(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114189361A(43)申请公布日2022.03.15(21)申请号202111375012.9(22)申请日2021.11.19(71)申请人上海纽盾科技股份有限公司地址200441上海市宝山区长江南路99弄2号11层(72)发明人杨腾霄崔政强严涛(74)专利代理机构上海图灵知识产权代理事务所(普通合伙)31393代理人刘红梅(51)Int.Cl.H04L9/40(2022.01)H04L41/0631(2022.01)权利要求书2页说明书11页附图3页(54)发明名称防御威胁的态势感知方法、装置及系统(57)摘要本发明提供了一种防御威胁的态势感知方法、装置及系统，涉及网络安全技术领域。所述处理方法包括步骤：采集告警信息，并调取网络环境中与告警信息相关的日志信息；整理上述日志信息进行威胁情报分析，得到威胁情报信息；所述威胁情报信息包括网络环境中的威胁项信息和异常项信息；获取目标威胁项和/或目标异常项，设置追踪标记，追踪目标威胁项和/或目标异常项在网络环境造成的关联威胁和/或关联异常；结合目标威胁项和/或目标异常项及其关联威胁和/或关联异常信息进行联合防御。本发明通过分析威胁情报，获取网络环境中的威胁项和异常项，并结合威胁项和异常项中的目标威胁项和/或目标异常项及其关联威胁和/或关联异常信息进行联合防御。CN114189361ACN114189361A权利要求书1/2页1.一种防御威胁的态势感知方法，其特征在于包括步骤，采集告警信息，并调取网络环境中与告警信息相关的日志信息；所述日志信息包括系统日志信息和网络节点的日志信息；整理上述日志信息进行威胁情报分析，得到威胁情报信息；所述威胁情报信息包括网络环境中的威胁项信息和异常项信息；获取目标威胁项和/或目标异常项，对前述前述目标威胁项和/或目标异常项设置追踪标记，追踪前述目标威胁项和/或目标异常项在网络环境造成的关联威胁和/或关联异常；结合前述目标威胁项和/或目标异常项及其关联威胁和/或关联异常信息，调取态势感知威胁数据库中对应的防御方案进行联合防御。2.根据权利要求1所述的方法，其特征在于，所述威胁情报包括已知威胁情报和未知威胁情报；当所述威胁情报存储在态势感知系统的威胁情报数据库时，该威胁情报是已知威胁情报；否则，该威胁情报是未知威胁情报。3.根据权利要求2所述的方法，其特征在于，判定为已知威胁情报时，调用预设的态势感知系统的威胁情报数据库中的防御方案，对前述威胁情报信息中的威胁项进行防御；判定为未知威胁情报时，分析前述威胁情报信息中对应触发告警的异常项，以调取网络安全数据库的防御方案，来应对前述未知的威胁情报。4.根据权利要求3所述的方法，其特征在于，对所述未知威胁情报信息进行分析的步骤如下，提取前述未知威胁情报信息中的威胁特征，标记威胁特征的种类，并统计各种类对应威胁特征的数量；选取包含的威胁特征的数量最多的种类作为首选防御种类，基于该首选防御种类从前述预设的态势感知威胁数据库中，选取对应的防御方案；基于前述防御方案，进行试探防御。5.根据权利要求4所述的方法，其特征在于，所述试探防御包括采取一个防御方案或者采取多个防御方案的顺序防御，或者采取多个防御方案的乱序防御；所述乱序防御是指针对前述未知威胁情报信息中提取的全部威胁特征，将前述威胁特征依据对网络环境威胁影响的状况从首要到次要到普通的顺序进行排序，并对前述防御方案中针对防御的步骤和顺序进行对应的调整。6.根据权利要求5所述的方法，其特征在于，所述调取的防御方案中包含的威胁特征相比前述未知威胁情报信息中所包含的威胁特征，前者具有的威胁特征的数量和种类均少于后者的威胁特征的数量和种类；首选防御种类对应的试探防御结束后，针对首选防御种类以外的其他防御种类，从态势感知威胁数据库选取对应的防御方案进行防御。7.根据权利要求1所述的方法，其特征在于，结合前述威胁项和/或异常项对网络环境造成的关联威胁和/或关联异常，判断态势感知趋势的预测是否是正确，其中，所述威胁情报对应的威胁情报信息是指对实时产生网络威胁的行为描述信息，该网络威胁包括网络攻击、木马病毒、高级持续威胁。8.根据权利要求1所述的方法，其特征在于，所述告警包括对前述威胁项和/或异常项的告警，以及，前述威胁项和/或异常项对网络环境造成关联威胁和/或关联异常的告警。2CN114189361A权利要求书2/2页9.一种防御威胁的态势感知装置，其特征在于包括结构：信息采集单元，用以采集告警信息，并调取网络环境中与告警信息相关的日志信息；所述日志信息包括系统日志信息和网络节点的日志信息；信息整理单元，用以整理上述日志信息进行威胁情报分析，得到威胁情报信息；所述威胁情报信息包括网络环境中的威胁项信息