专利名称:用于显示网络安全性事故的方法和系统的制作方法
技术领域:
本发明一般地涉及计算机网络安全性领域,尤其涉及用于显示网络安全性事故(incident)的系统和方法。
背景技术:
从大型商业交易到个人金融管理,我们日常生活的几乎每个方面都依赖着诸如因特网这样的计算机网络的安全操作。
在过去几十年间,已开发出了不同技术来增强计算机网络面对攻击时的安全性。例如,多个诸如入侵检测传感器(IDS)这样的安全性传感器被部署在因特网或局域网(LAN)上,以检测可疑网络活动。
图1示出具有多个附接到路由器、防火墙、交换机和主机等的安全性传感器的计算机网络。每个安全性传感器被配置成这样一旦其检测到经过其被附接到的设备的任何可疑网络流量,安全性传感器就向网络安全性监控系统发送安全性事件(event)。网络安全性监控系统负责分析来自不同源的安全性事件以及发现可能的网络攻击。然后,系统以易于理解的形式将结果提供给系统的用户,例如网络管理员。作为响应,用户采取适当的动作以将攻击所引起的损失降低到最小水平。在某些情况下,系统适于自动阻隔检测到的攻击。
一般而言,单个安全性事件中嵌入的信息只揭示大型网络攻击计划中的一小方面。这种有限的信息的精确度也可能受到其他网络设备的损害。例如,网络地址转换(NAI)设备常被用来转换想去往或源自局域网(LAN)内的内部主机和服务器的网络分组的地址和端口,以解决32位地址所提供的有限地址空间的问题。从而,NAT设备常常隐藏IP分组的真实源和目的地地址,这使得分组更难以被分析。
此外,网络攻击是随时间而发展的动态现象。随着网络技术的发展,出现了更复杂的伪装得更好的攻击策略,以突破当前的网络保护措施。作为响应,必须开发新的检测措施来发现和战胜这些新策略。
因此,非常需要有这样一种方法和系统,其不仅能够以实时方式分析安全性事件,还能够以直观形式提供结果,以便用户能够易于理解任何潜在的或者正在发生的攻击的特性。还希望用户能够使用该方法和系统来开发新策略,以便不仅捕获当前的网络攻击,还能够捕获未来的网络攻击。
发明内容
概括来说,一种网络安全性监控系统和方法接收和处理在预定时间段期间到达的多个安全性事件,其中包括将安全性事件分组到网络会话中,每个会话具有识别出的源和目的地,并且根据预定的安全性事件相关规则集合使网络会话相互关联。
然后该系统和方法显示代表网络中的设备的图,所述设备包括安全性设备和非安全性设备。所显示的图包括多个个体设备符号和多个群组设备符号,每个个体设备符号代表该网络的一个安全性设备,每个群组设备符号代表该网络的一个非安全性设备群组。
结合该图,该系统和方法显示安全性事故信息,对于群组设备符号,所述信息包括事故容量指示符,该事故容量指示符指示其源或目的地在与群组设备符号相对应的非安全性设备群组的任何成员处的网络会话的数目。
在一个实施例中,该系统和方法还在用户选择群组设备符号之时,显示代表该群组中的非安全性设备的第二级图。所显示的第二级图还包括多个非安全性设备符号和多个安全性设备符号,每个非安全性设备符号代表一个充当网络会话的源或目的地的非安全性设备,每个安全性设备符号代表位于该非安全性设备附近的一个安全性设备。
在另一个实施例中,该系统和方法响应于一个或多个用户命令,从所显示的数据中选择网络会话,并且定义丢弃规则,该丢弃规则包括与所选择的网络会话相对应的网络条件集合。一旦存在一个或多个满足所述网络条件集合的传入安全性事件,该系统和方法就将其过滤掉或者将其从安全性事件日志文件中丢弃掉,或者不将其显示给用户但仍将其保存在日志文件中。
当结合附图阅读以下对本发明的优选实施例的详细描述时,可更清楚地理解本发明的上述特征和优点及其其他特征和优点。
图1示出强调通过网络安全性监控系统从多个安全性设备收集安全性事件的计算机网络。
图2是网络安全性监控系统的框图。
图3是展示本发明的主要步骤的流程图。
图4A-B分别是根据本发明的一个示例的热点和向量图。
图5A-B分别是根据本发明的另一个示例的第一级和第二级热点图。
图6示出安全性事故表,其列出预定时间段期间发生的安全性事故。
图7示出一个安全性事故的细节,其中包括安全性事件相关规则和网络会话列表。
图8示出网络会话的展开式列表,这些网络会话中包括与一行安全性事件相关规则相关联的两个会话。
图9示出包括网络会话的目的地主机的细节的弹出窗口。
图10示出包括诸如防火墙这样的安全性设备的细节的弹出窗口。
图11A-C分别示出与网络会话676852相关联的安全性事件集合、局部热点图和局部向量图。
图12A-C分别示出与网络会话676853相关联的安全性事件集合、局部热点图和局部向量图。
图13A-C分别示出与网络会话676903相关联的安全性事件集合、局部热点图和局部向量图。
图14A-C分别示出与网络会话676984相关联的安全性事件集合、局部热点图和局部向量图。
图15A-D示出用于定义假阳性(false positive)安全性事件然后构造安全性事件的丢弃规则的过程。
图16A-B分别示出丢弃规则列表以及分别与每个丢弃规则相关联的安全性事故的列表。
图17A-C示出用于构造相对于网络安全性监控系统接收到的安全性事件集合的查询然后将该查询保存为新相关规则的过程。
具体实施例方式
本发明针对一种系统和方法,其分析由多个网络安全性设备发送到网络安全性监控系统的安全性事件流,以直观形式向系统的用户提供分析结果,并且帮助用户开发新的网络攻击检测策略。这种方法和系统的一个示例在2003年5月21日递交的题为“Network Security Monitoring System”的美国专利申请序列号10/443,946和2003年6月23日递交的题为“AMethod and System For Determining Intra-Session Event Correlation AcrossNetwork Address Translation Devices”的美国专利申请律师案卷号11353-004-999中公开,此处通过引用将这两个申请包含进来。
图2示出用于处理由部署在计算机网络上的多个安全性传感器所报告的安全性事件流的网络安全性监控系统200。网络安全性监控系统200通常包括一个或多个中央处理单元(CPU)202、网络或其他通信接口210、存储器214和用于互连监控系统200的各种组件的一个或多个通信总线。网络安全性监控系统200还包括用户接口204,例如包括显示器206和键盘208。存储器214包括高速随机访问存储器,还可包括非易失性存储器,例如一个或多个磁盘存储设备(未示出)。存储器214还可包括位于(多个)中央处理单元202远程的大容量存储装置。存储器214优选地存储·操作系统216,其包括用于处理各种基本系统服务和用于执行依赖于硬件的任务的过程;·网络通信模块218,其用于经由一个或多个通信网络(有线或无线)将监控系统200连接到各种安全性设备或客户端计算机(未示出),并且可能连接到其他服务器或计算机,所述通信网络例如是因特网、其他广域网、局域网、城域网等等;
·系统初始化模块220,其初始化监控系统200的适当操作所需的存储在存储器214中的其他模块和数据结构;·会话内安全性事件相关引擎222,其用于将多个传入安全性事件分组成不同的网络会话;·安全性事件相关规则评估引擎224,其用于根据预定的安全性事件相关规则集合来处理网络会话;·针对不同网络攻击场景设计的多个安全性事件相关规则226;以及·安全性事件日志228,其用于存储监控系统200接收到的安全性事件。
图3是示出根据本发明的一个实施例的网络安全性监控系统200的主要操作步骤的流程图。在步骤302处,监控系统进行必要的系统初始化,包括将两个引擎222和224以及安全性相关规则226加载到系统存储器中。
在步骤304中,监控系统接收到来自部署在网络上的安全性传感器的多个安全性事件,然后在步骤306处利用会话内安全性事件相关引擎222将它们分组成不同的网络会话。
在步骤308处,监控系统利用安全性事件相关规则评估引擎224来检查网络会话是否满足任何预定的安全性事件相关规则。如果是的话,则监控系统在步骤310处响应于该规则创建网络安全性事故,并且在步骤314处采取一定的动作来保护网络免受攻击,所述操作例如是通知网络管理员。如果不是的话,则监控系统检查与安全性事件相关规则相关联的预定时间段是否已期满。如果时间已期满,则系统返回步骤304,等待更多的传入安全性事件。如果时间已期满,则在步骤316处系统将安全性事件和网络会话从其存储器中转储到安全性事件日志文件228中。
以下讨论针对系统的用户交互特征,更具体地说,针对网络攻击如何被提供给用户以及用户如何调整系统以捕捉新开发的网络攻击策略。
在第一步骤处,用户(例如网络管理员)通过诸如Internet Explorer(Microsoft公司的商标)这样的网络浏览器登录到网络安全性监控系统中,并且访问系统的主页,如图4A所示。该主页包括热点图400。热点图向用户提供网络的概览,具体而言,是从图形上示出各种网络设备的概览。
热点图400中所示的设备可被分成两类,安全性设备和非安全性设备。安全性设备包括防火墙、路由器和网络交换机。安全性传感器,例如入侵检测传感器,常被附接到安全性设备,以用于监控经过设备的网络活动。非安全性设备是指没有被附接安全性传感器的那些设备。例如,未配备有安全性传感器的常规桌上型计算机通常是非安全性设备。通常,网络上的非安全性设备的数目高于安全性设备的数目。
在一个实施例中,每个安全性设备,例如防火墙“BR-FW-1”或网络交换机“BR-SW-1”是由热点图400上的唯一图形符号来表示的,这使得易于理解网络拓扑以及跟踪到各种攻击的源和目的地的位置。相反,非安全性设备通常不是由唯一符号来表示的,这是因为网络上有太多的非安全性设备了。作为替代,基于网络上的非安全性设备在网络上的物理位置将其组织成了群组。每个群组被给予了唯一名称,并且由热点图上的云团符号表示。例如,“Cloud-3”表示非安全性设备群组,并且被连接到三个围绕在周围的安全性设备,防火墙“BR-FW-1”、网络路由器“BR-Head-End-Router”和网络交换机“BR-SW-1”。
安全性传感器被配置为用于监控经过其所附接到的安全性设备的网络流量,并将安全性事件提交给网络安全性监控系统。安全性事件包含由安全性传感器响应于发生在安全性传感器所附接到的网络设备上的某个网络活动而生成的信息。例如,传播经过防火墙BR-FW-1的TCP/IP分组流可触发附接到防火墙的安全性传感器,以向监控系统提交一个或多个安全性事件。在一个实施例中,安全性事件包括事件参数集合,其包括但不限于源地址、目的地地址、报告设备ID、事件ID、事件类型和时间戳。
每个个体的安全性事件虽然有用,但却只提供了特定安全性设备处的网络活动的快照。这种信息通常不足以描述涉及多个源、目的地和网络路由的复杂网络攻击。作为替代,监控系统被用来根据预定的相关条件将由不同安全性传感器提交的多个安全性事件的事件参数相互关联起来,所述预定相关条件也被称为安全性事件相关规则,其代表网络攻击的可能场景。
但是,由于部署在网络上的网络地址转换(NAT)设备,因此安全性事件所报告的源和目的地地址可能不是触发安全性事件的网络活动的真实源和目的地地址。因此,在安全性事件相关的步骤之前,监控系统需要“撤销(undo)”NAT设备进行的地址转换,并且发现事件的真实源和目的地(如果可能的话)。然后,系统将安全性事件分组成不同网络会话。网络会话是共享相同的会话修饰符集合的安全性事件的群组,所述会话修饰符包括但不限于源地址、目的地地址和网络协议。因此,安全性事件相关实际上是在“会话化”的安全性事件之间发生的。
对于满足安全性事件相关规则的“会话化”的安全性事件的每个集合,网络安全性监控系统生成包括该“会话化”的安全性事件集合的安全性事故。换言之,安全性事故被定义为与值得网络员特别注意的多个可能协同的网络活动相关联的安全性事件的集合。安全性事故至少涉及两方源和目的地。更复杂的事故可能涉及更多方。每一方可以是一个安全性设备或者是一个非安全性设备。
在一个实施例中,监控系统通过将黑点附加到代表包括已被涉及到安全性事故中的非安全性设备的群组的云团符号,从而来突出该设备。附加到(或关联到)设备符号或云团符号的黑点的数目充当关于特定安全性设备或非安全性设备群组的事故容量指示符。图4A示出两个黑点,一个附加到云团Perimeter-19,另一个附加到Perimeter 14,从而指示来自每个群组的一个成员已被涉及到安全性事故中,这将在下文中更详细讨论。
图4B示出向量图410,该向量图提供了由监控系统所检测到的安全性事故的不同视图。如上所述,热点图指示安全性事故中涉及哪一个非安全性设备或安全性设备群组,而不识别与特定事故相关的网络流量方向,例如,作为事故一部分的网络会话的源和目的地。相反,向量图410跳过了那些不充当事故的任何网络会话的源或目的地的安全性或非安全性设备。向量图410示出事故的任何一对源和目的地之间的网络会话的数目。例如,在源主机40.40.1.23和目的地主机192.168.1.10之间的总共有三个网络会话。根据这三个会话各自在安全性事件相关规则中的顺序,它们被分割成两个群组,具有一个会话的一个群组“E-115925”和具有两个会话的另一个群组“E-15527”。以下给出关于这些网络会话的更多讨论。
图5A示出了由系统在在预定时间段期间检测到几个安全性事故之后生成的更复杂的热点图。这些事故中至少涉及来自四个群组Perimeter-1、Cloud-3、Perimeter-14和Perimeter-19的非安全性设备,并且各种数目的黑点被与代表上述群组的云团相关联,以指示每个群组的涉及程度。例如,云团Perimeter-19指示有七个非安全性被涉及到了事故中,充当各种网络活动的源或目的地。在一个实施例中,监控系统设置给定时间段内热点图上的黑点的数目的上限,例如一小时期间三百个黑点。一旦达到此限制,则系统不再在图上生成新的黑点,直到时间段期满,这是因为具有太多黑点的热点图可能不那么直观,并且阻挠其将系统用户的注意力引向“热点”的原本目的。在另一个实施例中,不同的颜色被分配给云团符号,以代表群组中有多少个非安全性设备被涉及到了安全性事故中。
从热点图中,用户不仅能够获得对预定时段期间发生在网络上的可疑网络活动的概览,还能够对特定群组“放大”,从而取回关于该群组中已被涉及到这些网络活动中的非安全性设备的更多细节。例如,如果用户有兴趣获知关于由云团Cloud-3所表示的群组中的三个非安全性设备的更多细节,则他可以点击图5A中的云团Cloud-3,然后包含更多细节的新窗口弹出,如图5B所示。弹出窗口示出每个非安全性设备的名称和它们与彼此以及周围的其他安全性设备如何连接。
为了简单起见,以下讨论集中于图4A所示的示例。在此示例中,安全性事故至少涉及两个非安全性设备(一个在由云团Perimeter-9所表示的群组内,另一个在由云团Peremiter-14所表示的群组内)以及某个未知数目的安全性设备。但是,热点图不表明每个设备在安全性事故中扮演什么角色(例如源或目的地)、流量路由是什么以及攻击中是否涉及任何其他设备。收集此信息的一种方式是访问安全性事故表。
图6示出列出预定时间段期间发生的安全性事故的安全性事故表。在一个实施例中,安全性事故表包括六列。事故ID列601存储系统检测到的每个事故的唯一号码,字符“I”被放在该号码之前以指示它是事故ID。事件类型列602包括与构成事故的安全性事件集合相关联的一个或多个事件类型,每个类型包括一个表达式,该表达式描述哪种网络活动触发这种安全性事件。匹配规则列603标识与安全性事故相关联的安全性事件相关规则。动作列604表明响应于安全性事故采取了哪种动作。时间列605存储一个时间段,在该时间段期间安全性事件集合被不同安全性传感器所报告。最后,路径列606具有两个图标,这两个图标都与描述事故的流量路由的图相关联,这将在下文中讨论。为了获知关于事故的更多细节,用户可点击列601中的事故ID“685029”。作为响应,系统生成包含该事故的更多细节的新的网页。
图7示出包含事故685029的信息的网页,其包括安全性事件相关规则701以及多个网络会话702、703和704。安全性事件相关规则701被表达为一个表,该表的列的含意完全可以根据其名称不言而喻。表的每行在偏量列中具有唯一的数字,该数字指定与此行相关联的事件和与此行之前或之后的行相关联的事件之间的相关顺序。
正如动作/操作列中的操作符所指示的,相关顺序可以是逻辑顺序或时间顺序。例如,第一行的操作符是逻辑OR,这意味着如果存在与前两行中的任一行相关联的安全性事件,则相关可以移到第三行上。类似地,第二行的操作符是时间上的FOLLOWED-BY,这意味着属于前两行的事件必须在属于第三行的事件之前。在默认情况下,相关开始于第一行,并且结束在表的最后一行处。但是,如果必要的话可以用前括号和后括号来调整此顺序(见规则的Open和Close列,如图7所示)。
规则的每一行包括“Counts”列或字段,它指定在该行被视为满足之前必须满足该行的约束的安全性事件的数目。当Counts等于1时,只需要一个符合行约束的安全性事件。当Counts等于2或更多时,需要指定数目的这种事件。
除了相关顺序外,安全性事件相关规则的另一个重要方面是将不同安全性事件的源和目的地相互关联起来,以发现构成网络攻击的一系列协同的网络活动。例如,网络攻击可以是这样的一系列网络活动这些网络活动是由黑客从一个或多个设备发起的,用于攻击某些目标设备以便破坏存储在目标设备中的数据或者将数据从目标设备非法传输到黑客指定的设备。
每个安全性事件包括特定网络活动的源和目的地的信息。根据网络流量的方向,网络活动的源可以是发起攻击的设备或受到攻击的设备。从而,规则的一行或多行的源IP和目的地IP列可以被填充以变量。在某些实施例中,变量由以美元符号“$”开始的文本串表示,例如$TARGET01,以用于表示主机地址。这种表达方式的优点是相同的变量可被重新用于不同行中,以根据预定顺序将它们链接在一起。例如,前三行中的代表相应安全性事件的目的地的变量$TARGET01变成了最后一行中的安全性事件的源,从而指示仅当满足规则的第4行的分组源与满足规则的第1至第3行的分组目标相同时,规则才被满足。
最后,可能有由时间范围列指定的对相关安全性事件的时间约束。在图7所示的示例中,安全性相关规则701的时间范围列只有最后一行中的一个条目0hh:5mm:0ss,其意思是要想满足相关规则,那么第一安全性事件和最末安全性事件之间的满足此相关规则的时间差距应当不大于5分钟。
在图7的下半部分中是与安全性事件685029相关联的已满足了图7的上半部分中所示的安全性事件相关规则的网络会话的表。两个表共享类似的结构。列出了四个网络会话,每个网络会话具有唯一的ID,并且与规则的一个偏量相关联。例如,网络会话676903与偏量3相关联,网络会话676984与偏量4相关联。注意与偏量1相关联的会话已经被压缩成了一行,并且在表达式“Total2”旁边的行中有加号按钮,以指示还有另外两个网络会话与偏量1相关联,用户可以通过点击加号来展开该表。
图8示出用户点击加号后的包括两个与偏量1相关联的会话的展开后的网络会话列表。与这两个网络会话相关联的安全性事件几乎是相同的,只不过它们是由不同设备所报告的。网络会话676852的安全性事件是由安全性传感器HQ-SW-IDSM-1报告的,网络会话676853的安全性事件是由传感器HQ-NIDS1报告的,这两个传感器都可以位于图4A的热点图中。注意,诸如事件、源IP和目的地IP之类的列下面的条目包括信息图标。用户可点击这些图标以取回关于该条目的更多细节。
例如,如果用户点击第一行中的IP地址192.168.1.10旁边的信息图标,则弹出如图9所示的窗口,从而提供关于充当多个网络会话的目的地的设备的更多细节,例如名称、设备类型、地理区域、设备管理员、状态和默认网关。类似地,图10示出了报告网络会话676984的安全性事件的安全性设备HQ-FW-1的更多细节。
除了获知关于每个与网络会话相关的设备的更多信息外,用户还可以更深入地了解属于网络会话之一的每个安全性事件,例如安全性传感器所报告的原始消息以及可疑网络活动的流量路由等等。
图11A示出包括分组在网络会话676852下的安全性事件(在此情况下,只有一个由安全性传感器HQ-SW-IDSM-1报告的事件676852)的弹出窗口。事件676852的原始消息指示事件的源地址是IP 40.40.1.23/0,目的地地址是IP 100.1.4.10/10,事件类型是“ICMP Network Sweepw/Echo”。注意原始消息中的目的地地址与网络会话表中的相应的目的地地址192.168.1.10不同。正如下文中将要说明的,此差异是由NAT设备造成的。
图11B示出了包括与网络会话676852相关联的局部热点图的弹出窗口。根据局部热点图,安全性事件676852是由附接到网络交换机HQ-SW-1的安全性传感器HQ-SW-IDSM-1响应于由从源地址40.40.1.23/0到目的地地址HQ-Web-1或192.168.1.10的一系列箭头所指示的网络流量而报告的。
图11C示出了包括与网络会话676852相关联的局部向量图的另一个弹出窗口。如上所述,局部向量图是抽象表达方式,其用途是使网络会话676852的源地址40.40.1.23与目的地地址192.168.1.10之间的网络会话676852可视化。因此,沿着出现在图11B的局部热点图中的路由的设备未出现在局部向量图中。局部向量图在这里示出了网络会话676852是从源地址40.40.1.23到目的地地址192.168.1.10的偏量为1的两个会话之一。
图12A示出了与网络会话676853相关联的安全性事件(在此情况下只有一个事件676853)。图12B和图12C示出了网络会话676853的局部热点和向量图。由于两个网络会话676852和676853都共享相同的源、目的地和偏量值,因此这两幅图与其关于网络会话676852的对应物相同。
图13A示出了与网络会话676903相关联的安全性事件。网络会话676903包括由多个安全性传感器报告的五个安全性事件。某些传感器,比如像HQ-NIDS1,位于NAT设备的一侧,某些位于另一侧。这就是在安全性事件676900的原始消息中目的地地址是100.1.4.10/80,而在安全性事件676904的原始消息中目的地地址是192.168.1.10/80的原因。即使网络会话676903的局部热点图与另两个相同,其局部向量图这一次也是不同的,因为网络会话676903具有不同的偏量值3。
最后,图14A示出了与网络会话676984相关联的三个安全性事件,这些事件是由附接到防火墙HQ-FW-1的安全性传感器报告的。图14B示出了包括开始于设备HQ-Web-1并且结束于设备30.30.2.24的网络流量路由的局部热点图,图14C示出了设备192.168.1.10或HQ-Web-1与设备30.30.2.24之间的网络会话676984。
如上所述,某些网络会话可能只包括一个安全性事件,例如网络会话676852和676853,而某些可能包括多个事件,例如会话676903和676984。在第一种情况下,网络会话中的唯一的安全性事件必须已满足了安全性事件相关规则的相应行中规定的要求。这种事件也被称为触发事件。在第二种情况下,网络会话内也至少有一个触发事件。但是,网络会话中的某些非触发事件可能不完全满足要求。这样,正如下文中更详细说明的,通过为这些事件中的每一个附上问号图标,从而在网络会话列表中突出了这些事件。
图15A示出了另一个安全性事故685008的网络会话列表和弹出窗口。偏量1处的网络会话675271具有多个安全性事件。其中的两个在末端处包括问号图标,从而建议虽然这些事件不是触发事件,但它们仍然足够可疑到被列在此处。系统的用户可通过进一步的调查来决定是否将这些事件保持在会话中。
图15A中的弹出窗口提供了更多信息,从而解释了为什么与会话675271相关联的两个事件之一具有问号。例如,当事件的目的地满足以下三个要求时,攻击类型“IIS Dot Dot Crash Attack”是有效的a)操作系统是Windows NT 4.0,b)应用是因特网信息服务器(IIS)2.0,以及c)协议是TCP。在此示例中,事件的目的地实际上正在Windows 2000操作系统上运行Microsoft IIS 5.0。
由于安全性事件的目的地的操作系统不是Windows NT 4.0,因此这个安全性事件可能是假阳性的,并且未来的任何类似此事件的事件可能将不会出现在网络会话列表中。但是,用户可以决定类似此事件的事件是否是假阳性的以及即使它是假阳性的那么应当如何对待它。如果用户认为将这种类型的事件保持在网络会话列表中有用的话,则他点击图15A中的Cancel按钮,从而将来系统将会以相同的方式对待这种类型的安全性事件。否则,用户需要指示系统创建特殊的规则,即丢弃规则,这种规则将清除掉未来的任何这种类型的安全性事件。
图15B示出用户需要向监控系统提供的用于创建与假阳性事件相对应的丢弃规则的指令之一。即使具有一个特定的事件参数集合的安全性事件被定义为假阳性的,用户可能仍希望将其保存在日志文件或数据库中以供将来参考。但是,默认选项是将来一旦安全性事件到达系统就完全丢弃它以便节省计算机资源以供他用。
图15C示出了关于假阳性安全性事件的信息以及为此类型的安全性事件创建的新的丢弃规则表。丢弃规则表与安全性事件相关规则表类似,丢弃规则表的动作是丢弃(即忽略)任何满足表中指定的要求的事件。丢弃规则表可包括丢弃一种类型的安全性事件的一行,或者丢弃多种类型的安全性事件的多行。
在用户确认创建图15C中的新丢弃规则之后,系统关闭弹出窗口,并且网络会话列表中的相应的问号图标被具有字符“F”的新图标所替换,从而指示此事件已被标记为假阳性,如图15D所示。
图16A示出了丢弃规则列表,这些丢弃规则被聚集在与“DropRules”标签相关联的表中,以便将它们与“Inspection Rules”标签下的那些安全性事件相关规则区分开来。在此示例中,有两个丢弃规则,其中每一个用于丢弃一种特定类型的安全性事件。图16B示出了包含已被系统识别的假阳性事件的事故。这些事故已被划分成两组,每一组与各自的丢弃规则相关联。在一个实施例中,如果用户预先知道一种类型的安全性事件应当被视为假阳性的,则在这里他可以通过点击图16A中的添加按钮而不是经过以上联系图15A-D所讨论的过程来直接创建丢弃规则。
如上所述,安全性事件相关规则被创建来用于检测一种或多种网络攻击。由于响应于网络技术的进步新的网络攻击可能会发展变化,所以必须开发新的安全性事件相关规则来对付这些新的攻击。在一个实施例中,系统通过查询已记录的安全性事件数据从而发现新的攻击场景,来生成新的安全性事件相关规则。
图17A示出了用于查询已记录的安全性事件数据的查询表1701。查询表1701包括多列,这些列与图7所示的安全性事件相关规则表的列类似。在此示例中,源IP条目被设置为20.20.1.15,时间范围条目是一小时。如果用户向包含安全性事件数据的数据库提交此查询,则系统定位并显示以20.20.1.15作为其源并且在过去的一小时内到达系统的安全性事件的信息,然后把它们分组在不同事故和不同会话之下。
图17B示出了用户向数据库提交查询之后的查询结果。作为示例,此查询结果包括相同网络会话675271和相同安全性事故685008之下的多个安全性事件。图17C具有新的弹出窗口1702,该窗口提供了关于网络会话675271中的不同事件的更多细节。此弹出窗口的原始消息列下的条目说明哪种网络活动触发这些事件,并且它们是用于发现新的类型的网络攻击的重要源。如果用户认为查询找出的数据可能确实代表对网络安全性的潜在威胁,则他可以通过点击图17A中所示的“Save As Rules”按钮将该查询保存为新的安全性事件相关规则,从而补充现有的安全性事件相关规则。
为了进行说明,前述描述已参考特定实施例进行了描述。但是,以上的说明性的讨论并不是要无遗漏的或者将本发明限制到所公开的确切形式。在考虑到上述教导的情况下,许多修改和变体都是可能的。选择和描述这些实施例是为了最好地解释本发明的原理及其实际应用,从而使得本领域的技术人员能够以适合于所构思的特定用途的各种修改来最好地利用本发明和各种实施例。
权利要求
1.一种分析安全性事件的方法,包括接收和处理安全性事件,其中包括将所述安全性事件分组到网络会话中,每个会话具有识别出的源和目的地;显示代表网络中的设备的图,所述设备包括安全性设备和非安全性设备,所显示的图包括多个个体设备符号和多个群组设备符号,每个个体设备符号代表所述网络的一个安全性设备,每个群组设备符号代表所述网络的一个非安全性设备群组;以及结合所述图显示安全性事故信息,对于群组设备符号,所述信息包括事故容量指示符,该事故容量指示符指示其源或目的地在与所述群组设备符号相对应的非安全性设备群组的任何成员处的网络会话的数目。
2.如权利要求1所述的方法,包括在用户选择非安全性设备群组的群组设备符号后,显示代表所述群组中的非安全性设备以及与所述群组相关联的安全性设备的第二级图,所显示的第二级图包括多个非安全性设备符号和多个安全性设备符号,每个非安全性设备符号代表所述群组中的一个非安全性设备,每个安全性设备符号代表所述群组中的一个安全性设备;以及结合所述第二级图显示安全性事故信息,对于非安全性设备符号,所述信息包括事故容量指示符,该事故容量指示符指示其源或目的地在所述非安全性设备处的网络会话的数目。
3.如权利要求1所述的方法,包括在用户对所显示的图中的用户指定的设备符号发出命令后,显示代表其源或目的地在与所述用户指定的设备符号相对应的设备处的网络会话的数据。
4.如权利要求3所述的方法,包括响应于一个或多个用户命令,从所显示的数据中选择网络会话,并且定义丢弃规则,该丢弃规则包括与所选择的网络会话相对应的网络条件集合;其中所述对安全性事件的处理包括过滤掉满足所定义的丢弃规则的网络会话。
5.如权利要求3所述的方法,其中所述代表网络会话的数据包括源和目的地标识信息、指示与所述网络会话相对应的事故的一种或多种类型的事件类型信息,以及指示报告与所述网络会话相关联的安全性事件的一个或多个安全性设备的安全性设备信息。
6.如权利要求1所述的方法,其中所述对安全性事件的处理包括识别一起满足预定的安全性事故识别规则群组中的安全性事故识别规则的网络会话的群组,并且将作为任何识别出的网络会话群组的成员的每个网络会话识别为规则触发网络会话;其中每个事故容量指示符指示其源或目的地在与所述设备符号相对应的设备处的规则触发网络会话的数目。
7.如权利要求6所述的方法,其中所述对安全性事件的处理包括从所述规则触发网络会话中排除满足丢弃规则集合中的任何丢弃规则的任何网络会话,每个丢弃规则定义各自的条件集合。
8.一种定义规则的方法,所述规则识别安全性事故的关于安全性事件的实例,所述方法包括提供具有多行的表,每行定义一种类别的安全性事件,并且定义与所述表中的后续行的所述类别的安全性事件的逻辑关系;使得用户对所述表的编辑能够在所述表的一行或多行中定义一个或多个约束,所述一个或多个约束是基于事件参数群组的,该群组包括源地址、目的地地址和事件类型;以及使得用户对所述表的编辑能够指定所述表中用户选择的行相对于所述表的后续行的逻辑关系,所指定的逻辑关系是从布尔关系和定时关系的预定集合中选择出来的。
9.如权利要求8所述的方法,其中所述一个或多个约束包括指定一行的所述类别的安全性事件的源地址是所述表中的另一行的所述类别的安全性事件的目的地地址的约束。
10.如权利要求8所述的方法,其中所述一个或多个约束包括指定所述类别的安全性事件的一个或多个事件类型的约束。
11.如权利要求8所述的方法,其中所述一个或多个约束包括指定必须满足由所述表的一行指定的所有其他约束的安全性事件的数目的约束。
12.如权利要求8所述的方法,其中所述一个或多个约束包括针对所述表中要被评估为得到满足的一行指定必须顺序满足由所述行指定的所有其他约束的安全性事件的数目的约束。
13.如权利要求8所述的方法,其中所述定时关系指定一行的所述类别的安全性事件发生在后续行的所述类别的安全性事件之前。
14.一种定义对多个安全性事件的查询以检测用户定义的安全性事件模式的方法,该方法包括收集多个安全性事件,每个事件的特征在于包括源地址、目的地地址和事件类型的事件参数集合;提供具有多行的表,每行具有多列并定义一种类别的安全性事件,一列指定与所述表中的后续行的所述类件的安全性事件的逻辑关系,一列指定所述类别的安全性事件的预定事件计数;使得用户对所述表的编辑能够在所述表的一行或多行中定义一个或多个约束,所述一个或多个约束中的每一个约束将一行的一列或多列与所述表中的另一行的一列或多列相关联,或者将一行的一列或多列与预定的参数集合相关联;以及使得用户对所述表的编辑能够指定所述表的用户选择的行相对于所述表的后续行的逻辑关系,所指定的逻辑关系是从布尔关系和定时关系的预定集合中选择出来的。
15.如权利要求14所述的方法,其中所述多行指定网络条件集合,以使得任何未来的处理跳过满足所述条件集合的一个或多个安全性事件。
16.一种分析安全性事件流的方法,包括接收和处理安全性事件流,其中包括将所述安全性事件分组到多个网络会话中,每个会话具有识别出的源和目的地并且被分配唯一的会话标识符;将多个预定的安全性事件相关规则应用到与经处理的安全性事件相关联的所述多个网络会话;对于所述预定的安全性事件相关规则的子集中的每一个,从与所述经处理的安全性事件相关联的多个网络会话中识别满足所述规则的网络会话;显示代表网络中的设备的图,所显示的图包括多个个体设备符号和多个群组设备符号,每个个体设备符号代表所述网络的一个安全性设备,每个群组设备符号代表所述网络的一个非安全性设备群组;以及结合所述图显示与所识别出的网络会话相关联的信息,对于每个群组设备符号,所述信息包括会话容量指示符,该会话容量指示符指示其源或目的地在与所述群组设备符号相对应的非安全性设备群组中的非安全性设备处的识别出的网络会话的数目。
17.一种分析安全性事件流的方法,包括接收安全性事件流;将所述安全性事件分组到多个网络会话中,每个会话具有至少一个安全性事件并且其特征在于识别出的源和目的地;将多个预定的安全性事件相关规则应用到与所述安全性事件相关联的所述多个网络会话;对于所述预定的安全性事件相关规则的子集中的每一个,识别满足所述规则的网络会话;显示代表网络中的设备的图,所显示的图包括多个个体设备符号和多个群组设备符号,每个个体设备符号代表所述网络的一个安全性设备,每个群组设备符号代表所述网络的一个非安全性设备群组;以及结合所述图显示与识别出的网络会话相关联的信息,对于每个群组设备符号,所述信息包括会话容量指示符,该会话容量指示符指示其源或目的地在与所述群组设备符号相对应的非安全性设备群组中的非安全性设备处的识别出的网络会话的数目。
18.一种网络安全性事件分析系统,包括一个或多个用于执行程序的中央处理单元;用于接收安全性事件的接口;以及可以由所述一个或多个中央处理单元执行的网络安全性事件相关引擎,该引擎包括用于接收和处理安全性事件的指令,其中包括将所述安全性事件分组到网络会话中,每个会话具有识别出的源和目的地;用于显示代表网络中的设备的图的指令,所述设备包括安全性设备和非安全性设备,所显示的图包括多个个体设备符号和多个群组设备符号,每个个体设备符号代表所述网络的一个安全性设备,每个群组设备符号代表所述网络的一个非安全性设备群组;以及用于结合所述图显示安全性事故信息的指令,对于群组设备符号,所述信息包括事故容量指示符,该事故容量指示符指示其源或目的地在与所述群组设备符号相对应的非安全性设备群组的一个成员处的网络会话的数目。
19.如权利要求18所述的系统,包括用于响应于用户对非安全性设备群组的群组设备符号的选择,显示代表所述群组中的非安全性设备以及与所述群组相关联的安全性设备的第二级图的指令,所显示的第二级图包括多个非安全性设备符号和多个安全性设备符号,每个非安全性设备符号代表所述群组中的一个非安全性设备,每个安全性设备符号代表所述群组中的一个安全性设备;以及用于结合所述第二级图显示安全性事故信息的指令,对于非安全性设备符号,所述信息包括事故容量指示符,该事故容量指示符指示其源或目的地在所述非安全性设备处的网络会话的数目。
20.如权利要求18所述的系统,包括用于响应于用户对所显示的图中的用户指定的设备符号的命令,显示代表其源或目的地在与所述用户指定的设备符号相对应的设备处的网络会话的数据的指令。
21.如权利要求20所述的系统,包括用于响应于一个或多个用户命令从所显示的数据中选择网络会话并且定义丢弃规则的指令,所述丢弃规则包括与所选择的网络会话相对应的网络条件集合;其中所述对安全性事件的处理包括过滤掉满足所定义的丢弃规则的网络会话。
22.如权利要求20所述的系统,其中所述代表网络会话的数据包括源和目的地标识信息、指示与所述网络会话相对应的事故的一种或多种类型的事件类型信息,以及指示报告与所述网络会话相关联的安全性事件的一个或多个安全性设备的安全性设备信息。
23.如权利要求18所述的系统,其中所述对安全性事件的处理包括识别一起满足预定的安全性事故识别规则群组中的安全性事故识别规则的网络会话的群组,并且将作为任何识别出的网络会话群组的成员的每个网络会话识别为规则触发网络会话;其中每个事故容量指示符指示其源或目的地在与所述设备符号相对应的设备处的规则触发网络会话的数目。
24.如权利要求23所述的系统,其中所述对安全性事件的处理包括从所述规则触发网络会话中排除满足丢弃规则集合中的任何丢弃规则的任何网络会话,每个丢弃规则定义各自的条件集合。
25.一种用于结合计算机系统使用的计算机程序产品,该计算机程序产品包括计算机可读存储介质和嵌入在其中的计算机程序机制,该计算机程序机制包括用于接收和处理安全性事件的指令,其中包括将所述安全性事件分组到网络会话中,每个会话具有识别出的源和目的地;用于显示代表网络中的设备的图的指令,所述设备包括安全性设备和非安全性设备,所显示的图包括多个个体设备符号和多个群组设备符号,每个个体设备符号代表所述网络的一个安全性设备,每个群组设备符号代表所述网络的一个非安全性设备群组;以及用于结合所述图显示安全性事故信息的指令,对于群组设备符号,所述信息包括事故容量指示符,该事故容量指示符指示其源或目的地在与所述群组设备符号相对应的非安全性设备群组的一个成员处的网络会话的数目。
26.如权利要求25所述的计算机程序产品,包括用于响应于用户对非安全性设备群组的群组设备符号的选择,显示代表所述群组中的非安全性设备以及与所述群组相关联的安全性设备的第二级图的指令,所显示的第二级图包括多个非安全性设备符号和多个安全性设备符号,每个非安全性设备符号代表所述群组中的一个非安全性设备,每个安全性设备符号代表所述群组中的一个安全性设备;以及用于结合所述第二级图显示安全性事故信息的指令,对于非安全性设备符号,所述信息包括事故容量指示符,该事故容量指示符指示其源或目的地在所述非安全性设备处的网络会话的数目。
27.如权利要求25所述的计算机程序产品,包括用于响应于用户对所显示的图中的用户指定的设备符号的命令,显示代表其源或目的地在与所述用户指定的设备符号相对应的设备处的网络会话的数据的指令。
28.如权利要求27所述的计算机程序产品,包括用于响应于一个或多个用户命令从所显示的数据中选择网络会话并且定义丢弃规则的指令,所述丢弃规则包括与所选择的网络会话相对应的网络条件集合;其中所述对安全性事件的处理包括过滤掉满足所定义的丢弃规则的网络会话。
29.如权利要求27所述的计算机程序产品,其中所述代表网络会话的数据包括源和目的地标识信息、指示与所述网络会话相对应的事故的一种或多种类型的事件类型信息,以及指示报告与所述网络会话相关联的安全性事件的一个或多个安全性设备的安全性设备信息。
30.如权利要求25所述的计算机程序产品,其中所述对安全性事件的处理包括识别一起满足预定的安全性事故识别规则群组中的安全性事故识别规则的网络会话的群组,并且将作为任何识别出的网络会话群组的成员的每个网络会话识别为规则触发网络会话;其中每个事故容量指示符指示其源或目的地在与所述设备符号相对应的设备处的规则触发网络会话的数目。
31.如权利要求30所述的计算机程序产品,其中所述对安全性事件的处理包括从所述规则触发网络会话中排除满足丢弃规则集合中的任何丢弃规则的任何网络会话,每个丢弃规则定义各自的条件集合。
全文摘要
网络安全性监控系统将多个安全性事件分组到网络会话中,根据预定网络安全性事件相关规则集合使网络会话相互关联,并且针对满足网络安全性事件相关规则之一的网络会话生成安全性事故。然后该系统以直观形式向系统的用户提供网络会话和安全性事故的信息。用户不仅能够获知可能的网络攻击的细节,还能够直观地创建新的安全性事件相关规则,其中包括用于丢弃特定类型的事件的丢弃规则。
文档编号G06F15/16GK1829953SQ200480022035
公开日2006年9月6日 申请日期2004年9月3日 优先权日2003年9月12日
发明者帕萨·巴塔卡娅, 艾敏·T·李, 阿吉·约瑟夫, 艾利·史蒂文斯, 迪瓦卡尔·纳拉马迪 申请人:普罗泰格网络公司