为用户活动相关的安全事件提供情境取证数据的系统和方法技术方案

本发明专利技术提供了一种基于用户活动提供情境取证数据的技术。第一种方法包括识别用户活动数据中的用户动作，其中用户动作是由用户发起的离散事件，用户动作是针对系统的一部分执行的；将所识别的用户动作与至少一个系统变更相关联，其中至少一个系统变更与系统的一部分相关，至少一个系统变更发生在用户动作之后。第二种方法包括在用户动作发生之前拍摄第一快照，其中用户动作是由用户发起的离散事件，第一快照是对系统的至少一部分拍摄的；在用户动作发生后拍摄第二快照，其中第二快照是对系统的至少一部分拍摄的。的至少一部分拍摄的。的至少一部分拍摄的。

【技术实现步骤摘要】
【国外来华专利技术】为用户活动相关的安全事件提供情境取证数据的系统和方法
[0001]相关申请的交叉引用
[0002]本申请要求于2019年5月29日提交的美国专利申请No.16/425,098的权益。上述相关申请的内容将会通过引用结合于此。


[0003]本公开总体上涉及用于网络安全的取证数据，尤其涉及一种用于与用户活动相关的事件的取证数据。

技术介绍

[0004]网络安全解决方案试图通过从系统、网络、设备等收集数据来识别和缓解网络攻击。更多的数据可以更准确地识别网络攻击。因此，网络安全解决方案的设计者寻找新的数据来源。然而，由于存在更多系统、设备、网络之间的连接等，现代网络中产生了大量活动，因此检测网络攻击需要处理大量数据。
[0005]用户活动可以包括大量可识别动作。然而，基于用户活动收集的原始数据无法提供现有检测网络攻击的解决方案所需的信息。
[0006]因此，提供一种能够克服上述缺陷的解决方案将是有利的。

技术实现思路

[0007]以下是对本公开的若干示例性实施例的概述。提供本概述是为了方便读者，以提供对此类本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种基于用户活动提供情境取证数据的方法，包括：识别用户活动数据中的用户动作，其中，所述用户动作是由用户发起的离散事件，其中，所述用户动作是针对系统的一部分执行的；以及将所识别到的用户动作与至少一个系统变更相关联，其中，所述至少一个系统变更与所述系统的一部分相关，其中，所述至少一个系统变更发生在所述用户动作之后。2.根据权利要求1所述的方法，其中，所述至少一个系统变更为至少一个第一系统变更，其中，所述系统的一部分为所述系统的第一部分，还包括：将多个用户动作与多个系统变更相关联；基于检测到的漏洞，识别第二系统变更，其中，所述检测到的漏洞为所述系统的第二部分中的漏洞，其中，所述第二系统变更为对所述系统的第二部分的变更；以及基于所述多个用户动作与所述多个系统变更的相关性，确定所述多个用户动作中导致所述漏洞的用户动作。3.一种存储有指令的非暂时性计算机可读介质，所述指令用于使处理电路执行根据权利要求1所述的方法。4.一种基于用户活动提供情境取证数据的系统，其中，所述系统为第一系统，包括：处理电路；以及存储器，所述存储器包括指令，所述指令在由所述处理电路执行时将所述第一系统配置为：识别用户活动数据中的用户动作，其中，所述系统为第一系统，其中，所述用户动作是由用户发起的离散事件，其中，所述用户动作是针对第二系统的一部分执行的；以及将所识别到的用户动作与至少一个系统变更相关联，其中，所述至少一个系统变更与所述第二系统的一部分相关，其中，所述至少一个系统变更发生在所述用户动作之后。5.根据权利要求4所述的系统，其中，所述至少一个系统变更为至少一个第一系统变更，其中，所述第二系统的一部分为所述第二系统的第一部分；其中，所述系统还被配置为：将多个用户动作与多个系统变更相关联；基于检测到的漏洞，识别第二系统变更，其中，所述检测到的漏洞为所述第二系统的第二部分中的漏洞，其中，所述第二系统变更为对所述第二系统的第二部分的变更；以及基于所述多个用户动作与所述多个系统变更的相关性，确定所述多个用户动作中导致所述漏洞的用户动作。6.一种基于用户活动的高级快照方法，包括：在用户动作发生之前拍摄第一快照，其中，所述用户动作是由用户发起的离散事件，其中，所述第一快照是对系统的至少一部分拍摄的；以及在所述用户动作发生之后拍摄第二快照，其中，所述第二快照是对所述系统的所述至少一部分拍摄的。7.根据权利要求6所述的方法，还包括：安装钩子，所述钩子延迟用户动作的发...

【专利技术属性】
技术研发人员：莱昂，
申请(专利权)人：扭锁有限公司，
类型：发明
国别省市：