(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111375014.8 (22)申请日 2021.11.19 (71)申请人 上海纽盾科技股份有限公司 地址 200441 上海市宝山区长江南路9 9弄2 号11层 (72)发明人 杨腾霄　肖铮　李晓翔　 (74)专利代理 机构 上海图灵知识产权代理事务 所(普通合伙) 31393 代理人 刘红梅 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/147(2022.01) (54)发明名称 态势感知预测方法、 装置及系统 (57)摘要 本发明提供了一种态势感知预测方法、 装置 及系统， 涉及网络安全技术领域。 所述处理方法 包括步骤： 采集网络节点的日志信息， 以及保护 网络节点的网络安全设备的安全日志信息； 提取 网络节点的日志信息， 以及安全日志信息中的属 性类型， 分析得到网络节点所属网络环境中的威 胁对象和受威胁对象； 追踪网络环 境中各网络节 点间的通信路径， 预测出网络环 境中可能的待防 御对象； 将受威胁对象设置为判断基准， 判断前 述待防御对象是否与受威胁对象匹配； 判定不匹 配时， 依据前述受威胁对象调整待防御对象。 本 发明通过分析和预测得到威胁对象、 受威胁对象 和待防御对象， 用受威胁对象调整待防御对象， 保障态势感知的防御质量， 使网络得以安全 稳定 的运行。 权利要求书2页 说明书11页 附图3页 CN 114124516 A 2022.03.01 CN 114124516 A 1.一种态 势感知预测方法， 其特 征在于， 包括 步骤， 采集网络节点的日志信息， 以及保护前述网络节点的网络安全设备的安全日志信息； 基于态势感知系统提取前述网络节点的日志信息， 以及安全日志信息中的属性类型， 分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象； 依据前述网络节点的日志信息， 以及网络安全设备的安全日志信息， 追踪网络环境中 各网络节点间的通信路径， 预测出网络环境中可能的待防御对象； 将受威胁对象设置为判断基准， 判断前述待 防御对象是否与受威胁对象匹配； 判定不 匹配时， 依据前述受威胁对象调整 待防御对象。 2.根据权利要求1所述的方法， 其特征在于， 依据 前述受威胁对象调 整待防御对象的步 骤为： 获取前述待 防御对象的预测路径， 对前述预测路径进行拆解， 获取路径节点信息和节 点顺序信息， 所述路径 节点的最后一个节点 为前述预测的待防御对象； 将前述待防御对象调整为受威胁对象； 基于前述节点顺序信 息， 以受威胁对象为起点， 逆序反向分析在前节点信息， 判断在前 节点信息中是否存在错 误； 判定存在错 误时， 提取发生 错误的节点信息， 并对错 误原因进行分析； 基于前述错误原因调整对应的预测指标、 指标参数和/或指标参数的安全阈值， 并将前 述调整信息保存至态 势感知数据库的防御策略中。 3.根据权利要求1所述的方法， 其特征在于， 所述威胁对象与受威胁对象相对应， 并作 为受威胁对象的防御依据， 以实现前述威胁对象和受威胁对象基于态势感知数据库的防御 方案进行防御。 4.根据权利要求1所述的方法， 其特征在于， 对前述威胁对象和受威胁对象的比较依据 前述网络节点受到威胁的时间节点， 分别进行比较。 5.根据权利要求1所述的方法， 其特征在于， 所述网络安全设备包括防火墙、 防毒墙、 入 侵检测系统、 入侵防御系统、 统一 威胁安全网关和安全隔离网闸。 6.根据权利要求1所述的方法， 其特征在于， 所述威胁对象和受威胁对象组成威胁项 集， 所述威胁项集包括多个按照时间节点逆序排列的威胁项子集， 每个所述威胁项子集中 包括威胁对象和受威胁对象， 所述 威胁对象与受威胁对象相对应。 7.根据权利要求1所述的方法， 其特征在于， 所述待 防御对象组成待 防御项集， 所述待 防御项集中包括有 多个按照时间节点逆序排列的待防御项子集。 8.根据权利要求6或7所述的方法， 其特征在于， 所述受威胁对象与所述待 防御对象的 比较依据前述的时间节点的排列顺序依次进 行比较， 判定前述受威胁对象与所述待防御对 象是否匹配； 判定为是时， 依据受威胁对象的防御方案进行态 势感知防御； 判定为否时， 依据前述受威胁对象调整 待防御对象的步骤， 调整 待防御对象。 9.一种态 势感知预测装置， 其特 征在于包括结构： 信息采集单元， 用以采集网络节点的日志信息， 以及保护前述网络节点的网络安全设 备的安全日志信息； 信息分析单元， 用以基于态势感知系统提取前述网络节点的日志信息， 以及安全日志权　利　要　求　书 1/2 页 2 CN 114124516 A 2信息中的属性类型， 分析 得到前述网络节点所属网络环境中的威胁对象和受威胁对象； 信息预测单元， 用以依据前述网络节点的日志信息， 以及网络安全设备的安全日志信 息， 追踪网络环境中各网络节点间的通信路径， 预测出网络环境中可能的待防御对象； 信息匹配单元， 用以将受威胁对象设置为判断基准， 判断前述待 防御对象是否与受威 胁对象匹配； 判定不匹配时， 依据前述受威胁对象调整 待防御对象。 10.一种态 势感知预测系统， 其特 征在于包括： 网络节点， 用于收发数据； 态势感知系统， 定期检测 受到威胁的网络节点， 将前述网络节点的日志信息进行安全 分析； 系统服务器， 所述系统服 务器连接网络节点和态 势感知系统； 所述系统服 务器被配置为： 采集网络节点的日志信息， 以及保护前述网络节点的网络安全设备的安全日志信息； 基于态势感知系统提取前述网络节点的日志信息， 以及安全日志信息中的属性类型， 分析得到前述网络节点所属网络环境中的威胁对象和受威胁对象； 依据前述网络节点的日志信息， 以及网络安全设备的安全日志信息， 追踪网络环境中 各网络节点间的通信路径， 预测出网络环境中可能的待防御对象； 将受威胁对象设置为判断基准， 判断前述待 防御对象是否与受威胁对象匹配； 判定不 匹配时， 依据前述受威胁对象调整 待防御对象。权　利　要　求　书 2/2 页 3 CN 114124516 A 3