CN114338189A - 基于节点拓扑关系链的态势感知防御方法、装置及系统 - Google Patents
基于节点拓扑关系链的态势感知防御方法、装置及系统 Download PDFInfo
- Publication number
- CN114338189A CN114338189A CN202111654257.5A CN202111654257A CN114338189A CN 114338189 A CN114338189 A CN 114338189A CN 202111654257 A CN202111654257 A CN 202111654257A CN 114338189 A CN114338189 A CN 114338189A
- Authority
- CN
- China
- Prior art keywords
- threat
- node
- item
- defense
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于节点拓扑关系链的态势感知防御方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:得到网络环境中网络节点的节点威胁信息和网络节点对应的威胁项;判断威胁项是否为多个;为否时,得到网络环境中存在同样威胁项的关联网络节点后,结合网络节点,建立节点拓扑关系链,进行防御;为是时,得到存在同样威胁项的关联网络节点后,结合网络节点,建立第一节点拓扑关系链,进行防御;建立第二节点拓扑关系链,进行防御;以此类推,直到完成网络节点中所有威胁项的链防御。本发明能够对同一威胁项的节点和关联网络节点,建立具有同样威胁情景的节点拓扑关系链,采取相应的防御操作,使全部威胁项都实现防御。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于节点拓扑关系链的态势感知防御方法。
背景技术
在现有技术中,态势感知系统通过整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
由于网络安全的防御强调精准防御,这使得态势感知系统在获得网络威胁后,需要从海量的网络节点中找出对应需要进行防御的网络节点,在对网络节点调取相应的防御方案进行防御。
作为举例,当网络环境中的一个网络节点存在有多个威胁项时,系统可以及时调取针对前述多个威胁项的防御方案,对该网络节点进行网络安全防御。但是,实际的情况往往是网络环境的多个网络节点中存在有不同的威胁项,对前述网络节点的威胁项采取防御操作时,没能对前述网络节点中的威胁项进行梳理,这使得每一次的威胁项都要进行一次分析操作,才能实现对网络节点中所有的威胁项的防御。
为此,本发明提供一种基于节点拓扑关系链的态势感知防御方法、装置及系统,来解决同一威胁项的网络节点和关联网络节点,建立具有同样威胁情景的节点拓扑关系链,并采取相应的防御操作进行防御,以实现对同一威胁项的网络节点采取同样的防御策略进行防御,使网络环境中网络节点的威胁项都实现网络安全防御,是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种基于节点拓扑关系链的态势感知防御方法、装置及系统,本发明能够得到网络环境中网络节点的节点威胁信息;得到网络节点对应的威胁项;判断威胁项是否为多个;为否时,得到网络环境中存在同样威胁项的关联网络节点后,结合网络节点,建立节点拓扑关系链,进行防御;为是时,得到存在同样威胁项的关联网络节点后,结合网络节点,建立第一节点拓扑关系链,进行防御;以及,建立第二节点拓扑关系链,进行防御;以此类推,直到完成网络节点中所有威胁项的链防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种基于节点拓扑关系链的态势感知防御方法,其特征在于,包括步骤,
基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;
判断前述威胁项是否为多个;
判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;
判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
进一步,所述节点威胁信息是指网络环境中的节点告警信息,结合前述节点所属的网络环境信息,基于态势感知系统现有的威胁分析能力进行的数据处理;在进行前述数据处理后,得到节点威胁信息;其中,所述节点威胁信息包括节点ID信息、威胁项信息、威胁等级信息、威胁类型信息、发生时间信息和发生原因信息;所述节点告警信息包括节点ID信息、告警原因信息和告警类型信息;所述网络环境信息包括用户首次访问时间信息、用户访问次数信息、当前时间下用户的操作类型信息和控制用户的访问速率信息。
进一步,所述威胁项包括进程、URL访问行为、IP访问、端口访问、DNS、邮箱地址和邮件附件。
进一步,所述节点威胁信息中的威胁项与前述节点拓扑关系链的威胁情景相对应;所述威胁情景包括基于前述威胁项预设的威胁情景,用户基于前述威胁项自定义的威胁情景,以及,在前述威胁项信息结合前述威胁项对应网络节点所属的网络环境信息后,基于预设的威胁情景模型得到威胁情景。
进一步,针对前述任一节点拓扑关系链,获取该节点拓扑关系链上各网络节点的威胁项信息,确定同一威胁项对应的网络节点个数,并按从多到少进行排序;根据前述排序设置该节点拓扑关系链中各威胁项的防御顺序,直到完成该节点拓扑关系链中所有节点的威胁项的防御。
进一步,对节点拓扑关系链中网络节点的威胁项进行计数,以记录防御该过程中,前述节点拓扑关系链中网络节点的威胁项的剩余个数。
进一步,当前述第一节点拓扑关系链中存在多个威胁类型一致的威胁项时,将前述多个威胁类型一致的威胁项进行整合,并基于前述威胁项对应的网络节点和关联网络节点,一起建立节点拓扑关系链。
进一步,当前述第一节点拓扑关系链中存在多个威胁等级一致、但威胁类型不同的威胁项时,能够对前述多个威胁项分别基于各自威胁项对应的网络节点和关联网络节点而建立的节点拓扑关系链进行防御。
一种基于节点拓扑关系链的态势感知防御装置,其特征在于包括结构:
信息获取单元,用以基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;
信息判断单元,用以判断前述威胁项是否为多个;
第一防御单元,用以判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;
第二防御单元,用以判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
一种基于节点拓扑关系链的态势感知防御系统,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;判断前述威胁项是否为多个;判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
基于上述优点和积极效果,本发明的优势在于:基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;判断前述威胁项是否为多个;判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
进一步,针对前述任一节点拓扑关系链,获取该节点拓扑关系链上各网络节点的威胁项信息,确定同一威胁项对应的网络节点个数,并按从多到少进行排序;根据前述排序设置该节点拓扑关系链中各威胁项的防御顺序,直到完成该节点拓扑关系链中所有节点的威胁项的防御。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息获取单元201,信息判断单元202,第一防御单元203,第二防御单元204;
系统300,网络节点301,态势感知系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种基于节点拓扑关系链的态势感知防御方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项。
所述态势感知系统可以整合防病毒软件、防火墙、入侵监测系统、安全审计系统等多个数据信息系统,以实现目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。
所述网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述节点威胁信息是指网络环境中的节点告警信息,结合前述节点所属的网络环境信息,基于态势感知系统现有的威胁分析能力进行的数据处理;在进行前述数据处理后,得到节点威胁信息。
所述节点威胁信息包括但不限制于节点ID信息、威胁项信息、威胁等级信息、威胁类型信息、发生时间信息和发生原因信息等。
所述节点告警信息包括但不限制于节点ID信息、告警时间信息、告警原因信息和告警类型信息等。
所述网络环境信息包括但不限制于用户首次访问时间信息、用户访问次数信息、当前时间下用户的操作类型信息和控制用户的访问速率信息等。
需要说明的是,所述威胁项可以是存在威胁和/或对网络节点构成威胁的系统对象、非系统对象等。
作为举例而非限制,所述威胁项可以是进程、URL(统一资源定位符,UniformResource Locator)访问行为、IP(网络之间互联的协议,Internet Protocol)访问、端口访问、DNS(域名系统,Domain Name System)、邮箱地址、或者邮件附件等。
所述数据处理包括但不限制于现有技术中对安全信息进行数据过滤、数据归一化处理、数据清洗等操作,以便于后续数据分析,并减少计算时的资源浪费。
S102,判断前述威胁项是否为多个。
S103,判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御。
所述威胁情景是指针对威胁情报中的威胁对象信息、目标主机(例如:受到威胁的网络节点)信息、威胁等级信息,以及所述网络节点的操作系统、所述网络节点的网络地址、所述网络节点的位置信息、所述网络节点的类型、当前时间等数据进行的情景描述。
所述威胁情景可以通过网络环境本身以及网络环境中各网络节点,对描述其状态(含历史状态)的任何信息进行明示或者暗示。
所述威胁情景可以是预先设置的,也可以是从采集到的前述网络节点的威胁信息中提取得到的。
所述关联网络节点是指与前述威胁项对应的网络节点存在关联关系的网络节点。
需要说明的是,当前述威胁项是网络环境中各网络节点的唯一一个威胁项时,按照步骤S103的操作即可完成对前述威胁项的防御操作;而当网络环境中的网络节点存在有多个威胁项时,则需要执行步骤S104的防御操作。
S104,判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
作为本实施例的优选实施方式,所述节点拓扑关系链包括多个基于待防御的威胁项而顺序命名的节点拓扑关系链,可以基于步骤S104中选取的威胁项的防御顺序,分别设置为第一节点拓扑关系链、第二节点拓扑关系链、...、第N节点拓扑关系链(N为大于等于2的正整数)。
其中,所述节点拓扑关系链的建立包括多种方式。作为举例而非限制,所述节点拓扑关系链可以根据前述网络节点与关联网络节点的实际的物理结构进行建立;也可以依据前述网络节点触发的威胁事件,结合前述关联网络节点进行建立;此外,还可以由用户指定输入特定的网络节点后,获取对应的关联网络节点来实现节点拓扑关系链的建立。
在节点拓扑关系链上,各节点可以显示包括但不限制于对应受到威胁的威胁项、受到威胁的时间,以及,任一节点在前述节点拓扑关系链中,与在前和/或在后节点间的关联关系等信息。
所述威胁情景的防御方案可以是态势感知系统中基于威胁情景预设在威胁防御数据库的防御方案;也可以是用户基于实际威胁情景的需求,设置威胁防御数据库的防御方案。在进行防御操作时,将第一节点拓扑关系链上的网络节点和关联网络节点视为一个群体,以实现这一群体对应威胁情景的防御方案。
此外,还值得说明的是,在步骤S104中,是针对网络环境中网络节点存在有多个威胁项的防御情形。针对这样的情形,对该节点拓扑关系链上的各网络节点中存在的威胁项进行梳理,将前述威胁项分别设置为威胁项1、威胁项2、...、威胁项N(N为大于等于2的正整数)。
其中,第N节点拓扑关系链是基于前述威胁项N对应的网络节点和关联网络节点进行建立。
因此,建立前述第一节点拓扑关系链至第N节点拓扑关系链,并对各链对应的威胁情景对应各链中网络节点的威胁项采取防御操作,其优势在于:能够对同一威胁项的网络节点和关联网络节点,建立具有同样威胁情景的节点拓扑关系链,以采取相应的防御操作进行防御,从而使网络环境中网络节点的威胁项都实现网络安全防御。
优选的,所述节点威胁信息是指网络环境中的节点告警信息,结合前述节点所属的网络环境信息,基于态势感知系统现有的威胁分析能力进行的数据处理;在进行前述数据处理后,得到节点威胁信息;其中,所述节点威胁信息包括节点ID信息、威胁项信息、威胁等级信息、威胁类型信息、发生时间信息和发生原因信息;所述节点告警信息包括节点ID信息、告警原因信息和告警类型信息;所述网络环境信息包括用户首次访问时间信息、用户访问次数信息、当前时间下用户的操作类型信息和控制用户的访问速率信息。
优选的,所述威胁项包括进程、URL访问行为、IP访问、端口访问、DNS、邮箱地址和邮件附件。
优选的,所述节点威胁信息中的威胁项与前述节点拓扑关系链的威胁情景相对应;所述威胁情景包括基于前述威胁项预设的威胁情景,用户基于前述威胁项自定义的威胁情景,以及,在前述威胁项信息结合前述威胁项对应网络节点所属的网络环境信息后,基于预设的威胁情景模型得到威胁情景。
优选的,针对前述任一节点拓扑关系链,获取该节点拓扑关系链上各网络节点的威胁项信息,确定同一威胁项对应的网络节点个数,并按从多到少进行排序;根据前述排序设置该节点拓扑关系链中各威胁项的防御顺序,直到完成该节点拓扑关系链中所有节点的威胁项的防御。
需要说明的是,当前述节点拓扑关系链中的网络节点除对应的威胁项之外还有其他威胁项时,需要对该节点拓扑关系链上网络节点的威胁项按照一定顺序进行梳理,并对其他威胁项调取对应的防御方案进行防御。
作为举例而非限制,在一条节点拓扑关系链上有五个网络节点,分别为网络节点1、网络节点2、网络节点3、网络节点4和网络节点5,这五个节点所对应的威胁项分别是网络节点1中有威胁项1、威胁项2和威胁项3,网络节点2中有威胁项1,网络节点3中有威胁项1、威胁项2,网络节点4中有威胁项1、威胁项2和威胁项3,网络节点5有威胁项1。
对上述节点拓扑关系链上各网络节点对应的威胁项的个数进行整理,得到该节点拓扑关系链上具有威胁项1的网络节点分别是网络节点1、网络节点2、网络节点3、网络节点4和网络节点5,具有威胁项2的网络节点分别是网络节点1、网络节点3和网络节点4,具有威胁项3的网络节点分别是网络节点1和网络节点4。
也就是说,上述节点拓扑关系链上网络节点的威胁项1、威胁项2和威胁项3的个数分别是5个、3个和2个。此时排序得到的顺序依次为威胁项1、威胁项2和威胁项3,并对节点拓扑关系链中的威胁项1、威胁项2和威胁项3依据前述排序得到的顺序进行防御,直到完成该节点拓扑关系链中所有节点的威胁项的防御。
上述操作的优势在于,能够有序的针对网络环境中各网络节点的威胁项实现有效防御。
优选的,对节点拓扑关系链中网络节点的威胁项进行计数,以记录防御该过程中,前述节点拓扑关系链中网络节点的威胁项的剩余个数。
作为举例而非限制,当前述节点拓扑关系链中存在五个威胁项时,计数为5,每防御成功一个威胁项时,前述计数就执行减1的操作,直到计数为0时,结束前述节点拓扑关系链中对应威胁情景的防御操作。
优选的,当前述第一节点拓扑关系链中存在多个威胁类型一致的威胁项时,将前述多个威胁类型一致的威胁项进行整合,并基于前述威胁项对应的网络节点和关联网络节点,一起建立节点拓扑关系链。
作为举例而非限制,当前述第一节点拓扑关系链中存在的威胁项分别是威胁项1、威胁项2和威胁项3时,其中,威胁项1被设置为第一威胁项,而威胁项2和威胁项3与威胁项1所属的威胁类型一致时,此时,可以将前述多个威胁类型一致的威胁项进行整合,并基于前述威胁项对应的网络节点和关联网络节点,一起建立节点拓扑关系链,并一起调取威胁防御数据库中的防御方案进行防御。
该操作有助于基于威胁项所具有的相同的威胁类型,来实现合并防御操作,使多个具有相同威胁类型的威胁项能够并行采取防御操作进行防御,以节省防御时间。
优选的,当前述第一节点拓扑关系链中存在多个威胁等级一致、但威胁类型不同的威胁项时,能够对前述多个威胁项分别基于各自威胁项对应的网络节点和关联网络节点而建立的节点拓扑关系链进行防御。
作为举例而非限制,当前述第一节点拓扑关系链中存在的威胁项分别是威胁项1、威胁项2和威胁项3,其中,威胁项1被配置为该第一节点拓扑关系链中的第一威胁项。
由于在该第一节点拓扑关系链中,网络节点存在的威胁项1、威胁项2和威胁项3所对应的威胁等级一致,但威胁类型不同。
此时,针对前述威胁项1、威胁项2和威胁项3,分别依据对应的网络节点和关联网络节点,而建立的第一节点拓扑关系链、第二节点拓扑关系链和第三节点拓扑关系链,分别调取各自对应威胁情景的防御方案进行防御。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种基于节点拓扑关系链的态势感知防御装置200,其特征在于包括结构:
信息获取单元201,用以基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项。
信息判断单元202,用以判断前述威胁项是否为多个。
第一防御单元203,用以判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御。
第二防御单元204,用以判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种基于节点拓扑关系链的态势感知防御系统300,其特征在于包括:
网络节点301,用于收发数据。
态势感知系统302,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析。
所述定期检测可以设置检测时间或是检测时间周期,所述的定期检测可以是下述项目,包括但不限于网页防篡改,进程异常行为,异常登录,敏感文件篡改,恶意进程等。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,也叫告警。
所述告警可以由生产厂商定义好,也可以由网管人员结合网络环境中的实际告警情况进行定义。
在一次告警中,网管系统的监控单元可以视故障情况给出告警信号,系统每接收到一次的告警信号,代表一次告警事件的发生,并通过告警信息的形式进行故障描述,并在网管系统的告警信息管理中心显示告警信息。所述故障是通过网络中的设备产生的告警事件的原因。
所述告警通过告警信息在网络环境中进行具体体现。所述告警信息包括历史告警信息和实时告警信息。所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于连接持续的时间,协议类型,目标主机的 网络服务类型,连接正常或错误的状态,从源主机到目标主机的数据字节数,从目标主机到源主机的数据字节数,错误分段的数量,加急包的个数,连接是否来自同一个主机,是否有相同的端口等。
系统服务器303,所述系统服务器303连接网络节点301和态势感知系统302。
所述系统服务器303被配置为:基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;判断前述威胁项是否为多个;判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (10)
1.一种基于节点拓扑关系链的态势感知防御方法,其特征在于,包括步骤,
基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;
判断前述威胁项是否为多个;
判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;
判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
2.根据权利要求1所述的方法,其特征在于,所述节点威胁信息是指网络环境中的节点告警信息,结合前述节点所属的网络环境信息,基于态势感知系统现有的威胁分析能力进行的数据处理;
在进行前述数据处理后,得到节点威胁信息;
其中,所述节点威胁信息包括节点ID信息、威胁项信息、威胁等级信息、威胁类型信息、发生时间信息和发生原因信息;所述节点告警信息包括节点ID信息、告警原因信息和告警类型信息;所述网络环境信息包括用户首次访问时间信息、用户访问次数信息、当前时间下用户的操作类型信息和控制用户的访问速率信息。
3.根据权利要求2所述的方法,其特征在于,所述威胁项包括进程、URL访问行为、IP访问、端口访问、DNS、邮箱地址和邮件附件。
4.根据权利要求2所述的方法,其特征在于,所述节点威胁信息中的威胁项与前述节点拓扑关系链的威胁情景相对应;
所述威胁情景包括基于前述威胁项预设的威胁情景,用户基于前述威胁项自定义的威胁情景,以及,在前述威胁项信息结合前述威胁项对应网络节点所属的网络环境信息后,基于预设的威胁情景模型得到威胁情景。
5.根据权利要求1所述的方法,其特征在于,针对前述任一节点拓扑关系链,获取该节点拓扑关系链上各网络节点的威胁项信息,确定同一威胁项对应的网络节点个数,并按从多到少进行排序;根据前述排序设置该节点拓扑关系链中各威胁项的防御顺序,直到完成该节点拓扑关系链中所有节点的威胁项的防御。
6.根据权利要求5所述的方法,其特征在于,对节点拓扑关系链中网络节点的威胁项进行计数,以记录防御该过程中,前述节点拓扑关系链中网络节点的威胁项的剩余个数。
7.根据权利要求1所述的方法,其特征在于,当前述第一节点拓扑关系链中存在多个威胁类型一致的威胁项时,将前述多个威胁类型一致的威胁项进行整合,并基于前述威胁项对应的网络节点和关联网络节点,一起建立节点拓扑关系链。
8.根据权利要求1所述的方法,其特征在于,当前述第一节点拓扑关系链中存在多个威胁等级一致、但威胁类型不同的威胁项时,能够对前述多个威胁项分别基于各自威胁项对应的网络节点和关联网络节点而建立的节点拓扑关系链进行防御。
9.一种基于节点拓扑关系链的态势感知防御装置,根据权利要求1-8中任一项实施的方法,其特征在于包括结构:
信息获取单元,用以基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;
信息判断单元,用以判断前述威胁项是否为多个;
第一防御单元,用以判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;
第二防御单元,用以判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
10.一种基于节点拓扑关系链的态势感知防御系统,根据权利要求1-8中任一项实施的方法,其特征在于包括:
网络节点,用于收发数据;
态势感知系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和态势感知系统;
所述系统服务器被配置为:基于态势感知系统得到网络环境中网络节点的节点威胁信息;提取前述任一网络节点的节点威胁信息,得到前述网络节点对应的威胁项;判断前述威胁项是否为多个;判定为否时,基于前述威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立节点拓扑关系链,将前述威胁项及其对应的威胁情景设置为前述节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;判定为是时,从威胁项中选取一个威胁项作为第一威胁项,基于前述第一威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第一节点拓扑关系链,将前述第一威胁项及其对应的威胁情景设置为第一节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以及,选取下一个威胁项作为第二威胁项,得到前述网络环境中存在同样威胁项的关联网络节点后,结合前述网络节点和关联网络节点,建立第二节点拓扑关系链,将前述第二威胁项及其对应的威胁情景设置为第二节点拓扑关系链的威胁项和威胁情景,从预设的威胁防御数据库中调取与前述威胁情景对应的防御方案进行防御;以此类推,直到完成前述网络节点中所有威胁项的链防御。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111654257.5A CN114338189B (zh) | 2021-12-31 | 2021-12-31 | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111654257.5A CN114338189B (zh) | 2021-12-31 | 2021-12-31 | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338189A true CN114338189A (zh) | 2022-04-12 |
| CN114338189B CN114338189B (zh) | 2023-05-26 |
Family
ID=81018312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111654257.5A Active CN114338189B (zh) | 2021-12-31 | 2021-12-31 | 基于节点拓扑关系链的态势感知防御方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338189B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607388A (zh) * | 2013-11-18 | 2014-02-26 | 浪潮(北京)电子信息产业有限公司 | 一种apt威胁预测方法及系统 |
| WO2014066500A1 (en) * | 2012-10-23 | 2014-05-01 | Hassell Suzanne P | Cyber analysis modeling evaluation for operations (cameo) simulation system |
| WO2015047802A2 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| CN109218292A (zh) * | 2018-08-15 | 2019-01-15 | 全球能源互联网研究院有限公司 | 一种电力网络边界安全协同防御方法及系统 |
| US20190147161A1 (en) * | 2017-05-17 | 2019-05-16 | Threatmodeler Software Inc. | Threat Model Chaining and Attack Simulation Systems and Related Methods |
| US10362057B1 (en) * | 2017-06-06 | 2019-07-23 | Acalvio Technologies, Inc. | Enterprise DNS analysis |
| US10771506B1 (en) * | 2017-07-31 | 2020-09-08 | Juniper Networks, Inc. | Deployment of a security policy based on network topology and device capability |
| CN112950439A (zh) * | 2021-04-13 | 2021-06-11 | 林燕东 | 基于威胁感知的大数据处理方法、系统及云平台 |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
| CN113297578A (zh) * | 2021-06-25 | 2021-08-24 | 深圳市合美鑫精密电子有限公司 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
| CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及系统 |
-
2021
- 2021-12-31 CN CN202111654257.5A patent/CN114338189B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014066500A1 (en) * | 2012-10-23 | 2014-05-01 | Hassell Suzanne P | Cyber analysis modeling evaluation for operations (cameo) simulation system |
| WO2015047802A2 (en) * | 2013-09-30 | 2015-04-02 | Fireeye, Inc. | Advanced persistent threat (apt) detection center |
| CN103607388A (zh) * | 2013-11-18 | 2014-02-26 | 浪潮(北京)电子信息产业有限公司 | 一种apt威胁预测方法及系统 |
| CN104601591A (zh) * | 2015-02-02 | 2015-05-06 | 中国人民解放军国防科学技术大学 | 网络攻击源组织检测方法 |
| US20190147161A1 (en) * | 2017-05-17 | 2019-05-16 | Threatmodeler Software Inc. | Threat Model Chaining and Attack Simulation Systems and Related Methods |
| US10362057B1 (en) * | 2017-06-06 | 2019-07-23 | Acalvio Technologies, Inc. | Enterprise DNS analysis |
| US10771506B1 (en) * | 2017-07-31 | 2020-09-08 | Juniper Networks, Inc. | Deployment of a security policy based on network topology and device capability |
| CN109218292A (zh) * | 2018-08-15 | 2019-01-15 | 全球能源互联网研究院有限公司 | 一种电力网络边界安全协同防御方法及系统 |
| CN112995196A (zh) * | 2021-03-23 | 2021-06-18 | 上海纽盾科技股份有限公司 | 网络安全等级保护中态势感知信息的处理方法及系统 |
| CN112950439A (zh) * | 2021-04-13 | 2021-06-11 | 林燕东 | 基于威胁感知的大数据处理方法、系统及云平台 |
| CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及系统 |
| CN113297578A (zh) * | 2021-06-25 | 2021-08-24 | 深圳市合美鑫精密电子有限公司 | 基于大数据和人工智能的信息感知方法及信息安全系统 |
Non-Patent Citations (2)
| Title |
|---|
| LIU ZHIMING ET AL: "Network Security Analysis Method Based on Complex Network Theory and Defense Topology Graph Model", 《ACM》 * |
| 冯名威;: "计算机网络安全态势感知防御技术研究", 电脑知识与技术 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338189B (zh) | 2023-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9979742B2 (en) | Identifying anomalous messages | |
| CN107566163B (zh) | 一种用户行为分析关联的告警方法及装置 | |
| CN106537872B (zh) | 用于检测计算机网络中的攻击的方法 | |
| US8099782B1 (en) | Event aggregation in a network | |
| US20140165207A1 (en) | Method for detecting anomaly action within a computer network | |
| EP1307999A1 (en) | System and method of detecting events | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN112422554B (zh) | 一种检测异常流量外连的方法、装置、设备及存储介质 | |
| EP3343421A1 (en) | System to detect machine-initiated events in time series data | |
| CN113660115A (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| CN110719286A (zh) | 一种基于大数据的网络优化方案共享系统及其方法 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN114301700B (zh) | 调整网络安全防御方案的方法、装置、系统及存储介质 | |
| US11700271B2 (en) | Device and method for anomaly detection in a communications network | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN114338221B (zh) | 一种基于大数据分析的网络检测系统 | |
| CN114338189B (zh) | 基于节点拓扑关系链的态势感知防御方法、装置及系统 | |
| US20030229803A1 (en) | Communication systems automated security detection based on protocol cause codes | |
| CN110521233A (zh) | 网络故障发现 | |
| CN113127856A (zh) | 网络安全运维管理方法、装置、计算设备及存储介质 | |
| CN114006720B (zh) | 网络安全态势感知方法、装置及系统 | |
| CN114338110B (zh) | 态势感知中威胁信息的预测防御方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |