申请/专利权人：杭州安恒信息技术股份有限公司

申请日：2022-09-02

公开（公告）日：2024-04-26

公开（公告）号：CN115442279B

主分类号：H04L43/0876

分类号：H04L43/0876;H04L41/0677;H04L41/0631

优先权：

专利状态码：有效-授权

法律状态：2024.04.26#授权;2022.12.23#实质审查的生效;2022.12.06#公开

摘要：本申请公开了一种告警源定位方法、装置、设备及存储介质，涉及网络安全技术领域。该方法包括：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。通过本申请的技术方案，可以解决人工溯源进程定位告警源的问题，能够及时、快速的进行调查分析动作，并且可以减少大量同一事件产生的告警的审核和处置，达到告警降噪的效果。

主权项：1.一种告警源定位方法，其特征在于，包括：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警；所述部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组，包括：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到网络连接的源IP、源端口、目的IP、目的端口和传输协议；相应的，所述部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组，包括：部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到所述行为事件对应的进程的源IP、源端口、目的IP、目的端口和传输协议；所述部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组，包括：部署终端采集探针并对所述主机的进程创建、进程结束、文件创建、文件删除、网络连接、注册表创建、注册表修改进行可持续监测，以得到终端行为数据五元组；所述将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号，包括：通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；所述对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警，包括：对与所述进程标识号对应的目标进程进行上下文溯源，并将得到的进程溯源链上传到所述扩展检测和响应平台；通过所述扩展检测和响应平台将所述进程溯源链与所述流量告警五元组进行网端关联，以便根据网端关联后生成的关系树进行自动处置风险告警。

全文数据：

权利要求：

百度查询： 杭州安恒信息技术股份有限公司 一种告警源定位方法、装置、设备及存储介质

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD