本发明专利技术公开了一种网络攻击事件的处理方法及其电子设备。具体的,所述处理方法包括:获取待监测网络中的安全设备的第一告警数据并存入数据库,所述第一告警数据基于网络攻击事件;满足任一设定条件时,基于维度对所述第一告警数据进行统计分析,获得统计分析结果;根据所述统计分析结果,执行处理操作。本发明专利技术的技术方案打破了安全设备之间的壁垒,无需人工沟通,基于统计分析结果,即可有针对性的处理网络攻击事件,降低了对监控人员识别分析告警数据的能力要求,极大的节约用于传报、沟通的时间,显著提高对网络攻击事件的处理效率。
【技术实现步骤摘要】
一种网络攻击事件的处理方法及其电子设备
本专利技术涉及网络安全
,特别是指一种网络攻击事件的处理方法及其电子设备。
技术介绍
随着网络不断普及、应用不断深化,互联网对人们的影响范围从广度和深度都在持续增长。相对应的网络安全事件也层出不穷,分布式拒绝服务攻击(Distributeddenialofserviceattack,DDoS攻击)、中间人攻击、恶意软件、钓鱼攻击、勒索病毒等攻击手段,不仅会给人们造成重大经济损失,在医疗、交通等敏感领域还会影响人们的生命安全,甚至对国家战略性关键基础设施产生严重的破坏性。为了应对当前情况,大量的安全设备被企业部署在网络的不同位置进行攻击事件检测、防护与处置。然而,大量的安全设备由各业务或系统责任部门单独管理,缺乏统一规划、统一管控、更无法实现快速联动,当安全事件的处置需要各专业互相配合时,仅依靠人工沟通、定位与响应,处理速度受限,无法达到理想的处理效果。
技术实现思路
有鉴于此,本专利技术的目的在于提出一种网络攻击事件的处理方法及其电子设备,能够解决现有技术中各安全设备分别管理、缺乏快速联动的问题。基于上述目的本专利技术提供的一种网络攻击事件的处理方法,包括:获取待监测网络中的安全设备的第一告警数据并存入数据库,所述第一告警数据基于网络攻击事件;满足任一设定条件时,基于维度对所述第一告警数据进行统计分析,获得统计分析结果;根据所述统计分析结果,执行处理操作。进一步的,所述设定条件包括预设的所述第一告警数据的数量和预设的监测时长。进一步的,还包括:获取所述处理操作的反馈结果,若所述反馈结果为处理失败,则标识对应的所述第一告警数据。进一步的,所述获取待监测网络中的安全设备的第一告警数据并存入数据库,所述第一告警数据基于网络攻击事件的步骤,包括:获取原始告警数据,封包处理得到封包告警数据并发送给第一分布式订阅消息系统;读取所述封包告警数据,融合处理后得到第一告警数据并发送给第二分布式订阅消息系统;读取所述第一告警数据,根据告警类型存储于所述数据库的对应数据模式中。进一步的,所述融合处理得到第一告警数据的步骤,包括:对所述封包告警数据进行标准化处理;根据过滤条件,筛选标准化的封包告警数据;如果满足所述过滤条件,则直接得到所述第一告警数据;如果不满足所述过滤条件,则进行富化处理后得到所述第一告警数据。进一步的,所述进行富化处理后得到所述第一告警数据的步骤,包括:获取待富化处理的标准化的封包告警数据的字段名和字段值,匹配富化规则,得到目标字段名以及目标字段值;基于告警类型,匹配所述数据库中对应的数据模式;基于所述数据模式,排列所述目标字段名以及所述目标字段值得到所述第一告警数据。进一步的,所述根据所述统计分析结果,执行处理操作的步骤,包括:根据所述统计分析结果,进行危害判断;根据危害判断结果,执行对应的处理操作。进一步的,还包括:采集所述获取待监测网络中的安全设备的第一告警数据并存入数据库这一过程产生的运行数据并存储;当所述运行数据出现异常,根据预先配置的报警策略执行对应的报警操作。进一步的,所述采集所述获取待监测网络中的安全设备的第一告警数据并存入数据库这一过程产生的运行数据并存储的步骤,包括:采集所述运行数据发送给第三分布式订阅消息系统;由所述第三分布式订阅消息系统中读取所述运行数据,进行格式化后得到格式化运行数据,发送给第四分布式订阅消息系统;由所述第四分布式订阅消息系统中读取所述格式化运行数据并存储。本专利技术实施例的又一个方面,提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器连接的存储器;其中,所述存储器存储可被所述一个处理器执行指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上任一所述的处理方法。从上面所述可以看出,本专利技术提供的一种网络攻击事件的处理方法及其电子设备,通过获取待监测网络中的安全设备的第一告警数据,基于维度对所述第一告警数据进行统计分析,根据统计分析结果执行处理操作,打破了安全设备之间的壁垒,无需人工沟通,基于统计分析结果,即可有针对性的处理网络攻击事件,降低了对监控人员识别分析告警数据的能力要求,极大的节约用于传报、沟通的时间,能够对网络攻击事件进行全局性的、统一的处理操作,显著提高对网络攻击事件的处理效率。附图说明图1为本专利技术实施例提供的一种网络攻击事件的处理方法的流程图;图2为本专利技术实施例提供的一种基于维度对所述第一告警数据进行统计分析的示意图;图3为本专利技术实施例提供的又一种网络攻击事件的处理方法的流程图;图4为本专利技术实施例提供的一种获取待监测网络中的安全设备的所述第一告警数据并存入数据库的流程图;图5为本专利技术实施例提供的一种融合处理得到第一告警数据的流程图;图6为本专利技术实施例提供的一种根据所述统计分析结果,执行处理操作的流程图;图7为本专利技术实施例提供的一种运行数据监控的示意图;图8为本专利技术实施例提供的一种分布式订阅消息系统的数据采集机制示意图;图9为本专利技术实施例提供的一种采集所述运行数据的流程图;图10为本专利技术实施例提供的一种网络攻击事件的处理装置的一个实施例的结构示意图;图11为本专利技术提供的电子设备的一个实施例的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术进一步详细说明。需要说明的是,本专利技术实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本专利技术实施例的限定,后续实施例对此不再一一说明。基于上述目的,本专利技术实施例的第一个方面,提出了一种网络攻击事件的处理方法的一个实施例。如图1所示,为本专利技术提供的网络攻击事件的处理方法的一个实施例的流程示意图,具体包括:步骤101:获取待监测网络中的安全设备的第一告警数据并存入数据库,所述第一告警数据基于网络攻击事件。此处的安全设备可以是硬件,也可以是执行安全防护功能的软件,例如:高级持续性威胁检测(AdvancedPersistentThreatsTest,APT检测)、域名解析(Domainnameresolution,DNS)、桌面管理或操作系统等。本领域技术人员应该理解,本专利技术的技术方案能够获取任何保证网络安全的硬件设备或软件生成的告警数据,而不限于以上列举。本领域技术人员能够理解,对于一个网络攻击事件,可能导致多个安全设备分别产生告警数据;待监测网络中可能存在多个网络攻击事件,也就是同一个安全设备也会产生多个告警数据。因此,本专利技术中的所述第一告警数据涵盖每一个安全设备产生的每一条告警数据。步骤1本文档来自技高网...
【技术保护点】
1.一种网络攻击事件的处理方法,其特征在于,包括:/n获取待监测网络中的安全设备的第一告警数据并存入数据库,所述第一告警数据基于网络攻击事件;/n满足任一设定条件时,基于维度对所述第一告警数据进行统计分析,获得统计分析结果;/n根据所述统计分析结果,执行处理操作。/n
【技术特征摘要】
1.一种网络攻击事件的处理方法,其特征在于,包括:
获取待监测网络中的安全设备的第一告警数据并存入数据库,所述第一告警数据基于网络攻击事件;
满足任一设定条件时,基于维度对所述第一告警数据进行统计分析,获得统计分析结果;
根据所述统计分析结果,执行处理操作。
2.根据权利要求1所述的处理方法,其特征在于,所述设定条件包括预设的所述第一告警数据的数量和预设的监测时长。
3.根据权利要求1所述的处理方法,其特征在于,还包括:获取所述处理操作的反馈结果,若所述反馈结果为处理失败,则标识对应的所述第一告警数据。
4.根据权利要求1所述的处理方法,其特征在于,所述获取待监测网络中的安全设备的第一告警数据并存入数据库,所述第一告警数据基于网络攻击事件的步骤,包括:
获取原始告警数据,封包处理得到封包告警数据并发送给第一分布式订阅消息系统;
读取所述封包告警数据,融合处理后得到第一告警数据并发送给第二分布式订阅消息系统;
读取所述第一告警数据,根据告警类型存储于所述数据库的对应数据模式中。
5.根据权利要求4所述的处理方法,其特征在于,所述融合处理得到第一告警数据的步骤,包括:
对所述封包告警数据进行标准化处理;
根据过滤条件,筛选标准化的封包告警数据;
如果满足所述过滤条件,则直接得到所述第一告警数据;
如果不满足所述过滤条件,则进行富化处理后得到所述第一告警数据。
6.根据权利要求5所述的处理方法,其特征在于,所述进行富化处理后得到所述第一告...
【专利技术属性】
技术研发人员:刘圣龙,李祉岐,王利斌,尹琴,杨阳,王秋明,李宁,刘晓蕾,宋洁,焦腾,霍钰,冯磊,任磊,
申请(专利权)人:国网思极网安科技北京有限公司,国网网安北京科技有限公司,国网信息通信产业集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。