[发明专利]责任人定位方法、装置、设备及存储介质

说明书

本公开提供了一种责任人定位方法、数据发送方法、装置、设备及存储介质，通过接收在主机使用过程中的网络流量，进而根据该网络流量确定主机的主机类型，根据不同主机类型解析网络流量获取对应类型主机使用的IP地址、使用时间、责任人信息，建立并保存责任人关联关系；最后，即可在接收到查询指令时，根据查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈查询结果。这样，在溯源到问题IP地址时，即可通过之前使用时保存下来的责任人关联关系迅速确定出责任人，极大地降低了部署成本。此外，本方案在使用过程中即可进行责任人关联关系建立与保存，具有很高的普适性。

技术领域

本公开涉及但不限于网络安全技术领域，具体而言，涉及但不限于一种责任人定位方法、装置、设备及存储介质。

背景技术

极光攻击、夜龙攻击等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中，国际上称之为APT(AdvancedPersistent Threat，高级持续性威胁)攻击。这类攻击使用病毒、木马作为攻击手段进行“先导攻击”，在内网中进行潜伏作业，在攻击潜伏阶段，传统网络安全设备，如部署在企业服务器区的IDS(Intrusion Detection Systems，入侵检测设备)等能很好的发现对数据中心的入侵行为，但这个行为只能溯源到IP地址。一般IP地址是动态分配的，不容易找到这个IP地址对应的具体责任人，一般需要根据时间和IP地址查询多方动态信息才有可能解决。这种做法不仅耗时费力，特别是应用于不同的企业网环境时，查询的设备和方法各有不同，造成溯源方法不能重用，增加了部署成本。因此，如何准确地定位问题主机的责任人，是本领域技术人员亟待解决的技术问题。

发明内容

本公开实施例提供一种责任人定位方法、装置、设备及存储介质，主要解决的技术问题是：如何准确地定位问题主机的责任人。

为解决上述技术问题，本公开实施例提供了一种责任人定位方法，包括：

接收在主机使用过程中的网络流量；

根据所述网络流量确定所述主机的主机类型；

在所述主机类型为办公时，解析所述网络流量获取所述主机使用的IP地址、使用时间、责任人信息；在所述主机类型为公用时，解析所述网络流量进行远程连接协议还原，获取所述主机的使用时间和IP地址，以及所述主机的对端主机的责任人信息；

建立并保存责任人关联关系；所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素；

在接收到查询指令时，根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果；所述索引信息包括所述责任人关联关系中的至少一种元素。

本公开实施例还提供了责任人定位装置，包括：第一接收模块、处理模块和查询模块；

所述第一接收模块用于接收在主机使用过程中的网络流量；以及用于接收查询指令；

所述处理模块用于根据所述网络流量确定所述主机的主机类型；并用于在所述主机类型为办公时，解析所述网络流量中的认证信息获取所述主机使用的IP地址、使用时间、责任人信息；在所述主机类型为公用时，解析所述网络流量进行远程连接协议还原，获取所述主机的使用时间和IP地址，以及所述主机的对端主机的责任人信息；以及用于建立并保存责任人关联关系，所述责任人关联关系至少包括所述IP地址、使用时间和责任人信息这三种元素；

所述查询模块用于在所述第一接收模块接收到查询指令时，根据所述查询指令中的索引信息在保存的责任人关联关系中查找出查询结果并反馈所述查询结果；所述索引信息包括所述责任人关联关系中的至少一种元素。

本公开实施例还提供了一种责任人定位装置，包括：接收单元、类型确定单元、解析单元、关系建立单元和查询单元；

所述接收单元用于接收在主机使用过程中的网络流量；