[发明专利]风险控制方法和系统

权利要求书

1.一种风险控制方法，其特征在于，所述方法包括：

根据采集到的前端拍摄设备的设备状态信息、设备配置信息和至少一个拍摄区域所在网络的不同监控时刻的业务流量数据，进行基于预设的指标维度的态势要素提取，得到每个所述指标维度对应的态势要素；

根据所述至少一个拍摄区域所在网络的不同监控时刻的业务流量数据和每个所述指标维度对应的态势要素进行安全态势评估，得到安全态势评估结果；

在所述安全态势评估结果为存在安全威胁的情况下，则获取所述安全威胁对应的告警数据，结合所述告警数据和每个所述指标维度对应的态势要素进行网络攻击行为分析，以根据分析结果进行风险控制；

其中，所述根据所述至少一个拍摄区域所在网络的不同监控时刻的业务流量数据和每个所述指标维度对应的态势要素进行安全态势评估，得到安全态势评估结果，包括：

利用预先构建的业务流量特征模型处理所述业务流量数据，得到所述至少一个拍摄区域的不同监控时刻的业务流量特征值；

计算所述业务流量特征值与预设安全情况下的流量特征值之间的特征差异值，并确定符合预定告警条件的特征差异值所对应的业务流量特征值；

对符合预定告警条件的特征差异值所对应的业务流量特征值进行安全态势评估，得到安全态势评估结果。

2.根据权利要求1所述的方法，其特征在于，在利用预先构建的业务流量特征模型处理所述业务流量数据，得到所述至少一个拍摄区域的不同监控时刻的业务流量特征值之前，所述方法还包括：

利用网络探针的方式，采集每个拍摄区域所在网络中网卡设备中的报文数据；

根据采集的所述报文数据进行流量分析，得到所述网络中至少一条通信链路在预定监控时刻的业务流量特征值；

构建所述每个拍摄区域所在网络的业务流量特征模型；其中，所述业务流量特征模型用于表征：所述每个拍摄区域所在网络的每个监控时刻的业务流量特征值，与所述至少一条通信链路在所述每个监控时刻的业务流量特征值之间的对应关系。

3.根据权利要求1所述的方法，其特征在于，所述计算所述业务流量特征值与预设安全情况下的流量特征值之间的特征差异值，包括：

针对所述每个拍摄区域，从所述业务流量数据中获取不同监控时刻的业务流量特征值，分别绘制所述不同监控时刻的业务流量特征曲线；

根据所述不同监控时刻的业务流量特征曲线和预设安全情况下的业务流量特征曲线，分别计算所述不同监控时刻的业务流量特征值与所述预设安全情况下的业务流量特征值之间的特征差异值。

4.根据权利要求1所述的方法，其特征在于，所述告警数据包括网络攻击类型和攻击等级；所述对符合预定告警条件的特征差异值所对应的业务流量特征值进行安全态势评估，得到安全态势评估结果，包括：

获取大于预设误差阈值的特征差异值所对应拍摄区域和所对应监控时刻的业务流量特征值，作为存在安全威胁的拍摄区域和存在安全威胁的监控时刻的业务流量特征值；

对所述存在安全威胁的拍摄区域和存在安全威胁的监控时刻的业务流量特征值进行安全态势评估，得到网络攻击类型和攻击等级；

生成与所述网络攻击类型和攻击等级对应的告警数据，作为所述安全态势评估结果，并确定所述安全态势评估结果为存在安全威胁。

5.根据权利要求1所述的方法，其特征在于，所述结合所述告警数据和每个所述指标维度对应的态势要素进行网络攻击行为分析，以根据分析结果进行风险控制，包括：

对每个所述指标维度对应的态势要素进行量化处理；

按照预设的每个所述指标维度对应的态势要素的权重值，对所述量化处理的结果进行权重分配，得到每个所述指标维度的观测序列的量化值；

根据预先确定的攻击步骤与所述告警数据和所述量化值之间的关联关系，确定对应的攻击环节和攻击步骤；

生成与所述攻击环节和所述攻击步骤对应的风险预警信息，以根据所述风险预警信息进行风险控制。