(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111563469.2 (22)申请日 2021.12.20 (71)申请人 上海纽盾科技股份有限公司 地址 200441 上海市宝山区长江南路9 9弄2 号11层 (72)发明人 杨腾霄　吴选勇　乔梁　 (74)专利代理 机构 上海图灵知识产权代理事务 所(普通合伙) 31393 代理人 刘红梅 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络安全防御方法、 装置及系统 (57)摘要 本发明提供了一种网络安全防御方法、 装置 及系统， 涉及网络安全技术领域。 所述处理方法 包括步骤： 提取威胁情报信息， 威胁情报信息中 包括网络节 点的威胁信息； 指定任一网络节点作 为目标节点， 获取目标节点的关联网络节点， 建 立节点拓 扑关系链； 根据目标节 点的威胁信息获 取所属的威胁情景， 将该威胁情景作为节点拓扑 关系链的威胁情景， 提取对应威胁情景的防御方 案对节点拓扑关系链上的节点进行无差别防御； 判断获取采取防御方案后各关联网络节点是否 得到有效防御。 本发明通过对目标节 点和其关联 网络节点建立节点拓扑关系链， 调取该关系链所 属的威胁情景对应的防御方案对该关系链上的 节点进行无差别防御， 该方法能够 节约网络安全 防御的资源和时间。 权利要求书2页 说明书9页 附图2页 CN 114205169 A 2022.03.18 CN 114205169 A 1.一种网络安全防御方法， 其特 征在于， 包括 步骤， 提取威胁情 报信息， 所述 威胁情报信息中包括有 多个网络节点的威胁信息； 从前述网络节点中指定任一网络节点作为目标节点， 获取前述目标节点的关联网络节 点， 建立节点拓扑关系链； 根据目标节点的威胁信 息获取所属的威胁情景， 将该威胁情景作为前述节点拓扑关系 链的威胁情景， 提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目标节点和 关联网络节点进行 无差别防御； 获取采取前述防御 方案后各关联网络节点的威胁情报信 息， 根据所述威胁情报信 息判 断节点是否得到有效防御； 对于未能有效防御的节点分析原因， 并针对威胁情报信息中的 告警原因调取对应的防御方案进行防御。 2.根据权利要求1所述的方法， 其特征在于， 所述威胁情报信 息来源于态势感知系统采 集到的网络环境内的安全信息 。 3.根据权利要求1所述的方法， 其特征在于， 获取节点拓扑关系链上的各网络节点的被 攻击时间信息， 根据网络节点ID信息和该网络节点的被攻击时间， 生成基于时间轴的网络 节点变化趋势图， 所述网络节点变化趋势图用于显示 随着时间的变化， 被攻击的网络节点 的变化。 4.根据权利要求1所述的方法， 其特征在于， 在提取对应前述威胁情景的防御方案对前 述节点拓扑关系链上的目标节点和关联网络节点进行无差别防御的过程中， 对节点拓扑关 系链上每 个网络节点对应前述防御方案中的模型参数进行调整。 5.根据权利要求1所述的方法， 其特征在于， 获取前述无差别防御时起到防御效果的节 点； 判断所述 威胁情景中可能的威胁对象， 用以追溯攻击源。 6.根据权利要求1所述的方法， 其特征在于， 所述威胁情报信 息包括前述节点的告警信 息， 以及对应前述节点的威胁情景信息 。 7.根据权利要求1所述的方法， 其特征在于， 所述节点拓扑关系链包括各节点之间的网 络拓扑结构和各节点 威胁信息中的威胁源； 当前述节点拓扑关系链上任一节点对应的威胁源与在前和/或在后节点的对应的威胁 源一致时， 对受到同一 威胁源攻击的节点， 采取协同 防御。 8.根据权利要求7所述的方法， 其特征在于， 所述协同防御是指对前述节点进行协同分 析， 并采取 联合防御。 9.一种网络安全防御装置， 包括如权利要求1 ‑8中任一项所述的方法， 其特征在于包括 结构： 信息提取单元， 用以提取威胁情报信息， 所述威胁情报信息中包括有多个网络节点的 威胁信息； 节点关系建立单元， 用以从前述网络节点中指定任一网络节点作为目标节点， 获取前 述目标节点的关联网络节点， 建立节点拓扑关系链； 信息防御单元， 用以根据目标节点的威胁信息获取所属的威胁情景， 将该威胁情景作 为前述节点拓扑关系链的威胁情景， 提取对应前述威胁情景的防御方案对 前述节点拓扑关 系链上的目标节点和关联网络节点进行 无差别防御； 有效性处理单元， 用以获取采取前述防御方案后各关联网络节点的威胁情报信息， 根权　利　要　求　书 1/2 页 2 CN 114205169 A 2据所述威胁情报信息判断节点是否得到有效防御； 对于未能有效防御的节点分析原因， 并 针对威胁情 报信息中的告警原因调取对应的防御方案进行防御。 10.一种网络安全防御系统， 包括如权利要求1 ‑8中任一项所述的方法， 其特征在于包 括： 网络节点， 用于收发数据； 态势感知系统， 定期检测出现过告警的网络节点， 将前述网络节点的日志信息进行安 全分析； 系统服务器， 所述系统服 务器连接网络节点和态 势感知系统； 所述系统服 务器被配置为： 提取威胁情报信息， 所述威胁情报信息中包括有多个网络节点的威胁信息； 从前述网 络节点中指定任一网络节点作为 目标节点， 获取前述 目标节点的关联网络节点， 建立节点 拓扑关系链； 根据目标节点的威胁信息获取所属的威胁情景， 将该威胁情景作为前述节点 拓扑关系链的威胁情景， 提取对应前述威胁情景的防御方案对前述节点拓扑关系链上的目 标节点和关联网络节 点进行无差别防御； 获取采取前述防御方案后各关联网络节点的威胁 情报信息， 根据所述威胁情报信息判断节点是否得到有效防御； 对于未能有效防御的节点 分析原因， 并针对威胁情 报信息中的告警原因调取对应的防御方案进行防御。权　利　要　求　书 2/2 页 3 CN 114205169 A 3