技術領域

本公開總體上涉及網(wǎng)絡安全管理，并且更特別地涉及用于進行網(wǎng)絡取 證的系統(tǒng)和方法。

背景技術

當在不同的計算機和/或計算機網(wǎng)絡之間傳送數(shù)字數(shù)據(jù)時，一定量的安 全風險是固有的。與其他網(wǎng)絡交互的計算機網(wǎng)絡時常暴露于惡意軟件或諸 如病毒、蠕蟲和木馬等的惡意程序，這些惡意程序被構建為潛入計算機軟 件架構的每個層次。為了檢測這樣的安全威脅并且防止對網(wǎng)絡上的設備的 可能損害，可以由安全管理員來監(jiān)測網(wǎng)絡業(yè)務和/或稍后分析網(wǎng)絡業(yè)務。對 網(wǎng)絡業(yè)務的這樣的監(jiān)測和分析有時被稱為網(wǎng)絡取證。在網(wǎng)絡范圍基礎上執(zhí) 行取證是有價值的，因為攻擊者可能能夠擦除受損主機上的所有日志文件， 并且由此，基于網(wǎng)絡的證據(jù)可能是可用于取證分析的唯一證據(jù)。

出于安全目的來執(zhí)行網(wǎng)絡取證的第一步驟中的一個步驟一般涉及針對 異常業(yè)務來監(jiān)測網(wǎng)絡和識別入侵。為了能夠稍后分析網(wǎng)絡上的取證數(shù)據(jù)， 許多網(wǎng)絡對經(jīng)過網(wǎng)絡的所有或大多數(shù)數(shù)據(jù)流進行存儲。對于大型網(wǎng)絡，這 可能意味著每個月存儲許多太字節(jié)的數(shù)據(jù)，這可能快速地導致用盡存儲空 間。此外，安全分析者經(jīng)常需要搜索數(shù)據(jù)以能夠分析安全風險。由于所涉 及的數(shù)據(jù)量，所做的每個查詢可能花費很長時間來處理，這是因為挖掘大 量的數(shù)據(jù)來執(zhí)行搜索通常是困難的和耗時的。

為了解決這些問題，某些網(wǎng)絡系統(tǒng)已經(jīng)開始對其存儲的數(shù)據(jù)進行摘要。 替代存儲所有數(shù)據(jù)流，這些網(wǎng)絡存儲與數(shù)據(jù)有關的高級信息的摘要，諸如 經(jīng)過長期的字節(jié)數(shù)等。僅存儲數(shù)據(jù)流的摘要可以有助于解決存儲空間限制 和搜索大量數(shù)據(jù)的問題。然而，該方案不夠理想，這是因為其導致系統(tǒng)丟 失與數(shù)據(jù)流有關的大量重要信息。丟失的信息可能是對于進行安全分析以 正確地識別和移除安全威脅來說有用的或必要的。下面的公開內(nèi)容解決了 這些和其他問題。

附圖說明

圖1是示出了根據(jù)一個或多個公開的實施例的網(wǎng)絡架構設施的框圖。

圖2是示出了根據(jù)一個或多個公開的實施例的可以用作執(zhí)行本文描述 的上下文感知的網(wǎng)絡取證方案的系統(tǒng)的一部分的設備的框圖。

圖3是示出了根據(jù)一個或多個公開的實施例的可以用于執(zhí)行本文描述 的上下文感知的網(wǎng)絡取證方案的系統(tǒng)的框圖。

圖4示出了可以在一個或多個公開的實施例中使用的流記錄表的字段。

圖5示出了一個或多個公開的實施例中的取證上下文表的字段以及它 們?nèi)绾闻c流記錄表的字段相關。

圖6示出了根據(jù)一個或多個公開的實施例的可以用于改變存儲的取證 上下文的參數(shù)的用戶界面屏幕。

圖7示出了根據(jù)一個或多個公開的實施例的存儲的遞歸取證上下文的 示例。

圖8示出了根據(jù)一個或多個公開的實施例的可以用于查看和管理安全 相關信息的用戶界面屏幕。

圖9示出了可以在一個或多個公開的實施例中使用的針對高風險主機 的流記錄表的字段。

圖10示出了根據(jù)一個或多個公開的實施例的可以用于查看和管理存儲 的取證上下文的用戶界面屏幕。

具體實施方式

網(wǎng)絡取證涉及對網(wǎng)絡中的數(shù)據(jù)流進行監(jiān)測和分析以輔助安全分析者檢 查、分析和移除安全威脅。網(wǎng)絡環(huán)境中的安全威脅一般由網(wǎng)絡上的一個或 多個設備來檢測。針對檢測到的每個安全威脅或風險，通常會在系統(tǒng)中創(chuàng) 建和存儲安全事件。在許多情況中，安全事件的重要性不會立即地在網(wǎng)絡 管理計算機處或通過由分析者的檢查而認識到。同時，許多安全事件僅包 含與其中發(fā)生該安全事件的上下文有關的有限的信息。上下文信息是短暫 的，并且到外部應用、或用戶、或安全分析者決定發(fā)出查詢的時候，上下 文信息可能已經(jīng)丟失。可以通過收集與網(wǎng)絡安全事件有關的及時且相關的 上下文信息并且將這樣的上下文信息與安全事件一起存儲來解決這些問 題。通過檢測安全事件并且將相關的上下文信息連同安全事件一起存儲， 該方案消除了對存儲和挖掘大量數(shù)據(jù)的需要，并且因此高效地和有效地提 供了重要的取證數(shù)據(jù)。