[发明专利]上下文感知的网络取证

权利要求书

1.一种非暂时性计算机可读介质，包括存储于其上的指令，所述指令 使一个或多个处理器：

在被配置为执行网络业务监测的一个或多个网络设备处监测网络中的 数据流；

识别所述数据流中的至少一个安全威胁；

获取与所述至少一个安全威胁相关的网络取证上下文；以及

将所述至少一个安全威胁和所述相关的网络取证上下文存储在存储器 中。

2.根据权利要求1所述的计算机可读介质，还包括用于使所述一个或 多个处理器在访问所述至少一个安全威胁时提供对所述取证上下文的访问 的指令。

3.根据权利要求1所述的计算机可读介质，还包括用于使所述一个或 多个处理器给所述至少一个安全威胁分配安全事件ID的指令。

4.根据权利要求3所述的计算机可读介质，其中，与所述至少一个安 全威胁相关的数据存储在流记录表中，所述流记录表包括针对所述安全事 件ID的字段。

5.根据权利要求4所述的计算机可读介质，其中，所述流记录表还包 括针对报头元数据的字段和针对应用ID的字段。

6.根据权利要求4所述的计算机可读介质，其中，所述取证上下文存 储在包含针对所述安全事件ID的字段的取证上下文表中。

7.根据权利要求6所述的计算机可读介质，其中，分配给所述至少一 个安全威胁的所述安全事件ID被用于与所述至少一个安全威胁相关的所述 取证上下文。

8.根据权利要求1或2所述的计算机可读介质，其中，所述取证上下 文包括以下中的一个或多个：应用元数据、端点进程、外部主机连接、内 部主机连接、以及存储在一个或多个流记录文件中的数据流记录。

9.根据权利要求1-7中任一项所述的计算机可读介质，还包括用于使 所述一个或多个处理器确定所述安全威胁是否是安全事件的指令。

10.根据权利要求1-7中任一项所述的计算机可读介质，其中，网络取 证上下文是仅当所述安全威胁被确定为安全事件时针对所述安全威胁获取 的。

11.根据权利要求9所述的计算机可读介质，还包括用于使所述一个 或多个处理器执行以下操作的指令：确定所述安全事件是否是递归的，并 且如果所述安全事件被确定为是递归的，则存储针对所述安全事件的递归 取证上下文。

12.一种被配置为执行网络业务分析的装置，包括：

存储器单元；

网络通信接口单元；以及

处理单元，其通信地耦合到所述存储器单元，其中，所述存储器单元 存储用于将所述处理单元配置为执行以下操作的指令：

从所述网络通信接口单元接收网络分组，所述网络分组与网络数据 流相关联；

监测所述数据流以识别至少一个安全威胁；

获取与所述至少一个安全威胁相关的网络取证上下文；以及

将所述至少一个安全威胁和所述相关的网络取证上下文存储在所 述存储器单元中。

13.根据权利要求12所述的装置，其中，对所述数据流的监测包括深 度分组检测。

14.根据权利要求12所述的装置，其中，所述取证上下文包括以下中 的一个或多个：应用元数据、端点进程、外部主机连接、内部主机连接、 以及存储在一个或多个流记录文件中的数据流记录。

15.根据权利要求12所述的装置，其中，所述指令还使所述处理单元 使得用户能够确定针对所述至少一个安全威胁存储的取证上下文的类型。

16.根据权利要求12所述的装置，其中，所述指令还使所述处理单元 提供用户界面，其中，所述用户界面能够用于查看所述至少一个安全威胁 和所存储的取证上下文。

17.根据权利要求16所述的装置，其中，所述用户界面能够用于关于 所述至少一个安全威胁来采取动作。