一种网络攻击告警的处理方法、装置、设备和存储介质与流程

技术特征：
1.一种网络攻击告警的处理方法，其特征在于，包括：获得各个与网络攻击相关的告警初始数据，其中，所述与网络攻击相关的告警初始数据中包括业务请求数据，所述业务请求数据中携带了与攻击指令关联的数据；根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合；其中，所述预设聚类条件至少包括如下一种：业务请求数据对应的业务请求的同类地址聚类条件、攻击指令的同类携带位置聚类条件或攻击指令的同类攻击方法聚类条件，所述告警聚类集合中包括至少一个与网络攻击相关的告警初始数据；针对所述至少一个告警聚类集合中每个告警聚类集合，将告警聚类集合中的各个与网络攻击相关的告警初始数据合并，获得合并后的告警数据；根据获得的各个合并后的告警数据，对网络攻击告警进行处理。2.根据权利要求1所述的方法，其特征在于，所述网络攻击包括攻击数据库的结构化查询语言sql指令，所述业务请求数据包括http请求数据。3.根据权利要求2所述的方法，其特征在于，所述预设聚类条件包括同类地址聚类条件时，所述同类地址聚类条件包括相同地址标识，所述地址标识用于表征统一资源定位符url访问的目的地址；在根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类之前，针对每个与网络攻击相关的告警初始数据，还包括：确定与网络攻击相关的告警初始数据的业务请求数据中是否包括所述url；若所述业务请求数据中包括所述url，则获取所述url中的地址标识；若所述业务请求数据中不包括所述url，则根据所述与网络攻击相关的告警初始数据中与所述url关联的数据合成所述url的地址标识。4.根据权利要求3所述的方法，其特征在于，根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合，具体包括：分别确定每两个与网络攻击相关的告警初始数据的地址标识是否相同；将地址标识相同的与网络攻击相关的告警初始数据汇聚为一类，获得至少一个告警地址聚类集合。5.根据权利要求2所述的方法，其特征在于，所述预设聚类条件包括攻击指令的同类携带位置聚类条件时，所述攻击指令的同类携带位置聚类条件包括相同攻击指令携带位置，所述攻击指令携带位置表征与攻击指令关联的数据在业务请求数据中的位置；在根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类之前，针对每个与网络攻击相关的告警初始数据，还包括：若确定与网络攻击相关的告警初始数据的业务请求数据中包括与攻击指令关联的数据，则将所述与攻击指令关联的数据对应的数据名称确定为攻击指令携带位置。6.根据权利要求5所述的方法，其特征在于，根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合，具体包括：分别确定每两个与网络攻击相关的告警初始数据的攻击指令携带位置是否相同；将攻击指令携带位置相同的与网络攻击相关的告警初始数据汇聚为一类，获得至少一个告警位置聚类集合。7.根据权利要求2所述的方法，其特征在于，所述预设聚类条件包括攻击指令的同类攻
击方法聚类条件时，所述攻击指令的同类攻击方法聚类条件包括相同攻击方法，所述攻击方法表征攻击指令所采用的语法；在根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类之前，针对每个与网络攻击相关的告警初始数据，还包括：若确定与网络攻击相关的告警初始数据的业务请求数据中包括与攻击指令关联的数据，则根据所述与攻击指令关联的数据，确定攻击指令的语法特征；根据所述语法特征，确定攻击方法；其中，所述语法特征包括布尔类型语法特征、时间类型语法特征、错误类型语法特征、联合类型语法特征和堆叠查询类型语法特征，所述攻击方法包括布尔类型注入、时间类型注入、错误类型注入、联合类型注入或堆叠查询类型注入中的一种或多种。8.根据权利要求7所述的方法，其特征在于，根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合，具体包括：分别确定每两个与网络攻击相关的告警初始数据的攻击方法是否相同；将攻击方法相同的与网络攻击相关的告警初始数据汇聚为一类，获得至少一个告警方法聚类集合。9.根据权利要求1～8任一项所述的方法，其特征在于，当所述预设聚类条件包括至少两个时，所述告警聚类集合包括根据各个预设聚类条件获得的告警聚类集合的交集。10.根据权利要求1所述的方法，其特征在于，在根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合之后，针对每个告警聚类集合，还包括：获取告警聚类集合中各个与网络攻击相关的告警初始数据中的攻击指令；在将告警聚类集合中的各个与网络攻击相关的告警初始数据合并之后，还包括：标注每个与网络攻击相关的告警初始数据的攻击指令。11.根据权利要求1所述的方法，其特征在于，在根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合之后，针对每个告警聚类集合，还包括：确定告警聚类集合中各个与网络攻击相关的告警初始数据是否满足预设注入条件；若与网络攻击相关的告警初始数据满足预设注入条件，则确定所述与网络攻击相关的告警初始数据对应的攻击结果为攻击成功；否则，确定所述与网络攻击相关的告警初始数据对应的攻击结果为攻击失败；在将告警聚类集合中的各个与网络攻击相关的告警初始数据合并之后，还包括：标注每个与网络攻击相关的告警初始数据的攻击结果。12.一种网络攻击告警的处理装置，其特征在于，包括：获取模块：用于获得各个与网络攻击相关的告警初始数据，其中，所述与网络攻击相关的告警初始数据中包括业务请求数据，所述业务请求数据中携带了与攻击指令关联的数据；处理模块：用于根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合；其中，所述预设聚类条件至少包括如下一种：业务请求数据对应的业务请求的同类地址聚类条件、攻击指令的同类携带位置聚类条件或攻击指令的同类
攻击方法聚类条件，所述告警聚类集合中包括至少一个与网络攻击相关的告警初始数据；以及，针对所述至少一个告警聚类集合中每个告警聚类集合，将告警聚类集合中的各个与网络攻击相关的告警初始数据合并，获得合并后的告警数据；以及，根据获得的各个合并后的告警数据，对网络攻击告警进行处理。13.一种计算机设备，其特征在于，包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如权利要求1～11中任一项所述的方法。14.一种存储介质，其特征在于，所述存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行如权利要求1～11中任一项所述的方法。

技术总结
本申请提供一种网络攻击告警的处理方法、装置、设备和存储介质，可以应用于云安全等网络安全相关领域，用于提高处理网络攻击告警的效率。该方法包括：获得各个与网络攻击相关的告警初始数据，其中，所述与网络攻击相关的告警初始数据中包括业务请求数据，所述业务请求数据中携带了与攻击指令关联的数据；根据预设聚类条件，对各个与网络攻击相关的告警初始数据进行聚类，获得至少一个告警聚类集合；针对所述至少一个告警聚类集合中每个告警聚类集合，将告警聚类集合中的各个与网络攻击相关的告警初始数据合并，获得合并后的告警数据；根据获得的各个合并后的告警数据，对网络攻击告警进行处理。警进行处理。警进行处理。


技术研发人员：梁广鹏
受保护的技术使用者：腾讯科技（深圳）有限公司
技术研发日：2020.08.27
技术公布日：2022/3/18