CN120110792A 一种多层级自适应网络安全防护方法及系统 （北京航天星桥科技股份有限公司）

限公司11590专利代理师潘镜如一种多层级自适应网络安全防护方法及系统本发明公开了一种多层级自适应网络安全开始开始在多层级自适应网络的终端设备层获取用户访问请求基于用户访问请求，通过硬件安全模块下发密钥，获取用户访问数据基于应用访问数据、终端设备数据和密钥时间间隔，计算网络敏感信息风险值基于网络敏感信息风险值和网络边界数据，确定威胁情报数据基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并进行实施结束2在多层级自适应网络的终端设备层获取用户访问请求；基于用户访问请求，通过硬件安全模块下发密钥，获取用户访问数据；所述用户访问数据包括应用访问数据、网络边界数据、核心通信链路数据、终端设备数据和密钥时间间隔；基于应用访问数据、终端设备数据和密钥时间间隔，计算网络敏感信息风险值；基于网络敏感信息风险值和网络边界数据，确定威胁情报数据；基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并进行实施。2.根据权利要求1所述的多层级自适应网络安全防护方法，其特征在于，所述终端设备数据包括发出用户访问请求对应的用户的访问信息包括用户所属部门、用户等级、设备编所述应用访问数据为用户的历史访问信息；所述历史访问信息包括历史设备编号/IP申请数据内容、历史申请频次、历史密钥输入时间间隔和用户所属部门与其他部门的历史协作信息。3.根据权利要求2所述的多层级自适应网络安全防护方法，其特征在于，所述基于应用基于申请时间、设备编号/IP地址和历史设备编号/IP地址，设置敏感因子；基于用户所属部门与其他部门的历史协作信息，构建部门关联矩阵；基于申请时间、申请频次、密钥输入时间间隔、历史申请时间、历史申请频次和历史密调用用户访问请求对应的申请数据内容，并基于申请数据大小、申请数据等级、历史申请数据大小、历史申请数据等级和历史申请数据内容，计算访问信息风险指标；基于等级风险指标、时间风险指标和访问信息风险指标，计算网络敏感信息风险值。4.根据权利要求3所述的多层级自适应网络安全防护方法，其特征在于，所述计算时间风险指标的过程包括：对历史申请时间、历史申请频次和历史密钥输入时间间隔进行归一化处理；基于各归一化后的历史申请时间及其对应的归一化后的历史申请频次和归一化后的历史密钥输入时间间隔，通过核密度估计方法绘制对应的三维时间分布图；对申请时间、申请频次、密钥输入时间间隔进行归一化并整合为申请坐标数据；计算申请坐标数据与三维时间分布图的所有坐标点的距离；基于所有距离，计算对应的平均距离；判断平均距离是否小于距离阈值；若是则该申请坐标数据落点于三维时间分布图上，并将时间相似指标的值设为0;反之则计算申请坐标数据与三维时间分布图的垂直距离，并作为时间相似指标。5.根据权利要求3所述的多层级自适应网络安全防护方法，其特征在于，所述计算访问信息风险指标的过程包括：对申请数据内容和历史申请数据内容进行匹配，计算对应的数据匹配度；基于申请数据大小和历史申请数据大小，计算数据量重合度；3基于申请数据等级和历史申请数据等级，确定数据等级相似度；基于数据匹配度、数据量重合度和数据等级相似度，计算访问信息风险指标。6.根据权利要求2所述的多层级自适应网络安全防护方法，其特征在于，所述基于网络敏感信息风险值和网络边界数据，确定威胁情报数据，包括：根据实际需求设置风险阈值；判断网络敏感信息风险值是否小于风险阈值；若是则同意该用户访问请求，调用对应的数据内容反馈至用户，完成对该用户访问请求的防护；反之则将用户访问请求视为危险行为，并对网络边界数据进行分析，得到对应的网络安全分析结果；基于网络安全分析结果，通过防御检测系统和防火墙识别潜在威胁；对危险行为和潜在威胁进行关联分析，得到对应的关联分析结果；基于关联分析结果，确定威胁情报数据。7.根据权利要求2所述的多层级自适应网络安全防护方法，其特征在于，所述基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并实施，包括：对核心通信链路数据进行识别，得到异常通信模式；对威胁情报数据进行解析，提取威胁情报数据中的关键信息；基于关键信息和异常通信模式，评估威胁严重程度；基于威胁严重程度，对安全防护策略进行动态调整，得到调整后的安全防护策略并进行实施。8.一种多层级自适应网络安全防护系统，用于实现权利要求1至7任一个所述的一种多用户访问请求采集模块，用于在多层级自适应网络的终端设备层获取用户访问请求；用户访问数据获取模块，用于基于用户访问请求，通过硬件安全模块下发密钥，获取用户访问数据；所述用户访问数据包括应用访问数据、网络边界数据、核心通信链路数据、终端设备数据和密钥时间间隔；网络敏感信息风险计算模块，用于基于应用访问数据、终端设备数据和密钥时间间隔，计算网络敏感信息风险值；威胁情报数据分析模块，用于基于网络敏感信息风险值和网络边界数据，确定威胁情报数据；安全防护策略调整模块，用于基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并实施。9.根据权利要求8所述的多层级自适应网络安全防护系统，其特征在于，所述网络敏感信息风险计算模块包括：相关参数设置单元，用于设置敏感因子和构建部门关联矩阵；等级风险指标计算单元，用于基于部门关联矩阵、敏感因子、终端设备数据，计算等级风险指标；时间风险指标计算单元，用于基于终端设备数据和应用访问数据，计算时间风险指标；访问信息风险指标计算单元，用于调用用户访问请求对应的申请数据内容，并基于终端设备数据和应用访问数据，计算访问信息风险指标；网络敏感信息风险计算单元，用于基于等级风险指标、时间风险指标和访问信息风险4CN120110792A指标，计算网络敏感信息风险值。5技术领域[0001]本发明涉及网络安全技术领域，特别涉及一种多层级自适应网络安全防护方法及背景技术[0002]随着企业数字化转型的加速，网络安全防护技术逐渐成为保障企业核心数据资产和业务连续性的关键。当前主流的网络安全防护体系主要基于分层防御架构，结合传统安全技术(如防火墙、入侵检测系统、加密通信)和新兴技术),形成了多层次、多维度的防护框架。目前，企业的网络安全防护大多通过在不同网络层级(如终端设备层、网络边界层、核心通信层)部署独立的安全模块(如防火墙、IDS/IPS、硬件加密模块),形成纵深防御体系，有效拦截外部攻击。虽然在一定程度上提升了企业网络的安全性，但在应对复杂攻击场景和内部威胁时仍存在显著缺陷，尤其在企业信息泄露和高级持续性威胁(APT)防护方面。传统安全策略依赖预定义规则，无法动态响应新型攻击或内部用户的异常行为。例如，合法用户在非工作时间频繁访问敏感数据时，静态策略难以实时调整权限或触发告警。各层级安全工具(如终端设备日志、网络流量数据、应用层访问记录)独立运行，缺乏数据整合与关联分析能力，导致威胁情报碎片化，难以识别跨层级的隐蔽攻击。发明内容[0003]本发明的目的在于提供一种多层级自适应网络安全防护方法及系统，以改善上述技术问题。[0004]为了实现上述发明目的，本发明实施例提供了以下技术方案：[0005]提供了一种多层级自适应网络安全防护方法，其包括：[0006]在多层级自适应网络的终端设备层获取用户访问请求；[0007]基于用户访问请求，通过硬件安全模块下发密钥，获取用户访问数据；所述用户访问数据包括应用访问数据、网络边界数据、核心通信链路数据、终端设备数据和密钥时间间[0008]基于应用访问数据、终端设备数据和密钥时间间隔，计算网络敏感信息风险值；[0009]基于网络敏感信息风险值和网络边界数据，确定威胁情报数据；[0010]基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并进行实施。[0011]进一步地，所述终端设备数据包括发出用户访问请求对应的用户的访问信息包括数据大小和申请数据等级；[0012]所述应用访问数据为用户的历史访问信息；所述历史访问信息包括历史设备编号/IP地址、历史申请时间、历史申请数据所属部门、历史申请数据大小、历史申请数据等级、历史申请数据内容、历史申请频次、历史密钥输入时间间隔和用户所属部门与其他部门的历史协作信息。6[0013]进一步地，所述基于应用访问数据、终端设备数据和密钥时间间隔，计算网络敏感信息风险值，包括：[0014]基于申请时间、设备编号/IP地址和历史设备编号/IP地址，设置敏感因子；[0015]基于用户所属部门与其他部门的历史协作信息，构建部门关联矩阵；[0016]基于部门关联矩阵、敏感因子、用户等级和申请数据等级，计算等级风险指标；[0017]基于申请时间、申请频次、密钥输入时间间隔、历史申请时间、历史申请频次和历史密钥输入时间间隔，计算时间风险指标；[0018]调用用户访问请求对应的申请数据内容，并基于申请数据大小、申请数据等级、历史申请数据大小、历史申请数据等级和历史申请数据内容，计算访问信息风险指标；[0019]基于等级风险指标、时间风险指标和访问信息风险指标，计算网络敏感信息风险[0020]进一步地，所述计算时间风险指标的过程包括：[0021]对历史申请时间、历史申请频次和历史密钥输入时间间隔进行归一化处理；[0022]基于各归一化后的历史申请时间及其对应的归一化后的历史申请频次和归一化后的历史密钥输入时间间隔，通过核密度估计方法绘制对应的三维时间分布图；[0023]对申请时间、申请频次、密钥输入时间间隔进行归一化并整合为申请坐标数据；[0024]计算申请坐标数据与三维时间分布图的所有坐标点的距离；基于所有距离，计算对应的平均距离；[0025]判断平均距离是否小于距离阈值；若是则该申请坐标数据落点于三维时间分布图上，并将时间相似指标的值设为0;反之则计算申请坐标数据与三维时间分布图的垂直距离，并作为时间相似指标。[0026]进一步地，所述计算访问信息风险指标的过程包括：[0027]对申请数据内容和历史申请数据内容进行匹配，计算对应的数据匹配度；[0028]基于申请数据大小和历史申请数据大小，计算数据量重合度；[0029]基于申请数据等级和历史申请数据等级，确定数据等级相似度；[0030]基于数据匹配度、数据量重合度和数据等级相似度，计算访问信息风险指标。[0031]进一步地，所述基于网络敏感信息风险值和网络边界数据，确定威胁情报数据，包[0032]根据实际需求设置风险阈值；判断网络敏感信息风险值是否小于风险阈值；若是则同意该用户访问请求，调用对应的数据内容反馈至申请用户，完成对该用户访问请求的防护；[0033]反之则将用户访问请求视为危险行为，并对网络边界数据进行分析，得到对应的网络安全分析结果；[0034]基于网络安全分析结果，通过防御检测系统和防火墙识别潜在威胁；[0035]对危险行为和潜在威胁进行关联分析，得到对应的关联分析结果；[0036]基于关联分析结果，确定威胁情报数据。[0037]进一步地，所述基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并实施，包括：[0038]对核心通信链路数据进行识别，得到异常通信模式；7[0039]对威胁情报数据进行解析，提取威胁情报数据中的关键信息；[0040]基于关键信息和异常通信模式，评估威胁严重程度；[0041]基于威胁严重程度，对安全防护策略进行动态调整，得到调整后的安全防护策略并进行实施。[0042]提供了一种多层级自适应网络安全防护系统，其包括：[0043]用户访问请求采集模块，用于在多层级自适应网络的终端设备层获取用户访问请[0044]用户访问数据获取模块，用于基于用户访问请求，通过硬件安全模块下发密钥，获取用户访问数据；所述用户访问数据包括应用访问数据、网络边界数据、核心通信链路数[0045]网络敏感信息风险计算模块，用于基于应用访问数据、终端设备数据和密钥时间[0046]威胁情报数据分析模块，用于基于网络敏感信息风险值和网络边界数据，确定威胁情报数据；[0047]安全防护策略调整模块，用于基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并实施。[0048]进一步地，所述网络敏感信息风险计算模块包括：[0049]相关参数设置单元，用于设置敏感因子和构建部门关联矩阵；[0050]等级风险指标计算单元，用于基于部门关联矩阵、敏感因子、终端设备数据，计算[0051]时间风险指标计算单元，用于基于终端设备数据和应用访问数据，计算时间风险指标；[0052]访问信息风险指标计算单元，用于调用用户访问请求对应的申请数据内容，并基于终端设备数据和应用访问数据，计算访问信息风险指标；[0053]网络敏感信息风险计算单元，用于基于等级风险指标、时间风险指标和访问信息风险指标，计算网络敏感信息风险值。[0054]本发明的有益效果为：[0055]本发明通过在终端设备层获取用户访问请求，结合硬件安全模块下发密钥获取用户访问数据，计算网络敏感信息风险值，确定威胁情报数据，并基于这些数据动态调整安全防护策略，全面提升了网络安全防护的实时性、准确性和适应性，能够及时发现并应对潜在的安全威胁，有效保护企业网络和数据资产；通过多维度数据的综合分析和利用，实现了精准的风险评估和自动化的安全决策，提高了网络安全管理的效率和效果，减少了安全事件发生的可能性及其对企业业务的负面影响。附图说明[0056]为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。8[0057]图1为本发明实施例中方法流程图；[0058]图2为本发明实施例中网络敏感信息风险值的计算方法流程图；[0059]图3为本发明实施例中系统结构图；[0060]图4为本发明实施例中网络敏感信息风险计算模块结构图。具体实施方式[0061]下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。[0062]请参阅图1,本实施例提供的一种多层级自适应网络安全防护方法，其包括[0063]S1、在多层级自适应网络的终端设备层获取用户访问请求。用户访问请求是指用户需要的数据内容，例如，研发部门的某员工，需要调用该公司的产品参数和研发数据。[0064]其中，多层级自适应网络包括硬件安全模块、终端设备层、网络边界层、核心通信链路和应用层。[0065]S2、基于用户访问请求，通过硬件安全模块下发密钥，获取用户访问数据。所述用户访问数据包括应用访问数据、网络边界数据、核心通信链路数据、终端设备数据和密钥时间间隔。密钥时间间隔是指从下发密钥到密钥输入之间的时间间隔。[0067]S2-1、对用户进行身份验证；若身份验证不通过，则判定威胁程度为中级，进入S5-4;反之则进入S2-2。用户是指发出用户访问请求的人员。[0068]S2-2、通过多层级自适应网络的硬件安全模块下发密钥至用户端，获取密钥时间[0069]S2-3、获取多层级自适应网络中各层级的应用访问数据、网络边界数据、核心通信[0070]终端设备数据为终端设备层中的数据，其包括该用户的访问信息包括用户所属部申请数据等级。用户等级是指根据用户的岗位设置的权限等级，例如，总管的权限等级为3,经理的权限等级为2,权限等级随着岗位等级越低而降低。[0071]应用访问数据为该用户的历史访问信息；历史访问信息包括历史设备编号/IP地请数据内容、历史申请频次、历史密钥输入时间间隔和用户所属部门与其他部门的历史协作信息。历史协作信息包括历史协作次数、历史数据共享次数。[0072]核心通信链路数据为核心通信链路中的数据，其包括链路流量大小和链路流量速[0073]网络边界数据为网络边界层中的数据，其包括流量数据、连接状态网络和外部攻9[0074]本发明精准采集企业/公司的多源数据，便于统一管理和分析，提高访问管理效Context。若申请时间处于工作时间，则敏感因子为-0.2;若设备编号属于历史设备编号，T;,max分别表示用户所属部门i和申请数据所属部门j之间的共享次数、用户所属部门i的[0083]S3-3、基于部门关联矩阵、敏感因子、用户等级和申请数据等级，计算等级风险指[0084]等级风险指标Pgrade对应的公式为：一部门的数据的历史频率，Pmatch表示用户-数据等级指标，△max表示预设的最大允许等和历史密钥输入时间间隔，计算时间风险指标。[0089]所述S3-4包括：[0090]S3-4-1、对历史申请时间、历史申请频次和历史密钥输入时间间隔进行归一化处理；每提出一次申请，则申请频次加1;从而，每个申请时间都有对应的历史秘钥输入时间间隔和历史申请频次。[0091]S3-4-2、基于各归一化后的历史申请时间及其对应的归一化后的历史申请频次和归一化后的历史密钥输入时间间隔，通过核密度估计方法绘制对应的三维时间分布图。三维时间分布图的XYZ轴分别为申请时间、申请频次和密钥输入时间间隔对应的值。[0092]S3-4-3、对申请时间、申请频次、密钥输入时间间隔进行归一化并整合为申请坐标数据。[0093]S3-4-4、计算申请坐标数据与三维时间分布图的所有坐标点的距离；基于所有距[0094]S3-4-5、判断平均距离是否小于距离阈值；若是则该申请坐标数据落点于三维时间分布图上，并将时间相似指标的值设为0;反之则进入S3-4-6。距离阈值在不同的情形根据网络安全人员的经验进行设置。[0095]S3-4-6、计算申请坐标数据与三维时间分布图的垂直距离，并作为时间相似指标。[0096]S3-5、调用用户访问请求对应的申请数据内容，并基于申请数据大小、申请数据等级、历史申请数据大小、历史申请数据等级和历史申请数据内容，计算访问信息风险指标。[0097]所述S3-5包括：[0098]S3-5-1、对申请数据内容和历史申请数据内容进行匹配，计算对应的数据匹配度Ps,包括：[0099]对申请数据内容进行数据清洗，剔除申请数据内容中的特殊字符、停用词和标点[0100]对申请清洗数据进行分词、词干提取和词形还原，得到申请分词数据。[0101]对申请分词数据进行特征提取，得到对应的申请特征向量数据。[0102]计算申请特征向量数据和历史申请数据内容的相似度，将各相似度的平均值作为[0103]S3-5-2、基于申请数据大小和历史申请数据大小，计算数据量重合度Pvolume,对应的公式为：[0106]S3-5-3、基于申请数据等级和历史申请数据等级，确定数据等级相似度Pevel,对应的公式为：[0109]S3-5-4、基于数据匹配度、数据量重合度和数据等级相似度，计算访问信息风险指标Psvl,对应的公式为：[0112]S3-6、基于等级风险指标Pgrade、时间风险指标Pime-distance和访问信息风险指标Psvi,计算网络敏感信息风险值Pfianl,对应的公式为：[0114]其中，η1、η2、η3表示网络敏感权重系数，对应的值均大于0。其中，[0115]本发明综合考虑时间、用户等级、数据等级、历史行为等多维度因素，全面精准地评估网络访问行为的风险程度，减少漏报和误报。将风险评估细化到具体指标，实现风险的量化和分级管理，有助于采取针对性防护措施，有利于实时监测关键风险因素，动态更新风险值，及时捕捉潜在威胁。提供准确的风险评估数据，助力安全策略的动态调整和智能决策，提升网络安全防护的自动化与智能化水平。可根据企业需求调整权重系数和风险阈值，灵活适应不同企业、行业的网络安全需求，为安全防护策略的动态调整提供量化依据，针对高风险行为及时采取严格防护措施。[0117]所述S4包括：[0118]S4-1、根据实际需求设置风险阈值；判断网络敏感信息风险值是否超过风险阈值；若是则将用户访问请求视为危险行为，并进入S4-2;反之则同意该用户访问请求，调用对应的数据内容反馈至用户，完成对该用户访问请求的防护，实施上一防护的安全防护策略。利用网络敏感信息风险值进行判断，可迅速区分高风险访问请求，及时发出预警，使企业能快速响应潜在威胁，为企业的安全系统提供自动化决策依据，减少人工干[0119]S4-2、对网络边界数据进行分析，得到对应的网络安全分析结果。[0120]网络安全分析结果包括流量数据分析结果、连接状态分析结果和外部攻击分析结[0121]对流量数据进行监测，分析流量大小和变化趋势，得到流量数据分析结果，可用于识别异常流量峰值或流量突增的情况。若出现异常流量峰值或流量突增，则表明企业/公司可能受到网络攻击或数据泄露。[0122]对连接状态网络进行检查，识别来自可疑IP地址的连接、短时间内大量连接尝试或异常的连接持续时间，得到连接状态分析结果。[0123]对外部攻击信息进行分析，确定攻击的类型、频率和强度，得到外部攻击分析结果。S4-2中的分析过程均采用现有的网络分析方法。[0124]S4-3、基于网络安全分析结果，通过防御检测系统(IDS入侵检测系统、IPS入侵防御系统)和防火墙识别潜在威胁。分别通过防御检测系统(IDS入侵检测系统、IPS入侵防御系统)和防火墙对网络完全分析结果进行识别，分别得到对应的识别结果；将所有的识别结[0125]S4-4、对危险行为和潜在威胁进行关联分析，得到对应的关联分析结果。[0126]对危险行为和潜在危险进行整合，得到危险数据集；利用关联规则挖掘算法提取危险数据集中不同数据之间的潜在关系，并结合该企业的业务流程和网络架构，确定危险行为和潜在威胁与特定业务活动之间的关系并通过图形化界面进行展示。图形化界面可采用网络拓扑图或时间序列图。[0127]S4-5、基于关联分析结果，确定威胁情报数据。利用机器学对关联分析结果和危险数据集进行处理，提取威胁特征；整合提取的所有威胁特征，得到威胁情报数据。机器学习可采用聚类算法、决策树算法和随机森林。[0128]本发明对网络边界数据进行分析，可提供全面的网络安全态势感知，助力企业实时了解网络状况，及时发现异常流量峰值或流量突增，快速检测DDoS攻击或数据泄露事件，减轻其对企业网络的影响，还能识别来自可疑IP地址的连接、短时间内大量连接尝试等异常行为，及早发现暴力破解攻击或恶意扫描行为。基于网络安全分析结果，通过防御检测系统和防火墙识别潜在威胁，融合IDS、IPS和防火墙的检测结果，提升威胁检测准确性，降低漏报率，及时识别并响应潜在威胁。对危险行为和潜在威胁进行关联分析，揭示危险行为和潜在威胁间的隐藏关系，提供更深入的威胁洞察，助力企业制定更有效的安全策略，明确危险行为和潜在威胁与业务活动的关系，制定精准的安全防护策略，保护关键业务资产；利用机器学习提取威胁特征，整合得到威胁情报数据，机器学习算法自动提取威胁特征，提高特征提取效率和准确性，助力企业快速识别新型威胁，整合威胁特征形成威胁情报数据，便于企业内部共享和与其他组织共享，提升整体网络安全防护水平。[0129]S5、基于威胁情报数据和核心通信链路数据，动态调整安全防护策略并[0131]S5-1、对核心通信链路数据进行识别，得到异常通信模式。[0132]利用历史核心通信链路数据建立核心通信链路的正常行为基线，确定正常流量范[0133]对比核心通信链路数据与正常行为基线，得到对比结果。[0134]基于对比结果，使用统计分析或机器学习算法识别异常模式，如流量突增、延迟过常模式和相关信息，得到异常通信模式。[0135]S5-2、对威胁情报数据进行解析，提取威胁情报数据中的关键信息，如攻击源IP地[0136]提取攻击源IP、攻击类型、攻击时间、受影响系统等原始关键信息；对初始关键信息进行分类和同意信息格式，得到初始关键信息；基于预设的筛选条件对初始关键信息进行筛选，得到关键信息。所述筛选条件可以为预设规则或者重要性级别，根据实际需求/条件所设定。[0137]S5-3、基于关键信息和异常通信模式，评估威胁严重程度。[0139]S5-3-1、将关键信息与异常通信模式进行关联分析，例如，查看攻击源IP是否与异常链路流量的源IP匹配，或攻击时间是否与异常通信时间段重合，得到对应的威胁关联信[0140]S5-3-2、将威胁关联信息、关键信息与异常通信模式输入至风险评估模型：运用风险评估模型综合考虑威胁的可能性和影响，得到对应的风险评估结果，即威胁严重程度。威胁严重程度分为高、中、低三级。风险评估模型可采用LSTM神经网络、DBN神经网络和Transformer神经网络。[0141]S5-4、基于威胁严重程度，对安全防护策略进行动态调整，得到调整后的安全防护策略并进行实施。[0142]当威胁严重程度为高级时，采用并实施高危威胁策略，立即驳回用户访问请求、封锁攻击源IP、关闭受影响系统非必要端口，开启防护模式并发送警告信号至网络安全防护部门或者负责网络安全的部门。[0143]当威胁严重程度为中级时，采用并实施中危威胁策略，重复对用户进行身份验证，包括但不限于人脸识别、指纹识别等验证方法，发送预警信号至网络安全防护部门或者负责网络安全的部门，加强监测受影响系统或链路，限制部分可疑IP的访问权限。[0144]当威胁严重程度为低级时，保持正常监测，考虑在不影响业务的前提下采取轻微防护措施。[0145]本发明通过对核心通信链路数据的识别和分析，能够精准地识别出异常通信模式；对威胁情报数据的解析和关键信息的提取，有助于快速聚焦于关键威胁特征，提高威胁识别的效率和准确性；基于关键信息和异常通信模式的关联分析以及风险评估模型的应用，科学评估威胁严重程度，实现对威胁的分级管理，确保企业能够将有限的安全资源优先分配给高风险威胁。根据威胁严重程度动态调整安全防护策略，使得企业的网络安全防护措施更具针对性和时效性，能够有效阻断攻击源，降低安全事件对业务运营的影响，同时通过不同级别的威胁应对策略，实现了安全防护的精细化管理，保障了企业网络的安全稳定10/10页10/10页[0146]如图3所示，