(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111639273.7 (22)申请日 2021.12.2 9 (71)申请人 北京安天网络安全技 术有限公司 地址 100195 北京市海淀区玉泉山闵庄路3 号清华科技园 ·玉泉慧谷1号楼地上 一层西侧、 二层(地上两侧) (72)发明人 冉飞　卢成龙　苗宁　 (74)专利代理 机构 北京格允知识产权代理有限 公司 11609 代理人 王文雅 (51)Int.Cl. H04L 9/40(2022.01) G06F 9/455(2006.01) G06F 21/55(2013.01) G06F 21/56(2013.01) (54)发明名称 校园网络安全防护方法、 装置、 计算设备及 存储介质 (57)摘要 本发明提供了一种校园网络安全防护方法、 装置、 计算 设备及存储介质， 其中方法包括： 确定 待防护校园网络所覆盖的网络设备； 根据预设的 网络监测策略对每一个网络设备进行网络流量 监测， 获取监测到的异常状况； 对所述异常状况 进行威胁分析， 得到攻击所述校园网络的事件特 征； 利用所述事件特征修正所述网络监测策略， 并基于修正的网络监测策略对所述校园网络持 续进行网络监测。 本方案， 能够提高校园网络的 安全防护能力。 权利要求书2页 说明书8页 附图2页 CN 114301689 A 2022.04.08 CN 114301689 A 1.一种校园网络安全防护方法， 其特 征在于， 包括： 确定待防护校园网络所覆盖的网络设备； 根据预设的网络监测策略对每一个网络设备进行网络流量监测， 获取监测到的异常状 况； 对所述异常状况进行威胁分析， 得到攻击所述校园网络的事 件特征； 利用所述事件特征修正所述网络监测策略， 并基于修正的网络监测策略对所述校园网 络持续进行网络监测。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述异常状况进行威胁分析， 得到 攻击所述校园网络的事 件特征， 包括： 根据所述异常状况确定所述校园网络中存在的威胁载荷、 被攻击网络设备的特征、 攻 击手段， 根据所述威胁载荷、 被攻击网络设备的特征和攻击手段， 还原完整的攻击链路， 得 到攻击所述校园网络的事 件特征。 3.根据权利要求2所述的方法， 其特 征在于， 在所述利用所述事件特征修正所述网络监测策略之前， 还包括： 获取设定时间段内监 测到的若干个异常状况， 将所述若干个异常状况进行分类； 所述利用所述事 件特征修正所述网络监测策略， 包括： 根据各分类中分别包括的异常状况的数量， 确定目标分类所对应的目标事 件特征； 根据所述目标事件特征构建对应的网络威胁诱捕策略， 并将所述网络威胁诱捕策略更 新至所述网络监测策略中， 得到修 正后的网络监测策略。 4.根据权利要求3所述的方法， 其特 征在于， 所述根据所述目标事 件特征构建对应的网络威胁诱捕策略， 包括： 根据所述目标事件特征构建包含诱捕数据的诱捕虚拟机， 所述诱捕数据 是根据所述目 标事件特征中的威胁载荷虚构得到的， 所述诱捕虚拟机满足所述目标事件 特征中的被攻击 网络设备的特 征； 所述基于修 正的网络监测策略对所述校园网络持续进行网络监测， 包括： 当监测到向所述校园网络中发起的访问请求满足所述目标事件特征中攻击链路的前 序特征时， 则将所述访问请求转 发给所述诱捕虚拟机， 并接收所述诱捕虚拟 机的响应数据； 根据所述访问请求的目的IP地址对所述响应数据进 行封装， 将封装后的响应数据对所述访 问请求进 行响应； 所述攻击链路的前序特征为位于所述攻击链路起始端且 具有先后顺序的 若干个攻击特 征。 5.根据权利要求1 ‑4所述的方法， 其特征在于， 所述根据预设的网络监测策略对每一个 网络设备进行网络流 量监测， 包括： 根据所述网络监测策略对监测到的从所述校园网络外部和/或所述校园网络 内部发来 的网络流量进行如下至少一个维度的检测： 包、 流、 会话、 文件、 协议元数据、 网络行为和文 件行为。 6.一种校园网络安全防护装置， 其特 征在于， 包括： 确定单元， 用于确定待防护校园网络所覆盖的网络设备； 监测单元， 用于根据预设的网络监测策略对每一个网络设备进行网络流量监测， 获取 监测到的异常状况； 并基于修正单元发送的修正的网络监测策略对所述校园网络持续进 行权　利　要　求　书 1/2 页 2 CN 114301689 A 2网络监测； 分析单元， 用于对所述异常状况进行威胁分析， 得到攻击所述校园网络的事 件特征； 所述修正单元， 用于利用所述事件特征修正所述网络监测策略， 并将修正的网络监测 策略发送给 所述监测单元。 7.根据权利要求6所述的校园网络安全 防护装置， 其特征在于， 所述分析单元， 具体用 于根据所述异常状况确定所述校园网络中存在的威胁载荷、 被攻击网络设备 的特征、 攻击 手段， 根据所述威胁载荷、 被攻击网络设备的特征和攻击手段， 还原完整的攻击链路， 得到 攻击所述校园网络的事 件特征。 8.根据权利要求7 所述的校园网络安全防护装置， 其特 征在于， 还包括： 分类单元， 用于获取设定时间段内监测到的若干个异常状况， 将所述若干个异 常状况进行分类； 所述修正单元， 具体用于根据各分类中分别包括的异常状况的数量， 确定目标分类所 对应的目标事件特征； 根据所述 目标事件特征构建对应的网络威胁诱捕策略， 并将所述网 络威胁诱捕策略更新至所述网络监测策略中， 得到修 正后的网络监测策略。 9.一种计算设备， 包括存储器和处理器， 所述存储器中存储有计算机程序， 所述处理器 执行所述计算机程序时， 实现如权利要求1 ‑5中任一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 当所述计算机程序在计算机中 执行时， 令计算机执 行权利要求1 ‑5中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114301689 A 3