一种基于网络安全策略的网络行为检测方法及相关装置与流程

1.本技术涉及网络安全技术领域，尤其涉及一种基于网络安全策略的网络行为检测方法及相关装置。

背景技术：

2.电力监控系统已经部署了许多网络安全的防护设备以及防护系统，如web应用防火墙、入侵检测系统、网络流量回溯分析系统等等，基本能对网络中的行为和数据精准识别，并对其中的威胁进行甄别，并采取相应的网络安全策略。
3.但是现有的网络安全策略主要基于两点配置，一是用户自身基于业务需要进行的网络安全策略设置，二是基于业界公开的网络安全漏洞进行的网络安全策略设置；但是这两个出发点会存在冲突，通常是修改用户的网络安全策略，按照业界公开的网络安全漏洞进行网络安全策略设置。但是，这样一来就容易导致一些尚未公开的安全漏洞的攻击无法被检测到，使得系统遭受攻击，降低了系统的网络安全性能。

技术实现要素：

4.本技术提供了一种基于网络安全策略的网络行为检测方法及相关装置，用于解决现有网络安全策略无法应对尚未公开的安全漏洞的攻击，导致系统安全性能较差的技术问题。
5.有鉴于此，本技术第一方面提供了一种基于网络安全策略的网络行为检测方法，包括：
6.若待检测网络行为在预置网络安全策略白名单中，且所述待检测网络行为不在预置网络行为特征白名单中，则判断所述待检测网络行为是否处于窗口期范围内，若是，则则所述待检测网络行为审核通过；
7.若所述待检测网络行为超出所述窗口期范围，则判断所述待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截所述待检测网络行为，所述人工审核阶段为判断所述待检测网络行为是否满足预置审核规则。
8.优选地，所述若待检测网络行为在预置网络安全策略白名单中，且所述待检测网络行为不在预置网络行为特征白名单中，则判断所述待检测网络行为是否处于窗口期，若是，则则所述待检测网络行为审核通过，还包括：
9.若所述待检测网络行为在所述预置网络安全策略白名单中，且所述待检测网络行为在所述预置网络行为特征白名单中，则所述待检测网络行为审核通过。
10.优选地，所述若所述待检测网络行为超出所述窗口期范围，则判断所述待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截所述待检测网络行为，包括：
11.若所述待检测网络行为超出所述窗口期范围，则基于预置时间权重统计所述待检测网络行为的行为频数；
12.判断所述行为频数是否符合正态分布，若是，则所述待检测网络行为已形成网络行为特征，并进行人工审核阶段，若否，则所述待检测网络行为未形成网络行为特征，并拦截所述待检测网络行为。
13.优选地，所述所述人工审核阶段具体为：
14.判断所述待检测网络行为是否满足预置审核规则，若是，则将所述待检测网络行为列入所述预置网络行为特征白名单中，且所述待检测网络行为审核通过，若否，则拦截所述待检测网络行为。
15.本技术第二方面提供了一种基于网络安全策略的网络行为检测装置，包括：
16.第一检测判断模块，用于若待检测网络行为在预置网络安全策略白名单中，且所述待检测网络行为不在预置网络行为特征白名单中，则判断所述待检测网络行为是否处于窗口期范围内，若是，则则所述待检测网络行为审核通过；
17.第二检测判断模块，用于若所述待检测网络行为超出所述窗口期范围，则判断所述待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截所述待检测网络行为，所述人工审核阶段为判断所述待检测网络行为是否满足预置审核规则。
18.优选地，还包括：
19.双核通过模块，用于若所述待检测网络行为在所述预置网络安全策略白名单中，且所述待检测网络行为在所述预置网络行为特征白名单中，则所述待检测网络行为审核通过。
20.优选地，所述第二检测判断模块，具体用于：
21.若所述待检测网络行为超出所述窗口期范围，则基于预置时间权重统计所述待检测网络行为的行为频数；
22.判断所述行为频数是否符合正态分布，若是，则所述待检测网络行为已形成网络行为特征，并进行人工审核阶段，若否，则所述待检测网络行为未形成网络行为特征，并拦截所述待检测网络行为。
23.优选地，所述所述人工审核阶段具体为：
24.判断所述待检测网络行为是否满足预置审核规则，若是，则将所述待检测网络行为列入所述预置网络行为特征白名单中，且所述待检测网络行为审核通过，若否，则拦截所述待检测网络行为。
25.本技术第三方面提供了一种基于网络安全策略的网络行为检测设备，所述设备包括处理器以及存储器；
26.所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；
27.所述处理器用于根据所述程序代码中的指令执行第一方面所述的基于网络安全策略的网络行为检测方法。
28.本技术第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面所述的基于网络安全策略的网络行为检测方法
29.从以上技术方案可以看出，本技术实施例具有以下优点：
30.本技术中，提供了一种基于网络安全策略的网络行为检测方法，包括：若待检测网络行为在预置网络安全策略白名单中，且待检测网络行为不在预置网络行为特征白名单
中，则判断待检测网络行为是否处于窗口期范围内，若是，则则待检测网络行为审核通过；若待检测网络行为超出窗口期范围，则判断待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截待检测网络行为，人工审核阶段为判断待检测网络行为是否满足预置审核规则。
31.本技术提供的基于网络安全策略的网络行为检测方法，通过对待检测网络行为进行判断分析的方式提升系统对未知网络安全漏洞的防御能力；通过无差别判断的方式能够将网络行为约束在确定的时间、行为内容上，从而提升防御能力；而且安全漏洞的攻击行为被压缩到固定的网络行为中能够增强问题的定位能力，便于针对性的排除漏洞。因此，本技术能够解决现有网络安全策略无法应对尚未公开的安全漏洞的攻击，导致系统安全性能较差的技术问题。
附图说明
32.图1为本技术实施例提供的一种基于网络安全策略的网络行为检测方法的流程示意图；
33.图2为本技术实施例提供的一种基于网络安全策略的网络行为检测装置的结构示意图；
34.图3为本技术实施例提供的基于网络安全策略的网络行为具体审核过程示意图。
具体实施方式
35.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
36.为了便于理解，请参阅图1，本技术提供的一种基于网络安全策略的网络行为检测方法的实施例，包括：
37.步骤101、若待检测网络行为在预置网络安全策略白名单中，且待检测网络行为不在预置网络行为特征白名单中，则判断待检测网络行为是否处于窗口期范围内，若是，则则待检测网络行为审核通过。
38.进一步地，步骤101，还包括：
39.若待检测网络行为在预置网络安全策略白名单中，且待检测网络行为在预置网络行为特征白名单中，则待检测网络行为审核通过。
40.预置网络安全策略白名单为网络路由和端口层面的网络安全策略，一般包括源地址、目的地址、源端口、目的端口，只对网络行为的主体客体进行限定，但没有针对应用层面的网络行为特征进行限制。预置网络行为特征白名单是在原有网络安全策略的基础上补充而来，是系统根据网络行为分析得到的网络行为特征清单，而且均已经通过合法性审核；网络行为特征白名单内容包括但不限于以下内容：网络行为源地址、目的地址、源端口、目的端口、行为的网络数据包特征、行为时间段、行为时间段的最大可访问次数。待检测网络行为是系统中当前检测到的网络行为，可以是一次登录操作，一次访问行为等。待检测网络行为的对象特征包括源地址、目的地址、源端口、目的端口；根据对象特征可以明确行为的主
题和客体；网络行为的网络数据包特征是行为的本质，由网络安全设备分析网络行为数据包后得出，可提取其中的关键字段形成行为的本质特征，能确定行为本身是什么。
41.待检测网络行为只有符合网络行为特征白名单中的网络行为实例才允许实际访问；相反，若是待检测网络行为既在在预置网络安全策略白名单中，也在预置网络行为特征白名单中，则审核通过。
42.判断机制中若是待检测网络行为在预置网络安全策略白名单中，但是不在预置网络行为特征白名单中，则需要进行更深层的判断分析，无法直接通过检测审核。窗口期用于熟悉用户的网络行为特征判断，在窗口期范围内允许待检测网络行为通过，一旦超出窗口期，将按照实际的网络行为特征进行判断，若是在窗口期范围内，则待检测网络行为审核通过。
43.举例说明：若是小明因业务需要已经开通了访问https://10.10.10.10:80的一个业务系统的权限，小明的客户端地址为11.11.11.11，开通的时间范围为上午8时至下午6时。若窗口期内，小明登录过该系统并形成固定的网络行为特征，那么系统在窗口期结束后将按网络行为特征白名单限制小明的网络行为。如果窗口期内小明从未登录过该系统。此时，用户设置的网络安全策略白名单内有一条记录，记录源地址为11.11.11.11，端口any，访问目的地址10.10.10.10，端口80，时间段为上午8时至下午6时。因小明从未登录该业务系统，所以尚未在网络行为特征白名单中出现，所以默认被拦截。拦截期间，小明如果不断访问https://10.10.10.10:80并形成了固定模式，将被系统发现并提交人工审核确认，通过后小明将可以在固定模式范围内正常访问https://10.10.10.10:80。
44.步骤102、若待检测网络行为超出窗口期范围，则判断待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截待检测网络行为，人工审核阶段为判断待检测网络行为是否满足预置审核规则。
45.进一步地，步骤102，包括：
46.若待检测网络行为超出窗口期范围，则基于预置时间权重统计待检测网络行为的行为频数；
47.判断行为频数是否符合正态分布，若是，则待检测网络行为已形成网络行为特征，并进行人工审核阶段，若否，则待检测网络行为未形成网络行为特征，并拦截待检测网络行为。
48.进一步地，人工审核阶段具体为：
49.判断待检测网络行为是否满足预置审核规则，若是，则将待检测网络行为列入预置网络行为特征白名单中，且待检测网络行为审核通过，若否，则拦截待检测网络行为。
50.需要说明的是，若待检测网络行为超出窗口期范围，则需要对当前的待检测网络行为进行具体判断，即是否形成网络行为特征。针对某一个待检测网络行为a，其源地址、目的地址、源端口、目的端口以及行为的网络数据包特征是确定的，而以时间为基准，则可以得到多个这样的待检测网络行为，进而形成网络行为样本集。可以理解，相同用户在不同时间的网络行为也可以形成不同的待检测网络行为；因此，可以对网络行为样本集进行时间段划分，例如近三个月，三个月至半年，半年以前三个时间段；然后按照时间段设定网络行为对应的权重，即预置时间权重k，例如，近三个月的权重值为1，三个月至半年的权重为0.5，半年以前的权重为0.2；然后根据预置时间权重统计网络行为的频数，即行为频数；最
后判断行为频数是否符合正态分布即可，符合即已经形成了网络行为特征，否则未形成。
51.一天0至24小时，按照每半小时一段划分为48段。统计每段时间内考虑权重发生“登录账号”行为的次数。比如“登录账号”行为a1发生在昨日下午2时，其权重k1为1，那么在2时至2时30分时间段内记1次登录次数；“登录账号”行为a2发生在去年今天下午4时，其权重k2为0.2，那么在4时至4时30分时间段内记0.2次登录次数；最终计算出网络行为样本集a的0至24小时48段的行为频数分布特征。若48段的行为频数分布特征的任意连续部分按照ks检验符合正态分布，即判断网络行为a在该连续时间段内形成了网络行为特征，否则判断网络行为a尚未形成网络行为特征。
52.例如：小明“登录账号”网络行为样本a分别在9时至11时4个连续时间段内的部分按照ks检验符合正态分布，在下午2时至5时6个连续时间段按照ks检验符合正态分布，那么判断网络行为a在上述时段形成网络行为特征。若样本a未在0至24小时内任意连续时间段内按照ks检验符合正态分，判断网络行为a尚未形成网络行为特征。也就是说，判断的周期是一个连续时间段，因为需要获取到可以分析频数分布的频数数据，才能进行状态分布判定。
53.人工审核阶段可以决定是否能将未在白名单中的未知网络行为列入报名单中，即是否可以将待检测网络行为列入预置网络行为特征白名单。预置审核规则可以根据实际情况设定，一旦设定则最好不要随意调整，确保审核的客观性和准确性。本实施例中的预置审核规则包括但不限于与终端用户确认待检测网络行为是否为本人行为；审核终端用户是否被劫持或远程操作；根据历史网络行为与终端用户确认待检测网络行为均为用户操作。还可以配置其他的审核规则，具体的不作限定。
54.如果将上述所有的检测判断过程整合起来则可以得到如图3所示的完整判断过程，对于任何一条检测到的网络行为，首先均是判断是否在网络安全策略白名单中，是否在网络行为特征白名单中；然后再判断是否处于窗口期，以及是否形成网络特征行为；最后针对不在网络行为特征白名单中的网络行为进行人工审核，判断是否可以列入网络行为特征白名单中；结论是判定成功则通过检测审核，否则拦截该网络行为。
55.此外需要说明的是，将待检测网络行为列入预置网络行为特征白名单可以实现网络行为特征白名单的动态更新，更新的网络行为特征白名单网络行为源地址、目的地址、源端口、目的端口、行为的网络数据包特征从网络行为特征中获得。例如小明“登录账号”网络行为a，白名单中记录为源地址为11.11.11.11，端口any，访问目的地址10.10.10.10，端口80，行为的网络数据包特征是“登录账号”。而网络行为特征白名单中的行为时间段从形成网络行为特征的时间段继承。例如小明“登录账号”网络行为a，在分别在上午9时至11时4个连续时间段，下午2时至5时6个连续时间段满足ks检验，具有正态分布特征，那么白名单中的行为时间段记录为上午9时至11时，下午2时至5时。相应的，行为时间段内的最大可访问次数计算过程是：在形成网络行为特征的时间段内，计算网络行为发生时间的均值a
avg
和标准差a
σ
，在[a
avg-2a
σ
，a
avg
+2a
σ
]范围内的数据取单日最大访问次数乘以行为时间段内各个时间段的统计分布概率得到行为时间段内的各个时间段的最大可访问次数，一般取整作为最终结果。
[0056]
例如小明“登录账号”网络行为a在9时至11时4个连续时间段内的数据计算得到a
avg
＝10时10分，标准差a
σ
＝25分钟，那么在[a
avg-2a
σ
，a
avg
+2a
σ
]范围内即上午9时20分至11
时范围内的数据，即有历史记录以来，所有发生在9时20分至11时的小明“登录账号”网络行为组成集合，取其中单日最大访问次数(考虑权重k)。如小明曾在上周一在上午9时20分至11时范围内“登录账号”10次，在4个月前的周一在上午9时20分至11时范围内“登录账号”22次，那么单日最大访问次数就记为11次(22
×
0.5》10
×
1)。
[0057]
细分至9时至11时的4个连续时间段内，假设在9时20分至11时一共发生小明“登录账号”网络行为1000次，在9时20分至9时30分发生50次，在9时30分至10时发生150次，在10时至10时30分发生600次，在10时30分至11时发生200次。那么在9时至9时30分时段内，最大访问次数为11*50/1000＝0.55次(1次)；在9时30分至10时范围内，最大访问次数为11*150/1000＝1.65次(2次)；在10时至10时30分范围内，最大访问次数为11*600/1000＝6.6次(7次)；在10时30分至11时范围内，最大访问次数为11*200/1000＝2.2次(2次)。最终形成网络行为特征白名单。
[0058]
以上述小明“登录账号”行为为例，最终白名单形式为源地址11.11.11.11，端口any，访问目的地址10.10.10.10，端口80，行为的网络数据包特征是“登录账号”，行为时间段上午9时至11时，其中9时至9时30分最大访问次数为1次，9时30分至10时最大访问次数2次，10时至10时30分最大访问次数7次，10时30分至11时最大访问次数2次。下午2时至5时以此类推。
[0059]
本技术实施例提供的基于网络安全策略的网络行为检测方法，通过对待检测网络行为进行判断分析的方式提升系统对未知网络安全漏洞的防御能力；通过无差别判断的方式能够将网络行为约束在确定的时间、行为内容上，从而提升防御能力；而且安全漏洞的攻击行为被压缩到固定的网络行为中能够增强问题的定位能力，便于针对性的排除漏洞。因此，本技术实施例能够解决现有网络安全策略无法应对尚未公开的安全漏洞的攻击，导致系统安全性能较差的技术问题。
[0060]
为了便于理解，请参阅图2，本技术提供了一种基于网络安全策略的网络行为检测装置的实施例，包括：
[0061]
第一检测判断模块201，用于若待检测网络行为在预置网络安全策略白名单中，且待检测网络行为不在预置网络行为特征白名单中，则判断待检测网络行为是否处于窗口期范围内，若是，则则待检测网络行为审核通过；
[0062]
第二检测判断模块202，用于若待检测网络行为超出窗口期范围，则判断待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截待检测网络行为，人工审核阶段为判断待检测网络行为是否满足预置审核规则。
[0063]
进一步地，还包括：
[0064]
双核通过模块203，用于若待检测网络行为在预置网络安全策略白名单中，且待检测网络行为在预置网络行为特征白名单中，则待检测网络行为审核通过。
[0065]
进一步地，第二检测判断模块202，具体用于：
[0066]
若待检测网络行为超出窗口期范围，则基于预置时间权重统计待检测网络行为的行为频数；
[0067]
判断行为频数是否符合正态分布，若是，则待检测网络行为已形成网络行为特征，并进行人工审核阶段，若否，则待检测网络行为未形成网络行为特征，并拦截待检测网络行为。
[0068]
进一步地，人工审核阶段具体为：
[0069]
判断待检测网络行为是否满足预置审核规则，若是，则将待检测网络行为列入预置网络行为特征白名单中，且待检测网络行为审核通过，若否，则拦截待检测网络行为。
[0070]
本技术还提供了一种基于网络安全策略的网络行为检测设备，设备包括处理器以及存储器；
[0071]
存储器用于存储程序代码，并将程序代码传输给处理器；
[0072]
处理器用于根据程序代码中的指令执行上述方法实施例中的基于网络安全策略的网络行为检测方法。
[0073]
本技术还提供了一种计算机可读存储介质，计算机可读存储介质用于存储程序代码，程序代码用于执行上述方法实施例中的基于网络安全策略的网络行为检测方法。
[0074]
在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0075]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0076]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0077]
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以通过一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(英文全称：read-only memory，英文缩写：rom)、随机存取存储器(英文全称：randomaccess memory，英文缩写：ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0078]
以上所述，以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。

技术特征：

1.一种基于网络安全策略的网络行为检测方法，其特征在于，包括：若待检测网络行为在预置网络安全策略白名单中，且所述待检测网络行为不在预置网络行为特征白名单中，则判断所述待检测网络行为是否处于窗口期范围内，若是，则则所述待检测网络行为审核通过；若所述待检测网络行为超出所述窗口期范围，则判断所述待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截所述待检测网络行为，所述人工审核阶段为判断所述待检测网络行为是否满足预置审核规则。2.根据权利要求1所述的基于网络安全策略的网络行为检测方法，其特征在于，所述若待检测网络行为在预置网络安全策略白名单中，且所述待检测网络行为不在预置网络行为特征白名单中，则判断所述待检测网络行为是否处于窗口期，若是，则则所述待检测网络行为审核通过，还包括：若所述待检测网络行为在所述预置网络安全策略白名单中，且所述待检测网络行为在所述预置网络行为特征白名单中，则所述待检测网络行为审核通过。3.根据权利要求1所述的基于网络安全策略的网络行为检测方法，其特征在于，所述若所述待检测网络行为超出所述窗口期范围，则判断所述待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截所述待检测网络行为，包括：若所述待检测网络行为超出所述窗口期范围，则基于预置时间权重统计所述待检测网络行为的行为频数；判断所述行为频数是否符合正态分布，若是，则所述待检测网络行为已形成网络行为特征，并进行人工审核阶段，若否，则所述待检测网络行为未形成网络行为特征，并拦截所述待检测网络行为。4.根据权利要求1所述的基于网络安全策略的网络行为检测方法，其特征在于，所述所述人工审核阶段具体为：判断所述待检测网络行为是否满足预置审核规则，若是，则将所述待检测网络行为列入所述预置网络行为特征白名单中，且所述待检测网络行为审核通过，若否，则拦截所述待检测网络行为。5.一种基于网络安全策略的网络行为检测装置，其特征在于，包括：第一检测判断模块，用于若待检测网络行为在预置网络安全策略白名单中，且所述待检测网络行为不在预置网络行为特征白名单中，则判断所述待检测网络行为是否处于窗口期范围内，若是，则则所述待检测网络行为审核通过；第二检测判断模块，用于若所述待检测网络行为超出所述窗口期范围，则判断所述待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截所述待检测网络行为，所述人工审核阶段为判断所述待检测网络行为是否满足预置审核规则。6.根据权利要求5所述的基于网络安全策略的网络行为检测装置，其特征在于，还包括：双核通过模块，用于若所述待检测网络行为在所述预置网络安全策略白名单中，且所述待检测网络行为在所述预置网络行为特征白名单中，则所述待检测网络行为审核通过。7.根据权利要求5所述的基于网络安全策略的网络行为检测装置，其特征在于，所述第二检测判断模块，具体用于：
若所述待检测网络行为超出所述窗口期范围，则基于预置时间权重统计所述待检测网络行为的行为频数；判断所述行为频数是否符合正态分布，若是，则所述待检测网络行为已形成网络行为特征，并进行人工审核阶段，若否，则所述待检测网络行为未形成网络行为特征，并拦截所述待检测网络行为。8.根据权利要求5所述的基于网络安全策略的网络行为检测装置，其特征在于，所述所述人工审核阶段具体为：判断所述待检测网络行为是否满足预置审核规则，若是，则将所述待检测网络行为列入所述预置网络行为特征白名单中，且所述待检测网络行为审核通过，若否，则拦截所述待检测网络行为。9.一种基于网络安全策略的网络行为检测设备，其特征在于，所述设备包括处理器以及存储器；所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；所述处理器用于根据所述程序代码中的指令执行权利要求1-4任一项所述的基于网络安全策略的网络行为检测方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行权利要求1-4任一项所述的基于网络安全策略的网络行为检测方法。

技术总结

本申请公开了一种基于网络安全策略的网络行为检测方法及相关装置，方法包括：若待检测网络行为在预置网络安全策略白名单中，且待检测网络行为不在预置网络行为特征白名单中，则判断待检测网络行为是否处于窗口期范围内，若是，则则待检测网络行为审核通过；若待检测网络行为超出窗口期范围，则判断待检测网络行为是否形成网络行为特征，若是，则进行人工审核阶段，若否，则拦截待检测网络行为，人工审核阶段为判断待检测网络行为是否满足预置审核规则。本申请能够解决现有网络安全策略无法应对尚未公开的安全漏洞的攻击，导致系统安全性能较差的技术问题。能较差的技术问题。能较差的技术问题。