(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210913194.9 (22)申请日 2022.08.01 (71)申请人 北京冠程科技有限公司 地址 102200 北京市昌平区科技园区东区 产业基地景兴街18号院1号楼4层409 室 (72)发明人 丁聪霜　吴中华　吴国华　 (51)Int.Cl. H04L 41/0631(2022.01) H04L 41/069(2022.01) H04L 9/40(2022.01) (54)发明名称 网络设备行为分析方法、 装置、 设备及可读 存储介质 (57)摘要 本申请涉及一种网络设备行为分析方法、 装 置、 设备及可读存储介质， 应用于计算机网络技 术领域， 其方法包括： 在预设采集周 期内获取网 络设备行为记录； 判断所述网络设备行为记录是 否包含行为异常； 若所述网络设备行为记录包含 所述行为异常， 则判断所述行为异常是否为设备 本身异常； 若所述网络设备行为记录不包含所述 行为异常为 设备本身异常， 则获取所述设备本身 异常的异常类型， 基于所述异常类型生成预警信 息； 若所述行为异常不为设备本身异常， 则判定 所述网络设备受到攻击， 获取受到攻击的网络设 备的类型， 基于所述网络设备的类型生成预警信 息。 本申请具有提高设备 行为分析效率的效果。 权利要求书2页 说明书8页 附图2页 CN 115277367 A 2022.11.01 CN 115277367 A 1.一种网络设备 行为分析 方法， 其特 征在于， 包括： 在预设采集周期内获取网络设备 行为记录； 判断所述网络设备 行为记录是否包 含行为异常； 若所述网络设备行为记录包含所述行为异常， 则判断所述行为异常是否为设备本身异 常； 若所述网络设备行为记录不包含所述行为异常为设备本身异常， 则获取所述设备本身 异常的异常类型， 基于所述异常类型生成预警信息； 若所述行为异常不为设备本身异常， 则判定所述网络设备受到攻击， 获取受到攻击的 网络设备的类型， 基于所述网络设备的类型生成预警信息 。 2.根据权利要求1所述的方法， 其特征在于， 所述判断所述行为异常是否为设备本身异 常包括： 获取所述网络设备的当前运行信 息， 将所述当前运行信 息与所述网络设备的历史运行 信息进行比较， 计算所述当前运行信息与所述历史运行信息之间的误差； 判断所述 误差是否在预设误差范围之内； 若所述误差在所述预设误差范围之内， 则判定所述行为异常为设备本身异常； 若所述误差不在所述预设误差范围之内， 则判定所述行为异常不 为设备本身异常。 3.根据权利要求1所述的方法， 其特征在于， 所述获取受到攻击的网络设备的类型包 括： 获取所述受到攻击的网络设备的IP地址和预设网络设备网的IP地址库， 判断所述IP地 址是否为所述 IP地址库中的IP地址； 若所述IP地址是所述IP地址库中的IP地址， 则判定所述受到攻击的网路设备为所述预 设网络设备网中的设备； 若所述IP地址不是所述IP地址库中的IP地址， 则判定所述受到攻击的网路设备为外来 设备。 4.根据权利要求3所述的方法， 其特征在于， 所述基于所述网络设备的类型生成预警信 息包括： 当所述受到攻击的网络设备为所述预设网络设备网中的设备时， 获取所述受到攻击的 网络设备所属的设备网小组和所述设备网小组中正在运行的网络设备数量， 基于所述设备 网小组和所述网络设备 数量生成预警信息； 当所述受到攻击的网络设备为外来设备时， 获取外来设备的设备名称， 基于所述设备 名称生成预警信息 。 5.根据权利要求1所述的方法， 其特征在于， 在所述获取受到攻击的网络设备的类型， 基于所述网络设备的类型生成预警信息之后， 还 包括： 获取所述受到攻击的网络设备的网络应用行为， 基于所述网络应用行为获取受攻击原 因； 判断所述网络应用行为是否携带攻击源； 若所述网络应用行为携带攻击源， 则判定所述受攻击原因为访问攻击； 若所述网络应用行为 不携带攻击源， 则判定所述受攻击原因为被动攻击； 基于所述 攻击原因调用防御策略。权　利　要　求　书 1/2 页 2 CN 115277367 A 26.根据权利要求5所述的方法， 其特征在于， 在所述基于所述攻击原因调用防御策略之 后， 还包括： 获取所述受到攻击的网络设备在预设策略生成周期内的受攻击总次数和每次受到攻 击的攻击原因； 计算相同攻击原因的受攻击次数， 获取第一等级划分规则， 基于所述第一等级划分规 则确定所述相同攻击原因的受攻击次数的对应的第一 等级； 获取第二等级划分规则， 基于所述第 一等级划分规则确定所述受攻击总次数对应的第 二等级； 基于所述第一 等级和所述第二 等级生成防御等级； 基于所述防御等级发送防御策略。 7.根据权利要求6所述的方法， 其特征在于， 所述基于所述防御等级发送防御策略包 括： 判断所述防御等级是否不小于预设策略发送阈值； 若所述防御等级不小于所述策略发送阈值， 则发送所述防御策略和所述预警信息； 若所述防御等级 小于所述策略发送阈值， 则发送所述预警信息 。 8.一种网络设备 行为分析装置， 其特 征在于， 包括： 记录获取模块， 用于在预设采集周期内获取网络设备 行为记录； 记录判断模块， 用于判断所述网络设备 行为记录是否包 含行为异常； 异常判断模块， 用于若所述网络设备行为记录包含所述行为异常， 则判断所述行为异 常是否为设备本身异常； 本身预警模块， 用于获取所述设备本身异常的异常类型， 基于所述异常类型生成预警 信息； 攻击预警模块， 用于判定所述网络设备受到攻击， 获取受到攻击的网络设备的类型， 基 于所述网络设备的类型生成预警信息 。 9.一种电子设备， 其特 征在于， 包括处 理器， 所述处 理器与存 储器耦合； 所述处理器用于执行所述存储器中存储的计算机程序， 以使得所述电子设备执行如权 利要求1至7任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 包括计算机程序或指令， 当所述计算机程 序或指令在计算机上运行时， 使得 所述计算机执 行如权利要求1至7任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115277367 A 3