网络安全防御方法、装置及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及网络安全防御方法。


背景技术：

2.在现有技术中，态势感知系统通过整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测。
3.为确保网络安全以及对潜在网络威胁的感知能力，各企业都会选用态势感知系统来提高网络安全稳定运行的能力。由于网络安全的防御强调精准防御，这使得态势感知系统在获得网络威胁后，需要从海量的网络节点中找出对应的需要进行防御的网络节点，在对对应的网络节点调取对应的防御方案进行防御，这无疑会花费更多的时间和资源才能实现前述防御效果。
4.为此，提供一种网络安全防御方法、装置及系统，以解决获取威胁情报信息，对目标节点和其关联网络节点建立节点拓扑关系链，并对该关系链所属的威胁情景调取防御方案进行无差别防御，之后，再判断防御后的关联网络节点有否得到有效防御，以网络安全防御的资源成本和防御时间，是当前亟需解决的技术问题。


技术实现要素：

5.本发明的目的在于：克服现有技术的不足，提供一种网络安全防御方法、装置及系统，本发明能够提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息；从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链；根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御；获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效防御；对于未能有效防御的节点分析原因，并针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
6.为解决现有的技术问题，本发明提供了如下技术方案：一种网络安全防御方法，其特征在于，包括步骤，提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息；从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链；根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御；获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效防御；对于未能有效防御的节点分析原因，并针对威胁情报信息
中的告警原因调取对应的防御方案进行防御。
7.进一步，所述威胁情报信息来源于态势感知系统采集到的网络环境内的安全信息。
8.进一步，获取节点拓扑关系链上的各网络节点的被攻击时间信息，根据网络节点id信息和该网络节点的被攻击时间，生成基于时间轴的网络节点变化趋势图，所述网络节点变化趋势图用于显示随着时间的变化，被攻击的网络节点的变化。
9.进一步，在提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御的过程中，对节点拓扑关系链上每个网络节点对应前述防御方案中的模型参数进行调整。
10.进一步，获取前述无差别防御时起到防御效果的节点；判断所述威胁情景中可能的威胁对象，用以追溯攻击源。
11.进一步，所述威胁情报信息包括前述节点的告警信息，以及对应前述节点的威胁情景信息。
12.进一步，所述节点拓扑关系链包括各节点之间的网络拓扑结构和各节点威胁信息中的威胁源；当前述节点拓扑关系链上任一节点对应的威胁源与在前和/或在后节点的对应的威胁源一致时，对受到同一威胁源攻击的节点，采取协同防御。
13.进一步，所述协同防御是指对前述节点进行协同分析，并采取联合防御。
14.一种网络安全防御装置，其特征在于包括结构：信息提取单元，用以提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息；节点关系建立单元，用以从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链；信息防御单元，用以根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御；有效性处理单元，用以获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效防御；对于未能有效防御的节点分析原因，并针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
15.一种网络安全防御系统，其特征在于包括：网络节点，用于收发数据；态势感知系统，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析；系统服务器，所述系统服务器连接网络节点和态势感知系统；所述系统服务器被配置为：提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息；从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链；根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御；获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效
防御；对于未能有效防御的节点分析原因，并针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
16.基于上述优点和积极效果，本发明的优势在于：提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息；从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链；根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御；获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效防御；对于未能有效防御的节点分析原因，并针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
17.进一步，在提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御的过程中，对节点拓扑关系链上每个网络节点对应前述防御方案中的模型参数进行调整。
18.进一步，获取前述无差别防御时起到防御效果的节点；判断所述威胁情景中可能的威胁对象，用以追溯攻击源。
19.进一步，所述节点拓扑关系链包括各节点之间的网络拓扑结构和各节点威胁信息中的威胁源；当前述节点拓扑关系链上任一节点对应的威胁源与在前和/或在后节点的对应的威胁源一致时，对受到同一威胁源攻击的节点，采取协同防御。
附图说明
20.图1为本发明实施例提供的流程图。
21.图2为本发明实施例提供的装置的结构示意图。
22.图3为本发明实施例提供的系统的结构示意图。
23.附图标记说明：装置200，信息提取单元201，节点关系建立单元202，信息防御单元203，有效性处理单元204；系统300，网络节点301，态势感知系统302，系统服务器303。
具体实施方式
24.以下结合附图和具体实施例对本发明公开的一种网络安全防御方法、装置及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
25.需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按
基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
26.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
实施例
27.参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤s100如下：s101，提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息。
28.所述威胁情报信息用以描述网络环境中的威胁情报，所述威胁情报能够通过利用威胁情报库对访问流量、网络节点的日志信息等数据信息进行关联分析，识别出可能已经发生的威胁事件，主要包括恶意域名访问、恶意下载源访问、恶意ip访问等不易直接发现的入侵行为。
29.所述网络节点，是指处于网络环境中具有独立网络地址和数据处理功能的终端，所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。
30.所述网络节点可以是工作站、客户、网络用户或个人计算机，也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点，这些网络节点通过通信线路连接，形成网络拓扑结构。所述通信线路可以是有线通信方式，也可以是无线通信方式。
31.所述威胁信息包括但不限制于对应前述网络节点受到网络威胁时的状态信息、网络威胁类型和受威胁时间等信息。
32.s102，从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链。
33.所述目标节点可以由用户在前述网络节点中进行选取，也可以通过态势感知系统进行自动选定，例如态势感知系统可以选定前述威胁项中威胁影响最大的一个网络节点作为目标节点。
34.所述关联网络节点是指与前述目标节点具有关联关系的网络节点。
35.所述节点拓扑关系链包括多种建立方式。作为举例而非限制，所述节点拓扑关系链可以将前述目标节点与关联网络节点的实际的物理结构为标准，建立节点拓扑关系链；也可以以前述目标节点触发威胁的事件作为标准，结合前述关联网络节点建立节点拓扑关系链；此外，还可以由用户输入指定网络节点来建立节点拓扑关系。
36.在节点拓扑关系链上，各节点可以显示对应受到威胁的威胁源，以及任一节点在前述节点拓扑关系链中，该节点与在前和/或在后节点间的关联关系。
37.s103，根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御。
38.所述威胁情景是指针对威胁情报中的威胁对象信息、目标主机信息和威胁等级信息等数据进行的情景描述。所述威胁情景可以通过网络环境本身以及网络环境中各网络节
点，对描述其状态(含历史状态)的任何信息进行明示或者暗示。
39.所述威胁情景可以是预先设置的，也可以是从采集到的前述网络节点的威胁信息中提取得到的。
40.所述威胁情景的防御方案可以是态势感知系统中基于威胁情景预设的防御方案；也可以是用户（例如态势感知系统的维护人员、管理员等人员）基于实际的威胁情景设置的防御方案，并将其存入态势感知系统的防御方案中。
41.所述无差别防御是指对同一节点拓扑关系链上的目标节点和关联网络节点都采取同样的防御方案进行防御，所述防御方案即采取前述威胁情景防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御。
42.在进行防御操作时，所述无差别防御可以将同一节点拓扑关系链上的目标节点和关联网络节点视为一个群体，并对这一群体采取对应威胁情景的防御方案进行防御。
43.值得注意的是，采取无差别防御的优势在于：当系统判断出节点拓扑关系链中的威胁所对应的威胁情景时，就可以在事先不具体判断是哪一节点/哪些节点需要进行防御的情况下，就对节点拓扑关系链上所有的节点进行防御，该操作可以缩短系统判断防御操作的时间，并在防御的过程中，可以防御受到威胁的节点，同时可以对节点拓扑关系链上其他可能受到该威胁的节点（例如前述节点的关联网络节点）进行网络安全防御。
44.s104，获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效防御；对于未能有效防御的节点分析原因，并针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
45.所述判断前述节点是否得到有效防御的操作可以在对节点进行防御之前预设节点得到有效防御的标准，作为举例而非限制，该标准可以是威胁等级降低、告警等级降低等，并将不符合前述标准的情形视为节点没有得到有效防御。
46.值得说明的是，在节点没有得到有效防御时，该节点没有得到有效防御的情形之一，可以是由于节点所属的实际网络环境更为复杂，导致节点没有得到有效防御。
47.因此，在节点没有得到有效防御时，需要考虑节点所述网络环境的多个安全因素。
48.此时，作为本实施例的优选实施方式之一，可以针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
49.优选的，所述威胁情报信息来源于态势感知系统采集到的网络环境内的安全信息。
50.所述安全信息可以包括但是不限于安装特定的安全证书集合、网络特定的安全证书集合、随机数生成器种子值、加密密钥、加密算法、nonce字段或子字段和/或其它面向安全的配置数据。
51.所述安全证书包括电子文档，该电子文档能够使用数字签名以将公共密钥与身份(诸如人或商业组织的名称、地址等信息)捆绑。
52.此外，所述安全信息还可以包括安全密钥本身，诸如aes-128密钥，该密钥能够由网络节点直接用于加密和解密网络上发送和接收的消息。
53.优选的，获取节点拓扑关系链上的各网络节点的被攻击时间信息，根据网络节点id信息和该网络节点的被攻击时间，生成基于时间轴的网络节点变化趋势图，所述网络节点变化趋势图用于显示随着时间的变化，被攻击的网络节点的变化。
54.其中，所述被攻击的网络节点的变化例如可以是在不同的时间下，网络节点的攻击信息。
55.优选的，在提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御的过程中，对节点拓扑关系链上每个网络节点对应前述防御方案中的模型参数进行调整。
56.作为举例而非限制，模型参数中的流量指标参数和访问节点容许值指标参数为例，一个节点拓扑关系链上存在目标节点1、关联网络节点1、关联网络节点2和关联网络节点3，该节点拓扑关系链所对应的威胁情景为网络节点的访问流量超出阈值，而前述各节点能够承受的最大访问流量分别为800mb、500mb、300mb和200mb，且各节点容许访问的节点个数不同，分别为80个、50个、30个和20个。
57.以目标节点为例，对应调取防御方案后，对防御方案中的防御模型的流量指标参数进行配置，以限制目标节点1的最大访问流量使其低于800mb，同时配置访问节点容许值，以限制访问目标节点1的节点个数不超过80个。
58.同样的，对关联网络节点1、关联网络节点2和关联网络节点3的防御方案的模型参数相应进行配置，以使得关联网络节点1、关联网络节点2和关联网络节点3的最大访问流量分别低于500mb、300mb和200mb，且容许访问的节点个数分别不超过50个、30个和20个。
59.值得注意的是，上述操作的优势在于，能够将前述无差别防御时对应的防御工作量进行调整，以更贴近现有的对网络节点进行的防御情形，并能够避免实际防御过程中的资源浪费。
60.优选的，获取前述无差别防御时起到防御效果的节点；判断所述威胁情景中可能的威胁对象，用以追溯攻击源。
61.在对前述节点拓扑关系链上的节点进行防御后，系统可以获取前述无差别防御时起到防御效果的节点，并可以优选通过分析前述节点间的访问请求、执行操作等信息，判断所述威胁情景中可能的威胁对象，也可以获取前述节点的权限信息，进一步判断所述威胁情景中可能的威胁对象，用以追溯攻击源，以实现对攻击源的反防御。
62.所述威胁对象，作为举例而非限制，可以是目标进程启停行为，也可以是内存行为、变更行为等。
63.其中，所述内存行为包括但不限制于进程注入行为、文件访问行为、以及网络连接行为；所述网络连接行为可以是url访问行为、ip访问、端口访问、以及dns访问等行为中的一种。
64.所述变更行为包括但不限制于系统变更行为(例如注册表的创建、删除和修改)、账户变更行为(例如账户的创建、账户权限的变更)、文件变更行为等。
65.优选的，所述威胁情报信息包括前述节点的告警信息，以及对应前述节点的威胁情景信息。
66.所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
67.所述威胁情景信息是指包含有威胁对象信息、目标主机信息和威胁等级信息等数据的针对威胁情报中的情景进行描述的信息。
68.作为举例而非限制，所述威胁情景信息包括但不限制于威胁对象信息、目标主机
信息、威胁等级信息，以及所述网络节点的操作系统、所述网络节点的网络地址、所述网络节点的位置信息、所述网络节点的类型、当前时间等。
69.优选的，所述节点拓扑关系链包括各节点之间的网络拓扑结构和各节点威胁信息中的威胁源；当前述节点拓扑关系链上任一节点对应的威胁源与在前和/或在后节点的对应的威胁源一致时，对受到同一威胁源攻击的节点，采取协同防御。
70.所谓协同防御是指通过协调前述节点拓扑关系链中两个或者两个以上威胁源一致的节点,以协同一致地完成针对同一威胁源的防御性操作。
71.作为举例而非限制，例如一个节点拓扑关系链上对应一个威胁情景，该威胁情景中不同节点所对应的威胁源不同，使得一个节点拓扑关系链上存在有多个威胁源。
72.当节点拓扑关系链上一个节点的威胁源与其在前和/或在后节点的对应的威胁源一致时，可以优选对隶属于同一威胁源的多个节点采取防御操作。
73.优选的，所述协同防御是指对前述节点进行协同分析，并采取联合防御。
74.所述协同分析是指通过协调前述节点拓扑关系链中两个或者两个以上威胁源一致的节点,以协同一致地完成针对同一威胁源的分析操作。
75.所述联合防御可以优选为结合前述前述节点拓扑关系链中两个或者两个以上威胁源一致的节点，在态势感知威胁数据库中调取前述节点拓扑关系链对应的威胁情景中针对同一威胁源的防御方案，并进一步采取防御性操作。
76.可选的，所述节点拓扑关系链上各节点对应的威胁源能够按照同类威胁、个性化威胁进行分类。
77.可选的，对采集到的网络环境内的安全信息进行数据处理。
78.所述数据处理包括但不限制于现有技术中对安全信息进行数据过滤、数据归一化处理、数据清洗等操作，以便于后续数据分析，并减少计算时的资源浪费。
79.其它技术特征参考在前实施例，在此不再赘述。
80.参见图2所示，本发明还给出了一个实施例，提供了一种网络安全防御装置200，其特征在于包括结构：信息提取单元201，用以提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息。
81.节点关系建立单元202，用以从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链。
82.信息防御单元203，用以根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御。
83.有效性处理单元204，用以获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效防御；对于未能有效防御的节点分析原因，并针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
84.此外，参见图3所示，本发明还给出了一个实施例，提供了一种网络安全防御系统300，其特征在于包括：网络节点301，用于收发数据。
85.态势感知系统302，定期检测出现过告警的网络节点，将前述网络节点的日志信息
进行安全分析。
86.所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测。
87.所述定期检测可以设置检测时间或是检测时间周期，所述的定期检测可以是下述项目，包括但不限于网页防篡改，进程异常行为，异常登录，敏感文件篡改，恶意进程等。
88.在本实施例的优选实施方式中，所述告警是一种用于传递告警信息的事件报告，也叫告警。
89.所述告警可以由生产厂商定义好，也可以由网管人员结合网络环境中的实际告警情况进行定义。
90.在一次告警中，网管系统的监控单元可以视故障情况给出告警信号，系统每接收到一次的告警信号，代表一次告警事件的发生，并通过告警信息的形式进行故障描述，并在网管系统的告警信息管理中心显示告警信息。所述故障是通过网络中的设备产生的告警事件的原因。
91.所述告警通过告警信息在网络环境中进行具体体现。所述告警信息包括历史告警信息和实时告警信息。所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
92.所述网络节点的日志信息是指网络设备、系统及服务程序等，在运作时产生的事件记录，其中，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。
93.所述网络节点的日志信息包括但不限于连接持续的时间，协议类型，目标主机的网络服务类型，连接正常或错误的状态，从源主机到目标主机的数据字节数，从目标主机到源主机的数据字节数，错误分段的数量，加急包的个数，连接是否来自同一个主机，是否有相同的端口等。
94.系统服务器303，所述系统服务器303连接网络节点301和态势感知系统302。
95.所述系统服务器303被配置为：提取威胁情报信息，所述威胁情报信息中包括有多个网络节点的威胁信息；从前述网络节点中指定任一网络节点作为目标节点，获取前述目标节点的关联网络节点，建立节点拓扑关系链；根据目标节点的威胁信息获取所属的威胁情景，将该威胁情景作为前述节点拓扑关系链的威胁情景，提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御；获取采取前述防御方案后各关联网络节点的威胁情报信息，根据所述威胁情报信息判断节点是否得到有效防御；对于未能有效防御的节点分析原因，并针对威胁情报信息中的告警原因调取对应的防御方案进行防御。
96.其它技术特征参见在前实施例，在此不再赘述。
97.在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。
98.虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。