防御网络威胁的处理方法、装置及应用与流程

本发明涉及网络安全保护，尤其涉及防御网络威胁的处理方法。

背景技术：

1、对于网络威胁进行防御的实质在于识别网络威胁并进行防御。在识别网络威胁后，对应网络威胁匹配防御措施来保障网络安全，以避免网络环境和网络中的设备收到网络威胁的侵扰。

2、常规的，识别网络威胁，通常采取以下操作：

3、其一，验证信息发送人员的身份，通过查看信息发送人员的电子邮件地址、联系方式或其他身份认证信息来验证发送信息人员的身份，并判断是否存在有网络威胁。

4、其二，评估威胁内容，通过注意任何拼写错误、语法不当或使用的术语是否与正式组织或个人相符进行确定和评估，同时，还需要评估威胁内容的逻辑和合理性。

5、其三，检查附带的链接或附件，考虑到威胁信息常常包含恶意链接或附件，它们可能会导致恶意软件感染或个人信息泄露。在点击链接或打开附件之前，进行双重验证，以确保网络安全。例如，将鼠标悬停在链接上，查看url是否与预期的目标一致。

6、其四，独立验证信息，如果威胁信息声称来自特定组织或机构，请独立验证该信息的真实性。通过访问该组织或机构的官方网站、联系他们的客服部门或与可信任的代表进行确认。

7、其五，借助安全工具，使用安全软件和工具来帮助你识别威胁信息的真假，具体可以通过安装可靠的防病毒软件、反间谍软件和防火墙，并定期更新以确保安全工具的有效性。

8、以上作为常规的识别网络威胁的操作，能够确保网络中大部分符合上述网络威胁识别方式的威胁信息被识别出来，但是，上述操作存在有方式老套、思路常规的问题，但凡遇见新的威胁信息的呈现方式时，难以在第一事件及时获悉，这对于系统管理员及时依据对威胁信息的识别来判断网络中威胁是极为不利的。

9、为此，本技术提供了一种防御网络威胁的处理方法、装置及应用，以解决常规识别网络威胁操作不能在深刻、直观的识别出网络威胁后实现网络威胁的精准防御，是当前亟需解决的技术问题。

技术实现思路

1、本发明的目的在于：克服现有技术的不足，提供一种防御网络威胁的处理方法、装置及应用，本发明通过威胁信息中的最小威胁信息来精确获得网络中的受威胁对象，进而结合最小威胁信息对应的工作进程，确定与该工作进程存在关联的受威胁对象并采取防御措施，以尽可能保障网络安全。

2、为解决现有的技术问题，本发明提供了如下技术方案：

3、一种防御网络威胁的处理方法，包括步骤：

4、获取网络中的威胁信息，以提取得到不可再细分的、且具有最小威胁对应关系的最小威胁信息；所述威胁信息中包括至少一个最小威胁信息，通过识别前述最小威胁信息能够确定至少一个受威胁对象信息；

5、定位前述最小威胁信息所处的工作进程，对应前述工作进程，提取与前述最小威胁信息存在关联的其它最小威胁信息，梳理前述最小威胁信息和前述其它最小威胁信息在前述工作进程中的出现顺序，以确定网络中的受威胁对象，并采取相应的防御措施进行防御。

6、进一步，所述最小威胁信息中包括威胁发起方信息、受威胁对象信息、威胁时间和最小威胁事由信息；根据前述最小威胁信息中的最小威胁对应关系，能够确定该最小威胁信息对应的受威胁对象信息。

7、进一步，判断前述最小威胁信息是实际威胁还是虚假威胁；所述实际威胁是指真正威胁网络安全的威胁对象，且对网络构成的实质威胁；所述虚假威胁是指前述威胁对象利用虚假身份信息和/或虚假操作手段来掩盖前述实质威胁所对应的网络威胁信息。

8、进一步，所述存在关联的其它最小威胁信息通过预设的最小威胁相关性指标的值进行确定；所述最小威胁相关性指标能够对最小威胁信息之间存在的牵连关系进行评价，所述牵连关系包括威胁时间关系、威胁事件关系、威胁因果关系以及最小威胁信息间的否定关系。

9、进一步，所述确定网络中的受威胁对象，并采取相应的防御措施进行防御的操作，具体包括步骤：

10、收集前述最小威胁信息与其它最小威胁信息，以确定前述最小威胁信息和前述其它最小威胁信息所反映的威胁事件；

11、基于前述威胁事件，定性前述威胁事件对应的威胁属性；和/或，根据前述威胁事件中的威胁内容，确定前述威胁内容反映的威胁等级；

12、基于前述威胁属性和/或威胁等级，确定前述最小威胁信息以及前述其它最小威胁信息对应的威胁防御措施。

13、进一步，在确定前述威胁事件对应的威胁属性后，得到多个威胁属性后，确定前述威胁属性在前述威胁事件中所占的威胁属性比例，通过前述威胁属性比例的组合，确定前述最小威胁信息以及前述其它最小威胁信息对应的威胁防御措施；

14、和/或，根据前述威胁事件中威胁内容反映的威胁等级，确定不同威胁等级在前述威胁事件中所占的威胁等级比例，通过前述威胁等级比例的组合，确定前述最小威胁信息以及前述其它最小威胁信息对应的威胁防御措施。

15、进一步，检查前述操作中是否存在遗漏分析的最小威胁信息和/或其它最小威胁信息，以确保根据前述操作获得的威胁防御措施能够实现有效防御。

16、一种防御网络威胁的处理装置，包括结构：

17、信息获取单元，用以获取网络中的威胁信息，以提取得到不可再细分的、且具有最小威胁对应关系的最小威胁信息；所述威胁信息中包括至少一个最小威胁信息，通过识别前述最小威胁信息能够确定至少一个受威胁对象信息；

18、信息处理单元，用以定位前述最小威胁信息所处的工作进程，对应前述工作进程，提取与前述最小威胁信息存在关联的其它最小威胁信息，梳理前述最小威胁信息和前述其它最小威胁信息在前述工作进程中的出现顺序，以确定网络中的受威胁对象，并采取相应的防御措施进行防御。

19、一种防御网络威胁的处理系统，包括：

20、网络节点，用于收发信息，所述信息包括网络中的威胁信息；

21、威胁感知模块，用于感知网络节点间相互传输的信息是否会对网络安全造成威胁；

22、系统服务器，所述系统服务器连接网络节点和威胁感知模块；

23、所述的系统服务器被配置为:获取网络中的威胁信息，以提取得到不可再细分的、且具有最小威胁对应关系的最小威胁信息；所述威胁信息中包括至少一个最小威胁信息，通过识别前述最小威胁信息能够确定至少一个受威胁对象信息；定位前述最小威胁信息所处的工作进程，对应前述工作进程，提取与前述最小威胁信息存在关联的其它最小威胁信息，梳理前述最小威胁信息和前述其它最小威胁信息在前述工作进程中的出现顺序，以确定网络中的受威胁对象，并采取相应的防御措施进行防御。

24、一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述防御网络威胁的处理方法的实施步骤。

25、基于上述优点和积极效果，本发明的优势在于：通过威胁信息中的最小威胁信息来精确获得网络中的受威胁对象，进而结合最小威胁信息对应的工作进程，确定与该工作进程存在关联的受威胁对象并采取防御措施，以尽可能保障网络安全。

26、进一步，所述确定网络中的受威胁对象，并采取相应的防御措施进行防御的操作，具体包括步骤：收集前述最小威胁信息与其它最小威胁信息，以确定前述最小威胁信息和前述其它最小威胁信息所反映的威胁事件；基于前述威胁事件，定性前述威胁事件对应的威胁属性；和/或，根据前述威胁事件中的威胁内容，确定前述威胁内容反映的威胁等级；基于前述威胁属性和/或威胁等级，确定前述最小威胁信息以及前述其它最小威胁信息对应的威胁防御措施。

27、进一步，在确定前述威胁事件对应的威胁属性后，得到多个威胁属性后，确定前述威胁属性在前述威胁事件中所占的威胁属性比例，通过前述威胁属性比例的组合，确定前述最小威胁信息以及前述其它最小威胁信息对应的威胁防御措施；和/或，根据前述威胁事件中威胁内容反映的威胁等级，确定不同威胁等级在前述威胁事件中所占的威胁等级比例，通过前述威胁等级比例的组合，确定前述最小威胁信息以及前述其它最小威胁信息对应的威胁防御措施。