[发明专利]网络安全监控方法及网络安全监控系统

权利要求书

1.一种网络安全监控方法，其特征在于，包括：

根据在网络环境中获取到的携带文件访问请求的数据包，攫取依次接收的多个待解析实时数据包；

根据所述依次接收的多个待解析实时数据包，确定所述待解析实时数据包对应的文件访问事件描述，将所述文件访问事件描述与事前确定的疑似风险访问操作进行比对，确定所述文件访问事件描述对应的风险概率；

当所述文件访问事件描述对应的风险概率达到设定概率值时，确定与所述依次接收的多个待解析实时数据包对应的疑似安全风险等级，根据所述疑似安全风险等级以及所述待解析实时数据包，启用相应的风险防范策略对所述待解析实时数据包进行安全防护；

其中，所述根据所述依次接收的多个待解析实时数据包，确定所述待解析实时数据包对应的文件访问事件描述，包括：

将所述待解析实时数据包上传至局域网安全中心，通过所述局域网安全中心对所述待解析实时数据包进行数据解析得到对应的文件访问事件描述；

其中，当所述文件访问事件描述对应的风险概率达到设定概率值时，确定与所述依次接收的多个待解析实时数据包对应的疑似安全风险等级，包括：

当所述文件访问事件描述对应的风险概率达到设定概率值时，确定所述文件访问事件描述对应的疑似风险访问操作类型；

根据所述疑似风险访问操作类型，从风险行为知识图谱中匹配与所述疑似风险访问操作类型对应的疑似安全风险等级。

2.根据权利要求1所述的网络安全监控方法，其特征在于，根据所述疑似风险访问操作类型，从风险行为知识图谱中匹配与所述疑似风险访问操作类型对应的疑似安全风险等级，包括：

根据所述疑似风险访问操作类型，从所述风险行为知识图谱中确定与所述疑似风险访问操作类型对应的多个已确定网络安全攻击事件；

将所述多个已确定网络安全攻击事件通过网络安全风险识别模型对所述文件访问事件描述进行风险识别；

根据网络安全风险识别模型针对所述多个已确定网络安全攻击事件的风险识别结果，确定与所述疑似风险访问操作类型对应的疑似安全风险等级。

3.根据权利要求1或2所述的网络安全监控方法，其特征在于， 所述方法还包括：

根据上述启用的风险防范策略以及所述待解析实时数据生成安全防护记录信息，并将所述安全防护记录信息上传至所述局域网安全中心，以使所述局域网安全中心根据接收的安全防护记录信息对安全防护策略进行优化更新。

4.一种网络安全监控系统，其特征在于，包括：

数据包攫取模块，用于根据在网络环境中获取到的携带文件访问请求的数据包，攫取依次接收的多个待解析实时数据包；

风险分析模块，用于根据所述依次接收的多个待解析实时数据包，确定所述待解析实时数据包对应的文件访问事件描述，将所述文件访问事件描述与事前确定的疑似风险访问操作进行比对，确定所述文件访问事件描述对应的风险概率；

策略启用模块，用于当所述文件访问事件描述对应的风险概率达到设定概率值时，确定与所述依次接收的多个待解析实时数据包对应的疑似安全风险等级，根据所述疑似安全风险等级以及所述待解析实时数据包，启用相应的风险防范策略对所述待解析实时数据包进行安全防护；

其中，所述风险分析模块，具体用于：

将所述待解析实时数据包上传至局域网安全中心，通过所述局域网安全中心对所述待解析实时数据包进行数据解析得到对应的文件访问事件描述；

所述策略启用模块，具体用于：

当所述文件访问事件描述对应的风险概率达到设定概率值时，确定所述文件访问事件描述对应的疑似风险访问操作类型； 根据所述疑似风险访问操作类型，从风险行为知识图谱中匹配与所述疑似风险访问操作类型对应的疑似安全风险等级。

5.根据权利要求4所述的网络安全监控系统，其特征在于，所述策略启用模块具体还用于：

根据所述疑似风险访问操作类型，从所述风险行为知识图谱中确定与所述疑似风险访问操作类型对应的多个已确定网络安全攻击事件；

将所述多个已确定网络安全攻击事件通过网络安全风险识别模型对所述文件访问事件描述进行风险识别；

根据网络安全风险识别模型针对所述多个已确定网络安全攻击事件的风险识别结果，确定与所述疑似风险访问操作类型对应的疑似安全风险等级。

6.根据权利要求4或5所述的网络安全监控系统，其特征在于， 所述系统还包括：

优化更新模块，用于根据上述启用的风险防范策略以及所述待解析实时数据生成安全防护记录信息，并将所述安全防护记录信息上传至所述局域网安全中心，以使所述局域网安全中心根据接收的安全防护记录信息对安全防护策略进行优化更新。