[发明专利]用于事件监测优先级的动态多维模式

说明书

本申请要求享有2010年6月2日提交的美国临时专利申请序号为 61/350,593的优先权，通过引用将其全文并入。

背景技术

网络安全管理一般涉及从网络设备收集反映网络活动和设备操作的数据以及分析数据以增强安全性。例如，可以分析数据以识别网络上的攻击。如果攻击正在进行，则可以执行应对措施以对抗攻击或减轻攻击造成的损害。

收集的数据可以源于网络设备和应用产生的消息或日志文件中的条目，所述网络设备和应用可以包括防火墙、入侵检测系统、服务器、路由器、交换机。一开始可以在由对应报告设备使用的一组预定字段中组织从报告设备接收的所收集数据。然后可以对收集的数据进行语法分析并将其映射到由监测系统使用的模式中，从而使得可以将来自不同设备的数据彼此均匀相关，供监测系统进行威胁分析。监测系统模式可以具有不同的字段，那么报告设备模式或报告设备可以在其模式的用户定义字段中放入不同数据，或者不同的报告设备可以在不同字段中放入相同类型的数据。因此，难以向监测系统模式中精确地映射报告设备数据，这可能影响分析所收集数据以便发现安全威胁的精确度。

附图说明

在以下描述中，参考以下附图详细描述实施例。

图1图示出了根据实施例的系统；

图2图示出了根据实施例的主要事件表；

图3图示出了根据实施例用于映射和分析事件数据的方法；

图4A-B图示出了根据实施例用于确定最佳配合域的方法；

图5图示出了根据实施例用于确定最佳配合域的方法；

图6图示出了根据实施例基于事件相关百分比确定域模式候选组的方法；

图7图示出了基于域相关百分比确定域模式候选组的方法；以及

图8图示出了可以用于根据实施例的方法和系统的计算机系统。

具体实施方式

出于简单和说明性目的，主要通过参考其示例描述实施例的原理。在以下描述中，阐述了很多特定细节以便提供对实施例的透彻理解。将认识到的是，可以在不限于所有特定细节的情况下来实践实施例。而且，可以在各种组合中一起使用实施例。

根据实施例，信息和事件管理系统（IEM）从包括网络设备和应用的源中收集事件数据，并将收集的事件数据与域相关。域是数据的类别或类型。例如，来自信用卡交易的事件数据与信用卡域相关联；来自股票交易的事件数据与股票域相关联；来自人力资源应用的事件数据与人力资源域相关联，等等。域可以包括垂直行业，所述垂直行业包括相关行业。可以针对每个域存储域模式。模式可以包括与域相关的包括字段的数据结构。

IEM确定最佳配合域模式，并且将收集的事件数据映射到其最佳配合域模式。如果没有发现域或字段，则IEM还可以自动创建域及其域特有字段。IEM允许对收集事件数据并向IEM发送该数据的网络设备或中间系统而言将是透明的字段的存储。通过将收集的事件数据与域相关联，可以更精确地分析数据以确定安全威胁。

事件是可以监测并分析的任何活动。针对事件捕获的数据被称为事件数据。可以对捕获的事件数据执行分析以确定事件是否与威胁相关联。可以聚集事件数据用于威胁分析。威胁可能与欺诈行为或其他不当、可疑或未被授权的行为相关联。与事件相关联的活动的示例可以包括登录、注销、通过网络发送数据、发送电子邮件、访问应用、读取或写入数据、执行交易等。常见威胁的示例是网络安全威胁，借此用户试图通过网络获得对机密信息，诸如社会保险号、信用卡号等的未授权访问。

图1图示出了根据实施例包括IEM 110的环境100。环境100包括产生针对事件的事件数据的数据源101，事件数据由IEM 110收集并存储在数据储存器111中。数据储存器111可以包括数据库或其他类型的数据存储系统。数据储存器111可以包括用于执行存储器中处理的存储器和/或用于数据库存储和操作的非易失性储存器。数据储存器111存储由IEM 110使用的任何数据以对事件数据进行相关和分析。

数据源101可以包括如下所述的网络设备、应用或其他类型的数据源，其可操作用于提供可以被分析的事件数据，例如用以识别威胁。可以在由数据源101产生的日志或消息中捕获事件数据。例如，入侵检测系统（IDS）、入侵防护系统（IPS）、漏洞评估工具、防火墙、防病毒工具、防垃圾邮件工具、加密工具和商业应用可以产生描述由源执行的活动的日志。例如，可以由日志文件或系统记录服务器、提示、警报、网络分组、电子邮件或通知页中的条目提供事件数据。