用于模式发现的参数调节的制作方法
【专利摘要】对事件数据执行的模式发现可以包括选择用于模式发现的参数的初始集合。所述参数可以指定用于识别事件数据中的模式的条件。基于参数的初始集合来对事件数据执行模式发现运行,以及可以基于模式发现运行的输出来调节参数。
【专利说明】用于模式发现的参数调节
【背景技术】
[0001]模式检测通常旨在找到输入数据集中的先前未知的模式。模式是贯穿检查时间段的持续时间进行重复的数据集的元素的关联。这与模式匹配方法相反,所述模式匹配方法例如使用正则表达式来在具有预先存在的模式的输入中寻找匹配。
[0002]模式检测方法需要大量的资源,例如,计算资源和存储器。当这些资源缺乏或以其他方式不可用时,模式检测运行可能无法完成对输入数据的分析。
【专利附图】
【附图说明】
[0003]可以通过参考附图而更好理解实施例并且使其特征显而易见。附图图示了在此描述的实施例的示例。
[0004]图1示出了网络安全系统。
[0005]图2示出了模式发现模块。
[0006]图3示出了用于参数选择的流程图。
[0007]图4示出了另一流程图,其示出了用于参数选择的附加细节的。
[0008]图5示出了实施例可以在其中被实现的计算机系统。
【具体实施方式】
[0009]用于网络的安全信息/事件管理(SM或SIEM)可以包括从反映网络活动和/或设备的操作的网络和网络设备收集数据以及分析所述数据以增强安全性。网络设备的示例可以包括防火墙、入侵检测系统、服务器、工作站、个人计算机等。数据可以被分析以检测模式,所述模式可以指示网络或网络设备上的攻击或异常。所检测的模式可以被用于例如定位数据中的那些模式。例如,所述模式可以指示试图获得对网络中的计算机的访问并且安装恶意软件的蠕虫或另一类型的计算机病毒的活动。
[0010]从网络和网络设备收集的数据是针对事件的。事件可以是能够被监控和分析的任何活动。针对事件的所捕获的数据被称为事件数据。所捕获的事件数据的分析可以被执行以确定所述事件是否与威胁或某一其他条件相关联。与事件相关联的活动的示例可以包括登录、注销、通过网络发送数据、发送电子邮件、访问应用、读取或写入数据、端口扫描、安装软件等。可以从消息、由网络设备生成的日志文件条目、或从其他源收集事件数据。安全系统还可以生成事件数据,诸如相关事件和审计事件。在一些实例中,可以生成每秒一千个事件。这可以合计每天一亿个事件或每月三十亿个事件。
[0011]根据实施例,字段和参数可以被选择用于模式发现。事件数据中的事件可以具有许多属性。可以根据与事件数据中的事件的属性相关联的字段来存储事件数据。例如,字段是描述事件数据中的事件的属性。字段的示例包括事件的日期/时间、事件名称、事件类另Ij、事件ID、源地址、源MAC地址、目的地址、目的MAC地址、用户ID、用户特权、设备客户字符串等。事件数据可以被存储在由字段组成的表中。在一些情况下,反映不同事件属性的数百个字段可以被用于存储事件数据。
[0012]对于模式发现而言,一些字段被选择。例如,所选择的字段可以包括来自所述表的字段的集合。所述集合中字段的数量可以包括来自所述表的字段中的一个或多个。被选择用于所述集合的字段可以基于各种统计信息来选择,并且可以被存储在模式发现配置文件(profile)中。模式发现配置文件是用于发现事件数据中的模式的任何数据。模式发现配置文件可以包括字段的集合、参数和用于模式发现的其他信息。
[0013]除了包括字段外,参数可以被用于模式发现。参数可以被包括在用于模式发现的模式发现配置文件中。参考可以指定用于模式发现配置文件中的字段与事件数据的匹配的条件以检测模式。此外,可以被用于调节模式数量的参数被检测。参数的一个示例是作为活动数量的模式长度。模式长度参数可以表示针对将被认为是模式的活动而被执行的不同活动的最小数量,所述不同活动。参数的另一示例是可重复性参数,其可以表示不同活动的最小次数,所述不同活动被重复以使它们被认为是模式。在一个示例中,可重复性与两个字段相关联。例如,可重复性可以被表示为活动跨越其被重复的源字段和目标字段的不同组合。源IP地址和目标IP地址的不同组合的最小数量是可重复性参数的示例。这些参数可以被调节直到预定量的匹配模式被识别。
[0014]根据实施例,参数的选择是适应性的。例如,参数可以被调节以改变被识别的匹配模式的数量。例如,如果系统资源(诸如,存储器、CPU周期等)正被耗尽,则参数可以被调节以减少被考虑用于模式发现的事件的数量。在另一示例中,如果太少或太多的模式被识别,则参数可以被调节以增加或减少所识别模式的数量。
[0015]模式是多个不同活动的序列。在模式的示例中,活动的序列包括:扫描端口、识别开放端口、把具有特定有效载荷的分组发送到端口、登录到计算机系统以及在计算机系统上的特定位置中存储程序。
[0016]此外,识别被重复的模式。例如,如果多个不同的活动被重复,则其可以被认为是重复的模式。此外,模式可以处于两个计算机系统之间。因此,所述模式可以包括与不同计算机系统相关联的源字段和目标字段。在一个示例中,源字段和目标字段是计算机系统的互联网协议(IP)地址。源字段和目标字段描述计算机系统之间的事务。模式活动还可以由除了或代替所述源字段和目标字段之一的其他字段分组在一起。在一个示例中,可以跨越用户ID来分析模式活动以识别由多个用户重复的活动的序列或集合。在另一示例中,可以被跨越信用卡号码或客户来分析模式活动以识别跨越多个信用卡账户的活动的序列或隹A
口 O
[0017]除了或代替所述源字段和目标字段之一,其他事件字段可以被包括在模式发现配置文件中。在一个示例中,字段被用于识别具体模式并且被称为模式识别字段。在一个示例中,模式识别字段是事件名称或事件类别。在另一示例中,它可以是信用卡交易量。在又一示例中,它可以是用以检测应用URL访问模式的事件请求URL字段。
[0018]针对病毒的模式的一个简化不例如下。一个事件是端口扫描。端口的扫描发生在源机器上。下一个事件是发送分组到目标机器。下一个事件可以是登录到目标机器。下一个事件可以是在目标机器处的端口扫描以及其他事件的重复。以这种方式,病毒可以复制。通过检测作为模式的重复的事件,病毒可以被检测。例如,用于模式发现的所选择的字段可以是事件名称,以及可重复性参数是4,并且活动参数的数量是3。被检测的独特事件具有端口扫描、分组传送以及在目标/目的机器上登录的事件名称。事件的数量是3。这个模式包括3个不同的事件(例如,端口扫描、分组传送和在目标/目的机器上登录),其满足活动参数的数量。如果这个模式被检测至少4次(例如,在模式发现运行期间),则其满足可重复性参数,并且其被认为是模式匹配。通知消息或另一类型的警报可以被生成。
[0019]多个模式发现配置文件可以被创建以检测各种不同的参数,如果模式被检测,则动作可以被执行。例如,如果模式表示对网络安全的攻击,则通知、警报或其他动作可以被执行以阻止攻击。其他动作可以包括显示模式中的事件以便由网络管理员分析。
[0020]图1是根据实施例的网络安全系统100的框图。系统100包括代理12a_n、管理器14和控制台16,其可以包括基于浏览器的版本。在一些实施例中,代理、管理器和/或控制台可以被组合在单个平台中或分布在两个、三个或更多的平台中(诸如,在所图示的示例中)。当计算机网络或系统增长时,这个多层架构的使用支持可缩放性。
[0021]代理12a_n包括机器可读指令,其提供来自各种网络安全设备和/或应用的高效、实时(或近乎实时)的本地事件数据捕获和过滤。安全事件的典型源是常见的网络安全设备,诸如,防火墙、入侵检测系统和操作系统日志。代理12a-n从生成事件日志或消息的任何源收集事件,并且可以在本地设备处、在网络内的联合点处、和/或通过简单的网络管理协议(SNMP )陷阱进行操作。
[0022]代理12a_n是通过人工和自动化过程二者以及经由相关联的配置文件可配置的。每个代理12可以包括归一化部件、时间修正部件、聚集部件、批处理部件、解算器部件、传输部件、和/或附加部件。这些部件可以通过配置文件中的适当命令被激活和/或去激活。
[0023]管理器14可以由基于服务器的部件组成,所述基于服务器的部件通过采用规则引擎18和集中化事件数据库20 (其可以包括由存储针对所接收事件的事件数据的字段组成的事件表)来将从代理接收的事件进一步联合、过滤以及互相关。数据库20还可以存储由管理器14生成的模式发现配置文件。管理器14的一个作用是捕获和存储多有的实时和历史事件数据,以构建(经由数据库管理器22)完整的安全活动画面。管理器14还提供集中化的管理、通知(通过至少一个通知器24),以及报告,以及案例管理工作流程。管理器14可以被部署在任何计算机硬件平台上,并且可以使用数据库管理系统来实现事件数据存储部件。管理器14和代理12a-n之间的通信可以是双向的(例如,以允许管理器14把命令传送到托管代理12a-n的平台)并且是加密的。管理器14可以充当用于多个代理12a_n的集中器,并且可以把信息转发给(例如,被部署在公司总部的)其他管理器。
[0024]管理器14还包括事件管理器26,其接收由代理12a_n传送的事件数据消息。事件管理器26还负责生成事件数据消息,诸如,相关事件和审计事件。在与代理12a-n的双向通信被实现的情况下,事件管理器26可以被用于把消息传送到代理12a-n。如果加密被用于代理-管理器通信,则事件管理器26负责解密从代理12a-n接收的消息,并且加密传送到代理12a-n的任何消息。
[0025]控制台16是允许安全专业人员执行每天的管理和操作任务(诸如,事件监控、规则创作、事故调查和报告)的应用。访问控制列表允许多个安全专业人员使用相同的系统和事件/趋势数据库,其中每一个具有适于其职责的其自己的视图、相关规则、警报、报告和知识库。单个管理器14可以支持多个控制台16。
[0026]控制台16可以是基于浏览器的,并且可以被用于提供对安全事件、知识库条目、报告、通知和案例的访问。管理器14可以包括经由在个人或手持计算机上托管的网络浏览器可访问的网络服务器部件(其取代控制台16),以提供控制台16的功能中的一些或全部。浏览器访问对于远离控制台16的安全专业人员以及对于兼任的用户是特别有用的。控制台16和管理器14之间的通信是双向的,并且可以被加密。
[0027]通过以上所描述的架构,可以支持集中化或分散化的环境。这是有用的,因为组织可能想要实现系统100的单个实例,并且使用访问控制列表来划分用户。替代地,组织可以选择来部署单独的系统100以用于多个组中的每一个,并且联合在“主控”级下的结果。
[0028]网络安全系统100还包括模式处理能力。管理器14包括模式发现模块30。模式发现模块30接收事件的集合,所述事件诸如是经由事件管理器26来自至少一个代理12a-n的事件、经由数据库管理器22来自事件数据库20的事件、或来自事件管理器26的事件。
[0029]在操作中,代理12a_n可以提供事件和/或聚集数据。在一个示例中,代理12a_n提供事件,所述事件由事件管理器26在事件流中接收,并且被传递到规则引擎18和模式发现模块30以用于处理。事件流是事件的连续流程。从代理12a-n接收的或由管理器14生成的事件数据可以经由数据库管理器22而被存储在数据库20的事件表中。
[0030]模式发现模块30生成模式发现配置文件,其可以被存储在事件数据库20中。模式发现配置文件可以包括所选择的字段和参数以用于识别事件数据中的模式。下面描述的方法描述了可以被用于模式发现配置文件中的调节参数。模式发现配置文件被用于检测事件数据库20中的多个事件,其满足在模式发现配置文件中描述的标准。被选择用于与在模式发现配置文件中定义的标准比较的事件可以基于可以由用户或另一过程指定的范围或类别。范围例如可以包括用于事件的时间范围,诸如,最后5分钟内或最后24小时内的事件。由参数指定的其他过滤条件可以被应用于识别事件的集合以对照模式发现配置文件进行比较。数据库管理器22可以执行SQL命令以将来自事件数据库20的事件数据与在模式发现配置文件中定义的标准相比较。
[0031]模式发现模块30还可以基于模式发现运行的输出来调节参数。模式发现运行是这样的过程,其分析事件数据以确定事件数据是否具有满足标准的模式,该标准由可以在模式发现配置文件中指定的字段和参数所指定。事件数据的分析可以包括确定事件数据中的事件是否满足条件,该条件由与模式发现配置文件中的字段相关联的参数所指定。模式发现模块30可以包括用以选择用于模式发现配置文件的字段的字段选择模块31和用于检测满足模式发现配置文件的标准的模式的模式识别器引擎32。模式发现模块30还可以包括用于调节参数的参数调谐模块33。参考图2进一步详细地描述字段选择模块31、模式识别器引擎32和参数调谐模块33。
[0032]如果模式被检测到,则通知器24可以生成通知(例如,消息、警报等)。此外,针对所检测模式的事件数据可以被显示和分析。规则引擎18可以包括用于经由数据库管理器22调用模式检测的规则,诸如描述何时进行模式检测或谁可以查看模式检测结果的规则。
[0033]图2示出了包括字段选择模块31、模式识别器引擎32以及参数调谐模块33的模式发现模块30。字段选择模块31分析事件统计信息以选择用于模式发现配置文件的字段。事件统计信息可以包括用于数据库中各种字段的基数性和重复性。基数性是集合中独特项目的数量。具有较高基数性的字段可以变为用于绑定由活动序列组成的事务的事务字段。
[0034]重复性是字段中的值被重复的次数。具有高基数性的字段可以帮助实现高的重复性。例如,假设网络中仅存在两个计算机系统,并且仅这些计算机系统正在报告作为事件的活动。仅存在两个IP地址,因此如果源IP地址或目标IP地址被选择为事务字段,则存在不太多的重复行为。然而,如果存在十个不同的计算机系统集合,则针对活动序列的更多的重复性可能被检测到,因为存在能够展现活动序列的源IP地址和目标IP地址的更加多的组合。
[0035]模式识别器引擎32执行模式发现运行以将事件与在模式发现配置文件中定义的标准进行比较,从而识别与所述模式发现配置文件匹配的模式。例如,模式识别器引擎32可以从字段选择模块31接收模式发现配置文件,或从事件数据库20接收先前存储的模式发现配置文件。匹配可以包括表示满足在模式发现配置文件中指定的字段和参数的标准的活动的序列的事件。与模式发现配置文件匹配的每个实例是模式。
[0036]在将事件与模式发现配置文件比较之前,事件可以被过滤。例如,可以响应于查询从事件数据库20接收与预定标准匹配的事件,诸如范围内或类别中的事件。将这些事件在模式发现运行期间与发现配置文件中定义的标准进行比较以检测匹配。
[0037]参数调谐模块33基于模式发现运行的输出来调节参数。例如,模式发现运行的输出可以包括被识别与模式发现配置文件匹配的模式。如果被识别的模式的数量不是如由用户或由系统本身所期望的(诸如,太少或太多),则模式发现配置文件中的一个或多个参数可以被调节,因此期望数量的模式被识别。下面描述调节参数的示例。
[0038]图3图示了用于调节用于模式发现的参数的方法300的示例。参数和字段可以被选择并且被结合到模式发现配置文件中,并且被存储在图1中所示的事件数据库20中。方法300可以由模式发现模块30或由系统中除图1中所示之外的其他模块来执行。此外,方法300可以通过执行存储在数据存储设备上的机器可读指令来实施。
[0039]在301处,用于模式发现的初始参数被确定。参数的示例可以包括模式的长度,其可以识别需要针对将被认为是模式的活动而被执行的不同活动(例如,事件)的最小和/或最大数量,可重复性参数,其指示不同活动被重复的最小和/或最大次数(可以包括跨越多个源和目的组合的模式序列的重复性),持续时间,其是用于正在考虑用于模式匹配的事件的持续时间(例如,15分钟、I小时、半天、2天等),从模式中的第一事件到最后的事件的最小和/或最大时间(例如,在模式上已逝去的时间),等等。
[0040]被确定的初始参数可以包括参数中的一个或多个及其值的选择。在一个示例中,通过分析用于模式发现的先前运行中的参数并且分析所述运行的模式匹配结果来确定初始参数。用户可以选择初始参数及其值。
[0041]参数可以与用于从事件数据识别模式的条件相关联,并且可以与被选择用于识别所述模式的字段相关联。例如,如果事件名称是选择的字段,并且模式的长度是初始参数,则将模式从事件数据识别(如果其包括具有不同事件名称的事件的集合,并且不同事件名称的数量至少与模式长度参数一样大)。
[0042]字段可以被选择用于模式发现运行。在一个示例中,字段被预先确定。在另一示例中,基于针对每个字段的统计信息来识别字段。基数性和重复性是可以被用于选择字段的统计信息的示例。字段的基数性是字段中的独特项目(例如,值)的数量。字段的重复性是字段中的值被重复的次数。例如,字段可以是事件名称,并且这个字段的重复性确定字段中每个独特事件名称被重复的次数。事件名称可以一直描述针对所述事件的活动,并且重复性可以识别每个活动被重复的次数。一些字段可以具有空值,并且当确定每个字段的基数性和重复性时,所述空值不被包括。针对字段的基数性和重复性统计信息可以通过查询事件数据库20来确定。
[0043]在302处,基于初始参数对事件数据执行模式发现运行。模式发现运行可以包括分析事件数据以确定其是否满足由发现配置文件中的字段和初始参数所指定的条件。模式发现运行的输出可以包括满足所述条件的模式的结果集合。结果集合可以包括无模式、一个模式或多个模式。在一些情况下,模式发现运行可能失败,并且然后所述结果集合为零或空。模式发现运行的失败可以包括模式发现运行无法在预定时间段内完成执行。在一些情况下,所述失败可能因用以执行所述运行的资源的缺少所引起。
[0044]在303处,可以基于模式发现运行的输出来调节来自初始参数的参数。输出可以包括模式的结果集合。输出可以被分析以确定所述结果集合是否满足一个或多个阈值和/或所述模式发现运行是否被完成。例如,可以将结果集合中的模式的数量与最大和/或最小阈值进行比较。如果太多的模式在结果集合中(例如,结果集合中的模式的数量超过了最大阈值),则参数可以被调节以生成较少的匹配。例如,重复性参数被增加,或者模式长度参数被增加,或持续时间被缩短。如果太少的参数在结果集合中(例如,结果集合中的模式的数量少于最小阈值),则参数可以被调节以生成更多的匹配。例如,重复性参数被减少,或者模式长度参数被减少,或持续时间被增加。此外,如果模式发现运行失败或如果模式发现运行的执行将超过预定的时间长度,则没有结果集合可以被生成,并且参数可以被调节以减少用以运行模式发现的系统资源。
[0045]结果集合可以在将从所述模式发现运行被识别的期望模式的范围内。在这些情况下,参数可以不被调节。替代地,参数和字段可以被修改以确定新的发现配置文件来识别不同的模式。
[0046]如果一个或多个参数被调节,则(诸如在320处所执行的)发现运行可以被重复,但利用调节后的参数并且也利用未被调节的参数。然后,输出被再次分析并且参数可以被再次调节直到识别了模式的期望结果集合。
[0047]图4图示了用于调节用于模式发现的参数的方法400的示例。方法400可以被执行用于图3中所示的303。方法400可以由模式发现模块30或由系统中除图1中所示的以外的其他模块来执行。此外,方法400可以通过执行存储在数据存储设备上的机器可读指令来实施。
[0048]在401处,做出关于模式发现运行是否失败的确定。失败可以包括无法在预定的时间段内完成。如果模式发现运行失败,则在402处,参数可以被调节以减少用以执行后续模式发现运行的系统资源。例如,参数可以被调节以减少将被考虑用于确定事件的序列是否为模式的不同事件的不同组合的数量。在一个示例中,持续时间参数被减少,因此被分析用于模式检测的事件的总数量被减少。
[0049]在403处,做出关于从模式发现运行所识别的模式的数量是否超过阈值的确定(例如,检测到太多的模式)。这个阈值是最大阈值,并且可以由用户设置,并且可以基于一个或多个因素,诸如检查全部参数的用户能力、执行模式发现运行所花费的时间等。如果模式超过最大阈值,则在404处,调节参数中的一个或多个。例如,参数被限制为减少所发现的模式的数量。例如,最小重复性值被增加、最小模式长度值被增加、被考虑的事件的持续时间被缩短等。
[0050]在405处,做出关于模式的数量是否低于阈值的确定。这个阈值是最小阈值,并且可以由用户设置。如果模式的数量低于最小阈值,则在406处,扩展参数中的一个或多个。参数被扩展为增加所发现的模式的数量。例如,最小重复性值被减少、最小模式长度值被减少、被考虑的事件的持续时间被增加等。
[0051]401,403和405可以按照与图4中所示的不同的次序来执行。
[0052]图5图示了实施例可以在其中被实现的计算机系统。计算机系统500可以是用于图1中所示系统100或系统100中的一个或多个部件的平台。计算机系统500被示为包括可以经由总线524被电耦合的硬件元件。硬件元件可以包括处理器(诸如,中央处理单元(CPU) 502)、输入设备504和输出设备505。计算机系统500还可以包括存储设备,诸如存储器518和非易失性存储设备512 (例如,硬盘、光盘、固态存储装置等)。存储设备是可以存储机器可读指令的非暂时性计算机可读介质的示例。例如,在运行时间,存储器518可以存储操作系统520和其他代码522。其他代码522可以包括来自图1中所示的系统100的模块,诸如模式发现模块30。非易失性存储设备512可以存储数据和机器可读指令。计算机系统500可以另外包括通信接口 514 (例如,调制解调器、网卡(无线或有线)、红外通信设备等)。
[0053]应认识到的是,计算机系统500的替代实施例可以具有与以上所描述的内容的众多变化。例如,也可以使用定制的硬件和/或可以在硬件、软件(包括便携式软件,诸如小应用程序)或二者中实现特定的元件。进一步,可以采用与其他计算设备(诸如网络输入/输出设备)的连接。
[0054]尽管已经参考示例描述了实施例,但可以在不背离实施例的范围的情况下做出对所描述实施例的各种修改。
【权利要求】
1.一种用于在事件数据中确定用于模式发现的参数的方法,所述方法包括: 选择用于模式发现的参数的初始集合,其中所述参数指定用于识别事件数据中的模式的条件; 由处理器基于参数的初始集合来对所述事件数据执行模式发现运行;以及 基于所述模式发现运行的输出来调节参数的初始集合的参数。
2.如权利要求1所述的方法,其中调节参数包括: 确定作为执行所述模式发现运行的结果从所述事件数据识别的模式的数量是否小于阈值;以及 如果调节的参数被用于后续模式发现运行中,则扩展所述参数以增加从所述事件数据识别的模式的数量。
3.如权利要求1所述的方法,其中调节参数包括: 确定作为执行所述模式发现运行的结果从所述事件数据识别的模式的数量是否大于阈值;以及 如果调节的参数被用于后续模式发现运行中,则限制所述参数以减少从所述事件数据识别的模式的数量。
4.如权利要求1所述的方法,其中调节参数包括: 确定所述模式发现运行是否无法在预定的时间段内完成;以及 如果调节的参数被用于后续模式发现运行中,则调节所述参数以减少系统资源。
5.如权利要求1所述的方法,其中参数的初始集合包括:在序列中针对将被认为是模式的活动而被执行的不同活动的最小数量,识别被重复以被认为是模式的不同活动的最小次数的可重复性参数,以及被考虑用于所述模式发现运行的事件数据的持续时间。
6.如权利要求5所述的方法,其中调节所述参数包括: 增加针对将被认为是模式的活动而执行的不同活动的最小数量,增加所述可重复性参数,或减少所述持续时间。
7.如权利要求5所述的方法,其中调节所述参数包括: 减少针对将被认为是模式的活动而执行的不同活动的最小数量,减少所述可重复性参数,或增加所述持续时间。
8.如权利要求1所述的方法,包括: 基于用于模式发现配置文件的字段统计信息来选择字段的集合; 在模式发现配置文件中包括所述字段的集合以及所述初始参数;以及 执行模式发现运行包括基于包括所述字段的集合以及参数的初始集合的模式发现配置文件来识别所述事件数据中的模式。
9.如权利要求8所述的方法,其中执行模式发现运行包括: 确定所述事件数据是否包括满足与所述初始参数相关联的条件的字段的集合,以识别与所述模式发现配置文件匹配的事件数据中的模式。
10.如权利要求1所述的方法,其中所述模式发现运行的输出包括满足参数的初始集合的条件的模式的结果集合,其中所述条件与用于所述事件数据的字段的集合相关联。
11.一种网络安全事件处理系统,包括: 数据存储装置,其存储描述用于连接到网络的设备的活动的事件数据; 模式识别器引擎,其由处理器执行以执行模式发现运行,从而基于与用于识别模式的条件相关联的参数的初始集合来检测所述事件数据中的模式;以及 参数调谐模块,其用以基于所述模式发现运行的输出来调节来自所述初始集合的参数。
12.如权利要求11所述的网络安全事件处理系统,其中所述参数调谐模块用以确定作为执行所述模式发现运行的结果从所述事件数据识别的模式的数量是否小于阈值,并且用以如果调节的参数被用于后续模式发现运行中,则调节所述参数以增加从所述事件数据识别的模式的数量。
13.如权利要求11所述的网络安全事件处理系统,其中所述参数调谐模块用以确定作为执行所述模式发现运行的结果从所述事件数据识别的模式的数量是否大于阈值,并且用以如果调节的参数被用于后续模式发现运行中,则调节所述参数以减少从所述事件数据识别的模式的数量。
14.如权利要求11所述的网络安全事件处理系统,其中所述参数调谐模块用以确定所述模式发现运行是否无法在预定的时间段内完成,并且用以调节所述参数以减少系统资源从而执行后续模式发现运行。
15.一种非暂时性计算机可读介质,其包括机器可读指令,当所述指令由处理器执行时,促使所述处理器来: 选择用于模式发现的参数的初始集合,其中所述参数指定用于识别事件数据中的模式的条件; 基于参数的初始集合来对所述事件数据执行模式发现运行;以及 基于在所述模式发现运行中识别的模式的数量或基于所述模式发现运行是否无法完成执行来调节参数的初始集合的参数。
【文档编号】G06F21/55GK104246787SQ201280072844
【公开日】2014年12月24日 申请日期:2012年5月30日 优先权日:2012年5月30日
【发明者】赵 Z., 王 Y., 兴拉 A. 申请人:惠普发展公司,有限责任合伙企业