CN114697052B

CN114697052B - 网络防护方法及装置

Info

Publication number: CN114697052B
Application number: CN202011566533.8A
Authority: CN
Inventors: 张幸起
Original assignee: Beijing Guoshuangqianli Technology Co ltd
Current assignee: Beijing Guoshuangqianli Technology Co ltd
Priority date: 2020-12-25
Filing date: 2020-12-25
Publication date: 2023-10-27
Anticipated expiration: 2040-12-25
Also published as: CN114697052A

Abstract

本发明公开了一种网络防护方法及装置，基于威胁情报的攻击属性信息、目标设备的运行状态，确定威胁场景。然后基于威胁场景与威胁防护策略的对应关系，确定威胁场景对应的目标威胁防护策略，并将目标威胁防护策略下发至微隔离平台，以使微隔离平台执行目标威胁防护策略，实现了目标设备的防护。其中，上述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离，即本发明在目标设备运行过程中，能够根据威胁场景，选择不同层级的隔离进行防护，使得防护方式更能够适应于目标设备的当前运行状态，避免对目标设备上运行的业务的影响，在实现防护的同时，还能够保证目标设备的可靠性。

Description

网络防护方法及装置

技术领域

本发明涉及网络安全领域，更具体的说，涉及一种网络防护方法及装置。

背景技术

威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。

在使用威胁情报进行网络防护时，通常是对威胁情报进行分析，得到本地受攻击的目标设备，然后对该目标设备执行断网操作。但是在目标设备正在运行某些网络业务时，若是突然对目标设备进行断网操作，则会使得目标设备执行的网络业务中断，对于一些实时性要求较高的网络业务，则会导致该业务不能及时办理，影响目标设备的可靠性。

发明内容

鉴于上述问题，本发明提供一种克服上述问题或者至少部分地解决上述问题的一种网络防护方法及装置。

一种网络防护方法，应用于网络防护设备，所述网络防护方法包括：

接收预设设备发送的威胁情报以及所述威胁情报对应的运行告警信息；所述运行告警信息为与所述威胁情报对应的异常运行信息；

对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；

将所述运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备；

获取所述目标设备的运行状态，并确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景；

基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略；其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离；

将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略。

可选地，对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息，包括：

对所述威胁情报进行内容分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；

将得到的所述威胁情报的攻击属性信息转换成结构化格式的攻击属性信息。

可选地，对获取的运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备，包括：

获取通过对所述威胁情报与设备运行信息进行关联分析得到的运行告警信息，其中，所述设备运行信息用于表示设备运行的历史情况；

将所述运行告警信息与本地资产数据进行关联分析，定位所述威胁情报对应的受攻击的目标设备；

所述目标设备包括被攻击设备和/或被攻击关联设备；所述被攻击关联设备为在所述被攻击设备受到所述威胁情报对应的攻击源攻击之后，所述攻击源攻击的设备。

可选地，所述设备运行信息包括以下至少之一：日志、流量信息和告警信息。

可选地，确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景，包括：

获取威胁场景确定规则，其中，所述威胁场景确定规则包括多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系；所述预设威胁场景维度与所述威胁情报的攻击属性信息和/或所述目标设备的运行状态相关；

基于所述威胁情报的攻击属性信息和所述目标设备的运行状态，确定每一预设威胁场景维度的实际维度值；

在所述威胁场景确定规则中查找与所述多个预设威胁场景维度的实际维度值的组合所对应的威胁场景，并作为所述目标威胁场景。

可选地，所述不同层级的隔离包括以下至少之一：物理隔离、IP层隔离和应用层隔离。

一种网络防护装置，应用于网络防护设备，所述网络防护装置包括：

数据获取模块，用于接收预设设备发送的威胁情报以及所述威胁情报对应的运行告警信息；所述运行告警信息为与所述威胁情报对应的异常运行信息；

情报分析模块，用于对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；

关联分析模块，用于将所述运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备；

场景确定模块，用于获取所述目标设备的运行状态，并确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景；

策略确定模块，用于基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略；其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离；

策略下发模块，用于将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略。

可选地，所述情报分析模块具体用于：

一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述的网络防护方法。

一种电子设备，设备包括至少一个处理器、以及与处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行上述的网络防护方法。

借由上述技术方案，本发明提供了一种网络防护方法及装置，本发明能够基于所述威胁情报的攻击属性信息、所述目标设备的运行状态，确定威胁场景。然后基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略，并将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略，实现了目标设备的防护。其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离，即本发明在目标设备运行过程中，能够根据威胁场景，选择不同层级的隔离进行防护，使得防护方式更能够适应于目标设备的当前运行状态，避免对目标设备上运行的业务的影响，在实现防护的同时，还能够保证目标设备的可靠性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种网络防护方法的方法流程图；

图2示出了本发明实施例提供的另一种网络防护方法的方法流程图；

图3示出了本发明实施例提供的又一种网络防护方法的方法流程图；

图4示出了本发明实施例提供的一种网络防护方法的场景示意图；

图5示出了本发明实施例提供的一种网络防护装置的结构示意图；

图6示出了本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

在使用威胁情报进行网络防护时，通常是对威胁情报进行分析，得到本地受攻击的目标设备，然后对目标设备进行一键封堵，其中一键封堵可以是对该目标设备执行断网操作。但是这种方式较简单粗暴，操作单一，无法实现具体威胁场景的防护分析。

并且，在实际生产环境中受限于服务的连续性要求，封堵措施不一定能及时实施。例如：在目标设备正在运行某些网络业务时，若是突然对目标设备进行断网操作，则会使得目标设备执行的网络业务中断，对于一些实时性要求较高的网络业务，则会导致该业务不能及时办理。

为了解决上述技术问题，发明人经过研究发现，若是能够预先设定多种威胁防护策略，然后在目标设备受到攻击时，根据设备的运行状态以及威胁情报的攻击属性信息，确定出更适合目标设备的威胁防护策略，相比于一键断网的方式，能够具体场景具体分析，且能够在不影响目标设备上的业务运行的情况下，进行防护，提高了设备的可靠性。

具体的，本发明中，能够基于所述威胁情报的攻击属性信息、所述目标设备的运行状态，确定威胁场景。然后基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略，并将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略，实现了目标设备的防护。其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离，即本发明在目标设备运行过程中，能够根据威胁场景，选择不同层级的隔离进行防护，使得防护方式更能够适应于目标设备的当前运行状态，避免对目标设备上运行的业务的影响，在实现防护的同时，还能够保证目标设备的可靠性。

在上述内容的基础上，本发明实施例提供了一种网络防护方法，应用于网络防护设备，该网络防护设备可以是服务器等设备。所述网络防护设备预先存储有至少一种威胁场景，每一威胁场景对应有相应的威胁防护策略。即网络防护设备中也预先存储有多种威胁防护策略。

另外，网络防护设备也预先设置有多个预设威胁场景维度，通过多个预设威胁场景维度的维度值确定出具体的威胁场景。其中，威胁场景可以用威胁场景1、威胁场景2……威胁场景n表示。

具体的，参照表1，给出了预设威胁场景维度、威胁场景、威胁防护策略的对应关系。

表1预设威胁场景维度集合与威胁防护策略的多个对应关系

表1中，预设威胁场景维度集合包括Q1-Q5五个预设威胁场景维度，分别为Q1：威胁攻击方式明确，Q2：攻击方式复杂多样，Q3：仅利用网络方式攻击，Q4：仅利用应用漏洞方式攻击，以及Q5：受威胁的设备服务可中断。

其中，Q1：威胁攻击方式明确是指威胁情报的攻击方式是否是预设攻击方式，预设攻击方式可以是扩散攻击、耗费资源攻击等。若是预设攻击方式，则Q1满足。

Q2：攻击方式复杂多样，是指攻击方式的数量是否大于预设阈值，预设阈值可以依据实际情况而定，如三种。若是大于三种，则Q2满足。

Q3：仅利用网络方式攻击，是指威胁情报的攻击方式是否仅是利用网络方式攻击。若是仅利用网络方式攻击，则Q3满足。

Q4：仅利用应用漏洞方式攻击，是指威胁情报的攻击方式是否仅是利用应用漏洞方式攻击，若仅是利用应用漏洞方式攻击，则Q4满足。

Q5：受威胁的设备服务可中断，是指被威胁情报对应的攻击源攻击的设备上运行的服务是否可中断。其中，服务是否可中断是由服务属性确定的，服务属性中包括服务是否可中断的数据，分为可中断和不可中断两种。若是可中断，则Q5满足。

威胁场景与威胁防护策略有对应关系，该对应关系中包括多种威胁防护策略，即威胁防护策略也分为多种。其中，威胁防护策略包括隔离方式以及隔离对象；不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离，所述不同层级的隔离包括物理隔离、IP层隔离或应用层隔离，所述隔离对象包括所述被攻击设备或所述被攻击关联设备。

其中，物理隔离是指断网，如拔网线，切断为网络设备提供的电源等操作。IP层隔离是指利用防火墙等设置ACL(Access Control Lists，访问控制列表)控制策略对IP地址进行隔离，应用层隔离是指对具体某一端口进行隔离。

被攻击设备是指直接被威胁情报的攻击源攻击的设备，所述被攻击关联设备为在所述被攻击设备受到所述威胁情报对应的攻击源攻击之后，所述攻击源攻击的设备。举例来说，设备A和设备B网络通信，若某一威胁情报的攻击源的攻击方式是攻击某一设备通信的其他设备，则在威胁情报是在与设备A通信的过程中发现的，则该威胁情报的攻击源攻击的对象是设备B。

上述的表1包括多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系，依据预设威胁场景维度的维度值，确定出对应的威胁场景。本实施例中的多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系，为威胁场景确定规则具体包括的内容。

举例来说，在Q1、Q2、Q5满足、Q3和Q4不满足的情况下，认为出现了威胁场景1，此时执行A1操作。在Q1、Q3、Q5满足、Q2和Q4不满足的情况下，认为出现了威胁场景2，此时执行A2操作。

在上述表1的基础上，首先确定每一预设威胁场景维度值，然后每一预设威胁场景维度值的组合，依据该组合确定出每一预设威胁场景维度值对应的威胁场景，进而确定出该威胁场景对应的目标威胁防护策略。

本发明的另一实施例中，参照图1，网络防护方法可以包括：

S11、接收预设设备发送的威胁情报以及所述威胁情报对应的运行告警信息；所述运行告警信息为与所述威胁情报对应的异常运行信息。

在实际应用中，安全数据分析平台实时监控各个终端或设备的安全交互数据，如日志、网络的流量信息、告警信息等，将安全数据的属性信息发送给威胁情报管理平台，以使威胁情报管理平台进行威胁情报的威胁匹配分析，然后将匹配结果返回给安全数据分析平台。其中，匹配结果包括各个安全交互数据的威胁分析结果，安全数据分析平台基于威胁分析结果筛选出威胁程度较高的威胁分析结果，并确定该威胁分析结果对应的威胁情报以及所述威胁情报对应的运行告警信息，并将威胁情报以及所述威胁情报对应的运行告警信息发送至网络防护设备。即上述的安全数据分析平台即为本实施例中的预设设备。

所述运行告警信息为与所述威胁情报对应的异常运行信息，可以包括告警时间、告警内容、告警等级等。其中，告警内容是指具体与威胁情报对应的攻击事件。

威胁情报，包含可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等全部相关信息组件。

在实际应用中，威胁情报包括但不限于以下几种：

商业情报、开源威胁情报、第三方商业情报、高级情报、内部自产私有情报、自产情报和自定义情报等。

具体的，开源威胁情报指公开来源的威胁情报，可以从专业的恶意代码信息查询网站、国家公共漏洞库、网络安全专业信息网站和各类新闻网站的网络安全子站中获取。

第三方商业情报指：在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息。可通过采购安全厂商威胁情报相关产品，且该情报支持线上实时更新。

内部自产私有情报指：自行开展渗透测试、安全事件分析、病毒木马分析、恶意域名访问分析等过程中收集的威胁情报信息。

S12、对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息。

其中，所述攻击属性信息至少包括攻击方式和攻击目标。

每一威胁情报都对应有相应的情报内容，如上述的可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施等内容。

其中，攻击方法可以是对数据进行加密等操作。攻击目标可以是该业务数据传输的对象，本实施例中称为被攻击设备，此外，还可以是与该被攻击设备进行通信的设备，如上述的被攻击关联设备。

在获取到该威胁情报之后，会对该威胁情报进行分析，从中提取出所需的内容。

具体的，对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息，可以包括：

1)对所述威胁情报进行内容分析，得到所述威胁情报的攻击属性信息。

所述攻击属性信息至少包括攻击方式和攻击目标。

在获取到威胁情报之后，对该威胁情报的内容进行解析操作，其中，解析操作可以是分析威胁情报中的每一维度以及维度对应的维度值。

本实施例中，会预先设定所需的维度，如所需的维度是攻击方式和攻击目标。然后从上述的具体内容中查询得到所需的维度的维度值。

2)将得到的所述威胁情报的攻击属性信息转换成结构化格式的攻击属性信息。

在实际应用中，上述获取的攻击属性信息可能是非标准数据，为了后续处理的操作简单化，可以将攻击属性信息转化成结构化数据。

举例说明，假设攻击方式是采用数据加密方式，则其对应的结构化是数据加密。

S13、将运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备。

具体的，本地资产数据可以包括IT资产库、终端准入资产和IP区域等。

其中，IT资产库主要存储服务器相关资产信息(包括：IP地址、MAC地址、业务系统、资产类型、服务及版本、开放端口、所属单位、负责人、负责人电话、部署位置等)。

终端准入资产是记录了办入终端入网时的相关信息(包括：IP地址、MAC地址、主机名、用户名、组织机构等)。

IP区域主要存储了单位的IP网段信息(包括：IP网段、网关、子网掩码、单位或部门、位置、用途等)。

需要说明的是，本地资产数据的具体内容，可根据公司的需求来进行构建，不同的公司构建的本地资产数据可能存在差异。

本发明的另一实施例中，给出了将运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备的过程，具体的，参照图2，可以包括：

S21、获取通过对所述威胁情报与设备运行信息进行关联分析得到的运行告警信息。

其中，所述设备运行信息用于表示设备运行的历史情况，所述设备运行信息包括以下至少之一：日志、流量信息和告警信息。

具体的，本发明实施例主要是利用威胁情报发现日志、流量信息和告警信息中的运行告警信息，运行告警信息再匹配资产数据定位受攻击的目标。

在实际应用中，参照上述内容，获取通过对所述威胁情报与设备运行信息进行关联分析得到的运行告警信息。

S22、将所述运行告警信息与本地资产数据进行关联分析，定位所述威胁情报对应的受攻击的目标设备。

具体的，获取本地资产数据，所述本地资产数据包括至少一种本地资产。

其中，本地资产可以是上述的IT资产库、终端准入资产和IP区域等。

按照至少一个所述本地资产的排列顺序，将所述本地资产与所述运行告警信息进行关联分析，得到所述威胁情报对应的受攻击的目标设备。

其中，所述目标设备包括上述的被攻击设备和被攻击关联设备。

具体的，将攻击源IP与上述终端准入资产进行关联，判断：二者是否可以关联上；

若可以关联上，则显示出攻击源IP地址、MAC地址、组织机构、用户信息；若未能关联上，则：

将攻击源IP与上述IT资产进行关联；并判断，攻击源IP与上述IT资产是否可以关联上；

若可以关联上，则显示出攻击源IP地址、业务系统、部署位置、系统负责人、联系电话；若未能关联上，则：将攻击源IP与上述IP区域进行关联，最终显示出攻击源IP的IP网段和组织机构信息，具体可以显示当前IP位于哪个单位的哪个网段。

本申请实施例将动态资产库和运行告警信息进行关联分析，可以实时掌握当前病毒木马感染情况，自动定位到个人或组织机构，有效提高病毒木马分析的效率。

S14、获取所述目标设备的运行状态，并确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景。

其中，目标设备的运行状态可以从目标设备的运行日志中获取，目标设备的运行状态可以包括当前运行正常还是异常，目标设备上运行有什么服务，这些服务是否可中断等内容。

参照图3，步骤S14可以包括：

S31、获取威胁场景确定规则。

其中，所述威胁场景确定规则包括多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系；所述预设威胁场景维度与所述威胁情报的攻击属性信息和/或所述目标设备的运行状态相关。

S32、基于所述威胁情报的攻击属性信息和所述目标设备的运行状态，确定每一预设威胁场景维度的实际维度值；

S33、在所述威胁场景确定规则中查找与所述多个预设威胁场景维度的实际维度值的组合所对应的威胁场景，并作为所述目标威胁场景。

具体的，多个预设威胁场景维度对应的维度值的确定方式可以是上述的Q1-Q5的判断方式，如上述的Q1，Q1：威胁攻击方式明确是指威胁情报的攻击方式是否是预设攻击方式，预设攻击方式可以是扩散攻击、耗费资源攻击等。若是预设攻击方式，则认为满足Q1，此时Q1的维度值为Y，若不满足，则Q1的维度值为N。Q2-Q4同Q1的确定过程。

在Q1-Q5确定出来之后，汇总Q1-Q5的组合，然后根据表1确定出多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系，确定出威胁场景。

具体的，可以参照上述的表1，在Q1-Q5确定后，根据Q1-Q5与威胁场景1-8的对应关系，确定出对应的威胁场景，并确定为目标威胁场景。

S15、基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略。

所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离。不同层级的隔离包括物理隔离、IP层隔离或应用层隔离。

本实施例中确定的目标威胁防护策略包括隔离方式以及隔离对象。所述隔离对象包括所述被攻击设备或所述被攻击关联设备。

更具体的，查询所述威胁场景与威胁防护策略的对应关系，即可得到所述威胁场景对应的目标威胁防护策略。

参照表1，根据威胁场景1-8，与威胁防护策略A1-B3的对应关系，得到目标威胁场景对应的威胁防护策略，并作为目标威胁防护策略。

S16、将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略。

本实施例中，执行目标威胁防护策略的是微隔离平台，根据目标威胁防护策略的具体内容，执行物理隔离、IP层隔离或应用层隔离。具体为是对设备整体断网、还是利用防火墙等设置ACL(Access Control Lists，访问控制列表)控制策略对IP地址进行隔离，又或者是端口隔离。

需要说明的是，物理隔离、IP层隔离或应用层隔离是对隔离方式越来越细化的操作，越来来具体化到某一具体层级。这样可以使得，在目标设备执行某一业务时，若受到攻击时，可以采用不影响业务的防护方式，保证了业务的正常运行。

另外，表1中仅给出了Q1-Q5的五个预设威胁场景维度，此外还可以增加其他的预设威胁场景维度。此外，还可以将每一预设威胁场景维度进行更具体的细化，如将Q1的威胁攻击方式，在具体分为在某种攻击方式下，对应哪种场景，这样会逐渐丰富表1，适应的场景更细化和更广泛。

本实施例中的各个步骤可以使用设置在网络防护设备中相应的组件完成，各个组件协同实现本发明中的网络防护方法。

参照图4，图4给出了各个平台之间的交互关系，具体交互内容参照上述相应说明。

需要说明的是，上述实施例中的网络防护设备即为图4中的策略管理平台，另外，上述实施例采用策略管理平台进行将所述运行告警信息与本地资产数据进行关联分析的操作，此外，还可以是图4中的资产管理平台执行将所述运行告警信息与本地资产数据进行关联分析的操作，并将得到的所述威胁情报对应的受攻击的目标设备发送至策略管理平台。

本实施例中，能够基于所述威胁情报的攻击属性信息、所述目标设备的运行状态，确定威胁场景。然后基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略，并将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略，实现了目标设备的防护。其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离，即本发明在目标设备运行过程中，能够根据威胁场景，选择不同层级的隔离进行防护，使得防护方式更能够适应于目标设备的当前运行状态，避免对目标设备上运行的业务的影响，在实现防护的同时，还能够保证目标设备的可靠性。

另外，本发明增加一个网络防护设备，解析威胁情报攻击信息并设置不同防护策略，利用微隔离管理平台可以在尽可能不影响服务情况下完成威胁防护，快速完成事件响应。

可选地，在上述网络防护方法的实施例的基础上，本发明的另一实施例提供了一种网络防护装置，应用于网络防护设备，参照图5，所述网络防护装置包括：

数据获取模块11，用于接收预设设备发送的威胁情报以及所述威胁情报对应的运行告警信息；所述运行告警信息为与所述威胁情报对应的异常运行信息；

情报分析模块12，用于对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；

关联分析模块13，用于将所述运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备；

场景确定模块14，用于获取所述目标设备的运行状态，并确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景；

策略确定模块15，用于基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略；其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离；

策略下发模块16，用于将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略。

进一步，所述情报分析模块具体用于：

进一步，关联分析模块包括：

数据获取子模块，用于获取通过对所述威胁情报与设备运行信息进行关联分析得到的运行告警信息，其中，所述设备运行信息用于表示设备运行的历史情况；

关联分析子模块，用于将所述运行告警信息与本地资产数据进行关联分析，定位所述威胁情报对应的受攻击的目标设备；

进一步，所述设备运行信息包括以下至少之一：日志、流量信息和告警信息。

进一步，场景确定模块包括：

规则获取子模块，用于获取威胁场景确定规则，其中，所述威胁场景确定规则包括多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系；所述预设威胁场景维度与所述威胁情报的攻击属性信息和/或所述目标设备的运行状态相关；

维度确定子模块，用于基于所述威胁情报的攻击属性信息和所述目标设备的运行状态，确定每一预设威胁场景维度的实际维度值；

场景确定子模块，用于在所述威胁场景确定规则中查找与所述多个预设威胁场景维度的实际维度值的组合所对应的威胁场景，并作为所述目标威胁场景。

进一步，所述不同层级的隔离包括以下至少之一：物理隔离、IP层隔离和应用层隔离。

需要说明的是，本实施例中的各个模块和子模块的工作过程，请参照上述实施例中的相应说明，在此不再赘述。

所述网络防护装置包括处理器和存储器，上述数据获取模块、情报分析模块、关联分析模块、场景确定模块、策略确定模块和策略下发模块等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来实现使用的防护方式更能够适应于目标设备的当前运行状态，避免对目标设备上运行的业务的影响，在实现防护的同时，还能够保证目标设备的可靠性。

本发明实施例提供了一种存储介质，其上存储有程序，该程序被处理器执行时实现所述网络防护方法。

本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述网络防护方法。

本发明实施例提供了一种电子设备70，参照图6，电子设备70包括至少一个处理器701、以及与处理器连接的至少一个存储器702、总线703；其中，处理器701、存储器702通过总线703完成相互间的通信；处理器701用于调用存储器702中的程序指令，以执行上述的网络防护方法。本文中的电子设备70可以是服务器、PC、PAD、手机等。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：

进一步，对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息，包括：

进一步，对获取的运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备，包括：

进一步，确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景，包括：

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

在一个典型的配置中，设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims

1.一种网络防护方法，其特征在于，应用于网络防护设备，所述网络防护方法包括：

将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略；

其中，确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景，包括：

2.根据权利要求1所述的网络防护方法，其特征在于，对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息，包括：

3.根据权利要求1所述的网络防护方法，其特征在于，对获取的运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备，包括：

4.根据权利要求3所述的网络防护方法，其特征在于，所述设备运行信息包括以下至少之一：日志、流量信息和告警信息。

5.根据权利要求1所述的网络防护方法，其特征在于，所述不同层级的隔离包括以下至少之一：物理隔离、IP层隔离和应用层隔离。

6.一种网络防护装置，其特征在于，应用于网络防护设备，所述网络防护装置包括：

策略下发模块，用于将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略；

所述场景确定模块包括：

7.根据权利要求6所述的网络防护装置，其特征在于，所述情报分析模块具体用于：

8.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行如权利要求1-5中任一项所述的网络防护方法。

9.一种电子设备，设备包括至少一个处理器、以及与处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行如权利要求1-5中任一项所述的网络防护方法。