CN113259299B - 一种标签管理方法、上报方法、数据分析方法及装置 - Google Patents

一种标签管理方法、上报方法、数据分析方法及装置 Download PDF

Info

Publication number
CN113259299B
CN113259299B CN202010084677.3A CN202010084677A CN113259299B CN 113259299 B CN113259299 B CN 113259299B CN 202010084677 A CN202010084677 A CN 202010084677A CN 113259299 B CN113259299 B CN 113259299B
Authority
CN
China
Prior art keywords
classification
address
network
label
tag
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010084677.3A
Other languages
English (en)
Other versions
CN113259299A (zh
Inventor
王任栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010084677.3A priority Critical patent/CN113259299B/zh
Publication of CN113259299A publication Critical patent/CN113259299A/zh
Application granted granted Critical
Publication of CN113259299B publication Critical patent/CN113259299B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种标签管理方法,标签管理设备中存储有IP地址和标签的对应关系,生成第一网络事件的第一设备能够向标签管理设备发送携带第一IP地址的第一消息,以请求第一IP地址对应的标签。第一IP地址为与第一网络事件关联的IP地址。标签管理设备根据第一IP地址和存储的对应关系,得到第一IP地址对应的第一标签,将第一标签发送给第一设备。第一标签用于描述利用第一IP地址登录网络的账户,和/或,第一IP地址对应的设备信息。第一标签用于对第一网络事件进行分类。利用本方案,不仅能够根据第一IP地址对其进行分类,还能够基于第一IP地址的标签进行分类以确定第一网络事件和其它网络事件之间的关联,提升了网络事件发生的原因的定位效率。

Description

一种标签管理方法、上报方法、数据分析方法及装置
技术领域
本申请涉及网络安全领域,尤其涉及一种标签管理方法、上报网络事件的方法、基于网络事件的数据分析方法及装置。
背景技术
随着网络技术的发展,网络事件越来越多。其中,网络事件包括告警事件、威胁网络安全的其他事件等等。对于企业而言,通过对网络事件的分析可以确定严重影响了企业的数据安全的风险来源。
对于威胁事件尤其是威胁网络安全的网络事件而言,现有安全设备大多只是对网络事件进行统计分类后输出统计分类的结果,例如输出暴力破解、木马、勒索病毒等不同类别的网络事件的数量。
事实上,随着网络攻击技术的发展,网络攻击常常是以攻击链的形式进行的。例如整个攻击链包括文件下载、漏洞扫描、权限提升、数据获取等多个步骤。因为种种原因,现有技术难以对孤立的网络事件进行关联分析,定位网络事件发生的原因。
发明内容
本申请实施例提供了一种方法,可以解决传统技术难以对安全设备检测出的孤立的安全事件进行关联分析的问题。
第一方面,本申请实施例提供了一种标签管理方法,该标签管理方法可以由标签管理设备执行。标签管理方法可以与检测网络事件的第一设备进行交互。具体地,标签管理设备中存储有IP地址和标签的对应关系,当第一设备生成第一网络事件时,可以向标签管理设备发送携带第一IP地址的第一消息,第一消息用于请求标签管理设备反馈第一IP地址对应的标签,其中,第一IP地址指的是与第一网络事件关联的IP地址。标签管理设备接收到第一消息之后,可以根据第一IP地址和存储的对应关系,得到与第一IP地址对应的第一标签,并将第一标签发送给第一设备。其中,第一标签用于描述利用第一IP地址登录网络的账户,和/或,第一IP地址对应的设备信息。第一标签用于对第一网络事件进行分类。由此可见,利用本申请实施例的方案,对于第一网络事件而言,不仅能够如传统技术中那样按照第一IP地址对其进行分类,以确定第一网络事件和其它网络事件之间的关联之外,还能够基于第一IP地址的标签确定第一网络事件和其它网络事件之间的关联。由于对网络事件进行关联分析的依据不再局限于IP地址,故而提升了网络事件发生的原因的定位效率。
在一种可能的实现方式中,若第一IP地址对应的标签用于描述利用第一IP地址登录网络的账户。则标签管理设备中可以存储有IP地址与利用IP地址登录网络的账户之间的对应关系。具体地,标签管理设备能够获取来自第二设备的账户登录日志,该账户登录日志包括所述第一IP地址和利用第一IP地址登录网络的账户的对应关系。并根据该账户登录日志,保存第一IP地址和利用第一IP地址登录网络的账户的对应关系。其中,第二设备为企业的账户管理设备,用于管理该企业的注册账户。第二设备能够在用户利用账户登录网络时,对账户名以及密码进行验证,并保存账户的登录记录。具体地,账户的登录记录保存在账户登录日志中。
在一种可能的实现方式中,若第一IP地址对应的标签用于描述第一IP地址对应的设备信息,则标签管理设备中存储有“IP地址与IP地址对应的设备信息”之间的对应关系。具体地,标签管理设备获取来自第三设备的IP地址和设备信息的对应关系,并保存来自第三设备的对应关系。其中,标签管理设备保存的对应关系,至少包括前述第一IP地址和第一IP地址对应的设备信息之间的对应关系。第三设备为企业的资产管理设备,用于记录该企业的资产。资产管理设备中存储有各个设备的设备信息以及各个设备对应的IP地址之间的对应关系。
在一种可能的实现方式中,第一IP地址对应的设备信息,指的是使用第一IP地址的设备的软硬件信息。第一IP地址对应的设备信息包括但不限于使用第一IP地址的设备的类型、运行在使用第一IP地址的设备上的操作系统、以及运行在使用第一IP地址的设备上的业务系统的标识。
第二方面,本申请实施例提供了一种上报网络事件的方法,该方法可以由第一设备执行,第一设备例如可以为网络中的安全设备。第一设备能够基于网络流量检测技术确定是否存在网络事件,在确定存在网络事件时,第一设备能够生成网络事件并将网络事件上报给分析设备。在本申请实施例中,第一设备基于网络流量检测生成第一网络事件之后,不是简单的将第一网络事件上报给分析设备,而是获得第一IP地址对应的第一标签,并将与第一IP地址对应的第一标签以及第一网络事件对应上报给分析设备。其中,第一IP地址指的是与第一网络事件关联的IP地址。第一标签用于描述利用第一IP地址登录网络的账户,和/或,第一IP地址对应的设备信息。第一标签用于对第一网络事件进行分类。分析设备接收到第一网络事件和第一标签之后,基于第一IP地址的标签确定第一网络事件和其它网络事件之间的关联。由此可见,对于第一网络事件而言,分析设备不仅能够如传统技术中那样按照第一IP地址对其进行分类,以确定第一网络事件和其它网络事件之间的关联之外,还能够基于第一IP地址的标签确定第一网络事件和其它网络事件之间的关联。由于对网络事件进行关联分析的依据不再局限于IP地址,故而提升了网络事件发生的原因的定位效率。
在一种可能的实现方式中,第一设备能够从标签管理设备处获取第一IP地址对应的标签。具体地,第一设备将第一IP地址发送给标签管理设备。例如,第一设备向标签管理设备发送第一消息,第一消息中携带第一IP地址,该第一消息用于指示标签管理设备反馈第一IP地址对应的标签。
在一种可能的实现方式中,若第一网络事件是第一设备对第一数据报文进行分析而生成的,则第一网络事件关联的IP地址,为第一数据报文的源IP地址和/或目的IP地址。
在一种可能的实现方式中,第一IP地址对应的设备信息,包括以下任意一项或者多项:使用所述第一IP地址的设备的类型、运行在所述使用所述第一IP地址的设备上的操作系统和运行在所述使用所述第一IP地址的设备上的业务系统的标识。
第三方面,本申请实施例提供了一种基于网络事件的数据处理方法,该方法可以由分析设备执行。具体地,分析设备中可以存储有N个网络事件、与N个网络事件中各个网络事件分别关联的IP地址对应的标签。分析设备可以获取第一分类标签,并根据分类标签对该N个网络事件进行分类,以确定该N个网络事件之间的关联。其中,第一分类标签可以包括第一标签,或者包括第一标签和IP地址,其中,第一标签可以包括账户和/或设备信息;IP地址对应的标签包括利用IP地址登录网络的账户,和/或,IP地址对应的设备信息。分析设备在对N个网络事件进行分类时,将对应第一分类标签取值相同的网络事件分为一类。换言之,分析设备对N个网络事件进行分类得到M个分类集合,属于M个分类集合中的一个分类集合中的一个或多个网络事件对应的第一分类标签的取值相同,对于该M个分类集合中的两个不同的分类集合第一分类集合和第二分类集合而言,第一分类集合中网络安全威胁事件对应的第一分类标签的取值与第二分类集合中网络安全威胁事件对应的第一分类标签的取值不同。分析设备得到M个分类集合之后,根据该M个分类集合执行第一操作。其中,第一操作指的是用于体现或者展示该N个网络事件之间的关联关系的操作。由此可见,分析设备不仅能够如传统技术中那样按照IP地址对N个网络事件进行分类,以确定该N个网络事件之间的关联之外,还能够根据第一标签,或者第一标签和IP地址对N个网络事件进行分类,从而确定该N个网络事件之间的关联。由于分析设备对网络事件进行关联分析的依据不再局限于IP地址,故而提升了网络事件发生的原因的定位效率。
在一种可能的实现方式中,分析设备根据M个分类集合执行第一操作在具体实现时,例如为:分析设备确定各个分类集合中分别包括的网络事件的数量,并输出M个分类集合中Q个分类集合对应的第一分类标签的取值以及该Q个分类集合包括的网络事件的数量。其中,Q为小于或者等于M的正整数。或者,分析设备确定各个分类集合中分别包括的网络事件的数量之后,分别计算M个分类集合中包括的网络事件的数量与N的比值,即计算各个分类集合包括的网络事件占网络事件总数的比值。而后,分析设备输出计算得到的P个比值和P个比值中各个比值分别对应的第一分类标签的取值。其中,P为小于或者等于M的正整数。分析设备输出上述内容之后,用户能够根据输出内容确定网络威胁事件发生的原因。
在一种可能的实现方式中,为了进一步确定网络事件发生的原因,分析设备还能够获取第二分类标签,并根据第二分类标签对第一分类集合包括的K个网络事件进行分类,得到J个分类子集合,并根据J个分类子集合执行第二操作。其中,第二分类标签为IP地址、设备信息和账户中的其中一项或者多项,且第二分类标签不同于第一分类标签。第一分类集合为前述M个分类集合中的其中一个分类集合。由于包括网络事件的数量比较多的分类集合对于确定网络事件发生的原因具备更高的价值。因此,第一分类集合包括的网络事件的数量,大于该M个分类集合中除第一分类集合之外的其它分类集合分别包括的网络事件的数量,或者,第一分类集合包括的网络事件的数量与N的比值大于或者等于预设比值。换言之,第一分类集合是前述M个分类集合中包括网络事件数量最多的分类集合,或者,第一分类集合包括的网络事件的数量占网络事件总数的比值比较大。
在一种可能的实现方式中,分析设备根据J个分类子集合执行第二操作在具体实现时,例如为:分析设备确定该J个分类子集合中各个分类子集合分别包括的网络事件的数量,并输出该J个分类子集合中R个分类子集合对应的第二分类标签的取值、以及该R个分类子集合包括的网络事件的数量。其中,R为小于或者等于J的正整数。或者,分析设备分别计算该J个分类子集合中包括的网络事件的数量与所述K的比值,并输出计算得到的L个比值和所述L个比值中各个比值分别对应的第二分类标签的取值,L为小于或者等于J的正整数。分析设备输出上述内容之后,用户能够根据输出内容确定网络威胁事件发生的原因。
在一种可能的实现方式中,所述设备信息包括以下任意一项或者多项:设备的类型、运行在设备上的操作系统和运行在设备上的业务系统的标识。
第四方面,本申请实施例提供了一种标签管理装置,所述装置包括:接收单元、确定单元和发送单元。接收单元用于接收来自于第一设备的第一消息,所述第一消息包括第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址,所述第一消息用于请求所述反馈所述第一IP地址对应的标签;确定单元用于根据IP地址和标签的对应关系以及所述第一IP地址,确定第一标签,所述第一标签是所述第一IP地址对应的标签,所述对应关系包括所述第一IP地址和第一标签的对应关系,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息;发送单元用于将所述第一标签发送给所述第一设备,所述第一标签用于对所述第一网络事件进行分类。
在一种可能的实现方式中,若所述第一标签用于描述利用所述第一IP地址登录网络的账户,所述装置还包括:获取单元和保存单元。获取单元用于获取来自第二设备的账户登录日志,所述账户登录日志包括所述第一IP地址和利用所述第一IP地址登录网络的账户的对应关系;保存单元用于根据所述账户登录日志保存所述第一IP地址和利用所述第一IP地址登录网络的账户的对应关系。
在一种可能的实现方式中,若所述第一IP地址对应的标签用于描述所述第一IP地址对应的设备信息,所述装置还包括:获取单元和保存单元。获取单元用于获取来自第三设备的IP地址和设备信息的对应关系;保存单元用于保存来自所述第三设备的所述对应关系,保存的所述对应关系包括所述第一IP地址和所述第一IP地址对应的设备信息的对应关系。
在一种可能的实现方式中,所述第一IP地址对应的设备信息,包括以下任意一项或者多项:使用所述第一IP地址的设备的类型、运行在所述使用所述第一IP地址的设备上的操作系统和运行在所述使用所述第一IP地址的设备上的业务系统的标识。
第五方面,本申请实施例提供了一种上报网络事件的装置,所述装置包括:生成单元、确定单元、获取单元和发送单元。生成单元用于基于网络流量检测生成第一网络事件;确定单元用于确定第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址;获取单元用于根据所述第一IP地址获取第一标签,所述第一标签是所述第一IP地址对应的标签,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息;发送单元用于将所述第一网络事件和所述第一标签对应发送给分析设备,所述第一标签用于对所述第一网络事件进行分类。
在一种可能的实现方式中,所述获取单元具体用于:向标签管理设备发送第一消息,所述第一消息包括所述第一IP地址,所述第一消息用于指示所述标签管理设备反馈所述第一IP地址对应的标签;接收来自于所述标签管理设备的所述第一标签。
在一种可能的实现方式中,所述生成单元具体用于:根据第一数据报文生成所述第一网络事件;所述确定单元具体用于:将所述第一数据报文的源IP地址和/或目的IP地址确定为所述第一IP地址。
在一种可能的实现方式中,所述第一IP地址对应的设备信息,包括以下任意一项或者多项:使用所述第一IP地址的设备的类型、运行在所述使用所述第一IP地址的设备上的操作系统和运行在所述使用所述第一IP地址的设备上的业务系统的标识。
第六方面,本申请实施例提供了一种基于网络事件的数据处理装置,所述装置包括:获取单元、分类单元和操作单元。获取单元用于获取第一分类标签,所述第一分类标签包括第一标签,或者包括所述第一标签和IP地址,所述第一标签包括账户和/或设备信息;分类单元用于根据所述第一分类标签、以及所述分析设备存储的N个网络事件、以及与N个网络事件中各个网络事件分别关联的IP地址对应的标签,对存储的N个网络事件进行分类,得到M个分类集合,属于所述M个分类集合中的一个分类集合中的一个或多个网络事件对应的第一分类标签的取值相同,第一分类集合中网络安全威胁事件对应的第一分类标签的取值与第二分类集合中网络安全威胁事件对应的第一分类标签的取值不同,所述第一分类集合和所述第二分类集合为所述M个分类集合中的两个不同的分类集合,所述N为大于1的整数,所述M为大于或者等于2的整数,所述IP地址对应的标签包括利用所述IP地址登录网络的账户,和/或,所述IP地址对应的设备信息;操作单元用于根据所述M个分类集合执行第一操作。
在一种可能的实现方式中,所述操作单元具体用于:确定所述M个分类集合中各个分类集合分别包括的网络事件的数量,并输出所述M个分类集合中Q个分类集合对应的第一分类标签的取值以及所述Q个分类集合包括的网络事件的数量,所述Q小于或者等于所述M,所述Q为正整数;或者,分别计算所述M个分类集合中包括的威胁事件的数量与所述N的比值,并输出计算得到的P个比值和所述P个比值中各个比值分别对应的所述第一分类标签的取值,所述P小于或者等于所述M,所述P为正整数。
在一种可能的实现方式中,所述获取单元还用于:获取第二分类标签,所述第二分类标签包括IP地址、设备信息和账户中的其中一项或者多项,所述第二分类标签与所述第一分类标签不同;所述分类单元还用于:根据所述第二分类标签、以及所述分析设备存储的K个网络事件中各个网络事件与所述各个网络事件分别关联的IP地址对应的标签,对第一分类集合中的所述K个网络事件进行分类,得到J个分类子集合,属于所述J个分类子集合中的一个分类子集合中的一个或多个网络事件对应的第二分类标签的取值相同,第一分类子集合中网络安全威胁事件对应的第二分类标签的取值与第二分类子集合中网络安全威胁事件对应的第二分类标签的取值不同,所述第一分类子集合和所述第二分类子集合为所述J个分类子集合中的两个不同的分类子集合,所述K为大于1的整数,所述J为大于1的整数,其中:所述第一分类集合为所述M个分类集合中的其中一个,当所述M大于1时,所述第一分类集合包括的网络事件的数量,大于所述M个分类集合中除所述第一分类集合之外的其它分类集合分别包括的网络事件的数量,或者,所述第一分类集合包括的网络事件的数量与所述N的比值大于或者等于预设比值;所述操作单元还用于:根据所述J个分类子集合执行第二操作。
在一种可能的实现方式中,所述操作单元具体用于:确定所述J个分类子集合中各个分类子集合分别包括的网络事件的数量,并输出所述J个分类子集合中R个分类子集合对应的第二分类标签的取值以及所述R个分类子集合包括的网络事件的数量,所述R小于或者等于所述J,所述R为正整数;或者,分别计算所述J个分类子集合中包括的威胁事件的数量与所述K的比值,并输出计算得到的L个比值和所述L个比值中各个比值分别对应的所述第二分类标签的取值,所述L小于或者等于所述J,所述L为正整数。
在一种可能的实现方式中,所述设备信息包括以下任意一项或者多项:设备的类型、运行在设备上的操作系统和运行在设备上的业务系统的标识。
第七方面,本申请实施例提供了一种设备。所述设备包括处理器和存储器。所述存储器用于存储指令或计算机程序。所述处理器用于执行所述存储器中的所述指令或计算机程序,执行以上第一方面任意一项所述的方法,或者执行以上第二方面任意一项所述的方法,或者执行以上第三方面任意一项所述的方法。
第八方面,本申请实施例提供了一种计算机可读存储介质,包括指令或计算机程序,当其在计算机上运行时,使得计算机执行以上第一方面任意一项所述的方法,或者执行以上第二方面任意一项所述的方法,或者执行以上第三方面任意一项所述的方法。
第九方面,本申请实施例提供了一种包含指令或计算机程序的计算机程序产品,当其在计算机上运行时,使得计算机执行以上第一方面任意一项所述的方法,或者执行以上第二方面任意一项所述的方法,或者执行以上第三方面任意一项所述的方法。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的一个示例性应用场景示意图;
图2为本申请实施例提供的一种标签管理方法的流程示意图;
图3为本申请实施例提供的一种存储对应关系的方法的流程示意图;
图4为本申请实施例提供的又一种存储对应关系的方法的流程示意图;
图5为本申请实施例提供的基于网络事件的数据处理方法的流程示意图;
图6为本申请实施例提供的一个示例性应用场景示意图;
图7为本申请实施例提供的一种标签管理装置的结构示意图;
图8为本申请实施例提供的一种上报网络事件的装置的结构示意图;
图9为本申请实施例提供的一种基于网络事件的数据处理装置的结构示意图;
图10为本申请实施例提供的一种设备的结构示意图。
具体实施方式
本申请实施例提供了一种方法,用于提升网络事件发生的原因的定位效率。
随着网络攻击技术的发展,网络攻击技术变的越来越复杂,这就导致对网络事件进行分析处理的难度越来越高。确定多个网络事件之间的内在关联,是定位网络事件发生的原因的重要因素。在传统技术中,通常利用互联网协议(Internet Protocol,IP)地址对网络事件进行关联分析,以确定网络事件之间是否存在关联。但是,由于主机的IP地址可能会发生改变,恶意程序也可能利用虚拟IP地址来实施网络事件。因此采用IP地址对网络事件进行关联分析的方式,并不能准确的确定网络事件之间是否存在关联,从而导致网络事件发生的原因的定位效率比较低。举例说明:对于两个关联的网络事件,若与第一个网络事件对应的IP地址是实施该网络事件的主机的IP地址,而在该主机上继续实施第二个网络事件时,该主机的IP地址发生了改变,故而无法将这两个网络事件关联起来。或者,在该主机上继续实施第二个网络事件时,使用的是一个虚拟IP地址,则也无法将这两个网络事件关联起来。
为了提升网络事件发生的原因的定位效率,本申请实施例提供了一种标签管理方法、上报网络事件的方法以及基于网络事件的数据处理方法。以下结合附图介绍这三种方法。
在介绍该标签管理方法、上报网络事件的方法以及基于网络事件的数据处理方法之前,首先对本申请实施例的一个可能的应用场景进行介绍。
参见图1,该图为本申请实施例的一个示例性应用场景示意图。图1所示的应用场景中,包括标签管理设备101、安全设备102和分析设备103以及多个终端设备,图1示出了终端设备104a、终端设备104b和终端设备104c。其中,终端设备104a、终端设备104b和终端设备104c为企业网络中的终端设备。标签管理设备101用于管理IP地址的标签,例如,标签管理设备101用于管理终端设备104a、终端设备104b和终端设备104c所使用的IP地址的标签。标签管理设备101中存储有IP地址和标签的对应关系。安全设备102可以为某一企业的网络安全设备,如安全网关、防火墙、入侵防御系统(intrusion prevention system,IPS)等等。例如,安全设备102能够基于终端设备104a、终端设备104b和终端设备104c的网络流量检测确定是否存在网络事件,当确定存在网络事件时,安全设备102能够生成网络事件,并将该网络事件上报给分析设备103。分析设备103能够基于接收到的多个网络事件进行分析,定位网络事件发生的原因。
参见图2,该图为本申请实施例提供的一种标签管理方法的流程示意图。可选地,本申请实施例提供的标签管理方法,由图1所示的标签管理设备101执行,标签管理设备101为图1中若干终端设备中的一个终端设备,或者为一个专用的服务器,本申请实施例不做具体限定。图2所示的标签管理方法,通过S101-S103实现。
S101:标签管理设备接收来自第一设备的第一消息,第一消息中包括第一IP地址,第一IP地址为与第一网络事件关联的IP地址。
在一些实施例中,本申请实施例中提及的网络事件,为威胁网络安全的网络事件。
可选的,本申请实施例中的第一设备为图1所示的安全设备102,第一设备能够基于网络流量检测生成网络事件。可选的,第一设备例如为防火墙设备、应用了IPS的设备或者应用了网站应用入侵防御系统(web application firewall,WAF)的设备。
在本申请实施例中,为了提升网络事件发生的原因的定位效率,第一设备基于网络流量检测生成第一网络事件时,能够进一步确定第一IP地址对应的标签。其中,第一IP地址是与第一网络事件关联的IP地址,第一IP地址的标签用于描述利用IP地址登录网络的账户,以及第一IP地址对应的设备信息中的其中一项或者两项。在一些实施例中,网络事件一般要在设备上实施,并且能够借助对应的账户来实施。因此,在对网络事件进行关联时,不仅能够通过与网络事件关联的IP地址进行关联之外,也能够利用该IP地址登录网络的账户、以及该IP地址对应的设备信息来进行关联。即:网络事件关联的IP地址对应的标签,也能够作为网络事件关联的依据。
在本申请实施例中,第一IP地址对应的设备信息,指的是使用第一IP地址的设备的软硬件信息。第一IP地址对应的设备信息包括但不限于使用第一IP地址的设备的类型、运行在使用第一IP地址的设备上的操作系统、以及运行在使用第一IP地址的设备上的业务系统的标识。其中,设备的类型例如为打印机、台式计算机、移动终端等等。操作系统例如为Windows操作系统第10版,linux操作系统等等。业务系统例如为考勤系统、财务系统等等。
关于第一网络事件关联的IP地址,需要说明的是,在一些实施例中,第一设备基于网络流量检测生成第一网络事件在具体实现时,例如能够获取网络中传输的数据报文,并对该数据报文进行分析,以确定是否存在网络事件。在本申请实施例中,若第一网络事件是第一设备对第一数据报文进行分析而生成的,则第一网络事件关联的IP地址,为第一数据报文的源IP地址和/或目的IP地址。在本申请实施例中,第一设备生成的第一网络事件,例如包括以下信息:第一数据报文的源IP地址和/或目的IP地址、根据第一数据报文所确定的源端口号、目的端口号、涉及的网络传输协议以及网络事件名称等。
在本申请实施例中,第一设备能够从标签管理设备处获取第一IP地址对应的标签。具体地,第一设备将第一IP地址发送给标签管理设备。在一个实施例中,第一设备向标签管理设备发送第一消息,第一消息中携带第一IP地址,该第一消息用于指示标签管理设备反馈第一IP地址对应的标签。
S102:标签管理设备根据IP地址和标签的对应关系以及第一IP地址,确定第一标签,第一标签用于描述利用第一IP地址登录网络的账户,和/或,第一IP地址对应的设备信息。
在本申请实施例中,标签管理设备中存储有IP地址和标签之间的对应关系。当标签管理设备接收到来自第一设备的第一消息之后,能够根据第一消息中携带的第一IP地址和本地存储的对应关系,确定出第一IP地址对应的第一标签。其中,前述IP地址和标签的对应关系至少包括第一IP地址和第一标签的对应关系。
S103:标签管理设备将第一标签发送给第一设备,第一标签用于对第一网络事件进行分类。
标签管理设备确定第一标签之后,将第一标签发送给第一设备。第一设备确定第一IP地址对应的第一标签之后,对应记录第一网络事件以及第一标签。进一步地,第一设备将第一网络事件和第一标签对应发送给分析设备,分析设备相应的对应保存第一网络事件和第一标签。关于第一IP地址和第一标签,可结合下表1进行理解。表1示出了IP地址和标签的对应关系。表1中的每一行表项为一个IP地址和对应的标签的示例。
表1
第一IP地址 第一标签
1.1.1.1 账户A、主机和Windows10
192.168.1.1 打印机
192.168.1.254 主机和财务系统
如表1所示,第一IP地址1.1.1.1对应的第一标签,指示利用第一IP地址1.1.1.1登录网络的账户为账户A,使用第一IP地址1.1.1.1的设备的类型为主机、以及运行在使用第一IP地址1.1.1.1的设备上的操作系统为Windows10。第一IP地址192.168.1.1对应的第一标签,指示使用第一IP地址192.168.1.1的设备的类型为打印机。第一IP地址192.168.1.254对应的第一标签,指示使用第一IP地址192.168.1.254的设备的类型为主机、以及运行在使用第一IP地址192.168.1.254的设备上的业务系统为财务系统。表1只是为了方便理解而示出,其并不构成对本申请实施例的限定。
本申请实施例中提及的第一标签用于对第一网络事件进行分类,也能够理解成基于第一标签确定第一网络事件和其它网络事件之间的关联。
通过以上描述可知,分析设备在对多个网络事件进行关联分析时,可以基于网络事件关联的IP地址对应的标签以及网络事件关联的IP地址,对网络事件进行关联分析,或者基于网络事件关联的IP地址的标签对网络事件进行关联分析。由于对网络事件进行关联分析的依据不再仅仅局限于IP地址,因此,利用本申请实施例的方案,可以提升网络事件发生的原因的定位效率。
在一个实施例中,若第一IP地址对应的标签用于描述利用第一IP地址登录网络的账户。则标签管理设备中可以存储有IP地址与利用IP地址登录网络的账户之间的对应关系。图3为本申请实施例提供的一种存储对应关系的方法的流程示意图。图3所示的方法,通过如下S201-S202实现。
S201:标签管理设备获取来自第二设备的账户登录日志,账户登录日志包括所述第一IP地址和利用第一IP地址登录网络的账户的对应关系。
可选的,本申请实施例中的第二设备为账户管理设备。具体地,第二设备为企业的账户管理设备,用于管理该企业的注册账户。第二设备能够在用户利用账户登录网络时,对账户名以及密码进行验证,并保存账户的登录记录。具体地,账户的登录记录保存在账户登录日志中。标签管理设备采用主动请求的方式,向第二设备发送第二消息,该第二消息用于请求前述账户登录日志。可以理解的是,账户登录日志中包括多个IP地址和该多个IP地址分别对应的账户,其中,IP地址对应的账户指的是利用该IP地址登录网络的账户。当然,第二设备也能够主动向标签管理设备上报该账户登录日志,例如,第二设备按照一定周期向标签管理设备上报该账户登录日志,又如,第二设备以增量上报(在本地缓存的日志数据流达到预定阈值时上报)的方式向标签管理设备上报该账户登录日志,等等。
S202:标签管理设备根据该账户登录日志,保存第一IP地址和利用第一IP地址登录网络的账户的对应关系。
若标签管理设备主动从第二设备处获取账户登录日志,则第二设备接收到第二消息之后,将账户登录日志发送给标签管理设备。标签管理设备接收到账户登录日志之后,即可对应保存根据该账户登录日志获得的IP地址和利用该IP地址登录网络的账户之间的对应关系。可以理解的是,S202中保存的对应关系,至少包括前述网第一IP地址和利用第一IP地址登录网络的账户之间的对应关系。若第二设备主动向标签管理设备上报该账户登录日志,则标签管理设备接收到账户登录日志之后,保存该账户登录日志中包括的对应关系。
在实际应用中,对于一个IP地址而言,同一时刻利用该IP地址登录网络的账户最多只有一个,但是在不同时刻,利用该IP地址登录网络的账户可能不同。因此,可选的,标签管理设备按照一定的周期周期性执行前述S201和S202。每执行一次,则根据接收到的账户登录日志对本地保存的“IP地址与利用IP地址登录网络的账户的对应关系”进行更新,以保证该对应关系的准确性。
在一个实施例中,若第一IP地址对应的标签用于描述第一IP地址对应的设备信息,则标签管理设备中存储有“IP地址与IP地址对应的设备信息”之间的对应关系。图4为本申请实施例提供的又一种存储对应关系的方法的流程示意图。图4所示的方法,通过如下S301-S302实现。
S301:标签管理设备获取来自第三设备的IP地址和设备信息的对应关系。
在本申请实施例中,第三设备为资产管理设备,具体地,第三设备为企业的资产管理设备,用于记录该企业的资产。资产管理设备中存储有各个设备的设备信息以及各个设备对应的IP地址之间的对应关系。标签管理设备采用主动请求的方式,向第三设备发送第三消息,该第三消息用于请求IP地址和设备信息的对应关系。可选地,第三设备也能够主动向标签管理设备上报IP地址和设备信息的对应关系,例如,第三设备按照一定周期向标签管理设备上报IP地址和设备信息的对应关系,又如,第三设备按照增量上报的方式向标签管理设备上报IP地址和设备信息的对应关系,等等。
S302:标签管理设备保存来自第三设备的对应关系。
若标签管理设备主动从第三设备处获取IP地址和设备信息的对应关系,则第三设备接收到第三消息之后,获取IP地址与设备信息之间的对应关系,并将获取的对应关系发生给标签管理设备。若第三设备主动向标签管理设备上报IP地址和设备信息,则标签管理设备接收到IP地址和设备信息之后,保存接收到的IP地址和设备信息的对应关系。可以理解的是,S302中标签管理设备保存的对应关系,至少包括前述第一IP地址和第一IP地址对应的设备信息之间的对应关系。
在一些实施例中,考虑到设备的设备信息可能会发生改变,因此,可选的,标签管理设备按照一定的周期周期性执行前述S301和S302。每执行一次,则根据接收到的对应关系对本地保存的“IP地址与该IP地址对应的设备信息的对应关系”进行更新,以保证该对应关系的准确性。
在本申请实施例的一些实施例中,第二设备和第三设备为两个不同的设备。可选的,第二设备和第三设备为同一设备。
以上对标签管理设备101和安全设备102所执行的步骤进行了介绍,接下来介绍分析设备103执行的基于网络事件的数据处理方法。参见图5,该图为本申请实施例提供的基于网络事件的数据处理方法的流程示意图。图5所示的方法,例通过如下S401-S403实现。
S401:分析设备获取第一分类标签,第一分类标签包括第一标签,或者第一标签和IP地址,第一标签包括设备信息和/或账户。
第一分类标签用于对网络事件进行分类,以得到网络事件之间的关联关系。如前文,除了与网络事件关联的IP地址之外,利用该IP地址登录网络的账户,以及该IP地址对应的设备信息,也能够作为网络事件关联的依据。因此,在本申请实施例中,在对网络事件进行关联分析时,能够利用第一标签作为分类依据,也能够利用第一标签和IP地址作为分类依据。其中,设备信息包括设备的类型、运行在设备上的操作系统和运行在设备上的业务系统的标识中的其中一项或者多项。
在本申请实施例的一种实现方式中,分析设备例如能够通过人机交互接口获取第一分类标签,例如,由用户指定第一分类标签,分析设备通过人机交互接口获取用户指定的第一分类标签。在本申请实施例的又一种实现方式中,第一分类标签是预先配置在分析设备上的,分析设备获取预先配置好的第一分类标签。
S402:分析设备根据第一分类标签、以及分析设备存储的N个网络事件、与N个网络事件中各个网络事件分别关联的IP地址对应的标签,对分析设备存储的N个网络事件进行分类,得到M个分类集合,属于M个分类集合中的一个分类集合中的一个或多个网络事件对应的第一分类标签的取值相同,第一分类集合中网络安全威胁事件对应的第一分类标签的取值与第二分类集合中网络安全威胁事件对应的第一分类标签的取值不同,第一分类集合和所述第二分类集合为M个分类集合中的两个不同的分类集合,N为大于1的整数,M为大于1的整数。
分析设备获取第一分类标签之后,根据第一分类标签对N个网络事件进行分类。具体地,将对应第一分类标签的取值相同的网络事件分为一类。可以理解的是,若分类得到M个分类集合,则一个分类集合对应一个第一分类标签的取值,且各个分类集合对应的第一分类标签的取值各不相同。属于某一分类集合中的一个或者多个网络事件对应的第一分类标签的取值相同。举例说明,根据账户对100个网络事件进行分类,这100个网络事件中,其中50个网络事件均对应第一账户,其中30个网络事件均对应第二账户,其中20个网络事件均对应第三账户,则进行分类之后能够得到3个分类集合,第一个分类集合包括对应第一账户的50个网络事件,第二个分类集合包括对应第二账户的30个网络事件,第三个分类集合包括对应第三账户的20个网络事件。
在本申请实施例中,前述N个网络事件是一个或者多个安全设备上报给分析设备的。安全设备在将网络事件上报给分析设备时,将与网络事件关联的IP地址对应的标签和网络事件对应上报给分析设备。这样一来,分析设备即可对应保存接收到的网络事件和与网络事件关联的IP地址对应的标签,故而分析设备能够根据第一分类标签、以及分析设备存储的N个网络事件、与N个网络事件中各个网络事件分别关联的IP地址对应的标签,对分析设备存储的N个网络事件进行分类。
S403:分析设备根据该M个分类集合执行第一操作。
分析设备对N个网络事件进行分类得到M个分类集合之后,根据该M个分类集合执行第一操作,第一操作指的是用于体现或者展示该N个网络事件之间的关联关系的操作。
关于S403的具体实现方式,在一个实施例中,分析设备确定各个分类集合中分别包括的网络事件的数量,并输出M个分类集合中Q个分类集合对应的第一分类标签的取值以及该Q个分类集合包括的网络事件的数量。其中,Q为小于或者等于M的正整数。此处提及的输出包括但不限于控制显示设备显示、控制语音播放设备播放、以及控制打印设备打印,等等。此处提及的显示设备例如为显示屏,此处提及的语音播放设备例如为扬声器,此处提及的打印设备例如为打印机。
以输出具体体现为控制显示设备显示为例,在本申请实施例中,分析设备控制显示设备以表格或者柱形图等形式显示Q个分类集合包括的网络事件的数量。显示设备对Q个分类集合包括的网络事件的数量进行显示之后,用户即可通过显示设备显示的内容确定网络事件之间的关联。举例说明,对于100个网络事件而言,根据显示设备显示的内容,用户能够看出其中80个网络事件对应第一账户,其中10个网络事件对应第二账户,其中10个网络事件对应第三账户,则用户能够确定网络中的大部分网络事件与第一账户有关,故而能够初步推测网络事件发生的原因可能是因为第一账户被盗。
关于Q和M,需要说明的是,当Q等于M时,分析设备能够输出各个分类集合包括的网络事件的数量。当Q小于M时,分析设备能够输出部分分类集合包括的网络事件的数量。对于这种情况,考虑到包括网络事件的数量比较多的分类集合对于确定网络事件发生的原因具备更高的价值,因此,分析设备按照包括网络事件的数量对前述各个分类集合进行排序,筛选出包括网络事件数量较多的Q个分类集合,并输出该Q个分类集合对应的第一分类标签的取值、以及该Q个分类集合中各个分类集合包括的网络事件的数量。
在S403的又一个实现方式中,分析设备确定各个分类集合中分别包括的网络事件的数量之后,分别计算M个分类集合中包括的网络事件的数量与N的比值,即计算各个分类集合包括的网络事件占网络事件总数的比值。而后,分析设备输出计算得到的P个比值和P个比值中各个比值分别对应的第一分类标签的取值。其中,P为小于或者等于M的正整数。
以输出具体体现为控制显示设备显示为例,在本申请实施例中,分析设备控制显示设备以饼图的形式显示P个分类集合包括的网络事件的数量与N的比值。显示设备对P个分类集合包括的网络事件的数量与N的比值进行显示之后,用户即可通过显示设备显示的内容确定网络事件之间的关联。举例说明,对于100个网络事件而言,根据显示设备显示的内容,用户能够看出其中80%的网络事件均对应第一账户,其中10%的网络事件对应第二账户,另外10%的网络事件对应第三账户,则用户能够确定网络中的大部分网络事件与第一账户有关,故而能够初步推测网络事件发生的原因可能是因为第一账户被盗。
关于P和M,需要说明的是,当P等于M时,分析设备输出各个分类集合包括的网络事件的数量与N的比值。当P小于M时,分析设备输出部分分类集合包括的网络事件的数量与N的比值。对于这种情况,考虑到包括网络事件的数量比较多的分类集合对于确定网络事件发生的原因具备更高的价值,因此,分析设备按照计算得到的比值的大小对前述各个分类集合进行排序,筛选出比值较大的P个分类集合,并输出该P个分类集合对应的第一分类标签的取值、以及该P个分类集合中各个分类集合包括的网络事件的数量与N的比值。
通过以上描述可知,通过根据第一分类标签对N个网络事件进行分类,能够确定网络事件之间的关联,并初步推断出网络事件发生的原因。
关于图5所述的基于网络事件的数据处理方法,现结合图6所示的场景对其确定网络事件之间的关联、并确定网络事件发生的原因的效果进行说明。
参见图6,该图为本申请实施例提供的一个示例性应用场景示意图。在图6所示的场景中,安全设备103检测到使用IP地址1.1.1.2的台式计算机104d和使用IP地址1.1.1.3的移动终端104e产生的网络事件,其中,台式计算机104d执行了可疑文件下载的操作,移动终端104e执行了端口扫描的操作。安全设备103将这两个网络事件及其关联的IP地址对应的标签对应上报给分析设备104,其中,IP地址1.1.1.2对应的标签包括利用IP地址1.1.1.2登录网络的账户,IP地址1.1.1.3对应的标签包括利用IP地址1.1.1.3登录网络的账户,且利用IP地址1.1.1.2登录网络的账户和利用IP地址1.1.1.3登录网络的账户均为账户A。分析设备104利用账户作为威胁事件关联分析的索引值,即利用账户作为分类依据,对应图5所述的方法,即第一分类标签为账户。分析设备103利用账户对包括图6所示的两个网络事件的多个网络事件进行分类之后,根据分类结果可知图6所示的两个网络事件被划分为一类。由此,用户能够根据分类结果推断出用户A从互联网上下载了病毒文件,该病毒文件对网络中的其它资产进行了扫描探测。
当然,确定网络事件之间的关联包括但不限于图6所示的这种情况,例如还包括前文提及的“对于100个网络事件而言,其中80%的网络事件均对应第一账户,则用户能够确定网络中的大部分网络事件与第一账户有关,故而能够初步推测网络事件发生的原因可能是因为第一账户被盗”这种情况,此处不再一一列举说明。在本申请的一个实施例中,为了进一步确定网络事件发生的原因,分析设备还能够获取第二分类标签,并根据第二分类标签对第一分类集合包括的K个网络事件进行分类,得到J个分类子集合,并根据J个分类子集合执行第二操作。其中,第二分类标签为IP地址、设备信息和账户中的其中一项或者多项,且第二分类标签不同于第一分类标签。例如,第一分类标签为账户,第二分类标签为设备的类型。
在本申请实施例中,第一分类集合为S402中提及的M个分类集合中的其中一个分类集合。分析设备获取第二分类标签的方式与获取第一分类标签的方式类似,此处不再重复说明。
如前文,包括网络事件的数量比较多的分类集合对于确定网络事件发生的原因具备更高的价值。因此,第一分类集合包括的网络事件的数量,大于该M个分类集合中除第一分类集合之外的其它分类集合分别包括的网络事件的数量,或者,第一分类集合包括的网络事件的数量与N的比值大于或者等于预设比值。换言之,第一分类集合是前述M个分类集合中包括网络事件数量最多的分类集合,或者,第一分类集合包括的网络事件的数量占网络事件总数的比值比较大。
在本申请实施例中,分析设备根据第二分类标签对第一分类集合包括的K个网络事件进行分类的具体实现方式,与分析设备根据第一分类标签对N个网络事件进行分类的实现方式是类似的。具体地,分析设备中存储有K个网络事件中各个网络事件与各个网络事件分别关联的IP地址对应的标签。分析设备将对应第二分类标签的取值相同的网络事件分为一类。可以理解的是,若分类得到J个分类子集合,则一个分类子集合对应一个第二分类标签的取值,且各个分类子集合对应的第二分类标签的取值各不相同。属于某一分类子集合中的一个或者多个网络事件对应的第二分类标签的取值相同。即:属于该J个分类子集合中的一个分类子集合中的一个或多个网络事件对应的第二分类标签的取值相同,对于两个不同的分类子集合第一分类子集合和第二分类子集合而言,第一分类子集合中网络安全威胁事件对应的第二分类标签的取值与第二分类子集合中网络安全威胁事件对应的第二分类标签的取值不同。其中,J为大于1的整数。举例说明,根据设备的类型对第一分类集合包括的80个网络事件进行分类,这80个网络事件中,其中75个网络事件对应的设备的类型为移动终端,另外5个网络事件对应的设备的类型为台式计算机,则进行分类之后能够得到两个分类子集合,第一个分类子集合包括对应移动终端的75个网络事件,第二个分类子集合包括对应台式计算机的5个网络事件。
在本申请实施例中,分析设备根据第二分类标签分类得到的J个分类子集合之后,根据该J个分类子集合执行第二操作。与第一操作类似,第二操作指的是用于体现或者展示该K个网络事件之间的关联关系的操作。分析设备根据该J个分类子集合执行第二操作在具体实现时,至少包括以下两种实现方式。
在一种实现方式中,分析设备确定该J个分类子集合中各个分类子集合分别包括的网络事件的数量,并输出该J个分类子集合中R个分类子集合对应的第二分类标签的取值、以及该R个分类子集合包括的网络事件的数量。其中,R为小于或者等于J的正整数。
以输出具体体现为控制显示设备显示为例,在本申请实施例中,分析设备控制显示设备以表格或者柱形图等形式显示R个分类子集合包括的网络事件的数量。显示设备对R个分类子集合包括的网络事件的数量进行显示之后,用户即可通过显示设备显示的内容确定网络事件之间的关联。举例说明,第一分类集合中包括的80个网络事件均对应第一账户,对于第一分类集合中包括的80个网络事件而言,根据显示设备显示的内容,用户能够看出其中75个网络事件对应的设备的类型为移动终端,其中5个网络事件对应的设备的类型为台式计算机,则用户能够确定网络中的大部分网络事件与第一账户和移动终端有关,故而能够推测网络事件发生的原因可能是因为登录第一账户的移动终端被黑客袭击,从而导致第一账户被盗。
关于R和J,需要说明的是,当R等于J时,分析设备输出各个分类子集合包括的网络事件的数量。当R小于J时,分析设备输出部分分类子集合包括的网络事件的数量。对于这种情况,分析设备按照包括网络事件的数量对前述各个分类子集合进行排序,筛选出包括网络事件数量较多的R个分类子集合,并输出该R个分类子集合对应的第二分类标签的取值、以及该R个分类子集合中各个分类子集合包括的网络事件的数量。
在又一种实现方式中,分析设备分别计算该J个分类子集合中包括的网络事件的数量与所述K的比值,并输出计算得到的L个比值和所述L个比值中各个比值分别对应的第二分类标签的取值,L为小于或者等于J的正整数。
以输出具体体现为控制显示设备显示为例,在本申请实施例中,分析设备控制显示设备以饼图的形式显示L个分类子集合包括的网络事件的数量与K的比值。显示设备对L个分类子集合包括的网络事件的数量与K的比值进行显示之后,用户即可通过显示设备显示的内容确定网络事件之间的关联。举例说明,第一分类集合中包括的80个网络事件均对应第一账户,对于第一集合中包括的网络事件而言,根据显示设备显示的内容,用户能够看出其中94%的网络事件对应的设备的类型为移动终端,其中6%的网络事件对应的设备的类型为台式计算机,则用户能够确定网络中的大部分网络事件与第一账户和移动终端有关,故而能够推测网络事件发生的原因可能是因为登录第一账户的移动终端被黑客袭击,从而导致第一账户被盗。
关于L和J,需要说明的是,当L等于J时,分析设备输出各个分类子集合包括的网络事件的数量与K的比值。当L小于J时,分析设备输出部分分类子集合包括的网络事件的数量与K的比值。对于这种情况,分析设备按照计算得到的比值的大小对前述各个分类子集合进行排序,筛选出比值较大的L个分类子集合,并输出该L个分类子集合对应的第二分类标签的取值、以及该L个分类子集合中各个分类子集合包括的网络事件的数量与K的比值。
基于以上实施例提供的方法,本申请实施例还提供了对应的装置,以下结合附图介绍该装置。
参见图7,图7为本申请实施例提供的一种标签管理装置的结构示意图。图7所示的标签管理装置700,用于执行图2-图4所示的标签管理方法。具体地,该标签管理装置700包括接收单元701、确定单元702和发送单元703。
接收单元701用于接收来自于第一设备的第一消息,所述第一消息包括第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址,所述第一消息用于请求所述反馈所述第一IP地址对应的标签。
确定单元702用于根据IP地址和标签的对应关系以及所述第一IP地址,确定第一标签,所述第一标签是所述第一IP地址对应的标签,所述对应关系包括所述第一IP地址和第一标签的对应关系,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息;
发送单元703用于将所述第一标签发送给所述第一设备,所述第一标签用于对所述第一网络事件进行分类。
在一种可能的实现方式中,若所述第一标签用于描述利用所述第一IP地址登录网络的账户,所述装置700还包括:获取单元和保存单元。
获取单元用于获取来自第二设备的账户登录日志,所述账户登录日志包括所述第一IP地址和利用所述第一IP地址登录网络的账户的对应关系;保存单元用于根据所述账户登录日志保存所述第一IP地址和利用所述第一IP地址登录网络的账户的对应关系。
在一种可能的实现方式中,若所述第一IP地址对应的标签用于描述所述第一IP地址对应的设备信息,所述装置700还包括:获取单元和保存单元。
获取单元用于获取来自第三设备的IP地址和设备信息的对应关系;保存单元用于保存来自所述第三设备的所述对应关系,保存的所述对应关系包括所述第一IP地址和所述第一IP地址对应的设备信息的对应关系。
在一种可能的实现方式中,所述第一IP地址对应的设备信息,包括以下任意一项或者多项:使用所述第一IP地址的设备的类型、运行在所述使用所述第一IP地址的设备上的操作系统和运行在所述使用所述第一IP地址的设备上的业务系统的标识。
由于所述装置700是与以上实施例描述的图2-图4对应的标签管理方法对应的装置,所述装置700的各个单元的具体实现,均与以上方法实施例为同一构思,因此,关于所述装置700的各个单元的具体实现,可以参考以上方法实施例关于图2-图4对应的标签管理方法的描述部分,此处不再赘述。
参见图8,图8为本申请实施例提供的一种上报网络事件的装置的结构示意图。图8所示的上报网络事件的装置800,用于执行以上实施例提供的由第一设备执行的步骤。具体地,该上报网络事件的装置800包括生成单元801、确定单元802、获取单元803和发送单元804。
生成单元801用于基于网络流量检测生成第一网络事件。
确定单元802用于确定第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址。
获取单元803用于根据所述第一IP地址获取第一标签,所述第一标签是所述第一IP地址对应的标签,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息。
发送单元804用于将所述第一网络事件和所述第一标签对应发送给分析设备,所述第一标签用于对所述第一网络事件进行分类。
在一种可能的实现方式中,所述获取单元803具体用于:向标签管理设备发送第一消息,所述第一消息包括所述第一IP地址,所述第一消息用于指示所述标签管理设备反馈所述第一IP地址对应的标签;接收来自于所述标签管理设备的所述第一标签。
在一种可能的实现方式中,所述生成单元801具体用于:根据第一数据报文生成所述第一网络事件;所述确定单元802具体用于:将所述第一数据报文的源IP地址和/或目的IP地址确定为所述第一IP地址。
在一种可能的实现方式中,所述第一IP地址对应的设备信息,包括以下任意一项或者多项:使用所述第一IP地址的设备的类型、运行在所述使用所述第一IP地址的设备上的操作系统和运行在所述使用所述第一IP地址的设备上的业务系统的标识。
由于所述装置800是与以上实施例描述的由第一设备执行的步骤对应的装置,所述装置800的各个单元的具体实现,均与以上方法实施例为同一构思,因此,关于所述装置800的各个单元的具体实现,可以参考以上方法实施例关于由第一设备执行的步骤的描述部分,此处不再赘述。
参见图9,图9为本申请实施例提供的一种基于网络事件的数据处理装置的结构示意图。图9所示的基于网络事件的数据处理装置900,用于执行图5所示的基于网络事件的数据处理方法。具体地,该基于网络事件的数据处理装置900包括获取单元901、分类单元902和操作单元903。
获取单元901用于获取第一分类标签,所述第一分类标签包括第一标签,或者包括所述第一标签和IP地址,所述第一标签包括账户和/或设备信息。
分类单元902用于根据所述第一分类标签、以及所述分析设备存储的N个网络事件、与N个网络事件中各个网络事件分别关联的IP地址对应的标签,对存储的N个网络事件进行分类,得到M个分类集合,属于所述M个分类集合中的一个分类集合中的一个或多个网络事件对应的第一分类标签的取值相同,第一分类集合中网络安全威胁事件对应的第一分类标签的取值与第二分类集合中网络安全威胁事件对应的第一分类标签的取值不同,所述第一分类集合和所述第二分类集合为所述M个分类集合中的两个不同的分类集合,所述N为大于1的整数,所述M为大于或者等于2的整数,所述IP地址对应的标签包括利用所述IP地址登录网络的账户,和/或,所述IP地址对应的设备信息。
操作单元903用于根据所述M个分类集合执行第一操作。
在一种可能的实现方式中,所述操作单元903具体用于:确定所述M个分类集合中各个分类集合分别包括的网络事件的数量,并输出所述M个分类集合中Q个分类集合对应的第一分类标签的取值以及所述Q个分类集合包括的网络事件的数量,所述Q小于或者等于所述M,所述Q为正整数;或者,分别计算所述M个分类集合中包括的威胁事件的数量与所述N的比值,并输出计算得到的P个比值和所述P个比值中各个比值分别对应的所述第一分类标签的取值,所述P小于或者等于所述M,所述P为正整数。
在一种可能的实现方式中,所述获取单元901还用于:获取第二分类标签,所述第二分类标签包括IP地址、设备信息和账户中的其中一项或者多项,所述第二分类标签与所述第一分类标签不同。
所述分类单元902还用于:根据所述第二分类标签、以及所述分析设备存储的K个网络事件中各个网络事件与所述各个网络事件分别关联的IP地址对应的标签,对第一分类集合中的所述K个网络事件进行分类,得到J个分类子集合,属于所述J个分类子集合中的一个分类子集合中的一个或多个网络事件对应的第二分类标签的取值相同,第一分类子集合中网络安全威胁事件对应的第二分类标签的取值与第二分类子集合中网络安全威胁事件对应的第二分类标签的取值不同,所述第一分类子集合和所述第二分类子集合为所述J个分类子集合中的两个不同的分类子集合,所述K为大于1的整数,所述J为大于1的整数,其中:所述第一分类集合为所述M个分类集合中的其中一个,当所述M大于1时,所述第一分类集合包括的网络事件的数量,大于所述M个分类集合中除所述第一分类集合之外的其它分类集合分别包括的网络事件的数量,或者,所述第一分类集合包括的网络事件的数量与所述N的比值大于或者等于预设比值;
所述操作单元903还用于:根据所述J个分类子集合执行第二操作。
在一种可能的实现方式中,所述操作单元903具体用于:确定所述J个分类子集合中各个分类子集合分别包括的网络事件的数量,并输出所述J个分类子集合中R个分类子集合对应的第二分类标签的取值以及所述R个分类子集合包括的网络事件的数量,所述R小于或者等于所述J,所述R为正整数;或者,分别计算所述J个分类子集合中包括的威胁事件的数量与所述K的比值,并输出计算得到的L个比值和所述L个比值中各个比值分别对应的所述第二分类标签的取值,所述L小于或者等于所述J,所述L为正整数。
在一种可能的实现方式中,所述设备信息包括以下任意一项或者多项:设备的类型、运行在设备上的操作系统和运行在设备上的业务系统的标识。
由于所述装置900是与以上实施例描述的图5对应的基于网络事件的数据处理方法对应的装置,所述装置900的各个单元的具体实现,均与以上方法实施例为同一构思,因此,关于所述装置900的各个单元的具体实现,可以参考以上方法实施例关于图5对应的基于网络事件的数据处理方法的描述部分,此处不再赘述。
需要说明的是,前述提及的标签管理装置700、上报网络事件的装置800和基于网络事件的数据处理装置900,其硬件结构可以为如图10所示的结构,图10为本申请实施例提供的一种设备的结构示意图。
请参阅图10所示,设备1000包括:处理器1010、通信接口1020和和存储器1030。其中设备1000中的处理器1010的数量可以一个或多个,图10中以一个处理器为例。本申请实施例中,处理器1010、通信接口1020和存储器1030可通过总线系统或其它方式连接,其中,图10中以通过总线系统1040连接为例。
处理器1010可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器1010还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。
存储器1030可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1030也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器1030还可以包括上述种类的存储器的组合。当设备1000对应图7所示的标签管理装置700时,存储器1030例如可以存储IP地址和标签的对应关系。当设备1000对应图8所示的上报网络事件的装置800时,存储器1030例如可以存储第一网络事件和第一IP地址对应的标签。当设备1000对应图9所示的基于网络事件的数据处理装置900时,存储器1030例如可以存储N个网络事件、以及与N个网络事件中各个网络事件分别关联的IP地址对应的标签。
可选地,存储器1030存储有操作系统和程序、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,程序可包括各种操作指令,用于实现各种操作。操作系统可包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。处理器1010可以读取存储器1030中的程序,实现本申请实施例提供的时间同步方法或者用于时间同步的消息处理方法。
总线系统1040可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线系统1040可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例还提供了一种计算机可读存储介质,包括指令或计算机程序,当其在计算机上运行时,使得计算机执行以上实施例提供的标签管理方法、上报网络事件的方法或者基于网络事件的数据分析方法,其中,上报网络事件的方法对应前述实施例中由第一设备执行的步骤。
本申请实施例还提供了一种包含指令或计算机程序的计算机程序产品,当其在计算机上运行时,使得计算机执行以上实施例提供的标签管理方法、上报网络事件的方法或者基于网络事件的数据分析方法,其中,上报网络事件的方法对应前述实施例中由第一设备执行的步骤。
本申请实施例还提供了一种基于标签的数据分析系统,该系统包括如图1所示的标签管理设备、安全设备和分析设备。可选地,标签管理设备与分析设备集成于同一硬件实体设备中。在标签管理设备与分析设备集成实现的情况下,部分步骤可以省略执行。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑业务划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各业务单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件业务单元的形式实现。
集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (19)

1.一种标签管理方法,其特征在于,所述方法包括:
标签管理设备接收来自于第一设备的第一消息,所述第一消息包括第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址,所述第一消息用于请求所述标签管理设备反馈所述第一IP地址对应的标签,所述第一消息是所述第一设备基于网络流量检测生成所述第一网络事件之后向所述标签管理设备发送的;
所述标签管理设备根据IP地址和标签的对应关系以及所述第一IP地址,确定第一标签,所述第一标签是所述第一IP地址对应的标签,所述对应关系包括所述第一IP地址和第一标签的对应关系,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息;
所述标签管理设备将所述第一标签发送给所述第一设备,所述第一标签用于对所述第一网络事件进行分类。
2.根据权利要求1所述的方法,其特征在于,若所述第一标签用于描述利用所述第一IP地址登录网络的账户,所述方法还包括:
所述标签管理设备获取来自第二设备的账户登录日志,所述账户登录日志包括所述第一IP地址和利用所述第一IP地址登录网络的账户的对应关系;
所述标签管理设备根据所述账户登录日志保存所述第一IP地址和利用所述第一IP地址登录网络的账户的对应关系。
3.根据权利要求1所述的方法,其特征在于,若所述第一IP地址对应的标签用于描述所述第一IP地址对应的设备信息,所述方法还包括:
所述标签管理设备获取来自第三设备的IP地址和设备信息的对应关系;
所述第一设备保存来自所述第三设备的所述对应关系,保存的所述对应关系包括所述第一IP地址和所述第一IP地址对应的设备信息的对应关系。
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述第一IP地址对应的设备信息,包括以下任意一项或者多项:
使用所述第一IP地址的设备的类型、运行在所述使用所述第一IP地址的设备上的操作系统和运行在所述使用所述第一IP地址的设备上的业务系统的标识。
5.一种上报网络事件的方法,其特征在于,所述方法包括:
第一设备基于网络流量检测生成第一网络事件,并确定第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址;
所述第一设备根据所述第一IP地址获取第一标签,所述第一标签是所述第一IP地址对应的标签,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息;
所述第一设备将所述第一网络事件和所述第一标签对应发送给分析设备,所述第一标签用于对所述第一网络事件进行分类;
所述第一设备根据所述第一IP地址获取第一标签,包括:
所述第一设备向标签管理设备发送第一消息,所述第一消息包括所述第一IP地址,所述第一消息用于指示所述标签管理设备反馈所述第一IP地址对应的标签;
所述第一设备接收来自于所述标签管理设备的所述第一标签。
6.根据权利要求5所述的方法,其特征在于,所述第一设备基于网络流量检测生成第一网络事件,并确定第一IP地址,包括:
所述第一设备根据第一数据报文生成所述第一网络事件,并将所述第一数据报文的源IP地址和/或目的IP地址确定为所述第一IP地址。
7.根据权利要求5-6任意一项所述的方法,其特征在于,所述第一IP地址对应的设备信息,包括以下任意一项或者多项:
使用所述第一IP地址的设备的类型、运行在所述使用所述第一IP地址的设备上的操作系统和运行在所述使用所述第一IP地址的设备上的业务系统的标识。
8.一种基于网络事件的数据处理方法,其特征在于,所述方法包括:
分析设备获取第一分类标签,所述第一分类标签包括第一标签,或者包括所述第一标签和IP地址,所述第一标签包括账户和/或设备信息;
所述分析设备根据所述第一分类标签、以及所述分析设备存储的N个网络事件、以及与N个网络事件中各个网络事件分别关联的IP地址对应的标签,对所述分析设备存储的N个网络事件进行分类,得到M个分类集合,属于所述M个分类集合中的一个分类集合中的一个或多个网络事件对应的第一分类标签的取值相同,第一分类集合中网络安全威胁事件对应的第一分类标签的取值与第二分类集合中网络安全威胁事件对应的第一分类标签的取值不同,所述第一分类集合和所述第二分类集合为所述M个分类集合中的两个不同的分类集合,所述N为大于1的整数,所述M为大于或者等于2的整数,所述IP地址对应的标签包括利用所述IP地址登录网络的账户,和/或,所述IP地址对应的设备信息;
所述分析设备根据所述M个分类集合执行第一操作。
9.根据权利要求8所述的方法,其特征在于,所述分析设备根据所述M个分类集合执行第一操作,包括:
所述分析设备确定所述M个分类集合中各个分类集合分别包括的网络事件的数量;所述分析设备输出所述M个分类集合中Q个分类集合对应的第一分类标签的取值以及所述Q个分类集合包括的网络事件的数量,所述Q小于或者等于所述M,所述Q为正整数;
或者,
所述分析设备分别计算所述M个分类集合中包括的威胁事件的数量与所述N的比值;所述分析设备输出计算得到的P个比值和所述P个比值中各个比值分别对应的所述第一分类标签的取值,所述P小于或者等于所述M,所述P为正整数。
10.根据权利要求8或9所述的方法,其特征在于,所述方法还包括:
所述分析设备获取第二分类标签,所述第二分类标签包括IP地址、设备信息和账户中的其中一项或者多项,所述第二分类标签与所述第一分类标签不同;
所述分析设备根据所述第二分类标签、以及所述分析设备存储的K个网络事件中各个网络事件与所述各个网络事件分别关联的IP地址对应的标签,对第一分类集合中的所述K个网络事件进行分类,得到J个分类子集合,属于所述J个分类子集合中的一个分类子集合中的一个或多个网络事件对应的第二分类标签的取值相同,第一分类子集合中网络安全威胁事件对应的第二分类标签的取值与第二分类子集合中网络安全威胁事件对应的第二分类标签的取值不同,所述第一分类子集合和所述第二分类子集合为所述J个分类子集合中的两个不同的分类子集合,所述K为大于1的整数,所述J为大于1的整数,其中:所述第一分类集合为所述M个分类集合中的其中一个,当所述M大于1时,所述第一分类集合包括的网络事件的数量,大于所述M个分类集合中除所述第一分类集合之外的其它分类集合分别包括的网络事件的数量,或者,所述第一分类集合包括的网络事件的数量与所述N的比值大于或者等于预设比值;
所述分析设备根据所述J个分类子集合执行第二操作。
11.根据权利要求10所述的方法,其特征在于,所述分析设备根据所述J个分类子集合执行第二操作,包括:
所述分析设备确定所述J个分类子集合中各个分类子集合分别包括的网络事件的数量;所述分析设备输出所述J个分类子集合中R个分类子集合对应的第二分类标签的取值以及所述R个分类子集合包括的网络事件的数量,所述R小于或者等于所述J,所述R为正整数;
或者,
所述分析设备分别计算所述J个分类子集合中包括的威胁事件的数量与所述K的比值;所述分析设备输出计算得到的L个比值和所述L个比值中各个比值分别对应的所述第二分类标签的取值,所述L小于或者等于所述J,所述L为正整数。
12.根据权利要求8或者9或11所述的方法,其特征在于,所述设备信息包括以下任意一项或者多项:
设备的类型、运行在设备上的操作系统和运行在设备上的业务系统的标识。
13.一种标签管理装置,其特征在于,所述装置包括:
接收单元,用于接收来自于第一设备的第一消息,所述第一消息包括第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址,所述第一消息用于请求反馈所述第一IP地址对应的标签,所述第一消息是所述第一设备基于网络流量检测生成所述第一网络事件之后向标签管理设备发送的;
确定单元,用于根据IP地址和标签的对应关系以及所述第一IP地址,确定第一标签,所述第一标签是所述第一IP地址对应的标签,所述对应关系包括所述第一IP地址和第一标签的对应关系,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息;
发送单元,用于将所述第一标签发送给所述第一设备,所述第一标签用于对所述第一网络事件进行分类。
14.一种上报网络事件的装置,其特征在于,所述装置包括:
生成单元,用于基于网络流量检测生成第一网络事件;
确定单元,用于确定第一互联网协议IP地址,所述第一IP地址为与第一网络事件关联的IP地址;
获取单元,用于根据所述第一IP地址获取第一标签,所述第一标签是所述第一IP地址对应的标签,所述第一标签用于描述利用所述第一IP地址登录网络的账户,和/或,所述第一IP地址对应的设备信息;
发送单元,用于将所述第一网络事件和所述第一标签对应发送给分析设备,所述第一标签用于对所述第一网络事件进行分类;
所述根据所述第一IP地址获取第一标签,包括:
向标签管理设备发送第一消息,所述第一消息包括所述第一IP地址,所述第一消息用于指示所述标签管理设备反馈所述第一IP地址对应的标签;
接收来自于所述标签管理设备的所述第一标签。
15.一种基于网络事件的数据处理装置,其特征在于,所述装置包括:
获取单元,用于获取第一分类标签,所述第一分类标签包括第一标签,或者包括所述第一标签和IP地址,所述第一标签包括账户和/或设备信息;
分类单元,用于根据所述第一分类标签、以及分析设备存储的N个网络事件、以及与N个网络事件中各个网络事件分别关联的IP地址对应的标签,对存储的N个网络事件进行分类,得到M个分类集合,属于所述M个分类集合中的一个分类集合中的一个或多个网络事件对应的第一分类标签的取值相同,第一分类集合中网络安全威胁事件对应的第一分类标签的取值与第二分类集合中网络安全威胁事件对应的第一分类标签的取值不同,所述第一分类集合和所述第二分类集合为所述M个分类集合中的两个不同的分类集合,所述N为大于1的整数,所述M为大于或者等于2的整数,所述IP地址对应的标签包括利用所述IP地址登录网络的账户,和/或,所述IP地址对应的设备信息;
操作单元,用于根据所述M个分类集合执行第一操作。
16.根据权利要求15所述的装置,其特征在于,所述操作单元,具体用于:
确定所述M个分类集合中各个分类集合分别包括的网络事件的数量,并输出所述M个分类集合中Q个分类集合对应的第一分类标签的取值以及所述Q个分类集合包括的网络事件的数量,所述Q小于或者等于所述M,所述Q为正整数;
或者,
分别计算所述M个分类集合中包括的威胁事件的数量与所述N的比值,并输出计算得到的P个比值和所述P个比值中各个比值分别对应的所述第一分类标签的取值,所述P小于或者等于所述M,所述P为正整数。
17.根据权利要求15或16所述的装置,其特征在于,所述获取单元还用于:
获取第二分类标签,所述第二分类标签包括IP地址、设备信息和账户中的其中一项或者多项,所述第二分类标签与所述第一分类标签不同;
所述分类单元还用于:
根据所述第二分类标签、以及所述分析设备存储的K个网络事件中各个网络事件与所述各个网络事件分别关联的IP地址对应的标签,对第一分类集合中的所述K个网络事件进行分类,得到J个分类子集合,属于所述J个分类子集合中的一个分类子集合中的一个或多个网络事件对应的第二分类标签的取值相同,第一分类子集合中网络安全威胁事件对应的第二分类标签的取值与第二分类子集合中网络安全威胁事件对应的第二分类标签的取值不同,所述第一分类子集合和所述第二分类子集合为所述J个分类子集合中的两个不同的分类子集合,所述K为大于1的整数,所述J为大于1的整数,其中:所述第一分类集合为所述M个分类集合中的其中一个,当所述M大于1时,所述第一分类集合包括的网络事件的数量,大于所述M个分类集合中除所述第一分类集合之外的其它分类集合分别包括的网络事件的数量,或者,所述第一分类集合包括的网络事件的数量与所述N的比值大于或者等于预设比值;
所述操作单元还用于:
根据所述J个分类子集合执行第二操作。
18.根据权利要求17所述的装置,其特征在于,所述操作单元具体用于:
确定所述J个分类子集合中各个分类子集合分别包括的网络事件的数量,并输出所述J个分类子集合中R个分类子集合对应的第二分类标签的取值以及所述R个分类子集合包括的网络事件的数量,所述R小于或者等于所述J,所述R为正整数;
或者,
分别计算所述J个分类子集合中包括的威胁事件的数量与所述K的比值,并输出计算得到的L个比值和所述L个比值中各个比值分别对应的所述第二分类标签的取值,所述L小于或者等于所述J,所述L为正整数。
19.一种计算机可读存储介质,其特征在于,包括指令或计算机程序,当其在计算机上运行时,使得计算机执行以上权利要求1-12任意一项所述的方法。
CN202010084677.3A 2020-02-10 2020-02-10 一种标签管理方法、上报方法、数据分析方法及装置 Active CN113259299B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010084677.3A CN113259299B (zh) 2020-02-10 2020-02-10 一种标签管理方法、上报方法、数据分析方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010084677.3A CN113259299B (zh) 2020-02-10 2020-02-10 一种标签管理方法、上报方法、数据分析方法及装置

Publications (2)

Publication Number Publication Date
CN113259299A CN113259299A (zh) 2021-08-13
CN113259299B true CN113259299B (zh) 2022-07-22

Family

ID=77219376

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010084677.3A Active CN113259299B (zh) 2020-02-10 2020-02-10 一种标签管理方法、上报方法、数据分析方法及装置

Country Status (1)

Country Link
CN (1) CN113259299B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101014008A (zh) * 2007-02-15 2007-08-08 杭州华为三康技术有限公司 多协议标签交换业务分类处理方法及网络设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100737525B1 (ko) * 2005-10-19 2007-07-10 한국전자통신연구원 아이피 버전 6 (IPv6) 플로우레이블 생성방법
CN104054305A (zh) * 2012-12-26 2014-09-17 华为技术有限公司 一种ip数据包的发送方法及标签交换路由器
JP6655533B2 (ja) * 2013-07-12 2020-02-26 スカイフック ワイヤレス インコーポレイテッド ネットワークアドレスへの属性の関連付け
CN103685502B (zh) * 2013-12-09 2017-07-25 腾讯科技(深圳)有限公司 一种消息推送方法、装置及系统
CN108875820A (zh) * 2018-06-08 2018-11-23 Oppo广东移动通信有限公司 信息处理方法和装置、电子设备、计算机可读存储介质
CN109543999A (zh) * 2018-11-21 2019-03-29 深圳互联先锋科技有限公司 一种设备信息管理系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101014008A (zh) * 2007-02-15 2007-08-08 杭州华为三康技术有限公司 多协议标签交换业务分类处理方法及网络设备

Also Published As

Publication number Publication date
CN113259299A (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
US11647039B2 (en) User and entity behavioral analysis with network topology enhancement
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US20210248230A1 (en) Detecting Irregularities on a Device
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US8424094B2 (en) Automated collection of forensic evidence associated with a network security incident
US20220060497A1 (en) User and entity behavioral analysis with network topology enhancements
US8554907B1 (en) Reputation prediction of IP addresses
US20160164916A1 (en) Automated responses to security threats
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
US20130081065A1 (en) Dynamic Multidimensional Schemas for Event Monitoring
WO2017074732A1 (en) Method and system for gathering and contextualizing multiple security events
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
CN110210213B (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
US20220217162A1 (en) Malicious port scan detection using port profiles
CN114598512B (zh) 一种基于蜜罐的网络安全保障方法、装置及终端设备
US11677777B1 (en) Situational awareness and perimeter protection orchestration
US20230283641A1 (en) Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement
EP3343421A1 (en) System to detect machine-initiated events in time series data
CN112165445B (zh) 用于检测网络攻击的方法、装置、存储介质及计算机设备
CN113259299B (zh) 一种标签管理方法、上报方法、数据分析方法及装置
US11588678B2 (en) Generating incident response action recommendations using anonymized action implementation data
US11973773B2 (en) Detecting and mitigating zero-day attacks
US8935284B1 (en) Systems and methods for associating website browsing behavior with a spam mailing list

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant