【技术实现步骤摘要】
本申请涉及网络安全领域,尤其涉及一种威胁事件溯源方法及相关设备。
技术介绍
1、安全大数据分析平台是以信息安全事件为核心,通过对网络流量、安全设备日志、威胁信息等数据信息进行实时采集、监测和分析,实现网络风险识别、威胁发现、安全事件实时告警及可视化展现的系统,在监测到安全威胁或接到相关网络安全事件的通告预警时,能够对威胁源进行快速的通报及闭环处置,避免造成重大影响和损失。
2、终端设备接入网络后,互联网协议(internet procotol,ip)地址可能会进行一级或者多级的网络地址转换(network address translation,nat)。当安全大数据分析平台发现威胁事件后,只能通报nat后的ip地址,这种大范围通报无法关联到某台电脑或者某个人。如果威胁需要进行处置,防火墙或者网关只能基于ip地址维度直接阻断,会导致大范围用户无法接入到网络。
3、当前针对nat场景下的溯源方案是:通过分析网络中进行nat的网络设备的日志(比如防火墙、路由器的nat转换日志)来进行最终溯源。客户通过部署日志服务器收集nat转换日志,nat转换日志的内容包括时间、源ip、源端口、nat后的源ip、nat后源端口等信息。日志服务器根据通报的威胁事件的时间点和ip地址来查询nat转换日志进行溯源分析。
4、基于nat转换日志进行精准溯源,需要完整的nat日志,并要求各级进行nat转换的网络设备的时钟能够统一,并且对威胁事件就那些安全大数据分析的时间不滞后。由于现网环境中可能进行了小到家庭路由器,大到网
技术实现思路
1、本申请实施例提供一种威胁事件溯源方法及相关设备,采用本申请实施例能够实现威胁事件的溯源,并且是溯源到具体用户。
2、第一方面,本申请实施例提供一种威胁事件溯源方法。该方法应用于数据分析设备。数据分析设备获取业务报文的溯源数据,业务报文为软件定义边界(softwaredefinedperimeter,sdp)客户端访问应用服务器时产生的报文。其中,业务报文的溯源数据包括sdp客户端的设备标识。数据分析设备在业务报文存在安全风险,根据业务报文的溯源数据生成携带sdp客户端的设备标识的威胁事件。数据分析设备根据sdp客户端的设备标识从sdp控制器的用户信息表中获取所述sdp客户端的设备标识对应的用户标识,用户标识用于指示与威胁事件对应的用户。用户信息表包括sdp客户端的设备标识与用户标识之间的对应关系。
3、通过在业务报文的溯源数据中携带sdp客户端的设备标识,使得数据分析设备在业务报文存在安全风险的情况下,能够根据sdp客户端的设备标识从sdp控制器的用户信息表中得到sdp客户端的设备标识对应的用户标识,该用户标识指示与威胁事件对应的用户,也就是说,威胁事件的产生与用户标识所指示的用户有关,实现了威胁事件的溯源,并且是溯源到具体用户,从而提高了溯源的准确性。
4、结合第一方面,在一个可能的实现方式中,业务报文的溯源数据为业务报文的元数据,业务报文的元数据是网络设备基于业务报文生成的,数据分析设备根据第一安全检测规则对业务报文的元数据进行分析,以确定业务报文是否存在第一安全风险。其中,安全风险包括第一安全风险。
5、可选的,第一安全风险是数据分析设备基于业务报文的元数据分析出的风险,例如零日(0day)威胁或者其他安全风险。数据分析设备通过分析来自于大量探针的元数据,可能能够发现一些新型的、通过现有的基于报文特征的规则无法识别出的风险。
6、结合第一方面,在一个可能的实现方式中,业务报文的溯源数据为威胁日志数据,该威胁日志数据是网络设备在确定业务报文存在第二安全风险时生成的。其中,安全风险包括第二安全风险。
7、可选的,第二安全风险为防火墙、安全网关等网络设备通过入侵防御系统(intrusion prevention system,ips)、深度报文解析(deep packet inspection,dpi)、文件扫描等方式检测出的安全风险,例如业务报文承载了病毒文件或者其他安全风险。
8、在本实现方式中,通过网络设备对业务报文进行安全检测,能够确定业务报文是否存在第二安全风险;不需要数据分析设备对业务报文进行安全检测以确定业务报文是否存在第二安全风险,减少了数据分析设备的工作量。
9、结合第一方面,在一个可能的实现方式中,数据分析设备采用如下方式得到sdp客户端的设备标识对应的用户标识:
10、数据分析设备向sdp控制器发送查询请求,该查询请求携带sdp客户端的设备标识,查询请求用于sdp控制器查询用户信息表,以得到sdp客户端的设备标识对应的第一用户标识;数据分析设备接收sdp控制器反馈的响应于查询请求的响应消息,该响应消息携带sdp客户端的设备标识对应的第一用户标识。
11、结合第一方面,在一个可能的实现方式中,用户信息表还包括第一用户标识与认证时间戳之间的对应关系,认证时间戳为第一用户标识所指示的用户通过认证的时刻,当响应消息包括的第一用户标识有多个时,响应消息还包括多个所述第一用户标识分别对应的认证时间戳,数据分析设备还根据业务报文的发送时段及多个第一用户标识分别对应的认证时间戳从多个所述第一用户标识获取第二用户标识。
12、其中,第二用户标识为多个所述第一用户标识中认证时间戳属于发送时段的第一用户标识;发送时段是根据数据分析设备接收溯源数据的时刻确定的。
13、通过引入发送时段和第一用户标识对应的认证时间戳,数据分析设备能够从多个第一用户标识中选择出第二用户标识,缩小了溯源范围,从而提高了溯源结果的准确性。
14、第二方面,本申请实施例提供另一种威胁事件溯源方法。该方法应用于网络设备。网络设备接收业务报文,该业务报文为sdp客户端访问应用服务器时产生报文,该业务报文携带sdp客户端的设备标识。网络设备根据第二安全规则对业务报文进行安全检测,以确定业务报文是否存在第二安全风险。若确定业务报文存在第二安全风险,网络设备生携带sdp客户端的设备标识的威胁日志数据。网络设备向数据分析设备发送威胁日志数据。
15、网络设备向数据分析设备发送威胁日志数据,使得数据分析设备能够基于威胁日志数据确定sdp客户端发送的业务报文存在第二安全风险和生成包括sdp客户端的设备标识的威胁事件,并使得数据分析设备能够基于威胁日志数据中sdp客户端的设备标识确定威胁事件对应的用户信息,从而实现威胁事件的溯源。并且数据分析设备不需要对业务报文进行安全检测以确定业务报文是否存在第二安全风险,减少了数据分析设备的工作量。
16、可选的,网络设备为sdp代理网关或者探针设备。
17、结合第本文档来自技高网...
【技术保护点】
1.一种威胁事件溯源方法,其特征在于,应用于数据分析设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述安全风险包括第一安全风险,所述业务报文的溯源数据为所述业务报文的元数据,所述业务报文的元数据是探针设备基于所述业务报文生成的,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述安全风险包括第二安全风险,所述业务报文的溯源数据为威胁日志数据,所述威胁日志数据是网络设备在确定所述业务报文存在所述第二安全风险时生成的。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述SDP客户端的设备标识从SDP控制器的用户信息表中得到所述SDP客户端的设备标识对应的第一用户标识,包括:
5.根据权利要求4所述的方法,其特征在于,所述用户信息表还包括所述第一用户标识与认证时间戳之间的对应关系,所述认证时间戳为所述第一用户标识所指示的用户通过认证的时刻,当所述响应消息包括的所述第一用户标识有多个时,所述响应消息还包括多个所述第一用户标识分别对应的认证时间戳,所述方法还包括:
6.一种威胁事件溯源方
7.根据权利要求6所述的方法,其特征在于,所述网络设备为SDP代理网关或者探针设备。
8.一种数据分析设备,其特征在于,所述数据分析设备包括:
9.根据权利要求8所述的数据分析设备,其特征在于,所述安全风险包括第一安全风险,所述业务报文的溯源数据为所述业务报文的元数据,所述业务报文的元数据是探针设备基于所述业务报文生成的,所述数据分析设备还包括:
10.根据权利要求8所述的数据分析设备,其特征在于,所述安全风险包括第二安全风险,所述业务报文的溯源数据为威胁日志数据,所述威胁日志数据是网络设备在确定所述业务报文存在所述第二安全风险时生成的。
11.根据权利要求8-10任一项所述的数据分析设备,其特征在于,所述收发单元具体用于:
12.根据权利要求11所述的数据分析设备,其特征在于,所述用户信息表还包括所述第一用户标识与认证时间戳之间的对应关系,所述认证时间戳为所述第一用户标识所指示的用户通过认证的时刻,当所述响应消息包括的所述第一用户标识有多个时,所述响应消息还包括多个所述第一用户标识分别对应的认证时间戳,所述获取单元具体用于:
13.一种网络设备,其特征在于,包括:
14.根据权利要求13所述的网络设备,其特征在于,所述网络设备为SDP代理网关或者探针设备。
15.一种威胁事件溯源系统,其特征在于,所述系统包括数据分析设备,网络设备、软件定义边界SDP客户端和SDP控制器;
16.根据权利要求15所述的系统,其特征在于,所述用户信息表还包括所述第一用户标识与认证时间戳之间的对应关系,所述认证时间戳为所述第一用户标识所指示的用户通过认证的时刻;所述SDP控制器还用于:
17.一种数据分析设备,其特征在于,包括处理器和存储器,其中,所述存储器用于存储程序代码,所述处理器用于执行所述程序代码,以实现权利要求1至5任一项所述的方法。
18.一种网络设备,其特征在于,包括处理器和存储器,其中,所述存储器用于存储程序代码,所述处理器用于执行所述程序代码,以实现权利要求6至7任一项所述的方法。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-7任一项所述的方法。
...【技术特征摘要】
1.一种威胁事件溯源方法,其特征在于,应用于数据分析设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述安全风险包括第一安全风险,所述业务报文的溯源数据为所述业务报文的元数据,所述业务报文的元数据是探针设备基于所述业务报文生成的,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述安全风险包括第二安全风险,所述业务报文的溯源数据为威胁日志数据,所述威胁日志数据是网络设备在确定所述业务报文存在所述第二安全风险时生成的。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述根据所述sdp客户端的设备标识从sdp控制器的用户信息表中得到所述sdp客户端的设备标识对应的第一用户标识,包括:
5.根据权利要求4所述的方法,其特征在于,所述用户信息表还包括所述第一用户标识与认证时间戳之间的对应关系,所述认证时间戳为所述第一用户标识所指示的用户通过认证的时刻,当所述响应消息包括的所述第一用户标识有多个时,所述响应消息还包括多个所述第一用户标识分别对应的认证时间戳,所述方法还包括:
6.一种威胁事件溯源方法,其特征在于,所述方法应用于网络设备,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述网络设备为sdp代理网关或者探针设备。
8.一种数据分析设备,其特征在于,所述数据分析设备包括:
9.根据权利要求8所述的数据分析设备,其特征在于,所述安全风险包括第一安全风险,所述业务报文的溯源数据为所述业务报文的元数据,所述业务报文的元数据是探针设备基于所述业务报文生成的,所述数据分析设备还包括:
10.根据权利要求8所述的数据分析设备,其特征在于,所述安全风险包括第二安全风险,所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。