[发明专利]一种信息处理方法及服务器

权利要求书

1.一种信息处理方法，其特征在于，所述方法包括：

采集全量数据，所述全量数据至少包括：用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据；

其中，所述第一行为数据记录于IDS日志，所述第二行为数据包括记录网络成功请求的第一进程数据、以及记录启动进程的第二进程数据，所述第一进程数据记录于5156日志中，所述第二进程数据记录于4688日志中；

在所述第一行为数据与所述第二行为数据间建立关联，得到包含相关联的所述IDS日志、所述5156日志和所述4688日志的关联信息；

接收上报请求，从所述上报请求中解析出待识别的第一目标行为；

获取识别处理策略，根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据，根据所述第二行为数据来识别所述第一目标行为是否是恶意行为；

当所述第一目标行为是恶意行为时，根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。

2.根据权利要求1所述的方法，其特征在于，所述关联信息，用于记录所有进程行为对应的网络行为。

3.根据权利要求2所述的方法，其特征在于，获取识别处理策略，根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据，根据所述第二行为数据来识别所述第一目标行为是否是恶意行为，包括：

当所述第一目标行为是网络行为时，则所述识别处理策略为将所述网络行为与进程行为进行关联分析；

在所述网络行为疑似异常的情况下，从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据；

所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据，所述第一进程数据与所述第二进程数据相关联；

将所述第二进程数据中的参数与数据库中的异常参数进行匹配，匹配成功，则进程行为异常，识别出所述第一目标行为是恶意行为。

4.根据权利要求3所述的方法，其特征在于，所述第一目标行为记录于入侵检测系统IDS日志中，所述第一进程数据记录于5156日志中，所述第二进程数据记录于4688日志中；

所述关联信息中包括相关联的所述IDS日志、所述5156日志和所述4688日志。

5.根据权利要求4所述的方法，其特征在于，从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据，包括：

根据所述IDS日志中的第一时间参数和第一四元组参数在所述5156日志中进行查询，得到第一进程数据所在5156日志中的日志条目，所述第一进程数据为与所述第一时间参数比对时间最接近且与所述第一四元组参数一致的进程，根据所述第一进程数据得到进程标识ID和进程名字；

根据所述第一进程数据所在5156日志中的日志条目中的第二时间参数和进程ID在所述4688日志中进行查询，得到第二进程数据所在4688日志中的日志条目，所述第二进程数据为与所述第二时间参数比对时间最接近且与所述进程ID一致的进程。

6.根据权利要求5所述的方法，其特征在于，当所述第一目标行为是恶意行为时，根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作，包括：

根据所述进程ID和/或进程名字对发起所述恶意行为的终端执行追溯操作。