本申请涉及网络安全监测,特别涉及一种网络威胁数据处理方法、装置及存储介质。
背景技术:
1、随着互联网的发展,网络威胁形式的多样化和复杂化,使得新威胁不仅传播范围更广,影响范围更大,攻击面也越来越多。在威胁攻击不断升级的背景下,威胁监测感知在网络安全威胁分析中的作用日渐凸显。传统技术的威胁监测系统可对各类终端和流量进行实时监控与分析,结合应用动态沙盒检测、威胁情报等多种威胁监测识别方法,可发现流量中存在的可疑行为与安全风险,精准检测失陷(被控)主机,追溯攻击链,定位攻击阶段,防止攻击者进一步破坏系统或窃取数据。
2、但是,传统的威胁监测系统仅通过搜集已有的数据进行被动ioc(indicatorsofcompromise,妥协指标)监测,该方式对已有的威胁攻击时能取得较好的效果,但缺乏感知的主动性,对未知威胁检测难度大。而且,基于流量实时监控的数据,进行黑名单过滤的方式进行匹配告警,然后或人工或自动的阻断该通信,而对于不在黑名单的域名,则不进行干涉,导致对正在发生但未被披露的威胁攻击无法进行有效的防守。
技术实现思路
1、有鉴于现有技术中存在的上述至少一个技术问题而提出了本申请。根据本申请一方面,提供了一种网络威胁数据处理方法,所述方法包括:
2、接收终端发送的访问请求,其中所述访问请求中包含目标域名;
3、确定所述目标域名是否为网络威胁数据;
4、当所述目标域名为网络威胁数据时,对所述访问请求进行预警处理。
5、在一些实施例中,接收终端发送的请求,包括:
6、对所述访问请求解析处理,以从所述访问请求中解析出所述访问请求中带有的所述目标域名。
7、在一些实施例中,所述方法还包括:
8、获取所述目标域名对应的whois数据;所述whois数据包括以下至少一项:域名注册者、域名对应的ip地址、域名注册时间、域名到期时间,域名更新时间、域名服务器和注册者邮箱。
9、在一些实施例中,确定所述目标域名是否为网络威胁数据,包括:
10、在所述域名注册者、所述注册者邮箱和/或所述域名服务器均在黑名单中的情况下,确定所述目标域名为网络威胁数据。
11、在一些实施例中,确定所述目标域名是否为网络威胁数据,包括:
12、在所述域名注册时间、所述域名到期时间和/或所述域名更新时间均低于预设时间阈值的情况下,确定所述目标域名为网络威胁数据。
13、在一些实施例中,确定所述目标域名是否为网络威胁数据,包括:
14、在所述目标域名无法映射到对应的ip地址的情况下,确定所述目标域名为网络威胁数据。
15、在一些实施例中,当所述目标域名为网络威胁数据时,对所述访问请求进行预警处理,包括:
16、当所述目标域名为网络威胁数据时,发送告警提示信息和/或阻断通信。
17、在一些实施例中,所述方法还包括:
18、当确定所述目标域名不是网络威胁数据的情况下,对所述访问请求进行应答处理。
19、本申请实施例另一方面提供了一种网络威胁数据处理装置,所述装置包括:
20、存储器和处理器,所述存储器上存储有由所述处理器运行的计算机程序,所述计算机程序在被所述处理器运行时,使得所述处理器执行如上所述的网络威胁数据处理方法。
21、本申请实施例又一方面提供了一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序在被处理器运行时使得所述处理器执行如上所述的网络威胁数据处理方法。
22、本申请实施例的网络威胁数据处理方法,通过确定访问请求的目标域名是否为网络威胁数据时,然后对所述请求进行预警处理,降低了对黑名单更新的依靠程度,能够快速发现正在进行被攻击的状况,而且最大程度避免了对高频访问的安全域名的误报,加快防守速度,解决安全人员主动防守的需求,解决误报和漏报的问题。
1.一种网络威胁数据处理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,接收终端发送的请求,包括:
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,确定所述目标域名是否为网络威胁数据,包括:
5.根据权利要求3所述的方法,其特征在于,确定所述目标域名是否为网络威胁数据,包括:
6.根据权利要求3所述的方法,其特征在于,确定所述目标域名是否为网络威胁数据,包括:
7.根据权利要求1所述的方法,其特征在于,当所述目标域名为网络威胁数据时,对所述访问请求进行预警处理,包括:
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
9.一种网络威胁数据处理装置,其特征在于,所述装置包括:
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序在被处理器运行时使得所述处理器执行如权利要求1至8任一项所述的网络威胁数据处理方法。