2. 专利查询
  3. 网络安全的溯源分析方法、装置、电子设备及可读介质与流程

网络安全的溯源分析方法、装置、电子设备及可读介质与流程

专利查询6天前  6

本申请涉及网络安全,尤其涉及一种网络安全的溯源分析方法、装置、电子设备及可读介质。


背景技术:

1、随着网络技术的发展,接入互联网越来越便捷,同时网络攻击案件也正逐年增加,网络安全也变得越来越严峻。网络攻击形式越发呈现多种多样,对网络安全构成严重威胁,需要对系统的主机、防火墙、交换机或web服务器等软硬件设备进行保护,十分有必要对事件进行溯源,只有完成溯源工作,才能制定后续的处置措施。

2、目前的主机溯源取证方法通常是基于日志分析进行的,在面对大规模、复杂的网络攻击时,难以获取攻击事件的全局视图,无法全面地对攻击事件进行综合分析,也就无法做出准确决策。

3、针对上述的问题,目前尚未提出有效的解决方案。


技术实现思路

1、本申请提供了一种网络安全的溯源分析方法、装置、电子设备及可读介质,以解决上述“无法全面地对攻击事件进行综合分析”的技术问题。

2、根据本申请实施例的一个方面,本申请提供了一种网络安全的溯源分析方法,包括:监控系统中的各个进程,并在检测到异常进程时,生成与异常进程对应的告警信息;根据告警信息构建目标图模型,并将目标图模型添加到图数据库中,其中,图数据库包括与每次检测到的异常进程对应的各个图模型;利用图数据库对异常进程进行溯源分析,得到分析结果。

3、可选地,监控系统中的各个进程,包括:每隔预设时长获取系统当前的进程快照;计算进程快照中各个进程的哈希值;通过布隆过滤器确定与各个哈希值对应的进程是否为变化进程;获取变化进程的进程信息;通过进程信息对变化进程进行行为分析,以确定变化进程是否为异常进程。

4、可选地,通过进程信息对变化进程进行行为分析,以确定变化进程是否为异常进程,包括:从进程信息中提取变化进程的行为特征;调用预设识别模型,其中,预设识别模型为预先经过训练的用于区分正常进程与异常进程的模型;将行为特征输入至预设识别模型进行识别,以输出对变化进程的识别结果;根据识别结果确定变化进程是否为异常进程。

5、可选地,根据告警信息构建目标图模型,包括:对告警信息进行解析,得到异常进程的进程信息;根据进程信息进行节点创建,其中,每个节点上包括节点的节点信息;在各个节点之间进行关系创建并连接节点,得到目标图模型。

6、可选地,在得到目标图模型之后,所述方法还包括:在进程交互过程中产生会话操作的情况下,为会话操作创建操作节点;将操作节点与执行会话操作的进程对应的节点建立关联关系,其中,关联关系记录了会话操作的时间戳。

7、可选地,利用图数据库对异常进程进行溯源分析,包括:在图数据库中查询与异常进程存在关联的各个关联节点,其中,关联节点包括与异常进程所在的目标主机对应的目标主机节点以及目标ip节点,目标ip节点对应攻击者的ip地址;利用图数据库进行进程链分析,确定异常进程的层级关系;利用图数据库进行横向移动检测,确定是否存在除目标主机节点外的主机节点与目标ip节点存在关联关系。

8、可选地,在得到分析结果之后,所述方法还包括:生成上下文信息,其中,上下文信息包括告警信息、与分析结果对应的文本描述以及异常进程在交互过程中产生的会话序列;将上下文信息插入提示模板,得到提示信息;通过预设语言模型生成与提示信息对应的可视化报告,其中,可视化报告包括异常进程对应的攻击链路图以及对异常进程的应对建议。

9、根据本申请实施例的另一方面,本申请提供了一种网络安全的溯源分析装置,包括:监控模块,用于监控系统中的各个进程,并在检测到异常进程时,生成与异常进程对应的告警信息;构建模块,用于根据告警信息构建目标图模型,并将目标图模型添加到图数据库中,其中,图数据库包括与每次检测到的异常进程对应的各个图模型;分析模块,用于利用图数据库对异常进程进行溯源分析,得到分析结果。

10、根据本申请实施例的另一方面,本申请提供了一种电子设备,包括存储器、处理器、通信接口及通信总线,存储器中存储有可在处理器上运行的计算机程序,存储器、处理器通过通信总线和通信接口进行通信,处理器执行计算机程序时实现上述方法的步骤。

11、根据本申请实施例的另一方面,本申请还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述的方法。

12、本申请实施例提供的上述技术方案与相关技术相比具有如下优点:

13、本申请通过一种网络安全的溯源分析方法,包括:监控系统中的各个进程,并在检测到异常进程时,生成与异常进程对应的告警信息;根据告警信息构建目标图模型,并将目标图模型添加到图数据库中,其中,图数据库包括与每次检测到的异常进程对应的各个图模型;利用图数据库对异常进程进行溯源分析,得到分析结果。通过构建与异常进程的告警信息对应的图模型,并将图模型加入到图数据库中来结合其他进程信息对异常进程进行全局分析,解决了无法全面地对攻击事件进行综合分析和准确决策的问题。



技术特征:

1.一种网络安全的溯源分析方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,所述监控系统中的各个进程,包括:

3.根据权利要求2所述的方法,其特征在于,所述通过所述进程信息对所述变化进程进行行为分析,以确定所述变化进程是否为所述异常进程,包括:

4.根据权利要求1所述的方法,其特征在于,所述根据所述告警信息构建目标图模型,包括:

5.根据权利要求4所述的方法,其特征在于,在得到所述目标图模型之后,所述方法还包括:

6.根据权利要求1所述的方法,其特征在于,所述利用所述图数据库对所述异常进程进行溯源分析,包括:

7.根据权利要求1所述的方法,其特征在于,在得到所述分析结果之后,所述方法还包括:

8.一种网络安全的溯源分析装置,其特征在于,包括:

9.一种电子设备,包括存储器、处理器、通信接口及通信总线,所述存储器中存储有可在所述处理器上运行的计算机程序,所述存储器、所述处理器通过所述通信总线和所述通信接口进行通信,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至7任一项所述方法的步骤。

10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至7任一所述方法。


技术总结
本申请涉及一种网络安全的溯源分析方法、装置、电子设备及可读介质,其中,方法包括:监控系统中的各个进程,并在检测到异常进程时,生成与异常进程对应的告警信息;根据告警信息构建目标图模型,并将目标图模型添加到图数据库中,其中,图数据库包括与每次检测到的异常进程对应的各个图模型;利用图数据库对异常进程进行溯源分析,得到分析结果。通过构建与异常进程的告警信息对应的图模型,并将图模型加入到图数据库中来结合其他进程信息对异常进程进行全局分析,解决了无法全面地对攻击事件进行综合分析和准确决策的问题。

技术研发人员:翁迟迟
受保护的技术使用者:北京奇艺世纪科技有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)