[发明专利]上下文感知的网络取证

说明书

技术领域

本公开总体上涉及网络安全管理，并且更特别地涉及用于进行网络取 证的系统和方法。

背景技术

当在不同的计算机和/或计算机网络之间传送数字数据时，一定量的安 全风险是固有的。与其他网络交互的计算机网络时常暴露于恶意软件或诸 如病毒、蠕虫和木马等的恶意程序，这些恶意程序被构建为潜入计算机软 件架构的每个层次。为了检测这样的安全威胁并且防止对网络上的设备的 可能损害，可以由安全管理员来监测网络业务和/或稍后分析网络业务。对 网络业务的这样的监测和分析有时被称为网络取证。在网络范围基础上执 行取证是有价值的，因为攻击者可能能够擦除受损主机上的所有日志文件， 并且由此，基于网络的证据可能是可用于取证分析的唯一证据。

出于安全目的来执行网络取证的第一步骤中的一个步骤一般涉及针对 异常业务来监测网络和识别入侵。为了能够稍后分析网络上的取证数据， 许多网络对经过网络的所有或大多数数据流进行存储。对于大型网络，这 可能意味着每个月存储许多太字节的数据，这可能快速地导致用尽存储空 间。此外，安全分析者经常需要搜索数据以能够分析安全风险。由于所涉 及的数据量，所做的每个查询可能花费很长时间来处理，这是因为挖掘大 量的数据来执行搜索通常是困难的和耗时的。

为了解决这些问题，某些网络系统已经开始对其存储的数据进行摘要。 替代存储所有数据流，这些网络存储与数据有关的高级信息的摘要，诸如 经过长期的字节数等。仅存储数据流的摘要可以有助于解决存储空间限制 和搜索大量数据的问题。然而，该方案不够理想，这是因为其导致系统丢 失与数据流有关的大量重要信息。丢失的信息可能是对于进行安全分析以 正确地识别和移除安全威胁来说有用的或必要的。下面的公开内容解决了 这些和其他问题。

附图说明

图1是示出了根据一个或多个公开的实施例的网络架构设施的框图。

图2是示出了根据一个或多个公开的实施例的可以用作执行本文描述 的上下文感知的网络取证方案的系统的一部分的设备的框图。

图3是示出了根据一个或多个公开的实施例的可以用于执行本文描述 的上下文感知的网络取证方案的系统的框图。

图4示出了可以在一个或多个公开的实施例中使用的流记录表的字段。

图5示出了一个或多个公开的实施例中的取证上下文表的字段以及它 们如何与流记录表的字段相关。

图6示出了根据一个或多个公开的实施例的可以用于改变存储的取证 上下文的参数的用户界面屏幕。

图7示出了根据一个或多个公开的实施例的存储的递归取证上下文的 示例。

图8示出了根据一个或多个公开的实施例的可以用于查看和管理安全 相关信息的用户界面屏幕。

图9示出了可以在一个或多个公开的实施例中使用的针对高风险主机 的流记录表的字段。

图10示出了根据一个或多个公开的实施例的可以用于查看和管理存储 的取证上下文的用户界面屏幕。

具体实施方式

网络取证涉及对网络中的数据流进行监测和分析以辅助安全分析者检 查、分析和移除安全威胁。网络环境中的安全威胁一般由网络上的一个或 多个设备来检测。针对检测到的每个安全威胁或风险，通常会在系统中创 建和存储安全事件。在许多情况中，安全事件的重要性不会立即地在网络 管理计算机处或通过由分析者的检查而认识到。同时，许多安全事件仅包 含与其中发生该安全事件的上下文有关的有限的信息。上下文信息是短暂 的，并且到外部应用、或用户、或安全分析者决定发出查询的时候，上下 文信息可能已经丢失。可以通过收集与网络安全事件有关的及时且相关的 上下文信息并且将这样的上下文信息与安全事件一起存储来解决这些问 题。通过检测安全事件并且将相关的上下文信息连同安全事件一起存储， 该方案消除了对存储和挖掘大量数据的需要，并且因此高效地和有效地提 供了重要的取证数据。