网络攻击事件的处理方法、装置、系统和可读存储介质与流程

技术特征：
1.一种网络攻击事件的处理方法，其特征在于，包括：检测到网络攻击事件，获取所述网络攻击事件的攻击信息；在预设攻击信息集合中查询所述攻击信息；若在所述预设攻击信息集合中未查询到所述攻击信息，则对所述网络攻击事件进行事前安全检测和事后安全检测，得到所述网络攻击事件对应的检测信息；将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合。2.根据权利要求1所述的方法，其特征在于，还包括：若在所述预设攻击信息集合中查询到所述攻击信息，则对所述网络攻击事件进行网络攻击阻断。3.根据权利要求1所述的方法，其特征在于，所述对所述网络攻击事件进行事前安全检测和事后安全检测包括：对所述网络攻击事件进行漏洞检测和溯源检测。4.根据权利要求3所述的方法，其特征在于，所述对所述网络攻击事件进行漏洞检测包括：获取所述网络攻击事件的ip地址所对应的以下各项之一或任意组合：服务、端口、漏洞和后门；所述对所述网络攻击事件进行溯源检测包括：获取所述网络攻击事件的ip地址所对应的以下各项之一或任意组合：地域归属、终端信息、浏览器信息、操作系统信息、软件信息和账号信息。5.根据权利要求1所述的方法，其特征在于，所述预设攻击信息集合包括缓存信息和安全知识库；所述在所述预设攻击信息集合中未查询到所述攻击信息，包括：确定所述攻击信息与所述缓存信息中已知的真实攻击对应的攻击信息不匹配，且所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配；将所述攻击信息与所述安全知识库中已知的真实攻击对应的攻击信息不匹配的信息更新至所述缓存信息中；所述将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合，包括：将所述网络攻击事件对应的检测信息更新至所述缓存信息中。6.根据权利要求5所述的方法，其特征在于，还包括：提取所述缓存信息中的所述网络攻击事件对应的检测信息，若所述网络攻击事件对应的检测信息包括预设的可疑事件信息中的任一，则确定所述网络攻击事件属于真实攻击，并对所述网络攻击事件进行网络攻击阻断，所述预设的可疑事件信息包括存在服务器、后门、病毒感染和攻击者黑名单；所述将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合，还包括：将所述网络攻击事件对应的检测信息作为所述网络攻击事件的画像信息，将所述画像信息作为威胁情报更新至所述安全知识库。7.根据权利要求2所述的方法，其特征在于，所述预设攻击信息集合包括缓存信息和安全知识库；所述在所述预设攻击信息集合中查询到所述攻击信息，包括：确定所述攻击信息与所述缓存信息中已知的真实攻击对应的攻击信息相匹配，或者所述攻击信息与所述安全信息库中已知的真实攻击对应的攻击信息相匹配；
当所述攻击信息与所述安全信息库中已知的真实攻击对应的攻击信息相匹配时，将所述攻击信息与所述安全信息库中已知的真实攻击对应的攻击信息相匹配的信息更新至所述缓存信息中。8.一种网络攻击事件的处理装置，其特征在于，包括：安全检测模块，用于检测到网络攻击事件，获取所述网络攻击事件的攻击信息；信息查询模块，用于在预设攻击信息集合中查询所述攻击信息；第一处理模块，用于若在预设攻击信息集合中未查询到所述攻击信息，则对所述网络攻击事件进行事前安全检测和事后安全检测，得到所述网络攻击事件对应的检测信息；信息更新模块，用于将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合。9.根据权利要求8所述的装置，其特征在于，还包括：第二处理模块，用于若在所述预设攻击信息集合中查询到所述攻击信息，则对所述网络攻击事件进行网络攻击阻断。10.一种网络攻击事件的处理系统，其特征在于，包括权利要求8-9中任一所述的网络攻击事件的处理装置。11.根据权利要求10所述的系统，其特征在于，还包括：缓存装置、漏洞检测装置、安全防护装置、溯源检测装置和安全知识库；其中，所述网络攻击事件的处理装置分别与所述缓存装置、所述漏洞检测装置、所述安全防护装置、所述溯源检测装置和所述安全知识库通信连接；所述缓存装置与所述安全知识库通信连接。12.一种网络攻击事件的处理装置，其特征在于，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1-7中任一所述的方法。13.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令使所述计算机执行如权利要求1-7任一所述的方法。

技术总结
本申请实施例提出了一种网络攻击事件的处理方法、装置、系统和可读存储介质，所述方法包括：检测到网络攻击事件，获取所述网络攻击事件的攻击信息；在预设攻击信息集合中查询所述攻击信息；若在所述预设攻击信息集合中未查询到所述攻击信息，则对所述网络攻击事件进行事前安全检测和事后安全检测，得到所述网络攻击事件对应的检测信息；将所述网络攻击事件对应的检测信息更新至所述预设攻击信息集合。所述方法实现了对不能确定属性的网络攻击事件采用不同环节安全防护能力进行拉通检测和情报协同，相较单点防护方式和简单的多个安全防护能力堆叠方式，明显提升了整体防护能力和检测准确率。测准确率。测准确率。


技术研发人员：付俊 赵鹏 王智辉 王晓晖 洪运
受保护的技术使用者：中国星网网络创新研究院有限公司
技术研发日：2022.09.29
技术公布日：2023/2/3