【技术实现步骤摘要】
网络攻击数据研判方法、装置、电子设备及存储介质
[0001]本公开涉及网络安全
,尤其涉及一种网络攻击数据研判方法、装置、电子设备及存储介质。
技术介绍
[0002]在网络安全防御体系中,通常配置防火墙、入侵检测系统、防病毒系统、漏洞评估系统等多种安全技术对网络系统进行全面防护。以入侵检测系统为主的安全设备会实时产生大量的告警,但是低层次的告警信息中存在冗余、错误、与被保护网络系统无关等一系列问题,这给告警信息的分析和研判带来了困难,同时孤立的告警信息无法准确地反映网络当前的安全状态。
[0003]相关技术中,通过对网络攻击数据和研判人员能力的干预,使得紧急的网络攻击数据能得到及时的响应,然而当面对海量的网络攻击事件时,这种人海战术并不是最优选择。因此,如何提高网络攻击事件的研判效率,有效保证告警信息质量是当前亟需解决的技术问题。
技术实现思路
[0004]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种网络攻击数据研判方法,解决了现有技术中通过人海战术对网络攻击事件进行研判...
【技术保护点】
【技术特征摘要】
1.一种网络攻击数据研判方法,其特征在于,包括:获取用户流量特征画像;所述用户流量特征画像用于对原始网络流量数据的各种特征信息进行标签化处理以获取原始网络流量数据的访问行为;获取告警数据的特征信息;所述告警数据的特征信息包括:文件路径、互联网协议IP地址、域名、统一资源定位符URL、系统操作命令、脚本函数名、结构化查询语言SQL系统表名中的一个或多个;根据所述用户流量特征画像,确定所述告警数据的研判信息;所述告警数据的研判信息包括:所述告警数据对应的事件是否为攻击事件以及所述告警数据访问目标路径的次数、所述告警数据访问目标SQL表的次数、所述告警数据访问系统命令的次数、所述告警数据访问目标文件的次数。2.根据权利要求1所述的方法,其特征在于,所述获取用户流量特征画像,包括:获取网络流量数据的特征信息;所述网络流量数据的特征信息包括:文件路径、IP地址、域名、URL、系统操作命令、脚本函数名、SQL系统表名中的一个或多个;通过特征分析模型对所述网络流量数据的特征信息进行分析,得到特征标签;根据所述特征标签生成所述网络流量数据对应的用户画像。3.根据权利要求2所述的方法,其特征在于,所述获取网络流量数据的特征信息,包括:基于正则表达式,对所述网络流量数据的特征信息进行提取;或者;基于自然语言处理方式,对所述网络流量数据的特征信息进行提取。4.根据权利要求3所述的方法,其特征在于,所述基于正则表达式,对所述网络流量数据的特征信息进行提取,包括:获取所述网络流量数据的文本信息;将所述网络流量数据的文本信息与预设正则表达式进行匹配,获取所述网络流量数据的特征信息。5.根据权利要求3所述的方法,其特征在于,所述基于自然语言处理方式,对所述网络流量数据的特征信息进行提取,还包括:根据预设标注法将所述网络流量数据中的所有单词按照实体类型进行标注,得到每个单词的标注结果;其中,所述实体类型包括:函数、SQL语句、系统操作命令以及其他;所述标注结果包括:第一类型标签、第二类型标签、第三类型标签、第四类型标签、第五类型标签、第六类型标签、以及第七类型标签中的任意一种;基于连续词袋模型将所述每个单词的标注结果映射为对应的...
【专利技术属性】
技术研发人员:张楠,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。