网络攻击的告警方法及装置、计算机可读存储介质

技术领域

本公开涉及网络安全技术领域，特别涉及网络攻击的告警方法及装置、计算机可读存储介质。

背景技术

目前，随着信息化的推进，越来越多的系统被增设到互联网上，随之而来的风险就是受攻击面加大，将大量内部信息暴露在公网之上，导致黑客攻击事件频出，防护压力增大。

网络攻击的告警主要包括识别攻击方，识别攻击行为，监视和检测已成功的安全突破，输注告警信息，为对抗攻击及时提供重要信息，以阻止事件的发生和事态的扩大。相关技术中，依赖安全设备，通过分析日志，生成告警日志。

发明内容

根据本公开的第一方面，提供了一种网络攻击的告警方法，包括：根据告警日志，确定异常事件，其中，异常事件对应多个日志，所述多个日志包括第一日志，第一日志根据被请求方接收到的请求生成；根据第一日志，确定异常事件中请求方对被请求方的请求信息；预测响应于所述请求信息的响应信息的类型；根据响应于所述请求信息的响应信息的类型，从所述多个日志中提取第二日志，其中，第二日志根据被请求方向外发送的请求生成；在第二日志中存在至少一个所述类型的响应信息的情况下，根据请求信息和第二日志中至少一个所述类型的响应信息，确定异常事件是否为攻击成功事件；在异常事件是攻击成功事件的情况下，输出告警结果。

在一些实施例中，网络攻击的告警方法，还包括：在第二日志中不存在所述类型的响应信息的情况下，确定异常事件不是攻击成功事件。

在一些实施例中，根据请求信息和第二日志中至少一个所述类型的响应信息，确定异常事件是否为攻击成功事件，包括：判断请求信息与第二日志中至少一个所述类型的响应信息中的任一个响应信息之间是否满足匹配条件；在请求信息与第二日志中至少一个所述类型的响应信息中的任一个响应信息之间满足匹配条件的情况下，确定异常事件是攻击成功事件。

在一些实施例中，根据请求信息和第二日志中至少一个所述类型的响应信息，确定异常事件是否为攻击成功事件，包括：在第二日志中不存在与请求信息之间满足匹配条件的响应信息的情况下，确定异常事件不是攻击成功事件。

在一些实施例中，判断请求信息与第二日志中至少一个所述类型的响应信息中的任一个响应信息之间是否满足匹配条件，包括：根据请求信息，确定请求方命令被请求方主动连接的目标的第一信息；根据第二日志中至少一个所述类型的响应信息，确定被请求方主动连接的至少一个目标的第二信息；判断第一信息与被请求方主动连接的至少一个目标的第二信息之间是否满足匹配条件。

在一些实施例中，第一信息包括请求方命令被请求方主动连接的目标的网络协议地址和端口，被请求方主动连接的至少一个目标的第二信息包括被请求方主动连接的至少一个目标的网络协议地址和端口，匹配条件包括以下至少一项：请求方命令被请求方主动连接的目标的网络协议地址与被请求方主动连接的至少一个目标的任一个目标的网络协议地址相同；请求方命令被请求方主动连接的目标的端口与被请求方主动连接的至少一个目标的任一个目标的端口相同。

在一些实施例中，根据第一日志，确定异常事件中请求方对被请求方的请求信息，包括：利用第一正则表达式，根据第一日志，确定异常事件中请求方对被请求方的请求信息。

在一些实施例中，网络攻击的告警方法，还包括：利用与第一正则表达式对应的第二正则表达式，从第二日志提取至少一个所述类型的响应信息。

在一些实施例中，网络攻击的告警方法，还包括，根据接收到的请求，生成告警日志。

在一些实施例中，根据告警日志，确定异常事件，包括：利用攻击模型库，根据告警日志，生成异常事件。

在一些实施例中，第一日志包括告警日志、网页访问日志和协议层日志的至少一项；第二日志包括会话日志、网页访问日志、协议层日志、域名系统解析日志的至少一项。

在一些实施例中，请求信息包括请求方向被请求方发送的命令语句。

根据本公开的第二方面，提供了一种网络攻击的告警装置，包括：异常事件确定模块，被配置为根据告警日志，确定异常事件，其中，异常事件对应多个日志，所述多个日志包括第一日志，第一日志根据被请求方接收到的请求生成；请求信息确定模块，被配置为根据第一日志，确定异常事件中请求方对被请求方的请求信息；预测模块，被配置为预测响应于所述请求信息的响应信息的类型；提取模块，被配置为根据响应于所述请求信息的响应信息的类型，从所述多个日志中提取第二日志，其中，第二日志根据被请求方向外发送的请求生成；攻击确定模块，被配置为在第二日志中存在至少一个所述类型的响应信息的情况下，根据请求信息和第二日志中至少一个所述类型的响应信息，确定异常事件是否为攻击成功事件；输出模块，被配置为在异常事件是攻击成功事件的情况下，输出告警结果。

根据本公开的第三方面，提供了一种网络攻击的告警装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令，执行根据本公开任一实施例所述的网络攻击的告警方法。

根据本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时，实现根据本公开任一实施例所述的网络攻击的告警方法。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：

图1示出根据本公开一些实施例的网络攻击的告警方法的流程图；

图2示出根据本公开另一些实施例的网络攻击的告警方法的流程图；

图3示出了根据本公开一些实施例的检测反弹壳的攻击的示意图；

图4示出根据本公开一些实施例的判断请求信息和响应信息是否满足匹配条件的示意图；

图5示出根据本公开一些实施例的网络攻击的告警装置的框图；

图6示出根据本公开另一些实施例的网络攻击的告警装置的框图；

图7示出用于实现本公开一些实施例的计算机系统的框图。

具体实施方式

现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

攻击方向被攻击方发送请求的过程中，会产生日志。相关技术中，安全设备通过分析这些日志，生成告警日志。安全设备基于静态特征匹配的规则产生的告警日志，仅在出现已知的攻击特征时产生。

在生成网络攻击的告警时，仅依赖告警日志，数据来源单一，并且由于告警日志触发的告警数量庞大，所以告警结果不够准确，既难以确认攻击者是否真的攻击成功，也难以确认是真实的攻击事件还是误报。例如，即使是外部设备对本台设备的普通扫描行为，也会触发大量的攻击事件告警信息。

本公开提供了一种网络攻击的告警方法及装置、计算机可读存储介质，能够提高告警的准确率。

图1示出根据本公开一些实施例的网络攻击的告警方法的流程图。

如图1所示，网络攻击的告警方法包括步骤S1-步骤S6。

在步骤S1中，根据告警日志，确定异常事件，其中，异常事件对应多个日志，多个日志包括第一日志，第一日志根据被请求方接收到的请求生成。

例如，由数据采集设备，先采集所有的原始流量日志。原始日志包括告警日志、会话日志、网页(Web)访问日志、协议层日志和DNS(Domain Name System，域名系统)解析日志等。多个日志即包括异常事件的相关信息的原始流量日志。与告警日志不同的是，原始流量日志是从原始流量中按照一些常见协议解析得到的数据，无论是否出现攻击特征，都会记录原始流量日志。也就是说，原始流量日志包含的信息远比告警日志丰富。

在一些实施例中，根据告警日志，确定异常事件，包括：利用攻击模型库，根据安全告警日，生成异常事件。例如，利用预先构建的攻击模型库，对告警日志进行过滤和筛选，将筛选出的待研判的安全事件作为确定异常事件。攻击模型库例如包括远程代码执行类型的攻击分析模型、网页木马(Webshell)类型的攻击分析模型、僵尸主机类型的攻击分析模型等。

在一些实施例中，第一日志包括告警日志、Web访问日志和协议层日志的至少一项，第一日志记录请求方向被请求方发送请求的部分内容。其中，请求方是潜在的攻击方，被请求方是相应的被攻击方。

在步骤S2中，根据第一日志，确定异常事件中请求方对被请求方的请求信息。其中，请求信息例如是请求方向被请求方发送的请求的部分字段。请求信息能够体现漏洞的特征，例如，请求信息包括请求方向被请求方发送的命令语句。

通过攻击模型的分析，确定需要使用什么请求信息(既，被请求方接收到的请求中的哪部分字段)来代表攻击行为的特征。对于能够从第二日志中提取多条请求信息的情况，可以逐条对请求信息执行后续的步骤S3-步骤S5，只要根据任意一条请求信息，判断异常事件是攻击成功事件，就说明攻击成功。

在一些实施例中，根据第一日志，确定异常事件中请求方对被请求方的请求信息，包括：利用第一正则表达式，根据第一日志，确定异常事件中请求方对被请求方的请求信息。例如，通过正则匹配的方法，从第一日志中匹配出后续分析所需的字段，作为请求信息。

在步骤S3中，预测响应于请求信息的响应信息的类型。例如，利用攻击分析模型，通过分析多个日志或部分日志(例如，告警日志)，预测攻击的类型，根据攻击的类型，就能判断出对这种攻击的响应的类型。

在步骤S4中，根据响应于请求信息的响应信息的类型，从多个日志中提取第二日志，其中，第二日志根据被请求方向外发送的请求生成。第二日志包括会话日志、Web访问日志、协议层日志、DNS解析日志的至少一项。第二日志包括被请求方向外发出的请求对应的部分内容

例如，被请求方通常会向外发送很多请求，这些请求中，有的可能与此次异常事件相关，也可能与异常事件无关。相应的，多个日志中，有的日志可能与此次异常事件相关，也可能与异常事件无关，因此，先根据请求信息的响应信息的类型，确定什么类型的日志中可能包括这种类型的响应信息，从原始流量日志找出响应类型的日志，作为第二日志。

在一些实施例中，通过攻击分析模型，根据响应于请求信息的响应信息的类型，从多个日志中提取第二日志。例如，攻击分析模型能够判断需要什么类型的日志作为第二日志。另外，攻击分析模型也能够生成日志采集需求，如果当前采集到的日志中，不存在所需类型的第一日志和第二日志，则攻击分析模型将日志采集需求反馈给数据采集设备，由数据采集设备根据日志采集需求，采集所需第一日志和第二日志。

在步骤S5中，在第二日志中存在至少一个响应于请求信息的响应信息的类型的响应信息的情况下，根据请求信息和第二日志中至少一个响应于请求信息的响应信息的类型的响应信息，确定异常事件是否为攻击成功事件。其中，攻击成功事件表示被请求方受到了攻击并对攻击做出了响应。

任意攻击成功的访问交互中，应该能提取到若干条请求信息和响应信息，只有在提取到了至少一条满足要求的响应信息与请求信息对应的情况下，才会进一步根据响应信息和请求信息，判断是否为攻击成功事件。

在一些实施例中，在第二日志中不存在响应于请求信息的响应信息的类型的响应信息的情况下，确定异常事件不是攻击成功事件。即，如果没有提取到任何一条这一类型的响应信息，说明被请求方没有对潜在攻击做出响应，则属于攻击失败或是误报的情况。

在一些实施例中，根据请求信息和第二日志中至少一个响应于请求信息的响应信息的类型的响应信息，确定异常事件是否为攻击成功事件，包括：判断请求信息与第二日志中至少一个响应于请求信息的响应信息的类型的响应信息中的任一个响应信息之间是否满足匹配条件；在请求信息与第二日志中至少一个响应于请求信息的响应信息的类型的响应信息中的任一个响应信息之间满足匹配条件的情况下，确定异常事件是攻击成功事件。

也就是说，如果有一个请求信息和一个响应信息满足匹配条件，说明被请求方对这次攻击请求做出了响应，请求方攻击成功。

在一些实施例中，根据请求信息和第二日志中至少一个响应于请求信息的响应信息的类型的响应信息，确定异常事件是否为攻击成功事件，包括：在第二日志中不存在与请求信息之间满足匹配条件的响应信息的情况下，确定异常事件不是攻击成功事件。

也就是说，如果不存在与请求信息之间满足匹配条件的响应信息，说明被请求方没有做出响应，攻击失败或者异常事件并非攻击事件。

在一些实施例中，判断请求信息和第二日志中至少一个响应于请求信息的响应信息的类型的响应信息中的任一个响应信息之间是否满足匹配条件，包括：根据请求信息，确定请求方命令被请求方主动连接的目标的第一信息；根据第二日志中至少一个响应于请求信息的响应信息的类型的响应信息，确定被请求方主动连接的至少一个目标的第二信息；判断第一信息与被请求方主动连接的至少一个目标的第二信息之间是否满足匹配条件。

例如，判断请求信息和第二日志中至少一个响应于请求信息的响应信息的类型的响应信息中的任一个响应信息之间是否满足匹配条件包括判断第一信息与被请求方主动连接的至少一个目标的第二信息之间是否满足匹配条件。

在一些实施例中，利用与第一正则表达式对应的第二正则表达式，从第二日志提取至少一个响应于请求信息的响应信息的类型的响应信息。例如，第一正则表达式和第二正则表达式是匹配的，使得利用第一正则表达式提取出的请求信息的类型与第二正则表达式提取出的响应信息的类型是匹配的。第一正则表达式和第二正则表达式是根据漏洞原理预先设定的。

在一些实施例中，第一信息包括请求方命令被请求方主动连接的目标的网络协议地址和端口，被请求方主动连接的至少一个目标的第二信息包括被请求方主动连接的至少一个目标的网络协议地址和端口，匹配条件包括以下至少一项：请求方命令被请求方主动连接的目标的网络协议地址与被请求方主动连接的至少一个目标的任一个目标的网络协议地址相同；请求方命令被请求方主动连接的目标的端口与被请求方主动连接的至少一个目标的任一个目标的端口相同。

如果请求方命令被请求方主动连接的目标的端口与被请求方主动连接的至少一个目标的任一个目标的端口相同或请求方命令被请求方主动连接的目标的网络协议地址与被请求方主动连接的至少一个目标的任一个目标的网络协议地址相同，说明请求方命令被请求方主动连接的目标和被请求方主动连接的目标相同，即被请求方对攻击做出了响应，说明攻击成功。

在步骤S6中，在异常事件是攻击成功事件的情况下，输出告警结果。例如，在异常事件是攻击成功事件的情况下，输出告警结果，向用户提示风险。在异常事件不是攻击成功事件的情况下，也可以输出异常事件不是攻击事件或攻击失败的提醒。

根据本公开的一些实施例，网络攻击的告警方法，包括：根据告警日志，确定异常事件，其中，异常事件对应多个日志，多个日志包括第一日志，第一日志根据被请求方接收到的请求生成；根据第一日志，确定异常事件中请求方对被请求方的请求信息；预测响应于请求信息的响应信息的类型；根据响应于请求信息的响应信息的类型，从多个日志中提取第二日志，其中，第二日志根据被请求方向外发送的请求生成；在第二日志中存在至少一个响应于请求信息的响应信息的类型的响应信息的情况下，根据请求信息和第二日志中至少一个响应于请求信息的响应信息的类型的响应信息，确定异常事件是否为攻击成功事件；在异常事件是攻击成功事件的情况下，输出告警结果。不仅分析了请求方向被请求方发送的请求的日志，还额外分析了被请求方向外发送的请求的日志，从而反向验证了被请求方是否对异常的请求做出了响应，从而能够区分攻击成功的情况和攻击失败或异常事件不是攻击事件的情况，提高了告警的准确性。

图2示出根据本公开另一些实施例的网络攻击的告警方法的流程图。

如图2所示，网络攻击的告警方法还包括步骤S0，在步骤S0中，根据接收到的请求，生成告警日志。例如，通过分析用于记录被请求方接收到的请求的日志，生成告警日志。

下面以远程代码执行并反弹壳(Reverse Shell)的攻击场景为例，介绍根据本公开一些实施例的网络攻击的告警方法。

图3示出了根据本公开一些实施例的检测反弹壳的攻击的示意图。

如图3所示，将攻击行为看作攻击者与被攻击者之间的访问交互，拟定攻击者为A、被攻击者为B，外连目标C，其中，外连目标可以是攻击者本身，也可以是攻击者之外的其他目标。

表示攻击行为的特征(即请求信息)将从A、B、C之间的访问交互中产生。根据漏洞原理，从访问交互的信息中，能够提取漏洞的攻击行为的特征和对攻击的响应信息。任意攻击成功的访问交互中必定能提取到若干条攻击特征和响应信息，仅当请求信息和响应信息同时满足匹配条件时，才将异常事件定性为成功攻击的安全事件，并输出告警提醒。

例如，远程代码执行攻击行为的场景中，根据告警日志，确定异常事件。并且，根据攻击模型生成的采集需求，从全部原始流量日志中采集所需的日志。攻击行为的信息和响应信息存在于访问交互产生的告警日志和会话日志中。利用攻击分析模型，根据攻击者对被攻击者的攻击行为是反弹壳操作，则被攻击者对攻击的响应信息的类型是请求连接外连目标。

然后，利用攻击分析模型，从采集到的日志中，进一步提取请求信息的集合P＝{P1，P2，...，Pn}和响应信息的集合R＝{R1，R2，...，Rn}。当其中一条请求信息Pm和响应信息Rm满足攻击模型中预设的P与R之间的匹配条件，即可判定为攻击成功事件，并输出报警信息，避免主机失陷，或者在主机已经失陷的情况下及时响应。

例如，在通过远程代码执行攻击行为的场景中，通过正则方法，提取得到异常事件的请求信息P1为“……/x.x.x.x/4444 0>&1”，则通过攻击分析模型，确定可能包括响应信息R1的第二日志的类型是外连会话日志，则尝试从外连会话日志中找到R这种类型的字段。

图4示出根据本公开一些实施例的判断请求信息和响应信息是否满足匹配条件的示意图。

如图4所示，对于远程代码执行攻击行为的这种攻击类型，匹配条件是：P1中的“x.x.x.x”与R1中的IP地址相同，P1中的“4444”与R1中的端口号相同。从请求信息P1得到反弹壳的地址是“x.x.x.x”、端口为4444。攻击分析模型在动态采集上来的外连会话日志中查找，若存在目的地址是“x.x.x.x”，并且目的端口为“4444”的外连会话响应R1，就判定为攻击成功打上标签，若不存在，则判定异常事件为误报事件或攻击失败事件。如果是真实攻击事件并且攻击成功，就输出告警信息，供运营人员响应处置。

图5示出根据本公开一些实施例的网络攻击的告警装置的框图。

如图5所示，网络攻击的告警装置5包括异常事件确定模块51、请求信息确定模块52、预测模块53、提取模块54、攻击确定模块55和输出模块56。

异常事件确定模块51，被配置为根据告警日志，确定异常事件，其中，异常事件对应多个日志，多个日志包括第一日志，第一日志根据被请求方接收到的请求生成，例如执行如图1所示的步骤S1。

请求信息确定模块52，被配置为根据第一日志，确定异常事件中请求方对被请求方的请求信息，例如执行如图1所示的步骤S2。

预测模块53，被配置为预测响应于请求信息的响应信息的类型，例如执行如图1所示的步骤S3。

提取模块54，被配置为根据响应于请求信息的响应信息的类型，从多个日志中提取第二日志，其中，第二日志根据被请求方向外发送的请求生成，例如执行如图1所示的步骤S4。

攻击确定模块55，被配置为在第二日志中存在至少一个响应于请求信息的响应信息的类型的响应信息的情况下，根据请求信息和第二日志中至少一个响应于请求信息的响应信息的类型的响应信息，确定异常事件是否为攻击成功事件，例如执行如图1所示的步骤S5。

输出模块56，被配置为在异常事件是攻击成功事件的情况下，输出告警结果，例如执行如图1所示的步骤S6。

在一些实施例中，攻击确定模块55还被配置为：在第二日志中不存在响应于请求信息的响应信息的类型的响应信息的情况下，确定异常事件不是攻击成功事件。

在一些实施例中，攻击确定模块55进一步被配置为：判断请求信息与第二日志中至少一个响应于请求信息的响应信息的类型的响应信息中的任一个响应信息之间是否满足匹配条件；在请求信息与第二日志中至少一个响应于请求信息的响应信息的类型的响应信息中的任一个响应信息之间满足匹配条件的情况下，确定异常事件是攻击成功事件。

在一些实施例中，攻击确定模块55进一步被配置为：在第二日志中不存在与请求信息之间满足匹配条件的响应信息的情况下，确定异常事件不是攻击成功事件。

在一些实施例中，攻击确定模块55进一步被配置为：根据请求信息，确定请求方命令被请求方主动连接的目标的第一信息；根据第二日志中至少一个响应于请求信息的响应信息的类型的响应信息，确定被请求方主动连接的至少一个目标的第二信息；判断第一信息与被请求方主动连接的至少一个目标的第二信息之间是否满足匹配条件。

在一些实施例中，请求信息确定模块52进一步被配置：利用第一正则表达式，根据第一日志，确定异常事件中请求方对被请求方的请求信息。

在一些实施例中，网络攻击的告警方法，还包括：响应信息提取模块，被配置为利用与第一正则表达式对应的第二正则表达式，从第二日志提取至少一个响应于请求信息的响应信息的类型的响应信息。

在一些实施例中，网络攻击的告警方法，还包括：告警日志生成模块，被配置为根据接收到的请求，生成告警日志。

在一些实施例中，异常事件确定模块51进一步被配置为：利用攻击模型库，根据告警日志，生成异常事件。

图6示出根据本公开另一些实施例的网络攻击的告警装置的框图。

如图6所示，网络攻击的告警装置6包括存储器61；以及耦接至该存储器61的处理器62，存储器61用于存储执行网络攻击的告警方法对应实施例的指令。处理器62被配置为基于存储在存储器61中的指令，执行本公开中任意一些实施例中的网络攻击的告警方法。

图7示出用于实现本公开一些实施例的计算机系统的框图。

如图7所示，计算机系统70可以通用计算设备的形式表现。计算机系统70包括存储器710、处理器720和连接不同系统组件的总线700。

存储器710例如可以包括系统存储器、非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。系统存储器可以包括易失性存储介质，例如随机存取存储器(RAM)和/或高速缓存存储器。非易失性存储介质例如存储有执行本公开中任意一些实施例中的网络攻击的告警方法的指令。非易失性存储介质包括但不限于磁盘存储器、光学存储器、闪存等。

处理器720可以用通用处理器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。相应地，诸如判断模块和确定模块的每个模块，可以通过中央处理器(CPU)运行存储器中执行相应步骤的指令来实现，也可以通过执行相应步骤的专用电路来实现。

总线700可以使用多种总线结构中的任意总线结构。例如，总线结构包括但不限于工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、外围组件互连(PCI)总线。

计算机系统70还可以包括输入输出接口730、网络接口740、存储接口750等。这些接口730、740、750以及存储器710和处理器720之间可以通过总线700连接。输入输出接口730可以为显示器、鼠标、键盘等输入输出设备提供连接接口。网络接口740为各种联网设备提供连接接口。存储接口750为软盘、U盘、SD卡等外部存储设备提供连接接口。

这里，参照根据本公开实施例的方法、装置和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个框以及各框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可提供到通用计算机、专用计算机或其他可编程装置的处理器，以产生一个机器，使得通过处理器执行指令产生实现在流程图和/或框图中一个或多个框中指定的功能的装置。

这些计算机可读程序指令也可读存储在计算机可读存储器中，这些指令使得计算机以特定方式工作，从而产生一个制造品，包括实现在流程图和/或框图中一个或多个框中指定的功能的指令。

本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。

通过上述实施例中的网络攻击的告警方法及装置、计算机可读存储介质，提高了网络攻击告警的准确性。

至此，已经详细描述了根据本公开的网络攻击的告警方法及装置、计算机可读存储介质。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。