攻击行为溯源方法、装置及系统与流程

1.本技术涉及网络安全技术领域，尤其涉及一种攻击行为溯源方法、装置及系统。


背景技术：

2.随着信息技术的发展，云计算、大数据、物联网、人工智能等新兴技术也逐步为现代化建设带来了新的生产力。但是，随之而来信息和数据的安全风险也在逐步增大。当攻击行为发生的时候，如何确定攻击行为的源头，从而避免下一次的攻击行为的发生，就显得十分重要。
3.目前，在对攻击行为进行溯源的过程中，常规的溯源方式仅仅是在发现攻击行为时，对攻击行为的时段对应的系统日志进行分析，从而利用系统日志中记录攻击行为发生时的一些参数分析出攻击源。然而，在实际应用中，由于系统日志中记录了大量庞杂的数据内容，尤其是当被攻击的客户端是多个时，处于云端的服务器进行攻击溯源时会消耗大量的时间从这些庞杂的数据中进行分析，这就导致当前常规的攻击溯源方式存在效率较低的问题。


技术实现要素：

4.本技术实施例提供一种攻击行为溯源方法、装置及系统，主要目的在于解决当前的攻击行为溯源过程效率较低的问题。
5.为解决上述技术问题，本技术实施例提供如下技术方案：
6.第一方面，本技术提供了一种攻击行为溯源方法，所述方法应用于客户端，所述方法包括：
7.确定本地进程的行为对应的行为类型，其中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；
8.根据预设规则，获取对应所述行为类型的关联信息，其中，所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息；
9.将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息及所述标识信息对所述进程的攻击行为进行溯源。
10.可选的，所述关联信息还包括行为信息；
11.所述根据预设规则，获取对应所述行为类型的关联信息，包括：
12.当所述行为类型为所述本地操作行为时，获取所述进程的相关进程信息，作为所述来源信息，并基于所述预设规则获取对应所述本地操作行为的所述行为信息，其中，所述相关进程信息包括所述进程的父进程信息；和/或，
13.当所述行为类型为所述网络操作行为时，获取所述网络操作行为的网络参数信息，作为所述来源信息，并基于所述预设规则获取对应所述网络操作行为的所述行为信息。
14.可选的，所述获取所述进程的相关进程信息，作为所述来源信息，包括：
15.基于所述进程标识确定所述进程的相关进程，所述相关进程包括父进程及子进
程，其中所述进程标识包括进程识别号以及进程文件标识码，所述进程文件标识码为所述进程的执行文件在被预设算法计算后得到的唯一识别码；
16.获取所述父进程的父进程信息，并将所述父进程信息确定为所述来源信息。
17.可选的，所述本地操作行为至少包括本地关键区域操作行为、本地账户操作行为，以及本地进程或服务的管理行为中的一种；
18.所述基于所述预设规则获取对应所述本地操作行为的所述行为信息，包括：
19.当确定所述本地操作行为为所述本地关键区域操作行为时，获取第一操作信息、第一进程信息、以及操作时间，作为所述行为信息；其中，所述第一操作信息中至少包括操作目标，所述操作目标包括被所述本地关键区域操作行为修改的文件，所述第一进程信息为执行所述本地关键区域操作行为的所述进程的信息，所述第一进程信息中至少包括所述进程的所述进程标识；和/或，
20.当确定所述本地操作行为为本地账户操作行为时，获取第二操作信息以及第二进程信息，作为所述行为信息，其中，所述第二操作信息用于表征所述本地账户操作行为对账户进行修改、增加以及删除时产生的信息，所述第二进程信息为执行所述本地操作行为的所述进程的信息，所述第二进程信息中至少包括所述进程的所述进程标识；和/或，
21.当确定所述本地操作行为为本地进程或服务的管理行为时，获取第三操作信息以及第三进程信息，作为所述行为信息；其中，所述第三操作信息用于表征被加载或关闭的驱动的信息，以及被强制开启或关闭的被控进程的信息；所述第三进程信息为执行所述本地进程或服务的管理行为的所述进程的信息，所述第三进程信息中至少包括所述进程的所述进程标识。
22.可选的，所述网络操作行为至少包括通信行为及下载行为中的一种；所述网络参数至少包括第一参数及第二参数中的一种；
23.所述当所述行为类型为所述网络操作行为时，获取所述网络操作行为的网络参数信息，作为所述来源信息，并基于所述预设规则获取对应所述网络操作行为的所述行为信息，包括：
24.当确定所述网络操作行为为所述通信行为时，获取所述通信行为对应的第一参数，并基于所述预设规则获取对应所述通信行为的通信信息作为所述行为信息，其中，所述通信信息中包括被监控的数据；所述第一参数包括当所述通信行为为进程外连或外部接入时的ipv4信息、ipv6信息、目的地址、目的端口，本地地址以及本地端口中的至少一种；和/或，
25.当确定所述网络操作行为为所述下载行为时，获取所述下载行为对应的第二参数，并基于所述预设规则获取对应所述下载行为的下载信息作为所述行为信息，其中，所述下载信息包括被下载的数据；所述第二参数包括下载地址。
26.第二方面，本技术提供了一种攻击行为溯源方法，所述方法应用于服务器，所述方法包括：
27.接收进程的标识信息以及关联信息，其中，所述关联信息至少包括用于体现执行行为的所述进程的来源的来源信息，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；
28.根据预设风险规则及所述关联信息，判断所述进程是否存在攻击行为，其中，所述
预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则；
29.若存在，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源。
30.可选的，在所述基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源之前，所述方法还包括：
31.根据所述进程标识，确定对应所述进程标识的所述关联信息是否唯一；
32.若不唯一，则在多个所述关联信息中进行去重操作；
33.其中，所述去重操作用于当基于所述关联信息中的所述行为信息包含的数据内容相同时，仅保留一个所述关联信息，并将多余的所述关联信息进行删除。
34.可选的，所述基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源包括：
35.当所述关联信息包括相关进程信息以及行为信息时，从所述相关进程信息中获取所述进程的父进程的信息，并生成所述攻击行为的第一溯源信息，其中，所述第一溯源信息中包含所述进程与所述父进程之间的关系，以及所述行为信息对应的本地操作行为；和/或，
36.当所述关联信息包括网络参数信息以及行为信息时，从所述网络参数信息中确定所述进程的控制源，并生成所述攻击行为的第二溯源信息，所述第二溯源信息中包含所述进程的控制源的网络参数，以及所述行为信息对应的网络操作行为。
37.可选的，所述第一溯源信息为体现所述进程与所述父进程之间关系，以及所述进程与所述本地操作行为之间关系的第一拓扑图；和/或，
38.所述第二溯源信息为体现所述进程与所述控制源之间关系，以及所述进程与所述网络操作行为之间关系的第二拓扑图。
39.第三方面，本技术还提供一种攻击行为溯源装置，应用于客户端，包括：
40.确定单元，用于确定本地进程的行为对应的行为类型，其中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；
41.获取单元，用于根据预设规则，获取对应所述行为类型的关联信息，其中，所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息；
42.发送单元，用于将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息及所述标识信息对所述进程的攻击行为进行溯源。
43.可选的，所述关联信息还包括行为信息；
44.所述获取单元，包括：
45.第一获取模块，用于当所述行为类型为所述本地操作行为时，获取所述进程的相关进程信息，作为所述来源信息，并基于所述预设规则获取对应所述本地操作行为的所述行为信息，其中，所述相关进程信息包括所述进程的父进程信息；
46.第二获取模块，用于当所述行为类型为所述网络操作行为时，获取所述网络操作行为的网络参数信息，作为所述来源信息，并基于所述预设规则获取对应所述网络操作行为的所述行为信息。
47.可选的，所述第一获取模块，包括：
48.第一确定子模块，用于基于所述进程标识确定所述进程的相关进程，所述相关进程包括父进程及子进程，其中所述进程标识包括进程识别号以及进程文件标识码，所述进程文件标识码为所述进程的执行文件在被预设算法计算后得到的唯一识别码；
49.第二确定子模块，用于获取所述父进程的父进程信息，并将所述父进程信息确定为所述来源信息。
50.可选的，所述本地操作行为至少包括本地关键区域操作行为、本地账户操作行为，以及本地进程或服务的管理行为中的一种；
51.所述第一获取模块，包括：
52.第一获取子模块，用于当确定所述本地操作行为为所述本地关键区域操作行为时，获取第一操作信息、第一进程信息、以及操作时间，作为所述行为信息；其中，所述第一操作信息中至少包括操作目标，所述操作目标包括被所述本地关键区域操作行为修改的文件，所述第一进程信息为执行所述本地关键区域操作行为的所述进程的信息，所述第一进程信息中至少包括所述进程的所述进程标识；
53.第二获取子模块，用于当确定所述本地操作行为为本地账户操作行为时，获取第二操作信息以及第二进程信息，作为所述行为信息，其中，所述第二操作信息用于表征所述本地账户操作行为对账户进行修改、增加以及删除时产生的信息，所述第二进程信息为执行所述本地操作行为的所述进程的信息，所述第二进程信息中至少包括所述进程的所述进程标识；
54.第三获取子模块，用于当确定所述本地操作行为为本地进程或服务的管理行为时，获取第三操作信息以及第三进程信息，作为所述行为信息；其中，所述第三操作信息用于表征被加载或关闭的驱动的信息，以及被强制开启或关闭的被控进程的信息；所述第三进程信息为执行所述本地进程或服务的管理行为的所述进程的信息，所述第三进程信息中至少包括所述进程的所述进程标识。
55.可选的，所述网络操作行为至少包括通信行为及下载行为中的一种；所述网络参数至少包括第一参数及第二参数中的一种；
56.所述第二获取模块，包括：
57.第一获取子模块，用于当确定所述网络操作行为为所述通信行为时，获取所述通信行为对应的第一参数，并基于所述预设规则获取对应所述通信行为的通信信息作为所述行为信息，其中，所述通信信息中包括被监控的数据；所述第一参数包括当所述通信行为为进程外连或外部接入时的ipv4信息、ipv6信息、目的地址、目的端口，本地地址以及本地端口中的至少一种；
58.第二获取子模块，用于当确定所述网络操作行为为所述下载行为时，获取所述下载行为对应的第二参数，并基于所述预设规则获取对应所述下载行为的下载信息作为所述行为信息，其中，所述下载信息包括被下载的数据；所述第二参数包括下载地址。
59.第四方面，本技术还提供一种攻击行为溯源装置，应用于服务器，包括：
60.接收单元，用于接收进程的标识信息以及关联信息，其中，所述关联信息至少包括用于体现执行行为的所述进程的来源的来源信息，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；
61.判断单元，用于根据预设风险规则及所述关联信息，判断所述进程是否存在攻击
行为，其中，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则；
62.执行单元，用于若根据预设风险规则及所述关联信息，判断所述进程存在攻击行为，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源。
63.可选的，所述装置还包括：
64.确定单元，用于根据所述进程标识，确定对应所述进程标识的所述关联信息是否唯一；
65.去重单元，用于若确定对应所述进程标识的所述关联信息不唯一，则在多个所述关联信息中进行去重操作；
66.其中，所述去重操作用于当基于所述关联信息中的所述行为信息包含的数据内容相同时，仅保留一个所述关联信息，并将多余的所述关联信息进行删除。
67.可选的，所述执行单元包括：
68.第一执行模块，用于当所述关联信息包括相关进程信息以及行为信息时，从所述相关进程信息中获取所述进程的父进程的信息，并生成所述攻击行为的第一溯源信息，其中，所述第一溯源信息中包含所述进程与所述父进程之间的关系，以及所述行为信息对应的本地操作行为；
69.第二执行模块，用于当所述关联信息包括网络参数信息以及行为信息时，从所述网络参数信息中确定所述进程的控制源，并生成所述攻击行为的第二溯源信息，所述第二溯源信息中包含所述进程的控制源的网络参数，以及所述行为信息对应的网络操作行为。
70.可选的，所述第一溯源信息为体现所述进程与所述父进程之间关系，以及所述进程与所述本地操作行为之间关系的第一拓扑图；和/或，
71.所述第二溯源信息为体现所述进程与所述控制源之间关系，以及所述进程与所述网络操作行为之间关系的第二拓扑图。
72.第五方面，本技术的实施例提供了一种攻击行为溯源系统，包括：客户端与服务器，
73.所述客户端与所述服务器交互通信，其中，所述客户端用于执行如第一方面中任一项所述的攻击行为溯源方法；
74.所述服务器用于执行如第二方面中任一项所述的攻击行为溯源方法。
75.第六方面，本技术的实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行第一方面所述的终端设备的攻击行为溯源方法。
76.第七方面，本技术的实施例提供了一种攻击行为溯源装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行第一方面所述的终端设备的攻击行为溯源方法。
77.借由上述技术方案，本技术提供的技术方案至少具有下列优点：
78.本技术提供一种攻击行为溯源方法、装置及系统，本技术在客户端能够确定本地进程的行为对应的行为类型，然后根据预设规则，获取对应所述行为类型的关联信息，最后将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息
及所述标识信息对所述进程的攻击行为进行溯源，同时在服务器能够接收进程的标识信息以及关联信息，然后根据预设风险规则及所述关联信息，判断所述进程是否存在攻击行为，若存在，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源，从而实现攻击行为溯源功能。与现有技术相比，由于所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息；这就确保在客户端检测过程中，能够在进程产生操作行为时就获取到该进程的来源并将这些信息发送给服务器，而服务器在接收到这些信息后，就能够根据预设风险规则进行判断，并确定进程的行为存在风险时基于关联信息中的来源信息确定进程的来源，从而实现溯源的效果，与常规的根据系统日志进行数据分析来实现溯源的方式相比，明显减少了分析时的数据量，无需从大量庞杂的数据中筛选出哪些是攻击进程的来源的信息，减少了服务器这一侧分析过程中的数据分析量，从而减少了分析时间，提高了攻击行为溯源的效率。另外，在本实施例中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则，这就使得在本技术的攻击行为溯源方法执行时，能够基于进程的行为对应的行为类型有针对性的进行攻击行为的分析，从而确保了不同类型的攻击行为的识别的准确性，并且在本技术中，基于不同的行为类型获取对应的关联信息，能够确保所获取的关联信息与不同类型的攻击行为相匹配，从而确保了来源信息的准确性，有利于服务器准确识别攻击行为的来源。
79.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
80.通过参考附图阅读下文的详细描述，本技术示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本技术的若干实施方式，相同或对应的标号表示相同或对应的部分，其中：
81.图1示出了本技术实施例提供的一种攻击行为溯源方法流程图；
82.图2示出了本技术实施例提供的另一种攻击行为溯源方法流程图；
83.图3示出了本技术实施例提供的又一种攻击行为溯源方法流程图；
84.图4示出了本技术实施例提供的一种攻击行为溯源装置的组成框图；
85.图5示出了本技术实施例提供的另一种攻击行为溯源装置的组成框图
86.图6示出了本技术实施例提供的又一种攻击行为溯源装置的组成框图；
87.图7示出了本技术实施例提供的再一种攻击行为溯源装置的组成框图；
88.图8示出了本技术实施例提供的一种攻击行为溯源系统的示意图。
具体实施方式
89.下面将参照附图更详细地描述本技术的示例性实施方式。虽然附图中显示了本技术的示例性实施方式，然而应当理解，可以以各种形式实现本技术而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本技术，并且能够将本申
请的范围完整的传达给本领域的技术人员。
90.需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本技术所属领域技术人员所理解的通常意义。
91.本技术实施例提供一种攻击行为溯源方法，所述方法应用于客户端，具体如图1所示，该方法包括：
92.101、确定本地进程的行为对应的行为类型。
93.其中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种。
94.进程，即process，通常理解为计算机中的程序关于某数据集合上的一次运行活动，是系统进行资源分配和调度的基本单位，是操作系统结构的基础。在早期面向进程设计的计算机结构中，进程是程序的基本执行实体；在当代面向线程设计的计算机结构中，进程是线程的容器。程序是指令、数据及其组织形式的描述，进程是程序的实体。
95.在本实施例中，由于在客户端本地中，不同进程出于不同功能的需要，都会执行不同的行为，而这些行为可以分为内部的本地操作行为以及向外部通信的网络操作行为，因此，不同类型的行为所对应的关联信息也存在区别，因此在进行攻击溯源的过程中，可以根据本步骤的方法，首先确定进程的行为对应的行为类型具体是什么。
96.102、根据预设规则，获取对应行为类型的关联信息。
97.其中，所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息。
98.在本实施例中，获取所述行为类型对应的关联信息的过程中，可以通过auditd服务实现，其中，auditd服务是一种在linux系统中负责审计的服务，可以用来记录linux系统中各个进程的行为，譬如系统调用，文件修改，执行的程序，系统登入登出和记录所有系统中所有的事件。在本实施例中，可以基于预先配置的预设规则来对linux服务器中各个进程触发的行为进行监控。另外，基于auditd服务的特点，可以通过对预设规则进行设置，实现对不同行为类型选取不同的监控信息的控制，也就是说当进程的行为为本地操作行为时，则可以对进程此时的参数a进行监控和获取，作为关联信息，而当进程的行为为网络操作行为时，则可以对进程此时的参数b进行监控和获取。
99.当然在本实施例中，具体执行获取关联信息的方式包括但不限于上述所述的方式，还可以选取其他的服务进程，具体所选取的方式可以基于不同的客户端的操作系统进行选取，在此不做限定。
100.另外，基于关联信息中包含有体现进程的来源的来源信息，而攻击行为的特点可以基于不同的行为类型进行区分，例如，当攻击行为主要是对客户端本地中的数据进行篡改时，那么这个攻击行为发起的进程的来源可能就是某个父进程所启动的，而当攻击行为主要是对客户端的网络进行攻击时，那么这个攻击行为发起的进程的来源可能是外部通信控制的，基于此，在攻击行为的行为类型存在区别的情况下，来源也是不同的，因此作为体现来源的该来源信息实际上可以基于不同的行为类型也存在区别，也就是说在监控进程的过程中，需要基于不同的行为类型选取不同的关联信息进行获取，从而避免将无用的信息作为关联信息获取带来的数据冗余的问题。
101.103、将关联信息及进程的标识信息发送至服务器，以便服务器基于关联信息及标识信息对进程的攻击行为进行溯源。
102.由于客户端仅是对进程的行为进行监控，具体是否是攻击行为则需要服务器进行识别，因此在获取到关联信息后，还需要将关联信息发送到服务器以便服务器对这些信息进行攻击行为的识别，当然，为了避免不同的进程的关联信息之间相互混淆，还需要将进程的标识信息一同发送到服务器，以便服务器在接收到多个关联信息后，能确定发哪个关联信息对应哪一个进程。
103.本技术实施例提供一种攻击行为溯源方法，所述方法应用于服务器，具体如图2所示，该方法包括：
104.201、接收进程的标识信息以及关联信息。
105.其中，所述关联信息至少包括用于体现执行行为的所述进程的来源的来源信息，所述行为类型包括本地操作行为以及网络操作行为中的至少一种。
106.基于前述实施例的描述可知，由于在进行攻击行为溯源的过程中，确定当前进程是否为攻击进程时还是需要服务器进行分析，因此，当客户端获取到进程的关联信息后，还需要由服务器进行分析。基于此，在本实施例中，首先需要对关联信息进行接收，同时，为了避免多个进程之间的关联信息彼此混淆，还需要同时接收对应该关联信息的进程的标识信息，由于标识信息是体现不同进程的标识性的信息，因此，可以避免当多个客户端需要进行攻击行为溯源时，或者同一个客户端中多个进程需要进行攻击行为溯源过程中，避免关联信息的混淆的问题，继而确保了攻击行为溯源的准确性。
107.202、根据预设风险规则及关联信息，判断进程是否存在攻击行为。
108.其中，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则。
109.通过前述实施例的描述，基于进程不同的行为，其行为的类型是不同的，例如本地操作行为和网络操作行为，因此，在服务器基于管理信息判断进程是否存在攻击行为时，还需要基于预设风险规则中对本地和网络两种不同类型的行为进行分类识别。也就是说在预设风险规则中可以包含针对本地操作行为进行识别的本地风险规则，以及对网络操作行为进行识别的网络风险规则。
110.具体的，在本实施例中，所述本地风险规则可以为aoc规则库，其中aoc规则库是威胁行为运营规则库，其中包含有各种不同的具有风险的本地操作行为的参数信息；而网络风险规则可以为ioc规则库，其中ioc规则库是威胁情报运营规则库，其中包含各种不同的具有风险的地址信息和域名等性参数信息。基于此，按照本实施例的方法可以通过aoc规则库和ioc规则库与关联信息之间进行判断，以确定是否匹配。当关联信息中包含的参数信息与aoc规则库和/或ioc规则库中的参数信息匹配时，则说明该进程的行为是攻击行为。这样基于本地风险规则和网络风险规则分别基于进程的不同行为类型进行判断，可以确保判断结果的准确性，从而避免仅通过一种规则进行判断时可能存在遗漏的问题。
111.203、若判断进程存在攻击行为，则基于关联信息中的来源信息对进程的攻击行为进行溯源。
112.当确定进程存在攻击行为时，则说明客户端此时已经遭到了攻击，那么在此就需要对当前被攻击的客户端进行攻击行为的溯源，由于在客户端中获取并发送到服务器的关联信息中包含进程对应的来源信息，异常可以直接基于该来源信息实现对攻击行为的溯源。这样，就避免了从客户端中获取系统日志，并从系统日志中筛选哪部分对应攻击行为的
过程，节约了溯源所需的时间，提高了攻击行为溯源的效率。
113.本技术实施例提供一种攻击行为溯源方法，本技术实施例在客户端能够确定本地进程的行为对应的行为类型，然后根据预设规则，获取对应所述行为类型的关联信息，最后将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息及所述标识信息对所述进程的攻击行为进行溯源，同时在服务器能够接收进程的标识信息以及关联信息，然后根据预设风险规则及所述关联信息，判断所述进程是否存在攻击行为，若存在，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源，从而实现攻击行为溯源功能。与现有技术相比，由于所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息；这就确保在客户端检测过程中，能够在进程产生操作行为时就获取到该进程的来源并将这些信息发送给服务器，而服务器在接收到这些信息后，就能够根据预设风险规则进行判断，并确定进程的行为存在风险时基于关联信息中的来源信息确定进程的来源，从而实现溯源的效果，与常规的根据系统日志进行数据分析来实现溯源的方式相比，明显减少了分析时的数据量，无需从大量庞杂的数据中筛选出哪些是攻击进程的来源的信息，减少了服务器这一侧分析过程中的数据分析量，从而减少了分析时间，提高了攻击行为溯源的效率。另外，在本实施例中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则，这就使得在本技术的攻击行为溯源方法执行时，能够基于进程的行为对应的行为类型有针对性的进行攻击行为的分析，从而确保了不同类型的攻击行为的识别的准确性，并且在本技术中，基于不同的行为类型获取对应的关联信息，能够确保所获取的关联信息与不同类型的攻击行为相匹配，从而确保了来源信息的准确性，有利于服务器准确识别攻击行为的来源。
114.以下为了更加详细地说明，本技术实施例提供了另一种攻击行为溯源方法，所述方法应用于客户端及服务器，具体如图3所示，该方法包括：
115.301、客户端确定本地进程的行为对应的行为类型。
116.其中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种。
117.由于在进攻行为溯源的过程中，不同类型的攻击行为的表现方式是不同的，因此确定进程的行为是否为攻击行为的过程中就需要基于行为类型来确定后续溯源过程中所需的关联信息，基于此，在本实施例中，在客户端中，首先需要对本地正在运行的进程的行为的类型进行识别和确定，也就是确定行为类型，从而为后续基于行为类型获取对应的关联信息奠定基础。需要说明的是，在本实施例中，所述本地操作行为和网络操作行为的描述与前述实施例中的描述一致，在此不做赘述。
118.302、客户端根据预设规则，获取对应行为类型的关联信息。
119.其中，所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息。
120.由于进程的行为分为本地操作行为和网络操作行为两种，因此，基于不同的行为类型，本步骤的方法在执行时，可以分别基于不同的行为类型执行不同的关联信息获取方式。另外，由于关联信息可以理解为包含与进程的行为相关联的信息，其中涉及体现进程来源的来源信息之外，还包含该进程的该行为涉及的各种参数，也就是行为信息。
121.基于此，在一些具体的实时方式中，所述关联信息还可以包括行为信息；另外，基于行为类型的区别，在本步骤中获取对应所述行为类型的关联信息的方式也存在区别，因此，本步骤所述的方法在执行时，基于不同的行为类型，本步骤具体可以包括：
122.方式a、当所述行为类型为所述本地操作行为时，获取所述进程的相关进程信息，作为所述来源信息，并基于所述预设规则获取对应所述本地操作行为的所述行为信息，其中，所述相关进程信息包括所述进程的父进程信息。
123.方式b、当所述行为类型为所述网络操作行为时，获取所述网络操作行为的网络参数信息，作为所述来源信息，并基于所述预设规则获取对应所述网络操作行为的所述行为信息。
124.当行为类型是本地操作行为时，虽然本地操作行为是进程执行的，但是处于溯源的需要，一般该进程仅仅为功能的执行进程，还存在启动该进程的进程，或者是设置该进程的另一个进程，也就是父进程，如果后续基于服务器确定当前该进程存在攻击行为，那么该进程的父进程就是溯源时所需的，因此，在确定行为类型为本地操作行为时就需要获取包含有父进程信息的相关进程信息，作为来源信息。而当行为类型是网络操作行为时，由于网络操作行为需要进程从客户端对外进行交互通信，也就是说在这个过程中，外部的网络参数就能体现出控制该进程的源头，因此，此时可以获取网络参数信息作为来源信息。
125.通过确定行为类型是本地操作行为还是网络操作行为后，按类获取对相关进程信息和网络参数信息作为来源信息，可以确定依照不同的行为类型获取符合行为类型的数据作为来源信息，整体上确保了攻击行为溯源的准确性。
126.进一步的，在上述方式a中获取所述进程的相关进程信息，作为所述来源信息，在执行时可以包括：
127.首先，基于所述进程标识确定所述进程的相关进程，所述相关进程包括父进程及子进程。其中所述进程标识包括进程识别号以及进程文件标识码，所述进程文件标识码为所述进程的执行文件在被预设算法计算后得到的唯一识别码；
128.然后，获取所述父进程的父进程信息，并将所述父进程信息确定为所述来源信息。
129.在本实施例中对客户端本地进行监控时，其实现方式可以通过auditd服务实现，本实施例中的auditd服务与前述实施例中的描述一致，在此不做赘述。基于该auditd服务可以对客户端本地中的所有进程运行时的涉及的参数、数据进行监控和获取，因此，在本步骤中获取进程的相关信息作为来源信息时，可以基于auditd服务从进程列表中，查询对应当前存在行为的进程的进程标识进行获取，然后通过该进程标识查询对应该进程的父进程，在此确定父进程的方式与常规的确定进程之间关系的方式一致，例如可以通过进程之间的调用、启动或设置关系进行查询，在此不做赘述。在确定当前进程的父进程是哪一个之后，则可以继续基于进程列表获取该父进程的属性信息，作为父进程信息，从而实现确定当前进程的相关进程信息的功能。
130.进一步的，在上述方式a中，由于本地操作行为可以分为很多不同的行为，例如在一些关键或敏感区域中的数据进行修改、添加、删除等操作；也可以是对客户端本地的系统内的账号的信息进行处理等多种不同的行为。由于不同的行为的特点是不同的，因此其关联信息中的行为信息也是不同的。
131.基于此，为了确保获取行为信息的准确性，从而进一步确保攻击行为溯源的准确
性，在本实施例中还需要对本地操作行为的类型进行进一步的分类，所述本地操作行为至少包括本地关键区域操作行为、本地账户操作行为，以及本地进程或服务的管理行为中的一种；
132.在这种情况下，前述方式a中所述基于所述预设规则获取对应所述本地操作行为的所述行为信息，在执行时还需要基于不同的行为按照下述几种方式分别执行，其中包括：
133.第一种方式：当确定所述本地操作行为为本地关键区域操作行为时，获取第一操作信息、第一进程信息、以及操作时间，作为所述行为信息；其中，所述第一操作信息中至少包括操作目标，所述操作目标包括被所述本地关键区域操作行为修改的文件，所述第一进程信息为执行所述本地关键区域操作行为的所述进程的信息，所述第一进程信息中至少包括所述进程的所述进程标识。
134.在第一种方式中，当本地操作行为本地关键区域操作行为时，也就是在客户端本地中的关键区域进行添加、删除、修改等操作，由于关键区域中往往包含了本地较为重要的系统文件和一些关键性数据，进程的这种行为是具有极高的风险性的，因此在auditd服务监测到对这类文件或数据进行操作时，就需要确定本地关键区域操作行为操作情况，即第一操作信息；并且在这个过程中需要确定被操作的客体，也就是操作目标；执行当前本地关键区域操作行为的主体，也就是当前进程的进程标识；以及这个本地关键区域操作行为的执行时间，即操作时间。然后将这些信息作为行为信息进行获取。
135.第二种方式：当确定所述本地操作行为为本地账户操作行为时，获取第二操作信息以及第二进程信息，作为所述行为信息，其中，所述第二操作信息用于表征所述本地账户操作行为对账户进行修改、增加以及删除时产生的信息，所述第二进程信息为执行所述本地操作行为的所述进程的信息，所述第二进程信息中至少包括所述进程的所述进程标识；和/或，
136.在第二种方式中，当本地操作行为是本地账户操作行为时，也就是说在客户端本地中的账号相关信息存在被修改、删除、添加等操作，这时就需要auditd服务将这个行为对账户进行修改、增加以及删除时产生的信息进行获取，作为第二操作信息，同时确定当前执行该本地账号操作行为的进程是哪一个，即确定该进程的进程标识，并将该进程的其余的属性信息等于进程标识一并作为第二进程信息进行获取。
137.第三种方式：当确定所述本地操作行为为本地进程或服务的管理行为时，获取第三操作信息以及第三进程信息，作为所述行为信息；其中，所述第三操作信息用于表征被加载或关闭的驱动的信息，以及被强制开启或关闭的被控进程的信息；所述第三进程信息为执行所述本地进程或服务的管理行为的所述进程的信息，所述第三进程信息中至少包括所述进程的所述进程标识。
138.在第三种方式中，由于本地操作行为还可能是对客户端正在运行时的驱动进行操作，或者对其他进程进行关闭或开启等行为，那么此时可以基于auditd服务被加载或关闭的驱动的信息，以及被强制开启或关闭的被控进程的信息作为第三操作信息进行获取，同时确定当前该进程的进程标识，并将进程标识以及其余涉及该进程的信息，例如属性信息，作为第三进程信息进行获取。
139.基于上述三种不同的本地操作行为，选取对应的三种方式进行行为信息的获取，可以有效避免因本地操作行为的具体形式不同而获取到不适合的信息作为行为信息的问
题，从而确保了攻击行为溯源过程的准确性。
140.进一步的，如同前述对本地操作行为的具体分析，基于同样道理，在网络操作行为中，也存在多种不同的具体方式。具体的，所述网络操作行为至少包括通信行为及下载行为中的一种；所述网络参数至少包括第一参数及第二参数中的一种；
141.在这种情况下，方式b在执行的过程中，基于网络操作行为的具体形式的不同，获取对应的来源信息和行为信息的方式也可以分别按照下述不同的方式分别执行，包括：
142.在一种情况下，当确定所述网络操作行为为所述通信行为时，获取所述通信行为对应的第一参数，并基于所述预设规则获取对应所述通信行为的通信信息作为所述行为信息，其中，所述通信信息中包括被监控的数据；所述第一参数包括当所述通信行为为进程外连或外部接入时的ipv4信息、ipv6信息、目的地址、目的端口，本地地址以及本地端口中的至少一种。
143.由于网络操作行为时通信行为时，很可能出现的情况是，客户端外的其余端在利用客户端内的某进程对客户端进行监控，那么在这种情况下，进程所执行的监控行为就是一种攻击行为，因此，在进行攻击行为溯源的过程中就需要基于auditd服务针对这种方式获取进程执行通信行为时与客户端外进行交互时的ipv4信息、ipv6信息、目的地址、目的端口，本地地址以及本地端口中的至少一种，这些能体现出外部控制关系的参数进行获取，即第一参数，这样在后续进行溯源时就能够基于该第一参数实现对攻击行为的来源进行追溯的效果。同时，为了后续识别该进程的行为是否为攻击行为，还需要对进程在基于通信行为时监控的数据进行获取，即通信信息。
144.在另一种情况下，当确定所述网络操作行为为所述下载行为时，获取所述下载行为对应的第二参数，并基于所述预设规则获取对应所述下载行为的下载信息作为所述行为信息，其中，所述下载信息包括被下载的数据；所述第二参数包括下载地址。
145.在某些情况下，客户端外部的攻击者可能是对客户端的一些通信内容感兴趣，这里的通信内容包括但不限于客户端浏览器记录的数据、以及邮件系统内的数据，在这种情况下，攻击者往往会利用进程将这些数据进行打包和下载，因此，在确定网络操作行为时下载行为时，则需要auditd服务将被下载的数据进行获取，作为行为信息，同时，为了后续溯源，还需要将下载地址作为第二参数进行获取。
146.303、客户端将关联信息及进程的标识信息发送至服务器，以便服务器基于关联信息及标识信息对进程的攻击行为进行溯源。
147.在获取到关联信息后，就需要将该进程的关联信息连同其标识信息一并发送到服务器，这样在客户端中仅需要对进程的行为的关联信息，以及来源信息进行获取和发送，而无需再将整个行为对应全部数据，即系统日志进行发送，减少了发送数据的数据量，可以提高发送效率，整体上能够进一步的减少溯源过程的时间，提高攻击行为的溯源效率。
148.304、服务器接收进程的标识信息以及关联信息。
149.其中，所述关联信息至少包括用于体现执行行为的所述进程的来源的来源信息，所述行为类型包括本地操作行为以及网络操作行为中的至少一种。
150.在本步骤中，当服务器接收标识信息和关联信息的方式可以采取任一种常规的客户端服务器间数据传输方式，在此不做限定，确保与前述步骤303中客户端发送的方式相一致即可。
151.305、服务器根据预设风险规则及关联信息，判断进程是否存在攻击行为。
152.其中，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则。
153.基于前述步骤所述可知，由于进程的行为类型存在多种不同的方式，因此基于不同的行为类型，关联信息中包含的数据内容、种类、数量也存在区别，因此在本步骤中，在服务器获取到关联信息后，在判断进程是否存在攻击行为的过程中，还需要基于不同的规则进行分析，其中，基于前述步骤可知，行为类型可分为本地操作行为和网络操作行为两种，因此，预设风险规则也包含分别针对本地操作行为进行分析的本地风险规则，以及针对网络操作行为进行分析的网络风险规则。
154.这样，基于本地风险规则和网络风险规则有针对性的对进程的行为进行分析，可以确保判断结果的准确性。
155.根据判断结果，当服务器确定进程存在攻击行为时，则可以直接执行步骤308；当然，在实际应用中，由于可能存在某个进程有多个关联信息被发送到服务器的情况，那么在这个情况下，有可能存在多余的关联信息，基于此，在本步骤执行后还可以从步骤306继续执行。
156.306、服务器根据进程标识，确定对应进程标识的关联信息是否唯一。
157.在这种情况下说明该进程存在多个关联信息被发送到服务器的情况，此时这些关联信息中，有些可能是关联信息传输过程中，基于网络问题等原因，避免丢包而多发的冗余关联信息，而这种冗余的关联信息是没有必要都参与溯源过程的，因此，在本步骤中需要确定关联信息是否仅为一个。
158.307、服务器若确定对应进程标识的关联信息不唯一，则在多个关联信息中进行去重操作。
159.其中，所述去重操作用于当基于所述关联信息中的所述行为信息包含的数据内容相同时，仅保留一个所述关联信息，并将多余的所述关联信息进行删除。
160.在多个关联信息的情况下，可能分为两种情况，一种是某进程同时存在多个行为，每个行为都有对应的关联信息被发送到服务器，还有一种可能是基于网络的原因，在某个关联信息被传输时，存在被额外传输多次的情况，由于冗余的关联信息的是没有必要参与攻击行为溯源过程的，因此在本步骤中需要在多个关联信息中将重复的关联信息进行去重操作。
161.例如，当关联信息1包含下载信息a和第二参数a；关联信息2包含下载信息b和第二参数b，且下载信息a与下载信息b相同，第二参数a和第二参数b相同时，则说明关联信息1和关联信息2是完全相同的，此时需要在二者之间去重操作。
162.308、基于关联信息中的来源信息对进程的攻击行为进行溯源。
163.在进行攻击行为溯源的过程中，基于不同的攻击行为，溯源过程也可能存在区别，基于此，本步骤在执行时可以具体包括：
164.一方面，当所述关联信息包括相关进程信息以及行为信息时，从所述相关进程信息中获取所述进程的父进程的信息，并生成所述攻击行为的第一溯源信息，其中，所述第一溯源信息中包含所述进程与所述父进程之间的关系，以及所述行为信息对应的本地操作行为；
165.另一方面，当所述关联信息包括网络参数信息以及行为信息时，从所述网络参数信息中确定所述进程的控制源，并生成所述攻击行为的第二溯源信息，所述第二溯源信息中包含所述进程的控制源的网络参数，以及所述行为信息对应的网络操作行为。
166.当关联信息包括相关进程信息以及行为信息时，说明该攻击行为是本地操作行为，那么其溯源方式可以基于该攻击行为的进程的父进程进行溯源，因此可以基于父进程信息来生成能够体现出当前进程与其父进程之间关系的第一溯源信息。
167.而当关联信息包括网络参数信息以及行为信息时，说明该攻击行为时网络操作行为，那么溯源方式主要基于该攻击行为的进程的外部控制情况进行溯源，也就是通过控制源的网络参数生成表征攻击源与该进程之间关系的第二溯源信息。
168.在一些具体的实施方式中，本步骤所述的第一溯源信息和第二溯源信息还可以是以一种拓扑图的方式实现，由于拓扑图中各个元素之间能够明显的体现出二者之间的关联关系，因此可以使用户更为直观的了解攻击行为的源头和成因。
169.基于此，所述第一溯源信息为体现所述进程与所述父进程之间关系，以及所述进程与所述本地操作行为之间关系的第一拓扑图；所述第二溯源信息为体现所述进程与所述控制源之间关系，以及所述进程与所述网络操作行为之间关系的第二拓扑图。由于拓扑图中包含的内容直观明确，这样就以一种简单直接的方式能确定出攻击行为的源头，使溯源效果的展示更为效率。
170.进一步的，作为对上述图1及图3所示方法的实现，本技术另一实施例还提供了一种攻击行为溯源装置，应用于客户端。该攻击行为溯源装置实施例与前述方法实施例对应，为便于阅读，本攻击行为溯源装置实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。具体如图4所示，该攻击行为溯源装置包括：
171.确定单元41，可以用于确定本地进程的行为对应的行为类型，其中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；
172.获取单元42，可以用于根据预设规则，获取对应所述行为类型的关联信息，其中，所述关联信息至少包括可以用于体现执行所述行为的所述进程的来源的来源信息；
173.发送单元43，可以用于将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息及所述标识信息对所述进程的攻击行为进行溯源。
174.进一步的，如图5所示，所述关联信息还包括行为信息；
175.所述获取单元42，包括：
176.第一获取模块421，可以用于当所述行为类型为所述本地操作行为时，获取所述进程的相关进程信息，作为所述来源信息，并基于所述预设规则获取对应所述本地操作行为的所述行为信息，其中，所述相关进程信息包括所述进程的父进程信息；
177.第二获取模块422，可以用于当所述行为类型为所述网络操作行为时，获取所述网络操作行为的网络参数信息，作为所述来源信息，并基于所述预设规则获取对应所述网络操作行为的所述行为信息。
178.进一步的，如图5所示，所述第一获取模块421，包括：
179.第一确定子模块4211，可以用于基于所述进程标识确定所述进程的相关进程，所述相关进程包括父进程及子进程，其中所述进程标识包括进程识别号以及进程文件标识
码，所述进程文件标识码为所述进程的执行文件在被预设算法计算后得到的唯一识别码；
180.第二确定子模块4212，可以用于获取所述父进程的父进程信息，并将所述父进程信息确定为所述来源信息。
181.进一步的，如图5所示，所述本地操作行为至少包括本地关键区域操作行为、本地账户操作行为，以及本地进程或服务的管理行为中的一种；
182.所述第一获取模块421，包括：
183.第一获取子模块4213，可以用于当确定所述本地操作行为为所述本地关键区域操作行为时，获取第一操作信息、第一进程信息、以及操作时间，作为所述行为信息；其中，所述第一操作信息中至少包括操作目标，所述操作目标包括被所述本地关键区域操作行为修改的文件，所述第一进程信息为执行所述本地关键区域操作行为的所述进程的信息，所述第一进程信息中至少包括所述进程的所述进程标识；
184.第二获取子模块4214，可以用于当确定所述本地操作行为为本地账户操作行为时，获取第二操作信息以及第二进程信息，作为所述行为信息，其中，所述第二操作信息可以用于表征所述本地账户操作行为对账户进行修改、增加以及删除时产生的信息，所述第二进程信息为执行所述本地操作行为的所述进程的信息，所述第二进程信息中至少包括所述进程的所述进程标识；
185.第三获取子模块4215，可以用于当确定所述本地操作行为为本地进程或服务的管理行为时，获取第三操作信息以及第三进程信息，作为所述行为信息；其中，所述第三操作信息可以用于表征被加载或关闭的驱动的信息，以及被强制开启或关闭的被控进程的信息；所述第三进程信息为执行所述本地进程或服务的管理行为的所述进程的信息，所述第三进程信息中至少包括所述进程的所述进程标识。
186.进一步的，如图5所示，所述网络操作行为至少包括通信行为及下载行为中的一种；所述网络参数至少包括第一参数及第二参数中的一种；
187.所述第二获取模块422，包括：
188.第一获取子模块4221，可以用于当确定所述网络操作行为为所述通信行为时，获取所述通信行为对应的第一参数，并基于所述预设规则获取对应所述通信行为的通信信息作为所述行为信息，其中，所述通信信息中包括被监控的数据；所述第一参数包括当所述通信行为为进程外连或外部接入时的ipv4信息、ipv6信息、目的地址、目的端口，本地地址以及本地端口中的至少一种；
189.第二获取子模块4222，可以用于当确定所述网络操作行为为所述下载行为时，获取所述下载行为对应的第二参数，并基于所述预设规则获取对应所述下载行为的下载信息作为所述行为信息，其中，所述下载信息包括被下载的数据；所述第二参数包括下载地址。
190.进一步的，作为对上述图2及图3所示方法的实现，本技术另一实施例还提供了一种攻击行为溯源装置，应用于服务器。该攻击行为溯源装置实施例与前述方法实施例对应，为便于阅读，本攻击行为溯源装置实施例不再对前述方法实施例中的细节内容进行逐一赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。具体如图6所示，该攻击行为溯源装置包括：
191.接收单元61，可以用于接收进程的标识信息以及关联信息，其中，所述关联信息至少包括可以用于体现执行行为的所述进程的来源的来源信息，所述行为类型包括本地操作
行为以及网络操作行为中的至少一种；
192.判断单元62，可以用于根据预设风险规则及所述关联信息，判断所述进程是否存在攻击行为，其中，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则；
193.执行单元63，可以用于若根据预设风险规则及所述关联信息，判断所述进程存在攻击行为，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源。
194.进一步的，如图7所示，所述装置还包括：
195.确定单元64，可以用于根据所述进程标识，确定对应所述进程标识的所述关联信息是否唯一；
196.去重单元65，可以用于若确定对应所述进程标识的所述关联信息不唯一，则在多个所述关联信息中进行去重操作；
197.其中，所述去重操作可以用于当基于所述关联信息中的所述行为信息包含的数据内容相同时，仅保留一个所述关联信息，并将多余的所述关联信息进行删除。
198.进一步的，如图7所示，所述执行单元63包括：
199.第一执行模块631，可以用于当所述关联信息包括相关进程信息以及行为信息时，从所述相关进程信息中获取所述进程的父进程的信息，并生成所述攻击行为的第一溯源信息，其中，所述第一溯源信息中包含所述进程与所述父进程之间的关系，以及所述行为信息对应的本地操作行为；
200.第二执行模块632，可以用于当所述关联信息包括网络参数信息以及行为信息时，从所述网络参数信息中确定所述进程的控制源，并生成所述攻击行为的第二溯源信息，所述第二溯源信息中包含所述进程的控制源的网络参数，以及所述行为信息对应的网络操作行为。
201.进一步的，如图7所示，所述第一溯源信息为体现所述进程与所述父进程之间关系，以及所述进程与所述本地操作行为之间关系的第一拓扑图；和/或，
202.所述第二溯源信息为体现所述进程与所述控制源之间关系，以及所述进程与所述网络操作行为之间关系的第二拓扑图。
203.进一步的，作为对上述图1至图3所示方法的实现，本技术另一实施例还提供了一种攻击行为溯源系统，如图8所示，该系统包括客户端801与服务器802，
204.所述客户端801与所述服务器802交互通信，其中，所述客户端801可以用于执行如图1或图3中应用于客户端的任一项所述的攻击行为溯源方法；
205.所述服务器802可以用于执行如图2或图3中应用于服务器的任一项所述的攻击行为溯源方法。
206.本技术实施例提供一种攻击行为溯源方法、装置及系统，本技术实施例在客户端能够确定本地进程的行为对应的行为类型，然后根据预设规则，获取对应所述行为类型的关联信息，最后将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息及所述标识信息对所述进程的攻击行为进行溯源，同时在服务器能够接收进程的标识信息以及关联信息，然后根据预设风险规则及所述关联信息，判断所述进程是否存在攻击行为，若存在，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源，从而实现攻击行为溯源功能。与现有技术相比，由于所述关联信息至少包括
用于体现执行所述行为的所述进程的来源的来源信息；这就确保在客户端检测过程中，能够在进程产生操作行为时就获取到该进程的来源并将这些信息发送给服务器，而服务器在接收到这些信息后，就能够根据预设风险规则进行判断，并确定进程的行为存在风险时基于关联信息中的来源信息确定进程的来源，从而实现溯源的效果，与常规的根据系统日志进行数据分析来实现溯源的方式相比，明显减少了分析时的数据量，无需从大量庞杂的数据中筛选出哪些是攻击进程的来源的信息，减少了服务器这一侧分析过程中的数据分析量，从而减少了分析时间，提高了攻击行为溯源的效率。另外，在本实施例中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则，这就使得在本技术的攻击行为溯源方法执行时，能够基于进程的行为对应的行为类型有针对性的进行攻击行为的分析，从而确保了不同类型的攻击行为的识别的准确性，并且在本技术中，基于不同的行为类型获取对应的关联信息，能够确保所获取的关联信息与不同类型的攻击行为相匹配，从而确保了来源信息的准确性，有利于服务器准确识别攻击行为的来源。
207.本技术实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述所述的攻击行为溯源方法。
208.存储介质可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
209.本技术实施例还提供了一种攻击行为溯源装置，所述装置包括存储介质；及一个或者多个处理器，所述存储介质与所述处理器耦合，所述处理器被配置为执行所述存储介质中存储的程序指令；所述程序指令运行时执行上述所述的攻击行为溯源方法。
210.本技术实施例提供了一种设备，应用于客户端，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：确定本地进程的行为对应的行为类型，其中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；根据预设规则，获取对应所述行为类型的关联信息，其中，所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息；将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息及所述标识信息对所述进程的攻击行为进行溯源。
211.进一步的，所述关联信息还包括行为信息；
212.所述根据预设规则，获取对应所述行为类型的关联信息，包括：
213.当所述行为类型为所述本地操作行为时，获取所述进程的相关进程信息，作为所述来源信息，并基于所述预设规则获取对应所述本地操作行为的所述行为信息，其中，所述相关进程信息包括所述进程的父进程信息；和/或，
214.当所述行为类型为所述网络操作行为时，获取所述网络操作行为的网络参数信息，作为所述来源信息，并基于所述预设规则获取对应所述网络操作行为的所述行为信息。
215.进一步的，所述获取所述进程的相关进程信息，作为所述来源信息，包括：
216.基于所述进程标识确定所述进程的相关进程，所述相关进程包括父进程及子进程，其中所述进程标识包括进程识别号以及进程文件标识码，所述进程文件标识码为所述
进程的执行文件在被预设算法计算后得到的唯一识别码；
217.获取所述父进程的父进程信息，并将所述父进程信息确定为所述来源信息。
218.进一步的，所述本地操作行为至少包括本地关键区域操作行为、本地账户操作行为，以及本地进程或服务的管理行为中的一种；
219.所述基于所述预设规则获取对应所述本地操作行为的所述行为信息，包括：
220.当确定所述本地操作行为为本地关键区域操作行为时，获取第一操作信息、第一进程信息、以及操作时间，作为所述行为信息；其中，所述第一操作信息中至少包括操作目标，所述操作目标包括被所述本地关键区域操作行为修改的文件，所述第一进程信息为执行所述本地关键区域操作行为的所述进程的信息，所述第一进程信息中至少包括所述进程的所述进程标识；和/或，
221.当确定所述本地操作行为为本地账户操作行为时，获取第二操作信息以及第二进程信息，作为所述行为信息，其中，所述第二操作信息用于表征所述本地账户操作行为对账户进行修改、增加以及删除时产生的信息，所述第二进程信息为执行所述本地操作行为的所述进程的信息，所述第二进程信息中至少包括所述进程的所述进程标识；和/或，
222.当确定所述本地操作行为为本地进程或服务的管理行为时，获取第三操作信息以及第三进程信息，作为所述行为信息；其中，所述第三操作信息用于表征被加载或关闭的驱动的信息，以及被强制开启或关闭的被控进程的信息；所述第三进程信息为执行所述本地进程或服务的管理行为的所述进程的信息，所述第三进程信息中至少包括所述进程的所述进程标识。
223.进一步的，所述网络操作行为至少包括通信行为及下载行为中的一种；所述网络参数至少包括第一参数及第二参数中的一种；
224.所述当所述行为类型为所述网络操作行为时，获取所述网络操作行为的网络参数信息，作为所述来源信息，并基于所述预设规则获取对应所述网络操作行为的所述行为信息，包括：
225.当确定所述网络操作行为为所述通信行为时，获取所述通信行为对应的第一参数，并基于所述预设规则获取对应所述通信行为的通信信息作为所述行为信息，其中，所述通信信息中包括被监控的数据；所述第一参数包括当所述通信行为为进程外连或外部接入时的ipv4信息、ipv6信息、目的地址、目的端口，本地地址以及本地端口中的至少一种；和/或，
226.当确定所述网络操作行为为所述下载行为时，获取所述下载行为对应的第二参数，并基于所述预设规则获取对应所述下载行为的下载信息作为所述行为信息，其中，所述下载信息包括被下载的数据；所述第二参数包括下载地址。本技术还提供了一种计算机程序产品，应用于客户端，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序代码：确定本地进程的行为对应的行为类型，其中，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；根据预设规则，获取对应所述行为类型的关联信息，其中，所述关联信息至少包括用于体现执行所述行为的所述进程的来源的来源信息；将所述关联信息及所述进程的标识信息发送至服务器，以便所述服务器基于所述关联信息及所述标识信息对所述进程的攻击行为进行溯源。
227.本技术实施例提供了一种设备，应用于服务器，设备包括处理器、存储器及存储在
存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：接收进程的标识信息以及关联信息，其中，所述关联信息至少包括用于体现执行行为的所述进程的来源的来源信息，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；根据预设风险规则及所述关联信息，判断所述进程是否存在攻击行为，其中，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则；若存在，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源。
228.进一步的，在所述基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源之前，所述方法还包括：
229.根据所述进程标识，确定对应所述进程标识的所述关联信息是否唯一；
230.若不唯一，则在多个所述关联信息中进行去重操作；
231.其中，所述去重操作用于当基于所述关联信息中的所述行为信息包含的数据内容相同时，仅保留一个所述关联信息，并将多余的所述关联信息进行删除。
232.进一步的，所述基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源包括：
233.当所述关联信息包括相关进程信息以及行为信息时，从所述相关进程信息中获取所述进程的父进程的信息，并生成所述攻击行为的第一溯源信息，其中，所述第一溯源信息中包含所述进程与所述父进程之间的关系，以及所述行为信息对应的本地操作行为；和/或，
234.当所述关联信息包括网络参数信息以及行为信息时，从所述网络参数信息中确定所述进程的控制源，并生成所述攻击行为的第二溯源信息，所述第二溯源信息中包含所述进程的控制源的网络参数，以及所述行为信息对应的网络操作行为。
235.进一步的，所述第一溯源信息为体现所述进程与所述父进程之间关系，以及所述进程与所述本地操作行为之间关系的第一拓扑图；和/或，
236.所述第二溯源信息为体现所述进程与所述控制源之间关系，以及所述进程与所述网络操作行为之间关系的第二拓扑图。
237.本技术还提供了一种计算机程序产品，应用于服务器，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序代码：接收进程的标识信息以及关联信息，其中，所述关联信息至少包括用于体现执行行为的所述进程的来源的来源信息，所述行为类型包括本地操作行为以及网络操作行为中的至少一种；根据预设风险规则及所述关联信息，判断所述进程是否存在攻击行为，其中，所述预设风险规则中包含有判断所述本地操作行为是否为所述攻击行为的本地风险规则以及判断所述网络操作行为是否为所述攻击行为的网络风险规则；若存在，则基于所述关联信息中的所述来源信息对所述进程的所述攻击行为进行溯源。
238.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
239.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
240.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
241.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
242.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
243.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
244.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
245.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
246.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
247.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、
改进等，均应包含在本技术的权利要求范围之内。