[发明专利]一种跨终端溯源分析的方法、装置、系统和存储介质

说明书

本申请实施例公开了一种跨终端溯源分析的方法、装置、系统和存储介质，将获取的溯源信息与各终端的安全数据进行匹配，以得到匹配终端和匹配的数据信息。利用设定的角色分析规则，对各匹配终端对应的数据信息进行识别，以确定出各匹配终端的角色。不同角色之间存在关联行为，可以将角色之间的关联行为以角色关联规则的形式设定，依据各匹配终端的角色以及设定的角色关联规则，确定出溯源分析结果。通过识别终端的角色并依据角色关联规则，可以实现跨终端的自动溯源，极大地提高了溯源分析的自动化程度和效率，缩短了进行安全事件响应和处置的时间。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种跨终端溯源分析的方法、装置、系统和计算机可读存储介质。

背景技术

信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等因素对信息系统造成危害，对社会造成负面影响的网络安全事件。当信息安全事件发生时，人们往往需要对它进行溯源分析，在进行溯源分析的基础上，才能有针对性地对信息系统进行安全整改和加固，避免同样或类似的信息安全事件再次发生。

而现代的信息安全事件往往发生在多个终端上，最典型的入侵场景是攻击者攻陷某一个暴露在公网的终端后，以此为桥头堡和跳板在受害者的网络内进行横向移动的攻击，在攻陷多个终端后找到最有价值的终端并窃取其上的数据或进行加密勒索。

目前已有的自动溯源分析方案局限在单个终端的范围内，当在终端上检测到某个恶意文件或恶意行为时，根据恶意文件或执行恶意行为的进程或账号进行溯源分析。若在某个终端上不能发现真正的攻击源头时，往往需要人工干预，通过人工分析线索并在其他终端上查找攻击源头。这种需要人工干预才能跨终端溯源的方式，实施成本高昂，并且依赖于人工分析使得整个溯源工作的处理效率较低。

可见，如何提升溯源工作的处理效率，是本领域技术人员需要解决的问题。

发明内容

本申请实施例的目的是提供一种跨终端溯源分析的方法、装置、系统和计算机可读存储介质，可以提升溯源工作的处理效率。

为解决上述技术问题，本申请实施例提供一种跨终端溯源分析的方法，包括：

将获取的溯源信息与各终端的安全数据进行匹配，以得到匹配终端和匹配的数据信息；

利用设定的角色分析规则，对各所述匹配终端对应的数据信息进行识别，以确定出各所述匹配终端的角色；

依据各所述匹配终端的角色以及设定的角色关联规则，确定出溯源分析结果。

可选地，所述依据各所述匹配终端的角色以及设定的角色关联规则，确定出溯源分析结果包括：

在所有匹配终端的角色不满足溯源追踪条件的情况下，根据记录的角色关联规则，对所有匹配终端的角色进行分析，以确定出待识别的溯源信息，将所述待识别的溯源信息作为获取的溯源信息，并返回所述将获取的溯源信息与各终端的安全数据进行匹配，以得到匹配终端和匹配的数据信息及其之后的步骤；

在所有匹配终端的角色满足溯源追踪条件的情况下，依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总，以得到溯源分析结果。

可选地，还包括：

利用各历史攻击场景中各角色对应的数据分布规律构建角色分析模型；

所述利用设定的角色分析规则，对各所述匹配终端对应的数据信息进行识别，以确定出各所述匹配终端的角色包括：

将各所述匹配终端对应的数据信息依次输入所述角色分析模型，以确定出各所述匹配终端的角色。

可选地，还包括：

将各历史攻击场景中各角色对应的数据分布规律进行分类汇总，以得到各角色在不同攻击场景下对应的数据特征；