[发明专利]一种基于动态攻击面的威胁信息的传递与共享方法

说明书

本发明公开了一种基于动态攻击面的威胁信息的传递与共享方法，包括面向时延需求的威胁数据高速传输协议，启发式病毒传播遏制及降速方法。在面向时延需求的威胁数据高速传输协议当中，网络节点计算数据流的风险级别，并根据结果，决定相关情报是否优先进入报文处理队列；在启发式病毒传播遏制及降速方法当中，区域中心获得高风险数据流的传播模型后，识别已感染和易感染节点，限制其连通度及带宽，同时筛选优选节点监控该数据流的走势并上报区域中心，区域中心不断更新相关参数和模型，并调整决策。本发明提高了高风险数据流的上报速，同时，针对性的对当前和预测时间窗口内感染节点进行带宽资源和端口资源限制，以遏制病毒传播速度。

技术领域

本发明涉及网胁信息发送，传递和共享相关方面领域，尤其是基于动态攻击面的网络威胁信息的传递和共享方法。

背景技术

网络威胁态势感知技术，是一种基于网络测量技术与行为描述，来构建多角度，更细粒度的网络威胁信息以及威胁行为描述的技术。

随着信息技术，互联网技术以及计算机技术的不断发展，计算机网络成为了我们日常生活以及研究的重要部分。然而近几年来层出不穷的安全问题，也让许多单位与个人蒙受损失。针对网络安全问题，现在虽然有防火墙，入侵检测，蜜罐等技术进行防御，然而这些技术普遍存在精度低，响应慢，适用场景单一等缺点。而网络威胁态势感知技术，通过很好的结合上述防御技术，并结合主动被动测量技术，更细粒度的获取异常行为表现，并更好的描述异常攻击行为特征。

网络威胁态势感知平台一般由多个模块共同协作完成，包括但不局限于数据流量检测，威胁行为分析，告警事件处理等等。

数据流量检监测一般包括对数据流量的预处理，如重要信息提取，相同特征的归类等等。如有必要，将进行流量数据的关联分析，流量数据关联分析是通过对已有的关联匹配规则，分析得出具有相似特征或者行为的数据流将被归为同一类，随后通过分析相同或者不同数据流特征，来更好的描述网络攻击行为特征。

服务数据监测，则主要通过对网络节点硬件设备的相关指标数据进行监测，例如CPU，磁盘，内存的占用情况，以及全网段的链路带宽，端口带宽情况。以便在威胁信息到达后，更好的分配资源用于威胁信息的监控，并更好地限制威胁信息的传输。

警报信息处理，主要是在收到多个警报信息后，实现对虚警进行辨识，同时根据实际需求，进行优先级排序，在最后解除警报后，删除对应信息的功能。

威胁信息分析，主要是根据获取到的异常流量信息，分析其具体对应到哪种威胁行为，并根据需要评估其威胁程度，将结果输出到展示界面，同时也便于更好的下发防御决策。

发明内容

发明目的：针对现有技术的不足，本发明提供一种基于动态攻击面的威胁信息传递与共享方法，其特征在于，利用节点内核态直接加速数据的处理以及传输，以此来实现提高相关分组内容的传递优先级，减少信息传输时延，同时区域中心节点可以尽快获得含有较大比例威胁的数据流的相关信息。接着，根据当前的全局网络拓扑，通过启发式方法，针对性的对当前和预测时间窗口内感染节点进行带宽资源和端口资源限制，以遏制病毒传播速度。

技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种基于动态攻击面的威胁信息的传递与共享方法，该方法包括如下步骤：

(1)所述的面向时延需求的威胁数据高速传输协议内容为：

(1.1)网络节点通过通用的流量采集器，接收网络数据流stream，读取接收到的数据分组packet的五元组，源IP，目的IP，源端口，目的端口，协议；根据通用脆弱性评分系统计算分组的风险级别packet.risk，与设置的阈值r0比较，若packet.risk＝r0，则该分组有较大可能含有蠕虫病毒，视为高风险分组；若packet.riskr0，则视为低风险分组，计算高风险数据分组占数据流分组总数的比例prob；