[发明专利]用于模式发现的参数调节

说明书

背景技术

模式检测通常旨在找到输入数据集中的先前未知的模式。模式是贯穿检查时间段的持续时间进行重复的数据集的元素的关联。这与模式匹配方法相反，所述模式匹配方法例如使用正则表达式来在具有预先存在的模式的输入中寻找匹配。

模式检测方法需要大量的资源，例如，计算资源和存储器。当这些资源缺乏或以其他方式不可用时，模式检测运行可能无法完成对输入数据的分析。

附图说明

可以通过参考附图而更好理解实施例并且使其特征显而易见。附图图示了在此描述的实施例的示例。

图1示出了网络安全系统。

图2示出了模式发现模块。

图3示出了用于参数选择的流程图。

图4示出了另一流程图，其示出了用于参数选择的附加细节的。

图5示出了实施例可以在其中被实现的计算机系统。

具体实施方式

用于网络的安全信息/事件管理（SIM或SIEM）可以包括从反映网络活动和/或设备的操作的网络和网络设备收集数据以及分析所述数据以增强安全性。网络设备的示例可以包括防火墙、入侵检测系统、服务器、工作站、个人计算机等。数据可以被分析以检测模式，所述模式可以指示网络或网络设备上的攻击或异常。所检测的模式可以被用于例如定位数据中的那些模式。例如，所述模式可以指示试图获得对网络中的计算机的访问并且安装恶意软件的蠕虫或另一类型的计算机病毒的活动。

从网络和网络设备收集的数据是针对事件的。事件可以是能够被监控和分析的任何活动。针对事件的所捕获的数据被称为事件数据。所捕获的事件数据的分析可以被执行以确定所述事件是否与威胁或某一其他条件相关联。与事件相关联的活动的示例可以包括登录、注销、通过网络发送数据、发送电子邮件、访问应用、读取或写入数据、端口扫描、安装软件等。可以从消息、由网络设备生成的日志文件条目、或从其他源收集事件数据。安全系统还可以生成事件数据，诸如相关事件和审计事件。在一些实例中，可以生成每秒一千个事件。这可以合计每天一亿个事件或每月三十亿个事件。

根据实施例，字段和参数可以被选择用于模式发现。事件数据中的事件可以具有许多属性。可以根据与事件数据中的事件的属性相关联的字段来存储事件数据。例如，字段是描述事件数据中的事件的属性。字段的示例包括事件的日期/时间、事件名称、事件类别、事件ID、源地址、源MAC地址、目的地址、目的MAC地址、用户ID、用户特权、设备客户字符串等。事件数据可以被存储在由字段组成的表中。在一些情况下，反映不同事件属性的数百个字段可以被用于存储事件数据。

对于模式发现而言，一些字段被选择。例如，所选择的字段可以包括来自所述表的字段的集合。所述集合中字段的数量可以包括来自所述表的字段中的一个或多个。被选择用于所述集合的字段可以基于各种统计信息来选择，并且可以被存储在模式发现配置文件（profile）中。模式发现配置文件是用于发现事件数据中的模式的任何数据。模式发现配置文件可以包括字段的集合、参数和用于模式发现的其他信息。

除了包括字段外，参数可以被用于模式发现。参数可以被包括在用于模式发现的模式发现配置文件中。参考可以指定用于模式发现配置文件中的字段与事件数据的匹配的条件以检测模式。此外，可以被用于调节模式数量的参数被检测。参数的一个示例是作为活动数量的模式长度。模式长度参数可以表示针对将被认为是模式的活动而被执行的不同活动的最小数量，所述不同活动。参数的另一示例是可重复性参数，其可以表示不同活动的最小次数，所述不同活动被重复以使它们被认为是模式。在一个示例中，可重复性与两个字段相关联。例如，可重复性可以被表示为活动跨越其被重复的源字段和目标字段的不同组合。源IP地址和目标IP地址的不同组合的最小数量是可重复性参数的示例。这些参数可以被调节直到预定量的匹配模式被识别。

根据实施例，参数的选择是适应性的。例如，参数可以被调节以改变被识别的匹配模式的数量。例如，如果系统资源（诸如，存储器、CPU周期等）正被耗尽，则参数可以被调节以减少被考虑用于模式发现的事件的数量。在另一示例中，如果太少或太多的模式被识别，则参数可以被调节以增加或减少所识别模式的数量。

模式是多个不同活动的序列。在模式的示例中，活动的序列包括：扫描端口、识别开放端口、把具有特定有效载荷的分组发送到端口、登录到计算机系统以及在计算机系统上的特定位置中存储程序。