买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网恭喜杭州安恒信息技术股份有限公司申请的专利一种终端行为告警溯源分析的方法、装置、设备及介质获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN113672939B 。

龙图腾网通过国家知识产权局官网在2025-04-18发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202110966818.9，技术领域涉及：G06F21/57；该发明授权一种终端行为告警溯源分析的方法、装置、设备及介质是由刘华;范渊;刘博设计研发完成，并于2021-08-23向国家知识产权局提交的专利申请。

本一种终端行为告警溯源分析的方法、装置、设备及介质在说明书摘要公布了：本申请公开了一种终端行为告警溯源分析的方法、装置、设备及介质，包括：监控终端行为数据，对终端行为数据进行实时读取和解析，得到行为日志并存储至本地数据库；将预先定义的行为特征作为预置告警规则与行为日志进行匹配碰撞，获得碰撞记录结果；根据碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，并将溯源链自动提交至数据平台；通过数据平台对溯源链进行风险等级评定。这样对溯源链的数据进行分析处理，评定其风险等级，为告警行为提供了有力的数据支撑和判断依据，能够提高风险告警的事件关联性和准确性，获取风险告警事件来龙去脉的行为日志记录，减少手动检索分析、人工研判和手动溯源的繁琐过程，提高检测率，降低误报率。

本发明授权一种终端行为告警溯源分析的方法、装置、设备及介质在权利要求书中公布了：1.一种终端行为告警溯源分析的方法，其特征在于，包括：监控终端行为数据，对所述终端行为数据进行实时读取和解析，得到行为日志并存储至本地数据库；所述本地数据库具有全量日志存储功能；所述行为日志包括文件操作、注册表操作、进程创建、网络连接、驱动加载、进程访问和WMI事件；将预先定义的行为特征作为预置告警规则与所述行为日志进行匹配碰撞，获得碰撞记录结果；所述预先定义的行为特征是预先编写的告警异常行为特征；所述预置告警规则是对异常行为分析的总结，编写有告警风险的特征正则表达式，用于与行为日志匹配碰撞，以获得碰撞记录结果；所述碰撞记录结果包括多个告警点；根据所述碰撞记录结果的告警点进行自动上下文溯源，形成溯源链，包括：从所述本地数据库中追踪与所述碰撞记录结果的告警点上下文关联的父子进程及相关节点操作对象；获取所述碰撞记录结果的告警点对应的当前节点操作对象的父进程ID和子进程ID；通过所述父进程ID从所述本地数据库中向上追踪所述父进程ID的日志信息，直至追踪到所述父进程ID无进程节点为止；判断所述子进程ID是否已经结束，若未结束将等待设定时间后，再通过所述子进程ID从所述本地数据库中向下追踪所述子进程ID的日志信息，直至追踪到所述子进程ID无进程节点为止；将整个追踪进程链及节点操作对象拼接形成的父子关系的树形结构数据作为溯源链；在形成所述溯源链的同时，利用终端溯源接口接收平台溯源指令，获得相应的所述溯源链；所述溯源接口用于随时对某一事件进行回溯查询，以获取风险告警溯源链各节点行为和上下文记录；将所述溯源链自动提交至数据平台；所述数据平台具有溯源链节点二次检索分析功能，用于对每个节点与情报分析及告警量综合分析评定事件的风险等级；通过所述数据平台对所述溯源链进行解析，将所述溯源链各节点与已知告警列表进行对比和参考，以对所述溯源链各节点进行风险权重评定，重新评定所述溯源链的风险等级。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人杭州安恒信息技术股份有限公司，其通讯地址为：310000 浙江省杭州市滨江区西兴街道联慧街188号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。