调整网络安全防御方案的方法、装置、系统及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及调整网络安全防御方案的方法。


背景技术：

2.网络安全管理系统，又叫网管系统，是一个软硬件结合以软件为主的分布式网络应用系统，其目的是管理网络，使网络高效正常运行。在网管系统中，当面对网络环境中的威胁项时，系统往往会基于前述威胁项调取对应的防御方案进行防御。
3.在网管系统设计之初存在的可能情形之一为，网络环境中的威胁项与对应防御方案的管理分别由不同的人员进行管理，且这两批人员无交流，且未更新各自管理的威胁项的数据库和防御方案的数据库，导致两者的对应关系出现错误。这种错误可能导致的情形之一可以是，威胁项对应防御方案的防御力度的不匹配，例如防御方案中模型参数对应前述威胁项的不匹配，导致对应前述威胁项的防御方案不能满足对网络环境中威胁项的防御。
4.为此，本发明提供了一种调整网络安全防御方案的方法、装置、系统及存储介质，基于网络环境中存在网络节点威胁项的节点个数，调整防御方案中共同防御指标限定的防御节点个数，使防御方案适用于网络环境中网络节点威胁项的防御，是当前亟需解决的技术问题。


技术实现要素：

5.本发明的目的在于：克服现有技术的不足，提供一种调整网络安全防御方案的方法、装置及系统，本发明能够采集网络环境中的告警信息；基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数；获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数；判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
6.为解决现有的技术问题，本发明提供了如下技术方案：一种调整网络安全防御方案的方法，其特征在于，包括步骤，采集网络环境中的告警信息；基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数；获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数；判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
7.进一步，所述网络环境中包括有多个系统服务器，每个系统服务器中包含有多个
网络节点；所述告警信息包括系统告警信息和节点告警信息；基于前述系统告警信息和节点告警信息，确定前述系统服务器和网络节点的共同的告警原因，以得到前述系统服务器和网络节点共同的威胁项，并对前述威胁项调取对应的威胁防御方案进行防御。
8.进一步，所述威胁项能够依据前述威胁项对应的威胁等级，从严重威胁、一般威胁到轻度威胁进行排序，并按照前述排序对前述威胁项调取威胁防御方案进行防御。
9.进一步，所述防御方案包括调取基于前述网络环境中系统服务器和网络节点的配置信息，对应调整防御方案中防御模型对应前述配置信息的参数的阈值。
10.进一步，所述威胁项对应设置有威胁指标；所述威胁指标是指在网络安全管理系统中预设的，针对前述威胁项对对应网络节点的威胁个数、威胁规模、威胁等级和威胁种类进行评价的指标；所述所述共同防御指标是指基于网络安全管理系统预设的，针对前述威胁项进行防御时，对应网络节点的防御个数、防御规模、防御等级和防御种类进行评价的指标。
11.进一步，所述共同防御指标中还包括防御节点自适应指标，所述防御节点自适应指标用于根据当前防御的网络节点的设备配置参数，自适应获取对应等级的防御子方案；对应一个威胁项的防御方案包括多个等级的防御子方案，所述等级与网络节点当前可用资源相关。
12.进一步，对前述设备配置参数在其对应的阈值内，设定警戒值，当实际防御情形达到前述警戒值时，获取达到警戒值的网络节点，限制对该节点进行访问的请求和节点数量。
13.一种调整网络安全防御方案的装置，其特征在于包括结构：信息采集单元，用以采集网络环境中的告警信息；信息获取单元，用以基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数；信息判断单元，用以获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数；信息匹配单元，用以判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
14.一种调整网络安全防御方案的系统，其特征在于包括：网络节点，用于收发数据；网络安全管理系统，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析；系统服务器，所述系统服务器连接网络节点和网络安全管理系统；所述系统服务器被配置为：采集网络环境中的告警信息；基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数；获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数；判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
15.一种计算机可读存储介质，其上存储有程序，用于前述调整网络安全防御方案的
装置中，其特征在于，所述程序被处理器执行时，能够实现上述任一项所述调整网络安全防御方案的方法的步骤。
16.基于上述优点和积极效果，本发明的优势在于：采集网络环境中的告警信息；基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数；获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数；判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
17.进一步，所述共同防御指标中还包括防御节点自适应指标，所述防御节点自适应指标用于根据当前防御的网络节点的设备配置参数，自适应获取对应等级的防御子方案；对应一个威胁项的防御方案包括多个等级的防御子方案，所述等级与网络节点当前可用资源相关。
附图说明
18.图1为本发明实施例提供的一个流程图。
19.图2为本发明实施例提供的另一个流程图。
20.图3为本发明实施例提供的装置的结构示意图。
21.图4为本发明实施例提供的系统的结构示意图。
22.附图标记说明：装置200，信息采集单元201，信息获取单元202，信息判断单元203，信息匹配单元204；系统300，网络节点301，网络安全管理系统302，系统服务器303。
具体实施方式
23.以下结合附图和具体实施例对本发明公开的一种调整网络安全防御方案的方法、装置、系统及存储介质作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
24.需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
25.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所
有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
实施例
26.参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤s100如下：s101，采集网络环境中的告警信息。
27.在本发明的优选实施方式中，所述网络环境中包括有多个系统服务器，每个系统服务器中包含有多个网络节点。
28.所述系统服务器用以连接网络节点，和网络环境中对网络节点进行管理的网络安全管理系统。
29.所述网络节点，是指处于网络环境中具有独立网络地址和数据处理功能的终端，所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。
30.所述告警是一种用于传递告警信息的事件报告，也叫告警事件，简称告警。
31.所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
32.s102，基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数。
33.所述威胁项可以是存在威胁和/或对网络节点构成威胁的系统对象、非系统对象等。作为举例而非限制，所述威胁项可以是进程、url(统一资源定位符，uniform resource locator)访问行为、ip(网络之间互联的协议，internet protocol)访问、端口访问、dns(域名系统，domain name system)、邮箱地址、或者邮件附件等。
34.所述威胁项可以基于前述告警信息中的告警原因得到，也可以基于前述网络安全管理系统对网络中威胁项的分析能力获得。
35.所述对应前述威胁项的防御方案包括但不限制于：建立威胁入侵防御系统，用于快速检测、阻止、遏制威胁入侵；将存在威胁的进程放入隔离区，通过防火墙规则拦截存在威胁的url、ip、或者dns等，通过邮件服务器拦截某邮箱地址，通过邮件服务器撤销存在威胁的附件；将显示异常的源ip地址、终端识别号、用户标识加入黑名单，将无异常的源ip地址、终端识别号、用户标识加入白名单，并根据所述黑名单和白名单控制数据请求访问权限等。
36.所述共同防御指标包括但不限制于针对前述威胁项进行防御时，对应网络节点的防御个数、防御规模、防御等级和防御种类进行评价的指标。
37.s103，获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数。
38.s104，判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
39.优选的，所述网络环境中包括有多个系统服务器，每个系统服务器中包含有多个网络节点；所述告警信息包括系统告警信息和节点告警信息；基于前述系统告警信息和节点告警信息，确定前述系统服务器和网络节点的共同的告警原因，以得到前述系统服务器和网络节点共同的威胁项，并对前述威胁项调取对应的威胁防御方案进行防御。
40.所述系统告警信息中包括但不限制于系统服务器的id信息、系统告警原因信息和系统告警等级信息等。
41.所述节点告警信息包括但不限制于网络节点的id信息、节点告警原因信息和节点告警等级信息等。
42.优选的，所述威胁项能够依据前述威胁项对应的威胁等级，从严重威胁、一般威胁到轻度威胁进行排序，并按照前述排序对前述威胁项调取威胁防御方案进行防御。
43.优选的，所述防御方案包括调取基于前述网络环境中系统服务器和网络节点的配置信息，对应调整防御方案中防御模型对应前述配置信息的参数的阈值。
44.所述配置信息可以由用户进行自定义设置，也可以是系统默认设置的。对于系统服务器，所述配置信息包括但不限制于：系统服务器的cpu内存值、ip地址、允许访问的网络端口信息等；对于网络节点，所述配置信息包括但不限制于：网络节点的访问个数，访问时的最大流量阈值，网络节点的cpu容量，网络节点的流量吞吐值，网络节点能够承受的温度值等。
45.优选的，所述威胁项对应设置有威胁指标；所述威胁指标是指在网络安全管理系统中预设的，针对前述威胁项对对应网络节点的威胁个数、威胁规模、威胁等级和威胁种类进行评价的指标；所述所述共同防御指标是指基于网络安全管理系统预设的，针对前述威胁项进行防御时，对应网络节点的防御个数、防御规模、防御等级和防御种类进行评价的指标。
46.所述威胁指标的值包括威胁指标中对应网络节点的防御个数、防御规模、防御等级和防御种类进行评价的各项评价指标的值。
47.所述防御指标的值包括防御指标中对应网络节点的防御个数、防御规模、防御等级和防御种类进行评价的各项评价指标的值。
48.在对前述各项指标进行匹配时，包括对前述威胁指标的值与防御指标的值的匹配，还包括前述威胁指标中各项指标的值与防御指标中各项指标的值分别进行比较。
49.其中，对前述威胁指标中各项指标的值与防御指标中各项指标的值分别进行比较，所述比较的标准是当前述威胁指标中各项指标与防御指标中各项指标一一对应匹配时，进行比较。
50.可选的，在前述威胁种类和防御种类一致的情况下，当前述共同防御指标中防御个数、防御规模、防御等级的评价指标的值对应低于前述威胁指标中威胁个数、威胁规模、威胁等级的任一项时，对应调整防御方案中防御模型对应前述配置信息的参数的阈值。
51.优选的，所述共同防御指标中还包括防御节点自适应指标，所述防御节点自适应指标用于根据当前防御的网络节点的设备配置参数，自适应获取对应等级的防御子方案；对应一个威胁项的防御方案包括多个等级的防御子方案，所述等级与网络节点当前可用资源相关。
52.所述可用资源包括但不限制于处理器的内存、ip地址和网络端口等。
53.所述相关包括前述等级与网络节点当前可用资源的正相关（例如：内存高-等级高、ip地址访问频次高-等级高、网络端口工作频次高-等级高）和负相关（例如：内存高-等级低、ip地址访问频次高-等级低、网络端口工作频次高-等级低）。
54.可选的，针对被防御的网络节点，所述网络节点的设备配置参数还包括对当前网
络节点容许访问的节点个数和访问流量进行限制的指标。
55.优选的，对前述设备配置参数在其对应的阈值内，设定警戒值，当实际防御情形达到前述警戒值时，获取达到警戒值的网络节点，限制对该节点进行访问的请求和节点数量。
56.设置前述警戒值的优势在于：当对前述设备配置参数设置有前述警戒值时，可以在实际防御中达到前述设备配置参数容许的警戒值时，系统中会出现一个提示信号，用以警示网络管理员，前述防御操作中存在有紧急状况，并对前述防御操作进行分析，以提供适用于应对前述实际防御情形达到前述警戒值的情况，避免在防御过程中出现新的告警事件。
57.其它技术特征参考在前实施例，在此不再赘述。
58.参见图2所示，为本发明提供的另一个流程图。所述设备配置参数的调整，还包括步骤s110：s111，基于前述网络节点所属的网络环境，判断针对前述网络节点采取防御方案时，需要满足的网络节点的设备配置参数是否超出预设的网络节点的设备配置参数。
59.所述网络节点的设备配置参数包括但不限制于网络节点的cpu容量，网络节点的流量吞吐值，网络节点的cpu容许温度值等。
60.其中，所述网络节点的cpu容许温度值是指在正常工作状态下的cpu最高和最低温度值。
61.s112，判定为是时，即前述设备配置参数超出预设的网络节点的设备配置参数时，调整前述设备配置参数的值。
62.参见图3所示，本发明还给出了一个实施例，提供了一种调整网络安全防御方案的装置200，其特征在于包括结构：信息采集单元201，用以采集网络环境中的告警信息。
63.信息获取单元202，用以基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数。
64.信息判断单元203，用以获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数。
65.信息匹配单元204，用以判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
66.此外，参见图4所示，本发明还给出了一个实施例，提供了一种调整网络安全防御方案的系统300，其特征在于包括：网络节点301，用于收发数据。
67.网络安全管理系统302，定期检测出现过告警的网络节点，将前述网络节点的日志信息进行安全分析。
68.所述定期检测可以设置检测时间或是检测时间周期，所述的定期检测可以是下述项目，包括但不限于网页防篡改，进程异常行为，异常登录，敏感文件篡改，恶意进程等。
69.所述网络节点的日志信息是指网络设备、系统及服务程序等，在运作时产生的事件记录，其中，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于连接持续的时间，协议类型，目标主机的 网络服务类型，连
接正常或错误的状态，从源主机到目标主机的数据字节数，从目标主机到源主机的数据字节数，错误分段的数量，加急包的个数，连接是否来自同一个主机，是否有相同的端口等。
70.系统服务器303，所述系统服务器303连接网络节点301和网络安全管理系统302。
71.所述系统服务器303被配置为：采集网络环境中的告警信息；基于前述告警信息，得到网络环境中各网络节点的威胁项和对应前述威胁项的防御方案，所述防御方案中设置有共同防御指标，所述共同防御指标用于设置前述防御方案在同一时间支持的防御节点个数；获取受到同一威胁项的网络节点的个数n，判断n是否超过前述威胁项对应的防御方案中的共同防御指标限定的防御节点个数；判定超过时，调整前述防御方案中的防御节点个数以与前述n匹配。
72.其它技术特征参见在前实施例，在此不再赘述。
73.本发明实施例还提供了一种计算机可读存储介质，其上存储有程序，用于前述调整网络安全防御方案的装置中，所述程序被处理器执行时，能够实现上述任一项所述调整网络安全防御方案的方法的步骤。
74.本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
75.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的实现流程示意图和/或方框图来描述的。应理解可由计算机程序指令实现流程示意图和/或方框图中的每一流程和/或方框、以及实现流程示意图和/或方框图中的流程和/或方框的结合。
76.其它技术特征参见在前实施例，在此不再赘述。
77.在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。
78.虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。