一种告警源定位方法、装置、设备及存储介质与流程

1.本发明涉及网络安全技术领域，特别涉及一种告警源定位方法、装置、设备及存储介质。

背景技术：

2.随着互联网技术的高速发展，随之而来的各种服务器、服务器集等网络设备的大规模使用，对设备和服务器是否正常工作的监控也愈加重要。在网络流量分析平台上通常使用告警及告警等级来标志事件的风险系数，运维人员和安服人员需要对这些告警作风险处置时会带来一系列的难点，如这个告警是来源于主机的哪个进程？这个文件是怎么启动的？这个进程还做了什么行为？目前大部分大数据威胁检测分析平台在日常运营中对流量告警安全事件的处理主要靠专业安全运营人员利用专业的工具进行现场手动检测和分析，定位告警源后再进行处置操作，不仅需要专业的调查取证相关知识，还存在即时性问题，即事件发生后进程已结束等因素给安全运营人员带来调查分析及定位告警源等难度。
3.综上，如何解决人工溯源进程定位告警源的问题，能够及时、快速的定位到故障的根源告警，进行调查分析动作是目前有待解决的问题。

技术实现要素：

4.有鉴于此，本发明的目的在于提供一种告警源定位方法、装置、设备及存储介质，能够解决人工溯源进程定位告警源的问题，能够及时、快速的定位到故障的根源告警，进行调查分析动作。其具体方案如下：
5.第一方面，本技术公开了一种告警源定位方法，包括：
6.部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；
7.部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；
8.将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；
9.对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。
10.可选的，所述部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组，包括：
11.部署流量采集探针并覆盖主机的网络进行可持续监测，以得到网络连接的源ip、源端口、目的ip、目的端口和传输协议；
12.相应的，所述部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组，包括：
13.部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到所述行为事件对应的进程的源ip、源端口、目的ip、目的端口和传输协议。
14.可选的，所述部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组，包括：
15.部署终端采集探针并对所述主机的进程创建、进程结束、文件创建、文件删除、网络连接、注册表创建、注册表修改进行可持续监测，以得到终端行为数据五元组。
16.可选的，所述将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号，包括：
17.通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号。
18.可选的，所述对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警，包括：
19.对与所述进程标识号对应的目标进程进行上下文溯源，并将得到的进程溯源链上传到所述扩展检测和响应平台；
20.通过所述扩展检测和响应平台将所述进程溯源链与所述流量告警五元组进行网端关联，以便根据网端关联后生成的关系树进行自动处置风险告警。
21.可选的，所述对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警，包括：
22.通过所述进程标识号定位对应的目标进程；
23.获取所述目标进程的进程路径和命令行参数；
24.利用所述进程路径和所述命令行参数确定出所述目标进程的父进程属性，并通过上下文父子关系进行关联，以生成进程溯源链；
25.分析所述进程溯源链以自动处置风险告警。
26.第二方面，本技术公开了一种告警源定位装置，包括：
27.流量采集探针部署模块，用于部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；
28.终端采集探针部署模块，用于部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；
29.告警源确定模块，用于将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；
30.进程溯源链分析模块，用于对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。
31.可选的，所述告警源确定模块，用于通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号。
32.第三方面，本技术公开了一种电子设备，所述电子设备包括处理器和存储器；其中，所述存储器用于存储计算机程序，所述计算机程序由所述处理器加载并执行以实现如前所述的告警源定位方法。
33.第四方面，本技术公开了一种计算机可读存储介质，用于存储计算机程序；其中所述计算机程序被处理器执行时实现如前所述的告警源定位方法。
34.本技术中，部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为
数据五元组；将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。可见，部署流量采集探针与终端采集探针，基于对同一主机终端产生的网络连接五元组唯一性，跟流量采集探针采集的五元组可以一一对应，将流量告警和终端行为数据打通来确定告警源的进程标识号，精确告知运维和安服人员该处置哪个进程，解决人工溯源进程定位告警源的问题，能够及时、快速的进行调查分析动作。同时，通过对进程标识号对应的目标进程进行上下文溯源，分析进程溯源链，获得其来龙去脉，对调查取证分析和处置提供具有实用价值信息。对其进行扩展可实现自动处置风险告警的能力，定位告警源对其进行文件隔离操作等。
附图说明
35.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
36.图1为本技术公开的一种告警源定位方法流程图；
37.图2为本技术公开的一种进程溯源链示例图；
38.图3为本技术公开的一种告警源定位处理流程示意图；
39.图4为本技术公开的一种具体的告警源定位方法流程图；
40.图5为本技术公开的一种在xdr产品中应用架构图；
41.图6为本技术公开的一种告警源定位装置结构示意图；
42.图7为本技术公开的一种电子设备结构图。
具体实施方式
43.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
44.当前，大部分大数据威胁检测分析平台在日常运营中对流量告警安全事件的处理主要靠专业安全运营人员利用专业的工具进行现场手动检测和分析，定位告警源后再进行处置操作，不仅需要专业的调查取证相关知识，还存在即时性问题，即事件发生后进程已结束等因素给安全运营人员带来调查分析及定位告警源等难度。
45.为此，本技术提供了一种告警源定位方案，能够解决人工溯源进程定位告警源的问题，能够及时、快速的定位到故障的根源告警，进行调查分析动作。
46.本发明实施例公开了一种告警源定位方法，参见图1所示，该方法包括：
47.步骤s11：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组。
48.本技术实施例中，流量采集探针是通过监控网络流量、连接和对象来识别恶意的行为迹象，采用特征检测技术、异常行为检测技术、威胁情报技术、黑白名单技术、基线技
术、静态apt(advanced persistent threat，高级持续性威胁)技术等多种相结合的方法，通过对网络流量的深度包解析和流量解析，实现了网络各种威胁的全面有效检测，是发现apt网络攻击的重要技术手段。通过部署流量采集探针(如nta，network traffic analysis)并覆盖主机的网络进行可持续监控检测，获得流量告警五元组：源ip(internet protocol)、源端口、目的ip、目的端口、传输协议的信息。
49.可以理解的是，流量告警五元组代表可疑告警网络连接的信息以及网络连接行为记录，有进程标识号(process id，pid)以及源ip、源端口、目的ip、目的端口、传输协议五元组等属性，其中，进程id是操作系统的内核用于唯一标识进程的一个数值，因此通过流量告警五元组可以精准定位告警源。
50.步骤s12：部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组。
51.本技术实施例中，终端采集探针是edr(endpoint detection and response，端点检测与响应)/xdr(extended detection and response，扩展检测和响应平台)等解决方案的终端agent集监控、收集、处理、传输等功能一体的应用程序，对进程创建、进程结束、文件创建、文件删除、网络连接、注册表创建、注册表修改等事件行为可持续监控，并实时将行为数据存入数据库待检索匹配，这些事件行为均有进程id属性，并且其中的进程信息还含有进程id及父进程id等属性。通过部署终端探针对主机行为进行可持续监控记录。
52.步骤s13：将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号。
53.可以理解的是，行为事件对应的进程的源ip、源端口、目的ip、目的端口和传输协议跟流量采集探针采集到的五元组可以一一对应，以此来确定告警源的进程标识号。
54.本技术实施例中，利用扩展检测和响应平台(xdr)作为流量和终端的桥梁，将流量告警和终端行为数据打通。具体的，通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号。也即，扩展检测和响应平台获取流量告警五元组信息，联动终端采集探针对五元组进行检索，最终定位告警源获取网络连接的进程标识号。
55.步骤s14：对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。
56.本技术实施例中，终端通过进程标识号上下文关联匹配形成进程溯源链，然后上传进程溯源链到扩展检测和响应平台与流量告警五元组进行网端关联，能够对告警源进行上下文进程溯源链分析，获得其来龙去脉，对调查取证分析和处置提供具有实用价值信息。对其进行扩展可实现自动处置风险告警的能力，定位告警源对其进行文件隔离操作等。
57.本技术实施例中，获得了告警源的进程标识号，在生成进程溯源链的过程中，通过进程标识号定位其目标进程创建的事件，获得目标进程的进程路径和命令行参数等信息，精确告知运维和安服人员该处置哪个进程，其文件路径在什么位置，再利用所述进程路径和所述命令行参数根据上下文溯源可确定出所述目标进程的父进程属性，及启动时间，如此一来，通过上下文父子关系进行关联生成的进程溯源链可以了解告警事件的来龙去脉。
58.如图2所示为本技术实施例示例性展示的一种进程溯源链示意图，通过进程a就可以得知溯源链中的其他子进程以及其他子进程的关联进程和相应的网络连接或文件。
59.需要指出的是，将流量告警和终端告警通过进程溯源链生成关系树，聚合流量侧告警和终端侧告警归并为单一事件，可以减少大量同一事件产生的告警的审核和处置，达到告警降噪的效果。
60.如图3所示为整体的告警源定位流程图。部署流量采集探针并覆盖主机的网络进行可持续监控检测得到流量告警五元组；部署终端采集探针对主机行为进行可持续监控记录得到终端行为数据五元组。扩展检测和响应平台作为流量和终端的桥梁，将流量告警和终端行为数据打通定位告警源的进程id，并联动终端进行五元组检索生成进程溯源链，将溯源关系链与流量相关告警归集为单一事件，达到告警降噪作用。
61.本技术中，部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。可见，部署流量采集探针与终端采集探针，基于对同一主机终端产生的网络连接五元组唯一性，跟流量采集探针采集的五元组可以一一对应，将流量告警和终端行为数据打通来确定告警源的进程标识号，精确告知运维和安服人员该处置哪个进程，解决人工溯源进程定位告警源的问题，能够及时、快速的进行调查分析动作。同时，通过对进程标识号对应的目标进程进行上下文溯源，分析进程溯源链，获得其来龙去脉，对调查取证分析和处置提供具有实用价值信息。对其进行扩展可实现自动处置风险告警的能力，定位告警源对其进行文件隔离操作等。
62.本技术实施例公开了一种具体的告警源定位方法，参见图4所示，该方法包括：
63.步骤s21：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到网络连接的源ip、源端口、目的ip、目的端口和传输协议。
64.流量探针系统具有独特而强大的网络流量分析和审计功能，结合攻击检测技术、异常流量检测技术、威胁情报检测技术、大数据安全分析技术、安全态势感知技术以及丰富的安全事件报告功能，可有效检测外部攻击、外连威胁、内部非法连接、网络会话模式异常等安全威胁。本技术实施例旨在解决外连威胁、内部非法连接、网络异常会话等安全威胁的联动分析定位攻击源，通过流量采集探针获取流量侧数据的五元组信息。
65.步骤s22：部署终端采集探针并对所述主机的进程创建、进程结束、文件创建、文件删除、网络连接、注册表创建、注册表修改进行可持续监测，以得到终端行为数据五元组。
66.本技术实施例中，基于对同一主机终端产生的终端行为数据五元组唯一性跟流量采集探针采集到的五元组可以一一对应，对所述主机的行为事件进行可持续监测，以得到所述行为事件对应的进程的源ip、源端口、目的ip、目的端口和传输协议。
67.终端采集探针对进程创建、进程结束、文件创建、文件删除、网络连接、注册表创建、注册表修改等事件行为可持续监控并实时存储，这些事件行为均有进程id属性，其中进程信息含有进程id及父进程id等属性。
68.步骤s23：通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号。
69.本技术实施例中，利用扩展检测和响应平台(xdr)作为流量和终端的桥梁，将流量告警和终端行为数据打通，对五元组进行检索，最终定位告警源，确定告警源的进程标识
号。
70.步骤s24：对与所述进程标识号对应的目标进程进行上下文溯源，并将得到的进程溯源链上传到所述扩展检测和响应平台。
71.本技术实施例中，终端通过进程标识号上下文关联匹配形成进程溯源链，然后上传进程溯源链到扩展检测和响应平台与流量告警五元组进行网端关联，能够对告警源进行上下文进程溯源链分析，获得其来龙去脉，对调查取证分析和处置提供具有实用价值信息。对其进行扩展可实现自动处置风险告警的能力，定位告警源对其进行文件隔离操作等。
72.步骤s25：通过所述扩展检测和响应平台将所述进程溯源链与所述流量告警五元组进行网端关联，以便根据网端关联后生成的关系树进行自动处置风险告警。
73.如图5所示为在xdr产品中的应用示意图。作为流量和终端的桥梁，联动终端进行五元组检索生成进程溯源链，然后将进程溯源链回传到扩展检测和响应平台进行网端关联，形成关系树，将关联告警归并为单一事件。
74.本技术中，部署流量采集探针并覆盖主机的网络进行可持续监测，以得到网络连接的源ip、源端口、目的ip、目的端口和传输协议；部署终端采集探针并对所述主机的进程创建、进程结束、文件创建、文件删除、网络连接、注册表创建、注册表修改进行可持续监测，以得到终端行为数据五元组；通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并将得到的进程溯源链上传到所述扩展检测和响应平台；通过所述扩展检测和响应平台将所述进程溯源链与所述流量告警五元组进行网端关联，以便根据网端关联后生成的关系树进行自动处置风险告警。可见，部署流量采集探针与终端采集探针，基于对同一主机终端产生的网络连接五元组唯一性，跟流量采集探针采集的五元组可以一一对应，将流量告警和终端行为数据打通来确定告警源的进程标识号，精确告知运维和安服人员该处置哪个进程，解决人工溯源进程定位告警源的问题，能够及时、快速的进行调查分析动作。同时，通过对进程标识号对应的目标进程进行上下文溯源，分析进程溯源链，获得其来龙去脉，对调查取证分析和处置提供具有实用价值信息。对其进行扩展可实现自动处置风险告警的能力，定位告警源对其进行文件隔离操作等。另外，聚合流量侧告警和终端侧告警归并为单一事件，减少大量同一事件产生的告警的审核和处置，达到告警降噪的效果。
75.相应的，本技术实施例还公开了一种告警源定位装置，参见图6所示，该装置包括：
76.流量采集探针部署模块11，用于部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；
77.终端采集探针部署模块12，用于部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；
78.告警源确定模块13，用于将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；
79.进程溯源链分析模块14，用于对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。
80.由此可见，通过本实施例的上述方案，部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；部署终端采集探针并对所述主机的行为事件进行可
持续监测，以得到终端行为数据五元组；将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。可见，部署流量采集探针与终端采集探针，基于对同一主机终端产生的网络连接五元组唯一性，跟流量采集探针采集的五元组可以一一对应，将流量告警和终端行为数据打通来确定告警源的进程标识号，精确告知运维和安服人员该处置哪个进程，解决人工溯源进程定位告警源的问题，能够及时、快速的进行调查分析动作。同时，通过对进程标识号对应的目标进程进行上下文溯源，分析进程溯源链，获得其来龙去脉，对调查取证分析和处置提供具有实用价值信息。对其进行扩展可实现自动处置风险告警的能力，定位告警源对其进行文件隔离操作等。
81.进一步的，本技术实施例还公开了一种电子设备，图7是根据一示例性实施例示出的电子设备20结构图，图中内容不能认为是对本技术的使用范围的任何限制。
82.图7为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的告警源定位方法中的相关步骤。另外，本实施例中的电子设备20具体可以为计算机。
83.本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
84.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括操作系统221、计算机程序222及数据223等，数据223可以包括各种各样的数据。存储方式可以是短暂存储或者永久存储。
85.其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，其可以是windows server、netware、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的告警源定位方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。
86.进一步的，本技术实施例还公开了一种计算机可读存储介质，这里所说的计算机可读存储介质包括随机存取存储器(random access memory，ram)、内存、只读存储器(read-only memory，rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、磁碟或者光盘或技术领域内所公知的任意其他形式的存储介质。其中，所述计算机程序被处理器执行时实现前述告警源定位方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。
87.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
88.结合本文中所公开的实施例描述的告警源定位或算法的步骤可以直接用硬件、处
理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
89.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
90.以上对本发明所提供的一种告警源定位方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

技术特征：

1.一种告警源定位方法，其特征在于，包括：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。2.根据权利要求1所述的告警源定位方法，其特征在于，所述部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组，包括：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到网络连接的源ip、源端口、目的ip、目的端口和传输协议；相应的，所述部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组，包括：部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到所述行为事件对应的进程的源ip、源端口、目的ip、目的端口和传输协议。3.根据权利要求1所述的告警源定位方法，其特征在于，所述部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组，包括：部署终端采集探针并对所述主机的进程创建、进程结束、文件创建、文件删除、网络连接、注册表创建、注册表修改进行可持续监测，以得到终端行为数据五元组。4.根据权利要求1所述的告警源定位方法，其特征在于，所述将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号，包括：通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号。5.根据权利要求4所述的告警源定位方法，其特征在于，所述对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警，包括：对与所述进程标识号对应的目标进程进行上下文溯源，并将得到的进程溯源链上传到所述扩展检测和响应平台；通过所述扩展检测和响应平台将所述进程溯源链与所述流量告警五元组进行网端关联，以便根据网端关联后生成的关系树进行自动处置风险告警。6.根据权利要求1至5任一项所述的告警源定位方法，其特征在于，所述对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警，包括：通过所述进程标识号定位对应的目标进程；获取所述目标进程的进程路径和命令行参数；利用所述进程路径和所述命令行参数确定出所述目标进程的父进程属性，并通过上下文父子关系进行关联，以生成进程溯源链；分析所述进程溯源链以自动处置风险告警。7.一种告警源定位装置，其特征在于，包括：
流量采集探针部署模块，用于部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；终端采集探针部署模块，用于部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；告警源确定模块，用于将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；进程溯源链分析模块，用于对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。8.根据权利要求7所述的告警源定位装置，其特征在于，所述告警源确定模块，用于通过扩展检测和响应平台将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号。9.一种电子设备，其特征在于，所述电子设备包括处理器和存储器；其中，所述存储器用于存储计算机程序，所述计算机程序由所述处理器加载并执行以实现如权利要求1至6任一项所述的告警源定位方法。10.一种计算机可读存储介质，其特征在于，用于存储计算机程序；其中所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的告警源定位方法。

技术总结

本申请公开了一种告警源定位方法、装置、设备及存储介质，涉及网络安全技术领域。该方法包括：部署流量采集探针并覆盖主机的网络进行可持续监测，以得到流量告警五元组；部署终端采集探针并对所述主机的行为事件进行可持续监测，以得到终端行为数据五元组；将所述流量告警五元组与所述终端行为数据五元组进行检索匹配，以确定出告警源的进程标识号；对与所述进程标识号对应的目标进程进行上下文溯源，并分析得到的进程溯源链以自动处置风险告警。通过本申请的技术方案，可以解决人工溯源进程定位告警源的问题，能够及时、快速的进行调查分析动作，并且可以减少大量同一事件产生的告警的审核和处置，达到告警降噪的效果。达到告警降噪的效果。达到告警降噪的效果。