网络安全事件的监测方法、装置、电子设备以及存储介质与流程

1.本发明涉及数据处理技术领域，尤其涉及一种网络安全事件的监测方法、装置、电子设备以及存储介质。


背景技术：

2.随着网络攻击手段的不断翻新、各种通信行为更替不断加快，网络安全成为了一个重要课题。
3.现有的安全监测系统在检测到网络安全事件时，通常会上报服务器，由安全监测人员对网络安全事件的地区、单位、负责人等信息进行查询，并通知网络安全事件的单位或负责人进行处理。但是这种人工的方式处理速度较慢，并且容易出现查询错误，从而影响网络安全事件的响应速度。


技术实现要素：

4.本发明提供了一种网络安全事件的监测方法、装置、电子设备以及存储介质，以实现对网络安全事件的快速响应处置。
5.根据本发明的一方面，提供了一种网络安全事件的监测方法，所述方法包括：
6.当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；
7.根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；
8.生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。
9.根据本发明的另一方面，提供了一种网络安全事件的监测装置，包括：
10.日志信息获取模块，用于当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；
11.监管主体匹配模块，用于根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；
12.处理工单生成模块，用于生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。
13.根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：
14.至少一个处理器；以及
15.与所述至少一个处理器通信连接的存储器；其中，
16.所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的网络安全事件的监测方法。
17.根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储
介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的网络安全事件的监测方法。
18.本技术实施例的技术方案包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。
19.应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
20.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
21.图1是根据本技术实施例一提供的一种网络安全事件的监测方法的流程图；
22.图2是根据本技术实施例二提供的一种网络安全事件的监测方法的流程图；
23.图3是根据本技术实施例三提供的一种网络安全事件的监测装置的结构示意图；
24.图4是实现本技术实施例的一种网络安全事件的监测方法的电子设备的结构示意图。
具体实施方式
25.为了使本技术领域的人员更好地理解本发明方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
26.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”“目标”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
27.实施例一
28.图1为本技术实施例一提供了一种网络安全事件的监测方法的流程图，本技术实施例可适用于对网络安全事件进行处置的情况，该方法可以由网络安全事件的监测装置来执行，该网络安全事件的监测装置可以采用硬件和/或软件的形式实现，该网络安全事件的
监测装置可配置于具有数据处理能力的电子设备中。如图1所示，该方法包括：
29.s110，当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息。
30.其中，安全监测系统可以监测网络安全事件并保障网络安全，安全监测系统监测到网络安全事件时会将该网络安全事件上报，安全监测系统可以包括防火墙系统、病毒监测系统以及漏洞扫描系统等。网络安全事件可以是影响网络安全的各类情况，例如病毒入侵、信息盗取、网络入侵等。日志信息可以是网络安全事件的相关信息，日志信息可以反映网络安全事件的发生时间、发生地点、事件类型等。
31.具体的，若接收到安全监测系统发送的网络安全事件上报信息，说明可能存在网络入侵等情况，需要获取该网络安全事件的日志信息，以进行相应的处理。
32.本技术实施例中，可选的，网络安全事件的日志信息包括以下至少一项：源互联网协议地址、目的互联网协议地址、网络安全事件所在地域以及网络安全事件类型。
33.其中，ip地址(internet protocol address，互联网协议地址)可以反映某设备的网络地址，源ip是指网络安全事件的发起方网络地址，目的ip是指网络安全事件的被攻击方的网络地址。网络安全事件所在地域可以反映网络安全事件的发生位置。网络安全事件类型可以反映该网络事件的紧急程度、影响范围等，并且，不同的网络安全事件类型相应的处理方式也可能不同，网络安全事件类型包括但不限于：病毒入侵、木马潜伏、网络攻击等。
34.显而易见的是，网络安全事件的日志信息的内容可以包括上述一项或多项内容，本技术实施例对网络安全事件的日志信息具体内容不做限定。
35.s120，根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体。
36.其中，备份信息数据库存储有各监管主体的相关信息。监管主体可以是处理网络安全事件的部门和/或负责人，监管主体可以处理对应的网络安全事件。
37.具体的，根据网络安全事件的日志信息遍历备份信息数据库，适应性地确定出处理该网络安全事件的监管主体，例如：网络安全事件为a类型事件且发生在b地点，则负责b地点的a类型网络安全事件的监管主体为相匹配的监管主体。
38.示例性的，网络安全事件在不同时间的发生的频率可能不同，导致在不同时间的各类数据文件不均衡，会带来性能损耗，可以利用池化技术的负载均衡能力，避免该问题，达到合理利用设备有效资源的效果。
39.s130，生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。
40.其中，处理工单可以反映网络安全事件的具体信息，监管主体根据处理工单可以方便快捷地处理该网络安全事件。具体的，根据网络安全事件的具体信息生成相应的处理工单，并发送至相匹配的监管主体，使监管主体可以全面了解网络安全事件的信息并快速处理。
41.在一个可行的实施例中，s120与s130中生成与所述网络安全事件匹配的处理工单可以同步进行，再将所述处理工单发送至所述监管主体，以达到快速响应的效果。
42.本技术实施例的技术方案包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库
中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。
43.实施例二
44.图2为本技术实施例二提供的一种网络安全事件的监测方法的流程图，本技术实施例以上述实施例为基础对确定监管主体进行具体化。
45.如图2所示，本技术实施例的方法具体包括如下步骤：
46.s210，当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息。
47.本技术实施例中，可选的，所述安全监测系统包括以下至少一项：入侵检测系统、入侵防御系统、防火墙系统、病毒监测系统以及漏洞扫描系统。
48.其中，ids(intrusion detection system，入侵检测系统)可以依照一定的安全策略，通过软件和/或硬件，对网络以及系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。ips(intrusion prevention system，入侵防御系统)是对防病毒软件和防火墙的补充，ips可以是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。防火墙系统是指设置在不同网络或网络安全域之间的一系列部件的组合，防火墙系统可以通过监测、限制以及更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。病毒监测系统可以监测病毒，保护相应设备的安全。漏洞扫描系统可以通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞。
49.本技术实施例中，可选的，所述方法还包括：获取多个监管主体上报的备份信息，并将各备份信息存储到备份信息数据库中。
50.其中，备份信息可以反映对应的监管主体的监管范围。具体的，网络安全事件通常需要快速处理，以尽可能减少网络安全事件造成的影响，所以预先获取多个监管主体上报的备份信息，并将各备份信息存储到备份信息数据库中，在后续步骤中根据备份信息数据库与网络安全事件的日志信息可以快速确定监管主体，达到了快速响应的效果。
51.可选的，所述备份信息包括以下至少一项：监管主体互联网协议地址段、监管主体所在地域、监管主体域名、监管主体联系方式、监管主体名称、资产互联网协议地址、资产名称、资产类型、与监管主体匹配的管理主体，以及与监管主体匹配的管理主体联系方式。其中，监管主体可以是某单位，监管主体的资产可以是电子设备、网站、云服务器等，管理主体可以是监管主体的上级管理主体，拥有监管主体的管理权限，用于在无法及时联系管理主体时，代替监管主体行使网络安全事件响应的处理策略，管理主体还可以对监管主体的网络安全事件处理过程进行监督。
52.s220，根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的备份信息。
53.在一个实施例中，根据网络安全事件的日志信息，可以确定出目的ip以及网络安全事件所在地域，可以先遍历备份信息数据库中的地域信息，确定出多个备份信息，再根据
各备份信息比对目的ip，以确定出与所述网络安全事件匹配的备份信息。
54.在另一实施例中，根据网络安全事件的日志信息，可以确定出目的ip、网络安全事件所在地域以及网络安全事件类型，可以先遍历备份信息数据库中的地域信息，剔除不匹配的备注信息，再依次筛选网络安全事件类型以及目的ip，最终确定出与所述网络安全事件匹配的备份信息。
55.显而易见的是，根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的备份信息的具体匹配过程不局限于上述两个实施例，本技术实施例对具体匹配过程不做限定。
56.s230，根据与所述网络安全事件匹配的备份信息，确定与所述网络安全事件匹配的监管主体。
57.具体的，本步骤以备份信息为桥梁，根据网络安全事件与备份信息的匹配关系以及备份信息与监管主体的对应关系，可以确定网络安全事件匹配的监管主体。
58.本技术实施例中，可选的，根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体，还包括步骤a1-a2：
59.步骤a1，根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的至少一个历史安全事件。
60.步骤a2，将与历史安全事件匹配的监管主体，作为与所述网络安全事件匹配的监管主体。
61.其中，历史安全事件是指过往发生过的网络安全事件。本方案中，若备份信息数据库中无法确定与网络安全事件的日志信息相关联的备份信息，可以根据历史安全事件与网络安全事件的相似程度，适应性地确定某历史安全事件匹配的监管主体作为所述网络安全事件匹配的监管主体。
62.示例性的，通过比对安全事件所在地域、安全事件的互联网协议地址等信息确定相似度，若相似度大于等于预设的相似度阈值，可以根据相似度大小，依次对历史安全事件所对应的监管主体发送处理工单。需要说明的是，网络安全事件成功处理完成后，可以记录为历史安全事件，与备份信息数据库中的备份数据对应存储，为后续出现相似情况提供处理依据。
63.s240，生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。
64.本技术实施例的技术方案，根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的备份信息，根据与所述网络安全事件匹配的备份信息，确定与所述网络安全事件匹配的监管主体，达到了匹配结果精准、匹配速度快的效果。
65.实施例三
66.图3为本技术实施例三提供的一种网络安全事件的监测装置的结构示意图，该装置可执行本发明任意实施例所提供的网络安全事件的监测方法，具备执行方法相应的功能模块和有益效果。如图3所示，该装置包括：
67.日志信息获取模块310，用于当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；
68.监管主体匹配模块320，用于根据网络安全事件的日志信息，在备份信息数据库中
确定与所述网络安全事件匹配的监管主体；
69.处理工单生成模块330，用于生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。
70.可选的，网络安全事件的日志信息包括以下至少一项：
71.源互联网协议地址、目的互联网协议地址、网络安全事件所在地域以及网络安全事件类型。
72.可选的，所述装置，还包括：
73.备份信息获取模块，用于获取多个监管主体上报的备份信息，并将各备份信息存储到备份信息数据库中。
74.可选的，监管主体匹配模块320包括：
75.备份信息确定单元，用于根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的备份信息；
76.监管主体确定单元，用于根据与所述网络安全事件匹配的备份信息，确定与所述网络安全事件匹配的监管主体。
77.可选的，所述备份信息包括以下至少一项：
78.监管主体互联网协议地址段、监管主体所在地域、监管主体域名、监管主体联系方式、监管主体名称、资产互联网协议地址、资产名称、资产类型、与监管主体匹配的管理主体，以及与监管主体匹配的管理主体联系方式。
79.可选的，监管主体匹配模块320还包括：
80.历史安全事件确定单元，用于根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的至少一个历史安全事件；
81.监管主体确定单元，用于将与历史安全事件匹配的监管主体，作为与所述网络安全事件匹配的监管主体。
82.可选的，所述安全监测系统包括以下至少一项：
83.入侵检测系统、入侵防御系统、防火墙系统、病毒监测系统以及漏洞扫描系统。
84.本技术实施例所提供的一种网络安全事件的监测装置可执行本发明任意实施例所提供的一种网络安全事件的监测方法，具备执行方法相应的功能模块和有益效果。
85.实施例四
86.图4示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。
87.如图4所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(rom)12、随机访问存储器(ram)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(rom)12中的计算机程序或者从存储单元18加载到随机访问存储器(ram)13中的计算机程序，来执行各种适当的动作和处理。在ram 13中，还可存储电子设备10操作所需的各种程序和数据。处理器
11、rom 12以及ram 13通过总线14彼此相连。输入/输出(i/o)接口15也连接至总线14。
88.电子设备10中的多个部件连接至i/o接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
89.处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如网络安全事件的监测方法。
90.在一些实施例中，网络安全事件的监测方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由rom 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到ram 13并由处理器11执行时，可以执行上文描述的网络安全事件的监测方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行网络安全事件的监测方法。
91.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
92.用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
93.在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
94.为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)
监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
95.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)、区块链网络和互联网。
96.计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与vps服务中，存在的管理难度大，业务扩展性弱的缺陷。
97.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。
98.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。