[发明专利]基于态势感知定位用户的方法、设备、装置及存储介质

说明书

本发明实施例公开了基于态势感知定位用户的方法、设备、装置及存储介质，用于实现安全事件的用户定位。本发明实施例方法包括：配置设备的认证装置及态势感知装置；通过认证装置接收并验证用户输入的用户信息，用户信息与用户一一对应；若验证通过，根据用户信息，建立用户的设备认证信息，并对用户信息及用户的设备认证信息进行关联存储；建立态势感知装置与认证装置之间的通信连接，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息；当态势感知装置检测到安全事件时，根据用户的设备认证信息定位用户。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于态势感知定位用户的方法、设备、装置及存储介质。

背景技术

目前的态势感知产品大多为在企业内网的核心汇聚地或其他重要区域的交换机上旁路部署探针等采集流量的设备，来监听全网的安全状态，或将全网流量导入云端进行威胁检测和流量清洗。

而目前的态势感知产品在发生安全事件时，因其内网主机是通过DHCP、域控或认证的方式进行上网的，而这些主机在每次上网时IP地址都可能是不同的，故在内网主机发生安全事件时，难以排查或定位到具体的主机或用户，也就无法做进一步的处理，也无法直接通过防火墙拦截IP的方式进行联动。

针对上述问题，现有技术可以通过以下两种方式进行解决：

1、获取主机的MAC地址；

2、获取主机名称；

针对获取MAC地址的方式，如果数据包经过三层交换机，则源MAC地址会改变为交换机端口的MAC地址，这时候态势感知产品采集到的并非是真正用户主机的MAC地址。同时基于这个原理，也会导致最后记录的大量用户的主机MAC地址一样(都是交换机的MAC地址)。

针对获取主机名，大部分企业的用户主机装机都是用GHOST盘等快速、批量生成的，如果没有去更改主机名，则大家都是一样的，也就无法定位是谁的主机。

故现有技术在内网主机发生安全事件时，无法有效准确的定位到具体的主机或用户信息。

发明内容

本发明实施例提供了基于态势感知定位用户的方法、设备、装置、及存储介质，用于通过将设备的认证装置与态势感知装置进行联动，从而使得态势感知装置根据认证装置中的用户信息，获取与该用户信息相关联的用户设备认证信息，并在态势感知装置检测到安全事件时，可以进一步通过用户设备认证信息定位到与该设备认证信息相关联的用户信息，进而定位到用户。

本发明第一方面提供了一种基于态势感知定位用户的方法，包括：

配置设备的认证装置及态势感知装置；

通过认证装置接收并验证用户输入的用户信息，用户信息与用户一一对应；

若验证通过，根据用户信息，建立用户的设备认证信息，并对用户信息及用户的设备认证信息进行关联存储；

建立态势感知装置与认证装置之间的通信连接，通过态势感知装置实时获取用户信息，并根据用户信息，获取用户的设备认证信息；

当态势感知装置检测到安全事件时，根据用户的设备认证信息定位用户。

优选的，用户的设备认证信息包括：

设备的IP地址、认证成功时间及认证有效期；

和/或，

设备的MAC地址、主机名及操作系统。

优选的，在根据用户的设备认证信息定位用户之后，该方法还包括：

通过态势感知装置建立用户信息表，用户信息表包括用户信息及用户的设备认证信息；

通过态势感知装置从用户角度对安全事件进行可视化展示。