基于预测的网络安全验证方法、装置及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及基于预测的网络安全验证方法。


背景技术：

2.在现有技术中，网络安全管理系统，又叫网管系统，是一个软硬件结合以软件为主的分布式网络应用系统，其目的是管理网络，使网络高效正常运行。为保证网络环境的安全稳定运行，以及减少网络安全管理系统对资源计算的消耗，网管运维人员可以通过网管系统中的安全防御行为对网络环境中潜在的威胁项、异常项、故障项等进行事前防御和处理，以节约网络安全监管时的计算资源。
3.但是在实际应用中，所述安全防御行为的低准确率存在多个复杂原因，主要原因有安全防御行为的对象错误、未能对安全防御行为的操作的进行进一步的验证等，而未对安全防御行为的操作在相应的执行前进行验证，又进一步导致安全防御行为的防御对象错误，成为了一个恶性循环。
4.综上，提供一种基于预测的网络安全验证方法、装置及系统，通过提取系统日志信息中的访问操作行为信息的数据头信息，并在数据头信息进行聚类分析之后，找到离群点，再进一步确定离群点所述访问操作行为对应的网络节点，并验证前述访问操作行为做出相应的安全防御行为，从而达到节约网络安全监管时的计算资源，避免更为严重的告警事件发生的技术效果，是当前亟需解决的技术问题。


技术实现要素：

5.本发明的目的在于：克服现有技术的不足，提供一种基于预测的网络安全验证方法、装置及系统，本发明能够采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
6.为解决现有的技术问题，本发明提供了如下技术方案：一种基于预测的网络安全验证方法，其特征在于包括步骤,采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未
做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
7.进一步，所述数据头信息包括http数据包头信息、ip数据报头部信息和数据文件头信息。
8.进一步，所述验证的对象包括前述网络节点的通信协议、数据传输协议和安全防御配置信息。
9.进一步，所述验证还包括对前述数据头信息对应的网络节点的数据信息进行数据完整性验证；所述数据完整性验证包括验证前述网络节点的通信协议、数据传输协议和该网络节点存储的数据信息。
10.进一步，所述访问操作行为对应的网络节点包括发出前述访问操作行为的网络节点或者接收前述访问操作行为的网络节点；当网络节点为发出前述访问操作行为的网络节点时，对待访问的目标网络节点进行预防御；当网络节点为接收前述访问操作行为的网络节点时，对发出访问的目标网络节点进行预防御。
11.进一步，验证前述离群点的网络节点和关联网络节点间的访问操作行为的步骤如下，提取前述离群点后，获得该离群点对应的数据头信息，确定所述数据头信息所属的访问操作行为；采集关联网络节点的日志信息，获取与前述所属的访问操作行为对应的日志信息段；得到前述网络节点与关联网络节点间的访问操作行为信息；判定前述网络节点与关联网络节点间的访问操作行为与前述离群点分析中针对网络节点的分析结果有无关联；判定无关联时，完成验证操作；判定有关联时，获取前述网络节点和关联网络节点在网络环境中的异常情形，采取相对应的网络安全预防御措施。
12.进一步，所述验证信息存储在验证信息数据库中，该数据库中存储有不可更改的多个验证信息，每个被使用过的验证信息都会生成对应的验证日志，用于排查和追溯。
13.进一步，对前述验证信息的使用情况进行记录，设置前述验证信息的使用次数，当前述验证信息达到预设的使用次数时，对前述验证信息进行更新，并将更新后的验证信息存储在验证信息数据库中。
14.一种基于预测的网络安全验证装置，其特征在于包括结构：信息采集单元，用以采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；信息分析单元，用以提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；信息获取单元，用以基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；信息验证单元，用以验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行
预防御。
15.一种基于预测的网络安全验证系统，其特征在于包括：网络节点，用于收发数据；网络安全管理系统，定期检测前述离群点的网络节点，并对前述网络节点的日志信息进行安全分析；系统服务器，所述系统服务器连接网络节点和网络安全管理系统；所述系统服务器被配置为：采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
16.基于上述优点和积极效果，本发明的优势在于：采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
17.进一步，所述验证还包括对前述数据头信息对应的网络节点的数据信息进行数据完整性验证；所述数据完整性验证包括验证前述网络节点的通信协议、数据传输协议和该网络节点存储的数据信息。
18.进一步，所述访问操作行为对应的网络节点包括发出前述访问操作行为的网络节点或者接收前述访问操作行为的网络节点；当网络节点为发出前述访问操作行为的网络节点时，对待访问的目标网络节点进行预防御；当网络节点为接收前述访问操作行为的网络节点时，对发出访问的目标网络节点进行预防御。
19.进一步，验证前述离群点的网络节点和关联网络节点间的访问操作行为的步骤如下，提取前述离群点后，获得该离群点对应的数据头信息，确定所述数据头信息所属的访问操作行为；采集关联网络节点的日志信息，获取与前述所属的访问操作行为对应的日志信息段；得到前述网络节点与关联网络节点间的访问操作行为信息；判定前述网络节点与关联网络节点间的访问操作行为与前述离群点分析中针对网络节点的分析结果有无关联；判定无关联时，完成验证操作；判定有关联时，获取前述网络节点和关联网络节点在网络环境中的异常情形，采取相对应的网络安全预防御措施。
附图说明
20.图1为本发明实施例提供的一个流程图。
21.图2为本发明实施例提供的另一个流程图。
22.图3为本发明实施例提供的又一个流程图。
23.图4为本发明实施例提供的装置的结构示意图。
24.图5为本发明实施例提供的系统的结构示意图。
25.附图标记说明：装置200，信息采集单元201，信息分析单元202，信息获取单元203，信息验证单元204；系统300，网络节点301，网络安全管理系统302，系统服务器303。
具体实施方式
26.以下结合附图和具体实施例对本发明公开的一种基于预测的网络安全验证方法、装置及系统作进一步详细说明。应当注意的是，下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的，它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中，各附图所出现的相同标号代表相同的特征或者部件，可应用于不同实施例中。因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
27.需说明的是，本说明书所附图中所绘示的结构、比例、大小等，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定发明可实施的限定条件，任何结构的修饰、比例关系的改变或大小的调整，在不影响发明所能产生的功效及所能达成的目的下，均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现，其中可以不按所述的或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
28.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
实施例
29.参见图1所示，为本发明提供的一个流程图。所述方法的实施步骤s100如下：s101，采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息。
30.所述系统日志由系统管理并加以保护，不能进行任意更改。该系统日志中严格记录着系统的行为，通过系统日志信息能够及时对潜在的系统入侵进行记录和预测。
31.作为举例而非限制，当系统日志中记录着系统接收到短时间内针对网络端口进行不间断的、反复的连接请求时，针对这一迹象，可以大概率判定系统内正遭受着入侵者使用端口扫描器对系统进行外部扫描的访问操作行为。然后，可以依据系统日志信息中的侵入踪迹，追踪到入侵者所使用的网络设备，并采取相应的防御操作，以保障网络安全的稳定运行。
32.所述系统日志信息包括但不限制于：系统安全日志、网络日志、审计数据，以及网络环境中各网络节点的访问操作行为信息等。
33.在本实施例的优选实施方式中，所述访问操作行为包括但不限制于访问请求、访
问操作（例如编辑、下载、读取数据等）。
34.所述访问操作行为体现在网络节点的访问操作行为信息上，所述访问操作行为信息包括但不限于访问行、访问头部、请求访问的数据等内容。
35.s102，提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析。
36.所述数据头信息可以是网络节点在进行前述访问操作行为时所展示的数据头部信息。
37.在本实施例的优选实施方式中，为通过简便的方式得到数据信息的主要信息，在数据传输的过程中，通过展示数据头信息的方式帮助系统快速识别该项操作的主要事项，其优势在于，一方面能够通过该数据头信息对数据传输的操作进行标记，另一方面方便系统识别和管理数据传输，通过识别和管理数据头信息的操作，以简化网络节点的日志记录。
38.此外，所述数据头信息可以根据不同的操作进行区别设置。所述数据头信息还可以是http报头信息、ip数据报头信息等。
39.以http报头信息作为举例并进行说明，所述http报头信息包括通用头部、请求头部、响应头部和实体头部四个部分，其中，每个头部都由一个域名，冒号（:）和域值三部分组成；所述通用头部是客户端和服务器都可以使用的头部，可以在客户端、服务器和其他应用程序之间提供一些非常有用的通用功能，如date头部；所述请求头部是请求报文特有的，它们为服务器提供了一些额外信息，比如客户端希望接收什么类型的数据，如accept头部；所述响应头部便于客户端提供信息，比如，客服端在与哪种类型的服务器进行交互，如server头部；所述实体头部指的是用于应对实体主体部分的头部，比如，可以用实体头部来说明实体主体部分的数据类型，如content-type头部。
40.所述聚类分析是根据在数据中发现的描述对象及其关系的信息，将数据对象分组。所述聚类分析的目的是得到较高的簇内相似度和较低的簇间相似度，使得簇间的距离尽可能大，簇内样本与簇中心的距离尽可能小。
41.因此，所述聚类分析的效果的好坏判定标准为组内的对象相互间是相似的（即相关的），而不同组中的对象是不同的（即不相关的）。也就是说，组内相似性越大，组间差距越大，说明聚类分析的效果越好。
42.需要说明的是，所述聚类分析的对象可以是关键词、告警原因、时间、安全日志信息、网络节点的访问行为和/或操作行为等。其中，所述安全日志信息包括前述网络安全设备采集到的网络节点出现异常时的日志信息，也可以时检测到网络环境发生异常时的日志信息。
43.s103，基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点。
44.所述离群点即异常值，对应数据分析中一个时间序列内的极端的数据值，该数据值可以是异常大或异常小，且明显偏离其余的观测值。因此，前述离群点能够反映数据的异常操作、异常行为、异常数值等情形。所述离群点分析是分析前述前述离群点中反映数据的异常操作、异常行为、异常数值等情形的一种分析方式。
45.由于前述前述离群点中反映数据的异常操作、异常行为、异常数值等情形的形成包括了多种产生情形，因此，基于所述离群点分析对前述离群点进行分析时，首先考虑前述
离群点形成的多个因素，例如系统外部干扰要素中的采样误差、信号故障等。然后，再基于获取该离群点的时间序列进行分析，结合该离群点对应的发生时间对应的操作进行分析。
46.所述网络节点，是指处于网络环境中具有独立网络地址和数据处理功能的终端，所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。所述网络节点可以是工作站、客户、网络用户或个人计算机，也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点，这些网络节点通过通信线路连接，形成网络拓扑结构。所述通信线路可以是有线通信方式，也可以是无线通信方式。
47.s104，验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
48.在本实施例的优选实施方式中，所述安全防御行为可以具体体现为在系统中显示有预测告警信息，在前述网络节点针对前述访问操作行为做出相应的安全防御行为验证操作时，网络安全管理系统会基于其预测告警能力，对前述网络节点的访问操作行为采取对应的网络安全防御策略。
49.所述预测告警信息是用以描述网络安全管理系统对网络环境实现预测告警的信息。所述预测告警针对所述网络安全管理系统中可能会触发告警的情形进行了事先的预测，并形成事前告警。
50.采取预测告警作为安全防御行为中的一种，其优势在于，所述预测告警在触发实时告警前，能够对可能发展为实时告警的告警进行预测，该操作能够在触发实时告警前，以预测告警的形式，提前对网络环境中的威胁进行防御，可以有效减少对网络安全造成的影响。
51.所述安全防御行为也可以体现为网络环境中网络安全设备对告警事件的处理上。
52.所述网络安全设备包括但不限制于防火墙、防毒墙、入侵检测系统、入侵防御系统、统一威胁安全网关和安全隔离网闸等，用以保护网络节点在网络环境中安全、稳定运行的设备。
53.所述防火墙是由软件和硬件设备组成，部署于内网和外网之间、专用网和公共网、局域网和互联网之间，用于保护内部网、专用网或者局域网不受非法用户入侵或者病毒、木马的攻击。
54.所述防毒墙是从前述防火墙发展而来的一种设备。所述防毒墙像防火墙一样抵御黑客攻击、控制网络访问，还能够有效过滤应用层的网络威胁（如病毒、木马、恶意程序等），并对网络应用和网络访问实现更加精准的控制（如限制用户在上班时间下载影音文件、网络聊天等）。
55.所述入侵检测系统（intrusion detection system，简称ids）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
56.所述入侵防御系统(intrusion prevention system，简称ips）是对防毒墙和防火墙的补充。所述入侵防御系统是一种能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
57.所述统一威胁安全网关(unified threat management，简称utm)是集防火墙、vpn、入侵检测系统、入侵防御系统、防毒墙、上网行为管理、内网安全、反垃圾邮件、抗拒绝
服务攻击（anti-dos）、内容过滤等多种安全技术于一身的网络安全设备，同时，统一威胁安全网关全面支持各种路由协议、qos、高可用性（ha）、日志审计等功能，为网络环境提供了全面实时的安全防护，以帮助使用者抵御复杂的安全威胁。
58.所述安全隔离网闸（gap）是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。所述安全隔离网闸依托安全隔离技术为网络提供了更高层次的安全防护能力，以增强网络的抗攻击能力，同时有效地防范了信息外泄事件的发生。
59.此外，所述安全防御行为还可以体现为网络环境中数据处理的相关算法，例如机器学习、博弈论等。
60.优选的，所述数据头信息包括http数据包头信息、ip数据报头部信息和数据文件头信息。
61.优选的，所述验证的对象包括前述网络节点的通信协议、数据传输协议和安全防御配置信息。
62.优选的，所述验证还包括对前述数据头信息对应的网络节点的数据信息进行数据完整性验证；所述数据完整性验证包括验证前述网络节点的通信协议、数据传输协议和该网络节点存储的数据信息。
63.所述数据完整性验证是对前述网络节点下的所有的数据信息和网络节点执行的操作进行验证，所述验证包括但不限制于前述网络节点与其它网络节点进行数据传输的通信协议、数据传输协议和该网络节点存储的数据信息。
64.优选的，所述访问操作行为对应的网络节点包括发出前述访问操作行为的网络节点或者接收前述访问操作行为的网络节点；当网络节点为发出前述访问操作行为的网络节点时，对待访问的目标网络节点进行预防御；当网络节点为接收前述访问操作行为的网络节点时，对发出访问的目标网络节点进行预防御。
65.作为举例而非限制，现有所述访问操作行为对应的网络节点a包括发出前述访问操作行为的网络节点a1或者接收前述访问操作行为的网络节点a2，待访问的目标节点b，以及，发出访问的目标网络节点c，当网络节点为发出前述访问操作行为的网络节点a1时，对待访问的目标网络节点b进行预防御；当网络节点为接收前述访问操作行为的网络节点a2时，对发出访问的目标网络节点c进行预防御。
66.参见图2所示，为本发明提供的另一个流程图，验证前述离群点的网络节点和关联网络节点间的访问操作行为的步骤s110如下：s111，提取前述离群点后，获得该离群点对应的数据头信息，确定所述数据头信息所属的访问操作行为。
67.s112，采集关联网络节点的日志信息，获取与前述所属的访问操作行为对应的日志信息段。
68.所述网络节点的日志信息是指网络设备、系统及服务程序等，在运作时产生的事件记录，其中，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于连接持续的时间，协议类型，目标主机的网络服务类型，连接正常或错误的状态，从源主机到目标主机的数据字节数，从目标主机到源主机的数据字节数，错误分段的数量，加急包的个数等。
69.s113，得到前述网络节点与关联网络节点间的访问操作行为信息。
70.s114，判定前述网络节点与关联网络节点间的访问操作行为与前述离群点分析中针对网络节点的分析结果有无关联。
71.作为举例而非限制，现有网络节点a、关联网络节点b、关联网络节点c和关联网络节点d，假设前述离群点分析中针对网络节点a的分析结果为端口访问操作异常，此时要判断前述网络节点a与关联网络节点b、关联网络节点c和/或关联网络节点d间的访问操作行为与前述离群点分析中针对网络节点的分析结果（即端口访问操作异常）有无关联。
72.s115，判定无关联时，完成验证操作；判定有关联时，获取前述网络节点和关联网络节点在网络环境中的异常情形，采取相对应的网络安全预防御措施。
73.作为举例而非限制，当判定前述网络节点a与关联网络节点b、关联网络节点c和/或关联网络节点d间的访问操作行为与前述离群点分析中针对网络节点的分析结果（即端口访问操作异常）无关联时，此时，完成验证操作，并得到前述离群点分析中的网络节点的异常情形不是前述关联网络节点导致的，然后可以通过对异常情形的可能情形进行逐一排除，并获得准确的判断结果；当判定前述网络节点a与关联网络节点b、关联网络节点c和/或关联网络节点d间的访问操作行为与前述离群点分析中针对网络节点的分析结果（即端口访问操作异常）有关联时，可以得到前述离群点分析中的网络节点的异常情形与前述关联网络节点有关的结论，然后可以获取前述网络节点a与关联网络节点b、关联网络节点c和/或关联网络节点d间在网络环境中的异常情形，例如端口访问操作异常、ip地址冲突、网络中出现广播风暴等情形，并对获取的异常情形采取相对应的网络安全预防御措施。
74.作为本实施例的另一优选实施方式，参见图3所示，所述验证还可以对前述离群点的网络节点和关联网络节点间的访问操作行为采取交叉验证操作。所述交叉验证操作的具体步骤s120可以是：s121，采集操作:采集前述离群点的网络节点访问操作行为信息，将前述访问操作行为信息拆分为前述离群点的网络节点的访问行为信息和前述关联网络节点的操作行为信息；或者，拆分为前述离群点的网络节点的操作行为信息和前述关联网络节点的访问行为信息。
75.其中，所述访问行为可以是发出访问请求、允许接入访问等，所述操作行为可以下载、在线编辑等。
76.s122,验证操作：验证前述离群点的网络节点的访问行为信息和前述关联网络节点的操作行为信息是否匹配；和/或，验证前述离群点的网络节点的操作行为信息和前述关联网络节点的访问行为信息是否匹配。
77.s123,获取结论：基于前述验证操作得到验证结论；验证匹配时，前述网络节点与关联网络节点间无访问和操作异常，得出前述网络节点和前述关联网络节点不存在异常的验证结论；验证不匹配时，前述网络节点与关联网络节点间存在访问和操作异常，得出前述网络节点和关联网络节点间确有异常的验证结论。
78.s124,消除影响：在验证不匹配时，对前述网络节点和关联网络节点间确有异常的验证结论，进行进一步分析，获取前述网络节点和关联网络节点间对应异常的预测告警信息。
79.作为举例而非限制，网络节点a的访问权限与关联网络节点b的允许执行的操作权
限存在不匹配的问题，此时，可以采取中止网络节点a的访问，或是扩大关联网络节点b的允许执行的操作权限等操作，以消除基于前述网络节点a和关联网络节点b间的异常原因得到的预测告警信息对网络安全带来的影响。
80.优选的，所述验证信息存储在验证信息数据库中，该数据库中存储有不可更改的多个验证信息，每个被使用过的验证信息都会生成对应的验证日志，用于排查和追溯。
81.优选的，对前述验证信息的使用情况进行记录，设置前述验证信息的使用次数，当前述验证信息达到预设的使用次数时，对前述验证信息进行更新，并将更新后的验证信息存储在验证信息数据库中。
82.其它技术特征参考在前实施例，在此不再赘述。
83.参见图4所示，本发明还给出了一个实施例，提供了一种基于预测的网络安全验证装置200，其特征在于包括结构：信息采集单元201，用以采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息。
84.信息分析单元202，用以提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析。
85.信息获取单元203，用以基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点。
86.信息验证单元204，用以验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
87.此外，参见图5所示，本发明还给出了一个实施例，提供了一种基于预测的网络安全验证系统300，其特征在于包括：网络节点301，用于收发数据。
88.网络安全管理系统302，定期检测前述离群点的网络节点，并对前述网络节点的日志信息进行安全分析。
89.所述的定期检测可以设置检测时间或是检测时间周期，所述的定期检测可以是下述项目，包括但不限于网页防篡改，进程异常行为，异常登录，敏感文件篡改，恶意进程等。
90.系统服务器303，所述系统服务器303连接网络节点301和网络安全管理系统302。
91.所述系统服务器303被配置为：采集网络环境的系统日志信息，所述系统日志信息包括网络环境中各网络节点的访问操作行为信息；提取系统日志信息中的访问操作行为信息的数据头信息，并对前述数据头信息进行聚类分析；基于聚类的离群点分析获取数据头信息中的离群点，获取前述离群点所属的访问操作行为后，确定该访问操作行为对应的网络节点；验证前述网络节点是否针对前述访问操作行为做出相应的安全防御行为；验证未做出时，调用预设的网络安全数据库的防御方案对前述网络节点进行预防御。
92.其它技术特征参见在前实施例，在此不再赘述。
93.在上面的描述中，在本公开内容的目标保护范围内，各组件可以以任意数目选择性地且操作性地进行合并。另外，像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的，而不是排他性的或封闭性，除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义，除非其被限定为相反的
含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释，除非本公开内容明确将其限定成那样。
94.虽然已出于说明的目的描述了本公开内容的示例方面，但是本领域技术人员应当意识到，上述描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明的优选实施方式的范围包括另外的实现，其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。