进程关联方法、装置、电子设备及存储介质与流程

1.本技术属于计算机技术领域，具体涉及一种进程关联方法、装置、电子设备及可读存储介质。


背景技术：

2.目前业界通过父子进程关联来作为进程关联方法，父子进程为天然的进程关联方式，除了特殊的进程外，每个进程都存在父进程，通过进程之间的父子关系可以将多个进程关联起来，但由于恶意进程和上级进程不一定存在父子关系，因此无法解决在恶意软件下的场景下的追溯。


技术实现要素：

3.鉴于上述问题，本技术提出一种进程关联方法、装置、电子设备及存储介质，以实现改善上述问题。
4.第一方面，本技术提出了一种进程关联方法，所述方法包括：获取目标进程对应的行为事件信息；基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
5.进一步的，所述对象包括文件、注册表和/或操作行为。
6.进一步的，所述获取目标进程的对应的行为事件信息之后还包括：对所述行为事件信息对应的对象进行标记；所述基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息，包括：基于所述标记，确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
7.进一步的，所述行为事件信息存储在第一数据库中，所述其他事件信息存储与第二数据库中。
8.进一步的，所述对所述行为事件信息对应的对象进行标记，包括：获取行为事件信息，若所述行为事件信息对应的目标进程满足预设过滤条件，对所述行为事件信息对应的对象进行标记；所述基于所述标记，确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联，包括：获取其他事件信息，若所述其他事件信息对应的参考进程满足预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
9.进一步的，所述若所述行为事件信息满足预设过滤条件，包括：若所述行为事件信息中包括的文件后缀属于黑后缀名单中的后缀，和/或所述行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足预设过滤条件；所述若所述其他事件信息对应的参考进程满足预设过滤条件，包括：若所述进程属于进程黑名单中的进程，和/或所述其他行为事件信息中包括的文件后缀属于后缀黑名单中的后缀，和/或所述其他行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足所述预设过滤条件。
10.进一步的，所述将所述目标进程与所述其他事件信息对应进程进行关联之后还包括：将其他事件信息对应进程作为新的目标进程，执行获取新的目标进程对应的行为事件信息；基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；在存在与该对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应进程进行关联的操作，直至满足结束条件后停止执行，得到最终关联信息。
11.第二方面，本技术实施例提出了一种进程关联装置，所述装置包括：行为事件信息获取单元、其他事件信息确定单元以及进程关联单元。行为事件信息获取单元，用于获取目标进程的对应的行为事件信息；其他事件信息确定单元，用于基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；进程关联单元，用于在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
12.第三方面，本技术实施例提供了一种进程关联电子设备，包括一个或多个处理器以及存储器；一个或多个程序，其中所述一个或多个程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行上述的方法。
13.第四方面，本技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有程序代码，其中，在所述程序代码运行时执行上述的方法。
14.本技术实施例提供了一种进程关联方法、装置、电子设备以及存储介质。本进程关联方法包括：首先获取目标进程对应的行为事件信息，然后基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息，并且在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。
附图说明
15.为了更加清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见的，下面描述中的附图仅仅是本技术的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
16.图1示出了本技术一实施例提出的一种进程关联方法的流程图；
17.图2示出了本技术另一实施例提出的一种进程关联方法的流程图；
18.图3示出了本技术再一实施例提出的一种进程关联方法的流程图；
19.图4示出了本技术再一实施例提出的一种进程关联方法的流程图；
20.图5示出了本技术再一实施例提出的一种进程关联方法的示例图；
21.图6示出了本技术再一实施例提出的一种进程关联方法的流程图；
22.图7示出了本技术再一实施例提出的一种进程关联方法的流程图；
23.图8示出了本技术再一实施例提出的一种进程关联方法的示例图；
24.图9示出了本技术再一实施例提出的一种进程关联方法的结构框图；
25.图10示出了本技术实时中的用于执行本技术实施例的进程关联方法的电子设备
的结构框图；
26.图11示出了本技术实时中的用于保存或者携带实现根据本技术实施例的进程关联方法的程序代码的存储单元。
具体实施方式
27.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
28.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应当理解这样使用的数据在适当的情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含，例如，包含一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚列出的那些步骤或单元，二是可包括没有清楚地列出地或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.在用户在电子设备中打开文件时，由于打开的文件中可能是钓鱼文件，从而对电子设备的使用寿命或者用户的信息安全造成威胁，如果用户知道钓鱼文件是从哪里下载的，会提高安全可见性。因此用户需要对钓鱼文件进行溯源。
30.发明人在对相关的进程关联方法的研究中发现，相关的进程关联方法，一般是使用父子进程关联，由于每个进程都存在父进程，因此系统可以通过各个进程之间的父子关系把多个进程进行联系，但由于恶意进程不一定和上级进程存在父子关系，因此无法解决钓鱼场景下的恶意软件的追溯。
31.因此，发明人提出了本技术实施例中的进程关联方法、装置、电子设备以及存储介质。首先获取目标进程对应的行为事件信息，然后基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息，并且在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。
32.下面将结合附图具体描述本技术的各实施例。
33.请参阅图1，本技术实施例提供了一种进程关联方法，所述方法包括：
34.步骤s110：获取目标进程对应的行为事件信息。
35.在本技术实施例中，当检测到目标进程生成行为事件时，由系统获取行为事件信息。其中，目标进程用于表征创建文件的进程，行为事件信息用于表征目标进程产生的行为事件的信息。例如，当用户在电子设备上通过浏览器下载一个文件时，则目标进程为浏览器，由浏览器根据下载的文件生成行为事件信息。其中，电子设备可以包括电脑、平板以及手机，在此不做具体限定。其中，行为事件为进程对文件进行操作的行为，信息包括进程名称、操作文件时间和/或文件类型。
36.示例性的，目标进程可以为ie浏览器，当目标进程下载bat(batch)文件，则行为事件信息可以包括目标进程信息、下载文件时间信息和下载的文件类型信息。
37.步骤s120：基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息。
38.在本技术实施例中，当获取到行为事件信息后，确定行为事件信息对应的对象，根据该对象来查询是否与该对象关联的其他事件信息。其中，对象包括文件、注册表和/或操作行为，其他事件信息包括参考进程所产生的行为事件的信息，参考进程用于表征加载文件的进程。若检测到行为事件信息对应的目标进程创建的对象与其他事件信息对应的参考进程加载的对象为同一个对象，则确定行为事件信息对应的对象存在与该对象关联的其他事件信息；若检测到行为事件信息对应的目标进程创建的对象不存在与其他事件信息对应的参考对象加载的对象，则确定行为事件信息对应的对象不存在与该对象关联的其他事件信息。例如，当用户通过ie浏览器下载了一个doc文件，同时通过word.exe加载了该doc文件，则该doc文件为行为事件信息的对象，word.exe为参考进程，确定行为事件信息对应的对象存在于该对象关联的其他事件信息。
39.作为一种方式，当获取到行为事件信息后，将行为事件信息存储到第一数据库中；当获取到其他事件信息后，将其他事件信息存储到第二数据库中；或者将行为事件信息和其他事件信息都写入同一数据库中。
40.步骤s130：在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
41.在本技术实施例中，在确定行为事件信息对应的对象存在于该对象关联的其他事件信息时，系统可以将行为事件信息与其他事件信息进行关联，从而得到关联信息，系统可以通过关联信息将行为事件信息对应的目标进程与其他事件信息对应的参考进程进行关联。当对目标进程和参考进程关联后，系统可以通过目标进程查询到参考进程，或者通过参考进程查询到目标进程。其中，关联信息可以包括的目标进程的信息、对象下载时间信息、下载的对象类型信息、参考进程的信息和对象加载时间信息。
42.作为一种方式，当形成关联信息后，将关联信息写入第二数据库中，同时将关联信息通过总线上报到服务器中。
43.示例性的，当用户通过wechat.exe(微信进程)下载filea.doc(后缀为doc的文件a)文件时，生成行为事件信息，将行为事件信息中的wechat.exe通过进程黑名单、后缀黑名单和目录白名单进行过滤，确定wechat.exe属于进程黑名单中关注的进程，doc后缀属于后缀黑名单中关注的后缀，同时行为事件信息包括的目录不属于目录白名单中的目录，确定行为事件信息过滤成功，则根据下载的filea.doc文件的文件名生成于行为事件信息对应的标记，同时将行为事件信息写入第一数据库中。当用户通过word.exe(文字处理器应用程序进程)打开filea.doc文件时，生成其他事件信息，将其他事件信息对应的word.exe通过后缀黑名单和目录白名单进行过滤，确定doc后缀属于后缀黑名单中的后缀，同时其他事件信息包括的目录不属于目录白名单中的目录，确定其他事件信息过滤成功，则检测filea.doc文件对应的标记是否存在，若存在，则获取第一数据库中与filea.doc文件对应的行为事件信息，生成其他事件信息和行为事件信息关联的关联信息，将关联信息写入第二数据库中，同时将关联信息通过总线上传至服务器中，由服务器确定wechat.exe与
word.exe存在关联。
44.示例性的，步骤s110-步骤s130可以如图2所示，系统通过总线和引擎分发传输过来的行为事件，同时将关联信息上传至服务器。目标进程生成行为事件信息时，将行为事件信息通过总线传输至引擎，行为事件信息对应的目标进程先通过进程黑名单进行过滤，由进程黑名单过滤关注的进程，若行为事件信息对应的目标进程在进程黑名单上，确定满足进程黑名单的过滤条件，则行为事件信息再通过后缀黑名单进行过滤，由后缀黑名单过滤关注的文件的后缀，若行为事件信息对应的文件的后缀在后缀黑名单上，确定满足后缀黑名单的过滤条件，则行为事件信息再通过目录白名单进行过滤，若行为事件信息包括的目录不在目录白名单上，确定满足目录白名单的过滤条件。进而获取行为事件信息对应的文件的文件名，根据文件名创建对应的标记，并将行为事件信息写入到第一数据库中。同时，参考进程生成其他事件信息时，将其他事件信息通过总线传输至引擎，其他事件信息再通过后缀黑名单进行过滤，由后缀黑名单过滤关注的文件的后缀，若其他事件信息对应的文件的后缀在后缀黑名单上，确定满足后缀黑名单的过滤条件，则其他事件信息再通过目录白名单进行过滤，若其他事件信息包括的目录不在目录白名单上，确定满足目录白名单的过滤条件。进而查询其他事件信息对应的对象的文件路径是否存在标记，若存在，则确定其他事件信息对应的对象存在对应的标记，进而在第一数据库中查询标记对应的行为事件信息，并根据其他事件信息和行为事件信息生成关联的关联信息，并将关联信息写入到第二数据库中，同时将关联信息通过总线上传至服务器。
45.本技术实施例提供的一种进程关联方法，首先获取目标进程对应的行为事件信息，然后基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息，最后在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。
46.请参阅图3，本技术实施例提供了一种进程关联方法，所述方法包括：
47.步骤s210：获取目标进程对应的行为事件信息。
48.步骤s210具体可以参考上述实施例中的详细解释，故不在本实施例中进行赘述。
49.步骤s220：对所述行为事件信息对应的对象进行标记。
50.在本技术实施例中，当获取到行为事件信息后，并对行为事件信息的目标进程过滤成功后，对行为事件信息对应的对象进行标记，并将标记存储到预设文件系统中。其中，预设文件系统可以为nfts(new technology file system，新技术文件系统)文件系统，nfts文件系统时windows nt内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式，提供长文件名、数据保护和恢复，能通过目录和文件许可实现安全性，并支持跨越分区。该标记为mow(mark of the web)文件标签，该文件标签利用mow技术进程关注出发的文件，从而标记该文件是否需要关联。mow技术为文件创建备用数据流(ads，alternate data stream)来实现文件标记。mow文件标签为nfts系统上的文件流文件，文件流文件在磁盘中不能查询到。
51.步骤s230：基于所述标记，确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
52.在本技术实施例中，当确定标记后，查询其他事件信息的文件路径，确定是否存在与其他事件信息对应的标记。若在预设文件系统中查询到其他事件信息对应的标记，则确定其他事件信息可能是可疑的钓鱼文件信息，进一步的在第一数据库中获取与标记对应的行为事件信息，若在第一数据库中查询到标记对应的行为事件信息，则确定行为事件对应的对象与其他事件信息存在关联。
53.作为一种方式，由于用户可能将数据库中的行为事件进行删除，则当在预设文件系统中查询到其他事件信息对应的标记后，可能在数据库中无法获取与该标记对应的行为事件信息。系统可以根据标记生成对应的行为事件信息，再生成与其他事件信息和行为事件信息关联的关联信息，再将生成的行为事件信息和其他事件信息进行关联，得到关联信息，进而将关联信息将目标进程以及参考进程进行关联。
54.步骤s240：在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
55.步骤s240具体可以参考上述实施例中的详细解释，故不在本实施例中进行赘述。
56.本技术实施例提供的一种进程关联方法，首先获取目标进程对应的行为事件信息，然后对所述行为事件信息对应的对象进行标记，再基于所述标记，确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联，最后在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。
57.请参阅图4，本技术实施例提供了一种进程关联方法，所述方法包括：
58.步骤s310：获取目标进程对应的行为事件信息。
59.步骤s310具体可以参考上述实施例中的详细解释，故不在本实施例中进行赘述。
60.步骤s320：获取行为事件信息，若所述行为事件信息对应的目标进程满足预设过滤条件，对所述行为事件信息对应的对象进行标记。
61.在本技术实施例中，判断行为事件信息是否满足预设过滤条件，若确定行为事件信息满足预设过滤条件，则获取行为事件信息中包括的文件的文件名，根据行为事件信息中包括的文件的文件名创建对应的标记。系统可以根据行为事件信息对应的标记确定目标进程的信息、对象下载时间信息和下载的对象类型信息，并将标记存储在预设文件系统中。
62.作为一种方式，行为事件信息对应的预设过滤条件包括属于进程黑名单、属于后缀黑名单和不属于目录白名单。其中，进程黑名单为在名单上的进程文件事件才会关注，该进程可以包括浏览器、邮件软件、压缩包软件和聊天软件；后缀黑名单为要关注文件事件的后缀，该后缀可以包括rar(一种压缩包的文件扩展名)、7z(一种压缩包的文件扩展名)、doc(ducument)、xlsx(excel的文件扩展名)和bat(batch)；目录白名单为在目录下的文件事件自动加入白名单中，这些文件为操作系统本身存在的文件，因此不对目录白名单下的目录进行关注，例如recent目录。当行为事件信息对应的目标进程通过进程黑名单、后缀黑名单和目录白名单的过滤后，即可确定行为事件信息满足预设过滤条件；若进程黑名单、后缀黑名单和目录白名单中任一不满足过滤，则确定行为事件信息对应的目标进程不满足预设过滤条件。
63.步骤s330：获取其他事件信息，若所述其他事件信息对应的参考进程满足预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
64.在本技术实施例中，判断其他事件信息是否满足预设过滤条件，若其他事件信息满足预设过滤条件，确定其他事件信息对应的对象，根据该对象确定预设文件系统中是否存在对应的标记。
65.作为一种方式，其他事件信息对应的预设过滤条件包括后缀黑名单和目录白名单。当其他事件信息对应的参考进程通过后缀黑名单和目录白名单后，即可确定的其他事件信息满足预设过滤条件；若后缀黑名单和目录白名单中任一不满足过滤，则确定其他事件信息对应的参考进程不满足预设过滤条件。
66.步骤s340：在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
67.步骤s340具体可以参考上述实施例中的详细解释，故不在本实施例中进行赘述。
68.示例性的，步骤s310-步骤s340具体可以如图5所示，当chrome(浏览器进程)下载fileb.doc(后缀为doc的文件b)文件时，由chrome创建fileb.doc文件，用户通过word.exe打开fileb.doc文件，则chrome与word.exe形成关联关系。
69.本技术提供的一种进程关联方法，首先获取目标进程对应的行为事件信息，然后获取行为事件信息，若所述行为事件信息对应的目标进程满足预设过滤条件，对所述行为事件信息对应的对象进行标记，再获取其他事件信息，若所述其他事件信息对应的参考进程满足预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联，最后：在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。
70.请参阅图6，本技术实施例提供了一种进程关联方法，所述方法包括：
71.步骤s410：获取目标进程对应的行为事件信息。
72.步骤s420：获取行为事件信息，若所述行为事件信息中包括的文件后缀属于黑后缀名单中的后缀，和/或所述行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足预设过滤条件，对所述行为事件信息对应的对象进行标记。
73.在本技术实施例中，当获取到行为事件信息后，获取行为事件信息对应的第一字符串信息，根据进程黑名单判断第一字符串信息是否与进程黑名单中的进程相匹配，若匹配则确定目标进程属于黑名单中的进程；再根据后缀黑名单判断第一字符串信息是否与后缀黑名单中的后缀相匹配，若匹配则确定行为事件信息中包括的文件后缀属于后缀黑名单中的后缀；再根据目录白名单判断第一字符串信息是否与目录白名单中的目录相匹配，若不匹配则确定行为事件信息中包括的文件目录不属于目录白名单中的目录。进而确定行为事件信息满足预设过滤条件，根据行为事件信息对应的对象的文件名创建预标记。其中，第一字符串信息用于表征与行为事件信息对应的字符串信息。
74.步骤s430：获取其他事件信息，若所述其他事件信息对应的参考进程属于进程黑
名单中的进程，和/或所述其他行为事件信息中包括的文件后缀属于后缀黑名单中的后缀，和/或所述其他行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足所述预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
75.在本技术实施例中，当获取到其他事件信息后，获取其他事件信息对应的第二字符串信息，根据后缀黑名单判断第二字符串信息是否与后缀黑名单中的后缀相匹配，若匹配则确定其他事件信息中包括的文件后缀属于后缀黑名单中的后缀；再根据目录白名单判断第二字符串信息是否与目录白名单中的目录相匹配，若不匹配则确定其他事件信息中包括的文件目录不属于目录白名单中的目录。进而确定其他事件信息满足预设过滤条件，在预设文件系统中查询与其他事件信息对应的对象的标记。其中，第二字符串信息用于表征与其他事件信息对应的字符串信息。
76.步骤s440：在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
77.步骤s440具体可以参考上述实施例中的详细解释，故不在本实施例中进行赘述。
78.本技术提供的一种进程关联方法，首先获取目标进程对应的行为事件信息，然后获取行为事件信息，若所述行为事件信息中包括的文件后缀属于黑后缀名单中的后缀，和/或所述行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足预设过滤条件，对所述行为事件信息对应的对象进行标记，再获取其他事件信息，若所述其他事件信息对应的参考进程属于进程黑名单中的进程，和/或所述其他行为事件信息中包括的文件后缀属于后缀黑名单中的后缀，和/或所述其他行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足所述预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联，最后在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。
79.请参阅图7，本技术实施例提供了一种进程关联方法，所述方法包括：
80.步骤s510：获取目标进程对应的行为事件信息。
81.步骤s520：获取行为事件信息，若所述行为事件信息中包括的文件后缀属于黑后缀名单中的后缀，和/或所述行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足预设过滤条件，对所述行为事件信息对应的对象进行标记。
82.步骤s530：获取其他事件信息，若所述其他事件信息对应的参考进程属于进程黑名单中的进程，和/或所述其他行为事件信息中包括的文件后缀属于后缀黑名单中的后缀，和/或所述其他行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足所述预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
83.步骤s540：在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
84.步骤s510-步骤s540具体可以参考上述实施例中的详细解释，故不在本实施例中
进行赘述。
85.步骤s550：将其他事件信息对应的参考进程作为新的目标进程，执行获取新的目标进程对应的行为事件信息。
86.在本技术实施例中，当检测到其他事件信息对应的参考进程创建对象时，将其他事件信息对应的参考进程作为新的目标进程，将该新的目标进程创建对象的过程作为新的行为事件信息，获取新的目标进程对应的行为事件信息。
87.步骤s560：基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息。
88.在本技术实施例中，对行为事件信息对应的对象进行标记，并将标记存储到预设文件系统中。查询其他事件信息对应的文件路径，确定是否存在于其他事件信息对应的标记。若在预设文件系统中查询到其他事件信息对应的标记，则获取与该标记对应的行为事件信息，若在第一数据库中查询到标记对应的行为事件信息，则确定行为事件对应的对象与其他事件信息存在关联。
89.步骤s570：在存在与该对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联的操作，直至满足结束条件后停止执行，得到最终关联信息。
90.在本技术实施例中，在确定行为事件信息对应的对象存在于该对象关联的其他事件信息时，系统可以将行为事件信息与其他事件信息进行关联，从而得到关联信息，系统可以通过关联信息将行为事件信息对应的目标进程与其他事件信息对应的参考进程进行关联。直至其他事件信息对应的参考进程不再创建对应，确定满足结束条件，得到最终关联信息。
91.示例性的，步骤s510-s570可以如图8所示，当恶意用户通过wechat.exe向用户发送钓鱼压缩包filec.zip(后缀为zip的文件c)时，用户通过winrar.exe(压缩软件进程)打开压缩包，则wechat.exe和winrar.exe形成关联关系。同时，用户将压缩包filec.zip中的恶意文件filed.lnk(后缀为lnk的文件d)解压到本地，然后打开filed.lnk文件，则explorer.exe读取filed.lnk，进而使得winrar.exe和explorer.exe(文件资源管理器进程)形成关联关系，进而使wechat.exe和explorer.exe形成关联关系。
92.本技术实施例提供的一种进程关联方法，将其他事件信息对应的参考进程作为新的目标进程，执行获取新的目标进程对应的行为事件信息，然后基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息，最后在存在与该对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联的操作，直至满足结束条件后停止执行，得到最终关联信息。通过上述方法，
93.请参阅图9，本技术实施例提供了一种进程关联装置600，所述装置包括：
94.行为事件信息获取单元610，用于获取目标进程的对应的行为事件信息。
95.作为一种方式，行为事件信息获取单元610还用于对所述行为事件信息对应的对象进行标记。
96.可选的，行为事件信息获取单元610还用于获取行为事件信息，若所述行为事件信息对应的目标进程满足预设过滤条件，对所述行为事件信息对应的对象进行标记。
97.可选的，行为事件信息获取单元610还用于若所述行为事件信息中包括的文件后
缀属于黑后缀名单中的后缀，和/或所述行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足预设过滤条件。
98.其他事件信息确定单元620，用于基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息。
99.作为一种方式，其他事件信息确定单元620还用于基于所述标记，确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
100.可选的，其他事件信息确定单元620还用于获取其他事件信息，若所述其他事件信息对应的参考进程满足预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。
101.可选的，其他事件信息确定单元620还用于若所述其他事件信息对应的参考进程属于进程黑名单中的进程，和/或所述其他行为事件信息中包括的文件后缀属于后缀黑名单中的后缀，和/或所述其他行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足所述预设过滤条件。
102.进程关联单元630，用于在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。
103.作为一种方式，进程关联单元630还用于将其他事件信息对应的参考进程作为新的目标进程，执行获取新的目标进程对应的行为事件信息；基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；在存在与该对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联的操作，直至满足结束条件后停止执行，得到最终关联信息。
104.需要说明的是，本技术中装置实施例与前述方法实施例是互相对应的，装置实施例中具体的原理可以参见前述方法实施例中的内容，此处不再赘述。
105.下面将结合图10对本技术提供的一种电子设备进行说明。
106.请参阅图10，基于上述的数据处理方法、装置，本技术实施例还提供了另一种可以执行前述数据处理方式的电子设备700。电子设备700包括相互耦合的一个或多个(图中仅示出一个)处理器702、存储器704以及网络模块706。其中，该存储器704中存储有可以执行前述实施例中内容的程序，而处理器702可以执行该存储器704中存储的程序。
107.其中，处理器702可以包括一个或者多个处理核。处理器702利用各种接口和线路连接整个电子设备700内的各个部分，通过运行或执行存储在存储器704内的指令、程序、代码集或指令集，以及调用存储在存储器704内的数据，执行服务器700的各种功能和处理数据。可选地，处理器702可以采用数字信号处理(digital signal processing，dsp)、现场可编程门阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器702可集成中央处理器(central processing unit，cpu)、图像处理器(graphics processing unit，gpu)和调制解调器等中的一种或几种的组合。其中，cpu主要处理操作系统、用户界面和应用程序等；gpu用于负责显示内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器702中，单独通过一块通信芯片进行实现。
108.存储器704可以包括随机存储器(random access memory，ram)，也可以包括只读存储器(read-only memory)。存储器704可用于存储指令、程序、代码、代码集或指令集。存
储器704可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于实现至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现下述各个方法实施例的指令等。存储数据区还可以存储电子设备700在使用中所创建的数据(比如电话本、音视频数据、聊天记录数据)等。
109.所述网络模块706用于接收以及发送电磁波，实现电磁波与电信号的相互转换，从而与通讯网络或者其他设备进行通讯，例如和音频播放设备进行通讯。所述网络模块706可包括各种现有的用于执行这些功能的电路元件，例如，天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(sim)卡、存储器等等。所述网络模块706可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。上述的无线网络可包括蜂窝式电话网、无线局域网或者城域网。例如，网络模块706可以与基站进行信息交互。
110.请参考图11，其示出了本技术实施例提供的一种计算机可读存储介质的结构框图。该计算机可读存储介质800中存储有程序代码，所述程序代码可以被处理器调用执行上述方法实施例中所描述的方法。
111.计算机可读存储介质800可以是诸如闪存、eeprom(电可擦除可编程只读存储器)、eprom、硬盘或者rom之类的电子存储器。可选地，计算机可读存储介质800包括非易失性计算机可读介质(non-transitory computer-readable storage medium)。计算机可读存储介质800具有执行上述方法中的任何方法步骤的程序代码810的存储空间。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。程序代码810可以例如以适当形式进行压缩。
112.本技术实施例提供了一种进程关联方法、装置、电子设备以及存储介质。本进程关联方法包括：获取目标进程对应的行为事件信息；基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。
113.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。

技术特征：
1.一种进程关联方法，其特征在于，所述方法包括：获取目标进程对应的行为事件信息；基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。2.根据权利要求1所述的方法，其特征在于，所述对象包括文件、注册表和/或操作行为。3.根据权利要求1所述的方法，其特征在于，所述获取目标进程的对应的行为事件信息之后还包括：对所述行为事件信息对应的对象进行标记；所述基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息，包括：基于所述标记，确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。4.根据权利要求1所述的方法，其特征在于，所述行为事件信息存储在第一数据库中，所述其他事件信息存储与第二数据库中。5.根据权利要求3所述的方法，其特征在于，所述对所述行为事件信息对应的对象进行标记，包括：获取行为事件信息，若所述行为事件信息对应的目标进程满足预设过滤条件，对所述行为事件信息对应的对象进行标记；所述基于所述标记，确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联，包括：获取其他事件信息，若所述其他事件信息对应的参考进程满足预设过滤条件，检测所述其他事件信息对应的对象是否存在标记，基于所述标记确定所述行为事件信息对应的对象是否与所述其他事件信息存在关联。6.根据权利要求5所述的方法，其特征在于，所述若所述行为事件信息满足预设过滤条件，包括：若所述行为事件信息中包括的文件后缀属于黑后缀名单中的后缀，和/或所述行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足预设过滤条件；所述若所述其他事件信息对应的参考进程满足预设过滤条件，包括：若所述其他事件信息对应的参考进程属于进程黑名单中的进程，和/或所述其他行为事件信息中包括的文件后缀属于后缀黑名单中的后缀，和/或所述其他行为事件信息中包括的文件目录不属于目录白名单中的目录，确定满足所述预设过滤条件。7.根据权利要求1所述的方法，其特征在于，所述将所述目标进程与所述其他事件信息对应的参考进程进行关联之后还包括：将其他事件信息对应的参考进程作为新的目标进程，执行获取新的目标进程对应的行为事件信息；基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；在存在与该对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息
对应的参考进程进行关联的操作，直至满足结束条件后停止执行，得到最终关联信息。8.一种进程关联装置，其特征在于，所述装置包括：行为事件信息获取单元，用于获取目标进程的对应的行为事件信息；其他事件信息确定单元，用于基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；进程关联单元，用于在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。9.一种电子设备，其特征在于，包括一个或多个处理器以及存储器，一个或多个程序被存储在所述存储器中并被配置为由一个或多个处理器执行权利要求1-7任一所述的方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有程序代码，所述程序代码包括用于执行如权利要求1-7任一权利要求所述的方法的指令。

技术总结
本申请实施例提供了一种进程关联方法、装置、电子设备以及存储介质。本进程关联方法包括：获取目标进程对应的行为事件信息；基于所述行为事件信息对应的对象确定是否存在与该对象关联的其他事件信息；在存在与所述对象关联的其他事件信息的情况下，将所述目标进程与所述其他事件信息对应的参考进程进行关联。通过上述方法，在确定了行为事件信息对应的对象与其他事件信息存在关联后，将行为事件信息对应的目标进程和其他事件信息对应的参考进程进行关联，从而通过关联信息可以追溯钓鱼的原始进程，明白钓鱼场景下文件的来源。明白钓鱼场景下文件的来源。明白钓鱼场景下文件的来源。


技术研发人员：李宗越
受保护的技术使用者：深圳市深信服信息安全有限公司
技术研发日：2023.03.31
技术公布日：2023/8/9