[发明专利]一种标签管理方法、上报方法、数据分析方法及装置

说明书

本申请实施例公开了一种标签管理方法，标签管理设备中存储有IP地址和标签的对应关系，生成第一网络事件的第一设备能够向标签管理设备发送携带第一IP地址的第一消息，以请求第一IP地址对应的标签。第一IP地址为与第一网络事件关联的IP地址。标签管理设备根据第一IP地址和存储的对应关系，得到第一IP地址对应的第一标签，将第一标签发送给第一设备。第一标签用于描述利用第一IP地址登录网络的账户，和/或，第一IP地址对应的设备信息。第一标签用于对第一网络事件进行分类。利用本方案，不仅能够根据第一IP地址对其进行分类，还能够基于第一IP地址的标签进行分类以确定第一网络事件和其它网络事件之间的关联，提升了网络事件发生的原因的定位效率。

技术领域

本申请涉及网络安全领域，尤其涉及一种标签管理方法、上报网络事件的方法、基于网络事件的数据分析方法及装置。

背景技术

随着网络技术的发展，网络事件越来越多。其中，网络事件包括告警事件、威胁网络安全的其他事件等等。对于企业而言，通过对网络事件的分析可以确定严重影响了企业的数据安全的风险来源。

对于威胁事件尤其是威胁网络安全的网络事件而言，现有安全设备大多只是对网络事件进行统计分类后输出统计分类的结果，例如输出暴力破解、木马、勒索病毒等不同类别的网络事件的数量。

事实上，随着网络攻击技术的发展，网络攻击常常是以攻击链的形式进行的。例如整个攻击链包括文件下载、漏洞扫描、权限提升、数据获取等多个步骤。因为种种原因，现有技术难以对孤立的网络事件进行关联分析，定位网络事件发生的原因。

发明内容

本申请实施例提供了一种方法，可以解决传统技术难以对安全设备检测出的孤立的安全事件进行关联分析的问题。

第一方面，本申请实施例提供了一种标签管理方法，该标签管理方法可以由标签管理设备执行。标签管理方法可以与检测网络事件的第一设备进行交互。具体地，标签管理设备中存储有IP地址和标签的对应关系，当第一设备生成第一网络事件时，可以向标签管理设备发送携带第一IP地址的第一消息，第一消息用于请求标签管理设备反馈第一IP地址对应的标签，其中，第一IP地址指的是与第一网络事件关联的IP地址。标签管理设备接收到第一消息之后，可以根据第一IP地址和存储的对应关系，得到与第一IP地址对应的第一标签，并将第一标签发送给第一设备。其中，第一标签用于描述利用第一IP地址登录网络的账户，和/或，第一IP地址对应的设备信息。第一标签用于对第一网络事件进行分类。由此可见，利用本申请实施例的方案，对于第一网络事件而言，不仅能够如传统技术中那样按照第一IP地址对其进行分类，以确定第一网络事件和其它网络事件之间的关联之外，还能够基于第一IP地址的标签确定第一网络事件和其它网络事件之间的关联。由于对网络事件进行关联分析的依据不再局限于IP地址，故而提升了网络事件发生的原因的定位效率。

在一种可能的实现方式中，若第一IP地址对应的标签用于描述利用第一IP地址登录网络的账户。则标签管理设备中可以存储有IP地址与利用IP地址登录网络的账户之间的对应关系。具体地，标签管理设备能够获取来自第二设备的账户登录日志，该账户登录日志包括所述第一IP地址和利用第一IP地址登录网络的账户的对应关系。并根据该账户登录日志，保存第一IP地址和利用第一IP地址登录网络的账户的对应关系。其中，第二设备为企业的账户管理设备，用于管理该企业的注册账户。第二设备能够在用户利用账户登录网络时，对账户名以及密码进行验证，并保存账户的登录记录。具体地，账户的登录记录保存在账户登录日志中。

在一种可能的实现方式中，若第一IP地址对应的标签用于描述第一IP地址对应的设备信息，则标签管理设备中存储有“IP地址与IP地址对应的设备信息”之间的对应关系。具体地，标签管理设备获取来自第三设备的IP地址和设备信息的对应关系，并保存来自第三设备的对应关系。其中，标签管理设备保存的对应关系，至少包括前述第一IP地址和第一IP地址对应的设备信息之间的对应关系。第三设备为企业的资产管理设备，用于记录该企业的资产。资产管理设备中存储有各个设备的设备信息以及各个设备对应的IP地址之间的对应关系。