【技术实现步骤摘要】
防御威胁的态势感知方法、装置及系统
[0001]本专利技术涉及网络安全
,尤其涉及防御威胁的态势感知方法。
技术介绍
[0002]在现有技术中,态势感知系统通过整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统,以完成目前网络环境情况的评估,以及,前述网络环境未来变化趋势的预测。
[0003]为确保网络安全以及对潜在网络威胁的感知能力,对现有的告警信息和网络节点的日志信息、网络安全设备的安全日志信息进行威胁情报分析,以获得网络环境中的威胁项和异常项的信息,并依据态势感知系统中威胁情报数据库的防御方案进行防御,以实现网络安全的精准防御和保护,保障网络安全的稳定运行。然而,在实际操作中,面对复杂的网络环境需要从多方面分析威胁,使用多样的防御方法,来实现对网络环境中的威胁项和异常项的安全防御。
[0004]为此,提供一种防御威胁的态势感知方法、装置及系统,以通过分析威胁情报,获取网络环境中的威胁项和异常项,并结合威胁项和异常项中的目标威胁项和/或目标异常项及其关联威胁和/或关联异常 ...
【技术保护点】
【技术特征摘要】
1.一种防御威胁的态势感知方法,其特征在于包括步骤,采集告警信息,并调取网络环境中与告警信息相关的日志信息;所述日志信息包括系统日志信息和网络节点的日志信息;整理上述日志信息进行威胁情报分析,得到威胁情报信息;所述威胁情报信息包括网络环境中的威胁项信息和异常项信息;获取目标威胁项和/或目标异常项,对前述前述目标威胁项和/或目标异常项设置追踪标记,追踪前述目标威胁项和/或目标异常项在网络环境造成的关联威胁和/或关联异常;结合前述目标威胁项和/或目标异常项及其关联威胁和/或关联异常信息,调取态势感知威胁数据库中对应的防御方案进行联合防御。2.根据权利要求1所述的方法,其特征在于,所述威胁情报包括已知威胁情报和未知威胁情报;当所述威胁情报存储在态势感知系统的威胁情报数据库时,该威胁情报是已知威胁情报;否则,该威胁情报是未知威胁情报。3.根据权利要求2所述的方法,其特征在于,判定为已知威胁情报时,调用预设的态势感知系统的威胁情报数据库中的防御方案,对前述威胁情报信息中的威胁项进行防御;判定为未知威胁情报时,分析前述威胁情报信息中对应触发告警的异常项,以调取网络安全数据库的防御方案,来应对前述未知的威胁情报。4.根据权利要求3所述的方法,其特征在于,对所述未知威胁情报信息进行分析的步骤如下,提取前述未知威胁情报信息中的威胁特征,标记威胁特征的种类,并统计各种类对应威胁特征的数量;选取包含的威胁特征的数量最多的种类作为首选防御种类,基于该首选防御种类从前述预设的态势感知威胁数据库中,选取对应的防御方案;基于前述防御方案,进行试探防御。5.根据权利要求4所述的方法,其特征在于,所述试探防御包括采取一个防御方案或者采取多个防御方案的顺序防御,或者采取多个防御方案的乱序防御;所述乱序防御是指针对前述未知威胁情报信息中提取的全部威胁特征,将前述威胁特征依据对网络环境威胁影响的状况从首要到次要到普通的顺序进行排序,并对前述防御方案中针对防御的步骤和顺序进行对应的调整。6.根据权利要求5所述的方法,其特征在于,所述调取的防御方案中包含的威胁特征相比前述未知威胁情报信息中所包含的威胁特征,前者具有的威胁特征的数量和种类均少于后者的威胁特征的数量和种类;首选防御种类对应的试探...
【专利技术属性】
技术研发人员:杨腾霄,崔政强,严涛,
申请(专利权)人:上海纽盾科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。