(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111563481.3 (22)申请日 2021.12.20 (71)申请人 上海纽盾科技股份有限公司 地址 200441 上海市宝山区长江南路9 9弄2 号11层 (72)发明人 罗伟　杨腾霄　严涛　 (74)专利代理 机构 上海图灵知识产权代理事务 所(普通合伙) 31393 代理人 刘红梅 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 态势感知中威胁信息的预测防御方法、 装置 及系统 (57)摘要 本发明提供了一种态势感知中威胁信息的 预测防御方法、 装置及系统， 涉及网络安全技术 领域。 所述处理方法包括步骤： 对态势感知系统 所在网络环境划分区域； 采集告警信息； 告警信 息包括系统告警信息和节点告警信息； 选取任一 系统告警信息， 针对系统告警信息所针对的网络 节点所属的区域， 获取该区域的所有节点的节点 告警信息， 预测该区域的区域威胁信息； 或者， 选 取任一节 点告警信息， 得到产生节 点告警信息的 节点， 获取该节点所属区域的所有节 点的节点告 警信息和该区域内的系统告警信息， 预测该区域 的区域威胁信息； 选取防御方案进行防御。 本发 明能够通过系统告警信息和节点告警信息确定 各区域的区域威胁信息， 并实现针对 各区域网络 威胁的安全防御。 权利要求书2页 说明书9页 附图2页 CN 114338110 A 2022.04.12 CN 114338110 A 1.一种态 势感知中威胁信息的预测防御方法， 其特 征在于， 包括 步骤， 对态势感知系统所在网络环境划分区域， 建立所述态 势感知系统的区域信息； 采集网络环境中的告警信息； 所述告警信息包括系统告警信息和节点告警信息， 所述 系统告警信息包 含前述区域信息； 选取任一条系统告警信息， 针对前述系统告警信息所针对的网络节点所属的区域， 获 取属于该区域的所有网络节点的节点告警信息， 结合该区域内的系统告警和节点告警预测 该区域的区域 威胁信息； 或者， 选取任一节点告警信息， 得到产生前述节点告警信 息的网络节点， 获取该网络节 点所属区域的所有网络节点的节点告警信息， 以及获取该区域内的系统告警信息， 结合前 述节点告警和系统告警预测该区域的区域 威胁信息； 根据预测得到的区域 威胁信息， 选取对应态 势感知系统的防御方案进行防御。 2.根据权利要求1所述的方法， 其特征在于， 所述区域由态势感知系统进行设定， 或者， 由用户进行划分。 3.根据权利要求1所述的方法， 其特征在于， 所述系统告警信 息能够从系统所属网络环 境的安全日志信息中提取 得到； 所述节点告警信息能够从前述网络节点的安全日志信息中提取 得到。 4.根据权利要求3所述的方法， 其特征在于， 所述系统告警信 息包含前述系统所属网络 环境的安全日志信息中的异常项和/或故障项； 所述节点告警信息包 含前述网络节点的安全日志信息中的异常项和/或故障项。 5.根据权利要求1所述的方法， 其特征在于， 所述网络节点包括前述网络节点的关联网 络节点。 6.根据权利要求1所述的方法， 其特征在于， 所述区域威胁信息中包括有时间、 来源区 域、 事件、 受威胁资产、 目标主机和攻击类型。 7.根据权利要求6所述的方法， 其特征在于， 所述攻击类型包括SQL注入攻击、 XSS、 C&C 和Webshel l攻击。 8.根据权利要求1所述的方法， 其特征在于， 对所述区域威胁信息划分威胁等级， 所述 威胁等级与态 势感知系统中态 势感知信息的安全等级对应。 9.一种态势感知中威胁信息的预测防御装置， 包括如权利要求1 ‑8中任一项所述的方 法， 其特征在于包括结构： 区域划分单元， 用以对态势感知系统所在网络环境划分区域， 建立所述态势感知系统 的区域信息； 信息采集单元， 用以采集网络环境中的告警信息； 所述告警信息包括系统告警信息和 节点告警信息， 所述系统告警信息包 含前述区域信息； 第一预测单元， 用以选取任一条系统告警信息， 针对前述系统告警信息所针对的网络 节点所属的区域， 获取属于该区域的所有网络节点的节点告警信息， 结合该区域内的系统 告警和节点告警预测该区域的区域 威胁信息； 或者， 第二预测单元， 用以选取任一节点告警信 息， 得到产生前述节点告警信息的网络节点， 获取该网络节点所属区域的所有网络节点的节点告警信息， 以及获取该区域内的系统告警 信息， 结合前述节点告警和系统告警预测该区域的区域 威胁信息；权　利　要　求　书 1/2 页 2 CN 114338110 A 2信息防御单元， 用以根据预测得到的区域威胁信息， 选取对应态势感知系统的防御方 案进行防御。 10.一种态势感知中威胁信 息的预测防御系统， 包括如权利要求1 ‑8中任一项所述的方 法， 其特征在于包括： 网络节点， 用于收发数据； 态势感知系统， 定期检测出现过告警的网络节点， 将前述网络节点的日志信息进行安 全分析； 系统服务器， 所述系统服 务器连接网络节点和态 势感知系统； 所述系统服务器被配置为： 对态势感知系统所在网络环境划分区域， 建立所述态势感 知系统的区域信息； 采集网络环境中的告警信息； 所述告警信息包括系统告警信息和节点 告警信息， 所述系统告警信息包含前述区域信息； 选取任一条系统告警信息， 针对前述系统 告警信息所针对的网络节点所属的区域， 获取属于该区域的所有网络节点的节点告警信 息， 结合该区域内的系统告警和节点告警预测该区域的区域威胁信息； 或者， 选取任一节 点 告警信息， 得到产生前述节点告警信息的网络节点， 获取该网络节点所属区域的所有网络 节点的节点告警信息， 以及获取该区域内的系统告警信息， 结合前述节点告警和系统告警 预测该区域的区域威胁信息； 根据预测得到的区域威胁信息， 选取对应态势感知系统的防 御方案进行防御。权　利　要　求　书 2/2 页 3 CN 114338110 A 3