CN116980239B

CN116980239B - 一种基于sase的网络安全监控预警方法及系统

Info

Publication number: CN116980239B
Application number: CN202311242528.5A
Authority: CN
Inventors: 任国强; 徐昊
Original assignee: Jiangsu Tianchuang Technology Co ltd
Current assignee: Jiangsu Tianchuang Technology Co ltd
Priority date: 2023-09-25
Filing date: 2023-09-25
Publication date: 2023-11-24
Anticipated expiration: 2043-09-25
Also published as: CN116980239A

Abstract

本公开提供了一种基于SASE的网络安全监控预警方法及系统，涉及网络安全技术，方法包括：获取第一用户基本信息；通过SASE云服务得到第一操作日志；将第一操作日志与历史操作日志记录进行对比，得到第一对比分析结果，包括第一区别操作特征和第一相似操作特征；若第一入户时长满足预定时长阈值，对第一区别操作特征进行调整，得到第一关键区别操作特征；获取第一态势感知和第一风险预测；根据第一态势感知和第一风险预测进行风险预警。能够解决现有的网络安全预警方法存在预警准确性和效率较低的技术问题，可以提高网络安全风险预警的及时性和准确性，从而及时发现潜在的安全隐患和漏洞，保障系统运行的安全性和稳定性。

Description

一种基于SASE的网络安全监控预警方法及系统

技术领域

本公开涉及网络安全技术，并且更具体地，涉及一种基于SASE的网络安全监控预警方法及系统。

背景技术

网络安全是当今互联网时代中至关重要的一个方面，由于互联网所覆盖的人群和信息量都极大，一旦安全问题出现，可能造成极大的损失了，因此，在互联网时代中，网络安全预警显得尤为重要。

网络安全预警是一种早期预警机制，目的是为了发现网络安全问题的迹象，以便在安全事件发生之前，对其进行识别、评估和防控。现有的网络安全预警方法由于风险分析精度较低，造成网络风险预测的准确性较低，从而导致安全预警的准确性和及时性较低。

现有的网络安全预警方法存在的不足之处在于：预警准确性和效率较低。

发明内容

因此，为了解决上述技术问题，本公开的实施例采用的技术方案如下：

一种基于SASE的网络安全监控预警方法，所述方法应用于一种基于SASE的网络安全监控预警系统，且所述系统存储于一云电脑，包括以下步骤：基于用户端获取第一登录用户的第一用户基本信息，所述第一用户基本信息包括所述第一登录用户的第一入户时长和第一用户身份；通过SASE云服务对所述第一登录用户进行动态操作监测，得到第一操作日志；将所述第一操作日志与所述云电脑中存储的与所述第一用户身份相同的其他用户的历史操作日志记录进行异同对比分析，得到第一对比分析结果，所述第一对比分析结果包括第一区别操作特征和第一相似操作特征；若所述第一入户时长满足预定时长阈值，根据调取到的所述第一登录用户的第一历史操作日志对所述第一区别操作特征进行调整，得到第一关键区别操作特征；获取第一态势感知和第一风险预测，其中，所述第一态势感知通过分析所述第一关键区别操作特征得到，所述第一风险预测通过分析所述第一相似操作特征得到；根据所述第一态势感知和所述第一风险预测对所述第一登录用户进行第一操作风险预警。

一种基于SASE的网络安全监控预警系统，所述系统存储于一云电脑，包括：第一用户基本信息获取模块，所述第一用户基本信息获取模块用于基于用户端获取第一登录用户的第一用户基本信息，所述第一用户基本信息包括所述第一登录用户的第一入户时长和第一用户身份；第一操作日志得到模块，所述第一操作日志得到模块用于通过SASE云服务对所述第一登录用户进行动态操作监测，得到第一操作日志；第一对比分析结果得到模块，所述第一对比分析结果得到模块用于将所述第一操作日志与所述云电脑中存储的与所述第一用户身份相同的其他用户的历史操作日志记录进行异同对比分析，得到第一对比分析结果，所述第一对比分析结果包括第一区别操作特征和第一相似操作特征；第一关键区别操作特征得到模块，所述第一关键区别操作特征得到模块用于若所述第一入户时长满足预定时长阈值，根据调取到的所述第一登录用户的第一历史操作日志对所述第一区别操作特征进行调整，得到第一关键区别操作特征；第一状态信息获取模块，所述第一状态信息获取模块用于获取第一态势感知和第一风险预测，其中，所述第一态势感知通过分析所述第一关键区别操作特征得到，所述第一风险预测通过分析所述第一相似操作特征得到；第一操作风险预警模块，所述第一操作风险预警模块用于根据所述第一态势感知和所述第一风险预测对所述第一登录用户进行第一操作风险预警。

由于采用了上述技术方法，本公开相对于现有技术来说，取得的技术进步有如下几点：

可以解决现有的网络安全预警方法存在预警准确性和效率较低的技术问题，首先获取第一登录用户的第一入户时长和第一用户身份；并通过SASE云服务对第一登录用户进行动态操作监测，获得第一操作日志；然后将第一操作日志与相同身份的其他用户的历史操作日志记录进行对比，获得第一区别操作特征和第一相似操作特征；当第一入户时长大于或等于预定时长阈值时，则根据第一登录用户的第一历史操作日志对第一区别操作特征进行筛选，获得第一关键区别操作特征，通过获得第一关键区别操作特征，可以提高安全风险态势感知的准确性；然后对第一关键区别操作特征进行分析获得第一态势感知，对第一相似操作特征进行分析获得第一风险预测；最后根据第一态势感知和第一风险预测对第一登录用户进行第一操作风险预警。可以提高网络安全风险预警的及时性和准确性，从而及时发现潜在的安全隐患和漏洞，保障系统运行的安全性和稳定性。

附图说明

为了更清楚地说明本公开的实施例的技术方案，下面将对实施例的描述中所需要使用的附图作简单的介绍。

图1为本申请提供了一种基于SASE的网络安全监控预警方法的流程示意图；

图2为本申请提供了一种基于SASE的网络安全监控预警方法中得到第一对比分析结果的流程示意图；

图3为本申请提供了一种基于SASE的网络安全监控预警系统的结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

基于上述描述，如图1所示，本公开提供了一种基于SASE的网络安全监控预警方法，所述方法应用于一种基于SASE的网络安全监控预警系统，且所述系统存储于一云电脑，包括：

SASE是一种基于实体身份识别、结合实时上下文、企业安全策略，在整个会话中持续评估风险的服务，其中进行身份识别的实体包括人、组织、设备、应用等；实时上下文的数据来源包括用户使用的设备身份、日期、风险评估、正在访问的应用或数据的灵敏度等。SASE通过将网络安全功能和网络连接功能集成到一个云服务平台上，可以更好地保障网络运行的稳定性和安全性。

本申请提供的方法用于基于SASE的技术手段进行网络安全监控预警，来提高网络安全风险预警的及时性和准确性，所述方法具体实施于一种基于SASE的网络安全监控预警系统，所述系统存储于一云电脑上，其中云电脑是指通过云端进行数据集中处理和操作的平台，具有功耗低、安全性高、灵活方便等多个优点。

基于用户端获取第一登录用户的第一用户基本信息，所述第一用户基本信息包括所述第一登录用户的第一入户时长和第一用户身份；

在一个实施例中，所述方法还包括：

基于预设身份-权限对应表确定所述第一用户身份的第一预设权限信息；

将所述第一登录用户的第一实际部署权限信息与所述第一预设权限信息进行对比；

若二者不一致，对所述第一登录用户进行第一权限风险预警。

连接用户端的用户登录系统，其中用户端是指与服务器相对应，为用户提供本地服务的平台，通过所述用户登录系统获取第一登录用户的第一用户基本信息，所述第一登录用户是指用户登录系统中的任意一个登录用户，所述第一用户基本信息包括所述第一登录用户的第一入户时长和第一用户身份，其中第一入户时长是指第一用户的登录账号从创建到目前的总时长，其中第一入户时长越长，表征第一用户的可信任务越高；第一用户身份是指实体标识的身份特征，其中实体包括人、组织、设备、应用等，身份特征包括登录账号、身份ID等，其中不同用户身份对应的用户权限不同。通过获取第一用户基本信息，为下一步进行用户操作特征监测和特征识别提供了数据支持。

获取预设身份-权限对应表，其中所述预设身份-权限对应表用于存储不同用户身份和对应的用户权限，可根据实际情况进行设置，例如：普通员工的用户身份只具有信息查询的权限，部门领导的用户身份具有信息查询和本部门信息修改的权限等。然后将所述第一用户身份输入所述预设身份-权限对应表中进行用户权限匹配，获取所述第一用户身份的第一预设权限信息。

获取所述第一登录用户的第一实际部署权限信息，所述第一实际部署权限信息是指第一登录用户的实际操作权限即实时操作动作，比如：数据修改、数据删除等操作。然后将所述第一实际部署权限信息与所述第一预设权限信息进行比对，当第一实际部署权限信息与第一预设权限信息不一致时，即第一登录用户的实际操作权限超出预设权限范围时，则生成第一权限风险预警指令，并根据第一权限风险预警对所述第一登录用户进行第一权限风险预警。通过对第一登录用户进行权限风险预警，可以从用户权限层面提高安全风险预警的准确性。

通过SASE云服务对所述第一登录用户进行动态操作监测，得到第一操作日志；

当第一登录用户的第一实际部署权限信息与第一预设权限信息一致时，则通过SASE云服务对第一登录用户的实时操作动作进行动态监测并记录，获得第一登录用户的第一操作日志，其中第一操作日志中存储有第一登录用户在使用系统中的应用程序或软件时进行的所有操作步骤和操作数据，例如：创建文件、文件修改、文件删除等，且包括操作时间、IP地址等信息。通过获得第一操作日志，可以准确获取第一登录用户的实时操作记录，为进行第一登录用户的操作风险识别提供了支持。

将所述第一操作日志与所述云电脑中存储的与所述第一用户身份相同的其他用户的历史操作日志记录进行异同对比分析，得到第一对比分析结果，所述第一对比分析结果包括第一区别操作特征和第一相似操作特征；

如图2所示，在一个实施例中，所述方法还包括：

从所述历史操作日志记录中获取第一历史记录；

以所述第一历史记录中的多个操作类型作为异同对比基准；

将所述第一操作日志中与所述异同对比基准不同的操作类型添加至所述第一区别操作特征；

将所述第一操作日志中与所述异同对比基准相同的操作类型添加至所述第一相似操作特征；

基于所述第一区别操作特征和所述第一相似操作特征组建所述第一对比分析结果。

根据所述第一用户身份在云电脑中调取相同身份用户的多个用户的历史操作日志记录，所述历史操作日志记录是指通过云电脑保存的已经完成的操作日志。然后从所述历史操作日志记录中随机选取一位用户的历史操作日志作为第一历史记录。

对所述第一历史记录中操作类型进行提取，获得多个操作类型，其中包括文件修改、数据删除、数据修复等类型，并将多个操作类型作为异同对比基准。根据所述异同对比基准与所述第一操作日志中的操作类型进行遍历比对，将所述第一操作日志中与所述异同对比基准中不同的操作类型作为第一区别操作特征；将所述第一操作日志中与所述异同对比基准中相同的操作类型作为第一相似操作特征；获得第一区别操作特征和第一相似操作特征，然后根据所述第一区别操作特征和所述第一相似操作特征组建第一对比分析结果。通过将第一操作日志与相同身份的其他用户的历史操作日志进行异同对比分析，可以提高第一对比分析结果获得的准确率，同时也可以提高第一登录用户操作风险预测的准确性。

若所述第一入户时长满足预定时长阈值，根据调取到的所述第一登录用户的第一历史操作日志对所述第一区别操作特征进行调整，得到第一关键区别操作特征；

在一个实施例中，所述方法还包括：

若所述第一入户时长不满足所述预定时长阈值，基于零信任原则对所述第一登录用户的所述第一区别操作特征进行风险态势感知，得到所述第一态势感知。

获取预定时长阈值，所述预定时长阈值用于表征登录用户身份的可信度，本领域技术人员可根据实际情况进行设置，其中预定时长阈值越大，则登录用户的可信度要求越高。

根据所述预定时长阈值对所述第一入户时长进行判断，当所述第一入户时长小于所述预定时长阈值时，则根据零信任原则对第一登录用户的第一区别操作特征进行风险态势感知，其中零信任原则是指对登录用户保持最低授信的程度，即当前登录用户的可信程度最低，风险态势感知是指对所述第一区别操作特征中的所有操作类型中存在的安全风险进行识别，并将安全风险识别结果作为第一态势感知。

通过设置预定时长阈值对登录用户的入户时长进行判断，并根据入户时长判断结果进行不同类型的风险态势感知，可以提高风险态势感知的精准度，同时可以减少不必要的算力资源消耗，提高登录用户风险态势感知的效率。

在一个实施例中，所述方法还包括：

从所述第一区别操作特征中提取第一特征；

判断所述第一历史操作日志中是否包括所述第一特征；

若是不包括，将所述第一特征添加至所述第一关键区别操作特征。

当所述第一入户时长大于或等于所述预定时长阈值时，则通过云电脑调取第一登录用户的第一历史操作日志记录，其中第一历史操作日志是指第一登录用户已经完成的操作日志，然后根据第一历史操作日志对所述第一区别操作特征进行调整。

首先，从所述第一区别操作特征中任意提取一操作类型作为第一特征，然后将所述第一特征与所述第一历史操作日志中的所有操作类型进行遍历比对，判断所述第一特征在所述第一历史操作日志中是否出现过，当出现过时，则所述第一历史操作日志包括所述第一特征，表征此时第一特征的操作类型第一登录用户在历史中也同样操作过，当时并没有对系统安全运行造成风险，则所述第一特征属于可信特征；当所述第一特征在所述第一历史操作日志中没有出现过，即所述第一特征首次出现时，则所述第一历史操作日志不包括所述第一特征，属于不可信特征，则将所述第一特征添加至第一关键区别操作特征，获得所述第一关键区别操作特征。

通过根据第一登录用户的第一历史操作日志对第一区别操作特征进行调整，获得第一关键区别操作特征，可以提高第一关键区别操作特征获得的准确率，为下一步进行第一登录用户的操作风险态势感知提供了支持，同时可以提高操作风险态势感知的效率。

获取第一态势感知和第一风险预测，其中，所述第一态势感知通过分析所述第一关键区别操作特征得到，所述第一风险预测通过分析所述第一相似操作特征得到；

在一个实施例中，所述方法还包括：

获取历史网络风险事件序列，所述历史网络风险事件序列中包括多个网络风险事件；

基于事故树原理将所述多个网络风险事件中的第一网络风险事件作为顶上事件，并分析得到所述顶上事件的事故操作因子；

根据所述顶上事件与所述事故操作因子之间的映射关系构建网络风险事故树；

基于所述网络风险事故树对所述第一相似操作特征进行分析，得到所述第一风险预测。

对所述第一关键区别操作特征中的操作类型进行操作风险识别，获得操作风险识别结果，并将操作风险识别结果作为第一态势感知，获得第一态势感知，然后对所述第一相似操作特征进行特征分析。

首先，通过云电脑调取预设时间窗口内的历史网络风险事件，其中预设时间窗口本领域技术人员可根据实际情况进行设置，例如：近三个月内，获得多个网络风险事件，其中网络风险事件是指造成系统无法正常运行的事件，例如：病毒污染、数据泄漏、数据被篡改等，并将多个网络风险事件按照事件发生的先后顺序进行排列，生成历史网络风险事件序列。

然后在所述多个网络风险事件中随机选取一网络风险事件作为顶上事件，其中顶上事件是指将要进行事故原因分析的事件，然后根据事故树原理对所述顶上事件进行事故原因解析，其中事故树是指利用逻辑推理的方式对顶上事件中存在的事故原因进行辨识和评价。首先，对与所述顶上事件有关的所有原因事件进行罗列，其中包括登录用户身份、操作类型、系统运行环境等多个方面的原因。然后从顶上事件开始，从上到下一级一级分析每一层各自的直接原因事件，获得所述顶上事件的事故操作因子；并根据顶上事件与事故操作因子之间的映射关系，通过逻辑门的方式连接上下层事件，直到满足预设分析深度，完成所述顶上事件的事故树构建，获得网络风险事故树。然后根据所述网络风险事故树对所述第一相似操作特征进行风险预测分析，获得第一相似操作特征的风险预测结果，并将所述风险预测结果作为第一风险预测。

通过基于事故树原理对网络风险事件进行原因解析，可以提高网络风险事件分析的精度和准确率，然后根据网络风险事故树对第一相似操作特征进行风险预测，可以提高第一风险预测获得的准确率。

根据所述第一态势感知和所述第一风险预测对所述第一登录用户进行第一操作风险预警。

设置风险感知阈值和风险概率阈值，其中风险感知阈值和风险概率阈值本领域技术人员可根据实际情况进行设置，然后根据风险感知阈值和风险概率阈值对所述第一态势感知和所述第一风险预测进行判断，当所述第一态势感知大于所述风险感知阈值或/和所述第一风险预测大于所述风险概率阈值时，则生成操作风险预警指令，并根据操作风险预警指令对所述第一登录用户进行第一操作风险预警。通过上述方法解决了现有的网络安全预警方法存在预警准确性和效率较低的技术问题，可以提高网络安全风险预警的及时性和准确性，从而及时发现潜在的安全隐患和漏洞，保障系统运行的安全性和稳定性。

在一个实施例中，所述方法还包括：

基于用户端获取第二登录用户，且所述第二登录用户与所述第一登录用户具备预设关联关系；

通过所述SASE云服务得到所述第二登录用户的第二操作日志；

对所述第二操作日志与所述第一操作日志进行联合分析，得到第一耦合操作信息；

根据所述第一耦合操作信息对所述第一登录用户进行第二操作风险预警。

获取预设关联关系，所述预设关联关系用于表征登录用户间的关联性，其中预设关联关系可自行设置，例如：上下级关系、操作连续性关系等，其中操作连续性关系是指同一个项目或流程中具有连续承接关系的多个节点的登录用户。

基于所述预设关联关系，通过用户端进行第二登录用户搜索，其中所述第二登录用户是指与所述第一登录用户具备预设关联关系的用户，获取第二登录用户，并通过所述SASE云服务获取所述第二登录用户的第二操作日志。然后对所述第二操作日志与所述第一操作日志进行联合分析，其中联合分析是指对第二操作日志与第一操作日志中操作类型的耦合程度进行判断，获得第一耦合操作信息。最后根据所述第一耦合操作信息对所述第一登录用户进行第二操作风险预警。例如：当第一登录用户的操作类型为符合用户身份权限，单独分析并不存在风险问题，但是如果将第一登录用户的操作和第二登录用户的操作联合分析时，两者存在操作冲突的情况时，则对第一登录用户进行第二操作风险预警。

通过设置预设关联关系对第一操作日志进行联合分析，可以提高第一操作日志风险分析的准确性和实用性。

在一个实施例中，所述方法还包括：

所述云电脑中存储有负载监测模块；

通过所述负载监测模块动态监测得到所述云电脑的实时负载度；

当所述实时负载度超过预设负载阈值时，对所述第一登录用户进行第一负载风险预警。

所述云电脑中存储有负载监测模块，其中负载监测模块中嵌入有负载传感器，用于对云电脑的当前运行负载情况进行监测并记录。然后通过所述负载监测模块对云电脑的负载度进行实时监测，获得实时负载度。获取预设负载阈值，所述预设负载阈值可基于云电脑的属性信息进行设置，然后根据所述预设负载阈值对所述实时负载度进行判断，当所述实时负载度大于预设负载阈值时，则对所述第一登录用户进行第一负载风险预警。通过设置负载阈值对云电脑的当前负载度进行判断，可以保障云电脑运行的稳定性，从而提高网络风险预警的稳定性。

在一个实施例中，如图3所示提供了一种基于SASE的网络安全监控预警系统，所述系统存储于一云电脑，包括：

第一用户基本信息获取模块，所述第一用户基本信息获取模块用于基于用户端获取第一登录用户的第一用户基本信息，所述第一用户基本信息包括所述第一登录用户的第一入户时长和第一用户身份；

第一操作日志得到模块，所述第一操作日志得到模块用于通过SASE云服务对所述第一登录用户进行动态操作监测，得到第一操作日志；

第一对比分析结果得到模块，所述第一对比分析结果得到模块用于将所述第一操作日志与所述云电脑中存储的与所述第一用户身份相同的其他用户的历史操作日志记录进行异同对比分析，得到第一对比分析结果，所述第一对比分析结果包括第一区别操作特征和第一相似操作特征；

第一关键区别操作特征得到模块，所述第一关键区别操作特征得到模块用于若所述第一入户时长满足预定时长阈值，根据调取到的所述第一登录用户的第一历史操作日志对所述第一区别操作特征进行调整，得到第一关键区别操作特征；

第一状态信息获取模块，所述第一状态信息获取模块用于获取第一态势感知和第一风险预测，其中，所述第一态势感知通过分析所述第一关键区别操作特征得到，所述第一风险预测通过分析所述第一相似操作特征得到；

第一操作风险预警模块，所述第一操作风险预警模块用于根据所述第一态势感知和所述第一风险预测对所述第一登录用户进行第一操作风险预警。

在一个实施例中，所述系统还包括：

第一预设权限信息确定模块，所述第一预设权限信息确定模块用于基于预设身份-权限对应表确定所述第一用户身份的第一预设权限信息；

权限信息对比模块，所述权限信息对比模块用于将所述第一登录用户的第一实际部署权限信息与所述第一预设权限信息进行对比；

第一权限风险预警模块，所述第一权限风险预警模块用于若二者不一致，对所述第一登录用户进行第一权限风险预警。

在一个实施例中，所述系统还包括：

第一历史记录获取模块，所述第一历史记录获取模块用于从所述历史操作日志记录中获取第一历史记录；

异同对比基准确定模块，所述异同对比基准确定模块用于以所述第一历史记录中的多个操作类型作为异同对比基准；

第一区别操作特征添加模块，所述第一区别操作特征添加模块用于将所述第一操作日志中与所述异同对比基准不同的操作类型添加至所述第一区别操作特征；

第一相似操作特征添加模块，所述第一相似操作特征添加模块用于将所述第一操作日志中与所述异同对比基准相同的操作类型添加至所述第一相似操作特征；

第一对比分析结果组建模块，所述第一对比分析结果组建模块用于基于所述第一区别操作特征和所述第一相似操作特征组建所述第一对比分析结果。

在一个实施例中，所述系统还包括：

风险态势感知模块，所述风险态势感知模块用于若所述第一入户时长不满足所述预定时长阈值，基于零信任原则对所述第一登录用户的所述第一区别操作特征进行风险态势感知，得到所述第一态势感知。

在一个实施例中，所述系统还包括：

第一特征提取模块，所述第一特征提取模块用于从所述第一区别操作特征中提取第一特征；

第一历史操作日志判断模块，所述第一历史操作日志判断模块用于判断所述第一历史操作日志中是否包括所述第一特征；

第一特征添加模块，所述第一特征添加模块是指若是不包括，将所述第一特征添加至所述第一关键区别操作特征。

在一个实施例中，所述系统还包括：

历史网络风险事件序列获取模块，所述历史网络风险事件序列获取模块用于获取历史网络风险事件序列，所述历史网络风险事件序列中包括多个网络风险事件；

事故操作因子得到模块，所述事故操作因子得到模块用于基于事故树原理将所述多个网络风险事件中的第一网络风险事件作为顶上事件，并分析得到所述顶上事件的事故操作因子；

网络风险事故树构建模块，所述网络风险事故树构建模块用于根据所述顶上事件与所述事故操作因子之间的映射关系构建网络风险事故树；

第一风险预测得到模块，所述第一风险预测得到模块用于基于所述网络风险事故树对所述第一相似操作特征进行分析，得到所述第一风险预测。

在一个实施例中，所述系统还包括：

第二登录用户获取模块，所述第二登录用户获取模块用于基于用户端获取第二登录用户，且所述第二登录用户与所述第一登录用户具备预设关联关系；

第二操作日志得到模块，所述第二操作日志得到模块用于通过所述SASE云服务得到所述第二登录用户的第二操作日志；

第一耦合操作信息得到模块，所述第一耦合操作信息得到模块用于对所述第二操作日志与所述第一操作日志进行联合分析，得到第一耦合操作信息；

第二操作风险预警模块，所述第二操作风险预警模块用于根据所述第一耦合操作信息对所述第一登录用户进行第二操作风险预警。

在一个实施例中，所述系统还包括：

负载监测模块，所述负载监测模块是指所述云电脑中存储有负载监测模块；

实时负载度得到模块，所述实时负载度得到模块用于通过所述负载监测模块动态监测得到所述云电脑的实时负载度；

第一负载风险预警模块，所述第一负载风险预警模块用于当所述实时负载度超过预设负载阈值时，对所述第一登录用户进行第一负载风险预警。

综上所述，与现有技术相比，本公开的实施例具有以下技术效果：

（1）通过结合态势感知和风险预测对登录用户进行操作风险预警，可以提高网络安全风险预警的及时性和准确性，从而及时发现潜在的安全隐患和漏洞，保障系统运行的安全性和稳定性。

（2）根据入户时长判断结果进行不同类型的风险态势感知，可以提高风险态势感知的精准度，同时可以减少不必要的算力资源消耗，提高登录用户风险态势感知的效率。

（3）根据网络风险事故树对第一相似操作特征进行风险预测，可以提高第一风险预测结果获得的准确率，从而可以提高网络安全风险预警的准确性。

（4）通过设置预设关联关系对第一操作日志进行联合分析，可以提高第一操作日志风险分析的准确性和实用性，通过设置负载阈值对云电脑的当前负载度进行判断，可以保障云电脑运行的稳定性，从而提高网络风险预警的稳定性。

以上所述实施例仅表达了本公开的几种实施方式，但并不能因此而理解为对发明专利范围的限制。因此，在不脱离如由所附权利要求限定的本公开构思的范围的情况下，本领域普通技术人员可做出各种类型的替换、修改和变更，并且这些替换、修改和变更都属于本公开的保护范围。

Claims

1.一种基于SASE的网络安全监控预警方法，其特征在于，所述方法应用于一种基于SASE的网络安全监控预警系统，且所述系统存储于一云电脑，所述方法包括：

2.根据权利要求1所述方法，其特征在于，在所述基于用户端获取第一登录用户的第一用户基本信息之后，还包括：

3.根据权利要求1所述方法，其特征在于，所述将所述第一操作日志与所述云电脑中存储的与所述第一用户身份相同的其他用户的历史操作日志记录进行异同对比分析，得到第一对比分析结果，包括：

从所述历史操作日志记录中获取第一历史记录；

以所述第一历史记录中的多个操作类型作为异同对比基准；

4.根据权利要求1所述方法，其特征在于，若所述第一入户时长不满足所述预定时长阈值，基于零信任原则对所述第一登录用户的所述第一区别操作特征进行风险态势感知，得到所述第一态势感知。

5.根据权利要求3所述方法，其特征在于，所述根据调取到的所述第一登录用户的第一历史操作日志对所述第一区别操作特征进行调整，得到第一关键区别操作特征，包括：

从所述第一区别操作特征中提取第一特征；

判断所述第一历史操作日志中是否包括所述第一特征；

6.根据权利要求3所述方法，其特征在于，所述获取第一态势感知和第一风险预测，包括：

7.根据权利要求1所述方法，其特征在于，所述方法还包括：

通过所述SASE云服务得到所述第二登录用户的第二操作日志；

8.根据权利要求7所述方法，其特征在于，所述云电脑中存储有负载监测模块，所述方法还包括：

9.一种基于SASE的网络安全监控预警系统，其特征在于，用于执行权利要求1-8中所述的一种基于SASE的网络安全监控预警方法中任意一项方法的步骤，所述系统存储于一云电脑，所述系统包括：