[发明专利]基于依照事件序列中时间位置的参考基线评估事件的系统和方法

说明书

I． 交叉引用

本申请要求享有 2011年9月9日提交的、名称为“基于与基线的偏差对事件基于规则的分析”的共同待审美国临时专利申请No. 61/532,968的优先权。（律师案卷No. 82844890，该美国临时专利申请被通过引用结合于此，就各方面而言，如同完全在本文中提出的一样。本申请通过引用整体地结合2008年10月1日提交的、名称为“网络系统中的模式发现”的美国专利No. 7,984,502。

II．背景技术

对于现代的业务，计算机网络和系统已成为不可缺少的工具。现今，关于几乎所有的可想象主题的兆兆位的信息由世界各地的用户通过这种网络访问并存储在这种网络中。在某种程度上，许多这种信息都是保密的并且其保护也是期望的。入侵检测系统（IDS）（包括欺诈检测系统（FDS））已被开发来检测信息和资源的未经授权的使用并且有助于披露未经授权的人员和/或装置访问计算机网络和在其中存储的信息的尝试。

有两种互补的方法来检测入侵：基于知识的方法和基于行为的方法。现今，许多使用中的IDS工具都是基于知识的。基于知识的入侵检测技术涉及把捕获的数据与关于现有的利用漏洞的技术的信息相比较。当匹配被检测时，警报被触发。另一方面，基于行为的入侵检测技术通过观察与系统或用户的正常或预期行为（其模型通过各种方法从所收集的参考信息提取）的偏差尝试侦查入侵。当观察到可疑的偏差时，警报被生成。

传统的安全系统使用规则来相关事件。规则可以被用于分析和相关用户活动事件以识别入侵，更具体地，偏离规范的行为模式。尽管这些机制强大到足够支持多种标准的相关用例，但一些入侵（诸如，复杂的欺诈攻击）可能未被检测到，或可能在规定一组高度复杂的规则之后被检测到。

III．附图说明

本公开可以通过参考附图而被更好地理解，并且其众多特征或优点也变得明显。

图1是依据实施例的网络安全系统的拓扑框图。

图2是依据实施例的参考基线的生成的过程流程图。

图3是依据实施例的基于与参考基线的偏差的用户活动事件的分析的过程流程图。

图4是依据实施例的触发响应动作的过程流程图。

图5图示了实施例可以在其中被实现的计算机系统。

IV．具体实施方式

安全系统从潜在的成千上万的来源接收事件。事件可以与规则交叉相关，以提供不会由单独装置识别的安全相关情报。通常，相关可以表示来自不同来源的不同事件与通常事故按照相关规则所规定的方式相关联。更具体地，相关例如包括：发现事件之间的关系、推断那些关系的重要性、以优先顺序排列所述事件和元事件、以及提供采取动作的框架。

如在此使用的，规则或“相关规则”是程序并且包括一组简单或复杂的条件，该条件可以与其他构成（诸如，聚集、分组、和触发器）组合。规则被使用在许多方面，诸如：针对特定条件和模式评估引入事件；使用规则相关以及其他构成（如，活动列表、会话列表、和威胁级别计算）相关来自不同事件的信息；推断关于事件的重要性的含义；以及响应于事件开始动作。

换言之，规则表达条件，对照该条件事件流被评估。所述评估的结果提供信息，用以从事件流中得出所述含义。当匹配被确时，规则可以开始动作作为响应。

除了条件之外，规则可以进一步包括：阈值（即，发生的次数、累积总额）、持续时间、结合标准、和/或聚集标准。例如：

如果（来自相同的源IP地址的）（登陆尝试失败）在（1分钟）内发生（10次），则（动作）

对于这个规则，条件是“登陆尝试失败，”发生的阈值次数是“10，”持续时间是“1分钟，”以及聚集的标准是“来自相同的源IP地址。”

规则条件可以指各种数据模型。例如，规则条件可以指网络的字段或性质，以及作为网络上节点和/或机器的表示的资产模型。所述性质可以包括：开放端口、操作系统、漏洞、业务分类等。

规则条件还可以指数据列表（诸如，活动列表和会话列表）。会话列表把用户与其在网络上的事件业务相关联。更具体地，会话列表是可配置的表格，该表格维护与用户会话相关的时间数据（例如，DHCP 会话信息、VPN会话信息、从用户到其角色的映射、和那些属性有效的对应时间段等）。