CN114124516A - 态势感知预测方法、装置及系统 - Google Patents

Abstract

本发明提供了一种态势感知预测方法、装置及系统，涉及网络安全技术领域。所述处理方法包括步骤：采集网络节点的日志信息，以及保护网络节点的网络安全设备的安全日志信息；提取网络节点的日志信息，以及安全日志信息中的属性类型，分析得到网络节点所属网络环境中的威胁对象和受威胁对象；追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。本发明通过分析和预测得到威胁对象、受威胁对象和待防御对象，用受威胁对象调整待防御对象，保障态势感知的防御质量，使网络得以安全稳定的运行。

Description

态势感知预测方法、装置及系统

技术领域

本发明涉及网络安全技术领域，尤其涉及态势感知预测方法。

背景技术

在现有技术中，为确保网络安全以及对潜在网络威胁的感知能力，各企业多会选用态势感知系统来提高网络安全稳定运行的能力。

所述态势感知系统具有极好的分析和预测能力，能够通过整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测以保障网络安全的稳定运行。

在态势感知系统进行分析和预测的过程中，会得到威胁对象信息、受威胁对象信息和待防御对象信息，其中，待防御对象是指在网络环境存在异常情形时应当进行防御的对象。

但是，在分析海量的数据时，态势感知系统可以通过数据预处理和提取相应数据的属性类型来得到最为准确的威胁对象信息和受威胁对象信息，而待防御对象信息要通过预测得到，在预测的过程中，由于不清楚具体需要防御的对象，故需要对海量的数据进行全面的分析以进一步预测得到待防御对象。

在这一过程中，由于涉及处理的数据信息更为全面，同时，为了更全面的把握待防御对象信息，所以，在预测阶段中，尽可能不依据提取的属性类型对数据进行分析，以避免遗漏待防御对象。

综上，前述操作能够导致态势感知系统预测得到的待防御对象的结果会出现报错情形。为应对此类事件，态势感知系统要在判断待防御对象是否准确的情况下，针对错误的待防御对象进行调整，以提高待防御对象预测的准确度，保障网络环境的安全稳定运行。

为此，提供一种态势感知预测方法、装置及系统，以解决态势感知系统预测待防御对象确为准确的问题，通过分析和预测得到威胁对象、受威胁对象和待防御对象，以受威胁对象为依据调整待防御对象，保障态势感知的防御质量，使网络得以安全稳定的运行，是当前亟需解决的技术问题。

发明内容

本发明的目的在于：克服现有技术的不足，提供一种态势感知预测方法、装置及系统，本发明能够采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

为解决现有的技术问题，本发明提供了如下技术方案：

一种态势感知预测方法，其特征在于，包括步骤，

采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；

基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；

依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；

将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

进一步，依据前述受威胁对象调整待防御对象的步骤为：

获取前述待防御对象的预测路径，对前述预测路径进行拆解，获取路径节点信息和节点顺序信息，所述路径节点的最后一个节点为前述预测的待防御对象；

将前述待防御对象调整为受威胁对象；

基于前述节点顺序信息，以受威胁对象为起点，逆序反向分析在前节点信息，判断在前节点信息中是否存在错误；

判定存在错误时，提取发生错误的节点信息，并对错误原因进行分析；

基于前述错误原因调整对应的预测指标、指标参数和/或指标参数的安全阈值，并将前述调整信息保存至态势感知数据库的防御策略中。

进一步，所述威胁对象与受威胁对象相对应，并作为受威胁对象的防御依据，以实现前述威胁对象和受威胁对象基于态势感知数据库的防御方案进行防御。

进一步，对前述威胁对象和受威胁对象的比较依据前述网络节点受到威胁的时间节点，分别进行比较。

进一步，所述网络安全设备包括防火墙、防毒墙、入侵检测系统、入侵防御系统、统一威胁安全网关和安全隔离网闸。

进一步，所述威胁对象和受威胁对象组成威胁项集，所述威胁项集包括多个按照时间节点逆序排列的威胁项子集，每个所述威胁项子集中包括威胁对象和受威胁对象，所述威胁对象与受威胁对象相对应。

进一步，所述待防御对象组成待防御项集，所述待防御项集中包括有多个按照时间节点逆序排列的待防御项子集。

进一步，所述受威胁对象与所述待防御对象的比较依据前述的时间节点的排列顺序依次进行比较，判定前述受威胁对象与所述待防御对象是否匹配；

判定为是时，依据受威胁对象的防御方案进行态势感知防御；

判定为否时，依据前述受威胁对象调整待防御对象的步骤，调整待防御对象。

一种态势感知预测装置，其特征在于包括结构：

信息采集单元，用以采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；

信息分析单元，用以基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；

信息预测单元，用以依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；

信息匹配单元，用以将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

一种态势感知预测系统，其特征在于包括：

网络节点，用于收发数据；

态势感知系统，定期检测受到威胁的网络节点，将前述网络节点的日志信息进行安全分析；

系统服务器，所述系统服务器连接网络节点和态势感知系统；

所述系统服务器被配置为：采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

基于上述优点和积极效果，本发明的优势在于：采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

进一步，依据前述受威胁对象调整待防御对象的步骤为：获取前述待防御对象的预测路径，对前述预测路径进行拆解，获取路径节点信息和节点顺序信息，所述路径节点的最后一个节点为前述预测的待防御对象；将前述待防御对象调整为受威胁对象；基于前述节点顺序信息，以受威胁对象为起点，逆序反向分析在前节点信息，判断在前节点信息中是否存在错误；判定存在错误时，提取发生错误的节点信息，并对错误原因进行分析；基于前述错误原因调整对应的预测指标、指标参数和/或指标参数的安全阈值，并将前述调整信息保存至态势感知数据库的防御策略中。

附图说明

图1为本发明实施例提供的一个流程图。

图2为本发明实施例提供的另一个流程图。

图3为本发明实施例提供的装置的结构示意图。

图4为本发明实施例提供的系统的结构示意图。

附图标记说明：

装置200，信息采集单元201，信息分析单元202，信息预测单元203，信息匹配单元204；

系统300，网络节点301，态势感知系统302，系统服务器303。

具体实施方式

以下结合附图和具体实施例对本发明公开的一种态势感知预测方法、装置及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

实施例

参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤S100如下：

S101，采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息。

所述网络节点，是指处于网络环境中具有独立网络地址和数据处理功能的终端，所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机，也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点，这些网络节点通过通信线路连接，形成网络拓扑结构。所述通信线路可以是有线通信方式，也可以是无线通信方式。

所述网络节点的日志信息是指网络设备、系统及服务程序等，在运作时产生的事件记录，其中，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息对应的属性类型包括但不限于连接持续的时间，协议类型，目标主机的网络服务类型，连接正常或错误的状态，从源主机到目标主机的数据字节数，从目标主机到源主机的数据字节数，错误分段的数量，加急包的个数。

所述网络安全设备包括但不限制于防火墙、防毒墙、入侵检测系统、入侵防御系统、统一威胁安全网关和安全隔离网闸等，用以保护网络节点在网络环境中安全、稳定运行的设备。

所述防火墙是由软件和硬件设备组成，部署于内网和外网之间、专用网和公共网、局域网和互联网之间，用于保护内部网、专用网或者局域网不受非法用户入侵或者病毒、木马的攻击。

所述防毒墙是从前述防火墙发展而来的一种设备。所述防毒墙像防火墙一样抵御黑客攻击、控制网络访问，还能够有效过滤应用层的网络威胁（如病毒、木马、恶意程序等），并对网络应用和网络访问实现更加精准的控制（如限制用户在上班时间下载影音文件、网络聊天等）。

所述入侵检测系统（Intrusion Detection System，简称IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

所述入侵防御系统(Intrusion Prevention System，简称IPS）是对防病毒软件和防火墙的补充。所述入侵防御系统是一种能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

所述统一威胁安全网关(Unified Threat Management，简称UTM)是集防火墙、VPN、入侵检测系统、入侵防御系统、防毒墙、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击（Anti-DoS）、内容过滤等多种安全技术于一身的网络安全设备，同时，统一威胁安全网关全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络环境提供了全面实时的安全防护，以帮助使用者抵御复杂的安全威胁。

所述安全隔离网闸（GAP）是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。所述安全隔离网闸依托安全隔离技术为网络提供了更高层次的安全防护能力，以增强网络的抗攻击能力，同时有效地防范了信息外泄事件的发生。

所述网络安全设备的安全日志是非常重要的系统记录器，能够将管理员、用户的操作或是网络入侵攻击者的远程恶意操作都通过安全日志来体现出来。

所述网络安全设备的安全日志信息的属性类型包括但不限制于序号、归并数目、事件名称、事件摘要、事件分类、采集类型、等级、网络协议、网络应用协议、源名称、源MAC地址、源地址、源转换IP地址、源端口、源转换端口、目的名称、目的MAC、目的地址、目的转换IP地址、目的端口、目的转换端口、用户名称、程序名称、操作、对象、结果、设备名称、设备地址、设备类型、产生时间、事件接收时刻、采集器IP地址、原始等级、发送流量、接收流量、持续时间、原始类型、请求内容等。

S102，基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象。

所述态势感知系统是指整合防毒墙、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测。

所述分析是指基于态势感知系统的态势感知能力进行数据分析，以得到前述网络节点所属网络环境中的威胁对象和受威胁对象。

所述威胁对象，作为举例而非限制，可以是目标进程启停行为，也可以是内存行为、变更行为等。其中，上述内存行为可以包括：进程注入行为、文件访问行为、以及网络连接行为；上述网络连接行为可以包括：URL访问行为、IP访问、端口访问、以及DNS访问等行为中的至少一种。上述变更行为可以包括：系统变更行为(注册表的创建、删除和修改)、账户变更(账户的创建、账户权限的变更)行为、以及文件变更行为等。

所述受威胁对象也可以是前述目标进程启停行为、内存行为以及变更行为中的至少一种。

需要说明的是，所述威胁对象与受威胁对象相对应，以保证基于态势感知系统中威胁情报的分析得到准确的威胁情形和相应的网络节点受威胁的原因。

所述威胁情报能够通过利用态势感知系统的威胁情报库对访问流量、网络节点的日志信息、网络安全设备的安全日志信息等数据信息进行关联分析，识别出可能已经发生的威胁事件，主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。

还需要说明的是，在分析上述采集的信息时，可以采取数据提取、数据清洗等操作，以减少分析上述采集的信息的计算量，进一步减少计算资源的浪费。

所述数据提取可以是对前述网络节点的日志信息和网络安全设备的安全日志信息依据属性类型进行提取，也可以是对前述网络节点的日志信息和网络安全设备的安全日志信息依据属性类型对应的数据信息进行提取。

作为举例而非限制，可以从所述网络节点的日志信息中提取下述属性类型对应的数据信息：连接持续的时间、协议类型、目标主机的网络服务类型、连接正常或错误的状态、从源主机到目标主机的数据字节数、从目标主机到源主机的数据字节数、错误分段的数量，以及连接是否来自同一个主机，是否有相同的端口等信息中进行提取；同时，可以从所述网络安全设备的安全日志信息中提取下述属性类型对应的数据信息：事件名称、事件摘要、事件分类、采集类型、等级、网络协议、网络应用协议、源名称、源MAC地址、源地址、源转换IP地址、源端口、源转换端口、目的名称、目的MAC、目的地址、目的转换IP地址、目的端口、目的转换端口、用户名称、操作、对象、结果、设备名称、设备地址、设备类型、产生时间、事件接收时刻、采集器IP地址、原始等级、发送流量、接收流量、持续时间、原始类型、请求内容等。

此外，在进行前述数据提取的过程中，还可以对前述网络节点的日志信息和网络安全设备的安全日志信息中的日志报送地址、日志类型以及日志各位置字段进行逐层顺序解析。

所述数据清洗是指发现并纠正数据文件中可识别的错误的最后一道程序，包括但不限制于检查数据一致性，处理无效值和缺失值等操作。

S103，依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象。

所述预测网络节点的待防御对象是基于态势感知系统的预测能力得到的。所述待防御对象是指前述网络节点所属的网络环境中对应异常项应当进行防御的对象。

该待防御对象可以是硬件设备故障，也可以是软件系统故障，包括但不限制于网络端口、网络板卡网络环路、广播风暴、流量占用、病毒等。

其中，所述异常项是指程序或系统运行过程中出现的警告或错误，这些异常项多会影响程序的健壮性、可靠性和安全性。作为举例而非限制，所述异常项包括但不限制于网络环境中的异常状态、异常信号、异常操作、异常行为、异常数值等。

需要说明的是，针对前述步骤S102和步骤S103中的采集到的数据信息，均可以通过态势感知系统进行分析和/或预测，并依据前述各信息之间存在的某种特定关系得到，该特定关系可以是因果关系、递进关系等。

在分析前述特定关系时，需要考虑多个因素，所述因素包括但不限制于时间因素和事件关联程度，针对前述信息依照时间顺序或事件发展顺序进行梳理，进一步分析和预测信息。

S104，将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

其中，需要说明的是，在判定匹配时，可以依据受威胁对象的防御方案进行态势感知防御，也可以依据待防御对象的防御方案进行态势感知防御。

参见图2所示，为本发明提供的另一个流程图，即在判定为否时，依据前述受威胁对象调整待防御对象的调整包括步骤S110：

S111，获取前述待防御对象的预测路径，对前述预测路径进行拆解，获取路径节点信息和节点顺序信息，所述路径节点的最后一个节点为前述预测的待防御对象。

所述预测路径可以依据前述态势感知系统的分析和预测能力，划分为前述步骤S103中追踪网络环境中各网络节点间的通信路径，和前述步骤S103中预测出网络环境中可能的待防御对象所对应的路径。

所述预测路径可以优选依据前述各信息之间存在的因果关系、递进关系等特定关系得到。

所述拆解是指调取该预测路径的分析方法的分析步骤，对应前述拆解步骤进行对应拆分，以获得前述路径节点信息和节点顺序信息。

所述路径节点信息是指对前述预测路径进行拆解后，在这一预测路径上对应网络节点的节点信息。所述路径节点信息可以包括但不限制于网络节点的发出访问请求信息、接受访问请求信息和执行访问操作信息等。

所述节点顺序信息是指在前述预测路径中各路径节点所属预测路径中的顺序信息。

作为举例而非限制，所述预测路径依序是网络节点A1、网络节点B2、网络节点C3、网络节点D1至网络节点E5，通过拆解操作后，可最多获得四个拆解后的步骤，即网络节点A1至网络节点B2，网络节点B2至网络节点C3，网络节点C3至网络节点D1，以及，网络节点D1至网络节点E5。

所述路径节点信息可以是网络节点A1、网络节点B2、网络节点C3、网络节点D1和/或网络节点E5的发出访问请求信息、接受访问请求信息和执行访问操作信息等。

所述节点顺序信息可以是网络节点A1为该预测路径中的第一顺序、网络节点B2为该预测路径中的第二顺序、网络节点C3为该预测路径中的第三顺序、网络节点D1为该预测路径中的第四顺序，以及，网络节点E5为该预测路径中的第五顺序。其中，网络节点E5为该预测路径中的待防御对象。

S112，将前述待防御对象调整为受威胁对象。

作为举例而非限制，所述预测路径依序是网络节点A1、网络节点B2、网络节点C3、网络节点D1至网络节点E5，网络节点E5为该预测路径中的待防御对象，而实际的受威胁对象为网络节点F6，此时，将待防御对象（网络节点E5）设置为受威胁对象（网络节点F6），即待防御对象强制设置为网络节点F6。

S113，基于前述节点顺序信息，以受威胁对象为起点，逆序反向分析在前节点信息，判断在前节点信息中是否存在错误。

所述逆序反向分析是根据结论为待防御对象网络节点F6，而采取的反向分析操作。具体的逆序反向分析步骤可以是：

首先，调取采取前述逆向调整操作前，预测待防御对象E5时预设的预测模型。

所述预测模型是指用数学语言或公式描述和预测事物间的数量关系。所述预测模型在一定程度上揭示了事物间的内在规律。所述预测模型包括但不限制于针对攻击事件、攻击对网络节点、网络安全设备及业务任务的影响进行构建。

其次，基于前述预设的预测模型和对对应的预测方法，反推采取前述逆向调整操作后，以待防御对象F6为依据，溯源前述预测方法。

需要说明的是，前述预测模型体现为具体的预测方法，其中，任何一种具体的预测方法都是以其特定的数学模型为特征的，即预测方法的种类有很多，各有相应的预测模型。所述预测方法包括但不限制于攻击预测、攻击溯源和取证分析等。

所述攻击预测是指根据当前及历史的网络节点的日志信息、当前及历史的网络安全设备的安全日志信息，结合已有的网络安全知识，通过推理的方法预测攻击的未来动向，包括但不限制于攻击路径、攻击目标、攻击意图等。所述攻击预测的方法包括但不限制于基于时间序列的预测、基于回归分析的预测、基于支持向量机的预测，以及，基于攻击图的预测等预测方法。

所述攻击溯源是指利用网络溯源技术查找并确认网络入侵攻击者的信息，包括地址、位置、身份、组织甚至意图等，还原攻击路径，找出攻击原因等。所述攻击溯源包括应用层溯源和网络层溯源，在将应用层行为体、目标体等关联映射到网络层标识，如IP地址，从而将应用层的溯源活动转化为网络层的溯源操作。

同时，所述攻击溯源也可作为溯源前述预测方法的一个优选的实施方式。

还需要说明的是，所述攻击溯源操作中包括有取证分析，也就是说，所述取证分析是攻击溯源操作的组成部分。根据分析的对象，可以分为网络取证、系统取证、业务取证。所述分析的对象包括但不限制于网络节点、网络安全设备、计算机系统、服务系统等。

其中，所述网络取证是指通过网络节点的日志信息、网络安全设备的安全日志信息，提取分析协议层次的通信行为、路径和流量等特征数据，以发现攻击活动的网络轨迹;所述系统取证是指通过计算机的系统日志，提取分析主机系统内及相关系统间的活动记录，发现针对计算机系统的攻击活动痕迹;所述业务取证是指针对服务系统的业务日志，提取分析业务软件层面的操作记录，发现穿透网络和计算机系统到达业务系统的恶意破坏行为。

最后，基于前述预测模型，对对应的预测方法进行优化。

所述逆向调整的操作步骤是指通过溯源前述预测方法，对溯源前述预测方法时的每一步骤进行的优化操作。

S114，判定存在错误时，提取发生错误的节点信息，并对错误原因进行分析。

其中，在对错误原因进行分析的过程也就是在溯源前述预测方法时，反馈分析得到错误原因的情况。

S115，基于前述错误原因调整对应的预测指标、指标参数和/或指标参数的安全阈值，并将前述调整信息保存至态势感知数据库的防御策略中。

所述预测指标、指标参数和指标参数的安全阈值均可以通过态势感知系统对对应的预测指标、指标参数和指标参数的安全阈值进行选取和/或设置。

优选的，所述的威胁对象为受威胁项集中受威胁对象的防御依据，以实现前述威胁对象和受威胁对象分别依据态势感知数据库的防御方案进行防御和保护。

优选的，对前述威胁对象和受威胁对象的比较依据前述网络节点受到威胁的时间节点，分别进行比较。

所述比较是对威胁对象和受威胁对象，以威胁对象和受威胁对象相互对应的时间节点为依据，进行比较，在有多个威胁对象和受威胁对象时，进行逐一比较，其中，威胁对象和受威胁对象的时间节点相互对应。

作为本实施例的另一种优选实施方式，以存在多个威胁对象和受威胁对象的情形为例，现有威胁对象A,B,C和受威胁对象A1,B1,C1，其中，A和A1，B和B1，C和C1的时间节点相互对应，A和A1，B和B1，C和C1对应的时间节点可以是顺序排列、逆序排列或乱序排列。在进行比较时，对A和A1，B和B1，C和C1分别进行比较。

优选的，所述网络安全设备包括防火墙、防毒墙、入侵检测系统、入侵防御系统、统一威胁安全网关和安全隔离网闸。

优选的，所述威胁对象和受威胁对象组成威胁项集，所述威胁项集包括多个按照时间节点逆序排列的威胁项子集，每个所述威胁项子集中包括威胁对象和受威胁对象，所述威胁对象与受威胁对象相对应。

在本实施例的另一个优选实施方式中，所述威胁项集可以是{(A,A1),(B,B1),(C,C1),(D,D1),(E,E1)}，该威胁项集中包含有五个威胁项子集，分别是{(A,A1)}，{(B,B1)}，{(C,C1)}，{(D,D1)}和{(E,E1)}，其中，A、B、C、D、E为威胁对象，A1、B1、C1、D1、E1为受威胁对象。这五个威胁项子集对应的时间节点可以分别是T1，T1，T2，T2，T2，其中，时间节点T1在后于时间节点T2。

然后，可选的，对前述威胁对象和受威胁对象的比较依据前述网络节点受到威胁的时间节点，分别进行比较。

所述比较是通过对所述威胁项集中的威胁对象先进行分组，所述分组依据网络节点受到威胁的时间节点进行逆序排列；以及，对所述受威胁项集中的受威胁对象先进行分组，所述分组依据网络节点受到威胁的时间节点进行逆序排列。

在执行完分组操作后，所述比较是对威胁项集和受威胁项集中的威胁对象和受威胁对象，以各自对应的时间节点为依据，进行逐一比较。其中，威胁对象和受威胁对象的时间节点相互对应。

作为举例而非限制，现有威胁项集{(A,B),(C,D,E)}，以及，受威胁项集{(A1,B1),(C1,D1,E1)}，其中，(A,B)和(A1,B1)，(C,D,E)和(C1,D1,E1)分别是以各自对应的时间节点T1和T2为依据在各自的集合中逆序排列。

在进行逐一比较时，对(A,B)和(A1,B1)，(C,D,E)和(C1,D1,E1)分别进行比较。即在(A,B)和(A1,B1)中，对A和A1，B和B1分别进行比较，同样的，在(C,D,E)和(C1,D1,E1)中，对C和C1，D和D1，E和E1分别进行比较。

优选的，所述待防御对象组成待防御项集，所述待防御项集中包括有多个按照时间节点逆序排列的待防御项子集。

其中，所述待防御项集可以基于态势感知系统的预测能力得到；所述待防御项子集中包括有待防御对象。

在本实施例的又一优选实施方式中，所述待防御项集可以是{(A1,A2),(B1),(C1,C2),(D1,D2，D3),(E1,E2)}，该待防御项集中包含有五个待防御项子集，分别是{(A1,A2)},{B1},{(C1,C2)}, {(D1,D2，D3)}和{(E1,E2)}，其中，A1、A2、B1、C1、C2、D1、D2、D3、E1、E2为待防御对象。这五个待防御项子集对应的时间节点可以分别是T1，T2，T2，T2，T2，其中，时间节点T1在后于时间节点T2。

优选的，所述受威胁对象与所述待防御对象的比较依据前述的时间节点的排列顺序依次进行比较，判定前述受威胁对象与所述待防御对象是否匹配；判定为是时，依据受威胁对象的防御方案进行态势感知防御；判定为否时，依据前述受威胁对象调整待防御对象的步骤，调整待防御对象。

基于前述威胁项集和待防御项集，得到以时间节点依次为T1，T1，T2，T2，T2的受威胁对象和待防御对象的排序。所述受威胁对象的排序依次为A1、B1、C1、D1和E1，所述待防御对象的排序依次为A1、A2、B1、C1、C2、D1、D2、D3、E1和E2。

对前述受威胁对象和待防御对象，依据时间节点T1，T1，T2，T2，T2的排列顺序依次进行比较。

以时间节点T1时刻的受威胁对象A1和待防御对象A1、A2的比较进行举例说明，判定前述受威胁对象A1与所述待防御对象A1、A2是否匹配。

判定前述受威胁对象A1与所述待防御对象A1匹配时，即判定为是时，依据受威胁对象A1的防御方案进行态势感知防御；判定前述受威胁对象A1与所述待防御对象A2是不匹配的，即判定为否时，依据前述受威胁对象A1调整待防御对象A2，所述调整包括步骤：

将待防御对象A2设置为受威胁对象A1，此时，待防御对象为A1；逆向调整前述待防御对象A1的预测路径和对应预测路径的分析方法；整理前述预测路径和对应预测路径的分析方法的错误分析原因，记录逆向调整的操作步骤；将前述错误分析原因和前述逆向调整的操作步骤存储至态势感知数据库的防御方案中。

其它技术特征参考在前实施例，在此不再赘述。

参见图3所示，本发明还给出了一个实施例，提供了一种态势感知预测装置200，其特征在于包括结构：

信息采集单元201，用以采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息。

信息分析单元202，用以基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象。

信息预测单元203，用以依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象。

信息匹配单元204，用以将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

此外，参见图4所示，本发明还给出了一个实施例，提供了一种态势感知预测系统300，其特征在于包括：

网络节点301，用于收发数据。

态势感知系统302，定期检测受到威胁的网络节点，将前述网络节点的日志信息进行安全分析。

系统服务器303，所述系统服务器303连接网络节点301和态势感知系统302。

所述系统服务器303被配置为：采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

其它技术特征参见在前实施例，在此不再赘述。

在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。

虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。

Claims (10)

1.一种态势感知预测方法，其特征在于，包括步骤，

采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；

基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；

依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；

将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

2.根据权利要求1所述的方法，其特征在于，依据前述受威胁对象调整待防御对象的步骤为：

获取前述待防御对象的预测路径，对前述预测路径进行拆解，获取路径节点信息和节点顺序信息，所述路径节点的最后一个节点为前述预测的待防御对象；

将前述待防御对象调整为受威胁对象；

基于前述节点顺序信息，以受威胁对象为起点，逆序反向分析在前节点信息，判断在前节点信息中是否存在错误；

判定存在错误时，提取发生错误的节点信息，并对错误原因进行分析；

基于前述错误原因调整对应的预测指标、指标参数和/或指标参数的安全阈值，并将前述调整信息保存至态势感知数据库的防御策略中。

3.根据权利要求1所述的方法，其特征在于，所述威胁对象与受威胁对象相对应，并作为受威胁对象的防御依据，以实现前述威胁对象和受威胁对象基于态势感知数据库的防御方案进行防御。

4.根据权利要求1所述的方法，其特征在于，对前述威胁对象和受威胁对象的比较依据前述网络节点受到威胁的时间节点，分别进行比较。

5.根据权利要求1所述的方法，其特征在于，所述网络安全设备包括防火墙、防毒墙、入侵检测系统、入侵防御系统、统一威胁安全网关和安全隔离网闸。

6.根据权利要求1所述的方法，其特征在于，所述威胁对象和受威胁对象组成威胁项集，所述威胁项集包括多个按照时间节点逆序排列的威胁项子集，每个所述威胁项子集中包括威胁对象和受威胁对象，所述威胁对象与受威胁对象相对应。

7.根据权利要求1所述的方法，其特征在于，所述待防御对象组成待防御项集，所述待防御项集中包括有多个按照时间节点逆序排列的待防御项子集。

8.根据权利要求6或7所述的方法，其特征在于，所述受威胁对象与所述待防御对象的比较依据前述的时间节点的排列顺序依次进行比较，判定前述受威胁对象与所述待防御对象是否匹配；

判定为是时，依据受威胁对象的防御方案进行态势感知防御；

判定为否时，依据前述受威胁对象调整待防御对象的步骤，调整待防御对象。

9.一种态势感知预测装置，其特征在于包括结构：

信息采集单元，用以采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；

信息分析单元，用以基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；

信息预测单元，用以依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；

信息匹配单元，用以将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

10.一种态势感知预测系统，其特征在于包括：

网络节点，用于收发数据；

态势感知系统，定期检测受到威胁的网络节点，将前述网络节点的日志信息进行安全分析；

系统服务器，所述系统服务器连接网络节点和态势感知系统；

所述系统服务器被配置为：

采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；

基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；

依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；

将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象。

Images