[发明专利]用于关联事件来检测信息安全事故的系统和方法

说明书

本发明涉及用于关联事件来检测信息安全事故的系统和方法，其中，关联模块可以接收指示潜在安全性的违反的多个网络事件，其中，所述多个网络事件中的每个网络事件具有相应的时间戳。所述关联模块可以基于每个相应的时间戳，从所述多个网络事件中识别在一段时间内已经发生的网络事件的子集。所述关联模块可以针对所述网络事件的子集确定多个潜在发生顺序。所述关联模块可以将至少一个关联规则应用于多个潜在发生顺序中的每个相应的潜在发生顺序。响应于确定满足所述至少一个关联规则，而所述关联模块可以检测到所述信息安全事故。

技术领域

本发明涉及数据安全领域，并且更具体地，涉及关联事件来检测信息安全事故。

背景技术

目前，除了传统的恶意软件(例如病毒、网络蠕虫、键盘记录器、勒索软件等)之外，计算机攻击(诸如针对性攻击(Targeted Attack，TA)和复杂攻击(例如高级持续性威胁(Advanced Persistent Threat，APT))已经在信息物理系统(Cyber-Physical System，CPS)和IT系统(即公司基础设施)上变得普遍。黑客可以有各种各样的目标-从简单地窃取员工的个人数据到工业间谍活动。黑客经常掌握有关公司网络的架构、内部文档业务的原理、网络和计算机设备所使用的保护手段的信息，或者用于信息物理系统或IT系统的任何其它特定信息。该信息允许黑客绕过现有的保护手段，而这些手段通常没有设置灵活性来满足IT系统的所有需求。

用于防御恶意软件和计算机威胁的现有技术(例如，签名分析、启发式分析、仿真等)具有许多缺点，这些缺点使得现有技术无法对计算机攻击提供适当级别的保护。例如，现有技术无法检测和跟踪以前未知的威胁、不使用恶意软件的计算机攻击、复杂的攻击(使用技术来绕过保护手段)和长期运行的攻击(从几天到几年)，这些攻击的特征在很长一段时间后才为人所知。

为了保护信息物理系统(CPS)，越来越多地使用安全信息和事件管理(SecurityInformation and Event Management，SIEM)系统。这类系统根据安装在用户的计算机、服务器、网络设备和控制器上的众多保护手段和网络传感器来执行大量信息安全(Information Security，IS)事件的自动收集和处理。SIEM系统能够在早期阶段检测到计算机攻击、识别信息安全事故并向CPS的操作员发出警报，以用于进一步调查。为了实现这一点，使用信息安全事件的关联性-根据指定的规则(签名)分析不同事件之间的交互工作并在触发规则时自动创建事故，然后将该事故显示给CPS的操作员以用于详细的调查。SIEM使得可以检测网络攻击、病毒蔓延、漏洞、黑客攻击和其它类型的计算机攻击以及网络设备的配置错误。

然而，经常发生的是：多个不同的IS事件同时发生(具有给定的不确定性)。这可能由于各种原因而发生。例如，传感器上的时钟(事件的来源)可能不同步。此外，事件可能发生在同一数据包中，使得即使事件发生在不同的时间，也可能为这些事件分配相同的时间戳。在又一示例中，当接收到事件时，在由不同模块处理业务时可能已经发生了延迟。由于这些原因，可能会忽略信息安全事故，或者可能会产生误报(false positive)。

因此，出现了对信息物理系统中信息安全事故的低级别检测的技术问题。

然而，现有技术中已知的技术不能解决该技术问题，因为这些技术不能提高信息物理系统中信息安全事故的检测级别(例如，当同时获得一系列事件时)。因此，需要一种能够解决所述技术问题的技术，即，需要一种用于关联事件来检测信息安全事故的系统和方法。

发明内容

本发明的各个方面涉及数据安全领域。特别地，本发明的各个方面描述了用于关联事件来检测信息安全事故的方法和系统。

技术结果是提高了信息物理系统中信息安全事故的检测级别。