CN105009132A - 基于置信因子的事件关联 - Google Patents
基于置信因子的事件关联 Download PDFInfo
- Publication number
- CN105009132A CN105009132A CN201380074551.6A CN201380074551A CN105009132A CN 105009132 A CN105009132 A CN 105009132A CN 201380074551 A CN201380074551 A CN 201380074551A CN 105009132 A CN105009132 A CN 105009132A
- Authority
- CN
- China
- Prior art keywords
- condition
- confidence factor
- event
- rule
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
根据示例,置信因子函数可用于确定规则的条件的置信因子,以关联事件。所述置信因子可为一事件或事件集是否满足所述规则中的条件的近似。所述置信因子可与阈值相比较,以确定所述条件是否被满足。
Description
背景技术
计算机网络和系统已变成现代企业不可或缺的工具。如今,关于实际上能够想到的每个主题的兆兆比特的信息存储在这样的网络中,且由全世界的用户通过这样的网络访问。此信息中的一些至少某种程度上是保密的,且要求该信息的保护。已开发系统来帮助发现未授权的人和/或设备尝试访问计算机网络和在其中存储的信息。
附图说明
参照下图中示出的示例,在下面的描述中详细描述实施例。
图1图示出事件关联系统的示例。
图2图示出安全信息和事件管理系统的示例。
图3图示出用于关联事件的方法的示例。
图4图示出可用于该方法和系统的计算机系统的示例。
具体实施方式
为了简洁和例示的目的,主要参照实施例的示例描述实施例的原理。在下面的描述中,为了提供对实施例的深入理解而提出了许多特定细节。显而易见的,可不受限于所有特定细节来实施实施例。此外,可以以各种组合一起使用实施例。
根据示例的事件关联系统可关联由一个或多个设备生成的事件,以发现与事件关联的某些类型的活动。可存储包括条件的规则以关联事件。事件关联系统可对事件应用规则,以检测某些类型的活动。事件关联系统可利用近似事件匹配,以确定事件是否满足规则的条件。例如,事件关联系统可确定指示一个或多个事件是否近似满足规则中的条件的置信因子。在一个示例中,置信因子是落在预定范围内的值(例如,浮点值),该预定范围提供一个或多个事件是否满足规则的条件的测量或估计。不同的函数可用于根据规则中条件的类型来计算置信因子。根据示例,可替代布尔值使用置信因子,布尔值例如指示与规则中的条件绝对匹配或不匹配的是或否,或者“1”或“0”。
可由用户创建包括条件的规则,并由事件关联系统存储和使用,以检测活动。例如,用于检测与获得对计算机的未授权访问的尝试关联的活动的规则可包括下列条件:在1分钟或更短的时间内,相同用户和相同机器的10或更多次失败的登录尝试。如果相同用户和相同机器的失败的登录尝试的次数大于10,但是在1分钟10秒内作出,则事件关联系统的近似匹配可提供指示近似匹配的置信因子。这允许即使未精确匹配规则条件,也能检测与事件关联的活动。因此,近似匹配可触发警告和/或进一步分析,以确定活动是否是不合适的,而不是因为尝试是在超过1分钟时间段发生的而未注意到失败的登录尝试。在一个示例中,检测的活动可为恶意活动,例如,获得对计算机网络或计算机系统的未授权访问的尝试,或欺诈信用卡活动的检测。但是,可检测的活动不受限于恶意活动,且可为能够通过对事件应用规则来检测的任意类型的活动。
事件可包括活动,例如,动作。活动可在计算机上和/或计算机网络中发生或实施。事件的事件数据可包括与计算机上或计算机网络中实施的活动相关的任何数据。在一个示例中,可由事件关联系统关联并分析事件数据,以识别网络或计算机安全威胁。事件的活动可与用户(也称为行为人)相关联,以识别安全威胁以及安全威胁的原因。活动可包括登录、退出、通过网络发送数据、发送电子邮件、访问应用、读或写数据,等等。安全威胁可包括被确定为指示可疑或不恰当行为的活动,其可通过网络或在连接至网络的系统上实施。通过示例的方式,公共安全威胁是尝试通过网络获得对保密信息(例如,社会保险号、信用卡号,等等)的未授权访问的用户或代码。
事件数据的数据源可包括网络设备、应用、或下文描述的可操作以提供可用于识别网络安全威胁的事件数据的其他类型的数据源。可将描述事件的事件数据采集在数据源生成的日志或消息中。例如,入侵检测系统、入侵防护系统、漏洞评估工具、防火墙、反病毒工具、反垃圾邮件工具、以及加密工具可生成描述由源实施的活动的日志。可例如由日志文件或系统日志服务器中的条目、警告、警报、网络包、电子邮件、通知页来提供事件数据。
事件数据可包括关于生成事件的设备或应用的信息。事件源的标识符可为网络端点标识符(例如,互联网协议(IP)地址或媒体访问控制(MAC)地址)和/或源的描述,可能地包括关于产品提供商和版本的信息。时间属性、源信息以及其他信息用于将事件与用户关联,并分析安全威胁事件。
图1图示出事件关联系统100的示例。事件关联系统100可包括置信因子模块101、阈值模块102、多条件匹配模块103、规则链模块104以及规则动作触发模块105。系统100的组件可包括硬件、机器可读指令、或硬件和机器可读指令的组合。机器可读指令可存储在非暂时性计算机可读介质上并由一个或多个处理器执行。
数据存储器111可包括数据库、在线分析数据存储系统或其他类型的数据存储系统。数据存储器111可包括硬件,例如硬盘、内存、处理电路,等,用于存储数据并执行数据存储和获取操作。数据存储器111可存储由事件关联系统100使用的任何信息,例如用于事件115的事件数据、用于关联事件的规则、置信因子、用于计算不同类型的条件的置信因子的函数、阈值、置信因子的范围等。所存储的事件数据可来自包括计算机系统的源。所存储的事件数据可包括像源IP地址、MAC地址、接收时间、用户ID、进入字节(in-bytes)、输出字节(out-bytes)、总带宽、事件描述等这样的字段。字段的数据类型可包括数值范围、预定长度的字符串、整数等。
事件关联系统100可接收可来自一个或多个源的事件115。事件115可包括事件数据,事件数据包括关于事件115的信息。事件关联系统100可对事件115应用规则以检测某些活动,并可响应于活动的检测而触发动作117,例如警告、通知、报告、事件的进一步分析等。为了应用规则,事件关联系统100可确定置信因子116。置信因子接近是否满足规则中的条件。在一个示例中,置信因子是落在预定范围内的值(例如,浮点值),且提供一个或多个事件是否满足规则的条件的测量或估计。
置信因子模块101可计算用于规则中的条件的置信因子,以对一事件或事件集应用规则。不同的置信因子函数可用于计算不同类型的条件的置信因子。置信因子模块101可确定条件的类型,且可基于条件的类型选择置信因子函数以计算用于该条件的置信因子。
例如,条件类型可为数值的比较。例如,检测欺诈金融交易的规则可包括以下条件:今日交易总数大于$10,000.00。置信因子模块101确定该条件类型是两个数值的比较。规则可规定待比较的值的数据类型,例如整数。置信因子模块101确定数据类型,在此示例中为整数,并确定条件类型(例如,数值)。置信因子模块101可将条件类型的指示存储在数据存储器111中,且置信因子模块101基于数值条件类型来选择计算置信因子的函数。
在一个示例中,对于数值比较,例如A>B,所计算的置信因子的范围可定义为[0,2],且用于计算置信因子的函数是A/B,在所计算的置信因子值在从包含0-2的范围外的情况下,A/B可设置为最小(例如0)或最大(例如2)范围值。例如,如果A=25,000(例如,该日交易总量)且B=10,000,那么A/B=2.5。但是,2.5比该范围的最大值(此示例中为2)大,因此,置信因子设置为2。其他函数可用于比较数字值。根据规则或事件源或其他因素,可选择特定的函数。
在另一个示例中,置信因子模块101确定条件的条件类型是比较两个字符串。例如,置信因子模块101从规则中规定的数据类型确定为了条件而比较的值是字符串。置信因子模块101确定用于字符串比较的置信因子函数,例如,具有定义的下限和上限的编辑(Levenshtein)距离。编辑距离测量两个字符串之间的差,例如要求将一个字变成另一个字的单字符编辑的最小次数。可使用其他的字符串比较函数。可定制置信因子的范围。例如,用户可规定置信因子的范围。可为不同的函数选择不同的范围。
阈值模块102可将用于条件的置信因子与阈值相比较,以确定是否满足该条件。阈值可存储在数据存储器111中。不同的阈值可用于不同的规则。在上面关于今日交易总量大于$10,000.00且函数是A/B的条件所描述的示例中,阈值可为0.9,因此,如果A是$9,000.00,且B是$10,000.00,则尽管A小于B,可仍认为是满足条件的。
多条件匹配模块103可确定规则是否包含多个条件,且如果规则包括多个条件,调用置信因子模块101来计算每个条件的置信因子,并基于每个条件的置信因子确定规则的多条件置信因子。可将多条件置信因子与阈值相比较,以确定是否满足规则的各条件,并响应于满足条件,确定是否触发动作。
例如,规则可包括检测欺诈交易的以下条件:
●OR(或)
○今日交易数大于10
○AND(与)
■今日交易总量大于用户过去六个月的最大日交易量。
■今日交易总量大于$10,000。
■当前交易量大于$1,000。
在此示例中,AND组中的条件包括以下:今日交易总量>用户过去六个月的最大日交易量;今日交易总量大于$10,000.00;以及当前交易量>$1,000.00。在缺少由事件关联系统使用置信因子实施的近似匹配时,必须满足AND组中的所有条件,或者必须满足日交易数>10的条件,以满足规则,并且如果规则中规定了动作,则触发动作。但是,事件关联系统100可确定一个或多个条件是否被近似满足,以最小化某些事件的漏检。例如,如果今日交易数等于10,则由于认为近似匹配日交易数>10的条件,仍可触发用于规则的动作。
多条件匹配模块103例如通过函数调用来调用置信因子模块101,以计算规则中每个条件的置信因子,在上述示例中,每个条件包括AND组中的条件、及OR的其他条件和AND组条件。多条件匹配模块103可基于每个条件的置信因子确定规则的多条件置信因子。可将多条件置信因子与阈值相比较,以确定是否满足OR条件或AND组条件。
根据示例,多条件匹配模块103确定每个条件的权重,并基于权重计算多条件置信因子。例如,可存储可装在AND组或OR组中的每个条件的数值权重。例如,向AND组中的将日总计与历史日最大相比较的第一条件给定权重3,且例如由于其他两个条件被认为更容易出现假肯定,因此其他两个条件各自得到权重1。OR条件可分配权重2.5,并且给定装入的AND节点默认权重1。
包含两个或多个条件的布尔AND组的多条件置信因子可被计算为针对该条件所计算的对应置信因子的加权乘积。例如,每个条件的权重乘以每个条件的置信因子,以确定每个条件的加权置信因子。随后,可基于AND组中每个条件的加权置信因子确定整个AND组的置信因子。例如,可选择AND组的最大加权置信因子作为AND组的置信因子,或可乘以加权置信因子以确定AND组的加权置信因子,或者可应用其他函数以基于AND组中每个条件的加权置信因子确定AND组的置信因子。范围可用于AND组的置信因子。如果AND组的置信因子落在范围外,则如上所述,可将置信因子设置为该范围的最大值或最小值。例如,多条件置信因子受限于范围[0,1]。
包含两个或多个条件的布尔OR组的多条件置信因子可被计算为每个OR条件的加权置信因子的最大值或平均值,或者可根据其他函数组合加权置信因子。如果OR组的置信因子落在范围外,则可如上所述,将置信因子设置为该范围的最大值或最小值。
可将多条件置信因子与阈值作比较,以确定是否满足规则的条件,并且响应于条件被满足确定是否触发动作。可不用权重计算多条件置信因子。如果如上所述权重和/或范围用于任意置信因子的计算,则可由用户规定或基于数据的历史分析计算权重和范围。
规则可依赖于在较早时期被满足的另一规则(例如,攻击规则通常查看较早的端口扫描)。此类型的依赖称作规则链。可存在多级规则链。规则链模块104可确定多个规则是否链接在一起,且对于链中的每个下一规则,基于由置信因子模块101和/或多条件匹配模块103针对每个规则所确定的置信因子,确定链中的前一规则是否将触发链中的下一规则。例如,规则1-3被链接在一起。规则1是第一规则;规则2是下一规则;并且规则3是下一规则且是该链中的最后一个规则。规则链模块104例如根据针对规则1中的条件所计算的置信因子,确定条件是否被满足。如果条件被满足,规则链模块104可确定链中的下一规则,例如规则2,被触发。如果规则2的条件被满足,规则链模块104可确定链中的下一规则,例如规则3,被触发。规则链模块104可询问数据存储器111,以确定规则是否在规则链中,并且识别链中的所有规则,以确定每个规则是否被触发,从而检测活动。
规则动作触发模块105识别可在规则中规定的任何动作,且如果规则的条件被满足,确定是否触发动作。例如,规则动作触发模块105可根据阈值模块102的输出确定规则条件是否被满足,阈值模块102将置信因子与阈值作比较。如果条件被满足,规则动作触发模块105确定规则是否规定动作,例如生成警告、触发另一规则等。如果是,规则动作触发模块105可执行该动作。
图2图示出根据示例的包括安全信息和事件管理系统(SIEM)210的环境200。图1中示出的事件关联系统100可用在SIEM 210中。SIEM 210处理事件数据,其可包括实时事件处理。SIEM 210可处理事件数据,以确定网络相关的条件,例如网络安全威胁。此外,通过示例的方式,SIEM 210被描述作为安全信息和事件管理系统。作为示例,SIEM 210是可执行与网络安全相关的事件数据处理的系统。可操作以执行与网络安全无关的事件的事件数据处理。
环境200包括生成事件的事件数据的数据源201,事件数据由SIEM 210收集并存储在数据存储器111中。数据存储器111可包括用于执行内存中处理的内存、和/或用于存储事件数据并执行数据操作的非易失性存储器。数据存储器111可存储SIEM 210所使用的任何数据以关联并分析事件数据。
数据源201可包括网络设备、应用、或可操作以提供可被分析的事件数据的其他类型的数据源。可将事件数据采集在数据源201生成的日志或消息中。例如,数据源可包括网络交换机、入侵防护系统(IPS)、漏洞评估工具、反病毒工具、反垃圾邮件工具、加密工具以及企业应用。事件数据例如从数据源日志获取,并存储在数据存储器111中。事件数据可例如由日志文件或系统日志服务器中的条目、警告、警报、网络包、电子邮件、或通知页来提供。数据源201可向SIEM 210发送包括事件数据的消息。
事件数据可包括关于生成事件的源的信息以及描述事件的信息。例如,事件数据可将事件识别为用户登录。事件数据中的其他信息可包括何时从事件源接收到事件(“接收时间”)。接收时间是日期/时间戳。事件数据可描述源,例如事件源是网络端点标识符(例如IP地址或MAC地址)和/或源的描述,可能地包括关于产品提供商和版本的信息。随后,日期/时间戳、源信息以及其他信息可用于事件关联系统100实施的关联。事件数据可包括事件的元数据,例如事件发生的时间、事件发生的地点、涉及的用户等。
数据源201的示例在图1中示出为数据库(DB)、UNIX、App1和App2。DB和UNIX是包括网络设备(例如服务器)且生成事件数据的系统。App1和App2是生成事件数据的应用。App1和App2可为企业应用,例如信用卡和股票交易的金融应用、信息技术应用、人力资源应用、或任何其他类型的应用。
数据源201的其他示例可包括安全检测和代理系统、访问和策略控制、核心业务日志及日志集运商、网络硬件、加密设备、以及物理安全。安全检测和代理系统的示例包括IDS、IPS、多用途安全装置、漏洞评估和管理、反病毒、诱捕系统、威胁响应技术、以及网络监视。访问和策略控制系统的示例包括访问和身份管理、虚拟专用网(VPN)、缓存引擎、防火墙、以及安全策略管理。核心业务日志及日志集运商的示例包括操作系统日志、数据库审计日志、应用日志、日志集运商、网页服务器日志、以及管理控制台。网络设备的示例包括路由器和交换机。加密设备的示例包括数据安全性和完整性。物理安全系统的示例包括卡密读取器、生物辨识、防盗自动警铃、以及火警。其他数据源可包括与网络安全无关的数据源。
连接器202可包括由从数据源向SIEM 210提供事件数据的机器可读指令组成的代码。连接器202可提供有效的、实时(或接近实时)的从一个或多个数据源201的本地事件数据采集及过滤。例如,连接器202从事件日志或消息收集事件数据。事件数据的收集被显示为描述来自数据源201的向SIEM 210发送的事件数据的“EVENTS”。连接器可不用于所有数据源201。
SIEM 210收集并分析事件数据。事件管理器221将来自数据源201的事件数据存储在数据存储器111中。事件可通过事件关联系统100与规则交叉,以确定是否触发可由规则规定的某些动作。关联包括例如:发现事件之间的关系、例如通过生成元事件来推断那些关系的意义、排序事件和元事件、以及提供用于采取动作的框架。在一个示例中由计算机硬件(例如,处理器)执行的机器可读指令组成的SIEM 210使得活动的聚合、关联、检测和调查跟踪成为可能。系统还支持响应管理、点对点查询方案、报告并重放论争的分析、以及网络威胁和活动的图形可视化。
分析器222检查接收到的事件,以确定特定事件可能牵涉SIEM 210中处理的各种规则中的哪个(如果有)。如果测试的事件具有满足或可能满足一个或多个规则的一个或多个属性,则认为牵涉该规则。例如,如果测试的事件具有来自满足规则的条件的特定子网的特定源地址,则可认为牵涉该规则。事件可仅在与规则关联的指定时间间隔这个意义上保持关注,且因此,通过知道此时间窗,分析器222能够以正当理由存储及丢弃事件。任何令人关注的事件可分在一组且被分析器222进一步处理。
SIEM 210可包括硬件和/或由硬件(例如一个或多个处理器)执行的机器可读指令。事件关联系统100根据可存储在数据存储器111中的规则和指令处理事件。例如,事件关联系统100依照规则、指令和/或请求来关联事件。例如,规则指示相同用户在不同机器上同时或在较短的时间段内实施的多次失败的登录将生成对系统管理员的警告。在应用规则时,事件关联系统100可提供多个事件之间的时间、位置、和用户关联。
用户界面223可用于向用户传送或显示关于事件及事件处理的报告或通知。用户界面223可为用户提供控制板以与SIEM 210交互,并且呈现所请求的信息。用户界面223可包括可基于网页的图形用户界面。用户界面223可用作事件关联系统100输入阈值、范围、及事件关联系统100所用的其他信息的用户界面。
图3图示出根据示例的方法300。通过示例的方式,关于图1和2中示出的事件关联系统100来描述方法300。可在其他系统中实施方法300。
在301处,事件关联系统100确定用于规则的条件的类型。例如,置信因子模块101识别待应用于所存储的事件的规则中的条件,以确定事件是否表示某些活动。置信因子模块101例如根据针对条件所比较的值的数据类型,来确定条件的类型。条件类型的示例包括数值、字符串等。
在302处,事件关联系统100基于条件的类型选择待应用的置信因子函数,并在303处,根据所选择的置信因子函数计算置信因子。置信因子可为数据存储器111中的一事件或事件集是否满足规则中的函数的近似。上面描述了数值和字符串类型的置信因子函数的示例。近似可为是否满足条件的估计。例如,如果条件是A>B,那么如果A>B则满足条件。但是,如果A等于或小于B,仍可基于置信因子估计满足该条件。置信因子可用于确定A<B但仍因为A和B的值不那么悬殊而估计为满足条件的范围。置信因子可用于在接近被满足但未被精确满足时估计条件被满足。上面描述了使用置信因子确定不精确满足条件但被估计为满足条件的值的范围的示例。
在304处,事件关联系统100将置信因子与阈值作比较,以确定是否满足条件。例如,如果置信因子大于或等于阈值,则可满足条件。如果满足条件,可触发与规则中规定的条件关联的动作。
图4示出可与本文描述的实施例和示例一起使用的计算机系统400。计算机系统400包括可在服务器中或另一个计算机系统中的多个组件。计算机系统400可通过一个或多个处理器或其他硬件处理电路来执行本文描述的方法、功能和其他过程。这些方法、功能和其他过程可被具体实现为存储在计算机可读介质上的机器可读指令,计算机可读介质可为非暂时性的,例如,硬件存储设备(例如,RAM(随机存取存储器)、ROM(只读存储器)、EPROM(可擦除可编程ROM)、EEPROM(电可擦除可编程ROM)、硬盘、及闪存)。
计算机系统400包括可实施或运行用于执行本文描述的方法、功能和其他过程中的一些或全部的机器可读指令的至少一个处理器402。来自处理器402的命令和数据通过通信总线404传送。计算机系统400还包括主存储器406(例如,随机存取存储器(RAM))以及辅存储器408,其中用于处理器402的机器可读指令和数据可在运行时期间驻留在主存储器406中,辅助存储器408可为非易失性的,且存储机器可读指令和数据。例如,用于事件关联系统100或可包括事件关联系统100的SIEM 210的机器可读指令在运行时期间可驻留在存储器406中。存储器406和辅助数据存储器408是计算机可读介质的示例。
计算机系统400可包括I/O设备410,例如键盘、鼠标、显示器等。例如,I/O设备410包括用于显示向下展开的视图及本文描述的其他信息的显示器。计算机系统400可包括用于连接至网络的网络接口412。可在计算机系统400中增加或替换其他已知的电子组件。此外,事件关联系统100和/或SIEM 210可在分布式计算环境(例如云系统)中实施。
虽然已参照示例描述了实施例,可对所描述的实施例做出各种修改而不脱离所请求保护的实施例的范围。
Claims (15)
1.一种事件关联系统,包括:
由至少一个处理器运行的置信因子模块,用于确定规则的条件的类型、基于所述条件的类型选择待应用的置信因子函数、以及根据所选择的置信因子函数计算置信因子,其中所述置信因子是一事件或事件集是否满足所述规则中的条件的近似;以及
阈值模块,用于将所述置信因子与阈值相比较,以确定所述条件是否被满足。
2.根据权利要求1所述的事件关联系统,包括:
多条件匹配模块,用于确定所述规则是否包括多个条件,且如果所述规则包括多个条件,则用于调用所述置信因子模块来计算每个条件的置信因子,以及基于所述每个条件的置信因子确定所述规则的多条件置信因子。
3.根据权利要求2所述的事件关联系统,其中所述多条件匹配模块用于确定每个条件的权重,并且基于由所述条件的相应权重加权后的所述条件来计算所述多条件置信因子。
4.根据权利要求3所述的事件关联系统,其中所述多条件匹配模块用于根据所述规则确定所述条件是通过布尔AND来组合还是通过布尔OR来组合,并且
如果所述条件根据所述布尔AND来组合,则所述多条件匹配模块用于对所述加权后的条件应用第一函数,以确定所述多条件置信因子,以及
如果所述条件根据所述布尔OR来组合,则所述多条件匹配模块用于对所述加权后的条件应用第二函数,以确定所述多条件置信因子。
5.根据权利要求4所述的事件关联系统,其中所述第一函数或所述第二函数包括:确定所述加权后的条件的最大置信因子,或乘以所述加权后的条件。
6.根据权利要求1所述的事件关联系统,包括:
规则链接模块,用于确定多个规则是否链接在一起,并且对于每个链接的规则,基于由所述置信因子模块为该链中的前一规则确定的置信因子,来确定是否触发所链接的规则。
7.根据权利要求1所述的事件关联系统,其中所述条件的类型包括数字值的比较和字符串的比较,并且针对每种类型的条件应用不同范围的置信因子。
8.根据权利要求7所述的事件关联系统,其中所述置信因子模块用于针对所述条件的类型确定所述置信因子在所述范围中,并且用于如果所计算的置信因子超过所述范围,则将所述置信因子设置为所述范围的最大值,以及如果所计算的置信因子落在所述范围下,则将所述置信因子设置为所述范围的最小值。
9.根据权利要求7所述的事件关联系统,其中如果所述条件的类型是所述数字值的比较,则所选择的置信因子函数包括将所述数字值中的一个除以所述数字值中的另一个。
10.根据权利要求7所述的事件关联系统,其中如果所述条件的类型是所述字符串的比较,则所选择的置信因子函数包括字符串相似性比较函数。
11.根据权利要求1所述的事件关联系统,其中所述事件包括安全事件,且所述事件关联系统包括规则动作触发模块,所述规则动作触发模块用于响应于确定所述条件被满足,基于所述置信因子与所述阈值的比较来确定是否触发所述规则中的动作。
12.一种用于实施事件关联的信息和事件管理系统,所述系统包括:
数据存储器,用于存储事件;以及
至少一个处理器,用于根据置信因子函数计算置信因子,其中所述置信因子是所存储的事件中的一事件或事件集是否满足所述规则中的条件的近似,且所述处理器用于将所述置信因子与阈值相比较以确定所述条件是否被满足,以及响应于所述条件被满足触发动作。
13.根据权利要求12所述的信息和事件管理系统,其中所述至少一个处理器用于确定所述规则是否包括多个条件,且如果所述规则包括多个条件,则调用所述置信因子模块计算每个条件的置信因子,以及基于所述每个条件的置信因子确定所述规则的多条件置信因子。
14.根据权利要求12所述的信息和事件管理系统,其中所存储的事件包括与网络设备关联的安全事件。
15.一种非暂时性计算机可读介质,包括由至少一个处理器运行的机器可读指令,用以:
确定规则的条件的类型;
基于所述条件的类型选择待应用的置信因子函数;
根据所选择的置信因子函数计算置信因子,其中所述置信因子是一事件或事件集是否满足所述规则中的条件的近似;以及
将所述置信因子与阈值相比较,以确定所述条件是否被满足。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2013/030225 WO2014142791A1 (en) | 2013-03-11 | 2013-03-11 | Event correlation based on confidence factor |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105009132A true CN105009132A (zh) | 2015-10-28 |
Family
ID=51537230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380074551.6A Pending CN105009132A (zh) | 2013-03-11 | 2013-03-11 | 基于置信因子的事件关联 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10296739B2 (zh) |
EP (1) | EP2973138A4 (zh) |
CN (1) | CN105009132A (zh) |
WO (1) | WO2014142791A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111177214A (zh) * | 2019-12-19 | 2020-05-19 | 腾讯云计算(北京)有限责任公司 | 事件联动处理方法、装置、系统、电子设备及存储介质 |
US20220414071A1 (en) * | 2021-06-28 | 2022-12-29 | Capital One Services, Llc | Decision implementation with integrated data quality monitoring |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8106856B2 (en) | 2006-09-06 | 2012-01-31 | Apple Inc. | Portable electronic device for photo management |
US8698762B2 (en) | 2010-01-06 | 2014-04-15 | Apple Inc. | Device, method, and graphical user interface for navigating and displaying content in context |
US9792430B2 (en) | 2011-11-03 | 2017-10-17 | Cyphort Inc. | Systems and methods for virtualized malware detection |
US9491189B2 (en) | 2013-08-26 | 2016-11-08 | Guardicore Ltd. | Revival and redirection of blocked connections for intention inspection in computer networks |
US9601000B1 (en) * | 2013-09-27 | 2017-03-21 | EMC IP Holding Company LLC | Data-driven alert prioritization |
US10095866B2 (en) * | 2014-02-24 | 2018-10-09 | Cyphort Inc. | System and method for threat risk scoring of security threats |
US10225280B2 (en) | 2014-02-24 | 2019-03-05 | Cyphort Inc. | System and method for verifying and detecting malware |
US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
US10326778B2 (en) | 2014-02-24 | 2019-06-18 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
US20150271196A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Comparing source and sink values in security analysis |
US9667637B2 (en) * | 2014-06-09 | 2017-05-30 | Guardicore Ltd. | Network-based detection of authentication failures |
US9251221B1 (en) | 2014-07-21 | 2016-02-02 | Splunk Inc. | Assigning scores to objects based on search query results |
US9836598B2 (en) | 2015-04-20 | 2017-12-05 | Splunk Inc. | User activity monitoring |
US20160323390A1 (en) * | 2015-04-29 | 2016-11-03 | International Business Machines Corporation | Condition-based online communication collaboration |
US9916075B2 (en) | 2015-06-05 | 2018-03-13 | Apple Inc. | Formatting content for a reduced-size user interface |
WO2017030550A1 (en) * | 2015-08-17 | 2017-02-23 | Hewlett Packard Enterprise Development Lp | Confidence indicator of unreceived security message |
US10587555B2 (en) * | 2015-09-01 | 2020-03-10 | Sap Portals Israel Ltd. | Event log analyzer |
US9888024B2 (en) * | 2015-09-30 | 2018-02-06 | Symantec Corporation | Detection of security incidents with low confidence security events |
US9813911B2 (en) | 2015-12-08 | 2017-11-07 | Panasonic Avionics Corporation | Methods and systems for monitoring computing devices on a vehicle |
US9417949B1 (en) | 2015-12-10 | 2016-08-16 | International Business Machines Corporation | Generic alarm correlation by means of normalized alarm codes |
IL243825B (en) * | 2016-01-28 | 2021-05-31 | Verint Systems Ltd | A system and method for automated forensic investigation |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
AU2017100670C4 (en) | 2016-06-12 | 2019-11-21 | Apple Inc. | User interfaces for retrieving contextually relevant media content |
US20170357644A1 (en) * | 2016-06-12 | 2017-12-14 | Apple Inc. | Notable moments in a collection of digital assets |
DK201670609A1 (en) | 2016-06-12 | 2018-01-02 | Apple Inc | User interfaces for retrieving contextually relevant media content |
US10417044B2 (en) | 2017-04-21 | 2019-09-17 | International Business Machines Corporation | System interventions based on expected impacts of system events on scheduled work units |
US11151113B2 (en) * | 2017-12-20 | 2021-10-19 | International Business Machines Corporation | Adaptive statistical data de-identification based on evolving data streams |
US10616256B2 (en) | 2018-03-14 | 2020-04-07 | Bank Of America Corporation | Cross-channel detection system with real-time dynamic notification processing |
US11243996B2 (en) | 2018-05-07 | 2022-02-08 | Apple Inc. | Digital asset search user interface |
DK180171B1 (en) | 2018-05-07 | 2020-07-14 | Apple Inc | USER INTERFACES FOR SHARING CONTEXTUALLY RELEVANT MEDIA CONTENT |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11108798B2 (en) | 2018-06-06 | 2021-08-31 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10846343B2 (en) | 2018-09-11 | 2020-11-24 | Apple Inc. | Techniques for disambiguating clustered location identifiers |
US10803135B2 (en) | 2018-09-11 | 2020-10-13 | Apple Inc. | Techniques for disambiguating clustered occurrence identifiers |
US11245716B2 (en) | 2019-05-09 | 2022-02-08 | International Business Machines Corporation | Composing and applying security monitoring rules to a target environment |
USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040133672A1 (en) * | 2003-01-08 | 2004-07-08 | Partha Bhattacharya | Network security monitoring system |
CN1950778A (zh) * | 2004-03-09 | 2007-04-18 | Ip锁有限公司 | 数据库用户行为监控系统及方法 |
US20090006230A1 (en) * | 2007-06-27 | 2009-01-01 | Checkfree Corporation | Identity Risk Scoring |
US7908657B1 (en) * | 2005-09-29 | 2011-03-15 | Symantec Corporation | Detecting variants of known threats |
US8079083B1 (en) * | 2005-09-02 | 2011-12-13 | Symantec Corporation | Method and system for recording network traffic and predicting potential security events |
US20120016802A1 (en) * | 2010-07-16 | 2012-01-19 | Sap Ag | Automatic event management for regulation compliance |
US20120284221A1 (en) * | 2009-11-17 | 2012-11-08 | Jerome Naifeh | Methods and apparatus for analyzing system events |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5440738A (en) * | 1991-05-16 | 1995-08-08 | Tally Systems Corporation | Method and apparatus for digital data processor file configuration detection |
WO1999024912A1 (en) | 1997-11-12 | 1999-05-20 | Uab Research Foundation | Method for analyzing sets of temporal data |
US6330547B1 (en) | 1999-06-02 | 2001-12-11 | Mosaic Technologies Inc. | Method and apparatus for establishing and enhancing the creditworthiness of intellectual property |
US20040260947A1 (en) | 2002-10-21 | 2004-12-23 | Brady Gerard Anthony | Methods and systems for analyzing security events |
US7346615B2 (en) | 2003-10-09 | 2008-03-18 | Google, Inc. | Using match confidence to adjust a performance threshold |
KR20110024287A (ko) | 2009-09-01 | 2011-03-09 | 정태길 | 내용 분석에 의한 보안성 강화 p2p 기반 문서 인증 및 출력 방법 및 시스템 |
US8621618B1 (en) * | 2011-02-07 | 2013-12-31 | Dell Products, Lp | System and method for assessing whether a communication contains an attack |
US20120311562A1 (en) | 2011-06-01 | 2012-12-06 | Yanlin Wang | Extendable event processing |
CN103718170B (zh) | 2011-07-29 | 2017-06-13 | 惠普发展公司,有限责任合伙企业 | 用于事件的分布式基于规则的相关的系统和方法 |
-
2013
- 2013-03-11 US US14/773,983 patent/US10296739B2/en active Active
- 2013-03-11 WO PCT/US2013/030225 patent/WO2014142791A1/en active Application Filing
- 2013-03-11 EP EP13877542.4A patent/EP2973138A4/en not_active Withdrawn
- 2013-03-11 CN CN201380074551.6A patent/CN105009132A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040133672A1 (en) * | 2003-01-08 | 2004-07-08 | Partha Bhattacharya | Network security monitoring system |
CN1950778A (zh) * | 2004-03-09 | 2007-04-18 | Ip锁有限公司 | 数据库用户行为监控系统及方法 |
US8079083B1 (en) * | 2005-09-02 | 2011-12-13 | Symantec Corporation | Method and system for recording network traffic and predicting potential security events |
US7908657B1 (en) * | 2005-09-29 | 2011-03-15 | Symantec Corporation | Detecting variants of known threats |
US20090006230A1 (en) * | 2007-06-27 | 2009-01-01 | Checkfree Corporation | Identity Risk Scoring |
US20120284221A1 (en) * | 2009-11-17 | 2012-11-08 | Jerome Naifeh | Methods and apparatus for analyzing system events |
US20120016802A1 (en) * | 2010-07-16 | 2012-01-19 | Sap Ag | Automatic event management for regulation compliance |
Non-Patent Citations (2)
Title |
---|
宁蒙: "《局域网组建与维护 第2版》", 31 January 2012, 机械工业出版社 * |
程庆梅等: "《防火墙系统实训教程》", 31 May 2012, 机械工业出版社 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111177214A (zh) * | 2019-12-19 | 2020-05-19 | 腾讯云计算(北京)有限责任公司 | 事件联动处理方法、装置、系统、电子设备及存储介质 |
CN111177214B (zh) * | 2019-12-19 | 2024-02-09 | 腾讯云计算(北京)有限责任公司 | 事件联动处理方法、装置、系统、电子设备及存储介质 |
US20220414071A1 (en) * | 2021-06-28 | 2022-12-29 | Capital One Services, Llc | Decision implementation with integrated data quality monitoring |
US11816079B2 (en) * | 2021-06-28 | 2023-11-14 | Capital One Services, Llc | Decision implementation with integrated data quality monitoring |
Also Published As
Publication number | Publication date |
---|---|
US10296739B2 (en) | 2019-05-21 |
US20160019388A1 (en) | 2016-01-21 |
EP2973138A1 (en) | 2016-01-20 |
EP2973138A4 (en) | 2016-09-07 |
WO2014142791A1 (en) | 2014-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105009132A (zh) | 基于置信因子的事件关联 | |
US20220124108A1 (en) | System and method for monitoring security attack chains | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
CN107204876B (zh) | 一种网络安全风险评估方法 | |
Pradeep Mohan Kumar et al. | Intrusion detection system based on GA‐fuzzy classifier for detecting malicious attacks | |
US20140172495A1 (en) | System and method for automated brand protection | |
Tianfield | Cyber security situational awareness | |
CN103765432A (zh) | 视觉组件和下钻映射 | |
CN110598404A (zh) | 安全风险监控方法、监控装置、服务器和存储介质 | |
CN113542279A (zh) | 一种网络安全风险评估方法、系统及装置 | |
US20160269431A1 (en) | Predictive analytics utilizing real time events | |
CN102906756A (zh) | 与安全事件和参与者分类模型相关联的安全威胁检测 | |
Kumar et al. | Unsupervised outlier detection technique for intrusion detection in cloud computing | |
Kim et al. | Cost-effective valuable data detection based on the reliability of artificial intelligence | |
Angelini et al. | An attack graph-based on-line multi-step attack detector | |
CN114357447A (zh) | 攻击者威胁评分方法及相关装置 | |
Ebrahimi et al. | Automatic attack scenario discovering based on a new alert correlation method | |
EP4111660B1 (en) | Cyberattack identification in a network environment | |
CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
Pavlov et al. | Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems | |
Sabri et al. | Hybrid of rough set theory and artificial immune recognition system as a solution to decrease false alarm rate in intrusion detection system | |
Hakkoymaz | Classifying Database Users for Intrusion Prediction and Detection in Data Security | |
Anand et al. | Enchanced multiclass intrusion detection using supervised learning methods | |
Mohamed et al. | An operational framework for alert correlation using a novel clustering approach | |
CN113032774A (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20160922 Address after: American Texas Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Applicant before: Hewlett-Packard Development Company, Limited Liability Partnership |
|
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151028 |
|
WD01 | Invention patent application deemed withdrawn after publication |