网络威胁感知系统及方法

本发明涉及信息安全技术领域，尤其涉及一种网络威胁感知系统及方法。

背景技术：

随着计算机技术的快速发展，各类网络威胁造成的威胁越来越大。近年来，攻击者在发起有针对性的网络威胁事件中，更倾向于使用混合网络攻击，即在发起一次网络威胁事件时同时利用多种不同类型的网络攻击针对目标发起攻击。当前，混合网络攻击已成为网络威胁事件的主要发展趋势，这也为网络威胁的检测、响应等防御工作带来更大的挑战。

相较单一网络攻击，混合网络攻击包含多类原理不同的攻击。传统基于分布式的威胁检测方法关注的重点是提升威胁发生时的检测成功率、检测速度，并不重视本次威胁事件中具体的攻击类别，这也导致了在面对混合攻击时，传统的威胁检测方法缺少面对各类攻击的归一化检测方法，检测效率、准确率相对较低。从检测算法的角度来看，各类攻击在网络流量的表现上具有不同的特征，且特征分布各异，不能粗暴地直接将各类攻击的检测方法简单堆砌应用到混合攻击检测中，一方面这将消耗更多计算资源，另一方面适用于特定类别攻击的检测算法在检测混合攻击时准确率将大大降低。

同时，传统威胁检测方法对攻击类别的忽视导致攻击检测与响应之间缺少了关键性的分类步骤。入侵响应系统面对不同攻击时生成的阻断、溯源、修复等响应措施各不相同，因此一旦无法获取准确的攻击类别，在下一步快速精准生成响应策略时便缺少了重要情报支撑，造成网络攻击防御闭环断裂，无法对混合网络攻击进行有效防御。

技术实现要素：

针对现有技术中存在的问题，本发明实施例提供一种网络威胁感知系统及方法。

第一方面，本发明实施例提供一种网络威胁感知系统，包括：

特征采集器、威胁检测器、攻击分类器和攻击响应器；其中：

所述特征采集器，用于实时接收所述威胁检测器发送的威胁报警通知或正常通知，将采集数据发送至所述威胁检测器和攻击分类器；

所述威胁检测器，用于根据接收到的所述特征采集器发送的所述采集数据对网络环境进行实时感知与检测，并根据感知与检测结果生成威胁报警通知或正常通知，实时发送所述威胁报警通知或正常通知至所述特征采集器和所述攻击分类器；

所述攻击分类器，用于接收所述威胁检测器发送的所述威胁报警通知，接收所述特征采集器发送的所述采集数据；并基于威胁报警通知和所述采集数据利用预设的神经网络模型确定分类结果，将分类结果映射表发送至所述攻击响应器；

所述攻击响应器，用于接收所述攻击分类器发送的所述分类结果映射表，并根据所述分类结果映射表调取预设的响应策略进行响应。

进一步地，所述威胁检测器，用于：

当感知到攻击时，将加大对特征信息的细粒度感知的指令发送至所述特征采集器。

进一步地，所述特征采集器包括：高维特征数据采集单元、轻量画像数据采集单元、报警接收单元和采集数据上报单元；其中：

所述采集数据上报单元，用于实时接收所述威胁检测器发送的威胁报警通知或正常通知；

所述高维特征数据采集单元，用于接收来自所述采集数据上报单元的威胁报警通知，输出高维特征数据至所述报警接收单元；

所述轻量画像数据采集单元，用于接收来自所述采集数据上报单元的正常通知，输出轻量画像数据至所述报警接收单元；

所述报警接收单元，用于将采集数据发送至所述威胁检测器和攻击分类器。

进一步地，所述威胁检测器包括：第一数据接收单元、网络威胁感知与检测单元、报警生成与下发单元和攻击分类点动态选取单元；其中：

所述第一数据接收单元，用于接收来自所述特征采集器的所述采集数据；

所述网络威胁感知与检测单元，用于对网络环境进行实时感知与检测，并发送检测结果；

所述报警生成与下发单元，用于发送所述威胁报警通知或正常通知所述特征采集器和所述攻击分类器；

所述攻击分类点动态选取单元，用于发送选取攻击分类器的请求至所述攻击分类器。

进一步地，所述攻击分类器包括：第二数据接收单元、特征处理单元、攻击分类单元和分类结果封装与下发单元；其中：

所述第二数据接收单元，用于接收所述威胁检测器发送的所述威胁报警通知，接收所述特征采集器发送的所述采集数据；

所述特征处理单元，用于生成并输出特征矩阵；

所述攻击分类单元，用于进行攻击分类并输出网络攻击类型；

所述分类结果封装与下发单元，用于接收所述网络攻击类型，并将分类结果映射表发送至所述攻击响应器。

进一步地，所述攻击分类器包括：威胁情报共享单元和自响应单元；其中：

所述自响应单元，用于接收所述攻击分类器发送的所述分类结果映射表，并根据所述分类结果映射表调取预设的响应策略进行响应；

所述威胁情报共享单元，用于接收所述分类结果映射表和所述自响应单元已完成的响应结果，并生成威胁情报。

第二方面，本发明实施例提供了一种网络威胁感知系统的感知方法，包括：

利用所述特征采集器和所述威胁检测器协同感知网络威胁，或，利用所述威胁检测器协同感知网络威胁；

基于协同感知网络威胁结果确定发送威胁报警通知或正常通知；

若发送的通知为威胁报警通知，则启动所述攻击分类器并确定分类结果；

基于与所述分类结果对应的分类结果映射表调取预设的响应策略进行响应。

进一步地，还包括：

在完成响应后，生成威胁情报。

第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上第二方面所述的网络威胁感知系统的感知方法的步骤。

第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上第二方面所述的网络威胁感知系统的感知方法的步骤。

由上述技术方案可知，本发明实施例提供的网络威胁感知系统及方法，所述系统由特征采集器、威胁检测器、攻击分类器和攻击响应器组成；其中：所述特征采集器，用于实时接收所述威胁检测器发送的威胁报警通知或正常通知，将采集数据发送至所述威胁检测器和攻击分类器；所述威胁检测器，用于根据接收到的所述特征采集器发送的所述采集数据对网络环境进行实时感知与检测，并根据感知与检测结果生成威胁报警通知或正常通知，实时发送所述威胁报警通知或正常通知至所述特征采集器和所述攻击分类器；所述攻击分类器，用于接收所述威胁检测器发送的所述威胁报警通知，接收所述特征采集器发送的所述采集数据；并基于威胁报警通知和所述采集数据利用预设的神经网络模型确定分类结果，将分类结果映射表发送至所述攻击响应器；所述攻击响应器，用于接收所述攻击分类器发送的所述分类结果映射表，并根据所述分类结果映射表调取预设的响应策略进行响应。本发明将上述四类器件合理地部署在网络中，通过网络中的多点协作与全周期安全闭环防御流程，实现了针对网络攻击的高效防御，从而提升了安全防护目标网络的整体安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的网络威胁感知系统的结构示意图；

图2为本发明另一实施例提供的网络威胁感知系统的结构示意图；

图3为本发明一实施例提供的网络威胁感知系统的感知方法的流程示意图；

图4为本发明另一实施例提供的网络威胁感知系统的感知方法的流程示意图；

图5为本发明一实施例提供的电子设备的实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。下面将通过具体的实施例对本发明提供的网络威胁感知系统进行详细解释和说明。

图1为本发明一实施例提供的网络威胁感知系统的结构示意图；如图1所示，该系统包括：特征采集器、威胁检测器、攻击分类器和攻击响应器；其中：

所述特征采集器，用于实时接收所述威胁检测器发送的威胁报警通知或正常通知，将采集数据发送至所述威胁检测器和攻击分类器；

所述威胁检测器，用于根据接收到的所述特征采集器发送的所述采集数据对网络环境进行实时感知与检测，并根据感知与检测结果生成威胁报警通知或正常通知，实时发送所述威胁报警通知或正常通知至所述特征采集器和所述攻击分类器；

所述攻击分类器，用于接收所述威胁检测器发送的所述威胁报警通知，接收所述特征采集器发送的所述采集数据；并基于威胁报警通知和所述采集数据利用预设的神经网络模型确定分类结果，将分类结果映射表发送至所述攻击响应器；

所述攻击响应器，用于接收所述攻击分类器发送的所述分类结果映射表，并根据所述分类结果映射表调取预设的响应策略进行响应。

在本实施例中，需要说明的是，针对目前泛滥的网络攻击如混合网络攻击，设计了基于多点协作的网络攻击检测系统。该系统包含采集组件（即特征采集器）、检测组件（即威胁检测器）、分类组件（即攻击分类器）、响应组件（即攻击响应器）。将上述四类组件（或器件）合理地部署在网络中，实时采集轻量级网络安全态势特征，基于信息熵理论，通过归一化地分析态势特征，快速判定当前网络中是否有威胁事件发生，当威胁发生时，细化对态势特征采集粒度，通过基于神经网络的攻击分类模型（即预设的神经网络模型）对当前网络威胁进行精准分类，并可以向响应组件（即攻击响应器），和/或，其它安全系统提供分类结果（即分类结果映射表），针对已确定的各类网络攻击进行有效响应（根据所述分类结果映射表调取预设的响应策略进行响应）。本发明实施例通过网络中的多点协作与全周期（检测、响应、上报等）安全闭环防御流程，实现了针对网络攻击或网络混合攻击的高效防御，提升了安全防护目标网络的整体安全性。

由上面技术方案可知，本发明实施例提供的网络威胁感知系统，由特征采集器、威胁检测器、攻击分类器和攻击响应器组成；其中：所述特征采集器，用于实时接收所述威胁检测器发送的威胁报警通知或正常通知，将采集数据发送至所述威胁检测器和攻击分类器；所述威胁检测器，用于根据接收到的所述特征采集器发送的所述采集数据对网络环境进行实时感知与检测，并根据感知与检测结果生成威胁报警通知或正常通知，实时发送所述威胁报警通知或正常通知至所述特征采集器和所述攻击分类器；所述攻击分类器，用于接收所述威胁检测器发送的所述威胁报警通知，接收所述特征采集器发送的所述采集数据；并基于威胁报警通知和所述采集数据利用预设的神经网络模型确定分类结果，将分类结果映射表发送至所述攻击响应器；所述攻击响应器，用于接收所述攻击分类器发送的所述分类结果映射表，并根据所述分类结果映射表调取预设的响应策略进行响应。本发明将上述四类器件合理地部署在网络中，通过网络中的多点协作与全周期安全闭环防御流程，实现了针对网络攻击的高效防御，从而提升了安全防护目标网络的整体安全性。

为了更好的理解本发明，下面结合实施例进一步阐述本发明的内容，但本发明不仅仅局限于下面的实施例。

举例来说，参见图2：

本发明实施例提供的网络威胁感知系统，针对各类混合网络攻击，为服务器、企业网、云等安全目标提供检测点合理部署、威胁及时发现、分类点动态开启、攻击精准分类等保障手段。本发明实施例能够在大规模网络中迅速发现针对安全目标的混合网络攻击，并准确地判断出包含的攻击类别，同时，系统具有攻击响应能力，实现了完整的安全防护闭环，还可以提供与其他入侵响应系统通信的接口，具有友好的兼容性。

如图2所示，系统包括：特征采集器、威胁检测器、攻击分类器和攻击响应器。

（1）特征采集器，提供接口兼容各类采集方法，组件中可以包含四个工作单元。高维特征数据采集单元及轻量画像数据采集单元实现提供两种不同的采集模式，报警接收单元实时接收来自威胁检测器的威胁报警通知或正常通知作为输入，切换不同的采集模式。采集数据上报单元获取与采集模式对应特征数据作为输出，上报给威胁检测器、攻击分类器。正常情况下（即接收到正常通知），特征采集器统计本节点的网络数据流、主机状态等的粗粒度画像信息，比如数据流速率、cpu占用等，发送至威胁检测器。当威胁检测器感知到攻击时（发送威胁报警通知），要求特征采集器加大对特征信息的细粒度感知（携带加大对特征信息的细粒度感知的指令），如数据流连接状态、进程状态等。

（2）威胁检测器，提供接口兼容各类威胁检测方法与模型，器件可以包含四个工作单元。数据接收单元（即第一数据接收单元）获取来自特征采集器实时感知的采集数据（如画像数据）作为器件输入。报警生成与下发单元生成威胁报警通知或正常通知作为输出。网络威胁感知与检测单元可以用于实现网络环境的实时感知与检测，判断当前节点的网络数据流、主机状态是否正常。攻击分类点动态选取单元可以用于：在存在网络威胁时，判断是否需要请求开启攻击分类器。

（3）攻击分类器，提供接口兼容各类攻击分类方法，器件可以包含四个工作单元。数据接收单元（即第二数据接收单元）获取来自威胁采集器生成的威胁报警通知或正常通知以及特征采集器上报的采集数据（如特征数据）作为输入。分类结果封装与下发单元生成“网络流-攻击类别”分类结果映射表作为输出发送给攻击响应器。特征处理单元将特征采集器上报的原始数据（即采集数据）进行特征工程处理，生成特征矩阵作为攻击分类单元的输入。攻击分类单元依据特征处理单元处理后的特征矩阵数据，运行神经网络分类模型（即预设的神经网络模型），对实时流量进行多分类，辨析出当前流量包含的网络攻击类型。

（4）攻击响应器，提供接口兼容各类响应方法，器件可以包含两个工作单元。自响应单元接收来自攻击分类器的分类结果映射表作为输入，并在所部署的节点处执行支持的响应操作。威胁情报共享单元将分类结果与自身响应情况整合为威胁情报信息提供给外部响应主体，协同响应与处置本次威胁事件。

在实际工作流程中，如图4所示，各特征采集器根据网络态势情况实时采集粗/细粒度特征信息。系统支持威胁检测器与攻击分类器部署在同一节点上，作为两种不同的工作模式，同时也可以单独部署，作为节点唯一的工作模式。威胁检测器将根据实际网络拓扑，部署在网络中各关键节点实时检测攻击，当某一威胁检测器检测到攻击后，立刻根据实时网络环境结合实际网络威胁情况，选择出若干个关键的威胁检测器，开启攻击分类模式，充当攻击分类器的角色，相互协同对本次威胁事件中的攻击进行分类，确认本次威胁所包含的攻击全集，并生成“网络流-攻击类别”映射表，攻击响应器接收映射表并响应本次攻击。

在攻击分类时，提供动态选取攻击分类器的优势是：一方面，不同链路存在的攻击流量并不完全一致，在单一节点处进行攻击分类并不全面，可能对部分攻击存在遗漏；另一方面，并非所有链路都会遭受到攻击，开启所有攻击分类器会造成资源的浪费。

1）检测框架（即网络威胁感知系统）初始化及组件（或器件）部署

如图4所示流程图的步骤1所示在确定了安全防护目标对象后，需要进一步明确安全需求，在网络中确定需要部署本发明实施例所提出威胁检测框架（即网络威胁感知系统）各个组件的节点集合。需要明确的安全需求包括但不限于，确定检测框架对具体类型的网络威胁及攻击具备快速检测、精准分类的能力，确定实际部署检测框架所拥有的基础计算、存储等资源量，检测框架需要自实现的响应操作及能力，检测框架需要共享威胁情报信息的外部响应主题对象等。根据安全需求，结合防护目标对象所在网络的拓扑图，最终确认特征采集器、威胁检测器、攻击分类器、攻击响应器的部署位置。

（1）特征采集器可以全方位地采集流量、主机特征，是整个检测框架的底层感知组件，并且占用的节点资源量较少，一般部署在网络中的所有节点处。

（2）威胁检测器、攻击分类器通常部署在同一节点处，是检测框架的计算与决策核心，由于其实时检测网络环境，并且在攻击分类时接收高维特征进行计算，占用大量的计算、存储、通信等资源，因此基于近源端选择规则、最小全覆盖检测点集选择规则，在确保检测效果的前提下，使用最少的防御资源，尽可能在近攻击源处及时发现攻击。

（3）攻击响应器的部署位置根据需要自实现的响应操作确定，①当需要实现数据流阻断时，可以部署在攻击流量的必经节点上；②当需要实现漏洞修复、恶意软件查杀、软件更新等操作时，可以部署在安全防护目标主机、关键防御节点上；③当需要实现防火墙策略控制、路由策略控制、网关策略控制等操作时，可以部署在对应第三方设备节点上。

2）网络威胁协同感知

如图4所示流程图的步骤2、3所示，正常网络环境下，特征采集器实时采集网络中各节点的轻量级画像特征数据并上报给威胁检测器，轻量级画像特征数据指网络流量、主机状态的实时粗粒度统计信息，并不涉及详细的某个数据流或主机某状态的指标，包括但不限于：网络数据流出入境速率，网络数据流出入境大小，网络数据流源、目的ip数量，网络数据流源、目的端口数量，主机活跃进程数，主机已建立网络连接数等。威胁检测器接收特征数据并运行威胁检测算法快速分析当前网络中是否存在威胁事件，在实际环境下，为了保证对威胁事件的快速响应，威胁检测器的检测算法常常只选取少量画像状态数据作为输入，因此特征采集器只需要上报对应的粗粒度数据即可。

当某一威胁检测器分析发现当前网络中存在威胁事件时，立刻产生威胁报警，发送特征采集器及其他威胁检测器；若威胁检测器判断当前网络环境正常时，则定期发送正常通知给特征采集器。

3）网络攻击协同分类

如图4所示流程图的步骤4所示，检测到网络威胁事件的威胁检测器马上发送威胁报警给其他所有威胁检测器，各威胁检测器间将基于所设计的选举方法实时、动态、快速地在其中选取出若干节点组成攻击分类点集，这个点集中的所有节点将开启攻击分类器工作模式，同时，所有攻击分类器对应的特征采集器将变更采集模式，实时采集对应节点的细粒度特征数据上报给攻击分类器，其中，细粒度的特征数据指高维的系统特征，这些高维特征数据描述了详细的网络数据流、主机状态，包括但不限于：网络数据流的各tcp状态数，网络数据流的平均、最大、最小、中值数据包大小，网络数据流的平均、最大、最小、中值空闲时间，网络数据流的平均、最大、最小、中值数据包间隔时间，主机各进程活跃时间，主机各网络连接建立时间等。

攻击分类器运行基于神经网络的分类算法，接收细粒度的高维特征数据，为当前的网络威胁进行分类，判断各数据流所属的具体攻击类别或正常类别生成“网络流-攻击类别”映射表。本实施例中，优选以<源ip，目的ip，源端口，目的端口>五元组作为网络数据流的唯一标识，将五元组唯一标识作为key，以数据流所属类别作为value生成映射表（即分类结果映射表），发送给各攻击响应器。

4）网络威胁协同响应

如图4所示流程图的步骤5、6所示，部署在网络中的攻击响应器接收“网络流-攻击类别”映射表（分类结果映射表）作为威胁响应的重要依据进行实时响应，可以分为两个步骤：

（1）网络威胁自响应，攻击响应器具备威胁响应能力，根据映射表及自身防护能力执行对威胁的响应，主要表现为对所部署节点具有一定的控制能力，包括但不限于：威胁数据流阻断，主机安全防护（恶意软件查杀、漏洞修复、软件更新等），第三方设备策略优化（防火墙、网关、路由器等）。

（2）威胁情报共享，通常混合网络威胁来源广泛且难于防范，因此本发明实施例所设计的检测框架（即网络威胁感知系统）不仅需要具备对网络威胁的快速消解与防御，更需要协同网络中其他的外部响应主体共同从源头处阻断攻击、消除威胁。基于上述思想，攻击响应器将与外部响应主体共享威胁情报信息，其中，威胁情报信息包括：“网络流-攻击类别”映射表，本节点所执行的响应操作等；外部响应主体包括：网络运营商，监管部门，公开服务器等。

本实施例：1）针对混合网络攻击，协同实现对混合网络攻击的快速发现、精准分类、有效响应。2）依据安全需求、网络拓扑、防御资源等信息，确定在网络中的部署方式，如威胁检测器部署节点集合的生成方式。3）依据网络流量、主机状态等粗粒度画像信息，实时计算分析网络的安全性，能够快速判断当前网络是否遭受了混合网络攻击。4）在网络遭受威胁时，根据各威胁检测点实时流量、安全资源等信息选取攻击分类点集。5）依据网络数据流、主机状态等细粒度特征信息，对当前网络数据流进行分类，判断每个网络数据流具体所属类别。

本发明实施例提供的网络威胁感知系统，具有如下优点：

1.在面对混合攻击时，提供快速发现（威胁检测器）、精准分类（攻击分类器）、快速响应（攻击响应器）的全套安全闭环防护流程，模块化程度及兼容性较高、能够适配多种威胁检测、攻击分类、攻击响应、检测点选择、分类点动态开启等方案。

2.本发明实施例可以设计威胁检测点部署方案，用于提供最小检测点部署集，能够在防御资源有限的情况下覆盖安全目标网络，发挥最大的安全防护效果。

3.实时、快速检测当前网络中是否存在混合网络威胁，相比现有方案，依赖计算、存储资源少，能够高效检测到混合网络威胁事件的发生。

4.本发明实施例所涉及的攻击分类点动态选取方案，能够选择最合适的分类点集合以达到最好的分类效果，在攻击发生时节省计算、存储资源。

5.当攻击发生时各节点能够对当前的网络数据流进行精准分类，分类模型所需训练时间短、分类效果好。

在上述实施例的基础上，在本实施例中，所述威胁检测器，用于：

当感知到攻击时，将加大对特征信息的细粒度感知的指令发送至所述特征采集器。

由上面技术方案可知，本发明实施例提供的网络威胁感知系统，通过将加大对特征信息的细粒度感知的指令发送至所述特征采集器，从而使得所述特征采集器切换工作模式，输出轻量画像数据。

在上述实施例的基础上，在本实施例中，所述特征采集器包括：高维特征数据采集单元、轻量画像数据采集单元、报警接收单元和采集数据上报单元；其中：

所述采集数据上报单元，用于实时接收所述威胁检测器发送的威胁报警通知或正常通知；

所述高维特征数据采集单元，用于接收来自所述采集数据上报单元的威胁报警通知，输出高维特征数据至所述报警接收单元；

所述轻量画像数据采集单元，用于接收来自所述采集数据上报单元的正常通知，输出轻量画像数据至所述报警接收单元；

所述报警接收单元，用于将采集数据发送至所述威胁检测器和攻击分类器。

由上面技术方案可知，本发明实施例提供的网络威胁感知系统，通过特征采集器完成数据采集，并能够基于高维特征数据采集单元和轻量画像数据采集单元提供两种工作模式，有利于协助所述威胁检测器快速发现网络攻击，有利于攻击分类器快速分类。

在上述实施例的基础上，在本实施例中，所述威胁检测器包括：第一数据接收单元、网络威胁感知与检测单元、报警生成与下发单元和攻击分类点动态选取单元；其中：

所述第一数据接收单元，用于接收来自所述特征采集器的所述采集数据；

所述网络威胁感知与检测单元，用于对网络环境进行实时感知与检测，并发送检测结果；

所述报警生成与下发单元，用于发送所述威胁报警通知或正常通知所述特征采集器和所述攻击分类器；

所述攻击分类点动态选取单元，用于发送选取攻击分类器的请求至所述攻击分类器。

由上面技术方案可知，本发明实施例提供的网络威胁感知系统，通过所述报警生成与下发单元，能够在攻击分类时，进行动态选取攻击分类器，其优势在于：一方面，不同链路存在的攻击流量并不完全一致，在单一节点处进行攻击分类并不全面，可能对部分攻击存在遗漏；另一方面，并非所有链路都会遭受到攻击，开启所有攻击分类器会造成资源的浪费。

在上述实施例的基础上，在本实施例中，所述攻击分类器包括：第二数据接收单元、特征处理单元、攻击分类单元和分类结果封装与下发单元；其中：

所述第二数据接收单元，用于接收所述威胁检测器发送的所述威胁报警通知，接收所述特征采集器发送的所述采集数据；

所述特征处理单元，用于生成并输出特征矩阵；

所述攻击分类单元，用于进行攻击分类并输出网络攻击类型；

所述分类结果封装与下发单元，用于接收所述网络攻击类型，并将分类结果映射表发送至所述攻击响应器。

由上面技术方案可知，本发明实施例提供的网络威胁感知系统，通过网络中的多点协作与全周期安全闭环防御流程，实现了针对网络攻击的高效防御，从而提升了安全防护目标网络的整体安全性。

在上述实施例的基础上，在本实施例中，所述攻击分类器包括：威胁情报共享单元和自响应单元；其中：

所述自响应单元，用于接收所述攻击分类器发送的所述分类结果映射表，并根据所述分类结果映射表调取预设的响应策略进行响应；

所述威胁情报共享单元，用于接收所述分类结果映射表和所述自响应单元已完成的响应结果，并生成威胁情报。

由上面技术方案可知，本发明实施例提供的网络威胁感知系统，通过自响应单元和胁情报共享单元，能够实现威胁情报共享，能够完成自响应，从而提供实现了完整的安全防护闭环。

图3为本发明一实施例提供的网络威胁感知系统的感知方法的流程示意图，如图3所示，该方法包括：

步骤101：利用所述特征采集器和所述威胁检测器协同感知网络威胁，或，利用所述威胁检测器协同感知网络威胁。

步骤102：基于协同感知网络威胁结果确定发送威胁报警通知或正常通知。

步骤103：若发送的通知为威胁报警通知，则启动所述攻击分类器并确定分类结果。

步骤104：基于与所述分类结果对应的分类结果映射表调取预设的响应策略进行响应。

在本实施例中，需要说明的是，利用所述特征采集器和所述威胁检测器协同感知网络威胁是指特征采集器、威胁检测器纵向之间的协同，如若干特征采集器部署于网络中的不同节点处实时采集轻量的网络画像数据，并发送至威胁检测器，威胁检测器汇集、分析并感知网络威胁情况；利用所述威胁检测器协同感知网络威胁是指各威胁检测器之间的协同，如若干威胁检测器部署于安全防护目标所在网络中的各个关键节点处，全方位覆盖安全防护目标的通信链路，实时感知可能来自不同方位的网络威胁。

优选的，攻击分类器之间也存在协同分类的工作，如若干攻击分类器部署于安全防护目标所在网络中的各个关键节点处。当威胁检测器产生报警后，由于网络威胁流量可能位于多个通信链路当中，因此需要开启其中部分攻击分类器，为威胁流量协同分类；单一的攻击分类器独自工作可能无法得知所有的攻击（因为有些攻击流量不经过该节点），因此多攻击分类器协同工作使得对攻击类别进行全面的识别。

在上述实施例基础上，在本实施例中，还包括：

在完成响应后，生成威胁情报。

本发明实施例提供的网络威胁感知系统的感知方法具体可被上述实施例的网络威胁感知系统执行，其技术原理和有益效果类似，具体可参见上述实施例，此处不再赘述。

基于相同的发明构思，本发明实施例提供一种电子设备，参见图5，电子设备具体包括如下内容：处理器301、通信接口303、存储器302和通信总线304；

其中，处理器301、通信接口303、存储器302通过通信总线304完成相互间的通信；通信接口303用于实现各建模软件及智能制造装备模块库等相关设备之间的信息传输；处理器301用于调用存储器302中的计算机程序，处理器执行计算机程序时实现上述各方法实施例所提供的方法，例如，处理器执行计算机程序时实现下述步骤：利用所述特征采集器和所述威胁检测器协同感知网络威胁，或，利用所述威胁检测器协同感知网络威胁；基于协同感知网络威胁结果确定发送威胁报警通知或正常通知；若发送的通知为威胁报警通知，则启动所述攻击分类器并确定分类结果；基于与所述分类结果对应的分类结果映射表调取预设的响应策略进行响应。

基于相同的发明构思，本发明又一实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法实施例提供的方法，例如，利用所述特征采集器和所述威胁检测器协同感知网络威胁，或，利用所述威胁检测器协同感知网络威胁；基于协同感知网络威胁结果确定发送威胁报警通知或正常通知；若发送的通知为威胁报警通知，则启动所述攻击分类器并确定分类结果；基于与所述分类结果对应的分类结果映射表调取预设的响应策略进行响应。

以上所描述的系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行各个实施例或者实施例的某些部分的方法。

此外，在本发明中，诸如“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

此外，在本发明中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

此外，在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。