[发明专利]用于提取和保存用于分析网络通信的元数据的系统和方法

说明书

相关申请的交叉引用

本申请要求享有于2013年3月14日提交的共同待审的美国临时专利申请61/784,931的权益，该美国临时专利申请以其整体通过援引加入本文中。

技术领域

该技术领域总体上涉及网络通信，并且更具体地涉及保存网络通信以便网络安全和取证的目的。

背景技术

组织内的网络通信和组织之间的网络通信传送各种数据和重要信息。然而，网络通讯也是攻击者进入网络安全边界内的主要方式之一。现代网络安全技术运用许多方法来防止攻击者对组织和个人造成伤害。但是上述方法都不是完美的，尤其是处于高级持续性威胁(APT，AdvancedPersistentThreat)时代中的当今时期。现代的APT可针对非常具体的目标来开发并部署，并且通常情况下这样的APT可能非常难以检测和消除。记录网络流量是高级网络防御中常见的方法之一。记录网络流量类似于安全摄像机，虽然其未针对威胁检测进行最优化，但是其在消除阶段中非常有用，允许以确定根本原因和被感染的网络节点为目的仔细检查与威胁相关的流量的子集。

网络流量不断增加，并且其对于传统的网络记录方法而言形成了一项挑战。由于APT有时花费数月的时间来充分渗透到组织内，通常要求存储至少6个月的网络数据。对于大型企业而言，收集和储存所产生的数据量通常是不可能或不切实际的。即使发生APT感染，与企业被迫存储的用于研究该攻击的数据量相比，由此攻击所导致的流量是微乎其微的。

本发明提供一种方法，其允许显著减少需要被存储的数据量，同时保持所有必要的信息完整无缺。此外，从随后的详细描述和所附的权利要求、结合附图和前述的技术领域和背景技术，本发明的其它期望的特征和特性将变得明显。

发明内容

提供用于检测网络上的高级持续性威胁的一种方法。该方法包括从网络获取数据包并对所获取的数据包进行分层会话解码。

从解码的数据包提取元数据并存储元数据用于分析。对元数据的分析用于检测网络上的高级持续性威胁。

提供用于检测网络上的高级持续性威胁的一种系统。该系统包括网络和耦联到网络的处理器。该处理器配置成从网络获取数据包并对所获取的数据包进行分层会话解码。元数据由处理器提取并存储在耦联到处理器的存储器中。随后可对元数据进行分析以检测网络上的高级持续性威胁。

附图说明

在下文将结合以下附图对本发明进行描述，其中相同的附图标记指示相同的元件；以及

图1是根据示例性实施例用于保存网络通信的系统的简化框图；

图2示出根据示例性实施例的获取过程；

图3示出根据示例性实施例的数据包处理；

图4示出根据示例性实施例的会话重组；

图5示出根据示例性实施例的分层会话解码；以及

图6示出根据示例性实施例的元数据的提取和存储。

具体实施方式

下面的详细描述在本质上仅仅是示例性的，而并不意旨限制本公开的主题或其用途。此外，并不意旨受到在前面的技术领域、背景技术、发明内容或下面的详细描述中所呈现的任何明示或暗示理论的约束。

在本文中，诸如“第一”和“第二”等的关系术语可仅用于将一个实体或动作与另一实体或动作进行区分，而并不一定要求或暗示在这种实体或动作之间的任何实际的这种关系或顺序。序数词，诸如“第一”，“第二”，“第三”等仅表示多个中的不同单个，而并不暗含任何顺序或序列，除非由权利要求的语言明确限定。

此外，以下的描述涉及被“连接”或“耦联”到一起的元件或特征。如本文所用，“连接”可以指一个元件/特征被直接连接到另一元件/特征(或与其直接通信)，但不一定是机械地连接。类似地，“耦联”可以指一个元件/特征被直接或间接地连接到另一元件/特征(或与其直接或间接通信)，但不一定是机械地连接。然而，应当理解的是，虽然在下文在一个实施例中两个元件可被描述成“连接”，但在替代性的实施例中类似的元件可被“耦联”，反之亦然。因此，尽管本文示出的示意图描绘了元件的示例性布置，但是在实际的实施例中可存在附加的中间元件、设备、特征或组件。