專利名稱:用于顯示網(wǎng)絡(luò)安全性事故的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及計算機網(wǎng)絡(luò)安全性領(lǐng)域,尤其涉及用于顯示網(wǎng)絡(luò)安全性事故(incident)的系統(tǒng)和方法。
背景技術(shù):
從大型商業(yè)交易到個人金融管理,我們?nèi)粘I畹膸缀趺總€方面都依賴著諸如因特網(wǎng)這樣的計算機網(wǎng)絡(luò)的安全操作。
在過去幾十年間,已開發(fā)出了不同技術(shù)來增強計算機網(wǎng)絡(luò)面對攻擊時的安全性。例如,多個諸如入侵檢測傳感器(IDS)這樣的安全性傳感器被部署在因特網(wǎng)或局域網(wǎng)(LAN)上,以檢測可疑網(wǎng)絡(luò)活動。
圖1示出具有多個附接到路由器、防火墻、交換機和主機等的安全性傳感器的計算機網(wǎng)絡(luò)。每個安全性傳感器被配置成這樣一旦其檢測到經(jīng)過其被附接到的設(shè)備的任何可疑網(wǎng)絡(luò)流量,安全性傳感器就向網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)發(fā)送安全性事件(event)。網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)負責(zé)分析來自不同源的安全性事件以及發(fā)現(xiàn)可能的網(wǎng)絡(luò)攻擊。然后,系統(tǒng)以易于理解的形式將結(jié)果提供給系統(tǒng)的用戶,例如網(wǎng)絡(luò)管理員。作為響應(yīng),用戶采取適當(dāng)?shù)膭幼饕詫⒐羲鸬膿p失降低到最小水平。在某些情況下,系統(tǒng)適于自動阻隔檢測到的攻擊。
一般而言,單個安全性事件中嵌入的信息只揭示大型網(wǎng)絡(luò)攻擊計劃中的一小方面。這種有限的信息的精確度也可能受到其他網(wǎng)絡(luò)設(shè)備的損害。例如,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAI)設(shè)備常被用來轉(zhuǎn)換想去往或源自局域網(wǎng)(LAN)內(nèi)的內(nèi)部主機和服務(wù)器的網(wǎng)絡(luò)分組的地址和端口,以解決32位地址所提供的有限地址空間的問題。從而,NAT設(shè)備常常隱藏IP分組的真實源和目的地地址,這使得分組更難以被分析。
此外,網(wǎng)絡(luò)攻擊是隨時間而發(fā)展的動態(tài)現(xiàn)象。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,出現(xiàn)了更復(fù)雜的偽裝得更好的攻擊策略,以突破當(dāng)前的網(wǎng)絡(luò)保護措施。作為響應(yīng),必須開發(fā)新的檢測措施來發(fā)現(xiàn)和戰(zhàn)勝這些新策略。
因此,非常需要有這樣一種方法和系統(tǒng),其不僅能夠以實時方式分析安全性事件,還能夠以直觀形式提供結(jié)果,以便用戶能夠易于理解任何潛在的或者正在發(fā)生的攻擊的特性。還希望用戶能夠使用該方法和系統(tǒng)來開發(fā)新策略,以便不僅捕獲當(dāng)前的網(wǎng)絡(luò)攻擊,還能夠捕獲未來的網(wǎng)絡(luò)攻擊。
發(fā)明內(nèi)容
概括來說,一種網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)和方法接收和處理在預(yù)定時間段期間到達的多個安全性事件,其中包括將安全性事件分組到網(wǎng)絡(luò)會話中,每個會話具有識別出的源和目的地,并且根據(jù)預(yù)定的安全性事件相關(guān)規(guī)則集合使網(wǎng)絡(luò)會話相互關(guān)聯(lián)。
然后該系統(tǒng)和方法顯示代表網(wǎng)絡(luò)中的設(shè)備的圖,所述設(shè)備包括安全性設(shè)備和非安全性設(shè)備。所顯示的圖包括多個個體設(shè)備符號和多個群組設(shè)備符號,每個個體設(shè)備符號代表該網(wǎng)絡(luò)的一個安全性設(shè)備,每個群組設(shè)備符號代表該網(wǎng)絡(luò)的一個非安全性設(shè)備群組。
結(jié)合該圖,該系統(tǒng)和方法顯示安全性事故信息,對于群組設(shè)備符號,所述信息包括事故容量指示符,該事故容量指示符指示其源或目的地在與群組設(shè)備符號相對應(yīng)的非安全性設(shè)備群組的任何成員處的網(wǎng)絡(luò)會話的數(shù)目。
在一個實施例中,該系統(tǒng)和方法還在用戶選擇群組設(shè)備符號之時,顯示代表該群組中的非安全性設(shè)備的第二級圖。所顯示的第二級圖還包括多個非安全性設(shè)備符號和多個安全性設(shè)備符號,每個非安全性設(shè)備符號代表一個充當(dāng)網(wǎng)絡(luò)會話的源或目的地的非安全性設(shè)備,每個安全性設(shè)備符號代表位于該非安全性設(shè)備附近的一個安全性設(shè)備。
在另一個實施例中,該系統(tǒng)和方法響應(yīng)于一個或多個用戶命令,從所顯示的數(shù)據(jù)中選擇網(wǎng)絡(luò)會話,并且定義丟棄規(guī)則,該丟棄規(guī)則包括與所選擇的網(wǎng)絡(luò)會話相對應(yīng)的網(wǎng)絡(luò)條件集合。一旦存在一個或多個滿足所述網(wǎng)絡(luò)條件集合的傳入安全性事件,該系統(tǒng)和方法就將其過濾掉或者將其從安全性事件日志文件中丟棄掉,或者不將其顯示給用戶但仍將其保存在日志文件中。
當(dāng)結(jié)合附圖閱讀以下對本發(fā)明的優(yōu)選實施例的詳細描述時,可更清楚地理解本發(fā)明的上述特征和優(yōu)點及其其他特征和優(yōu)點。
圖1示出強調(diào)通過網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)從多個安全性設(shè)備收集安全性事件的計算機網(wǎng)絡(luò)。
圖2是網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)的框圖。
圖3是展示本發(fā)明的主要步驟的流程圖。
圖4A-B分別是根據(jù)本發(fā)明的一個示例的熱點和向量圖。
圖5A-B分別是根據(jù)本發(fā)明的另一個示例的第一級和第二級熱點圖。
圖6示出安全性事故表,其列出預(yù)定時間段期間發(fā)生的安全性事故。
圖7示出一個安全性事故的細節(jié),其中包括安全性事件相關(guān)規(guī)則和網(wǎng)絡(luò)會話列表。
圖8示出網(wǎng)絡(luò)會話的展開式列表,這些網(wǎng)絡(luò)會話中包括與一行安全性事件相關(guān)規(guī)則相關(guān)聯(lián)的兩個會話。
圖9示出包括網(wǎng)絡(luò)會話的目的地主機的細節(jié)的彈出窗口。
圖10示出包括諸如防火墻這樣的安全性設(shè)備的細節(jié)的彈出窗口。
圖11A-C分別示出與網(wǎng)絡(luò)會話676852相關(guān)聯(lián)的安全性事件集合、局部熱點圖和局部向量圖。
圖12A-C分別示出與網(wǎng)絡(luò)會話676853相關(guān)聯(lián)的安全性事件集合、局部熱點圖和局部向量圖。
圖13A-C分別示出與網(wǎng)絡(luò)會話676903相關(guān)聯(lián)的安全性事件集合、局部熱點圖和局部向量圖。
圖14A-C分別示出與網(wǎng)絡(luò)會話676984相關(guān)聯(lián)的安全性事件集合、局部熱點圖和局部向量圖。
圖15A-D示出用于定義假陽性(false positive)安全性事件然后構(gòu)造安全性事件的丟棄規(guī)則的過程。
圖16A-B分別示出丟棄規(guī)則列表以及分別與每個丟棄規(guī)則相關(guān)聯(lián)的安全性事故的列表。
圖17A-C示出用于構(gòu)造相對于網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)接收到的安全性事件集合的查詢?nèi)缓髮⒃摬樵儽4鏋樾孪嚓P(guān)規(guī)則的過程。
具體實施例方式
本發(fā)明針對一種系統(tǒng)和方法,其分析由多個網(wǎng)絡(luò)安全性設(shè)備發(fā)送到網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)的安全性事件流,以直觀形式向系統(tǒng)的用戶提供分析結(jié)果,并且?guī)椭脩糸_發(fā)新的網(wǎng)絡(luò)攻擊檢測策略。這種方法和系統(tǒng)的一個示例在2003年5月21日遞交的題為“Network Security Monitoring System”的美國專利申請序列號10/443,946和2003年6月23日遞交的題為“AMethod and System For Determining Intra-Session Event Correlation AcrossNetwork Address Translation Devices”的美國專利申請律師案卷號11353-004-999中公開,此處通過引用將這兩個申請包含進來。
圖2示出用于處理由部署在計算機網(wǎng)絡(luò)上的多個安全性傳感器所報告的安全性事件流的網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)200。網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)200通常包括一個或多個中央處理單元(CPU)202、網(wǎng)絡(luò)或其他通信接口210、存儲器214和用于互連監(jiān)控系統(tǒng)200的各種組件的一個或多個通信總線。網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)200還包括用戶接口204,例如包括顯示器206和鍵盤208。存儲器214包括高速隨機訪問存儲器,還可包括非易失性存儲器,例如一個或多個磁盤存儲設(shè)備(未示出)。存儲器214還可包括位于(多個)中央處理單元202遠程的大容量存儲裝置。存儲器214優(yōu)選地存儲·操作系統(tǒng)216,其包括用于處理各種基本系統(tǒng)服務(wù)和用于執(zhí)行依賴于硬件的任務(wù)的過程;·網(wǎng)絡(luò)通信模塊218,其用于經(jīng)由一個或多個通信網(wǎng)絡(luò)(有線或無線)將監(jiān)控系統(tǒng)200連接到各種安全性設(shè)備或客戶端計算機(未示出),并且可能連接到其他服務(wù)器或計算機,所述通信網(wǎng)絡(luò)例如是因特網(wǎng)、其他廣域網(wǎng)、局域網(wǎng)、城域網(wǎng)等等;
·系統(tǒng)初始化模塊220,其初始化監(jiān)控系統(tǒng)200的適當(dāng)操作所需的存儲在存儲器214中的其他模塊和數(shù)據(jù)結(jié)構(gòu);·會話內(nèi)安全性事件相關(guān)引擎222,其用于將多個傳入安全性事件分組成不同的網(wǎng)絡(luò)會話;·安全性事件相關(guān)規(guī)則評估引擎224,其用于根據(jù)預(yù)定的安全性事件相關(guān)規(guī)則集合來處理網(wǎng)絡(luò)會話;·針對不同網(wǎng)絡(luò)攻擊場景設(shè)計的多個安全性事件相關(guān)規(guī)則226;以及·安全性事件日志228,其用于存儲監(jiān)控系統(tǒng)200接收到的安全性事件。
圖3是示出根據(jù)本發(fā)明的一個實施例的網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)200的主要操作步驟的流程圖。在步驟302處,監(jiān)控系統(tǒng)進行必要的系統(tǒng)初始化,包括將兩個引擎222和224以及安全性相關(guān)規(guī)則226加載到系統(tǒng)存儲器中。
在步驟304中,監(jiān)控系統(tǒng)接收到來自部署在網(wǎng)絡(luò)上的安全性傳感器的多個安全性事件,然后在步驟306處利用會話內(nèi)安全性事件相關(guān)引擎222將它們分組成不同的網(wǎng)絡(luò)會話。
在步驟308處,監(jiān)控系統(tǒng)利用安全性事件相關(guān)規(guī)則評估引擎224來檢查網(wǎng)絡(luò)會話是否滿足任何預(yù)定的安全性事件相關(guān)規(guī)則。如果是的話,則監(jiān)控系統(tǒng)在步驟310處響應(yīng)于該規(guī)則創(chuàng)建網(wǎng)絡(luò)安全性事故,并且在步驟314處采取一定的動作來保護網(wǎng)絡(luò)免受攻擊,所述操作例如是通知網(wǎng)絡(luò)管理員。如果不是的話,則監(jiān)控系統(tǒng)檢查與安全性事件相關(guān)規(guī)則相關(guān)聯(lián)的預(yù)定時間段是否已期滿。如果時間已期滿,則系統(tǒng)返回步驟304,等待更多的傳入安全性事件。如果時間已期滿,則在步驟316處系統(tǒng)將安全性事件和網(wǎng)絡(luò)會話從其存儲器中轉(zhuǎn)儲到安全性事件日志文件228中。
以下討論針對系統(tǒng)的用戶交互特征,更具體地說,針對網(wǎng)絡(luò)攻擊如何被提供給用戶以及用戶如何調(diào)整系統(tǒng)以捕捉新開發(fā)的網(wǎng)絡(luò)攻擊策略。
在第一步驟處,用戶(例如網(wǎng)絡(luò)管理員)通過諸如Internet Explorer(Microsoft公司的商標)這樣的網(wǎng)絡(luò)瀏覽器登錄到網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)中,并且訪問系統(tǒng)的主頁,如圖4A所示。該主頁包括熱點圖400。熱點圖向用戶提供網(wǎng)絡(luò)的概覽,具體而言,是從圖形上示出各種網(wǎng)絡(luò)設(shè)備的概覽。
熱點圖400中所示的設(shè)備可被分成兩類,安全性設(shè)備和非安全性設(shè)備。安全性設(shè)備包括防火墻、路由器和網(wǎng)絡(luò)交換機。安全性傳感器,例如入侵檢測傳感器,常被附接到安全性設(shè)備,以用于監(jiān)控經(jīng)過設(shè)備的網(wǎng)絡(luò)活動。非安全性設(shè)備是指沒有被附接安全性傳感器的那些設(shè)備。例如,未配備有安全性傳感器的常規(guī)桌上型計算機通常是非安全性設(shè)備。通常,網(wǎng)絡(luò)上的非安全性設(shè)備的數(shù)目高于安全性設(shè)備的數(shù)目。
在一個實施例中,每個安全性設(shè)備,例如防火墻“BR-FW-1”或網(wǎng)絡(luò)交換機“BR-SW-1”是由熱點圖400上的唯一圖形符號來表示的,這使得易于理解網(wǎng)絡(luò)拓撲以及跟蹤到各種攻擊的源和目的地的位置。相反,非安全性設(shè)備通常不是由唯一符號來表示的,這是因為網(wǎng)絡(luò)上有太多的非安全性設(shè)備了。作為替代,基于網(wǎng)絡(luò)上的非安全性設(shè)備在網(wǎng)絡(luò)上的物理位置將其組織成了群組。每個群組被給予了唯一名稱,并且由熱點圖上的云團符號表示。例如,“Cloud-3”表示非安全性設(shè)備群組,并且被連接到三個圍繞在周圍的安全性設(shè)備,防火墻“BR-FW-1”、網(wǎng)絡(luò)路由器“BR-Head-End-Router”和網(wǎng)絡(luò)交換機“BR-SW-1”。
安全性傳感器被配置為用于監(jiān)控經(jīng)過其所附接到的安全性設(shè)備的網(wǎng)絡(luò)流量,并將安全性事件提交給網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)。安全性事件包含由安全性傳感器響應(yīng)于發(fā)生在安全性傳感器所附接到的網(wǎng)絡(luò)設(shè)備上的某個網(wǎng)絡(luò)活動而生成的信息。例如,傳播經(jīng)過防火墻BR-FW-1的TCP/IP分組流可觸發(fā)附接到防火墻的安全性傳感器,以向監(jiān)控系統(tǒng)提交一個或多個安全性事件。在一個實施例中,安全性事件包括事件參數(shù)集合,其包括但不限于源地址、目的地地址、報告設(shè)備ID、事件ID、事件類型和時間戳。
每個個體的安全性事件雖然有用,但卻只提供了特定安全性設(shè)備處的網(wǎng)絡(luò)活動的快照。這種信息通常不足以描述涉及多個源、目的地和網(wǎng)絡(luò)路由的復(fù)雜網(wǎng)絡(luò)攻擊。作為替代,監(jiān)控系統(tǒng)被用來根據(jù)預(yù)定的相關(guān)條件將由不同安全性傳感器提交的多個安全性事件的事件參數(shù)相互關(guān)聯(lián)起來,所述預(yù)定相關(guān)條件也被稱為安全性事件相關(guān)規(guī)則,其代表網(wǎng)絡(luò)攻擊的可能場景。
但是,由于部署在網(wǎng)絡(luò)上的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)設(shè)備,因此安全性事件所報告的源和目的地地址可能不是觸發(fā)安全性事件的網(wǎng)絡(luò)活動的真實源和目的地地址。因此,在安全性事件相關(guān)的步驟之前,監(jiān)控系統(tǒng)需要“撤銷(undo)”NAT設(shè)備進行的地址轉(zhuǎn)換,并且發(fā)現(xiàn)事件的真實源和目的地(如果可能的話)。然后,系統(tǒng)將安全性事件分組成不同網(wǎng)絡(luò)會話。網(wǎng)絡(luò)會話是共享相同的會話修飾符集合的安全性事件的群組,所述會話修飾符包括但不限于源地址、目的地地址和網(wǎng)絡(luò)協(xié)議。因此,安全性事件相關(guān)實際上是在“會話化”的安全性事件之間發(fā)生的。
對于滿足安全性事件相關(guān)規(guī)則的“會話化”的安全性事件的每個集合,網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)生成包括該“會話化”的安全性事件集合的安全性事故。換言之,安全性事故被定義為與值得網(wǎng)絡(luò)員特別注意的多個可能協(xié)同的網(wǎng)絡(luò)活動相關(guān)聯(lián)的安全性事件的集合。安全性事故至少涉及兩方源和目的地。更復(fù)雜的事故可能涉及更多方。每一方可以是一個安全性設(shè)備或者是一個非安全性設(shè)備。
在一個實施例中,監(jiān)控系統(tǒng)通過將黑點附加到代表包括已被涉及到安全性事故中的非安全性設(shè)備的群組的云團符號,從而來突出該設(shè)備。附加到(或關(guān)聯(lián)到)設(shè)備符號或云團符號的黑點的數(shù)目充當(dāng)關(guān)于特定安全性設(shè)備或非安全性設(shè)備群組的事故容量指示符。圖4A示出兩個黑點,一個附加到云團Perimeter-19,另一個附加到Perimeter 14,從而指示來自每個群組的一個成員已被涉及到安全性事故中,這將在下文中更詳細討論。
圖4B示出向量圖410,該向量圖提供了由監(jiān)控系統(tǒng)所檢測到的安全性事故的不同視圖。如上所述,熱點圖指示安全性事故中涉及哪一個非安全性設(shè)備或安全性設(shè)備群組,而不識別與特定事故相關(guān)的網(wǎng)絡(luò)流量方向,例如,作為事故一部分的網(wǎng)絡(luò)會話的源和目的地。相反,向量圖410跳過了那些不充當(dāng)事故的任何網(wǎng)絡(luò)會話的源或目的地的安全性或非安全性設(shè)備。向量圖410示出事故的任何一對源和目的地之間的網(wǎng)絡(luò)會話的數(shù)目。例如,在源主機40.40.1.23和目的地主機192.168.1.10之間的總共有三個網(wǎng)絡(luò)會話。根據(jù)這三個會話各自在安全性事件相關(guān)規(guī)則中的順序,它們被分割成兩個群組,具有一個會話的一個群組“E-115925”和具有兩個會話的另一個群組“E-15527”。以下給出關(guān)于這些網(wǎng)絡(luò)會話的更多討論。
圖5A示出了由系統(tǒng)在在預(yù)定時間段期間檢測到幾個安全性事故之后生成的更復(fù)雜的熱點圖。這些事故中至少涉及來自四個群組Perimeter-1、Cloud-3、Perimeter-14和Perimeter-19的非安全性設(shè)備,并且各種數(shù)目的黑點被與代表上述群組的云團相關(guān)聯(lián),以指示每個群組的涉及程度。例如,云團Perimeter-19指示有七個非安全性被涉及到了事故中,充當(dāng)各種網(wǎng)絡(luò)活動的源或目的地。在一個實施例中,監(jiān)控系統(tǒng)設(shè)置給定時間段內(nèi)熱點圖上的黑點的數(shù)目的上限,例如一小時期間三百個黑點。一旦達到此限制,則系統(tǒng)不再在圖上生成新的黑點,直到時間段期滿,這是因為具有太多黑點的熱點圖可能不那么直觀,并且阻撓其將系統(tǒng)用戶的注意力引向“熱點”的原本目的。在另一個實施例中,不同的顏色被分配給云團符號,以代表群組中有多少個非安全性設(shè)備被涉及到了安全性事故中。
從熱點圖中,用戶不僅能夠獲得對預(yù)定時段期間發(fā)生在網(wǎng)絡(luò)上的可疑網(wǎng)絡(luò)活動的概覽,還能夠?qū)μ囟ㄈ航M“放大”,從而取回關(guān)于該群組中已被涉及到這些網(wǎng)絡(luò)活動中的非安全性設(shè)備的更多細節(jié)。例如,如果用戶有興趣獲知關(guān)于由云團Cloud-3所表示的群組中的三個非安全性設(shè)備的更多細節(jié),則他可以點擊圖5A中的云團Cloud-3,然后包含更多細節(jié)的新窗口彈出,如圖5B所示。彈出窗口示出每個非安全性設(shè)備的名稱和它們與彼此以及周圍的其他安全性設(shè)備如何連接。
為了簡單起見,以下討論集中于圖4A所示的示例。在此示例中,安全性事故至少涉及兩個非安全性設(shè)備(一個在由云團Perimeter-9所表示的群組內(nèi),另一個在由云團Peremiter-14所表示的群組內(nèi))以及某個未知數(shù)目的安全性設(shè)備。但是,熱點圖不表明每個設(shè)備在安全性事故中扮演什么角色(例如源或目的地)、流量路由是什么以及攻擊中是否涉及任何其他設(shè)備。收集此信息的一種方式是訪問安全性事故表。
圖6示出列出預(yù)定時間段期間發(fā)生的安全性事故的安全性事故表。在一個實施例中,安全性事故表包括六列。事故ID列601存儲系統(tǒng)檢測到的每個事故的唯一號碼,字符“I”被放在該號碼之前以指示它是事故ID。事件類型列602包括與構(gòu)成事故的安全性事件集合相關(guān)聯(lián)的一個或多個事件類型,每個類型包括一個表達式,該表達式描述哪種網(wǎng)絡(luò)活動觸發(fā)這種安全性事件。匹配規(guī)則列603標識與安全性事故相關(guān)聯(lián)的安全性事件相關(guān)規(guī)則。動作列604表明響應(yīng)于安全性事故采取了哪種動作。時間列605存儲一個時間段,在該時間段期間安全性事件集合被不同安全性傳感器所報告。最后,路徑列606具有兩個圖標,這兩個圖標都與描述事故的流量路由的圖相關(guān)聯(lián),這將在下文中討論。為了獲知關(guān)于事故的更多細節(jié),用戶可點擊列601中的事故ID“685029”。作為響應(yīng),系統(tǒng)生成包含該事故的更多細節(jié)的新的網(wǎng)頁。
圖7示出包含事故685029的信息的網(wǎng)頁,其包括安全性事件相關(guān)規(guī)則701以及多個網(wǎng)絡(luò)會話702、703和704。安全性事件相關(guān)規(guī)則701被表達為一個表,該表的列的含意完全可以根據(jù)其名稱不言而喻。表的每行在偏量列中具有唯一的數(shù)字,該數(shù)字指定與此行相關(guān)聯(lián)的事件和與此行之前或之后的行相關(guān)聯(lián)的事件之間的相關(guān)順序。
正如動作/操作列中的操作符所指示的,相關(guān)順序可以是邏輯順序或時間順序。例如,第一行的操作符是邏輯OR,這意味著如果存在與前兩行中的任一行相關(guān)聯(lián)的安全性事件,則相關(guān)可以移到第三行上。類似地,第二行的操作符是時間上的FOLLOWED-BY,這意味著屬于前兩行的事件必須在屬于第三行的事件之前。在默認情況下,相關(guān)開始于第一行,并且結(jié)束在表的最后一行處。但是,如果必要的話可以用前括號和后括號來調(diào)整此順序(見規(guī)則的Open和Close列,如圖7所示)。
規(guī)則的每一行包括“Counts”列或字段,它指定在該行被視為滿足之前必須滿足該行的約束的安全性事件的數(shù)目。當(dāng)Counts等于1時,只需要一個符合行約束的安全性事件。當(dāng)Counts等于2或更多時,需要指定數(shù)目的這種事件。
除了相關(guān)順序外,安全性事件相關(guān)規(guī)則的另一個重要方面是將不同安全性事件的源和目的地相互關(guān)聯(lián)起來,以發(fā)現(xiàn)構(gòu)成網(wǎng)絡(luò)攻擊的一系列協(xié)同的網(wǎng)絡(luò)活動。例如,網(wǎng)絡(luò)攻擊可以是這樣的一系列網(wǎng)絡(luò)活動這些網(wǎng)絡(luò)活動是由黑客從一個或多個設(shè)備發(fā)起的,用于攻擊某些目標設(shè)備以便破壞存儲在目標設(shè)備中的數(shù)據(jù)或者將數(shù)據(jù)從目標設(shè)備非法傳輸?shù)胶诳椭付ǖ脑O(shè)備。
每個安全性事件包括特定網(wǎng)絡(luò)活動的源和目的地的信息。根據(jù)網(wǎng)絡(luò)流量的方向,網(wǎng)絡(luò)活動的源可以是發(fā)起攻擊的設(shè)備或受到攻擊的設(shè)備。從而,規(guī)則的一行或多行的源IP和目的地IP列可以被填充以變量。在某些實施例中,變量由以美元符號“$”開始的文本串表示,例如$TARGET01,以用于表示主機地址。這種表達方式的優(yōu)點是相同的變量可被重新用于不同行中,以根據(jù)預(yù)定順序?qū)⑺鼈冩溄釉谝黄?。例如,前三行中的代表相?yīng)安全性事件的目的地的變量$TARGET01變成了最后一行中的安全性事件的源,從而指示僅當(dāng)滿足規(guī)則的第4行的分組源與滿足規(guī)則的第1至第3行的分組目標相同時,規(guī)則才被滿足。
最后,可能有由時間范圍列指定的對相關(guān)安全性事件的時間約束。在圖7所示的示例中,安全性相關(guān)規(guī)則701的時間范圍列只有最后一行中的一個條目0hh:5mm:0ss,其意思是要想滿足相關(guān)規(guī)則,那么第一安全性事件和最末安全性事件之間的滿足此相關(guān)規(guī)則的時間差距應(yīng)當(dāng)不大于5分鐘。
在圖7的下半部分中是與安全性事件685029相關(guān)聯(lián)的已滿足了圖7的上半部分中所示的安全性事件相關(guān)規(guī)則的網(wǎng)絡(luò)會話的表。兩個表共享類似的結(jié)構(gòu)。列出了四個網(wǎng)絡(luò)會話,每個網(wǎng)絡(luò)會話具有唯一的ID,并且與規(guī)則的一個偏量相關(guān)聯(lián)。例如,網(wǎng)絡(luò)會話676903與偏量3相關(guān)聯(lián),網(wǎng)絡(luò)會話676984與偏量4相關(guān)聯(lián)。注意與偏量1相關(guān)聯(lián)的會話已經(jīng)被壓縮成了一行,并且在表達式“Total2”旁邊的行中有加號按鈕,以指示還有另外兩個網(wǎng)絡(luò)會話與偏量1相關(guān)聯(lián),用戶可以通過點擊加號來展開該表。
圖8示出用戶點擊加號后的包括兩個與偏量1相關(guān)聯(lián)的會話的展開后的網(wǎng)絡(luò)會話列表。與這兩個網(wǎng)絡(luò)會話相關(guān)聯(lián)的安全性事件幾乎是相同的,只不過它們是由不同設(shè)備所報告的。網(wǎng)絡(luò)會話676852的安全性事件是由安全性傳感器HQ-SW-IDSM-1報告的,網(wǎng)絡(luò)會話676853的安全性事件是由傳感器HQ-NIDS1報告的,這兩個傳感器都可以位于圖4A的熱點圖中。注意,諸如事件、源IP和目的地IP之類的列下面的條目包括信息圖標。用戶可點擊這些圖標以取回關(guān)于該條目的更多細節(jié)。
例如,如果用戶點擊第一行中的IP地址192.168.1.10旁邊的信息圖標,則彈出如圖9所示的窗口,從而提供關(guān)于充當(dāng)多個網(wǎng)絡(luò)會話的目的地的設(shè)備的更多細節(jié),例如名稱、設(shè)備類型、地理區(qū)域、設(shè)備管理員、狀態(tài)和默認網(wǎng)關(guān)。類似地,圖10示出了報告網(wǎng)絡(luò)會話676984的安全性事件的安全性設(shè)備HQ-FW-1的更多細節(jié)。
除了獲知關(guān)于每個與網(wǎng)絡(luò)會話相關(guān)的設(shè)備的更多信息外,用戶還可以更深入地了解屬于網(wǎng)絡(luò)會話之一的每個安全性事件,例如安全性傳感器所報告的原始消息以及可疑網(wǎng)絡(luò)活動的流量路由等等。
圖11A示出包括分組在網(wǎng)絡(luò)會話676852下的安全性事件(在此情況下,只有一個由安全性傳感器HQ-SW-IDSM-1報告的事件676852)的彈出窗口。事件676852的原始消息指示事件的源地址是IP 40.40.1.23/0,目的地地址是IP 100.1.4.10/10,事件類型是“ICMP Network Sweepw/Echo”。注意原始消息中的目的地地址與網(wǎng)絡(luò)會話表中的相應(yīng)的目的地地址192.168.1.10不同。正如下文中將要說明的,此差異是由NAT設(shè)備造成的。
圖11B示出了包括與網(wǎng)絡(luò)會話676852相關(guān)聯(lián)的局部熱點圖的彈出窗口。根據(jù)局部熱點圖,安全性事件676852是由附接到網(wǎng)絡(luò)交換機HQ-SW-1的安全性傳感器HQ-SW-IDSM-1響應(yīng)于由從源地址40.40.1.23/0到目的地地址HQ-Web-1或192.168.1.10的一系列箭頭所指示的網(wǎng)絡(luò)流量而報告的。
圖11C示出了包括與網(wǎng)絡(luò)會話676852相關(guān)聯(lián)的局部向量圖的另一個彈出窗口。如上所述,局部向量圖是抽象表達方式,其用途是使網(wǎng)絡(luò)會話676852的源地址40.40.1.23與目的地地址192.168.1.10之間的網(wǎng)絡(luò)會話676852可視化。因此,沿著出現(xiàn)在圖11B的局部熱點圖中的路由的設(shè)備未出現(xiàn)在局部向量圖中。局部向量圖在這里示出了網(wǎng)絡(luò)會話676852是從源地址40.40.1.23到目的地地址192.168.1.10的偏量為1的兩個會話之一。
圖12A示出了與網(wǎng)絡(luò)會話676853相關(guān)聯(lián)的安全性事件(在此情況下只有一個事件676853)。圖12B和圖12C示出了網(wǎng)絡(luò)會話676853的局部熱點和向量圖。由于兩個網(wǎng)絡(luò)會話676852和676853都共享相同的源、目的地和偏量值,因此這兩幅圖與其關(guān)于網(wǎng)絡(luò)會話676852的對應(yīng)物相同。
圖13A示出了與網(wǎng)絡(luò)會話676903相關(guān)聯(lián)的安全性事件。網(wǎng)絡(luò)會話676903包括由多個安全性傳感器報告的五個安全性事件。某些傳感器,比如像HQ-NIDS1,位于NAT設(shè)備的一側(cè),某些位于另一側(cè)。這就是在安全性事件676900的原始消息中目的地地址是100.1.4.10/80,而在安全性事件676904的原始消息中目的地地址是192.168.1.10/80的原因。即使網(wǎng)絡(luò)會話676903的局部熱點圖與另兩個相同,其局部向量圖這一次也是不同的,因為網(wǎng)絡(luò)會話676903具有不同的偏量值3。
最后,圖14A示出了與網(wǎng)絡(luò)會話676984相關(guān)聯(lián)的三個安全性事件,這些事件是由附接到防火墻HQ-FW-1的安全性傳感器報告的。圖14B示出了包括開始于設(shè)備HQ-Web-1并且結(jié)束于設(shè)備30.30.2.24的網(wǎng)絡(luò)流量路由的局部熱點圖,圖14C示出了設(shè)備192.168.1.10或HQ-Web-1與設(shè)備30.30.2.24之間的網(wǎng)絡(luò)會話676984。
如上所述,某些網(wǎng)絡(luò)會話可能只包括一個安全性事件,例如網(wǎng)絡(luò)會話676852和676853,而某些可能包括多個事件,例如會話676903和676984。在第一種情況下,網(wǎng)絡(luò)會話中的唯一的安全性事件必須已滿足了安全性事件相關(guān)規(guī)則的相應(yīng)行中規(guī)定的要求。這種事件也被稱為觸發(fā)事件。在第二種情況下,網(wǎng)絡(luò)會話內(nèi)也至少有一個觸發(fā)事件。但是,網(wǎng)絡(luò)會話中的某些非觸發(fā)事件可能不完全滿足要求。這樣,正如下文中更詳細說明的,通過為這些事件中的每一個附上問號圖標,從而在網(wǎng)絡(luò)會話列表中突出了這些事件。
圖15A示出了另一個安全性事故685008的網(wǎng)絡(luò)會話列表和彈出窗口。偏量1處的網(wǎng)絡(luò)會話675271具有多個安全性事件。其中的兩個在末端處包括問號圖標,從而建議雖然這些事件不是觸發(fā)事件,但它們?nèi)匀蛔銐蚩梢傻奖涣性诖颂?。系統(tǒng)的用戶可通過進一步的調(diào)查來決定是否將這些事件保持在會話中。
圖15A中的彈出窗口提供了更多信息,從而解釋了為什么與會話675271相關(guān)聯(lián)的兩個事件之一具有問號。例如,當(dāng)事件的目的地滿足以下三個要求時,攻擊類型“IIS Dot Dot Crash Attack”是有效的a)操作系統(tǒng)是Windows NT 4.0,b)應(yīng)用是因特網(wǎng)信息服務(wù)器(IIS)2.0,以及c)協(xié)議是TCP。在此示例中,事件的目的地實際上正在Windows 2000操作系統(tǒng)上運行Microsoft IIS 5.0。
由于安全性事件的目的地的操作系統(tǒng)不是Windows NT 4.0,因此這個安全性事件可能是假陽性的,并且未來的任何類似此事件的事件可能將不會出現(xiàn)在網(wǎng)絡(luò)會話列表中。但是,用戶可以決定類似此事件的事件是否是假陽性的以及即使它是假陽性的那么應(yīng)當(dāng)如何對待它。如果用戶認為將這種類型的事件保持在網(wǎng)絡(luò)會話列表中有用的話,則他點擊圖15A中的Cancel按鈕,從而將來系統(tǒng)將會以相同的方式對待這種類型的安全性事件。否則,用戶需要指示系統(tǒng)創(chuàng)建特殊的規(guī)則,即丟棄規(guī)則,這種規(guī)則將清除掉未來的任何這種類型的安全性事件。
圖15B示出用戶需要向監(jiān)控系統(tǒng)提供的用于創(chuàng)建與假陽性事件相對應(yīng)的丟棄規(guī)則的指令之一。即使具有一個特定的事件參數(shù)集合的安全性事件被定義為假陽性的,用戶可能仍希望將其保存在日志文件或數(shù)據(jù)庫中以供將來參考。但是,默認選項是將來一旦安全性事件到達系統(tǒng)就完全丟棄它以便節(jié)省計算機資源以供他用。
圖15C示出了關(guān)于假陽性安全性事件的信息以及為此類型的安全性事件創(chuàng)建的新的丟棄規(guī)則表。丟棄規(guī)則表與安全性事件相關(guān)規(guī)則表類似,丟棄規(guī)則表的動作是丟棄(即忽略)任何滿足表中指定的要求的事件。丟棄規(guī)則表可包括丟棄一種類型的安全性事件的一行,或者丟棄多種類型的安全性事件的多行。
在用戶確認創(chuàng)建圖15C中的新丟棄規(guī)則之后,系統(tǒng)關(guān)閉彈出窗口,并且網(wǎng)絡(luò)會話列表中的相應(yīng)的問號圖標被具有字符“F”的新圖標所替換,從而指示此事件已被標記為假陽性,如圖15D所示。
圖16A示出了丟棄規(guī)則列表,這些丟棄規(guī)則被聚集在與“DropRules”標簽相關(guān)聯(lián)的表中,以便將它們與“Inspection Rules”標簽下的那些安全性事件相關(guān)規(guī)則區(qū)分開來。在此示例中,有兩個丟棄規(guī)則,其中每一個用于丟棄一種特定類型的安全性事件。圖16B示出了包含已被系統(tǒng)識別的假陽性事件的事故。這些事故已被劃分成兩組,每一組與各自的丟棄規(guī)則相關(guān)聯(lián)。在一個實施例中,如果用戶預(yù)先知道一種類型的安全性事件應(yīng)當(dāng)被視為假陽性的,則在這里他可以通過點擊圖16A中的添加按鈕而不是經(jīng)過以上聯(lián)系圖15A-D所討論的過程來直接創(chuàng)建丟棄規(guī)則。
如上所述,安全性事件相關(guān)規(guī)則被創(chuàng)建來用于檢測一種或多種網(wǎng)絡(luò)攻擊。由于響應(yīng)于網(wǎng)絡(luò)技術(shù)的進步新的網(wǎng)絡(luò)攻擊可能會發(fā)展變化,所以必須開發(fā)新的安全性事件相關(guān)規(guī)則來對付這些新的攻擊。在一個實施例中,系統(tǒng)通過查詢已記錄的安全性事件數(shù)據(jù)從而發(fā)現(xiàn)新的攻擊場景,來生成新的安全性事件相關(guān)規(guī)則。
圖17A示出了用于查詢已記錄的安全性事件數(shù)據(jù)的查詢表1701。查詢表1701包括多列,這些列與圖7所示的安全性事件相關(guān)規(guī)則表的列類似。在此示例中,源IP條目被設(shè)置為20.20.1.15,時間范圍條目是一小時。如果用戶向包含安全性事件數(shù)據(jù)的數(shù)據(jù)庫提交此查詢,則系統(tǒng)定位并顯示以20.20.1.15作為其源并且在過去的一小時內(nèi)到達系統(tǒng)的安全性事件的信息,然后把它們分組在不同事故和不同會話之下。
圖17B示出了用戶向數(shù)據(jù)庫提交查詢之后的查詢結(jié)果。作為示例,此查詢結(jié)果包括相同網(wǎng)絡(luò)會話675271和相同安全性事故685008之下的多個安全性事件。圖17C具有新的彈出窗口1702,該窗口提供了關(guān)于網(wǎng)絡(luò)會話675271中的不同事件的更多細節(jié)。此彈出窗口的原始消息列下的條目說明哪種網(wǎng)絡(luò)活動觸發(fā)這些事件,并且它們是用于發(fā)現(xiàn)新的類型的網(wǎng)絡(luò)攻擊的重要源。如果用戶認為查詢找出的數(shù)據(jù)可能確實代表對網(wǎng)絡(luò)安全性的潛在威脅,則他可以通過點擊圖17A中所示的“Save As Rules”按鈕將該查詢保存為新的安全性事件相關(guān)規(guī)則,從而補充現(xiàn)有的安全性事件相關(guān)規(guī)則。
為了進行說明,前述描述已參考特定實施例進行了描述。但是,以上的說明性的討論并不是要無遺漏的或者將本發(fā)明限制到所公開的確切形式。在考慮到上述教導(dǎo)的情況下,許多修改和變體都是可能的。選擇和描述這些實施例是為了最好地解釋本發(fā)明的原理及其實際應(yīng)用,從而使得本領(lǐng)域的技術(shù)人員能夠以適合于所構(gòu)思的特定用途的各種修改來最好地利用本發(fā)明和各種實施例。
權(quán)利要求
1.一種分析安全性事件的方法,包括接收和處理安全性事件,其中包括將所述安全性事件分組到網(wǎng)絡(luò)會話中,每個會話具有識別出的源和目的地;顯示代表網(wǎng)絡(luò)中的設(shè)備的圖,所述設(shè)備包括安全性設(shè)備和非安全性設(shè)備,所顯示的圖包括多個個體設(shè)備符號和多個群組設(shè)備符號,每個個體設(shè)備符號代表所述網(wǎng)絡(luò)的一個安全性設(shè)備,每個群組設(shè)備符號代表所述網(wǎng)絡(luò)的一個非安全性設(shè)備群組;以及結(jié)合所述圖顯示安全性事故信息,對于群組設(shè)備符號,所述信息包括事故容量指示符,該事故容量指示符指示其源或目的地在與所述群組設(shè)備符號相對應(yīng)的非安全性設(shè)備群組的任何成員處的網(wǎng)絡(luò)會話的數(shù)目。
2.如權(quán)利要求1所述的方法,包括在用戶選擇非安全性設(shè)備群組的群組設(shè)備符號后,顯示代表所述群組中的非安全性設(shè)備以及與所述群組相關(guān)聯(lián)的安全性設(shè)備的第二級圖,所顯示的第二級圖包括多個非安全性設(shè)備符號和多個安全性設(shè)備符號,每個非安全性設(shè)備符號代表所述群組中的一個非安全性設(shè)備,每個安全性設(shè)備符號代表所述群組中的一個安全性設(shè)備;以及結(jié)合所述第二級圖顯示安全性事故信息,對于非安全性設(shè)備符號,所述信息包括事故容量指示符,該事故容量指示符指示其源或目的地在所述非安全性設(shè)備處的網(wǎng)絡(luò)會話的數(shù)目。
3.如權(quán)利要求1所述的方法,包括在用戶對所顯示的圖中的用戶指定的設(shè)備符號發(fā)出命令后,顯示代表其源或目的地在與所述用戶指定的設(shè)備符號相對應(yīng)的設(shè)備處的網(wǎng)絡(luò)會話的數(shù)據(jù)。
4.如權(quán)利要求3所述的方法,包括響應(yīng)于一個或多個用戶命令,從所顯示的數(shù)據(jù)中選擇網(wǎng)絡(luò)會話,并且定義丟棄規(guī)則,該丟棄規(guī)則包括與所選擇的網(wǎng)絡(luò)會話相對應(yīng)的網(wǎng)絡(luò)條件集合;其中所述對安全性事件的處理包括過濾掉滿足所定義的丟棄規(guī)則的網(wǎng)絡(luò)會話。
5.如權(quán)利要求3所述的方法,其中所述代表網(wǎng)絡(luò)會話的數(shù)據(jù)包括源和目的地標識信息、指示與所述網(wǎng)絡(luò)會話相對應(yīng)的事故的一種或多種類型的事件類型信息,以及指示報告與所述網(wǎng)絡(luò)會話相關(guān)聯(lián)的安全性事件的一個或多個安全性設(shè)備的安全性設(shè)備信息。
6.如權(quán)利要求1所述的方法,其中所述對安全性事件的處理包括識別一起滿足預(yù)定的安全性事故識別規(guī)則群組中的安全性事故識別規(guī)則的網(wǎng)絡(luò)會話的群組,并且將作為任何識別出的網(wǎng)絡(luò)會話群組的成員的每個網(wǎng)絡(luò)會話識別為規(guī)則觸發(fā)網(wǎng)絡(luò)會話;其中每個事故容量指示符指示其源或目的地在與所述設(shè)備符號相對應(yīng)的設(shè)備處的規(guī)則觸發(fā)網(wǎng)絡(luò)會話的數(shù)目。
7.如權(quán)利要求6所述的方法,其中所述對安全性事件的處理包括從所述規(guī)則觸發(fā)網(wǎng)絡(luò)會話中排除滿足丟棄規(guī)則集合中的任何丟棄規(guī)則的任何網(wǎng)絡(luò)會話,每個丟棄規(guī)則定義各自的條件集合。
8.一種定義規(guī)則的方法,所述規(guī)則識別安全性事故的關(guān)于安全性事件的實例,所述方法包括提供具有多行的表,每行定義一種類別的安全性事件,并且定義與所述表中的后續(xù)行的所述類別的安全性事件的邏輯關(guān)系;使得用戶對所述表的編輯能夠在所述表的一行或多行中定義一個或多個約束,所述一個或多個約束是基于事件參數(shù)群組的,該群組包括源地址、目的地地址和事件類型;以及使得用戶對所述表的編輯能夠指定所述表中用戶選擇的行相對于所述表的后續(xù)行的邏輯關(guān)系,所指定的邏輯關(guān)系是從布爾關(guān)系和定時關(guān)系的預(yù)定集合中選擇出來的。
9.如權(quán)利要求8所述的方法,其中所述一個或多個約束包括指定一行的所述類別的安全性事件的源地址是所述表中的另一行的所述類別的安全性事件的目的地地址的約束。
10.如權(quán)利要求8所述的方法,其中所述一個或多個約束包括指定所述類別的安全性事件的一個或多個事件類型的約束。
11.如權(quán)利要求8所述的方法,其中所述一個或多個約束包括指定必須滿足由所述表的一行指定的所有其他約束的安全性事件的數(shù)目的約束。
12.如權(quán)利要求8所述的方法,其中所述一個或多個約束包括針對所述表中要被評估為得到滿足的一行指定必須順序滿足由所述行指定的所有其他約束的安全性事件的數(shù)目的約束。
13.如權(quán)利要求8所述的方法,其中所述定時關(guān)系指定一行的所述類別的安全性事件發(fā)生在后續(xù)行的所述類別的安全性事件之前。
14.一種定義對多個安全性事件的查詢以檢測用戶定義的安全性事件模式的方法,該方法包括收集多個安全性事件,每個事件的特征在于包括源地址、目的地地址和事件類型的事件參數(shù)集合;提供具有多行的表,每行具有多列并定義一種類別的安全性事件,一列指定與所述表中的后續(xù)行的所述類件的安全性事件的邏輯關(guān)系,一列指定所述類別的安全性事件的預(yù)定事件計數(shù);使得用戶對所述表的編輯能夠在所述表的一行或多行中定義一個或多個約束,所述一個或多個約束中的每一個約束將一行的一列或多列與所述表中的另一行的一列或多列相關(guān)聯(lián),或者將一行的一列或多列與預(yù)定的參數(shù)集合相關(guān)聯(lián);以及使得用戶對所述表的編輯能夠指定所述表的用戶選擇的行相對于所述表的后續(xù)行的邏輯關(guān)系,所指定的邏輯關(guān)系是從布爾關(guān)系和定時關(guān)系的預(yù)定集合中選擇出來的。
15.如權(quán)利要求14所述的方法,其中所述多行指定網(wǎng)絡(luò)條件集合,以使得任何未來的處理跳過滿足所述條件集合的一個或多個安全性事件。
16.一種分析安全性事件流的方法,包括接收和處理安全性事件流,其中包括將所述安全性事件分組到多個網(wǎng)絡(luò)會話中,每個會話具有識別出的源和目的地并且被分配唯一的會話標識符;將多個預(yù)定的安全性事件相關(guān)規(guī)則應(yīng)用到與經(jīng)處理的安全性事件相關(guān)聯(lián)的所述多個網(wǎng)絡(luò)會話;對于所述預(yù)定的安全性事件相關(guān)規(guī)則的子集中的每一個,從與所述經(jīng)處理的安全性事件相關(guān)聯(lián)的多個網(wǎng)絡(luò)會話中識別滿足所述規(guī)則的網(wǎng)絡(luò)會話;顯示代表網(wǎng)絡(luò)中的設(shè)備的圖,所顯示的圖包括多個個體設(shè)備符號和多個群組設(shè)備符號,每個個體設(shè)備符號代表所述網(wǎng)絡(luò)的一個安全性設(shè)備,每個群組設(shè)備符號代表所述網(wǎng)絡(luò)的一個非安全性設(shè)備群組;以及結(jié)合所述圖顯示與所識別出的網(wǎng)絡(luò)會話相關(guān)聯(lián)的信息,對于每個群組設(shè)備符號,所述信息包括會話容量指示符,該會話容量指示符指示其源或目的地在與所述群組設(shè)備符號相對應(yīng)的非安全性設(shè)備群組中的非安全性設(shè)備處的識別出的網(wǎng)絡(luò)會話的數(shù)目。
17.一種分析安全性事件流的方法,包括接收安全性事件流;將所述安全性事件分組到多個網(wǎng)絡(luò)會話中,每個會話具有至少一個安全性事件并且其特征在于識別出的源和目的地;將多個預(yù)定的安全性事件相關(guān)規(guī)則應(yīng)用到與所述安全性事件相關(guān)聯(lián)的所述多個網(wǎng)絡(luò)會話;對于所述預(yù)定的安全性事件相關(guān)規(guī)則的子集中的每一個,識別滿足所述規(guī)則的網(wǎng)絡(luò)會話;顯示代表網(wǎng)絡(luò)中的設(shè)備的圖,所顯示的圖包括多個個體設(shè)備符號和多個群組設(shè)備符號,每個個體設(shè)備符號代表所述網(wǎng)絡(luò)的一個安全性設(shè)備,每個群組設(shè)備符號代表所述網(wǎng)絡(luò)的一個非安全性設(shè)備群組;以及結(jié)合所述圖顯示與識別出的網(wǎng)絡(luò)會話相關(guān)聯(lián)的信息,對于每個群組設(shè)備符號,所述信息包括會話容量指示符,該會話容量指示符指示其源或目的地在與所述群組設(shè)備符號相對應(yīng)的非安全性設(shè)備群組中的非安全性設(shè)備處的識別出的網(wǎng)絡(luò)會話的數(shù)目。
18.一種網(wǎng)絡(luò)安全性事件分析系統(tǒng),包括一個或多個用于執(zhí)行程序的中央處理單元;用于接收安全性事件的接口;以及可以由所述一個或多個中央處理單元執(zhí)行的網(wǎng)絡(luò)安全性事件相關(guān)引擎,該引擎包括用于接收和處理安全性事件的指令,其中包括將所述安全性事件分組到網(wǎng)絡(luò)會話中,每個會話具有識別出的源和目的地;用于顯示代表網(wǎng)絡(luò)中的設(shè)備的圖的指令,所述設(shè)備包括安全性設(shè)備和非安全性設(shè)備,所顯示的圖包括多個個體設(shè)備符號和多個群組設(shè)備符號,每個個體設(shè)備符號代表所述網(wǎng)絡(luò)的一個安全性設(shè)備,每個群組設(shè)備符號代表所述網(wǎng)絡(luò)的一個非安全性設(shè)備群組;以及用于結(jié)合所述圖顯示安全性事故信息的指令,對于群組設(shè)備符號,所述信息包括事故容量指示符,該事故容量指示符指示其源或目的地在與所述群組設(shè)備符號相對應(yīng)的非安全性設(shè)備群組的一個成員處的網(wǎng)絡(luò)會話的數(shù)目。
19.如權(quán)利要求18所述的系統(tǒng),包括用于響應(yīng)于用戶對非安全性設(shè)備群組的群組設(shè)備符號的選擇,顯示代表所述群組中的非安全性設(shè)備以及與所述群組相關(guān)聯(lián)的安全性設(shè)備的第二級圖的指令,所顯示的第二級圖包括多個非安全性設(shè)備符號和多個安全性設(shè)備符號,每個非安全性設(shè)備符號代表所述群組中的一個非安全性設(shè)備,每個安全性設(shè)備符號代表所述群組中的一個安全性設(shè)備;以及用于結(jié)合所述第二級圖顯示安全性事故信息的指令,對于非安全性設(shè)備符號,所述信息包括事故容量指示符,該事故容量指示符指示其源或目的地在所述非安全性設(shè)備處的網(wǎng)絡(luò)會話的數(shù)目。
20.如權(quán)利要求18所述的系統(tǒng),包括用于響應(yīng)于用戶對所顯示的圖中的用戶指定的設(shè)備符號的命令,顯示代表其源或目的地在與所述用戶指定的設(shè)備符號相對應(yīng)的設(shè)備處的網(wǎng)絡(luò)會話的數(shù)據(jù)的指令。
21.如權(quán)利要求20所述的系統(tǒng),包括用于響應(yīng)于一個或多個用戶命令從所顯示的數(shù)據(jù)中選擇網(wǎng)絡(luò)會話并且定義丟棄規(guī)則的指令,所述丟棄規(guī)則包括與所選擇的網(wǎng)絡(luò)會話相對應(yīng)的網(wǎng)絡(luò)條件集合;其中所述對安全性事件的處理包括過濾掉滿足所定義的丟棄規(guī)則的網(wǎng)絡(luò)會話。
22.如權(quán)利要求20所述的系統(tǒng),其中所述代表網(wǎng)絡(luò)會話的數(shù)據(jù)包括源和目的地標識信息、指示與所述網(wǎng)絡(luò)會話相對應(yīng)的事故的一種或多種類型的事件類型信息,以及指示報告與所述網(wǎng)絡(luò)會話相關(guān)聯(lián)的安全性事件的一個或多個安全性設(shè)備的安全性設(shè)備信息。
23.如權(quán)利要求18所述的系統(tǒng),其中所述對安全性事件的處理包括識別一起滿足預(yù)定的安全性事故識別規(guī)則群組中的安全性事故識別規(guī)則的網(wǎng)絡(luò)會話的群組,并且將作為任何識別出的網(wǎng)絡(luò)會話群組的成員的每個網(wǎng)絡(luò)會話識別為規(guī)則觸發(fā)網(wǎng)絡(luò)會話;其中每個事故容量指示符指示其源或目的地在與所述設(shè)備符號相對應(yīng)的設(shè)備處的規(guī)則觸發(fā)網(wǎng)絡(luò)會話的數(shù)目。
24.如權(quán)利要求23所述的系統(tǒng),其中所述對安全性事件的處理包括從所述規(guī)則觸發(fā)網(wǎng)絡(luò)會話中排除滿足丟棄規(guī)則集合中的任何丟棄規(guī)則的任何網(wǎng)絡(luò)會話,每個丟棄規(guī)則定義各自的條件集合。
25.一種用于結(jié)合計算機系統(tǒng)使用的計算機程序產(chǎn)品,該計算機程序產(chǎn)品包括計算機可讀存儲介質(zhì)和嵌入在其中的計算機程序機制,該計算機程序機制包括用于接收和處理安全性事件的指令,其中包括將所述安全性事件分組到網(wǎng)絡(luò)會話中,每個會話具有識別出的源和目的地;用于顯示代表網(wǎng)絡(luò)中的設(shè)備的圖的指令,所述設(shè)備包括安全性設(shè)備和非安全性設(shè)備,所顯示的圖包括多個個體設(shè)備符號和多個群組設(shè)備符號,每個個體設(shè)備符號代表所述網(wǎng)絡(luò)的一個安全性設(shè)備,每個群組設(shè)備符號代表所述網(wǎng)絡(luò)的一個非安全性設(shè)備群組;以及用于結(jié)合所述圖顯示安全性事故信息的指令,對于群組設(shè)備符號,所述信息包括事故容量指示符,該事故容量指示符指示其源或目的地在與所述群組設(shè)備符號相對應(yīng)的非安全性設(shè)備群組的一個成員處的網(wǎng)絡(luò)會話的數(shù)目。
26.如權(quán)利要求25所述的計算機程序產(chǎn)品,包括用于響應(yīng)于用戶對非安全性設(shè)備群組的群組設(shè)備符號的選擇,顯示代表所述群組中的非安全性設(shè)備以及與所述群組相關(guān)聯(lián)的安全性設(shè)備的第二級圖的指令,所顯示的第二級圖包括多個非安全性設(shè)備符號和多個安全性設(shè)備符號,每個非安全性設(shè)備符號代表所述群組中的一個非安全性設(shè)備,每個安全性設(shè)備符號代表所述群組中的一個安全性設(shè)備;以及用于結(jié)合所述第二級圖顯示安全性事故信息的指令,對于非安全性設(shè)備符號,所述信息包括事故容量指示符,該事故容量指示符指示其源或目的地在所述非安全性設(shè)備處的網(wǎng)絡(luò)會話的數(shù)目。
27.如權(quán)利要求25所述的計算機程序產(chǎn)品,包括用于響應(yīng)于用戶對所顯示的圖中的用戶指定的設(shè)備符號的命令,顯示代表其源或目的地在與所述用戶指定的設(shè)備符號相對應(yīng)的設(shè)備處的網(wǎng)絡(luò)會話的數(shù)據(jù)的指令。
28.如權(quán)利要求27所述的計算機程序產(chǎn)品,包括用于響應(yīng)于一個或多個用戶命令從所顯示的數(shù)據(jù)中選擇網(wǎng)絡(luò)會話并且定義丟棄規(guī)則的指令,所述丟棄規(guī)則包括與所選擇的網(wǎng)絡(luò)會話相對應(yīng)的網(wǎng)絡(luò)條件集合;其中所述對安全性事件的處理包括過濾掉滿足所定義的丟棄規(guī)則的網(wǎng)絡(luò)會話。
29.如權(quán)利要求27所述的計算機程序產(chǎn)品,其中所述代表網(wǎng)絡(luò)會話的數(shù)據(jù)包括源和目的地標識信息、指示與所述網(wǎng)絡(luò)會話相對應(yīng)的事故的一種或多種類型的事件類型信息,以及指示報告與所述網(wǎng)絡(luò)會話相關(guān)聯(lián)的安全性事件的一個或多個安全性設(shè)備的安全性設(shè)備信息。
30.如權(quán)利要求25所述的計算機程序產(chǎn)品,其中所述對安全性事件的處理包括識別一起滿足預(yù)定的安全性事故識別規(guī)則群組中的安全性事故識別規(guī)則的網(wǎng)絡(luò)會話的群組,并且將作為任何識別出的網(wǎng)絡(luò)會話群組的成員的每個網(wǎng)絡(luò)會話識別為規(guī)則觸發(fā)網(wǎng)絡(luò)會話;其中每個事故容量指示符指示其源或目的地在與所述設(shè)備符號相對應(yīng)的設(shè)備處的規(guī)則觸發(fā)網(wǎng)絡(luò)會話的數(shù)目。
31.如權(quán)利要求30所述的計算機程序產(chǎn)品,其中所述對安全性事件的處理包括從所述規(guī)則觸發(fā)網(wǎng)絡(luò)會話中排除滿足丟棄規(guī)則集合中的任何丟棄規(guī)則的任何網(wǎng)絡(luò)會話,每個丟棄規(guī)則定義各自的條件集合。
全文摘要
網(wǎng)絡(luò)安全性監(jiān)控系統(tǒng)將多個安全性事件分組到網(wǎng)絡(luò)會話中,根據(jù)預(yù)定網(wǎng)絡(luò)安全性事件相關(guān)規(guī)則集合使網(wǎng)絡(luò)會話相互關(guān)聯(lián),并且針對滿足網(wǎng)絡(luò)安全性事件相關(guān)規(guī)則之一的網(wǎng)絡(luò)會話生成安全性事故。然后該系統(tǒng)以直觀形式向系統(tǒng)的用戶提供網(wǎng)絡(luò)會話和安全性事故的信息。用戶不僅能夠獲知可能的網(wǎng)絡(luò)攻擊的細節(jié),還能夠直觀地創(chuàng)建新的安全性事件相關(guān)規(guī)則,其中包括用于丟棄特定類型的事件的丟棄規(guī)則。
文檔編號G06F15/16GK1829953SQ200480022035
公開日2006年9月6日 申請日期2004年9月3日 優(yōu)先權(quán)日2003年9月12日
發(fā)明者帕薩·巴塔卡婭, 艾敏·T·李, 阿吉·約瑟夫, 艾利·史蒂文斯, 迪瓦卡爾·納拉馬迪 申請人:普羅泰格網(wǎng)絡(luò)公司