[发明专利]用于事件的分布式基于规则的相关的系统和方法

说明书

背景技术

安全性信息/事件管理（SIM或SIEM）领域一般地涉及1）从网络和联网设备收集反映网络活动和/或设备的操作的数据和2）分析数据以增强安全性。例如，可以分析数据以标识对网络或联网设备的攻击并确定哪个用户或机器是负责的。如果攻击正在进行，则可以执行防范措施（countermeasure）来阻碍（thwart）攻击或者减轻攻击引起的损害。所收集的数据通常源自消息（诸如事件、警告或警报）或日志文件中的条目。

日志数据可以由各种源生成，包括联网设备和应用二者。这些源可以例如是入侵检测系统（IDS）、入侵预防系统（IPS）、弱点评估工具、防火墙、反病毒工具、反垃圾电子邮件（spam）工具、加密工具、应用审核日志以及物理安全性日志。日志数据由称为“事件”的数据实例构成。事件可以例如是日志文件中的条目、系统日志服务器中的条目、警告、警报、网络包、电子邮件或通知页。

一般而言，事件表示包括多个字段的数据结构，其中每个字段可以包含值。诸如SIEM系统的安全性系统从潜在的成数千个源接收事件，这些源中的许多是不同的设备。通过分析这些字段，事件可以被交叉相关以提供诸如安全性破坏（breach）的安全性相关智能。相关可以包括向事件应用规则。

附图说明

通过参考附图，可以更好地理解本公开并使其多个特征和优点清楚。

图1是根据实施例的网络安全性系统的拓扑框图。

图2A是根据实施例的用于通过部分规则匹配进行的相关的处理流程图。

图2B是根据实施例的用于通过完整规则匹配进行的相关的处理流程图。

图3是根据实施例的滑动聚集窗口的框图。

图4A是根据实施例的包括多个管理器中的主（master）管理器的网络安全性系统的拓扑框图。

图4B是根据实施例的包括多个管理器中的专用管理器的网络安全性系统的拓扑框图。

图5A是根据实施例的用于数据列表同步的处理流程图。

图5B是根据实施例的用于数据列表访问的处理流程图。

图6示出了其中可以实现实施例的计算机系统。

具体实施方式

安全性系统从潜在的数千个源接收事件。可以用规则对事件进行交叉相关以提供将不被单独设备标识的安全性相关智能。一般而言，如相关规则所定义的，相关可以指示来自不同源的不同事件与共同的事故相关联。更具体地，相关例如包括发现事件间的关系、推断那些关系的重要性、对事件和元事件进行优先化，以及提供采取动作的框架。在2002年12月2日提交的、系列号为No. 10/308,767的美国申请中进一步描述了相关，通过引用将该申请在其整体上并入本文。

如本文所使用的，规则或“相关规则”是一种过程并且包括一组简单或复杂的条件，这些条件可以与诸如聚集、分组和触发的其他构造进行组合。以诸如以下的许多方式来使用规则：针对具体条件和模式评估传入的事件；使用规则相关以及像活跃列表、会话列表以及威胁级别计算这样的其他构造来将来自不同事件的信息相关；推断关于事件的重要性的意义；以及响应于事件发起动作。

换言之，规则表达针对其评估事件流的条件。评估的结果提供用于导出事件流之外的意义的信息。当确定相匹配时，规则可以作为响应而发起动作。

除了条件之外，规则还可以包括阈值（即，发生数量、运行总数）、时间持续期间、加入准则和/或聚集准则。例如：

如果（来自相同源IP地址的）（失败登录尝试）在（1分钟）内发生（10次），则（动作）。

对于该规则，条件是“失败登录尝试”、发生数量阈值为“10”、时间持续期间为“1分钟”，以及聚集准则为“来自相同源IP地址”。

规则条件可以指代各种数据模型。例如，规则条件可以指代网络和资产模型（asset model）的字段或属性，所述资产模型是网络上节点和/或机器的表示。属性可以包括开放端口、操作系统、弱点、事务分类（business classification）等。

规则条件还可以指代数据列表，诸如活跃列表和会话列表。会话列表将用户与他们在网络上的事件业务相关联。更具体地，会话列表是可配置表，其维持与用户会话相关的临时数据（例如，DCHP会话信息、VPN会话信息、从用户到他们的角色的映射，以及那些性质有效的相应时间段等）。