一种基于威胁情报的恶意流量报文截取与留存方法

本发明公开了一种基于威胁情报的恶意流量报文截取与留存方法，包括如下步骤：S1、导入威胁情报数据集，生成情报标签字典并缓存；S2、通过流量镜像设备或采集探针接收网络数据包，基于五元组聚合为流量聚合对象；S3、基于协议状态机建模记录状态迁移序列；S4、利用情报标签字典检测状态迁移序列，识别潜在恶意流量；S5、提取关键节点对应的数据报文，形成提取报文集合；S6、按情报标签分组并用改进AES对称加密算法加密，生成加密报文文件；S7、构建包含五元组、捕获时间和情报标签的索引数据表并关联加密报文文件；S8、将加密报文文件与索引数据表存储至分离式存储系统，并定期更新索引数据表。本发明适用于威胁驱动的加密报文处理场景。