[发明专利]一种终端行为告警溯源分析的方法、装置、设备及介质

说明书

本申请公开了一种终端行为告警溯源分析的方法、装置、设备及介质，包括：监控终端行为数据，对终端行为数据进行实时读取和解析，得到行为日志并存储至本地数据库；将预先定义的行为特征作为预置告警规则与行为日志进行匹配碰撞，获得碰撞记录结果；根据碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，并将溯源链自动提交至数据平台；通过数据平台对溯源链进行风险等级评定。这样对溯源链的数据进行分析处理，评定其风险等级，为告警行为提供了有力的数据支撑和判断依据，能够提高风险告警的事件关联性和准确性，获取风险告警事件来龙去脉的行为日志记录，减少手动检索分析、人工研判和手动溯源的繁琐过程，提高检测率，降低误报率。

技术领域

本发明涉及通信技术领域，特别是涉及一种终端行为告警溯源分析的方法、装置、设备及介质。

背景技术

在终端安全产品的实际应用场景中会产生大量的各种高中低等风险告警，当安全工作员需要对这些单一告警做决策判断处置时存在没有百分百把握风险告警是正常的行为还是真实的攻击渗透行为，需要联合其它产品或人工终端深入调查研究，或遇到的大量告警为误报，过量安全告警或误报对安全事件处置带来风险告警审核疲劳。

目前，现在技术都是通过恶意文件规则特征或情报失陷检测(Indicator OfCompromise，IOC)进行即时溯源，溯源数据作为单一告警上报，告警分险等级与溯源原点告警分险等级相同或一致，且不能事后重新溯源或对某一告警或风险点进行二次完整溯源。

发明内容

有鉴于此，本发明的目的在于提供一种终端行为告警溯源分析的方法、装置、设备及介质，可以实现终端规则碰撞分析并自动溯源，提高检测率和降低误报率。其具体方案如下：

一种终端行为告警溯源分析的方法，包括：

监控终端行为数据，对所述终端行为数据进行实时读取和解析，得到行为日志并存储至本地数据库；

将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞，获得碰撞记录结果；

根据所述碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，并将所述溯源链自动提交至数据平台；

通过所述数据平台对所述溯源链进行风险等级评定。

优选地，在本发明实施例提供的上述终端行为告警溯源分析的方法中，还包括：

将告警行为以完整事件形式展示给用户；所述完整事件形式为将多个相关告警点关联归并为一个事件。

优选地，在本发明实施例提供的上述终端行为告警溯源分析的方法中，所述根据所述碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，包括：

从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象；

将整个追踪进程链及节点操作对象拼接形成的父子关系的树形结构数据作为溯源链。

优选地，在本发明实施例提供的上述终端行为告警溯源分析的方法中，所述从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象，包括：

获取所述碰撞记录结果的告警点对应的当前节点操作对象的父进程ID和子进程ID；

通过所述父进程ID从所述本地数据库中向上追踪所述父进程ID的日志信息，直至追踪到所述父进程ID无进程节点为止；

通过所述子进程ID从所述本地数据库中向下追踪所述子进程ID的日志信息，直至追踪到所述子进程ID无进程节点为止。

优选地，在本发明实施例提供的上述终端行为告警溯源分析的方法中，在所述形成溯源链的同时，还包括：

利用终端溯源接口接收平台溯源指令，获得相应的所述溯源链。