[发明专利]一种网络事件与进程的关联方法及装置

说明书

本申请提供一种网络事件与进程的关联方法及装置，涉及网络安全技术领域，可以快速将网络事件与进程相关联，以便后续实现网络事件的取证溯源。该方法包括：确定网络事件的标识信息；根据第一哈希表确定所述标识信息对应的进程标识，所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识；根据所述标识信息确定所述网络事件与所述进程标识关联的进程之间的关联关系。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络事件与进程的关联方法及装置。

背景技术

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，作为取证溯源的必要条件之一，需要在第一时间查找入侵来源，还原入侵事件过程，使企业的网络信息系统可以在最短时间的内恢复正常运行，避免企业遭受更大的损失。

现有技术通常使用netstat监控命令或者与之类似的监控方法周期性读取端口信息、索引节点信息以及进程信息，进而根据生成的端口与进程信息的映射表来获取对应的进程信息。

然而现有技术存在以下缺点：1、如果进程使用网络端口进行通信的时间较短，则无法监听到当前已经关闭的端口所对应的进程；2、基于缺点1，如果想要提高识别效果，可以增加netstat的查询频率，但同时会导致计算机CPU资源占用高的问题，而且也无法彻底解决缺点1中所描述的缺陷。

发明内容

本申请提供一种网络事件与进程的关联方法及装置，可以快速将网络事件与进程相关联，以便后续实现网络事件的取证溯源。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种网络事件与进程的关联方法，该方法包括：

确定网络事件的标识信息；根据第一哈希表确定所述标识信息对应的进程标识，所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识；根据所述标识信息确定所述网络事件与所述进程标识关联的进程之间的关联关系。

第二方面，本申请提供一种网络事件与进程的关联装置，该装置包括确定单元，所述确定单元用于：确定网络事件的标识信息；根据第一哈希表确定所述标识信息对应的进程标识，所述第一哈希表至少包括所述标识信息以及与所述标识信息对应的进程标识；根据所述标识信息确定所述网络事件以及与所述进程标识关联的进程之间的关联关系。

第三方面，本申请提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述第一方面及其各种可选的实现方式中任意之一所述的方法。

第四方面，本申请提供一种包含指令的计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机执行上述第一方面及其各种可选的实现方式中任意之一所述的方法。

第五方面，提供一种网络事件与进程的关联装置，包括：处理器、和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行计算机程序或指令，以执行上述第一方面所述的方法。

本发明提供了一种网络事件与进程的关联方法及装置，通过第一哈希表中存储的网络事件的五元组信息将网络事件与进程标识关联起来，并可以进一步确定网络事件与该进程标识关联的进程之间的关联关系。可以准确的将网络事件与对应的进程关联起来，而且整个过程不会占用太多的CPU资源，流程简单，关联速度快。

附图说明

图1为传统方法中生成端口与进程pid的映射关系表的流程示意图；

图2为传统方法中网络事件与进程的关联方法流程示意图；

图3为本申请实施例提供的网络事件与进程的关联方法的流程示意图一；

图4为本申请实施例提供的网络事件与进程的关联方法的流程示意图二；

图5为本申请实施例提供的第一哈希表的示意图；