CN112995110A - 一种恶意事件信息的获取方法、装置及电子设备 - Google Patents
一种恶意事件信息的获取方法、装置及电子设备 Download PDFInfo
- Publication number
- CN112995110A CN112995110A CN201911303171.0A CN201911303171A CN112995110A CN 112995110 A CN112995110 A CN 112995110A CN 201911303171 A CN201911303171 A CN 201911303171A CN 112995110 A CN112995110 A CN 112995110A
- Authority
- CN
- China
- Prior art keywords
- event
- graph
- malicious
- subgraph
- malicious event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 97
- 230000002159 abnormal effect Effects 0.000 claims abstract description 45
- 230000008569 process Effects 0.000 claims abstract description 43
- 230000003542 behavioural effect Effects 0.000 claims abstract description 16
- 230000006399 behavior Effects 0.000 claims description 155
- 238000000605 extraction Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 238000013075 data extraction Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 abstract description 21
- 230000001364 causal effect Effects 0.000 abstract description 8
- 230000009471 action Effects 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 238000004422 calculation algorithm Methods 0.000 description 7
- 239000000203 mixture Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000002372 labelling Methods 0.000 description 5
- 238000002955 isolation Methods 0.000 description 4
- 210000001367 artery Anatomy 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 210000003462 vein Anatomy 0.000 description 2
- 241000287828 Gallus gallus Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种恶意事件信息的获取方法、装置、电子设备及存储介质,该方法包括:提取终端中的行为数据;根据行为数据构建事件异构图;其中,事件异构图中的边表示行为事件;从事件异构图中提取恶意事件子图;生成恶意事件子图对应的溯源信息;该方法通过构建的事件异构图自动提取恶意事件子图并生成对应的溯源信息,由于构建的事件异构图能够直观表现出各个行为事件之间的因果关系,有利于溯源分析,因此依据该事件异构图提取的恶意事件子图,能够表征该恶意事件的完整过程,进而提高得到的溯源信息的准确性,也使得该溯源信息更加贴合该恶意事件的实际情况;且该方法可以自动执行,避免使用人工对相关的日志进行分析,效率更高。
Description
技术领域
本发明涉及数据处理技术领域,特别涉及一种恶意事件信息的获取方法、装置、电子设备及存储介质。
背景技术
恶意事件是指终端中在用户预期之外执行的行为事件。通常情况下,恶意事件的发生是黑客通过非法手段入侵终端,使得终端在用户的预期之外执行相关的行为事件。通过研究发现恶意事件的发生往往不是孤立的。因此,需要通过恶意事件的溯源分析来确定恶意事件发生的根本原因,进而做出相应的操作对终端进行防护。
目前,恶意事件的溯源分析方式是,采用人工对相关的日志进行分析,得到溯源信息。但是,相关的日志数据量巨大,在海量的日志中人工进行恶意事件的溯源分析,无异于大海捞针,不仅效率低下,还不能够保证得到的溯源信息的准确性。
发明内容
本发明的目的是提供一种恶意事件信息的获取方法、装置、电子设备及存储介质,通过构建的事件异构图自动提取恶意事件子图并生成对应的溯源信息,提高了溯源信息的准确性以及恶意事件信息的获取效率。
为解决上述技术问题,本发明提供一种恶意事件信息的获取方法,包括:
提取终端中的行为数据;
根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
从所述事件异构图中提取恶意事件子图;
生成所述恶意事件子图对应的溯源信息。
可选地,所述生成所述恶意事件子图对应的溯源信息,包括:
判断所述恶意事件子图是否为全连通图;
若是,则生成所述恶意事件子图对应的溯源信息。
若不是,则将所述恶意事件子图划分为对应的连通子图,并生成每个所述连通子图对应的溯源信息。
可选地,所述将所述恶意事件子图划分为对应的连通子图,并生成每个所述连通子图对应的溯源信息,包括:
将所述恶意事件子图划分为不同的初始连通子图;
根据所述事件异构图,确定任意两个初始连通子图之间的最短路径;
判断各所述最短路径是否小于设定阈值;
若所述最短路径小于设定阈值,则利用小于设定阈值的最短路径,将小于设定阈值的最短路径对应的初始连通子图进行连接,以形成最终的连通子图;
若所述最短路径不小于设定阈值,则将不小于设定阈值的最短路径对应的初始连通子图分别作为最终的连通子图;
生成每个所述最终的连通子图对应的溯源信息。
可选地,所述生成所述恶意事件子图对应的溯源信息,包括:
选择所述恶意事件子图中入度最小的顶点作为起始点,利用深度优先方式遍历所述恶意事件子图,并将遍历过程中获取得到的行为事件作为溯源信息。
可选地,所述根据所述行为数据构建事件异构图,包括:
将所述行为数据按照行为发生时间,划分到对应时间段中;
根据每个时间段对应的行为数据,构建时间段事件异构图;
将各个时间段事件异构图组成事件异构图。
可选地,所述提取终端中的行为数据,包括:
从第三方日志以及API日志中提取终端中的行为数据。
可选地,所述从所述事件异构图中提取恶意事件子图,包括:
根据元路径模板以及恶意事件,在所述事件异构图中提取恶意事件子图。
可选地,所述根据元路径模板以及恶意事件,在所述事件异构图中提取恶意事件子图,包括:
利用辅助边添加规则,在所述事件异构图中添加与所述辅助边添加规则相对应的行为事件的边,形成最终的事件异构图;
根据元路径模板以及恶意事件,在所述最终的事件异构图中提取恶意事件子图。
另一方面,本发明还提供一种恶意事件信息的获取装置,包括:
数据提取模块,用于提取终端中的行为数据;
异构图生成模块,用于根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
恶意事件子图提取模块,用于从所述事件异构图中提取恶意事件子图;
溯源信息生成模块,用于生成所述恶意事件子图对应的溯源信息。
又一方面,本发明还提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的恶意事件信息的获取方法。
又一方面,本发明还提供一种存储介质,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述的恶意事件信息的获取方法。
可见,该方法利用提取到的终端中的行为数据构建事件异构图,并利用该事件异构图来提取恶意事件子图,进而生成该恶意事件子图对应的溯源信息。由于构建的事件异构图本身能够结合终端提取到的全部行为数据,因此,其可以直观表现出各个行为事件之间的因果关系,有利于溯源分析。进而,依据该事件异构图提取的恶意事件子图,能够表征恶意事件的完整过程,提高得到的该恶意事件对应的溯源信息的准确性,使得该溯源信息也更加贴合该恶意事件的实际情况。且该方法可以自动执行恶意事件信息的获取方法,不需要人工对相关的日志进行分析,效率更高,同时,也可以避免人工分析的不确定性。
相应的,本发明还提供了一种恶意事件信息的获取装置、电子设备及存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种恶意事件信息的获取方法的流程图;
图2为本发明实施例所提供的一种提取恶意事件子图的流程图;
图3为本发明实施例所提供的一种生成恶意事件子图对应的溯源信息的流程图;
图4为本发明实施例所提供的一种生成每个连通子图对应的溯源信息的流程图;
图5为本发明实施例所提供的一种构建事件异构图的流程图;
图6为本发明实施例所提供的一种恶意事件信息的获取装置的结构框图;
图7为本发明实施例所提供的一种电子设备的结构框图;
图8为本发明实施例所提供的一种电子设备的具体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,由于防护措施的缺陷,以及使用人员安全意识薄弱等,使得恶意事件时有发生。恶意事件的发生会对终端造成不成程度的危害,例如:数据泄露(泄露关键数据,商业机密,员工信息,客户资料等),这些数据的泄露会对用户造成难以估量的损失;加密终端数据(如勒索软件),即,黑客通过加密终端中的数据,使终端无法使用,破坏了终端的可用性。且通常黑客会使用非对称加密,在没有私钥的情况下难以解密,为了恢复终端的可用性,用户不得不向黑客支付大笔的赎金;另外黑客还可以通过账号***,漏洞利用等控制终端成为肉鸡(也称傀儡机,可以指被黑客远程控制的机器),使终端参与DDOS(Distributed denialof service attack,分布式拒绝服务攻击)等其他网络攻击行为。因此,需要在终端中存在恶意事件时,分析恶意事件发生的根本原因,进而做出相应的操作对终端进行防护。
通过研究发现很多恶意事件的发生往往都不是孤立的,例如,著名的“洛马七步杀”将攻击事件分为七个阶段,各个阶段相互关联。如果不进行恶意事件的溯源分析,并根据溯源分析结果对恶意事件进行杀毒,就会表现出恶意事件杀不干净的现象,进而导致该恶意事件在终端中反复出现。因此,需要通过恶意事件的溯源分析来确定恶意事件发生的根本原因,进而做出相应的操作对终端进行防护。目前,相关技术中针对恶意事件的溯源分析方式是,采用人工对相关的日志进行分析,得到溯源信息。但是,相关的日志往往都具有海量的数据,在海量的日志中由安全分析人员人工进行恶意事件的溯源分析,无异于大海捞针,且需要要求安全分析人员具备充足的相关知识以及极高的专业素养。因此,相关技术对应的溯源分析不仅效率低下,成本高,还不能够保证得到的溯源信息的准确性。
本发明实施例通过事件异构图来提高恶意事件信息的获取的准确性,进而解决上述问题。具体请参考图1,图1为本发明实施例所提供的一种恶意事件信息的获取方法的流程图;该方法可以包括:
S101、提取终端中的行为数据。
本发明实施例需要对终端中发生的行为数据进行审计,进而对终端中存在恶意事件进行溯源分析获取溯源信息,本发明中可以将溯源信息理解为恶意事件信息。因此,本发明实施例在进行恶意事件信息的获取时,需要首先提取出终端中的行为数据。需要说明的是,本发明实施例中并不对行为数据的来源进行限定。例如,可以是将API(ApplicationProgramming Interface,应用程序接口)调用序列作为行为数据;也可以是将第三方日志中的相关数据作为行为数据;当然,也可以是同时将API调用序列以及第三方日志中的相关数据作为需要提取的行为数据。
可以理解的是,本发明实施例是对提取的行为数据进行分析,进而根据该行为数据构建事件异构图,由于构建的事件异构图本身能够结合多种数据源(即结合终端提取到的全部行为数据),其可以直观表现出各个行为事件之间的因果关系,从而保证溯源分析的准确性。因此,提取的行为数据越全面,得到的事件异构图就会越准确,进而可以提高溯源信息的准确性。即,为了进一步提高恶意事件信息获取的准确性和可靠性,本发明实施例可以同时将API调用序列以及第三方日志中的相关数据作为需要提取的行为数据。相应的,提取终端中的行为数据的过程可以包括:从第三方日志以及API日志中提取终端中的行为数据。当然,本发明实施例并不限定终端对应的第三方日志以及API日志的获取方式,只要可以得到终端对应的第三方日志以及API日志即可。
其中,本发明实施例所说的行为数据可以指终端运行过程中执行的底层行为动作。例如,文件的读写,进程的创建,进程的执行等。本发明实施例并不对该行为数据的具体内容进行限定。
需要说明的是,本发明实施例并不对终端进行限定,该终端可以是用于用户信息的输入以及处理结果的输出的设备,例如,终端可以是个人电脑,笔记本电脑,手机,服务器等。
S102、根据行为数据构建事件异构图;其中,事件异构图中的边表示行为事件。
可以理解的是,事件异构图属于异构图(Heterogeneous Graph,简写HG),其中,图(Graph),图论术语,例如,图G可以指一个三元组(V,E,I),其中V称为顶点集,E称为边集,E与V不相交;I称为关联函数,I可以将E中的每一个元素映射到。如果边e被映射到(u,v),那么称边e连接顶点u,v,而u,v则称作边e的端点,u,v此时关于边e相邻。同时,若两条边i,j有一个公共顶点u,则称i,j关于u相邻。异构图,图论术语,一般情况下,图中顶点和顶点之间具有相同的类型,边和边之间具有相同的类型,但是在现实生活中,往往存在不同类型间的联系,因此,在图的基础上,为每个顶点添加辅助信息,以支持不同类型的顶点,形成异构图。常见的辅助信息可以包含:标签(用于标记类别信息),属性(用于标记具体的属性信息),顶点特性(用于标记顶点特有属性),信息传播(用于标记信息传播路径),知识库(用于标记关于顶点的额外知识)等。本发明实施例中事件异构图可以是有向图(digraph),也可以是无向图(undirected graph)。这两者均为图论术语,在图中,若边具有方向性,也就是说一个边的两个顶点,有源顶点和目的顶点的区分,可以称其为有向图,若边不具有方向性,也就是说一个边的两个顶点,不存在源顶点和目的顶点的区分,可以称其为无向图。当然,本发明实施例并不限定构建得到事件异构图是有向图还是无向图,其可以根据行为数据的实际情况进行确定。例如,当行为数据对应的行为事件具有方向性,则构建得到事件异构图是有向图。
需要说明的是,本发明实施例并不限定根据行为数据构建事件异构图的方式。例如,可以是遍历行为数据,将行为数据转化为两个顶点以及一条边的形式,如果当前顶点已经在顶点集中,则将边添加到边集,如果当前顶点不在顶点集中,则在顶点集中添加新的顶点,并将边添加到边集中。其中,事件异构图中的边表示行为事件,每个行为数据可以对应一个行为事件。由于构建的事件异构图本身能够结合终端提取到的全部行为数据,其可以直观表现出终端中各个行为事件之间的因果关系,从而可以保证溯源分析的准确性。可见,构建的事件异构图越准确,后续生成的溯源信息就会越准确性。
S103、从事件异构图中提取恶意事件子图。
恶意事件也属于行为事件,因此,恶意事件也会指向特定的行为事件,根据恶意事件的不同,一种恶意事件可能指向一个行为事件,也可能指向多个行为事件。若事件异构图中存在恶意事件,那么就可以从事件异构图中提取出该恶意事件,形成恶意事件子图,可以理解的是,恶意事件子图是事件异构图的一部分,用于表征恶意事件对应的各个行为事件,其中,恶意事件对应的每一个行为事件在恶意事件子图中都是由每一个行为事件对应的边,以及与该边对应的两个顶点构成。
本发明实施例中并不对从事件异构图中提取恶意事件子图的方式进行限定。用户可以根据实际需求选择相应的提取方式。例如,可以直接从事件异构图中将恶意事件对应的边,以及与该边相关联的两个顶点提取出来,形成恶意事件子图。也可以是在事件异构图中将恶意事件对应的各个行为事件的边进行标记,形成恶意事件子图;即,通过对恶意事件相关的行为事件的标记,得到恶意事件子图。其中,恶意事件子图的顶点是事件异构图中顶点的子集,恶意事件子图中的边集是事件异构图中边集的子集。
S104、生成恶意事件子图对应的溯源信息。
本发明实施例中恶意事件子图中包含了恶意事件对应的每一个行为事件。即,恶意事件子图中具有恶意事件对应的每一个行为事件的边,以及与该边对应的两个顶点。因此,通过恶意事件子图能够展现整个恶意事件的来龙去脉,即,整个恶意事件对应的行为事件。进而可以根据恶意事件子图生成恶意事件对应的溯源信息。
本发明实施例并不对生成恶意事件子图对应的溯源信息的方式进行限定。例如,可以是任意选择一个顶点作为起始点,将恶意事件子图中对应的全部的行为事件作为溯源信息。也可以是选择恶意事件子图中入度值最小的顶点作为起始点,将恶意事件子图中对应的全部的行为事件作为溯源信息。也可以是选择恶意事件子图中入度最小的顶点作为起始点,利用深度优先方式遍历恶意事件子图,并将遍历过程中获取得到的行为事件作为溯源信息。需要说明的是,本发明实施例并不对将恶意事件子图中对应的全部的行为事件作为溯源信息的方式进行限定。例如,可以是直接将恶意事件子图中对应的全部的行为事件添加到指定位置,形成恶意事件子图对应的溯源信息。本发明实施例并不对将遍历过程中获取得到的行为事件作为溯源信息的方式进行限定。例如,也可以是将遍历过程中获取得到的行为事件添加到指定位置形成恶意事件子图对应的溯源信息。
其中,入度(In Degree,可以简写为ID):有向图中,以某个顶点为目的顶点的边的数量。深度优先方式是一种遍历方法,本发明实施例并不对深度优先方式的具体实现方式进行限定,其实现思想可以是:首先确定需要访问的起始点v;然后依次从v的未被访问的邻接点出发,对图进行深度优先遍历;直至图中和v有路径相通的顶点都被访问;最后若图中尚有顶点未被访问,则从一个未被访问的顶点出发(即再次确定一个需要访问的起始点),重新进行深度优先遍历,直到图中所有顶点均被访问过为止。当然,本发明实施例中并不对指定位置以及溯源信息进行限定。例如,指定位置可以是预先设置好的模板,也可以是预先创建的指定文件夹等。溯源信息可以是在预先设置好的模板中添加行为事件后得到的溯源分析报告,也可以是在预先创建的指定文件夹中添加行为事件后得到的溯源分析文件。
本发明实施例生成的溯源信息,展示出了恶意事件的来龙去脉,进而能够根据该溯源信息确认恶意事件发生的根本原因。进一步,在终端中存在恶意事件时,为了更加及时、可靠的实现对终端防护。本发明实施例还可以根据溯源信息,获取相应的防护处置建议。本发明实施例并不对防护处置建议的内容进行限定,其与具体的恶意事件相关。本发明实施例也不限定根据溯源信息获取相应的防护处置建议的方式,例如,可以是由安全防护人员直接根据溯源信息获取相应的防护处置建议;也可以是由电子设备自动根据溯源信息获取相应的防护处置建议;也可以是终端在接收到电子设备发送的溯源信息时,由终端自身自动根据溯源信息获取相应的防护处置建议等。
进一步,为了使得用户可以及时获取到溯源信息和/或防护处置建议,本发明实施例还可以将溯源信息和/或防护处置建议输出给用户。当然,本发明实施例并不对输出溯源信息和/或防护处置建议的具体方式进行限定。例如,可以通过IM***输出溯源信息和/或防护处置建议;也可以通过邮件***输出溯源信息和/或防护处置建议;也可以通过短信***输出该溯源信息和/或防护处置建议;也可以通过日志***输出该溯源信息和/或防护处置建议;当然,也可以是上述至少两种方法的叠加使用向用户传达溯源信息和/或防护处置建议。
基于上述技术方案,本发明实施例提供了一种简洁、高效的恶意事件信息的获取方法,该实施例引入事件异构图作为载体,从事件异构图中提取恶意事件子图,从而简洁直观的向用户展示恶意事件的来龙去脉,生成恶意事件子图对应的溯源信息;由于构建的事件异构图本身能够结合终端提取到的全部行为数据,可以直观表现出各个行为事件之间的因果关系,有利于溯源分析。进而,依据该事件异构图提取的恶意事件子图,能够表征恶意事件的完整过程,提高得到的该恶意事件对应的溯源信息的准确性,也使得到的溯源信息更加贴合该恶意事件的实际情况。同时,能够通过事件异构图发现事件的潜在关联,进一步提高溯源结果的准确性。且本实施例可以自动执行恶意事件的溯源分析过程,不需要人工对相关的日志进行分析,效率更高,同时,也可以避免人工分析的不确定性。
基于上述实施例,由于很多恶意事件并不是孤立存在的,当检测到终端中包含并非孤立存在的一个恶意事件时,该终端很可能也存在与该恶意事件相关的其他高危的行为事件。其中,与该恶意事件相关的其他高危的行为事件很可能也是恶意事件,或者与该恶意事件相关的其他高危的行为事件也可能是产生该恶意事件的根本原因。因此,本发明实施例中为了提高从事件异构图中提取恶意事件子图的可靠性和准确性。本发明实施例中从事件异构图中提取恶意事件子图的过程可以包括:根据元路径模板以及恶意事件,从事件异构图中提取恶意事件子图。
需要说明的是,本发明实施例中元路径模板中可以包含多个元路径,每个元路径表征的是具有相关关系的若干个行为事件,其中,每个行为事件在元路径中表示为两个顶点以及一条边,每个顶点可以存在对应的类型标签,边也可以存在对应的类型标签。元路径模板中每个元路径中包含的行为事件都是具有相关关系的,该相关关系可以指元路径中各个行为事件具有执行上的先后顺序,或者是元路径中各个行为事件具有因果关系等,当然,本发明实施例并不对该相关关系进行限定,只要根据该相关关系获取到的元路径可以表征并非孤立存在的恶意事件对应的整个行为事件链即可。本发明实施例并不限定元路径模板的生成方式。例如,可以通过第一关联事件知识库生成元路径模板,该第一关联事件知识库可以根据历史经验生成;本发明实施例还可以由用户设置元路径模板中元路径。当然,还可以定期对该元路径模板进行更新,以便保证元路径模板的可靠性。
可以理解的是,本发明实施例也不限定根据元路径模板以及恶意事件,从事件异构图中提取恶意事件子图的过程。例如,可以是先从事件异构图中标记出恶意事件,然后查看该恶意事件相邻的边是否命中元路径模板中的元路径,当该边在元路径模板中存在相关的元路径时,则利用该边在元路径模板中存在的相关的元路径从事件异构图中标记出与恶意事件具有相关关系的其他行为事件,形成恶意事件子图。也可以是先从事件异构图中标记出恶意事件,形成初始恶意事件子图,然后再查看该恶意事件是否存在符合元路径模板中某一元路径的邻边,当存在符合元路径模板中某一元路径的邻边时,则利用该邻边对应的元路径在初始恶意事件子图中添加与恶意事件具有相关关系的其他行为事件,形成恶意事件子图。也可以是在确定恶意事件时,直接先查看该恶意事件相邻的边是否命中元路径模板中的元路径,当该边在元路径模板中存在相关的元路径,当该边在元路径模板中存在相关的元路径时,则利用该边在元路径模板中存在的相关的元路径从事件异构图中标记出恶意事件自身对应的各个行为事件,以及与恶意事件具有相关关系的其他行为事件,形成恶意事件子图。
进一步,为了提高从事件异构图中提取恶意事件子图的效率,本发明实施例可以在初始恶意事件子图的基础上,利用元路径模板对初始恶意事件子图进行扩展得到恶意事件子图。即,从事件异构图中标记出恶意事件,形成初始恶意事件子图;当该恶意事件相邻的边命中元路径模板中的元路径时,则利用命中的元路径在初始恶意事件子图中添加与恶意事件具有相关关系的其他行为事件,形成恶意事件子图。
举例说明上述过程,若指定image文件(即指定镜像文件)和指定进程为元路径模板中的一个元路径,则可以理解为,在事件异构图中标记指定image文件,根据元路径模板中对应的元路径,相应的指定进程为对应的相关事件。如果在事件异构图中标记该指定image文件为恶意事件,而对应的指定进程未被标记为恶意事件,则利用元路径模板中对应的元路径将指定image文件对应的指定进程标记为恶意事件,形成恶意事件子图。当然,将指定进程标记为恶意事件的过程相似,即,如果在事件异构图中标记该指定进程为恶意事件,而对应的指定image文件未被标记为恶意事件,则利用元路径模板中对应的元路径将指定进程对应的指定image文件标记为恶意事件,形成恶意事件子图。
基于上述技术方案,本发明实施例提供了一种恶意事件信息的获取方法,该实施例通过元路径模板,扩展从事件异构图中提取的恶意事件子图,使得提取的恶意事件子图更加准确,能够更准确的反应恶意事件的来龙去脉,提高得到的该恶意事件对应的溯源信息的准确性,也使得该溯源信息更加贴合该恶意事件的实际情况。
基于上述实施例,请参考图2,图2给出了一种提取恶意事件子图的流程图;本发明实施例同时采用辅助边添加规则以及元路径模板,来提取恶意事件子图,该提取方式能够进一步提高恶意事件子图的准确性。该方法可以包括:
S201、利用辅助边添加规则,在事件异构图中添加与辅助边添加规则相对应的行为事件的边,形成最终的事件异构图。
由于很多恶意事件并不是孤立存在的,当检测到终端中包含并非孤立存在的一个恶意事件时,该终端很可能也存在与该恶意事件相关的其他高危的行为事件。而与该恶意事件相关的其他高危的行为事件,并不一定都是明显的具有相关关系的行为事件。对于不具备相关关系的其他高危的行为事件,本发明实施例可以通过辅助边添加规则在事件异构图中添加与辅助边添加规则相对应的行为事件的边,形成最终的事件异构图,其中,与辅助边添加规则相对应的行为事件的边,可以指事件异构图中不具备相关关系的其他高危的行为事件对应的边。即,通过辅助边添加规则可以提高最终的事件异构图的全面性和准确性,进而可以提高提取恶意事件子图的全面性和准确性。例如,在形成的事件异构图中有两个实体对应的行为事件在一般情况下都存在其他联系,而在该事件异构图中并没有反映出通常存在的其他联系。此时,可以通过辅助边添加规则,以增加该条辅助边添加规则相对应的行为事件的边的形式反映出这两个实体对应的行为事件存在的其他联系。其中,增加的边可以添加辅助边标识,也可以不添加。通过添加辅助边标识可以更清楚的表示出事件异构图中那些边的根据行为数据构建得到的,那些边是后续增加的。
需要说明的是,本发明实施例并不限定辅助边添加规则的生成方式。例如,可以通过第二关联事件知识库生成辅助边添加规则,该第二关联事件知识库可以根据历史经验生成,当然该第二管理知识库可以和第一管理知识库为一个知识库,也可以是两个独立的知识库;还可以由用户设置辅助边添加规则。当然,还可以定期对该辅助边添加规则进行更新,以便保证辅助边添加规则的可靠性。
可以理解的是,本发明实施例并不限定辅助边添加规则的内容。例如,辅助边添加规则可以包含:相同的PE(Portable Executable,可移植的可执行的文件)文件签名;从相同的域名下载;有公共父进程等。本发明实施例可以将这些辅助边添加规则对应的关系作为边添加到事件异构图中,添加边的过程可以是确定辅助边添加规则对应的关系在事件异构图中对应的不同顶点,将对应的不同的顶点进行连接,完成辅助边添加。进一步,当辅助边添加规则对应的关系是双向的,则可以添加两条边,用以表示该关系的双向性。
S202、根据元路径模板以及恶意事件,在最终的事件异构图中提取恶意事件子图。
本发明实施例中根据元路径模板以及恶意事件,在最终的事件异构图中提取恶意事件子图。具体过程可以参考上述实施例中根据元路径模板以及恶意事件,从事件异构图中提取恶意事件子图的过程。两者仅提取恶意事件子图的对象不相同,提取方式可以相同,在此不再赘述。
基于上述技术方案,本发明实施例提供了一种恶意事件信息的获取方法,该实施例通过元路径模板以及辅助边添加规则,扩展从事件异构图中提取恶意事件子图,使得提取的恶意事件子图更加准确,能够更准确的反应恶意事件的来龙去脉,提高得到的该恶意事件对应的溯源信息的准确性,也使得最终的溯源信息更加贴合该恶意事件的实际情况。
基于上述任意实施例,请参考图3,图3为本发明实施例所提供的一种生成恶意事件子图对应的溯源信息的流程图;该过程可以包括:
S301、判断恶意事件子图是否为全连通图;若是,则执行步骤S302;若否,则执行步骤S303。
其中,连通(connectivity):在图中,连通可以表示存在一条路径从起始顶点到终点顶点。连通图是基于连通的概念,在一个无向图中,若从顶点i到顶点j有路径相连,则称顶点i到顶点j对应的图是连通图。在一个有向图中,连接顶点i到顶点j的路径中所有的边都必须同向。如果顶点i到顶点j中任意两点都是连通的,则称顶点i到顶点j对应的图是连通图。若该连通图为整个无向图或有向图则就称之为全连通图,若该连通图为整个无向图或整个有向图的子集则就称之为连通子图。
S302、生成恶意事件子图对应的溯源信息。
本发明实施例在恶意事件子图是全连通图时,可以直接根据整个恶意事件子图生成对应的溯源信息。该生成溯源信息的过程可以参考上述实施例中步骤S103中的相关内容,在此不再赘述。
S303、将恶意事件子图划分为对应的连通子图,并生成每个连通子图对应的溯源信息。
本发明实施例在恶意事件子图不是全连通图时,可以使用连通性将恶意事件子图划分为不同的连通子图。本发明实施例并不对划分连通子图的实现方式进行限定,只要可以实现将恶意事件子图划分为对应的连通子图即可。例如,可以使用邻接矩阵法将恶意事件子图划分为不同的连通子图;也可以使用树搜索法将恶意事件子图划分为不同的连通子图。需要说明的是,为了进一步提高划分连通子图的效率,本发明实施例中,当采用有向图进行表达事件异构图以及恶意事件子图时,计算连通性的过程中可以忽略边的指向信息,将相应的恶意事件子图视为无向图进行处理,以简化连通性的计算。。
可以理解的是,本发明实施例中的连通子图是恶意事件子图的一个子集,其也属于恶意事件子图。因此,本发明实施例中针对生成每个连通子图对应的溯源信息的过程,可以参考上述实施例中步骤S103中的相关内容,在此不再赘述。仅需要将恶意事件子图换成连通子图即可。例如,可以是任意选择连通子图中一个顶点作为起始点,将连通子图中对应的全部的行为事件作为溯源信息。也可以是选择连通子图中入度值最小的顶点作为起始点,将连通子图中对应的全部的行为事件作为溯源信息。也可以是选择连通子图中入度最小的顶点作为起始点,利用深度优先方式遍历连通子图,并将遍历过程中获取得到的行为事件作为溯源信息。其中,划分得到的每个连通子图都可执行该过程,生成各连通子图对应的溯源信息。
进一步,请参考图4,本发明实施例中将恶意事件子图划分为对应的连通子图,并生成每个连通子图对应的溯源信息可以包括:
S3031、将恶意事件子图划分为不同的初始连通子图。
将恶意事件子图划分为不同的初始连通子图的过程,可以参考步骤S303中的相关内容,在此不再赘述。
S3032、根据事件异构图,确定任意两个初始连通子图之间的最短路径。
本发明实施例可以根据构建得到的事件异构图,计算不同的初始连通子图之间的最短路径,通过最短路径来增加恶意事件子图的连通性。其中,最短路径旨在寻找图(由顶点和边组成的)中两顶点之间的最短路径。本发明实施例并不对确定任意两个初始连通子图之间的最短路径的实现方式进行限定,只要可以实现计算任意两个初始连通子图之间的最短路径即可。例如,可以使用Dijkstra算法(迪杰斯特拉算法),根据事件异构图,确定任意两个初始连通子图之间的最短路径;也可以使用Floyd算法(插点法),根据事件异构图,确定任意两个初始连通子图之间的最短路径;也可以使用Bellman-Ford算法(贝尔曼-福特算法),根据事件异构图,确定任意两个初始连通子图之间的最短路径。
S3033、判断各最短路径是否小于设定阈值;若小于,则执行步骤S3034;若不小于,则执行步骤S3035。
需要说明的是,本发明实施例并不对预定阈值的数值进行限定,用户可以根据实际应用场景设置或修改该预定阈值的大小。
S3034、利用小于设定阈值的最短路径,将小于设定阈值的最短路径对应的初始连通子图进行连接,以形成最终的连通子图。
S3035、将不小于设定阈值的最短路径对应的初始连通子图分别作为最终的连通子图。
本发明实施例中,当存在最短路径小于设定阈值时,可以将小于设定阈值的最短路径对应的两个初始连通子图使用最短路径进行连接,即,将两个初始连通子图连接成为一个新的连通子图,作为最终的连通子图。当存在最短路径不小于设定阈值时,意味着不可以将不小于设定阈值的最短路径对应的两个初始连通子图进行连接,只能将不小于设定阈值的最短路径对应的两个初始连通子图分别作为最终的连通子图,即仍旧为两个连通子图。
S3036、生成每个最终的连通子图对应的溯源信息。
本发明实施例中在任意两个初始连通子图之间的最短路径均执行完上述过程后,可以生成每个最终的连通子图对应的溯源信息。可以理解的是,本发明实施例中的最终的连通子图也是恶意事件子图的一个子集,其也属于恶意事件子图。因此,本发明实施例中针对生成每个最终的连通子图对应的溯源信息的过程,可以参考上述实施例中步骤S103中的相关内容,在此不再赘述。仅需要将恶意事件子图换成最终的连通子图即可。例如,可以是任意选择最终的连通子图中一个顶点作为起始点,将最终的连通子图中对应的全部的行为事件作为溯源信息。也可以是选择最终的连通子图中入度值最小的顶点作为起始点,将最终的连通子图中对应的全部的行为事件作为溯源信息。也可以是选择最终的连通子图中入度最小的顶点作为起始点,利用深度优先方式遍历最终的连通子图,并将遍历过程中获取得到的行为事件作为溯源信息。其中,每个最终的连通子图都可执行该过程,生成各最终的连通子图对应的溯源信息。
基于上述技术方案,本发明实施例提供了一种恶意事件信息的获取方法,该实施例将恶意事件子图划分为不同的连通子图,以及通过最短路径增加连通性,使得生成的溯源信息更加准确,也更加贴合该恶意事件的实际情况。
基于上述任意实施例,请参考图5,图5为本发明实施例所提供的一种构建事件异构图的流程图;该构建过程可以包括:
S501、将行为数据按照行为发生时间,划分到对应时间段中。
本发明实施例并不限定时间段的数量,该时间段的数量与提取的终端的行为数据对应的时间范围以及划分的每个时间段的长度相关。例如,当提取的终端的行为数据对应的时间范围为一天,每个时间段的长度均为一小时,那么得到的时间段的数量就是24个。当然,本发明实施例并不限定提取的终端的行为数据对应的时间范围的数值,以及划分的每个时间段的长度的数值,可以由用户根据实际应用场景进行设置和修改。
需要说明的是,本发明实施例中每个时间段对应的长度可以是相同的,也可以不同。当每个时间段对应的长度相同时,获取时间段的方式可以是:将提取的终端的行为数据对应的时间范围按照预设的时间段长度划分为若干个时间段,如通过预设的时间段长度对应的观测窗口,将提取的终端的行为数据划分到对应时间段中;当然,本发明实施例并不限定预设的时间段长度的数值。当每个时间段对应的长度不相同时,获取时间段的方式可以是:将提取的终端的行为数据对应的时间范围依次按照预设的各个时间段长度划分为若干个时间段。本发明实施例并不限定设置预设的各个时间段长度的方式,例如,可以将提取的终端的行为数据对应的时间范围,首先区分出空闲时间范围和繁忙时间范围,然后针对空闲时间范围可以划分为第一预设长度的若干个时间段,针对繁忙时间范围可以划分为第二预设长度的若干个时间段;其中,第一预设长度大于第二预设长度;当然,本发明实施例并不限定第一预设长度以及第二预设长度的数值。
S502、根据每个时间段对应的行为数据,构建时间段事件异构图,并将各个时间段事件异构图组成事件异构图。
本发明实施例将提取的全部的行为数据按照行为发生时间,确定每个行为数据所属的时间段,并划分到对应时间段中。也就是将提取的全部的行为数据按照设置的时间段进行分块,将每个时间段内提取到的所有的行为数据对应的行为事件放在一起,生成每个时间段对应的时间段事件异构图,得到的各个时间段事件异构图可以组成事件异构图。即,本发明实施例中得到的事件异构图包含了各个时间段对应的时间段事件异构图。当然,本发明实施例并不限定根据每个时间段对应的行为数据,构建各个时间段对应的时间段事件异构图的方式。例如,可以是遍历行为数据,将行为数据转化为两个顶点以及一条边的形式,如果当前顶点已经在顶点集中,则将边添加到边集,如果当前顶点不在顶点集中,则在顶点集中添加一个新的顶点,并将边添加到边集中。可以理解的是,本发明实施例通过将提取到的全部的行为数据划分为多个时间段对应的部分行为数据的方式,避免出现针对提取到的全部的行为数据构建事件异构图的过程,即通过将整体行为数据的划分,提高了构建各个时间段事件异构图的效率,进而提升了事件异构图的构建效率。
进一步,由于各个时间段对应的时间具有先后顺序,且多个先后发生的行为事件也可能具有因果关系。因此,各个时间段中对应的行为事件可能存在关联。本发明实施例为了提高构建的时间段事件异构图的准确性,可以按照时间段的先后顺序,依次生成各个时间段对应的时间段事件异构图,并在根据当前的时间段对应的行为数据,构建当前的时间段对应的时间段事件异构图的过程中,增加之前时间段中与当前的时间段相关的行为数据对应的内容。例如,在第一个时间段对应的行为事件中存在创建第一文件的行为数据,在第二个时间段对应的行为事件中存在创建好的第一文件中写入第一数据的行为数据,此时,在构建第二个时间段对应的时间段事件异构图时,可以将第一个时间段发生了创建第一文件的内容添加至第二个时间段。当然,本发明实施例并不限定增加之前时间段中与当前的时间段相关的行为数据对应的内容的方式,例如,可以是在当前的时间段对应的时间段事件异构图中相应行为事件的位置增加属性信息。进而避免生成的当前的时间段对应的时间段事件异构图漏掉之前时间段中的行为事件对当前的时间段对应的行为事件的影响。
进一步,为了更加清楚的表征多个先后发生的行为事件之间的因果关系,本发明实施例还可以在当前的时间段对应的时间段事件异构图中标记相关行为事件发生时对应的时间段。例如,在第一个时间段对应的行为事件中存在创建第一文件的行为数据,在第二个时间段对应的行为事件中存在创建好的第一文件中写入第一数据的行为数据,此时,在构建第二个时间段对应的时间段事件异构图时,可以将第一个时间段发生了创建第一文件的内容添加至第二个时间段对应的时间段事件异构图中,并标记创建第一文件发生在第一时间段中。
基于上述技术方案,本发明实施例提供了一种恶意事件信息的获取方法,该实施例利用构建时间段事件异构图的方式形成事件异构图,通过将提取到的全部的行为数据划分为多个时间段对应的部分行为数据的方式,避免出现针对提取到的全部的行为数据构建事件异构图的过程,即通过将整体行为数据的划分,提高了构建各个时间段事件异构图的效率。且通过在各个时间段事件异构图中增加不同时间段对应的行为数据的因果关系,提高了构建的事件异构图的准确性。进而通过本发明实施例提供的构建事件异构图的方式,能够提高构建的事件异构图的准确性和构建效率。
需要说明的是,本发明中各个实施例中的不相互矛盾的特征均可以任意组合,形成新的实施例,并不限制于上述几个实施例。本发明实施例并不对上述各个实施例的执行主体进行限定,其可以是电子设备,当然,该电子设备可以是该终端自身。
下面对本发明实施例提供的恶意事件信息的获取装置、电子设备及存储介质进行介绍,下文描述的恶意事件信息的获取装置、电子设备及存储介质与上文描述的恶意事件信息的获取方法可相互对应参照。
请参考图6,图6为本发明实施例所提供的恶意事件信息的获取装置的结构框图;该装置可以包括:
数据提取模块110,用于提取终端中的行为数据;
异构图生成模块120,用于根据行为数据构建事件异构图;其中,事件异构图中的边表示行为事件;
恶意事件子图提取模块130,用于从事件异构图中提取恶意事件子图;
溯源信息生成模块140,用于生成恶意事件子图对应的溯源信息。
基于上述实施例,溯源信息生成模块140可以包括:
第一判断单元,用于判断恶意事件子图是否为全连通图;
第一生成单元,用于若恶意事件子图是全连通图,则生成恶意事件子图对应的溯源信息。
第二生成单元,用于若恶意事件子图不是全连通图,则将恶意事件子图划分为对应的连通子图,并生成每个连通子图对应的溯源信息。
基于上述实施例,第二生成单元可以包括:
划分子单元,用于将恶意事件子图划分为不同的初始连通子图;
最短路径确定子单元,用于根据事件异构图,确定任意两个初始连通子图之间的最短路径;
判断子单元,用于判断各最短路径是否小于设定阈值;
最终的连通子图确定子单元,用于若最短路径小于设定阈值,则利用小于设定阈值的最短路径,将小于设定阈值的最短路径对应的初始连通子图进行连接形成最终的连通子图;若最短路径不小于设定阈值,则将不小于设定阈值的最短路径对应的初始连通子图分别作为最终的连通子图;
第二生成子单元,用于生成每个最终的连通子图对应的溯源信息。
基于上述任意实施例,溯源信息生成模块140可以包括:
溯源分析单元,用于选择恶意事件子图中入度值最小的顶点作为起始点,利用深度优先方式遍历恶意事件子图,并将遍历过程中对应的行为事件添加到指定位置形成恶意事件子图对应的溯源信息。
基于上述任意实施例,异构图生成模块120可以包括:
数据划分单元,用于将行为数据按照行为发生时间,划分到对应时间段中;
异构图生成单元,用于根据每个时间段对应的行为数据,构建时间段事件异构图,并将各个时间段事件异构图组成事件异构图。
基于上述任意实施例,数据提取模块110可以包括:
数据提取单元,用于从第三方日志以及API日志中提取终端中的行为数据。
基于上述任意实施例,恶意事件子图提取模块130可以包括:
恶意事件子图提取单元,用于根据元路径模板以及恶意事件,在事件异构图中提取恶意事件子图。
基于上述实施例,恶意事件子图提取单元可以包括:
辅助边添加子单元,用于利用辅助边添加规则,在事件异构图中添加与辅助边添加规则相对应的行为事件的边,形成最终的事件异构图;
恶意事件子图提取子单元,用于根据元路径模板以及恶意事件,在最终的事件异构图中提取恶意事件子图。
需要说明的是,基于上述任意实施例,装置可以是基于可编程逻辑器件实现的,可编程逻辑器件包括FPGA,CPLD,单片机、处理器等。这些可编程逻辑器件可以设置在电子设备中。
相应于上面的方法实施例,本发明实施例还提供了一种电子设备。可以参见图7所示,该电子设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的恶意事件信息的获取方法。
具体的,请参考图8,为本实施例提供的一种电子设备的具体结构示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储介质330通信,在电子设备301上执行存储介质330中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作***341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
上文所描述的恶意事件信息的获取方法中的步骤可以由电子设备的结构实现。该电子设备可以是终端(如,计算机,服务器等),本发明实施例对此并不进行限定。
相应于上面的方法实施例,本发明实施例还提供了一种存储介质。该存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的恶意事件信息的获取方法的步骤。
该存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的存储介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种恶意事件信息的获取方法、装置、电子设备及存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (11)
1.一种恶意事件信息的获取方法,其特征在于,包括:
提取终端中的行为数据;
根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
从所述事件异构图中提取恶意事件子图;
生成所述恶意事件子图对应的溯源信息。
2.根据权利要求1所述的恶意事件信息的获取方法,其特征在于,所述生成所述恶意事件子图对应的溯源信息,包括:
判断所述恶意事件子图是否为全连通图;
若是,则生成所述恶意事件子图对应的溯源信息。
若不是,则将所述恶意事件子图划分为对应的连通子图,并生成每个所述连通子图对应的溯源信息。
3.根据权利要求2所述的恶意事件信息的获取方法,其特征在于,所述将所述恶意事件子图划分为对应的连通子图,并生成每个所述连通子图对应的溯源信息,包括:
将所述恶意事件子图划分为不同的初始连通子图;
根据所述事件异构图,确定任意两个初始连通子图之间的最短路径;
判断各所述最短路径是否小于设定阈值;
若所述最短路径小于设定阈值,则利用小于设定阈值的最短路径,将小于设定阈值的最短路径对应的初始连通子图进行连接,以形成最终的连通子图;
若所述最短路径不小于设定阈值,则将不小于设定阈值的最短路径对应的初始连通子图分别作为最终的连通子图;
生成每个所述最终的连通子图对应的溯源信息。
4.根据权利要求1所述的恶意事件信息的获取方法,其特征在于,所述生成所述恶意事件子图对应的溯源信息,包括:
选择所述恶意事件子图中入度最小的顶点作为起始点,利用深度优先方式遍历所述恶意事件子图,并将遍历过程中获取得到的行为事件作为溯源信息。
5.根据权利要求1所述的恶意事件信息的获取方法,其特征在于,所述根据所述行为数据构建事件异构图,包括:
将所述行为数据按照行为发生时间,划分到对应时间段中;
根据每个时间段对应的行为数据,构建时间段事件异构图;
将各个时间段事件异构图组成事件异构图。
6.根据权利要求1所述的恶意事件信息的获取方法,其特征在于,所述提取终端中的行为数据,包括:
从第三方日志以及API日志中提取终端中的行为数据。
7.根据权利要求1至6任一项所述的恶意事件信息的获取方法,其特征在于,所述从所述事件异构图中提取恶意事件子图,包括:
根据元路径模板以及恶意事件,在所述事件异构图中提取恶意事件子图。
8.根据权利要求7所述的恶意事件信息的获取方法,其特征在于,所述根据元路径模板以及恶意事件,在所述事件异构图中提取恶意事件子图,包括:
利用辅助边添加规则,在所述事件异构图中添加与所述辅助边添加规则相对应的行为事件的边,形成最终的事件异构图;
根据元路径模板以及恶意事件,在所述最终的事件异构图中提取恶意事件子图。
9.一种恶意事件信息的获取装置,其特征在于,包括:
数据提取模块,用于提取终端中的行为数据;
异构图生成模块,用于根据所述行为数据构建事件异构图;其中,所述事件异构图中的边表示行为事件;
恶意事件子图提取模块,用于从所述事件异构图中提取恶意事件子图;
溯源信息生成模块,用于生成所述恶意事件子图对应的溯源信息。
10.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述的恶意事件信息的获取方法。
11.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至8任一项所述的恶意事件信息的获取方法。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911303171.0A CN112995110A (zh) | 2019-12-17 | 2019-12-17 | 一种恶意事件信息的获取方法、装置及电子设备 |
| EP20902711.9A EP4080842A4 (en) | 2019-12-17 | 2020-12-15 | METHOD AND APPARATUS FOR OBTAINING INFORMATION ON MALICIOUS EVENTS, AND ELECTRONIC DEVICE |
| PCT/CN2020/136355 WO2021121199A1 (zh) | 2019-12-17 | 2020-12-15 | 一种恶意事件信息的获取方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911303171.0A CN112995110A (zh) | 2019-12-17 | 2019-12-17 | 一种恶意事件信息的获取方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112995110A true CN112995110A (zh) | 2021-06-18 |
Family
ID=76342328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911303171.0A Pending CN112995110A (zh) | 2019-12-17 | 2019-12-17 | 一种恶意事件信息的获取方法、装置及电子设备 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP4080842A4 (zh) |
| CN (1) | CN112995110A (zh) |
| WO (1) | WO2021121199A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338188A (zh) * | 2021-12-30 | 2022-04-12 | 杭州电子科技大学 | 一种基于进程行为序列分片的恶意软件智能云检测*** |
| CN114710344A (zh) * | 2022-03-30 | 2022-07-05 | 华中科技大学 | 一种基于溯源图的入侵检测方法 |
| CN114785546A (zh) * | 2022-03-15 | 2022-07-22 | 上海聚水潭网络科技有限公司 | 一种基于业务日志和ip情报的ip溯源方法及*** |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115604032B (zh) * | 2022-12-01 | 2023-04-28 | 南京南瑞信息通信科技有限公司 | 一种电力***复杂多步攻击检测方法及*** |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473507A (zh) * | 2013-09-25 | 2013-12-25 | 西安交通大学 | 一种基于方法调用图的Android恶意软件检测方法 |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测***及方法 |
| US20160330226A1 (en) * | 2015-04-16 | 2016-11-10 | Nec Laboratories America, Inc. | Graph-based Instrusion Detection Using Process Traces |
| US20170111245A1 (en) * | 2015-10-14 | 2017-04-20 | International Business Machines Corporation | Process traces clustering: a heterogeneous information network approach |
| CN108563963A (zh) * | 2018-04-16 | 2018-09-21 | 深信服科技股份有限公司 | 网页篡改检测方法、装置、设备及计算机可读存储介质 |
| CN108763333A (zh) * | 2018-05-11 | 2018-11-06 | 北京航空航天大学 | 一种基于社会媒体的事件图谱构建方法 |
| CN109391583A (zh) * | 2017-08-03 | 2019-02-26 | 武汉安天信息技术有限责任公司 | 一种基于恶意应用的攻击者溯源方法和*** |
| CN109615167A (zh) * | 2018-11-06 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 确定疑似批量风险交易事件的方法、装置和电子设备 |
| CN109615116A (zh) * | 2018-11-20 | 2019-04-12 | 中国科学院计算技术研究所 | 一种电信诈骗事件检测方法和检测*** |
| US20190147081A1 (en) * | 2017-11-13 | 2019-05-16 | Lendingclub Corporation | Communication graph tracking of multi-system operations in heterogeneous database systems |
| CN110189167A (zh) * | 2019-05-20 | 2019-08-30 | 华南理工大学 | 一种基于异构图嵌入的移动广告欺诈检测方法 |
| CN110232630A (zh) * | 2019-05-29 | 2019-09-13 | 腾讯科技(深圳)有限公司 | 恶意账户识别方法、装置及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10289841B2 (en) * | 2015-04-16 | 2019-05-14 | Nec Corporation | Graph-based attack chain discovery in enterprise security systems |
| CN104899514B (zh) * | 2015-06-17 | 2018-07-31 | 上海斐讯数据通信技术有限公司 | 基于导向性符号的移动终端恶意行为的检测方法及*** |
| US9967267B2 (en) * | 2016-04-15 | 2018-05-08 | Sophos Limited | Forensic analysis of computing activity |
| CN106384050B (zh) * | 2016-09-13 | 2019-01-15 | 哈尔滨工程大学 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
| US20190286757A1 (en) * | 2018-03-15 | 2019-09-19 | Ca, Inc. | Reducing search space for graph similarity calculations |
| US11218448B2 (en) * | 2018-06-05 | 2022-01-04 | Imperva, Inc. | Aggregating alerts of malicious events for computer security |
| CN110489568B (zh) * | 2019-08-26 | 2021-07-23 | 北京三快在线科技有限公司 | 生成事件图的方法、装置、存储介质和电子设备 |
-
2019
- 2019-12-17 CN CN201911303171.0A patent/CN112995110A/zh active Pending
-
2020
- 2020-12-15 EP EP20902711.9A patent/EP4080842A4/en not_active Withdrawn
- 2020-12-15 WO PCT/CN2020/136355 patent/WO2021121199A1/zh unknown
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103473507A (zh) * | 2013-09-25 | 2013-12-25 | 西安交通大学 | 一种基于方法调用图的Android恶意软件检测方法 |
| US20160330226A1 (en) * | 2015-04-16 | 2016-11-10 | Nec Laboratories America, Inc. | Graph-based Instrusion Detection Using Process Traces |
| US20170111245A1 (en) * | 2015-10-14 | 2017-04-20 | International Business Machines Corporation | Process traces clustering: a heterogeneous information network approach |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测***及方法 |
| CN109391583A (zh) * | 2017-08-03 | 2019-02-26 | 武汉安天信息技术有限责任公司 | 一种基于恶意应用的攻击者溯源方法和*** |
| US20190147081A1 (en) * | 2017-11-13 | 2019-05-16 | Lendingclub Corporation | Communication graph tracking of multi-system operations in heterogeneous database systems |
| CN108563963A (zh) * | 2018-04-16 | 2018-09-21 | 深信服科技股份有限公司 | 网页篡改检测方法、装置、设备及计算机可读存储介质 |
| CN108763333A (zh) * | 2018-05-11 | 2018-11-06 | 北京航空航天大学 | 一种基于社会媒体的事件图谱构建方法 |
| CN109615167A (zh) * | 2018-11-06 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 确定疑似批量风险交易事件的方法、装置和电子设备 |
| CN109615116A (zh) * | 2018-11-20 | 2019-04-12 | 中国科学院计算技术研究所 | 一种电信诈骗事件检测方法和检测*** |
| CN110189167A (zh) * | 2019-05-20 | 2019-08-30 | 华南理工大学 | 一种基于异构图嵌入的移动广告欺诈检测方法 |
| CN110232630A (zh) * | 2019-05-29 | 2019-09-13 | 腾讯科技(深圳)有限公司 | 恶意账户识别方法、装置及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| ANAGI GAMACHCHI: "Insider Threat Detection Through Attributed Graph Clustering", 《2017 IEEE TRUSTCOM/BIGDATASE/ICESS》 * |
| HOUSSEM EDDINEBORDJIBA: "Data-driven approach for automatic telephony threat analysis and campaign", 《DIGITAL INVESTIGATION》 * |
| 孔德强: "基于异构图的实体关联性挖掘", 《中国优秀博硕士学位论文全文数据库(硕士)-信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338188A (zh) * | 2021-12-30 | 2022-04-12 | 杭州电子科技大学 | 一种基于进程行为序列分片的恶意软件智能云检测*** |
| CN114338188B (zh) * | 2021-12-30 | 2024-01-30 | 杭州电子科技大学 | 一种基于进程行为序列分片的恶意软件智能云检测*** |
| CN114785546A (zh) * | 2022-03-15 | 2022-07-22 | 上海聚水潭网络科技有限公司 | 一种基于业务日志和ip情报的ip溯源方法及*** |
| CN114785546B (zh) * | 2022-03-15 | 2024-04-26 | 上海聚水潭网络科技有限公司 | 一种基于业务日志和ip情报的ip溯源方法及*** |
| CN114710344A (zh) * | 2022-03-30 | 2022-07-05 | 华中科技大学 | 一种基于溯源图的入侵检测方法 |
| CN114710344B (zh) * | 2022-03-30 | 2022-12-02 | 华中科技大学 | 一种基于溯源图的入侵检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4080842A1 (en) | 2022-10-26 |
| EP4080842A4 (en) | 2023-12-06 |
| WO2021121199A1 (zh) | 2021-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112988501B (zh) | 一种告警信息生成方法、装置、电子设备及存储介质 | |
| CN112995110A (zh) | 一种恶意事件信息的获取方法、装置及电子设备 | |
| WO2021228149A1 (zh) | 一种隐私数据保护方法、***及装置 | |
| CN106375331B (zh) | 一种攻击组织的挖掘方法及装置 | |
| US11556636B2 (en) | Malicious enterprise behavior detection tool | |
| WO2013059131A1 (en) | System and method for whitelisting applications in a mobile network environment | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| KR20210074891A (ko) | 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치 | |
| US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| Zareen et al. | Digital forensics: Latest challenges and response | |
| CN113872965B (zh) | 一种基于Snort引擎的SQL注入检测方法 | |
| CN115277127A (zh) | 基于***溯源图搜索匹配攻击模式的攻击检测方法及装置 | |
| Canbay et al. | A Turkish language based data leakage prevention system | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| CN110311890B (zh) | 可视化攻防图生成方法、装置、计算机设备及存储介质 | |
| CN112052470A (zh) | 一种服务器文件保护方法及保护*** | |
| CN114866532B (zh) | 端点文件安全检查结果信息上传方法、装置、设备及介质 | |
| Bente et al. | TCADS: Trustworthy, context-related anomaly detection for smartphones | |
| CN113824748B (zh) | 一种资产特征主动探测对抗方法、装置、电子设备及介质 | |
| CN115935356A (zh) | 一种软件安全性测试方法、***及应用 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| CN114154155B (zh) | 目标程序生成方法、勒索程序检测方法、装置、设备 | |
| Olszewski et al. | HallMonitor: A Framework for Identifying Network Policy Violations in Software |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210618 |