WO2020000763A1 - 网络风险监控方法、装置、计算机设备及存储介质 - Google Patents

Abstract

本申请公开了网络风险监控方法、装置、计算机设备及存储介质。该方法包括：对网络访问进行实时监控以生成访问日志；根据访问日志中的项目信息识别访问日志的类型；通过贝叶斯分类算法结合预设的标签分类规则对第一类访问日志进行风险分级；通过KMeans聚类算法对第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对第二类访问日志进行风险分级以得到与访问日志相对应的网络访问的风险等级；根据所得到的风险等级发出相应的报警提示信息。

Description

网络风险监控方法、装置、计算机设备及存储介质

本申请要求于2018年6月29日提交中国专利局、申请号为201810699243.7、申请名称为“网络风险监控方法、装置、计算机设备及存储介质”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络风险监控方法、装置、计算机设备及存储介质。

背景技术

大型企业为了保存数据信息，需设置用于存放和管理数据信息的企业终端。然而企业终端接入互联网后，需面对网络上的各种安全威胁，金融行业所需防范的安全威胁尤为突出，因此需为企业终端设置网络风险监控。

传统的网络风险监控方法均为被动监控方法，因此只能在受到威胁后进行事后分析并防范再次受到相同威胁，且由于传统方法会因海量疑似事件造成网络威胁误报率较高的问题，从而导致网络风险监控效率低下，因此传统的网络风险监控方法存在对网络风险的监控效率较低的问题。

发明内容

本申请实施例提供了一种网络风险监控方法、装置、计算机设备及存储介质，旨在解决现有技术方法中存在对网络风险的监控效率不高的问题。

第一方面，本申请实施例提供了一种网络风险监控方法，其包括：对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息；根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志；若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级， 以得到与所述第一类访问日志相对应的网络访问的风险等级；若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级；以及根据所得到的网络访问的风险等级发出相应的报警提示信息。

第二方面，本申请实施例提供了一种网络风险监控装置，其包括：网络访问监控单元，用于对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息；标签判断单元，用于根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志；第一分级单元，用于若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级；第二分级单元，用于若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级；以及报警提示单元，用于根据所得到的网络访问的风险等级发出相应的报警提示信息。

第三方面，本申请实施例又提供了一种计算机设备，其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的网络风险监控方法。

第四方面，本申请实施例还提供了一种存储介质，其中所述存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的网络风险监控方法。

本申请实施例提供了一种网络风险监控方法、装置、计算机设备及存储介质。通过对访问日志中的日志项目是否具有标签进行判断，通过不同的算法对不同类的访问日志进行风险分级，根据分级结果对网络访问发出相应的报警提示信息，能够根据访问日志的特点针对性地进行风险分级，大幅提高风险分级的速度，提高了对网络风险的监控效率。

附图说明

为了更清楚地说明本申请实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的网络风险监控方法的流程示意图；

图2为本申请实施例提供的网络风险监控方法的应用场景示意图；

图3为本申请实施例提供的网络风险监控方法的子流程示意图；

图4为本申请实施例提供的网络风险监控方法的另一子流程示意图；

图5为本申请实施例提供的网络风险监控方法的另一子流程示意图；

图6为本申请实施例提供的网络风险监控方法的另一流程示意图；

图7为本申请实施例提供的网络风险监控装置的示意性框图；

图8为本申请实施例提供的网络风险监控装置的子单元示意性框图；

图9为本申请实施例提供的网络风险监控装置的另一子单元示意性框图；

图10为本申请实施例提供的网络风险监控装置的另一子单元示意性框图；

图11为本申请实施例提供的网络风险监控装置的另一示意性框图；

图12为本申请实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1，图1是本申请实施例提供的网络风险监控方法的示意流程图，图2为本申请实施例提供的网络威胁监控方法的应用场景示意图，该网络风险监控方法应用于管理服务器10中，该方法通过安装于管理服务器10中的应用软件进行执行，多台用户终端20通过接入互联网对管理服务器10进行网络访问。其中，用户终端20是具有接入互联网功能的终端设备，例如台式电脑、笔记本电脑、平板电脑或手机等；管理服务器10是用于为互联网用户(用户终端20的使用者)提供网络访问的企业终端。

如图1所示，该方法包括步骤S101～S105。

S101、对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息。

对网络访问进行实时监控以生成访问日志，对所生成的访问日志进行存储。其中，网络访问即是互联网用户通过用户终端与管理服务器之间进行数据交互的过程，对网络访问进行实时监控也即是对用户终端与管理服务器进行数据交互的过程进行实时监控，对用户终端与管理服务器进行数据的交互过程进行记录即是生成访问日志，对所生成的访问日志进行存储，以使管理服务器能够获取已存储的访问日志并进行分析。

其中，访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息，具体的日志项目包括日志编号、用户名、账号、源地址、目的地址、访问时间、日志类型、网络流量、安全级别、攻击类型等。其中，日志编号即是所生成的访问日志的编号信息，通过日志编号可对访问日志进行读取和识别；用户名即是互联网用户在管理服务器中预存的真实姓名，通过用户名可了解每一个网络访问所对应的个人；账号即是互联网用户登录管理服务器所使用的账号信息；源地址即是互联网用户发起网络访问的地址信息，也即是互联网用户所使用的用户终端接入互联网的IP地址；目的地址即是互联网用户所访问的管理服务器中主机的IP地址；访问时间即是发起网络访问的时间信息；日志类型即是对日志类型进行标识的信息；网络流量即是网络访问进行交互的数据流量信息；安全级别即是对网络访问的安全性进行分类的标识信息；攻击类型即是网络访问对管理服务器进行网络攻击的类型信息。

S102、根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志。

获取访问日志中具体的项目信息，根据项目信息对访问日志的类型进行识别，具体的，访问日志的类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志。其中，项目信息即是访问日志中相应日志项目的具体内容，标签即是在访问日志的日志项目中添加的对网络访问的特征进行描述的信息。由于网络访问具有各种不同的特征，管理服务器在生成访问日志时会在部分访问日志的项目信息中添加已知的标签，因此通过项目信息即可判断访问日志中的日志项目是否具有标签，进而判断访问日志中是否 包含有标签。若访问日志中包含具有标签的日志项目，也即是第一类访问日志，则采用贝叶斯分类算法对访问日志进行风险分级；若访问日志中不包含具有标签的日志项目，也即是第二类访问日志，则采用KMeans聚类算法对访问日志进行风险分级。

管理服务器在对网络访问进行监控的过程中，部分网络访问在生成访问日志时，日志类型、安全级别及攻击类型等日志项目中均可添加已知的标签。具体的，日志类型的标签包括：业务日志、审批日志、财务日志、管理日志、系统维护日志；安全级别的标签包括：告警、拦截、提示、安全；攻击类型的标签包括：跨站、撞库、DDOS。

例如，获取得到访问日志的具体信息如表1所示。

表1

如表1中所示，日志编号为10011的访问日志中，日志类型、安全级别及攻击类型三个日志项目的项目信息中包含已知的标签，则日志编号为10011的访问日志的项目信息中包含标签，也即该访问日志的日志项目中具有标签，日志编号为10016的访问日志中，所有的日志项目的项目信息中均不包含已知的 标签，则日志编号为10016的访问日志的项目信息中不包含标签，也即该访问日志的日志项目中不具有标签。

在本实施例中，通过项目信息判断访问日志中的日志项目是否具有标签，根据访问日志中是否包含具有标签的项目信息对访问日志的类型进行判断，并通过不同的算法对不同类的访问日志进行风险分级，能够根据访问日志的特点针对性地进行风险分级，大幅提高风险分级的速度，在实际应用中具有非常良好的使用效果。

S103、若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级。

若所述访问日志为第一类访问日志，获取预设的标签分类规则，通过贝叶斯分类算法结合标签分类规则对包含标签的访问日志进行风险分级，根据风险分级结果获取与第一类访问日志相对应的网络访问的风险等级。

具体的，预设的标签分类规则中包含标签与风险等级的映射关系，因此可通过贝叶斯分类算法结合标签与风险等级的映射关系，对包含标签的访问日志进行风险分级，根据风险分级结果获取与访问日志相对应的网络访问的风险等级。

在一实施例中，如图3所示，步骤S103包括子步骤S1031和S1032。

S1031、获取标签分类规则中预设的风险等级与标签的映射关系，根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率。

获取标签分类规则中风险等级与标签的映射关系，其中，同一风险等级映射一个或多个标签。将访问日志中包含的标签与风险等级所映射的标签相匹配，获取访问日志与风险等级中相同标签的数量，计算相同标签的数量与风险等级所映射的标签总数的商值，即是访问日志与风险等级的匹配概率。

例如，预设的标签分类规则中包含四个风险等级以及与四个风险等级相映射的标签。“风险等级极高”与“撞库、告警、财务日志”相映射；“风险等级较高”与“DDOS、拦截、系统维护日志”相映射；“风险等级中等”与“跨站、提示、管理日志”相映射；“风险等级较低”与“业务日志、审批日志、安全”相映射。

如表1所示，日志编号为10012的访问日志中包含的标签为“业务日志、 安全”，通过贝叶斯分类算法结合映射关系，该访问日志与风险等级极高不具有相同标签，计算得到该访问日志与风险等级极高的匹配概率为0/3＝0，则与风险等级较高的匹配概率为0/3＝0；与风险等级中等的匹配概率为0/3＝0％，该访问日志与风险等级较低中相同标签的数量为2个，风险等级较低所映射的标签总数为3个，则与风险等级较低的匹配概率为2/3＝66.67。通过类似的方法可计算得到多个访问日志分别与四个风险等级的匹配概率。

S1032、从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。

获取访问日志与风险等级的匹配概率，选择匹配概率最高的风险等级作为与访问日志相对应的网络访问的风险等级。由于访问日志与多个风险等级之间的匹配概率各不相同，因此可选择匹配概率最高的风险等级作为与访问日志相对应的网络访问的风险等级。若访问日志与某一风险等级的匹配概率最高，则表明该访问日志与这一风险等级的契合度最高，即可将访问日志对应的网络访问归入这一风险等级。

例如，日志编号为10012的访问日志与风险等级极高的匹配概率为0，与风险等级较高的匹配概率为0，与风险等级中等的匹配概率为0，与风险等级较低的匹配概率为66.67％；该访问日志与风险等级较低的匹配概率最高，则选择风险等级较低作为与访问日志对应的网络访问的风险等级。

S104、若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级。

若所述访问日志为第二类访问日志，并通过KMeans聚类算法对第二类访问日志中的日志项目进行归类，根据日志项目的归类结果获取与访问日志相对应的网络访问的风险等级。

具体的，需通过KMeans聚类算法结合预设的参考点和预设相似值计算得到日志项目的基准范围，并根据基准范围判断访问日志中相应日志项目是否超出基准范围以对日志项目进行归类，统计访问日志中超出基准范围的日志项目数量，并根据超出基准范围的日志项目数量确定与访问日志相对应的网络访问的风险等级。

在一实施例中，如图4所示，步骤S104包括子步骤S1041、S1042、S1043和S1044。

S1041、通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围。

通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围，并根据得到的基准范围。其中，对同一日志项目进行归类时，将超出基准范围的日志项目归为第一类，将未超出基准范围的日志项目归为第二类。项目参考点即是访问日志中日志项目的参考值，预设相似值即是与项目参考点之间的近似程度，基准范围即是与项目参考点的近似程度大于预设相似值所组成的集合。

例如，针对访问日志中的网络流量，预设的项目参考点为25kb，预设相似值为25％，则计算得到的基准范围即是与项目参考点的近似程度大于25％的项目信息所组成的集合，则基准范围的最小值为(1-(1-0.25))×25kb，基准范围的最大值为(1+(1-0.75))×25kb，基准范围为大于等于6.25kb、小于等于43.25kb。

S1042、根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果。

根据得到的基准范围，判断访问日志中相应日志项目是否超出基准范围以对日志项目进行归类，从而得到日志项目的归类结果。

例如，根据上述基准范围对表1中的网络流量这一日志项目进行归类得到的归类结果中，日志编号为10015的网络流量120kb超出基准范围，日志编号为10017的网络流量83kb超出基准范围。

S1043、根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果。

根据日志项目的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果。

例如，编号为10016的访问日志中有3个日志项目超出了基准范围；编号为10017的访问日志中有2个日志项目超出了基准范围；编号为10018的访问日志中有1个日志项目超出了基准范围。

S1044、根据所述数量统计结果确定与第二类访问日志相对应的网络访问的 风险等级。

根据统计得到的超出基准范围的日志项目数量确定访问日志相对应的网络访问的风险等级，超出基准范围的日志项目数量越多，则访问日志相对应的网络访问的风险等级越高。

例如，对访问日志进行风险分级的结果包含四个风险等级，“风险等级极高”对应访问日志中超出基准范围的日志项目不小于3个，“风险等级较高”对应访问日志中超出基准范围的日志项目为2个，“风险等级中等”对应访问日志中超出基准范围的日志项目为1个，“风险等级较低”对应访问日志中不包含超出基准范围的日志项目。根据上述数量统计结果对网络访问进行风险分级的结果为，则编号为10016的访问日志相对应的网络访问风险等级为“风险等级极高”；编号为10017的访问日志相对应的网络访问风险等级为“风险等级较高”；编号为10018的访问日志相对应的网络访问风险等级为“风险等级中等”。

S105、根据所得到的网络访问的风险等级发出相应的报警提示信息。

在得到网络访问的风险等级后，可根据所得到的网络访问的风险等级对网络访问进行排序，根据排序结果对具有不同风险等级的网络访问分别发出相应的报警提示信息。

在一实施例中，如图5所示，步骤S105包括子步骤S1051和S1052。

S1051、根据所得到的风险等级对网络访问进行排序。

在得到网络访问的风险等级后，可根据网络访问的风险等级对网络访问进行排序，将具有最高风险等级的网络访问排在最前面。

S1052、从具有最高风险等级的网络访问开始依次发出报警提示信息。

根据排序结果从具有最高风险等级的网络访问开始，发出报警提示信息，而风险等级不高的网络访问则最后发出报警提示信息，无风险等级以及风险等级较低的网络访问，则无需发出报警提示信息。由于具有最高风险等级的网络访问需优先发出报警提示信息，提示管理员尽快对高风险等级的网络访问进行查证和处理。

在一实施例中，如图6所示，步骤S101之后还包括步骤S1001、S1002、S1003和S1004。

S1001、获取访问日志中的账号及访问时间。

获取访问日志中的账号及访问时间。其中，账号即是互联网用户登录管理服务器所使用的账号信息，访问时间即是发起网络访问的时间信息。

S1002、对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果。

根据预设的单位时间段对同一账号的访问次数进行统计。单位时间段即是预设的一个时间段，例如，单位时间段可预设为10分钟、20分钟或30分钟。

S1003、根据所述次数统计结果计算得到账号的访问次数阈值。

结合中位数、平均数、方差或修正方差等计算方法对统计结果进行计算以得到账号的访问次数阈值。统计单位时间段内同一账号的访问次数，并结合中位数、平均数、方差或修正方差等计算方法，即可计算得到账号的访问次数阈值。

S1004、根据所述访问次数阈值对所述账号的当前网络访问进行监控。

根据访问次数阈值对账号的当前网络访问进行监控。具体的，若单位时间段内账号的网络访问次数超出账号的访问次数阈值，则表明当前账号存在异常访问行为，向管理员发出报警提示信息；若单位时间段内账号的网络访问次数未超出账号的访问次数阈值，则不会发出报警提示信息。

例如，统计10个单位时间段内账号XSJ的访问次数依次为：5、3、0、7、6、9、8、5、6、3。通过中位数计算得到账号XSJ的访问次数阈值为5.5，则可根据访问次数阈值5.5对账号XSJ的当前网络访问进行监控。若在单位时间段内，账号XSJ的访问次数超过5.5次，则表明账号XSJ存在异常的网络访问行为，向管理员发出报警提示信息。

在一实施例中，步骤S101之后还包括步骤：获取访问日志中的目的地址及主机日志中的服务器地址，通过Apriori算法对目的地址与服务器地址是否存在关联进行分析，若目的地址与服务器地址存在关联则发出报警提示信息。

主机日志即是管理服务器中主机端所记载的日志信息。获取访问日志中的目的地址，以及主机日志中的服务器地址，通过Apriori算法对目的地址与服务器地址是否存在关联进行分析，若目的地址与服务器地址存在关联，则表明该服务器具有被入侵的风险，需向管理员发出报警提示信息。

通过对访问日志中的日志项目是否具有标签进行判断，根据访问日志的特点采用不同的分类算法对访问日志进行风险分级，通过不同的算法对不同类的 访问日志进行风险分级，能够访问日志的特点进行针对性地风险分级，大幅提高风险分级的速度，提高了对网络风险的监控效率。

本申请实施例还提供一种网络风险监控装置，该网络风险监控装置用于执行前述网络风险监控方法的任一实施例。具体地，请参阅图7，图7是本申请实施例提供的网络风险监控装置的示意性框图。网络风险监控装置100可以配置于管理服务器10中。

如图7所示，网络风险监控装置100包括网络访问监控单元101、标签判断单元102、第一分级单元103、第二分级单元104、报警提示单元105。

网络访问监控单元101，用于对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息。

标签判断单元102，用于根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志。

第一分级单元103，用于若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级。

其他申请实施例中，如图8所示，所述第一分级单元103包括子单元：匹配概率计算单元1031、风险等级选择单元1032。

匹配概率计算单元1031，用于获取标签分类规则中预设的风险等级与标签的映射关系，根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率。风险等级选择单元1032，用于从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。

第二分级单元104，用于若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级。

其他申请实施例中，如图9所示，所述第二分级单元104包括子单元：基准范围计算单元1041、日志项目归类单元1042、统计单元1043、风险等级获取单元1044。

基准范围计算单元1041，用于通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围。日志项目归类单元1042，用于根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果。统计单元1043，用于根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果。风险等级获取单元1044，用于根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。

报警提示单元105，用于根据所得到的网络访问的风险等级发出相应的报警提示信息。

其他申请实施例中，如图10所示，所述报警提示单元105包括子单元：等级排序单元1051和信息发送单元1052。

等级排序单元1051，用于根据所得到的风险等级对网络访问进行排序。信息发送单元1052，用于从具有最高风险等级的网络访问开始依次发出报警提示信息。

其他申请实施例中，如图11所示，所述网络风险监控装置100还包括子单元：账号及访问时间获取单元1001、访问次数统计单元1002、次数阈值计算单元1003和账号监控单元1004。

账号及访问时间获取单元1001，用于获取访问日志中的账号及访问时间。访问次数统计单元1002，用于对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果。次数阈值计算单元1003，用于根据所述次数统计结果计算得到账号的访问次数阈值。账号监控单元1004，用于根据所述访问次数阈值对所述账号的当前网络访问进行监控。

此外，网络风险监控装置100还包括子单元：地址关联单元。地址关联单元，用于获取访问日志中的目的地址及主机日志中的服务器地址，通过Apriori算法对目的地址与服务器地址是否存在关联进行分析，若目的地址与服务器地址存在关联则发出报警提示信息。

上述网络风险监控装置可以实现为计算机程序的形式，该计算机程序可以在如图12所示的计算机设备上运行。请参阅图12，图12是本申请实施例提供的计算机设备的示意性框图。该计算机设备500设备可以是管理服务器10。

参阅图12，该计算机设备500包括通过系统总线501连接的处理器502、 存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时，可使得处理器502执行网络风险监控方法。该处理器502用于提供计算和控制能力，支撑整个计算机设备500的运行。该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行网络风险监控方法。该网络接口505用于进行网络通信，如为网络访问提供数据流量的传输等。本领域技术人员可以理解，图12中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现本申请实施例的网络风险监控方法。

本领域技术人员可以理解，图12中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定，在其他实施例中，计算机设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。例如，在一些实施例中，计算机设备可以仅包括存储器及处理器，在这样的实施例中，存储器及处理器的结构及功能与图12所示实施例一致，在此不再赘述。

应当理解，在本申请实施例中，处理器502可以是中央处理单元(Central Processing Unit，CPU)，该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

在本申请的另一实施例中提供一种存储介质。该存储介质可以为非易失性的计算机可读存储介质。该存储介质存储有计算机程序，其中计算机程序被处理器执行时实现本申请实施例的网络风险监控方法。所述存储介质可以是前述设备的内部存储单元，例如设备的硬盘或内存。所述存储介质也可以是所述设备的外部存储设备，例如所述设备上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card) 等。进一步地，所述存储介质还可以既包括所述设备的内部存储单元也包括外部存储设备。所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的设备、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (20)

1. 一种网络风险监控方法，包括：

   对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息；

   根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志；

   若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级；

   若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级；

   根据所得到的网络访问的风险等级发出相应的报警提示信息。
2. 根据权利要求1所述的网络风险监控方法，其中，所述通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级，包括：

   获取标签分类规则中预设的风险等级与标签的映射关系，根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率；

   从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
3. 根据权利要求1所述的网络风险监控方法，其中，所述通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级，包括：

   通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围；

   根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果；

   根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统 计以得到数量统计结果；

   根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
4. 根据权利要求1所述的网络风险监控方法，其中，所述根据所得到的网络访问的风险等级发出相应的报警提示信息，包括：

   根据所得到的风险等级对网络访问进行排序；

   从具有最高风险等级的网络访问开始依次发出报警提示信息。
5. 根据权利要求1所述的网络风险监控方法，其中，所述对网络访问进行实时监控以生成访问日志之后，还包括：

   获取访问日志中的账号及访问时间；

   对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果；

   根据所述次数统计结果计算得到账号的访问次数阈值；

   根据所述访问次数阈值对所述账号的当前网络访问进行监控。
6. 一种网络风险监控装置，包括：

   网络访问监控单元，用于对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息；

   标签判断单元，用于根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志；

   第一分级单元，用于若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级；

   第二分级单元，用于若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级；

   报警提示单元，用于根据所得到的网络访问的风险等级发出相应的报警提示信息。
7. 根据权利要求6所述的网络风险监控装置，其中，所述第一分级单元，包 括：

   匹配概率计算单元，用于获取标签分类规则中预设的风险等级与标签的映射关系，根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率；

   风险等级选择单元，用于从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
8. 根据权利要求6所述的网络风险监控装置，其中，所述第二分级单元，包括：

   基准范围计算单元，用于通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围；

   日志项目归类单元，用于根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果；

   统计单元，用于根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果；

   风险等级获取单元，用于根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
9. 根据权利要求6所述的网络风险监控装置，其中，所述报警提示单元，包括：

   等级排序单元，用于根据所得到的风险等级对网络访问进行排序；

   信息发送单元，用于从具有最高风险等级的网络访问开始依次发出报警提示信息。
10. 根据权利要求6所述的网络风险监控装置，其中，还包括：

    账号及访问时间获取单元，用于获取访问日志中的账号及访问时间；

    访问次数统计单元，用于对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果；

    次数阈值计算单元，用于根据所述次数统计结果计算得到账号的访问次数阈值；

    账号监控单元，用于根据所述访问次数阈值对所述账号的当前网络访问进行监控。
11. 一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所 述处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实现以下步骤：

    对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息；

    根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志；

    若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级；

    若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级；

    根据所得到的网络访问的风险等级发出相应的报警提示信息。
12. 根据权利要求11所述的计算机设备，其中，所述通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级，包括：

    获取标签分类规则中预设的风险等级与标签的映射关系，根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率；

    从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
13. 根据权利要求11所述的计算机设备，其中，所述通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级，包括：

    通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围；

    根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果；

    根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果；

    根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
14. 根据权利要求11所述的计算机设备，其中，所述根据所得到的网络访问的风险等级发出相应的报警提示信息，包括：

    根据所得到的风险等级对网络访问进行排序；

    从具有最高风险等级的网络访问开始依次发出报警提示信息。
15. 根据权利要求11所述的计算机设备，其中，所述对网络访问进行实时监控以生成访问日志之后，还包括：

    获取访问日志中的账号及访问时间；

    对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果；

    根据所述次数统计结果计算得到账号的访问次数阈值；

    根据所述访问次数阈值对所述账号的当前网络访问进行监控。
16. 一种存储介质，其中，所述存储介质存储有计算机程序，所述计算机程序当被处理器执行时使所述处理器执行以下步骤：

    对网络访问进行实时监控以生成访问日志，所述访问日志中包含多个日志项目，所述日志项目所包含的具体内容为项目信息；

    根据访问日志中的项目信息识别访问日志的类型，所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志；

    若所述访问日志为第一类访问日志，通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级；

    若所述访问日志为第二类访问日志，通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级；

    根据所得到的网络访问的风险等级发出相应的报警提示信息。
17. 根据权利要求16所述的存储介质，其中，所述通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级，以得到与所述第一类访问日志相对应的网络访问的风险等级，包括：

    获取标签分类规则中预设的风险等级与标签的映射关系，根据映射关系结 合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率；

    从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
18. 根据权利要求16所述的存储介质，其中，所述通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类，根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级，包括：

    通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围；

    根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果；

    根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果；

    根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
19. 根据权利要求16所述的存储介质，其中，所述根据所得到的网络访问的风险等级发出相应的报警提示信息，包括：

    根据所得到的风险等级对网络访问进行排序；

    从具有最高风险等级的网络访问开始依次发出报警提示信息。
20. 根据权利要求16所述的存储介质，其中，所述对网络访问进行实时监控以生成访问日志之后，还包括：

    获取访问日志中的账号及访问时间；

    对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果；

    根据所述次数统计结果计算得到账号的访问次数阈值；

    根据所述访问次数阈值对所述账号的当前网络访问进行监控。

Images