一种网络攻击事件的处理方法及其电子设备与流程

本发明涉及网络安全
技术领域：
，特别是指一种网络攻击事件的处理方法及其电子设备。
背景技术：
：随着网络不断普及、应用不断深化，互联网对人们的影响范围从广度和深度都在持续增长。相对应的网络安全事件也层出不穷，分布式拒绝服务攻击(distributeddenialofserviceattack，ddos攻击)、中间人攻击、恶意软件、钓鱼攻击、勒索病毒等攻击手段，不仅会给人们造成重大经济损失，在医疗、交通等敏感领域还会影响人们的生命安全，甚至对国家战略性关键基础设施产生严重的破坏性。为了应对当前情况，大量的安全设备被企业部署在网络的不同位置进行攻击事件检测、防护与处置。然而，大量的安全设备由各业务或系统责任部门单独管理，缺乏统一规划、统一管控、更无法实现快速联动，当安全事件的处置需要各专业互相配合时，仅依靠人工沟通、定位与响应，处理速度受限，无法达到理想的处理效果。技术实现要素：有鉴于此，本发明的目的在于提出一种网络攻击事件的处理方法及其电子设备，能够解决现有技术中各安全设备分别管理、缺乏快速联动的问题。基于上述目的本发明提供的一种网络攻击事件的处理方法，包括：获取待监测网络中的安全设备的第一告警数据并存入数据库，所述第一告警数据基于网络攻击事件；满足任一设定条件时，基于维度对所述第一告警数据进行统计分析，获得统计分析结果；根据所述统计分析结果，执行处理操作。进一步的，所述设定条件包括预设的所述第一告警数据的数量和预设的监测时长。进一步的，还包括：获取所述处理操作的反馈结果，若所述反馈结果为处理失败，则标识对应的所述第一告警数据。进一步的，所述获取待监测网络中的安全设备的第一告警数据并存入数据库，所述第一告警数据基于网络攻击事件的步骤，包括：获取原始告警数据，封包处理得到封包告警数据并发送给第一分布式订阅消息系统；读取所述封包告警数据，融合处理后得到第一告警数据并发送给第二分布式订阅消息系统；读取所述第一告警数据，根据告警类型存储于所述数据库的对应数据模式中。进一步的，所述融合处理得到第一告警数据的步骤，包括:对所述封包告警数据进行标准化处理；根据过滤条件，筛选标准化的封包告警数据；如果满足所述过滤条件，则直接得到所述第一告警数据；如果不满足所述过滤条件，则进行富化处理后得到所述第一告警数据。进一步的，所述进行富化处理后得到所述第一告警数据的步骤，包括：获取待富化处理的标准化的封包告警数据的字段名和字段值，匹配富化规则，得到目标字段名以及目标字段值；基于告警类型，匹配所述数据库中对应的数据模式；基于所述数据模式，排列所述目标字段名以及所述目标字段值得到所述第一告警数据。进一步的，所述根据所述统计分析结果，执行处理操作的步骤，包括：根据所述统计分析结果，进行危害判断；根据危害判断结果，执行对应的处理操作。进一步的，还包括：采集所述获取待监测网络中的安全设备的第一告警数据并存入数据库这一过程产生的运行数据并存储；当所述运行数据出现异常，根据预先配置的报警策略执行对应的报警操作。进一步的，所述采集所述获取待监测网络中的安全设备的第一告警数据并存入数据库这一过程产生的运行数据并存储的步骤，包括：采集所述运行数据发送给第三分布式订阅消息系统；由所述第三分布式订阅消息系统中读取所述运行数据，进行格式化后得到格式化运行数据，发送给第四分布式订阅消息系统；由所述第四分布式订阅消息系统中读取所述格式化运行数据并存储。本发明实施例的又一个方面，提供了一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器连接的存储器；其中，所述存储器存储可被所述一个处理器执行指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行以上任一所述的处理方法。从上面所述可以看出，本发明提供的一种网络攻击事件的处理方法及其电子设备，通过获取待监测网络中的安全设备的第一告警数据，基于维度对所述第一告警数据进行统计分析，根据统计分析结果执行处理操作，打破了安全设备之间的壁垒，无需人工沟通，基于统计分析结果，即可有针对性的处理网络攻击事件，降低了对监控人员识别分析告警数据的能力要求，极大的节约用于传报、沟通的时间，能够对网络攻击事件进行全局性的、统一的处理操作，显著提高对网络攻击事件的处理效率。附图说明图1为本发明实施例提供的一种网络攻击事件的处理方法的流程图；图2为本发明实施例提供的一种基于维度对所述第一告警数据进行统计分析的示意图；图3为本发明实施例提供的又一种网络攻击事件的处理方法的流程图；图4为本发明实施例提供的一种获取待监测网络中的安全设备的所述第一告警数据并存入数据库的流程图；图5为本发明实施例提供的一种融合处理得到第一告警数据的流程图；图6为本发明实施例提供的一种根据所述统计分析结果，执行处理操作的流程图；图7为本发明实施例提供的一种运行数据监控的示意图；图8为本发明实施例提供的一种分布式订阅消息系统的数据采集机制示意图；图9为本发明实施例提供的一种采集所述运行数据的流程图；图10为本发明实施例提供的一种网络攻击事件的处理装置的一个实施例的结构示意图；图11为本发明提供的电子设备的一个实施例的结构示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。基于上述目的，本发明实施例的第一个方面，提出了一种网络攻击事件的处理方法的一个实施例。如图1所示，为本发明提供的网络攻击事件的处理方法的一个实施例的流程示意图，具体包括：步骤101：获取待监测网络中的安全设备的第一告警数据并存入数据库，所述第一告警数据基于网络攻击事件。此处的安全设备可以是硬件，也可以是执行安全防护功能的软件，例如：高级持续性威胁检测(advancedpersistentthreatstest，apt检测)、域名解析(domainnameresolution，dns)、桌面管理或操作系统等。本领域技术人员应该理解，本发明的技术方案能够获取任何保证网络安全的硬件设备或软件生成的告警数据，而不限于以上列举。本领域技术人员能够理解，对于一个网络攻击事件，可能导致多个安全设备分别产生告警数据；待监测网络中可能存在多个网络攻击事件，也就是同一个安全设备也会产生多个告警数据。因此，本发明中的所述第一告警数据涵盖每一个安全设备产生的每一条告警数据。步骤102：满足任一设定条件时，基于维度对所述第一告警数据进行统计分析，获得统计分析结果。可以理解的，网络攻击事件具有不可预测性，基于网络攻击事件产生的所述第一告警数据也不具有可预期性。因此，同时设置多个设定条件，满足任一设定条件即可启动统计分析，以便保证对网络攻击事件的有效处理。基于维度深入分析所述第一告警数据，能够迅速挖掘出所述第一告警数据之间的关联，便于有针对性的采取适宜的处理操作。在进行具体的统计分析时，可以选择一个维度进行统计分析，也可以从多个维度进行统计分析。这里的维度，可以是受害者维度、攻击者维度或告警类型维度。除以上列举的维度外，其他维度也可以用于对所述第一告警数据进行统计分析，不再例举。为便于理解，参考图2，对基于维度的统计分析进行简单说明。对于受害者维度，可以提取所述第一告警数据中的受害者ip地址，统计每一个受害者受到的攻击次数、攻击引发的告警类型、最后被攻击事件等指标。对于攻击者维度，可以提取所述第一告警数据中的攻击者ip地址，统计每一个攻击者发出的攻击次数、攻击者的所属地域、最后一次攻击事件、攻击引发的告警类型等指标。对于告警类型维度，根据告警类型，统计每一个告警类型在某时间段内发生的次数、最后一次发生的时间、最后一次被攻击的受害者ip、最后一次发出攻击者身份等指标。例如，图2所示的告警类型百分比的计算方式为：在预设监测时间段内，各告警类型发生的时间长度占预设监测时间段的比例。为使得所述统计分析结果能够在其他场景得到利用，可以将所述统计分析结果写入实时存储引擎，以供下载或调用。例如，安全人员可以调用所述统计分析结果，进一步调查分析。进一步的，所述统计分析结果以可视化或简单交互的方式进行展示，便于安全监控人员查看，并对其关注的领域做出有针对性的判断。步骤103：根据所述统计分析结果，执行处理操作。这里，所述处理操作可以是自动执行或依据工作人员指令执行。从上述实施例可以看出，本发明实施例提供的网络攻击事件的处理方法，通过获取待监测网络中的安全设备的第一告警数据，基于维度对所述第一告警数据进行统计分析，根据统计分析结果执行处理操作，打破了安全设备之间的壁垒，无需人工沟通，基于统计分析结果，即可有针对性的处理网络攻击事件，降低了对监控人员识别分析告警数据的能力要求，极大的节约用于传报、沟通的时间，能够对网络攻击事件进行全局性的、统一的处理操作，显著提高对网络攻击事件的处理效率。此外，与现有技术相比，本发明实施例的网络攻击事件的处理方法通过对所述第一告警数据进行统计分析，实现对大量第一告警数据的深度挖掘，基于第一告警数据之间的关联，发现潜在的或易被忽略的蓄意攻击行为和攻击源头，以便预防和有针对性的处理，能够提供更加可靠的网络安全环境。与现有技术中仅靠人工识别安全设备的告警数据的情况相比，显著提供对告警数据的处理效率和效果。在本发明的一些实施例中，所述设定条件包括预设的所述第一告警数据的数量和预设的监测时长。具体的，预设的所述第一告警数据的数量，可以通过记录获取的所述第一告警数据得到，也可以通过查询所述数据库得到。如果在极短的时间内产生了大量的所述第一告警数据，那么表明网络攻击事件的威胁较大或网络攻击事件较多，此时所述第一告警数据的数量达到预设值，及时启动统计分析，进而对大量的所述第一告警数据进行有针对性的处理。预设的监测时长，参见前述，由于网络攻击事件的不确定性，如果对所述第一告警数据进行实时分析，则容易造成系统资源的浪费，不能进行有意义的统计分析，在预设的监测时长内，累计一定量的所述第一告警数据，更能够得到有价值的统计分析结果，又不至于延误对网络攻击事件的处理。由此当满足两个设定条件其一，即可启动统计分析，兼顾网络攻击事件的处理效率和系统资源的有效利用。应当理解的是，预设的所述第一告警数据的数量和预设的监测时长并不是固定不变的。本领域技术人员根据待监测网络的网络攻击事件的发生频率等信息，能够合理设置预设的所述第一告警数据的数量和预设的监测时长，以保证对网络攻击事件的高效处理。在本发明的一些实施例中，参考图3，还包括：步骤104：获取所述处理操作的反馈结果，若所述反馈结果为处理失败，则标识对应的所述第一告警数据。采用这样的方式，监控所述处理操作的执行情况，并依据反馈结果标识对应的所述第一告警数据，便于安全人员查看，也便于针对处理失败的所述第一告警数据采取适当的补救处理措施，例如再次执行对应处理操作等，保证对告警数据的彻底处理。本领域技术人员应该理解，本发明的实施例的处理方法能够在处理操作的同时，可以继续获取待监测网络中的安全设备的第一告警数据，也就是说本发明的实施例的处理方法能够持续对待监测网络进行安全保护。由此，对于被标识为处理失败的所述第一告警数据，还可以作为下一阶段的待处理告警数据和下一阶段新获取的所述第一告警数据，同时进行统计分析，执行处理操作。这样的处理方式，使得处理失败的第一告警数据简单方便的得到再次处理。另外，对于第一次处理失败的告警数据，随着网络攻击的持续，前一次处理失败的第一告警数据和新获取的第一告警数据同时进行统计分析，能够充分的挖掘两者之间的联系，以便采取更有针对性的处理操作，特别适用于处理失败的原因是未察觉的网络攻击的特性导致的情况。在本发明的一些实施例中，如图4所示，所述获取待监测网络中的安全设备的第一告警数据并存入数据库，所述告警数据基于网络攻击事件的步骤，具体包括：步骤401：获取原始告警数据，封包处理得到封包告警数据并发送给第一分布式订阅消息系统(分布式订阅消息系统，对应的英文是kafka)。所述原始告警数据通过数据输入插件获取，所述数据输入插件的类型和数量根据所述第一告警数据的情况灵活设置。通过调整所述数据输入插件的设置，即可方便的获取多种结构化、非结构化和文件类型的所述原始告警数据，具有扩展性强，简单方便的特点。进一步的，设置多个所述数据输入插件为所述原始告警数据提供统一的总线接口，统一数据接入标准。由此，虽然来源于安全设备的原始告警数据不同，获取后经由所述数据输入插件能够将其统一，便于后续处理。此外，利用插件，还能够方便的实现原始告警数据的压缩与解压便于传输。步骤402：读取所述封包告警数据，融合处理后得到所述第一告警数据并发送给第二分布式订阅消息系统。步骤403：读取所述第一告警数据，根据告警类型存储于所述数据库的对应数据模式(schema)中。需要说明的是，所述原始告警数据通常根据日志规则生成，当告警类型不同时，所生成的原始告警数据也存在差异，在数据库中适用的的数据模式也存在差异，因此根据告警类型决定所述第一告警数据存储于哪一具体的数据模式。采用分布式订阅消息系统，利用其持久化、动态扩展等特性，能够保证在大量告警数据源源不断产生时，也不会造成告警数据丢失，支持大量告警数据的存储；此外，分布式订阅消息系统，通过多消费者读取的方式，使得所述告警数据能够同时用于查询、统计分析等步骤，还能够满足实时计算和离线计算的需求。参考图5，在本发明的一些实施例中，所述融合处理得到第一告警数据的步骤，包括:步骤501：对所述封包告警数据进行标准化处理。具体的，所述标准化处理是根据所述原始告警数据的不同来源、告警类型、告警数据字段，进行数据的归一化，统一成包含特定告警来源(安全设备类型和对应的ip地址)、告警类型(十二大类的告警类型)、告警字段(预置且固定的告警信息字段)的告警数据，统一了不同安全设备产生的不同告警类型数据的差异。其中，对于告警类型的划分，可以依据现有技术已知的划分方法进行划分，也可以在现有划分方法的基础上进一步修正，例如将多个类似的告警类型合并成一个大类。告警字段的内容通常是由安全设备自身的设定决定的。步骤502：根据过滤条件，筛选标准化的封包告警数据。具体的，所述过滤条件是对所述告警类型的限定，某些告警类型的第一告警数据的数据形式不便于存入数据库，需要进行后续的富化处理。步骤503：如果满足所述过滤条件，则直接得到所述第一告警数据；如果不满足所述过滤条件，则进行富化处理后得到所述第一告警数据。通过融合处理，使得所述告警数据能够统一的存入所述数据库，方便后续的统计分析、查询等操作的执行。进一步的，所述进行富化处理后得到所述第一告警数据的步骤，可以包括：获取待富化处理的标准化的封包告警数据的字段名和字段值，匹配富化规则，得到目标字段名以及目标字段值；基于告警类型，匹配所述数据库中对应的数据模式；基于所述数据模式，排列所述目标字段名以及所述目标字段值得到所述第一告警数据。本领域技术人员能够理解，一个原始告警数据对应一个第一告警数据，原始告警数据中包括告警类型信息，在由原始告警数据得到第一告警数据的过程中，虽然告警数据的格式发生变化，但是告警数据中包括信息并不会改变，因此原始告警数据中的告警类型始终保持不变。在这里，列举部分富化规则如表1。应该说明的是，富化规则可以通过脚本进行扩展，本领域技术人员可以自己写脚本新增规则，来进行数据的转换。表1富化规则规则转换成规则数组convert(id)newobject[]{"convert","id"}substring(name,3,5)newobject[]{"substring",3,5})map(s_cardid,mapid,age)newobject[]{"map","s_cardid","mapid","age"}sysdate("yyyy-mm-ddhh:mm:ss")newobject[]{"sysdate","yyyy-mm-ddhh:mm:ss"}value("高")newobject[]{"value","高"}lnglatmap(ip,city)newobject[]{"lnglatmap","ip","city"}uuid()newobject[]{"uuid"}md5(field)newobject[]{"md5","field"}getdate(field,"yyyymmdd")newobject[]{"getdate","field","yyyymmdd"}to_string(field)newobject[]{"to_string","field"}to_int(field)newobject[]{"to_int","field"}to_long(field)newobject[]{"to_long","field"}to_double(field)newobject[]{"to_double","field"}to_float(field)newobject[]{"to_float","field"}arraytostring(field,type)newobject[]{"arraytostring","field","int"}为了使表1中的内容更加容易理解，以下补充一些富化规则的详细说明。1.convert(id)转换规则：把id的值赋值给目标字段；2.substring(name,3,5)字符串截取把name的值通过substring方法截取；3.map(s_cardid,mapid,age)map规则s_cardid：原始字段mapid：对应map的keyage：最终返回的值得key字典map.get(mapid).get(s_cardid).get(age)；4.sysdate("yyyy-mm-ddhh:mm:ss")区分大小写yyyymmdd年月日yyyymmddhh年月日时把当前时间按照对应的格式赋值给目标字段；5.value("高")赋值规则把括号里的值赋值给目标字段；6.lnglatmap(ip,city)地理map规则通过ip的值从地理map中获取到对应的map,并把map中的city的值赋值给目标字段；7.arraytostring(field,type)type:该字段的数组类型(不区分大小写)type类型：string,int,boolean,byte,char,double,float,long,short,object。在本发明的一些实施例中，如图6所示，所述根据所述统计分析结果，执行处理操作的步骤包括：步骤601：根据所述统计分析结果，进行危害判断。需要说明的是，危害判断包括多个因素，例如所述第一告警数据对应的资产价值、所述第一告警数据的告警类型、危害程度、外连url、攻击来源等。可以理解的，在进行判断时，可以单个因素得到判断结果，也可以多个因素综合判断得到判断结果。其中，资产价值，可通过所述第一告警数据中的ip地址查询所述安全设备对应的资产得知。应当理解的是，对于判断因素的评判参数，可以是人为设定，也可以是基于所述第一告警数据的信息，如资产价值的评判参数通常是人为设定(资产价值大于万元认为危害较大，小于百元认为危害较小等)，告警类型的评判参数通常是告警类型本身的危害程度决定的。为便于本领域技术人员的理解，对所述危害判断举例说明如下：例如在告警类型维度，可以基于所述第一告警数据的危害程度，依据评判参数分为高级、中级、低级，不同等级对应不同的处理操作。又如在攻击者维度，可以基于攻击者的ip地址的地理位置，评判参数可以是攻击者的ip地址位于海外、国内。通常，海外的攻击者，危害性更高，则应该对其进行更深入的处理。国内的攻击者，危害性较低，则可以选择比较简单的处理操作。当然，评判参数还可以是攻击者的ip地址是内部网或外部网。步骤602：根据危害判断结果，执行对应的处理操作。所述处理操作可以是独立的一个处理行为、还可以是多个处理行为相互配合。其中，所述处理行为可以是病毒查杀、封禁ip、阻断网络访问、资产执行杀毒、加入黑/白名单等。以下结合例子，对所述处理操作进一步阐释。结合前述，对于来自国内的攻击者，可以选择封禁对应的ip地址。对于来自国外的攻击者，可以选择更深入的处理方式，例如：根据攻击的特点，展开待监测网络全面排查，再根据排查结果采取封禁ip地址(这里的ip地址范围将更加广泛，不限于一个ip地址)等措施。通过这样的方案，如果发现多个网络攻击事件来自某一海外区域，则相应封禁该海外区域的ip地址，而不是仅仅封禁攻击来源的个别ip地址，从根本上杜绝类似网络攻击事件的再次发生，这样的技术效果是现有技术难以达到的。应当理解的是，评判参数会影响具体处理操作的执行，比如ip封禁，如果是外网ip会使用外部防火墙，如果是内部ip，会找到处置该ip段的防火墙下发封禁指令。虽然安全设备会产生大量的原始告警数据，但是引发这些原始告警数据的网络攻击事件对网络安全的危害程度存在差异，因此通过危害判断，准确判断网络攻击事件的危害程度，并基于危害程度，选择对应的处理操作。这样的技术方案，对网络攻击事件的处理更具针对性，既能保证对网络攻击事件的有效处理，又避免因过度处理影响网络的正常使用，带来经济、效率的损失。参考图7，获取所述第一告警数据并存储的过程中，由于所述原始告警数据是持续不断产生的且数量较大，为保证处理方法正常运行，保障所述第一告警数据的准确获取，在本发明的一些实施例中，还包括对运行数据的监控步骤，具体包括：采集所述获取待监测网络中的安全设备的第一告警数据并存入数据库这一过程产生的运行数据并存储；这里，所述运行数据可以是服务器日志、系统日志(flume系统平台日志)、第一分布式订阅消息系统数据、第二分布式订阅消息系统数据等；当所述运行数据出现异常，根据预先配置的报警策略执行对应的报警操作。具体的，所述报警操作可以是短信、邮件或自定义插件。通过这样的方式通知工作人员，以便工作人员对系统进行调整，保证处理方法正常运行。通过这样的技术方案，能够保证所述原始告警数据获取至存储的健康运行，当运行存在问题时，通过分析所述运行数据就能够及时发现并报警，提示工作人员进行解决。为进一步说明本发明实施例的技术方案，以下结合具体的运行数据举例说明。服务器日志所述服务器日志是指在所述获取待监测网络的安全设备的第一告警数据并存入数据库这一过程中，服务器对应的cpu使用率、内存使用率、磁盘使用率、进程运行状态、网络端口的占用情况等。所述服务器日志由产生运行数据的服务器上的agent收集，当agent发送数据丢失，则判断出现异常，触发对应的报警操作。服务器日志的数据结构格式例举如下：服务器日志采用json封装{“endpoint”:“xxxxx”,“metric”:“cpu-idle”,“timestamp”:192010223,“step”:60,“value”:50,“countertype”:“gauge”,“tags”:“platform”,}所述第一分布式订阅消息系统数据或第二分布式订阅消息系统数据具体是指：所述告警数据在第一分布式订阅消息系统或第二分布式订阅消息系统中的生产和消费速率，后续可以针对异常的生产和消费速率配置相应的报警操作。如下图8所示，通过定期访问获取第一分布式订阅消息系统或第二分布式订阅消息系统的集群管理zookeeper的所有topics和consumers的group_id(对应图中获取消费者列表)，获取所有消息偏移，并且将所有的偏移保存下来，获取每一消费对日志的消费速率(对应并发执行)。同时通过第一分布式订阅消息系统或第二分布式订阅消息系统的api获取到所有topics的最新的日志偏移，获取生产速率。kafkaagent将获取到的数据按照step间隔发往第三分布式订阅消息系统对应的topic里(对应图中数据发送)，具体数据格式举例如下：{“endpoint”:“kafka”,“metric”:“skygate”,#topic的名字“timestamp”:192010223,“step”:60,“value”:1203203,“countertype”:“gauge”,“tags”:“platform”,}。系统日志所述系统日志包括但不限于插件日志、分布式订阅消息系统日志、分布式文件系统(hadoopdistributedfilesystem，简称hdfs)日志、实时存储引擎(elasticsearch，es)日志等，这些日志可以用于数据分析，基于数据分析结果，匹配对应的报警操作。由于系统日志的多样性，为每一种系统日志提供单独的日志处理插件。其中，对于插件日志，需要封装单独的接口以供插件调用，其具体的数据结构如下：staticclasspluginloggerextendlogger{map<string,logger>loggers；publicvoidreglogtype(stringtype)；publicloggergetlogger(stringtype)；publicvoiddebug(objectmessage)publicvoidfatal(objectmessage)；publicvoidinfo(objectmessage)；publicvoidwarn(objectmessage)；publicvoiderror(objectmessage)；publicvoidtrace(objectmessage)；}由于系统日志产生接口不统一，且可能会有不同的开发语言，因此选用flume采集系统日志，通过配置定义其需要采集的系统日志路径，将其经syslog里，再发送给第三分布式订阅消息系统。在本发明的一些实施例中，所述执行对应的报警操作通过调用不同的restful接口执行相关的操作。在本发明的一些实施例中，采集的运行数据存储后，除用于报警外，还可以通过dashboard进行展示，以便于查看。在本发明的一些实施例中，如图9所示，所述采集所述获取待监测网络中的安全设备的第一告警数据并存入数据库这一过程产生的运行数据并存储的步骤，具体包括：步骤901：采集所述运行数据发送给第三分布式订阅消息系统。步骤902：由所述第三分布式订阅消息系统中读取所述运行数据，进行格式化后得到格式化运行数据，发送给第四分布式订阅消息系统。这里，所述格式化可以通过格式化插件实现。应当说明的是，对于不同的所述运行数据，匹配对应的格式化插件，这样的技术方案具有扩展性强，使用简单方便的特点。步骤903：由所述第四分布式订阅消息系统中读取所述格式化运行数据并存储。应当理解的是，所述运行数据可以直接存储到postgresql数据库中。基于上述目的，本发明实施例的第二个方面，提出了一种网络攻击事件的处理装置的一个实施例。如图10所示，所述装置包括：获取模块1001，用于获取待监测网络中的安全设备的第一告警数据并存入数据库，所述第一告警数据基于网络攻击事件；分析模块1002，用于满足任一设定条件时，基于维度对所述第一告警数据进行统计分析，获得统计分析结果；处理模块1003，用于根据所述统计分析结果，执行处理操作。所述执行所述网络攻击事件的处理方法的装置的实施例，其技术效果与前述任意方法实施例相同或者类似，不再赘述。基于上述目的，本发明实施例的第三个方面，提出了一种执行网络攻击事件的处理方法的电子设备的一个实施例。如图11所示，为本发明提供的执行所述网络攻击事件的处理方法的电子设备的一个实施例的硬件结构示意图。如图11所示，所述电子设备包括：一个或多个处理器1101以及存储器1102，图11中以一个处理器1101为例。所述执行所述网络攻击事件的处理方法的电子设备还可以包括：输入装置1103和输出装置1104。处理器1101、存储器1102、输入装置1103和输出装置1104可以通过总线或者其他方式连接，图11中以通过总线连接为例。存储器1102作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的所述网络攻击事件的处理方法对应的程序指令/模块(例如，附图10所示的获取模块1001、分析模块1002和处理模块1003)。处理器1101通过运行存储在存储器1102中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例的网络攻击事件的处理方法。存储器1102可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据网络攻击事件的处理装置的使用所创建的数据等。此外，存储器1102可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器1102可选包括相对于处理器1101远程设置的存储器，这些远程存储器可以通过网络连接至会员用户行为监控装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。输入装置1103可接收输入的数字或字符信息，以及产生与网络攻击事件的处理装置的用户设置以及功能控制有关的键信号输入。输出装置1104可包括显示屏等显示设备。所述一个或者多个模块存储在所述存储器1102中，当被所述一个或者多个处理器1101执行时，执行上述任意方法实施例中的网络攻击事件的处理方法。所述执行所述网络攻击事件的处理方法的电子设备的实施例，其技术效果与前述任意方法实施例相同或者类似。本申请实施例提供了一种非暂态计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的列表项操作的处理方法。所述非暂态计算机存储介质的实施例，其技术效果与前述任意方法实施例相同或者类似。所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。当前第1页12