[发明专利]一种威胁情报在银行中的应用方法及其系统

权利要求书

1.一种威胁情报在银行中的应用方法，其特征在于，包括如下步骤：

步骤1，获取威胁情报数据；

步骤2，时间周期开始时，将从访问数据流多环节收集到的告警日志逐一与所述威胁情报数据进行比对，获取比对结果；

步骤3，为每个环节建立赋值计算中间表，并根据比对结果在所述赋值计算中间表中对所述威胁情报数据进行加权，以获取各环节的加权值；

步骤4，建立威胁情报评价表，且在所述威胁情报评价表与各环节的赋值计算中间表之间建立索引；

步骤5，时间周期结束时，在所述威胁情报评价表中将各环节的加权值进行运算，以获取信誉值；

步骤6，根据所述信誉值的高低，判断所述威胁情报数据的可靠性。

2.根据权利要求1所述的威胁情报在银行中的应用方法，其特征在于，所述访问数据流多环节包括：互联网DMZ、核心生产区和应用服务器侧，则所述步骤2具体包括：

在互联网DMZ进行初次对比，如果互联网DMZ的告警日志中源IP信息命中威胁情报数据中的攻击源IP信息，则对命中的威胁情报数据进行FirstA加权，反之不进行操作；

在核心生产区进行二次比对，如果核心生产区的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息，则对命中的威胁情报数据进行SecondA加权；

如果核心生产区的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息，则对命中的威胁情报数据进行SecondB加权；

如果核心生产区的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息，则对命中的威胁情报数据进行SecondC加权；

如果核心生产区的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息，则不进行操作；

在应用服务器侧进行三次比对，如果应用服务器侧的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息，则对命中的威胁情报数据进行ThirdA加权；

如果应用服务器侧的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息，则对命中的威胁情报数据进行ThirdB加权；

如果应用服务器侧的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息，则对命中的威胁情报数据进行ThirdC加权；

如果应用服务器侧的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息，则不进行操作。

3.根据权利要求2所述的威胁情报在银行中的应用方法，其特征在于，所述步骤2还包括特殊攻击类型比对，如果应用服务器侧的告警日志中包含特殊攻击类型，所述特殊攻击类型中的源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息，则比对防火墙阻断日志；

如果所述特殊攻击类型中的告警日志与所述防火墙阻断日志相匹配，则对命中的威胁情报数据进行FourthA加权，反之，不进行任何操作。

4.根据权利要求2所述的威胁情报在银行中的应用方法，其特征在于，在一轮时间周期内，如果所述威胁情报数据在同一环节被多次命中，则在所述赋值计算中间表中的加权值选用最大值。

5.根据权利要求1所述的威胁情报在银行中的应用方法，其特征在于，所述步骤3中信誉值的计算公式为：

信誉值＝初始化赋值*(1+(K*(加权项维度指标1^加权项权重1+权项维度指标2^加权项权重2+…+加权项维度指标N^加权项权重N)/100))；

加权值＝加权项维度指标^加权项权重；

其中初始化赋值为60，K值为资产权重，按照标准化评级L1—L5级别系统的K值分别为[10、20、30、40、50]。