[发明专利]一种面向攻击溯源的威胁情报分析系统

权利要求书

1.一种面向攻击溯源的威胁情报分析系统，其特征在于，包括内部威胁情报收集模块、外部威胁情报收集模块和攻击溯源分析模块；

所述内部威胁情报收集模块包括安全检测模块和安全分析模块；

所述外部威胁情报收集模块包括互联网公开情报源、合作交换情报源和商业共享情报源；

所述攻击溯源分析模块包括攻击者溯源和攻击主机溯源；

通过所述内部威胁情报收集模块和外部威胁情报收集模块收集得到的威胁情报上传到攻击溯源分析模块，所述攻击溯源分析模块对威胁情报进行攻击者溯源和攻击主机溯源，将得到的结果反馈给安全检测模块和安全分析模块；同时结果也会和外部合作企业进行威胁情报共享交换。

2.根据权利要求1所述的面向攻击溯源的威胁情报分析系统，其特征在于，所述安全检测模块中的情报来源包括：防火墙、入侵检测系统、漏洞扫描系统、防病毒系统和终端安全管理系统；

当数据流通过防火墙时，防火墙所记录下的日志信息；入侵检测系统对异常网络行为进行记录，并产生的日志信息；漏洞扫描系统基于漏洞数据库，通过扫描对企业内部计算机系统的安全脆弱性进行检测，从而找出的可利用漏洞信息；防病毒系统对网络内部的可疑文件进行隔离产生的信息；终端安全管理系统收集的安全管理事件操作信息。

3.根据权利要求1所述的面向攻击溯源的威胁情报分析系统，其特征在于，所述安全分析模块中的情报来源是：安全信息与事件管理SIEM、安全运营中心和安全管理平台；

安全信息与事件管理SIEM从企业安全控件、主机操作系统收集得到的安全日志数据；安全运营中心针对企业海量事件和漏洞信息进行收集过滤、管理和分析得到的情报；安全管理平台以安全风险管理为指导的面向信息资产的安全运行监测、风险度量和安全运维得到的信息。

4.根据权利要求1所述的面向攻击溯源的威胁情报分析系统，其特征在于，

所述互联网公开情报源中的情报来源是：安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉；

所述合作交换情报源中的情报来源是：来自建立合作关系的机构，通过在互利互惠基础上实现的共享合作机制进行保障的合作交换情报；

所述商业共享情报源中的情报来源是：完全通过商业付费行为得到的商业购买情报。

5.根据权利要求1所述的面向攻击溯源的威胁情报分析系统，其特征在于，所述攻击者溯源具体采用的方法如下：

(1-1)攻击代码分析：基于流量分析、逆向分析攻击代码，收集攻击者使用的控制服务器C&C地址、攻击者的目的、攻击者使用的漏洞、攻击代码的传播方式、主机驻留的手段；

(1-2)攻击模式分析：基于统计学习的方法分析攻击时序模式、攻击频率模式、攻击特征模式、攻击手法模式，形成攻击模式情报；

(1-3)社会网络分析：利用社工库，结合域名与注册邮箱的关联关系，再关联常见社交网络用户信息进行关联，形成攻击者画像证据链，从而寻找到背后的攻击者的真正身份。

6.根据权利要求1所述的面向攻击溯源的威胁情报分析系统，其特征在于，所述攻击主机溯源具体采用的方法如下：

(2-1)僵尸网络主机判定，一种是通过外部威胁情报共享分析判定，另一种是通过内部威胁情报产生的情报判定；

(2-2)网络跳板主机判定，通过外部威胁情报共享与内部主动对攻击主机反向渗透扫描联合判定；

(2-3)攻击主机的IP地址是否是真实IP地址，是否通过IP代理，一种是通过外部威胁情报共享分析判定，另一种是通过爬取网络空间共享出来的代理IP地址进行判定；

(2-4)攻击主机网络隐蔽信道判定，通过收集暗网地址进行判定。