[发明专利]态势感知预测方法、装置及系统

权利要求书

1.一种态势感知预测方法，其特征在于，包括步骤，

采集网络节点的日志信息，以及保护前述网络节点的网络安全设备的安全日志信息；

基于态势感知系统提取前述网络节点的日志信息，以及安全日志信息中的属性类型，分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象；其中，所述威胁对象是目标进程启停行为、内存行为和变更行为中的一种；所述受威胁对象是目标进程启停行为、内存行为以及变更行为中的至少一种；所述威胁对象与受威胁对象相对应；

依据前述网络节点的日志信息，以及网络安全设备的安全日志信息，追踪网络环境中各网络节点间的通信路径，预测出网络环境中可能的待防御对象；所述待防御对象是指前述网络节点所属的网络环境中对应异常项应当进行防御的对象；

将受威胁对象设置为判断基准，判断前述待防御对象是否与受威胁对象匹配；判定不匹配时，依据前述受威胁对象调整待防御对象；

其中，依据前述受威胁对象调整待防御对象的步骤为：

获取前述待防御对象的预测路径，对前述预测路径进行拆解，获取路径节点信息和节点顺序信息，所述路径节点的最后一个节点为前述预测的待防御对象；

将前述待防御对象网络节点调整为受威胁对象网络节点；

基于前述节点顺序信息，以前述受威胁对象网络节点为起点，逆序反向分析在前节点信息，判断在前节点信息中是否存在错误；

判定存在错误时，提取发生错误的节点信息，并对错误原因进行分析；

基于前述错误原因调整对应的预测指标、指标参数和/或指标参数的安全阈值，并将前述调整信息保存至态势感知数据库的防御策略中。

2.根据权利要求1所述的方法，其特征在于，所述威胁对象与受威胁对象相对应，并作为受威胁对象的防御依据，以实现前述威胁对象和受威胁对象基于态势感知数据库的防御方案进行防御。

3.根据权利要求1所述的方法，其特征在于，对前述威胁对象和受威胁对象的比较依据前述网络节点受到威胁的时间节点，分别进行比较。

4.根据权利要求1所述的方法，其特征在于，所述网络安全设备包括防火墙、防毒墙、入侵检测系统、入侵防御系统、统一威胁安全网关和安全隔离网闸。

5.根据权利要求1所述的方法，其特征在于，所述威胁对象和受威胁对象组成威胁项集，所述威胁项集包括多个按照时间节点逆序排列的威胁项子集，每个所述威胁项子集中包括威胁对象和受威胁对象，所述威胁对象与受威胁对象相对应。

6.根据权利要求1所述的方法，其特征在于，所述待防御对象组成待防御项集，所述待防御项集中包括有多个按照时间节点逆序排列的待防御项子集。

7.根据权利要求5或6所述的方法，其特征在于，所述受威胁对象与所述待防御对象的比较依据前述的时间节点的排列顺序依次进行比较，判定前述受威胁对象与所述待防御对象是否匹配；

判定为是时，依据受威胁对象的防御方案进行态势感知防御；

判定为否时，依据前述受威胁对象调整待防御对象的步骤，调整待防御对象。