(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211000745.9 (22)申请日 2022.08.19 (71)申请人 奇安信网神信息技 术 （北京） 股份有 限公司 地址 100034 北京市西城区西直门外南路 26号院1号楼 2层 申请人 奇安信科技 集团股份有限公司 (72)发明人 张帅　孔坚　安锦程　冯词通　 陈岩　杨建　范瑞华　 (74)专利代理 机构 北京鼎佳达知识产权代理事 务所(普通 合伙) 11348 专利代理师 刘铁鸣　刘铁生 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 攻击行为溯源方法、 装置及系统 (57)摘要 本申请公开一种攻击行为溯源 方法、 装置及 系统， 涉及网络安全技术领域。 本申请的方法包 括： 确定本地进 程的行为对应的行为类型， 其中， 所述行为类型包括本地操作行为 以及网络操作 行为中的至少一种； 根据预设规则， 获取对应所 述行为类型的关联信息， 其中， 所述关联信息至 少包括用于体现执行所述行为的所述进程的来 源的来源信息； 将所述关联信息及所述进程的标 识信息发送至服务器， 以便所述服务器基于所述 关联信息及所述标识信息对所述进程的攻击行 为进行溯源。 权利要求书3页 说明书21页 附图4页 CN 115412320 A 2022.11.29 CN 115412320 A 1.一种攻击行为溯源方法， 其特 征在于， 应用于客户端， 包括： 确定本地进程的行为对应的行为类型， 其中， 所述行为类型包括本地操作行为以及网 络操作行为中的至少一种； 根据预设规则， 获取对应所述行为类型的关联信息， 其中， 所述关联信息至少包括用于 体现执行所述行为的所述进程的来源的来源信息； 将所述关联信 息及所述进程的标识信 息发送至服务器， 以便所述服务器基于所述关联 信息及所述标识信息对所述进程的攻击行为进行溯源。 2.根据权利要求1所述的方法， 其特 征在于， 所述关联信息还 包括行为信息； 所述根据预设规则， 获取对应所述行为类型的关联信息， 包括： 当所述行为类型为所述本地操作行为时， 获取所述进程的相关进程信息， 作为所述来 源信息， 并基于所述预设规则获取对应所述本地操作行为的所述行为信息， 其中， 所述相关 进程信息包括所述进程的父进程信息； 和/或， 当所述行为类型为所述网络操作行为时， 获取所述网络操作行为的网络参数信息， 作 为所述来源信息， 并基于所述预设规则获取对应所述网络操作行为的所述行为信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述获取所述进程的相关进程信息， 作为 所述来源信息， 包括： 基于所述进程标识确定所述进程的相关进程， 所述相关进程包括父进程及子进程， 其 中所述进程标识包括进程识别号以及进程文件标识码， 所述进程文件标识码为所述进程的 执行文件在被预设算法计算后得到的唯一识别码； 获取所述父进程的父进程信息， 并将所述父进程信息确定为所述 来源信息 。 4.根据权利要求2所述的方法， 其特征在于， 所述本地操作行为至少包括本地关键区域 操作行为、 本地账户操作行为， 以及本地进程或服 务的管理行为中的一种； 所述基于所述预设规则获取对应所述本地操作行为的所述行为信息， 包括： 当确定所述本地操作行为为所述本地关键区域操作行为时， 获取第一操作信息、 第一 进程信息、 以及操作时间， 作为所述行为信息； 其中， 所述第一操作信息中至少包括操作目 标， 所述操作目标包括被所述本地关键区域操作行为修改的文件， 所述第一进程信息为执 行所述本地关键区域操作行为的所述进程的信息， 所述第一进程信息中至少包括所述进程 的所述进程标识； 和/或， 当确定所述本地操作 行为为本地账户操作 行为时， 获取第 二操作信 息以及第 二进程信 息， 作为所述行为信息， 其中， 所述第二操作信息用于表征所述本地账户操作行为对账户进 行修改、 增加以及删除时产生的信息， 所述第二进程信息为执行所述本地操作行为的所述 进程的信息， 所述第二进程信息中至少包括所述进程的所述进程标识； 和/或， 当确定所述本地操作 行为为本地进程或服务的管理行为 时， 获取第 三操作信 息以及第 三进程信息， 作为所述行为信息； 其中， 所述第三操作信息用于表征被加载或关闭的驱动的 信息， 以及被强制开启或关闭的被控进程的信息； 所述第三进程信息为执行所述本地进程 或服务的管理行为的所述进程的信息， 所述第三进程信息中至少包括所述进程的所述进程 标识。 5.根据权利要求2所述的方法， 其特征在于， 所述网络操作行为至少包括通信行为及下 载行为中的一种； 所述网络参数至少包括第一 参数及第二 参数中的一种；权　利　要　求　书 1/3 页 2 CN 115412320 A 2所述当所述行为类型为所述网络操作行为时， 获取所述网络操作行为的网络参数信 息， 作为所述来源信息， 并基于所述预设规则获取对应所述网络操作行为的所述行为信息， 包括： 当确定所述网络操作行为为所述通信行为时， 获取所述通信行为对应的第一参数， 并 基于所述预设规则获取对应所述通信行为的通信信息作为所述行为信息， 其中， 所述通信 信息中包括被监控的数据； 所述第一参数包括当所述通信行为为进程外连或外部接入时的 ipv4信息、 ipv6信息、 目的地址、 目的端口， 本地 地址以及本地端口中的至少一种； 和/或， 当确定所述网络操作行为为所述下载行为时， 获取所述下载行为对应的第二参数， 并 基于所述预设规则获取对应所述下载行为的下载信息作为所述行为信息， 其中， 所述下载 信息包括被下 载的数据； 所述第二 参数包括下 载地址。 6.一种攻击行为溯源方法， 其特 征在于， 应用于服 务器， 包括： 接收进程的标识信息以及关联信息， 其中， 所述关联信息至少包括用于体现执行行为 的所述进程的来源的来源信息， 所述行为类型包括本地操作行为以及网络操作行为中的至 少一种； 根据预设风险规则及所述关联信息， 判断所述进程是否存在攻击行为， 其中， 所述预设 风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断 所述网络操作行为是否为所述 攻击行为的网络风险规则； 若存在， 则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯 源。 7.根据权利要求6所述的方法， 其特征在于， 在所述基于所述关联信 息中的所述来源信 息对所述进程的所述 攻击行为进行溯源之前， 所述方法还 包括： 根据所述进程标识， 确定对应所述进程标识的所述关联信息是否唯一； 若不唯一， 则在多个所述关联信息中进行去重操作； 其中， 所述去重操作用于当基于所述关联信 息中的所述行为信 息包含的数据内容相同 时， 仅保留一个所述关联信息， 并将多余的所述关联信息进行删除。 8.根据权利要求6所述的方法， 其特征在于， 所述基于所述关联信 息中的所述来源信 息 对所述进程的所述 攻击行为进行溯源 包括： 当所述关联信 息包括相关进程信 息以及行为信 息时， 从所述相关进程信 息中获取所述 进程的父进程的信息， 并生 成所述攻击行为的第一溯源信息， 其中， 所述第一溯源信息中包 含所述进程与所述父进程之间的关系， 以及所述行为信息对应的本地操作行为； 和/或， 当所述关联信 息包括网络参数信 息以及行为信 息时， 从所述网络参数信 息中确定所述 进程的控制源， 并生成所述攻击行为的第二溯源信息， 所述第二溯源信息中包含所述进程 的控制源的网络参数， 以及所述行为信息对应的网络操作行为。 9.根据权利要求8所述的方法， 其特征在于， 所述第 一溯源信 息为体现所述进程与 所述 父进程之间关系， 以及所述进程与所述本地操作行为之间关系的第一拓扑图； 和/或， 所述第二溯源信 息为体现所述进程与所述控制源之间关系， 以及所述进程与 所述网络 操作行为之间关系的第二拓扑图。 10.一种攻击行为溯源 装置， 其特 征在于， 应用于客户端， 包括： 确定单元， 用于确定本地进程的行为对应的行为类型， 其中， 所述行为类型包括本地操权　利　要　求　书 2/3 页 3 CN 115412320 A 3