本公開提供一種進程定位方法、裝置、設備及機器可讀存儲介質，該方法包括：抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫；抓取待發送報文，解析待發送報文的DNS協議，獲取報文關聯的域名，根據報文關聯的域名是否匹配惡意域名，判斷該報文是否是惡意報文；提取惡意報文的五元組信息，根據五元組信息在存儲進程信息的信息庫中匹配關聯的進程。通過本公開的技術方案，抓取網絡側的報文流量，找到匹配惡意域名的惡意報文，以惡意報文的報文五元組信息去匹配當前計算機設備啟動的進程的進程信息，從而匹配到惡意進程，使惡意流量與惡意進程得以關聯，打通流程，便于排查處理網絡安全問題。

技術領域

本公開涉及通信技術領域，尤其是涉及一種進程定位方法、裝置、設備及機器可讀存儲介質。

背景技術

當前，基于安全威脅情報的安全事件檢測方法大規模運用在網絡安全領域，使得網絡安全檢測更加便捷和準確。安全威脅情報主要的分類是IP情報，域名情報，URL情報，MD5情報等。基于安全威脅情報的安全事件檢測方法的主要原理是通過捕獲網絡中的流量，識別并且與威脅情報進行匹配。其中域名情報的使用方式是，截取主機的請求的DNS域名請求，再根據已知的黑域名情報庫進行匹配，匹配到認為主機具有很大失陷可能。當此類惡意域名請求事情發生后，排查人員第一時間需要對主機進行排查取證，需要找到請求該惡意域名的進程，從而定點判定和清除惡意軟件。但這兩個過程是隔離的，匹配惡意域名使用的是網絡側的流量，流量中沒有具體的進程信息，而主機側沒有域名請求的信息，因而網絡側和主機側無法關聯起來，不能打通整個流程。

發明內容

有鑒于此，本公開提供一種進程定位方法、裝置及電子設備、機器可讀存儲介質，以改善上述惡意流量和惡意進程無法關聯的問題。

具體地技術方案如下：

本公開提供了一種進程定位方法，應用于計算機設備，所述方法包括：抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫；抓取待發送報文，解析待發送報文的DNS協議，獲取報文關聯的域名，根據報文關聯的域名是否匹配惡意域名，判斷該報文是否是惡意報文；提取惡意報文的五元組信息，根據五元組信息在存儲進程信息的信息庫中匹配關聯的進程。

作為一種技術方案，所述提取惡意報文的五元組信息，根據五元組信息在存儲進程信息的信息庫中匹配關聯的進程，包括：認為匹配到的關聯的進程為惡意進程，輸出惡意進程的進程信息。

作為一種技術方案，所述抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫，包括：為信息庫中存儲的進程信息設置老化時間，老化存儲時間達到老化時間的進程信息。

作為一種技術方案，所述抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫，包括：按照預設周期，周期性地抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫。

本公開同時提供了一種進程定位裝置，應用于計算機設備，所述裝置包括：進程模塊，用于抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫；報文模塊，用于抓取待發送報文，解析待發送報文的DNS協議，獲取報文關聯的域名，根據報文關聯的域名是否匹配惡意域名，判斷該報文是否是惡意報文；匹配模塊，用于提取惡意報文的五元組信息，根據五元組信息在存儲進程信息的信息庫中匹配關聯的進程。

作為一種技術方案，所述提取惡意報文的五元組信息，根據五元組信息在存儲進程信息的信息庫中匹配關聯的進程，包括：認為匹配到的關聯的進程為惡意進程，輸出惡意進程的進程信息。

作為一種技術方案，所述抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫，包括：為信息庫中存儲的進程信息設置老化時間，老化存儲時間達到老化時間的進程信息。

作為一種技術方案，所述抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫，包括：按照預設周期，周期性地抓取當前啟動的進程，獲取進程信息并存儲進程信息至信息庫。