CN114301706B - 基于目标节点中现有威胁的防御方法、装置及系统 - Google Patents
基于目标节点中现有威胁的防御方法、装置及系统 Download PDFInfo
- Publication number
- CN114301706B CN114301706B CN202111662341.1A CN202111662341A CN114301706B CN 114301706 B CN114301706 B CN 114301706B CN 202111662341 A CN202111662341 A CN 202111662341A CN 114301706 B CN114301706 B CN 114301706B
- Authority
- CN
- China
- Prior art keywords
- information
- threat
- node
- target node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于目标节点中现有威胁的防御方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和关联网络节点;选取任一待防御的目标节点,基于目标节点的威胁情报信息,确定该目标节点的威胁项,调取防御方案进行防御;从网络节点的日志信息中,获取目标节点与关联网络节点进行交互的访问信息;结合访问信息和目标节点的威胁情报信息,获取关联网络节点对应的威胁项,调取防御方案进行防御。本发明通过获取网络节点的日志信息和威胁情报信息,对目标节点和其关联网络节点分别实现有效防御,从而减少了网络安全防御时所消耗的资源。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于目标节点中现有威胁的防御方法。
背景技术
在现有技术中,态势感知系统通过整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
为实现网络安全强调的精准防御,需要确保网络安全对网络威胁的感知能力,通过态势感知系统获得网络威胁后,从海量的网络节点中找出存在威胁项,并调取对应的防御方案进行防御,以达到预期的防御效果,这无疑会花费更多的时间和资源才能实现。
在实际的操作中,针对存在威胁项的网络节点进行防御时,往往忽略了关联网络节点受到前述网络节点的影响。当检测到前述关联网络节点也存在同一威胁项时,同样需要调取针对前述威胁项的防御方案进行防御,这导致系统要对同一威胁反复进行防御,才能完全消除该威胁项对网络环境中网络节点和关联网络节点的影响,这无疑造成了网络资源的浪费和防御成本的增加。
为此,提供一种基于目标节点中现有威胁的防御方法、装置及系统,以通过获取网络节点的日志信息和威胁情报信息,对目标节点和其关联网络节点针对同一威胁项实现防御,从而减少了网络安全防御时资源成本的浪费,提高防御的准确性和精准度,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种基于目标节点中现有威胁的防御方法、装置及系统,本发明能够获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种基于目标节点中现有威胁的防御方法,其特征在于,包括步骤,
获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;
选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;
从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;
结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
进一步,所述威胁情报信息来源于态势感知系统采集到的网络环境内的安全数据信息,所述采集包括对前述安全数据信息进行数据处理操作。
进一步,基于前述威胁情报信息中的目标节点信息、威胁项信息、威胁等级信息和威胁类型信息,建立前述威胁情报信息中各项信息与防御方案的映射关系。
进一步,对目标节点和关联网络节点设置保护区域,并对前述保护区域进行监控,当存在其他节点前述保护区域内的任一节点进行访问时,对提出访问请求的网络节点进行监控。
进一步,对前述威胁情报信息进行分析和整理,定期生成威胁评价分析报告,并发送至用户邮箱;其中,所述分析和整理包括基于威胁事件发展的时间进行顺序分析和整理。
进一步,将前述网络节点存在的威胁信息提供给当前用户;同时,向当前用户提供前述威胁对当前用户的可能攻击方式信息。
进一步,所述访问信息包括前述目标节点与关联网络节点进行交互的访问请求信息和当前的访问环境信息。
进一步,所述防御还包括步骤:
提取网络环境中的网络安全要素,建立基于时间轴的网络安全要素变化曲线,以得到不同时间点下网络安全要素发生的变化;
分析前述时间轴中任一时间下,所述网络安全要素曲线的变化趋势;所述变化趋势包括网络安全要素的增加、减少和持平;
根据前述变化趋势,结合当前时间下目标节点和关联网络节点的日志信息和威胁情报信息,对前述目标节点和关联网络节点在下一时刻的防御操作进行判断。
一种基于目标节点中现有威胁的防御装置,其特征在于包括结构:
第一信息获取单元,用以获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;
第一信息防御单元,用以选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;
第二信息获取单元,用以从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;
第二信息防御单元,用以结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
一种基于目标节点中现有威胁的防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测存在过威胁项的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
基于上述优点和积极效果,本发明的优势在于:获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
进一步,所述防御还包括步骤:提取网络环境中的网络安全要素,建立基于时间轴的网络安全要素变化曲线,以得到不同时间点下网络安全要素发生的变化;分析前述时间轴中任一时间下,所述网络安全要素曲线的变化趋势;所述变化趋势包括网络安全要素的增加、减少和持平;根据前述变化趋势,结合当前时间下目标节点和关联网络节点的日志信息和威胁情报信息,对前述目标节点和关联网络节点在下一时刻的防御操作进行判断。
附图说明
图1为本发明实施例提供的一个流程图。
图2为本发明实施例提供的另一个流程图。
图3为本发明实施例提供的装置的结构示意图。
图4为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,第一信息获取单元201,第一信息防御单元202,第二信息获取单元203,第二信息防御单元204;
系统300,网络节点301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种基于目标节点中现有威胁的防御方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。
所述网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。
需要说明的是,在整个网络环境中包括多个网络节点,这些网络节点能够通过通信线路连接,并实现各节点间的访问和相关操作(例如:下载、修改、上传等操作)。
所述关联网络节点是指与前述网络节点具有关联关系的网络节点。
所述关联关系包括但不限制于前述网络节点通过通信线路连接,形成的网络拓扑结构,与前述网络节点存在访问请求行为和/或访问操作行为的访问关系等。
所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。
所述网络节点的日志信息包括但不限于连接持续的时间,协议类型,目标主机的网络服务类型,连接正常或错误的状态,从源主机到目标主机的数据字节数,从目标主机到源主机的数据字节数,错误分段的数量,加急包的个数等。
所述威胁情报信息用以描述网络环境中的威胁情报,所述威胁情报能够通过利用威胁情报库对网络节点间的访问流量、网络节点的日志信息等数据信息进行关联分析,从而识别出可能已经发生的威胁事件,其中,所述威胁事件包括但不限制于恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
需要说明的是,所述威胁情报信息包括但不限制于目标节点信息、威胁项信息、威胁等级信息和威胁类型信息、攻击节点信息和网络环境中的异常项信息等。
其中,所述目标节点可以由用户在前述网络节点中进行选取,也可以通过态势感知系统进行自动选定,例如态势感知系统可以选定前述威胁项中威胁影响最大的一个网络节点作为目标节点。
所述威胁项可以是存在威胁和/或对网络节点构成威胁的系统对象、非系统对象等。作为举例而非限制,所述威胁项可以是进程、URL(统一资源定位符,Uniform ResourceLocator)访问行为、IP(网络之间互联的协议,Internet Protocol)访问、端口访问、DNS(域名系统,Domain Name System)、邮箱地址、或者邮件附件等。
此外,还需要说明的是,所述威胁情报信息涉及的对象可以是任一待防御的目标节点,也可以是包含前述网络环境中任一存在过网络威胁的网络节点。
S102,选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御。
S103,从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息。
所述关联网络节点是指与前述网络节点具有关联关系的网络节点。所述关联关系包括但不限制于硬件关联关系(例如网络拓扑结构决定的关联关系)、软件关联关系(例如网络节点之间基于通信进行相互访问形成的关联关系)。
所述访问信息包括但不限制于前述目标节点与关联网络节点进行交互的访问请求信息、访问操作信息和当前的访问环境信息等。
所述访问请求信息包括但不限于请求行、请求头部、请求数据,对所述访问请求信息进行实时的关联分析和路径追踪,以实现网络安全的动态分析。
所述访问操作信息包括但不限制于编辑、下载、上传、读取数据等操作信息。
所述访问环境信息包括但不限制于访问网络节点时网络节点数据存储的空间信息、访问路径信息和访问环境配置信息等。
S104,结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
需要说明的是,上述方法的实施,其优势在于,通过获取网络节点的日志信息和威胁情报信息,对目标节点和其关联网络节点分别考虑可能的威胁情形,并实现有效防御,并提升了防御的准确性和精准度。
此外,在对前述网络节点进行防御的同时,对网络节点和关联网络节点针对同一威胁项进行防御,以避免该威胁项再威胁其他网络节点的可能。
优选的,所述威胁情报信息来源于态势感知系统采集到的网络环境内的安全数据信息,所述采集包括对前述安全数据信息进行数据处理操作。
所述安全数据可以包括但是不限于安装特定的安全证书集合、网络特定的安全证书集合、随机数生成器种子值、加密密钥、加密算法、nonce字段或子字段和/或其它面向安全的配置数据。
所述安全证书包括电子文档,该电子文档能够使用数字签名以将公共密钥与身份(诸如人或商业组织的名称、地址等信息)捆绑。
此外,所述安全数据还可以包括安全密钥本身,诸如AES-128密钥,该密钥能够由网络节点直接用于加密和解密网络上发送和接收的消息。
所述数据处理包括但不限制于现有技术中对安全信息进行数据过滤、数据归一化处理、数据清洗等操作,以便于后续数据分析,并减少计算时的资源浪费。
优选的,基于前述威胁情报信息中的目标节点信息、威胁项信息、威胁等级信息和威胁类型信息,建立前述威胁情报信息中各项信息与防御方案的映射关系。
所述映射关系是指前述威胁情报信息中的目标节点信息、威胁项信息、威胁等级信息和威胁类型信息和防御方案之间的对应关系。
可选的,在建立前述映射关系之后,将前述映射关系存储在威胁防御数据库中并对数据库进行更新。
优选的,对目标节点和关联网络节点设置保护区域,并对前述保护区域进行监控,当存在其他节点前述保护区域内的任一节点进行访问时,对提出访问请求的网络节点进行监控。
所述保护区域可以基于前述目标节点和关联网络节点的网络拓扑结构进行建立,也可以依据前述目标节点各关联网络节点之间存在的访问关系进行建立。
对建立之后的保护区域可以采取集中监控的方式,对各节点的日志信息进行调取,以检查网络节点中存在的威胁,也可以采取对该保护区域中各节点进行扫描的操作,以检测各节点中是否存在网络威胁。
优选的,对前述威胁情报信息进行分析和整理,定期生成威胁评价分析报告,并发送至用户邮箱;其中,所述分析和整理包括基于威胁事件发展的时间进行顺序分析和整理。
所述威胁评价分析报告可以根据周、月、季度、年度等时间周期,按照管理员设置或者用户自行订阅的时间,将前述威胁评价分析报告发送给前述管理员和用户,以便于掌握网络环境中网络威胁的及时资料。
优选的,将前述网络节点存在的威胁信息提供给当前用户;同时,向当前用户提供前述威胁对当前用户的可能攻击方式信息。
所述威胁信息是指存在有前述威胁项的网络节点,能够对其他的网络节点产生威胁的信息。所述威胁信息包括但不限制于存在威胁的IP地址,域名信息,目的端口信息等。
所述当前用户可以是对前述网络节点正在进行访问的网络节点。
所述可能攻击方式信息是指基于前述网络节点由于存在前述威胁项时,所可能存在的对当前用户的信息进行窃取、篡改等不利于当前用户的操作行为。
可选的,获取当前的威胁信息,结合前述威胁情报信息以及各节点间的网络拓扑结构进行组合分析,以获得关联威胁情报,从而确定当前的受到威胁的网络节点和对应前述网络节点的关联网络节点。
优选的,所述访问信息包括前述目标节点与关联网络节点进行交互的访问请求信息和当前的访问环境信息。
可选的,所述访问信息中包括异常的访问信息;当监测到网络环境中有异常的访问信息时,获取该异常的访问信息,确定网络环境中可能存在威胁的网络节点和关联网络节点;然后,基于前述网络节点和关联网络节点之间的访问信息和前述威胁情报信息,确定威胁项,并调取对应前述威胁项的防御方案进行防御。
可选的,检测对前述目标节点进行访问的当前用户,确定前述当前用户所属的网络节点,根据前述目标节点中的威胁项,判断前述网络节点中是否存在威胁项;判定前述网络节点中存在威胁项时,对比前述网络节点中的威胁项是否与前述目标节点中的威胁项一致;当前述威胁项一致时,提取对应前述威胁项的防御方案,对前述目标节点和前述网络节点进行防御。
参见图2所示,为本发明提供的另一个流程图。所述防御的实施步骤S110如下:
S111,提取网络环境中的网络安全要素,建立基于时间轴的网络安全要素变化曲线,以得到不同时间点下网络安全要素发生的变化。
所述网络安全要素包括但不限制于:保密性,保证信息不泄露给非授权用户、实体或过程,或供其利用的特性;完整性,数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性;可用性,可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;可控性,对信息的传播及内容具有控制能力;可审查性,出现安全问题时提供依据与手段。
S112,分析前述时间轴中任一时间下,所述网络安全要素曲线的变化趋势;所述变化趋势包括网络安全要素的增加、减少和持平。
S113,根据前述变化趋势,结合当前时间下目标节点和关联网络节点的日志信息和威胁情报信息,对前述目标节点和关联网络节点在下一时刻的防御操作进行判断。
采取上述防御操作的优势在于:通过了解网络环境中,网络安全要素的变化趋势,能够从全局的角度把握网络环境中各网络节点对网络安全的影响趋势,以便于对网络安全防御策略的调整。
其它技术特征参考在前实施例,在此不再赘述。
参见图3所示,本发明还给出了一个实施例,提供了一种基于目标节点中现有威胁的防御装置200,其特征在于包括结构:
第一信息获取单元201,用以获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息。
第一信息防御单元202,用以选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御。
第二信息获取单元203,用以从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息。
第二信息防御单元204,用以结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
此外,参见图4所示,本发明还给出了一个实施例,提供了一种基于目标节点中现有威胁的防御系统300,其特征在于包括:
网络节点301,用于收发数据。
态势感知系统302,定期检测存在过威胁项的网络节点,将前述网络节点的日志信息进行安全分析。
所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述定期检测可以设置检测时间或是检测时间周期,所述的定期检测的项目,包括但不限于网页防篡改,进程异常行为,异常登录,敏感文件篡改,恶意进程等。
系统服务器303,所述系统服务器303连接网络节点301和态势感知系统302。
所述系统服务器303被配置为:获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (9)
1.一种基于目标节点中现有威胁的防御方法,其特征在于,包括步骤,
获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;
选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;
从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;
结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御;其中,对目标节点和关联网络节点设置保护区域,并对前述保护区域进行监控,当存在其他节点对前述保护区域内的任一节点进行访问时,对提出访问请求的网络节点进行监控。
2.根据权利要求1所述的方法,其特征在于,所述威胁情报信息来源于态势感知系统采集到的网络环境内的安全数据信息,所述采集包括对前述安全数据信息进行数据处理操作。
3.根据权利要求1所述的方法,其特征在于,基于前述威胁情报信息中的目标节点信息、威胁项信息、威胁等级信息和威胁类型信息,建立前述威胁情报信息中各项信息与防御方案的映射关系。
4.根据权利要求1所述的方法,其特征在于,对前述威胁情报信息进行分析和整理,定期生成威胁评价分析报告,并发送至前述目标节点的用户邮箱;其中,所述分析和整理包括基于威胁事件发展的时间进行顺序分析和整理。
5.根据权利要求1所述的方法,其特征在于,将前述网络节点存在的威胁信息提供给当前用户;同时,向当前用户提供前述威胁对当前用户的可能攻击方式信息;其中,所述当前用户是指对前述网络节点进行访问的网络节点的用户。
6.根据权利要求1所述的方法,其特征在于,所述访问信息包括前述目标节点与关联网络节点进行交互的访问请求信息和当前的访问环境信息。
7.根据权利要求1所述的方法,其特征在于,所述防御还包括步骤:
提取网络环境中的网络安全要素,建立基于时间轴的网络安全要素变化曲线,以得到不同时间点下网络安全要素发生的变化;
分析前述时间轴中任一时间下,所述网络安全要素曲线的变化趋势;所述变化趋势包括网络安全要素的增加、减少和持平;
根据前述变化趋势,结合当前时间下目标节点和关联网络节点的日志信息和威胁情报信息,对前述目标节点和关联网络节点在下一时刻的防御操作进行判断。
8.一种基于目标节点中现有威胁的防御装置,用以实现如权利要求1-7中任一项所述的方法,其特征在于包括结构:
第一信息获取单元,用以获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;
第一信息防御单元,用以选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;
第二信息获取单元,用以从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;
第二信息防御单元,用以结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御;其中,对目标节点和关联网络节点设置保护区域,并对前述保护区域进行监控,当存在其他节点对前述保护区域内的任一节点进行访问时,对提出访问请求的网络节点进行监控。
9.一种基于目标节点中现有威胁的防御系统,用以实现如权利要求1-7中任一项所述的方法,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测存在过威胁项的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:获取网络环境中网络节点的日志信息和威胁情报信息;所述网络节点中包括待防御的目标节点,和前述目标节点的关联网络节点;所述威胁情报信息包括目标节点信息、威胁项信息、威胁等级信息和威胁类型信息;选取任一待防御的目标节点,基于前述目标节点的威胁情报信息,确定该目标节点的威胁项,并从预设的威胁防御数据库中调取对应的防御方案进行防御;从前述网络节点的日志信息中,获取前述目标节点与关联网络节点进行交互的访问信息;结合前述访问信息和前述目标节点的威胁情报信息,获取关联网络节点对应的威胁项,并基于前述威胁项调取威胁防御数据库中的防御方案,进行防御;其中,对目标节点和关联网络节点设置保护区域,并对前述保护区域进行监控,当存在其他节点对前述保护区域内的任一节点进行访问时,对提出访问请求的网络节点进行监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111662341.1A CN114301706B (zh) | 2021-12-31 | 2021-12-31 | 基于目标节点中现有威胁的防御方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111662341.1A CN114301706B (zh) | 2021-12-31 | 2021-12-31 | 基于目标节点中现有威胁的防御方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301706A CN114301706A (zh) | 2022-04-08 |
| CN114301706B true CN114301706B (zh) | 2023-07-21 |
Family
ID=80974481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111662341.1A Active CN114301706B (zh) | 2021-12-31 | 2021-12-31 | 基于目标节点中现有威胁的防御方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301706B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865438B (zh) * | 2022-11-22 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 网络攻击的防御方法、装置、设备及介质 |
| CN116090026B (zh) * | 2023-04-06 | 2023-06-16 | 北京惠朗时代科技有限公司 | 一种基于大数据的电子签章使用安全管理系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及系统 |
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3291120B1 (en) * | 2016-09-06 | 2021-04-21 | Accenture Global Solutions Limited | Graph database analysis for network anomaly detection systems |
| US12015644B2 (en) * | 2019-04-11 | 2024-06-18 | Level 3 Communications, Llc | System and method for utilization of threat data for network security |
-
2021
- 2021-12-31 CN CN202111662341.1A patent/CN114301706B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
| CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及系统 |
| CN113660224A (zh) * | 2021-07-28 | 2021-11-16 | 上海纽盾科技股份有限公司 | 基于网络漏洞扫描的态势感知防御方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301706A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| EP2715975B1 (en) | Network asset information management | |
| EP2715522B1 (en) | Using dns communications to filter domain names | |
| US8572733B1 (en) | System and method for active data collection in a network security system | |
| EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| US20060026678A1 (en) | System and method of characterizing and managing electronic traffic | |
| US20110296519A1 (en) | Reputation based connection control | |
| US20030110392A1 (en) | Detecting intrusions | |
| EP2326057A1 (en) | Detecting malicious behaviour on a network | |
| Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
| US20050188221A1 (en) | Methods, systems and computer program products for monitoring a server application | |
| US20050188079A1 (en) | Methods, systems and computer program products for monitoring usage of a server application | |
| US20050188423A1 (en) | Methods, systems and computer program products for monitoring user behavior for a server application | |
| CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| KR20100075043A (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| Mangino et al. | Internet-scale insecurity of consumer internet of things: An empirical measurements perspective | |
| RU2679219C1 (ru) | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК | |
| US11824891B2 (en) | Detecting botnets | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| WO2013189723A1 (en) | Method and system for malware detection and mitigation | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| Jansky et al. | Hunting sip authentication attacks efficiently | |
| CN114189360B (zh) | 态势感知的网络漏洞防御方法、装置及系统 | |
| Stephens | Network Forensics | |
| JP2021077051A (ja) | 不正侵入検出システムおよび不正侵入検出装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |