1.一種基于威脅情報和ATTCK的攻擊溯源方法，其特征在于，利用標簽模塊，威脅情報庫模塊，數據預處理模塊和ATTCK處理模塊來實現；威脅情報庫模塊包括外部威脅采集子模塊、內部威脅采集子模塊、內部威脅聚合分析子模塊和內部威脅情報庫；ATTCK處理模塊包括ATTCK框架解析子模塊、數據處理子模塊和反饋子模塊；

本方法的具體步驟包括：

基于應用場景，先建立標簽體系與處理規則的映射關系，預先設定各個攻擊行為屬性的權重系數，利用標簽體系對應數據特征并標識日志文件中的數據；針對威脅性質，通過攻擊行為暴露出的IP、MD5標識碼、HASH標識碼和域名特征，對日志文件中的數據進行標識；

搜集內部安全威脅，結合外部各平臺共享的威脅情報源，建立并完善內部威脅情報庫；

利用外部威脅采集子模塊，建立開源威脅情報收集查詢框架，自動從各種公開資源中收集威脅情報，利用網絡爬蟲技術和API接口，簡化外部收集流程，實現對威脅情報的快速收集整理，將采集到的數據存入內部威脅情報庫，采用關系型數據庫進行存儲；

利用內部威脅采集子模塊，進行數據源收集；

利用內部威脅聚合分析子模塊，發現整個環境中的特定趨勢和態勢場景下，與某種威脅相關的上下文、場景指標、攻擊指標和攻擊影響，并在應對威脅中收集和分析所建立的安全事件信息，最終將分析結果按威脅情報格式標準存入內部威脅情報庫；

在內部威脅情報庫建立完成后，利用數據預處理模塊對需要溯源檢測的日志文件進行預處理，對該日志文件進行初步過濾，對經過預處理后的日志文件，通過IP、MD5標識碼、HASH標識碼、域名和攻擊特征多維度信息從日志文件中篩選出具有威脅隱患的日志信息，同時，利用標簽模塊，根據預設的標簽體系與處理規則的映射關系，在數據預處理過程中對日志文件中的數據打上對應的威脅權重標簽，通過正則匹配標簽體系規則，對攻擊行為暴露出的對應特征進行標記；

將經過數據預處理模塊后的數據，送入ATTCK處理模塊；利用ATTCK處理模塊，從攻擊者角度，結合高級滲透測試攻擊矩陣通過對攻擊者的戰術、技術及步驟分析，識別出需要優先處理的技術點；

ATTCK處理模塊中的ATTCK框架解析子模塊通過ATTCK解析，并結合本地網絡拓撲環境構建攻擊者路徑模型；

利用ATTCK處理模塊中的數據處理子模塊，基于解析子模塊所生成的模型，將數據預處理模塊所輸出的數據作為新的數據源載入到數據處理子模塊中，根據標簽信息對日志數據進行有優先級的梯度化處理；利用數據處理子模塊繼續對攻擊行為進行信息補充；

利用ATTCK處理模塊中的反饋子模塊進行如下操作：首先，對通過數據處理子模塊完善的攻擊路徑信息進行收集和整理后，以規定的格式寫入到威脅情報庫模塊的內部威脅情報庫，其次，生成以攻擊者角度的上下文聯系緊密的攻擊溯源可視化報告；

所述的利用內部威脅采集子模塊，進行數據源收集，

其包括防火墻、IDS和IPS在內的傳統安全設備中監測到的非法接入、未授權訪問、身份認證和非常規操作，還包括利用沙盒運行模式、蜜罐技術、DPI技術、DFI技術和惡意代碼檢測技術進行數據源收集；

ATTCK框架解析子模塊包含了攻擊者所可能使用的全部方法和通過的途徑信息，基于此模擬并建立攻擊者攻擊路徑模型；

利用數據處理子模塊繼續對攻擊行為進行信息補充，具體進行如下操作：首先，針對較為完整的已挖掘出的攻擊行為，在傳統威脅情報基礎上重塑攻擊者路徑，并根據遞進關系，豐富攻擊行為的上下文關系；其次，針對仍不完整的情報信息和未挖掘出的攻擊行為，將得到的情報信息依據解析子模塊所生成的模型進行填空操作，尋找攻擊信息所缺失的環節，并根據缺失環節，結合情報信息缺失環節的攻擊特點、攻擊特征和攻擊區域信息，再一次進行日志信息搜集和過濾。