一种计算机网络的网络安全系统及其控制方法与流程

1.本发明涉及网络安全技术领域，具体而言，涉及一种计算机网络的网络安全系统及其控制方法。


背景技术：

2.在网络安全技术领域中，对网络攻击行为的有效识别，是进行网络安全防护的基础。其中，一般来说，网络攻击行为并不是单独的，而是多个网络攻击行为作为一个系列，形成一个网络攻击事件。如此，在遭受到网络攻击设备的一部分网络行为之后，如何，对后续的网络行为进行有效的预测，从而确定是否属于网络攻击行为或网络攻击事件，是尤为重要的一个步骤，并且，在现有技术中，一般在预测得到后续的网络行为之后，若确定属于网络攻击，会直接对后续的网络行为进行同一的拦截，如此，由于应对方式单一，可能会导致应对效果不佳的问题。


技术实现要素：

3.有鉴于此，本发明的目的在于提供一种计算机网络的网络安全系统及其控制方法，以改善现有技术中网络安全的控制效果不佳的问题。
4.为实现上述目的，本发明实施例采用如下技术方案：
5.一种计算机网络的网络安全控制方法，用于网络安全服务器，所述网络安全服务器通信连接有多个网络设备，所述计算机网络的网络安全控制方法包括：
6.在获取到待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息之后，对所述第一攻击系列行为信息进行解析处理，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为，其中，所述第一攻击系列行为信息包括多条在时间上依次进行的待确认攻击行为；
7.基于所述第一攻击系列行为信息和所述目标网络行为得到目标攻击系列行为信息，并基于所述目标攻击系列行为信息确定所述待确认攻击系列行为和所述目标网络行为是否属于网络攻击行为；
8.若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并基于所述行为对象数据对所述目标网络行为进行行为安全控制处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
9.在一些优选的实施例中，在上述计算机网络的网络安全控制方法中，所述基于所述第一攻击系列行为信息和所述目标网络行为得到目标攻击系列行为信息，并基于所述目标攻击系列行为信息确定所述待确认攻击系列行为和所述目标网络行为是否属于网络攻击行为的步骤，包括：
10.基于所述目标网络行为和所述第一攻击系列行为信息包括的多条在时间上依次
进行的待确认攻击行为，构成得到目标攻击系列行为；
11.获取在历史上每一个网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为得到的历史攻击系列行为信息，得到对应的多条历史攻击系列行为信息，其中，每一条所述历史攻击系列行为信息包括多条在时间上依次进行的历史网络攻击行为、每一个历史网络攻击行为的行为时间长度、每两个相邻历史网络攻击行为之间的时间间隔长度；
12.基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻击行为。
13.在一些优选的实施例中，在上述计算机网络的网络安全控制方法中，所述基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻击行为的步骤，包括：
14.确定所述目标攻击系列行为是否被所述多条历史攻击系列行为信息中的任意一条历史攻击系列行为信息包括的多个历史网络攻击行为覆盖；
15.若所述目标攻击系列行为未被所述多条历史攻击系列行为信息中的任意一条历史攻击系列行为信息包括的多个历史网络攻击行为覆盖，则确定所述目标攻击系列行为不属于网络攻击行为。
16.在一些优选的实施例中，在上述计算机网络的网络安全控制方法中，所述基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻击行为的步骤，还包括：
17.若所述目标攻击系列行为被所述多条历史攻击系列行为信息中的一条历史攻击系列行为信息包括的多个历史网络攻击行为覆盖，则针对所述目标攻击系列行为中的每一个网络行为，计算该网络行为对应的行为时间长度和覆盖该网络行为的历史网络攻击行为对应的行为时间长度之间的时间长度差值，并基于该时间长度差值确定对应的第一网络攻击概率值，其中，所述第一网络攻击概率值与所述时间长度差值之间具有负相关关系；
18.针对所述目标攻击系列行为中的每相邻的两个网络行为，计算该两个网络行为之间的时间间隔长度和覆盖该两个网络行为的历史网络攻击行为之间的时间间隔长度之间的时间间隔差值，并基于该时间间隔差值确定对应的第二网络攻击概率值，其中，所述第二网络攻击概率值与所述时间间隔差值之间具有负相关关系；
19.基于所述第一网络攻击概率值和所述第二网络攻击概率值，确定所述目标攻击系列行为是否属于网络攻击行为。
20.在一些优选的实施例中，在上述计算机网络的网络安全控制方法中，所述基于所述第一网络攻击概率值和所述第二网络攻击概率值，确定所述目标攻击系列行为是否属于网络攻击行为的步骤，包括：
21.计算每一个所述第一网络攻击概率值的平均值，得到对应的第一概率均值，并基于所述每一个所述第二网络攻击概率值的平均值，得到对应的第二概率均值，并对所述第一概率均值和所述第二概率均值进行加权求和计算，得到对应的概率加权和值，其中，所述第一概率均值对应的加权系数大于所述第二概率均值对应的加权系数；
22.确定所述概率加权和值和预先配置的概率阈值之间的相对大小关系；
23.若所述概率加权和值大于或等于所述概率阈值，则确定所述目标攻击系列行为属
于网络攻击行为，若所述概率加权和值小于所述概率阈值，则确定所述目标攻击系列行为不属于网络攻击行为。
24.在一些优选的实施例中，在上述计算机网络的网络安全控制方法中，所述若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并基于所述行为对象数据对所述目标网络行为进行行为安全控制处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据的步骤，包括：
25.若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并获取预先针对所述行为对象数据配置的数据安全等级信息；
26.确定所述数据安全等级信息与预先配置的数据安全等级阈值信息之间的相对高低关系，并在所述数据安全等级信息高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第一类行为对象数据，或者，在所述数据安全等级信息不高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第二类行为对象数据；
27.若所述行为对象数据属于第一类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之后，对所述目标网络行为进行拦截处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据，若所述行为对象数据属于第二类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之前，所述行为对象数据进行伪造处理，使得所述待确认攻击设备基于所述目标网络行为获取伪造后的行为对象数据，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
28.在一些优选的实施例中，在上述计算机网络的网络安全控制方法中，所述在获取到待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息之后，对所述第一攻击系列行为信息进行解析处理，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为的步骤，包括：
29.获取待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息；
30.获取在历史上每一个网络攻击设备和每一个非网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为和非网络攻击行为得到的历史攻击系列行为信息和历史非攻击系列行为信息，得到对应的多条历史攻击系列行为信息和多条历史非攻击系列行为信息，其中，所述多条历史攻击系列行为信息中的每一条历史攻击系列行为信息包括多条在时间上依次进行的历史网络攻击行为，所述多条历史非攻击系列行为信息中的每一条历史非攻击系列行为信息包括至少一条历史非网络攻击行为；
31.基于所述多条历史攻击系列行为信息和所述多条历史非攻击系列行为信息，对所述第一攻击系列行为信息进行解析处理，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为。
32.本发明实施例还提供一种计算机网络的网络安全系统，应用于网络安全服务器，所述网络安全服务器通信连接有多个网络设备，所述计算机网络的网络安全系统包括：
33.网络行为预测模块，用于在获取到待确认攻击设备当前已经向所述多个网络设备
中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息之后，对所述第一攻击系列行为信息进行解析处理，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为，其中，所述第一攻击系列行为信息包括多条在时间上依次进行的待确认攻击行为；
34.网络行为判断模块，用于基于所述第一攻击系列行为信息和所述目标网络行为得到目标攻击系列行为信息，基于所述目标攻击系列行为信息确定所述待确认攻击系列行为和所述目标网络行为是否属于网络攻击行为；
35.安全控制处理模块，用于若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并基于所述行为对象数据对所述目标网络行为进行行为安全控制处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
36.在一些优选的实施例中，在上述计算机网络的网络安全系统中，所述网络行为判断模块具体用于：
37.基于所述目标网络行为和所述第一攻击系列行为信息包括的多条在时间上依次进行的待确认攻击行为，构成得到目标攻击系列行为；
38.获取在历史上每一个网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为得到的历史攻击系列行为信息，得到对应的多条历史攻击系列行为信息，其中，每一条所述历史攻击系列行为信息包括多条在时间上依次进行的历史网络攻击行为、每一个历史网络攻击行为的行为时间长度、每两个相邻历史网络攻击行为之间的时间间隔长度；
39.基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻击行为。
40.在一些优选的实施例中，在上述计算机网络的网络安全系统中，所述安全控制处理模块具体用于：
41.若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并获取预先针对所述行为对象数据配置的数据安全等级信息；
42.确定所述数据安全等级信息与预先配置的数据安全等级阈值信息之间的相对高低关系，并在所述数据安全等级信息高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第一类行为对象数据，或者，在所述数据安全等级信息不高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第二类行为对象数据；
43.若所述行为对象数据属于第一类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之后，对所述目标网络行为进行拦截处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据，若所述行为对象数据属于第二类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之前，所述行为对象数据进行伪造处理，使得所述待确认攻击设备基于所述目标网络行为获取伪造后的行为对象数据，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
44.本发明实施例提供的一种计算机网络的网络安全系统及其控制方法，在预测得到
待确认攻击设备在第一攻击系列行为信息之后将进行的目标网络行为之后，可以先基于第一攻击系列行为信息和目标网络行为得到目标攻击系列行为信息，并基于目标攻击系列行为信息确定待确认攻击系列行为和目标网络行为是否属于网络攻击行为，使得在待确认攻击系列行为和目标网络行为属于网络攻击行为时，可以确定目标网络行为的行为对象数据，并基于行为对象数据对目标网络行为进行行为安全控制处理，以阻止待确认攻击设备通过目标网络行为获取到行为对象数据，即先确定行为对象数据，再基于行为对象数据进行行为安全控制处理，实现有针对性的安全控制处理，从而改善现有技术中网络安全的控制效果不佳的问题。
45.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
46.图1为本发明实施例提供的网络安全服务器的结构框图。
47.图2为本发明实施例提供的计算机网络的网络安全控制方法包括的各步骤的流程示意图。
48.图3为本发明实施例提供的计算机网络的网络安全系统包括的各模块的示意图。
具体实施方式
49.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本发明的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
50.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
51.如图1所示，本发明实施例提供了一种网络安全服务器。其中，所述网络安全服务器可以包括存储器和处理器。
52.详细地，所述存储器和处理器之间直接或间接地电性连接，以实现数据的传输或交互。例如，相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述存储器中可以存储有至少一个可以以软件或固件(firmware)的形式，存在的软件功能模块(计算机程序)。所述处理器可以用于执行所述存储器中存储的可执行的计算机程序，从而实现本发明实施例(如后文所述)提供的计算机网络的网络安全控制方法。
53.举例来说，在一些可能的实现方式中，所述存储器可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
54.举例来说，在一些可能的实现方式中，所述处理器可以是一种通用处理器，包括中
央处理器(central processing unit，cpu)、网络处理器(network processor，np)、片上系统(system on chip，soc)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
55.结合图2，本发明实施例还提供一种计算机网络的网络安全控制方法，可应用于上述网络安全服务器。其中，所述计算机网络的网络安全控制方法有关的流程所定义的方法步骤，可以由所述网络安全服务器实现。并且，所述网络安全服务器通信连接有多个网络设备。
56.下面将对图2所示的具体流程，进行详细阐述。
57.步骤s100，在获取到待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息之后，对所述第一攻击系列行为信息进行解析处理，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为。
58.在本发明实施例中，所述网络安全服务器可以在获取到待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息之后，对所述第一攻击系列行为信息进行解析处理，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为。其中，所述第一攻击系列行为信息包括多条在时间上依次进行的待确认攻击行为。
59.步骤s200，基于所述第一攻击系列行为信息和所述目标网络行为得到目标攻击系列行为信息，并基于所述目标攻击系列行为信息确定所述待确认攻击系列行为和所述目标网络行为是否属于网络攻击行为。
60.在本发明实施例中，所述网络安全服务器可以基于所述第一攻击系列行为信息和所述目标网络行为得到目标攻击系列行为信息，并基于所述目标攻击系列行为信息确定所述待确认攻击系列行为和所述目标网络行为是否属于网络攻击行为。
61.步骤s300，若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并基于所述行为对象数据对所述目标网络行为进行行为安全控制处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
62.在本发明实施例中，若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则所述网络安全服务器可以确定所述目标网络行为的行为对象数据，并基于所述行为对象数据对所述目标网络行为进行行为安全控制处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
63.基于上述的网络安全控制方法包括的各步骤，在预测得到待确认攻击设备在第一攻击系列行为信息之后将进行的目标网络行为之后，可以先基于第一攻击系列行为信息和目标网络行为得到目标攻击系列行为信息，并基于目标攻击系列行为信息确定待确认攻击系列行为和目标网络行为是否属于网络攻击行为，使得在待确认攻击系列行为和目标网络行为属于网络攻击行为时，可以确定目标网络行为的行为对象数据，并基于行为对象数据对目标网络行为进行行为安全控制处理，以阻止待确认攻击设备通过目标网络行为获取到行为对象数据，即先确定行为对象数据，再基于行为对象数据进行行为安全控制处理，实现
有针对性的安全控制处理，从而改善现有技术中网络安全的控制效果不佳的问题。
64.举例来说，在一些可能的实现方式中，步骤s100可以包括以下步骤，如步骤s110、步骤s120和步骤s130。
65.步骤s110，获取待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息。
66.在本发明实施例中，所述网络安全服务器可以获取待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息。其中，所述第一攻击系列行为信息包括多条在时间上依次进行的待确认攻击行为。
67.步骤s120，获取在历史上每一个网络攻击设备和每一个非网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为和非网络攻击行为得到的历史攻击系列行为信息和历史非攻击系列行为信息，得到对应的多条历史攻击系列行为信息和多条历史非攻击系列行为信息。
68.在本发明实施例中，所述网络安全服务器可以获取在历史上每一个网络攻击设备和每一个非网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为和非网络攻击行为得到的历史攻击系列行为信息和历史非攻击系列行为信息，得到对应的多条历史攻击系列行为信息和多条历史非攻击系列行为信息。其中，所述多条历史攻击系列行为信息中的每一条历史攻击系列行为信息包括多条在时间上依次进行的历史网络攻击行为，所述多条历史非攻击系列行为信息中的每一条历史非攻击系列行为信息包括至少一条历史非网络攻击行为。
69.步骤s130，基于所述多条历史攻击系列行为信息和所述多条历史非攻击系列行为信息，对所述第一攻击系列行为信息进行解析处理，预测得到待确认攻击设备在第一攻击系列行为信息之后将进行的目标网络行为。
70.在本发明实施例中，所述网络安全服务器可以基于所述多条历史攻击系列行为信息和所述多条历史非攻击系列行为信息，对所述第一攻击系列行为信息进行解析处理，预测得到待确认攻击设备在第一攻击系列行为信息之后将进行的目标网络行为。
71.基于上述的步骤s110、步骤s120和步骤s130，在获取到待确认攻击设备当前已经向标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息之后，可以先获取在历史上每一个网络攻击设备和每一个非网络攻击设备对每一个网络设备进行网络攻击行为和非网络攻击行为得到的历史攻击系列行为信息和历史非攻击系列行为信息，使得可以基于多条历史攻击系列行为信息和多条历史非攻击系列行为信息，对第一攻击系列行为信息进行解析处理，预测得到待确认攻击设备在第一攻击系列行为信息之后将进行的目标网络行为，即结合历史攻击系列行为信息和历史非攻击系列行为信息，使得进行解析处理的依据更为充分，保障结果可靠度，从而改善现有技术中网络安全态势感知的可靠度不佳的问题。
72.举例来说，在一些可能的实现方式中，步骤s110可以包括以下步骤：
73.首先，分别向所述多个网络设备中的每一个网络设备发送网络行为上报通知信息，其中，每一个所述网络设备用于基于所述网络行为上报通知信息，在接收到网络行为实施设备进行的多个网络行为之后，将所述网络行为实施设备的设备身份信息发送给所述网络安全服务器；
74.其次，针对每一个所述网络设备，获取该网络设备基于所述网络行为上报通知信息发送的设备身份信息，并基于该设备身份信息进行设备身份验证处理，以及，在该设备身份信息未通过设备身份验证处理时，将该网络设备确定为目标网络设备，将该设备身份信息对应的网络行为实施设备确定为待确认攻击设备，将该网络行为实施设备进行的多个网络行为确定为待确认攻击系列行为以得到对应的第一攻击系列行为信息。
75.举例来说，在一些可能的实现方式中，所述分别向所述多个网络设备中的每一个网络设备发送网络行为上报通知信息的步骤，包括以下步骤：
76.首先，基于预先配置的时间长度上限值(可以基于历史上的系列行为中行为之间的时间间隔确定)，生成对应的网络行为上报通知信息；
77.其次，分别向所述多个网络设备中的每一个网络设备发送网络行为上报通知信息，其中，每一个所述网络设备用于基于所述网络行为上报通知信息，在接收到网络行为实施设备进行的多个网络行为之后，且所述多个网络行为中每相邻两个网络行为之间的行为时间间隔小于所述时间长度上限值(如大于所述时间长度上限值，可以任务两个网络行为是单独的)，将所述网络行为实施设备的设备身份信息发送给所述网络安全服务器。
78.举例来说，在一些可能的实现方式中，所述针对每一个所述网络设备，获取该网络设备基于所述网络行为上报通知信息发送的设备身份信息，并基于该设备身份信息进行设备身份验证处理，以及，在该设备身份信息未通过设备身份验证处理时，将该网络设备确定为目标网络设备，将该设备身份信息对应的网络行为实施设备确定为待确认攻击设备，将该网络行为实施设备进行的多个网络行为确定为待确认攻击系列行为以得到对应的第一攻击系列行为信息的步骤，可以包括以下步骤：
79.首先，针对每一个所述网络设备，获取该网络设备基于所述网络行为上报通知信息发送的设备身份信息，并基于该设备身份信息进行设备身份验证处理，以及，在该设备身份信息未通过设备身份验证处理时，确定该设备身份信息对应的网络行为实施设备进行的多个网络行为的行为对象是否包括该网络设备的操作系统；
80.其次，针对每一个所述网络设备，若对应的网络行为实施设备进行的多个网络行为的行为对象未包括该网络设备的操作系统，则将该网络设备确定为目标网络设备，并将该设备身份信息对应的网络行为实施设备确定为待确认攻击设备，以及，将该网络行为实施设备进行的多个网络行为确定为待确认攻击系列行为以得到对应的第一攻击系列行为信息，其中，若对应的网络行为实施设备进行的多个网络行为的行为对象包括该网络设备的操作系统，则将该网络行为实施设备确定为网络攻击设备。
81.举例来说，在一些可能的实现方式中，步骤s120可以包括以下步骤：
82.首先，获取在历史上每一个网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为得到的历史攻击系列行为信息，得到对应的多条历史攻击系列行为信息，其中，每一条所述历史攻击系列行为信息包括多条在时间上依次进行的历史网络攻击行为、每一条历史网络攻击行为的行为时间长度、每两条相邻历史网络攻击行为之间的时间间隔长度；
83.其次，获取在历史上每一个非网络攻击设备对所述多个网络设备中的每一个网络设备进行非网络攻击行为得到的历史非攻击系列行为信息，得到对应的多条历史非攻击系列行为信息，其中，每一条所述历史非攻击系列行为信息包括一条历史非网络攻击行为或
多条在时间上依次进行的历史非网络攻击行为、每一条历史非网络攻击行为的行为时间长度、每两条相邻历史非网络攻击行为之间的时间间隔长度。
84.举例来说，在一些可能的实现方式中，所述获取在历史上每一个网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为得到的历史攻击系列行为信息，得到对应的多条历史攻击系列行为信息的步骤，可以包括以下步骤：
85.首先，获取在历史上每一个网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为得到的历史攻击系列行为信息，得到对应的多条历史攻击系列行为信息，并对所述多条历史攻击系列行为信息进行去重筛选，得到去重筛选后的多条历史攻击系列行为信息。
86.举例来说，在一些可能的实现方式中，所述获取在历史上每一个非网络攻击设备对所述多个网络设备中的每一个网络设备进行非网络攻击行为得到的历史非攻击系列行为信息，得到对应的多条历史非攻击系列行为信息的步骤，可以包括以下步骤：
87.首先，获取在历史上每一个非网络攻击设备对所述多个网络设备中的每一个网络设备进行非网络攻击行为得到的历史非攻击系列行为信息，得到对应的多条历史非攻击系列行为信息，并对所述多条历史非攻击系列行为信息进行去重筛选，得到去重筛选后的多条历史非攻击系列行为信息。
88.举例来说，在一些可能的实现方式中，步骤s130可以包括以下步骤：
89.首先，在所述第一攻击系列行为信息中确定出最后一条待确认攻击行为，作为第一待确认攻击行为，并在所述第一攻击系列行为信息中确定出第一条待确认攻击行为，作为第二待确认攻击行为，以及在所述多条历史攻击系列行为信息中确定出包括所述第一待确认攻击行为的每一条历史攻击系列行为信息，得到至少一条第一历史攻击系列行为信息，并在所述多条历史非攻击系列行为信息中确定出包括所述第一待确认攻击行为的每一条历史非攻击系列行为信息，得到至少一条第一历史非攻击系列行为信息；
90.其次，针对每一条所述第一历史攻击系列行为信息，对该第一历史攻击系列行为信息和所述第一攻击系列行为信息执行预先配置的第一行为相似度计算操作，得到该第一历史攻击系列行为信息对应的第一行为相似度，并针对每一条所述第一历史非攻击系列行为信息，对该第一历史非攻击系列行为信息和所述第一攻击系列行为信息执行预先配置的第二行为相似度计算操作(第二行为相似度计算操作可以参照第一行为相似度计算操作)，得到该第一历史非攻击系列行为信息对应的第二行为相似度；
91.然后，针对每一条所述第一历史攻击系列行为信息，确定该第一历史攻击系列行为信息与所述第二待确认攻击行为之间的包含关系(如是否包含、在包含时是否位于所述第一待确认攻击行为之后等)，并基于该包含关系对该第一历史攻击系列行为信息对应的第一行为相似度进行第一更新处理(即增加处理，如第一历史攻击系列行为信息不包含所述第二待确认攻击行为对应的增加幅度小于第一历史攻击系列行为信息包含所述第二待确认攻击行为对应的增加幅度)，得到第一历史攻击系列行为信息对应的第一行为相似度更新值，并针对每一条所述第一历史非攻击系列行为信息，确定该第一历史非攻击系列行为信息与所述第二待确认攻击行为之间的包含关系，并基于该包含关系对该第一历史非攻击系列行为信息对应的第二行为相似度进行第二更新处理(如前所述)，得到第一历史非攻击系列行为信息对应的第二行为相似度更新值，其中，所述第一更新处理的更新幅度大于
所述第二更新处理的更新幅度；
92.最后，基于每一条所述第一历史攻击系列行为信息对应的第一行为相似度更新值和每一条所述第一历史非攻击系列行为信息对应的第二行为相似度更新值，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为，其中，所述第一历史攻击系列行为信息对应的第一行为相似度更新值作为将该第一历史攻击系列行为信息中所述第一待确认攻击行为之后的一条历史网络攻击行为确定为目标网络行为的概率值，所述第一历史非攻击系列行为信息对应的第二行为相似度更新值作为将该第一历史非攻击系列行为信息中所述第一待确认攻击行为之后的一条历史非网络攻击行为确定为目标网络行为的概率值(然后，确定出具有最大概率值的目标网络行为作为所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为，其中，一种目标网络行为可能具有多个概率值，此时，可以计算平均值，再确定最大的平均值)。
93.举例来说，在一些可能的实现方式中，所述第一行为相似度计算操作包，可以包括以下步骤：
94.第一步，基于所述第一攻击系列行为信息包括的待确认攻击行为的行为数量，将所述第一历史攻击系列行为信息进行滑窗处理，得到将所述第一历史攻击系列行为信息对应的多个历史攻击行为序列；
95.第二步，依次将所述第一历史攻击系列行为信息中的每一个所述历史攻击行为序列，确定为第一历史攻击行为序列，并获取所述第一历史攻击行为序列在所述第一历史攻击系列行为信息中的序列位置信息，其中，所述序列位置信息包括所述第一历史攻击行为序列在所述第一历史攻击系列行为信息中的起点位置和所述第一历史攻击行为序列在所述第一历史攻击系列行为信息中的终点位置；
96.第三步，确定当前的所述第一历史攻击行为序列与所述第一历史攻击系列行为信息是否完全相同；
97.第四步，在当前的所述第一历史攻击行为序列与所述第一历史攻击系列行为信息完全相同时，将当前的所述第一历史攻击行为序列与所述第一历史攻击系列行为信息之间的行为相似度赋值为第一数值，其中，当前的所述第一历史攻击行为序列与所述第一历史攻击系列行为信息完全相同是指，当前的所述第一历史攻击行为序列包括的历史网络攻击行为和所述第一历史攻击系列行为信息包括的待确认攻击行为之间，在攻击行为本身、对应的行为先后顺序、行为时间长度和时间间隔长度四个维度都相同；
98.第五步，在当前的所述第一历史攻击行为序列与所述第一历史攻击系列行为信息不完全相同时，分别计算当前的所述第一历史攻击行为序列包括的历史网络攻击行为和所述所述第一历史攻击系列行为信息包括的待确认攻击行为之间，关于对应位置的行为本身、对应的行为先后顺序、行为时间长度和时间间隔长度四个维度的相似度，并对该四个维度的相似度进行融合，得到当前的所述第一历史攻击行为序列与所述第一历史攻击系列行为信息之间的行为相似度，其中，该相似度小于所述第一数值；
99.第六步，确定当前的所述第一历史攻击行为序列的序列位置信息包括的起点位置与所述第一历史攻击系列行为信息中的第一条历史网络攻击行为之间间隔的历史网络攻击行为的行为间隔数量，得到对应的第一行为间隔数量，并基于该第一行为间隔数量确定当前的所述第一历史攻击行为序列对应的第一相似度系数，其中，所述第一相似度系数与
所述行为间隔数量之间具有负相关关系；
100.第七步，确定当前的所述第一历史攻击行为序列的序列位置信息包括的终点位置与所述第一历史攻击系列行为信息中的最后一条历史网络攻击行为之间间隔的历史网络攻击行为的行为间隔数量，得到对应的第二行为间隔数量，并确定该第二行为间隔数量与所述第一攻击系列行为信息包括的待确认攻击行为的行为数量之间的数量比值，以及，基于该数量比值确定当前的所述第一历史攻击行为序列对应的第二相似度系数，其中，所述第二相似度系数与所述数量比值之间具有负相关关系；
101.第八步，对当前的所述第一历史攻击行为序列与所述第一历史攻击系列行为信息之间的行为相似度、所述第一相似度系数和所述第二相似度系数进行融合(计算所述行为相似度、所述第一相似度系数和所述第二相似度系数的乘积)，得到当前的所述第一历史攻击行为序列对应的行为相似度融合值，并将每一个所述历史攻击行为序列对应的行为相似度融合值中的最大值，确定为所述第一历史攻击系列行为信息对应的第一行为相似度。
102.举例来说，在一些可能的实现方式中，步骤s200可以包括以下步骤：
103.首先，基于所述目标网络行为和所述第一攻击系列行为信息包括的多条在时间上依次进行的待确认攻击行为，构成得到目标攻击系列行为；
104.其次，获取在历史上每一个网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为得到的历史攻击系列行为信息，得到对应的多条历史攻击系列行为信息，其中，每一条所述历史攻击系列行为信息包括多条在时间上依次进行的历史网络攻击行为、每一个历史网络攻击行为的行为时间长度、每两个相邻历史网络攻击行为之间的时间间隔长度；
105.然后，基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻。
106.举例来说，在一些可能的实现方式中，所述基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻击行为的步骤，可以包括以下步骤：
107.首先，确定所述目标攻击系列行为是否被所述多条历史攻击系列行为信息中的任意一条历史攻击系列行为信息包括的多个历史网络攻击行为覆盖(即所述多个历史网络攻击行为包括所述目标攻击系列行为)；
108.其次，若所述目标攻击系列行为未被所述多条历史攻击系列行为信息中的任意一条历史攻击系列行为信息包括的多个历史网络攻击行为覆盖，则确定所述目标攻击系列行为不属于网络攻击行为。
109.举例来说，在一些可能的实现方式中，所述基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻击行为的步骤，还可以包括以下步骤：
110.首先，若所述目标攻击系列行为被所述多条历史攻击系列行为信息中的一条历史攻击系列行为信息包括的多个历史网络攻击行为覆盖，则针对所述目标攻击系列行为中的每一个网络行为，计算该网络行为对应的行为时间长度和覆盖该网络行为的历史网络攻击行为对应的行为时间长度之间的时间长度差值，并基于该时间长度差值确定对应的第一网络攻击概率值，其中，所述第一网络攻击概率值与所述时间长度差值之间具有负相关关系；
111.其次，针对所述目标攻击系列行为中的每相邻的两个网络行为，计算该两个网络行为之间的时间间隔长度和覆盖该两个网络行为的历史网络攻击行为之间的时间间隔长
度之间的时间间隔差值，并基于该时间间隔差值确定对应的第二网络攻击概率值，其中，所述第二网络攻击概率值与所述时间间隔差值之间具有负相关关系；
112.然后，基于所述第一网络攻击概率值和所述第二网络攻击概率值，确定所述目标攻击系列行为是否属于网络攻击行为。
113.举例来说，在一些可能的实现方式中，所述基于所述第一网络攻击概率值和所述第二网络攻击概率值，确定所述目标攻击系列行为是否属于网络攻击行为的步骤，可以包括以下步骤：
114.首先，计算每一个所述第一网络攻击概率值的平均值，得到对应的第一概率均值，并基于所述每一个所述第二网络攻击概率值的平均值，得到对应的第二概率均值，并对所述第一概率均值和所述第二概率均值进行加权求和计算，得到对应的概率加权和值，其中，所述第一概率均值对应的加权系数大于所述第二概率均值对应的加权系数；
115.其次，确定所述概率加权和值和预先配置的概率阈值之间的相对大小关系(如所述概率加权和值是否大于或等于所述概率阈值)；
116.然后，若所述概率加权和值大于或等于所述概率阈值，则确定所述目标攻击系列行为属于网络攻击行为，若所述概率加权和值小于所述概率阈值，则确定所述目标攻击系列行为不属于网络攻击行为。
117.举例来说，在一些可能的实现方式中，步骤s300可以包括以下步骤：
118.首先，若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并获取预先针对所述行为对象数据配置的数据安全等级信息；
119.其次，确定所述数据安全等级信息与预先配置的数据安全等级阈值信息之间的相对高低关系，并在所述数据安全等级信息高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第一类行为对象数据，或者，在所述数据安全等级信息不高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第二类行为对象数据；
120.然后，若所述行为对象数据属于第一类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之后，对所述目标网络行为进行拦截处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据，若所述行为对象数据属于第二类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之前，所述行为对象数据进行伪造处理，使得所述待确认攻击设备基于所述目标网络行为获取伪造后的行为对象数据，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
121.结合图3，本发明实施例还提供一种计算机网络的网络安全系统，可应用于上述网络安全服务器。其中，所述计算机网络的网络安全系统可以包括以下的每一个模块：
122.网络行为预测模块，用于在获取到待确认攻击设备当前已经向所述多个网络设备中的目标网络设备进行的待确认攻击系列行为对应的第一攻击系列行为信息之后，对所述第一攻击系列行为信息进行解析处理，预测得到所述待确认攻击设备在所述第一攻击系列行为信息之后将进行的目标网络行为，其中，所述第一攻击系列行为信息包括多条在时间上依次进行的待确认攻击行为；
123.网络行为判断模块，用于基于所述第一攻击系列行为信息和所述目标网络行为得
到目标攻击系列行为信息，基于所述目标攻击系列行为信息确定所述待确认攻击系列行为和所述目标网络行为是否属于网络攻击行为；
124.安全控制处理模块，用于若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并基于所述行为对象数据对所述目标网络行为进行行为安全控制处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数。
125.在一些可能的实现方式中，所述网络行为判断模块具体可以用于：
126.基于所述目标网络行为和所述第一攻击系列行为信息包括的多条在时间上依次进行的待确认攻击行为，构成得到目标攻击系列行为；
127.获取在历史上每一个网络攻击设备对所述多个网络设备中的每一个网络设备进行网络攻击行为得到的历史攻击系列行为信息，得到对应的多条历史攻击系列行为信息，其中，每一条所述历史攻击系列行为信息包括多条在时间上依次进行的历史网络攻击行为、每一个历史网络攻击行为的行为时间长度、每两个相邻历史网络攻击行为之间的时间间隔长度；
128.基于所述多条历史攻击系列行为信息，确定所述目标攻击系列行为是否属于网络攻击行为。
129.在一些可能的实现方式中，所述安全控制处理模块具体可以用于：
130.若所述待确认攻击系列行为和所述目标网络行为属于网络攻击行为，则确定所述目标网络行为的行为对象数据，并获取预先针对所述行为对象数据配置的数据安全等级信息；
131.确定所述数据安全等级信息与预先配置的数据安全等级阈值信息之间的相对高低关系，并在所述数据安全等级信息高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第一类行为对象数据，或者，在所述数据安全等级信息不高于所述数据安全等级阈值信息时，确定所述行为对象数据属于第二类行为对象数据；
132.若所述行为对象数据属于第一类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之后，对所述目标网络行为进行拦截处理，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据，若所述行为对象数据属于第二类行为对象数据，则在接收到所述待确认攻击设备之后进行的所述目标网络行为之前，所述行为对象数据进行伪造处理，使得所述待确认攻击设备基于所述目标网络行为获取伪造后的行为对象数据，以阻止所述待确认攻击设备通过所述目标网络行为获取到所述行为对象数据。
133.综上所述，本发明提供的一种计算机网络的网络安全系统及其控制方法，在预测得到待确认攻击设备在第一攻击系列行为信息之后将进行的目标网络行为之后，可以先基于第一攻击系列行为信息和目标网络行为得到目标攻击系列行为信息，并基于目标攻击系列行为信息确定待确认攻击系列行为和目标网络行为是否属于网络攻击行为，使得在待确认攻击系列行为和目标网络行为属于网络攻击行为时，可以确定目标网络行为的行为对象数据，并基于行为对象数据对目标网络行为进行行为安全控制处理，以阻止待确认攻击设备通过目标网络行为获取到行为对象数据，即先确定行为对象数据，再基于行为对象数据进行行为安全控制处理，实现有针对性的安全控制处理，从而改善现有技术中网络安全的
控制效果不佳的问题。
134.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。