本申請?zhí)峁┝艘环N威脅情報防御方法和系統(tǒng)，該方法包括：獲取威脅情報；基于威脅情報獲取威脅情報管理平臺；將威脅情報管理平臺和安全大數據分析平臺進行碰撞匹配，得到告警信息；對告警信息進行正常掃描任務篩選處理，得到威脅告警信息；將威脅告警信息和動態(tài)資產庫進行關聯(lián)分析，定位到威脅告警信息對應的威脅源；對威脅告警信息和威脅源進行封堵。本申請可以有效地保證網絡安全。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種威脅情報防御方法和系統(tǒng)。

背景技術

隨著科技的發(fā)展，計算機網絡也在不斷的普及。由于計算機網絡具有開放性、互聯(lián)性和多樣的連接方式，網絡用戶經常面臨著網絡黑客的網絡攻擊，因此面對侵襲網絡的種種威脅，保證網絡安全是至關重要的。

在保證網絡安全方面，現有技術一般通過部署防火墻、入侵檢測系統(tǒng)等安全產品，進行諸如攻擊行為感知、日志收集與分析和安全通報等安全防御手段。這些安全產品通過將待檢測的網絡安全事件和云端數據進行對比，若發(fā)現威脅情報，則進行威脅告警提醒用戶，并對威脅情報進行攔截，以保證網絡安全。

然而本申請的發(fā)明人發(fā)現，網絡攻擊方式會不斷變化導致對應的威脅情報是具有時效性的，因此現有的安全產品相對具有滯后性，對網絡安全事件的處理效果較差。同時對于一些系統(tǒng)正常的掃描任務會判定為攻擊行為，導致威脅告警的數量大，誤報率較高，從而無法快速定位到威脅源，是的安全防護的響應時間較長。即現有技術存在安全防護效果低的缺點。

發(fā)明內容

本申請?zhí)峁┝艘环N威脅情報防御方法和系統(tǒng)，以解決現有技術保證網絡安全時防護效果低的問題。

為了解決上述技術問題，本申請實施例公開了如下技術方案：

第一方面，本申請?zhí)峁┝艘环N威脅情報防御方法，該方法包括：

獲取威脅情報；

基于所述威脅情報獲取威脅情報管理平臺；

將所述威脅情報管理平臺和安全大數據分析平臺進行碰撞匹配，得到告警信息；

對所述告警信息進行正常掃描任務篩選處理，得到威脅告警信息；

將所述威脅告警信息和動態(tài)資產庫進行關聯(lián)分析，定位到所述威脅告警信息對應的威脅源；

對所述威脅告警信息和所述威脅源進行封堵。

可選的，所述威脅情報包括：開源威脅情報、第三方商業(yè)情報和內部自產私有情報；

所述威脅情報的獲取方法包括：Scripts軟件獲取、爬蟲和API接口調用。

可選的，所述基于所述威脅情報獲取威脅情報管理平臺，包括：

將所述威脅情報進行數據存儲；

根據所述威脅情報確定威脅信息關鍵要素，所述威脅信息關鍵要素包括：可觀測數據、攻擊指標、安全事件、攻擊活動、威脅主體、攻擊目標、攻擊方法和應對措施；

根據所述威脅信息關鍵要素構建威脅情報庫；

根據所述威脅情報庫構建威脅情報管理平臺。

可選的，所述將所述威脅情報管理平臺和安全大數據分析平臺進行碰撞匹配，包括：

基于安全大數據分析平臺獲取各類網絡信息；

基于所述威脅情報庫和各類網絡信息構建威脅情報演化應用場景，所述威脅情報演化應用場景包括：惡意域名的自動識別、安全告警的有效識別、敏感信息的泄露檢測、網絡流量檢測、內部威脅情報的利用和辦公電腦訪問惡意IP自別識別；

根據所述威脅情報演化應用場景獲取告警信息。