上下文感知的网络取证的制作方法
【技术领域】
[0001] 本公开总体上设及网络安全管理,并且更特别地设及用于进行网络取证的系统和 方法。
【背景技术】
[0002] 当在不同的计算机和/或计算机网络之间传送数字数据时,一定量的安全风险是 固有的。与其他网络交互的计算机网络时常暴露于恶意软件或诸如病毒、蠕虫和木马等的 恶意程序,运些恶意程序被构建为潜入计算机软件架构的每个层次。为了检测运样的安全 威胁并且防止对网络上的设备的可能损害,可W由安全管理员来监测网络业务和/或稍后 分析网络业务。对网络业务的运样的监测和分析有时被称为网络取证。在网络范围基础上 执行取证是有价值的,因为攻击者可能能够擦除受损主机上的所有日志文件,并且由此,基 于网络的证据可能是可用于取证分析的唯一证据。
[0003] 出于安全目的来执行网络取证的第一步骤中的一个步骤一般设及针对异常业务 来监测网络和识别入侵。为了能够稍后分析网络上的取证数据,许多网络对经过网络的所 有或大多数数据流进行存储。对于大型网络,运可能意味着每个月存储许多太字节的数据, 运可能快速地导致用尽存储空间。此外,安全分析者经常需要捜索数据W能够分析安全风 险。由于所设及的数据量,所做的每个查询可能花费很长时间来处理,运是因为挖掘大量的 数据来执行捜索通常是困难的和耗时的。
[0004] 为了解决运些问题,某些网络系统已经开始对其存储的数据进行摘要。替代存储 所有数据流,运些网络存储与数据有关的高级信息的摘要,诸如经过长期的字节数等。仅存 储数据流的摘要可W有助于解决存储空间限制和捜索大量数据的问题。然而,该方案不够 理想,运是因为其导致系统丢失与数据流有关的大量重要信息。丢失的信息可能是对于进 行安全分析W正确地识别和移除安全威胁来说有用的或必要的。下面的公开内容解决了运 些和其他问题。
【附图说明】
[0005] 图1是示出了根据一个或多个公开的实施例的网络架构设施的框图。
[0006] 图2是示出了根据一个或多个公开的实施例的可W用作执行本文描述的上下文感 知的网络取证方案的系统的一部分的设备的框图。
[0007] 图3是示出了根据一个或多个公开的实施例的可W用于执行本文描述的上下文感 知的网络取证方案的系统的框图。
[0008] 图4示出了可W在一个或多个公开的实施例中使用的流记录表的字段。
[0009] 图5示出了一个或多个公开的实施例中的取证上下文表的字段W及它们如何与流 记录表的字段相关。
[0010] 图6示出了根据一个或多个公开的实施例的可W用于改变存储的取证上下文的参 数的用户界面屏幕。
[0011] 图7示出了根据一个或多个公开的实施例的存储的递归取证上下文的示例。
[0012] 图8示出了根据一个或多个公开的实施例的可W用于查看和管理安全相关信息的 用户界面屏幕。
[0013] 图9示出了可W在一个或多个公开的实施例中使用的针对高风险主机的流记录表 的字段。
[0014] 图10示出了根据一个或多个公开的实施例的可W用于查看和管理存储的取证上 下文的用户界面屏幕。
【具体实施方式】
[0015] 网络取证设及对网络中的数据流进行监测和分析W辅助安全分析者检查、分析和 移除安全威胁。网络环境中的安全威胁一般由网络上的一个或多个设备来检测。针对检测 到的每个安全威胁或风险,通常会在系统中创建和存储安全事件。在许多情况中,安全事件 的重要性不会立即地在网络管理计算机处或通过由分析者的检查而认识到。同时,许多安 全事件仅包含与其中发生该安全事件的上下文有关的有限的信息。上下文信息是短暂的, 并且到外部应用、或用户、或安全分析者决定发出查询的时候,上下文信息可能已经丢失。 可W通过收集与网络安全事件有关的及时且相关的上下文信息并且将运样的上下文信息 与安全事件一起存储来解决运些问题。通过检测安全事件并且将相关的上下文信息连同安 全事件一起存储,该方案消除了对存储和挖掘大量数据的需要,并且因此高效地和有效地 提供了重要的取证数据。
[0016] 现在参照图1,示意地示出了设施100。设施100包含计算机网络102,计算机网络 102可W包括当今可用的许多不同类型的计算机网络,例如互联网、企业网、或局域网 (LAN)。运些网络中的每个网络可W包含有线或无线的设备,并且使用任何数量的网络协议 (例如,TCP/IP)来操作。网络102连接到网关和路由器(由108表示)、终端用户计算机106和 计算机服务器104。同样在设施100中示出的是用于与移动通信设备一起使用的蜂窝网络 103。如本领域已知的,移动蜂窝网络支持移动电话和许多其他类型的设备(例如,未示出的 平板计算机)。设施100中的移动设备被示为移动电话110。
[0017] 在诸如图1中显示的网络中,出于取证的目的,可W对数据流进行监测和分析。一 个或多个软件程序或装置可W用于监测网络中的所有数据流中的网络分组、检测数据流中 的安全威胁、基于检测到的威胁来创建安全事件、收集与安全事件相关的取证信息W及将 运样的信息连同安全事件一起存储W用于稍后的访问和/或分析。
[0018] 现在参照图2, W框图的形式示出了根据一个实施例的用于在执行网络取证技术 中使用的示例处理设备200。处理设备200可W充当移动电话110、网关或路由器108、客户端 计算机106、或服务器计算机104中的处理器。示例处理设备200包括系统单元205,其可W可 选地连接到系统的输入设备230(例如,键盘、鼠标、触摸屏等)和显示器235。程序存储设备 (PSD)240(有时被称为硬盘、闪速存储器、或非暂时性计算机可读介质)与系统单元205包括 在一起。同样与系统单元205包括在一起的是用于经由网络(或蜂窝或计算机)与其他移动 和/或嵌入式设备(未示出)进行通信的网络接口 220。网络接口 220可W被包括在系统单元 205内或者在系统单元205外部。在任一种情况中,系统单元205将通信地禪合到网络接口 220。程序存储设备240表示任何形式的非易失形存储设备,包括但不限于所有形式的光和 磁存储器(包括固态存储器)、存储元件(包括可移动介质),并且可W被包括在系统单元205 内或者在系统单元205外部。程序存储设备240可W用于存储对系统单元205进行控制的软 件、用于由处理设备200使用的数据、或二者。
[0019] 系统单元205可W被编程为执行根据本公开的方法。系统单元205包括一个或多个 处理单元、输入-输出(I/O)总线225和存储器215。可W使用通信链路225来实现对存储器 215的访问。通信链路225可W是包括点到点链路和总线在内的任何类型的互连。处理单元 210可W包括任何可编程控制器设备,包括例如大型处理器、移动电话处理器,或者作为示 例,来自英特尔公司的INTEL atom⑥和INTEL CO反E⑥处理器家族和来自ARM有限公司 的Cortex?和ARM?处理器家族的一个或多个成员(INTCLaNTCL ATOM和CORE是英特尔 公司的商标。CORTEX是ARM有限公司的注册商标。ARM是ARM有限公司的注册商标)。存储器 215可W包括一个或多个存储器模块,并且包括随机存取存储器(RAM)、只读存储器(ROM)、 可编程只读存储器(PROM)、可编程读写存储器、W及固态存储器。同样如图2所示,系统单元 205还可W包括通信优化模块245,该通信优化模块245可W在固件中实现W有助于本文描 述的通信优化技术的性能。
[0020] 如上所述,本文公开的发明的实施例可W包括软件。由此,我们应该提供对常见的 计算软件架构的描述。与硬件示例类似地,本文论述的软件架构不是要W任何形式排他,而 是示例性的。
[0021] 我们现在转到对用于执行上下文感知的网络取证的各种实施例的讨论。参照图3, 框图300示出了实现上下文感知的网络取证的系统的一个示例。该系统包括安全管理控制 台302,在一个实施例中,安全管理控制台302是运样的管理工具,其通过提供到网络的安全 态势中的单点可见性来向信息技术(IT)管理员提供了对整个网络设施的安全进行集中管 理的方式。在一个实施例中,安全管理控制台302是安装在网络上的或云中的设备上的软件 程序。
[0022] 安全管理控制台302可W向用户提供检查、分析和评价安全威胁的选项,作为