(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111489184.9 (22)申请日 2021.12.07 (71)申请人 中国福利会国际和平妇幼保健院 地址 200030 上海市徐汇区衡山路910号 (72)发明人 陈昌杰　陈磊　 (74)专利代理 机构 上海申新 律师事务所 31272 代理人 吴轶淳 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/30(2022.01) (54)发明名称 一种网络威胁 检测方法及系统 (57)摘要 一种网络威胁检测方法， 适用于网络威胁的 检测， 其特征在于， 步骤S1， 系统执行网络威胁检 测过程， 随后采集一系统当前的日志文件以及所 述系统当前的配置文件； 步骤S2， 根据所述系统 当前的所述配置文件处理得到所述系统的配置 变更信息； 步骤S3， 将所述系统当前的所述日志 文件和所述配置变更信息进行比较： 若不符合， 则表示配置变更异常， 随后返回所述步骤S1， 以 等待系统执行下一次所述网络威胁检测过程； 若 符合， 则表示配置变更正常， 随后返回所述步骤 S1， 以等待系统执行下一次所述网络威胁检测过 程。 本发明通过日志和配置相关联的自动化处理 的方法， 不仅可以有效发现网络威胁、 并且可 以 提高运维的安全性， 加强配置的基线和规范管 理。 权利要求书2页 说明书5页 附图2页 CN 114285605 A 2022.04.05 CN 114285605 A 1.一种网络威胁 检测方法， 其特 征在于， 包括： 步骤S1， 系统执行网络威胁检测过程， 随后采集一系统当前的日志文件以及所述系统 当前的配置文件； 步骤S2， 根据所述系统当前的所述配置文件处 理得到所述系统的配置变更信息； 步骤S3， 将所述系统当前的所述日志文件和所述配置变更信息进行比较： 若不符合， 则表示配置变更异常， 随后返回所述步骤S1， 以等待系统执行下一 次所述网 络威胁检测过程； 若符合， 则表示配置变更正常， 随后返回所述步骤S1， 以等待系统执行下一次所述网络 威胁检测过程。 2.如权利要求1所述的网络威胁检测方法， 其特征在于， 所述步骤S1中， 当系统检测到 所述配置文件发生变更时， 系统开始执 行所述网络威胁 检测过程； 或者 系统以一预设时间 间隔周期性 地执行所述网络威胁 检测过程； 或者 系统根据外 部输入的检测指令开始执 行所述网络威胁 检测过程。 3.如权利要求1所述的网络威胁 检测方法， 其特 征在于， 预设一配置基线； 则所述步骤S2中， 将当前的所述配置文件与所述配置基线进行比较， 以得到所述配置 变更信息 。 4.如权利要求3所述的网络威胁检测方法， 其特征在于， 所述配置基线为人为确认的标 准配置文件。 5.如权利要求3所述的网络威胁检测方法， 其特征在于， 预先设置一标准配置文件 并作 为所述配置基线， 并在每次所述配置文件变更正常后， 采用当前 的所述配置文件对所述配 置基线进行变更。 6.如权利要求3所述的网络威胁检测方法， 其特征在于， 预先设置一标准配置文件 并作 为所述配置基线， 并在连续多次所述配置文件变更正常后， 采用当前 的所述配置文件对所 述配置基线 进行变更。 7.如权利要求3所述的网络威胁检测方法， 其特征在于， 所述配置变更信 息中包括配置 变更内容； 则所述步骤S2中， 将当前的所述配置文件和所述配置基线进行比较以得到所述配置变 更内容。 8.如权利要求3所述的网络威胁检测方法， 其特征在于， 所述配置变更信 息中包括操作 时间和/或执 行人； 则所述步骤S2中， 从当前的所述配置文件中解析 得到所述操作时间和/或所述执 行人。 9.如权利要求3所述的网络威胁检测方法， 其特征在于， 预设一威胁模型， 所述威胁模 型的输入数据为将所述系统当前的所述日志文件和所述配置变更信息进行比较得到的比 较结果， 所述 威胁模型的输出 数据为所述配置文件变更异常的异常等级； 则所述步骤S3中， 若不符合， 则首 先执行下述步骤： 将所述比较结果输入至所述 威胁模型中， 以得到对应的所述异常等级并输出； 随后返回所述 步骤S1， 以等待系统执 行下一次所述网络威胁 检测过程。 10.一种网络威胁检测系统， 其特征在于， 应用 如权利要求1 ‑9中任意一项所述的网络 威胁检测方法， 并包括：权　利　要　求　书 1/2 页 2 CN 114285605 A 2第一采集单 元， 用于在系统执 行网络威胁 检测过程时， 采集系统当前的日志文件； 第二采集单 元， 用于在系统执 行所述网络威胁 检测过程时， 采集系统当前的配置文件； 变更处理单元， 连接所述第二采集单元， 用于根据系统当前的所述配置文件处理得到 相应的配置变更信息； 比较单元， 分别连接所述第一采集单元和所述变更处理单元， 用于将系统当前的所述 日志文件和当前的所述配置变更信息进行比较， 并输出相应的比较结果； 当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信 息不符合 时， 则表示配置变更异常； 以及 当所述比较结果表示系统当前的所述日志文件和当前的所述配置变更信 息符合时， 则 表示配置变更正常。权　利　要　求　书 2/2 页 3 CN 114285605 A 3