(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111410097.X (22)申请日 2021.11.25 (71)申请人 国网山东省电力公司日照供电公司 地址 276800 山东省日照市东港区烟台路 68号 (72)发明人 许家余　王伟　杜善慧　申晨　 刘浩　宋宜飞　于皓杰　王家冕　 姜丹　许辉　延凯　刘伟波　 (74)专利代理 机构 济南舜源专利事务所有限公 司 37205 代理人 张营磊 (51)Int.Cl. H04L 9/40(2022.01) H02J 13/00(2006.01) (54)发明名称 一种网络安全智能值班方法及系统 (57)摘要 本发明涉及供电网络安全技术领域， 提供一 种网络安全智能值班方法及系统。 S101、 对网络 安全防护设备的告警进行采集， 生成 网络安全告 警信息， S102、 将所采集的网络安全告警信息储 存至数据库， S103、 对数据库里的网络安全告警 信息依据网络攻击的模式进行分类， S104、 将不 同类型的网络安全告警信息与相应的告警事件 进行关联合并， S105、 对合并后的网络安全告警 信息进行审核， 去除网络安全告警信息中的误告 警信息或周期性告警信息。 通过本申请提供的网 络安全智能值班方法及系统， 能够减 轻值班人员 压力， 提高值班效率。 二是能够降低值班人员专 业技能门槛， 提升告警研判准确率。 权利要求书2页 说明书5页 附图2页 CN 114257414 A 2022.03.29 CN 114257414 A 1.一种网络安全智能值班方法， 其特 征在于， 包括以下步骤： S101、 对网络安全防护设备的告警进行采集， 生成网络安全告警信息； S102、 将所采集的网络安全告警信息储 存至数据库； S103、 对数据库里的网络安全告警信息依据网络攻击的模式进行分类； S104、 将不同类型的网络安全告警信息与相应的告警事 件进行关联合并； S105、 对合并后的网络安全告警信息进行审核， 去除网络安全告警信息中的误告警信 息或周期性告警信息 。 2.根据权利要求1所述的网络安全智能值班方法， 其特征在于， 对合并后的网络安全告 警信息进行审核， 去除网络安全告警信息中的误告警信息或周期性告警信息具体包括： S401、 收集网络安全防护设备的告警； S402、 选取网络安全告警信息中告警比例到 达设定阈值的告警类型； S403、 针对选 定的告警类型， 选取告警比例达 到阈值的源IP或目的IP； S404、 统计选取告警的时间序列， 并求出 各个告警时间序列的周期； S405、 对各个告警序列产生的周期进行假设检验， 确定周期性告警； S406、 去除周期性告警。 3.根据权利要求1所述的网络安全智能值班方法， 其特征在于， 对数据库里的网络安全 告警信息依据网络攻击的模式进行分类的步骤 包括： 依据网络攻击的模式， 将网络攻击分为多个源IP地址到目的IP地址的分布式攻击、 一 个源IP地址 到多个目的IP地址的攻击和单个源IP地址 到单个目的IP地址的入侵攻击 。 4.根据权利要求1所述的网络安全智能值班方法， 其特 征在于， 网络安全告警信息包括告警规则、 源IP地址、 目的IP地址、 源端口和目的端口； 数据库采用Mo ngodb数据库； 网络安全防护设备包括入侵防御系统、 流 量探针和防火墙。 5.一种网络安全智能值班系统， 其特征在于， 系统执行如权利要求1至4任意一项所述 的网络安全智能值班方法； 系统包括数据处 理终端和网络安全防护设备； 数据处理终端包括网络安全告警采集模块、 网络安全告警存储模块和网络安全告警分 析模块； 网络安全告警采集模块与网络安全防护设备 连接； 网络安全告警采集模块， 用于对网络安全 防护设备告警进行采集， 并生成网络安全告 警信息； 网络安全告警存 储模块， 用于将所采集的网络安全告警信息储 存至数据库； 网络安全告警分析模块， 用于对网络安全告警信息进行分类， 并将网络安全告警信息 与告警事 件进行关联合并； 数据处理终端， 用于对网络安全告警信息审核， 去 除网络安全告警信息中的误告警信 息。 6.根据权利要求5所述的网络安全智能值班系统， 其特征在于， 系统还包括智能联动模 块； 数据处理终端通过智能联动模块与网络安全防护设备 连接；权　利　要　求　书 1/2 页 2 CN 114257414 A 2当数据处理终端判定网络安全告警信 息判定为网络攻击， 数据处理终端通过智能联动 模块向网络安全防护设备发出 联动信号， 控制网络安全防护设备对攻击地址进行封禁。 7.根据权利要求5所述的网络安全智能值班系统， 其特征在于， 系统还包括前端展示操 作模块； 前端展示操作模块， 用于对 网络安全告警信 息展示并提供研判网络安全告警信 息操作 界面。 8.根据权利要求5所述的网络安全智能值班系统， 其特 征在于， 数据处理终端还 包括告警聚合模块； 告警聚合模块， 用于对网络安全告警信 息进行研判， 并依据网络攻击的模式， 对 网络安 全告警信息进行分类。 9.根据权利要求5所述的网络安全智能值班系统， 其特 征在于， 数据处理终端还 包括告警去除模块； 告警去除模块， 用于对各个告警序列产生的周期进行假设检验， 并根据假设检验结果 去除周期性告警。权　利　要　求　书 2/2 页 3 CN 114257414 A 3