(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210365374.8 (22)申请日 2022.04.07 (71)申请人 云南电网有限责任公司信息中心 地址 650000 云南省昆明市经开区云大西 路中段云电科技园 (72)发明人 谢林江　杭菲璐　郭威　张振红　 罗震宇　陈何雄　毛正雄　李寒箬　 何映军　 (74)专利代理 机构 北京卓恒知识产权代理事务 所(特殊普通 合伙) 11394 专利代理师 龙世和 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/23(2019.01) G06F 16/245(2019.01)G06F 16/28(2019.01) G06F 21/60(2013.01) (54)发明名称 一种网络攻击行为的识别方法及识别系统 (57)摘要 本发明公开了一种网络攻击行为的识别方 法及识别系统， 涉及过滤系统技术领域， 具体为 一种网络攻击行为的识别方法及识别系统， 包括 情报获取模块， 情报获取模块的输出端连接有信 息检测模块， 且信息检测模块的输出端连接有数 据比对模块， 所述数据比对模块的输入端连接有 数据库模块， 情报过滤模块和敏感预警模块， 其 分别连接在所述情报判断模块的输出端。 该威胁 情报辅助研判系统的过滤系统设置有信息检测 模块能够对获取情报进行检测， 通过数据比对模 块能够对获取情报数据与数据库模块内的数据 进行比对， 数据库模块能对预设敏感情报数据进 行储存， 通过情报过滤模块能够对正常情报进行 过滤。 权利要求书3页 说明书8页 附图3页 CN 114866287 A 2022.08.05 CN 114866287 A 1.一种网络攻击行为的识别方法及识别系统， 其特 征在于， 包括： 情报获取模块 （1） ， 情报获取模块 （1） 的输出端连接有信息检测模块 （2） ， 且信息检测模 块 （2） 的输出端连接有数据比对模块 （3） ， 所述数据比对模块 （3） 的输入端连接有数据库模 块 （4） ； 其中， 所述信息检测模块 （2） 用于对获取情 报的检测； 所述数据比对 模块 （3） 用于对获取情 报数据与数据库模块 （4） 内的数据的比对； 所述数据库模块 （4） 用于对预设敏感情 报数据的储 存； 情报判断模块 （5） ， 其连接在所述数据比对模块 （3） 的输出端， 用于对情报中敏感词汇 的判断； 情报过滤模块 （6） 和敏感预警模块 （7） ， 其分别连接在所述情报判断模块 （5） 的输出端， 所述敏感预警模块 （7） 的输出端连接有语句提取模块 （8） ， 且语句提取模块 （8） 的输出端连 接有敏感词截取模块 （9） ， 所述敏感词截取模块 （9） 的输出端连接有EXCEL数据记录模块 （10） ， 且EXCEL数据记录模块 （10） 的输出端连接有数据生成模块 （11） ， 所述数据生成模块 （11） 的输出端 连接有数据处理单元 （12） ， 且数据处理单元 （12） 的输出端 连接有安全 备份模 块 （13） ； 其中， 情报过滤模块 （6） 用于排除异常数据或情报文字、 编码、 提示、 字母或数字的传 输； 所述敏感预警模块 （7） 用于提取情报过滤模块 （6） 所筛选的异常数据传输或敏感词 汇， 并与备份异常数据对比审核， 选取不同等级预警处 理情况； 所述语句提取模块 （8） 用于敏感语句信息的提取； 所述敏感词截取模块 （9） 用于敏感词汇进行截取； 所述EXCEL数据记录模块 （10） 用于情 报中敏感词汇的反馈； 所述数据生成模块 （1 1） 用于新的数据表格的建立； 所述数据处 理单元 （12） 用于数据表格中信息的汇总； 语句判断模块 （14） ， 其连接在所述敏感词截取模块 （9） 的输出端， 所述语句判断模块 （14） 的输出端分别连接有人工核查模块 （15） 和处 理模块 （17） ； 其中， 所述语句判断模块 （14） 用于对情 报中敏感字词的判断； 所述人工核查模块 （15） 用于在判断正常后的二次人工核验； 所述处理模块 （17） 用于对威胁情 报的处理； 语句过滤模块 （16） ， 其连接在所述人工核查模块 （15） 的输出端， 用于核查正常后的直 接过滤； 数据源追踪模块 （18） ， 其连接在所述处理模块 （17） 的输出端， 用于威胁情报的追踪反 馈。 2.根据权利要求1所述的一种网络攻击行为的识别方法及识别系统， 其特征在于， 所述 信息检测 模块 （2） 包括敏感字词检测模块 （201） 、 情报来源检测 模块 （202） 和虚实情况检测 模块 （203） ； 其中， 所述敏感字词检测模块 （201） 用于对情 报中敏感字词进行检测识别； 所述情报来源检测模块 （202） 用于对情 报的来源进行检测识别； 所述虚实情况检测模块 （20 3） 用于对情 报的真实性进行识别判定 。权　利　要　求　书 1/3 页 2 CN 114866287 A 23.根据权利要求1所述的一种网络攻击行为的识别方法及识别系统， 其特征在于， 所述 安全备份模块 （13） 还设有： 数据分类模块 （19） ， 其连接在 所述安全备份模块 （13） 的输出端， 用于对数据库模块 （4） 中数据进行分类优化。 4.根据权利要求1所述的一种网络攻击行为的识别方法及识别系统， 其特征在于， 所述 数据库模块 （4） 的输入端连接有自锁模块 （29）， 所述数据库模块 （4） 包括敏感字库模块 （401） 、 敏感词库模块 （402） 和敏感句库模块 （40 3） ； 其中， 所述自锁模块 （2 9） 用于对数据库的自锁加密； 所述敏感字库模块 （401） 用于对敏感字的储 存； 所述敏感词库模块 （402） 用于对敏感词的储 存； 所述敏感句库模块 （40 3） 用于对敏感句子的储 存。 5.根据权利要求4所述的一种网络攻击行为的识别方法及识别系统， 其特征在于， 所述 敏感词库模块 （402） 包括二字词 库模块、 三字词 库模块和四字词库模块， 分别用于对二字词 语、 三字词语和四字词语的储 存。 6.根据权利要求1所述的一种网络攻击行为的识别方法及识别系统， 其特征在于， 所述 数据比对 模块 （3） 还设有： 敏感词检索模块 （20） ， 其连接在所述数据比对模块 （3） 的输出端， 所述敏感词检索模块 （20） 的输出端连接有敏感词锁定模块 （21） ； 其中， 所述敏感词检索模块 （20） 用于对情 报中敏感字词的检索； 所述敏感词锁定模块 （21） 用于对检索出的敏感字词的锁定 。 7.根据权利要求1所述的一种网络攻击行为的识别方法及识别系统， 其特征在于， 所述 语句提取模块 （8） 还设有： 敏感字数识别 模块 （22） ， 其连接在所述语句提取模块 （8） 的输出端， 所述敏感字数识别 模块 （22） 的输出端 连接有对应比对模块 （23） ， 且对应比对模块 （23） 的输出端 连接有威胁情 报确认模块 （24） ； 其中， 所述敏感字数识别模块 （2 2） 用于对敏感字数的识别判定； 所述对应比对 模块 （23） 用于对相对应字数的比对； 所述威胁情报确认模块 （24） 用于对威胁情 报的确认。 8.根据权利要求7所述的一种网络攻击行为的识别方法及识别系统， 其特征在于， 所述 威胁情报确认模块 （24） 还设有： 情报加密模块 （30） ， 其连接在所述威胁情报确认模块 （24） 的输入端， 所述威胁情报确 认模块 （24） 的输出端连接有内容提取模块 （25） ， 所述内容提取模块 （25） 包括事件提取模块 （2501） 和目的提取模块 （2502） ， 所述内容提取模块 （25） 的输出端连接有安全性判定模块 （26） ， 所述安全性判定模块 （26） 的输出端连接有威胁等级划分模块 （27） ， 且威胁等级划分 模块 （27） 包括轻微 等级和恶劣等级； 其中， 所述情 报加密模块 （3 0） ， 用于对威胁情 报的加密处 理； 所述内容 提取模块 （25） 用于对威胁情 报中的内容 提取； 所述， 事件提取模块 （2501） 和目的提取模块 （2502） 分别用于对威胁情报中的事件以及 目的的提取；权　利　要　求　书 2/3 页 3 CN 114866287 A 3