[发明专利]攻击事件的追溯方法及装置、存储介质、计算机设备

权利要求书

1.一种攻击事件的追溯方法，其特征在于，包括：

利用云端对攻击事件进行监测；

根据监测到的攻击事件对应的被攻击端设备，得到所述攻击事件的行为链信息，其中，所述行为链信息为同一设备ID下，基于同一攻击事件的发生时间，同一执行主体的进程内容信息以及与所述攻击事件的发生时间对应的文件创建信息；

根据所述攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备。

2.根据权利要求1所述的方法，其特征在于，所述利用云端对攻击事件进行监测，具体包括：

获取来自不同客户端设备的行为日志；

对获取到的行为日志进行解析，确定包含攻击事件的行为日志；

根据所确定的包含攻击事件的行为日志，确定所述攻击事件对应的被攻击端设备。

3.根据权利要求2所述的方法，其特征在于，所述根据所确定的包含攻击事件的行为日志，确定所述攻击事件对应的被攻击端设备，具体包括：

根据所确定的包含攻击事件的行为日志，确定对应所述攻击事件的设备ID；

根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。

4.根据权利要求1所述的方法，其特征在于，所述根据监测到的攻击事件对应的被攻击端设备，得到所述攻击事件的行为链信息之后，具体还包括：

对得到的所述攻击事件的行为链信息进行合法性校验；

若所述攻击事件的行为链信息属于合法的行为链信息，则拒绝对所述攻击事件追溯发起攻击端设备，并生成提示信息；

若所述攻击事件的行为链信息属于非法的行为链信息，则继续对所述攻击事件追溯发起攻击端设备。

5.根据权利要求1所述的方法，其特征在于，所述根据所述攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备，具体包括：

根据所述攻击事件的行为链信息，确定所述被攻击端设备创建所述攻击事件的创建信息；

根据所述创建信息确定发起攻击事件的发起攻击端设备。

6.根据权利要求5所述的方法，其特征在于，所述根据所述攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备之后，具体还包括：

根据所述发起攻击端设备标识，获取所述发起攻击端设备中相应攻击事件的行为日志；

根据所述相应攻击事件的行为日志，确定发起攻击的恶意程序。

7.一种攻击事件的追溯装置，其特征在于，包括：

监测模块，用于利用云端对攻击事件进行监测；

行为链模块，用于根据监测到的攻击事件对应的被攻击端设备，得到所述攻击事件的行为链信息，其中，所述行为链信息为同一设备ID下，基于同一攻击事件的发生时间，同一执行主体的进程内容信息以及与所述攻击事件的发生时间对应的文件创建信息；

追溯模块，用于根据所述攻击事件的行为链信息，确定发起攻击事件的发起攻击端设备。

8.根据权利要求7所述的装置，其特征在于，所述监测模块，具体包括：

第一获取单元，用于获取来自不同客户端设备的行为日志；

解析单元，用于对获取到的行为日志进行解析，确定包含攻击事件的行为日志；

第一确定单元，用于根据所确定的包含攻击事件的行为日志，确定所述攻击事件对应的被攻击端设备。

9.根据权利要求8所述的装置，其特征在于，所述第一确定单元，具体还包括：

根据所确定的包含攻击事件的行为日志，确定对应所述攻击事件的设备ID；

根据所确定的设备ID确定所述攻击事件对应的被攻击端设备。