一种攻击溯源方法及装置与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种攻击溯源方法及装置。


背景技术：

2.目前，随着网络的飞速发展，网络已经成为人们日常生活中不可缺少的内容，同时，网络上的恶意行为也随之增多，基于网络的攻击行为层出不穷，所以网络安全问题也越来越受到重视。现有的网络攻击溯源方法，通常通过分组标记方法，对网络中所有路由器进行分组标记，在进行攻击溯源时，根据标记进行溯源。然而在实践中发现，现有分组标记方法由于硬件复杂度高，导致成本高，另外由于网络错综复杂，导致分组数据长度的增加，从而加重了网络负担。可见，现有方法成本高，会占用较大的网络资源，适用性差，从而降低了追踪溯源效率。


技术实现要素：

3.本技术实施例的目的在于提供一种攻击溯源方法及装置，能够简单快速对网络攻击进行溯源，成本低，节省网络资源，适用性好，有利于提升追踪溯源效率。
4.本技术实施例第一方面提供了一种攻击溯源方法，包括：获取目标终端的进程数据、网络数据和文件数据；将所述网络数据与所述进程数据进行关联处理得到第一关联数据；并将所述文件数据与所述进程数据进行关联处理，得到第二关联数据；根据所述第一关联数据和所述第二关联数据生成目标终端的关联进程链数据，并将所述关联进程链数据存储至进程链数据库中；当接收到针对所述目标终端的网络攻击告警信息时，根据所述进程链数据库和所述网络攻击告警信息进行攻击溯源，得到攻击溯源信息。
5.在上述实现过程中，先获取目标终端的进程数据、网络数据和文件数据；然后将网络数据与进程数据进行关联处理得到第一关联数据；并将文件数据与进程数据进行关联处理，得到第二关联数据；再根据第一关联数据和第二关联数据生成目标终端的关联进程链数据，并将关联进程链数据存储至进程链数据库中；当接收到针对目标终端的网络攻击告警信息时，根据进程链数据库和网络攻击告警信息进行攻击溯源，得到攻击溯源信息，能够简单快速对网络攻击进行溯源，成本低，节省网络资源，适用性好，有利于提升追踪溯源效率。
6.进一步地，将所述网络数据与所述进程数据进行关联处理得到第一关联数据，包括：获取所述进程数据中的目标进程标识、目标网络地址、进程动作时间以及进程动作数据；判断所述网络数据与所述目标进程标识是否相匹配；如果所述网络数据与所述目标进程标识相匹配，则根据所述目标进程标识，将所
述网络数据与所述进程数据进行基于进程标识的关联处理，得到第一关联数据；如果所述网络数据与所述目标进程标识不匹配，则判断所述网络数据与所述目标网络地址是否相匹配；如果所述网络数据与所述目标网络地址相匹配，则根据所述目标网络地址，将所述网络数据与所述进程数据进行基于网络地址的关联处理，得到第一关联数据。
7.进一步地，所述方法还包括：当判断出所述网络数据与所述目标网络地址不匹配时，则判断所述网络数据与所述进程动作时间是否相匹配；如果是，则获取所述网络数据中的网络日志数据，并在所述网络日志数据与所述进程动作数据相匹配时，将所述网络数据与所述进程数据进行基于时间的关联处理，得到第一关联数据。
8.进一步地，将所述文件数据与所述进程数据进行关联处理，得到第二关联数据，包括：获取所述进程数据中的目标文件路径；判断所述文件数据与所述目标进程标识是否相匹配；如果所述文件数据与所述目标进程标识相匹配，则根据所述目标进程标识，将所述文件数据与所述进程数据进行基于进程标识的关联处理，得到第二关联数据；如果所述文件数据与所述目标进程标识不匹配，则判断所述文件数据与所述目标文件路径是否相匹配；如果所述文件数据与所述目标文件路径相匹配，则根据所述目标文件路径，将所述文件数据与所述进程数据进行基于文件路径的关联处理，得到第二关联数据。
9.进一步地，所述方法还包括：当判断出所述文件数据与所述目标文件路径不匹配时，则判断所述文件数据与所述进程动作时间是否相匹配；如果是，则获取所述文件数据中的文件日志数据，并在所述文件日志数据与所述进程动作数据相匹配时，将所述文件数据与所述进程数据进行基于时间的关联处理，得到第二关联数据。
10.进一步地，在将所述关联进程链数据存储至进程链数据库中之后，所述方法还包括：当检测出所述目标终端出现异常时，获取出现异常的基本信息；根据所述进程链数据库确定与所述基本信息相匹配的异常关联进程链数据；对所述异常关联进程链数据进行异常分析，确定出所述目标终端出现异常的完整过程数据；输出包括所述完整过程数据的异常提示信息。
11.进一步地，根据所述进程链数据库和所述网络攻击告警信息进行攻击溯源，得到攻击溯源信息，包括：根据所述网络攻击告警信息获取网络攻击信息；根据所述进程链数据库确定与所述网络攻击信息相匹配的攻击进程链数据；对所述攻击进程链数据进行溯源分析，确定出攻击者攻击所述目标终端的完整攻
击过程数据；输出包括所述完整攻击过程数据的攻击溯源信息。
12.本技术实施例第二方面提供了一种攻击溯源装置，所述攻击溯源装置包括：获取单元，用于获取目标终端的进程数据、网络数据和文件数据；第一关联单元，用于将所述网络数据与所述进程数据进行关联处理得到第一关联数据；第二关联单元，用于将所述文件数据与所述进程数据进行关联处理，得到第二关联数据；进程链生成单元，用于根据所述第一关联数据和所述第二关联数据生成目标终端的关联进程链数据；存储单元，用于将所述关联进程链数据存储至进程链数据库中；攻击溯源单元，用于当接收到针对所述目标终端的网络攻击告警信息时，根据所述进程链数据库和所述网络攻击告警信息进行攻击溯源，得到攻击溯源信息。
13.在上述实现过程中，获取单元先获取目标终端的进程数据、网络数据和文件数据；然后第一关联单元将网络数据与进程数据进行关联处理得到第一关联数据；第二关联单元将文件数据与进程数据进行关联处理，得到第二关联数据；进程链生成单元再根据第一关联数据和第二关联数据生成目标终端的关联进程链数据，存储单元将关联进程链数据存储至进程链数据库中；攻击溯源单元在收到针对目标终端的网络攻击告警信息时，根据进程链数据库和网络攻击告警信息进行攻击溯源，得到攻击溯源信息，能够简单快速对网络攻击进行溯源，成本低，节省网络资源，适用性好，有利于提升追踪溯源效率。
14.本技术实施例第三方面提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本技术实施例第一方面中任一项所述的攻击溯源方法。
15.本技术实施例第四方面提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本技术实施例第一方面中任一项所述的攻击溯源方法。
附图说明
16.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
17.图1为本技术实施例提供的一种攻击溯源方法的流程示意图；图2为本技术实施例提供的一种攻击溯源装置的结构示意图；图3是本技术实施例提供的一种进程数据与网络数据、文件进行关联处理的流程示意图。
具体实施方式
18.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
19.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
20.实施例1请参看图1，图1为本技术实施例提供了一种攻击溯源方法的流程示意图。其中，该攻击溯源方法包括：s101、获取目标终端的进程数据、网络数据和文件数据。
21.本技术实施例中，可以在目标终端内设置采集装置，然后通过该采集装置采集目标终端的数据。具体地，该采集装置具体可以为agent装置。
22.本技术实施例中，该进程数据、网络数据和文件数据可以为预设时间段内的数据，可以每隔预设时间段获取这段时间内目标终端产生的进程数据、网络数据和文件数据。
23.本技术实施例中，进程数据包括进程日志数据、进程标识（例如进程id等）、进程名称、进程动作、进程命令行、工作目录、进程创建时间、进程结束时间、进程所属终端、进程所属会话、进程所属用户的用户标识（例如用户id等）、进程所属用户的用户名、进程所属用户的用户权限、进程对应的进程文件、该进程文件的文件路径、该进程文件的创建时间、该进程文件的修改时间、该进程文件的最后一次访问时间、进程的父进程标识（例如父进程id等）等中的一种或者多种，对此本技术实施例不作限定。
24.本技术实施例中，网络数据包括网络日志数据、相关进程标识（例如进程id等）、网络地址、网络数据产生时间、dns（domain name server，域名解析）数据包、http（hyper text transfer protocol，超文本传输协议）数据包、tcp（transmission control protocol，传输控制协议）数据包、udp（user datagram protocol，用户数据包协议）数据包、icpm（internet control message protocol，internet控制报文协议）数据包等中的一种或者多种，对此本技术实施例不作限定。
25.本技术实施例中，文件数据包括文件日志数据、相关进程标识（例如进程id等）、文件路径、md5文件、sha256文件、文件属性、文件大小、文件类型、文件创建时间、文件修改时间、文件最后一次访问时间等中的一种或者多种，对此本技术实施例不作限定。
26.其中，md5，即信息摘要算法（md5 message-digest algorithm），一种被广泛使用的密码散列函数，可以产生出一个128位（16字节）的散列值（hash value），用于确保信息传输完整一致。
27.其中，sha256，即 sha-256是一些列数字货币使用的加密算法。
28.本技术实施例中，该方法的执行主体可以为计算机、服务器等计算装置，对此本实施例中不作任何限定。
29.在本技术实施例中，该方法的执行主体还可以为智能手机、平板电脑等智能设备，对此本实施例中不作任何限定。
30.s102、获取进程数据中的目标进程标识、目标网络地址、进程动作时间以及进程动作数据。
31.s103、判断网络数据与目标进程标识是否相匹配，如果匹配，则执行步骤s104；如果不匹配，则执行步骤s105。
32.本技术实施例中，判断网络数据与目标进程标识是否相匹配，即判断网络数据中
的进程标识与进程数据中的目标进程标识是否一致，如果一致，则表示网络数据与该目标进程标识相匹配，如果不一致，则表示该网络数据与目标进程标识不匹配。
33.s104、根据目标进程标识，将网络数据与进程数据进行基于进程标识的关联处理得到第一关联数据，并执行步骤s110。
34.本技术实施例中，当判断出网络数据与目标进程标识相匹配时，则可以将网络数据丰富到进程数据，形成第一关联数据。
35.本技术实施例中，将网络数据与进程数据进行基于进程标识的关联处理得到的第一关联数据，其置信度为第一置信度。
36.s105、判断网络数据与目标网络地址是否相匹配，如果匹配，执行步骤s106；如果不匹配，执行步骤s107。
37.本技术实施例中，如果网络数据与目标进程标识不匹配，则表示网络数据中的进程标识为空，或者与进程数据中的目标进程标识不一致，则可以判断网络数据中的网络地址和进程数据中的目标网络地址是否一致，如果是，确定网络数据与目标网络地址相匹配；如果不一致，则确定网络数据与目标网络地址不匹配。
38.s106、根据目标网络地址，将网络数据与进程数据进行基于网络地址的关联处理得到第一关联数据，并执行步骤s110。
39.本技术实施例中，如果网络数据与目标网络地址相匹配，则将网络数据丰富到进程数据，形成第一关联数据。
40.本技术实施例中，将网络数据与进程数据进行基于网络地址的关联处理得到的第一关联数据，其置信度为第二置信度。
41.s107、判断网络数据与进程动作时间是否相匹配，如果匹配，则执行步骤s108；如果否，执行步骤s109。
42.s108、获取网络数据中的网络日志数据，并在网络日志数据与进程动作数据相匹配时，将网络数据与进程数据进行基于时间的关联处理得到第一关联数据，并执行步骤s109。
43.本技术实施例中，如果网络数据与目标进程标识、目标网络地址都不匹配时，则表示目标网络地址为空，或者目标网络地址与网络数据中的网络地址不匹配。
44.本技术实施例中，举例来说，如果存在网络数据，通过规则匹配确认数据的准确性，从而可以确认网络日志数据与进程动作数据是否相匹配。例如，如果进程数据包括ping进程，网络数据包括icmp数据包，并且icmp数据包产生时间在ping进程运行期间，则认为网络日志数据与进程动作数据是相匹配的。
45.作为一种可选的实施方式，则判断网络数据与进程动作时间是否相匹配，包括：获取网络数据中数据接收时间和/或数据发送时间；判断数据接收时间和/或数据发送时间与进程动作时间是否一致；当判断出数据接收时间与进程动作时间一致时；或者，当判断出数据发送时间与进程动作时间一致时；或者，当判断出数据接收时间与进程动作时间一致，且数据发送时间与进程动作时间一致时，则确定网络日志数据与进程动作时间相匹配。
46.如果数据接收时间与进程动作时间不一致，且数据发送时间与进程动作时间不一
致，则确定网络日志数据与进程动作时间不匹配。
47.本技术实施例中，当网络日志数据与进程动作时间相匹配，则继续判断网络日志数据与进程动作数据是否匹配，如果是，则将网络数据丰富到进程数据，形成第一关联数据。
48.本技术实施例中，将网络数据与进程数据进行基于时间的关联处理得到的第一关联数据，其置信度为第三置信度。
49.s109、将进程数据确定为第一关联数据，并执行步骤s110。
50.本技术实施例中，当网络数据与进程动作时间不匹配时，则丢弃该网络数据不进行关联，此时执行步骤s110~步骤s117，进行文件数据与进程数据之间的关联处理。
51.本技术实施例中，当第一关联数据为进程数据时，表示网络数据没有与进程数据进行关联，此时第一关联数据没有置信度。
52.本技术实施例中，实施上述步骤s102~步骤s109，能够将网络数据与进程数据进行关联处理得到第一关联数据。
53.s110、获取进程数据中的目标文件路径。
54.s111、判断文件数据与目标进程标识是否相匹配，如果匹配，则执行步骤s112；如果不匹配，则执行步骤s113。
55.本技术实施例中，判断文件数据与目标进程标识是否相匹配，即判断文件数据中的进程标识与进程数据中的目标进程标识是否一致，如果一致，则表示文件数据与该进程数据相匹配，如果不一致，则表示该文件数据与进程数据不匹配。
56.s112、根据目标进程标识，将文件数据与进程数据进行基于进程标识的关联处理，得到第二关联数据，并执行步骤s118。
57.本技术实施例中，判断文件数据中的进程标识和进程数据中的目标进程标识是否一致，如果是，则文件数据与进程数据相匹配，则将文件数据丰富到进程数据，形成第二关联数据。
58.本技术实施例中，将文件数据与进程数据进行基于进程标识的关联处理得到的第二关联数据，其置信度为第一置信度。
59.s113、判断文件数据与目标文件路径是否相匹配，如果是，执行步骤s114；如果否，执行步骤s115。
60.s114、根据目标文件路径，将文件数据与进程数据进行基于文件路径的关联处理，得到第二关联数据，并执行步骤s118。
61.本技术实施例中，如果文件数据与目标文件路径相匹配，则表示文件数据中的进程标识为空，或者文件数据中的进程标识与目标进程标识不一致，则判断文件数据中的文件路径和进程数据中的目标文件路径是否一致，如果是，表示文件数据与目标文件路径相匹配，则将文件数据丰富到进程数据，形成第二关联数据。
62.本技术实施例中，将文件数据与进程数据进行基于文件路径的关联处理得到的第二关联数据，其置信度为第二置信度。
63.s115、判断文件数据与进程动作时间是否相匹配，如果是，执行步骤s116；如果否，执行步骤s117。
64.本技术实施例中，当判断出文件数据与目标文件路径不匹配时，表示目标文件路
径为空，或者目标文件路径与文件数据中的文件路径不一致。
65.作为一种可选的实施方式，判断文件数据与进程动作时间是否相匹配，包括：获取文件数据中的时间数据和文件日志数据，该时间数据包括文件创建时间、文件修改时间、文件最后一次访问时间中的一种或者多种；判断时间数据与进程动作时间是否一致；如果是，则文件数据与进程动作时间相匹配；如果否，则文件数据与进程动作时间不匹配。
66.s116、获取文件数据中的文件日志数据，并在文件日志数据与进程动作数据相匹配时，将文件数据与进程数据进行基于时间的关联处理，得到第二关联数据，并执行步骤s118。
67.本技术实施例中，举例来说，如果进程数据包括创建文件的进程动作数据、读写文件的进程动作数据，则根据文件日志数据确定出在对应时间点上存在文件数据时，则可以确定文件日志数据与进程动作数据相匹配。
68.本技术实施例中，当文件日志数据与进程动作数据不匹配时，执行步骤s117。
69.本技术实施例中，将文件数据与进程数据进行基于时间的关联处理，得到第二关联数据，其置信度为第三置信度。
70.s117、将进程数据确定为第二关联数据，并执行步骤s118。
71.本技术实施例中，当文件数据与进程动作时间不匹配时，则丢弃该文件数据不进行关联，此时第二关联数据就只有进程数据。
72.本技术实施例中，当第二关联数据为进程数据时，表示文件数据没有与进程数据进行关联，此时第二关联数据没有置信度。
73.本技术实施例中，实施上述步骤s110~步骤s117，能够将文件数据与进程数据进行关联处理，得到第二关联数据。
74.本技术实施例中，将网络数据和文件数据与进程数据进行关联处理，即将网络数据和文件数据整合到进程数据中，以丰富进程数据，数据整合就是定义一个对进程描述的协议，将对应的数据填充到协议中。
75.本技术实施例中，步骤s102~步骤s109，可以发生在步骤s110~步骤s117之前，也可以发生在步骤s110~步骤s117之后，也可以与步骤s110~步骤s117并行进行处理，本实施例仅给出其中一种处理顺序，具体执行顺序本技术实施例不作限定。
76.本技术实施例中，当步骤s102~步骤s109与步骤s110~步骤s117并行进行时，则将文件数据与进程数据进行关联处理得到第一关联数据，同时将网络数据与进程数据进行关联处理得到第二关联数据，即可以同时得到第一关联数据和第二关联数据。
77.s118、根据第一关联数据和第二关联数据生成目标终端的关联进程链数据，并将关联进程链数据存储至进程链数据库中。
78.作为一种可选的实施方式，根据第一关联数据和第二关联数据生成目标终端的关联进程链数据，包括：根据进程数据将第一关联数据和第二关联数据进行合并整合处理，得到整合数据；根据整合数据生成目标终端的关联进程链数据。
79.本技术实施例中，因为第一关联数据和第二关联数据均包括进程数据，可以先根据进程数据将第一关联数据和第二关联数据进行整合处理，得到整合数据。
80.本技术实施例中，按照数据的置信度从大到小依次为第一置信度、第二置信度以及第三置信度。
81.本技术实施例中，以本实施例给出的执行顺序为例，通过不同的匹配条件，能够将网络数据、文件数据分别与进程数据相关联，通过步骤s102~步骤s109，将网络数据与进程数据进行关联得到的第一关联数据，其置信度可以为第一置信度、第二置信度、第三置信度、无置信度中的其中一种，经过步骤s110~步骤s117，能够将文件数据与进程数据进行关联处理，得到第二关联数据，其置信度可以为第一置信度、第二置信度、第三置信度、无置信度中的其中一种，对此本技术实施例不作限定。
82.如图3所示，图3是本技术实施例提供的一种进程数据与网络数据、文件进行关联处理的流程示意图。如图3所示，即为步骤s102~步骤s109与步骤s110~步骤s117并行进行处理的流程。可以根据不同的关联条件，可以得到不同置信度的第一关联数据和第二关联数据，因此，将第一关联数据和第二关联数据进行整合处理得到的整合数据，该整合数据包括不同置信度的第一关联数据和第二关联数据。举例来说，整合数据可以包括第一置信度的第一关联数据和第二置信度的第二关联数据。
83.如图3所示，当第一关联数据为第一置信度，且第二关联数据为第一置信度时，将第一关联数据和第二关联数据进行整合处理得到的整合数据，为第一置信整合数据；当第一关联数据为第二置信度，且第二关联数据为第二置信度时，将第一关联数据和第二关联数据进行整合处理得到的整合数据，为第二置信整合数据；当第一关联数据为第三置信度，且第二关联数据为第三置信度时，将第一关联数据和第二关联数据进行整合处理得到的整合数据，为第三置信整合数据。
84.本技术实施例中，采集目标终端的进程数据、网络数据、文件数据后，经过整合形成完整的关联进程链数据。将关联进程链数据存储至进程链数据库中，即可以将关联进程链数据发送到oneedr服务器以存储至进程链数据库中。
85.本技术实施例中，目标终端上的采集装置持续执行步骤s101~步骤s118，不断获取预设时间段内的进程数据、网络数据和文件数据并对其进行关联后，发送完整的关联进程链数据到oneedr服务器，形成进程链数据库。进程链数据库中包含与关联进程链数据相关的进程数据、网络数据和文件数据。
86.本技术实施例中，举例来说，以反弹shell为例，目标终端本地发送一个网络连接请求到其他目标终端，后不断执行shell命令。使用该方法，能够将网络连接后产生的shell命令和产生网络连接的进程数据进行数据关联处理，使进程链完整。
87.作为一种可选地实施方式，在将关联进程链数据存储至进程链数据库中之后，方法还包括：当检测出目标终端出现异常时，获取出现异常的基本信息；根据进程链数据库确定与基本信息相匹配的异常关联进程链数据；对异常关联进程链数据进行异常分析，确定出目标终端出现异常的完整过程数据；输出包括完整过程数据的异常提示信息。
88.s119、当接收到针对目标终端的网络攻击告警信息时，根据进程链数据库和网络攻击告警信息进行攻击溯源，得到攻击溯源信息。
89.本技术实施例中，当接收到目标终端的网络攻击告警信息时，可以与进程链数据库中的各类信息进行匹配，如果其中一类信息匹配成功，则将整个关联进程链数据作为攻击溯源信息，并将该攻击溯源信息反馈给安全运维人员。
90.作为一种可选的实施方式，根据进程链数据库和网络攻击告警信息进行攻击溯源，得到攻击溯源信息，包括：根据网络攻击告警信息获取网络攻击信息；根据进程链数据库确定与网络攻击信息相匹配的攻击进程链数据；对攻击进程链数据进行溯源分析，确定出攻击者攻击目标终端的完整攻击过程数据；输出包括完整攻击过程数据的攻击溯源信息。
91.在上述实施方式中，在网络攻击溯源中，由于目标终端已经预先将进程数据、文件数据和网络数据关联到一起，形成完整的关联进程链数据，当目标终端遭受攻击时，可以根据网络告警信息中的网络攻击信息，获取有效的关联数据信息，得到攻击进程链数据，减轻溯源难度，提供更多的有效数据，使溯源更准确，提供有效的提供威胁情报。同时通过该方法可以明显的提升程序性能，减少处理器和内存的使用率。
92.在上述实施方式中，通过包括完整攻击过程数据，能够充分了解攻击者对目标终端进行攻击的过程，有助于对该网络攻击进行充分分析，从而能够更好的对该网络攻击进行反制或者阻断处理，进而维护网络安全。
93.可见，实施本实施例所描述的攻击溯源方法，能够简单快速对网络攻击进行溯源，成本低，节省网络资源，适用性好，有利于提升追踪溯源效率。
94.实施例2请参看图2，图2为本技术实施例提供的一种攻击溯源装置的结构示意图。如图2所示，该攻击溯源装置包括：获取单元210，用于获取目标终端的进程数据、网络数据和文件数据；第一关联单元220，用于将网络数据与进程数据进行关联处理得到第一关联数据；第二关联单元230，用于将文件数据与进程数据进行关联处理，得到第二关联数据；进程链生成单元240，用于根据第一关联数据和第二关联数据生成目标终端的关联进程链数据；存储单元250，用于将关联进程链数据存储至进程链数据库中；攻击溯源单元260，用于当接收到针对目标终端的网络攻击告警信息时，根据进程链数据库和网络攻击告警信息进行攻击溯源，得到攻击溯源信息。
95.作为一种可选地实施方式，第一关联单元220包括：第一获取子单元221，用于获取进程数据中的目标进程标识、目标网络地址、进程动作时间以及进程动作数据；第一判断子单元222，用于判断网络数据与目标进程标识是否相匹配；第一关联子单元223，用于当判断出网络数据与目标进程标识相匹配时，则根据目
标进程标识，将网络数据与进程数据进行基于进程标识的关联处理，得到第一关联数据；第一判断子单元222，还用于当判断出网络数据与目标进程标识不匹配时，则判断网络数据与目标网络地址是否相匹配；第一关联子单元223，用于当判断出网络数据与目标网络地址相匹配时，则根据目标网络地址，将网络数据与进程数据进行基于网络地址的关联处理，得到第一关联数据。
96.作为一种可选地实施方式，第一判断子单元222，还用于当判断出网络数据与目标网络地址不匹配时，则判断网络数据与进程动作时间是否相匹配；第一获取子单元221，还用于当判断出网络数据与进程动作时间相匹配时，则获取网络数据中的网络日志数据；第一关联子单元223，还用于在网络日志数据与进程动作数据相匹配时，将网络数据与进程数据进行基于时间的关联处理，得到第一关联数据。
97.作为一种可选地实施方式，第二关联单元230包括：第二获取子单元231，用于获取进程数据中的目标文件路径；第二判断子单元232，用于判断文件数据与目标进程标识是否相匹配；第二关联子单元233，用于如果与目标进程标识相匹配，则根据目标进程标识，将文件数据与进程数据进行基于进程标识的关联处理，得到第二关联数据；第二判断子单元232，还用于当判断出文件数据与目标进程标识不匹配，则判断文件数据与目标文件路径是否相匹配；第二关联子单元233，还用于当判断出文件数据与目标文件路径相匹配，则根据目标文件路径，将文件数据与进程数据进行基于文件路径的关联处理，得到第二关联数据。
98.作为一种可选地实施方式，第二判断子单元232，还用于当判断出文件数据与目标文件路径不匹配时，则判断文件数据与进程动作时间是否相匹配；第二获取子单元231，用于当判断出文件数据与进程动作时间相匹配时，则获取文件数据中的文件日志数据，并在文件日志数据与进程动作数据相匹配时，将文件数据与进程数据进行基于时间的关联处理，得到第二关联数据。
99.作为一种可选地实施方式， 获取单元210，还用于在将关联进程链数据存储至进程链数据库中之后，当检测出目标终端出现异常时，获取出现异常的基本信息；该攻击溯源装置还包括：确定单元270，用于根据进程链数据库确定与基本信息相匹配的异常关联进程链数据；异常分析单元280，用于对异常关联进程链数据进行异常分析，确定出目标终端出现异常的完整过程数据；输出单元290，用于输出包括完整过程数据的异常提示信息。
100.作为一种可选地实施方式，攻击溯源单元260包括：确定子单元261，用于当接收到针对目标终端的网络攻击告警信息时，根据网络攻击告警信息获取网络攻击信息；并根据进程链数据库确定与网络攻击信息相匹配的攻击进程链数据；溯源子单元262，用于对攻击进程链数据进行溯源分析，确定出攻击者攻击目标终端的完整攻击过程数据；
输出子单元263，用于输出包括完整攻击过程数据的攻击溯源信息。
101.本技术实施例中，对于攻击溯源装置的解释说明可以参照实施例1中的描述，对此本实施例中不再多加赘述。
102.可见，实施本实施例所描述的攻击溯源装置，能够简单快速对网络攻击进行溯源，成本低，节省网络资源，适用性好，有利于提升追踪溯源效率。
103.本技术实施例提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本技术实施例1中的攻击溯源方法。
104.本技术实施例提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本技术实施例1中的攻击溯源方法。
105.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
106.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
107.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
108.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
109.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
110.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存
在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。