【技术实现步骤摘要】
本申请涉及网络安全领域,具体而言,涉及一种威胁事件溯源方法、装置及电子设备。
技术介绍
1、在网络安全领域中,端点检测与响应技术是用来组织监视、检测和应对例如计算机、移动设备等端点设备上的安全威胁和攻击。相关技术中,通过威胁检测来识别端点设备上存在的恶意活动和安全威胁,如恶意软件、勒索软件、内部威胁等。这些恶意活动和安全威胁在威胁检测引擎下会生成威胁事件,提供给安全管理人员,安全管理人员根据这些威胁事件来针对性的进行响应处置。
2、然而,由于威胁事件只是根据端点设备的特定几个行为日志生成的,生成的威胁事件仅包括部分操作动作,基于这些部分操作动作无法对整个威胁事件进行全面分析,导致对威胁事件产生原因的分析结果不准确。
技术实现思路
1、本申请的主要目的在于提供一种威胁事件溯源方法、装置及电子设备,以提高对威胁事件产生原因进行分析的准确性。
2、为了实现上述目的,根据本申请的一个方面,提供了一种威胁事件溯源方法。该方法包括:获取终端设备的行为日志,将行为日志中的每一条日志转换为图数据,得到图数据集合,其中,每一条日志的图数据包含两个节点和两个节点之间的关联关系;将图数据集合存储至图数据库,其中,图数据库中包含所有图数据的节点,存在关联关系的节点之间连接有边;确定威胁事件对应的目标行为日志,将目标行为日志转换得到的图数据中的节点确定为溯源节点;以溯源节点作为起点,对图数据库中与溯源节点存在关联关系的节点进行溯源,得到至少一条溯源路径,基于至少一条溯源路径确定威胁事
3、可选地,以溯源节点作为起点,对图数据库中与溯源节点存在关联关系的节点进行溯源,得到至少一条溯源路径包括:以溯源节点作为起点,根据预设溯源深度对图数据库中与溯源节点存在关联关系的节点进行溯源,得到至少一条溯源路径,其中,预设溯源深度用于指示溯源路径中包含的最大节点数量;其中,与溯源节点存在关联关系的节点包括至少一个目标节点,目标节点是直接或间接指向溯源节点的节点。
4、可选地,基于至少一条溯源路径确定威胁事件的溯源结果包括:确定每条溯源路径的权重,得到一组权重,将一组权重按照从大到小的顺序排列,得到目标序列;将目标序列中的前n个权重对应的溯源路径确定为目标溯源路径,其中,n为正整数;将所有目标溯源路径进行合并,得到树形结构对象,将树形结构对象确定为溯源结果。
5、可选地,确定每条溯源路径的权重包括:确定当前溯源路径中连接各个节点的多条边,并确定每条边对应的关联关系;根据每条边的关联关系,确定每条边的权重,得到当前溯源路径对应的多个权重;将当前溯源路径对应的所有权重的和确定为当前溯源路径的权重。
6、可选地,将行为日志中的每一条日志转换为图数据包括:针对每一个所述日志,执行以下操作:确定所述日志的日志类型以及日志类型对应的多个处理器;确定日志的事件类型,并从多个处理器中确定与事件类型对应的目标处理器,其中,事件类型至少包括以下之一:进程创建、进程访问、文件访问和域名解析;通过目标处理器将日志转换为日志的图数据。
7、可选地,将图数据集合存储至图数据库包括:对于图数据集合中的每一个节点,确定当前节点的节点类型,其中,节点类型至少包括以下之一:进程、文件、网络和注册表;从主键值生成规则表中确定与节点类型对应的目标规则;通过预设哈希算法、目标规则以及当前节点的节点信息生成当前节点的主键值,基于节点类型和主键值生成当前节点的索引;按照每个节点的索引将所有节点以及节点之间的关联关系存储至图数据库。
8、可选地,目标行为日志转换的图数据中包括第一节点以及由第一节点指向的第二节点,将目标行为日志转换得到的图数据中的节点确定为溯源节点包括:根据预设哈希算法和第二节点的节点类型对应的目标规则,生成第二节点的主键值;根据第二节点的主键值在图数据库中查询;在第二节点是图数据库中的节点的情况下,将第二节点确定为溯源节点。
9、可选地,在基于至少一条溯源路径确定威胁事件的溯源结果之后,该方法还包括:确定溯源结果中的所有节点,得到目标节点集合;在图数据库中对目标节点集合中每个节点添加目标标识,其中,目标标识用于表征节点与威胁事件相关联。
10、为了实现上述目的,根据本申请的另一方面,提供了一种威胁事件溯源装置。该装置包括:获取单元,用于获取终端设备的行为日志,将行为日志中的每一条日志转换为图数据,得到图数据集合,其中,每一条日志的图数据包含两个节点和两个节点之间的关联关系;存储单元,用于将图数据集合存储至图数据库,其中,图数据库中包含所有图数据的节点,存在关联关系的节点之间连接有边;确定单元,用于确定威胁事件对应的目标行为日志,将目标行为日志转换得到的图数据中的节点确定为溯源节点;处理单元,用于以溯源节点作为起点,对图数据库中与溯源节点存在关联关系的节点进行溯源,得到至少一条溯源路径,基于至少一条溯源路径确定威胁事件的溯源结果,其中,溯源路径包含多个节点和多个节点之间连接的边。
11、通过本申请,采用以下步骤:获取终端设备的行为日志,将行为日志中的每一条日志转换为图数据,得到图数据集合,其中,每一条日志的图数据包含两个节点和两个节点之间的关联关系;将图数据集合存储至图数据库,其中,图数据库中包含所有图数据的节点,存在关联关系的节点之间连接有边;确定威胁事件对应的目标行为日志,将目标行为日志转换得到的图数据中的节点确定为溯源节点;以溯源节点作为起点,对图数据库中与溯源节点存在关联关系的节点进行溯源,得到至少一条溯源路径,基于至少一条溯源路径确定威胁事件的溯源结果,其中,溯源路径包含多个节点和多个节点之间连接的边,提高了对威胁事件产生原因的分析的准确性。通过对终端设备的行为日志转换为图数据存储在图数据库,进而基于威胁事件对应的目标行为日志转换的图数据在图数据库进行溯源,根据得到的溯源路径确定溯源结果,进而达到了提高分析威胁事件产生原因的准确性的效果。
本文档来自技高网...【技术保护点】
1.一种威胁事件溯源方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,以所述溯源节点作为起点,对所述图数据库中与所述溯源节点存在关联关系的节点进行溯源,得到至少一条溯源路径包括:
3.根据权利要求1所述的方法,其特征在于,基于所述至少一条溯源路径确定所述威胁事件的溯源结果包括:
4.根据权利要求3所述的方法,其特征在于,确定每条溯源路径的权重包括:
5.根据权利要求1所述的方法,其特征在于,将所述行为日志中的每一条日志转换为图数据包括:
6.根据权利要求1所述的方法,其特征在于,将所述图数据集合存储至图数据库包括:
7.根据权利要求1至6任一项所述的方法,其特征在于,所述目标行为日志转换的图数据中包括第一节点以及由所述第一节点指向的第二节点,将所述目标行为日志转换得到的图数据中的节点确定为溯源节点包括:
8.根据权利要求1所述的方法,其特征在于,在基于所述至少一条溯源路径确定所述威胁事件的溯源结果之后,所述方法还包括:
9.一种威胁事件溯源装置,其特征在于,包括:p>
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至8中任意一项所述的威胁事件溯源方法。
...【技术特征摘要】
1.一种威胁事件溯源方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,以所述溯源节点作为起点,对所述图数据库中与所述溯源节点存在关联关系的节点进行溯源,得到至少一条溯源路径包括:
3.根据权利要求1所述的方法,其特征在于,基于所述至少一条溯源路径确定所述威胁事件的溯源结果包括:
4.根据权利要求3所述的方法,其特征在于,确定每条溯源路径的权重包括:
5.根据权利要求1所述的方法,其特征在于,将所述行为日志中的每一条日志转换为图数据包括:
6.根据权利要求1所述的方法,其特征在于,将所述图数据集合存储至图数据库包括:
7....
【专利技术属性】
技术研发人员:范远洋,董皓,朝乐蒙,吴云蔚,曹硕,
申请(专利权)人:北京山石网科信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。