CN111818089A - 一种网络攻击事件的展示方法及存储介质 - Google Patents
一种网络攻击事件的展示方法及存储介质 Download PDFInfo
- Publication number
- CN111818089A CN111818089A CN202010756680.5A CN202010756680A CN111818089A CN 111818089 A CN111818089 A CN 111818089A CN 202010756680 A CN202010756680 A CN 202010756680A CN 111818089 A CN111818089 A CN 111818089A
- Authority
- CN
- China
- Prior art keywords
- type
- network attack
- network
- alarm
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击事件的展示方法及存储介质,该展示方法包括:获取网络攻击的告警日志;根据基于不同类型的网络攻击所预设的检测条件,判定网络攻击的所属类型,并聚合与网络攻击的所属类型相关联的告警日志;根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,用于展示所述所属类型的网络攻击事件的流程。本申请通过对告警日志进行分析和检测,判断网络攻击的类型,并基于网络攻击的类型对告警日志进行聚合,从而绘制出相应的网络攻击事件可视化图形,实现了从大量告警日志中提取相关联的告警信息,并通过可视化图形直观地呈现出来,便于网络管理人员对网络攻击快速地进行分析和处理。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种网络攻击事件的展示方法及存储介质。
背景技术
随着网络的普及和计算机技术的不断发展,网络攻击形式也层出不穷,使得信息安全的环境越加复杂,网络信息安全问题日益突出。告警日志是在检测到网络攻击行为后,提供给网络管理人员的第一手信息。通常检测到网络攻击性问后,一个网络攻击会对应产生一个告警信息,基于网络攻击的类型的不同,告警日志中聚集的信息就不同。
现有技术中通常仅针对一个告警信息配上相应进行说明,或者是将告警日志中的信息以表格的形式展现出来,这样孤立的说明方式,或者直接用表格形式展现出来,不能够从整体上展现网络攻击的过程,不能直观地展示网络攻击中的问题,更不能提供给网络管理人员对展示方式进行相应地调整,不便于快速地进行分析针对网络攻击事件中的问题,不能对对网络攻击行为做出判断和相应的排除。
发明内容
本申请实施例的目的在于提供一种网络攻击事件的展示方法及存储介质,以解决现有技术中不能从整体上直观地展现网络攻击的过程,也不能有针对性地对关键信息进行展示,不便于快速地对网络攻击事件进行分析,处理网络攻击事件效率差的问题。
为解决上述技术问题,本申请的实施例采用了如下技术方案:
一种网络攻击事件的展示方法,包括:
获取网络攻击的告警日志;
根据基于不同类型的网络攻击所预设的检测条件,判定网络攻击的所属类型,并聚合与网络攻击的所属类型相关联的告警日志;
根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,用于展示所述所属类型的网络攻击事件的流程。
在一些实施例中,根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,具体包括:
基于预设的关于网络攻击中的元素,以点状显示所述所属类型的网络攻击的信息和所述相关联的告警日志中的相应元素,以线型呈现所述相应元素在网络攻击事件中的对应关系。
在一些实施例中,所述相应元素以点状显示的方式,包括可与用户进行交互的方式,具体为:
响应于用户的点击操作,可展现对应的点状位置对应于所述相应元素的信息集合。
在一些实施例中,所述相应元素在网络攻击事件中的对应关系以线型呈现的方式,包括:
通过连线展现与对应关系相关联的网络攻击动作的信息或者所属威胁的内容。
在一些实施例中,所述相应元素在网络攻击事件中的对应关系以线型呈现的方式,包括:
通过第一连线呈现所述对应关系中连线的至少一端中能表征所属威胁时的关系;和/或
通过第二连线呈现连线的两端不展现所属威胁时的关系。
在一些实施例中,所述网络攻击的类型包含第一类型的情况下,所述方法还包括:
基于预设的第一检测条件,判定网络攻击的类型为第一类型时,聚合与第一类型的网络攻击相关联的告警日志,根据第一类型的网络攻击的信息和所述与第一类型的网络攻击相关联的告警日志绘制第一类型的网络攻击事件的可视化图形,用于展示第一类型的网络攻击事件的流程。
在一些实施例中,所述网络攻击的类型包含第二类型的情况下,所述方法还包括:
基于预设的第二检测条件,判定网络攻击的类型为第二类型时,聚合与第二类型的网络攻击相关联的告警日志,根据第二类型的网络攻击的信息和所述与第二类型的网络攻击相关联的告警日志绘制第二类型的网络攻击事件的可视化图形,用于展示第二类型的网络攻击事件的流程
在一些实施例中,所述网络攻击的类型包含第三类型的情况下,所述方法还包括:
基于预设的第三检测条件,判定网络攻击的类型为第三类型时,聚合与第三类型的网络攻击相关联的告警日志,根据第三类型的网络攻击的信息和所述与第三类型的网络攻击相关联的告警日志绘制第三类型的网络攻击事件的可视化图形,用于展示第三类型的网络攻击事件的流程
在一些实施例中,所述网络攻击的类型包含第四类型的情况下,所述方法还包括:
基于预设的第四检测条件,判定网络攻击的类型为第四类型时,聚合与第四类型的网络攻击相关联的告警日志,根据第四类型的网络攻击的信息和所述与第四类型的网络攻击相关联的告警日志绘制第四类型的网络攻击事件的可视化图形,用于展示第四类型的网络攻击事件的流程
本申请实施例还提供了一种存储介质,所述存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,执行如下步骤:
获取关于网络攻击的告警日志;
根据基于不同类型的网络攻击所预设的检测条件,判定网络攻击所属的类型,并聚合与网络攻击的所属类型相关联的告警日志;
根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,用于展示所述所属类型的网络攻击事件的流程。
本申请实施例的有益效果在于:通过对告警日志进行分析和检测,判断网络攻击的类型,并基于网络攻击的类型对告警日志进行聚合,从而绘制出相应的网络攻击事件可视化图形,实现了从大量告警日志中提取相关联的告警信息,并通过可视化图形直观地呈现出来,便于网络管理人员对网络攻击快速地进行分析和处理。
附图说明
图1为本申请实施例的一种网络攻击事件的展示方法的流程图;
图2为本申请实施例的一种网络攻击事件的展示方法的示意图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
为了维护网络信息安全,安全中心通常需要对威胁网络安全的行为进行告警,最后生成相应的告警日志,这些告警日志直接展示给网络管理人员时,不能直观地展示网络攻击行为中的问题,使得网络管理人员不能便捷地进行分析和处理,不利于网络安全的维护。
为此,本申请的实施例提供了一种网络攻击事件的展示方法,通过对告警日志中的相关网络攻击的元素进行关联展示,将网络攻击事件的流程可视化地呈现给网络管理人员,以便其对网络攻击事件进行分析,有利于发现并排除相应的网络威胁。
为使本申请的上述目的和优点能够更加清楚易懂,下面结合附图对本申请的具体实施方式做详细的说明。
参见图1,该图为本申请实施例提供的一种网络攻击事件的展示方法的流程示意图,所述方法包括如下步骤S1至S3:
S1,获取网络攻击的告警日志。
在申请实施例中,告警日志中包括对应各种网络攻击的告警信息,可以从已有的针对网络攻击设置的安全监控平台上获取,也可以是通过对于目标网络进行安全监控软件部署,以对网络攻击行为进行检测,从而获取的各类网络攻击事件的告警信息。本申请实施例对告警日志的具体获取方式不进行限定。
S2,根据基于不同类型的网络攻击所预设的检测条件,判定网络攻击的所属类型,并聚合与网络攻击的所属类型相关联的告警日志。
本步骤中,在上述获取网络攻击的告警日志的基础上,结合根据不同类型的网络攻击所预设的检测条件,检测出网络攻击的类型,并将与该网络攻击的类型相关联的告警日志聚合到一起。
具体来说,网络攻击包括多种类型,例如:IOC威胁情报、反弹shell、主机提权、关闭安全设备等,不同类型的网络攻击,其判定时的检测指标会不相同,针对不同类型的网络攻击,设置不同的检测条件,从而基于该检测条件,根据获取的告警日志中的告警信息,判定出网络攻击的类型;依据该判定出的网络攻击的类型,关联相应的告警日志,可以是包括相应的威胁元素(目标IP地址、域名、URL、文件、进程等),攻击的路径等的告警日志,从而将与该网络攻击的类型相关联的告警日志聚合到一起。
S3,根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,用于展示所述所属类型的网络攻击事件的流程。
本步骤中,可采用各种关系类型的模型图,将所聚合的告警日志中的各种威胁元素,以及所属类型的网络攻击的信息,例如网络攻击的名称,来源等,展示于模型图中,从而绘制出该类型的网络攻击事件的可视化图形,以展示所述所属类型的网络攻击事件的流程。
本实施例通过对告警日志进行分析和检测,判断网络攻击的类型,并基于网络攻击的类型对告警日志进行聚合,从而绘制出相应的网络攻击事件可视化图形,实现了从大量告警日志中提取相关联的告警信息,并通过可视化图形直观地呈现出来,便于网络管理人员对网络攻击快速地进行分析和处理。
具体地,如图2所示,本实施例中,绘制可视化图形时,在模型图中预设有关于网络攻击中的元素,包括网络攻击的名称信息,所属的家族、组织等来源信息等,同事,提取告警日志中相应的威胁元素(目标IP地址、域名、URL、文件、进程等),基于所判断的网络攻击的类型,将各种元素以点状表示呈现于模型图中,同时将各个元素之间的对应关系以不同线型表示呈现于模型图中,从而绘制成相应的网络攻击事件可视化图形。
具体的,可视化图形中包括各种可以与用户进行交互的方式,具体可以包括:可视化图形中的点可以响应于用户的点击操作,展现出该点状位置对应于相应元素的信息集合,例如可以展现出相关威胁元素的目标的用户名、主机名、操作系统、进程(包括文件名称、文件大小、工作路径、命令行、父进程、父进程命令行等)、目标IP(包括端口和地址等)、域名URL、文件(文件大小、文件权限等)等,也可以展现出网络攻击的名称、威胁阶段、威胁类型、告警描述、严重级别、威胁标签、攻击的结果、攻击时间、置信度、黑客组织和病毒家族等;可视化图形中的可以包括不同线型来展现元素间的对应关系,该对应关系可以是网络攻击动作的信息,包括:用户登录到IP、创建进程、主机提权、反弹shell等,也可以呈现相应元素为线型另一侧元素的所属的威胁信息;其中,可以通过第一连线呈现所述对应关系中连线的至少一端中能表征所属威胁时的关系,即,至少有一个元素能表征确定的威胁,从而该元素表征为另一个元素的所属威胁;还可以通过第二连线呈现连线的两端不展现所属威胁时的关系,例如可以是连线的两端上的元素均不能表征确定的威胁,例如一端的节点表征的用户元素与另一端节点所表征的网络IP之间的关系,用户登录到该网络IP时,连线上可显示登录的对应关系,也可以在两端的节点表征确定的威胁时,表征具体的威胁进行溯源后的关系,例如海莲花病毒与海莲花病毒家族之间的连线,用于表征两者之间的溯源关系。具体实施时,第一连线和第二连线可以采用不同的线型来表示,以突出呈现出所属威胁的关系。
具体实施中,可在模型图中设置所述节点的样式和所述连线的样式,所述节点的样式包括节点的填充颜色,节点的描边样式,节点所选图标的样式等,所述连线的样式可包括线条类型、线条颜色、线宽和线条上的箭头指向等;通过节点表征相应的元素信息,可将对应表征确定的威胁的元素的节点设置为红色(例如如图2中P1),其他不能表征确定的威胁的元素的节点设置为灰色或其他不突出的颜色(例如图2中P2),以突出显示表征威胁的元素的节点;通过连线连接节点表征相应的元素之间的对应关系,此时可将能表征所属威胁的关系的连线设为红色(例如图2中L1),其他的不能表征所属威胁的关系设置为灰色或其他不突出的颜色(例如图2中L2),例如表征登录的关系或者溯源的关系等等一些不属于所属威胁的关系均可设为不突出的颜色,以将所属威胁的线型在图形中突出显示出来,提醒用户所属威胁的信息,
在一些具体实施例中,所述网络攻击的类型包含第一类型的情况下,所述方法还包括:预设第一检测条件用于检测出第一类型的网络攻击,基于第一检测条件判定网络攻击的类型为第一类型时,聚合与第一类型的网络攻击相关联的告警日志,可以是包括与第一类型的网络攻击相应的威胁元素的告警日志,提取第一类型的网络攻击的名称和来源等信息,以及所聚合与第一类型的网络攻击相关联的告警日志中的各种威胁元素,包括目标名称、IP地址、域名、URL、文件和进程等,将提取出的网络攻击的信息及各种威胁元素呈现于模型图中,并针对网络攻击的信息及各种威胁元素之间的对应关系采用相应的线型进展示,以绘制第一类型的网络攻击事件的可视化图形,用于展示第一类型的网络攻击事件的流程。
具体的,第一类型包括IOC情报类威胁时,根据IOC情报的特性及检测中的相应的失陷指标,结合图2所示的实施例,可设置第一检测条件所对应的路径为:User.name->host_ip->失陷点->threat.name->threat.family->threat.gangs,失陷点包括:IP地址、域名、URL、文件、进程,通常表示字段是threat.ioc_column,在告警日志中检测符合到第一条件中的部分条件或全部条件的告警信息的情况下,确定攻击类型为IOC情报类威胁,聚合与IOC情报类威胁相关联的告警日志,并根据聚合的日志提取其中的有效元素,如用户名称、IP地址、域名、URL、文件和进程,加载模型图并设置模型图中的节点和连线,可在模型图中设置节点的样式和连线的样式,突出显示表征确定的威胁的节点和表征所属威胁的关系的对应的连线,从而绘制出IOC情报威胁的可视化图形,展示出IOC情报威胁的流程,以供用户进行整体上的查看,以及对关键节点的信息进行分析处理操作。
在一些具体实施例中,所述网络攻击的类型包含第二类型的情况下,所述方法还包括:预设第二检测条件用于检测出第二类型的网络攻击,基于第二检测条件判定网络攻击的类型为第二类型时,聚合与第二类型的网络攻击相关联的告警日志,可以是包括与第二类型的网络攻击相应的威胁元素的告警日志,提取第二类型的网络攻击的名称和来源等信息,以及所聚合与第二类型的网络攻击相关联的告警日志中的各种威胁元素,包括目标IP地址、域名、URL、文件和进程等,将提取出的网络攻击的信息及各种威胁元素呈现于模型图中,并针对网络攻击的信息及各种威胁元素之间的对应关系采用相应的线型进展示,以绘制第二类型的网络攻击事件的可视化图形,用于展示第二类型的网络攻击事件的流程。
具体的,第二类型包括反弹shell类威胁时,根据反弹SHELL的特性,结合图2所示的实施例,可设置第二检测条件所对应的路径为:User.name->host_ip->ipv4、ipv6,在告警日志中检测符合到第二条件中的部分条件或全部条件的告警信息的情况下,确定攻击类型为反弹shell类威胁,聚合与反弹shell类威胁相关联的告警日志,并根据聚合的日志提取其中的有效元素,如用户名称、IP地址、域名、URL和进程等,加载模型图并设置模型图中的节点和连线,可在模型图中设置节点的样式和连线的样式,突出显示表征确定的威胁的节点和表征所属威胁的关系对应的连线,从而绘制出反弹shell类威胁的可视化图形,展示出反弹shell类威胁的流程,以供用户进行整体上的查看,以及对关键节点的信息进行分析处理操作。
在一些具体实施例中,所述网络攻击的类型包含第三类型的情况下,所述方法还包括:预设第三检测条件用于检测出第三类型的网络攻击,基于第三检测条件判定网络攻击的类型为第三类型时,聚合与第三类型的网络攻击相关联的告警日志,可以是包括与第三类型的网络攻击相应的威胁元素的告警日志,提取第三类型的网络攻击的名称和来源等信息,以及所聚合与第三类型的网络攻击相关联的告警日志中的各种威胁元素,包括目标IP地址、域名、URL、文件和进程等,将提取出的网络攻击的信息及各种威胁元素呈现于模型图中,并针对网络攻击的信息及各种威胁元素之间的对应关系采用相应的线型进展示,以绘制第三类型的网络攻击事件的可视化图形,用于展示第三类型的网络攻击事件的流程。
具体的,第三类型包括主机提权类威胁时,根据主机提权类威胁的特性,结合图2所示的实施例,可设置第三检测条件为:User.name->host_ip->User.name,在告警日志中检测符合到第三条件中的部分条件或全部条件的告警信息的情况下,确定攻击类型为主机提权类威胁,聚合与主机提权类威胁相关联的告警日志,并根据聚合的日志提取其中的有效元素,如第一用户名称、IP地址、第二用户名称等,加载模型图并设置模型图中的节点和连线,可在模型图中设置节点的样式和连线的样式,突出显示表征确定的威胁的节点和表征所属威胁的关系对应的连线,从而绘制出主机提权类威胁的可视化图形,展示出主机提权类威胁的流程,以供用户进行整体上的查看,以及对关键节点的信息进行分析处理操作。
在一些具体实施例中,所述网络攻击的类型包含第四类型的情况下,所述方法还包括:预设第四检测条件用于检测出第四类型的网络攻击,基于第四检测条件判定网络攻击的类型为第四类型时,聚合与第四类型的网络攻击相关联的告警日志,可以是包括与第四类型的网络攻击相应的威胁元素的告警日志,提取第四类型的网络攻击的名称和来源等信息,以及所聚合与第四类型的网络攻击相关联的告警日志中的各种威胁元素,包括目标IP地址、域名、URL、文件和进程等,将提取出的网络攻击的信息及各种威胁元素呈现于模型图中,并针对网络攻击的信息及各种威胁元素之间的对应关系采用相应的线型进展示,以绘制第四类型的网络攻击事件的可视化图形,用于展示第四类型的网络攻击事件的流程。
具体的,第四类型包括关闭安全设备类威胁时,根据关闭安全设备类威胁的特性,可设置第四检测条件为:User.name->host_ip->process->threat.name,在告警日志中检测符合到第四条件中的部分条件或全部条件的告警信息的情况下,确定攻击类型为关闭安全设备类威胁,聚合与关闭安全设备类威胁相关联的告警日志,并根据聚合的日志提取其中的有效元素,如用户名称、IP地址、进程、关闭安全设备等,加载模型图并设置模型图中的节点和连线,可在模型图中设置节点的样式和连线的样式,突出显示表征确定的威胁的节点和表征所属威胁的关系对应的连线,从而绘制出关闭安全设备类威胁的可视化图形,展示出关闭安全设备类威胁的流程,以供用户进行整体上的查看,以及对关键节点的信息进行分析处理操作。
本申请实施例同时提供一种存储介质,所述存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,执行如下步骤:
获取关于网络攻击的告警日志;
根据基于不同类型的网络攻击所预设的检测条件,判定网络攻击所属的类型,并聚合与网络攻击的所属类型相关联的告警日志;
根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,用于展示所述所属类型的网络攻击事件的流程。
本实施例中的存储介质可以是电子设备/系统中所包含的;也可以是单独存在,而未装配入电子设备/系统中。上述存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本申请实施例的方法。
根据本申请的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (10)
1.一种网络攻击事件的展示方法,其特征在于,所述方法包括:
获取网络攻击的告警日志;
根据基于不同类型的网络攻击所预设的检测条件,判定网络攻击的所属类型,并聚合与网络攻击的所属类型相关联的告警日志;
根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,用于展示所述所属类型的网络攻击事件的流程。
2.根据权利要求1所述的方法,其特征在于,根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,具体包括:
基于预设的关于网络攻击中的元素,以点状显示所述所属类型的网络攻击的信息和所述相关联的告警日志中的相应元素,以线型呈现所述相应元素在网络攻击事件中的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述相应元素以点状显示的方式,包括可与用户进行交互的方式,具体为:
响应于用户的点击操作,可展现对应的点状位置对应于所述相应元素的信息集合。
4.根据权利要求2所述的方法,其特征在于,所述相应元素在网络攻击事件中的对应关系以线型呈现的方式,包括:
通过连线展现与对应关系相关联的网络攻击动作的信息或者所属威胁的内容。
5.根据权利要求2所述的方法,其特征在于,所述相应元素在网络攻击事件中的对应关系以线型呈现的方式,包括:
通过第一连线呈现所述对应关系中连线的至少一端中能表征所属威胁时的关系;和/或
通过第二连线呈现连线的两端不展现所属威胁时的关系。
6.根据权利要求1所述的方法,其特征在于,所述网络攻击的类型包含第一类型的情况下,所述方法还包括:
基于预设的第一检测条件,判定网络攻击的类型为第一类型时,聚合与第一类型的网络攻击相关联的告警日志,根据第一类型的网络攻击的信息和所述与第一类型的网络攻击相关联的告警日志绘制第一类型的网络攻击事件的可视化图形,用于展示第一类型的网络攻击事件的流程。
7.根据权利要求1所述的方法,其特征在于,所述网络攻击的类型包含第二类型的情况下,所述方法还包括:
基于预设的第二检测条件,判定网络攻击的类型为第二类型时,聚合与第二类型的网络攻击相关联的告警日志,根据第二类型的网络攻击的信息和所述与第二类型的网络攻击相关联的告警日志绘制第二类型的网络攻击事件的可视化图形,用于展示第二类型的网络攻击事件的流程。
8.根据权利要求1所述的方法,其特征在于,所述网络攻击的类型包含第三类型的情况下,所述方法还包括:
基于预设的第三检测条件,判定网络攻击的类型为第三类型时,聚合与第三类型的网络攻击相关联的告警日志,根据第三类型的网络攻击的信息和所述与第三类型的网络攻击相关联的告警日志绘制第三类型的网络攻击事件的可视化图形,用于展示第三类型的网络攻击事件的流程。
9.根据权利要求1所述的方法,其特征在于,所述网络攻击的类型包含第四类型的情况下,所述方法还包括:
基于预设的第四检测条件,判定网络攻击的类型为第四类型时,聚合与第四类型的网络攻击相关联的告警日志,根据第四类型的网络攻击的信息和所述与第四类型的网络攻击相关联的告警日志绘制第四类型的网络攻击事件的可视化图形,用于展示第四类型的网络攻击事件的流程。
10.一种存储介质,所述存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,执行如下步骤:
获取关于网络攻击的告警日志;
根据基于不同类型的网络攻击所预设的检测条件,判定网络攻击所属的类型,并聚合与网络攻击的所属类型相关联的告警日志;
根据所属类型的网络攻击的信息和所述相关联的告警日志绘制相应的网络攻击事件可视化图形,用于展示所述所属类型的网络攻击事件的流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756680.5A CN111818089A (zh) | 2020-07-31 | 2020-07-31 | 一种网络攻击事件的展示方法及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010756680.5A CN111818089A (zh) | 2020-07-31 | 2020-07-31 | 一种网络攻击事件的展示方法及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111818089A true CN111818089A (zh) | 2020-10-23 |
Family
ID=72864435
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010756680.5A Pending CN111818089A (zh) | 2020-07-31 | 2020-07-31 | 一种网络攻击事件的展示方法及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111818089A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN113542036A (zh) * | 2021-09-14 | 2021-10-22 | 广州锦行网络科技有限公司 | 针对网络攻击行为的演示方法、电子及演示装置 |
| CN114143109A (zh) * | 2021-12-08 | 2022-03-04 | 安天科技集团股份有限公司 | 攻击数据的可视化处理方法、交互方法及装置 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN114826685A (zh) * | 2022-03-30 | 2022-07-29 | 深信服科技股份有限公司 | 一种信息分析方法、设备和计算机可读存储介质 |
| CN115412363A (zh) * | 2022-09-13 | 2022-11-29 | 杭州迪普科技股份有限公司 | 异常流量日志处理方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800668A (zh) * | 2010-03-23 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 日志归并方法和装置 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| CN104580100A (zh) * | 2013-10-23 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 一种恶意消息的识别方法及装置、服务器 |
| CN106600238A (zh) * | 2016-12-26 | 2017-04-26 | 上海轻维软件有限公司 | 基于Activiti流程引擎的网络业务开通实现方法及装置 |
| CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| US20190158526A1 (en) * | 2016-09-30 | 2019-05-23 | Oath Inc. | Computerized system and method for automatically determining malicious ip clusters using network activity data |
| WO2020046371A1 (en) * | 2018-08-31 | 2020-03-05 | Siemens Aktiengesellschaft | Process control systems and devices resilient to digital intrusion and erroneous commands |
-
2020
- 2020-07-31 CN CN202010756680.5A patent/CN111818089A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800668A (zh) * | 2010-03-23 | 2010-08-11 | 成都市华为赛门铁克科技有限公司 | 日志归并方法和装置 |
| CN104580100A (zh) * | 2013-10-23 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 一种恶意消息的识别方法及装置、服务器 |
| CN104539626A (zh) * | 2015-01-14 | 2015-04-22 | 中国人民解放军信息工程大学 | 一种基于多源报警日志的网络攻击场景生成方法 |
| US20190158526A1 (en) * | 2016-09-30 | 2019-05-23 | Oath Inc. | Computerized system and method for automatically determining malicious ip clusters using network activity data |
| CN106790023A (zh) * | 2016-12-14 | 2017-05-31 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| CN106600238A (zh) * | 2016-12-26 | 2017-04-26 | 上海轻维软件有限公司 | 基于Activiti流程引擎的网络业务开通实现方法及装置 |
| WO2020046371A1 (en) * | 2018-08-31 | 2020-03-05 | Siemens Aktiengesellschaft | Process control systems and devices resilient to digital intrusion and erroneous commands |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
| CN112738071A (zh) * | 2020-12-25 | 2021-04-30 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN112738071B (zh) * | 2020-12-25 | 2023-07-28 | 中能融合智慧科技有限公司 | 一种攻击链拓扑的构建方法及装置 |
| CN113542036A (zh) * | 2021-09-14 | 2021-10-22 | 广州锦行网络科技有限公司 | 针对网络攻击行为的演示方法、电子及演示装置 |
| CN113542036B (zh) * | 2021-09-14 | 2022-01-04 | 广州锦行网络科技有限公司 | 针对网络攻击行为的演示方法、电子及演示装置 |
| CN114143109A (zh) * | 2021-12-08 | 2022-03-04 | 安天科技集团股份有限公司 | 攻击数据的可视化处理方法、交互方法及装置 |
| CN114143109B (zh) * | 2021-12-08 | 2023-11-10 | 安天科技集团股份有限公司 | 攻击数据的可视化处理方法、交互方法及装置 |
| CN114760189A (zh) * | 2022-03-30 | 2022-07-15 | 深信服科技股份有限公司 | 一种信息确定方法、设备和计算机可读存储介质 |
| CN114826685A (zh) * | 2022-03-30 | 2022-07-29 | 深信服科技股份有限公司 | 一种信息分析方法、设备和计算机可读存储介质 |
| CN115412363A (zh) * | 2022-09-13 | 2022-11-29 | 杭州迪普科技股份有限公司 | 异常流量日志处理方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111818089A (zh) | 一种网络攻击事件的展示方法及存储介质 | |
| CN107368417B (zh) | 一种漏洞挖掘技术测试模型的测试方法 | |
| WO2019210484A1 (en) | Analysis device, method and system for operational technology system and storage medium | |
| CN112182588B (zh) | 基于威胁情报的操作系统漏洞分析检测方法及系统 | |
| JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| CN110602041A (zh) | 基于白名单的物联网设备识别方法、装置及网络架构 | |
| CN108924084B (zh) | 一种网络设备安全评估方法及装置 | |
| US11431792B2 (en) | Determining contextual information for alerts | |
| WO2011153227A2 (en) | Dynamic multidimensional schemas for event monitoring priority | |
| CN112819336A (zh) | 一种基于电力监控系统网络威胁的量化方法及系统 | |
| WO2010114363A1 (en) | Method and system for alert classification in a computer network | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN111181978B (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| CN112019523A (zh) | 一种工控系统的网络审计方法和装置 | |
| CN113037713A (zh) | 网络攻击的对抗方法、装置、设备及存储介质 | |
| CN117596078B (zh) | 一种基于规则引擎实现的模型驱动用户风险行为判别方法 | |
| CN111556044A (zh) | 一种网络安全系统 | |
| CN113206761B (zh) | 一种应用连接检测方法、装置、电子设备及存储介质 | |
| Mathew et al. | Understanding multistage attacks by attack-track based visualization of heterogeneous event streams | |
| CN111988322B (zh) | 一种攻击事件展示系统 | |
| JP2012083909A (ja) | アプリケーション特性解析装置およびプログラム | |
| Ohnof et al. | IPMatrix: An effective visualization framework for cyber threat monitoring | |
| Teoh et al. | Visual data analysis for detecting flaws and intruders in computer network systems | |
| WO2023087554A1 (zh) | 一种资产风险处置方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201023 |