[发明专利]与安全事件和参与者分类模型相关联的安全威胁检测

说明书

优先权

本申请要求2010年5月25日提交的美国临时专利申请序号61/348,187的优先权，其被整体地通过引用结合到本文中。

背景技术

安全信息/事件管理领域一般涉及从网络和网络设备收集反应网络活动和/或设备的操作的数据，并分析该数据以提高安全性。例如，可以分析该数据以识别网络或网络设备上的攻击并确定哪个用户或机器负责。如果攻击正在进行中，则执行对抗措施以挫败攻击或减轻由攻击引起的损害。所收集的数据通常源自于消息（诸如事件、警报或警告）或日志文件中的条目，其是由网络设备生成的。网络设备的示例包括防火墙、入侵检测系统、服务器等。

如果安全系统可以辨别正常系统使用和实际入侵（伴随着适当的警报），则其是有用的。如果可以检测到入侵且以提示方式告知适当的人员，则可以采取措施以避免对保护的系统的危害。否则不能提供此类保护。然而，正常系统使用和实际入侵之间的辨别是困难的，尤其是在可以生成几十万个消息或日志文件条目的大型网络中。

另外，在许多情况下，检测入侵的能力被削弱，因为单个用户可能具有用于被安全系统监视的不同系统的多个ID（例如电子邮件ID、徽章ID、Windows域ID、各种机器上的UNIX帐户ID、应用程序ID等）。难以使由来自不同ID的同一用户进行的活动相关。同样地，难以考虑角色和位置以检测可疑活动。例如，某些活动可能只有对加利福尼亚雇员或者直接或间接继承了某个角色的雇员而言是允许的。

附图说明

参考以下附图，在以下描述中详细地描述了各个实施例。

图1图示出了根据实施例的系统；

图2～4图示出了根据实施例的参与者（actor）分类模型的示例；

图5图示出了根据实施例的用于安全威胁检测的方法；以及

图6图示出了根据实施例的可以被用于所述方法和系统的计算机系统。

具体实施方式

出于简单和说明性目的，通过主要参考实施例的示例来描述实施例的原理。在以下描述中，阐述了许多特定细节以便提供对实施例的透彻理解。将显而易见的是可以在不限于所有特定细节的情况下实施所述实施例。并且，可以以各种组合来将实施例一起使用。

根据实施例，安全信息和事件管理系统（SIEM）从包括网络设备和应用程序的源收集事件数据，并分析该数据以识别网络安全威胁。可以使用根据预定分类对用户数据进行组织的分级参与者分类模型来执行分析。例如，模型按位置、按组织或报告结构、按角色或其他标准来组织用户数据。该模型可以在分级结构中包括多个层级，并且用于确定安全威胁的不同规则可以适用于不同的层级。在层级之间存在父子关系，并且其可以用于层级之中的固有规则。

SIEM还可以存储其他信息以使安全事件与用户相关以识别威胁。该信息可以包括与每个用户相关联的多个帐户ID。该信息还可以包括用户帐户ID历史和用户帐户ID认证者信息。

图1图示出了根据实施例的包括SIEM 110的环境100。环境100包括生成用于安全事件的事件数据的数据源101，该事件数据被SIEM 110收集并存储在数据存储器111中。数据存储器111可以包括存储器和/或非易失性存储器，并且可以包括数据库或其他类型的数据存储系统。数据存储器111存储被SIEM 110用来使事件数据相关并进行分析以识别安全威胁的任何数据。也称为事件的安全事件是可以被分析以确定其是否与安全威胁相关联的任何活动。可以使该活动与被称为参与者的用户相关联以识别安全威胁和该安全威胁的原因。活动可以包括登入、登出、通过网络发送数据、发送电子邮件、访问应用程序、读或写数据等。安全威胁包括被确定为将指示可疑或不适当行为的活动，其可以是通过网络或在连接到网络的系统上执行的。举例来说，公共安全威胁是用户尝试通过网络获得对诸如社会安全号、信用卡号等机密信息的未授权访问。

数据源101可以包括下面描述的网络设备、应用程序或其他类型的数据源，其可操作用于提供可以用来识别网络安全威胁的事件数据。事件数据是描述安全事件的数据。可以在由数据源101生成的日志或消息中捕获事件数据。例如，入侵检测系统（IDS）、入侵预防系统（IPS）、漏洞评估工具、防火墙、反病毒工具、反垃圾邮件工具以及加密工具可以生成描述由该源执行的活动的日志。可以例如由日志文件中的条目或系统日志服务器、警报、警告、网络分组、电子邮件或通知页面来提供事件数据。