[发明专利]一种威胁情报在银行中的应用方法及其系统

说明书

本发明提出一种威胁情报在银行中的应用方法及其系统，该方法包括如下步骤：获取威胁情报数据；时间周期开始时，将从访问数据流多环节收集到的告警日志逐一与威胁情报数据进行比对，获取比对结果；为每个环节建立赋值计算中间表，并根据比对结果在赋值计算中间表中对威胁情报数据进行加权，以获取各环节的加权值；建立威胁情报评价表，且在威胁情报评价表与各环节的赋值计算中间表之间建立索引；时间周期结束时，在威胁情报评价表中将各环节的加权值进行运算，以获取信誉值；根据信誉值的高低，判断威胁情报数据的可靠性。本发明利用银行目前安全产品，将威胁情报信息与告警信息进行比对，验证威胁情报信息的可靠性，提升威胁情报落地使用价值。

技术领域

本发明涉及信息安全领域，具体而言，涉及一种威胁情报在银行中的应用方法及其系统。

背景技术

随着信息安全技术的持续发展，威胁情报作为一个新兴概念，被越来越多的信息安全从业者所关注。根据Gartner公司对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持，旨在为面临威胁的资产主体提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。

在这个过程中，威胁情报作为一种数据型知识，其实是不能单独存在带来价值的，只有跟传统的一些安全防护方式一起，才能对整个企业的安全做到全方位的保障。目前市面上威胁情报的落地使用方式多种多样，如与企业已有安全架构、产品相结合，如应用到企业内部的事件应急响应中等等。然而，在威胁情报的落地使用过程中，往往是被动的接受威胁情报，缺乏对安全厂商提供的威胁情报的可靠性评价机制，或者说缺乏针对性场景的威胁情报应用方法。

发明内容

鉴于上述问题，本发明提供了一种威胁情报在银行中的应用方法及其系统，对于高信誉值的可靠性较高威胁情报进行防火墙防护设备策略补充，提升威胁情报落地使用价值。

为解决上述技术问题，本发明采用的技术方案是：一种威胁情报在银行中的应用方法，包括如下步骤：步骤1，获取威胁情报数据；步骤2，时间周期开始时，将从访问数据流多环节收集到的告警日志逐一与所述威胁情报数据进行比对，获取比对结果；步骤3，为每个环节建立赋值计算中间表，并根据比对结果在所述赋值计算中间表中对所述威胁情报数据进行加权，以获取各环节的加权值；步骤4，建立威胁情报评价表，且在所述威胁情报评价表与各环节的赋值计算中间表之间建立索引；步骤5，时间周期结束时，在所述威胁情报评价表中将各环节的加权值进行运算，以获取信誉值；步骤6，根据所述信誉值的高低，判断所述威胁情报数据的可靠性。

作为优选方案，所述访问数据流多环节包括：互联网DMZ、核心生产区和应用服务器侧，则所述步骤2具体包括：

在互联网DMZ进行初次对比，如果互联网DMZ的告警日志中源IP信息命中威胁情报数据中的攻击源IP信息，则对命中的威胁情报数据进行FirstA加权，反之不进行操作；

在核心生产区进行二次比对，如果核心生产区的告警日志中源IP和攻击特征信息都能够命中威胁情报数据中的攻击源IP和攻击特征信息，则对命中的威胁情报数据进行SecondA加权；如果核心生产区的告警日志中仅源IP信息命中威胁情报数据中的攻击源IP信息，则对命中的威胁情报数据进行SecondB加权；如果核心生产区的告警日志中仅攻击特征信息命中威胁情报数据中的攻击特征信息，则对命中的威胁情报数据进行SecondC加权；如果核心生产区的告警日志中源IP和攻击特征信息都不能命中威胁情报数据中的攻击源IP和攻击特征信息，则不进行操作；