[发明专利]一种攻击溯源方法、装置、介质和设备

权利要求书

1.一种攻击溯源方法，其特征在于，所述方法包括：

针对检测出的可疑主机行为，确定与该可疑主机行为存在关联的主机行为，其中，每个主机行为按照预先定义的主机行为模板进行表示，所述主机行为是指主机运行过程中，内部对象发生的动态行为变化，对象包括进程、文件、文件流、网络连接、注册表、端口、驱动、模块和管道；

根据确定出的与所述可疑主机行为存在关联的主机行为之间的关联，生成所述可疑主机行为上下文的溯源结果有向图，其中，所述主机行为模板为包括发生时间、所在主机、主体对象名称、主体对象标识、客体对象名称、客体对象标识、主体对象与客体对象之间的动作依赖关系和备注说明的八元组。

2.如权利要求1所述的方法，其特征在于，针对检测出的可疑主机行为，确定与该可疑主机行为存在关联的主机行为，包括：

针对检测出的可疑主机行为，按照设定的主机内主机行为关联方法，确定该可疑主机行为所在主机内，与该可疑主机行为存在关联的主机行为。

3.如权利要求2所述的方法，其特征在于，所述设定的主机内主机行为关联方法，包括：

同一主机内，一个主机行为的客体，为其关联的主机行为的主体；或者，同一主机内，一个主机行为的主体，为其关联的主机行为的客体。

4.如权利要求3所述的方法，其特征在于，针对检测出的可疑主机行为，按照设定的主机内主机行为关联方法，确定该可疑主机行为所在主机内，与该可疑主机行为存在关联的主机行为，包括：

针对检测出的可疑主机行为，按照同一主机内，一个主机行为的客体，为其关联的主机行为的主体，采用广度优先搜索算法BFS进行前向搜索，并按照同一主机内，一个主机行为的主体，为其关联的主机行为的客体，采用广度优先搜索算法进行后向搜索，确定该可疑主机行为所在主机内，与该可疑主机行为存在关联的主机行为。

5.如权利要求2所述的方法，其特征在于，针对检测出的可疑主机行为，按照设定的主机内主机行为关联方法，确定该可疑主机行为所在主机内，与该可疑主机行为存在关联的主机行为之后，所述方法还包括：

针对每个与可疑主机行为存在关联的主机行为，按照设定的主机间主机行为关联方法，确定该主机行为是否与其他主机内的主机行为存在关联；

若确定该主机行为与其他主机内的主机行为存在关联，则针对存在关联的每个其他主机内的主机行为，按照设定的主机内主机行为关联方法，确定该主机行为所在主机内，与该主机行为存在关联的主机行为；

将确定出的存在关联的每个其他主机内的主机行为，以及确定出的存在关联的每个其他主机内的主机行为所在主机内，与该主机行为存在关联的主机行为，确定为与所述可疑主机行为存在关联的主机行为。

6.如权利要求5所述的方法，其特征在于，所述设定的主机间主机行为关联方法，包括：

若一个主机行为为一个进程创建一个命名管道，确定其他主机内是否存在一个进程连接所述命名管道的主机行为；

若确定其他主机内存在一个进程连接所述命名管道的主机行为，确定该主机行为与所述一个进程创建一个命名管道的主机行为存在关联；或者，

若一个主机行为为一个进程发起网络连接，确定其他主机内是否存在一个进程接收网络连接的主机行为，且与所述一个进程发起网络连接的主机行为的客体标识相同，且发生的时间间隔小于设定时长；

若确定其他主机内存在一个进程接收网络连接的主机行为，且与所述一个进程发起网络连接的主机行为的客体标识相同，且发生的时间间隔小于设定时长，确定该主机行为与所述一个进程发起网络连接的主机行为存在关联。