【技术实现步骤摘要】
网络安全溯源方法、系统及电子设备
[0001]本专利技术涉及网络安全
,尤其涉及一种网络安全溯源方法、系统及电子设备。
技术介绍
[0002]随着网络技术的发展,接入互联网越来越便捷,同时网络泄密案件也正逐年增加,网络安全也变得越来越严峻。当出现网络安全事件后,需要对事件进行溯源,只有完成溯源工作,才能制定后续的处置措施,例如攻击链复原、安全加固等。
[0003]图1为现有的网络安全溯源服务结构示意图,企业的私有网络通过防火墙、路由器等网络地址转换(Network Address Translation,简称NAT)设备接入运营商。在私网内部,NAT设备将私网主机去往外面公网主机的数据报文的私网地址转换成公网地址,也将外面公网发往内部私网之间的数据报文的公网地址转换成私网地址,NAT设备在进行地址转换时,将公
‑
私网转换关系的日志信息发给与NAT设备连接的日志服务器进行存储,根据日志信息即可获得地址转换关系。当安全服务商的安全检测设备检测到安全事件时,首先找出发生事件的公网IP的五元组信息,然...
【技术保护点】
【技术特征摘要】
1.一种网络安全溯源方法,其特征在于,包括:获取发生网络安全事件的时间段和五元组信息;根据时间段和五元组信息在第一全流量存储设备上查询发生所述网络安全事件的第一会话及该第一会话对应的第一指纹信息;在第二全流量存储设备上查询相同时间段且与第一指纹信息相等的第二指纹信息及与第二指纹信息对应的第二会话;根据第二会话提取发生网络安全事件的主机内网地址;其中,第一全流量存储设备用于存储与安全检测设备相同的公网上的第一网络流量的会话数据,第二全流量存储设备用于存储私网NAT设备上地址转换前的第二网络流量的会话数据。2.根据权利要求1所述的方法,其特征在于,所述根据时间段和五元组信息在第一全流量存储设备上查询发生所述网络安全事件的第一会话及该第一会话对应的第一指纹信息之前,还包括:获取公网上的第一网络流量;提取第一网络流量中各个报文的五元组信息,将五元组信息相同的报文归并于同一条会话,并记录会话持续的时间段;计算每条会话的指纹信息,并将每条会话及该条会话对应的五元组信息、时间段及指纹信息存储于第一全流量存储设备。3.根据权利要求1所述的方法,其特征在于,所述在第二全流量存储设备上查询相同时间段且与第一指纹信息相等的第二指纹信息及与第二指纹信息对应的第二会话之前,还包括:获取私网NAT设备上地址转换前的第二网络流量;提取第二网络流量中各个报文的五元组信息,将五元组信息相同的报文归并于同一条会话,并记录会话持续的时间段;计算每条会话的指纹信息,并将每条会话及该条会话对应的五元组信息、时间段及指纹信息存储于第二全流量存储设备。4.根据权利要求2或3所述的方法,其特征在于,计算每条会话的指纹信息的数据包括:数据报文的载荷、应用层协议标识和/或应用层协议的元数据。5.根据权利要求4所述的方法,其特征在于,若网络流量是采用多通道协议传输,且选择载荷进行计算指纹信息时,则在计算每条会话的指纹信息之前,还包括:识别协议报文的元数据;将元数据中的IP地址采用固定值作为载荷计算指纹信息或者直接去掉IP字段使得IP字段不参与指纹信息计算。6.根据权利要求2或3所述的方法,其特征在于,若网络流量是采用多通道协议传输,则计算每条会话的指纹信息时,将得到的数据通道指纹信息与对应的控制通道指纹信息进行关联。7...
【专利技术属性】
技术研发人员:杨国鹏,谢文辉,黎莉,陈志德,朱志强,
申请(专利权)人:北京马赫谷科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。