本申请实施例提供一种网络攻击事件处理方法、装置、存储介质及设备,该方法中,以目标攻击事件发生的进程或主机为起点来建立可视化图,并按照进程的调用关系添加节点,以还原整个事件的发生过程,之后,将可视化图转换为抽象的数据结构,再输入存储有多个预先定义的网络攻击事件的数据结构的分析判断系统,以获取针对该目标攻击事件的判定结果。如此,通过可视化操作,强化了对特异的网络攻击事件的归纳处理,而且,通过转换出的抽象数据结构与分析判断系统的联合使用,可以有效防御下一次类似入侵事件的攻击。似入侵事件的攻击。似入侵事件的攻击。
【技术实现步骤摘要】
一种网络攻击事件处理方法、装置、存储介质及设备
[0001]本申请涉及网络安全
,具体而言,涉及一种网络攻击事件处理方法、装置、存储介质以及电子设备。
技术介绍
[0002]网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。对网络攻击事件进行处理,是打击网络攻击行为的一种常用且有效的手段。
[0003]目前,相关技术中针对网络攻击事件的告警方式,主要集中于日志式的反映。然而,这一方式仅能对具有已公开的入侵方式及其日志关联结构,或者经过分析师研判后,可预判出入侵路径及其日志关联结构的网络攻击事件进行自动化判定处置,无法高效处理特异的、未归纳分析的网络攻击事件。
技术实现思路
[0004]本申请实施例的目的在于提供一种网络攻击事件处理方法、装置、存储介质及设备,旨在解决相关技术中存在的无法高效处理特异的、未归纳分析的网络攻击事件的问题。
[0005]第一方面,本申请实施例提供的一种网络攻击事件处理方法,所述方法包括:以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系,在所述可视化图中添加节点;将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;将所述目标数据结构输入分析判断系统,得到针对所述目标攻击事件的判定结果;所述分析判断系统中存储有多个预先定义的网络攻击事件的数据结构。
[0006]在上述实现过程中,以目标攻击事件发生的进程或主机为起点来建立可视化图,并按照进程的调用关系添加节点,以还原整个事件的发生过程,之后,将可视化图转换为抽象的数据结构,再输入存储有多个预先定义的网络攻击事件的数据结构的分析判断系统,以获取针对该目标攻击事件的判定结果。如此,通过可视化操作,强化了对特异的网络攻击事件的归纳处理,而且,通过转换出的抽象数据结构与分析判断系统的联合使用,可以有效防御下一次类似入侵事件的攻击。
[0007]进一步地,在一些实施例中,所述方法还包括:按照节点的外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各节点的信息。
[0008]在上述实现过程中,通过补充外部信息,可以完善出整个事件树,从而反映出目标攻击事件的发生过程。
[0009]进一步地,在一些实施例中,所述按照节点的外部信息,在所述可视化图中添加节
点,包括:若当前节点包括对应的外部信息,将所述外部信息确定为所述可视化图中的新的节点并关联所述当前节点。
[0010]在上述实现过程中,通过外部信息的联动完善对应节点,可以准确还原整个入侵事件的发生、发展过程。
[0011]进一步地,在一些实施例中,所述按照进程的调用关系,在所述可视化图中添加节点,包括:将当前节点调用的进程,确定为所述当前节点的下一级节点。
[0012]在上述实现过程中,按照事件进程调用的上下级结构逐步添加节点,可以准确还原整个入侵事件的发生、发展过程。
[0013]进一步地,在一些实施例中,所述方法还包括:基于所述目标数据结构生成溯源页面,所述溯源页面用于对可视化图进行修正;修正的方式有:增加,包括增加新的节点,增加新的节点信息,增加新的节点关联信息;删除,包括删除现有节点,删除现有节点信息,删除现有节点关联信息;修改,包括修改现有节点信息,修改现有节点关联信息。
[0014]在上述实现过程中,通过数据回溯生成反映整个入侵攻击过程的实体的溯源页面,可以方便系统运维人员的总结分析。
[0015]进一步地,在一些实施例中,所述节点信息包括节点的基础信息,所述节点关联信息包括节点间的调用、注释、利用、访问、预期调用关系。
[0016]在上述实现过程中,基于对节点的基础信息以及节点间的调用、注释、利用、访问、预期调用关系对目标攻击事件进行分析处理,强化对特异的网络攻击事件的归纳处理。
[0017]进一步地,在一些实施例中,所述分析判断系统用于计算所述目标数据结构和存储的数据结构之间的相似度;所述判定结果是指示所述目标数据结构和存储的数据结构之间的相似度的判定分值;所述方法还包括:若针对所述目标攻击事件的判定分值超过预设阈值,输出告警。
[0018]在上述实现过程中,分析判断系统比对目标攻击事件与预先定义的多种网络攻击事件之间的特征相似程度并输出相似度评分,实现抽象数据结构与分析判断系统的联合使用,可以有效防御下一次类似入侵事件的攻击。
[0019]第二方面,本申请实施例提供的一种网络攻击事件处理装置,所述装置包括:建立模块,用于以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系以及外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各进程或主机的信息;转换模块,用于将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;输入模块,用于将所述目标数据结构输入分析判断系统,得到针对所述目标攻击事件的判定结果;所述分析判断系统中存储有多个预先定义的网络攻击事件的数据结构。
[0020]第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在
所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
[0021]第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
[0022]第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
[0023]本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
[0024]为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0025]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0026]图1为本申请实施例提供的一种网络攻击事件处理方法的流程图;图2为本申请实施例提供的一种入侵事件溯源分析方案的工作流程的示意图;图3为本申请实施例提供的一种网络攻击事件处理装置的框图;图4为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
[0027]下面将结合本申请实施例中的附本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击事件处理方法,其特征在于,所述方法包括:以目标攻击事件发生的进程或主机为起始节点,建立所述目标攻击事件的可视化图,并按照进程的调用关系,在所述可视化图中添加节点;将所述可视化图转换为目标数据结构;所述目标数据结构是所述可视化图中包含的节点信息以及节点关联信息的抽象表示;将所述目标数据结构输入分析判断系统,得到针对所述目标攻击事件的判定结果;所述分析判断系统中存储有多个预先定义的网络攻击事件的数据结构。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:按照节点的外部信息,在所述可视化图中添加节点;所述外部信息是通过外部数据源查询到的针对各节点的信息。3.根据权利要求2所述的方法,其特征在于,所述按照节点的外部信息,在所述可视化图中添加节点,包括:若当前节点包括对应的外部信息,将所述外部信息确定为所述可视化图中的新节点并关联所述当前节点。4.根据权利要求1所述的方法,其特征在于,所述按照进程的调用关系,在所述可视化图中添加节点,包括:将当前节点调用的进程,确定为所述当前节点的下一级节点。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:基于所述目标数据结构生成溯源页面,所述溯源页面用于对可视化图进行修正;修正的方式有:增加,包括增加新的节点,增加新的节点信息,增加新的节点关联信息;删除,包括删除现有节点,删除现有节点信息,删除现有节点关联信息;修改,包括修改现有节点信息,修改现有节点关联信息。6.根据权利...
【专利技术属性】
技术研发人员:靳肖健,薛锋,陈杰,赵林林,童兆丰,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。