CN115865465A - 一种网络威胁事件存取证系统 - Google Patents

Abstract

本申请公开了一种网络威胁事件存取证系统，将网络威胁事件存取证划分为存证、取证、知识库三个模块。存证模块通过设置完整精准的存证规则进行存证数据的采集和存储，当有告警发生或专家启动事件调查时，通过取证模块的对存证数据进行检索和分析，完成事件验伤取证过程，形成事件报告及处置建议，最后通过知识库模块对事件提取知识图谱，可进一步校准和优化上述过程中所用到的存证规则、验伤规则和取证规则，解决取证过程关键数据缺失、上下文无法关联、线索无法展等问题，有助于提升验伤取证的准确性和自动化程度，从而提升网络威胁事件取证的准确性和便捷性。

Description

一种网络威胁事件存取证系统

技术领域

本申请属于网络风险处理领域，特别涉及一种网络威胁事件存取证系统。

背景技术

传统的网络风险处理方式下，一旦威胁事件发生，只能通过收集现有网络设备、主机以及终端的系统日志和产品日志，依靠事件分析人员的经验进行事件取证，然而，传统系统日志和产品日志很难在维度和粒度上满足取证的要求，经常遇到关键数据缺失、上下文无法关联、线索无法展开等问题，最终无法完整且详尽地还原原始事件的来龙去脉；更有甚者，遇到反侦察能力很强的肇事者，会在作案之后清除各类系统和产品日志，打扫作案现场，让事件调查人员无迹可寻，给调查取证工作带来更大的困难。

发明内容

为了解决所述现有技术的不足，本申请提供了一种网络威胁事件存取证系统，通过该存取证系统，解决了存证数据的完整性和精准性问题，当有指定事件时，可以通过基于存证数据的检索和分析，完成事件验伤取证过程，形成事件报告及处置建议，最后通过对事件提取知识图谱，进一步对存证的完整性和精准性进行校准和优化，有效解决取证过程中关键数据缺失、上下文无法关联、线索无法展等问题，并有助于提升取证过程的自动化程度，从而提升网络威胁事件取证的准确性和便捷性。

本申请所要达到的技术效果通过以下方案实现：

第一方面，本说明书提供一种网络威胁事件存取证系统，所述系统包括：

存证模块，配置为：将存证规则下发至接入所述系统的数据源，使得所述数据源根据所述存证规则，执行针对存证数据的采集；存储所述存证数据；其中，所述存证规则表示出需要采集的存证数据的维度和粒度；其中，所述数据源包含至少一个存证对象，所述存证数据是对应于存证对象的数据；

取证模块，配置为：在指定事件的触发下，基于验伤规则对存储的所述存证数据执行验伤分析，得到验伤结果；所述验伤结果表示出所述指定事件的风险真实性，以及与所述指定事件相关的关联信息；针对所述存证数据中与所述验伤结果匹配的数据，执行取证溯源，得到取证结果；所述取证结果表示出所述指定事件的严重性、影响范围以及责任方；

知识库模块，配置为：归类并存储所述取证结果；基于事件类型，将历史上存储的取证结果归类到其各自对应的知识图谱中；基于所述知识图谱对所述存证规则、验伤规则和取证规则进行更新。

在本说明书一个可选的实施例中，所述维度包含以下至少一种：数据源、某一数据源内部的存证对象、存证数据的生成时间；和/或，

所述指定事件包含以下至少一种：告警发生、专家启动事件调查；和/或

所述数据源包含以下至少一种：终端数据源、网络数据源、系统数据源、主机数据源。

在本说明书一个可选的实施例中，所属于边界侧的网络数据源对应的存证规则，至少用于获取南北向流量生成的存证数据；和/或，所属于内网侧的网络数据源对应的存证规则，至少用于获取东西向流量生成的存证数据。

在本说明书一个可选的实施例中，Web系统对应的存证规则，至少用于获取由命令生成的存证数据；和/或，与所述Web系统关联的应用系统对应的存证规则，至少用于获取在执行命令时，由所述应用系统生成的存证数据。

在本说明书一个可选的实施例中，在所述数据源是第一类数据源时，由所述数据源上部署的探针或代理程序，根据所述存证规则，执行针对存证数据的采集；其中，所述第一类数据源包含以下至少一种：网络数据源、主机数据源、终端数据源、系统数据源；和/或，

在所述数据源是第二类数据源时，在经过协商的基础上，由第二类数据源根据所述存证规则，执行针对存证数据的采集；其中，所述第二类数据源包含第三方安全产品数据源。

在本说明书一个可选的实施例中，所述取证模块执行验伤分析时，执行：

对存储的所述存证数据进行检索和大数据关联分析，得到对应于所述指定事件的第一目标数据，以及第二目标数据；其中，所述第二目标数据是与所述指定事件关联的上下文存证数据；

对所述第一目标数据和第二目标数据进行处理，得到验伤结果。

在本说明书一个可选的实施例中，所述取证模块执行取证溯源时，执行：

基于取证规则，对所述验伤结果进行处理，回溯发生所述指定事件的事件现场；

根据所述事件现场，得到取证结果。

在本说明书一个可选的实施例中，还包括以下至少一项：

所述存证规则是动态精细化的存证规则，使得在指定事件发生时，从粒度和/或维度上对所述存证规则的内容进行取舍；

所述存证规则是可基于事假知识进行校准和优化的存证规则。

在本说明书一个可选的实施例中，所述知识库模块在归类并存储所述取证结果时，执行：

对所述取证结果以结构化和文件的方式，按照事件时间、类型、严重性等属性进行归类并存储。

在本说明书一个可选的实施例中，所述知识库模块在执行取证结果的归类时，执行；

按照事件的类型，将历史上存储的取证结果归类到其各自对应的知识图谱中。

在本说明书一个可选的实施例中，所述知识库模块在执行规则更新时，执行；

对所述知识图谱进行分析，得到所述指定事件对应的攻击战术、攻击介质以及攻击行为，作为指定数据；

将所述指定数据编写为新的存证规则、新的验伤规则、新的取证规则；

将所述新的存证规则发至所述存证模块，将所述新的验伤规则、新的取证规则发至所述取证模块。

第二方面，本说明书提供一种电子设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行第一方面中的系统执行的方法步骤。

第三方面，本说明书提供一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行第一方面中的系统执行的方法步骤。

附图说明

为了更清楚地说明本申请实施例或现有的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例中一种网络威胁事件存取证系统的流程图；

图2为本申请一实施例中一个实施例电子设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面通过具体实施方式结合附图对本发明作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中，很多细节描述是为了使得本申请能被更好的理解。然而，本领域技术人员可以毫不费力的认识到，其中部分特征在不同情况下是可以省略的，或者可以由其它元件、材料、系统所替代。在某些情况下，本申请相关的一些操作并没有在说明书中显示或者描述，这是为了避免本申请的核心部分被过多的描述所淹没，而对于本领域技术人员而言，详细描述这些相关操作并不是必要的，他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。

另外，说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时，系统描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此，说明书和附图中的各种顺序只是为了清楚描述某一个实施例，并不意味着是必须的顺序，除非另有说明其中某个顺序是必须遵循的。

本文中为部件所编序号本身，例如“第一”、“第二”等，仅用于区分所描述的对象，不具有任何顺序或技术含义。而本申请所说“连接”、“联接”，如无特别说明，均包括直接和间接连接(联接)。

近些年各式各样的网络威胁事件层出不穷，包括病毒、加密勒索、邮件钓鱼、漏洞利用、网络渗透等形式的网络攻击，以及各类数据外泄/篡改、越权访问/操作等违法违规网络活动；此类威胁事件一旦发生，会因为存取证问题导致事件无法被定性定量分析，无法确定事件的责任人、无法评估事件当事人意图，以及事件的起因、经过、影响和范围，因此无法进一步采取有效措施对事件责任人和当事人做出制裁，无法对事件再次发生采取有效的防护和改进，长期以往，会使得管理者疲于应对，束手无策。有鉴于此，本说明书提供一种网络威胁事件存取证系统。

下面结合附图，详细说明本申请的各种非限制性实施方式。本说明书中的一种网络威胁事件存取证系统，示例性地，结构如图1所示。该系统包括存证模块、取证模块以及知识库模块。

存证模块，配置为：将存证规则下发至接入所述系统的数据源，使得所述数据源根据所述存证规则，执行针对存证数据的采集；存储所述存证数据；其中，所述存证规则表示出需要采集的存证数据的维度和粒度。

取证模块，配置为：在指定事件的触发下，基于验伤规则对存储的所述存证数据执行验伤分析，得到验伤结果；所述验伤结果表示出所述指定事件的风险真实性，以及与所述指定事件相关的关联信息；针对所述存证数据中与所述验伤结果匹配的数据，执行取证溯源，得到取证结果；所述取证结果表示出所述指定事件的严重性、影响范围以及责任方。

知识库模块，配置为：归类并存储所述取证结果；基于事件类型，将历史上存储的取证结果归类到其各自对应的知识图谱中；基于所述知识图谱对所述存证规则和所述验伤规则进行更新。

其中，接入系统的数据源可以为一个或一个以上。在接入系统的数据源不唯一的情况下，各数据源中的至少两个可以所属于不同的数据源类型。本说明书中的“规则”可以是由代码构成的可执行文件。本说明书中的风险程度可以根据专家经验预先的进行划分，例如，可以将风险程度划分为高风险、低风险等。风险范围是指风险能够造成的影响所波及的范围，例如，风险波及的范围是数据源本身，风险波及的范围是数据源包含的某个功能模块等。责任方是指造成风险的主体，例如，风险是由某个I D对应的用户造成的等。本说明书涉及的知识图谱不唯一，知识图谱与事件类型一一对应，也就是说，一个事件类型对应于一个知识图谱。

通过该存取证系统，解决了存证数据的完整性和精准性问题，当有指定事件(例如，告警发生或专家启动事件调查)发生时，可以通过基于存证数据的检索和分析，完成事件验伤取证过程，形成事件报告及处置建议，最后通过对事件提取知识图谱，进一步对存证的完整性和精准性进行校准和优化，有效解决取证过程中关键数据缺失、上下文无法关联、线索无法展等问题，并有助于提升取证过程的自动化程度，从而提升网络威胁事件取证的准确性和便捷性。

以下，将进一步地对本说明书中的网络威胁事件存取证系统进行说明。

一、存证模块。

存证模块包括存证设置、存证采集和存证存储三个功能。

(1)存证设置。

存证设置是通过存证规则明确要采集存证数据的维度和粒度。存证规则中的维度可分为以下几种：

1)数据源。

即存证数据的数据来源，不同数据源表示出不同的数据来源的范围。本说明书中的数据源可以是终端(包含PC、移动、IOT等各类终端)、网络(包括企业内网和外网、有线网络和无线网络等)、主机(包括各类云主机、本地主机、各类操作系统、各类容器环境等)等，也可以是各类系统(包括Web系统、邮件系统、文件系统、数据库系统、各类业务/应用/服务系统等)，还可以是各类安全产品(包括防火墙、I DPS、WAF、邮件网关、网络DPI、日志审计、终端/主机安全防护产品、SI EM等)，亦或是其他在网络空间中产生各种行为记录的载体等。

2)针对不同数据源内部的存证对象。

本说明书中的技术方案，针对不同的数据源，设定了不同的存证对象。

对于终端数据源，存证对象包括以下一种或多种：终端系统信息、原始文件/哈希、文件操作、进程操作、通讯活动、注册表操作、WebShe l l调用、PowerShe l l调用、网络浏览、固件更新、用户登录、账户创建及修改、系统日志、系统告警等信息。

对于网络数据源，存证对象包括以下一种或多种：原始报文、通讯会话、TCP/I P四层/七层内容、源I P/源端口/目的I P/目的端口、通讯协议等信息。

对于主机数据源，存证对象包括以下一种或多种：主机系统信息、主机进程操作、主机的配置修改、实例创建及修改、容器运行、特许访问等活动，最终产生各种活动日志(包括活动执行者、时间、渠道、介质、行为等)、系统日志、系统告警等信息。

对于系统数据源，存证对象包括以下一种或多种：各类业务/应用/服务系统的运行日志、系统信息、配置信息、用户操作、输入输出信息、告警信息等；对于安全产品侧，可存证的对象包括以下一种或多种：产品日志、告警、配置、策略等信息。

3)时间范围，即存证数据的起止记录时间，可以是某一时间点之前，也可以是某一时间点至今，也可以是某一时间段之内。

存证规则中的粒度：即存证数据的精细化完整程度。对每个存证对象而言，可以调整不同的存证数据颗粒度，即调整存证数据的丰富程度，既可以选择完整的细粒度原始数据，也可以选择裁剪后的一般粒度数据，还可以选择简要的粗粒度摘要数据，将存证粒度划分为原始级、一般级、摘要级等几种层级，粒度依次细化。示例性地，如文件操作存证信息，可以记录操作人、操作起止时间、所做操作、操作前的原始文件(和/或文件哈希)、操作后的原始文件(和/或文件哈希)、调用进程、访问协议、等细粒度原始数据，还可以仅记录操作人、操作时间、所做操作、文件哈希等粗粒度摘要数据；如网络活动存证信息，可以记录完整原始数据报文作为细粒度原始数据，还可以记录源I P和/或源端口和/或目的I P和/或目的端口、通讯协议等作为粗粒度摘要数据。

一旦威胁事件发生，要想获得完整的取证数据，需要在存证的维度和粒度上做到完整和精准覆盖：在维度上，尽量做到最广泛的数据源覆盖、最完整的存证对象覆盖以及最长的时间范围覆盖；在粒度上，尽量取得原始级细粒度的存证数据。

本说明书涉及的存证规则的设置有以下几个特点：

其一，初始存证规则通常由专家经验设置，存证规则随数据源的属性、部署位置、操作系统、业务系统等属性的不同而做区分。网络、主机、终端作为不同I T基础设施，存证规则不同。

作为网络数据源，边界侧和内网侧部署位置不同，存证规则不同，示例性地，边界侧的存证规则更加偏重南北向流量的获取，便于后续从外到内的攻击活动取证以及从内到外的C&C外联活动取证，内网侧的存证规则更加偏重东西向流量的获取，便于后续而内网横向移动活动取证等。

作为主机数据源，操作系统不同，主机所运行的各类Web系统、邮件系统、文件系统、数据库系统、各类业务/应用/服务系统不同，存证规则也不同，示例性地，Web系统存证偏重she l l的各类调用命令，Web访问请求与响应结果，Web系统各类配置操作等，而邮件系统存证偏重邮件发件人、域名、收件人、附件、邮件正文、嵌入URL等内容。

作为终端数据源，操作系统不同，办公终端和业务终端属性不同，内网终端与外网终端部署位置不同，PC终端和移动i终端属性不同，存证规则也不同，示例性地，对于公司行政人员的办公终端，存证偏重终端用户各类上网行为及内容，对于银行柜台人员的业务终端，存证偏重终端业务人员业务操作行为及内容等。

此外，以上数据源在不同的工作时段，存证规则也有不同。

其二，考虑到全场景细粒度原始数据存证会消耗大量计算、传输及存储资源，因此，初始存证规则会有选择的在存证维度和存证粒度上进行取舍，并在系统运行过程中可以通过自动或人工方式动态精细化调整存证规则，做到存证过程动态追踪，即动态存证能力。

当有告警发生或专家启动事件调查时，可根据告警/事件关联或专家指定的网络IP、主机或终端等选择对应的数据源范围，并根据告警/事件类型进一步调整存证维度以及存证粒度，同时，还可以选择告警/事件发生前后的一段时间作为存证时间范围，类比如下：当某一道路发生车辆拥堵，交管部门可调度该路段附近的摄像头查看现场状况，通过调用更多的摄像头、调整摄像头的角度、调整摄像头的分辨率、调整摄像头采集图像的时间范围等多个手段查看车辆拥堵的详细起因、经过及结果，以便及时采取应对措施。

其三，随着本存取证系统的不断使用迭代，存证规则可通过事件的知识转化进一步校准和优化，使得存证规则逐渐围绕事件频发的场景不断聚焦维度和深化粒度。

将以上存证规则下发到各类数据源中，各类数据源根据存证规则执行接下来的存证数据采集。

(2)存证采集。

存证采集是指按照存证规则进行数据采集，并传输至指定存储位置；存证数据采集通常有以下几种方式完成：

对于网络、主机、终端以及者各类系统数据源，通过在此类数据源上部署探针或代理程序，由探针或代理程序根据上述设置好的存证规则在数据源内执行存证数据采集。

对于第三方安全产品数据源，可通过协商让第三安全产品按照预置的取证规则执行存证数据采集，一旦存证规则发生变化，第三方安全产品需要提供相应的机制根据新的存证规则采集存证数据。

(3)存证存储。

存证存储是将各个数据源执行存证采集并传输过来的数据按照存证数据的格式要求完成数据标准化加工，并存储入库的过程。

二、取证模块。

取证模块包括验伤分析、取证溯源和事件结案三个主要功能，当有指定事件发生时依次调用。可选地，本说明书中的指定事件包括告警发生和/或专家启动事件调查。

(1)验伤分析。

验伤分析是指根据告警信息进行快速分析，初步确认威胁的真实性，威胁的本质以及攻击者意图，提升告警的可信度。该过程主要借助验伤规则，通过对存储入库的存证数据进行检索和大数据关联分析，以告警信息为切入点，关联上下文的存证数据和其他数据线索，快速确认威胁的真实性、本质和意图，产生高质量的精准告警，并确定其优先级。使得事件调查人员可以将注意力集中在更关键的问题上，减少误报导致的注意力转移。

示例性地，事件调查人员发现了网络侧告警信息1-可疑外联通讯，通过大数据关联分析(验伤规则)找到了另外两个数据线索：网络侧线索2-可疑钓鱼邮件(确定事件的类型)，以及终端侧线索3-打开附件创建可疑进程。安全人员通过关联线索2和线索3，可快速确定告警信息1的可信性，并将1、2和3合并在一起，产生精准告警，即可疑事件，从而让安全人员有针对性地启动完整的事件调查活动，避免大海捞针。

(2)取证溯源。

取证溯源是指针对上述精准告警或可疑事件，借助取证规则，通过对存储入库的存证数据进行检索和大数据关联分析执行事件调查，回溯完整攻击场景，判断攻击严重性，评估攻击的影响和范围，溯源攻击者，提供修复补救及整改建议，最后产生事件报告。

事件报告包括人读报告和机读报告，人读报告正如法院的卷宗和医院的病历，机读报告是按照结构化的方法将事件报告中的各类数据整理记录下来，以便后期机器可读取和查询，机读报告包括如下：事件起始时间、事件属性、当事人意图、当事人画像、事件严重性、事件影响的资产范围、事件检测时间及响应时间、建议响应策略、完整原始证据链(存证信息、告警信息、事件线索等)、完整攻击链信息(Ki l l Chai n)、完整ATT&CK标注、完整原始事件其对应的IOC(静态介质情报)和I OA(动态行为情报)信息、其他机读数据等。

(3)事件结案。

事件结案是根据上述修复补救和整改建议完成事件响应之后，分析事件归因、经过和结果，完成事件定性，确定事件责任人及其处置措施，对事件做完整梳理和总结，最后记录并生成事件结案报告。事件结案报告包括：上述事件报告、事件归因、事件整改措施及整改结果、事件责任人及处置结果等。

三、知识库模块。

知识库模块包括事件归档、事件知识化和存取证规则更新三个功能点。

(1)事件归档。

事件归档是指将事件结案报告以结构化和文件的方式，按照事件时间、类型、严重性等属性进行归类并存储。

(2)事件知识化。

事件知识化是指将众多事件报告中的结构化数据归纳形成事件知识图谱并提炼事件模式的过程。当事件结案之后，可以将该事件报告归纳到所属事件类型的知识图谱中，如某类APT事件知识图谱、加密勒索事件知识图谱、挖矿事件知识图谱、邮件钓鱼事件知识图谱等，通过梳理各类事件知识图谱，可以发现某类事件常用的攻击技战术、攻击介质和攻击行为，然后可将此类攻击技战术、攻击介质和攻击行为编写成存证规则、验伤规则、取证规则等，从而进一步优化存证的完整性和精准度，解决取证过程关键数据缺失、上下文无法关联、线索无法展等问题，并提升验伤取证的准确性和自动化程度。

(3)规则更新。

将上述优化的存证规则同步到上述存证模块，通过存证设置功能可进一步优化存证数据的完整性和精准度，将上述优化的验伤规则和取证规则同步到上述取证模块，通过验伤分析和取证溯源功能可进一步提升验伤取证的准确性和自动化程度。

上述三个过程可形成闭环不断优化和迭代，进而不断提升网络威胁事件取证的准确性和便捷性。

本发明提出的网络威胁事件存取证系统，将网络威胁事件存取证划分为存证、取证、知识库三个模块。存证模块通过设置完整精准的存证规则进行存证数据的采集和存储，当有告警发生或专家启动事件调查时，通过取证模块的对存证数据进行检索和分析，完成事件验伤取证过程，形成事件报告及处置建议，最后通过知识库模块对事件提取知识图谱，可进一步校准和优化上述过程中所用到的存证规则、验伤规则和取证规则，解决取证过程关键数据缺失、上下文无法关联、线索无法展等问题，有助于提升验伤取证的准确性和自动化程度，从而提升网络威胁事件取证的准确性和便捷性。

图2是本申请的一个实施例电子设备的结构示意图。请参考图2，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-vo l at i l e memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是I SA(I ndustry Standard Architecture，工业标准体系结构)总线、PCI(Per iphera lComponent I nterconnect，外设部件互连标准)总线或EI SA(Extended I ndustryStandard Architecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图2中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成一种网络威胁事件存取证系统。处理器，执行存储器所存放的程序，并具体用于执行前述任意一种网络威胁事件存取证系统。

上述如本申请图1所示实施例揭示的一种网络威胁事件存取证系统可以应用于处理器(即，本说明书中的删除控制模块)中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述系统的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(Centra l Process i ng Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digita l Signa l Processor，DSP)、专用集成电路(App l icat ionSpec ific I ntegrated Ci rcuit，ASI C)、现场可编程门阵列(Fi e l d－Programmab le Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各系统、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的系统的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述系统的步骤。

该电子设备还可执行图1中一种网络威胁事件存取证系统，并实现图1所示实施例的功能，本申请实施例在此不再赘述。

本申请实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的电子设备执行时，能够使该电子设备执行图1所示实施例中一种网络威胁事件存取证系统执行的系统，并具体用于执行前述的任意一种网络威胁事件存取证系统。

本领域内的技术人员应明白，本申请的实施例可提供为系统、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的系统、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(f l ash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何系统或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可删除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(trans itory med i a)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、系统、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、系统、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、系统、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为系统、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种网络威胁事件存取证系统，其特征在于，所述系统包括：

存证模块，配置为：将存证规则下发至接入所述系统的数据源，使得所述数据源根据所述存证规则，执行针对存证数据的采集；存储所述存证数据；其中，所述存证规则表示出需要采集的存证数据的维度和粒度；其中，所述数据源包含至少一个存证对象，所述存证数据是对应于存证对象的数据；

取证模块，配置为：在指定事件的触发下，基于验伤规则对存储的所述存证数据执行验伤分析，得到验伤结果；所述验伤结果表示出所述指定事件的风险真实性，以及与所述指定事件相关的关联信息；针对所述存证数据中与所述验伤结果匹配的数据，执行取证溯源，得到取证结果；所述取证结果表示出所述指定事件的严重性、影响范围以及责任方；

知识库模块，配置为：归类并存储所述取证结果；基于事件类型，将历史上存储的取证结果归类到其各自对应的知识图谱中；基于所述知识图谱对所述存证规则、验伤规则和取证规则进行更新。

2.如权利要求1所述的系统，其特征在于，

所述维度包含以下至少一种：数据源、某一数据源内部的存证对象、存证数据的生成时间；和/或，

所述指定事件包含以下至少一种：告警发生、专家启动事件调查；和/或

所述数据源包含以下至少一种：终端数据源、网络数据源、系统数据源、主机数据源。

3.如权利要求1所述的系统，其特征在于，

所属于边界侧的网络数据源对应的存证规则，至少用于获取南北向流量生成的存证数据；和/或，所属于内网侧的网络数据源对应的存证规则，至少用于获取东西向流量生成的存证数据。

4.如权利要求1所述的系统，其特征在于，

Web系统对应的存证规则，至少用于获取由命令生成的存证数据；和/或，与所述Web系统关联的应用系统对应的存证规则，至少用于获取在执行命令时，由所述应用系统生成的存证数据。

5.如权利要求1所述的系统，其特征在于，

在所述数据源是第一类数据源时，由所述数据源上部署的探针或代理程序，根据所述存证规则，执行针对存证数据的采集；其中，所述第一类数据源包含以下至少一种：网络数据源、主机数据源、终端数据源、系统数据源；和/或，

在所述数据源是第二类数据源时，在经过协商的基础上，由第二类数据源根据所述存证规则，执行针对存证数据的采集；其中，所述第二类数据源包含第三方安全产品数据源。

6.如权利要求1所述的系统，其特征在于，还包括以下至少一项：

所述存证规则是动态精细化的存证规则，使得在指定事件发生时，从粒度和/或维度上对所述存证规则的内容进行取舍；

所述存证规则是可基于事假知识进行校准和优化的存证规则。

7.如权利要求1所述的系统，其特征在于，所述取证模块执行验伤分析时，执行：

对存储的所述存证数据进行检索和大数据关联分析，得到对应于所述指定事件的第一目标数据，以及第二目标数据；其中，所述第二目标数据是与所述指定事件关联的上下文存证数据；

对所述第一目标数据和第二目标数据进行处理，得到验伤结果。

8.如权利要求1所述的系统，其特征在于，所述取证模块执行取证溯源时，执行：

基于取证规则，对所述验伤结果进行处理，回溯发生所述指定事件的事件现场；

根据所述事件现场，得到取证结果。

9.如权利要求8所述的系统，其特征在于，所述知识库模块在归类并存储所述取证结果时，执行：

对所述取证结果以结构化和文件的方式，按照事件时间、类型、严重性等属性进行归类并存储。

10.如权利要求8所述的系统，其特征在于，所述知识库模块在执行取证结果的归类时，执行；

按照事件的类型，将历史上存储的取证结果归类到其各自对应的知识图谱中。

Images