本申请涉及一种基于可信执行环境的网络安全事件捕获方法和装置。通过将通过安全通信通道接收的采集节点发送的日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息,基于预设的数据密封策略将日志和流量信息密封后存储在存储中心的非可信区中,通过将数据安全地保存在非可信区,实现了主机数据本地存储的机密性,可以根据输入的键词在第二可信区的待索引信息中检索,当在待索引信息中未检索到匹配事件信息时,将非可信区中的密封信息进行解封,将关键词与解封的信息进行匹配,输出目标可信事件信息。在本发明专利技术中通过引入可信区提供了高可靠性、抗攻击的事件捕获能力,能够更加适应数据多源采集需求。数据多源采集需求。数据多源采集需求。
【技术实现步骤摘要】
基于可信执行环境的网络安全事件捕获方法和装置
[0001]本申请涉及网络空间安全
,特别是涉及一种基于可信执行环境的网络安全事件捕获方法和装置。
技术介绍
[0002]当前,网络安全威胁层出不穷,各领域对网络安全人才培养需求缺口大,安全人员需要可用于实操、学习、训练的非真实生产环境。借助网络安全测试床、云计算平台等可以对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现,能够支持相关人员开展网络安全试验训练,以及开展相关领域的学习、研究、竞赛、考核等工作,已经成为网络安全试验、教学、考核的重要基础平台。
[0003]在开展网络安全试验的过程中,针对安全事件或攻防事件采集捕获是进行行为监控、评估的重要基础。网络安全事件捕获系统所捕获的数据必须公平、真实、可靠,才能客观反映试验中攻防双方的真实水平。由于网络安全试验中存在大量对抗行为,而对抗行为的破坏性和边界不可控等特点,导致传统的基于普通主机探针的事件捕获方法容易遭受包括采集探针崩溃、篡改,甚至捕获结果被伪造等风险,甚至影响事件分析与试验结果评判。
技术实现思路
[0004]基于此,有必要针对上述技术问题,对网络安全试验中事件的可靠捕获、可靠存储及安全加固等展开研究,提供一种利用可信执行环境技术进行安全增强的网络安全事件捕获方法和装置,有效避免在网络安全试验中由于恶意或外部攻击而导致捕获探针崩溃、数据被篡改等影响试验结果评判的情况,保证试验训练环境中数据来源的真实性和机密性。
[0005]一种基于可信执行环境的网络安全事件捕获方法,所述方法包括:
[0006]通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;
[0007]将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
[0008]基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
[0009]根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
[0010]在其中一个实施例中,所述方法还包括:根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中检索到匹配事件信息时,直接输出目标可信事件信息。
[0011]在其中一个实施例中,在所述通过探针采集网络安全试验中虚拟机的主机行为之
前,包括:
[0012]通过预编的可信函数在创建的第三可信区中对探针的监测指标进行配置以及对探针的代理程序进行可信部署,并且对所述代理程序进行完整性检查。
[0013]在其中一个实施例中,所述可信认证包括本地认证或者远程认证。
[0014]在其中一个实施例中,所述方法还包括:
[0015]对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息;所述身份信息包括:证明可信区和目标可信区;
[0016]所述本地认证的步骤包括:
[0017]通过接收所述证明可信区发送的认证请求,获取所述证明可信区的可信区标识;
[0018]使用所述证明可信区标识创建目的地为证明可信区的第一报告结构,将所述第一报告结构发送给所述证明可信区;所述第一报告结构中包括第一可信区标识、第一签名者标识和第一消息验证码;
[0019]通过所述证明可信区的报告密钥计算第三消息验证码,当所述第三消息验证码与所述第一消息验证码的值相同时,验证所述第一可信区标识和所述第一签名者标识,完成所述证明可信区对目标可信区的本地认证。
[0020]在其中一个实施例中,所述方法还包括:
[0021]对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息;所述身份信息包括:证明可信区和目标可信区;
[0022]所述远程认证的步骤包括:
[0023]通过接收证明可信区发送的认证请求和引用可信区的身份信息,在目标可信区中生成清单和所述清单的摘要;所述清单包括临时密钥和所述认证请求的应答;
[0024]根据所述清单创建第三报告结构,将所述第三报告结构发送给所述引用可信区,通过所述引用可信区对所述目标可信区进行的本地认证,通过所述引用可信区创建的签名密钥的签名替换所述第三报告结构中的消息验证码,生成引用结构并发送给所述证明可信区;
[0025]通过引用密钥的公钥证书或者IAS对所述引用结构进行签名验证,并且验证所述清单的完整性,完成所述证明可信区对目标可信区的远程认证。
[0026]在其中一个实施例中,所述预设的数据密封策略包括可信区标识或者签名者标识。
[0027]一种基于可信执行环境的网络安全事件捕获装置,所述装置包括:
[0028]接收模块,通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;
[0029]索引存储模块,用于将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
[0030]密封模块,用于基于预设的数据密封策略将所述日志和流量信息进行密封后存储
在所述存储中心的非可信区中;
[0031]匹配模块,用于根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
[0032]一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
[0033]通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;
[0034]将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
[0035]基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
[0036]根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于可信执行环境的网络安全事件捕获方法,其特征在于,所述方法包括:通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中检索到匹配事件信息时,直接输出目标可信事件信息。3.根据权利要求2所述的方法,其特征在于,在所述通过探针采集网络安全试验中虚拟机的主机行为之前,包括:通过预编的可信函数在创建的第三可信区中对探针的监测指标进行配置以及对探针的代理程序进行可信部署,并且对所述代理程序进行完整性检查。4.根据权利要求3所述的方法,其特征在于,所述可信认证包括本地认证或者远程认证。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息;所述身份信息包括:证明可信区和目标可信区;所述本地认证的步骤包括:通过接收所述证明可信区发送的认证请求,获取所述证明可信区的可信区标识;使用所述证明可信区标识创建目的地为证明可信区的第一报告结构,将所述第一报告结构发送给所述证明可信区;所述第一报告结构中包括第一可信区标识、第一签名者标识和第一消息验证码;通过所述证明可信区的报告密钥计算第三消息验证码,当所述第三消息验证码与所述第一消息验证码的值相同时,验证所述第一可信区标识和所述第一签名者标识,完成所述证明可信区对目标可信区的本地认证。6.根据权利要求5所述的...
【专利技术属性】
技术研发人员:刘建,张宇翔,韩久江,鲜明,王会梅,陈宇,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。