数据、第二类元数据和第三类元数据；

判断所述第三类元数据和情报列表中的特征数据是否匹配；

如果是，则将所述第一类元数据输入到第一识别模型得到第一识别结果；

如果第一识别结果大于预定的第一识别阈值；

则将所述第二类元数据输入到第二识别模型得到第二识别结果；

如果所述第二识别结果大于预定的第二识别阈值；

则发出报警信息。

在一种实施方式中，发出安全告警信息后，所述方法还包括：

向情报平台发送通知消息，以使所述情报平台根据通知消息生成所述网络威胁报文的溯源报告；

接收所述情报平台发送的溯源报告；

所述溯源报告包括以下的一种或几种：情报来源、情报相关报道、通讯样本、沙箱检测结果、情报发展历程；所述情报发展历程具体包括：攻击者的组织、近期活跃时间、近期攻击目标、近期采用的攻击。

在一种实施方式中，还包括：与情报平台实时同步更新所述网络威胁报文情报库。

第二方面，一种网络威胁报文检测及溯源取证方法，应用于云端的情报平台，所述方法包括：

接收检测装置发送的发现网络威胁报文的通知消息，其中，检测装置根据与所述情报平台同步的网络威胁报文情报库发现网络威胁报文；

所述通知消息的内容包括：所述检测装置所属的用户标识、攻击时间、攻击手段；

将所述通知消息的内容补充到情报发展历程记录表中并生成所述网络威胁报文的溯源报告；

将所述溯源报告发送给所述检测装置。

在一种实施方式中，接收检测装置发送的发现网络威胁报文通知消息之前，所述方法还包括：

从各个网站情报平台获取获取疑似网络威胁报文的第一集合；