CN114338110B - 态势感知中威胁信息的预测防御方法、装置及系统 - Google Patents
态势感知中威胁信息的预测防御方法、装置及系统 Download PDFInfo
- Publication number
- CN114338110B CN114338110B CN202111563481.3A CN202111563481A CN114338110B CN 114338110 B CN114338110 B CN 114338110B CN 202111563481 A CN202111563481 A CN 202111563481A CN 114338110 B CN114338110 B CN 114338110B
- Authority
- CN
- China
- Prior art keywords
- information
- alarm information
- node
- alarm
- area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000007123 defense Effects 0.000 claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 238000002347 injection Methods 0.000 claims description 3
- 239000007924 injection Substances 0.000 claims description 3
- 238000003672 processing method Methods 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种态势感知中威胁信息的预测防御方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:对态势感知系统所在网络环境划分区域;采集告警信息;告警信息包括系统告警信息和节点告警信息;选取任一系统告警信息,针对系统告警信息所针对的网络节点所属的区域,获取该区域的所有节点的节点告警信息,预测该区域的区域威胁信息;或者,选取任一节点告警信息,得到产生节点告警信息的节点,获取该节点所属区域的所有节点的节点告警信息和该区域内的系统告警信息,预测该区域的区域威胁信息;选取防御方案进行防御。本发明能够通过系统告警信息和节点告警信息确定各区域的区域威胁信息,并实现针对各区域网络威胁的安全防御。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及态势感知中威胁信息的预测防御方法。
背景技术
在现有技术中,所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。所述态势感知系统能够对网络流量进行解析和记录,也可以对网络节点的安全日志信息进行采集记录,然后分析本地采集到的所有信息,并结合来自威胁情报中心的威胁情报,快速发现网络环境中的各种威胁。
其中,态势感知系统中的态势感知信息可以通过分析网络环境中的告警信息得到得到,而告警信息又分为来自于系统和网络节点的。这也导致态势感知系统中需要分析的告警信息颇为复杂。
由于所述系统是对整个网络环境进行说明,而所述网络节点对应前述系统中具体的某一节点,是对网络环境中的具体一环进行说明,同时,该节点存在着关联网络节点,这使得只从系统告警或是节点告警去分析网络中的威胁得到的结论不准确。同时,这也意味着同时考虑系统告警和节点告警,以准确得到网络环境中的态势感知信息需要考虑网络环境中的多个因素的复杂性。
为此,提供一种态势感知中威胁信息的预测防御方法、装置及系统,以通过系统告警信息和节点告警信息确定态势感知信息,以得到准确的态势感知信息,系统告警信息和节点告警信息确定各区域的区域威胁信息,并实现针对各区域网络威胁的安全防御,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种态势感知中威胁信息的预测防御方法、装置及系统,本发明能够对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种态势感知中威胁信息的预测防御方法,其特征在于,包括步骤,对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;
采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;
选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;
或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;
根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
进一步,所述区域由态势感知系统进行设定,或者,由用户进行划分。
进一步,所述系统告警信息能够从系统所属网络环境的安全日志信息中提取得到;所述节点告警信息能够从前述网络节点的安全日志信息中提取得到。
进一步,所述系统告警信息包含前述系统所属网络环境的安全日志信息中的异常项和/或故障项;所述节点告警信息包含前述网络节点的安全日志信息中的异常项和/或故障项。
进一步,所述网络节点包括前述网络节点的关联网络节点。
进一步,所述区域威胁信息中包括有时间、来源区域、事件、受威胁资产、目标主机和攻击类型。
进一步,所述攻击类型包括SQL注入攻击、XSS、C&C和Webshell攻击。
进一步,对所述区域威胁信息划分威胁等级,所述威胁等级与态势感知系统中态势感知信息的安全等级对应。
一种态势感知中威胁信息的预测防御装置,其特征在于包括结构:
区域划分单元,用以对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;
信息采集单元,用以采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;
第一预测单元,用以选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;或者,
第二预测单元,用以选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;
信息防御单元,用以根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
一种态势感知中威胁信息的预测防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
基于上述优点和积极效果,本发明的优势在于:对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,区域划分单元201,信息采集单元202,第一预测单元203,第二预测单元204,信息防御单元205;
系统300,网络节点301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种态势感知中威胁信息的预测防御方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息。
所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述态势感知系统能够对网络流量进行解析和记录,也可以对网络节点的安全日志信息进行采集记录,然后分析本地采集到的所有信息,并结合来自威胁情报中心的威胁情报,快速发现网络环境中的各种威胁。
所述威胁情报能够通过利用威胁情报库对访问流量、网络节点的日志信息等数据信息进行关联分析,识别出可能已经发生的威胁事件,主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。
所述区域可以由态势感知系统进行设定或配置,也可以由用户进行划分来设定。
所述区域信息是指用于描述前述区域的信息。例如,当存在一个系统告警信息,该系统告警信息显示“202002020901-A3区域-总端口流量超阈值”,其中的区域信息为“A3区域”,即前述区域为A3,该A3区域可以由态势感知系统进行设定或配置,也可以由用户进行划分来设定。
值得说明的是,所述区域可以优选向下继续划分子区域,以形成多级区域的形式。
作为举例而非限制,对前述态势感知系统进行区域划分,形成多个区域,对前述区域设置子区域,所述子区域是前述区域的下级区域。例如,在一条系统告警信息显示为“202002020901-A3区域-0001系统服务器-总端口流量超阈值-X2端口流量超阈值”,前述区域对应为A3,此时A3的下级区域(即子区域)包括0001系统服务器、总端口和X2端口。
也就是说,所述区域可以设置为多级区域,其子区域可以是管理多个网络节点的0001系统服务器,也可以是0001系统服务器下的总端口或对应0001系统服务器下总端口的X2端口。
S102,采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,简称告警。
所述告警可以由生产厂商定义好,也可以由网管人员结合网络中的告警进行定义。
所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
所述系统告警信息是指来自于系统服务器、网关路由器等的告警信息。
所述节点告警信息是指网络节点发生故障时对应的告警信息。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述网络节点用于记录并存储所属节点的安全日志,所述安全日志包括但不限制于log文件、W3C扩展日志文件或其他文本类型的文件。
需要说明的是,基于同一网络环境下的系统告警信息与节点告警信息相对独立,同时也相互间也存在着一定的联系。
作为举例而非限制,网络节点的网络流量超过预设的流量阈值时,触发节点告警。在同一网络环境下,系统告警设置有多个网络节点的网络流量超过阈值时,触发系统告警,当前述网络节点的数量超过预设的个数时,则触发系统告警。此时,处于同一网络环境下的系统告警信息与节点告警信息相互间存在联系。
S103,选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息。
所述区域威胁可以对前述区域内的网络威胁依据同类威胁、个性化信息等不同类型进行划分,以对应不同的防御策略。
所述区域威胁信息是指对所属区域内的网络威胁进行描述的信息。
作为举例而非限制,选取一个系统告警信息,该系统告警信息显示“202002020901-A3区域-总端口流量超阈值”。
此时,基于“202002020901-A3区域-总端口流量超阈值”,获取同属于2020年2月2日9点1分时间点,A3区域内的对应总端口执行操作的编号为B0056和D0097的网络节点存在节点告警信息,其中,B0056节点和D0097节点的节点告警信息显示告警原因为外网出带宽大于外网带宽上限导致丢包。
然后,结合“202002020901-A3区域-总端口流量超阈值”的系统告警信息、“外网出带宽大于外网带宽上限导致丢包”的B0056网络节点和D0097网络节点的节点告警信息,一起预测得到A3区域-总端口受到DDoS(Distributed Denial of Service,简称DDoS)的网络攻击的区域威胁信息。
S104,或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息。
其中,所有网络节点包括前述网络节点和前述网络节点的关联网络节点。
作为举例而非限制,选取一个节点告警信息,该节点告警信息显示编号为B0056的网络节点的节点告警原因为外网出带宽大于外网带宽上限导致丢包。
此时,得到前述节点告警信息对应的网络节点B0056的安全日志信息和关联网络节点D0097的安全日志信息分别为“202002020901 -A3区域-B0056节点-外网出带宽大于外网带宽上限导致丢包”和“202002020901-A3区域-D0097节点-外网出带宽大于外网带宽上限导致丢包”。
根据前述网络节点B0056和关联网络节点D0097确定网络节点对应的区域为A3区域,且对应的时间点为2020年2月2日9点1分,得到“202002020901-A3区域-总端口流量超阈值”的系统告警信息。
然后,结合“外网出带宽大于外网带宽上限导致丢包”的网络节点B0056和关联网络节点D0097的节点告警信息,“202002020901-A3区域-总端口流量超阈值”的系统告警信息,一起预测得到0001系统服务器-总端口受到DDoS的网络攻击的区域威胁信息。
S105,根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
所述预测是指基于前述态势感知系统的预测能力得到对应区域的态势感知信息。
优选的,所述区域由态势感知系统进行设定,或者,由用户进行划分。
优选的,所述系统告警信息能够从系统所属网络环境的安全日志信息中提取得到;所述节点告警信息能够从前述网络节点的安全日志信息中提取得到。
所述安全日志包括异常记录,并用于将所述异常记录按照预设的固定时间发送给服务器。所述异常记录可包括时间、异常代码和异常描述,例如,“202005240728、ER0003、特定IP访问量超峰值”,其中,时间为2020年5月24日7时28分,异常代码为ER0003,对应的异常描述为特定IP访问量超峰值。
其中,所述时间可以采用现有技术中任意时间格式和时间精度,在本发明中优选的时间精确到分或秒。其中,由所述网络节点发送异常记录的时间可以预先设置时间周期,所述时间周期可以是每天、每小时,也可以由用户进行自定义。
优选的,所述系统告警信息包含前述系统所属网络环境的安全日志信息中的异常项和/或故障项;所述节点告警信息包含前述网络节点的安全日志信息中的异常项和/或故障项。
优选的,所述网络节点包括前述网络节点的关联网络节点。
所述关联网络节点是指与前述网络节点具有关联关系的网络节点。
优选的,所述区域威胁信息中包括有时间、来源区域、事件、受威胁资产、目标主机和攻击类型。
优选的,所述攻击类型包括SQL注入攻击、XSS、C&C和Webshell攻击。
优选的,对所述区域威胁信息划分威胁等级,所述威胁等级与态势感知系统中态势感知信息的安全等级对应。
所述态势感知信息的安全等级可以由态势感知系统进行预先设定,也可以由用户自主设定前述态势感知信息的安全等级。
可选的,对从不同区域获得的区域威胁信息,需要结合多个区域的系统告警信息和节点告警信息一起进行分析,以得到跨越区域的区域威胁信息。
作为举例而非限制,当态势感知系统所处网络环境被划分多个区域后,存在告警信息包括系统告警信息(“202002020901-A3区域-总端口流量超阈值”、“202002020901-A8区域-总端口流量超阈值”),和节点告警信息(“202002020901 -A3区域-B0056节点-外网出带宽大于外网带宽上限导致丢包”、“202002020901-A3区域-D0097节点-外网出带宽大于外网带宽上限导致丢包”、“202002020901-A8区域-C0026节点-外网出带宽大于外网带宽上限导致丢包”、“202002020901-A8区域-F0015节点-外网出带宽大于外网带宽上限导致丢包”)。
由于前述告警信息出现的时间为同一时间点,因此对前述A3区域和A8区域的系统告警信息和节点告警信息一起进行分析和预测,以得到对应A3和A8区域作为跨越区域的区域威胁信息。
需要说明的是,得到前述跨越区域的区域威胁信息,其优势在于,由于前期的区域是由态势感知系统进行设定或配置,或由用户进行划分来设定,因此,会存在局部分析的情况,而忽略了基于整个态势感知系统所处的网络环境的威胁分析。而对同一时间点或同一时间端内,不同区域内产生的系统告警信息和节点告警加以考虑,并结合前述系统告警和节点告警一起进行分析和预测,能够避免只针对态势感知系统所处网络环境进行局部分析的情形,并保证了对态势感知系统所处网络环境进行全局分析。
可选的,所述告警信息基于时间轴划分为历史告警信息、实时告警信息和预测告警信息。
所述预测告警信息能够基于前述历史告警信息和实时告警信息的告警趋势进行分析,得到预测告警信息,根据所述预测告警信息可以对应前述预测的态势感知信息。
所述预测告警的优势在于在触发实时告警前,对可能发展为实时告警的告警进行预测,该操作能够在触发实时告警前,以预测告警的形式,提前对网络环境中的威胁进行防御,可以有效避免实时告警时反映对网络安全造成的影响。
可选的,所述告警包括紧急告警和非紧急告警,判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境信息进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至态势感知系统进行安全分析。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
可选的,对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控。
可选的,采集前述告警信息中网络节点的IP地址,获取前述IP地址的访问或操作记录信息,并进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于态势感知系统对用户的访问路径进行跟踪。
可选的,对所述网络节点的输入/输出端口进行数据监控,在网络环境发生异常变化时,对在前述网络节点的执行的操作进行标注和追溯。
在进行数据监控时,所述态势感知系统同时可以对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
在触发告警时,所述告警会显示针对触发告警的网络节点的端口信息,同时,对其他未触发告警的网络节点的端口的执行操作进行监控,能够确保网络安全的实时布控,使前述端口和/或IP网段在未触发告警时保持与其他网络节点的正常通信和稳定运行。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种态势感知中威胁信息的预测防御装置200,其特征在于包括结构:
区域划分单元201,用以对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息。
信息采集单元202,用以采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息。
第一预测单元203,用以选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息。
或者,第二预测单元204,用以选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息。
信息防御单元205,用以根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种态势感知中威胁信息的预测防御系统300,其特征在于包括:
网络节点301,用于收发数据。
态势感知系统302,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析。
所述定期检测可以设置检测时间或是检测时间周期,所述定期检测包括但不限于网页防篡改,进程异常行为,异常登录,敏感文件篡改,恶意进程等。
所述网络节点的日志信息是指网络设备在运作时产生的事件记录,所述网络节点的日志信息包括但不限于连接持续的时间,协议类型,目标主机的网络服务类型,连接正常或错误的状态,从源主机到目标主机的数据字节数,从目标主机到源主机的数据字节数,错误分段的数量,加急包的个数等。
系统服务器303,所述系统服务器303连接网络节点301和态势感知系统302。
所述系统服务器303被配置为:对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;采集网络环境中的告警信息;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (9)
1.一种态势感知中威胁信息的预测防御方法,其特征在于,包括步骤,
对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;所述区域能够设置为多级区域,包括向下细分的子区域;
采集网络环境中的告警信息;所述告警信息基于时间轴划分为历史告警信息、实时告警信息和预测告警信息;所述预测告警信息能够基于前述历史告警信息和实时告警信息的告警趋势进行分析,得到预测告警信息,所述预测告警信息与预测的态势感知信息相对应;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;其中,网络节点的网络流量超过预设的流量阈值时,触发节点告警;在同一网络环境下,系统告警设置有多个网络节点的网络流量超过阈值时,触发系统告警,当前述网络节点的数量超过预设的个数时,则触发系统告警;选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;
或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;其中,所述所有网络节点包括前述网络节点和前述网络节点的关联网络节点;所述关联网络节点是指与前述网络节点具有关联关系的网络节点;或者,结合多个区域的系统告警信息和节点告警信息,对从不同区域获得的区域威胁信息一起进行分析,以得到跨越区域的区域威胁信息;
根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
2.根据权利要求1所述的方法,其特征在于,所述区域由态势感知系统进行设定,或者,由用户进行划分。
3.根据权利要求1所述的方法,其特征在于,所述系统告警信息能够从系统所属网络环境的安全日志信息中提取得到;
所述节点告警信息能够从前述网络节点的安全日志信息中提取得到。
4.根据权利要求3所述的方法,其特征在于,所述系统告警信息包含前述系统所属网络环境的安全日志信息中的异常项和/或故障项;所述节点告警信息包含前述网络节点的安全日志信息中的异常项和/或故障项。
5.根据权利要求1所述的方法,其特征在于,所述区域威胁信息中包括有时间、来源区域、事件、受威胁资产、目标主机和攻击类型。
6.根据权利要求5所述的方法,其特征在于,所述攻击类型包括SQL注入攻击、XSS、C&C和Webshell攻击。
7.根据权利要求1所述的方法,其特征在于,对所述区域威胁信息划分威胁等级,所述威胁等级与态势感知系统中态势感知信息的安全等级对应。
8.一种态势感知中威胁信息的预测防御装置,包括如权利要求1-7中任一项所述的方法,其特征在于包括结构:
区域划分单元,用以对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;所述区域能够设置为多级区域,包括向下细分的子区域;
信息采集单元,用以采集网络环境中的告警信息;所述告警信息基于时间轴划分为历史告警信息、实时告警信息和预测告警信息;所述预测告警信息能够基于前述历史告警信息和实时告警信息的告警趋势进行分析,得到预测告警信息,所述预测告警信息与预测的态势感知信息相对应;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;其中,网络节点的网络流量超过预设的流量阈值时,触发节点告警;在同一网络环境下,系统告警设置有多个网络节点的网络流量超过阈值时,触发系统告警,当前述网络节点的数量超过预设的个数时,则触发系统告警;
第一预测单元,用以选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;其中,所述所有网络节点包括前述网络节点和前述网络节点的关联网络节点;所述关联网络节点是指与前述网络节点具有关联关系的网络节点;或者,
第二预测单元,用以选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;或者,结合多个区域的系统告警信息和节点告警信息,对从不同区域获得的区域威胁信息一起进行分析,以得到跨越区域的区域威胁信息;
信息防御单元,用以根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
9.一种态势感知中威胁信息的预测防御系统,包括如权利要求1-7中任一项所述的方法,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:对态势感知系统所在网络环境划分区域,建立所述态势感知系统的区域信息;所述区域能够设置为多级区域,包括向下细分的子区域;采集网络环境中的告警信息;所述告警信息基于时间轴划分为历史告警信息、实时告警信息和预测告警信息;所述预测告警信息能够基于前述历史告警信息和实时告警信息的告警趋势进行分析,得到预测告警信息,所述预测告警信息与预测的态势感知信息相对应;所述告警信息包括系统告警信息和节点告警信息,所述系统告警信息包含前述区域信息;其中,网络节点的网络流量超过预设的流量阈值时,触发节点告警;在同一网络环境下,系统告警设置有多个网络节点的网络流量超过阈值时,触发系统告警,当前述网络节点的数量超过预设的个数时,则触发系统告警;选取任一条系统告警信息,针对前述系统告警信息所针对的网络节点所属的区域,获取属于该区域的所有网络节点的节点告警信息,结合该区域内的系统告警和节点告警预测该区域的区域威胁信息;其中,所述所有网络节点包括前述网络节点和前述网络节点的关联网络节点;所述关联网络节点是指与前述网络节点具有关联关系的网络节点;或者,选取任一节点告警信息,得到产生前述节点告警信息的网络节点,获取该网络节点所属区域的所有网络节点的节点告警信息,以及获取该区域内的系统告警信息,结合前述节点告警和系统告警预测该区域的区域威胁信息;或者,结合多个区域的系统告警信息和节点告警信息,对从不同区域获得的区域威胁信息一起进行分析,以得到跨越区域的区域威胁信息;根据预测得到的区域威胁信息,选取对应态势感知系统的防御方案进行防御。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111563481.3A CN114338110B (zh) | 2021-12-20 | 2021-12-20 | 态势感知中威胁信息的预测防御方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111563481.3A CN114338110B (zh) | 2021-12-20 | 2021-12-20 | 态势感知中威胁信息的预测防御方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338110A CN114338110A (zh) | 2022-04-12 |
| CN114338110B true CN114338110B (zh) | 2024-05-10 |
Family
ID=81051995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111563481.3A Active CN114338110B (zh) | 2021-12-20 | 2021-12-20 | 态势感知中威胁信息的预测防御方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338110B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111342A (zh) * | 2017-12-15 | 2018-06-01 | 北京华创网安科技股份有限公司 | 基于可视化的威胁告警展示方法 |
| CN108551449A (zh) * | 2018-04-13 | 2018-09-18 | 上海携程商务有限公司 | 防病毒管理系统及方法 |
| CN108900541A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种针对云数据中心sdn安全态势感知系统及方法 |
| CN111586046A (zh) * | 2020-05-08 | 2020-08-25 | 武汉思普崚技术有限公司 | 一种结合威胁情报和机器学习的网络流量分析方法及系统 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
-
2021
- 2021-12-20 CN CN202111563481.3A patent/CN114338110B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111342A (zh) * | 2017-12-15 | 2018-06-01 | 北京华创网安科技股份有限公司 | 基于可视化的威胁告警展示方法 |
| CN108551449A (zh) * | 2018-04-13 | 2018-09-18 | 上海携程商务有限公司 | 防病毒管理系统及方法 |
| CN108900541A (zh) * | 2018-08-10 | 2018-11-27 | 哈尔滨工业大学(威海) | 一种针对云数据中心sdn安全态势感知系统及方法 |
| CN111586046A (zh) * | 2020-05-08 | 2020-08-25 | 武汉思普崚技术有限公司 | 一种结合威胁情报和机器学习的网络流量分析方法及系统 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338110A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| US20020066034A1 (en) | Distributed network security deception system | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| JP2007013590A (ja) | ネットワーク監視システム、ネットワーク監視装置及びプログラム | |
| CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| US20040111638A1 (en) | Rule-based network survivability framework | |
| KR20030056652A (ko) | 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 | |
| CN114124516B (zh) | 态势感知预测方法、装置及系统 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN110620690A (zh) | 一种网络攻击事件的处理方法及其电子设备 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| CN114125083B (zh) | 工业网络分布式数据采集方法、装置、电子设备及介质 | |
| CN114006722B (zh) | 发现威胁的态势感知验证方法、装置及系统 | |
| CN114338110B (zh) | 态势感知中威胁信息的预测防御方法、装置及系统 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
| CN114205169A (zh) | 网络安全防御方法、装置及系统 | |
| CN113904920A (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及系统 | |
| JP2006050442A (ja) | トラヒック監視方法及びシステム | |
| CN114006802B (zh) | 失陷设备的态势感知预测方法、装置及系统 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |