网络攻击事件的处理方法、装置、系统和可读存储介质与流程

网络攻击事件的处理方法、装置、系统和可读存储介质
【技术领域】
1.本技术实施例涉及网络与信息安全技术领域，尤其涉及一种网络攻击事件的处理方法、装置、系统和可读存储介质。


背景技术：

2.网络与信息安全技术发展至今，已演进出几十类相关安全产品/技术，这些安全产品/技术按照安全事件的生命周期来划分，可以分为检测类、防护类、监控类和审计类等不同类型。每个产品/技术独立工作，旨在解决某一个或某一类具体安全问题。
3.然而任何一个安全事件或一次攻击行为都不是孤立存在的，网络与信息安全很难通过一个产品/技术来解决，现有的防护体系中各单点的安全设备/能力之间仍然是在单独使用，所以防护体系整体效果不佳。
4.因此，提供一种协同各个安全防护能力进行安全防护，产生安全防护增益效果的网络攻击事件的处理方法是目前亟需解决的问题。


技术实现要素：

5.本技术实施例提供了一种网络攻击事件的处理方法，以实现协同各个安全防护能力进行安全防护，产生安全防护增益效果。
6.第一方面，本技术提供一种网络攻击事件的处理方法，包括：检测到网络攻击事件，获取所述网络攻击事件的攻击信息；在预设攻击信息集合中查询所述攻击信息；若在所述预设攻击信息集合中未查询到所述攻击信息，则对所述网络攻击事件进行事前安全检测和事后安全检测，得到所述网络攻击事件对应的检测信息；将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合。
7.第一方面的有益效果，实现了对不能确定属性的网络攻击事件采用不同环节的安全防护能力进行拉通检测和情报协同，相较单点防护方式和简单的多个安全防护能力堆叠方式，明显提升了整体防护能力和检测准确率。
8.在一种可能的实现方式中，所述方法还包括：若在所述预设攻击信息集合中查询到所述攻击信息，则对所述网络攻击事件进行网络攻击阻断。
9.在一种可能的实现方式中，所述对所述网络攻击事件进行事前安全检测和事后安全检测包括：对所述网络攻击事件进行漏洞检测和溯源检测。
10.在一种可能的实现方式中，所述对所述网络攻击事件进行漏洞检测包括：获取所述网络攻击事件的ip地址所对应的以下各项之一或任意组合：服务、端口、漏洞和后门；所述对所述网络攻击事件进行溯源检测包括：获取所述网络攻击事件的ip地址所对应的以下各项之一或任意组合：地域归属、终端信息、浏览器信息、操作系统信息、软件信息和账号信息。
11.在一种可能的实现方式中，所述预设攻击信息集合包括缓存信息和安全知识库；所述在所述预设攻击信息集合中未查询到所述攻击信息，包括：确定所述攻击信息与所述
缓存信息中已知的真实攻击对应的攻击信息不匹配，且所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配；将所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配的信息更新至所述缓存信息中；所述将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合，包括：将所述网络攻击事件对应的检测信息更新至所述缓存信息中。
12.在一种可能的实现方式中，所述方法还包括：还包括：提取所述缓存信息中的所述网络攻击事件对应的检测信息，若所述网络攻击事件对应的检测信息包括预设的可疑事件信息中的任一，则确定所述网络攻击事件属于真实攻击，并对所述网络攻击事件进行网络攻击阻断，所述预设的可疑事件信息包括存在服务器、后门、病毒感染和攻击者黑名单；所述将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合，还包括：将所述网络攻击事件对应的检测信息作为所述网络攻击事件的画像信息，将所述画像信息作为威胁情报更新至所述安全知识库。
13.在一种可能的实现方式中，所述预设攻击信息集合包括缓存信息和安全知识库；所述在所述预设攻击信息集合中查询到所述攻击信息，包括：确定所述攻击信息与所述缓存信息中已知的真实攻击对应的攻击信息相匹配，或者所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息相匹配；当所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息相匹配时，将所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息相匹配的信息更新至所述缓存信息中。
14.第二方面，本技术提供一种网络攻击事件的处理装置，包括：安全检测模块，用于检测到网络攻击事件，获取所述网络攻击事件的攻击信息；信息查询模块，用于在预设攻击信息集合中查询所述攻击信息；第一处理模块，用于若在预设攻击信息集合中未查询到所述攻击信息，则对所述网络攻击事件进行事前安全检测和事后安全检测，得到所述网络攻击事件对应的检测信息；信息更新模块，用于将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合。
15.在一种可能的实现方式中，所述装置还包括：第二处理模块，用于若在所述预设攻击信息集合中查询到所述攻击信息，则对所述网络攻击事件进行网络攻击阻断。
16.第三方面，本技术提供一种网络攻击事件的处理系统，包括第二方面提供的任一网络攻击事件的处理装置。
17.在一种可能的实现方式中，所述系统还包括：缓存装置、漏洞检测装置、安全防护装置、溯源检测装置和安全知识库；其中，所述网络处理装置分别与所述缓存装置、所述漏洞检测装置、所述安全防护装置、所述溯源检测装置和所述安全知识库通信连接；所述缓存装置与所述安全知识库通信连接。
18.第四方面，本技术提供一种网络攻击事件的装置，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面提供的方法。
19.第五方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令使所述计算机执行第一方面提供的方法。
20.应当理解的是，本技术实施例的第二～四方面与本技术实施例的第一方面的技术方案一致，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。
【附图说明】
21.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
22.图1为本技术实施例提供的一种网络攻击事件的处理方法流程图；
23.图2为本技术实施例提供的另一种网络攻击事件的处理方法流程图；
24.图3为本技术实施例提供的一种网络攻击事件的处理装置的结构示意图；
25.图4为本技术实施例提供的一种网络攻击事件的处理系统的结构示意图；
26.图5本技术实施例提供的网络攻击事件的处理实例的流程示意图；
27.图6本技术实施例提供另一种网络攻击事件的处理装置的结构示意图。
【具体实施方式】
28.为了更好的理解本说明书的技术方案，下面结合附图对本技术实施例进行详细描述。
29.应当明确，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本说明书保护的范围。
30.在本技术实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本技术实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
31.现有相关技术中，各类安全防护产品/技术独立工作，旨在解决某一个或某一类具体安全问题，但任何一个网络安全事件或一次网络攻击行为都不是孤立存在的，网络与信息安全很难通过一个产品/技术来解决。现有的防护体系中，各安全防护设备/能力仍然是在单独使用，无法协同形成团体能力，以及团体能力带来的安全防护增益效果。
32.基于以上问题，本技术实施例提供一种网络攻击事件的处理方法，能够将各单点的安全防护能力联合起来进行协同防护，进而提高安全防护效果。
33.图1为本技术实施例提供的一种网络攻击事件的处理方法流程图，所述网络攻击事件的处理方法可以应用于安全防护系统或者所述安全防护系统中的能力拉通编排装置，如图1所示，所述网络攻击事件的处理方法可以包括：
34.步骤101：检测到网络攻击事件，获取所述网络攻击事件的攻击信息。
35.需要说明的是，检测到网络攻击事件，可以是事中安全能力即安全防护能力/设备检测到网络攻击事件，并依据自身防护策略进行安全防护，由于当前的网路攻击事件不属于自身防护策略中的白名单事件也不属于黑名单事件，而属于灰名单事件，例如灰名单的ip和行为，因此事中安全能力不能直接处理网络攻击事件，而需要安全防护系统执行所述网络攻击事件的处理方法。
36.示例性的，安全防护系统检测到网络攻击事件，且经过事中安全检测确定为灰名单的ip和行为，即获取所述网络攻击事件的攻击信息，获取的方法可以是读取网络攻击事件的ip信息等方式，本技术实施例对获取网络攻击事件的攻击信息的方式不作限定。
37.步骤102：在预设攻击信息集合中查询所述攻击信息。
38.需要说明的是，预设攻击信息集合是指当前已知的网络攻击事件的信息集合，可以包含黑名单和白名单，可以用来确定当前发现的网络攻击事件是否为已知的攻击事件或者非攻击事件，其中，预设攻击信息集合可以为信息库等。若在预设攻击信息集合中未能确定到相关信息，那么当前发现的网络攻击事件的性质不能确定，可以作为灰名单事件。
39.其中，在预设攻击信息集合中查询攻击信息的方式可以是将攻击信息与预设攻击信息集合中的攻击信息进行比对或者匹配等，本技术实施例对在预设攻击信息集合中查询攻击信息的方式不作限定。
40.步骤103：若在所述预设攻击信息集合中未查询到所述攻击信息，则对所述网络攻击事件进行事前安全检测和事后安全检测，得到所述网络攻击事件对应的检测信息。
41.需要说明的是，当出现新攻击行为时，安全防护系统检测到疑似的网络攻击事件，可以基于预设攻击信息集合确定所述网络攻击事件的属性，即确定是否为真实攻击。如果未能确定到当前攻击事件的属性，则对网络攻击事件进行基于不同生命周期的安全检测，即事前安全检测和事后安全检测，得到网络攻击事件对应的检测信息。通过对网络攻击事件进行基于不同生命周期的安全检测，即从不同角度、不同方式进行安全检测，能够更全面的获取网络攻击事件的信息，以对网络攻击事件进行准确的判断。本技术实施例对事前安全检测和事后安全检测的方式不作具体限定。
42.步骤104：将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合。
43.需要说明的是，在获取了网络攻击事件对应的检测信息后，将所述检测信息更新至预设攻击信息集合，可以积累预设攻击信息集合中的信息，方便后续对相同网络攻击事件的处理。
44.图2为本技术实施例提供的另一种网络攻击事件的处理方法流程图，在图1所示实施例的基础上，所述网络攻击事件的处理方法还可以包括：
45.步骤105：若在所述预设攻击信息集合中查询到所述攻击信息，则对所述网络攻击事件进行网络攻击阻断。
46.需要说明的是，若在预设攻击信息集合中查询到所述攻击信息，则确定了网络攻击事件属于已知的黑名单事件，则安全防护系统对网络攻击事件进行网络攻击阻断，以实现安全防护。
47.本技术实施例通过预设攻击信息集合确定网络攻击事件的属性，在不能确定其属性时通过调用不同生命周期或环节的安全防护能力协同进行安全检测获得检测信息，并将检测信息更新至预设攻击信息集合，实现了对不同确定属性的网络攻击事件采用不同环节的安全防护能力进行拉通检测和情报协同，相较单点防护方式和简单的多个安全防护能力堆叠方式，明显提升了整体防护能力和检测准确率。
48.在一些实施例中，事前安全能力可以为漏洞检测，事后安全能力可以为溯源检测，为了形成安全防护能力的团队能力，事前安全检测和事后安全检测可以在安全防护系统中协同工作。
49.其中，在步骤103中所述对所述网络攻击事件进行事前安全检测和事后安全检测包括：对所述网络攻击事件进行漏洞检测和溯源检测。
50.需要说明的是，可以将事前安全能力和事后安全能力协同起来进行安全防护，通
过事前安全能力对网络攻击事件进行漏洞检测，通过事后安全能力对网络攻击事件进行溯源检测，以提高安全防护的效果。
51.进一步的，所述对网络攻击事件进行漏洞检测可以包括：获取所述网络攻击事件的ip地址所对应的以下各项之一或任意组合：服务、端口、漏洞和后门。
52.示例性的，安全防护系统驱动漏洞检测能力对灰名单ip进行远程漏洞检测，检测开放的服务、端口、漏洞以及后门等，得到基于事前安全能力的检测信息。
53.进一步的，所述对网络攻击事件进行溯源检测包括：获取所述网络攻击事件的ip地址所对应的以下各项之一或任意组合：地域归属、终端信息、浏览器信息、操作系统信息、软件信息和账号信息。
54.示例性的，安全防护系统通过溯源检测能力确定灰名单ip的溯源信息，包括ip的地域归宿、申请人、终端设备指纹、浏览器指纹、操作系统和软件指纹、ip的社交账号等攻击者溯源信息，用于进一步确认攻击者身份。
55.综上，安全防护系统通过调用漏洞检测能力和溯源检测能力对网络攻击事件进行检测，获得了网络攻击事件对应的灰名单ip的漏洞、后门、情报以及攻击者溯源信息等。
56.在一些实施例中，所述预设攻击信息集合可以包括缓存信息和安全知识库。所述步骤103中在预设攻击信息集合中未查询到所述攻击信息，可以包括：确定所述攻击信息与所述缓存信息中已知的真实攻击对应的攻击信息不匹配，且所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配；将所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配的信息更新至所述缓存信息中。所述步骤104中所述将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合，可以包括：将所述网络攻击事件对应的检测信息更新至所述缓存信息中。
57.需要说明的是，缓存信息中可以包括确定所述网络攻击事件是否属于已知的真实攻击过程中产生的信息，以及安全检测过程中产生的中间信息，缓存信息可以存储在本地，可以在各安全防护能力中进行共享；安全知识库可以为存储有大量的已知的网络攻击事件的信息的信息库，可以为本地或者远程信息库，还可以定期更新。
58.需要说明的是，在检测到网络攻击事件后，可以首先获取网络攻击事件中的ip，在缓存信息中查询所述网络攻击事件对应的ip，若未查询到相关信息，则说明为首次检测到该ip。再从安全知识库中确定该ip，若未确定到相关信息，则确定网络攻击事件不属于已知的真实攻击。
59.其中，在安全知识库中确定该ip的结果无论是有信息还是无信息，都需要将查询结果存放到缓存信息中。另外，还需要将网络攻击事件对应的检测信息更新至所述缓存信息中，例如，可以将获取的基于事前安全能力的检测信息以一定的格式存入缓存信息中，还可以将获取的所述攻击者溯源信息以一定的格式存入缓存信息中，这里对存储的格式不作具体限定。
60.所述缓存信息可以用于各安全防护能力间共享，且由于缓存信息在本地，实时性强，信息共享时延较低，在查询相同的网络攻击事件的攻击信息时能迅速得到查询结果。针对网络攻击中不断产生的大量数据流量和恶意样本等相关情报信息，本技术实施例采用的共享缓存信息的设计，能够迅速调取情报信息实现数据共享，确保了情报的实时性和有效性。
61.在一些实施例中，所述网络攻击事件的处理方法还包括：提取所述缓存信息中的所述网络攻击事件对应的检测信息，若所述网络攻击事件对应的检测信息包括预设的可疑事件信息中的任一，则确定所述网络攻击事件属于真实攻击，并基于所述网络攻击事件进行网络攻击阻断，所述预设的可疑事件信息包括存在服务器、后门、病毒感染和攻击者黑名单。所述步骤104中将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合，还可以包括：将所述网络攻击事件对应的检测信息作为所述网络攻击事件的画像信息，将所述画像信息作为威胁情报更新至所述安全知识库。
62.需要说明的是，在通过缓存信息和安全知识库对网络攻击事件进行确定都未确定其性质的情况下，安全防护系统需要对网络攻击事件的性质进行判断，即提取出缓存信息中的网络攻击事件对应的检测信息，若网络攻击事件对应的检测信息包括预设的可疑事件信息中的任一个，则确定网络攻击事件为真实攻击。例如，网络攻击事件对应的灰名单ip存在以下任一个可疑行为：服务器、存在后门、病毒感染、攻击者黑名单或者其他攻击行为，则判定该灰名单ip为黑名单ip，即认为当前的网络攻击行为为真实攻击，驱动安全防护能力进行阻断。
63.进一步的，在经过了确定网络攻击事件是否属于已知的真实攻击、对网络攻击事件进行事前安全检测和事后安全检测、得到网络攻击事件对应的检测信息的过程后，即在工作流结束后，缓存信息还可以最终沉淀为安全知识库中的信息。缓存信息中生成的信息可以为该网络攻击事件对应的黑名单ip或者黑名单行为的画像信息，画像信息可以作为威胁情报存入安全知识库。在安全防护系统运行过程中，通过自动化的安全知识生产逐步沉淀生产安全知识库，安全知识库再反哺各安全防护能力，进一步提升了安全防护效果。
64.在一些实施例中，所述预设攻击信息集合包括缓存信息和安全知识库。所述步骤103中在所述预设攻击信息集合中查询到所述攻击信息，可以包括：确定所述攻击信息与所述缓存信息中已知的真实攻击对应的攻击信息相匹配，或者所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息相匹配；当所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息相匹配时，将所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息相匹配的信息更新至所述缓存信息中。
65.需要说明的是，在检测到网络攻击事件后，首先获取网络攻击事件的攻击信息，例如ip，然后在缓存信息中查询所述网络攻击事件对应的ip，若查询到相关信息，则根据查询到信息对当前网络攻击事件进行处理，例如，如果是白名单ip，则对网络攻击事件进行放行，若为黑名单ip，则可以驱动安全防护能力进行阻断。
66.若在缓存信息中未查询到相关信息，则说明为首次检测到该ip，再从安全知识库中查询该ip，若查询到相关信息，则根据查询到的信息对当前网络攻击事件进行处理，例如，如果是白名单ip，则对网络攻击事件进行放行，若为黑名单ip，则可以驱动安全防护能力进行阻断。无论在安全知识库中确定的结果是有信息或者无信息，都需要将查询结果存放到缓存信息中，用于各安全防护能力间共享。
67.可以理解的是，只要在缓存信息或者安全知识库中任一处查询到网络攻击事件的黑名单信息或者白名单信息，则可以不对网络攻击事件进行事前安全检测和事后安全检测，若查询到的信息不能确定所述网络攻击事件属于已知的真实攻击，则仍然需要对网络攻击事件进行安全检测以及执行后面的步骤，以确定网络攻击事件的性质。
68.本技术实施例提出网络攻击事件的处理方法，在预设攻击信息集合确定网络攻击事件不属于真实攻击时，调用不同生命周期的各安全防护能力进行协同防护，提升了防护效果，同时，在各安全防护能力的协同应用过程中生成和沉淀新的安全防护知识，逐步积累预设攻击信息集合，进而通过安全防护知识反哺增强各安全防护能力。
69.本技术实施例还提供一种网络攻击事件的处理装置200，图3为本技术实施例提供的一种网络攻击事件的处理装置的结构示意图，如图3所示，所述处理装置200包括：安全检测模块201、信息查询模块202、第一处理模块203和信息更新模块204。其中，
70.安全检测模块201，用于检测到网络攻击事件，获取所述网络攻击事件的攻击信息；
71.信息查询模块202，用于在预设攻击信息集合中查询所述攻击信息；
72.第一处理模块203，用于若在预设攻击信息集合中未查询到所述攻击信息，则对所述网络攻击事件进行事前安全检测和事后安全检测，得到所述网络攻击事件对应的检测信息；
73.信息更新模块204，用于将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合。
74.在一种可能的实现方式中，所述网络攻击事件的处理装置还包括：第二处理模块，用于若在所述预设攻击信息集合中查询到所述攻击信息，则对所述网络攻击事件进行网络攻击阻断。
75.在一种可能的实现方式中，所述预设攻击信息集合包括缓存信息和安全知识库；所述信息查询模块202包括第一确定单元和第一更新单元；所述第一确定单元，用于确定所述攻击信息与所述缓存信息中已知的真实攻击对应的攻击信息不匹配，且所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配；所述第一更新单元，用于将所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配的信息更新至所述缓存信息中；所述信息更新模块204还用于：将所述网络攻击事件对应的检测信息更新至所述缓存信息中。
76.在一种可能的实现方式中，所述信息查询模块202还包括第二确定单元；所述第二确定单元，用于提取所述缓存信息中的所述网络攻击事件对应的检测信息，若所述网络攻击事件对应的检测信息包括预设的可疑事件信息中的任一，则确定所述网络攻击事件属于真实攻击，并基于所述网络攻击事件进行网络攻击阻断，所述预设的可疑事件信息包括存在服务器、后门、病毒感染、攻击者黑名单和其他攻击行为；所述信息更新模块204还用于：将所述网络攻击事件对应的检测信息作为所述网络攻击事件的画像信息，将所述画像信息作为威胁情报更新至所述安全知识库。
77.本技术实施例还提供一种网络攻击事件的处理装置，所述网络攻击事件的处理装置可以应用于安全防护系统，所述网络攻击事件的处理装置包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述的网络攻击事件的处理方法。
78.本技术实施例还提供一种网络攻击事件的处理系统，包括前述的网络攻击事件的处理装置。
79.在一种可能的实现方式中，所述网络攻击事件的处理系统还包括：缓存装置、漏洞
检测装置、安全防护装置、溯源检测装置和安全知识库；其中，缓存装置用于存放缓存信息，即存放网络攻击事件的处理过程中的中间信息，所述漏洞检测装置用于对网络攻击事件进行漏洞检测，所述安全防护装置用于对网络攻击事件进行安全防护，所述溯源检测装置用于对网络攻击事件进行溯源检测，安全知识库用于存放当前已知的真实攻击对应的攻击信息等，其中，所述网络攻击事件的处理装置分别与所述缓存装置、所述漏洞检测装置、所述安全防护装置、所述溯源检测装置和所述安全知识库通信连接；所述缓存装置与所述安全知识库通信连接。
80.图4为本技术实施例提供的一种网络攻击事件的处理系统的结构示意图，如图4所示，所述网络攻击事件的处理系统可以包括至少一个能力拉通编排装置，即网络攻击事件的处理装置；以及与所述能力拉通编排装置通信连接的至少一个缓存单元和至少一个安全知识库，所述缓存单元用于存储缓存信息，所述安全知识库用于存储已知的网络攻击事件信息；还包括与所述能力拉通编排装置通信连接的漏洞检测装置、安全防护装置和溯源检测装置，漏洞检测装置可以为能够提供漏洞检测功能的设备、系统等，安全防护装置可以为能够提供安全防护能力的设备、系统等，溯源检测装置可以为能够提供溯源检测能力的设备、系统等。所述能力拉通编排装置能够执行本说明书图1～图2所示实施例提供的网络攻击事件的处理方法。
81.示例性的，本技术实施例提供了一个攻击者以通过ms08-067漏洞控制服务器，并以该服务器为跳板发起网络攻击场景下，能力拉通编排装置对网络攻击事件的处理实例。
82.图5为本技术实施例提供的网络攻击事件的处理实例的流程示意图，如图5所示，所述网络攻击事件的处理实例的流程如下：
83.301、攻击者利用ip1发起攻击，防护设备检测到疑似攻击行为，但依据现有规则无法确认是否为真实攻击；
84.302、能力拉通编排装置从缓存信息查询ip1，未查询到相关信息，说明为首次检测到ip1；
85.303、能力拉通编排装置从安全知识库查询ip1，未查询到相关信息；
86.304、能力拉通编排装置驱动漏洞检测装置和溯源检测装置工作，漏洞检测装置检测到ip1开发了3389端口和4444端口，其banner含有conficker信息，具体信息如下表1的漏洞检测信息表所示；溯源检测装置捕获到该ip所在的终端含有名为hack1的社交账号信息，具体信息如下表2的溯源检测信息表所示。
[0087][0088]
表1漏洞检测信息表
[0089][0090]
表2溯源检测信息表
[0091]
305、能力拉通编排装置将漏洞检测和溯源检测的信息写入缓存信息。
[0092]
306、能力拉通编排装置分析判断为ip1为windows服务器且被感染飞客病毒，并判定本次事件为名为hack1的攻击者，通过飞客病毒控制ip1的服务器，并以此为跳板发起攻击被安全防护设备捕获；
[0093]
307、能力拉通编排装置驱动安全防护设备对ip1进行阻断；
[0094]
308、最终生成ip1的攻击者画像，作为威胁情报写入安全知识库。
[0095]
在整个安全防御体系/系统中，通过能力拉通编排装置调用各个环节的安全防护能力完成了疑似攻击者ip的确认，提升了检测和防护的能力，同时也生产了一条安全知识，安全知识可以反哺防御体系中的安全防护能力，进一步提升了防护能力的效果。
[0096]
图6为本技术实施例提供另一种网络攻击事件的处理装置的结构示意图，该网络攻击事件的处理装置可以为应用本技术实施例提供的网络攻击事件的处理方法的设备/装置，如图6所示，所述网络攻击事件的处理装置可以包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如图1-图2所示实施例提供的网络攻击事件的处理方法。
[0097]
示例性的，图6示出了网络攻击事件的处理装置100的结构示意图。如图6所示，网络攻击事件的处理装置100可以包括：处理器110、存储器120和外围设备130等部件。可以理解的是，本技术实施例示意的网络攻击事件的处理装置100的结构并不构成对网络攻击事件的处理装置100的限定，本技术另一些实施例中，网络攻击事件的处理装置100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。这些部件可通过一根或多根总线140或信号线进行通信，总线可以分为地址总线、数据总线、控制总线等。
[0098]
处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，ap)，调制解调处理器，图形处理器(graphics processing unit，gpu)，图像信号处理器(image signal processor，isp)，控制器，视频编解码器，数字信号处理器(digital signal processor，dsp)，基带处理器，和/或神经网络处理器(neural-network processing unit，npu)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。其中，控制器可以是网络攻击事件的处理装置100的神经
中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。处理器110中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了系统的效率。
[0099]
外围设备130可以包括显示器、输出组件，输入组件等器件。
[0100]
存储器120，用于存储网络攻击事件的处理装置100的系统所包括的代码和数据，例如应用程序和操作系统对应的代码。存储器120可以包括内存、外部存储器以及寄存器，内存可以用于存储操作系统以及处于运行状态的应用程序对应的代码，外部存储器以及寄存器可以用于存储处于运行状态的应用程序在运行过程中产生的数据，外部存储器还可以用于存储其他未运行的应用程序对应的代码。处理器110可将外部存储器中存储的代码或者数据调存到内存中，以实现该代码定义的功能。例如，处理器110可以在网络攻击事件的处理装置100开机时，将操作系统对应的代码调存到内存中，从而在网络攻击事件的处理装置100上实现操作系统的各种功能；处理器110也可以根据用户需求，将其他应用程序对应的代码调存到内存中，从而在网络攻击事件的处理装置100上实现该应用程序的各种功能。
[0101]
本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令使所述计算机执行本说明书图1-图2所示实施例提供的网络攻击事件的处理方法。
[0102]
上述计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(read only memory，rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)或闪存、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0103]
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0104]
计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、射频(radio frequency，rf)等等，或者上述的任意合适的组合。
[0105]
可以以一种或多种程序设计语言或其组合来编写用于执行本说明书操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。
在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(local area network，lan)或广域网(wide area network，wan)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0106]
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0107]
在本发明实施例的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0108]
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本说明书的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
[0109]
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本说明书的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本说明书的实施例所属技术领域的技术人员所理解。
[0110]
取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
[0111]
在本说明书所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0112]
另外，在本说明书各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0113]
上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机
装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本说明书各个实施例所述方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom)、随机存取存储器(ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0114]
以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。