攻击行为的告警信息处理方法、装置、程序、电子及介质与流程

本发明涉及攻击行为的告警信息处理技术，尤其涉及攻击行为的告警信息处理方法、计算机程序产品、装置、电子设备及存储介质。

背景技术：

1、相关技术中攻击行为检测方法通常采用静态分析和动态分析，随着互联网技术的不断发展，软件开发者对软件不断地进行更新迭代，应用市场以及其他不同渠道中会不断地出现大量属于不同类别的攻击行为家族，传统的攻击行为的告警信息处理方法仅仅是通过人工登录设备对攻击行为进行处理，这种处理方式的效率低，同时容易产生对攻击行为处理的遗漏，不利于及时地对目标系统进行检测，并触发的防御策略对攻击行为进行处理，无法保证目标系统的运行安全。

技术实现思路

1、有鉴于此，本发明实施例提供一种攻击行为的告警信息处理方法、计算机程序产品、装置、计算机程序产品、电子设备及存储介质，能够实现通过即时通讯客户端，利用模式匹配结果触发目标系统防御策略，并通过所触发的防御策略对攻击行为进行及时处理，由此，不但可以提高对攻击行为的告警信息处理的效率，使得使用云托管的对象获得更好的使用体验，同时可能够提升对攻击行为处理的准确性，保证目标系统的安全运行。

2、本发明实施例的技术方案是这样实现的：

3、本发明实施例提供了一种攻击行为的告警信息处理方法，包括：

4、获取目标系统的第一攻击行为告警信息，并且对所述第一攻击行为告警信息进行去重处理与合并处理，得到第二攻击行为告警信息；

5、根据目标系统的安全配置，对所述第二攻击行为告警信息进行过滤，得到第三攻击行为告警信息；

6、对所述第三攻击行为告警信息的ip归属地信息进行查询，得到ip归属地信息；

7、基于所述ip归属地信息，对所述第三攻击行为告警信息的威胁信息进行标记，得到威胁信息的标记结果；

8、利用所述威胁信息的标记结果，对所述第三攻击行为告警信息进行模式匹配处理，得到所述第三攻击行为告警信息的模式匹配结果；

9、通过即时通讯客户端，利用所述模式匹配结果触发所述目标系统防御策略，通过所触发的防御策略对所述攻击行为进行处理。

10、本发明实施例还提供了一种攻击行为的告警信息处理装置，包括：

11、信息传输模块，用于获取目标系统的第一攻击行为告警信息，并且对所述第一攻击行为告警信息进行去重处理与合并处理，得到第二攻击行为告警信息；

12、信息处理模块，用于根据目标系统的安全配置，对所述第二攻击行为告警信息进行过滤，得到第三攻击行为告警信息；

13、所述信息处理模块，用于对所述第三攻击行为告警信息的ip归属地信息进行查询，得到ip归属地信息；

14、所述信息处理模块，用于基于所述ip归属地信息，对所述第三攻击行为告警信息的威胁信息进行标记，得到威胁信息的标记结果；

15、所述信息处理模块，用于利用所述威胁信息的标记结果，对所述第三攻击行为告警信息进行模式匹配处理，得到所述第三攻击行为告警信息的模式匹配结果；

16、所述信息处理模块，用于通过即时通讯客户端，利用所述模式匹配结果触发所述目标系统防御策略，通过所触发的防御策略对所述攻击行为进行处理。

17、上述方案中，

18、所述信息处理模块，用于通过多线程轮询方式获取所述目标系统的第一攻击行为告警信息，其中，所述第一攻击行为告警信息包括至少以下之一：

19、蜜罐告警信息、网络层攻击告警信息、web攻击告警信息、ddos攻击告警信息、暴力破解事件告警信息和异地登录事件告警信息；

20、所述信息处理模块，用于计算所述第一攻击行为告警信息中每一条攻击行为告警信息对应的哈希值；

21、所述信息处理模块，用于基于所述每一条攻击行为告警信息对应的哈希值组成告警消息哈希表；

22、所述信息处理模块，用于基于所述告警消息哈希表对所述目标系统获取的每一条告警信息进行去重处理与合并处理，得到第二攻击行为告警信息。

23、上述方案中，

24、所述信息处理模块，用于根据所述目标系统的安全配置，到达时间间隔阈值对所述告警消息哈希表进行清空；或者

25、所述信息处理模块，用于根据所述目标系统的标识，查询所述目标系统对应的云托管信息；

26、所述信息处理模块，用于根据所述云托管信息，确定与目标系统相匹配的主机数量，根据所述主机数量对所述告警消息哈希表进行清空。

27、上述方案中，

28、所述信息处理模块，用于获取所述目标系统的安全配置中的过滤事件，其中，所述过滤事件包括至少以下之一：

29、攻击来源ip、攻击目标ip、攻击来源端口、攻击目标端口、攻击类型和攻击行为详情；

30、所述信息处理模块，用于根据所述过滤事件，确定与所述过滤事件对应的正则表达式；

31、所述信息处理模块，用于通过所述正则表达式，对所述第二攻击行为告警信息进行过滤，得到第三攻击行为告警信息。

32、上述方案中，

33、所述信息处理模块，用于通过离线查询进程，对所述第三攻击行为告警信息的ip归属地信息进行查询，得到所述第三攻击行为告警信息的第一ip归属地信息；

34、所述信息处理模块，用于当所述离线查询进程未查询到所述第三攻击行为告警信息的ip归属地信息时，触发在线查询进程；

35、所述信息处理模块，用于通过所述离线查询进程，对所述第三攻击行为告警信息的ip归属地信息进行查询，得到所述第三攻击行为告警信息的第二ip归属地信息；

36、所述信息处理模块，用于对所述第一ip归属地信息和所述第二ip归属地信息进行合并，得到ip归属地信息。

37、上述方案中，

38、所述信息处理模块，用于基于所述ip归属地信息，查询所述ip归属地信息对应的攻击历史信息；

39、所述信息处理模块，用于在所述攻击历史信息中查询所述ip归属地信息对应的攻击类型与攻击行为说明信息；

40、所述信息处理模块，用于通过所述攻击类型与攻击行为说明信息对所述第三攻击行为告警信息的威胁信息进行标记，得到威胁信息的标记结果。

41、上述方案中，

42、所述信息处理模块，用于通过所述即时通讯客户端接收封禁操作指令，其中，所述封禁操作指令包括至少以下之一：

43、网络层封禁、主机层封禁以及应用层封禁；

44、所述信息处理模块，用于基于所述封禁操作指令，对所述攻击行为进行处理；或者

45、所述信息处理模块，用于通过所述即时通讯客户端接收监测信息，基于所述监测信息确定所述攻击行为对应的引流位置；

46、所述信息处理模块，用于根据所述攻击行为对应的引流位置，将所述攻击行为进行引流处理，以实现通过所述引流位置的资源对所述攻击行为进行高防清洗。

47、上述方案中，

48、所述信息处理模块，用于当不同类型的目标系统获取对应的攻击行为时，基于所述攻击行为，捕获所述攻击行为的访问服务的记录；

49、所述信息处理模块，用于基于所述攻击行为的访问服务的记录，获取并解析攻击行为所携带的网络数据包；

50、所述信息处理模块，用于基于所述网络数据包，确定并监测所述攻击行为入侵目标系统后的目标系统连接行为。

51、上述方案中，

52、所述信息处理模块，用于根据所述目标系统的使用环境，确定对应的固件配置信息；

53、所述信息处理模块，用于根据固件配置信息，从云托管服务进程的云服务器中获取相匹配的目标系统镜像，其中，目标系统镜像支持不同组织架构的目标系统结构；

54、所述信息处理模块，用于在目标系统中创建容器，并通过所述容器创建支持不同组织架构的目标系统，以实现通过所部署的目标系统捕获对所述目标系统的攻击行为。

55、本发明实施例还提供了一种电子设备，所述电子设备包括：

56、存储器，用于存储可执行指令；

57、处理器，用于运行所述存储器存储的可执行指令时，实现前序的攻击行为的告警信息处理方法，或者实现前序述的攻击行为的告警信息处理方法。

58、本发明实施例还提供了一种计算机可读存储介质，存储有可执行指令，所述可执行指令被处理器执行时实现前序的攻击行为的告警信息处理方法，或者实现前序的攻击行为的告警信息处理方法。

59、本发明实施例具有以下有益效果：

60、本发明实施例通过获取目标系统的第一攻击行为告警信息，并且对所述第一攻击行为告警信息进行去重处理与合并处理，得到第二攻击行为告警信息；根据目标系统的安全配置，对所述第二攻击行为告警信息进行过滤，得到第三攻击行为告警信息；对所述第三攻击行为告警信息的ip归属地信息进行查询，得到ip归属地信息；基于所述ip归属地信息，对所述第三攻击行为告警信息的威胁信息进行标记，得到威胁信息的标记结果；利用所述威胁信息的标记结果，对所述第三攻击行为告警信息进行模式匹配处理，得到所述第三攻击行为告警信息的模式匹配结果；由此，能够实现通过即时通讯客户端，利用模式匹配结果触发目标系统防御策略，并通过所触发的防御策略对攻击行为进行及时处理，由此，不但可以提高对攻击行为的告警信息处理的效率，使得使用云托管的对象获得更好的使用体验，同时可能够提升对攻击行为处理的准确性，保证目标系统的安全运行。