[发明专利]模式发现中的字段选择

说明书

背景技术

模式检测通常旨在找出输入数据集中以前未知的模式。模式是指数据集中在整个检查时段期间重复的元素的关联性。这与模式匹配方法相反，模式匹配用于例如利用正则表达式在输入中寻找与之前存在的模式的匹配。

模式检测方法可能需要大量的资源和与数据集领域相关的丰富知识来选择与数据集关联的用于模式匹配的适当信息。

附图说明

通过参考附图可以更好地理解各实施例，并且其特征变得显而易见。附图示出了这里描述的各实施例的示例。

图1示出网络安全系统。

图2示出模式发现模块。

图3示出字段选择的流程图。

图4示出图示字段选择的附加细节的另一流程图。

图5例示在其中可以实施各实施例的计算机系统。

具体实施方式

网络的安全信息/事件管理(SIM或SIEM)可以包括从网络和网络设备收集反映网络活动和/或设备操作的数据，以及分析该数据以提高安全性。例如，网络设备的示例可以包括防火墙、入侵检测系统、服务器、工作站、个人计算机等等。可以对数据进行分析来检测模式，模式可能指示网络或者网络设备上的攻击或者异常。检测到的模式可以用于例如在数据中定位这些模式。例如，模式可能指示蠕虫或者其他类型的计算机病毒正在试图访问网络中的计算机并安装恶意软件的活动。

从网络和网络设备收集的数据可以针对事件。事件可以是任何可以监视并分析的活动。针对一事件捕获的数据称为事件数据。可以执行对所捕获的事件数据的分析，以确定该事件是否与威胁或者其他情况相关联。与事件相关联的活动的示例包括登录、退出、在网络上发送数据、发送电子邮件、访问应用程序、读取或者写入数据、端口扫描、安装软件等等。事件数据可以从消息、网络设备产生的日志文件条目或者从其他来源收集。安全系统也可以产生事件数据，例如关联事件和审计事件。在一些实例中，每秒可以产生一千个事件。这等于每天1亿个事件，或者每个月30亿个事件。

事件数据中的事件可以有多个属性。可以根据与事件数据中事件的属性相关联的字段来存储事件数据。例如，字段是描述事件数据中的事件的属性。字段的示例可以包括事件的日期/时间、事件名、事件类别、事件ID、源地址、源MAC地址、目的地址、目的MAC地址、用户ID、用户权限、设备客户字符串等等。事件数据可以存储在包括字段的表格中。根据实施例，针对模式发现来选择事件的字段。所选择的字段是表格中的字段集。字段集中的字段数目可以包括2个或更多个字段。为字段集选择的字段基于各种统计信息来识别，并且存储在模式发现配置文件中。模式发现配置文件是用于发现事件数据中的模式的任何数据。模式发现配置文件可以包括字段集、参数集和用于模式发现的其他信息集。

为模式检测自动选择字段有助于可能具有有限的领域知识和专业技能的用户选择用于创建模式发现配置文件的字段。在有几百个事件字段的情况下，用户可能很难选择用于识别与检测网络攻击、内部威胁、欺骗行为和其他形式的可疑或恶意活动相关的模式的字段。此外，用户可能没有时间或者专业技能通过对模式发现结果进行分析来进一步调整所选择的字段。

模式是多个不同活动的序列。在模式的示例中，活动序列包括扫描端口、识别开放端口、向该端口发送具有特定负载的报文、登录计算机系统以及在该计算机系统的特定位置存储程序。

另外，识别重复的模式。例如，如果多个不同的活动出现重复，则可以认为是重复模式。此外，模式可以在两个计算机系统之间。因此，模式可以包括与不同计算机系统相关联的源字段和目标字段。在一个示例中，源和目标字段是计算机系统的网络协议(IP)地址。源和目标字段描述了计算机系统之间的交易。模式活动也可以根据附加的或代替源和目标字段之一的其他字段而被分组在一起。在一个示例中，模式活动可以在用户ID之间进行分析，以识别由多个用户重复的活动的序列或集合。在另一个示例中，模式活动可以在信用卡号或者客户之间进行分析，以识别多个信用卡账户之间的活动的序列或集合。

附加的或代替源和目标字段之一的其他事件字段可以包括在模式发现配置文件中。在一个示例中，字段用于识别特定模式，并且被称为模式识别字段。在一个示例中，模式识别字段是事件名或者事件类别。在另一个示例中，模式识别字段可以是信用卡交易量。在又一个示例中，模式识别字段可以是用于检测应用程序URL访问模式的事件请求(Event Request)URL字段。