【技术实现步骤摘要】
【国外来华专利技术】威胁分析报告数据的因果树表示的生成
[0001]背景
[0002]本公开总体上涉及电数字数据处理以及涉及图表或图形的绘制
。
[0003]通常通过采用因果链
/
因果树来分析安全事故或其他网络事件
。
因果链
/
因果树描绘了事件序列中涉及的实体
(
例如进程
、
文件等
)
之间的因果关系,该事件序列是由感兴趣的事件引发的或包含感兴趣的事件
。
通过分析基于事件序列
(
诸如基于安全威胁检测的事件序列
)
生成的因果链或因果树,可以确定根原因,并且可以标识事件序列中涉及的实体
。
附图说明
[0004]通过参考所附附图,可以更好地理解本公开的实施例
。
[0005]图1描绘了根据被确定为恶意的检测到的样本的威胁分析报告生成因果树的构思图
。
[0006]图2描绘了从威胁分析报告中提取因果树数据的构思图
。
[0007]图3描绘了基于威胁分析报告生成并显示在
GUI
上的因果树的示例
GUI
描绘
。
[0008]图4是用于解析和处理威胁分析报告以确定因果信息并生成因果树的示例操作的流程图
。
[0009]图5是用于提取与不同类型相关联的对象的示例操作的流程图,所述对象作为数据包含在威胁分析报告中,以并入因果树
。
[0010]图6‑< ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.
一种方法,包括:解析基于检测到的软件样本的安全性分析生成的报告,所述报告包括与所述安全性分析期间发生的事件序列相关联的多个实体的标识符以及检测到的软件样本是恶意的判定;从所述报告中确定在所述安全性分析期间记录的多个动作和多个行为;基于确定所述多个实体之间的分层结构,生成包括多个节点的因果树,其中所述多个节点中的每一个对应于所述多个实体中的相应一个实体;对于所述多个节点中的一个或多个节点中的每个节点,将所述多个动作中的对应动作的指示和所述多个行为的指示与所述节点相关联;以及在图形用户接口
(GUI)
上显示所述因果树的可视化
。2.
根据权利要求1所述的方法,其中基于确定所述多个实体之间的分层结构生成因果树包括:确定实体对之间的一个或多个关系,其中所述一个或多个关系中的每一个指示源实体和目标实体;对于所述实体对中的每个实体,向所述因果树添加对应于所述实体的节点,确定进程树是否与所述报告中的所述实体相关联,和基于确定进程树与所述实体相关联,至少部分地基于所述进程树中的进程的分层结构,将多个节点添加到所述因果树作为对应于所述实体的节点的子节点
。3.
根据权利要求2所述的方法,其中向所述因果树添加对应于所述实体的节点包括,基于确定所述实体被标识为所述一个或多个关系中的第一个中的源实体并且未被标识为所述一个或多个关系中的任何一个中的目标实体,创建所述因果树的根节点;以及基于确定所述实体被标识为所述一个或多个关系中的第一个中的目标实体,将节点添加到所述因果树作为对应于其相应源实体的节点的子节点;并且其中将所述多个节点添加到所述因果树包括,基于确定所述进程树的父进程,将对应于所述父进程的第一节点添加到所述因果树作为对应于所述实体的节点的子节点;以及对于所述进程树中剩余的每个子进程,将对应于子进程的节点添加到所述因果树作为所述第一节点的子节点,和为所述进程树中指示的子进程的子进程添加附加的子节点
。4.
根据权利要求1所述的方法,进一步包括至少部分地基于所述报告中具有对应于所述判定的原因的值的字段,确定所述多个节点中与所述检测到的软件样本是恶意的判定的原因对应的一个或多个节点,其中显示所述因果树的可视化包括在视觉上区分表示所确定的一个或多个节点对应于所述判定的原因的图形元素
。5.
根据权利要求1所述的方法,进一步包括:至少部分地基于所述报告中指示所述多个动作中的每一个的输入和输出的字段来确定与所述多个动作相关联的多个对象,其中所述多个对象中的每一个是所述多个动作中的对应一个动作的输入或输出;和对于所述多个节点中的一个或多个节点中的每个节点,将所述多个对象中的对应对象
的指示与所述节点相关联
。6.
根据权利要求1所述的方法,其中所述多个节点中的每个节点包括用于对应于所述节点的实体的名称
、
实体的类型
、
经由命令行执行的命令
、
和进程标识符的字段,并且其中所述多个实体中的每一个包括进程
、
文件或恶意软件实例
。7.
根据权利要求1所述的方法,进一步包括:对于所述多个节点中的一个或多个节点中的每个节点,确定所述多个行为和所述多个动作中的每个对应行为和动作的计数,并将所述计数与所述节点相关联,其中在
GUI
上显示所述因果树的可视化包括显示所述一个或多个节点中的每个节点的计数;和响应于表示所述因果树的第一节点的图形元素的选择,显示对应于所述第一节点的实体类型的指示符以及与所述第一节点相关联的多个动作和多个行为中的对应动作和行为的描述
。8.
一种或多种非暂时性机器可读介质,其包括程序代码以:解析根据基于对潜在威胁的检测执行威胁分析而生成的报告,所述报告指示所述潜在威胁是恶意的判定;确定多个动作
、
多个行为以及多个对象,所述多个对象与从所述威胁分析中记录的
、
在解析的报告中指示的所述多个动作相关联;基于因果树的初始化,确定在解析的报告中指示的恶意软件实例
、
进程和文件的分层结构,并且将标识恶意软件实例
、...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。