(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211071542.9 (22)申请日 2022.09.02 (71)申请人 广东电网有限责任公司 地址 510600 广东省广州市越秀区东 风东 路757号 申请人 广东电网有限责任公司佛山供电局 (72)发明人 朱延廷　张文骏　曾晓丹　 欧阳卫年　李高明　谭振鹏　 岳朝辉　陈锦荣　李响　彭飞进　 郭为斌　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 吴玲 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于网络安全策略的网络行为检测方 法及相关装置 (57)摘要 本申请公开了一种基于网络安全策略的网 络行为检测方法及相关装置， 方法包括： 若待检 测网络行为在预置网络安全策略白名单中， 且待 检测网络 行为不在预置网络行为特征白名单中， 则判断待检测网络行为是否处于窗口期范围内， 若是， 则则待检测网络行为审核通过； 若待检测 网络行为超 出窗口期范围， 则判断待检测网络行 为是否形成网络行为特征， 若是， 则进行人工审 核阶段， 若否， 则拦截待检测网络行为， 人工审核 阶段为判断待检测网络行为是否满足预置审核 规则。 本申请能够解决现有网络安全 策略无法应 对尚未公开的安全漏洞的攻击， 导致系统安全性 能较差的技术问题。 权利要求书2页 说明书7页 附图2页 CN 115426186 A 2022.12.02 CN 115426186 A 1.一种基于网络安全策略的网络行为检测方法， 其特 征在于， 包括： 若待检测网络行为在预置网络安全策略白名单中， 且所述待检测网络行为不在预置网 络行为特征白名单中， 则判断所述待检测网络行为是否处于窗口期范围内， 若 是， 则则所述 待检测网络行为审核通过； 若所述待检测网络行为超出所述窗口期范围， 则判断所述待检测网络行为是否形成网 络行为特征， 若 是， 则进行人工审核阶段， 若否， 则拦截所述待检测网络行为， 所述人工审核 阶段为判断所述待检测网络行为是否满足预置审核规则。 2.根据权利要求1所述的基于网络安全策略的网络行为检测方法， 其特征在于， 所述若 待检测网络行为在预置网络安全策略白名单中， 且所述待检测网络行为不在预置网络行为 特征白名单中， 则判断所述待检测网络行为是否处于窗口期， 若 是， 则则所述待检测网络行 为审核通过， 还 包括： 若所述待检测网络行为在所述预置网络安全策略白名单中， 且所述待检测网络行为在 所述预置网络行为特 征白名单中， 则所述待检测网络行为审核通过。 3.根据权利要求1所述的基于网络安全策略的网络行为检测方法， 其特征在于， 所述若 所述待检测网络行为超出所述窗口期范围， 则判断所述待检测网络行为是否形成网络行为 特征， 若是， 则进行 人工审核阶段， 若否， 则拦截所述待检测网络行为， 包括： 若所述待检测网络行为超出所述窗口期范围， 则基于预置时间权重统计所述待检测网 络行为的行为频 数； 判断所述行为频数是否符合正态分布， 若是， 则所述待检测网络行为已形成网络行为 特征， 并进行人工审核阶段， 若否， 则所述待检测网络行为未形成网络行为特征， 并拦截所 述待检测网络行为。 4.根据权利要求1所述的基于网络安全策略的网络行为检测方法， 其特征在于， 所述所 述人工审核阶段 具体为： 判断所述待检测网络行为是否满足预置审核规则， 若是， 则将所述待检测网络行为列 入所述预置网络行为特征白名单中， 且 所述待检测网络行为审核通过， 若否， 则拦截所述待 检测网络行为。 5.一种基于网络安全策略的网络行为检测装置， 其特 征在于， 包括： 第一检测判断模块， 用于若待检测网络行为在预置网络安全策略白名单中， 且所述待 检测网络行为不在预置网络行为特征白名单中， 则判断所述待检测网络行为是否处于窗口 期范围内， 若是， 则 则所述待检测网络行为审核通过； 第二检测判断模块， 用于若所述待检测网络行为超出所述窗口期范围， 则判断所述待 检测网络行为是否形成网络行为特征， 若是， 则进行人工审核阶段， 若否， 则拦截所述待检 测网络行为， 所述人工审核阶段为判断所述待检测网络行为是否满足预置审核规则。 6.根据权利要求5所述的基于网络安全策略的网络行为检测装置， 其特征在于， 还包 括： 双核通过模块， 用于若所述待检测网络行为在所述预置网络安全策略白名单中， 且所 述待检测网络行为在所述预置网络行为特 征白名单中， 则所述待检测网络行为审核通过。 7.根据权利要求5所述的基于网络安全策略的网络行为检测装置， 其特征在于， 所述第 二检测判断模块， 具体用于：权　利　要　求　书 1/2 页 2 CN 115426186 A 2若所述待检测网络行为超出所述窗口期范围， 则基于预置时间权重统计所述待检测网 络行为的行为频 数； 判断所述行为频数是否符合正态分布， 若是， 则所述待检测网络行为已形成网络行为 特征， 并进行人工审核阶段， 若否， 则所述待检测网络行为未形成网络行为特征， 并拦截所 述待检测网络行为。 8.根据权利要求5所述的基于网络安全策略的网络行为检测装置， 其特征在于， 所述所 述人工审核阶段 具体为： 判断所述待检测网络行为是否满足预置审核规则， 若是， 则将所述待检测网络行为列 入所述预置网络行为特征白名单中， 且 所述待检测网络行为审核通过， 若否， 则拦截所述待 检测网络行为。 9.一种基于网络安全策略的网络行为检测设备， 其特征在于， 所述设备包括处理器以 及存储器； 所述存储器用于存 储程序代码， 并将所述 程序代码传输给 所述处理器； 所述处理器用于根据 所述程序代码中的指令执行权利要求1 ‑4任一项所述的基于网络 安全策略的网络行为检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储程序代 码， 所述程序代码用于执行权利要求1 ‑4任一项所述的基于网络安全策略的网络行为检测 方法。权　利　要　求　书 2/2 页 3 CN 115426186 A 3