一种跨终端溯源分析的方法、装置、系统和存储介质与流程

专利2022-05-09  101



1.本申请涉及信息安全技术领域,特别是涉及一种跨终端溯源分析的方法、装置、系统和计算机可读存储介质。


背景技术:

2.信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等因素对信息系统造成危害,对社会造成负面影响的网络安全事件。当信息安全事件发生时,人们往往需要对它进行溯源分析,在进行溯源分析的基础上,才能有针对性地对信息系统进行安全整改和加固,避免同样或类似的信息安全事件再次发生。
3.而现代的信息安全事件往往发生在多个终端上,最典型的入侵场景是攻击者攻陷某一个暴露在公网的终端后,以此为桥头堡和跳板在受害者的网络内进行横向移动的攻击,在攻陷多个终端后找到最有价值的终端并窃取其上的数据或进行加密勒索。
4.目前已有的自动溯源分析方案局限在单个终端的范围内,当在终端上检测到某个恶意文件或恶意行为时,根据恶意文件或执行恶意行为的进程或账号进行溯源分析。若在某个终端上不能发现真正的攻击源头时,往往需要人工干预,通过人工分析线索并在其他终端上查找攻击源头。这种需要人工干预才能跨终端溯源的方式,实施成本高昂,并且依赖于人工分析使得整个溯源工作的处理效率较低。
5.可见,如何提升溯源工作的处理效率,是本领域技术人员需要解决的问题。


技术实现要素:

6.本申请实施例的目的是提供一种跨终端溯源分析的方法、装置、系统和计算机可读存储介质,可以提升溯源工作的处理效率。
7.为解决上述技术问题,本申请实施例提供一种跨终端溯源分析的方法,包括:
8.将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息;
9.利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色;
10.依据各所述匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。
11.可选地,所述依据各所述匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果包括:
12.在所有匹配终端的角色不满足溯源追踪条件的情况下,根据记录的角色关联规则,对所有匹配终端的角色进行分析,以确定出待识别的溯源信息,将所述待识别的溯源信息作为获取的溯源信息,并返回所述将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息及其之后的步骤;
13.在所有匹配终端的角色满足溯源追踪条件的情况下,依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果。
14.可选地,还包括:
15.利用各历史攻击场景中各角色对应的数据分布规律构建角色分析模型;
16.所述利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色包括:
17.将各所述匹配终端对应的数据信息依次输入所述角色分析模型,以确定出各所述匹配终端的角色。
18.可选地,还包括:
19.将各历史攻击场景中各角色对应的数据分布规律进行分类汇总,以得到各角色在不同攻击场景下对应的数据特征;
20.所述利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色包括:
21.将各所述匹配终端对应的数据信息与各角色在不同攻击场景下对应的数据特征进行比较,以确定出各所述匹配终端的角色。
22.可选地,针对于所述角色关联规则的生成过程,所述方法包括:
23.根据历史攻击场景中各角色的依赖关系和依赖条件,生成角色关联规则;其中,所述依赖条件包括时间约束条件和网络约束条件。
24.可选地,所述依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果包括:
25.将各所述匹配终端的角色按照各角色的依赖关系和依赖条件进行排序,以确定出各所述匹配终端的攻击顺序;
26.按照各所述匹配终端的攻击顺序,将各所述匹配终端的数据信息进行连接以构建数据攻击链。
27.可选地,所述在所有匹配终端的角色满足溯源追踪条件的情况下,依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果包括:
28.判断所有匹配终端的角色是否存在入口点角色;
29.若所有匹配终端的角色存在入口点角色,则依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果。
30.可选地,在所述确定出溯源分析结果之后还包括:
31.按照各所述匹配终端的角色,对各所述匹配终端设置角色标识。
32.本申请实施例还提供了一种跨终端溯源分析的装置,包括匹配单元、识别单元和确定单元;
33.所述匹配单元,用于将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息;
34.所述识别单元,用于利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色;
35.所述确定单元,用于依据各所述匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。
36.可选地,所述确定单元包括分析子单元和汇总子单元;
37.所述分析子单元,用于在所有匹配终端的角色不满足溯源追踪条件的情况下,根
据记录的角色关联规则,对所有匹配终端的角色进行分析,以确定出待识别的溯源信息,将所述待识别的溯源信息作为获取的溯源信息,并返回所述匹配单元;
38.所述汇总子单元,用于在所有匹配终端的角色满足溯源追踪条件的情况下,依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果。
39.可选地,还包括构建单元;
40.所述构建单元,用于利用各历史攻击场景中各角色对应的数据分布规律构建角色分析模型;
41.所述识别单元,用于将各所述匹配终端对应的数据信息依次输入所述角色分析模型,以确定出各所述匹配终端的角色。
42.可选地,还包括分类单元;
43.所述分类单元,用于将各历史攻击场景中各角色对应的数据分布规律进行分类汇总,以得到各角色在不同攻击场景下对应的数据特征;
44.所述识别单元,用于将各所述匹配终端对应的数据信息与各角色在不同攻击场景下对应的数据特征进行比较,以确定出各所述匹配终端的角色。
45.可选地,针对于所述角色关联规则的生成过程,所述装置包括生成单元;
46.所述生成单元,用于根据历史攻击场景中各角色的依赖关系和依赖条件,生成角色关联规则;其中,所述依赖条件包括时间约束条件和网络约束条件。
47.可选地,所述汇总子单元用于将各所述匹配终端的角色按照各角色的依赖关系和依赖条件进行排序,以确定出各所述匹配终端的攻击顺序;按照各所述匹配终端的攻击顺序,将各所述匹配终端的数据信息进行连接以构建数据攻击链。
48.可选地,所述汇总子单元用于判断所有匹配终端的角色是否存在入口点角色;若所有匹配终端的角色存在入口点角色,则依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果。
49.可选地,还包括设置单元;
50.所述设置单元,用于在所述确定出溯源分析结果之后,按照各所述匹配终端的角色,对各所述匹配终端设置角色标识。
51.本申请实施例还提供了一种跨终端溯源分析的系统,包括:
52.存储器,用于存储计算机程序;
53.处理器,用于执行所述计算机程序以实现如上述任意一项所述跨终端溯源分析的方法的步骤。
54.本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述跨终端溯源分析的方法的步骤。
55.由上述技术方案可以看出,将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息。溯源信息可以是检测到的恶意文件或恶意行为,在得到与溯源信息匹配的匹配终端的情况下,为了有效的识别出跨终端攻击所涉及的所有终端,可以利用设定的角色分析规则,对各匹配终端对应的数据信息进行识别,以确定出各匹配终端的角色。不同角色之间存在关联行为,可以将角色之间的关联行为以角色关联规则的形式设定,依据各匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。在该技
术方案中,通过识别终端的角色并依据角色关联规则,可以实现跨终端的自动溯源,极大地提高了溯源分析的自动化程度和效率,缩短了进行安全事件响应和处置的时间,从而尽快地将损失和风险控制在尽可能小的范围内。
附图说明
56.为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
57.图1为本申请实施例提供的一种跨终端溯源分析的应用场景示意图;
58.图2为本申请实施例提供的一种跨终端溯源分析的方法的流程图;
59.图3为本申请实施例提供的一种跨终端溯源分析的装置的结构示意图;
60.图4为本申请实施例提供的一种跨终端溯源分析的系统的结构示意图。
具体实施方式
61.下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
62.为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
63.网络安全是信息系统正常运维的重要条件。传统方式中检测终端出现的恶意文件或恶意行为,根据这个恶意文件或执行恶意行为的进程或账号进行溯源分析。但是现代的信息安全事件往往发生在多个终端上,攻击者通常会攻陷某一个暴露在公网的终端,然后以此为桥头堡和跳板在受害者的网络内进行横向移动的攻击,在攻陷多个终端后找到最有价值的终端并窃取其上的数据或进行加密勒索。
64.传统的单终端溯源分析的方式,无法有效的对跨终端攻击的情况进行识别。往往需要依赖于人工干预,才能实现跨终端溯源工作的追踪分析。人工干预需要花费较多的时间,导致溯源分析的效率较低。
65.故此,本申请实施例提供的一种跨终端溯源分析的方法、装置、系统和计算机可读存储介质。参见图1所示的一种跨终端溯源分析的应用场景示意图,图1中是以4个终端为例,分别为终端a、终端b、终端c和终端d,需要说明的是,在本申请实施例中对于终端的个数不做限定。信息系统在获取到溯源信息之后,可以将各终端的安全数据与溯源信息进行匹配,以得到匹配终端和匹配的数据信息,假设匹配终端分别为终端a、终端c和终端d。信息系统可以利用设定的角色分析规则,对各匹配终端对应的数据信息进行识别,以确定出各匹配终端的角色。考虑到一个攻击场景下,不同角色之间具有关联关系,因此依据各匹配终端的角色以及设定的角色关联规则,可以确定出溯源分析结果。
66.考虑到实际应用中,由于溯源信息的有限性,依据首次获取的溯源信息确定出的匹配终端往往无法涵盖攻击场景下所涉及的所有终端,假设只确定了终端d的角色为角色3。根据记录的角色关联规则,对所有匹配终端的角色进行分析,可以进一步确定出待识别
的溯源信息,将待识别的溯源信息作为新获取的溯源信息,并重复执行上述操作,假设根据待识别的溯源信息确定出终端a为角色1,终端c为角色2。在所有匹配终端的角色满足溯源追踪条件的情况下,依据各匹配终端的角色将各匹配终端的数据信息进行汇总,以得到溯源分析结果。根据角色之间的关联关系,假设角色1、角色2和角色3为按序排列的角色,此时终端a、终端c和终端d上的数据信息构成一条完整的数据攻击链。通过识别终端的角色并依据角色关联规则,可以实现跨终端的自动溯源,极大地提高了溯源分析的自动化程度和效率。
67.接下来,详细介绍本申请实施例所提供的一种跨终端溯源分析的方法。图2为本申请实施例提供的一种跨终端溯源分析的方法的流程图,该方法包括:
68.s201:将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息。
69.终端的安全数据可以包括终端系统日志、网络访问日志、终端文件系统信息、终端进程信息以及终端安全响应系统(endpoint detection and response,edr)类产品遥测数据等。
70.溯源信息可以是检测到的恶意文件或恶意行为,溯源信息可以包括文件名、文件hash、进程信息、时间信息、注册表项、域名、互联网协议地址(internet protocol address,ip地址)等。
71.溯源信息既可以是信息系统自动检测到的溯源信息,也可以由外部设备传输至信息系统的溯源信息。
72.将获取的溯源信息与各终端的安全数据进行匹配,可以确定出匹配终端以及每个匹配终端匹配到的数据信息。其中,数据信息可以包括文件信息或进程信息等。
73.每个匹配终端有其匹配到的数据信息,按照数据信息中包含的文件之间的关联关系或进程之间的关联关系,可以对每个匹配终端形成一条单终端的攻击链。每个匹配终端中数据信息的处理方式,可以参考传统方式中单终端溯源分析的技术,在此不再赘述。
74.s202:利用设定的角色分析规则,对各匹配终端对应的数据信息进行识别,以确定出各匹配终端的角色。
75.在一个攻击场景下,不同的角色所体现的数据分布规律不同,一般体现在终端上被调用的文件或进程,以及终端上出现的某些特征性信息。因此,在本申请实施例中,可以依据各历史攻击场景中各角色对应的数据分布规律设置角色分析规则。
76.在实际应用中,终端的角色可以包括入口点、中间跳板、数据失窃点、数据加密点、数据外泄点等。
77.其中,入口点可以是攻击者首次攻击的终端,入口点往往是安全防护较为薄弱的终端。中间跳板可以是从入口点跳转到其他终端设备时所依赖的终端设备。数据失窃点可以是被攻击者盗取数据的终端。数据加密点一般是在勒索加密的攻击场景下出现,攻击者对终端上的数据执行恶意加密。数据外泄点可以是被攻击者操作向外传输数据的终端,数据外泄点向外传输的数据既可以是自身存储的数据,也可以是其它终端上的数据。
78.例如,攻击者想要获取终端c上的数据,攻击者首先攻破了终端a、终端a与终端b具有连接通路,终端b与终端c具有连接通路,但是终端a与终端c不具有连接通路,攻击者可以从终端a跳转到终端b,再由终端b跳转到终端c,此时终端a的角色为入口点,终端b的角色为
中间跳板,终端c的角色为数据失窃点。攻击者通过终端d将从终端c上窃取的数据向外传输,此时终端d的角色为数据外泄点。
79.s203:依据各匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。
80.对于跨终端攻击而言,一条攻击链所涉及到的终端往往有多个,但是初始状态下获取的溯源信息往往指向的是最后被攻击的终端。由于溯源信息的有限性,确定出的匹配终端往往无法涵盖攻击场景下所涉及的所有终端。
81.考虑到不同角色之间存在关联行为,因此,在本申请实施例中,可以依据角色之间存在的关联行为设置角色关联规则。
82.在确定出各匹配终端的角色之后,可以判断所有匹配终端的角色是否满足溯源追踪条件。
83.溯源追踪条件可以依据每个匹配终端的攻击来源是否被找到进行设置。
84.在所有匹配终端的角色不满足溯源追踪条件的情况下,说明还存在攻击来源未被找到的匹配终端,此时可以根据角色关联规则,对所有匹配终端的角色进行分析,以确定出待识别的溯源信息。
85.在实际应用中,可以根据历史攻击场景中各角色的依赖关系和依赖条件,生成角色关联规则;其中,依赖条件可以包括时间约束条件和网络约束条件。
86.依赖关系可以是不同角色的终端被攻击的前后顺序,例如,数据外泄点依赖数据失窃点,而数据失窃点可能依赖入口点或者中间跳板等。当确定出匹配终端为数据外泄点之后,则说明在该攻击场景下必然还存在数据失窃点和入口点。
87.时间约束条件可以是不同角色的终端被攻击的时间的先后顺序,例如,入口点被攻击的时间早于数据失窃点被攻击的时间,数据失窃点被攻击的时间早于数据外泄点被攻击的时间。
88.网络约束条件可以是不同终端之间的网络通路的限制条件。例如,终端a与终端c不具有网络通路,假设终端a为入口点,则终端c一定不会是中间跳板。
89.待识别的溯源信息表示在当前攻击场景下可能遭受攻击的终端对应的溯源信息。相比于初始状态下获取的溯源信息,待识别的溯源信息是根据匹配终端的角色以及角色关联规则,确定出的新的溯源信息。
90.假设,确定出了终端c为数据失窃点,根据角色关联规则可以确定出在当前攻击场景下必然还存在入口点,此时可以将入口点被攻击时所出现的恶意文件或恶意行为作为新获取的溯源信息。
91.在确定出新获取的溯源信息之后,可以依据新获取的溯源信息重新执行s201至s203的步骤。
92.在所有匹配终端的角色满足溯源追踪条件的情况下,说明每个匹配终端的攻击来源已经被找到,此时已经完成对所有遭受攻击的终端的追踪,可以依据各匹配终端的角色将各匹配终端的数据信息进行汇总,以得到溯源分析结果。
93.结合上述终端角色的介绍可知,在一个攻击场景下必然存在入口点,而入口点一般需要依赖于角色关联规则确定出的新的溯源信息得到。因此,在实际应用中,可以判断所有匹配终端的角色是否存在入口点角色;若所有匹配终端的角色存在入口点角色,则说明每个匹配终端的攻击来源已经被找到,此时可以依据各匹配终端的角色将各匹配终端的数
据信息进行汇总,以得到溯源分析结果。
94.为了构建一条完整的数据攻击链,在本申请实施例中,可以将各匹配终端的角色按照各角色的依赖关系和依赖条件进行排序,以确定出各匹配终端的攻击顺序;按照各匹配终端的攻击顺序,将各匹配终端的数据信息进行连接以构建数据攻击链。
95.由上述技术方案可以看出,将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息。溯源信息可以是检测到的恶意文件或恶意行为,在得到与溯源信息匹配的匹配终端的情况下,为了有效的识别出跨终端攻击所涉及的所有终端,可以利用设定的角色分析规则,对各匹配终端对应的数据信息进行识别,以确定出各匹配终端的角色。不同角色之间存在关联行为,可以将角色之间的关联行为以角色关联规则的形式设定,依据各匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。在该技术方案中,通过识别终端的角色并依据角色关联规则,可以实现跨终端的自动溯源,极大地提高了溯源分析的自动化程度和效率,缩短了进行安全事件响应和处置的时间,从而尽快地将损失和风险控制在尽可能小的范围内。
96.在本申请实施例中,角色分析规则可以设置为规则库的形式,也可以设置成模型的形式。
97.以模型为例,可以利用各历史攻击场景中各角色对应的数据分布规律构建角色分析模型;将各匹配终端对应的数据信息依次输入角色分析模型,以确定出各匹配终端的角色。
98.在本申请实施例中,可以采用机器学习的方式构建角色分析模型,其具体构建原理可以参见传统方式中构建机器学习模型的操作,在此不再赘述。
99.通过构建角色分析模型,可以更加全面的将历史攻击场景中各角色的数据分布规律进行融合,利用角色分析模型可以实现对匹配终端角色的快速、准确的识别。
100.以规则库为例,可以将各历史攻击场景中各角色对应的数据分布规律进行分类汇总,以得到各角色在不同攻击场景下对应的数据特征;各角色在不同攻击场景下对应的数据特征可以看作是一个规则库。将各匹配终端对应的数据信息与各角色在不同攻击场景下对应的数据特征进行比较,以确定出各匹配终端的角色。
101.将各角色在不同攻击场景下对应的数据特征作为规则库,可以涵盖所有历史攻击场景中各角色的数据分布规律。通过将各匹配终端对应的数据信息与规则库中包含的各角色在不同攻击场景下对应的数据特征进行比较,可以实现对匹配终端角色的准确识别。
102.在本申请实施例中,为了便于管理人员直观的了解终端是否遭受攻击并且遭受的攻击类型,可以按照各匹配终端的角色,对各匹配终端设置角色标识。
103.在实际应用中,可以采用数据或字母或者两者组合的形式设置角色标识。不同的角色其对应的角色标识的形式不同。
104.当终端有其对应的角色标识时,则说明终端遭受了攻击。并且根据角色标识的形式可以确定出终端在攻击场景下所担任的角色,以便于管理人员可以快速的采取相适用的保护措施。
105.图3为本申请实施例提供的一种跨终端溯源分析的装置的结构示意图,包括匹配单元31、识别单元32和确定单元33;
106.匹配单元31,用于将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配
终端和匹配的数据信息;
107.识别单元32,用于利用设定的角色分析规则,对各匹配终端对应的数据信息进行识别,以确定出各匹配终端的角色;
108.确定单元33,用于依据各所述匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。
109.可选地,确定单元包括分析子单元和汇总子单元;
110.分析子单元,用于在所有匹配终端的角色不满足溯源追踪条件的情况下,根据记录的角色关联规则,对所有匹配终端的角色进行分析,以确定出待识别的溯源信息,将待识别的溯源信息作为获取的溯源信息,并返回匹配单元;
111.汇总子单元,用于在所有匹配终端的角色满足溯源追踪条件的情况下,依据各匹配终端的角色将各匹配终端的数据信息进行汇总,以得到溯源分析结果。
112.可选地,还包括构建单元;
113.构建单元,用于利用各历史攻击场景中各角色对应的数据分布规律构建角色分析模型;
114.识别单元,用于将各匹配终端对应的数据信息依次输入角色分析模型,以确定出各匹配终端的角色。
115.可选地,还包括分类单元;
116.分类单元,用于将各历史攻击场景中各角色对应的数据分布规律进行分类汇总,以得到各角色在不同攻击场景下对应的数据特征;
117.识别单元,用于将各匹配终端对应的数据信息与各角色在不同攻击场景下对应的数据特征进行比较,以确定出各匹配终端的角色。
118.可选地,针对于角色关联规则的生成过程,装置包括生成单元;
119.生成单元,用于根据历史攻击场景中各角色的依赖关系和依赖条件,生成角色关联规则;其中,依赖条件包括时间约束条件和网络约束条件。
120.可选地,汇总子单元用于将各匹配终端的角色按照各角色的依赖关系和依赖条件进行排序,以确定出各匹配终端的攻击顺序;按照各匹配终端的攻击顺序,将各匹配终端的数据信息进行连接以构建数据攻击链。
121.可选地,汇总子单元用于判断所有匹配终端的角色是否存在入口点角色;若所有匹配终端的角色存在入口点角色,则依据各匹配终端的角色将各匹配终端的数据信息进行汇总,以得到溯源分析结果。
122.可选地,还包括设置单元;
123.设置单元,用于在确定出溯源分析结果之后,按照各匹配终端的角色,对各匹配终端设置角色标识。
124.图3所对应实施例中特征的说明可以参见图2所对应实施例的相关说明,这里不再一一赘述。
125.由上述技术方案可以看出,将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息。溯源信息可以是检测到的恶意文件或恶意行为,在得到与溯源信息匹配的匹配终端的情况下,为了有效的识别出跨终端攻击所涉及的所有终端,可以利用设定的角色分析规则,对各匹配终端对应的数据信息进行识别,以确定出各匹配
终端的角色。不同角色之间存在关联行为,可以将角色之间的关联行为以角色关联规则的形式设定,依据各匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。在该技术方案中,通过识别终端的角色并依据角色关联规则,可以实现跨终端的自动溯源,极大地提高了溯源分析的自动化程度和效率,缩短了进行安全事件响应和处置的时间,从而尽快地将损失和风险控制在尽可能小的范围内。
126.图4为本申请实施例提供的一种跨终端溯源分析的系统40的结构示意图,包括:
127.存储器41,用于存储计算机程序;
128.处理器42,用于执行计算机程序以实现如上述任意实施例所述的跨终端溯源分析的方法的步骤。
129.本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述任意实施例所述的跨终端溯源分析的方法的步骤。
130.以上对本申请实施例所提供的一种跨终端溯源分析的方法、装置、系统和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
131.专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
132.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd

rom、或技术领域内所公知的任意其它形式的存储介质中。

技术特征:
1.一种跨终端溯源分析的方法,其特征在于,包括:将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息;利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色;依据各所述匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。2.根据权利要求1所述的跨终端溯源分析的方法,其特征在于,所述依据各所述匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果包括:在所有匹配终端的角色不满足溯源追踪条件的情况下,根据记录的角色关联规则,对所有匹配终端的角色进行分析,以确定出待识别的溯源信息,将所述待识别的溯源信息作为获取的溯源信息,并返回所述将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息及其之后的步骤;在所有匹配终端的角色满足溯源追踪条件的情况下,依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果。3.根据权利要求1所述的跨终端溯源分析的方法,其特征在于,还包括:利用各历史攻击场景中各角色对应的数据分布规律构建角色分析模型;所述利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色包括:将各所述匹配终端对应的数据信息依次输入所述角色分析模型,以确定出各所述匹配终端的角色。4.根据权利要求1所述的跨终端溯源分析的方法,其特征在于,还包括:将各历史攻击场景中各角色对应的数据分布规律进行分类汇总,以得到各角色在不同攻击场景下对应的数据特征;所述利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色包括:将各所述匹配终端对应的数据信息与各角色在不同攻击场景下对应的数据特征进行比较,以确定出各所述匹配终端的角色。5.根据权利要求2所述的跨终端溯源分析的方法,其特征在于,针对于所述角色关联规则的生成过程,所述方法包括:根据历史攻击场景中各角色的依赖关系和依赖条件,生成角色关联规则;其中,所述依赖条件包括时间约束条件和网络约束条件。6.根据权利要求4所述的跨终端溯源分析的方法,其特征在于,所述依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果包括:将各所述匹配终端的角色按照各角色的依赖关系和依赖条件进行排序,以确定出各所述匹配终端的攻击顺序;按照各所述匹配终端的攻击顺序,将各所述匹配终端的数据信息进行连接以构建数据攻击链。7.根据权利要求2所述的跨终端溯源分析的方法,其特征在于,所述在所有匹配终端的角色满足溯源追踪条件的情况下,依据各所述匹配终端的角色将各所述匹配终端的数据信
息进行汇总,以得到溯源分析结果包括:判断所有匹配终端的角色是否存在入口点角色;若所有匹配终端的角色存在入口点角色,则依据各所述匹配终端的角色将各所述匹配终端的数据信息进行汇总,以得到溯源分析结果。8.根据权利要求1所述的跨终端溯源分析的方法,其特征在于,在所述确定出溯源分析结果之后还包括:按照各所述匹配终端的角色,对各所述匹配终端设置角色标识。9.一种跨终端溯源分析的装置,其特征在于,包括匹配单元、识别单元和确定单元;所述匹配单元,用于将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息;所述识别单元,用于利用设定的角色分析规则,对各所述匹配终端对应的数据信息进行识别,以确定出各所述匹配终端的角色;所述确定单元,用于依据各所述匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。10.一种跨终端溯源分析的系统,其特征在于,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序以实现如权利要求1至8任意一项所述跨终端溯源分析的方法的步骤。11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任意一项所述跨终端溯源分析的方法的步骤。
技术总结
本申请实施例公开了一种跨终端溯源分析的方法、装置、系统和存储介质,将获取的溯源信息与各终端的安全数据进行匹配,以得到匹配终端和匹配的数据信息。利用设定的角色分析规则,对各匹配终端对应的数据信息进行识别,以确定出各匹配终端的角色。不同角色之间存在关联行为,可以将角色之间的关联行为以角色关联规则的形式设定,依据各匹配终端的角色以及设定的角色关联规则,确定出溯源分析结果。通过识别终端的角色并依据角色关联规则,可以实现跨终端的自动溯源,极大地提高了溯源分析的自动化程度和效率,缩短了进行安全事件响应和处置的时间。置的时间。置的时间。


技术研发人员:顾立明
受保护的技术使用者:深信服科技股份有限公司
技术研发日:2021.03.26
技术公布日:2021/6/29

转载请注明原文地址:https://doc.8miu.com/read-187.html

最新回复(0)