[发明专利]一种网络安全分析方法、装置、存储介质和电子设备

说明书

本申请实施例提供一种网络安全分析方法、装置、存储介质和电子设备，该网络安全分析方法包括：获取网络安全分析请求；根据网络安全分析请求，从预处理后的网络行为数据中查找与网络安全分析请求对应的目标网络行为数据；其中，预处理包括过滤、分组聚合、打标签和关联处理中的至少一种；根据目标网络行为数据，确定网络安全分析结果。借助于上述技术方案，本申请实施例能够解决现有技术中存在着的计算资源浪费的问题。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络安全分析方法、装置、存储介质和电子设备。

背景技术

目前，在进行网络安全分析的过程中，需要对多种数据来源的网络行为数据进行统一的关联处理。但是，由于上层的网络安全分析业务或者场景多且杂，往往随着分析要求的拓展而增多。并且，在大多数情况下，上层的网络安全分析业务所分析的对象往往是直接穿透式使用，即其分析的对象往往是原始网络行为数据。

在实现本发明的过程中，发明人发现现有技术中存在如下问题：现有的网络安全分析方法存在着计算资源浪费的问题。例如，对于现有的网络安全分析方法来说，即便是针对相同数据源的同一字段的统计结果，其也需要经过多次重复的计算，从而造成了计算资源浪费。

发明内容

本申请实施例的目的在于提供一种网络安全分析方法、装置、存储介质和电子设备，以解决现有技术中存在着的计算资源浪费的问题。

第一方面，本申请实施例提供了一种网络安全分析方法，该网络安全分析方法包括：获取网络安全分析请求；根据网络安全分析请求，从预处理后的网络行为数据中查找与网络安全分析请求对应的目标网络行为数据；其中，预处理包括过滤、分组聚合、打标签和关联处理中的至少一种；根据目标网络行为数据，确定网络安全分析结果。

因此，本申请可预先对网络行为数据进行预处理，从而在后续安全网络分析业务时，可直接利用预处理后的网络行为数据来获得网络安全分析结果，其无需再从头对网络行为数据进行处理，进而可重复利用，进而可避免现有技术中存在着的计算资源浪费的问题。

在一个可能的实施例中，预处理后的网络行为数据的获取过程包括：对多种数据源的原始网络行为数据进行过滤处理，获得过滤数据；对过滤数据进行分组聚合和打标签，获得中间数据；对中间数据进行关联处理，获得预处理后的网络行为数据。

在一个可能的实施例中，对过滤数据进行分组聚合和打标签，获得中间数据，包括：按照预设时间窗口对过滤数据进行划分，获得划分数据；对划分数据进行分组聚合，获得中间数据。

在一个可能的实施例中，对过滤数据进行分组聚合和打标签，获得中间数据，还包括：在对划分数据进行分组聚合的过程中，若确定划分数据异常，则对划分数据对应的数据源进行打标签处理。

第二方面，本申请实施例提供了一种网络安全分析装置，该网络安全分析装置包括：获取模块，用于获取网络安全分析请求；查找模块，用于根据网络安全分析请求，从预处理后的网络行为数据中查找与网络安全分析请求对应的目标网络行为数据；其中，预处理包括过滤、分组聚合、打标签和关联处理中的至少一种；确定模块，用于根据目标网络行为数据，确定网络安全分析结果。

在一个可能的实施例中，该网络安全分析装置还包括：预先获取模块，用于：对多种数据源的原始网络行为数据进行过滤处理，获得过滤数据；对过滤数据进行分组聚合和打标签，获得中间数据；对中间数据进行关联处理，获得预处理后的网络行为数据。

在一个可能的实施例中，预先获取模块，具体用于：按照预设时间窗口对过滤数据进行划分，获得划分数据；对划分数据进行分组聚合，获得中间数据。

在一个可能的实施例中，预先获取模块，具体用于：在对划分数据进行分组聚合的过程中，若确定划分数据异常，则对划分数据对应的数据源进行打标签处理。