[发明专利]一种攻击溯源方法、装置、介质和设备

说明书

本发明涉及一种主机行为关联的攻击溯源方法、装置、介质和设备。本发明实施例提供了一种基于主机行为进行攻击溯源的方案。包括：基于定义的主机行为模板，确定与可疑主机行为存在关联的同主机或其他主机中的主机行为，并可以根据确定出的主机行为之间的关联，生成针对可疑主机行为的溯源有向图，实现攻击溯源。由于本发明实施例提供的方案从主机行为的视角出发，溯源覆盖整个攻击的全生命周期的主机行为，根据检测到的异常主机行为，关联与之相关的其他主机行为，形成异常主机行为发生的全景行为视图，定位异常行为发生的上下文，因此可以定位攻击发生的根本原因，解决了基于流量日志的溯源，无法定位攻击发生的根本原因的问题。

技术领域

本发明涉及网络安全领域，特别涉及一种主机行为关联的攻击溯源方法、装置、介质和设备。

背景技术

目前，传统的攻击溯源方法主要聚焦于基于流量日志的溯源，即通过广泛收集网络流量数据，从攻击链的角度，还原攻击发生的全过程。

但这类方法局限于对网络行为进行分析，无法分析主机中的异常行为，无法溯源发生或传播至作为“攻击主战场”的主机中的攻击的异常行为变化，故无法定位主机中攻击发生的根本原因。

发明内容

本发明实施例提供一种攻击溯源方法、装置、介质和设备，用于解决传统攻击溯源方法无法定位主机中攻击发生的根本原因的问题。

本发明提供了一种攻击溯源方法，所述方法包括：

针对检测出的可疑主机行为，确定与该可疑主机行为存在关联的主机行为，其中，每个主机行为按照预先定义的主机行为模板进行表示；

根据确定出的与所述可疑主机行为存在关联的主机行为之间的关联，生成所述可疑主机行为上下文的溯源结果有向图。

本发明还提供了一种攻击溯源装置，所述装置包括：

关联模块，用于针对检测出的可疑主机行为，确定与该可疑主机行为存在关联的主机行为，其中，每个主机行为按照预先定义的主机行为模板进行表示；

溯源模块，用于根据确定出的与所述可疑主机行为存在关联的主机行为之间的关联，生成所述可疑主机行为上下文的溯源结果有向图。

本发明还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有可执行程序，该可执行程序被处理器执行实现如上所述的方法。

本发明还提供了一种攻击溯源设备，包括处理器、通信接口、存储器和通信总线，其中，所述处理器，所述通信接口，所述存储器通过所述通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行所述存储器上所存储的程序时，实现如上所述的方法步骤。

针对基于流量日志的溯源，无法分析主机上的可疑行为及其变化，故无法定位主机中攻击发生的根本原因的问题，本发明实施例提供了一种基于主机行为进行攻击溯源的方案。包括：基于定义的主机行为模板，确定与可疑主机行为存在关联的主机行为，并可以根据确定出的主机行为之间的关联，生成针对可疑主机行为上下文的溯源结果有向图，实现攻击溯源。由于本发明实施例提供的方案从主机行为的视角出发，溯源覆盖整个攻击的全生命周期的主机行为，根据检测到的异常主机行为，关联与之相关的其他主机行为，形成异常主机行为发生的全景行为视图，定位异常行为发生的上下文，因此可以定位攻击发生的根本原因，解决了基于流量日志的溯源，无法定位主机中攻击发生的根本原因的问题。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明