[发明专利]威胁预警方法和系统

权利要求书

1.一种威胁预警方法，其特征在于，包括：

通过部署在网络出口处的装置采集网络通信数据；

采用大数据处理架构，集合机器学习、文件虚拟执行检测技术、攻击行为建模分析，并结合“威胁情报大数据平台”，识别已知/未知高级威胁，并对威胁进行追踪和定位；其中，所述威胁情报大数据平台为对已知威胁进行汇总的平台；

当识别出已知/未知高级威胁时，进行告警。

2.根据权利要求1所述的威胁预警方法，其特征在于，包括：所述采集网络通信数据包括：

采用修改网卡驱动程序实现零拷贝的报文捕获，以完成通信数据的采集。

3.根据权利要求1所述的威胁预警方法，其特征在于，还包括：

采用文件静态检测技术和动态检测技术相结合的方式，实现对“文档类恶意代码”和“0day及Nday漏洞利用攻击行为”的检测，以预警APT攻击入侵行为。

4.根据权利要求1所述的威胁预警方法，其特征在于，还包括：

基于“基于全球威胁情报检测引擎”、“恶意代码流量特征检测引擎”、“木马通信行为分析引擎”、“隐蔽信道检测引擎”及“敏感信息泄露检测引擎”，检测网络中被攻陷的主机上的恶意软件活动行为。

5.根据权利要求1所述的威胁预警方法，其特征在于，还包括：

对整体网络威胁态势进行监控，对安全事件进行关联分析，发现网络中的异常行为；基于时间线和killchain两种方式进行关联分析、预警。

6.根据权利要求1所述的威胁预警方法，其特征在于，还包括：

为分析师提供交互式溯源的可视化界面。

7.根据权利要求6所述的威胁预警方法，其特征在于，还包括：

所述交互式溯源的可视化界面为在自动化溯源分析的结果基础上，进行各种条件的筛选以及与威胁情报的关联查询的界面。

8.根据权利要求6所述的威胁预警方法，其特征在于，还包括：

所述交互式溯源的可视化界面为提供对原始安全事件的自定义条件搜索，搜索条件支持攻击IP、受害者IP、攻击类型、攻击时间条件的界面。

9.一种威胁预警系统，其特征在于，包括：

采集模块，用于通过部署在网络出口处的装置采集网络通信数据；

识别模块，采用大数据处理架构，集合机器学习、文件虚拟执行检测技术、攻击行为建模分析，并结合“威胁情报大数据平台”，识别已知/未知高级威胁，并对威胁进行追踪和定位；其中，所述威胁情报大数据平台为对已知威胁进行汇总的平台；

告警模块，用于当识别出已知/未知高级威胁时，进行告警。