发现威胁的态势感知验证方法、装置及系统与流程

本发明涉及网络安全技术领域，尤其涉及发现威胁的态势感知验证方法。

背景技术

网络环境中的安全威胁无时无刻都在变化，目前以高级持续性威胁（APT）、分布式拒绝服务攻击（DDOS）为首的网络安全威胁已经成为网络安全中不可忽视的重要威胁。

而传统被动式的防御手段以及针对单点的攻击取证与溯源技术已经无力应对高级持续性威胁和新型高危漏洞等复杂的安全威胁。因此，为应对更为复杂的安全威胁各企业往往会采用网络态势感知系统，对引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，实现决策与行动，从而对整个网络环境进行全局感知、全局预警。然而，在态势感知的过程中，从海量数据中有效提取出这些复杂的安全威胁信息是目前需要解决的热门问题。

为此，提供一种发现威胁的态势感知验证方法、装置及系统，通过结合威胁情报，建立关联威胁情报，得到受威胁对象信息后，对待防御信息进行调整，进一步消除网络环境中的威胁，是当前亟需解决的技术问题。

技术实现要素：

本发明的目的在于：克服现有技术的不足，提供一种发现威胁的态势感知验证方法、装置及系统，本发明能够对网络节点设置威胁发现设备和态势感知设备；采集、分析态势感知信息，并进行预测，获取网络环境中的待防御对象信息；获取触发告警的威胁发现信息，生成关联威胁情报，得到受威胁对象信息；判断前述待防御对象是否匹配前述受威胁对象，判定为是时，基于预设的态势感知威胁情报数据库的威胁感知防御方案进行防御。

为解决现有的技术问题，本发明提供了如下技术方案：

一种发现威胁的态势感知验证方法，其特征在于包括步骤，

对网络节点设置威胁发现设备和态势感知设备，前述设备能够分别接收前述网络节点的威胁发现信息和态势感知信息；所述威胁发现设备能够基于网络威胁层面采集网络环境中存在的威胁数据信息，所述态势感知设备能够基于网络安全层面采集网络中与网络安全相关的信息；

采集态势感知信息，分析态势感知信息进行预测，以获取网络环境中的待防御对象信息；

接收触发告警的当前威胁发现信息，结合威胁发现设备中采集的历史威胁发现信息后得到威胁情报信息，将前述威胁情报信息基于各信息间的关联性进行组合分析以获得关联威胁情报，生成关联威胁情报，得到受威胁对象信息；

判断前述待防御对象是否匹配前述受威胁对象，判定为否时，对前述待防御信息进行调整，以匹配前述受威胁对象。

进一步，基于待防御对象调整为受威胁对象的操作，通过反向追溯态势感知设备中的预测路径，调整前述预测路径以使调整后的预测路径得到的待防御对象为前述受威胁对象。

进一步，所述威胁发现设备能够检测和识别威胁发现信息，所述威胁发现信息的信息来源包括内部网络环境和外部网络环境；所述威胁发现设备包括用于检测、识别、分析威胁发现信息；所述威胁发现信息包括内部威胁发现信息和外部威胁发现信息；所述内部威胁发现信息包括内部网络环境中的威胁发现信息；所述外部威胁发现信息包括外部网络环境对内部网络环境可能造成影响的威胁发现信息。

进一步，对所述待防御对象实行准防御操作，在准防御期间，对对应的网络节点采取单向准入访问操作，并对该网络节点的访问对象执行的操作进行记录，在判定待防御对象不用进行防御时，解除准防御操作。

进一步，对所述受威胁对象执行准保护操作，在准保护期间，对对应的网络节点暂停访问操作，并对该网络节点的访问对象执行的操作进行记录；在判定受威胁对象不用进行防御时，解除准保护操作。

进一步，所述告警包括紧急告警和非紧急告警，判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，对网络节点所在的网络环境进行故障处理；和/或，定期检测出现过告警的网络节点，将前述网络节点的日志信息发送至态势感知系统进行安全分析。

进一步，对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控。

进一步，采集前述告警信息中网络节点的IP地址，获取前述IP地址的访问或操作记录信息，并进行轨迹追溯和/或轨迹安全分析。

一种发现威胁的态势感知验证装置，其特征在于包括结构：

信息设置单元，用于对网络节点设置威胁发现设备和态势感知设备，前述设备能够分别接收前述网络节点的威胁发现信息和态势感知信息；所述威胁发现设备能够基于网络威胁层面采集网络环境中存在的威胁数据信息，所述态势感知设备能够基于网络安全层面采集网络中与网络安全相关的信息；

信息采集单元，用于采集态势感知信息，分析态势感知信息进行预测，以获取网络环境中的待防御对象信息；

信息获取单元，用于接收触发告警的当前威胁发现信息，结合威胁发现设备中采集的历史威胁发现信息后得到威胁情报信息，将前述威胁情报信息基于各信息间的关联性进行组合分析以获得关联威胁情报，生成关联威胁情报，得到受威胁对象信息；

信息防御单元，用于判断前述待防御对象是否匹配前述受威胁对象，判定为否时，对前述待防御信息进行调整，以匹配前述受威胁对象。

一种发现威胁的态势感知验证系统，其特征在于包括：

网络节点，用于收发数据；

态势感知系统，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析；

系统服务器，所述系统服务器连接网络节点和态势感知系统；

所述系统服务器被配置为：对网络节点设置威胁发现设备和态势感知设备，前述设备能够分别接收前述网络节点的威胁发现信息和态势感知信息；所述威胁发现设备能够基于网络威胁层面采集网络环境中存在的威胁数据信息，所述态势感知设备能够基于网络安全层面采集网络中与网络安全相关的信息；采集态势感知信息，分析态势感知信息进行预测，以获取网络环境中的待防御对象信息；接收触发告警的当前威胁发现信息，结合威胁发现设备中采集的历史威胁发现信息后得到威胁情报信息，将前述威胁情报信息基于各信息间的关联性进行组合分析以获得关联威胁情报，生成关联威胁情报，得到受威胁对象信息；判断前述待防御对象是否匹配前述受威胁对象，判定为否时，对前述待防御信息进行调整，以匹配前述受威胁对象。

本发明由于采用以上技术方案，与现有技术相比，作为举例，具有以下的优点和积极效果：

第一，对网络节点设置威胁发现设备和态势感知设备，前述设备能够分别接收前述网络节点的威胁发现信息和态势感知信息；所述威胁发现设备能够基于网络威胁层面采集网络环境中存在的威胁数据信息，所述态势感知设备能够基于网络安全层面采集网络中与网络安全相关的信息；采集态势感知信息，分析态势感知信息进行预测，以获取网络环境中的待防御对象信息；接收触发告警的当前威胁发现信息，结合威胁发现设备中采集的历史威胁发现信息后得到威胁情报信息，将前述威胁情报信息基于各信息间的关联性进行组合分析以获得关联威胁情报，生成关联威胁情报，得到受威胁对象信息；判断前述待防御对象是否匹配前述受威胁对象，判定为否时，对前述待防御信息进行调整，以匹配前述受威胁对象。

第二，对所述待防御对象实行准防御操作，在准防御期间，对对应的网络节点采取单向准入访问操作，并对该网络节点的访问对象执行的操作进行记录，在判定待防御对象不用进行防御时，解除准防御操作。

第三，对所述受威胁对象执行准保护操作，在准保护期间，对对应的网络节点暂停访问操作，并对该网络节点的访问对象执行的操作进行记录；在判定受威胁对象不用进行防御时，解除准保护操作。

附图说明

图1为本发明实施例提供的流程图。

图2为本发明实施例提供的装置的结构示意图。

图3为本发明实施例提供的系统的结构示意图。

附图标记说明：

装置200，信息设置单元201，信息采集单元202，信息获取单元203，信息防御单元204；

系统300，网络节点301，态势感知系统302，系统服务器303。

具体实施方式

以下结合附图和具体实施例对本发明公开的一种发现威胁的态势感知验证方法、装置及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

实施例

参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤S100如下：

S101，对网络节点设置威胁发现设备和态势感知设备，前述设备能够分别接收前述网络节点的威胁发现信息和态势感知信息；所述威胁发现设备能够基于网络威胁层面采集网络环境中存在的威胁数据信息，所述态势感知设备能够基于网络安全层面采集网络中与网络安全相关的信息。

所述网络节点，是指处于网络环境中具有独立网络地址和数据处理功能的终端，所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机，也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点，这些网络节点通过通信线路连接，形成网络拓扑结构。所述通信线路可以是有线通信方式，也可以是无线通信方式。

所述威胁发现设备（Threat Discovery Appliance，简称TDA），能够基于网络内容分析、异常行为侦测、多协议关联分析和沙盒动态分析等技术，快速精确的定位高危节点和攻击形态，对未知威胁及时预警。

同时，所述威胁发现设备可全面支持检测网络模型中的网络威胁，部署在各个网络层次交换机上执行综合的全面覆盖，通过监控网络层的可疑活动定位恶意程序，以识别和应对网络威胁，并生成威胁发现信息。作为举例为非限制，所述威胁发现设备可以检测基于Web威胁或邮件内容的攻击，如Web攻击、跨站点脚本攻击和网络钓鱼，利用网络内容检测技术侦测网络流量以及趋势科技病毒扫描引擎对其进行内容分析，并采用在网络交换机上使用端口扫描并以创建网络数据包的镜像方式进行内容检查，确保网络服务不会被中断。

另外，当恶意程序在网络中传播感染其它用户时，所述威胁发现设备可以对前述恶意程序进行标记，其中包括向外界传送信息或从恶意来源（如僵尸网络）接收命令的隐藏型恶意软件。

此外，所述威胁发现设备还可以识别违反安全策略、中断网络以及消耗大量带宽的或构成潜在安全威胁的未经授权应用程序和服务程序，所述应用程序和服务程序包括但不限制于即时通讯（例如Bittorrent, Kazaa, MSN, Messenger, Line等）、P2P文件共享、流媒体，以及未授权服务如SMTP中继和DNS欺骗。

所述态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，以安全大数据为基础，能够从全局视角提升对安全威胁的发现识别、理解分析和响应处置能力，最终进行决策与行动。所述态势感知能够检测出的云上安全风险，包括但不限制DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制。所述态势感知能够对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，能够实现企业主机安全、Web防火墙和DDoS流量清洗等安全服务上报的告警数据的整合，实时呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

所述态势感知设备用以采集前述态势感知能够进行处理和分析的数据信息，并生成态势感知信息，所述态势感知设备包括但不限制于探针设备、具有数据采集功能的设备等。

需要说明的是，由于所述威胁发现设备从网络威胁的层面采集网络环境中存在的威胁的数据信息，而所述态势感知设备从网络安全的层面采集全网内与网络安全相关的信息，因此，所述态势感知设备用以接收的信息包括但不限制于网络环境中的威胁发现信息、网络节点的日志信息、告警信息等。

S102，采集态势感知信息，分析态势感知信息进行预测，以获取网络环境中的待防御对象信息。

所述态势感知信息是指在前述态势感知系统中存储的数据信息，用于分析态势感知的发展趋势。

所述态势感知信息的数据来源包括但不限制于环境业务数据、网络层面数据、日志层面数据、告警数据，因此，所述态势感知信息可以包括但不限制于网络节点的日志信息、告警信息、威胁情报等，在形成网络空间安全态势感知的过程中，参照现有技术对不同来源的数据信息进行有效融合。其中，所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。

在本发明的具体实施例中，所述网络环境中的待防御对象通过分析前述态势感知信息后预测得到，所述待防御对象包括但不限制于网络端口、网络板卡网络环路、广播风暴、流量占用、病毒等等。因此，所述待防御对象可以是受威胁的网络节点，也可以是存在网络漏洞的设备，还可以是某一进程、程序等。

S103，接收触发告警的当前威胁发现信息，结合威胁发现设备中采集的历史威胁发现信息后得到威胁情报信息，将前述威胁情报信息基于各信息间的关联性进行组合分析以获得关联威胁情报，生成关联威胁情报，得到受威胁对象信息。

在本实施例的优选实施方式中，所述告警是一种用于传递告警信息的事件报告，也叫告警事件，简称告警。它可以由生产厂商定义好，也可以由网管人员结合网络中的告警进行定义。在一次告警中，网管系统的监控单元视故障情况给出告警信号，系统每接收到一次的告警信号，代表一次告警事件的发生，并通过告警信息的形式进行故障描述，并在网管系统的告警信息管理中心显示告警信息。所述故障是通过网络中的设备产生的告警事件的原因。

需要说明的是，所述威胁发现信息包括从前述威胁发现设备中采集的当前威胁发现信息和历史威胁发现信息，将前述当前威胁发现信息和历史威胁发现信息结合后得到威胁情报信息。

所述威胁情报用以利用威胁情报库对访问流量、日志进行关联分析，识别出可能已经发生的威胁事件，主要包括恶意域名访问、恶意下载源访问、恶意IP访问等不易直接发现的入侵行为。

其中，所述威胁情报信息是对威胁情报进行描述的数据信息，所以，所述威胁情报中包括有前述当前威胁发现信息和历史威胁发现信息。

还需要说明的是，将前述威胁情报信息基于各信息间的关联性进行组合分析后，能够获得关联威胁情报。其关联威胁情报可以来源于两个方面：一是内部关联威胁情报，其数据来源涉及内部网络环境中要保护的资产和环境属性类数据、各种内部设备和系统上的日志数据、告警数据、捕获来的数据包信息、统计信息、元数据等；二是外部关联威胁情报，即从外部网络环境中收集的数据，并将这些数据与前述内部威胁情报来源收集来的数据相关联，在与被保护对象有关联时视为外部关联威胁情报。

通过前述关联威胁情报能够得到受威胁对象信息，所述受威胁对象可以是在网络环境中受到威胁的网络节点，遭受网络漏洞的设备、受到网络攻击的节点等。

S104，判断前述待防御对象是否匹配前述受威胁对象，判定为否时，对前述待防御信息进行调整，以匹配前述受威胁对象。

需要说明的是，所述待防御对象和受威胁对象是分别从网络安全层面和网络威胁层面采集的信息中得到的，而前述网络安全层面采集的信息包括但不限制于前述网络威胁层面采集的信息。

因此，在本实施例的优选实施方式中，当所述待防御对象的数量和受威胁对象的数量都是一个时，所述待防御对象与受威胁对象的匹配结果可以是一致或不一致的情形；当所述待防御对象的数量和/或受威胁对象的数量是多个时，所述待防御对象与受威胁对象的匹配结果可以是完全一致、部分一致或都不一致的情形。

对应地，在待防御对象和受威胁对象的匹配结果为一致或完全一致时，表明基于前述态势感知信息进行的分析和预测是正确的。此时，基于预设的态势感知威胁情报数据库的威胁感知防御方案进行防御，以保证该防御方案针对整个网络环境的威胁进行防御。

对应地，在待防御对象和受威胁对象的匹配结果为不一致、部分一致或都不一致时，表明基于前述态势感知信息进行的分析和预测是错误的。此时，要对前述待防御信息进行调整，以匹配前述受威胁对象。在前述待防御信息经调整，且匹配前述受威胁对象时，基于预设的态势感知威胁情报数据库的威胁感知防御方案进行防御，以保证该防御方案针对整个网络环境的威胁进行防御，以实现态势感知的事先防御。

其中需要说明的是，所述调整可以是基于前述待防御对象和受威胁对象的匹配结果进行逆向追溯，以实现所述态势感知信息分析和预测的反向溯源。

具体调整方式为，基于待防御对象调整为受威胁对象的操作，通过反向追溯态势感知设备中的预测路径，调整前述预测路径以使调整后的预测路径得到的待防御对象为前述受威胁对象。

优选的，所述威胁发现设备能够检测和识别威胁发现信息，所述威胁发现信息的信息来源包括内部网络环境和外部网络环境；所述威胁发现设备包括用于检测、识别、分析威胁发现信息；所述威胁发现信息包括内部威胁发现信息和外部威胁发现信息；所述内部威胁发现信息包括内部网络环境中的威胁发现信息；所述外部威胁发现信息包括外部网络环境对内部网络环境可能造成影响的威胁发现信息。

优选的，对所述待防御对象实行准防御操作，在准防御期间，对对应的网络节点采取单向准入访问操作，并对该网络节点的访问对象执行的操作进行记录，在判定待防御对象不用进行防御时，解除准防御操作。

优选的，对所述受威胁对象执行准保护操作，在准保护期间，对对应的网络节点暂停访问操作，并对该网络节点的访问对象执行的操作进行记录；在判定受威胁对象不用进行防御时，解除准保护操作。

优选的，所述告警包括紧急告警和非紧急告警，判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，对网络节点所在的网络环境进行故障处理；和/或，定期检测出现过告警的网络节点，将前述网络节点的日志信息发送至态势感知系统进行安全分析。

所述紧急告警能够对告警中突然发生的异常数据进行报警，所述异常数据可以是异常操作、异常行为、异常数值等；优选的，所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出，并能够提供显示异常数据的指针；所述非紧急告警是指除紧急告警之外的其它告警情形。

所述故障处理针对网络环境中出现的故障进行排查，包括步骤：观察、描述故障现象，收集可能产生故障原因的信息；分析故障的原因，并制定解决方案；逐一实施解决方案，记录故障排查过程，直至网络恢复正常。

所述网络节点的日志信息是指网络设备、系统及服务程序等，在运作时产生的事件记录，其中，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于下述信息：

连接持续的时间，其数值以秒为单位，例如，其数值范围可以是：[0，58329]；

协议类型，包括但不限于TCP、UDP、ICMP；

目标主机的网络服务类型；

连接正常或错误的状态；

从源主机到目标主机的数据字节数，例如，其数值范围可以是：[0,1379963888]；

从目标主机到源主机的数据字节数，例如，其数值范围可以是：

[0,1309937401]；

连接是否来自同一个主机，是否有相同的端口；

错误分段的数量，例如，其数值范围可以是：[0,3];

加急包的个数，例如，其数值范围可以是：[0,14]。

所述的定期检测可以设置检测时间或是检测时间周期，所述的定期检测可以是下述项目，包括但不限于：

网页防篡改，用以实时监控网站目录并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁等内容。

进程异常行为，用以检测资产中是否存在超出正常执行流程的行为。

异常登录，用以检测服务器上的异常登录行为。所述异常登录可以是ECS非合法IP登录、ECS在非常用地登录、ECS登录后执行异常指令序列等。

敏感文件篡改，用以检测是否存在对服务器中的敏感文件进行恶意修改。

恶意进程，用以实时检测服务器，并对检测到的病毒文件提供实时告警。可检测子项包括访问恶意IP、挖矿程序、自变异木马、恶意程序、木马程序等。

异常网络连接，检测网络显示断开或不正常的网络连接状态。所述异常网络连接可以是主动连接恶意下载源、访问恶意域名、矿池通信行为、可疑网络外连、反弹Shell网络外连、Windows异常网络连接、疑似内网横向攻击、疑似敏感端口扫描行为等。

异常账号，用以检测非合法的登录账号。

应用入侵事件，用以检测通过系统的应用组件入侵服务器的行为。

病毒检测，可用以对主流勒索病毒、DDoS木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行主动防御。

Web应用威胁检测，用以检测通过Web应用入侵服务器的行为。

恶意脚本，用以检测资产的系统功能是否受到恶意脚本的攻击或篡改，对可能的恶意脚本攻击行为进行告警提示。

恶意网络行为通过流量内容、服务器行为等日志综合判断的异常网络行为，包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。

优选的，对发生告警的网络节点中未触发告警的端口和/或IP网段进行监控。

优选的，采集前述告警信息中网络节点的IP地址，获取前述IP地址的访问或操作记录信息，并进行轨迹追溯和/或轨迹安全分析。

所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式，所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址，以便于态势感知系统对用户的访问路径进行跟踪。

可选的，对所述网络节点的输入/输出端口进行数据监控，在网络环境发生异常变化时，对在前述网络节点的执行的操作进行标注和追溯。

其它技术特征参考在前实施例，在此不再赘述。

参见图2所示，本发明还给出了一个实施例，提供了一种发现威胁的态势感知验证装置200，其特征在于包括结构：

信息设置单元201，用于对网络节点设置威胁发现设备和态势感知设备，前述设备能够分别接收前述网络节点的威胁发现信息和态势感知信息；所述威胁发现设备能够基于网络威胁层面采集网络环境中存在的威胁数据信息，所述态势感知设备能够基于网络安全层面采集网络中与网络安全相关的信息。

信息采集单元202，用于采集态势感知信息，分析态势感知信息进行预测，以获取网络环境中的待防御对象信息。

信息获取单元203，用于接收触发告警的当前威胁发现信息，结合威胁发现设备中采集的历史威胁发现信息后得到威胁情报信息，将前述威胁情报信息基于各信息间的关联性进行组合分析以获得关联威胁情报，生成关联威胁情报，得到受威胁对象信息。

信息防御单元204，用于判断前述待防御对象是否匹配前述受威胁对象，判定为否时，对前述待防御信息进行调整，以匹配前述受威胁对象。

此外，参见图3所示，本发明还给出了一个实施例，提供了一种发现威胁的态势感知验证系统300，其特征在于包括：

网络节点301，用于收发数据。

态势感知系统302，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析。

所述态势感知系统可以整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测。

系统服务器303，所述系统服务器303连接网络节点301和态势感知系统302。

所述系统服务器303被配置为：对网络节点设置威胁发现设备和态势感知设备，前述设备能够分别接收前述网络节点的威胁发现信息和态势感知信息；所述威胁发现设备能够基于网络威胁层面采集网络环境中存在的威胁数据信息，所述态势感知设备能够基于网络安全层面采集网络中与网络安全相关的信息；采集态势感知信息，分析态势感知信息进行预测，以获取网络环境中的待防御对象信息；接收触发告警的当前威胁发现信息，结合威胁发现设备中采集的历史威胁发现信息后得到威胁情报信息，将前述威胁情报信息基于各信息间的关联性进行组合分析以获得关联威胁情报，生成关联威胁情报，得到受威胁对象信息；判断前述待防御对象是否匹配前述受威胁对象，判定为否时，对前述待防御信息进行调整，以匹配前述受威胁对象。

其它技术特征参见在前实施例，在此不再赘述。

在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。

虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。