摘要
本发明涉及一种基于数据驱动的未知网络威胁检测系统、方法。主要包括:数据收集、数据预处理、内部数据威胁自检、外部情报威胁检测和未知威胁决策模块;数据收集模块获取网络系统中的原始业务、安全语义、系统配置和威胁情报数据;数据预处理模块对收集的数据进行结构化处理;内部数据威胁自检模块基于攻击图分析潜在威胁;外部情报威胁检测模块基于溯源图和零样本学习技术分析潜在威胁;未知威胁决策模块根据内外视角的分析结果,以预测频次、危险系数等为依据呈现可能存在的未知网络威胁。本发明公开的未知网络威胁检测系统,结合本地数据和互联网中的威胁情报、安全知识等,多方面检测可能存在的未知网络威胁,有效提升网络系统的安全性。
