摘要
本发明公开了一种基于威胁情报的恶意流量报文截取与留存方法,包括如下步骤:S1、导入威胁情报数据集,生成情报标签字典并缓存;S2、通过流量镜像设备或采集探针接收网络数据包,基于五元组聚合为流量聚合对象;S3、基于协议状态机建模记录状态迁移序列;S4、利用情报标签字典检测状态迁移序列,识别潜在恶意流量;S5、提取关键节点对应的数据报文,形成提取报文集合;S6、按情报标签分组并用改进AES对称加密算法加密,生成加密报文文件;S7、构建包含五元组、捕获时间和情报标签的索引数据表并关联加密报文文件;S8、将加密报文文件与索引数据表存储至分离式存储系统,并定期更新索引数据表。本发明适用于威胁驱动的加密报文处理场景。
