[发明专利]网络攻击分析方法、装置、可读存储介质及计算机设备

说明书

本发明公开了一种网络攻击分析方法、装置、可读存储介质及计算机设备，所述网络攻击分析方法包括：当发生网络攻击告警时，读取用户选择的第一对象实体；通过预置的分析查询接口对所述第一对象实体进行分析，以生成第一查询结果数据，所述分析查询接口具有查询逻辑信息；提取所述查询结果数据，以生成第二对象实体；通过所述分析查询接口对所述第二对象实体进行分析，以生成第二查询结果数据；获取所述第一查询结果数据和所述第二查询结果数据之间的关系，通过关系图将所述第一对象实体和所述第二对象实体进行连接，并对所述关系图进行展示。本发明能够解决现有技术学习成本高、无法直观的看出数据背后的关联关系的问题。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种网络攻击分析方法、装置、可读存储介质及计算机设备。

背景技术

当今网络中存在各种各样怀揣不同目的黑客在互联网对其他个人或企业进行网络攻击，以达到他们的获取利益、提高声望、政治意图等目的。而在以往爆发的安全事件中，企业对于网络中已经失陷的主机感知能力存在问题，往往不能第一时间发现网络中的攻击。黑客在组织内部进行长期的潜伏，进行信息收集、敏感资料窃取甚至是破坏等行为。

为了加强企业安全感知能力，目前越来越多的企业建立日志分析平台。但是目前日志分析平台还存在以下问题：目前的日志分析平台在每次检索数据都要数据繁琐的查询语句，不同日志平台的查询语法也不尽相同，给用户造成了较高的学习成本；此外，现有的日志分析平台主要以列表形式展现，在威胁溯源时，列表形式是展现出的结果无法直观的看出数据背后的关联关系。

发明内容

为此，本发明的一个目的在于提出一种网络攻击分析方法，以解决现有技术学习成本高、无法直观的看出数据背后的关联关系的问题。

本发明提供一种网络攻击分析方法，包括：

当发生网络攻击告警时，读取用户选择的第一对象实体；

通过预置的分析查询接口对所述第一对象实体进行分析，以生成第一查询结果数据，所述分析查询接口具有查询逻辑信息；

提取所述查询结果数据，以生成第二对象实体；

通过所述分析查询接口对所述第二对象实体进行分析，以生成第二查询结果数据；

获取所述第一查询结果数据和所述第二查询结果数据之间的关系，通过关系图将所述第一对象实体和所述第二对象实体进行连接，并对所述关系图进行展示。

根据本发明提供的网络攻击分析方法，通过封装查询接口，用户可以直接通过交互式的方法调用查询接口，得到想要的查询结果数据，降低了网络威胁溯源、日志分析的门槛，学习成本低，且方便便捷。此外，通过关系图结构展示查询结果，可以让用户直观的解析行为间的关系，更快的定位攻击源，更快的评估攻击影响范围，帮助用户快速的理解数据背后的关系。

另外，根据本发明上述的网络攻击分析方法，还可以具有如下附加的技术特征：

进一步地，所述分析查询接口包括告警名称查询接口、源地址与目的地址查询接口、源端口与目的端口查询接口、HTTP查询接口；

所述告警名称查询接口用于根据源地址搜索告警名称、或根据目的地址搜索告警名称、或根据源主机搜索告警名称、或根据目的主机搜索告警名称、或根据域名搜索告警名称；

所述源地址与目的地址查询接口用于根据告警名称搜索源地址、或根据告警名称搜索目的地址、或根据源地址和告警名称搜索目的地址、或根据目的地址和告警名称搜索源地址、或根据源地址和目的端口搜索目的地址；

所述源端口与目的端口查询接口用于根据源地址搜索目的端口、或根据目的地址和告警名称搜索源端口、或根据源地址和告警名称搜索目的端口；