基于态势感知定位用户的方法、设备、装置及存储介质制造方法及图纸

本发明专利技术实施例公开了基于态势感知定位用户的方法、设备、装置及存储介质，用于实现安全事件的用户定位。本发明专利技术实施例方法包括：配置设备的认证装置及态势感知装置；通过认证装置接收并验证用户输入的用户信息，用户信息与用户一一对应；若验证通过，根据用户信息，建立用户的设备认证信息，并对用户信息及用户的设备认证信息进行关联存储；建立态势感知装置与认证装置之间的通信连接，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息；当态势感知装置检测到安全事件时，根据用户的设备认证信息定位用户。

【技术实现步骤摘要】
基于态势感知定位用户的方法、设备、装置及存储介质
本专利技术涉及计算机安全
，尤其涉及一种基于态势感知定位用户的方法、设备、装置及存储介质。
技术介绍
目前的态势感知产品大多为在企业内网的核心汇聚地或其他重要区域的交换机上旁路部署探针等采集流量的设备，来监听全网的安全状态，或将全网流量导入云端进行威胁检测和流量清洗。而目前的态势感知产品在发生安全事件时，因其内网主机是通过DHCP、域控或认证的方式进行上网的，而这些主机在每次上网时IP地址都可能是不同的，故在内网主机发生安全事件时，难以排查或定位到具体的主机或用户，也就无法做进一步的处理，也无法直接通过防火墙拦截IP的方式进行联动。针对上述问题，现有技术可以通过以下两种方式进行解决：1、获取主机的MAC地址；2、获取主机名称；针对获取MAC地址的方式，如果数据包经过三层交换机，则源MAC地址会改变为交换机端口的MAC地址，这时候态势感知产品采集到的并非是真正用户主机的MAC地址。同时基于这个原理，也会导致最后记录的大量用户的主机MAC地址一样(都是交换机的MAC地址)。针对获取主机名，大部分企业的用户主机装机都是用GHOST盘等快速、批量生成的，如果没有去更改主机名，则大家都是一样的，也就无法定位是谁的主机。故现有技术在内网主机发生安全事件时，无法有效准确的定位到具体的主机或用户信息。
技术实现思路
本专利技术实施例提供了基于态势感知定位用户的方法、设备、装置、及存储介质，用于通过将设备的认证装置与态势感知装置进行联动，从而使得态势感知装置根据认证装置中的用户信息，获取与该用户信息相关联的用户设备认证信息，并在态势感知装置检测到安全事件时，可以进一步通过用户设备认证信息定位到与该设备认证信息相关联的用户信息，进而定位到用户。本专利技术第一方面提供了一种基于态势感知定位用户的方法，包括：配置设备的认证装置及态势感知装置；通过认证装置接收并验证用户输入的用户信息，用户信息与用户一一对应；若验证通过，根据用户信息，建立用户的设备认证信息，并对用户信息及用户的设备认证信息进行关联存储；建立态势感知装置与认证装置之间的通信连接，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息；当态势感知装置检测到安全事件时，根据用户的设备认证信息定位用户。优选的，用户的设备认证信息包括：设备的IP地址、认证成功时间及认证有效期；和/或，设备的MAC地址、主机名及操作系统。优选的，在根据用户的设备认证信息定位用户之后，该方法还包括：通过态势感知装置建立用户信息表，用户信息表包括用户信息及用户的设备认证信息；通过态势感知装置从用户角度对安全事件进行可视化展示。优选的，通过态势感知装置从用户角度对安全事件进行可视化展示，包括：通过态势感知装置从安全事件中提取出设备信息，设备信息包括：设备的IP地址、设备的主机名或设备的MAC地址；通过态势感知装置读取用户信息表；根据用户信息表，确定与设备信息相对应的用户信息，从用户角度对安全事件进行可视化展示。优选的，建立态势感知装置与认证装置之间的通信连接，包括：态势感知装置对认证装置进行校验；若校验通过，则建立通信连接；若校验不通过，则拒绝通信连接。优选的，通过态势感知装置实时获取用户信息，包括：当用户信息或设备的IP地址发生更新时，或设备的认证有效期截止时，通过态势感知装置实时获取用户信息。优选的，在根据用户信息，建立用户的设备认证信息之后，并对用户信息及用户的设备认证信息进行关联存储之前，方法还包括：对用户信息和用户的设备认证信息进行加密；在并根据用户信息，获取用户的设备认证信息之后，方法还包括：对用户信息和用户的设备认证信息进行解密。本专利技术第二方面提供了一种基于态势感知定位用户的设备，包括：配置单元，用于配置设备的认证装置及态势感知装置；验证单元，用于通过认证装置接收并验证用户输入的用户信息，用户信息与用户一一对应；第一建立单元，用于在用户信息验证通过时，根据用户信息，建立用户的设备认证信息，并对用户信息及用户的设备认证信息进行关联存储；获取单元，用于建立态势感知装置与认证装置之间的通信连接，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息；检测定位单元，用于当态势感知装置检测到安全事件时，根据用户的设备认证信息定位用户。优选的，设备还包括：第二建立单元，用于通过态势感知装置建立用户信息表，用户信息表包括用户信息及用户的设备认证信息；展示单元，用于通过态势感知装置从用户角度对安全事件进行可视化展示。优选的，展示单元，包括：提取模块，用于通过态势感知装置从安全事件中提取出设备信息，设备信息包括：设备的IP地址、设备的主机名或设备的MAC地址；读取模块，用于通过态势感知装置读取用户信息表；展示模块，用于根据用户信息表，确定与设备信息相对应的用户信息，从用户角度对安全事件进行可视化展示。优选的，获取单元，包括：第一获取模块，用于当态势感知装置与认证装置通信连接时，且在用户信息或设备的IP地址发生更新时，或设备的认证有效期截止时，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息。优选的，第一建立单元，包括：建立模块，用于在用户信息验证通过时，根据用户信息，建立用户的设备认证信息；加密模块，用于对用户信息和用户的设备认证信息进行加密；关联存储模块，用于对用户信息及用户的设备认证信息进行关联存储；获取单元，还包括：解密模块，用于对用户信息和用户的设备认证信息进行解密。本专利技术还提供了一种计算机装置，包括处理器，该处理器处理存储于存储器上的计算机程序时，用于实现如下步骤：配置设备的认证装置及态势感知装置；通过认证装置接收并验证用户输入的用户信息，用户信息与用户一一对应；若验证通过，根据用户信息，建立用户的设备认证信息，并对用户信息及用户的设备认证信息进行关联存储；建立态势感知装置与认证装置之间的通信连接，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息；当态势感知装置检测到安全事件时，根据用户的设备认证信息定位用户。本专利技术还提供了一种可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时，用于实现如下的步骤：配置设备的认证装置及态势感知装置；通过认证装置接收并验证用户输入的用户信息，用户信息与用户一一对应；若验证通过，根据用户信息，建立用户的设备认证信息，并对用户信息及用户的设备认证信息进行关联存储；建立态势感知装置与认证装置之间的通信连接，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息；当态势感知装置检测到安全事件时，根据用户的设备认证信息定位用户。从以上技术方案可以看出，本专利技术实施例具有以下优点：本专利技术中，首先通过设备中的认证装置对用户的信息进行认证，并在认证通过时，建立与该用户信息对应的用户设备认证信息，并对该用户信息及该用户设备认证信息进行关联存储；其次，建立设备中态势感知装置与认证装置之间的通信连接，通过态势感知装置实时从认证装置中获取用户信息，并根据该用户信息，进一步获取用户设备信息，并在态势感知装置监测到安全事件时，可以通过定位用户设备认证信息，进而定位到用户。因为用户信息与用户设备认证信息一一对应，故态势感知本文档来自技高网...

【技术保护点】
一种基于态势感知定位用户的方法，其特征在于，包括：配置设备的认证装置及态势感知装置；通过所述认证装置接收并验证用户输入的用户信息，所述用户信息与所述用户一一对应；若验证通过，根据所述用户信息，建立所述用户的设备认证信息，并对所述用户信息及所述用户的设备认证信息进行关联存储；所述态势感知装置与所述认证装置之间通信连接，通过所述态势感知装置实时获取所述用户信息，并根据所述用户信息，获取所述用户的设备认证信息；当所述态势感知装置检测到安全事件时，根据所述用户的设备认证信息定位所述用户。

【技术特征摘要】
1.一种基于态势感知定位用户的方法，其特征在于，包括：配置设备的认证装置及态势感知装置；通过所述认证装置接收并验证用户输入的用户信息，所述用户信息与所述用户一一对应；若验证通过，根据所述用户信息，建立所述用户的设备认证信息，并对所述用户信息及所述用户的设备认证信息进行关联存储；所述态势感知装置与所述认证装置之间通信连接，通过所述态势感知装置实时获取所述用户信息，并根据所述用户信息，获取所述用户的设备认证信息；当所述态势感知装置检测到安全事件时，根据所述用户的设备认证信息定位所述用户。2.根据权利要求1所述的方法，其特征在于，所述用户的设备认证信息包括：所述设备的IP地址、认证成功时间及认证有效期；和/或，所述设备的MAC地址、主机名及操作系统。3.根据权要求2所述的方法，其特征在于，在所述根据所述用户的设备认证信息定位所述用户之后，所述方法还包括：通过态势感知装置建立用户信息表，所述用户信息表包括所述用户信息及所述用户的设备认证信息；通过态势感知装置从用户角度对所述安全事件进行可视化展示。4.根据权利要求3所述的方法，其特征在于，所述通过态势感知装置从用户角度对所述安全事件进行可视化展示，包括：通过态势感知装置从所述安全事件中提取出设备信息，所述设备信息包括：设备的IP地址、设备的主机名或设备的MAC地址；通过态势感知装置读取所述用户信息表；根据所述用户信息表，确定与所述设备信息相对应的用户信息，从用户角度对所述安全事件进行可视化展示。5.根据权利要求2所述的方法，其特征在于，所述通过所述态势感知装置实时获取所述用户信息，包括：当所述用户信息或所述设备的IP地址发生更新时，或所述设备的认证有效期截止时，通过所述态势感知装置实时获取所述用户信息。6.根据权利要求1至5中任一项所述的方法，其特征在于，在所述根据所述用户信息，建立所述用户的设备认证信息之后，所述并对所述用户信息及所述用户的设备认证信息进行关联存储之前，所述方法还包括：对所述用户信息和所述用户的设备认证信息进行加密；在所述并根据所述用户信息，获取所述用户的设备认证信息之后，所述方法还包括：对所述用户信息和所述用户的设备认证信息进行解密。7.一种基于态势感知定位用户的设备，其特征在于，包括：配置单元，用于配置设备的认证装置及态势感知装置；验证单元，用于通过所述认证装置接收并验证用户输入的用户信息，所述用户信息与所述用户一一对应；第一建立单元，用于在所述用户信息验证通过时，根据所述用...

【专利技术属性】
技术研发人员：吕晓滨，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44