网络防护方法及装置制造方法及图纸

本发明专利技术公开了一种网络防护方法及装置，基于威胁情报的攻击属性信息、目标设备的运行状态，确定威胁场景。然后基于威胁场景与威胁防护策略的对应关系，确定威胁场景对应的目标威胁防护策略，并将目标威胁防护策略下发至微隔离平台，以使微隔离平台执行目标威胁防护策略，实现了目标设备的防护。其中，上述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离，即本发明专利技术在目标设备运行过程中，能够根据威胁场景，选择不同层级的隔离进行防护，使得防护方式更能够适应于目标设备的当前运行状态，避免对目标设备上运行的业务的影响，在实现防护的同时，还能够保证目标设备的可靠性。还能够保证目标设备的可靠性。还能够保证目标设备的可靠性。

【技术实现步骤摘要】
网络防护方法及装置


[0001]本专利技术涉及网络安全领域，更具体的说，涉及一种网络防护方法及装置。

技术介绍

[0002]威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。
[0003]在使用威胁情报进行网络防护时，通常是对威胁情报进行分析，得到本地受攻击的目标设备，然后对该目标设备执行断网操作。但是在目标设备正在运行某些网络业务时，若是突然对目标设备进行断网操作，则会使得目标设备执行的网络业务中断，对于一些实时性要求较高的网络业务，则会导致该业务不能及时办理，影响目标设备的可靠性。

技术实现思路

[0004]鉴于上述问题，本专利技术提供一种克服上述问题或者至少部分地解决上述问题的一种网络防护方法及装置。
[0005]一种网络防护方法，应用于网络防护设备，所述网络防护方法包括：
[0006]接收预设设备发送的威胁情报以及所述威胁情报对应的运行告警信息；所述运行告警信息为与所述威胁情报对应的异常运行信息；
[0007]对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；
[0008]将所述运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备；
[0009]获取所述目标设备的运行状态，并确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景；
[0010]基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略；其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离；
[0011]将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略。
[0012]可选地，对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息，包括：
[0013]对所述威胁情报进行内容分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；
[0014]将得到的所述威胁情报的攻击属性信息转换成结构化格式的攻击属性信息。
[0015]可选地，对获取的运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备，包括：
[0016]获取通过对所述威胁情报与设备运行信息进行关联分析得到的运行告警信息，其中，所述设备运行信息用于表示设备运行的历史情况；
[0017]将所述运行告警信息与本地资产数据进行关联分析，定位所述威胁情报对应的受攻击的目标设备；
[0018]所述目标设备包括被攻击设备和/或被攻击关联设备；所述被攻击关联设备为在所述被攻击设备受到所述威胁情报对应的攻击源攻击之后，所述攻击源攻击的设备。
[0019]可选地，所述设备运行信息包括以下至少之一：日志、流量信息和告警信息。
[0020]可选地，确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景，包括：
[0021]获取威胁场景确定规则，其中，所述威胁场景确定规则包括多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系；所述预设威胁场景维度与所述威胁情报的攻击属性信息和/或所述目标设备的运行状态相关；
[0022]基于所述威胁情报的攻击属性信息和所述目标设备的运行状态，确定每一预设威胁场景维度的实际维度值；
[0023]在所述威胁场景确定规则中查找与所述多个预设威胁场景维度的实际维度值的组合所对应的威胁场景，并作为所述目标威胁场景。
[0024]可选地，所述不同层级的隔离包括以下至少之一：物理隔离、IP层隔离和应用层隔离。
[0025]一种网络防护装置，应用于网络防护设备，所述网络防护装置包括：
[0026]数据获取模块，用于接收预设设备发送的威胁情报以及所述威胁情报对应的运行告警信息；所述运行告警信息为与所述威胁情报对应的异常运行信息；
[0027]情报分析模块，用于对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；
[0028]关联分析模块，用于将所述运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备；
[0029]场景确定模块，用于获取所述目标设备的运行状态，并确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景；
[0030]策略确定模块，用于基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略；其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离；
[0031]策略下发模块，用于将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略。
[0032]可选地，所述情报分析模块具体用于：
[0033]对所述威胁情报进行内容分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；
[0034]将得到的所述威胁情报的攻击属性信息转换成结构化格式的攻击属性信息。
[0035]一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述的网络防护方法。
[0036]一种电子设备，设备包括至少一个处理器、以及与处理器连接的至少一个存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行上述的网络防护方法。
[0037]借由上述技术方案，本专利技术提供了一种网络防护方法及装置，本专利技术能够基于所述威胁情报的攻击属性信息、所述目标设备的运行状态，确定威胁场景。然后基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略，并将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略，实现了目标设备的防护。其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离，即本专利技术在目标设备运行过程中，能够根据威胁场景，选择不同层级的隔离进行防护，使得防护方式更能够适应于目标设备的当前运行状态，避免对目标设备上运行的业务的影响，在实现防护的同时，还能够保证目标设备的可靠性。
[0038]上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。
附图说明
[0039本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络防护方法，其特征在于，应用于网络防护设备，所述网络防护方法包括：接收预设设备发送的威胁情报以及所述威胁情报对应的运行告警信息；所述运行告警信息为与所述威胁情报对应的异常运行信息；对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；将所述运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备；获取所述目标设备的运行状态，并确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景；基于威胁场景与威胁防护策略的对应关系，确定所述威胁场景对应的目标威胁防护策略；其中，所述目标威胁防护策略包括隔离方式以及隔离对象，所述对应关系中包括多种威胁防护策略，不同威胁防护策略中所包括的不同隔离方式用于执行不同层级的隔离；将所述目标威胁防护策略下发至微隔离平台，以使所述微隔离平台执行所述目标威胁防护策略。2.根据权利要求1所述的网络防护方法，其特征在于，对所述威胁情报进行情报属性分析，得到所述威胁情报的攻击属性信息，包括：对所述威胁情报进行内容分析，得到所述威胁情报的攻击属性信息；所述攻击属性信息至少包括攻击方式和攻击目标；将得到的所述威胁情报的攻击属性信息转换成结构化格式的攻击属性信息。3.根据权利要求1所述的网络防护方法，其特征在于，对获取的运行告警信息与本地资产数据进行关联分析，得到所述威胁情报对应的受攻击的目标设备，包括：获取通过对所述威胁情报与设备运行信息进行关联分析得到的运行告警信息，其中，所述设备运行信息用于表示设备运行的历史情况；将所述运行告警信息与本地资产数据进行关联分析，定位所述威胁情报对应的受攻击的目标设备；所述目标设备包括被攻击设备和/或被攻击关联设备；所述被攻击关联设备为在所述被攻击设备受到所述威胁情报对应的攻击源攻击之后，所述攻击源攻击的设备。4.根据权利要求3所述的网络防护方法，其特征在于，所述设备运行信息包括以下至少之一：日志、流量信息和告警信息。5.根据权利要求1所述的网络防护方法，其特征在于，确定与所述威胁情报的攻击属性信息、所述目标设备的运行状态对应的目标威胁场景，包括：获取威胁场景确定规则，其中，所述威胁场景确定规则包括多个预设威胁场景维度所对应维度值的不同组合、与威胁场景的对应关系；所述预设威胁场景维度与所述威胁情报的攻击属性信...

【专利技术属性】
技术研发人员：张幸起，
申请(专利权)人：北京千里日成科技有限公司，
类型：发明
国别省市：