(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111375002.5 (22)申请日 2021.11.19 (71)申请人 上海纽盾科技股份有限公司 地址 200441 上海市宝山区长江南路9 9弄2 号11层 (72)发明人 杨腾霄　肖铮　李晓翔　 (74)专利代理 机构 上海图灵知识产权代理事务 所(普通合伙) 31393 代理人 刘红梅 (51)Int.Cl. H04L 67/02(2022.01) H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 基于预测的网络安全 验证方法、 装置及系统 (57)摘要 本发明提供了一种基于预测的网络安全验 证方法、 装置及系统， 涉及网络安全技术领域。 所 述处理方法包括步骤： 采集网络环 境的系统日志 信息， 所述系统日志信息包括网络环 境中各网络 节点的访问操作行为信息； 提取系统日志信息中 的访问操作行为信息的数据头信息， 进行聚类分 析； 基于聚类的离群点分析获取数据头信息中的 离群点， 获取前述离群点所属的访问操作行为 后， 确定该访问操作行为对应的网络节点； 验证 前述网络节点未针对前述访问操作行为做出相 应的安全防御行为时， 调用预设的网络安全数据 库的防御方案对 前述网络节点进行预防御。 本发 明通过对离群点的验证和预防御， 从而节约网络 安全监管时的计算资源， 避免更为严重的告警事 件的发生。 权利要求书2页 说明书10页 附图4页 CN 114172881 A 2022.03.11 CN 114172881 A 1.一种基于预测的网络安全 验证方法， 其特 征在于包括 步骤, 采集网络环境的系统日志信 息， 所述系统日志信 息包括网络环境中各网络节点的访问 操作行为信息； 提取系统日志信 息中的访问操作 行为信息的数据头信 息， 并对前述数据头信 息进行聚 类分析； 基于聚类的离群点分析获取数据头信 息中的离群点， 获取前述离群点所属的访问操作 行为后， 确定该访问操作行为对应的网络节点； 验证前述网络节点是否针对前述访问操作 行为做出相应的安全防御 行为； 验证未做出 时， 调用预设的网络安全数据库的防御方案对前述网络节点进行 预防御。 2.根据权利要求1所述的方法， 其特征在于， 所述数据头信息包括HTTP数据包头信息、 IP数据报头 部信息和数据文件头信息 。 3.根据权利要求1所述的方法， 其特征在于， 所述验证的对象包括前述网络节点的通信 协议、 数据传输协议和安全防御配置信息 。 4.根据权利要求1所述的方法， 其特征在于， 所述验证还包括对前述数据头信 息对应的 网络节点的数据信息进行数据完整性验证； 所述数据完整性验证包括验证前述网络节点的 通信协议、 数据传输协议和该网络节点存 储的数据信息 。 5.根据权利要求1所述的方法， 其特征在于， 所述访问操作行为对应的网络节点包括发 出前述访问操作行为的网络节点或者接收前述访问操作行为的网络节点； 当网络节点为发出前述访问操作 行为的网络节点 时， 对待访问的目标网络节点进行预 防御； 当网络节点为接收前述访问操作 行为的网络节点 时， 对发出访问的目标网络节点进行 预防御。 6.根据权利要求1所述的方法， 其特征在于， 验证前述离群点的网络节点和关联网络节 点间的访问操作行为的步骤如下， 提取前述离群点后， 获得该离群点对应的数据头信息， 确定所述数据头信息所属的访 问操作行为； 采集关联网络节点的日志信息， 获取与前述所属的访问操作行为对应的日志信息段； 得到前述网络节点与关联网络节点间的访问操作行为信息； 判定前述网络节点与关联网络节点间的访问操作行为与前述离群点分析中针对网络 节点的分析 结果有无关联； 判定无关联时， 完成验证操作； 判定有关联时， 获取前述网络节点和关联网络节点在网 络环境中的异常情形， 采取相对应的网络安全预防御措施。 7.根据权利要求1所述的方法， 其特征在于， 所述验证信息存储在验证信息数据库中， 该数据库中存储有不可更改的多个验证信息， 每个被使用过的验证信息都会生成对应的验 证日志， 用于排 查和追溯。 8.根据权利要求7所述的方法， 其特征在于， 对前述验证信息的使用情况进行记录， 设 置前述验证信息的使用次数， 当前述验证信息达到预设的使用次数时， 对前述验证信息进 行更新， 并将更新后的验证信息存 储在验证信息数据库中。 9.一种基于预测的网络安全 验证装置， 其特 征在于包括结构：权　利　要　求　书 1/2 页 2 CN 114172881 A 2信息采集单元， 用以采集网络环境的系统日志信息， 所述系统日志信息包括网络环境 中各网络节点的访问操作行为信息； 信息分析单元， 用以提取系统日志信息中的访 问操作行为信息的数据头信息， 并对前 述数据头信息进行聚类分析； 信息获取单元， 用以基于聚类的离群点分析获取数据头信息中的离群点， 获取前述离 群点所属的访问操作行为后， 确定该访问操作行为对应的网络节点； 信息验证单元， 用以验证前述网络节点是否针对前述访问操作 行为做出相应的安全防 御行为； 验证未做出时， 调用预设的网络安全数据库的防御方案对前述网络节点进行预防 御。 10.一种基于预测的网络安全 验证系统， 其特 征在于包括： 网络节点， 用于收发数据； 网络安全管理系统， 定期检测前述离群点的网络节点， 并对前述网络节点的日志信息 进行安全分析； 系统服务器， 所述系统服 务器连接网络节点和网络安全管理系统； 所述系统服务器被配置为： 采集网络环境的系统日志信息， 所述系统日志信息包括网 络环境中各网络节点的访问操作行为信息； 提取系统日志信 息中的访问操作 行为信息的数据头信 息， 并对前述数据头信 息进行聚 类分析； 基于聚类的离群点分析获取数据头信 息中的离群点， 获取前述离群点所属的访问操作 行为后， 确定该访问操作行为对应的网络节点； 验证前述网络节点是否针对前述访问操作 行为做出相应的安全防御 行为； 验证未做出 时， 调用预设的网络安全数据库的防御方案对前述网络节点进行 预防御。权　利　要　求　书 2/2 页 3 CN 114172881 A 3