(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211125087.6 (22)申请日 2022.09.15 (71)申请人 南方电网科 学研究院有限责任公司 地址 510000 广东省广州市萝岗区科 学城 科翔路11号J1栋3、 4、 5楼及J3 栋3楼 (72)发明人 关泽武　蒙家晓　李攀登　徐培明　 张宇南　匡晓云　许爱东　蒋屹新　 杨祎巍　洪超　陈霖　 (74)专利代理 机构 广州爱豆鼎盛知识产权代理 事务所(普通 合伙) 44763 专利代理师 袁翔 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种网络安全事件分析方法、 装置及 存储介 质 (57)摘要 本申请公开了一种网络安全事件分析方法、 装置及存储介质， 该方法包括信息获取和特征匹 配。 该装置包括获取模块、 攻击数据库、 特征匹配 模块、 特征拆分模块、 分析溯源模块。 该存储介质 存储有被处理器执行实现上述的网络安全事件 分析方法的计算机程序。 本申请基于网络安全事 件数据与攻击数据库的匹配比对， 深入到网络安 全事件的攻击代码、 主机信息甚至是拆 分重组构 成的攻击 数据对网络安全事件进行全面的剖析， 避免无法深挖网络安全事件的重要数据信息导 致的事件分析不彻底、 不精准的问题出现， 完善 网络安全事件分析方向和内容， 深度剖析网络安 全事件， 从而提高对网络安全事件的认知， 为后 续应对以及防范该网络安全事件和相关的网络 安全事件提供基础。 权利要求书2页 说明书5页 附图1页 CN 115484100 A 2022.12.16 CN 115484100 A 1.一种网络安全 事件分析方法， 其特 征在于， 该 方法包括以下步骤： 信息获取， 获取网络安全事件数据， 所述网络安全事件数据包括攻击代码和主机信 息， 所述主机信息包括主机 MAC地址、 IP地址、 事 件时间、 事 件结果中的一种或多种； 特征匹配， 将获取到的攻击代码与预先设置的攻击数据库进行匹配， 当能够匹配到n个 后， n≥1， 将匹配到的结果与该网络安全事件对应的主机信息进 行比对， 在比对 结果满足预 设条件时， 完成该网络安全事件的分析， 并依据该分析结果对其进 行溯源； 当无法 匹配到结 果或比对结果不满足预设条件时， 将提取到的攻击代码 拆分后再与预先存储的攻击数据库 进行匹配， 并将匹配到的结果与该网络安全事件对应的主机信息进行比对， 在比对结果满 足预设条件时， 完成该网络安全事件的分析， 并依据该分析结果对其进 行溯源， 并且在所有 的比对结果均不满足预设条件时， 向后台发出攻击警报进行 人工干预。 2.根据权利要求1所述的网络安全事件分析方法， 其特征在于， 所述预设条件包括网络 安全事件对应的事件结果相同、 主机MAC地址相同、 IP地址相同、 事件时长相同中的至少一 种。 3.根据权利要求1所述的网络安全事件分析方法， 其特征在于， 拆分所述攻击代码的具 体步骤包括： 提取所述攻击代码的数据特征头部， 所述数据特征头部包括数据长度、 进程名、 文件 名、 文件路径、 注 册表信息； 组合重组数据， 将其中一个数据特征头部作为主关键词， 其他数据特征头部作为副关 键词组成用于特 征匹配的重组数据。 4.根据权利要求3所述的网络安全事件分析方法， 其特征在于， 当无法匹配到结果或比 对结果不满足预设条件时， 将主关键词与预先设置的攻击数据库进行匹配， 筛选出具有该 主关键词的所有攻击数据， 并将匹配到的结果与该网络安全事件对应的主机信息进行比 对， 在比对结果满足预设条件时， 完成该主关键词对应的网络安全 事件的分析。 5.根据权利要求4所述的网络安全事件分析方法， 其特征在于， 在所述主关键词对应的 网络安全事件的分析完成后， 基于该主关键词对应的重组数据中的副关键词与匹配到的结 果进行比对， 当比对 结果满足预设条件的副关键词达到预设阈值P时， 完成该网络安全事件 的分析； 否则更 换新的数据特 征头部构成的重组数据。 6.根据权利要求5所述的网络安全事件分析方法， 其特征在于， 所述预设阈值P为70％ ～100％。 7.根据权利要求1所述的网络安全事件分析方法， 其特征在于， 所述人工干预包括人为 判断所述网络安全事件数据的真实性指标、 根据该真实性指标判断结果分析网络安全事 件， 所述真实性指标包括攻击代码的创建时间、 攻击时间、 攻击方式、 受害主机横向感染顺 序、 恶意代码执 行时间和其 他受害主机感染恶意代码的时间中的一种或多种。 8.一种网络安全 事件分析装置， 其特 征在于， 包括： 获取模块， 配置为进行信息获取得到网络安全事件数据， 所述网络安全事件数据包括 攻击代码和主机信息， 所述主机信息包括主机MAC地址、 IP地址、 事件时间、 事件结果中的一 种或多种； 攻击数据库， 配置为存储有多种 网络攻击信息， 所述网络攻击信息包括攻击代码和主 机信息， 所述主机信息包括主机 MAC地址、 IP地址、 事 件时间、 事 件结果中的一种或多种；权　利　要　求　书 1/2 页 2 CN 115484100 A 2特征匹配模块， 配置为将所述网络安全事件数据与所述攻击数据库中的网络攻击信 息 进行匹配； 特征拆分模块， 配置为将攻击代码进行拆分和组合； 分析溯源模块， 配置为基于所述特征匹配模块的匹配结果在攻击数据库和网络数据中 进行安全 事件溯源。 9.根据权利要求8所述的网络安全事件分析装置， 其特征在于， 所述特征拆分模块具体 包括： 配置为用于提取所述攻击代码的数据 特征头部的特征提取单元， 所述数据特征头部包 括数据长度、 进程名、 文件名、 文件路径、 注 册表信息； 配置为基于所述特征提取单元的提取结果进行重组数据组合的数据重组单元， 所述数 据重组单元将其中一个数据特征头部作为主关键词、 其他数据特征头部作为副关键词组成 用于特征匹配的重组数据。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处理器执行实现权利要求1 ‑8任意一项所述的网络安全事件分析方 法。权　利　要　求　书 2/2 页 3 CN 115484100 A 3