(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111636686.X (22)申请日 2021.12.3 0 (71)申请人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 高志远　陈杰　黄雅芳　童兆丰　 薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种攻击溯源方法及装置 (57)摘要 本申请实施例提供一种攻击溯源方法及装 置， 涉及网络安全技术领域， 该攻击溯源方法包 括先获取目标 终端的进程数据、 网络数据和文件 数据； 然后将网络数据与进程数据进行关联处理 得到第一关联数据； 并将文件数据与进程数据进 行关联处理， 得到第二关联数据； 再根据第一关 联数据和第二关联数据生成目标终端的关联进 程链数据， 并将关联进程链数据存储至进程链数 据库中； 当接收到针对目标 终端的网络攻击告警 信息时， 根据进程链数据库和网络攻击告警信息 进行攻击溯源， 得到攻击溯源信息， 能够简单快 速对网络攻击进行溯源， 成本低， 节省网络资源， 适用性好， 有利于提升追 踪溯源效率。 权利要求书2页 说明书12页 附图3页 CN 113992454 A 2022.01.28 CN 113992454 A 1.一种攻击溯源方法， 其特 征在于， 包括： 获取目标终端的进程数据、 网络数据和文件数据； 将所述网络数据与 所述进程数据进行关联处理得到第 一关联数据； 并将所述文件数据 与所述进程数据进行关联处 理， 得到第二关联 数据； 根据所述第 一关联数据和所述第 二关联数据生成 目标终端的关联进程链数据， 并将所 述关联进程链数据存 储至进程链数据库中； 当接收到针对所述目标终端的网络攻击告警信 息时， 根据 所述进程链数据库和所述网 络攻击告警信息进行攻击溯源， 得到攻击溯源信息 。 2.根据权利要求1所述的攻击溯源方法， 其特征在于， 将所述网络数据与所述进程数据 进行关联处 理得到第一关联 数据， 包括： 获取所述进程数据中的目标进程标识、 目标网络地址、 进程动作时间以及进程动作数 据； 判断所述网络数据与所述目标进程标识是否相匹配； 如果所述网络数据与所述目标进程标识相匹配， 则根据所述目标进程标识， 将所述网 络数据与所述进程数据进行基于进程标识的关联处 理， 得到第一关联 数据； 如果所述网络数据与 所述目标进程标识不匹配， 则判断所述网络数据与所述目标网络 地址是否相匹配； 如果所述网络数据与所述目标网络地址相匹配， 则根据所述目标网络地址， 将所述网 络数据与所述进程数据进行基于网络地址的关联处 理， 得到第一关联 数据。 3.根据权利要求2所述的攻击溯源方法， 其特 征在于， 所述方法还 包括： 当判断出所述网络数据与 所述目标网络地址不匹配时， 则判断所述网络数据与所述进 程动作时间是否相匹配； 如果是， 则获取所述网络数据中的网络日志数据， 并在所述网络日志数据与所述进程 动作数据相匹配时， 将所述网络数据与所述进程数据进行基于时间的关联处理， 得到第一 关联数据。 4.根据权利要求2所述的攻击溯源方法， 其特征在于， 将所述文件数据与所述进程数据 进行关联处 理， 得到第二关联 数据， 包括： 获取所述进程数据中的目标文件路径； 判断所述文件数据与所述目标进程标识是否相匹配； 如果所述文件数据与所述目标进程标识相匹配， 则根据所述目标进程标识， 将所述文 件数据与所述进程数据进行基于进程标识的关联处 理， 得到第二关联 数据； 如果所述文件数据与 所述目标进程标识不匹配， 则判断所述文件数据与所述目标文件 路径是否相匹配； 如果所述文件数据与所述目标文件路径相匹配， 则根据所述目标文件路径， 将所述文 件数据与所述进程数据进行基于文件路径的关联处 理， 得到第二关联 数据。 5.根据权利要求 4所述的攻击溯源方法， 其特 征在于， 所述方法还 包括： 当判断出所述文件数据与 所述目标文件路径不匹配时， 则判断所述文件数据与所述进 程动作时间是否相匹配； 如果是， 则获取所述文件数据中的文件日志数据， 并在所述文件日志数据与所述进程权　利　要　求　书 1/2 页 2 CN 113992454 A 2动作数据相匹配时， 将所述文件数据与所述进程数据进行基于时间的关联处理， 得到第二 关联数据。 6.根据权利要求1所述的攻击溯源方法， 其特征在于， 在将所述关联进程链数据存储至 进程链数据库中之后， 所述方法还 包括： 当检测出 所述目标终端出现异常时， 获取 出现异常的基本信息； 根据所述进程链数据库确定与所述基本信息相匹配的异常 关联进程链数据； 对所述异常关联进程链数据进行异常分析， 确定出所述目标终端出现异常的完整过程 数据； 输出包括所述完整过程数据的异常提 示信息。 7.根据权利要求1所述的攻击溯源方法， 其特征在于， 根据 所述进程链数据库和所述网 络攻击告警信息进行攻击溯源， 得到攻击溯源信息， 包括： 根据所述网络攻击告警信息获取网络攻击信息； 根据所述进程链数据库确定与所述网络攻击信息相匹配的攻击进程链数据； 对所述攻击进程链数据进行溯源分析， 确定出攻击者攻击所述目标终端的完整攻击过 程数据； 输出包括所述完整攻击过程数据的攻击溯源信息 。 8.一种攻击溯源 装置， 其特 征在于， 所述 攻击溯源 装置包括： 获取单元， 用于获取目标终端的进程数据、 网络数据和文件数据； 第一关联单元， 用于将所述网络数据与所述进程数据进行关联处理得到第一关联数 据； 第二关联单元， 用于将所述文件数据与所述进程数据进行关联处理， 得到第二关联数 据； 进程链生成单元， 用于根据 所述第一关联数据和所述第 二关联数据生成目标终端的关 联进程链数据； 存储单元， 用于将所述关联进程链数据存 储至进程链数据库中； 攻击溯源单元， 用于当接收到针对所述目标终端的网络攻击告警信息时， 根据所述进 程链数据库和所述网络攻击告警信息进行攻击溯源， 得到攻击溯源信息 。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至7中 任一项所述的攻击溯源方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至7任一项 所述的攻击溯源方 法。权　利　要　求　书 2/2 页 3 CN 113992454 A 3