网络资产的安全态势感知防御方法、装置及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及网络资产的安全态势感知防御方法。


背景技术：

2.网络资产是指计算机网络或通讯网络中使用的各种设备，主要包括主机、网络设备（例如路由器、交换机等）和安全设备（例如防火墙）等设备。
3.网络资产的数据信息作为企业最为宝贵的资产，为保障网络资产在网络环境中的网络安全，技术人员往往会使用态势感知系统来监控和掌握网络环境中各网络资产的安全变化趋势。而使用态势感知系统作为感知网络资产的数据信息安全的一种手段，具有感知资产的网络威胁和网络漏洞，并采取防御策略的能力，能够保证网络资产的数据信息的安全。
4.在对网络资产进行防御的过程中，往往通过系统采集到的告警信息来判断目前网络资产中存在的安全隐患，并根据告警信息中反馈的信息来对网络资产选取适用的防御方案进行防御。
5.而网络资产中存在有网络威胁和/或网络漏洞是通过网络中的告警信息得到的，而在该告警信息对应的操作中，该网络资产已经存在有网络威胁和/或网络漏洞时，将前述告警信息作为反馈结果，分析前述网络威胁和/或网络漏洞对存在关联关系的其他资产造成的威胁。
6.这一操作会耗费大量的分析时间，导致网络威胁和/或网络漏洞的进一步扩散，若是在之前的网络资产对应执行访问操作的进程中，以及执行访问操作之前就对前述网络威胁和/或网络漏洞有所察觉，并提前对网络威胁和/或网络漏洞进行防御时，则可以避免网络威胁和/或网络漏洞造成更大的网络安全隐患。
7.为此，提供一种网络资产的安全态势感知防御方法、装置及系统，以通过确定网络资产对应工作进程中的网络威胁和/或网络漏洞，对受到网络攻击的网络资产进行防御，以实现防御目的，是当前亟需解决的技术问题。


技术实现要素：

8.本发明的目的在于：克服现有技术的不足，提供一种网络资产的安全态势感知防御方法、装置及系统，本发明能够采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息；根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产；获取前述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程。
9.为解决现有的技术问题，本发明提供了如下技术方案：一种网络资产的安全态势感知防御方法，其特征在于，包括步骤，
采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息；根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产；获取前述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程；其中，基于前述风险网络资产的当前工作进程和历史工作进程，建立前述资产的工作进程链，所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
10.进一步，所述威胁信息中包括受威胁的资产id、威胁项、威胁类型和威胁等级；所述漏洞信息中包括存在网络漏洞的资产id、漏洞项、漏洞类型和漏洞等级。
11.进一步，对前述工作进程链上的工作进程进行分析，获取与前述网络环境中的其他网络资产存在信息交互的工作进程，确定该工作进程的交互网络资产的资产id；判断前述工作进程是否受到威胁或存在漏洞；判定为是时，从前述网络资产信息中获取交互网络资产的威胁信息和漏洞信息，判断前述威胁信息和漏洞信息中是否包含前述工作进程，判定为否时，向前述交互网络资产发出针对前述工作进程的预警信息。
12.进一步，判断前述工作进程未受到威胁且不存在漏洞时，从前述网络资产信息中获取交互网络资产的威胁信息和漏洞信息，判断前述威胁信息和漏洞信息中是否包含前述工作进程，判定为是时，向前述风险网络资产发出针对前述工作进程的预警信息。
13.进一步，从前述风险网络资产的工作进程链上获取受到同一威胁或具有同一漏洞的多个工作进程信息，针对该多个工作进程采取同一防御方案进行防御。
14.进一步，所述工作进程中包含有多个线程，当前述工作进程受到威胁或存在漏洞时，提取该工作进程中的所有线程，建立该工作进程对应各线程的执行顺序的线程链，并针对该线程链上各线程的执行顺序，对前述线程进行防御。
15.进一步，获取前述线程链中受到威胁或存在网络漏洞的线程，调取对应前述线程的防御方案进行防御；在防御后，重新确认前述工作进程中各线程是否还受到威胁或存在网络漏洞；判定为否时，更新前述工作进程。
16.一种网络资产的安全态势感知防御装置，包括结构：信息采集单元，用以采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息；信息确定单元，用以根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产；信息防御单元，用以获取前述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程；其中，基于前述风险网络资产的当前工作进程和历史工作进程，建立前述资产的工作进程链，所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
17.一种网络资产的安全态势感知防御系统，包括：
网络资产，用于存储和收发数据；态势感知系统，定期检测受到威胁和/或存在网络漏洞的网络资产，将前述网络资产进行安全检测；系统服务器，所述系统服务器连接网络资产和态势感知系统；所述系统服务器被配置为：采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息；根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产；获取前述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程；其中，基于前述风险网络资产的当前工作进程和历史工作进程，建立前述资产的工作进程链，所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
18.一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述网络资产的安全态势感知防御方法步骤。
19.基于上述优点和积极效果，本发明的优势在于：采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息；根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产；获取前述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程；其中，基于前述风险网络资产的当前工作进程和历史工作进程，建立前述资产的工作进程链，所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
20.进一步，对前述工作进程链上的工作进程进行分析，获取与前述网络环境中的其他网络资产存在信息交互的工作进程，确定该工作进程的交互网络资产的资产id；判断前述工作进程是否受到威胁或存在漏洞；判定为是时，从前述网络资产信息中获取交互网络资产的威胁信息和漏洞信息，判断前述威胁信息和漏洞信息中是否包含前述工作进程，判定为否时，向前述交互网络资产发出针对前述工作进程的预警信息。
21.进一步，判断前述工作进程未受到威胁且不存在漏洞时，从前述网络资产信息中获取交互网络资产的威胁信息和漏洞信息，判断前述威胁信息和漏洞信息中是否包含前述工作进程，判定为是时，向前述风险网络资产发出针对前述工作进程的预警信息。
附图说明
22.图1为本发明实施例提供的一个流程图。
23.图2为本发明实施例提供的另一个流程图。
24.图3为本发明实施例提供的装置的结构示意图。
25.图4为本发明实施例提供的系统的结构示意图。
26.附图标记说明：
装置200，信息采集单元201，信息确定单元202，信息防御单元203；系统300，网络资产301，态势感知系统302，系统服务器303。
具体实施方式
27.以下结合附图和具体实施例对本发明公开的一种网络资产的安全态势感知防御方法、装置及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
28.需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
29.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
实施例
30.参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤s100如下：s101，采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息。
31.所述态势感知系统是指整合防病毒软件、防火墙、网管系统、入侵监测系统、安全审计系统等多个数据信息系统，以完成目前网络环境情况的评估，以及，前述网络环境未来变化趋势的预测。
32.所述网络资产是指计算机网络或通讯网络中使用的各种设备，主要包括主机、网络设备（例如可以是路由器、交换机等）和安全设备（例如防火墙）等设备。
33.所述网络资产信息包括但不限制于网络资产的设备类型、版本信息、资产id信息、资产的工作进程信息，以及资产的威胁信息和漏洞信息。
34.其中，所述威胁信息包括但不限制于对应前述网络资产受到网络威胁时的状态信息、网络威胁类型和受威胁时间等信息；所述漏洞信息包括但不限制于对应前述网络资产中存在的网络漏洞的类型信息，等级信息等信息。
35.需要说明的是，所述工作进程在通信领域内是指程序的一次执行过程。对于操作系统来说，一个任务就是一个进程（process）。
36.作为举例而非限制，打开一个浏览器就是启动一个浏览器进程，打开一个记事本
就启动了一个记事本进程，打开两个记事本就启动了两个记事本进程，打开一个word就启动了一个word进程。
37.由于一个工作进程内部，往往要同时执行多件事（比如word可以同时进行打字、拼写检查、打印等事情），因此，就需要同时运行多个“子任务”。前述进程内的这些“子任务”也称为线程（thread）。
38.s102，根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产。
39.所述风险网络资产是指当网络资产中存在有网络漏洞时，将前述网络漏洞视为前述网络资产的一个风险项。即前述网络漏洞存在导致该网络资产具有网络安全风险的可能性时，将将该网络资产视为风险网络资产。
40.s103，获取前述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程；其中，基于前述风险网络资产的当前工作进程和历史工作进程，建立前述资产的工作进程链，所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
41.作为举例而非限制，某一风险网络资产中所有的工作进程分别为工作进程a1、工作进程a2、工作进程a3和工作进程a4，其中，该风险资产中受到威胁的当前工作进程为工作进程a4，该风险网络资产中存在漏洞但未受到威胁的当前工作进程为工作进程a3，工作进程a1是工作进程a3的历史工作进程，工作进程a2是工作进程a4的历史工作进程。还需要说明的是，（工作进程a1-工作进程a3）和（工作进程a2-工作进程a4）是前述风险网络资产中并行操作的两组工作进程。
42.此时，获取前述风险网络资产中受到威胁的当前工作进程（即工作进程a4），调取与工作进程a4对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程（即工作进程a3），对前述风险网络资产中存在的漏洞进行修补，并监控正在执行的当前工作进程a3。
43.还需要说明的是，基于前述风险网络资产的当前工作进程和历史工作进程，建立的风险网络资产的工作进程链可以是（工作进程a1-工作进程a3）和（工作进程a2-工作进程a4），由于所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，且对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息，因此，在前述工作进程链上可以直观的得到前述风险网络资产对应到各工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
44.所述防御信息包括但不限制于进行防御的资产id、防御时间、防御类型、防御方案等信息。
45.所述修补信息包括但不限制于进行修补的资产id、修补时间、修补类型、修补方案等信息。
46.需要说明的是，上述方法的实施，其优势在于，当检测到网络资产是受到威胁的网络资产，和/或，网络资产为存在有网络漏洞的风险资产时，就对前述网络资产调取相应的防御方案进行防御。该方法不用等到系统接收到有关网络资产的告警信息时，再基于前述告警信息对网络资产进行维护，相较于告警后进行防御而言，能够通过对网络资产的当前
工作进程进行拆解和分析，及时实现对网络资产中的网络威胁和/或网络漏洞作出反应，并采取网络安全防御策略，保障网络资产的安全。
47.优选的，所述威胁信息中包括受威胁的资产id、威胁项、威胁类型和威胁等级；所述漏洞信息中包括存在网络漏洞的资产id、漏洞项、漏洞类型和漏洞等级。
48.参见图2所示，为本实施例的另一实施方式，具体包括步骤s110：s111，对前述工作进程链上的工作进程进行分析，获取与前述网络环境中的其他网络资产存在信息交互的工作进程，确定该工作进程的交互网络资产的资产id。
49.s112，判断前述工作进程是否受到威胁或存在漏洞。
50.s113，判定为是时，从前述网络资产信息中获取交互网络资产的威胁信息和漏洞信息，判断前述威胁信息和漏洞信息中是否包含前述工作进程，判定为否时，向前述交互网络资产发出针对前述工作进程的预警信息。
51.作为举例而非限制，在一条工作进程链上包含有多个工作进程，工作进程依序为工作进程a1、工作进程a2、工作进程a3、工作进程a4和工作进程a5。
52.对该工作进程链上，每个工作进程进行分析，得到与网络环境中其他网络资产进行信息交互的工作进程为工作进程a2、工作进程a4和工作进程a5，此时，可以确定工作进程a2、工作进程a4和工作进程a5的交互网络资产的资产id分别对应资产1234、资产5678和资产9012。
53.从而，判断工作进程a2、工作进程a4和工作进程a5是否受到威胁或存在漏洞，并得到结论为，工作进程a2受到威胁，工作进程a4存在漏洞，以及工作进程a5没有受到威胁或存在漏洞。
54.也就是说，判定为是时，从资产1234和资产5678对应的网络资产信息中获取交互网络资产的威胁信息和漏洞信息，从而判断前述威胁信息和漏洞信息中是否包含前述工作进程；判定为否时，向前述交互网络资产（即资产id为9012的网络资产）发出针对工作进程a5的预警信息。
55.其中，所述预警信息是对工作进程或网络资产进行事前预警的描述信息。所述预警信息包括但不限制于预警对象、预警类型、预警等级等信息。
56.优选的，当判断前述工作进程未受到威胁且不存在漏洞时，从前述网络资产信息中获取交互网络资产的威胁信息和漏洞信息，判断前述威胁信息和漏洞信息中是否包含前述工作进程，判定为是时，向前述风险网络资产发出针对前述工作进程的预警信息。
57.作为举例而非限制，当判断前述工作进程a5未受到威胁且不存在漏洞时，此时，从前述网络资产信息中获取交互网络资产（即资产id为9012的网络资产）的威胁信息和漏洞信息。从而，判断前述威胁信息和漏洞信息中是否包含前述工作进程a5，当判定为是时，向风险网络资产发出针对前述工作进程a5的预警信息。
58.优选的，从前述风险网络资产的工作进程链上获取受到同一威胁或具有同一漏洞的多个工作进程信息，针对该多个工作进程采取同一防御方案进行防御。
59.作为举例而非限制，某一网络资产中的工作进程依序为工作进程a1、工作进程a2、工作进程a3、工作进程a4、工作进程a5和工作进程a6，设置为工作进程链1。
60.其中，工作进程a6为当前工作进程，其余的为在前工作进程。而该网络资产对应的工作进程a1、工作进程a3、工作进程a5对应网络威胁1，工作进程a2、工作进程a4、工作进程
a6对应威胁漏洞1。
61.此时，能够根据该工作进程链1得到针对网络威胁1和网络漏洞1的两条工作进程链，并对这两条工作进程链分别调取对应网络威胁1和网络漏洞1的防御方案进行防御。
62.优选的，所述工作进程中包含有多个线程，当前述工作进程受到威胁或存在漏洞时，提取该工作进程中的所有线程，建立基于工作任务顺序的线程链，针对该线程链上的顺序，对执行操作的线程进行防御。
63.优选的，获取前述线程链中受到威胁或存在网络漏洞的线程，调取对应前述线程的防御方案进行防御；在防御后，重新确认前述工作进程中各线程是否还受到威胁或存在网络漏洞；判定为否时，更新前述工作进程。
64.可选的，针对要处理的网络进程，可以选定目标网络资产，以实现目标网络资产对应的网络威胁处理和/或网络漏洞处理。
65.所述目标网络资产可以由用户在前述网络资产中进行选取，也可以通过态势感知系统进行自动选定，例如态势感知系统可以选定前述工作进程中威胁项中威胁影响最大的一个网络资产作为目标网络资产。
66.其它技术特征参考在前实施例，在此不再赘述。
67.参见图3所示，本发明还给出了一个实施例，提供了一种网络资产的安全态势感知防御装置200，其特征在于包括结构：信息采集单元201，用以采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息。
68.信息确定单元202，用以根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产。
69.信息防御单元203，用以获取前述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程；其中，基于前述风险网络资产的当前工作进程和历史工作进程，建立前述资产的工作进程链，所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
70.此外，参见图4所示，本发明还给出了一个实施例，提供了一种网络资产的安全态势感知防御系统300，其特征在于包括：网络资产301，用于存储和收发数据。
71.态势感知系统302，定期检测受到威胁和/或存在网络漏洞的网络资产，将前述网络资产进行安全检测。
72.所述定期检测可以设置检测时间或是检测时间周期，所述的定期检测可以是下述项目，包括但不限于网页防篡改，进程异常行为，异常登录，敏感文件篡改，恶意进程等。
73.系统服务器303，所述系统服务器303连接网络资产301和态势感知系统302。
74.所述系统服务器303被配置为：采集对应网络环境设置的态势感知系统中的网络资产信息，所述网络资产信息包括资产id、资产的工作进程信息，以及资产的威胁信息和漏洞信息；根据前述网络资产信息确定受到威胁信息和/或具有漏洞的风险网络资产；获取前
述风险网络资产中受到威胁的当前工作进程，调取与前述当前工作进程对应的防御方案进行防御；以及，获取前述风险网络资产中存在漏洞但未受到威胁的当前工作进程，对前述漏洞进行修补，并监控该工作进程；其中，基于前述风险网络资产的当前工作进程和历史工作进程，建立前述资产的工作进程链，所述工作进程链用于描述在该资产上运行的工作进程随时间的变化信息，对应所述工作进程链上的工作进程显示该工作进程的威胁信息和/或漏洞信息，以及防御信息和/或修补信息。
75.其它技术特征参见在前实施例，在此不再赘述。
76.此外，本发明实施例还提供了一种计算机可读存储介质，其上存储有程序，用于前述网络资产的安全态势感知防御装置中，所述程序被处理器执行时，能够实现上述任一项所述网络资产的安全态势感知防御方法的步骤。
77.其它技术特征参见在前实施例，在此不再赘述。
78.在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。
79.虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。