本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種網(wǎng)絡(luò)安全事件檢測方法、裝置、設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、在共享開放與互聯(lián)技術(shù)所帶來的便利之時，也正面臨著愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險。當(dāng)前網(wǎng)絡(luò)安全事件運維體系最初由siem（security?information?and?eventmanagement，安全信息及事件管理）發(fā)展而來，但基于人工運維為主的響應(yīng)處置方式，采用手動下發(fā)安全防御調(diào)整策略和調(diào)整安全防御力量，需要多人、多系統(tǒng)、多界面協(xié)同完成，在給安全事件的響應(yīng)帶來復(fù)雜性的同時，進一步降低了響應(yīng)處置效率。

2、目前，隨著技術(shù)的發(fā)展，攻擊者不斷開發(fā)新的攻擊手段和工具，這些新手段可能不在現(xiàn)有的安全監(jiān)控系統(tǒng)的檢測范圍內(nèi)，導(dǎo)致安全事件難以被發(fā)現(xiàn)；許多網(wǎng)絡(luò)安全事件，尤其是apt（advanced?persistent?threat，高級持續(xù)性威脅）攻擊，具有隱蔽性和復(fù)雜性，攻擊者會利用復(fù)雜的技術(shù)手段來隱藏其攻擊行為，使得這些事件難以被常規(guī)的安全監(jiān)控系統(tǒng)發(fā)現(xiàn)。網(wǎng)絡(luò)安全事件的檢測系統(tǒng)通常面臨誤報和漏報的問題?；诤灻臋z測系統(tǒng)對已知攻擊的檢測準(zhǔn)確率較高，但對未知攻擊的檢測能力有限；而基于異常的檢測系統(tǒng)雖然能夠檢測到新型攻擊，但誤報率相對較高；網(wǎng)絡(luò)安全威脅形式多樣，攻擊手段不斷演變，需要在短時間內(nèi)迅速檢測到安全事件并做出及時有效的響應(yīng)。

3、綜上所述，如何精準(zhǔn)預(yù)測網(wǎng)絡(luò)安全事件風(fēng)險并提高網(wǎng)絡(luò)安全防護是目前亟待解決的問題。

技術(shù)實現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種網(wǎng)絡(luò)安全事件檢測方法、裝置、設(shè)備及存儲介質(zhì)，能夠精準(zhǔn)預(yù)測網(wǎng)絡(luò)安全事件風(fēng)險并提高網(wǎng)絡(luò)安全防護。其具體方案如下：

2、第一方面，本技術(shù)提供了一種網(wǎng)絡(luò)安全事件檢測方法，包括：

3、利用預(yù)設(shè)接收工具獲取原始網(wǎng)絡(luò)數(shù)據(jù)，將獲取的所述原始網(wǎng)絡(luò)數(shù)據(jù)進行結(jié)構(gòu)劃分處理以得到處理后網(wǎng)絡(luò)數(shù)據(jù)，并將所述處理后網(wǎng)絡(luò)數(shù)據(jù)存儲至對應(yīng)的預(yù)設(shè)數(shù)據(jù)庫；

4、從所述預(yù)設(shè)數(shù)據(jù)庫中獲取所述處理后網(wǎng)絡(luò)數(shù)據(jù)中的安全日志數(shù)據(jù)的攻擊信息，并基于所述攻擊信息確定對應(yīng)的目標(biāo)攻擊事件的攻擊行為類型；

5、基于所述目標(biāo)攻擊事件的攻擊行為類型對應(yīng)的統(tǒng)計指標(biāo)對所述攻擊信息進行信息統(tǒng)計，以得到相應(yīng)的統(tǒng)計結(jié)果，并判斷所述統(tǒng)計結(jié)果是否滿足相應(yīng)的預(yù)設(shè)安全事件條件；

6、若所述統(tǒng)計指標(biāo)滿足相應(yīng)的預(yù)設(shè)安全事件條件，則判定所述目標(biāo)攻擊事件為網(wǎng)絡(luò)安全事件。

7、可選的，所述利用預(yù)設(shè)接收工具獲取原始網(wǎng)絡(luò)數(shù)據(jù)，包括：

8、利用預(yù)設(shè)流程編排工具接收原始網(wǎng)絡(luò)數(shù)據(jù)，并通過預(yù)設(shè)分布式消息中間件服務(wù)器對所述預(yù)設(shè)流程編排工具接收到的所述原始網(wǎng)絡(luò)數(shù)據(jù)進行傳輸，以便將所述預(yù)設(shè)分布式消息中間件服務(wù)器傳輸?shù)乃鲈季W(wǎng)絡(luò)數(shù)據(jù)進行結(jié)構(gòu)劃分處理得到處理后網(wǎng)絡(luò)數(shù)據(jù)。

9、可選的，所述原始網(wǎng)絡(luò)數(shù)據(jù)包括實時數(shù)據(jù)、文件數(shù)據(jù)、消息記錄數(shù)據(jù)和文字?jǐn)?shù)據(jù)。

10、可選的，所述將獲取的所述原始網(wǎng)絡(luò)數(shù)據(jù)進行結(jié)構(gòu)劃分處理以得到處理后網(wǎng)絡(luò)數(shù)據(jù)，并將所述處理后網(wǎng)絡(luò)數(shù)據(jù)存儲至對應(yīng)的預(yù)設(shè)數(shù)據(jù)庫，包括：

11、將獲取的所述原始網(wǎng)絡(luò)數(shù)據(jù)進行結(jié)構(gòu)劃分處理得到結(jié)構(gòu)化處理后網(wǎng)絡(luò)數(shù)據(jù)、半結(jié)構(gòu)化處理后網(wǎng)絡(luò)數(shù)據(jù)、非結(jié)構(gòu)化處理后網(wǎng)絡(luò)數(shù)據(jù)；

12、通過預(yù)設(shè)高可用分布式微服務(wù)集群架構(gòu)將所述半結(jié)構(gòu)化處理后網(wǎng)絡(luò)數(shù)據(jù)與所述非結(jié)構(gòu)化處理后網(wǎng)絡(luò)數(shù)據(jù)存儲至預(yù)設(shè)列式分布式數(shù)據(jù)庫，并將所述結(jié)構(gòu)化處理后網(wǎng)絡(luò)數(shù)據(jù)存儲至預(yù)設(shè)關(guān)系型數(shù)據(jù)庫。

13、可選的，所述基于所述攻擊信息確定對應(yīng)的目標(biāo)攻擊事件的攻擊行為類型，包括：

14、基于所述安全日志數(shù)據(jù)中的所述攻擊信息確定目標(biāo)攻擊事件，根據(jù)所述目標(biāo)攻擊事件確定所述攻擊信息對應(yīng)的目標(biāo)攻擊事件的攻擊行為類型；

15、其中，所述目標(biāo)攻擊事件包括木馬攻擊事件、挖礦事件、計算機病毒攻擊事件、web攻擊事件、掃描攻擊事件、遠程控制攻擊事件中的任意一種或幾種。

16、可選的，所述基于所述目標(biāo)攻擊事件的攻擊行為類型對應(yīng)的統(tǒng)計指標(biāo)對所述攻擊信息進行信息統(tǒng)計，以得到相應(yīng)的統(tǒng)計結(jié)果，并判斷所述統(tǒng)計結(jié)果是否滿足相應(yīng)的預(yù)設(shè)安全事件條件，包括：

17、判斷所述目標(biāo)攻擊事件的攻擊行為類型對應(yīng)的統(tǒng)計指標(biāo)是否大于對應(yīng)的預(yù)設(shè)指標(biāo)范圍；其中，所述統(tǒng)計指標(biāo)包括攻擊次數(shù)、攻擊時間、攻擊目標(biāo)、攻擊范圍、攻擊種類、攻擊危險程度以及被攻擊資產(chǎn)重要程度；

18、若所述統(tǒng)計指標(biāo)位于對應(yīng)的預(yù)設(shè)指標(biāo)范圍，則判定所述目標(biāo)攻擊事件滿足預(yù)設(shè)安全事件條件；

19、若所述統(tǒng)計指標(biāo)不位于對應(yīng)的預(yù)設(shè)指標(biāo)范圍，則判定所述目標(biāo)攻擊事件不滿足預(yù)設(shè)安全事件條件。

20、可選的，所述判定所述目標(biāo)攻擊事件為網(wǎng)絡(luò)安全事件之后，還包括：

21、利用預(yù)設(shè)安全設(shè)備對所述目標(biāo)攻擊事件中對應(yīng)的ip地址進行預(yù)設(shè)處理操作；其中，所述預(yù)設(shè)處理操作包括預(yù)設(shè)封堵操作、預(yù)設(shè)斷網(wǎng)操作、預(yù)設(shè)攔截操作。

22、第二方面，本技術(shù)提供了一種網(wǎng)絡(luò)安全事件檢測裝置，包括：

23、處理后網(wǎng)絡(luò)數(shù)據(jù)存儲模塊，用于利用預(yù)設(shè)接收工具獲取原始網(wǎng)絡(luò)數(shù)據(jù)，將獲取的所述原始網(wǎng)絡(luò)數(shù)據(jù)進行結(jié)構(gòu)劃分處理以得到處理后網(wǎng)絡(luò)數(shù)據(jù)，并將所述處理后網(wǎng)絡(luò)數(shù)據(jù)存儲至對應(yīng)的預(yù)設(shè)數(shù)據(jù)庫；

24、攻擊行為類型確定模塊，用于從所述預(yù)設(shè)數(shù)據(jù)庫中獲取所述處理后網(wǎng)絡(luò)數(shù)據(jù)中的安全日志數(shù)據(jù)的攻擊信息，并基于所述攻擊信息確定對應(yīng)的目標(biāo)攻擊事件的攻擊行為類型；

25、統(tǒng)計結(jié)果判斷模塊，用于基于所述目標(biāo)攻擊事件的攻擊行為類型對應(yīng)的統(tǒng)計指標(biāo)對所述攻擊信息進行信息統(tǒng)計，以得到相應(yīng)的統(tǒng)計結(jié)果，并判斷所述統(tǒng)計結(jié)果是否滿足相應(yīng)的預(yù)設(shè)安全事件條件；

26、預(yù)設(shè)安全事件判定模塊，用于若所述統(tǒng)計指標(biāo)滿足相應(yīng)的預(yù)設(shè)安全事件條件，則判定所述目標(biāo)攻擊事件為網(wǎng)絡(luò)安全事件。

27、第三方面，本技術(shù)提供了一種電子設(shè)備，包括：

28、存儲器，用于保存計算機程序；

29、處理器，用于執(zhí)行所述計算機程序，以實現(xiàn)如前述的網(wǎng)絡(luò)安全事件檢測方法。

30、第四方面，本技術(shù)提供了一種計算機可讀存儲介質(zhì)，用于保存計算機程序；其中，所述計算機程序被處理器執(zhí)行時實現(xiàn)如前述的網(wǎng)絡(luò)安全事件檢測方法。

31、綜上可知，本技術(shù)首先利用預(yù)設(shè)接收工具獲取原始網(wǎng)絡(luò)數(shù)據(jù)，將獲取的所述原始網(wǎng)絡(luò)數(shù)據(jù)進行結(jié)構(gòu)劃分處理以得到處理后網(wǎng)絡(luò)數(shù)據(jù)，并將所述處理后網(wǎng)絡(luò)數(shù)據(jù)存儲至對應(yīng)的預(yù)設(shè)數(shù)據(jù)庫；從所述預(yù)設(shè)數(shù)據(jù)庫中獲取所述處理后網(wǎng)絡(luò)數(shù)據(jù)中的安全日志數(shù)據(jù)的攻擊信息，并基于所述攻擊信息確定對應(yīng)的目標(biāo)攻擊事件的攻擊行為類型；基于所述目標(biāo)攻擊事件的攻擊行為類型對應(yīng)的統(tǒng)計指標(biāo)對所述攻擊信息進行信息統(tǒng)計，以得到相應(yīng)的統(tǒng)計結(jié)果，并判斷所述統(tǒng)計結(jié)果是否滿足相應(yīng)的預(yù)設(shè)安全事件條件；若所述統(tǒng)計指標(biāo)滿足相應(yīng)的預(yù)設(shè)安全事件條件，則判定所述目標(biāo)攻擊事件為網(wǎng)絡(luò)安全事件。由上可知，本技術(shù)首先利用預(yù)設(shè)接收工具獲取原始網(wǎng)絡(luò)數(shù)據(jù)，緊接著對獲取到的原始網(wǎng)絡(luò)數(shù)據(jù)開展結(jié)構(gòu)劃分處理，以此得到處理后網(wǎng)絡(luò)數(shù)據(jù)。完成處理后，將處理后網(wǎng)絡(luò)數(shù)據(jù)存儲至對應(yīng)的預(yù)設(shè)數(shù)據(jù)庫。之后，從預(yù)設(shè)數(shù)據(jù)庫中獲取處理后網(wǎng)絡(luò)數(shù)據(jù)中的安全日志數(shù)據(jù)的攻擊信息，再依據(jù)這些攻擊信息確定對應(yīng)的目標(biāo)攻擊事件的攻擊行為類型。隨后，基于目標(biāo)攻擊事件的攻擊行為類型對應(yīng)的統(tǒng)計指標(biāo)，對攻擊信息進行信息統(tǒng)計，從而得出相應(yīng)的統(tǒng)計結(jié)果。完成統(tǒng)計后，判斷該統(tǒng)計結(jié)果是否滿足相應(yīng)的預(yù)設(shè)安全事件條件。若統(tǒng)計結(jié)果滿足相應(yīng)的預(yù)設(shè)安全事件條件，那么即可判定該目標(biāo)攻擊事件為網(wǎng)絡(luò)安全事件。這樣一來，通過獲取網(wǎng)絡(luò)數(shù)據(jù)中的安全日志，判斷是否有安全事件發(fā)生，以此來精準(zhǔn)預(yù)測網(wǎng)絡(luò)安全事件，提高網(wǎng)絡(luò)安全防護。