(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210959012.1 (22)申请日 2022.08.11 (71)申请人 北京未来智安科技有限公司 地址 100089 北京市海淀区静淑苑路2号3 层305 (72)发明人 安卫宁　王浩男　蒋宗麒　李一德　 陈毓端　唐伽佳　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 崔博　叶明川 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 APT攻击的攻击流 程溯源方法及装置 (57)摘要 本发明实施例公开了一种APT攻击的攻击流 程溯源方法及装置， 该方法包括： 获取异常进程 的唯一标识信息及父进程唯一标识信息， 其中， 进程的唯一标识信息为根据进程的属性信息进 行计算得到的， 所述属性信息包括： 进程创建时 间， 进程的父进程唯一标识信息与进程的父进程 的唯一标识信息相同， 所述异常进程包括： APT 攻 击的攻击进程； 基于所述异常进程的唯一标识信 息逐级向下查找子进程， 以及基于所述异常进程 的父进程唯一标识信息逐级向上查找父进程； 根 据所述异常进 程以及查找到的每个进程生成AP T 攻击的攻击流程网络图。 本发明实现了准确高效 的对APT攻击的攻击流 程进行溯源的有益效果。 权利要求书2页 说明书8页 附图6页 CN 115065558 A 2022.09.16 CN 115065558 A 1.一种APT攻击的攻击流 程溯源方法， 其特 征在于， 包括： 获取异常进程的唯一标识信息及父进程唯一标识信息， 其中， 进程的唯一标识信息为 根据进程的属性信息进 行计算得到的， 所述属性信息包括： 进程创建时间， 进程的父进程唯 一标识信息与进程的父进程的唯一标识信息相同， 所述异常进程包括： APT攻击的攻击进 程； 基于所述异常进程的唯一标识信 息逐级向下查找子进程， 以及基于所述异常进程的父 进程唯一标识信息逐级向上查找父进程； 根据所述异常进程以及查找到的每 个进程生成APT攻击的攻击流 程网络图。 2.根据权利要求1所述的APT攻击的攻击流 程溯源方法， 其特 征在于， 还 包括： 查找所述异常进程以及所述 查找到的每 个进程对应的行为事 件； 所述根据所述异常进程以及查找到的每个进程生成APT攻击的攻击流程网络图， 具体 包括： 根据所述异常进程、 所述查找到的每个进程以及查找到的每个行为事件， 生成APT攻击 的攻击流 程网络图。 3.根据权利要求2所述的APT攻击的攻击流程溯源方法， 其特征在于， 所述查找所述异 常进程以及所述 查找到的每 个进程对应的行为事 件， 具体包括： 根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事件， 其中， 行 为事件的日志中记载了该 行为事件对应的进程的唯一标识信息及父进程唯一标识信息 。 4.根据权利要求1所述的APT攻击的攻击流程溯源方法， 其特征在于， 所述属性信息还 包括： Ses sion ID、 Token、 文件名称、 文件指纹、 命令行、 文件路径以及计算机属性数据。 5.一种APT攻击的攻击流 程溯源装置， 其特 征在于， 包括： 标识信息获取单元， 用于获取异常进程的唯一标识信息及父进程唯一标识信 息， 其中， 进程的唯一标识信息为根据进程的属 性信息进行计算得到的， 所述属 性信息包括： 进程创 建时间， 进程的父进程唯一标识信息与进程的父进程的唯一标识信息相同， 所述异常进程 包括： APT攻击的攻击进程； 进程查找单元， 用于基于所述异常进程的唯一标识信息逐级向下查找子进程， 以及基 于所述异常进程的父进程唯一标识信息逐级向上查找父进程； 攻击流程溯源单元， 用于根据所述异常进程以及查找到的每个进程生成APT攻击的攻 击流程网络图。 6.根据权利要求5所述的APT攻击的攻击流 程溯源装置， 其特 征在于， 还 包括： 行为事件查找单元， 用于查找所述异常进程以及所述查找到的每个进程对应的行为事 件； 所述攻击流程溯源单元， 具体根据所述异常进程、 所述查找到的每个进程以及查找到 的每个行为事 件， 生成APT攻击的攻击流 程网络图。 7.根据权利要求6所述的APT攻击的攻击流程溯源装置， 其特征在于， 所述行为事件查 找单元， 具体用于根据进程的唯一标识信息和父进程唯一标识信息查找进程对应的行为事 件， 其中， 行为事件的日志中记载了该行为事件对应的进程的唯一标识信息及父进程唯一 标识信息 。 8.根据权利要求5所述的APT攻击的攻击流程溯源装置， 其特征在于， 所述属性信息还权　利　要　求　书 1/2 页 2 CN 115065558 A 2包括： Ses sion ID、 Token、 文件名称、 文件指纹、 命令行、 文件路径以及计算机属性数据。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至4任意一项所 述方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序/指令， 其特征在于， 该计算机程 序/指令被处 理器执行时实现权利要求1至4任意 一项所述方法的步骤。 11.一种计算机程序产品， 包括计算机程序/指令， 其特征在于， 该计算机程序/指令被 处理器执行时实现权利要求1至4任意 一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115065558 A 3