基于用户行为和流量分析的未知安全事件的响应方法、系统、设备和介质

本发明公开一种基于用户行为和流量分析的未知安全事件的响应方法、系统、设备和介质，属于计算机网络安全技术领域。方法包括：从镜像网络流量或者数据包流中提取流量特征；提取用户的行为特征；将已知动作对应的流量特征和行为特征存储于动作特征库；将提取的流量特征与动作特征库中的流量特征进行比对，将提取的行为特征与动作特征库中的行为特征进行比对，若比对成功，则检测到异常动作；从函数库中查询异常动作的阻断代码，生成阻断脚本；将阻断脚本转换成可执行程序后，调用防火墙接口阻断用户访问服务器，或者调用服务器或服务的相应接口中断用户访问，或是直接做关机处理。本发明实现了对未知安全事件的快速识别和响应。