(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111319288.5 (22)申请日 2021.11.09 (65)同一申请的已公布的文献号 申请公布号 CN 114039777 A (43)申请公布日 2022.02.11 (73)专利权人 国家工业信息安全发展研究中心 地址 100040 北京市石景山区鲁 谷路35号 (72)发明人 孙军　于盟　张晓菲　张格　李敏　 (74)专利代理 机构 北京高沃 律师事务所 1 1569 专利代理师 刘芳 (51)Int.Cl. H04L 9/40(2022.01) G06N 20/00(2019.01)(56)对比文件 US 2020076845 A1,2020.0 3.05 CN 112543186 A,2021.0 3.23 CN 112543176 A,2021.0 3.23 CN 112491872 A,2021.0 3.12 CN 113572752 A,2021.10.2 9 CN 107995162 A,2018.0 5.04 审查员 蔡文慧 (54)发明名称 一种智能化 威胁感知方法 (57)摘要 本发明涉及一种智能化威胁感知方法。 所述 方法包括： 综合管理系统采集网络内多个节点的 流量数据； 对多个节点的流量数据进行分析， 生 成所述多个节 点对应的访问行为； 对多个节点对 应的访问行为进行关联分析， 形成多个节点间的 访问行为； 基于多个节点间的访问行为进行训 练， 生成访问规则； 根据所述访问规则生成访问 控制策略； 所述综合管理系统还将所述访问控制 策略下发至检测终端； 所述检测终端根据所述访 问控制策略， 对非规则内的用户访问行为进行拦 截。 本发明方法针对全网流量基于各个网络节点 对访问行为进行关联分析， 能够提前发现潜在的 安全风险， 更加精准地发现攻击源， 实现智 能化 拦截攻击或探测行为。 权利要求书1页 说明书4页 附图2页 CN 114039777 B 2022.09.20 CN 114039777 B 1.一种智能化 威胁感知方法， 其特 征在于， 包括： 综合管理系统采集网络内多个节点的流量数据； 所述多个节点包括核心交换机、 接入 交换机和路由器； 所述综合管理系统与所述多个节点 通信连接； 所述综合管理系统采集网络内多个节点的流 量数据， 具体包括： 将所述多个节点的流 量数据镜像至所述综合管理系统； 所述综合管理系统对所述多个节点的流量数据进行分析， 生成所述多个节点对应的访 问行为； 所述综合管理系统对所述多个节点的流量数据进行分析， 生成所述多个节点对应的访 问行为， 具体包括： 所述综合管理系统提取所述多个节点中的每个节点的流量数据中包括的行为内容； 所 述行为内容包括时间、 用户名称、 源IP地址、 源IP端口、 目的IP、 目的IP端口和操作行为； 所述综合管理系统根据 所述多个节点中的每个节点的行为内容， 生成所述每个节点对 应的访问行为； 所述每个节点对应的访问行为包括在某时间点某用户通过某IP端口访问某 IP端口进行某操作； 所述综合管理系统对所述多个节点对应的访问行为进行关联分析， 形成所述多个节点 间的访问行为； 所述综合管理系统对所述多个节点对应的访问行为进行关联分析， 形成所述多个节点 间的访问行为， 具体包括： 对在同一 时间经过相邻 两个节点的访问行为进行拼接， 形成所述多个节点间的访问行 为； 所述多个节点间的访问行为包括在某时间点某用户1通过某IP1端口访问某IP2端口进 行某操作的同时某用户2通过某IP2端口对某IP3端口进行某操作； 所述综合管理系统基于所述多个节点间的访问行为进行训练， 生成访问规则； 所述综合管理系统基于所述多个节点间的访 问行为进行训练， 生成访 问规则， 具体包 括： 所述综合管理系统利用深度 学习算法， 将所述多个节点间的访问行为作为样本文件进 行预设时间的训练， 生成稳定的访问规律作为所述访问规则； 所述预设时间为至少一个月； 综合管理系统利用深度学习持续进行训练优化， 持续完 善访问规则； 所述综合管理系统根据 所述访问规则生成访问控制策略； 综合管理系统利用访问规则 生成的访问控制策略包括： 在某时间点某用户通过某IP1端口访问某 IP2端口进 行某操作的 同时某IP2端口对某IP3端口进行某操作； 所述综合管理系统将所述访问控制策略下发至检测终端； 所述检测终端部署在网络边 界处； 所述检测终端部署在网络边界处， 具体包括： 所述检测终端部署在用户和路由器或交换机之间； 检测终端用来实现综合管理系统下 发的访问控制策略及执 行拦截行为； 所述检测终端根据所述访问控制策略， 对非规则内的用户访问行为进行拦截。权　利　要　求　书 1/1 页 2 CN 114039777 B 2一种智能化威胁感知方 法 技术领域 [0001]本发明涉及网络安全技 术领域， 特别是 涉及一种智能化 威胁感知方法。 背景技术 [0002]现有的威胁感知技术大体有两种， 一种是收集终端日志， 基于日志分析实现对攻 击行为的检测拦截； 另一种是在单个网络节点部署流量监测设备， 对 数据包内容进 行提取， 对经过单个节点的网络流量基于时间、 操作行为等进 行分析， 生成访问控制规则， 形成威胁 感知系统。 [0003]然而随着0day攻击的普遍化， 针对网络内纵深防护、 联防联动的需求日益迫切， 目 前的检测或防御手段还不能针对监测的薄弱点实现智能化联防联动， 基于多个网络节点行 为关联实现自动拦截潜在的攻击行为是目前网络安全防御研究领域亟 待解决的技 术问题。 发明内容 [0004]本发明的目的是提供一种智能化威胁感知方法， 以基于多个网络节点行为关联来 自动拦截潜在的攻击行为。 [0005]为实现上述目的， 本发明提供了如下 方案： [0006]一种智能化 威胁感知方法， 包括： [0007]综合管理系统采集网络内多个节点的流量数据； 所述多个节点包括核心交换机、 接入交换机、 路由器； 所述综合管理系统与所述多个节点 通信连接； [0008]所述综合管理系统对所述多个节点的流量数据进行分析， 生成所述多个节点对应 的访问行为； [0009]所述综合管理系统对所述多个节点对应的访问行为进行关联分析， 形成所述多个 节点间的访问行为； [0010]所述综合管理系统基于所述多个节点间的访问行为进行训练， 生成访问规则； [0011]所述综合管理系统根据所述访问规则生成访问控制策略； [0012]所述综合管理系统将所述访问控制策略下发至检测终端； 所述检测终端部署在网 络边界处； [0013]所述检测终端根据所述访问控制策略， 对非规则内的用户访问行为进行拦截。 [0014]可选地， 所述综合管理系统采集网络内多个节点的流 量数据， 具体包括： [0015]将所述多个节点的流 量数据镜像至所述综合管理系统。 [0016]可选地， 所述综合管理系统对所述多个节点的流量数据进行分析， 生成所述多个 节点对应的访问行为， 具体包括： [0017]所述综合管理系统提取所述多个节点中的每个节点的流量数据中包括的行为内 容； 所述行为内容包括时间、 用户名称、 源IP地址、 源IP端口、 目的IP、 目的IP端口、 操作行 为； [0018]所述综合管理系统根据所述多个节点中的每个节点的行为内容， 生成所述每个节说　明　书 1/4 页 3 CN 114039777 B 3