网络安全态势感知方法、装置及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及网络安全态势感知方法。


背景技术：

2.在现有技术中，态势感知系统通过整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测。
3.为确保网络安全以及对潜在网络威胁的感知能力，各企业都会选用态势感知系统来提高网络安全稳定运行的能力。通过态势感知系统对数据进行分析和处理，获得更有价值的数据信息，提高态势感知能力，从而实现网络环境中异常项的事前防御，减少网络环境中的潜在威胁和安全隐患，在保障资源安全的同时，避免系统中发生更为严重的告警事件。这其中，获取高价值的数据信息，提高态势感知系统的态势感知能力，是当前亟需解决的技术问题。
4.为此，提供一种网络安全态势感知方法、装置及系统，以解决通过态势感知事前防御的方式对告警进行预测和防御，从而提高态势感知的预测和防御能力，避免更为严重的告警事件的发生。


技术实现要素：

5.本发明的目的在于：克服现有技术的不足，提供一种网络安全态势感知方法、装置及系统，本发明能够接收历史告警信息；接收历史告警信息；对前述历史告警信息进行数据处理；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息；分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和防御对象信息；根据预设的告警阈值范围，判断前述防御对象是否正确，并针对前述防御对象进行防御。
6.为解决现有的技术问题，本发明提供了如下技术方案：一种网络安全态势感知方法，其特征在于包括步骤，接收历史告警信息，所述历史告警信息包括网络边缘设备的历史告警信息和网络节点的历史告警信息；对前述历史告警信息进行数据处理，所述数据处理还包括与前述历史告警信息相关的威胁情报信息和网络节点的日志信息；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息；分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和防御对象信息；根据预设的告警阈值范围，判断前述防御对象是否正确；其中，当前述新态势感知信息中的预测告警信息匹配前述告警阈值范围时，判定前述防御对象正确，基于预设的态势感知数据库的防御方案对前述预测告警进行防御。
7.进一步，判定防御对象错误，获取前述网络边缘设备或网络节点的实时告警信息，对发出实时告警的网络边缘设备或网络节点进行防御。
8.进一步，所述网络的结构为内部网络结构、外部网络结构和边缘网络结构。
9.进一步，所述内部网络结构涉及在同一网络环境中发生告警的网络节点，对触发前述告警的历史告警信息进行数据处理，得到前述历史态势感知信息，用以预测得到在同一网络环境中的新态势感知信息。
10.进一步，所述外部网络结构涉及在不同网络环境中发生告警的网络节点，对触发前述告警的历史告警信息进行数据处理，得到前述历史态势感知信息，用以预测得到在不同网络环境中的新态势感知信息。
11.进一步，所述边缘网络结构涉及前述网络边缘设备的告警和/或引起前述网络边缘设备进行告警的网络节点，对触发前述告警的历史告警信息进行数据处理，得到前述历史态势感知信息，用以预测得到与前述网络边缘设备相关联的新态势感知信息。
12.进一步，所述告警包括紧急告警和非紧急告警，判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，对网络节点所在的网络环境进行故障处理；和/或，定期检测出现过告警的网络节点，将前述网络节点的日志信息发送至态势感知系统进行安全分析。
13.进一步，采集前述告警信息中网络边缘设备和网络节点的ip地址，获取前述ip地址的访问或操作记录信息，并进行轨迹追溯和/或轨迹安全分析。
14.一种网络安全态势感知装置，其特征在于包括结构：信息接收单元，用以接收历史告警信息，所述历史告警信息包括网络边缘设备的历史告警信息和网络节点的历史告警信息；信息提取单元，用以对前述历史告警信息进行数据处理，所述数据处理还包括与前述历史告警信息相关的威胁情报信息和网络节点的日志信息；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息；信息分析单元，用以分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和防御对象信息；信息防御单元，用以根据预设的告警阈值范围，判断前述防御对象是否正确；其中，当前述新态势感知信息中的预测告警信息匹配前述告警阈值范围时，判定前述防御对象正确，基于预设的态势感知数据库的防御方案对前述预测告警进行防御。
15.一种网络安全态势感知系统，其特征在于包括：网络节点，用于收发数据；态势感知系统，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析；系统服务器，所述系统服务器连接网络节点和态势感知系统；所述系统服务器被配置为：接收历史告警信息，所述历史告警信息包括网络边缘设备的历史告警信息和网络节点的历史告警信息；对前述历史告警信息进行数据处理，所述数据处理还包括与前述历史告警信息相关的威胁情报信息和网络节点的日志信息；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息；分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和
防御对象信息；根据预设的告警阈值范围，判断前述防御对象是否正确；其中，当前述新态势感知信息中的预测告警信息匹配前述告警阈值范围时，判定前述防御对象正确，基于预设的态势感知数据库的防御方案对前述预测告警进行防御。
16.基于上述优点和积极效果，本发明的优势在于：接收历史告警信息，所述历史告警信息包括网络边缘设备的历史告警信息和网络节点的历史告警信息；对前述历史告警信息进行数据处理；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息；分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和防御对象信息；根据预设的告警阈值范围，判断前述防御对象是否正确；其中，当前述新态势感知信息中的预测告警信息匹配前述告警阈值范围时，判定前述防御对象正确，基于预设的态势感知数据库的防御方案对前述预测告警进行防御。
17.进一步，判定防御对象错误，获取前述网络边缘设备或网络节点的实时告警信息，对发出实时告警的网络边缘设备或网络节点进行防御。
18.进一步，利用态势感知系统获取预测告警和防御的对象，在调用态势感知系统数据库进行防御前实现分析和防御，节约了资源成本，同时，该防御能够避免发生更为严重的告警事件。
19.进一步，前述实时告警信息转化为历史告警信息，结合之前的历史告警信息，通过态势感知系统进行数据处理和提取得到历史态势感知信息后，再分析得到新态势感知信息，如此以提高态势感知系统的分析和预测能力。
附图说明
20.图1为本发明实施例提供的流程图。
21.图2为本发明实施例提供的装置的结构示意图。
22.图3为本发明实施例提供的系统的结构示意图。
23.附图标记说明：装置200，信息接收单元201，信息提取单元202，信息分析单元203，信息防御单元204；系统300，网络节点301，态势感知系统302，系统服务器303。
具体实施方式
24.以下结合附图和具体实施例对本发明公开的一种网络安全态势感知方法、装置及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
25.需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按
基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
26.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
实施例
27.参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤s100如下：s101，接收历史告警信息，所述历史告警信息包括网络边缘设备的历史告警信息和网络节点的历史告警信息。
28.在本实施例的优选实施方式中，所述告警是一种用于传递告警信息的事件报告，也叫告警事件，简称告警。它可以由生产厂商定义好，也可以由网管人员结合网络中的告警进行定义。在一次告警中，网管系统的监控单元视故障情况给出告警信号，系统每接收到一次的告警信号，代表一次告警事件的发生，并通过告警信息的形式进行故障描述，并在网管系统的告警信息管理中心显示告警信息。所述故障是通过网络中的设备产生的告警事件的原因。
29.所述告警信息包括历史告警信息和实时告警信息。所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
30.所述网络边缘设备可以是向企业或服务提供商核心网络提供入口点的设备。作为举例而非限制，所述网络边缘设备可以是路由器、路由交换机、集成接入设备（iad）、多路复用器，以及各种城域网（man）和广域网（wan）接入设备。
31.所述网络节点，是指处于网络环境中具有独立网络地址和数据处理功能的终端，所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机，也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点，这些网络节点通过通信线路连接，形成网络拓扑结构。所述通信线路可以是有线通信方式，也可以是无线通信方式。
32.需要说明的是，前述网络边缘设备是独立于前述网络节点的设备，所述网络节点不包括前述网络边缘设备。
33.s102，对前述历史告警信息进行数据处理，所述数据处理还包括与前述历史告警信息相关的威胁情报信息和网络节点的日志信息；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息。
34.所述数据处理的对象包括但不限制于前述历史告警信息，以及，与前述历史告警信息相关的威胁情报信息和网络节点的日志信息。所述数据处理包括对前述数据信息进行数据清洗的操作。
35.所述威胁情报信息用以描述网络环境中的威胁情报，所述威胁情报能够通过利用威胁情报库对访问流量、网络节点的日志信息等数据信息进行关联分析，识别出可能已经发生的威胁事件，主要包括恶意域名访问、恶意下载源访问、恶意ip访问等不易直接发现的入侵行为。
36.所述网络节点的日志信息是指网络设备、系统及服务程序等，在运作时产生的事件记录，其中，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于下述信息：连接持续的时间，其数值以秒为单位，例如，其数值范围可以是：[0，58329]；协议类型，包括但不限于tcp、udp、icmp；目标主机的网络服务类型；连接正常或错误的状态；从源主机到目标主机的数据字节数，例如，其数值范围可以是：[0,1379963888]；从目标主机到源主机的数据字节数，例如，其数值范围可以是：[0,1309937401]；连接是否来自同一个主机，是否有相同的端口；错误分段的数量，例如，其数值范围可以是：[0,3];加急包的个数，例如，其数值范围可以是：[0,14]。
[0037]
在对前述历史告警信息进行数据处理后，获取的数据信息的属性类型包括但不限制于告警时间、事件id、攻击源ip、攻击目的ip、告警名称、源端口、目的端口、等级、威胁类型，以及攻击手段。
[0038]
针对前述数据信息，按照态势感知系统中属性类型的要求提取相对应的属性信息，得到历史态势感知信息，所述历史态势感知信息对应的属性类型可以是源地址、源端口、目的地址、目的端口、日志主要特征、事件id、发生时间、事件类型、事件等级、威胁类型、资产ip、资产类型等。
[0039]
s103，分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和防御对象信息。
[0040]
在本发明的具体实施例中，所述态势感知信息包括历史态势感知信息和经预测得出的新态势感知信息。所述新态势感知信息通过态势感知系统对前述历史态势感知信息进行分析和预测后得出。
[0041]
所述预测告警信息是指用以描述态势感知系统对网络环境实现预测告警的信息。所述预测告警是指所述态势感知系统针对可能会触发告警的情形进行了事先的预测，而形成的事前告警。所述预测告警在触发实时告警前，对可能发展为实时告警的告警进行预测，该操作能够在触发实时告警前，以预测告警的形式，提前对网络环境中的威胁进行防御，可以有效避免实时告警时反映对网络安全造成的影响。
[0042]
所述防御对象信息是指描述网络环境中异常项对应的应当防御的对象信息。该防御的对象可以是硬件设备故障，也可以是软件系统故障，包括但不限制于网络端口、网络板卡网络环路、广播风暴、流量占用、病毒等等。
[0043]
还需要说明的是，针对本发明的具体实施方式，所述新态势感知信息的预测正确时，系统中就不会出现对应的实时告警信息；反之，在系统中会出现实时告警信息，代表前述新态势感知信息对告警信息的预测不准确。进一步，前述实时告警信息转化为历史告警信息，结合之前的历史告警信息，通过态势感知系统进行数据处理和提取得到历史态势感知信息后，再分析得到新态势感知信息，如此以提高态势感知系统的分析和预测能力。
[0044]
s104，根据预设的告警阈值范围，判断前述防御对象是否正确；其中，当前述新态
势感知信息中的预测告警信息匹配前述告警阈值范围时，判定前述防御对象正确，基于预设的态势感知数据库的防御方案对前述预测告警进行防御。
[0045]
所述告警阈值可以是指系统设定的触发告警的最低/最高值，即告警临界值，也可以是网管人员结合实际告警的情形设置的告警临界值，当所述告警超出告警临界值时，此时触发告警，通过告警信息传输告警信息。作为举例而非限制，例如网管人员依据实际告警情形将某一网络节点进行数据传输的流量上限设置为每秒300mb，即该网络节点的流量告警阈值上限为每秒300mb，当网络环境中该网络节点进行数据传输的流量超过每秒300mb时，就会触发数据传输流量超过上限的告警。同样的，也可以设置相应的流量统计周期，设计每一流量统计周期内的流量告警阈值。
[0046]
优选的，判定防御对象错误，获取前述网络边缘设备或网络节点的实时告警信息，对发出实时告警的网络边缘设备或网络节点进行防御。即在所述防御对象判断错误的情形下，仍然可以采用网管系统的实现告警防御以保障网络安全。
[0047]
即在前述态势感知分析预测不准确的情况下，依旧可以针对系统中产生的实时告警信息进行处理，确保全面、系统地进行网络安全防御。
[0048]
优选的，所述网络的结构为内部网络结构、外部网络结构和边缘网络结构。
[0049]
优选的，所述内部网络结构涉及在同一网络环境中发生告警的网络节点，对触发前述告警的历史告警信息进行数据处理，得到前述历史态势感知信息，用以预测得到在同一网络环境中的新态势感知信息。
[0050]
优选的，所述外部网络结构涉及在不同网络环境中发生告警的网络节点，对触发前述告警的历史告警信息进行数据处理，得到前述历史态势感知信息，用以预测得到在不同网络环境中的新态势感知信息。
[0051]
优选的，所述边缘网络结构涉及前述网络边缘设备的告警和/或引起前述网络边缘设备进行告警的网络节点，对触发前述告警的历史告警信息进行数据处理，得到前述历史态势感知信息，用以预测得到与前述网络边缘设备相关联的新态势感知信息。
[0052]
需要说明的是，前述新态势感知信息均能够通过分析前述历史态势感知信息之间存在的某种特定关系得出，所述特定关系例如因果关系、递进关系等。在分析前述特定关系时，需要考虑多个因素，所述因素包括但不限制于时间因素和事件关联程度，针对前述历史态势感知信息依照时间顺序或事件发展顺序进行梳理，进一步预测得到新态势感知信息。
[0053]
优选的，所述告警包括紧急告警和非紧急告警，判定为紧急告警时，对对应的网络节点进行安全防御，断开前述网络节点的网络访问，对网络节点所在的网络环境进行故障处理；和/或，定期检测出现过告警的网络节点，将前述网络节点的日志信息发送至态势感知系统进行安全分析。
[0054]
所述紧急告警能够对告警中突然发生的异常数据进行报警，所述异常数据可以是异常操作、异常行为、异常数值等；优选的，所产生的紧急告警可以在态势感知系统基于告警数据进行分析后得出，并能够提供显示异常数据的指针；所述非紧急告警是指除紧急告警之外的其它告警情形。
[0055]
所述故障处理针对网络环境中出现的故障进行排查，包括步骤：观察、描述故障现象，收集可能产生故障原因的信息；分析故障的原因，并制定解决方案；逐一实施解决方案，记录故障排查过程，直至网络恢复正常。
[0056]
所述的定期检测可以设置检测时间或是检测时间周期，所述的定期检测可以是下述项目，包括但不限于：网页防篡改，用以实时监控网站目录并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁等内容；进程异常行为，用以检测资产中是否存在超出正常执行流程的行为；异常登录，用以检测服务器上的异常登录行为。所述异常登录可以是ecs非合法ip登录、ecs在非常用地登录、ecs登录后执行异常指令序列等；敏感文件篡改，用以检测是否存在对服务器中的敏感文件进行恶意修改；恶意进程，用以实时检测服务器，并对检测到的病毒文件提供实时告警。可检测子项包括访问恶意ip、挖矿程序、自变异木马、恶意程序、木马程序等；异常网络连接，检测网络显示断开或不正常的网络连接状态。所述异常网络连接可以是主动连接恶意下载源、访问恶意域名、矿池通信行为、可疑网络外连、反弹shell网络外连、windows异常网络连接、疑似内网横向攻击、疑似敏感端口扫描行为等；异常账号，用以检测非合法的登录账号；应用入侵事件，用以检测通过系统的应用组件入侵服务器的行为；病毒检测，可用以对主流勒索病毒、ddos木马、挖矿和木马程序、恶意程序、后门程序和蠕虫病毒等类型进行主动防御；web应用威胁检测，用以检测通过web应用入侵服务器的行为；恶意脚本，用以检测资产的系统功能是否受到恶意脚本的攻击或篡改，对可能的恶意脚本攻击行为进行告警提示；恶意网络行为通过流量内容、服务器行为等日志综合判断的异常网络行为，包括攻击者通过开放的网络服务入侵主机、或主机沦陷后对外发起的异常网络行为。
[0057]
所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测。
[0058]
优选的，采集前述告警信息中网络边缘设备和网络节点的ip地址，获取前述ip地址的访问或操作记录信息，并进行轨迹追溯和/或轨迹安全分析。
[0059]
所述ip地址可以是根据用户遵守的ip协议所提供的统一的地址格式，所述ip地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址，以便于态势感知系统对用户的访问路径进行跟踪。
[0060]
可选的，对所述网络节点的输入/输出端口进行数据监控，在网络环境发生异常变化时，对在前述网络节点的执行的操作进行标注和追溯。
[0061]
在进行数据监控时，所述态势感知系统同时可以对发生告警的网络节点中未触发告警的端口和/或ip网段进行监控，所述端口和/或ip网段采取多路复用方式进行通信。
[0062]
在触发告警时，所述告警会显示针对触发告警的网络节点的端口信息，同时，对其他未触发告警的网络节点的端口的执行操作进行监控，能够确保网络安全的实时布控，使前述端口和/或ip网段在未触发告警时保持与其他网络节点的正常通信和稳定运行。
[0063]
其它技术特征参考在前实施例，在此不再赘述。
[0064]
参见图2所示，本发明还给出了一个实施例，提供了一种网络安全态势感知装置
200，其特征在于包括结构：信息接收单元201，用以接收历史告警信息，所述历史告警信息包括网络边缘设备的历史告警信息和网络节点的历史告警信息；信息提取单元202，用以对前述历史告警信息进行数据处理，所述数据处理还包括与前述历史告警信息相关的威胁情报信息和网络节点的日志信息；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息；信息分析单元203，用以分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和防御对象信息；信息防御单元204，用以根据预设的告警阈值范围，判断前述防御对象是否正确；其中，当前述新态势感知信息中的预测告警信息匹配前述告警阈值范围时，判定前述防御对象正确，基于预设的态势感知数据库的防御方案对前述预测告警进行防御。
[0065]
此外，参见图3所示，本发明还给出了一个实施例，提供了一种网络安全态势感知系统300，其特征在于包括：网络节点301，用于收发数据。
[0066]
态势感知系统302，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析。
[0067]
系统服务器303，所述系统服务器303连接网络节点301和态势感知系统302；所述系统服务器303被配置为：接收历史告警信息，所述历史告警信息包括网络边缘设备的历史告警信息和网络节点的历史告警信息；对前述历史告警信息进行数据处理，所述数据处理还包括与前述历史告警信息相关的威胁情报信息和网络节点的日志信息；对前述进行数据处理后的信息，按属性类型提取历史态势感知信息；分析前述历史态势感知信息，预测态势感知趋势以得到新态势感知信息，所述新态势感知信息包括预测告警信息和防御对象信息；根据预设的告警阈值范围，判断前述防御对象是否正确；其中，当前述新态势感知信息中的预测告警信息匹配前述告警阈值范围时，判定前述防御对象正确，基于预设的态势感知数据库的防御方案对前述预测告警进行防御。
[0068]
其它技术特征参见在前实施例，在此不再赘述。
[0069]
在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。
[0070]
虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。