[发明专利]一种终端行为告警溯源分析的方法、装置、设备及介质

权利要求书

1.一种终端行为告警溯源分析的方法，其特征在于，包括：

监控终端行为数据，对所述终端行为数据进行实时读取和解析，得到行为日志并存储至本地数据库；

将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞，获得碰撞记录结果；

根据所述碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，并将所述溯源链自动提交至数据平台；

通过所述数据平台对所述溯源链进行风险等级评定。

2.根据权利要求1所述的终端行为告警溯源分析的方法，其特征在于，还包括：

将告警行为以完整事件形式展示给用户；所述完整事件形式为将多个相关告警点关联归并为一个事件。

3.根据权利要求2所述的终端行为告警溯源分析的方法，其特征在于，所述根据所述碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，包括：

从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象；

将整个追踪进程链及节点操作对象拼接形成的父子关系的树形结构数据作为溯源链。

4.根据权利要求3所述的终端行为告警溯源分析的方法，其特征在于，所述从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象，包括：

获取所述碰撞记录结果的告警点对应的当前节点操作对象的父进程ID和子进程ID；

通过所述父进程ID从所述本地数据库中向上追踪所述父进程ID的日志信息，直至追踪到所述父进程ID无进程节点为止；

通过所述子进程ID从所述本地数据库中向下追踪所述子进程ID的日志信息，直至追踪到所述子进程ID无进程节点为止。

5.根据权利要求4所述的终端行为告警溯源分析的方法，其特征在于，在所述形成溯源链的同时，还包括：

利用终端溯源接口接收平台溯源指令，获得相应的所述溯源链。

6.根据权利要求5所述的终端行为告警溯源分析的方法，其特征在于，所述通过所述数据平台对所述溯源链进行风险等级评定，包括：

通过所述数据平台对所述溯源链进行解析，将所述溯源链各节点与已知告警列表进行对比和参考，以对所述溯源链各节点进行风险权重评定，重新评定所述溯源链的风险等级。

7.根据权利要求2所述的终端行为告警溯源分析的方法，其特征在于，所述将告警行为以完整事件形式展示给用户，包括：

通过图示和数据将告警行为对应的所述溯源链各节点信息和风险等级以完整事件形式进行展示。

8.一种终端行为告警溯源分析的装置，其特征在于，包括：

数据监控模块，用于监控终端行为数据；

日志解析模块，用于对所述终端行为数据进行实时读取和解析，得到行为日志并存储至本地数据库；

碰撞记录模块，用于将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞，获得碰撞记录结果；

自动溯源模块，用于根据所述碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，并将所述溯源链自动提交至数据平台；

所述数据平台，用于对所述溯源链进行风险等级评定。

9.一种终端行为告警溯源分析的设备，其特征在于，包括处理器和存储器，其中，所述处理器执行所述存储器中存储的计算机程序时实现如权利要求1至7任一项所述的终端行为告警溯源分析的方法。

10.一种计算机可读存储介质，其特征在于，用于存储计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的终端行为告警溯源分析的方法。