(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111565551.9 (22)申请日 2021.12.20 (71)申请人 中电福富信息科技有限公司 地址 350000 福建省福州市 鼓楼区五凤街 道软件大道89号12号楼 (72)发明人 谢辉　陈珂　钱律　胡志达　 王培松　萨冰珍　陈耿生　 (74)专利代理 机构 福州君诚知识产权代理有限 公司 35211 专利代理师 彭东 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/142(2022.01) G06F 16/2458(2019.01) G06F 16/27(2019.01) (54)发明名称 基于多手段深度探针及全方面安全态势感 知方法及其系统 (57)摘要 本发明公开基于多手段深度探针及全方面 安全态势感知方法及其系统， 通过不同的监控设 备来全方位收集异常报警信息； 对 各类数据来源 做归一化处理， 转换为包含若干属性的集合； 对 攻击同一场景的若干子攻击事件基于前置/后续 条件进行关联表达， 形成各个子攻击事件之间的 逻辑关系， 基于不同的攻击场景的各个子攻击事 件的“与”和“或”的逻辑关系不同组合构建逻辑 树； 分析引擎加载逻辑树， 并与实时流安全事件 或告警进行匹配， 进而过滤出真实有效告警。 本 发明有效的保证威胁告警更加精准和有效。 权利要求书2页 说明书6页 附图3页 CN 114499937 A 2022.05.13 CN 114499937 A 1.基于多手段深度探针及全方面 安全态势感知方法， 其特 征在于： 其包括以下步骤： 步骤1， 通过不同的监控设备来全方位收集异常报警信息； 步骤2， 对各类数据来源做归一 化处理， 转换为包 含若干属性的集 合； 步骤3， 对攻击同一场景的若干子攻击事件基于前置/后续条件进行关联表达， 形成各 个子攻击事 件之间的逻辑关系， 步骤4， 基于不同的攻击场景的各个子攻击事件的 “与”和“或”的逻辑关系不同组合构 建逻辑树； 步骤5， 分析引擎加载逻辑树， 并与实时流安全事件或告警进行匹配， 进而过滤出真实 有效告警。 2.根据权利要求1所述的基于多手段深度探针及全方面安全态势感知方法， 其特征在 于： 步骤1中采集日志及流 量数据， 结合 安全场景及威胁情 报、 漏洞库， 进行深度探针。 3.根据权利要求1所述的基于多手段深度探针及全方面安全态势感知方法， 其特征在 于： 步骤2 中的集合属性包括： 报警描述、 探测器编号、 检测时间、 源  IP 地址、 源端口、 目标   IP 地址、 目标端口、 服 务协议、 报警类型。 4.根据权利要求1所述的基于多手段深度探针及全方面安全态势感知方法， 其特征在 于： 步骤4中将场景与多个维度的网安知识进行关联， 从多角度出发来智能构建攻击场景。 5.基于多手段深度探针及全方面安全态势感知系统， 采用权利要求1至4任一所述的基 于多手段深度探针及全方面 安全态势感知方法， 其特 征在于： 系统包括以下组成： 安全要素采集层： 提供开放式的信息采集接口， 实现对用户环境内各类IT资产以及所 采用的各厂商安全产品或安全系统进行统一的信息采集， 并提供非结构化数据采集接口， 可采集各类情境数据和威胁情 报； 安全数据存储层： 实现海量安全大数据的分布式存储， 提供结构化数据和非结构化数 据的存储能力， 并为上层的数据分析应用提供高效的数据库功能支撑； 安全态势分析层： 安全态势分析层提供基础数据处理引擎以实现分析能力， 提供由大 数据技术和架构支撑的快速检索和数据关联发掘功能； 大数据层： 通过下层所提供的数据采集和 处理能力向用户输出大数据能力， 以服务于 全网的安全态 势呈现并支撑用户全局的安全防护工作。 6.根据权利要求5所述的基于多手段深度探针及全方面安全态势感知系统， 其特征在 于： 基础数据处理引擎包括流式计算引擎、 复杂事件处理引擎、 全文检索引擎、 关联分析引 擎。 7.根据权利要求5所述的基于多手段深度探针及全方面安全态势感知系统， 其特征在 于： 安全态势分析层的分析能力包括威胁目标分析、 威胁源分析、 攻击过程分析、 影响及危 害程度分析以及风险分析。 8.根据权利要求5所述的基于多手段深度探针及全方面安全态势感知系统， 其特征在 于： 安全态势分析层通过数据融合处理手段认知安全态势， 感知威胁和风险， 并根据用户业 务特点和安全需求进行态 势可视化呈现， 建立省内安全态 势评估模型以及评估标准。 9.根据权利要求8所述的基于多手段深度探针及全方面安全态势感知系统， 其特征在 于： 数据融合处理手段包括整理分类、 精简过滤、 对比统计、 重点识别、 趋势归纳、 关联分析、 挖掘预测。权　利　要　求　书 1/2 页 2 CN 114499937 A 210.根据权利要求5所述的基于多手段深度探针及全方面安全态势感知系统， 其特征在 于： 大数据层向用户输出大数据能力包括资产感知、 攻击感知、 漏洞感知、 运行感知、 威胁感 知、 风险感知以及安全态 势总揽。权　利　要　求　书 2/2 页 3 CN 114499937 A 3