[发明专利]一种数据处理的方法和装置

权利要求书

1.一种数据处理的方法，其特征在于，所述方法包括：

获取针对异常事件的日志数据；

对所述日志数据进行异常分析，得到异常事件信息；

根据所述异常事件信息，生成针对所述异常事件的异常事件图；

将所述异常事件图发送至客户端，以进行可视化；

其中，所述获取针对异常事件的日志数据的步骤包括：

接收所述客户端发送的针对所述异常事件的可视化请求；

响应于所述可视化请求，触发自动化入侵链路还原功能，获取针对所述异常事件的日志数据；

其中，还包括：

获取用户标识，并确定所述用户标识对应的多个目标设备；

对所述多个目标设备对应的异常事件图进行聚合，包括：将多个异常事件图中相同的攻击源和攻击目标重合。

2.根据权利要求1所述的方法，其特征在于，所述根据所述异常事件信息，生成针对所述异常事件的异常事件图的步骤包括：

采用所述异常事件信息，建立多个事件节点；

确定所述多个事件节点之间的关联关系；

结合所述关联关系和所述多个事件节点，生成异常事件图。

3.根据权利要求2所述的方法，其特征在于，所述对所述日志数据进行异常分析，得到异常事件信息的步骤包括：

在异常分析的过程中，采用所述日志数据，对所述异常事件进行双向遍历，得到事件来源信息和事件影响信息；

结合所述事件来源信息和所述事件影响信息，得到异常事件信息。

4.根据权利要求3所述的方法，其特征在于，所述多个事件节点至少包括以下多项：

针对攻击源的节点、针对攻击行为的节点、针对攻击目标的节点。

5.根据权利要求2所述的方法，其特征在于，还包括：

在接收到建立请求时，确定所述建立请求对应的目标数据；

采用所述目标数据，在所述异常事件图中建立新的事件节点；

建立所述新的事件节点与其他的事件节点之间的关联关系。

6.根据权利要求5所述的方法，其特征在于，所述目标数据包括以下任一项：

日志数据、用户自定义数据。

7.根据权利要求2所述的方法，其特征在于，还包括：

在接收到编辑请求时，对所述编辑请求对应的事件节点进行编辑。

8.根据权利要求2所述的方法，其特征在于，还包括：

在接收到删除请求时，对所述删除请求对应的事件节点进行删除。

9.根据权利要求1所述的方法，其特征在于，在所述接收所述客户端发送的针对异常事件的可视化请求的步骤之前，还包括：

在检测所述异常事件时，生成针对所述异常事件的告警信息；

将所述告警信息发送至客户端。

10.根据权利要求1所述的方法，其特征在于，所述日志数据包括以下任一项或多项：

网络日志数据、设备日志数据。

11.一种数据处理的方法，其特征在于，所述方法包括：

获取针对用户事件的日志数据；

对所述日志数据进行分析，得到用户事件信息；

根据所述用户事件信息，生成针对所述用户事件的用户事件图；

将所述用户事件图发送至客户端，以进行可视化；

其中，所述获取针对用户事件的日志数据，包括：

接收所述客户端发送的针对所述用户事件的可视化请求；

响应于所述可视化请求，触发自动化入侵链路还原功能，获取针对所述用户事件的日志数据；

其中，还包括：

获取用户标识，并确定所述用户标识对应的多个目标设备；

对所述多个目标设备对应的用户事件图进行聚合，包括：将多个用户事件图中相同的攻击源和攻击目标重合。