(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211417541.5 (22)申请日 2022.11.14 (71)申请人 国能大渡河大 数据服务有限公司 地址 610000 四川省成 都市高新区天韵路7 号 (72)发明人 贺玉彬　罗玮　王骞　邓湘勤　 奚正波　马雯阳　丁朋鹏　 (74)专利代理 机构 成都启慧金 舟知识产权代理 事务所 (特殊普通合伙) 51299 专利代理师 何媛 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种用于网络安全 整体保障的方法及系统 (57)摘要 本申请实施例公开了一种用 于网络安全整 体保障的方法及系统， 属于数据处理技术领域， 其中， 所述系统包括： 终端验证模块， 用于获取用 户终端的登陆行为的特征， 并基于登陆行为的特 征判断是否允许用户终端登陆； 数据采集模块， 包括威胁监测引擎、 资产扫描引擎及安全日志采 集引擎， 其中， 威胁监测引擎用于采集用户操作 行为的特征， 资产扫描引擎用于对IT资产进行扫 描， 还用于对扫描后的IT资产预处理以提取IT资 产的特征； 攻击监测模块， 用于基于用户操作行 为的特征和/或IT资产的特征， 判断是否发生攻 击行为； 数据采集模块还包括追踪溯源引擎， 用 于在攻击监测模块判断发生攻击行为时， 根据安 全日志对攻击行为进行溯源， 具有提高网络安全 的优点。 权利要求书2页 说明书10页 附图2页 CN 115460023 A 2022.12.09 CN 115460023 A 1.一种用于网络安全整体保障的系统， 其特 征在于， 包括： 终端验证模块， 用于获取用户终端的登陆行为的特征， 还用于基于所述用户终端的登 陆行为的特 征判断是否允许 所述用户终端登陆； 数据采集模块， 包括威胁监测引擎、 资产扫描引擎及安全日志采集引擎， 其中， 所述威 胁监测引擎用于采集用户操作行为的特征， 所述资产扫描引擎用于对IT资产进行扫描， 还 用于对扫描后的所述IT资产预 处理以提取所述IT资产的特征， 所述安全日志采集引擎用于 生成安全日志； 攻击监测模块， 用于基于所述用户操作行为的特征和/或所述IT资产的特征， 判断是否 发生攻击行为； 所述数据采集模块还包括追踪溯源引擎， 所述追踪溯源引擎用于在所述攻击监测模块 判断发生 攻击行为时， 根据所述 安全日志对所述 攻击行为进行溯源。 2.根据权利要求1所述的一种用于网络安全整体保障的系统， 其特征在于， 所述获取用 户终端的登陆行为的特征， 还用于基于所述用户终端的登陆行为的特征判断是否允许所述 用户终端登陆， 包括： 至少获取 所述用户终端的登陆行为的IP地址、 发生时间、 设备信息及用户个人信息； 基于所述用户终端的登陆行为的IP地址、 发生时间、 设备信 息及用户个人信息， 判断是 否允许所述用户终端登陆。 3.根据权利要求1所述的一种用于网络安全整体保障的系统， 其特征在于， 所述攻击监 测模块基于所述用户操作行为的特征和/或所述IT资产的特征， 判断是否发生攻击行为， 包 括： 通过机器学习模型基于所述用户操作行为的特征和/或所述IT资产的特征， 判断是否 发生攻击行为。 4.根据权利要求1 ‑3任意一项所述的一种用于网络安全整体保障的系统， 其特征在于， 还包括安全学习模块， 用于获取用户对网络安全的认知情况， 并根据所述用户对网络安全 的认知情况生成学习资料， 还用于将所述学习资料发送至所述用户使用的用户终端。 5.根据权利要求1 ‑3任意一项所述的一种用于网络安全整体保障的系统， 其特征在于， 还包括态势分析模块， 包括资产安全态势分析单元、 漏洞态势分析单元、 安全事件态势分析 单元及态势可视化单 元； 所述资产安全态势分析单元用于确定网络对象安全态势、 网站类应用系统安全态势、 非网站类 应用系统安全态 势以及服 务器安全态 势； 所述漏洞态 势分析单元用于对各类漏洞 信息的分析处 理， 确定漏洞态 势； 所述安全事件态势分析单元用于对攻击相关信息进行整合分析， 从发起攻击维度、 遭 受攻击维度、 攻击关系维度、 攻击类型维度、 攻击结果维度和攻击趋势维度， 确定专项事件 态势、 攻击来源态 势、 遭受攻击分布 态势及攻击规 律； 所述态势可视化单元用于对所述网络对象安全态势、 所述网站类应用系统安全态势、 所述非网站类应用系统安全态势、 所述服务器安全态势、 所述漏洞态势、 所述专项事件态 势、 所述攻击来源态 势、 所述遭受攻击分布 态势及所述 攻击规律进行可视化。 6.一种用于网络安全整体保障的方法， 其特 征在于， 包括： 获取用户终端的登陆行为的特 征；权　利　要　求　书 1/2 页 2 CN 115460023 A 2基于所述用户终端的登陆行为的特 征判断是否允许 所述用户终端登陆； 所述用户终端登陆后， 启动威胁监测引擎采集所述用户终端的用户操作行为的特征， 启动资产扫描引擎对所述用户终端的上传的IT资产进 行扫描， 对扫描后的所述IT资产预 处 理以提取所述IT资产的特征， 安全日志采集引擎根据所述用户终端的用户操作行为生 成安 全日志； 基于所述用户操作行为的特 征和/或所述 IT资产的特 征， 判断是否发生 攻击行为； 在判断发生 攻击行为时， 根据所述 安全日志对所述 攻击行为进行溯源。 7.根据权利要求6所述的一种用于网络安全整体保障的方法， 其特征在于， 所述基于所 述用户终端的登陆行为的特 征判断是否允许 所述用户终端登陆， 包括： 至少获取 所述用户终端的登陆行为的IP地址、 发生时间、 设备信息及用户个人信息； 基于所述用户终端的登陆行为的IP地址、 发生时间、 设备信 息及用户个人信息， 判断是 否允许所述用户终端登陆。 8.根据权利要求6所述的一种用于网络安全整体保障的方法， 其特征在于， 所述基于所 述用户操作行为的特 征和/或所述 IT资产的特 征， 判断是否发生 攻击行为， 包括： 通过机器学习模型基于所述用户操作行为的特征和/或所述IT资产的特征， 判断是否 发生攻击行为。 9.根据权利要求6 ‑8任意一项所述的一种用于网络安全整体保障的方法， 其特征在于， 还包括： 获取用户对 网络安全的认知情况， 并根据 所述用户对 网络安全的认知情况生成学习资 料， 还用于将所述学习资料发送至所述用户使用的用户终端。 10.根据权利要求6 ‑8任意一项所述的一种用于网络安全整体保障的方法， 其特征在 于， 还包括： 确定网络对象安全态势、 网站类应用系统安全态势、 非网站类应用系统安全态势以及 服务器安全态 势； 对各类漏洞 信息的分析处 理， 确定漏洞态 势； 对攻击相关信息进行整合分析， 从发起攻击维度、 遭受攻击维度、 攻击关系维度、 攻击 类型维度、 攻击结果维度和攻击趋势维度， 确定专项事件态势、 攻击来源态势、 遭受攻击分 布态势及攻击规 律； 对所述网络对象安全态势、 所述网站类应用系统安全态势、 所述非网站类应用系统安 全态势、 所述服务器安全态势、 所述漏洞态势、 所述专项事件态势、 所述攻击来源态势、 所述 遭受攻击分布 态势及所述 攻击规律进行可视化。权　利　要　求　书 2/2 页 3 CN 115460023 A 3