[發明專利]一種威脅情報防御方法和系統在審
| 申請號: | 202010560143.3 | 申請日: | 2020-06-18 |
| 公開(公告)號: | CN111800395A | 公開(公告)日: | 2020-10-20 |
| 發明(設計)人: | 蘇永東;楊本富;周靖;胡健;肖鵬;顏穎;王海林;唐旭玥;丁林盛;陸宗奎;單巧梅;王俊 | 申請(專利權)人: | 云南電網有限責任公司信息中心;云南云電同方科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京弘權知識產權代理事務所(普通合伙) 11363 | 代理人: | 逯長明;許偉群 |
| 地址: | 650217 云南省昆明市*** | 國省代碼: | 云南;53 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 威脅 情報 防御 方法 系統 | ||
1.一種威脅情報防御方法,其特征在于,所述方法包括:
獲取威脅情報;
基于所述威脅情報獲取威脅情報管理平臺;
將所述威脅情報管理平臺和安全大數據分析平臺進行碰撞匹配,得到告警信息;
對所述告警信息進行正常掃描任務篩選處理,得到威脅告警信息;
將所述威脅告警信息和動態資產庫進行關聯分析,定位到所述威脅告警信息對應的威脅源;
對所述威脅告警信息和所述威脅源進行封堵。
2.根據權利要求1所述的防御方法,其特征在于,所述威脅情報包括:開源威脅情報、第三方商業情報和內部自產私有情報;
所述威脅情報的獲取方法包括:Scripts軟件獲取、爬蟲和API接口調用。
3.根據權利要求1所述的防御方法,其特征在于,所述基于所述威脅情報獲取威脅情報管理平臺,包括:
將所述威脅情報進行數據存儲;
根據所述威脅情報確定威脅信息關鍵要素,所述威脅信息關鍵要素包括:可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法和應對措施;
根據所述威脅信息關鍵要素構建威脅情報庫;
根據所述威脅情報庫構建威脅情報管理平臺。
4.根據權利要求3所述的防御方法,其特征在于,所述將所述威脅情報管理平臺和安全大數據分析平臺進行碰撞匹配,包括:
基于安全大數據分析平臺獲取各類網絡信息;
基于所述威脅情報庫和各類網絡信息構建威脅情報演化應用場景,所述威脅情報演化應用場景包括:惡意域名的自動識別、安全告警的有效識別、敏感信息的泄露檢測、網絡流量檢測、內部威脅情報的利用和辦公電腦訪問惡意IP自別識別;
根據所述威脅情報演化應用場景獲取告警信息。
5.根據權利要求1所述的防御方法,其特征在于,所述安全大數據分析平臺包括:
平臺規則檢測引擎、機器學習引擎、威脅情報分析引擎、圖形計算引擎和用戶行為分析引擎。
6.根據權利要求1所述的防御方法,其特征在于,所述對所述告警信息進行正常掃描任務篩選處理,包括:
基于掃描備案管理平臺獲取正常掃描任務備案信息;
將所述正常掃描任務備案信息從所述告警信息中剔除,得到威脅告警信息。
7.根據權利要求6所述的防御方法,其特征在于,所述基于掃描備案管理平臺獲取正常掃描任務備案信息,包括:
基于掃描備案管理平臺對備案信息進行審核處理,所述審核處理包括:內部自查、入網測試、安全加固、邊界測試、滲透測試、web掃描和等保測評;
對審核處理后合格的備案信息進行掃描任務處理,得到正常掃描任務備案信息;
其中,備案信息包括:審核狀態、信息所屬單位、測試周期、源IP、源IP設備類型、目的IP、測試人員、測試人員聯系方式、測試人員所屬單位、測試負責人、測試負責人聯系方式、測試目的、測試范圍、是否簽訂保密協議及第三方人員背景調查、備注、備案錄入時間和審核人。
8.根據權利要求1所述的防御方法,其特征在于,所述動態資產庫包括:IT資產庫、終端準入資產和IP區域;
所述將所述威脅告警信息和動態資產庫進行關聯分析,包括:
將威脅源IP與所述終端準入資產進行關聯,若可以關聯上,則顯示出威脅源IP地址、MAC地址、組織機構和用戶信息;若未能關聯上,則:
將威脅源IP與所述IT資產進行關聯;若可以關聯上,則顯示出威脅源IP地址、業務系統、部署位置、系統負責人和聯系電話;若未能關聯上,則:
將威脅源IP與所述IP區域進行關聯,最終顯示出威脅源IP的IP網段和組織機構信息。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于云南電網有限責任公司信息中心;云南云電同方科技有限公司,未經云南電網有限責任公司信息中心;云南云電同方科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010560143.3/1.html,轉載請聲明來源鉆瓜專利網。
