[發(fā)明專利]一種網(wǎng)絡(luò)安全防御中的威脅追捕方法、裝置及設(shè)備在審

申請?zhí)枺?/td>	201810867019.4	申請日：	2018-08-01
公開（公告）號：	CN110798429A	公開（公告）日：	2020-02-14
發(fā)明（設(shè)計）人：	呂曉濱	申請（專利權(quán)）人：	深信服科技股份有限公司
主分類號：	H04L29/06	分類號：	H04L29/06
代理公司：	44285 深圳市深佳知識產(chǎn)權(quán)代理事務(wù)所(普通合伙)	代理人：	王仲凱
地址：	518055 廣東省深圳市南***	國省代碼：	廣東;44
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	流量記錄網(wǎng)絡(luò)威脅網(wǎng)絡(luò)安全防御流量特征特征信息數(shù)據(jù)庫元數(shù)據(jù) 匹配查找威脅存儲申請計算機(jī)可讀存儲介質(zhì) 回溯檢測活動信息歷史生成歷史網(wǎng)絡(luò) 網(wǎng)絡(luò)流量有效地調(diào)用匹配情報檢測更新記錄網(wǎng)絡(luò) 成功
鉆瓜網(wǎng) 技術(shù)展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種網(wǎng)絡(luò)安全防御中的威脅追捕方法，其特征在于，包括：

獲取威脅情報中更新后的網(wǎng)絡(luò)威脅特征信息；

調(diào)用歷史生成并存儲的流量記錄數(shù)據(jù)庫，根據(jù)所述網(wǎng)絡(luò)威脅特征信息對所述流量記錄數(shù)據(jù)庫進(jìn)行匹配查找；所述流量記錄數(shù)據(jù)庫中記錄有歷史網(wǎng)絡(luò)流量的流量特征元數(shù)據(jù)；

若所述匹配查找成功，則根據(jù)與所述網(wǎng)絡(luò)威脅特征信息匹配的所述流量特征元數(shù)據(jù)確定網(wǎng)絡(luò)中的威脅活動信息。

2.根據(jù)權(quán)利要求1所述的威脅追捕方法，其特征在于，所述網(wǎng)絡(luò)威脅特征信息包括以下任意一種或者任意組合：

惡意IP地址、惡意統(tǒng)一資源定位符、惡意域名、惡意樣本MD5。

3.根據(jù)權(quán)利要求1所述的威脅追捕方法，其特征在于，所述流量特征元數(shù)據(jù)包括以下任意一種或者任意組合：

NETFLOW元數(shù)據(jù)、HTTPFLOW元數(shù)據(jù)、DNSFLOW元數(shù)據(jù)、MAILFLOW元數(shù)據(jù)。

4.根據(jù)權(quán)利要求3所述的威脅追捕方法，其特征在于，所述流量記錄數(shù)據(jù)庫的生成過程包括：

采集網(wǎng)絡(luò)流量的原始數(shù)據(jù)；

對所述原始數(shù)據(jù)進(jìn)行內(nèi)容解析以生成所述流量特征元數(shù)據(jù)；

對所述流量特征元數(shù)據(jù)進(jìn)行過濾，以便清洗掉與當(dāng)前已知網(wǎng)絡(luò)威脅特征信息匹配的所述流量特征元數(shù)據(jù)；

存儲所述流量特征元數(shù)據(jù)。

5.根據(jù)權(quán)利要求4所述的威脅追捕方法，其特征在于，在所述對所述原始數(shù)據(jù)進(jìn)行內(nèi)容解析以生成所述流量特征元數(shù)據(jù)之后，還包括：

提取所述流量特征元數(shù)據(jù)的關(guān)鍵字段；

將所述關(guān)鍵字段作為所述流量特征元數(shù)據(jù)的快捷索引進(jìn)行存儲；

所述根據(jù)所述網(wǎng)絡(luò)威脅特征信息對所述流量記錄數(shù)據(jù)庫進(jìn)行匹配查找包括：

查找與所述網(wǎng)絡(luò)威脅特征信息匹配的所述關(guān)鍵字段；

若查找成功，則確定與查找成功的所述關(guān)鍵字段對應(yīng)的流量特征元數(shù)據(jù)，并判斷是否與所述網(wǎng)絡(luò)威脅特征信息匹配。

6.根據(jù)權(quán)利要求5所述的威脅追捕方法，其特征在于，

所述存儲所述流量特征元數(shù)據(jù)包括：

將所述流量特征元數(shù)據(jù)存儲在Elastic Search中；

所述將所述關(guān)鍵字段作為所述流量特征元數(shù)據(jù)的快捷索引進(jìn)行存儲包括：

將所述關(guān)鍵字段作為所述流量特征元數(shù)據(jù)的快捷索引存儲在MongoDB中。

7.根據(jù)權(quán)利要求1至6任一項(xiàng)所述的威脅追捕方法，其特征在于，所述根據(jù)與所述網(wǎng)絡(luò)威脅特征信息匹配的所述流量特征元數(shù)據(jù)確定網(wǎng)絡(luò)中的威脅活動信息包括：

確定與所述網(wǎng)絡(luò)威脅特征信息匹配的所述流量特征元數(shù)據(jù)的時間先后順序；

根據(jù)所述時間先后順序確定對應(yīng)的威脅活動時間鏈，以便確定網(wǎng)絡(luò)中的威脅活動信息。

8.一種網(wǎng)絡(luò)安全防御中的威脅追捕裝置，其特征在于，包括：

獲取模塊：用于獲取威脅情報中更新后的網(wǎng)絡(luò)威脅特征信息；

匹配模塊：用于調(diào)用歷史生成并存儲的流量記錄數(shù)據(jù)庫，根據(jù)所述網(wǎng)絡(luò)威脅特征信息對所述流量記錄數(shù)據(jù)庫進(jìn)行匹配查找；所述流量記錄數(shù)據(jù)庫中記錄有歷史網(wǎng)絡(luò)流量的流量特征元數(shù)據(jù)；

生成模塊：用于生成并存儲所述流量記錄數(shù)據(jù)庫；

追捕模塊：用于當(dāng)所述匹配查找成功時，根據(jù)與所述網(wǎng)絡(luò)威脅特征信息匹配的所述流量特征元數(shù)據(jù)確定網(wǎng)絡(luò)中的威脅活動信息。

9.根據(jù)權(quán)利要求8所述的威脅追捕裝置，其特征在于，所述生成模塊具體用于：

采集網(wǎng)絡(luò)流量的原始數(shù)據(jù)；對所述原始數(shù)據(jù)進(jìn)行內(nèi)容解析以生成所述流量特征元數(shù)據(jù)；對所述流量特征元數(shù)據(jù)進(jìn)行過濾，以便清洗掉與當(dāng)前已知網(wǎng)絡(luò)威脅特征信息匹配的所述流量特征元數(shù)據(jù)；存儲所述流量特征元數(shù)據(jù)。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會員可以免費(fèi)下載。

免登錄下載普通用戶下載升級VIP會員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司，未經(jīng)深信服科技股份有限公司許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201810867019.4/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。