CN110096363B - 一种网络事件与进程的关联方法及装置 - Google Patents
一种网络事件与进程的关联方法及装置 Download PDFInfo
- Publication number
- CN110096363B CN110096363B CN201910356803.3A CN201910356803A CN110096363B CN 110096363 B CN110096363 B CN 110096363B CN 201910356803 A CN201910356803 A CN 201910356803A CN 110096363 B CN110096363 B CN 110096363B
- Authority
- CN
- China
- Prior art keywords
- identifier
- hash table
- determining
- log
- network event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/546—Message passing systems or structures, e.g. queues
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种网络事件与进程的关联方法及装置,涉及网络安全技术领域,可以快速将网络事件与进程相关联,以便后续实现网络事件的取证溯源。该方法包括:确定网络事件的标识信息;根据第一哈希表确定所述标识信息对应的进程标识,所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识;根据所述标识信息确定所述网络事件与所述进程标识关联的进程之间的关联关系。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络事件与进程的关联方法及装置。
背景技术
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,作为取证溯源的必要条件之一,需要在第一时间查找入侵来源,还原入侵事件过程,使企业的网络信息系统可以在最短时间的内恢复正常运行,避免企业遭受更大的损失。
现有技术通常使用netstat监控命令或者与之类似的监控方法周期性读取端口信息、索引节点信息以及进程信息,进而根据生成的端口与进程信息的映射表来获取对应的进程信息。
然而现有技术存在以下缺点:1、如果进程使用网络端口进行通信的时间较短,则无法监听到当前已经关闭的端口所对应的进程;2、基于缺点1,如果想要提高识别效果,可以增加netstat的查询频率,但同时会导致计算机CPU资源占用高的问题,而且也无法彻底解决缺点1中所描述的缺陷。
发明内容
本申请提供一种网络事件与进程的关联方法及装置,可以快速将网络事件与进程相关联,以便后续实现网络事件的取证溯源。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种网络事件与进程的关联方法,该方法包括:
确定网络事件的标识信息;根据第一哈希表确定所述标识信息对应的进程标识,所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识;根据所述标识信息确定所述网络事件与所述进程标识关联的进程之间的关联关系。
第二方面,本申请提供一种网络事件与进程的关联装置,该装置包括确定单元,所述确定单元用于:确定网络事件的标识信息;根据第一哈希表确定所述标识信息对应的进程标识,所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识;根据所述标识信息确定所述网络事件以及与所述进程标识关联的进程之间的关联关系。
第三方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述第一方面及其各种可选的实现方式中任意之一所述的方法。
第四方面,本申请提供一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行上述第一方面及其各种可选的实现方式中任意之一所述的方法。
第五方面,提供一种网络事件与进程的关联装置,包括:处理器、和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行计算机程序或指令,以执行上述第一方面所述的方法。
本发明提供了一种网络事件与进程的关联方法及装置,通过第一哈希表中存储的网络事件的五元组信息将网络事件与进程标识关联起来,并可以进一步确定网络事件与该进程标识关联的进程之间的关联关系。可以准确的将网络事件与对应的进程关联起来,而且整个过程不会占用太多的CPU资源,流程简单,关联速度快。
附图说明
图1为传统方法中生成端口与进程pid的映射关系表的流程示意图;
图2为传统方法中网络事件与进程的关联方法流程示意图;
图3为本申请实施例提供的网络事件与进程的关联方法的流程示意图一;
图4为本申请实施例提供的网络事件与进程的关联方法的流程示意图二;
图5为本申请实施例提供的第一哈希表的示意图;
图6为本申请实施例提供的第二哈希表的示意图;
图7为本申请实施例提供的网络事件与进程的关联装置的结构示意图一;
图8为本申请实施例提供的网络事件与进程的关联装置的结构示意图二。
具体实施方式
下面结合附图对本申请实施例提供的网络事件与进程的关联方法及装置进行详细地描述。
在本申请的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”是指一个或多个,“多个”是指两个或两个以上。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在网络安全领域,为防止黑客利用定制的恶意程序绕过防病毒软件或者防火墙渗透到企业内部,需要将网络事件对应到关联的进程,以便还原整个事件过程。
传统的将网络事件与进程关联的方法流程为:
参考图1,系统周期性读取/proc/net/tcp或/proc/net/udp的端口信息,生成本地传输控制协议(transmission control protocol,TCP)端口或用户数据包协议(userdatagram protocol,UDP)端口和对应套接字socket的索引节点inode的映射关系。同时系统还遍历/proc/$pid/fd的端口信息,生成进程pid和socket的inode的映射关系。TCP协议端口和索引节点inode的映射关系结合进程pid和inode的映射关系生成生成TCP协议端口与pid的映射关系表,UDP协议端口和索引节点inode的映射关系结合进程pid和inode的映射关系生成生成UDP协议端口与pid的映射关系表。
参考图2,当生成网络事件时,系统首先需要判断端口的协议信息,若为TCP协议,则通过查找TCP协议端口与pid的映射关系表,获取相应的进程pid,若为UDP协议,则通过查找UDP协议端口与pid的映射关系表,获取相应的进程pid。
然而传统的关联方法不仅存在滞后性,而且还会消耗大量的CPU资源,如果系统存在多种业务,就会对应多个进程,那么频繁更换端口进行通信,/proc/net/tcp,/proc/net/udp中的信息量就会很大,使读取过程耗时多、cpu占用高,读取信息不全,最终导致关联效果不佳。
本申请实施例提供一种网络事件与进程的关联方法,应用于Linux操作系统中,该方法的执行主体为任意可以安装Linux操作系统的设备,该设备可以为服务器,也可以为客户端,参考图3,该方法可以包括步骤S101-S103:
S101、确定网络事件的标识信息。
在Linux操作系统中,任一个网络事件都具有标识信息,该标识信息可以用于识别该任一个网络事件。
该网络事件可以代表至少一个网络事件。对于至少一个网络事件而言,不同网络事件具有不同的标识信息。
一方面,网络事件的标识信息可以为该网络事件产生时,该网络事件本身具有的标识,例如该网络事件可以为五元组信息。该五元组信息包括源IP地址,源端口,目的IP地址,目的端口和传输层协议。
另一方面,该网络事件的标识信息可以由服务器或客户端为该网络事件分配。因此,网络事件的标识信息也可以为除五元组信息之外的其余可以用于关联网络事件和进程标识的标识。
本申请实施例涉及到的网络事件是指进程在系统中运行过程中产生的数据,其表现形式可以是数据包,也可以是文件。
示例性的,当该标识信息为五元组信息时,确定网络事件的五元组信息,通过确定的五元组信息即可识别该网络事件。
S102、根据第一哈希表确定标识信息对应的进程标识。
通过步骤S101确定了网络事件的标识信息,然后根据标识信息从第一哈希表中确定该标识信息对应的进程标识。该第一哈希表至少包括该标识信息以及与该标识信息对应的进程标识。
本申请实施例中的进程标识用于标识进程。示例性的,该进程标识可以为进程ID,或者其他可以用于标识进程的信息。
本申请实施例中一个网络事件可以与一个或多个进程具有关联关系。
标识信息与进程标识可以以键-值(key-value)对的形式存储在第一哈希表中,每个网络事件对应一个标识信息,不同的标识信息在第一哈希表中对应不同的进程标识,这种存储方式不仅查询速度快、存放数据量大,而且支持高并发,即在同一时间可以处理多个查询请求。
表1
| 标识信息 | 进程标识 |
| 标识信息1 | 进程ID1 |
| 标识信息2 | 进程ID2 |
| …… | …… |
参考表1,表1为第一哈希表的示意性存储方式,其中,标识信息1对应进程ID1,标识信息2对应进程ID2。其中,进程ID1用于标识进程1,进程ID2用于标识进程2。
示例性的,当该标识信息为五元组信息时,根据第一哈希表确定该五元组信息对应的进程标识,该第一哈希表至少包括该五元组信息以及与该五元组信息对应的进程标识,五元组信息与进程标识以key-value的形式存储在第一哈希表中,五元组信息为关键字,进程标识为值,每个关键字对应一个唯一的值,通过网络事件的五元组信息可以确定网络事件对应的进程标识。
S103、根据标识信息确定网络事件与进程标识关联的进程之间的关联关系。
通过步骤S102确定了网络事件的标识信息对应的进程标识,通过标识信息可以将网络事件与进程标识关联起来,进而可以确定网络事件与进程标识关联的进程之间的关联关系。该关联关系用于将网络事件对应到相应的进程,即通过该关联关系可以确定产生该网络事件的进程。同样通过关联关系还可以确定进程对应的网络事件。
本申请实施例由于第一哈希表中至少包括该标识信息以及与该标识信息对应的进程标识,因此,在确定网络事件的标识信息之后,便可以基于标识信息将网络事件与进程标识关联起来。从而可以得到网络事件与进程标识之间的关系。这样一旦某个网络事件发生异常,便可以确定产生该网络事件的进程,从而确定网络事件异常的原因。相比于现有技术的通过遍历端口形成映射表,再根据该映射表确定进程,本申请的整个过程不会占用过多的CPU资源,流程简单,关联速度快。
在本申请的另一种可能的实施例中,参考图4,本申请实施例提供的方法包括步骤S201-S208。其中,步骤S205、步骤S206以及步骤S208可以参考上述S101-S103中的描述,此处不再赘述。此外在S206之后,该方法还包括步骤S207:
S207、根据第二哈希表以及进程标识确定网络事件与进程标识关联的进程路径和协议类型之间的关联关系。
本申请可以根据进程标识从第二哈希表中确定进程标识关联的进程路径以及协议类型。该第二哈希表至少包括该进程标识以及与该进程标识关联的进程路径和协议类型。在第二哈希表中,进程标识与进程路径和协议类型可以以key-value的形式存储,进程标识为关键字,进程标识关联的进程路径和协议类型为值。
参考表2,为第二哈希表的示意性存储方式,其中,进程1的进程标识进程ID1对应进程1进程信息1,进程2的进程标识进程ID1对应进程1进程信息2,该进程信息可以包括进程路径和协议类型,也可以包括除进程路径和协议类型以外的其他可以表示该进程1的具体信息。
表2
| 进程标识 | 进程信息 |
| 进程ID1 | 进程信息1 |
| 进程ID2 | 进程信息2 |
| …… | …… |
在一种可能的实现方式中,通过步骤S205-S206确定了网络事件对应的进程标识之后,在确定网络事件与该进程标识关联的进程之间的关联关系时,可以根据第二哈希表以及进程标识确定网络事件与进程标识关联的进程路径和协议类型之间的关联关系。
本申请实施例根据第一哈希表确定了网络事件与进程标识关联的进程之间的关联关系,根据第二哈希表可以确定进程标识关联的进程路径和协议类型之间的关联关系。通过这些信息可以快速还原产生该网络事件的整个过程。
在本申请的另一种可能的实施例中,在S205之前,本申请实施例提供的方法还包括S202和S204:
S202、获取audit日志。
Linux操作系统具有日志记录事件的能力,比如通过audit可以记录系统调用和文件访问等,audit能够满足记录系统调用的需求,并且可以搜集系统运行中所发生的事件,根据这些事件信息进行相应的分析。
客户端或服务器获取audit日志,产生该audit日志的系统调用类别包括套接字socket系统调用日志以及地址系统调用日志。因此可以将该audit日志按照来源进行类别划分。该地址系统调用日志包括但不限于connect,accept,sendto,sendmsg,recvfrom,recvmsg,bind,listen等函数。根据协议类型(如可以是面向连接的TCP协议或面向对象的UDP协议)或套接字socket编程的系统种类(如可以为客户端或服务器)不同,地址系统调用函数会发生变化。
S204、通过解析地址系统调用日志生成该第一哈希表,通过解析套接字socket系统调用日志生成该第二哈希表。
通过解析地址系统调用日志生成第一哈希表,示例性的,当标识信息为五元组信息时,进程标识为进程pid时,参考图5,图5为第一哈希表的示意图,将解析得到的地址信息以五元组信息形式作为key值记录在第一哈希表,在哈希节点中保存进程pid为value值。该第一哈希表中包括多组五元组信息与进程pid一一对应的关系对(图5中未全部画出)。
通过解析该套接字socket系统调用日志生成该第二哈希表,示例性的,参考图6,图6为第二哈希表的示意图,解析该日志中相应的pid、协议类型proto、进程路径processPath信息,并创建以pid为key值索引的第二哈希表,在哈希节点中保存协议类型、进程路径为value值。
可选的,在解析audit日志时,还可以获取协议号socketfd,在第二哈希表中可以以链表形式保存协议类型和socketfd,该socketfd用于保证第二哈希表有足够的存储空间,防止进程相关信息无限增长。
在本申请的另一种可能的实施例中,在S202之前,该方法还包括S201:
S201、根据预设audit规则生成配置文件。
配置文件用于监控不同的网络系统调用过程从而生成该audit日志。通过系统调用的入口和出口可以添加审计代码,把审计信息记录在进程上下文结构里的audit_context审计上下文中,审计上下文在一个进程创建的初始入口阶段do_fork时创建,用于在每次进程进行系统调用的过程中记录审计信息,并在系统调用退出时产生audit日志,通过netlink输出到用户空间。
通过添加配置文件,监测网络套接字相关的系统调用,从而及时获取到网络事件和进程关联的所有信息,包括:进程pid,进程路径,网络端口,协议类型等。
在本申请的另一种可能的实施例中,在S202之后,该方法还包括S203:
S203、根据系统调用标识确定产生该audit日志的系统调用类别。
在步骤S204中,系统通过解析该地址系统调用日志生成该第一哈希表,通过解析该套接字socket系统调用日志生成该第二哈希表。在实现该步骤之前系统需要根据系统调用标识区分产生该audit日志的系统类别,该系统调用标识可以为系统调用号。
图7示出了上述实施例中所涉及的网络事件与进程的关联装置的一种可能的结构示意图。该装置300包括确定单元301。
其中,确定单元301用于:确定网络事件的标识信息;根据第一哈希表确定该标识信息对应的进程标识,该第一哈希表至少包括该标识信息以及与该标识信息对应的进程标识;根据该标识信息确定该网络事件以及与该进程标识关联的进程之间的关联关系。
可选的,该确定单元301还用于,根据第二哈希表确定该进程标识关联的进程路径以及协议类型,该第二哈希表至少包括该进程标识以及与该进程标识关联的进程路径和协议类型;根据该标识信息确定网络事件与该进程标识关联的进程路径和协议类型之间的关联关系。
可选的,该装置300还包括:
获取单元302,用于获取audit日志,产生该audit日志的系统调用类别包括套接字socket系统调用日志以及地址系统调用日志。
生成单元303,用于通过解析该地址系统调用日志生成该第一哈希表,通过解析该套接字socket系统调用日志生成该第二哈希表。
可选的,该生成单元303还用于:
根据预设audit规则生成配置文件,该配置文件用于监控不同的网络系统调用过程从而生成该audit日志。
可选的,该确定单元301还用于:
根据系统调用标识确定产生该audit日志的系统调用类别。
图8示出了上述实施例中所涉及的网络事件与进程的关联装置的又一种可能的结构示意图。该装置400包括:处理器402。处理器402用于对该装置400的动作进行控制管理,例如,执行上述确定单元301、获取单元302、生成单元303执行的步骤,和/或用于执行本文所描述的技术的其它过程。
上述处理器402可以是实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
可选的,该装置400还可以包括通信接口403、存储器401和总线404,通信接口403用于支持装置400与其他网络实体的通信。存储器401用于存储该装置400的程序代码和数据。
其中,存储器401可以是装置400中的存储器,该存储器可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线404可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线404可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例提供一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行上述方法实施例所述的网络事件与进程的关联方法。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当网络设备执行该指令时,该网络设备执行上述方法实施例所示的方法流程中网络设备执行的各个步骤。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.一种网络事件与进程的关联方法,其特征在于,包括:
获取audit日志,产生所述audit日志的系统调用类别包括套接字socket系统调用日志;
通过解析所述套接字socket系统调用日志生成第二哈希表;所述第二哈希表包括以链表形式保存的协议类型和协议号socketfd;其中,所述socketfd为解析所述audit日志得到的;
确定网络事件的标识信息;
根据第一哈希表确定所述标识信息对应的进程标识,所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识;
根据所述标识信息确定所述网络事件与所述进程标识关联的进程之间的关联关系;
根据预设audit规则生成配置文件,所述配置文件用于监控不同的网络系统调用过程从而生成所述audit日志;根据所述audit日志产生地址系统调用日志;通过解析所述地址系统调用日志生成所述第一哈希表。
2.根据权利要求1所述方法,其特征在于,所述方法还包括:
根据第二哈希表确定所述进程标识关联的进程路径以及协议类型,所述第二哈希表至少包括所述进程标识以及与所述进程标识关联的进程路径和协议类型;
所述根据所述标识信息确定所述网络事件以及与所述进程标识关联的进程之间的关联关系具体包括:
根据所述标识信息确定网络事件与所述进程标识关联的进程路径和协议类型之间的关联关系。
3.根据权利要求1所述方法,其特征在于,所述获取audit日志之后,所述方法还包括:根据系统调用标识确定产生所述audit日志的系统调用类别。
4.一种网络事件与进程的关联装置,其特征在于,包括:确定单元,用于,
获取audit日志,产生所述audit日志的系统调用类别包括套接字socket系统调用日志;
通过解析所述套接字socket系统调用日志生成第二哈希表;所述第二哈希表包括以链表形式保存的协议类型和协议号socketfd;其中,所述socketfd为解析所述audit日志得到的;
确定网络事件的标识信息;
根据第一哈希表确定所述标识信息对应的进程标识,所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识;
根据所述标识信息确定所述网络事件以及与所述进程标识关联的进程之间的关联关系;根据所述audit日志产生地址系统调用日志;
生成单元,用于,
根据预设audit规则生成配置文件,所述配置文件用于监控不同的网络系统调用过程从而生成所述audit日志;通过解析所述地址系统调用日志生成所述第一哈希表。
5.根据权利要求4所述装置,其特征在于,所述确定单元还用于,
根据第二哈希表确定所述进程标识关联的进程路径以及协议类型,所述第二哈希表至少包括所述进程标识以及与所述进程标识关联的进程路径和协议类型;
根据所述标识信息确定网络事件与所述进程标识关联的进程路径和协议类型之间的关联关系。
6.根据权利要求4所述装置,其特征在于,所述确定单元还用于,
根据系统调用标识确定产生所述audit日志的系统调用类别。
7.一种网络事件与进程的关联装置,其特征在于,所述装置包括:处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行计算机程序或指令,以实现如权利要求1-3任意之一所述的方法。
8.一种计算机可读存储介质,计算机可读存储介质中存储有指令,当计算机执行该指令时,该计算机执行上述权利要求1-3中任意之一所述的方法。
9.一种包含指令的计算机程序产品,当所述计算机程序产品在计算机上运行时,该计算机执行上述权利要求1-3中任意之一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910356803.3A CN110096363B (zh) | 2019-04-29 | 2019-04-29 | 一种网络事件与进程的关联方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910356803.3A CN110096363B (zh) | 2019-04-29 | 2019-04-29 | 一种网络事件与进程的关联方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110096363A CN110096363A (zh) | 2019-08-06 |
| CN110096363B true CN110096363B (zh) | 2021-11-30 |
Family
ID=67446388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910356803.3A Active CN110096363B (zh) | 2019-04-29 | 2019-04-29 | 一种网络事件与进程的关联方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110096363B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314311A (zh) * | 2020-01-19 | 2020-06-19 | 苏州浪潮智能科技有限公司 | 一种提高交换机性能的方法、系统、设备及介质 |
| CN111813774B (zh) * | 2020-05-18 | 2021-02-05 | 广州锦行网络科技有限公司 | 一种基于sysdig系统监控获取溯源信息的方法 |
| CN111786964B (zh) * | 2020-06-12 | 2022-09-30 | 深信服科技股份有限公司 | 网络安全检测方法、终端及网络安全设备 |
| CN111800490B (zh) * | 2020-06-23 | 2023-07-14 | 深信服科技股份有限公司 | 获取网络行为数据的方法、装置及终端设备 |
| US20220075871A1 (en) * | 2020-09-09 | 2022-03-10 | Microsoft Technology Licensing, Llc | Detecting hacker tools by learning network signatures |
| CN113905105B (zh) * | 2021-09-30 | 2024-03-15 | 阿里巴巴(中国)有限公司 | 一种建立应用依赖关系的方法及装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7627544B2 (en) * | 2005-05-20 | 2009-12-01 | Microsoft Corporation | Recognizing event patterns from event streams |
| US9891966B2 (en) * | 2015-02-10 | 2018-02-13 | Red Hat, Inc. | Idempotent mode of executing commands triggered by complex event processing |
| CN106033514B (zh) * | 2015-03-20 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 一种可疑进程的探测方法及装置 |
| CN104753939A (zh) * | 2015-03-27 | 2015-07-01 | 东华理工大学 | 一种计算机网络防御决策控制系统 |
| CN106330584B (zh) * | 2015-06-19 | 2019-08-13 | 中国移动通信集团广东有限公司 | 一种业务流的识别方法及识别装置 |
| CN106921637B (zh) * | 2015-12-28 | 2020-02-14 | 华为技术有限公司 | 网络流量中的应用信息的识别方法和装置 |
| CN106230662B (zh) * | 2016-08-01 | 2019-04-23 | 北京小米移动软件有限公司 | 网络流量统计方法及装置 |
| CN108833195B (zh) * | 2018-09-26 | 2021-08-10 | 河南大学 | 一种基于进程的网络数据流量分析方法 |
| CN109067815B (zh) * | 2018-11-06 | 2021-11-19 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
-
2019
- 2019-04-29 CN CN201910356803.3A patent/CN110096363B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110096363A (zh) | 2019-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110096363B (zh) | 一种网络事件与进程的关联方法及装置 | |
| CN106789831B (zh) | 识别网络攻击的方法和装置 | |
| CN110943961B (zh) | 数据处理方法、设备以及存储介质 | |
| US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
| US20160119198A1 (en) | Deep Packet Inspection Method and Device, and Coprocessor | |
| JP7369706B2 (ja) | 自動データベースクエリ負荷評価および適応処理 | |
| CN112165455A (zh) | 数据访问控制方法、装置、计算机设备和存储介质 | |
| CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
| US20230247043A1 (en) | Techniques for detecting cybersecurity vulnerabilities in a cloud based computing environment based on forensic analysis of cloud logs | |
| CN111209256A (zh) | 一种文件监控方法、装置、电子设备及存储介质 | |
| CN111262875B (zh) | 服务器安全监测方法、装置、系统及存储介质 | |
| CN110336813B (zh) | 一种访问控制方法、装置、设备及存储介质 | |
| CN115238247A (zh) | 基于零信任数据访问控制系统的数据处理方法 | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| CN114465791A (zh) | 网管设备中白名单的建立方法、装置、存储介质及处理器 | |
| US20200053122A1 (en) | Intrusion detection system for automated determination of ip addresses | |
| US10318745B2 (en) | Access control system and access control method | |
| US11113096B2 (en) | Permissions for a cloud environment application programming interface | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| KR101017015B1 (ko) | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 | |
| CN114189383B (zh) | 封禁方法、装置、电子设备、介质和计算机程序产品 | |
| US11588678B2 (en) | Generating incident response action recommendations using anonymized action implementation data | |
| KR20230062166A (ko) | 방화벽 정책 최적화 방법 및 그 장치 | |
| KR102212664B1 (ko) | 로그 데이터의 무결성을 보장하는 장치 및 방법 | |
| CN114244555A (zh) | 一种安全策略的调整方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |