本發明涉及一種基于開源信息的可疑威脅指標主動驗證方法和系統。該方法包括以下步驟：1)設計特定查詢語句，所述特定查詢語句是可疑威脅指標與特定場景的組合；2)收集和爬取根據所述特定查詢語句在互聯網上檢索得到的結果信息；3)將所述結果信息中的相關開源信息進行結構化處理，得到結構化數據；4)利用所述結構化數據，充分學習其中的隱藏特征，訓練相應的分類模型；5)利用所述分類模型驗證在特定場景下的可疑威脅指標的惡意性，從而識別網絡威脅。該系統包括查詢設計模塊、信息采集模塊、數據處理模塊、模型訓練模塊、指標驗證模塊。本發明能夠高效準確地完成對可疑威脅指標的驗證，幫助人們識別高級威脅攻擊，保證網絡安全。

技術領域

本發明屬于網絡空間安全技術領域，具體涉及一種基于開源信息的可疑威脅指標主動驗證方法和系統。

背景技術

近年來，以APT(Advanced Persistent Threats，高級持續性威脅)為典型代表的高級網絡威脅增長迅速并日益復雜。為了保證網絡安全，一些安全公司、安全廠商或安全研究人員會在互聯網上發布一些安全報告、技術博客等專業文章來分析已有高級威脅攻擊及其技術細節。這些信息有助于人們快速了解已有網絡威脅的演變及實現過程，及時發現攻擊的早期跡象，并做出合適的防御響應。

可疑威脅指標是指在網絡流量或日志中發現的不確定是否異常的指標，如可疑的IP地址，域名及MD5值等。對可疑威脅指標的驗證不僅僅包括簡單的是否惡意的驗證，還包括對其適用的特定場景的驗證，如一個可疑域名，不僅驗證該域名是否是惡意域名，還確認其使用場景是APT攻擊，還是僵尸網絡攻擊等。唯有掌握可疑威脅指標的場景信息，才能制定合理策略，保證網絡安全。

驗證可疑威脅指標，可利用網絡威脅情報(Cyber Threat Intelligence，CTI)來完成。網絡威脅情報是關于現有或潛在威脅的詳細的證據知識，包括情境、機制、指標、推論與可行建議。這些知識是安全專家或專業團隊分析整理出來的，可為威脅響應提供決策依據。威脅情報根據來源主要分為兩大類：內部威脅情報和外部威脅情報。內部威脅情報多是從分析系統內部數據如惡意代碼、網絡日志等收集處理的，外部威脅情報主要源自企業和社區的共享情報、安全服務商的情報服務以及互聯網的公開情報等。鑒于內部威脅情報的封閉性和特殊性，驗證可疑威脅指標時一般不使用內部威脅情報。通過外部威脅情報的驗證，主要是基于商用情報的驗證與基于開源情報的驗證。

基于商用情報的可疑威脅指標驗證方法主要是通過購買安全公司或廠商的威脅情報服務來完成。這種方法成本較高且無法做到對已有情報的全覆蓋。基于開源情報的驗證方法多是人們先定點監控一些公開情報源，并收集其發布的威脅攻擊信息，然后從相關信息中抽取出入侵威脅指標(Indicators of Compromise，IOC)形成威脅情報庫以供后續使用。這種方法是被動的，復雜的。并且，定點監控的公開情報源不完整，無法監控所有的公開情報源。此外，還需要對不同情報源的信息進行分析整理，代價大。

發明內容

本發明的目的在于提供一種基于開源信息的可疑威脅指標主動驗證方法和系統，充分利用互聯網上公開的相關威脅信息，高效準確地完成對可疑威脅指標的驗證，幫助人們識別高級威脅攻擊，保證網絡安全。

本發明采用的技術方案如下：

一種基于開源信息的可疑威脅指標主動驗證方法，包括以下步驟：

1)設計特定查詢語句，所述特定查詢語句是可疑威脅指標與特定場景的組合；

2)收集和爬取根據所述特定查詢語句在互聯網上檢索得到的結果信息；

3)將所述結果信息中的相關開源信息進行結構化處理，得到結構化數據；

4)利用所述結構化數據，充分學習其中的隱藏特征，訓練相應的分類模型；

5)利用所述分類模型驗證在特定場景下的可疑威脅指標的惡意性，從而識別網絡威脅。