(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210944947.2 (22)申请日 2022.08.08 (71)申请人 北京永信至诚科技股份有限公司 地址 100094 北京市海淀区丰豪东路9号院 6号楼103 (72)发明人 蔡晶晶　陈俊　韩顺闯　韩伟召　 (74)专利代理 机构 北京轻创知识产权代理有限 公司 11212 专利代理师 姚晓丽 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全态势感知方法、 装置、 电子设 备及介质 (57)摘要 本发明涉及一种网络安全态势感知方法、 装 置、 电子设备及介质， 该方法包括： 获取针对待检 测对象的网络流量数据、 僵尸网络行为相关信 息、 网络攻击相关信息、 0DAY漏洞相关信息和用 户行为信息； 分别对网络流量数据、 僵尸网络行 为相关信息、 网络攻击相关信息、 0DAY漏洞相关 信息和用户行为信息进行分析， 得到每个信息各 自对应的分析结果。 通过本发明的方法， 从异常 网络流量、 僵尸网络 行为、 攻击 行为、 0DA Y漏洞和 异常用户行为几个方面进行网络安全态势感知， 提高网络的安全性。 权利要求书3页 说明书17页 附图3页 CN 115473675 A 2022.12.13 CN 115473675 A 1.一种网络安全态 势感知方法， 其特 征在于， 包括： 获取针对待检测对象的待处理网络安全数据， 所述待处理网络安全数据包括网络流量 数据、 僵尸网络行为相关信息、 网络攻击相关信息、 0DAY漏洞相关信息和用户行为信息； 对所述网络流量数据进行异常网络流量分析， 得到所述待检测对象的异常网络流量分 析结果； 对所述僵尸网络行为相关信 息进行僵尸网络行为分析， 得到所述待检测对象的僵尸网 络行为分析 结果； 对所述网络攻击相关信 息进行攻击事件识别， 得到所述待检测对象的攻击行为分析结 果； 对所述0DAY漏洞相关信息进行0DAY漏洞分析， 得到所述待检测对象的0DAY漏洞分析结 果； 对所述用户行为信息进行分析， 得到所述待检测对象的异常用户行为分析 结果。 2.根据权利要求1所述的方法， 其特征在于， 所述待处理网络安全数据包括当前网络事 件数据和历史网络事件数据， 所述当前网络事件数据包括第一网络流量数据、 第一僵尸网 络行为相关信息、 第一网络攻击相关信息、 第一0DAY漏洞相关信息和第一用户行为信息， 所 述历史网络事件数据包括第二网络流量数据、 第二僵尸网络行为相关信息、 第二网络攻击 相关信息、 第二0DAY漏洞相关信息和第二用户行为信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述对所述网络流量数据进行异常网络流 量分析， 得到所述待检测对象的异常网络流 量分析结果， 包括： 提取所述网络流量数据的第 一流量特征， 所述第 一流量特征包括攻击时间、 告警标识、 攻击源地址、 资产地址、 攻击类型和处置方式； 根据所述第一 流量特征， 确定所述待检测对象的异常网络流 量分析结果； 所述对所述僵尸网络行为相关信 息进行僵尸网络行为分析， 得到所述待检测对象的僵 尸网络行为分析 结果， 包括： 提取所述僵尸网络行为相关信 息中的僵尸网络行为特征， 所述僵尸网络行为特征包括 第一网络监测特征和第二流量特征， 所述第一网络监测特征包括源地址、 源端口、 目标地 址、 目标端口和互联时间， 所述第二流量特征包括攻击时间、 告警标识、 攻击源地址、 资产地 址、 攻击类型和处置方式； 根据所述第 一网络监测特征和所述第 二流量特征， 确定所述待检测对象的僵尸网络行 为分析结果； 所述对所述网络攻击相关信 息进行攻击事件识别， 得到所述待检测对象的攻击行为分 析结果， 包括： 提取所述网络攻击相关信 息中的告警信 息、 网络行为信 息、 操作系统信息、 协议解析信 息、 第二网络监测特 征、 账号信息和网站相关信息； 根据所述告警信息、 网络行为信息、 协议解析信息、 第二网络监测特征、 账号信息和网 站相关信息， 确定所述待检测对象的攻击行为分析 结果； 所述对所述0DAY漏洞相关信息进行0DAY漏洞分析， 得到所述待检测对象的0DAY漏洞分 析结果， 包括： 提取所述0DAY漏洞相关信息中的0DAY漏洞特 征；权　利　要　求　书 1/3 页 2 CN 115473675 A 2根据所述0DAY漏洞特 征， 确定所述待检测对象的0DAY漏洞分析 结果； 所述对所述用户行为信息进行分析， 得到所述待检测对象的异常用户行为分析结果， 包括： 提取所述用户行为信息中的用户行为轨 迹特征； 根据所述用户行为轨 迹特征， 确定所述待检测对象的异常用户行为分析 结果。 4.根据权利要求3所述的方法， 其特征在于， 所述僵尸网络行为相关信 息包括第 一流量 日志和第一僵木儒日志， 所述提取所述僵尸网络行为相关信息中的僵尸网络行为特征， 包 括： 从所述第一 流量日志中提取 所述第一网络监测特 征； 从所述第一僵 木儒日志中提取 所述第二 流量特征； 所述网络攻击相关信息包括防火墙日志、 IDS日志、 WAF日志、 网络审计日志、 第二僵木 儒日志、 服 务器日志、 4A审计日志、 第二 流量日志、 EDR信息； 所述提取所述网络攻击相关信息 中的告警信 息、 网络行为信 息、 操作系统信息、 协议解 析信息、 第二网络监测特 征、 账号信息和网站相关信息， 包括： 从所述防火墙日志、 ID S日志、 WAF日志和所述第二僵 木儒日志中提取 所述告警信息； 从所述网络审计日志中提取 所述网络行为信息； 从所述服务器日志中提取 所述操作系统信息； 从所述4A审计日志中提取 所述账号信息； 从所述第二 流量日志中提取 所述第二网络监测特 征和所述协议 解析信息； 从所述EDR信息中提取 所述网站相关信息 。 5.根据权利要求1至3中任一项所述的方法， 其特征在于， 所述异常网络流量分析结果 包括开始时间、 结束时间、 流量攻击告警标识、 事件类型、 源地址、 源端口、 目的地址、 目的端 口、 设备地址、 发生事件地址、 攻击源位置、 攻击源位置名称、 攻击源次数、 事件严重程度、 处 理方式、 总字节流量、 总包流量、 平均字节 流量、 平均包流量、 峰值字节流量和告警类型中的 至少一项； 所述僵尸网络行为分析结果包括僵尸网络行为告警信 息和第一攻击事件告警信 息， 所 述僵尸网络行为告警信息包括事件时间、 攻击类型、 协 议、 控制端地址、 控制端端口、 被控端 地址、 被控端端口、 告警安全设备地址、 事件地址、 处置动作和告警类型中的至少一项； 所述 第一攻击事件告警信息包括源地址、 目的地址、 攻击名称， 攻击样本名称、 告警时间、 危险级 别、 行为参数、 响应方式和告警类型中的至少一项； 所述攻击行为分析结果包括第 二攻击事件告警信 息， 所述第 二攻击事件告警信 息包括 源地址、 目的地址、 攻击名称， 攻击样 本名称、 告警时间、 危险级别、 行为参数、 响应方式和告 警类型中的至少一项； 所述0DAY漏洞分析 结果包括0DAY漏洞提 示信息； 所述异常用户行为分析 结果包括潜在攻击者的标识信息 。 6.根据权利要求1至3中任一项所述的方法， 其特征在于， 对所述待处理网络安全数据 进行处理之前， 所述方法还 包括： 对所述待处理网络安全数据进行预处理， 得到预处理后的网络事件数据， 所述预处理 包括数据清洗、 数据格式统一处 理和数据补齐处 理中的至少一种。权　利　要　求　书 2/3 页 3 CN 115473675 A 3