[发明专利]网络攻击追踪方法、装置、电子设备及可读存储介质

权利要求书

1.一种网络攻击追踪方法，其特征在于，所述方法包括：

接收用户的追踪请求，所述追踪请求包括追踪参数；

根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件；

针对所述网络攻击事件和支撑数据进行交叉分析，获得对网络攻击的描述信息，其中，所述支撑数据为除所述网络数据以外的与网络攻击相关的分析数据；

其中，预先存储有针对各个追踪参数生成的模板，在所述接收用户的追踪请求之后，在根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件之前，还包括：

从所述模板中查找是否有与所述用户发送的追踪参数一致的追踪参数；

若有，则执行步骤：根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件；

若没有，则确定所述用户发送的追踪参数有误，并向所述用户反馈无法追踪的提示信息；

其中，所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件，包括：

根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的初始网络攻击事件；

将所述初始网络攻击事件按照预设聚合规则进行聚合，获得符合所述聚合规则的所述网络攻击事件，其中，所述预设聚合规则为通过调用封装的模板获得的，不同的预设聚合规则封装为不同的模板。

2.根据权利要求1所述的方法，其特征在于，在所述追踪参数为多个时，所述追踪请求中包括封装的多个追踪参数，所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件，包括：

对所述封装的多个追踪参数进行拆解，确定各个追踪参数；

根据各个追踪参数分别在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。

3.根据权利要求1所述的方法，其特征在于，所述根据所述追踪参数在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件，包括：

根据所述追踪参数确定追踪模式；

按照所述追踪模式在预存储的网络数据中查找与所述追踪参数相关的网络攻击事件。

4.根据权利要求3所述的方法，其特征在于，所述追踪模式为单次追踪、定时追踪或实时追踪。

5.根据权利要求1所述的方法，其特征在于，所述网络数据包括原始网络流量数据、情报数据、告警数据、历史结论数据中的至少一种。

6.根据权利要求5所述的方法，其特征在于，在所述网络数据包括原始网络流量数据和告警数据时，所述针对所述网络攻击事件和支撑数据进行交叉分析，获得对网络攻击的描述信息，包括：

对所述原始网络流量数据与所述告警数据进行交叉分析，获得表征网络攻击的特征信息；

根据所述特征信息对所述网络攻击事件和支撑数据进行交叉分析，获得对网络攻击的描述信息。

7.根据权利要求1所述的方法，其特征在于，所述获得对网络攻击的描述信息之后，还包括：

将所述描述信息反馈给对应的用户终端。

8.根据权利要求1-7任一所述的方法，其特征在于，所述追踪参数包括端口、公司名称、地址区域、时间、IP地址中的至少一种。

9.根据权利要求1-7任一所述的方法，其特征在于，所述支撑数据包括日志数据、设备数据、监控数据、漏洞数据中的至少一种。

10.根据权利要求1-7任一所述的方法，其特征在于，所述网络攻击的描述信息包括网络攻击影响的业务、网络攻击影响的设备数量、网络攻击影响的范围、告警产生的原因、网络攻击手段、网络攻击发起者、网络攻击发起的时间周期、网络攻击的次数中的至少一种。