处理网络安全态势感知信息的方法、装置及系统制造方法及图纸

本发明专利技术提供了一种处理网络安全态势感知信息的方法、装置及系统，涉及网络安全技术领域。所述处理方法包括步骤：获取网络节点的日志信息，以及该网络节点所属网络系统的网络环境日志信息，所述网络环境日志信息包括系统告警日志；从前述日志信息中提取态势感知信息，并进行分析；所述态势感知信息包括对应网络节点的访问请求信息，所述访问请求信息包括访问权限信息和操作权限信息；判断前述访问权限信息和操作权限信息不符合网络安全要素时，触发态势感知系统进行防御。本发明专利技术通过所述态势感知信息中访问请求信息对应的权限信息是否符合网络安全要素，来判断是否要触发态势感知系统进行网络安全防御，以保障网络安全的稳定运行。行。行。

【技术实现步骤摘要】
处理网络安全态势感知信息的方法、装置及系统


[0001]本专利技术涉及网络安全
，尤其涉及处理网络安全态势感知信息的方法。

技术介绍

[0002]态势感知系统旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行决策与行动。
[0003]在态势感知的过程中，会对网络环境中的多源数据进行过采集、感知、理解、分析，从整体上把握网络环境安全。态势感知的目的在于通过分析判断网络环境的整体发展趋势，能够实现整个网络安全环境的感知。但是，对于态势感知信息中的诸多信息繁杂，难以进行有效筛选，得到更为精准的数据信息，以帮助态势感知系统的管理人员准确判断设备故障并进行准确的网络安全防御。
[0004]为此，要提供一种处理网络安全态势感知信息的方法、装置及系统，通过判断态势感知信息中的权限信息是否符合网络安全要素，来判定是否要触发态势感知系统进行网络安全防御，以保障网络安全的稳定运行，是当前亟需解决的技术问题。

技术实现思路

[0005]本专利技术的目的在于：克服现有技术的不足，提供一种处理网络安全态势感知信息的方法、装置及系统，本专利技术能够提取态势感知信息，并进行分析；所述态势感知信息包括对应网络节点的访问请求信息，所述访问请求信息包括访问权限信息和操作权限信息；判定前述访问权限信息和操作权限信息不符合网络安全要素时，触发态势感知系统进行防御。
[0006]为解决现有的技术问题，本专利技术提供了如下技术方案：一种处理网络安全态势感知信息的方法，其特征在于包括步骤：获取网络节点的日志信息，以及该网络节点所属网络系统的网络环境日志信息，所述网络环境日志信息包括系统告警日志；从前述日志信息中提取态势感知信息，并进行分析；所述态势感知信息包括对应网络节点的访问请求信息，所述访问请求信息包括访问权限信息和操作权限信息；判断前述访问权限信息和操作权限信息是否符合网络安全要素；所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求；判定不符合网络安全要素时，基于预设的网络安全态势感知系统数据库的防御方案，触发态势感知系统进行防御。
[0007]进一步，在前述网络节点触发告警时，获取该网络节点的日志信息中对应前述告警生成的第一告警事件，以及系统告警日志中对应前述告警生成的第二告警事件；比对前述第一和第二告警事件中的告警原因是否一致，判定一致时，针对前述告警原因获取与该告警原因对应的防御方案进行防御；否则，获取第二告警事件中的告警原因，针对该告警原因获取与该告警原因对应的防御方案进行防御。
[0008]进一步，所述告警包括紧急告警和非紧急告警；判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，对网络节点所在的网络环境进行故障处理；和/或，定期检测出现过告警的网络节点，将前述网络节点的日志信息发送至态势感知系统进行安全分析。
[0009]进一步，分析前述告警的原因时，对采集和获取到的信息进行数据清洗，得到数据清洗后的数据信息，所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
[0010]进一步，采集前述告警日志信息中网络节点的IP地址，获取前述IP地址的访问或操作记录信息，并进行轨迹追溯和/或轨迹安全分析。
[0011]进一步，所述网络环境中的网络结构包括内部网络结构和外部网络结构；所述内部网络结构，涉及在同一网络环境中发生的告警，发生前述告警的告警信息包括同一网络环境中网络节点的通信路径；所述外部网络结构是指非基于同一网络环境的网络节点访问前述内部网络结构中网络节点的通信路径。
[0012]进一步，在网络环境中设置有网络边缘设备，所述网络边缘设备能够隔离前述内部网络结构和外部网络结构中的触发告警的网络节点。
[0013]进一步，对所述网络节点的输入/输出端口进行数据监控，在网络环境信息发生异常变化时，对在前述网络节点的执行的操作进行标注和追溯。
[0014]一种处理网络安全态势感知信息的装置，其特征在于包括结构：信息获取单元，用于获取网络节点的日志信息，以及该网络节点所属网络系统的网络环境日志信息，所述网络环境日志信息包括系统告警日志；信息分析单元，用于从前述日志信息中提取态势感知信息，并进行分析；所述态势感知信息包括对应网络节点的访问请求信息，所述访问请求信息包括访问权限信息和操作权限信息；第一信息防御单元，用于判断前述访问权限信息和操作权限信息是否符合网络安全要素；所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求；第二信息防御单元，用于判定不符合网络安全要素时，基于预设的网络安全态势感知系统数据库的防御方案，触发态势感知系统进行防御。
[0015]一种处理网络安全态势感知信息的系统，其特征在于包括：网络节点，用于收发数据；态势感知系统，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析；系统服务器，所述系统服务器连接网络节点和态势感知系统；所述系统服务器被配置为：获取网络节点的日志信息，以及该网络节点所属网络系统的网络环境日志信息，所述网络环境日志信息包括系统告警日志；从前述日志信息中提取态势感知信息，并进行分析；所述态势感知信息包括对应网络节点的访问请求信息，所述访问请求信息包括访问权限信息和操作权限信息；判断前述访问权限信息和操作权限信息是否符合网络安全要素；所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求；判定不符合网络安全要素时，基于预设的网络安全态势感知系统数据库的防御方案，触发态势感知系统进行防御。
[0016]本专利技术由于采用以上技术方案，与现有技术相比，作为举例，具有以下的优点和积极效果：第一，获取网络节点的日志信息，以及该网络节点所属网络系统的网络环境日志信息，所述网络环境日志信息包括系统告警日志；从前述日志信息中提取态势感知信息，并进行分析；所述态势感知信息包括对应网络节点的访问请求信息，所述访问请求信息包括访问权限信息和操作权限信息；判定前述访问权限信息和操作权限信息不符合网络安全要素时，触发态势感知系统进行防御。
[0017]第二，在前述网络节点触发告警时，获取该网络节点的日志信息中对应前述告警生成的第一告警事件，以及系统告警日志中对应前述告警生成的第二告警事件；比对前述第一和第二告警事件中的告警原因是否一致，判定一致时，针对前述告警原因获取与该告警原因对应的防御方案进行防御；否则，获取第二告警事件中的告警原因，针对该告警原因获取与该告警原因对应的防御方案进行防御。
附图说明
[0018]图1为本专利技术实施例提供的流程图。
[0019]图2为本专利技术实施例提供的又一流程图。
[0020]图3为本专利技术实施例提供的装置的结构示意图。
[0021]图4为本专利技术实施例提供的系统的结构示意图。
[0022]附图标记说明：装置200，信息获取单元201，信息分析单元202，第一信息防御的单元203，第二信息防御单元204；系统300，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种处理网络安全态势感知信息的方法，其特征在于包括步骤：获取网络节点的日志信息，以及该网络节点所属网络系统的网络环境日志信息，所述网络环境日志信息包括系统告警日志；从前述日志信息中提取态势感知信息，并进行分析；所述态势感知信息包括对应网络节点的访问请求信息，所述访问请求信息包括访问权限信息和操作权限信息；判断前述访问权限信息和操作权限信息是否符合网络安全要素；所述网络安全要素包括前述网络节点的访问权限要求和操作权限要求；判定不符合网络安全要素时，基于预设的网络安全态势感知系统数据库的防御方案，触发态势感知系统进行防御。2.根据权利要求1所述的方法，其特征在于，在前述网络节点触发告警时，获取该网络节点的日志信息中对应前述告警生成的第一告警事件，以及系统告警日志中对应前述告警生成的第二告警事件；比对前述第一和第二告警事件中的告警原因是否一致，判定一致时，针对前述告警原因获取与该告警原因对应的防御方案进行防御；否则，获取第二告警事件中的告警原因，针对该告警原因获取与该告警原因对应的防御方案进行防御。3.根据权利要求1所述的方法，其特征在于，所述告警包括紧急告警和非紧急告警；判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，对网络节点所在的网络环境进行故障处理；和/或，定期检测出现过告警的网络节点，将前述网络节点的日志信息发送至态势感知系统进行安全分析。4.根据权利要求1所述的方法，其特征在于，分析前述告警的原因时，对采集和获取到的信息进行数据清洗，得到数据清洗后的数据信息，所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。5.根据权利要求1所述的方法，其特征在于，采集前述告警日志信息中网络节点的IP地址，获取前述IP地址的访问或操作记录信息，并进行轨迹追溯和/或轨迹安全分析。6.根据权利要求1所述的方法，其特征在于，所述网络环境中的网络结构包括内部网络结构和外部网络结构；所述内部网络结构，涉及在同一网络环境中发生的告警，发生前述告警的告警信息包括同一网络环境中网络节...

【专利技术属性】
技术研发人员：杨腾霄，罗伟，乔梁，
申请(专利权)人：上海纽盾科技股份有限公司，
类型：发明
国别省市：