本发明专利技术提供了一种基于用户活动提供情境取证数据的技术。第一种方法包括识别用户活动数据中的用户动作,其中用户动作是由用户发起的离散事件,用户动作是针对系统的一部分执行的;将所识别的用户动作与至少一个系统变更相关联,其中至少一个系统变更与系统的一部分相关,至少一个系统变更发生在用户动作之后。第二种方法包括在用户动作发生之前拍摄第一快照,其中用户动作是由用户发起的离散事件,第一快照是对系统的至少一部分拍摄的;在用户动作发生后拍摄第二快照,其中第二快照是对系统的至少一部分拍摄的。的至少一部分拍摄的。的至少一部分拍摄的。
【技术实现步骤摘要】
【国外来华专利技术】为用户活动相关的安全事件提供情境取证数据的系统和方法
[0001]相关申请的交叉引用
[0002]本申请要求于2019年5月29日提交的美国专利申请No.16/425,098的权益。上述相关申请的内容将会通过引用结合于此。
[0003]本公开总体上涉及用于网络安全的取证数据,尤其涉及一种用于与用户活动相关的事件的取证数据。
技术介绍
[0004]网络安全解决方案试图通过从系统、网络、设备等收集数据来识别和缓解网络攻击。更多的数据可以更准确地识别网络攻击。因此,网络安全解决方案的设计者寻找新的数据来源。然而,由于存在更多系统、设备、网络之间的连接等,现代网络中产生了大量活动,因此检测网络攻击需要处理大量数据。
[0005]用户活动可以包括大量可识别动作。然而,基于用户活动收集的原始数据无法提供现有检测网络攻击的解决方案所需的信息。
[0006]因此,提供一种能够克服上述缺陷的解决方案将是有利的。
技术实现思路
[0007]以下是对本公开的若干示例性实施例的概述。提供本概述是为了方便读者,以提供对此类实施例的基本理解并且不完全限定本公开的范围。本概述不是所有预期实施例的广泛概述,并且既不旨在识别所有实施例的关键或重要元素,也不旨在描绘任何或所有方面的范围。其唯一目的是以简化形式呈现一个或更多个实施例的一些概念,以作为稍后呈现的更详细描述的序言。为了方便起见,本文可以使用术语“一些实施例”或“某些实施例”来指代本公开的单个实施例或多个实施例。
[0008]本文所公开的某些实施例包括一种基于用户活动提供情境取证数据的方法。该方法包括:识别用户活动数据中的用户动作,其中,用户动作是由用户发起的离散事件,其中,用户动作是针对系统的一部分执行的;以及将所识别的用户动作与至少一个系统变更相关联,其中,至少一个系统变更与系统的一部分相关,其中,至少一个系统变更发生在用户动作之后。
[0009]本文所公开的某些实施例还包括一种基于用户活动提供情境取证数据的系统。该系统包括:处理电路;以及存储器,存储器指令,该指令在由处理电路执行时将系统配置为:识别用户活动数据中的用户动作,其中,用户动作是由用户发起的离散事件,其中,用户动作是针对系统的一部分执行的;以及将识别的用户动作与至少一个系统变更相关联,其中,至少一个系统变更与系统的一部分相关,其中,至少一个系统变更发生在用户动作之后。
[0010]本文所公开的某些实施例包括一种基于用户活动的高级快照方法。该方法包括:在用户动作发生之前拍摄第一快照,其中,用户动作是由用户发起的离散事件,其中,第一
快照是对系统的至少一部分拍摄的;以及在用户动作发生之后拍摄第二快照,其中,第二快照是对系统的至少一部分拍摄的。
[0011]本文所公开的某些实施例还包括一种基于用户活动的高级快照的系统。该系统包括:处理电路;以及存储器,存储器指令,该指令在由处理电路执行时将系统配置为:在用户动作发生之前拍摄第一快照,其中,用户动作是由用户发起的离散事件,其中,第一快照是对系统的至少一部分拍摄的;以及在用户动作发生之后拍摄第二快照,其中,第二快照是对系统的至少一部分拍摄的。
[0012]本文所公开的某些实施例包括一种基于用户活动提供情境取证数据的方法。该方法包括:基于检测到的漏洞识别系统变更,其中,检测到的漏洞为系统的一部分中的漏洞,其中,系统变更是对系统的漏洞部分的变更;以及基于多个用户动作和多个系统变更的相关性,确定多个用户动作中导致漏洞的用户动作,其中,每个用户动作是由用户发起的离散事件。
[0013]本文所公开的某些实施例还包括一种基于用户活动提供情境取证数据的系统。该系统包括:处理电路;以及存储器,存储器指令,该指令在由处理电路执行时将系统配置为:基于检测到的漏洞识别系统变更,其中,检测到的漏洞为系统的一部分中的漏洞,其中,系统变更是对系统的漏洞部分的变更;以及基于多个用户动作和多个系统变更的相关性,确定多个用户动作中导致漏洞的用户动作,其中,每个用户动作是由用户发起的离散事件。
附图说明
[0014]在说明书结尾处的权利要求中特别指出并清楚地要求保护本文所公开的主题。从以下结合附图的详细描述中,所公开的实施例的前述和其他目的、特征和优点将显而易见。
[0015]图1是用于描述各种公开的实施例的网络图;
[0016]图2是示出了根据实施例的基于用户活动和系统变更提供取证数据的方法的流程图;
[0017]图3是示出了根据实施例的基于用户活动拍摄快照的方法的流程图;
[0018]图4是示出了根据实施例的基于用户活动和软件漏洞提供取证数据的方法的流程图;
[0019]图5是示出了根据实施例的取证数据生成器的示意图。
具体实施方式
[0020]重要的是要注意,本文所公开的实施例只是本文创新教导的许多有利用途的示例。通常,本申请的说明书中作出的陈述不一定限制所要求保护的各种实施例中的任何一个。此外,一些陈述可能适用于某些专利技术特征,但不适用于其他特征。因此,除非另有说明,否则单数元素可以是复数,反之亦然,并不失一般性。在附图中,通过多个视图,相同的标号表示相同的部件。
[0021]各种公开的实施例包括用于基于用户活动提供取证数据的技术。本文所公开的技术包括用于将用户动作与系统变更相关联的技术、用于针对用户活动的高级系统快照的技术、以及用于在软件漏洞(vulnerability)和用户活动之间相关联的技术。
[0022]在实施例中,将离散的用户动作与系统变更相关联,变更例如与用户设备通信的
服务器上的网络防火墙配置的变更。尤其是,将用户动作与由这些用户动作引起的系统变更相关联。已经确定的是一些系统变更可以归因于先前的用户动作。因此,将这些系统变更与其各自的用户动作相关联能够提供情境丰富的数据,该数据更有助于识别后续网络安全问题的根本原因。
[0023]在另一实施例中,在某些用户动作之前和之后,系统会拍摄快照。为此,检测用户动作。基于检测到的用户动作,确定何时拍摄快照。拍摄快照可以使得检测到后续问题时执行详细的取证调查。更具体地,针对离散用户动作进行拍摄快照,使得可以基于系统从每个用户动作之前至每个用户动作之后之间如何变更来识别导致问题的用户动作。通过基于用户动作而不是例如以预设时间间隔来确定拍摄快照的时间,使得拍摄的快照量被最小化,同时使得取证调查的准确性被最大化。此外,例如在检测到漏洞或错误配置时,快照可以用于恢复到“良好”配置。
[0024]在又一实施例中,将软件漏洞与用户活动相关联以识别导致软件漏洞的用户动作。这进而允许确定导致软件漏洞的用户、系统被错误配置的持续时间等。为此,在进一步的实施例中,已知的漏洞可以被扫描。在扫描期间检测到的漏洞与用户活动相关联。
[0025]所公开的各种实施例可以被组合使用以提供协同益处。例如,当检测到软件漏洞时,所检测到的漏洞可以与基于如本文所述拍摄的快照的用户动作相关联。特别地,该漏洞可以与在最本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种基于用户活动提供情境取证数据的方法,包括:识别用户活动数据中的用户动作,其中,所述用户动作是由用户发起的离散事件,其中,所述用户动作是针对系统的一部分执行的;以及将所识别到的用户动作与至少一个系统变更相关联,其中,所述至少一个系统变更与所述系统的一部分相关,其中,所述至少一个系统变更发生在所述用户动作之后。2.根据权利要求1所述的方法,其中,所述至少一个系统变更为至少一个第一系统变更,其中,所述系统的一部分为所述系统的第一部分,还包括:将多个用户动作与多个系统变更相关联;基于检测到的漏洞,识别第二系统变更,其中,所述检测到的漏洞为所述系统的第二部分中的漏洞,其中,所述第二系统变更为对所述系统的第二部分的变更;以及基于所述多个用户动作与所述多个系统变更的相关性,确定所述多个用户动作中导致所述漏洞的用户动作。3.一种存储有指令的非暂时性计算机可读介质,所述指令用于使处理电路执行根据权利要求1所述的方法。4.一种基于用户活动提供情境取证数据的系统,其中,所述系统为第一系统,包括:处理电路;以及存储器,所述存储器包括指令,所述指令在由所述处理电路执行时将所述第一系统配置为:识别用户活动数据中的用户动作,其中,所述系统为第一系统,其中,所述用户动作是由用户发起的离散事件,其中,所述用户动作是针对第二系统的一部分执行的;以及将所识别到的用户动作与至少一个系统变更相关联,其中,所述至少一个系统变更与所述第二系统的一部分相关,其中,所述至少一个系统变更发生在所述用户动作之后。5.根据权利要求4所述的系统,其中,所述至少一个系统变更为至少一个第一系统变更,其中,所述第二系统的一部分为所述第二系统的第一部分;其中,所述系统还被配置为:将多个用户动作与多个系统变更相关联;基于检测到的漏洞,识别第二系统变更,其中,所述检测到的漏洞为所述第二系统的第二部分中的漏洞,其中,所述第二系统变更为对所述第二系统的第二部分的变更;以及基于所述多个用户动作与所述多个系统变更的相关性,确定所述多个用户动作中导致所述漏洞的用户动作。6.一种基于用户活动的高级快照方法,包括:在用户动作发生之前拍摄第一快照,其中,所述用户动作是由用户发起的离散事件,其中,所述第一快照是对系统的至少一部分拍摄的;以及在所述用户动作发生之后拍摄第二快照,其中,所述第二快照是对所述系统的所述至少一部分拍摄的。7.根据权利要求6所述的方法,还包括:安装钩子,所述钩子延迟用户动作的发...
【专利技术属性】
技术研发人员:莱昂,
申请(专利权)人:扭锁有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。