[发明专利]威胁溯源方法及相关设备

说明书

本申请涉及云安全技术领域，具体提供了一种威胁溯源方法及相关设备，该方法包括：监测可疑文本在沙箱中的运行，获得可疑文本的监测数据；从监测数据中提取静态特征和动态行为特征；根据静态特征进行线索拓线，确定针对可疑文本的第一溯源结果；以及根据动态行为特征进行行为拓线，确定针对可疑文本的第二溯源结果；将第一溯源结果和第二溯源结果进行融合，得到目标溯源结果。本申请提供的方案保证了目标溯源结果的可靠性和准确性。

技术领域

本申请涉及云安全技术领域，具体而言，涉及一种威胁溯源方法及相关设备。

背景技术

云计算平台中部署了多种类型的虚拟资源，以使各种应用系统能够根据需要获取计算力、存储空间和信息服务。云计算平台作为服务和资源提供方，如果受到网络攻击，例如木马攻击等，可能造成巨大损失。因此，如果保障云计算平台的安全是现有技术中亟待解决的问题。

而保障云计算平台的安全一个重要环节是即时对可能的威胁进行溯源，以根据溯源结果及时进行处理。而相关技术中存在威胁的溯源结果可靠性低的问题。

发明内容

本申请的实施例提供了一种威胁溯源方法及相关设备，以有效进行威胁溯源，提高溯源结果的可靠性。

本申请的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本申请的实践而习得。

根据本申请实施例的一个方面，提供了一种威胁溯源方法，包括：

监测可疑文本在沙箱中的运行，获得所述可疑文本的监测数据；

从所述监测数据中提取静态特征和动态行为特征；

根据所述静态特征进行线索拓线，确定针对所述可疑文本的第一溯源结果；以及

根据所述动态行为特征进行行为拓线，确定针对所述可疑文本的第二溯源结果；

将所述第一溯源结果和所述第二溯源结果进行融合，得到目标溯源结果。

根据本申请实施例的一个方面，提供了一种威胁溯源装置，包括：监测数据获取模块，用于监测可疑文本在沙箱中的运行，获得所述可疑文本的监测数据；特征提取模块，用于从所述监测数据中提取静态特征和动态行为特征；线索拓线模块，用于根据所述静态特征进行线索拓线，确定针对所述可疑文本的第一溯源结果；以及行为拓线模块，用于根据所述动态行为特征进行行为拓线，确定针对所述可疑文本的第二溯源结果；融合模块，用于将所述第一溯源结果和所述第二溯源结果进行融合，得到目标溯源结果。

在本申请的一些实施例中，线索拓线模块包括：关联信息获取单元，用于获取与所述静态特征相关联的关联信息；知识图谱构建单元，用于根据所述关联信息与所述静态特征构建知识图谱；第一溯源单元，用于根据所述知识图谱进行溯源，得到所述第一溯源结果。

在本申请的一些实施例中，第一溯源单元，包括：线索权重获取单元，用于获取所述知识图谱中各条攻击者线索所对应的线索权重；第一溯源结果确定单元，用于根据各条攻击者线索所指向的攻击者和所述攻击者线索所对应的线索权重，确定所述第一溯源结果。

在本申请的一些实施例中，行为拓线模块，包括：匹配单元，用于根据所述动态行为特征在所述攻击技术规则库中进行规则匹配，确定目标技术规则；目标家族确定单元，用于在家族库中确定所述目标技术规则对应的目标家族；第二溯源结果确定单元，用于根据所述目标家族生成针对所述可疑文本的第二溯源结果。

在本申请的一些实施例中，威胁溯源装置还包括：历史技术规则获取单元，用于从所述攻击技术规则库中获取所述第一溯源结果所指示目标攻击者对应的历史技术规则；变种指示信息生成单元，用于若所述历史技术规则与所述目标技术规则不一致，则生成变种指示信息，通过所述变种指示信息指示所述可疑文本所来源的攻击者发生了变种。