【技术实现步骤摘要】
【国外来华专利技术】
本公开总体上涉及网络安全管理,并且更特别地涉及用于进行网络取证的系统和方法。
技术介绍
当在不同的计算机和/或计算机网络之间传送数字数据时,一定量的安全风险是固有的。与其他网络交互的计算机网络时常暴露于恶意软件或诸如病毒、蠕虫和木马等的恶意程序,这些恶意程序被构建为潜入计算机软件架构的每个层次。为了检测这样的安全威胁并且防止对网络上的设备的可能损害,可以由安全管理员来监测网络业务和/或稍后分析网络业务。对网络业务的这样的监测和分析有时被称为网络取证。在网络范围基础上执行取证是有价值的,因为攻击者可能能够擦除受损主机上的所有日志文件,并且由此,基于网络的证据可能是可用于取证分析的唯一证据。出于安全目的来执行网络取证的第一步骤中的一个步骤一般涉及针对异常业务来监测网络和识别入侵。为了能够稍后分析网络上的取证数据,许多网络对经过网络的所有或大多数数据流进行存储。对于大型网络,这可能意味着每个月存储许多太字节的数据,这可能快速地导致用尽存储空间。此外,安全分析者经常需要搜索数据以能够分析安全风险。由于所涉及的数据量,所做的每个查询可能花费很长时间来处理,这是因为挖掘大量的数据来执行搜索通常是困难的和耗时的。为了解决这些问题,某些网络系统已经开始对其存储的数据进行摘要。替代存储所有数据流,这些网络存储与数据有关的高级信息的摘要,诸如经过长期的字节数等。仅存储数据流的摘要可以有助于解决存储空间限制
【技术保护点】
一种非暂时性计算机可读介质,包括存储于其上的指令,所述指令使一个或多个处理器:在被配置为执行网络业务监测的一个或多个网络设备处监测网络中的数据流;识别所述数据流中的至少一个安全威胁;获取与所述至少一个安全威胁相关的网络取证上下文;以及将所述至少一个安全威胁和所述相关的网络取证上下文存储在存储器中。
【技术特征摘要】
【国外来华专利技术】1.一种非暂时性计算机可读介质,包括存储于其上的指令,所述指令
使一个或多个处理器:
在被配置为执行网络业务监测的一个或多个网络设备处监测网络中的
数据流;
识别所述数据流中的至少一个安全威胁;
获取与所述至少一个安全威胁相关的网络取证上下文;以及
将所述至少一个安全威胁和所述相关的网络取证上下文存储在存储器
中。
2.根据权利要求1所述的计算机可读介质,还包括用于使所述一个或
多个处理器在访问所述至少一个安全威胁时提供对所述取证上下文的访问
的指令。
3.根据权利要求1所述的计算机可读介质,还包括用于使所述一个或
多个处理器给所述至少一个安全威胁分配安全事件ID的指令。
4.根据权利要求3所述的计算机可读介质,其中,与所述至少一个安
全威胁相关的数据存储在流记录表中,所述流记录表包括针对所述安全事
件ID的字段。
5.根据权利要求4所述的计算机可读介质,其中,所述流记录表还包
括针对报头元数据的字段和针对应用ID的字段。
6.根据权利要求4所述的计算机可读介质,其中,所述取证上下文存
储在包含针对所述安全事件ID的字段的取证上下文表中。
7.根据权利要求6所述的计算机可读介质,其中,分配给所述至少一
个安全威胁的所述安全事件ID被用于与所述至少一个安全威胁相关的所述
\t取证上下文。
8.根据权利要求1或2所述的计算机可读介质,其中,所述取证上下
文包括以下中的一个或多个:应用元数据、端点进程、外部主机连接、内
部主机连接、以及存储在一个或多个流记录文件中的数据流记录。
9.根据权利要求1-7中任一项所述的计算机可读介质,还包括用于使
所述一个或多个处理器确定所述安全威胁是否是安全事件的指令。
10.根据权利要求1-7中任一项所述的计算机可读介质,其中,网络取
证上下文是仅当所述安全威胁被确定为安全事件时针对所述安全威胁获取
的。
11.根据权利要求9所述的计算机可读介质,还包括用于使所述一个
或多个处理器执行以下操作的指令:确定所述安全事件是否是递归的,并
且如果所述安全事件被确定为是递归的,则存储针对所述安全事件的递归
取证上下文。
12.一种被配置为执行网络业务分析的装置,包括:
存储器单元;
网络通信接口单元;以及
处理单元,其通信地耦合到所述存储器单元,其中,所述存储器单元
存储用于将所述处理单元配置为执行以下操作的指令:
从所述网络通信接口单元接收网络分组,所述网络分组与网络数据
流相关联;
监测所述数据流以识别至少一个安全威胁...
【专利技术属性】
技术研发人员:B·K·古普塔,A·尚卡尔,
申请(专利权)人:迈克菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。