用于模式發(fā)現(xiàn)的參數(shù)調(diào)節(jié)的制作方法
【專(zhuān)利摘要】對(duì)事件數(shù)據(jù)執(zhí)行的模式發(fā)現(xiàn)可以包括選擇用于模式發(fā)現(xiàn)的參數(shù)的初始集合。所述參數(shù)可以指定用于識(shí)別事件數(shù)據(jù)中的模式的條件���?;趨?shù)的初始集合來(lái)對(duì)事件數(shù)據(jù)執(zhí)行模式發(fā)現(xiàn)運(yùn)行,以及可以基于模式發(fā)現(xiàn)運(yùn)行的輸出來(lái)調(diào)節(jié)參數(shù)���。
【專(zhuān)利說(shuō)明】用于模式發(fā)現(xiàn)的參數(shù)調(diào)節(jié)
【背景技術(shù)】
[0001]模式檢測(cè)通常旨在找到輸入數(shù)據(jù)集中的先前未知的模式��。模式是貫穿檢查時(shí)間段的持續(xù)時(shí)間進(jìn)行重復(fù)的數(shù)據(jù)集的元素的關(guān)聯(lián)���。這與模式匹配方法相反,所述模式匹配方法例如使用正則表達(dá)式來(lái)在具有預(yù)先存在的模式的輸入中尋找匹配��。
[0002]模式檢測(cè)方法需要大量的資源��,例如��,計(jì)算資源和存儲(chǔ)器����。當(dāng)這些資源缺乏或以其他方式不可用時(shí),模式檢測(cè)運(yùn)行可能無(wú)法完成對(duì)輸入數(shù)據(jù)的分析�����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0003]可以通過(guò)參考附圖而更好理解實(shí)施例并且使其特征顯而易見(jiàn)�����。附圖圖示了在此描述的實(shí)施例的示例。
[0004]圖1示出了網(wǎng)絡(luò)安全系統(tǒng)���。
[0005]圖2示出了模式發(fā)現(xiàn)模塊��。
[0006]圖3示出了用于參數(shù)選擇的流程圖����。
[0007]圖4示出了另一流程圖�����,其示出了用于參數(shù)選擇的附加細(xì)節(jié)的�����。
[0008]圖5示出了實(shí)施例可以在其中被實(shí)現(xiàn)的計(jì)算機(jī)系統(tǒng)�����。
【具體實(shí)施方式】
[0009]用于網(wǎng)絡(luò)的安全信息/事件管理(SM或SIEM)可以包括從反映網(wǎng)絡(luò)活動(dòng)和/或設(shè)備的操作的網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備收集數(shù)據(jù)以及分析所述數(shù)據(jù)以增強(qiáng)安全性�。網(wǎng)絡(luò)設(shè)備的示例可以包括防火墻���、入侵檢測(cè)系統(tǒng)����、服務(wù)器、工作站�、個(gè)人計(jì)算機(jī)等。數(shù)據(jù)可以被分析以檢測(cè)模式�����,所述模式可以指示網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備上的攻擊或異常�����。所檢測(cè)的模式可以被用于例如定位數(shù)據(jù)中的那些模式���。例如���,所述模式可以指示試圖獲得對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)的訪(fǎng)問(wèn)并且安裝惡意軟件的蠕蟲(chóng)或另一類(lèi)型的計(jì)算機(jī)病毒的活動(dòng)。
[0010]從網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備收集的數(shù)據(jù)是針對(duì)事件的�。事件可以是能夠被監(jiān)控和分析的任何活動(dòng)。針對(duì)事件的所捕獲的數(shù)據(jù)被稱(chēng)為事件數(shù)據(jù)����。所捕獲的事件數(shù)據(jù)的分析可以被執(zhí)行以確定所述事件是否與威脅或某一其他條件相關(guān)聯(lián)��。與事件相關(guān)聯(lián)的活動(dòng)的示例可以包括登錄�����、注銷(xiāo)���、通過(guò)網(wǎng)絡(luò)發(fā)送數(shù)據(jù)、發(fā)送電子郵件���、訪(fǎng)問(wèn)應(yīng)用����、讀取或?qū)懭霐?shù)據(jù)�����、端口掃描����、安裝軟件等����?�?梢詮南?��、由網(wǎng)絡(luò)設(shè)備生成的日志文件條目、或從其他源收集事件數(shù)據(jù)���。安全系統(tǒng)還可以生成事件數(shù)據(jù)��,諸如相關(guān)事件和審計(jì)事件�����。在一些實(shí)例中����,可以生成每秒一千個(gè)事件��。這可以合計(jì)每天一億個(gè)事件或每月三十億個(gè)事件���。
[0011]根據(jù)實(shí)施例���,字段和參數(shù)可以被選擇用于模式發(fā)現(xiàn)。事件數(shù)據(jù)中的事件可以具有許多屬性?�?梢愿鶕?jù)與事件數(shù)據(jù)中的事件的屬性相關(guān)聯(lián)的字段來(lái)存儲(chǔ)事件數(shù)據(jù)���。例如���,字段是描述事件數(shù)據(jù)中的事件的屬性。字段的示例包括事件的日期/時(shí)間��、事件名稱(chēng)�����、事件類(lèi)另Ij����、事件ID、源地址����、源MAC地址、目的地址����、目的MAC地址、用戶(hù)ID、用戶(hù)特權(quán)�、設(shè)備客戶(hù)字符串等���。事件數(shù)據(jù)可以被存儲(chǔ)在由字段組成的表中�。在一些情況下���,反映不同事件屬性的數(shù)百個(gè)字段可以被用于存儲(chǔ)事件數(shù)據(jù)����。
[0012]對(duì)于模式發(fā)現(xiàn)而言���,一些字段被選擇�。例如��,所選擇的字段可以包括來(lái)自所述表的字段的集合�����。所述集合中字段的數(shù)量可以包括來(lái)自所述表的字段中的一個(gè)或多個(gè)����。被選擇用于所述集合的字段可以基于各種統(tǒng)計(jì)信息來(lái)選擇,并且可以被存儲(chǔ)在模式發(fā)現(xiàn)配置文件(profile)中。模式發(fā)現(xiàn)配置文件是用于發(fā)現(xiàn)事件數(shù)據(jù)中的模式的任何數(shù)據(jù)�。模式發(fā)現(xiàn)配置文件可以包括字段的集合、參數(shù)和用于模式發(fā)現(xiàn)的其他信息�。
[0013]除了包括字段外,參數(shù)可以被用于模式發(fā)現(xiàn)���。參數(shù)可以被包括在用于模式發(fā)現(xiàn)的模式發(fā)現(xiàn)配置文件中��。參考可以指定用于模式發(fā)現(xiàn)配置文件中的字段與事件數(shù)據(jù)的匹配的條件以檢測(cè)模式�。此外��,可以被用于調(diào)節(jié)模式數(shù)量的參數(shù)被檢測(cè)����。參數(shù)的一個(gè)示例是作為活動(dòng)數(shù)量的模式長(zhǎng)度。模式長(zhǎng)度參數(shù)可以表示針對(duì)將被認(rèn)為是模式的活動(dòng)而被執(zhí)行的不同活動(dòng)的最小數(shù)量�,所述不同活動(dòng)。參數(shù)的另一示例是可重復(fù)性參數(shù)����,其可以表示不同活動(dòng)的最小次數(shù),所述不同活動(dòng)被重復(fù)以使它們被認(rèn)為是模式����。在一個(gè)示例中����,可重復(fù)性與兩個(gè)字段相關(guān)聯(lián)�����。例如����,可重復(fù)性可以被表示為活動(dòng)跨越其被重復(fù)的源字段和目標(biāo)字段的不同組合����。源IP地址和目標(biāo)IP地址的不同組合的最小數(shù)量是可重復(fù)性參數(shù)的示例。這些參數(shù)可以被調(diào)節(jié)直到預(yù)定量的匹配模式被識(shí)別����。
[0014]根據(jù)實(shí)施例,參數(shù)的選擇是適應(yīng)性的����。例如,參數(shù)可以被調(diào)節(jié)以改變被識(shí)別的匹配模式的數(shù)量�。例如,如果系統(tǒng)資源(諸如�����,存儲(chǔ)器、CPU周期等)正被耗盡�,則參數(shù)可以被調(diào)節(jié)以減少被考慮用于模式發(fā)現(xiàn)的事件的數(shù)量。在另一示例中��,如果太少或太多的模式被識(shí)別��,則參數(shù)可以被調(diào)節(jié)以增加或減少所識(shí)別模式的數(shù)量����。
[0015]模式是多個(gè)不同活動(dòng)的序列。在模式的示例中����,活動(dòng)的序列包括:掃描端口、識(shí)別開(kāi)放端口�����、把具有特定有效載荷的分組發(fā)送到端口���、登錄到計(jì)算機(jī)系統(tǒng)以及在計(jì)算機(jī)系統(tǒng)上的特定位置中存儲(chǔ)程序��。
[0016]此外�����,識(shí)別被重復(fù)的模式���。例如���,如果多個(gè)不同的活動(dòng)被重復(fù),則其可以被認(rèn)為是重復(fù)的模式��。此外��,模式可以處于兩個(gè)計(jì)算機(jī)系統(tǒng)之間��。因此��,所述模式可以包括與不同計(jì)算機(jī)系統(tǒng)相關(guān)聯(lián)的源字段和目標(biāo)字段�����。在一個(gè)示例中�,源字段和目標(biāo)字段是計(jì)算機(jī)系統(tǒng)的互聯(lián)網(wǎng)協(xié)議(IP)地址����。源字段和目標(biāo)字段描述計(jì)算機(jī)系統(tǒng)之間的事務(wù)����。模式活動(dòng)還可以由除了或代替所述源字段和目標(biāo)字段之一的其他字段分組在一起���。在一個(gè)示例中��,可以跨越用戶(hù)ID來(lái)分析模式活動(dòng)以識(shí)別由多個(gè)用戶(hù)重復(fù)的活動(dòng)的序列或集合�。在另一示例中���,可以被跨越信用卡號(hào)碼或客戶(hù)來(lái)分析模式活動(dòng)以識(shí)別跨越多個(gè)信用卡賬戶(hù)的活動(dòng)的序列或隹A
口 O
[0017]除了或代替所述源字段和目標(biāo)字段之一��,其他事件字段可以被包括在模式發(fā)現(xiàn)配置文件中����。在一個(gè)示例中���,字段被用于識(shí)別具體模式并且被稱(chēng)為模式識(shí)別字段���。在一個(gè)示例中,模式識(shí)別字段是事件名稱(chēng)或事件類(lèi)別����。在另一示例中�����,它可以是信用卡交易量���。在又一示例中,它可以是用以檢測(cè)應(yīng)用URL訪(fǎng)問(wèn)模式的事件請(qǐng)求URL字段�����。
[0018]針對(duì)病毒的模式的一個(gè)簡(jiǎn)化不例如下����。一個(gè)事件是端口掃描�。端口的掃描發(fā)生在源機(jī)器上。下一個(gè)事件是發(fā)送分組到目標(biāo)機(jī)器��。下一個(gè)事件可以是登錄到目標(biāo)機(jī)器�。下一個(gè)事件可以是在目標(biāo)機(jī)器處的端口掃描以及其他事件的重復(fù)。以這種方式���,病毒可以復(fù)制�����。通過(guò)檢測(cè)作為模式的重復(fù)的事件�����,病毒可以被檢測(cè)��。例如�,用于模式發(fā)現(xiàn)的所選擇的字段可以是事件名稱(chēng),以及可重復(fù)性參數(shù)是4��,并且活動(dòng)參數(shù)的數(shù)量是3����。被檢測(cè)的獨(dú)特事件具有端口掃描、分組傳送以及在目標(biāo)/目的機(jī)器上登錄的事件名稱(chēng)�。事件的數(shù)量是3。這個(gè)模式包括3個(gè)不同的事件(例如�,端口掃描、分組傳送和在目標(biāo)/目的機(jī)器上登錄)���,其滿(mǎn)足活動(dòng)參數(shù)的數(shù)量��。如果這個(gè)模式被檢測(cè)至少4次(例如���,在模式發(fā)現(xiàn)運(yùn)行期間)�����,則其滿(mǎn)足可重復(fù)性參數(shù)�,并且其被認(rèn)為是模式匹配����。通知消息或另一類(lèi)型的警報(bào)可以被生成。
[0019]多個(gè)模式發(fā)現(xiàn)配置文件可以被創(chuàng)建以檢測(cè)各種不同的參數(shù)��,如果模式被檢測(cè)�,則動(dòng)作可以被執(zhí)行。例如��,如果模式表示對(duì)網(wǎng)絡(luò)安全的攻擊�����,則通知�����、警報(bào)或其他動(dòng)作可以被執(zhí)行以阻止攻擊����。其他動(dòng)作可以包括顯示模式中的事件以便由網(wǎng)絡(luò)管理員分析。
[0020]圖1是根據(jù)實(shí)施例的網(wǎng)絡(luò)安全系統(tǒng)100的框圖�����。系統(tǒng)100包括代理12a_n���、管理器14和控制臺(tái)16����,其可以包括基于瀏覽器的版本�����。在一些實(shí)施例中�����,代理��、管理器和/或控制臺(tái)可以被組合在單個(gè)平臺(tái)中或分布在兩個(gè)�、三個(gè)或更多的平臺(tái)中(諸如,在所圖示的示例中)���。當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)增長(zhǎng)時(shí)����,這個(gè)多層架構(gòu)的使用支持可縮放性。
[0021]代理12a_n包括機(jī)器可讀指令�����,其提供來(lái)自各種網(wǎng)絡(luò)安全設(shè)備和/或應(yīng)用的高效��、實(shí)時(shí)(或近乎實(shí)時(shí))的本地事件數(shù)據(jù)捕獲和過(guò)濾�。安全事件的典型源是常見(jiàn)的網(wǎng)絡(luò)安全設(shè)備,諸如��,防火墻�、入侵檢測(cè)系統(tǒng)和操作系統(tǒng)日志。代理12a-n從生成事件日志或消息的任何源收集事件��,并且可以在本地設(shè)備處����、在網(wǎng)絡(luò)內(nèi)的聯(lián)合點(diǎn)處、和/或通過(guò)簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議(SNMP )陷阱進(jìn)行操作�。
[0022]代理12a_n是通過(guò)人工和自動(dòng)化過(guò)程二者以及經(jīng)由相關(guān)聯(lián)的配置文件可配置的�。每個(gè)代理12可以包括歸一化部件、時(shí)間修正部件、聚集部件����、批處理部件、解算器部件����、傳輸部件、和/或附加部件����。這些部件可以通過(guò)配置文件中的適當(dāng)命令被激活和/或去激活。
[0023]管理器14可以由基于服務(wù)器的部件組成�����,所述基于服務(wù)器的部件通過(guò)采用規(guī)則引擎18和集中化事件數(shù)據(jù)庫(kù)20 (其可以包括由存儲(chǔ)針對(duì)所接收事件的事件數(shù)據(jù)的字段組成的事件表)來(lái)將從代理接收的事件進(jìn)一步聯(lián)合�����、過(guò)濾以及互相關(guān)����。數(shù)據(jù)庫(kù)20還可以存儲(chǔ)由管理器14生成的模式發(fā)現(xiàn)配置文件。管理器14的一個(gè)作用是捕獲和存儲(chǔ)多有的實(shí)時(shí)和歷史事件數(shù)據(jù)�,以構(gòu)建(經(jīng)由數(shù)據(jù)庫(kù)管理器22)完整的安全活動(dòng)畫(huà)面��。管理器14還提供集中化的管理��、通知(通過(guò)至少一個(gè)通知器24)����,以及報(bào)告���,以及案例管理工作流程�。管理器14可以被部署在任何計(jì)算機(jī)硬件平臺(tái)上�����,并且可以使用數(shù)據(jù)庫(kù)管理系統(tǒng)來(lái)實(shí)現(xiàn)事件數(shù)據(jù)存儲(chǔ)部件���。管理器14和代理12a-n之間的通信可以是雙向的(例如���,以允許管理器14把命令傳送到托管代理12a-n的平臺(tái))并且是加密的。管理器14可以充當(dāng)用于多個(gè)代理12a_n的集中器�,并且可以把信息轉(zhuǎn)發(fā)給(例如,被部署在公司總部的)其他管理器����。
[0024]管理器14還包括事件管理器26�,其接收由代理12a_n傳送的事件數(shù)據(jù)消息����。事件管理器26還負(fù)責(zé)生成事件數(shù)據(jù)消息���,諸如����,相關(guān)事件和審計(jì)事件��。在與代理12a-n的雙向通信被實(shí)現(xiàn)的情況下�����,事件管理器26可以被用于把消息傳送到代理12a-n�����。如果加密被用于代理-管理器通信�����,則事件管理器26負(fù)責(zé)解密從代理12a-n接收的消息�����,并且加密傳送到代理12a-n的任何消息。
[0025]控制臺(tái)16是允許安全專(zhuān)業(yè)人員執(zhí)行每天的管理和操作任務(wù)(諸如�,事件監(jiān)控、規(guī)則創(chuàng)作����、事故調(diào)查和報(bào)告)的應(yīng)用。訪(fǎng)問(wèn)控制列表允許多個(gè)安全專(zhuān)業(yè)人員使用相同的系統(tǒng)和事件/趨勢(shì)數(shù)據(jù)庫(kù)�,其中每一個(gè)具有適于其職責(zé)的其自己的視圖、相關(guān)規(guī)則�、警報(bào)、報(bào)告和知識(shí)庫(kù)����。單個(gè)管理器14可以支持多個(gè)控制臺(tái)16。
[0026]控制臺(tái)16可以是基于瀏覽器的�����,并且可以被用于提供對(duì)安全事件����、知識(shí)庫(kù)條目、報(bào)告��、通知和案例的訪(fǎng)問(wèn)。管理器14可以包括經(jīng)由在個(gè)人或手持計(jì)算機(jī)上托管的網(wǎng)絡(luò)瀏覽器可訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)器部件(其取代控制臺(tái)16)���,以提供控制臺(tái)16的功能中的一些或全部��。瀏覽器訪(fǎng)問(wèn)對(duì)于遠(yuǎn)離控制臺(tái)16的安全專(zhuān)業(yè)人員以及對(duì)于兼任的用戶(hù)是特別有用的��。控制臺(tái)16和管理器14之間的通信是雙向的�����,并且可以被加密��。
[0027]通過(guò)以上所描述的架構(gòu)��,可以支持集中化或分散化的環(huán)境��。這是有用的�,因?yàn)榻M織可能想要實(shí)現(xiàn)系統(tǒng)100的單個(gè)實(shí)例,并且使用訪(fǎng)問(wèn)控制列表來(lái)劃分用戶(hù)����。替代地,組織可以選擇來(lái)部署單獨(dú)的系統(tǒng)100以用于多個(gè)組中的每一個(gè)���,并且聯(lián)合在“主控”級(jí)下的結(jié)果�。
[0028]網(wǎng)絡(luò)安全系統(tǒng)100還包括模式處理能力。管理器14包括模式發(fā)現(xiàn)模塊30���。模式發(fā)現(xiàn)模塊30接收事件的集合�,所述事件諸如是經(jīng)由事件管理器26來(lái)自至少一個(gè)代理12a-n的事件�����、經(jīng)由數(shù)據(jù)庫(kù)管理器22來(lái)自事件數(shù)據(jù)庫(kù)20的事件�、或來(lái)自事件管理器26的事件��。
[0029]在操作中���,代理12a_n可以提供事件和/或聚集數(shù)據(jù)�����。在一個(gè)示例中���,代理12a_n提供事件�,所述事件由事件管理器26在事件流中接收,并且被傳遞到規(guī)則引擎18和模式發(fā)現(xiàn)模塊30以用于處理��。事件流是事件的連續(xù)流程��。從代理12a-n接收的或由管理器14生成的事件數(shù)據(jù)可以經(jīng)由數(shù)據(jù)庫(kù)管理器22而被存儲(chǔ)在數(shù)據(jù)庫(kù)20的事件表中�����。
[0030]模式發(fā)現(xiàn)模塊30生成模式發(fā)現(xiàn)配置文件�����,其可以被存儲(chǔ)在事件數(shù)據(jù)庫(kù)20中����。模式發(fā)現(xiàn)配置文件可以包括所選擇的字段和參數(shù)以用于識(shí)別事件數(shù)據(jù)中的模式����。下面描述的方法描述了可以被用于模式發(fā)現(xiàn)配置文件中的調(diào)節(jié)參數(shù)。模式發(fā)現(xiàn)配置文件被用于檢測(cè)事件數(shù)據(jù)庫(kù)20中的多個(gè)事件��,其滿(mǎn)足在模式發(fā)現(xiàn)配置文件中描述的標(biāo)準(zhǔn)���。被選擇用于與在模式發(fā)現(xiàn)配置文件中定義的標(biāo)準(zhǔn)比較的事件可以基于可以由用戶(hù)或另一過(guò)程指定的范圍或類(lèi)別����。范圍例如可以包括用于事件的時(shí)間范圍,諸如���,最后5分鐘內(nèi)或最后24小時(shí)內(nèi)的事件�����。由參數(shù)指定的其他過(guò)濾條件可以被應(yīng)用于識(shí)別事件的集合以對(duì)照模式發(fā)現(xiàn)配置文件進(jìn)行比較�。數(shù)據(jù)庫(kù)管理器22可以執(zhí)行SQL命令以將來(lái)自事件數(shù)據(jù)庫(kù)20的事件數(shù)據(jù)與在模式發(fā)現(xiàn)配置文件中定義的標(biāo)準(zhǔn)相比較��。
[0031]模式發(fā)現(xiàn)模塊30還可以基于模式發(fā)現(xiàn)運(yùn)行的輸出來(lái)調(diào)節(jié)參數(shù)���。模式發(fā)現(xiàn)運(yùn)行是這樣的過(guò)程�����,其分析事件數(shù)據(jù)以確定事件數(shù)據(jù)是否具有滿(mǎn)足標(biāo)準(zhǔn)的模式�,該標(biāo)準(zhǔn)由可以在模式發(fā)現(xiàn)配置文件中指定的字段和參數(shù)所指定�。事件數(shù)據(jù)的分析可以包括確定事件數(shù)據(jù)中的事件是否滿(mǎn)足條件,該條件由與模式發(fā)現(xiàn)配置文件中的字段相關(guān)聯(lián)的參數(shù)所指定�����。模式發(fā)現(xiàn)模塊30可以包括用以選擇用于模式發(fā)現(xiàn)配置文件的字段的字段選擇模塊31和用于檢測(cè)滿(mǎn)足模式發(fā)現(xiàn)配置文件的標(biāo)準(zhǔn)的模式的模式識(shí)別器引擎32。模式發(fā)現(xiàn)模塊30還可以包括用于調(diào)節(jié)參數(shù)的參數(shù)調(diào)諧模塊33��。參考圖2進(jìn)一步詳細(xì)地描述字段選擇模塊31��、模式識(shí)別器引擎32和參數(shù)調(diào)諧模塊33���。
[0032]如果模式被檢測(cè)到��,則通知器24可以生成通知(例如���,消息、警報(bào)等)��。此外����,針對(duì)所檢測(cè)模式的事件數(shù)據(jù)可以被顯示和分析����。規(guī)則引擎18可以包括用于經(jīng)由數(shù)據(jù)庫(kù)管理器22調(diào)用模式檢測(cè)的規(guī)則,諸如描述何時(shí)進(jìn)行模式檢測(cè)或誰(shuí)可以查看模式檢測(cè)結(jié)果的規(guī)則�����。
[0033]圖2示出了包括字段選擇模塊31、模式識(shí)別器引擎32以及參數(shù)調(diào)諧模塊33的模式發(fā)現(xiàn)模塊30��。字段選擇模塊31分析事件統(tǒng)計(jì)信息以選擇用于模式發(fā)現(xiàn)配置文件的字段���。事件統(tǒng)計(jì)信息可以包括用于數(shù)據(jù)庫(kù)中各種字段的基數(shù)性和重復(fù)性�?�;鶖?shù)性是集合中獨(dú)特項(xiàng)目的數(shù)量��。具有較高基數(shù)性的字段可以變?yōu)橛糜诮壎ㄓ苫顒?dòng)序列組成的事務(wù)的事務(wù)字段�����。
[0034]重復(fù)性是字段中的值被重復(fù)的次數(shù)�。具有高基數(shù)性的字段可以幫助實(shí)現(xiàn)高的重復(fù)性。例如�,假設(shè)網(wǎng)絡(luò)中僅存在兩個(gè)計(jì)算機(jī)系統(tǒng),并且僅這些計(jì)算機(jī)系統(tǒng)正在報(bào)告作為事件的活動(dòng)���。僅存在兩個(gè)IP地址����,因此如果源IP地址或目標(biāo)IP地址被選擇為事務(wù)字段���,則存在不太多的重復(fù)行為�����。然而��,如果存在十個(gè)不同的計(jì)算機(jī)系統(tǒng)集合��,則針對(duì)活動(dòng)序列的更多的重復(fù)性可能被檢測(cè)到�,因?yàn)榇嬖谀軌蛘宫F(xiàn)活動(dòng)序列的源IP地址和目標(biāo)IP地址的更加多的組合。
[0035]模式識(shí)別器引擎32執(zhí)行模式發(fā)現(xiàn)運(yùn)行以將事件與在模式發(fā)現(xiàn)配置文件中定義的標(biāo)準(zhǔn)進(jìn)行比較����,從而識(shí)別與所述模式發(fā)現(xiàn)配置文件匹配的模式。例如����,模式識(shí)別器引擎32可以從字段選擇模塊31接收模式發(fā)現(xiàn)配置文件,或從事件數(shù)據(jù)庫(kù)20接收先前存儲(chǔ)的模式發(fā)現(xiàn)配置文件��。匹配可以包括表示滿(mǎn)足在模式發(fā)現(xiàn)配置文件中指定的字段和參數(shù)的標(biāo)準(zhǔn)的活動(dòng)的序列的事件���。與模式發(fā)現(xiàn)配置文件匹配的每個(gè)實(shí)例是模式。
[0036]在將事件與模式發(fā)現(xiàn)配置文件比較之前�,事件可以被過(guò)濾�����。例如����,可以響應(yīng)于查詢(xún)從事件數(shù)據(jù)庫(kù)20接收與預(yù)定標(biāo)準(zhǔn)匹配的事件�,諸如范圍內(nèi)或類(lèi)別中的事件。將這些事件在模式發(fā)現(xiàn)運(yùn)行期間與發(fā)現(xiàn)配置文件中定義的標(biāo)準(zhǔn)進(jìn)行比較以檢測(cè)匹配�。
[0037]參數(shù)調(diào)諧模塊33基于模式發(fā)現(xiàn)運(yùn)行的輸出來(lái)調(diào)節(jié)參數(shù)。例如�����,模式發(fā)現(xiàn)運(yùn)行的輸出可以包括被識(shí)別與模式發(fā)現(xiàn)配置文件匹配的模式���。如果被識(shí)別的模式的數(shù)量不是如由用戶(hù)或由系統(tǒng)本身所期望的(諸如�����,太少或太多)��,則模式發(fā)現(xiàn)配置文件中的一個(gè)或多個(gè)參數(shù)可以被調(diào)節(jié)��,因此期望數(shù)量的模式被識(shí)別���。下面描述調(diào)節(jié)參數(shù)的示例���。
[0038]圖3圖示了用于調(diào)節(jié)用于模式發(fā)現(xiàn)的參數(shù)的方法300的示例。參數(shù)和字段可以被選擇并且被結(jié)合到模式發(fā)現(xiàn)配置文件中�����,并且被存儲(chǔ)在圖1中所示的事件數(shù)據(jù)庫(kù)20中��。方法300可以由模式發(fā)現(xiàn)模塊30或由系統(tǒng)中除圖1中所示之外的其他模塊來(lái)執(zhí)行����。此外,方法300可以通過(guò)執(zhí)行存儲(chǔ)在數(shù)據(jù)存儲(chǔ)設(shè)備上的機(jī)器可讀指令來(lái)實(shí)施��。
[0039]在301處����,用于模式發(fā)現(xiàn)的初始參數(shù)被確定。參數(shù)的示例可以包括模式的長(zhǎng)度�����,其可以識(shí)別需要針對(duì)將被認(rèn)為是模式的活動(dòng)而被執(zhí)行的不同活動(dòng)(例如�,事件)的最小和/或最大數(shù)量,可重復(fù)性參數(shù)�����,其指示不同活動(dòng)被重復(fù)的最小和/或最大次數(shù)(可以包括跨越多個(gè)源和目的組合的模式序列的重復(fù)性)��,持續(xù)時(shí)間�����,其是用于正在考慮用于模式匹配的事件的持續(xù)時(shí)間(例如�����,15分鐘�����、I小時(shí)�����、半天����、2天等)��,從模式中的第一事件到最后的事件的最小和/或最大時(shí)間(例如��,在模式上已逝去的時(shí)間)���,等等。
[0040]被確定的初始參數(shù)可以包括參數(shù)中的一個(gè)或多個(gè)及其值的選擇��。在一個(gè)示例中�����,通過(guò)分析用于模式發(fā)現(xiàn)的先前運(yùn)行中的參數(shù)并且分析所述運(yùn)行的模式匹配結(jié)果來(lái)確定初始參數(shù)�。用戶(hù)可以選擇初始參數(shù)及其值。
[0041]參數(shù)可以與用于從事件數(shù)據(jù)識(shí)別模式的條件相關(guān)聯(lián)�,并且可以與被選擇用于識(shí)別所述模式的字段相關(guān)聯(lián)。例如����,如果事件名稱(chēng)是選擇的字段,并且模式的長(zhǎng)度是初始參數(shù)����,則將模式從事件數(shù)據(jù)識(shí)別(如果其包括具有不同事件名稱(chēng)的事件的集合,并且不同事件名稱(chēng)的數(shù)量至少與模式長(zhǎng)度參數(shù)一樣大)。
[0042]字段可以被選擇用于模式發(fā)現(xiàn)運(yùn)行��。在一個(gè)示例中�����,字段被預(yù)先確定�����。在另一示例中�����,基于針對(duì)每個(gè)字段的統(tǒng)計(jì)信息來(lái)識(shí)別字段���。基數(shù)性和重復(fù)性是可以被用于選擇字段的統(tǒng)計(jì)信息的示例�。字段的基數(shù)性是字段中的獨(dú)特項(xiàng)目(例如,值)的數(shù)量���。字段的重復(fù)性是字段中的值被重復(fù)的次數(shù)��。例如���,字段可以是事件名稱(chēng)�,并且這個(gè)字段的重復(fù)性確定字段中每個(gè)獨(dú)特事件名稱(chēng)被重復(fù)的次數(shù)����。事件名稱(chēng)可以一直描述針對(duì)所述事件的活動(dòng),并且重復(fù)性可以識(shí)別每個(gè)活動(dòng)被重復(fù)的次數(shù)���。一些字段可以具有空值���,并且當(dāng)確定每個(gè)字段的基數(shù)性和重復(fù)性時(shí),所述空值不被包括��。針對(duì)字段的基數(shù)性和重復(fù)性統(tǒng)計(jì)信息可以通過(guò)查詢(xún)事件數(shù)據(jù)庫(kù)20來(lái)確定����。
[0043]在302處,基于初始參數(shù)對(duì)事件數(shù)據(jù)執(zhí)行模式發(fā)現(xiàn)運(yùn)行�。模式發(fā)現(xiàn)運(yùn)行可以包括分析事件數(shù)據(jù)以確定其是否滿(mǎn)足由發(fā)現(xiàn)配置文件中的字段和初始參數(shù)所指定的條件。模式發(fā)現(xiàn)運(yùn)行的輸出可以包括滿(mǎn)足所述條件的模式的結(jié)果集合��。結(jié)果集合可以包括無(wú)模式��、一個(gè)模式或多個(gè)模式�。在一些情況下����,模式發(fā)現(xiàn)運(yùn)行可能失敗��,并且然后所述結(jié)果集合為零或空���。模式發(fā)現(xiàn)運(yùn)行的失敗可以包括模式發(fā)現(xiàn)運(yùn)行無(wú)法在預(yù)定時(shí)間段內(nèi)完成執(zhí)行����。在一些情況下�,所述失敗可能因用以執(zhí)行所述運(yùn)行的資源的缺少所引起����。
[0044]在303處,可以基于模式發(fā)現(xiàn)運(yùn)行的輸出來(lái)調(diào)節(jié)來(lái)自初始參數(shù)的參數(shù)��。輸出可以包括模式的結(jié)果集合��。輸出可以被分析以確定所述結(jié)果集合是否滿(mǎn)足一個(gè)或多個(gè)閾值和/或所述模式發(fā)現(xiàn)運(yùn)行是否被完成��。例如�,可以將結(jié)果集合中的模式的數(shù)量與最大和/或最小閾值進(jìn)行比較。如果太多的模式在結(jié)果集合中(例如��,結(jié)果集合中的模式的數(shù)量超過(guò)了最大閾值),則參數(shù)可以被調(diào)節(jié)以生成較少的匹配���。例如�,重復(fù)性參數(shù)被增加���,或者模式長(zhǎng)度參數(shù)被增加�����,或持續(xù)時(shí)間被縮短�。如果太少的參數(shù)在結(jié)果集合中(例如�,結(jié)果集合中的模式的數(shù)量少于最小閾值),則參數(shù)可以被調(diào)節(jié)以生成更多的匹配����。例如,重復(fù)性參數(shù)被減少����,或者模式長(zhǎng)度參數(shù)被減少,或持續(xù)時(shí)間被增加���。此外���,如果模式發(fā)現(xiàn)運(yùn)行失敗或如果模式發(fā)現(xiàn)運(yùn)行的執(zhí)行將超過(guò)預(yù)定的時(shí)間長(zhǎng)度�����,則沒(méi)有結(jié)果集合可以被生成�,并且參數(shù)可以被調(diào)節(jié)以減少用以運(yùn)行模式發(fā)現(xiàn)的系統(tǒng)資源���。
[0045]結(jié)果集合可以在將從所述模式發(fā)現(xiàn)運(yùn)行被識(shí)別的期望模式的范圍內(nèi)����。在這些情況下�,參數(shù)可以不被調(diào)節(jié)��。替代地����,參數(shù)和字段可以被修改以確定新的發(fā)現(xiàn)配置文件來(lái)識(shí)別不同的模式。
[0046]如果一個(gè)或多個(gè)參數(shù)被調(diào)節(jié)���,則(諸如在320處所執(zhí)行的)發(fā)現(xiàn)運(yùn)行可以被重復(fù)����,但利用調(diào)節(jié)后的參數(shù)并且也利用未被調(diào)節(jié)的參數(shù)。然后��,輸出被再次分析并且參數(shù)可以被再次調(diào)節(jié)直到識(shí)別了模式的期望結(jié)果集合�����。
[0047]圖4圖示了用于調(diào)節(jié)用于模式發(fā)現(xiàn)的參數(shù)的方法400的示例���。方法400可以被執(zhí)行用于圖3中所示的303��。方法400可以由模式發(fā)現(xiàn)模塊30或由系統(tǒng)中除圖1中所示的以外的其他模塊來(lái)執(zhí)行�。此外��,方法400可以通過(guò)執(zhí)行存儲(chǔ)在數(shù)據(jù)存儲(chǔ)設(shè)備上的機(jī)器可讀指令來(lái)實(shí)施�。
[0048]在401處,做出關(guān)于模式發(fā)現(xiàn)運(yùn)行是否失敗的確定����。失敗可以包括無(wú)法在預(yù)定的時(shí)間段內(nèi)完成。如果模式發(fā)現(xiàn)運(yùn)行失敗���,則在402處����,參數(shù)可以被調(diào)節(jié)以減少用以執(zhí)行后續(xù)模式發(fā)現(xiàn)運(yùn)行的系統(tǒng)資源。例如���,參數(shù)可以被調(diào)節(jié)以減少將被考慮用于確定事件的序列是否為模式的不同事件的不同組合的數(shù)量�。在一個(gè)示例中�����,持續(xù)時(shí)間參數(shù)被減少���,因此被分析用于模式檢測(cè)的事件的總數(shù)量被減少����。
[0049]在403處�����,做出關(guān)于從模式發(fā)現(xiàn)運(yùn)行所識(shí)別的模式的數(shù)量是否超過(guò)閾值的確定(例如����,檢測(cè)到太多的模式)����。這個(gè)閾值是最大閾值�,并且可以由用戶(hù)設(shè)置�,并且可以基于一個(gè)或多個(gè)因素,諸如檢查全部參數(shù)的用戶(hù)能力�、執(zhí)行模式發(fā)現(xiàn)運(yùn)行所花費(fèi)的時(shí)間等。如果模式超過(guò)最大閾值����,則在404處,調(diào)節(jié)參數(shù)中的一個(gè)或多個(gè)�。例如,參數(shù)被限制為減少所發(fā)現(xiàn)的模式的數(shù)量�。例如,最小重復(fù)性值被增加����、最小模式長(zhǎng)度值被增加、被考慮的事件的持續(xù)時(shí)間被縮短等��。
[0050]在405處����,做出關(guān)于模式的數(shù)量是否低于閾值的確定。這個(gè)閾值是最小閾值���,并且可以由用戶(hù)設(shè)置��。如果模式的數(shù)量低于最小閾值���,則在406處�,擴(kuò)展參數(shù)中的一個(gè)或多個(gè)�。參數(shù)被擴(kuò)展為增加所發(fā)現(xiàn)的模式的數(shù)量。例如��,最小重復(fù)性值被減少�、最小模式長(zhǎng)度值被減少、被考慮的事件的持續(xù)時(shí)間被增加等���。
[0051]401,403和405可以按照與圖4中所示的不同的次序來(lái)執(zhí)行���。
[0052]圖5圖示了實(shí)施例可以在其中被實(shí)現(xiàn)的計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)系統(tǒng)500可以是用于圖1中所示系統(tǒng)100或系統(tǒng)100中的一個(gè)或多個(gè)部件的平臺(tái)�。計(jì)算機(jī)系統(tǒng)500被示為包括可以經(jīng)由總線(xiàn)524被電耦合的硬件元件。硬件元件可以包括處理器(諸如��,中央處理單元(CPU) 502)����、輸入設(shè)備504和輸出設(shè)備505�。計(jì)算機(jī)系統(tǒng)500還可以包括存儲(chǔ)設(shè)備�����,諸如存儲(chǔ)器518和非易失性存儲(chǔ)設(shè)備512 (例如����,硬盤(pán)��、光盤(pán)�、固態(tài)存儲(chǔ)裝置等)。存儲(chǔ)設(shè)備是可以存儲(chǔ)機(jī)器可讀指令的非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)的示例����。例如,在運(yùn)行時(shí)間�����,存儲(chǔ)器518可以存儲(chǔ)操作系統(tǒng)520和其他代碼522�。其他代碼522可以包括來(lái)自圖1中所示的系統(tǒng)100的模塊,諸如模式發(fā)現(xiàn)模塊30�����。非易失性存儲(chǔ)設(shè)備512可以存儲(chǔ)數(shù)據(jù)和機(jī)器可讀指令。計(jì)算機(jī)系統(tǒng)500可以另外包括通信接口 514 (例如����,調(diào)制解調(diào)器、網(wǎng)卡(無(wú)線(xiàn)或有線(xiàn))����、紅外通信設(shè)備等)。
[0053]應(yīng)認(rèn)識(shí)到的是�,計(jì)算機(jī)系統(tǒng)500的替代實(shí)施例可以具有與以上所描述的內(nèi)容的眾多變化。例如�����,也可以使用定制的硬件和/或可以在硬件�、軟件(包括便攜式軟件,諸如小應(yīng)用程序)或二者中實(shí)現(xiàn)特定的元件�。進(jìn)一步,可以采用與其他計(jì)算設(shè)備(諸如網(wǎng)絡(luò)輸入/輸出設(shè)備)的連接�����。
[0054]盡管已經(jīng)參考示例描述了實(shí)施例���,但可以在不背離實(shí)施例的范圍的情況下做出對(duì)所描述實(shí)施例的各種修改�����。
【權(quán)利要求】
1.一種用于在事件數(shù)據(jù)中確定用于模式發(fā)現(xiàn)的參數(shù)的方法��,所述方法包括: 選擇用于模式發(fā)現(xiàn)的參數(shù)的初始集合�����,其中所述參數(shù)指定用于識(shí)別事件數(shù)據(jù)中的模式的條件�; 由處理器基于參數(shù)的初始集合來(lái)對(duì)所述事件數(shù)據(jù)執(zhí)行模式發(fā)現(xiàn)運(yùn)行�;以及 基于所述模式發(fā)現(xiàn)運(yùn)行的輸出來(lái)調(diào)節(jié)參數(shù)的初始集合的參數(shù)。
2.如權(quán)利要求1所述的方法��,其中調(diào)節(jié)參數(shù)包括: 確定作為執(zhí)行所述模式發(fā)現(xiàn)運(yùn)行的結(jié)果從所述事件數(shù)據(jù)識(shí)別的模式的數(shù)量是否小于閾值���;以及 如果調(diào)節(jié)的參數(shù)被用于后續(xù)模式發(fā)現(xiàn)運(yùn)行中�,則擴(kuò)展所述參數(shù)以增加從所述事件數(shù)據(jù)識(shí)別的模式的數(shù)量�。
3.如權(quán)利要求1所述的方法,其中調(diào)節(jié)參數(shù)包括: 確定作為執(zhí)行所述模式發(fā)現(xiàn)運(yùn)行的結(jié)果從所述事件數(shù)據(jù)識(shí)別的模式的數(shù)量是否大于閾值�;以及 如果調(diào)節(jié)的參數(shù)被用于后續(xù)模式發(fā)現(xiàn)運(yùn)行中,則限制所述參數(shù)以減少?gòu)乃鍪录?shù)據(jù)識(shí)別的模式的數(shù)量��。
4.如權(quán)利要求1所述的方法���,其中調(diào)節(jié)參數(shù)包括: 確定所述模式發(fā)現(xiàn)運(yùn)行是否無(wú)法在預(yù)定的時(shí)間段內(nèi)完成�����;以及 如果調(diào)節(jié)的參數(shù)被用于后續(xù)模式發(fā)現(xiàn)運(yùn)行中��,則調(diào)節(jié)所述參數(shù)以減少系統(tǒng)資源����。
5.如權(quán)利要求1所述的方法,其中參數(shù)的初始集合包括:在序列中針對(duì)將被認(rèn)為是模式的活動(dòng)而被執(zhí)行的不同活動(dòng)的最小數(shù)量����,識(shí)別被重復(fù)以被認(rèn)為是模式的不同活動(dòng)的最小次數(shù)的可重復(fù)性參數(shù),以及被考慮用于所述模式發(fā)現(xiàn)運(yùn)行的事件數(shù)據(jù)的持續(xù)時(shí)間��。
6.如權(quán)利要求5所述的方法�,其中調(diào)節(jié)所述參數(shù)包括: 增加針對(duì)將被認(rèn)為是模式的活動(dòng)而執(zhí)行的不同活動(dòng)的最小數(shù)量,增加所述可重復(fù)性參數(shù)�����,或減少所述持續(xù)時(shí)間���。
7.如權(quán)利要求5所述的方法�����,其中調(diào)節(jié)所述參數(shù)包括: 減少針對(duì)將被認(rèn)為是模式的活動(dòng)而執(zhí)行的不同活動(dòng)的最小數(shù)量�����,減少所述可重復(fù)性參數(shù)����,或增加所述持續(xù)時(shí)間���。
8.如權(quán)利要求1所述的方法�����,包括: 基于用于模式發(fā)現(xiàn)配置文件的字段統(tǒng)計(jì)信息來(lái)選擇字段的集合�����; 在模式發(fā)現(xiàn)配置文件中包括所述字段的集合以及所述初始參數(shù)��;以及 執(zhí)行模式發(fā)現(xiàn)運(yùn)行包括基于包括所述字段的集合以及參數(shù)的初始集合的模式發(fā)現(xiàn)配置文件來(lái)識(shí)別所述事件數(shù)據(jù)中的模式���。
9.如權(quán)利要求8所述的方法����,其中執(zhí)行模式發(fā)現(xiàn)運(yùn)行包括: 確定所述事件數(shù)據(jù)是否包括滿(mǎn)足與所述初始參數(shù)相關(guān)聯(lián)的條件的字段的集合�����,以識(shí)別與所述模式發(fā)現(xiàn)配置文件匹配的事件數(shù)據(jù)中的模式��。
10.如權(quán)利要求1所述的方法����,其中所述模式發(fā)現(xiàn)運(yùn)行的輸出包括滿(mǎn)足參數(shù)的初始集合的條件的模式的結(jié)果集合,其中所述條件與用于所述事件數(shù)據(jù)的字段的集合相關(guān)聯(lián)�。
11.一種網(wǎng)絡(luò)安全事件處理系統(tǒng),包括: 數(shù)據(jù)存儲(chǔ)裝置����,其存儲(chǔ)描述用于連接到網(wǎng)絡(luò)的設(shè)備的活動(dòng)的事件數(shù)據(jù); 模式識(shí)別器引擎����,其由處理器執(zhí)行以執(zhí)行模式發(fā)現(xiàn)運(yùn)行,從而基于與用于識(shí)別模式的條件相關(guān)聯(lián)的參數(shù)的初始集合來(lái)檢測(cè)所述事件數(shù)據(jù)中的模式�;以及 參數(shù)調(diào)諧模塊,其用以基于所述模式發(fā)現(xiàn)運(yùn)行的輸出來(lái)調(diào)節(jié)來(lái)自所述初始集合的參數(shù)�����。
12.如權(quán)利要求11所述的網(wǎng)絡(luò)安全事件處理系統(tǒng),其中所述參數(shù)調(diào)諧模塊用以確定作為執(zhí)行所述模式發(fā)現(xiàn)運(yùn)行的結(jié)果從所述事件數(shù)據(jù)識(shí)別的模式的數(shù)量是否小于閾值����,并且用以如果調(diào)節(jié)的參數(shù)被用于后續(xù)模式發(fā)現(xiàn)運(yùn)行中,則調(diào)節(jié)所述參數(shù)以增加從所述事件數(shù)據(jù)識(shí)別的模式的數(shù)量�����。
13.如權(quán)利要求11所述的網(wǎng)絡(luò)安全事件處理系統(tǒng)���,其中所述參數(shù)調(diào)諧模塊用以確定作為執(zhí)行所述模式發(fā)現(xiàn)運(yùn)行的結(jié)果從所述事件數(shù)據(jù)識(shí)別的模式的數(shù)量是否大于閾值,并且用以如果調(diào)節(jié)的參數(shù)被用于后續(xù)模式發(fā)現(xiàn)運(yùn)行中��,則調(diào)節(jié)所述參數(shù)以減少?gòu)乃鍪录?shù)據(jù)識(shí)別的模式的數(shù)量�����。
14.如權(quán)利要求11所述的網(wǎng)絡(luò)安全事件處理系統(tǒng)����,其中所述參數(shù)調(diào)諧模塊用以確定所述模式發(fā)現(xiàn)運(yùn)行是否無(wú)法在預(yù)定的時(shí)間段內(nèi)完成,并且用以調(diào)節(jié)所述參數(shù)以減少系統(tǒng)資源從而執(zhí)行后續(xù)模式發(fā)現(xiàn)運(yùn)行���。
15.一種非暫時(shí)性計(jì)算機(jī)可讀介質(zhì)���,其包括機(jī)器可讀指令���,當(dāng)所述指令由處理器執(zhí)行時(shí),促使所述處理器來(lái): 選擇用于模式發(fā)現(xiàn)的參數(shù)的初始集合����,其中所述參數(shù)指定用于識(shí)別事件數(shù)據(jù)中的模式的條件; 基于參數(shù)的初始集合來(lái)對(duì)所述事件數(shù)據(jù)執(zhí)行模式發(fā)現(xiàn)運(yùn)行�;以及 基于在所述模式發(fā)現(xiàn)運(yùn)行中識(shí)別的模式的數(shù)量或基于所述模式發(fā)現(xiàn)運(yùn)行是否無(wú)法完成執(zhí)行來(lái)調(diào)節(jié)參數(shù)的初始集合的參數(shù)。
【文檔編號(hào)】G06F21/55GK104246787SQ201280072844
【公開(kāi)日】2014年12月24日 申請(qǐng)日期:2012年5月30日 優(yōu)先權(quán)日:2012年5月30日
【發(fā)明者】趙 Z., 王 Y., 興拉 A. 申請(qǐng)人:惠普發(fā)展公司�,有限責(zé)任合伙企業(yè)