一种网络攻击事件的展示方法及存储介质与流程

[0001]
本申请涉及信息安全技术领域，尤其涉及一种网络攻击事件的展示方法及存储介质。


背景技术：

[0002]
随着网络的普及和计算机技术的不断发展，网络攻击形式也层出不穷，使得信息安全的环境越加复杂，网络信息安全问题日益突出。告警日志是在检测到网络攻击行为后，提供给网络管理人员的第一手信息。通常检测到网络攻击性问后，一个网络攻击会对应产生一个告警信息，基于网络攻击的目标主机的不同，告警日志中所记载的网络攻击的类型也会有不同。
[0003]
现有技术中通常仅针对一个告警信息配上相应进行说明，或者是将告警日志中的信息以表格的形式展现出来，这样孤立的说明方式，或者直接用表格形式展现出来，不能够从整体上展现网络攻击的过程，不能直观地展示网络攻击中所针对的目标及网络攻击的进程，更不能提供给网络管理人员对展示方式进行相应地调整，不便于快速地进行分析针对网络攻击事件中的问题，不能对对网络攻击行为做出判断和相应的排除。


技术实现要素：

[0004]
本申请实施例的目的在于提供一种网络攻击事件的展示方法及存储介质，以解决现有技术中不能直观地展示网络攻击中所针对的目标主机及网络攻击中的各个进程，也不能有针对性地对关键信息进行展示，不便于快速地对网络攻击事件进行分析，处理网络攻击事件效率差的问题。
[0005]
为解决上述技术问题，本申请的实施例采用了如下技术方案：
[0006]
一种网络攻击事件的展示方法，所述方法包括：
[0007]
获取网络攻击的告警日志；
[0008]
聚合与同一主机相关联的网络攻击的告警日志；
[0009]
基于网络攻击的时间顺序，根据所述相关联的告警日志中的网络攻击元素和发生时间绘制出具有时间轴的网络攻击事件可视化图形，以展示与所述主机相关联的网络攻击事件的流程。
[0010]
一些实施例中，所述根据所述相关联的告警日志中的网络攻击元素和时间绘制出具有时间轴的网络攻击事件可视化图形，具体包括：
[0011]
以点状显示所述相关联的告警日志中的网络攻击元素，以线型呈现相邻发生的网络攻击中的网络攻击元素在网络攻击事件中的时间关系。
[0012]
一些实施例中，所述网络攻击元素以点状显示的方式，包括可与用户进行交互的方式，具体包括：
[0013]
响应于鼠标悬停的第一网络攻击元素时，以第一方式展示所述第一网络攻击元素所在的主机的网络攻击事件的流程。
[0014]
一些实施例中，所述可与用户进行交互的方式还包括：
[0015]
若与其他主机对应的网络攻击事件的流程中包括所述第一网络攻击元素时，以第一方式展示该其他主机对应的网络攻击事件的流程，具体为展示该其他主机对应的网络攻击事件的流程中的主机名称与所述第一网络攻击元素。
[0016]
一些实施例中，所述可与用户进行交互的方式还包括：
[0017]
响应于鼠标悬停的第一网络攻击元素时，包括所述第一网络攻击元素的所有主机对应的网络攻击事件的流程中的所述第一网络攻击元素之间具有时间引导条，对应连接于所述时间轴。
[0018]
一些实施例中，所述可与用户进行交互的方式还包括：
[0019]
响应于用户的点击操作，可展示出与对应的点状位置对应的网络攻击元素的信息集合。
[0020]
一些实施例中，所述以线型呈现所述网络攻击元素在网络攻击事件中的时间间隔，包括：
[0021]
通过连线呈现网络攻击元素在网络攻击事件的流程中的时间间隔。
[0022]
一些实施例中，所述通过连线呈现网络攻击元素在网络攻击事件的流程中的时间间隔，具体包括：
[0023]
通过第一线型的连线呈现相邻网络攻击元素的时间间隔不超过第一预设阈值的关系；通过第二线型的连线呈现相邻网络攻击元素的时间间隔超过第一预设阈值的关系。
[0024]
一些实施例中，所述通过连线呈现网络攻击元素在网络攻击事件的流程中的时间间隔，具体包括：
[0025]
相邻网络攻击元素的时间间隔超过第二预设阈值时，在所述连线上显示出对应时间间隔的信息。
[0026]
本申请还提供了一种存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现如上所述方法的步骤。
[0027]
本申请实施例的有益效果在于：通过对网络攻击的告警日志基于主机进行聚合，并根据网络攻击的时间顺序，绘制出具有时间轴的网络攻击事件可视化图形，实现了从大量告警日志中直观的呈现出不同类型的网络攻击所针对的目标主机，及相应网络攻击的进程，便于网络管理人员对网络攻击快速地进行分析和处理。
附图说明
[0028]
图1为本申请实施例的一种网络攻击事件的展示方法的流程图；
[0029]
图2为本申请实施例的一种网络攻击事件的展示方法的一个实施例的示意图；
[0030]
图3为本申请实施例的一种网络攻击事件的展示方法的另一实施例的示意图；
[0031]
图4为本申请实施例的一种网络攻击事件的展示方法的又一实施例的示意图。
具体实施方式
[0032]
此处参考附图描述本申请的各种方案以及特征。
[0033]
应理解的是，可以对此处申请的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的
其他修改。
[0034]
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例，并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
[0035]
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本申请的这些和其它特性将会变得显而易见。
[0036]
还应当理解，尽管已经参照一些具体实例对本申请进行了描述，但本领域技术人员能够确定地实现本申请的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
[0037]
当结合附图时，鉴于以下详细说明，本申请的上述和其他方面、特征和优势将变得更为显而易见。
[0038]
此后参照附图描述本申请的具体实施例；然而，应当理解，所申请的实施例仅仅是本申请的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此，本文所申请的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
[0039]
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本申请的相同或不同实施例中的一个或多个。
[0040]
为了维护网络信息安全，安全中心通常需要对威胁网络安全的行为进行告警，最后生成相应的告警日志，这些告警日志直接展示给网络管理人员时，不能直观地展示网络攻击行为中的问题，使得网络管理人员不能便捷地进行分析和处理，不利于网络安全的维护。
[0041]
为此，本申请的实施例提供了一种网络攻击事件的展示方法，通过对告警日志中的相关网络攻击的元素进行关联展示，将网络攻击事件的流程可视化地呈现给网络管理人员，以便其对网络攻击事件进行分析，有利于发现并排除相应的网络威胁。
[0042]
为使本申请的上述目的和优点能够更加清楚易懂，下面结合附图对本申请的具体实施方式做详细的说明。
[0043]
参见图1，该图为本申请实施例提供的一种网络攻击事件的展示方法的流程示意图，所述方法包括如下步骤s1至s3：
[0044]
s1，获取网络攻击的告警日志。
[0045]
在申请实施例中，告警日志中包括对应各种网络攻击的告警信息，可以从已有的针对网络攻击设置的安全监控平台上获取，也可以是通过对于目标网络进行安全监控软件部署，以对网络攻击行为进行检测，从而获取的各类网络攻击事件的告警信息，本实施例中对告警日志的具体获取方式不进行限定。
[0046]
s2，聚合与同一主机相关联的网络攻击的告警日志。
[0047]
本步骤中，在上述获取网络攻击的告警日志的中，根据网络攻击所针对的主机，筛选针对同一主机的网络攻击所对应的告警日志，并聚合到一起用于进一步的分析和处理。
[0048]
具体的，网络攻击事件中所发起的网络攻击会针对不同的内网服务器主机或登录用户，因而，根据所针对的内网服务器主机或登录用户可筛选出针对同一主机相关联的告
警日志；针对同一主机的网络攻击可以包括多种类型，例如：ioc威胁情报、反弹shell、主机提权、关闭安全设备等不同类型的的网络攻击；这样，在针对同一主机相关联的告警日志中，不同类型的网络攻击的告警日志混合在一起，不方便进行查看和分析，需要经过处理后才能更清楚的对各种网络攻击进行进一步的分析和处理。
[0049]
s3，基于网络攻击的时间顺序，根据所述相关联的告警日志中的网络攻击元素和发生时间绘制出具有时间轴的网络攻击事件可视化图形，以展示与所述主机相关联的网络攻击事件的流程。
[0050]
本步骤中，可采用各种关系类型的模型图，将所聚合的告警日志中的各种威胁元素，例如网络攻击的名称，进程和所发生的时间等，以及所属针对的主机的信息，均展示于模型图中，从而绘制出针对同一主机的网络攻击事件的可视化图形，并以时间轴展示该网络攻击事件中针对所述主机的不同类型的网络攻击流程和网络攻击所发生的时间及顺序。
[0051]
本申请通过对网络攻击的告警日志基于主机进行聚合，并根据网络攻击的时间顺序，绘制出具有时间轴的网络攻击事件可视化图形，实现了从大量告警日志中直观的呈现出不同类型的网络攻击所针对的目标主机，及相应网络攻击的进程，便于网络管理人员对网络攻击快速地进行分析和处理。
[0052]
进一步的，如图2至图4所示，要绘制出所述具有时间轴的网络攻击事件可视化图形，可在所采用的关系型模型图中预设关于网络攻击的元素，以及相关联的主机的信息，包括网络攻击的类型名称，网络攻击的进程等，将网络攻击中的各种元素及所对应的主机信息以点状呈现于模型图中，同时将网络攻击中的相邻元素之间的时间关系以不同线型表示呈现于模型图中，从而绘制成与同一主机相关联的网络攻击事件的可视化图形。
[0053]
进一步的，在可视化图形中，与同一主机相关联的网络攻击流程中相邻的网络攻击元素件可通过连线呈现网络攻击元素在网络攻击事件的流程中的时间间隔，这里，也可以根据具体需要进行设置，例如，在时间间隔小于2分钟时，可不采用连线来连接相邻的网络攻击元素，而仅对时间间隔在2分钟或以上的相邻的网络攻击元素之间来通过连线进行连接。具体实施时，对应于同一主机的网络攻击流程中，所包括的网络攻击元素根据发生的时间进行排列，相邻的网络攻击元素之间以连线连接，所述连线的呈现方式根据相邻的网络攻击元素之间的时间间隔不同而不同。具体的，通过第一线型的连线呈现相邻网络攻击元素的时间间隔不超过第一预设阈值的关系；通过第二线型的连线呈现相邻网络攻击元素的时间间隔超过第一预设阈值的关系。例如，可将第一预设阈值设为30分钟，在相邻的网络攻击元素之间的时间间隔不超过30分钟时，通过第一线型的连线来连接相邻的网络攻击元素，以呈现出该相邻的网络攻击元素之间的时间间隔不超过30分钟的关系；在相邻的网络攻击元素之间的时间间隔超过30分钟时，通过第二线型的连线来连接相邻的网络攻击元素，以呈现出该相邻的网络攻击元素之间的时间间隔超过30分钟的关系。这里的第一线型和第二线型可以有粗细程度或颜色或虚实等等的不同，以呈现出不同的时间间隔的关系之间的区别。
[0054]
进一步的，相邻网络攻击元素的时间间隔超过第二预设阈值时，在所述连线上显示出对应时间间隔的信息。具体实施中，例如，第二预设阈值设为2分钟时，则相邻的网络攻击元素之间的时间间隔不超过2分钟时，不给出时间间隔的提示；在相邻的网络攻击元素之间的时间间隔超过2分钟时，在相邻的网络攻击元素之间的连线上列出所间隔的具体时间
信息，以用于提示用户。
[0055]
在一些实施例中，所述网络攻击元素以点状显示的方式，包括可与用户进行交互的方式，具体包括：响应于鼠标悬停的第一网络攻击元素时，以第一方式展示所述第一网络攻击元素所在的主机的网络攻击事件的流程。具体实施时，用户将鼠标移动到第一网络攻击元素时，该第一网络攻击元素是网络攻击事件可视化图形中的任一网络攻击的元素，响应于用户悬停与该第一网络攻击元素，网络攻击事件可视化图形中会以第一方式展示所述第一网络攻击元素所在的主机的网络攻击事件的流程，例如可以是与其他主机所在的流程的信息的呈现方式相区别的颜色或线型来展示相关的全部信息，也可以是仅展示所述第一网络攻击元素所在的主机的网络攻击事件的流程的全部信息，而以浮层隐藏其他主机所在的流程的信息，以突出呈现出所述第一网络攻击元素所在的主机的网络攻击事件的流程上的全部信息。
[0056]
在一些实施例中，若其他主机对应的网络攻击事件的流程中包括所述第一网络攻击元素时，以第一方式展示该其他主机对应的网络攻击事件的流程，具体为展示该其他主机对应的网络攻击事件的流程中的主机名称与所述第一网络攻击元素。具体实施时，在其他主机所对应的网络攻击事件的流程中，包括与第一网络攻击元素相同的网络攻击元素时，则该其他主机所对应的网络攻击事件的流程也以第一方式呈现于网络攻击事件可视化图形中，当然，该其他主机所对应的网络攻击事件的流程中仅以第一方式展示该与所述第一网络攻击元素相同的网络攻击元素及对应的主机信息。也就是说，在包括与第一网络攻击元素相同的网络攻击元素时，该其他主机所对应的网络攻击事件的流程中，该网络攻击元素与对应的主机信息以不同的颜色或线型和相应的流程中的其他信息区别开来进行呈现，也可以是相应的流程中，仅展示该网络攻击元素与对应的主机信息，而以浮层隐藏流程中的其他信息，以突出呈现出该网络攻击元素与对应的主机信息。
[0057]
在一些实施例中，响应于鼠标悬停的第一网络攻击元素时，包括所述第一网络攻击元素的所有主机对应的网络攻击事件的流程中的所述第一网络攻击元素之间具有时间引导条，对应连接于所述时间轴。具体实施中，用户将鼠标悬停于第一网络攻击元素时，若多个主机所在的流程中均包括所述第一网络攻击元素时，则多个主机所在的流程中相邻的主机所在的流程中的第一网络攻击元素之间具有引导条，该引导条会连接至时间轴上，以清晰的呈现出所述第一网络攻击元素所发生的时间。
[0058]
在一些实施例中，响应于用户的点击操作，可展示出与对应的点状位置对应的网络攻击元素的信息集合。具体的，用户点击显示网络攻击元素的点状位置时，可视化图形中可展现出关于该网络攻击元素的信息集合，可以展现出相关网络攻击元素的名称、类型、威胁阶段、检测时间、攻击结果、根据网络攻击造成的破坏划分的严重级别、置信度、病毒家族和黑客组织等等，还可以展现出相关告警日志中涉及的主机信息，例如主机名称(ip地址)、登录用户、执行进程路径、进程pid和父进程等等。
[0059]
本申请实施例同时提供一种存储介质，所述存储介质存储有计算机程序，当所述计算机程序被处理器执行时实现如上任一项实施例所述方法的步骤。
[0060]
本实施例中的存储介质可以是电子设备/系统中所包含的；也可以是单独存在，而未装配入电子设备/系统中。上述存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本申请实施例的方法。
[0061]
根据本申请的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0062]
以上实施例仅为本申请的示例性实施例，不用于限制本申请，本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内，对本申请做出各种修改或等同替换，这种修改或等同替换也应视为落在本申请的保护范围内。