CN113672939A - 一种终端行为告警溯源分析的方法、装置、设备及介质 - Google Patents
一种终端行为告警溯源分析的方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN113672939A CN113672939A CN202110966818.9A CN202110966818A CN113672939A CN 113672939 A CN113672939 A CN 113672939A CN 202110966818 A CN202110966818 A CN 202110966818A CN 113672939 A CN113672939 A CN 113672939A
- Authority
- CN
- China
- Prior art keywords
- alarm
- tracing
- behavior
- chain
- analyzing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 126
- 230000008569 process Effects 0.000 claims abstract description 57
- 238000004458 analytical method Methods 0.000 claims abstract description 20
- 238000012544 monitoring process Methods 0.000 claims abstract description 16
- 238000011156 evaluation Methods 0.000 claims abstract description 10
- 230000006399 behavior Effects 0.000 claims description 130
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 claims description 4
- 238000000547 structure data Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 9
- 238000011160 research Methods 0.000 abstract description 5
- 210000001367 artery Anatomy 0.000 abstract description 3
- 238000012098 association analyses Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种终端行为告警溯源分析的方法、装置、设备及介质,包括:监控终端行为数据,对终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;将预先定义的行为特征作为预置告警规则与行为日志进行匹配碰撞,获得碰撞记录结果;根据碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将溯源链自动提交至数据平台;通过数据平台对溯源链进行风险等级评定。这样对溯源链的数据进行分析处理,评定其风险等级,为告警行为提供了有力的数据支撑和判断依据,能够提高风险告警的事件关联性和准确性,获取风险告警事件来龙去脉的行为日志记录,减少手动检索分析、人工研判和手动溯源的繁琐过程,提高检测率,降低误报率。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种终端行为告警溯源分析的方法、装置、设备及介质。
背景技术
在终端安全产品的实际应用场景中会产生大量的各种高中低等风险告警,当安全工作员需要对这些单一告警做决策判断处置时存在没有百分百把握风险告警是正常的行为还是真实的攻击渗透行为,需要联合其它产品或人工终端深入调查研究,或遇到的大量告警为误报,过量安全告警或误报对安全事件处置带来风险告警审核疲劳。
目前,现在技术都是通过恶意文件规则特征或情报失陷检测(Indicator OfCompromise,IOC)进行即时溯源,溯源数据作为单一告警上报,告警分险等级与溯源原点告警分险等级相同或一致,且不能事后重新溯源或对某一告警或风险点进行二次完整溯源。
发明内容
有鉴于此,本发明的目的在于提供一种终端行为告警溯源分析的方法、装置、设备及介质,可以实现终端规则碰撞分析并自动溯源,提高检测率和降低误报率。其具体方案如下:
一种终端行为告警溯源分析的方法,包括:
监控终端行为数据,对所述终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;
将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞,获得碰撞记录结果;
根据所述碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将所述溯源链自动提交至数据平台;
通过所述数据平台对所述溯源链进行风险等级评定。
优选地,在本发明实施例提供的上述终端行为告警溯源分析的方法中,还包括:
将告警行为以完整事件形式展示给用户;所述完整事件形式为将多个相关告警点关联归并为一个事件。
优选地,在本发明实施例提供的上述终端行为告警溯源分析的方法中,所述根据所述碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,包括:
从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象;
将整个追踪进程链及节点操作对象拼接形成的父子关系的树形结构数据作为溯源链。
优选地,在本发明实施例提供的上述终端行为告警溯源分析的方法中,所述从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象,包括:
获取所述碰撞记录结果的告警点对应的当前节点操作对象的父进程ID和子进程ID;
通过所述父进程ID从所述本地数据库中向上追踪所述父进程ID的日志信息,直至追踪到所述父进程ID无进程节点为止;
通过所述子进程ID从所述本地数据库中向下追踪所述子进程ID的日志信息,直至追踪到所述子进程ID无进程节点为止。
优选地,在本发明实施例提供的上述终端行为告警溯源分析的方法中,在所述形成溯源链的同时,还包括:
利用终端溯源接口接收平台溯源指令,获得相应的所述溯源链。
优选地,在本发明实施例提供的上述终端行为告警溯源分析的方法中,所述通过所述数据平台对所述溯源链进行风险等级评定,包括:
通过所述数据平台对所述溯源链进行解析,将所述溯源链各节点与已知告警列表进行对比和参考,以对所述溯源链各节点进行风险权重评定,***所述溯源链的风险等级。
优选地,在本发明实施例提供的上述终端行为告警溯源分析的方法中,所述将告警行为以完整事件形式展示给用户,包括:
通过图示和数据将告警行为对应的所述溯源链各节点信息和风险等级以完整事件形式进行展示。
本发明实施例还提供了一种终端行为告警溯源分析的装置,包括:
数据监控模块,用于监控终端行为数据;
日志解析模块,用于对所述终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;
碰撞记录模块,用于将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞,获得碰撞记录结果;
自动溯源模块,用于根据所述碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将所述溯源链自动提交至数据平台;
所述数据平台,用于对所述溯源链进行风险等级评定。
本发明实施例还提供了一种终端行为告警溯源分析的设备,包括处理器和存储器,其中,所述处理器执行所述存储器中存储的计算机程序时实现如本发明实施例提供的上述终端行为告警溯源分析的方法。
本发明实施例还提供了一种计算机可读存储介质,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如本发明实施例提供的上述终端行为告警溯源分析的方法。
从上述技术方案可以看出,本发明所提供的一种终端行为告警溯源分析的方法,包括:监控终端行为数据,对终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;将预先定义的行为特征作为预置告警规则与行为日志进行匹配碰撞,获得碰撞记录结果;根据碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将溯源链自动提交至数据平台;通过数据平台对溯源链进行风险等级评定。
本发明通过上述终端行为告警溯源分析的方法可以实现终端规则碰撞分析并自动溯源日志关联分析形成溯源链,之后自动提交至数据平台,以对溯源链的数据进行分析处理,评定其风险等级,这样为告警行为提供了有力的数据支撑和判断依据,能够提高风险告警的事件关联性和准确性,获取风险告警事件来龙去脉的行为日志记录,减少手动检索分析、人工研判和手动溯源的繁琐过程,提高检测率,降低误报率。
此外,本发明还针对终端行为告警溯源分析的方法提供了相应的装置、设备及计算机可读存储介质,进一步使得上述方法更具有实用性,该装置、设备及计算机可读存储介质具有相应的优点。
附图说明
为了更清楚地说明本发明实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的终端行为告警溯源分析的方法的流程图;
图2为本发明实施例提供的终端行为告警溯源分析的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一种终端行为告警溯源分析的方法,如图1所示,包括以下步骤:
S101、监控终端行为数据,对终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;
需要说明的是,上述本地数据库具有全量日志存储功能,本发明可以通过终端动态将行为日志进行全量本地数据存储。行为日志是通过对进程挂钩子(hook)来监控操作***的文件操作、注册表操作、进程操作、网络连接等行为日志,或通过类似sysmon工具监控获得的事件日志。行为日志可以包括文件操作、注册表操作、进程创建、网络连接、驱动加载、进程访问和WMI(Windows Management Instrumentation)事件等。较佳地,可以将行为日志通过高性能IO数据库(如leveldb、rocksdb、berkeleydb等)存储,以便后期根据条件检索相关数据。
S102、将预先定义的行为特征作为预置告警规则与行为日志进行匹配碰撞,获得碰撞记录结果;
具体地,预先定义的行为特征可以是预先编写的告警异常行为特征。预置告警规则是对异常行为分析的总结,编写有告警风险的特征正则表达式,用于与行为日志匹配碰撞,以获得碰撞记录结果(即碰撞到的行为日志)。在执行匹配碰撞的过程中,还可以先判断碰撞是否满足风险等级主动或任意被动节点(包括进程、文件、注册表、网络等)条件,当满足条件时,进行下一步流程。
S103、根据碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将溯源链自动提交至数据平台;
需要指出的是,碰撞记录结果包括多个告警点,根据告警点和风险等级可以决定进行自动溯源日志关联分析形成溯源链。溯源是通过某一事件的节点向上寻找父进程及父进程的父进程直至顶级节点为止的行为日志,向下寻找子进程及子进程的子进程直至末级节点的行为日志。溯源链是通过将上述溯源的数据通过节点关系串联起来的一种具有父子关系的行为日志链。数据平台可以为大数据分析平台。
S104、通过数据平台对溯源链进行风险等级评定。
可以理解的是,数据平台具有溯源链节点二次检索分析功能,可对每个节点与情报分析及告警量综合分析评定事件的风险等级,使告警事件评级更加准确。在实际应用中,若告警有上下文溯源链中存在其它高风险确认告警和其它相关告警,则该告警为确定可疑或危险行为,并提供该告警的溯源链及来龙去脉的行为参数和附加信息,为告警行为提供有力的数据支撑和判断依据,尽而找出事件源头,如恶意文件、程序漏洞、无文件攻击和入侵方法等,为网络安全工作人员对数据分析提供直观、简便、准确和高效的判断依据。
在本发明实施例提供的上述终端行为告警溯源分析的方法中,可以实现终端规则碰撞分析并自动溯源日志关联分析形成溯源链,之后自动提交至数据平台,以对溯源链的数据进行分析处理,评定其风险等级,这样为告警行为提供了有力的数据支撑和判断依据,能够提高风险告警的事件关联性和准确性,获取风险告警事件来龙去脉的行为日志记录,减少手动检索分析、人工研判和手动溯源的繁琐过程,提高检测率,降低误报率。
进一步地,在具体实施时,在本发明实施例提供的上述终端行为告警溯源分析的方法中,还可以包括:将告警行为以完整事件形式展示给用户;完整事件形式为将多个相关告警点关联归并为一个事件。具体地,可以通过图示和数据将告警行为对应的溯源链各节点信息和风险等级以完整事件形式进行展示。这样将告警以完整事件形式而非传统的告警元素形式展示给用户,使终端告警行为分析和判断更加直观、简便、准确和高效,用户可进行数据深入分析和处置操作。而传统告警元素是单个告警列表形式或是相同告警进行归并,告警之间并无内在关联。
在具体实施时,在本发明实施例提供的上述终端行为告警溯源分析的方法中,步骤S103根据碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,包括:从本地数据库中追踪与碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象(如文件、进程、网络、注册表等);将整个追踪进程链及节点操作对象拼接形成的父子关系的树形结构数据作为溯源链。
在具体实施时,上述步骤中从本地数据库中追踪与碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象,具体可以包括:获取碰撞记录结果的告警点对应的当前节点操作对象的父进程ID和子进程ID;通过父进程ID从本地数据库中向上追踪父进程ID的日志信息,直至追踪到父进程ID无进程节点为止;判断子进程是否已经结束,为了获得更多更丰富行为,若未结束将等待一段时间后,再通过子进程ID从本地数据库中向下追踪子进程ID的日志信息,直至追踪到子进程ID无进程节点为止。之后,可将父子关系节点数据拼接为json格式,形成溯源链。
进一步地,在具体实施时,在本发明实施例提供的上述终端行为告警溯源分析的方法中,在形成溯源链的同时,还可以包括:利用终端溯源接口接收平台溯源指令,获得相应的溯源链。这样通过溯源接口可以随时对某一事件进行回溯查询,以获取风险告警溯源链各节点行为和上下文记录,溯源条件可以是第三方情报来源、流量告警或是人工检索,而不局限于IP;其中流量告警溯源是通过流量特征判别风险并将通过其五元组与终端联动检索与其相关进程事件的溯源链。获取的溯源链可以自动提交至数据平台,进而本发明有效支持事后人工或第三方情报数据进行节点溯源,获取和分析溯源链风险评级。
在具体实施时,在本发明实施例提供的上述终端行为告警溯源分析的方法中,步骤S104通过数据平台对溯源链进行风险等级评定,具体可以包括:通过数据平台对溯源链进行解析,将溯源链各节点与已知告警列表进行对比和参考,以对溯源链各节点进行风险权重评定,***溯源链的风险等级。这样通过数据平台对溯源链各节点二次检索分析并与已知告警列表关联,综合研判评估重新定义和评定风险等级,可以进一步降低误报率和提高检测率。另外,数据平台还可以联合多种数据源,如威胁情况、流量告警、人工检索及其它来源告警,调用溯源接口向指定终端发起自定义参数溯源请求。若溯源接口根据溯源请求参数获得相关溯源链并自动上传至数据平台。
需要说明的是,本发明通过行为规则作为风险告警源,并以主动溯源的方法并加入溯源链节点二次分析,最后对溯源链综合风险等级评分,并考虑第三方情报来源,并不受溯源的时间点限制(根据日志存储空间设置有关),如威胁情报、流量告警、人工检索及其它来源方式进行终端被动溯源,获得更多和更完善的含有其它情报节点数据的溯源链数据,进而提高终端检测率和降低误报率。
基于同一发明构思,本发明实施例还提供了一种终端行为告警溯源分析的装置,由于该装置解决问题的原理与前述一种终端行为告警溯源分析的方法相似,因此该装置的实施可以参见终端行为告警溯源分析的方法的实施,重复之处不再赘述。
在具体实施时,本发明实施例提供的终端行为告警溯源分析的装置,如图2所示,具体包括:
数据监控模块11,用于监控终端行为数据;该数据监控模块11可以为轻量级***监控工具sysmon,它通过***服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入在windows的日志事件里;sysmon可以根据配置文件xml并可设置过滤标签为全部事件收集;运行sysmon程序时提供配置参数并安装成功后即开始记录以上全部事件日志;
日志解析模块12,用于对终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;需要说明的是,事件日志在事件日志查看器中的应用程序和服务日志>Microsoft>Windows>Sysmon>Operational可浏览查看,通过日志解析模块12可以对sysmon事件日志进行解析并格式化日志,将解析后格式化日志存放至本地数据库;
碰撞记录模块13,用于将预先定义的行为特征作为预置告警规则与行为日志进行匹配碰撞,获得碰撞记录结果;需要说明的是,碰撞记录模块13可以通过格式化日志学习编写正则表达式的预置告警规则,并为规则标注风险等级;
自动溯源模块14,用于根据碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将溯源链自动提交至数据平台15;
数据平台15,用于对溯源链进行风险等级评定。
在本发明实施例提供的上述终端行为告警溯源分析的装置中,可以通过上述四个模块和数据平台的相互作用,为告警行为提供了有力的数据支撑和判断依据,能够提高风险告警的事件关联性和准确性,获取风险告警事件来龙去脉的行为日志记录,减少手动检索分析、人工研判和手动溯源的繁琐过程,提高检测率,降低误报率。
关于上述各个模块和数据平台更加具体的工作过程可以参考前述实施例公开的相应内容,在此不再进行赘述。
相应地,本发明实施例还公开了一种终端行为告警溯源分析的设备,包括处理器和存储器;其中,处理器执行存储器中存储的计算机程序时实现前述实施例公开的终端行为告警溯源分析的方法。
关于上述方法更加具体的过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步地,本发明还公开了一种计算机可读存储介质,用于存储计算机程序;计算机程序被处理器执行时实现前述公开的终端行为告警溯源分析的方法。
关于上述方法更加具体的过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备、存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
综上,本发明实施例提供的一种终端行为告警溯源分析的方法,包括:监控终端行为数据,对终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;将预先定义的行为特征作为预置告警规则与行为日志进行匹配碰撞,获得碰撞记录结果;根据碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将溯源链自动提交至数据平台;通过数据平台对溯源链进行风险等级评定。这样可以实现终端规则碰撞分析并自动溯源日志关联分析形成溯源链,之后自动提交至数据平台,以对溯源链的数据进行分析处理,评定其风险等级,为告警行为提供了有力的数据支撑和判断依据,能够提高风险告警的事件关联性和准确性,获取风险告警事件来龙去脉的行为日志记录,减少手动检索分析、人工研判和手动溯源的繁琐过程,提高检测率,降低误报率。此外,本发明还针对终端行为告警溯源分析的方法提供了相应的装置、设备及计算机可读存储介质,进一步使得上述方法更具有实用性,该装置、设备及计算机可读存储介质具有相应的优点。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的终端行为告警溯源分析的方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种终端行为告警溯源分析的方法,其特征在于,包括:
监控终端行为数据,对所述终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;
将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞,获得碰撞记录结果;
根据所述碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将所述溯源链自动提交至数据平台;
通过所述数据平台对所述溯源链进行风险等级评定。
2.根据权利要求1所述的终端行为告警溯源分析的方法,其特征在于,还包括:
将告警行为以完整事件形式展示给用户;所述完整事件形式为将多个相关告警点关联归并为一个事件。
3.根据权利要求2所述的终端行为告警溯源分析的方法,其特征在于,所述根据所述碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,包括:
从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象;
将整个追踪进程链及节点操作对象拼接形成的父子关系的树形结构数据作为溯源链。
4.根据权利要求3所述的终端行为告警溯源分析的方法,其特征在于,所述从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象,包括:
获取所述碰撞记录结果的告警点对应的当前节点操作对象的父进程ID和子进程ID;
通过所述父进程ID从所述本地数据库中向上追踪所述父进程ID的日志信息,直至追踪到所述父进程ID无进程节点为止;
通过所述子进程ID从所述本地数据库中向下追踪所述子进程ID的日志信息,直至追踪到所述子进程ID无进程节点为止。
5.根据权利要求4所述的终端行为告警溯源分析的方法,其特征在于,在所述形成溯源链的同时,还包括:
利用终端溯源接口接收平台溯源指令,获得相应的所述溯源链。
6.根据权利要求5所述的终端行为告警溯源分析的方法,其特征在于,所述通过所述数据平台对所述溯源链进行风险等级评定,包括:
通过所述数据平台对所述溯源链进行解析,将所述溯源链各节点与已知告警列表进行对比和参考,以对所述溯源链各节点进行风险权重评定,***所述溯源链的风险等级。
7.根据权利要求2所述的终端行为告警溯源分析的方法,其特征在于,所述将告警行为以完整事件形式展示给用户,包括:
通过图示和数据将告警行为对应的所述溯源链各节点信息和风险等级以完整事件形式进行展示。
8.一种终端行为告警溯源分析的装置,其特征在于,包括:
数据监控模块,用于监控终端行为数据;
日志解析模块,用于对所述终端行为数据进行实时读取和解析,得到行为日志并存储至本地数据库;
碰撞记录模块,用于将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞,获得碰撞记录结果;
自动溯源模块,用于根据所述碰撞记录结果的告警点进行自动上下文溯源,形成溯源链,并将所述溯源链自动提交至数据平台;
所述数据平台,用于对所述溯源链进行风险等级评定。
9.一种终端行为告警溯源分析的设备,其特征在于,包括处理器和存储器,其中,所述处理器执行所述存储器中存储的计算机程序时实现如权利要求1至7任一项所述的终端行为告警溯源分析的方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的终端行为告警溯源分析的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110966818.9A CN113672939A (zh) | 2021-08-23 | 2021-08-23 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110966818.9A CN113672939A (zh) | 2021-08-23 | 2021-08-23 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113672939A true CN113672939A (zh) | 2021-11-19 |
Family
ID=78544940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110966818.9A Pending CN113672939A (zh) | 2021-08-23 | 2021-08-23 | 一种终端行为告警溯源分析的方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113672939A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114168966A (zh) * | 2021-12-07 | 2022-03-11 | 哈尔滨利云科技有限公司 | 基于大数据分析的安全防护升级挖掘方法及信息安全*** |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
| CN115442279A (zh) * | 2022-09-02 | 2022-12-06 | 杭州安恒信息技术股份有限公司 | 一种告警源定位方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测***及方法 |
| US20170220664A1 (en) * | 2016-02-01 | 2017-08-03 | Dell Software Inc. | Systems and methods for logging and categorizing performance events |
| CN107769958A (zh) * | 2017-09-01 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于日志的服务器网络安全事件自动化分析方法及*** |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN111555902A (zh) * | 2020-03-25 | 2020-08-18 | 国网思极网安科技(北京)有限公司 | 一种网络传输异常的定位***和方法 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和*** |
-
2021
- 2021-08-23 CN CN202110966818.9A patent/CN113672939A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170220664A1 (en) * | 2016-02-01 | 2017-08-03 | Dell Software Inc. | Systems and methods for logging and categorizing performance events |
| CN106027529A (zh) * | 2016-05-25 | 2016-10-12 | 华中科技大学 | 一种基于溯源信息的入侵检测***及方法 |
| CN107769958A (zh) * | 2017-09-01 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于日志的服务器网络安全事件自动化分析方法及*** |
| CN110266670A (zh) * | 2019-06-06 | 2019-09-20 | 深圳前海微众银行股份有限公司 | 一种终端网络外联行为的处理方法及装置 |
| CN111555902A (zh) * | 2020-03-25 | 2020-08-18 | 国网思极网安科技(北京)有限公司 | 一种网络传输异常的定位***和方法 |
| CN111800395A (zh) * | 2020-06-18 | 2020-10-20 | 云南电网有限责任公司信息中心 | 一种威胁情报防御方法和*** |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114168966A (zh) * | 2021-12-07 | 2022-03-11 | 哈尔滨利云科技有限公司 | 基于大数据分析的安全防护升级挖掘方法及信息安全*** |
| CN114168966B (zh) * | 2021-12-07 | 2022-07-19 | 深圳市晖拓信息科技有限公司 | 基于大数据分析的安全防护升级挖掘方法及信息安全*** |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
| CN115442279A (zh) * | 2022-09-02 | 2022-12-06 | 杭州安恒信息技术股份有限公司 | 一种告警源定位方法、装置、设备及存储介质 |
| CN115442279B (zh) * | 2022-09-02 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种告警源定位方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113672939A (zh) | 一种终端行为告警溯源分析的方法、装置、设备及介质 | |
| CN112787992B (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
| CN112651006A (zh) | 一种电网安全态势感知平台架构 | |
| CN107579986B (zh) | 一种复杂网络中网络安全检测的方法 | |
| CN112905548B (zh) | 一种安全审计***及方法 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN113381980B (zh) | 信息安全防御方法及***、电子设备、存储介质 | |
| CN111090862A (zh) | 基于互联网端的资产画像方法和*** | |
| CN109684863B (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| CN112749097B (zh) | 一种模糊测试工具性能测评方法、装置 | |
| CN111786974A (zh) | 一种网络安全评估方法、装置、计算机设备和存储介质 | |
| CN111126729A (zh) | 智能化的安全事件闭环处置***及其方法 | |
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN113778806A (zh) | 一种安全告警事件的处理方法、装置、设备和存储介质 | |
| CN116846612A (zh) | 攻击链补全方法、装置、电子设备及存储介质 | |
| CN113067835B (zh) | 一种集成自适应失陷指标处理*** | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| CN115277472A (zh) | 一种多维工控***网络安全风险预警***及方法 | |
| CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN115706669A (zh) | 网络安全态势预测方法及*** | |
| CN112989403A (zh) | 一种数据库破坏的检测方法、装置、设备及存储介质 | |
| CN117834308B (zh) | 一种网络安全态势感知方法、***和介质 | |
| CN114666145B (zh) | 一种基于网络采集的安全预警方法及*** | |
| CN117609990B (zh) | 一种基于场景关联分析引擎的自适应安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |