(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111501756.0 (22)申请日 2021.12.09 (71)申请人 国家电网有限公司信息通信分公司 地址 100053 北京市西城区白广路二条1号 申请人 国家电网有限公司 　 国网江苏省电力有限公司信息通信 分公司　 北京奇虎科技有限公司 (72)发明人 黄星杰　赵金梦　陈刚　张静　 张颂　赵新建　赵然　王檬　李亮　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 王宝筠 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种面向异构安全设备的智能化协同防御 的方法及系统 (57)摘要 本申请实施例公开了一种面向异构安全设 备的智能化协同防御的方法及系统， 所述方法包 括： 获取异构安全设备的多个待处理日志数据； 按照预设数据规则分别对各待处理日志数据进 行格式转换， 获得多个目标日志数据； 对多个所 述目标日志数据分别进行威胁情报分析， 获得各 目标日志数据对应的安全事件及关联设备； 基于 安全事件及关联设备对多个待处理日志数据进 行协同防御。 相较于现有技术中分区域处理日志 数据并根据日志数据确定对应安全设备进行安 全防御处理的方法， 本申请所述方法能够实现异 构安全设备协同防御， 进而提高网络安全的防护 效率。 权利要求书2页 说明书10页 附图4页 CN 114205143 A 2022.03.18 CN 114205143 A 1.一种面向异构安全设备的智能化协同防御的方法， 其特征在于， 所述面向异构安全 设备的智能化协同 防御的方法包括以下步骤： 获取异构安全设备的多个待处理日志数据； 所述异构安全设备为跨维度、 跨平台和/或 跨区域的安全设备； 按照预设数据规则分别对各待处 理日志数据进行格式转换， 获得多个目标日志数据； 对多个所述目标日志数据分别进行威胁情报分析， 获得各目标 日志数据对应的安全事 件及关联设备； 所述关联设备为所述目标日志数据关联的安全设备； 基于所述 安全事件及所述关联设备对多个所述待处 理日志数据进行协同 防御。 2.根据权利要求1所述的方法， 其特征在于， 所述对多个所述目标日志数据分别进行威 胁情报分析， 获得 各目标日志数据对应的安全 事件及关联设备的步骤， 包括： 分别确定各目标日志数据对应的数据类型； 根据所述数据类型确定各目标日志数据对应的预设数据分析规则； 根据所述预设数据分析规则对各目标日志数据分别进行威胁情报分析， 获得各目标 日 志数据对应的安全 事件及关联设备。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述数据类型确定各目标日志数 据对应的预设数据分析规则的步骤， 包括： 根据所述数据类型分别获取 各目标日志数据的关联日志信息； 根据所述关联日志信息确定数据维度信息； 根据所述数据维度信息确定各目标日志数据对应的预设数据分析规则。 4.根据权利要求2所述的方法， 其特征在于， 所述根据所述预设数据分析规则对各目标 日志数据分别进行威胁情报分析， 获得各目标日志数据对应的安全事件及关联设备的步 骤， 包括: 分别获取 各目标日志数据对应的历史日志数据； 根据所述预设数据分析规则对各目标日志数据及各目标日志数据对应的历史日志数 据进行关联分析， 获得 各目标日志数据对应的告警信息； 根据所述告警信 息对各目标 日志数据分别进行威胁情报分析， 获得各目标日志数据对 应的安全 事件及关联设备。 5.根据权利要求4所述的方法， 其特征在于， 所述根据所述告警信 息对各目标 日志数据 分别进行威胁情 报分析， 获得 各目标日志数据对应的安全 事件及关联设备的步骤， 包括： 根据所述告警信息确定告警等级； 根据所述告警等级对各目标 日志数据分别进行威胁情报分析， 获得各目标日志数据对 应的安全 事件及关联设备。 6.根据权利要求5所述的方法， 其特征在于， 所述根据所述告警信 息确定告警等级的步 骤， 包括： 从所述告警信息中提取告警分值； 根据所述告警分值从预设等级映射关系表中查找对应的告警等级， 所述预设等级映射 关系表中存在多个告警分值和多个告警等级。 7.根据权利要求5所述的方法， 其特 征在于， 还 包括： 根据所述告警信息、 所述告警等级、 各目标日志数据及各目标日志数据对应的历史日权　利　要　求　书 1/2 页 2 CN 114205143 A 2志数据生成日志威胁攻击画像； 则， 所述根据所述告警等级对各目标日志数据分别进行威胁情报分析， 获得各目标日 志数据对应的安全事件及关联设备， 包括： 根据所述日志威胁攻击画像对各目标日志数据 分别进行威胁情 报分析， 获得 各目标日志数据对应的安全 事件及关联设备。 8.根据权利要求1 ‑7任一项所述的方法， 其特 征在于， 还 包括： 分别获取 各目标日志数据对应的威胁分值； 根据所述 威胁分值对多个安全 事件进行排序， 获得威胁排序结果； 根据所述 威胁排序结果从多个所述 安全事件中选取目标安全 事件； 根据所述目标安全 事件及对应的目标日志数据生成日志 异常列表。 9.根据权利要求1 ‑7任一项所述的方法， 其特征在于， 所述基于所述安全事件及所述关 联设备对多个所述待处 理日志数据进行协同 防御的步骤， 包括： 确定各安全 事件对应的安全设备； 判断所述 安全设备与所述关联设备 是否一致； 在所述安全设备与 所述关联设备一致 时， 基于所述安全事件及所述关联设备对多个所 述待处理日志数据进行协同 防御。 10.根据权利要求1 ‑7任一项所述的方法， 其特 征在于， 还 包括： 确定所述 安全事件的事件类型； 根据所述所述事 件类型确定所述 安全事件对应的事 件危险等级； 则， 所述基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协同防 御， 包括： 基于所述事件危险等级及所述关联设备对多个所述待处理日志数据进行协同防 御。 11.根据权利要求10所述的方法， 其特 征在于， 还 包括： 根据所述事 件危险等级确定所述 安全事件的预设防御策略； 则， 所述基于所述事件危险等级及所述关联设备对多个所述待处理日志数据进行协同 防御， 包括： 基于所述预设 防御策略及所述关联设备对多个所述待处理日志数据进行协同 防御。 12.一种面向异构安全设备的智能化协同防御的系统， 其特征在于， 所述面向异构安全 设备的智能化协同 防御的系统包括： 获取模块， 用于获取异构安全设备的多个待处理日志数据； 所述异构安全设备为跨维 度、 跨平台和/或跨区域的安全设备； 转换模块， 用于按照预设数据规则分别对各待处理日志数据进行格式转换， 获得多个 目标日志数据； 分析模块， 用于对多个所述目标日志数据分别进行威胁情报分析， 获得各目标日志数 据对应的安全 事件及关联设备； 所述关联设备为所述目标日志数据关联的安全设备； 防御模块， 用于基于所述安全事件及所述关联设备对多个所述待处理日志数据进行协 同防御。 13.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储计算机 程序， 所述计算机程序用于执 行权利要求1 ‑11中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114205143 A 3