CN117879854A

CN117879854A - 网络威胁应对方法和装置

Info

Publication number: CN117879854A
Application number: CN202311567237.3A
Authority: CN
Inventors: 雷小辉; 童小敏; 马坤; 朱利军
Original assignee: Xi'an Clover Cyber Technology Co ltd
Current assignee: Xi'an Clover Cyber Technology Co ltd
Priority date: 2023-11-22
Filing date: 2023-11-22
Publication date: 2024-04-12

Abstract

本申请公开了一种网络威胁应对方法和装置，本方案通过预先训练好的预设自愈控制模型直接对当前网络流量数据进行计算，就能够得到相应的目标应对策略，提高了进行网络威胁应对的准确性及效率；另外，通过应对策略生成模块自动化生成目标应对策略，减少了对人工干预的需求，处置效率更高，同时减少了人为错误；同时，通过自愈控制模块可以针对网络威胁自动化处置，减少了因网络威胁导致目标网络服务中断甚至宕机的频率和时间。

Description

网络威胁应对方法和装置

技术领域

本申请涉及网络安全技术领域，尤其涉及网络威胁应对方法和装置。

背景技术

随着计算机网络技术的不断发展，计算机网络系统的安全问题变得越来越严重，其中，应对网络威胁在网络安全中扮演着极其关键和重要的角色，其是网络处置的基础和前提，对于保障网络安全、实时监控和预警具有重要的现实意义。

传统地，在应对网络威胁时，通常是先通过入侵检测系统等方式来检测网络威胁，再对网络威胁进行相应地处置。然而，采用上述方式进行网络威胁应对时存在应对效率较差的问题。

发明内容

本申请旨在至少解决现有技术中存在的技术问题，为此，本申请第一方面提出一种网络威胁应对方法，该方法包括：

获取目标网络服务对应的当前网络流量数据；

将当前网络流量数据输入至预设自愈控制模型中进行计算，通过预设自愈控制模型中的应对策略生成模块生成与当前网络流量数据对应的目标应对策略；

通过预设自愈控制模型中的自愈控制模块基于目标应对策略，对目标网络服务的网络威胁进行处理。

在一种可能的实施方式中，通过预设自愈控制模型中的应对策略生成模块生成与当前网络流量数据对应的目标应对策略，包括：

对当前网络流量数据进行处理，生成与当前网络流量数据对应的威胁检测结果；

基于威胁检测结果，计算目标网络服务对应的综合威胁值；

基于综合威胁值及预设匹配规则，确定与当前网络流量数据对应的目标应对策略。

在一种可能的实施方式中，威胁检测结果包括威胁类型及威胁级别，威胁类型包括多种威胁级别，目标网络服务包括至少一种威胁类型，基于威胁检测结果，计算目标网络服务对应的综合威胁值，包括：

获取目标网络服务对应的综合重要性值、及各威胁类型分别对应的一组威胁系数；其中，一组威胁系数中包括在同一种威胁类型下的多种威胁级别分别对应的威胁系数；

基于综合重要性值及至少一组威胁系数，计算目标网络服务对应的综合威胁值。

在一种可能的实施方式中，获取目标网络服务对应的综合重要性值，包括：

获取目标网络服务对应的业务重要性值、中断容忍度、恢复时间容忍度及恢复难度系数；其中，业务重要性值用于表征目标网络服务所提供的业务的重要性，中断容忍度用于表征容忍目标网络服务中断服务的程度，恢复时间容忍度用于表征容忍目标网络服务中断服务后进行恢复所需要的恢复时长的程度，恢复难度系数用于表征目标网络服务中断服务后恢复为原始状态的难易程度；

基于业务重要性值、中断容忍度、恢复时间容忍度及恢复难度系数，计算综合重要性值。

在一种可能的实施方式中，目标应对策略包括多条应对子策略，通过预设自愈控制模型中的自愈控制模块基于目标应对策略，对目标网络服务的网络威胁进行处理，包括：

获取与多条应对子策略对应的预设执行规则；

基于多条应对子策略，采用预设执行规则对目标网络服务的网络威胁进行处理。

在一种可能的实施方式中，基于多条应对子策略，采用预设执行规则对目标网络服务的网络威胁进行处理，包括：

针对各条应对子策略，获取应对子策略的预设优先级及应对子策略对应的威胁类型；

基于预设优先级中的最高优先级对应的应对子策略对目标网络服务的网络威胁进行处理；

针对预设优先级中除最高优先级之外的各其他优先级，根据其他优先级及其他优先级对应的应对子策略的威胁类型，从其他优先级对应的应对子策略中选取目标应对子策略，并基于目标应对子策略对目标网络服务的网络威胁进行处理。

在一种可能的实施方式中，通过预设自愈控制模型中的自愈控制模块基于目标应对策略，对目标网络服务的网络威胁进行处理，还包括：

通过预设自愈控制模型中的自愈控制模块获取目标应对策略对应的控制级别；

基于目标应对策略，对目标网络服务中与控制级别对应的网络威胁进行处理。

本申请第二方面提出一种网络威胁应对装置，该装置包括：

获取模块，用于获取目标网络服务对应的当前网络流量数据；

生成模块，用于将当前网络流量数据输入至预设自愈控制模型中进行计算，通过预设自愈控制模型中的应对策略生成模块生成与当前网络流量数据对应的目标应对策略；

处理模块，用于通过预设自愈控制模型中的自愈控制模块基于目标应对策略，对目标网络服务的网络威胁进行处理。

在一种可能的实施方式中，上述生成模块具体用于：

基于威胁检测结果，计算目标网络服务对应的综合威胁值；

在一种可能的实施方式中，威胁检测结果包括威胁类型及威胁级别，威胁类型包括多种威胁级别，目标网络服务包括至少一种威胁类型，上述生成模块还用于：

在一种可能的实施方式中，上述生成模块还用于：

在一种可能的实施方式中，目标应对策略包括多条应对子策略，上述处理模块具体用于：

获取与多条应对子策略对应的预设执行规则；

在一种可能的实施方式中，上述处理模块还用于：

本申请第三方面提出一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的网络威胁应对方法。

本申请第四方面提出一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的网络威胁应对方法。

本申请实施例具有以下有益效果：

本申请实施例提供的网络威胁应对方法，该方法包括：获取目标网络服务对应的当前网络流量数据，将当前网络流量数据输入至预设自愈控制模型中进行计算，通过预设自愈控制模型中的应对策略生成模块生成与当前网络流量数据对应的目标应对策略，通过预设自愈控制模型中的自愈控制模块基于目标应对策略，对目标网络服务的网络威胁进行处理。本方案通过预先训练好的预设自愈控制模型直接对当前网络流量数据进行计算，就能够得到相应的目标应对策略，提高了进行网络威胁应对的准确性及效率；另外，通过应对策略生成模块自动化生成目标应对策略，减少了对人工干预的需求，处置效率更高，同时减少了人为错误；同时，通过自愈控制模块可以针对网络威胁自动化处置，减少了因网络威胁导致目标网络服务中断甚至宕机的频率和时间。

附图说明

图1为本申请实施例提供的一种计算机设备的框图；

图2为本申请实施例提供的网络威胁应对方法的步骤流程图；

图3为本申请实施例提供的一种生成目标应对策略的步骤流程图；

图4为本申请实施例提供的一种计算综合威胁值的步骤流程图；

图5为本申请实施例提供的一种获取综合重要性值的步骤流程图；

图6为本申请实施例提供的一种处理网络威胁的步骤流程图；

图7为本申请实施例提供的另一种处理网络威胁的步骤流程图；

图8为本申请实施例提供的又一种处理网络威胁的步骤流程图；

图9为本申请实施例提供的网络威胁应对装置的结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。另外，“基于”或“根据”的使用意味着开放和包容性，因为“基于”或“根据”一个或多个所述条件或值的过程、步骤、计算或其他动作在实践中可以基于额外条件或超出所述的值。

本申请提供的网络威胁应对方法可以应用于计算机设备(电子设备)中，计算机设备可以是服务器，也可以是终端，其中，服务器可以为一台服务器也可以为由多台服务器组成的服务器集群，本申请实施例对此不作具体限定，终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。

以计算机设备是服务器为例，图1示出了一种服务器的框图，如图1所示，服务器可以包括通过系统总线连接的处理器和存储器。其中，该服务器的处理器用于提供计算和控制能力。该服务器的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序以及数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机程序被处理器执行时以实现一种网络威胁应对方法。

本领域技术人员可以理解，图1中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的服务器的限定，可选地服务器可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

需要说明的是，本申请实施例的执行主体可以是计算机设备，也可以是网络威胁应对装置，下述方法实施例中就以计算机设备为执行主体进行说明。

图2为本申请实施例提供的网络威胁应对方法的步骤流程图。如图2所示，该方法包括以下步骤：

步骤202、获取目标网络服务对应的当前网络流量数据。

其中，随着计算机网络技术的不断发展，计算机网络系统的安全问题变得越来越严重，其中，应对网络威胁在网络安全中扮演着极其关键和重要的角色，其是网络处置的基础和前提，对于保障网络安全、实时监控和预警具有重要的现实意义。

在进行网络威胁应对时，需要先获取目标网络服务对应的当前网络流量数据，可以包括获取应用程序日志、服务器性能指标、用户活动、访问控制日志、服务器相关设备响应信息、管理员处置信息等相关数据。另外，这里的目标网络服务至少包括一种。

步骤204、将当前网络流量数据输入至预设自愈控制模型中进行计算，通过预设自愈控制模型中的应对策略生成模块生成与当前网络流量数据对应的目标应对策略。

其中，预设自愈控制模型是用于生成针对目标网络服务的目标应对策略的模型，预设自愈控制模型可以包括应对策略生成模块及自愈控制模块。应对策略生成模块用于生成相应的目标应对策略，并将目标应对策略输出至自愈控制模块中，自愈控制模块用于根据该目标应对策略应对目标网络服务中的网络威胁。

在获取到当前网络流量数据后，可以将当前网络流量数据输入至预设自愈控制模型中进行计算，从而通过预设自愈控制模型中的应对策略生成模块生成与当前网络流量数据对应的目标应对策略。

预设自愈控制模型需要预先构建，在构建该模型之前，可以先明确定义目标网络服务的服务业务、业务重要性、中断容忍度、恢复时间容忍度和关键业务等流程，以及了解目标网络服务的规模、用户群体、数据敏感性以及服务提供者的需求。

可选地，可以先根据网络资产的属性，梳理该网络资产的所有目标网络服务，例如，对于某小型电商主机，其目标网络服务可以包括商家服务系统、客户服务系统、管理员服务系统、数据库服务系统、服务器监控系统、安全运维系统、告警系统、日志系统等，假设该网络资产提供了n种目标网络服务。

接着，可以针对每一种目标网络服务，根据其提供的具体业务，由专家预先定义其对应的业务重要性值、中断容忍度、恢复时间容忍度及恢复难度系数。其中，业务重要性值用于表征目标网络服务所提供的业务的重要性，n种目标网络服务可以表征为[r1,r2,r3,……,rn]。

中断容忍度用于表征容忍目标网络服务中断服务的程度，中断容忍度越高，则表示越可以容忍其中断服务，例如，通常日志系统的中断容忍度高于客户服务系统的中断容忍。n种目标网络服务的中断容忍度可以表征为[c1,c2,c3,……,cn]。

恢复时间容忍度用于表征容忍目标网络服务中断服务后进行恢复所需要的恢复时长的程度，可容忍恢复时长越大，则恢复时间容忍度越大。例如，若日志系统和客户服务系统同时宕机，通常日志系统的恢复时间容忍度高于客户服务系统的恢复时间容忍度。n种目标网络服务的恢复时间容忍度可以表征为[t1,t2,t3,……,tn]。

恢复难度系数用于表征目标网络服务中断服务后恢复为原始状态的难易程度，也即表征目标网络服务宕机后将其恢复为原来可提供服务的状态的难易程度，其恢复难度系数的设置需要考虑目标网络服务的部署方式、运行时长、数据量规模、技术栈、数据敏感性等相关信息。n种目标网络服务的恢复难度系数可以表征为[k1,k2,k3,……,kn]。

基于上述业务重要性值、中断容忍度、恢复时间容忍度及恢复难度系数，n种目标网络服务的综合重要性值可以表示为w＝[w1,w2,w3,……,wn]。其中，对于任意一个w(i)，i为1至n中的任意值，可通过公式(1)计算得到。

w(i)＝a1×r(i)+ a2×c(i) +a3×t(i) +a4×k(i) (1)

其中，a1、a2、a3、a4为预先自定义设置的值，i为1至n中的任意值。

接着，可以定义不同的威胁类型及威胁级别，可选地，可以对于常见的威胁类型，例如社工攻击、恶意软件攻击、物联网攻击、拒绝服务攻击、中间人攻击、内部威胁等，针对每种威胁类型预先定义不同的威胁等级。

接着，可以针对不同的威胁类型，定义对应的应对策略，例如，针对某一个目标网络服务的应对策略可以包括隔离受感染系统、组件、限制恶意用户访问、重新路由流量等。再例如，针对某数据库网络服务的应对策略可以包括封禁用户、临时封禁用户、拒绝特定操作、关闭某连接端口、开启更细颗粒度的权限校验等策略。拒绝特定操作可以包括修改数据、删除数据等。

接着，再定义每种综合威胁值对应的应对策略。其中，由于每种威胁类型的危害程度不同，其综合威胁值与应对策略也并不相同，例如，对于数据库脱库威胁应采取更加严格的防范策略。因此，在定义应对策略时，考虑不同威胁类型的不同危害程度，即综合威胁值可以采取不同的应对方案，可选地，每种威胁类型可以考虑三种威胁级别的应对策略。例如，若威胁类型为检测到恶意用户行为，如果对应的综合威胁值为0.9，则可以采取封禁用户策略；如果对应的综合威胁值为0.6，则可以采取退出当前连接策略；如果对应的综合威胁值为0.2，则可以采取拒绝本次请求策略。

在定义完成上述执行流程之后，可以收集各种网络服务产生的数据作为网络流量数据样本，可以包括应用程序日志、服务器性能指标、用户活动、访问控制日志、服务器相关设备响应信息、管理员处置信息等数据。可选地，可以着重收集在使用过程中受到网络威胁、攻击阶段的相关数据，例如，某次网络服务受到恶意攻击，用户操作受阻、系统表现异常、服务器异常、管理员监控处置等相关数据。

接着，可以对收集到的网络流量数据样本进行数据预处理，可以包括但不限于统一编码、归一化、去噪、无效数据处理等预处理过程，从而得到预处理后的网络流量数据样本。

另外，还可以构建预设网络威胁检测模型，可选地，可以基于威胁情报、安全分析技术等构建预设网络威胁检测模型，该模型可检测出常见的各种恶意行为、应用程序漏洞利用、DDos攻击等威胁。从而可以将预处理后的网络流量数据样本输入至该预设网络威胁检测模型进行处理，得到威胁检测结果。其中，威胁检测结果可以包括威胁类型、威胁等级和其详细信息，详细信息可以包括网络威胁的基本信息、威胁等级、威胁导致的后续结果等相关信息。

另外，还需要分别构建预设自愈控制模型中的应对策略生成模块及自愈控制模块。其中，在构建应对策略生成模块时，需要由安全专家预先针对每一种目标网络服务，定义一组威胁系数，一组威胁系数中包括在同一种威胁类型下的多种威胁级别分别对应的威胁系数，一组威胁系数risk可以记作risk＝[risk1(1),risk(2),……,risk(n)]，其中，risk(i)表示一种威胁级别对应的威胁系数。通常，威胁级别越高，认为威胁越严重，对应的威胁系数则越大。

接着，可以根据综合重要性值及至少一组威胁系数，计算目标网络服务对应的综合威胁值。其中，对于一个目标网络服务，该目标网络服务可以包括至少一种威胁类型，从而就有至少一组威胁系数。从而，可以基于上述综合重要性值及至少一组威胁系数，计算得到目标网络服务对应的综合威胁值。可选地，上述每一组威胁系数可以均进行归一化处理，从而该目标网络服务对应的综合威胁值rd(i)＝max([该目标网络服务所有的威胁系数])×w(i)。

再根据该综合威胁值及预设匹配规则，就能够确定出与当前网络流量数据对应的目标应对策略。其中，预设匹配规则即为上述定义每种综合威胁值对应的应对策略的实施例中所提供的匹配规则。

在构建自愈控制模块时，可以包括构建智能决策引擎以及自愈控制器两部分。其中，在构建智能决策引擎时，可选地，智能决策引擎可以根据监测到的网络威胁对应的威胁类型选择最佳的目标应对策略。例如，若上述应对策略生成模块中针对某一个目标网络服务的不同网络威胁生成了多条应对子策略，需要通过智能决策引擎来决策多条应对子策略的预设执行规则。

其中，设置预设执行规则时，可以先构建各条应对子策略的预设优先级，通常，为了保证目标网络服务的安全性，若某一种威胁类型的威胁值越大，则与其对应的应对子策略的预设优先级越高。另外，所有威胁值是已经经过归一化处理的，因此，其具有相同的量纲，从而可以认为威胁值越大则危害程度越大，应赋予与其对应的应对子策略也为最高的预设优先级。

接着，可以先执行预设优先级中的最高优先级对应的应对子策略，再针对预设优先级中除最高优先级之外的各其他优先级，根据其他优先级及其他优先级对应的应对子策略的威胁类型，从其他优先级对应的应对子策略中选取目标应对子策略，并基于目标应对子策略对目标网络服务的网络威胁进行处理。

示例性地，对于第二预设优先级，可以先判断第二预设优先级的应对子策略与最高优先级的应对子策略是否应对的是同一威胁类型的网络威胁，若是，则可以忽略该第二预设优先级的应对子策略，即不执行该第二预设优先级的应对子策略；否则的话，则将该第二预设优先级的应对子策略作为目标应对子策略并执行。

再以第三预设优先级为例进行说明，可以先判断第三预设优先级的应对子策略与第二预设优先级的应对子策略是否应对的是同一威胁类型的网络威胁，且与最高优先级的应对子策略是否应对的是同一威胁类型的网络威胁，若均为否，则将该第三预设优先级的应对子策略作为目标应对子策略并执行；否则的话，也即至少一个为是，此时需要判断高于该第三预设优先级的应对子策略是否已经执行过，若已执行，则不执行该第三预设优先级的应对子策略，若未执行，则可以将该第三预设优先级的应对子策略作为目标应对子策略并执行。

例如，若第三预设优先级的应对子策略与第二预设优先级的应对子策略应对的是同一威胁类型的网络威胁，此时若判断第二预设优先级的应对子策略已执行过，则不执行该第三预设优先级的应对子策略；若判断第二预设优先级的应对子策略未执行过，则可以将该第三预设优先级的应对子策略作为目标应对子策略并执行。

同样地，对于第四预设优先级以及后面的所有预设优先级，均与第三预设优先级的执行方式类似，在此不再一一举例说明。

进一步地，可以构建自愈控制器，该自愈合控制器负责实施目标应对策略，它与网络设备、服务器和应用程序交互，以执行必要的操作来应对网络威胁。其中，在构建自愈控制器时，可以先识别目标应对策略对应的控制级别，该控制级别可以包括与网络设备对应的设备级、与服务器对应的服务级、与应用程序对应的组件级。

接着，可以构建设备级自愈控制器、服务级自愈控制器以及组件级自愈控制器。其中，设备级别的自愈控制程序一般要求的权限比较高，产生的影响较大，如添加防火墙规则等。针对某个服务，对其进行自愈修复时，仅针对服务的某个方面采取相关策略，如某服务中禁用某个用户操作。针对某个或某些基础组件的控制器，如某个组件的漏洞修复和避免操作。

最后可以定义自愈控制器的执行步骤，可选地，可以按照设备级、服务级、组件级依次执行。

另外，由于自愈控制器服务器、网络设备影响较大，因此需要在尽可能较小的影响域下，在各个自愈控制器构建之后，需要检测其对目标网络服务或其他业务的影响程度，若有影响，则需要根据实际情况人工处置。

从而在上述应对策略生成模块以及自愈控制模块构建完成之后，可以构建初始自愈控制模型。可选地，可以先初始化威胁系数，其中，威胁系数一般由专家给出，专家可以根据威胁类型和威胁级别并参考行业动态给出各种网络威胁的威胁系数。再自动将应对策略生成模块和自愈控制模块串联起来，即将应对策略生成模块的输出结果传递给自愈控制模块，从而将应对策略生成模块和自愈控制模块融合起来，最后进行封装处理后，得到初始自愈控制模型。

另外，还可以实时监控初始自愈控制模型的状态，若出现异常情况，需管理人员和相关人员介入处理。

再针对该初始自愈控制模型，根据其运行情况，针对某些场景下出现的不可预期问题，需对初始自愈控制模型进行微调。例如，若综合威胁值与目标应对策略的对应关系不合理、预设优先级的评定非最优等，需要对相关的计算逻辑进行修改和调优，可以包括调整威胁系数等参数，修改后继续进行实时监控，直到运行满足要求为止，最终生成预设自愈控制模型。构建得到的预设自愈控制模型可以在威胁检测后立即采取措施，相对于人工处置，更加高效，并且减少了恶意活动对目标网络服务的影响；另外，还可以集成其他计划，扩展性更强，例如，可以结合灾难恢复计划，在网络威胁发生时候可以迅速恢复目标网络服务，提高目标网络服务的健壮性。

在构建完成预设自愈控制模型后，在一些可选地实施例中，如图3所示，图3为本申请实施例提供的一种生成目标应对策略的步骤流程图，包括：

步骤302、对当前网络流量数据进行处理，生成与当前网络流量数据对应的威胁检测结果。

其中，可以根据预先构建的预设网络威胁检测模型对当前网络流量数据进行处理，从而生成与当前网络流量数据对应的威胁检测结果。威胁检测结果可以包括威胁类型、威胁等级和其详细信息，详细信息可以包括网络威胁的基本信息、威胁等级、威胁导致的后续结果等相关信息。

步骤304、基于威胁检测结果，计算目标网络服务对应的综合威胁值。

其中，威胁检测结果包括威胁类型及威胁级别，威胁类型包括多种威胁级别，目标网络服务包括至少一种威胁类型。在计算综合威胁值时，如图4所示，图4为本申请实施例提供的一种计算综合威胁值的步骤流程图，包括：

步骤402、获取目标网络服务对应的综合重要性值、及各威胁类型分别对应的一组威胁系数。

步骤404、基于综合重要性值及至少一组威胁系数，计算目标网络服务对应的综合威胁值。

其中，一组威胁系数中包括在同一种威胁类型下的多种威胁级别分别对应的威胁系数，一组威胁系数risk可以记作risk＝[risk1(1),risk(2),……,risk(n)]，其中，risk(i)表示一种威胁级别对应的威胁系数。

对于一个目标网络服务，该目标网络服务可以包括至少一种威胁类型，从而就有至少一组威胁系数。从而，可以基于综合重要性值及至少一组威胁系数，计算得到目标网络服务对应的综合威胁值。可选地，上述每一组威胁系数可以均进行归一化处理，从而该目标网络服务对应的综合威胁值rd(i)＝max([该目标网络服务所有的威胁系数])×w(i)。

在获取综合重要性值时，可选地，如图5所示，图5为本申请实施例提供的一种获取综合重要性值的步骤流程图，包括：

步骤502、获取目标网络服务对应的业务重要性值、中断容忍度、恢复时间容忍度及恢复难度系数。

步骤504、基于业务重要性值、中断容忍度、恢复时间容忍度及恢复难度系数，计算综合重要性值。

其中，业务重要性值用于表征目标网络服务所提供的业务的重要性，中断容忍度用于表征容忍目标网络服务中断服务的程度，恢复时间容忍度用于表征容忍目标网络服务中断服务后进行恢复所需要的恢复时长的程度，恢复难度系数用于表征目标网络服务中断服务后恢复为原始状态的难易程度。n种目标网络服务的综合重要性值可以表示为w＝[w1,w2,w3,……,wn]。

步骤306、基于综合威胁值及预设匹配规则，确定与当前网络流量数据对应的目标应对策略。

其中，在定义应对策略时，考虑不同威胁类型的不同危害程度，即综合威胁值采取不同的应对方案，可选地，每种威胁类型可以考虑三种威胁级别的应对策略。例如，若威胁类型为检测到恶意用户行为，如果对应的综合威胁值为0.9，则可以采取封禁用户策略；如果对应的综合威胁值为0.6，则可以采取退出当前连接策略；如果对应的综合威胁值为0.2，则可以采取拒绝本次请求策略。根据该综合威胁值与应对策略之间的对应关系可以得到预设匹配规则，从而可以确定出对应的目标应对策略。

上述确定目标应对策略的具体过程可以参考上述构建预设自愈控制模型的各实施例的实现过程，在此不再赘述。

本实施例中，通过应对策略生成模块自动化生成目标应对策略，减少了对人工干预的需求，处置效率更高，同时减少了人为错误；另外，通过综合威胁值及预设匹配规则动态匹配目标应对规则，使得生成目标应对策略的灵活性更高。

步骤206、通过预设自愈控制模型中的自愈控制模块基于目标应对策略，对目标网络服务的网络威胁进行处理。

其中，目标应对策略包括多条应对子策略，在一些可选地实施例中，如图6所示，图6为本申请实施例提供的一种处理网络威胁的步骤流程图，包括：

步骤602、获取与多条应对子策略对应的预设执行规则。

步骤604、基于多条应对子策略，采用预设执行规则对目标网络服务的网络威胁进行处理。

其中，若上述应对策略生成模块中针对某一个目标网络服务生成了多条应对子策略，需要通过自愈控制模块中的智能决策引擎来决策多条应对子策略的预设执行规则。

可选地，如图7所示，图7为本申请实施例提供的另一种处理网络威胁的步骤流程图，包括：

步骤702、针对各条应对子策略，获取应对子策略的预设优先级及应对子策略对应的威胁类型。

步骤704、基于预设优先级中的最高优先级对应的应对子策略对目标网络服务的网络威胁进行处理。

步骤706、针对预设优先级中除最高优先级之外的各其他优先级，根据其他优先级及其他优先级对应的应对子策略的威胁类型，从其他优先级对应的应对子策略中选取目标应对子策略，并基于目标应对子策略对目标网络服务的网络威胁进行处理。

其中，设置预设执行规则时，可以先构建各条应对子策略的预设优先级，通常，为了保证目标网络服务的安全性，若某一种威胁类型的威胁值越大，则与其对应的应对子策略的预设优先级越高。

本实施例中，通过智能决策引擎来选择最佳的目标应对子策略，减少在误报和多种网络威胁时多个应对子策略的冲突情况；另外，可以针对网络威胁自动化处置，减少了因网络威胁导致业务中断甚至宕机的频率和时间。

在另一些可选地实施例中，如图8所示，图8为本申请实施例提供的又一种处理网络威胁的步骤流程图，包括：

步骤802、通过预设自愈控制模型中的自愈控制模块获取目标应对策略对应的控制级别。

步骤804、基于目标应对策略，对目标网络服务中与控制级别对应的网络威胁进行处理。

其中，自愈控制模块中的自愈控制器可以负责实施目标应对策略，它与网络设备、服务器和应用程序交互，以执行必要的操作来应对网络威胁。

目标应对策略对应的控制级别可以包括与网络设备对应的设备级、与服务器对应的服务级、与应用程序交互对应的组件级，从而可以基于不同控制级别对应的自愈控制器根据执行顺序依次来执行相应的目标应对策略。

本实施例中，通过根据不同的控制级别进行分层自愈，针对设备级、服务级、组件级分别设置自愈规则，自愈针对性更强且影响域更小，自愈更安全，以及自愈过程更加安全可控。

图9为本申请实施例提供的一种网络威胁应对装置的结构框图。

如图9所示，该网络威胁应对装置900包括：

获取模块902，用于获取目标网络服务对应的当前网络流量数据。

生成模块904，用于将当前网络流量数据输入至预设自愈控制模型中进行计算，通过预设自愈控制模型中的应对策略生成模块生成与当前网络流量数据对应的目标应对策略。

处理模块906，用于通过预设自愈控制模型中的自愈控制模块基于目标应对策略，对目标网络服务的网络威胁进行处理。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。上述网络威胁应对装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块的操作。

在本申请的一个实施例中，提供了一种计算机设备，该计算机设备包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

获取目标网络服务对应的当前网络流量数据；

在本申请的一个实施例中，处理器执行计算机程序时还实现以下步骤：

基于威胁检测结果，计算目标网络服务对应的综合威胁值；

在本申请的一个实施例中，威胁检测结果包括威胁类型及威胁级别，威胁类型包括多种威胁级别，目标网络服务包括至少一种威胁类型，处理器执行计算机程序时还实现以下步骤：

在本申请的一个实施例中，目标应对策略包括多条应对子策略，处理器执行计算机程序时还实现以下步骤：

获取与多条应对子策略对应的预设执行规则；

本申请实施例提供的计算机设备，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。

在本申请的一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

获取目标网络服务对应的当前网络流量数据；

在本申请的一个实施例中，计算机程序被处理器执行时还实现以下步骤：

基于威胁检测结果，计算目标网络服务对应的综合威胁值；

在本申请的一个实施例中，威胁检测结果包括威胁类型及威胁级别，威胁类型包括多种威胁级别，目标网络服务包括至少一种威胁类型，计算机程序被处理器执行时还实现以下步骤：

在本申请的一个实施例中，目标应对策略包括多条应对子策略，计算机程序被处理器执行时还实现以下步骤：

获取与多条应对子策略对应的预设执行规则；

本实施例提供的计算机可读存储介质，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims

1.一种网络威胁应对方法，其特征在于，所述方法包括：

获取目标网络服务对应的当前网络流量数据；

将所述当前网络流量数据输入至预设自愈控制模型中进行计算，通过所述预设自愈控制模型中的应对策略生成模块生成与所述当前网络流量数据对应的目标应对策略；

通过所述预设自愈控制模型中的自愈控制模块基于所述目标应对策略，对所述目标网络服务的网络威胁进行处理。

2.根据权利要求1所述的方法，其特征在于，所述通过所述预设自愈控制模型中的应对策略生成模块生成与所述当前网络流量数据对应的目标应对策略，包括：

对所述当前网络流量数据进行处理，生成与所述当前网络流量数据对应的威胁检测结果；

基于所述威胁检测结果，计算所述目标网络服务对应的综合威胁值；

基于所述综合威胁值及预设匹配规则，确定与所述当前网络流量数据对应的目标应对策略。

3.根据权利要求2所述的方法，其特征在于，所述威胁检测结果包括威胁类型及威胁级别，所述威胁类型包括多种威胁级别，所述目标网络服务包括至少一种威胁类型，所述基于所述威胁检测结果，计算所述目标网络服务对应的综合威胁值，包括：

获取所述目标网络服务对应的综合重要性值、及各所述威胁类型分别对应的一组威胁系数；其中，所述一组威胁系数中包括在同一种所述威胁类型下的所述多种威胁级别分别对应的威胁系数；

基于所述综合重要性值及至少一组所述威胁系数，计算所述目标网络服务对应的综合威胁值。

4.根据权利要求3所述的方法，其特征在于，所述获取所述目标网络服务对应的综合重要性值，包括：

获取所述目标网络服务对应的业务重要性值、中断容忍度、恢复时间容忍度及恢复难度系数；其中，所述业务重要性值用于表征所述目标网络服务所提供的业务的重要性，所述中断容忍度用于表征容忍所述目标网络服务中断服务的程度，所述恢复时间容忍度用于表征容忍所述目标网络服务中断服务后进行恢复所需要的恢复时长的程度，所述恢复难度系数用于表征所述目标网络服务中断服务后恢复为原始状态的难易程度；

基于所述业务重要性值、所述中断容忍度、所述恢复时间容忍度及所述恢复难度系数，计算所述综合重要性值。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述目标应对策略包括多条应对子策略，所述通过所述预设自愈控制模型中的自愈控制模块基于所述目标应对策略，对所述目标网络服务的网络威胁进行处理，包括：

获取与所述多条应对子策略对应的预设执行规则；

基于所述多条应对子策略，采用所述预设执行规则对所述目标网络服务的网络威胁进行处理。

6.根据权利要求5所述的方法，其特征在于，所述基于所述多条应对子策略，采用所述预设执行规则对所述目标网络服务的网络威胁进行处理，包括：

针对各条所述应对子策略，获取所述应对子策略的预设优先级及所述应对子策略对应的威胁类型；

基于所述预设优先级中的最高优先级对应的应对子策略对所述目标网络服务的网络威胁进行处理；

针对所述预设优先级中除所述最高优先级之外的各其他优先级，根据所述其他优先级及所述其他优先级对应的应对子策略的威胁类型，从所述其他优先级对应的应对子策略中选取目标应对子策略，并基于所述目标应对子策略对所述目标网络服务的网络威胁进行处理。

7.根据权利要求1-4任一项所述的方法，其特征在于，所述通过所述预设自愈控制模型中的自愈控制模块基于所述目标应对策略，对所述目标网络服务的网络威胁进行处理，还包括：

通过所述预设自愈控制模型中的自愈控制模块获取所述目标应对策略对应的控制级别；

基于所述目标应对策略，对所述目标网络服务中与所述控制级别对应的网络威胁进行处理。

8.一种网络威胁应对装置，其特征在于，所述装置包括：

生成模块，用于将所述当前网络流量数据输入至预设自愈控制模型中进行计算，通过所述预设自愈控制模型中的应对策略生成模块生成与所述当前网络流量数据对应的目标应对策略；

处理模块，用于通过所述预设自愈控制模型中的自愈控制模块基于所述目标应对策略，对所述目标网络服务的网络威胁进行处理。

9.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-7任一项所述的网络威胁应对方法。

10.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1-7任一项所述的网络威胁应对方法。