其安 全管理选项的一部分。为此,安全管理控制台302可W包括用于执行和检查与每个安全威胁 相关联的网络取证上下文的能力。运可W通过与安全网关304和网络流分析平台(NFAP)306 的连接W及从安全网关304和NFAP 306接收数据来完成。在一个实施例中,安全管理控制台 302被配置为管理安全网关304和NFAP 306二者,并且因此是跨越二者的公共管理控制台。
[0023] 在一个实施例中,安全网关304是负责执行深度分组检测(DPI)的装置。安全网关 304从网络接收业务馈送并且监测和检测网络中的数据流,W捜索病毒、垃圾、数据丢失、入 侵、或其他潜在的安全威胁。在一个实施例中,安全网关304是针对恶意动作来监测网络动 作的入侵阻止系统(IPS)。可替换地,安全网关304可W是防火墙。
[0024] -旦安全网关304检测到潜在的安全威胁,其就可W确定其是否应该将该威胁指 定为安全事件。在一个实施例中,该决策是基于安全威胁的严重性等级来做出的。可W将严 重性等级指定为低、中、高、W及危急或任何其他期望的名称。在一个实施例中,如果安全威 胁超过严重性等级的特定阔值,则该威胁将被指定为安全事件。例如,具有中和更高的严重 性等级的安全威胁可W被指定为安全事件,而具有低严重性等级的威胁可W被忽略。严重 性等级和威胁被指定为安全事件所在的阔值可W预先确定或者可W由管理员设置,如将在 下文更加详细地讨论的。
[0025] 在一个实施例中,安全威胁的严重性等级是基于由安全网关304实施的策略来确 定的。策略可W包含安全威胁的类型W及其相关联的严重性等级的列表。列表中的安全威 胁的类型和其相关联的严重性可W由安全网关供应商(未示出)定义。可替换地,安全威胁 的类型和/或其相关联的严重性等级可W由管理员来定义。
[0026] 在安全威胁被指定为安全事件之后,安全网关304内部的应用流生成器308可W生 成针对检测到的安全事件的应用流记录,并且将安全事件ID分配给该安全事件。图4示出了 由安全网关304生成的应用流记录400的表示。
[0027] 流记录400包括针对IP/TCP/UPD报头元数据的字段402。字段402可W标识由导致 该安全事件的流数据所使用的协议的类型。例如,字段402可W包含将类型指定为化tflow、 IPFIX、Jf low或Sf low的条目。流记录400还包括用于记录安全事件ID的字段404, W及用于 记录应用ID的字段406。应用ID可W指示什么类型的应用导致了该安全威胁。流记录400的 字段408可W记录与该安全事件所使用的协议相关的应用的报头元数据和/或报头数据。应 用流记录400可W包括其他字段。应该注意的是,在一个实施例中,应用流生成器308生成针 对每个网络流的应用流记录,即使安全事件不是针对该网络流而检测到的。在运样的实例 中,生成的应用流记录可W具有与在流记录400中示出的字段不同的字段。
[00%]除了生成针对检测到的安全事件的应用流记录之外,安全网关304还被配置为将 流记录发送到NFAP 306。在一个实施例中,NFAP 306是用于执行对应用流记录的广泛挖掘 的服务器级的装置。可替换地,NFAP 306可W是嵌入在安全网关304内部的虚拟装置或软件 模块。根据一个实施例,NFAP 306是网络威胁行为装置(NTBA) dNFAP 306-般负责处理流记 录并且长期地对网络行为进行摘要。在一个实施例中,该摘要包括网络取证上下文。为了存 储运样的摘要,NFAP 306包括存储器314。存储器314可W包括一个或多个存储器模块,并且 包括硬盘、闪速存储器、随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器 (PROM)、可编程读写存储器、固态存储器或其他期望类型的存储介质。
[0029] 在其中存储所有的数据流W保存网络取证信息的现有技术系统中,NFAP 306会需 要大量的存储容量。然而,使用上下文感知的网络取证方案,显著地减少了出于取证目的而 需要存储的数据量,并且因此减少了NFAP 306需求的存储容量的量。例如,在一个实施例 中,使用本公开中讨论的上下文感知的网络取证方案将有效存储需求降低了90%。因此,尽 管现有的技术NFAP能够仅存储一天的所有流记录,但使用本公开中讨论的方案可W使得能 够存储数周的详细的取证上下文,而不需要备份空间。运不仅在降低成本方面是有利的,而 且在显著地改善捜索和访问取证记录所需要的时间量方面也是有利的。
[0030] 为了提供与安全事件有关的综合的取证数据,除了从安全网关304接收应用流信 息之外,NFAP 306还可W从一个或多个端点代理312A-312N接收某些信息。在一个实施例 中,端点代理312A-312N是在端点设备(例如端点用户计算机106和端点移动电话110(见图 1))上运行的模块,并且被配置为收集端点进程数据W及将端点进程数据发送到NFAP 306。 端点进程数据可W包括进程信息和相关联的元数据,例如,进程名称、相关联的DLLW及使 得能够从端点检测可疑行为的其他启发。
[0031] 除了应用流数据和进程数据之外,NFAP 306还可W从路由器(例如路由器310)或 者从交换机、防火墙、或网络中的其他网关接收网络流数据(例如,Ne tf 1OW、sFl OW、J-F1OW、 IPFIX)。网络流数据可W包括报头元数据信息(例如,IP/TCP/UPD)。在接收所有运些信息之 后,NFAP 306可W检查应用流记录W及端点进程流数据和网络流数据,W对所有接收的信 息进行相关、移除重复、对匹配的流进行归一化、W及生成针对每个安全事件的流记录并将 其连同综合的取证信息一起存储。图5示出了针对存储在NFAP 306的存储器314中的运样的 流记录的示例字段。如图所示,除了在流记录400中存在的字段(IP/TCP/UDP报头元数据 502、安全事件ID 504、应用ID 506W及应用报头元数据508)之外,流记录表500包括用于记 录端点进程元数据的字段510。除了在流记录表500中创建记录之外,NFAP 306被配置为在 针对每个安全事件的取证上下文表520中生成记录。
[0032] 收集和存储的取证上下文可W包括与在安全事件(针对该安全事件,数据被存储) 之前或之后的特定的时间段期间发起的服务有关的信息,在相同时间段期间访问的应用相 关的元数据、被启动的端点进程、W及在相同时段期间的内部主机连接和外部主机连接。此 夕h与安全事件相关的原始数据流记录可W被收集和存储在一个或多个流记录文件中。
[0033] 还可W收集和存储一个或多个其他类型的取证数据。例如,在一个实施例中,系统 识别安全事件是否是递归的,并且如果是递归的,则创建递归事件和与该递归事件相关的 其他事件之间的链接。当事件发生在另一个安全事件之前或之后的指定的时间帖内时,或 当事件与先前的事件共享某些特性时,该事件可W被识别为是递归的。例如,在偷渡式下载 (化ive-by-download)的30分钟内发生的扫描可能是递归事件。跟随在偷渡式下载之后所 见的新的可疑进程的数据泄露也是应该被链接到偷渡式下载的递归事件。当运些事件被链 接为递归事件时,可W在一个事件被选择时访问与所有运些事件相关的取证上下文。
[0034] 在一个实施例中,所收集的取证上下文数据被记录在取证上下文表520中。取证上 下文表520包含用于记录各种类型的取证上下文数据的多个字段。例如,字段504可W被提 供用于记录安全事件ID。安全事件ID可W充当每个安全事件的唯一标识符,其可W将其来 自流记录表500的数据链接到取证上下文表520。在一个实施例中,安全事件ID是可W由安 全网关304、NFAP 314和安全管理控制台302用来指代相同的唯一安全事件的唯一数字标识 符。因此,安全事件ID可W充当用于查找和取回与每个安全事件相关的取证上下文的主键。 在一个实施例中,安全事件ID可W包括在特定时间上标识唯一安全事件的时间戳或类似的 指示符。在其他的实施例中,安全事件ID可W包括标识在唯一的安全事件(例如,偷渡式下 载、服务器漏桐、端口扫描等)中设及的威胁的类型的指示符。
[0035] 取证上下文表520还可W包括针对服务522、端点进程524、应用元数据526(例如, m?L、FTP用户、SMTP地址等)、内部主机连接528和外部主机连接530的字段。字段532可W被 提供用于在递归安全事件的情况中记录相