[发明专利]一种信息处理方法及服务器

说明书

本发明公开了一种信息处理方法及服务器，其中，所述方法包括：采集全量数据，所述全量数据至少包括：用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据；在所述第一行为数据与所述第二行为数据间建立关联，得到关联信息；接收上报请求，从所述上报请求中解析出待识别的第一目标行为；获取识别处理策略，根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据，根据所述第二行为数据来识别所述第一目标行为是否是恶意行为；当所述第一目标行为是恶意行为时，根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。

技术领域

本发明涉及通讯技术，尤其涉及一种信息处理方法及服务器。

背景技术

随着互联网技术的发展，智能终端的大量普及，为用户提供了更多便利，同时，各种信息安全问题也随之涌现出来。在当前的互联网环境中，存在大量的入侵公司内网，盗取内部敏感信息等恶意行为，需要第一时间识别出该恶意行为，并对其进行相应的处理比如禁用，或者，追溯该恶意行为的来源，如将其加入黑名单，通过这些措施来确保信息安全。

现有技术中，识别该恶意行为所采用的策略为：通过网络流量的异常来判断当前网络行为是否为恶意行为，但是，采用这种策略，误判的概率高，且对于追溯和安全排查方面，无从着手。相关技术中，对于该问题，尚无有效解决方案。

发明内容

有鉴于此，本发明实施例提供了一种信息处理方法及服务器，至少解决了现有技术存在的问题。

本发明实施例的技术方案是这样实现的：

本发明实施例的一种信息处理方法，所述方法包括：

采集全量数据，所述全量数据至少包括：用于表征网络行为的第一行为数据和用于表征进程行为的第二行为数据；

在所述第一行为数据与所述第二行为数据间建立关联，得到关联信息；

接收上报请求，从所述上报请求中解析出待识别的第一目标行为；

获取识别处理策略，根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据，根据所述第二行为数据来识别所述第一目标行为是否是恶意行为；

当所述第一目标行为是恶意行为时，根据所述第二行为数据对发起所述恶意行为的终端执行追溯操作。

上述方案中，所述用于表征进程行为的第二行为数据至少包括如下两类数据的一种或多种：

记录网络成功请求的第一进程数据；

记录启动进程的第二进程数据。

上述方案中，所述关联信息，用于记录所有进程行为对应的网络行为。

上述方案中，获取识别处理策略，根据所述识别处理策略从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据，根据所述第二行为数据来识别所述第一目标行为是否是恶意行为，包括：

当所述第一目标行为是网络行为时，则所述识别处理策略为将所述网络行为与进程行为进行关联分析；

在所述网络行为疑似异常的情况下，从所述关联信息中提取出与所述第一目标行为相关联的第二行为数据；

所述第二行为数据包括记录网络成功请求的第一进程数据和记录启动进程的第二进程数据，所述第一进程数据与所述第二进程数据相关联；

将所述第二进程数据中的参数与数据库中的异常参数进行匹配，匹配成功，则进程行为异常，识别出所述第一目标行为是恶意行为。

上述方案中，所述第一目标行为记录于入侵检测系统IDS日志中，所述第一进程数据记录于5156日志中，所述第二进程数据记录于4688日志中；