(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111484515.X (22)申请日 2021.12.07 (71)申请人 北京神州新 桥科技有限公司 地址 100089 北京市海淀区西三环北路89 号12层B- 08号 (72)发明人 任宇哲　鲁敦政　姬亚锋　 (74)专利代理 机构 北京智信四方知识产权代理 有限公司 1 1519 代理人 吕雁葭 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络策略检测方法、 电子设备及存 储介质 (57)摘要 本公开实施例公开了一种网络策略检测方 法、 电子设备及储存介质， 所述方法包括： 获取被 检测网络 策略的配置信息； 根据被检测网络策略 的源IP地址确定被检测网络 策略的源域， 并根据 被检测网络策略的目的IP地址确定被检测网络 策略的目标域； 根据源域以及目标域获取被检测 网络策略对应的目标网络策略检测模 型； 基于目 标网络策略检测模型以及配置信息获取被检测 网络策略对应的网络策略检测结果。 该技术方案 可以根据网络策略检测结果确定该被检测网络 策略是否 可靠， 降低了对网络策略进行检测的成 本， 提高对网络策略进行检测的效率。 权利要求书2页 说明书12页 附图3页 CN 114205134 A 2022.03.18 CN 114205134 A 1.一种网络策略检测方法， 包括： 获取被检测网络策略的配置信息， 所述配置信 息包括至少一种被检测网络策略的源IP 地址、 目的IP地址、 源mac地址、 目的mac地址、 目的端口、 动作时段以及控制动作； 根据被检测网络策略的源IP地址确定被检测网络策略的源域， 并根据被检测网络策略 的目的IP地址确定被 检测网络策略的目标域； 根据所述源域以及所述目标域获取被 检测网络策略对应的目标网络策略检测模型； 基于所述目标网络策略检测模型以及所述配置信息获取被检测网络策略对应的网络 策略检测结果。 2.根据权利要求1所述的网络策略检测方法， 所述根据所述源域以及所述目标域获取 与被检测网络策略对应的目标网络策略检测模型， 包括： 根据所述源域以及所述目标域确定被检测网络策略对应的网络设备， 并向被检测网络 策略对应的网络设备发送目标网络策略检测模型 上传指令； 接收被检测网络策略对应的网络设备响应于所述目标网络策略检测模型上传指令上 传的目标网络策略检测模型， 所述目标网络策略检测模型是由被检测网络策略对应的网络 设备与服 务器事先训练得到 。 3.根据权利要求1所述的网络策略检测方法， 所述根据所述源域以及所述目标域确定 被检测网络策略对应的网络设备， 包括： 获取活跃网络设备列表， 所述活跃网络设备列表包括网络设备的网络策略最近一 次更 新的更新时刻以及网络设备的IP地址； 将更新时刻与当前时刻的时间差小于或等于第 一时间差阈值、 且IP地址与所述源域或 所述目标域匹配的网络设备确定为所述被 检测网络策略对应的网络设备。 4.根据权利要求3所述的网络策略检测方法， 所述活跃网络设备列表还包括网络设备 最近一次访问动作的访问时刻： 所述将更新 时刻与当前时刻的时间差小于或等于第 一时间差阈值、 且IP地址与所述源 域或所述目标域匹配的网络设备确定为所述被 检测网络策略对应的网络设备， 包括： 将更新时刻与当前时刻的时间差小于或等于所述第 一时间差阈值、 访问时刻与当前时 刻的时间差小于或等于第二时间差阈值、 且IP地址与所述源域或所述目标域匹配的网络设 备确定为所述被 检测网络策略对应的网络设备。 5.根据权利要求4所述的网络策略检测方法， 所述活跃网络设备列表还包括网络设备 对应用户的用户画像信息； 所述将更新 时刻与当前时刻的时间差小于或等于所述第 一时间差阈值、 访问时刻与当 前时刻的时间差小于或等于第二时间差阈值、 且IP地址与所述源域 或所述目标域匹配的网 络设备确定为所述被 检测网络策略对应的网络设备， 包括： 将更新时刻与当前时刻的时间差小于或等于所述第 一时间差阈值、 访问时刻与当前时 刻的时间差小于或等于第二时间差阈值、 用户画像信息与预设画像信息匹配、 且IP地址与 所述源域或所述目标域匹配的网络设备确定为所述被 检测网络策略对应的网络设备。 6.一种网络策略检测方法， 所述方法应用于网络设备， 包括： 接收目标网络策略检测模型 上传指令； 响应于所述目标网络策略检测模型 上传指令， 发送目标网络策略检测模型。权　利　要　求　书 1/2 页 2 CN 114205134 A 27.根据权利要求6所述的网络策略检测方法， 在所述接收目标网络策略检测模型上传 指令之前， 所述方法还 包括： 接收服务器发送的更新权值参数， 并根据 所述更新权值参数对私有 网络策略检测模型 进行更新； 实时采集访问日志以及报 警日志， 所述访问日志包括访问动作以及与 所述访问动作对 应的源IP地址、 目的IP地址、 源mac地址、 目的mac地址、 目的端口以及动作时段， 报警日志包 括报警动作以及与所述报警动作对应的源IP地址、 目的IP地址、 源mac地址、 目的mac地址、 目的端口以及动作时段， 所述报警动作为触发防火墙检测报警的访问动作或触发系统故障 的访问动作； 基于实时采集的报 警日志获取实时访问动作控制信 息， 并基于所述实时访问动作控制 信息以及实时采集的访问日志， 对所述私有网络策略检测模型进行训练； 当训练后的私有 网络策略检测模型未收敛时， 根据 所述训练后的私有网络策略检测模 型获取梯度更新矢量， 并发送所述梯度更新矢量， 所述服务器用于对所述梯度更新矢量进 行聚合， 并根据聚合后的梯度更新矢量对所述服务器的共有网络策略检测模型的权值参数 进行更新， 以获取 所述更新权值 参数； 当训练后的私有 网络策略检测模型收敛时， 将所述私有网络策略检测模型确定为所述 目标网络策略检测模型。 8.根据权利要求7所述的网络策略检测方法， 所述接收服务器发送的更新权值参数， 并 根据所述更新权值 参数对私有网络策略检测模型进行 更新之前， 所述方法还 包括： 获取事先采集的访问日志以及报 警日志， 并根据事先采集的访问日志中的源IP地址确 定访问动作源域， 根据事先采集的访问日志中的目的IP地址确定访问动作目的域； 接收日志上传指令， 当所述日志上传指令指示的上传源域与 所述访问动作源域或访问 动作目的域匹配时， 上传加噪声后的访问日志以及加噪声后的报警日志； 接收服务器发送的初始权值参数， 所述初始权值参数为所述服务器根据共有网络策略 检测模型获取， 所述共有网络策略检测模型为所述服务器根据加噪声后的访问日志 提取共 有访问日志， 并根据以及加噪声后的报警日志提取共有报警日志， 根据所述共有报警日志 获取访问动作控制信息， 基于预先获取 的初始网络策略检测模型， 将所述共有访问日志作 为输入， 将所述访问动作控制信息作为输出， 对所述初始网络策略检测模型进行训练得到 的； 根据所述权值参数更新预先获取的初始网络策略检测模型的权值参数， 得到所述私有 网络策略检测模型。 9.一种电子设备， 所述电子设备包括存储器、 处理器以及存储在存储器上的计算机程 序， 其中， 所述处 理器执行所述计算机程序以实现权利要求1 ‑8任一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机指令， 其中， 该计算机指令被处理器 执行时实现权利要求1 ‑8任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114205134 A 3