(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113992454A(43)申请公布日2022.01.28(21)申请号202111636686.X(22)申请日2021.12.30(71)申请人北京微步在线科技有限公司地址100082北京市海淀区苏州街49-3号3层301室(72)发明人高志远陈杰黄雅芳童兆丰薛锋(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人李飞(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书12页附图3页(54)发明名称一种攻击溯源方法及装置(57)摘要本申请实施例提供一种攻击溯源方法及装置，涉及网络安全技术领域，该攻击溯源方法包括先获取目标终端的进程数据、网络数据和文件数据；然后将网络数据与进程数据进行关联处理得到第一关联数据；并将文件数据与进程数据进行关联处理，得到第二关联数据；再根据第一关联数据和第二关联数据生成目标终端的关联进程链数据，并将关联进程链数据存储至进程链数据库中；当接收到针对目标终端的网络攻击告警信息时，根据进程链数据库和网络攻击告警信息进行攻击溯源，得到攻击溯源信息，能够简单快速对网络攻击进行溯源，成本低，节省网络资源，适用性好，有利于提升追踪溯源效率。CN113992454ACN113992454A权利要求书1/2页1.一种攻击溯源方法，其特征在于，包括：获取目标终端的进程数据、网络数据和文件数据；将所述网络数据与所述进程数据进行关联处理得到第一关联数据；并将所述文件数据与所述进程数据进行关联处理，得到第二关联数据；根据所述第一关联数据和所述第二关联数据生成目标终端的关联进程链数据，并将所述关联进程链数据存储至进程链数据库中；当接收到针对所述目标终端的网络攻击告警信息时，根据所述进程链数据库和所述网络攻击告警信息进行攻击溯源，得到攻击溯源信息。2.根据权利要求1所述的攻击溯源方法，其特征在于，将所述网络数据与所述进程数据进行关联处理得到第一关联数据，包括：获取所述进程数据中的目标进程标识、目标网络地址、进程动作时间以及进程动作数据；判断所述网络数据与所述目标进程标识是否相匹配；如果所述网络数据与所述目标进程标识相匹配，则根据所述目标进程标识，将所述网络数据与所述进程数据进行基于进程标识的关联处理，得到第一关联数据；如果所述网络数据与所述目标进程标识不匹配，则判断所述网络数据与所述目标网络地址是否相匹配；如果所述网络数据与所述目标网络地址相匹配，则根据所述目标网络地址，将所述网络数据与所述进程数据进行基于网络地址的关联处理，得到第一关联数据。3.根据权利要求2所述的攻击溯源方法，其特征在于，所述方法还包括：当判断出所述网络数据与所述目标网络地址不匹配时，则判断所述网络数据与所述进程动作时间是否相匹配；如果是，则获取所述网络数据中的网络日志数据，并在所述网络日志数据与所述进程动作数据相匹配时，将所述网络数据与所述进程数据进行基于时间的关联处理，得到第一关联数据。4.根据权利要求2所述的攻击溯源方法，其特征在于，将所述文件数据与所述进程数据进行关联处理，得到第二关联数据，包括：获取所述进程数据中的目标文件路径；判断所述文件数据与所述目标进程标识是否相匹配；如果所述文件数据与所述目标进程标识相匹配，则根据所述目标进程标识，将所述文件数据与所述进程数据进行基于进程标识的关联处理，得到第二关联数据；如果所述文件数据与所述目标进程标识不匹配，则判断所述文件数据与所述目标文件路径是否相匹配；如果所述文件数据与所述目标文件路径相匹配，则根据所述目标文件路径，将所述文件数据与所述进程数据进行基于文件路径的关联处理，得到第二关联数据。5.根据权利要求4所述的攻击溯源方法，其特征在于，所述方法还包括：当判断出所述文件数据与所述目标文件路径不匹配时，则判断所述文件数据与所述进程动作时间是否相匹配；如果是，则获取所述文件数据中的文件日志数据，并在所述文件日志数据与所述进程2CN113992454A权利要求书2/2页动作数据相匹配时，将所述文件数据与所述进程数据进行基于时间的关联处理，得到第二关联数据。6.根据权利要求1所述的攻击溯源方法，其特征在于，在将所述关联进程链数据存储至进程链数据库中之后，所述方法还包括：当检测出所述目标终端出现异常时，获取出现异常的基本信息；根据所述进程链数据库确定与所述基本信息相匹配的异常关联进程链数据；对所述异常关联进程链数据进行异常分析，确定出所述目标终端出现异常的完整过程数据；输出包括所述完整过程数据的异常提示信息。7.根据权利要求1所述的攻击溯源方法，其特征在于，根据所述进程链数据库和所述网络攻击告警信息进行攻击溯源，得到攻击溯源信息，包括：根据所述网络攻击告警信息获取网络攻击信息；根据