用于顯示網絡安全性事故的方法和系統的制作方法

專利名稱：用于顯示網絡安全性事故的方法和系統的制作方法
技術領域：
本發明一般地涉及計算機網絡安全性領域，尤其涉及用于顯示網絡安全性事故(incident)的系統和方法。
背景技術：
從大型商業交易到個人金融管理，我們日常生活的幾乎每個方面都依賴著諸如因特網這樣的計算機網絡的安全操作。
在過去幾十年間，已開發出了不同技術來增強計算機網絡面對攻擊時的安全性。例如，多個諸如入侵檢測傳感器(IDS)這樣的安全性傳感器被部署在因特網或局域網(LAN)上，以檢測可疑網絡活動。
圖1示出具有多個附接到路由器、防火墻、交換機和主機等的安全性傳感器的計算機網絡。每個安全性傳感器被配置成這樣一旦其檢測到經過其被附接到的設備的任何可疑網絡流量，安全性傳感器就向網絡安全性監控系統發送安全性事件(event)。網絡安全性監控系統負責分析來自不同源的安全性事件以及發現可能的網絡攻擊。然后，系統以易于理解的形式將結果提供給系統的用戶，例如網絡管理員。作為響應，用戶采取適當的動作以將攻擊所引起的損失降低到最小水平。在某些情況下，系統適于自動阻隔檢測到的攻擊。
一般而言，單個安全性事件中嵌入的信息只揭示大型網絡攻擊計劃中的一小方面。這種有限的信息的精確度也可能受到其他網絡設備的損害。例如，網絡地址轉換(NAI)設備常被用來轉換想去往或源自局域網(LAN)內的內部主機和服務器的網絡分組的地址和端口，以解決32位地址所提供的有限地址空間的問題。從而，NAT設備常常隱藏IP分組的真實源和目的地地址，這使得分組更難以被分析。
此外，網絡攻擊是隨時間而發展的動態現象。隨著網絡技術的發展，出現了更復雜的偽裝得更好的攻擊策略，以突破當前的網絡保護措施。作為響應，必須開發新的檢測措施來發現和戰勝這些新策略。
因此，非常需要有這樣一種方法和系統，其不僅能夠以實時方式分析安全性事件，還能夠以直觀形式提供結果，以便用戶能夠易于理解任何潛在的或者正在發生的攻擊的特性。還希望用戶能夠使用該方法和系統來開發新策略，以便不僅捕獲當前的網絡攻擊，還能夠捕獲未來的網絡攻擊。

發明內容
概括來說，一種網絡安全性監控系統和方法接收和處理在預定時間段期間到達的多個安全性事件，其中包括將安全性事件分組到網絡會話中，每個會話具有識別出的源和目的地，并且根據預定的安全性事件相關規則集合使網絡會話相互關聯。
然后該系統和方法顯示代表網絡中的設備的圖，所述設備包括安全性設備和非安全性設備。所顯示的圖包括多個個體設備符號和多個群組設備符號，每個個體設備符號代表該網絡的一個安全性設備，每個群組設備符號代表該網絡的一個非安全性設備群組。
結合該圖，該系統和方法顯示安全性事故信息，對于群組設備符號，所述信息包括事故容量指示符，該事故容量指示符指示其源或目的地在與群組設備符號相對應的非安全性設備群組的任何成員處的網絡會話的數目。
在一個實施例中，該系統和方法還在用戶選擇群組設備符號之時，顯示代表該群組中的非安全性設備的第二級圖。所顯示的第二級圖還包括多個非安全性設備符號和多個安全性設備符號，每個非安全性設備符號代表一個充當網絡會話的源或目的地的非安全性設備，每個安全性設備符號代表位于該非安全性設備附近的一個安全性設備。
在另一個實施例中，該系統和方法響應于一個或多個用戶命令，從所顯示的數據中選擇網絡會話，并且定義丟棄規則，該丟棄規則包括與所選擇的網絡會話相對應的網絡條件集合。一旦存在一個或多個滿足所述網絡條件集合的傳入安全性事件，該系統和方法就將其過濾掉或者將其從安全性事件日志文件中丟棄掉，或者不將其顯示給用戶但仍將其保存在日志文件中。


當結合附圖閱讀以下對本發明的優選實施例的詳細描述時，可更清楚地理解本發明的上述特征和優點及其其他特征和優點。
圖1示出強調通過網絡安全性監控系統從多個安全性設備收集安全性事件的計算機網絡。
圖2是網絡安全性監控系統的框圖。
圖3是展示本發明的主要步驟的流程圖。
圖4A-B分別是根據本發明的一個示例的熱點和向量圖。
圖5A-B分別是根據本發明的另一個示例的第一級和第二級熱點圖。
圖6示出安全性事故表，其列出預定時間段期間發生的安全性事故。
圖7示出一個安全性事故的細節，其中包括安全性事件相關規則和網絡會話列表。
圖8示出網絡會話的展開式列表，這些網絡會話中包括與一行安全性事件相關規則相關聯的兩個會話。
圖9示出包括網絡會話的目的地主機的細節的彈出窗口。
圖10示出包括諸如防火墻這樣的安全性設備的細節的彈出窗口。
圖11A-C分別示出與網絡會話676852相關聯的安全性事件集合、局部熱點圖和局部向量圖。
圖12A-C分別示出與網絡會話676853相關聯的安全性事件集合、局部熱點圖和局部向量圖。
圖13A-C分別示出與網絡會話676903相關聯的安全性事件集合、局部熱點圖和局部向量圖。
圖14A-C分別示出與網絡會話676984相關聯的安全性事件集合、局部熱點圖和局部向量圖。
圖15A-D示出用于定義假陽性(false positive)安全性事件然后構造安全性事件的丟棄規則的過程。
圖16A-B分別示出丟棄規則列表以及分別與每個丟棄規則相關聯的安全性事故的列表。
圖17A-C示出用于構造相對于網絡安全性監控系統接收到的安全性事件集合的查詢然后將該查詢保存為新相關規則的過程。
具體實施例方式
本發明針對一種系統和方法，其分析由多個網絡安全性設備發送到網絡安全性監控系統的安全性事件流，以直觀形式向系統的用戶提供分析結果，并且幫助用戶開發新的網絡攻擊檢測策略。這種方法和系統的一個示例在2003年5月21日遞交的題為“Network Security Monitoring System”的美國專利申請序列號10/443,946和2003年6月23日遞交的題為“AMethod and System For Determining Intra-Session Event Correlation AcrossNetwork Address Translation Devices”的美國專利申請律師案卷號11353-004-999中公開，此處通過引用將這兩個申請包含進來。
圖2示出用于處理由部署在計算機網絡上的多個安全性傳感器所報告的安全性事件流的網絡安全性監控系統200。網絡安全性監控系統200通常包括一個或多個中央處理單元(CPU)202、網絡或其他通信接口210、存儲器214和用于互連監控系統200的各種組件的一個或多個通信總線。網絡安全性監控系統200還包括用戶接口204，例如包括顯示器206和鍵盤208。存儲器214包括高速隨機訪問存儲器，還可包括非易失性存儲器，例如一個或多個磁盤存儲設備(未示出)。存儲器214還可包括位于(多個)中央處理單元202遠程的大容量存儲裝置。存儲器214優選地存儲·操作系統216，其包括用于處理各種基本系統服務和用于執行依賴于硬件的任務的過程；·網絡通信模塊218，其用于經由一個或多個通信網絡(有線或無線)將監控系統200連接到各種安全性設備或客戶端計算機(未示出)，并且可能連接到其他服務器或計算機，所述通信網絡例如是因特網、其他廣域網、局域網、城域網等等；
·系統初始化模塊220，其初始化監控系統200的適當操作所需的存儲在存儲器214中的其他模塊和數據結構；·會話內安全性事件相關引擎222，其用于將多個傳入安全性事件分組成不同的網絡會話；·安全性事件相關規則評估引擎224，其用于根據預定的安全性事件相關規則集合來處理網絡會話；·針對不同網絡攻擊場景設計的多個安全性事件相關規則226；以及·安全性事件日志228，其用于存儲監控系統200接收到的安全性事件。
圖3是示出根據本發明的一個實施例的網絡安全性監控系統200的主要操作步驟的流程圖。在步驟302處，監控系統進行必要的系統初始化，包括將兩個引擎222和224以及安全性相關規則226加載到系統存儲器中。
在步驟304中，監控系統接收到來自部署在網絡上的安全性傳感器的多個安全性事件，然后在步驟306處利用會話內安全性事件相關引擎222將它們分組成不同的網絡會話。
在步驟308處，監控系統利用安全性事件相關規則評估引擎224來檢查網絡會話是否滿足任何預定的安全性事件相關規則。如果是的話，則監控系統在步驟310處響應于該規則創建網絡安全性事故，并且在步驟314處采取一定的動作來保護網絡免受攻擊，所述操作例如是通知網絡管理員。如果不是的話，則監控系統檢查與安全性事件相關規則相關聯的預定時間段是否已期滿。如果時間已期滿，則系統返回步驟304，等待更多的傳入安全性事件。如果時間已期滿，則在步驟316處系統將安全性事件和網絡會話從其存儲器中轉儲到安全性事件日志文件228中。
以下討論針對系統的用戶交互特征，更具體地說，針對網絡攻擊如何被提供給用戶以及用戶如何調整系統以捕捉新開發的網絡攻擊策略。
在第一步驟處，用戶(例如網絡管理員)通過諸如Internet Explorer(Microsoft公司的商標)這樣的網絡瀏覽器登錄到網絡安全性監控系統中，并且訪問系統的主頁，如圖4A所示。該主頁包括熱點圖400。熱點圖向用戶提供網絡的概覽，具體而言，是從圖形上示出各種網絡設備的概覽。
熱點圖400中所示的設備可被分成兩類，安全性設備和非安全性設備。安全性設備包括防火墻、路由器和網絡交換機。安全性傳感器，例如入侵檢測傳感器，常被附接到安全性設備，以用于監控經過設備的網絡活動。非安全性設備是指沒有被附接安全性傳感器的那些設備。例如，未配備有安全性傳感器的常規桌上型計算機通常是非安全性設備。通常，網絡上的非安全性設備的數目高于安全性設備的數目。
在一個實施例中，每個安全性設備，例如防火墻“BR-FW-1”或網絡交換機“BR-SW-1”是由熱點圖400上的唯一圖形符號來表示的，這使得易于理解網絡拓撲以及跟蹤到各種攻擊的源和目的地的位置。相反，非安全性設備通常不是由唯一符號來表示的，這是因為網絡上有太多的非安全性設備了。作為替代，基于網絡上的非安全性設備在網絡上的物理位置將其組織成了群組。每個群組被給予了唯一名稱，并且由熱點圖上的云團符號表示。例如，“Cloud-3”表示非安全性設備群組，并且被連接到三個圍繞在周圍的安全性設備，防火墻“BR-FW-1”、網絡路由器“BR-Head-End-Router”和網絡交換機“BR-SW-1”。
安全性傳感器被配置為用于監控經過其所附接到的安全性設備的網絡流量，并將安全性事件提交給網絡安全性監控系統。安全性事件包含由安全性傳感器響應于發生在安全性傳感器所附接到的網絡設備上的某個網絡活動而生成的信息。例如，傳播經過防火墻BR-FW-1的TCP/IP分組流可觸發附接到防火墻的安全性傳感器，以向監控系統提交一個或多個安全性事件。在一個實施例中，安全性事件包括事件參數集合，其包括但不限于源地址、目的地地址、報告設備ID、事件ID、事件類型和時間戳。
每個個體的安全性事件雖然有用，但卻只提供了特定安全性設備處的網絡活動的快照。這種信息通常不足以描述涉及多個源、目的地和網絡路由的復雜網絡攻擊。作為替代，監控系統被用來根據預定的相關條件將由不同安全性傳感器提交的多個安全性事件的事件參數相互關聯起來，所述預定相關條件也被稱為安全性事件相關規則，其代表網絡攻擊的可能場景。
但是，由于部署在網絡上的網絡地址轉換(NAT)設備，因此安全性事件所報告的源和目的地地址可能不是觸發安全性事件的網絡活動的真實源和目的地地址。因此，在安全性事件相關的步驟之前，監控系統需要“撤銷(undo)”NAT設備進行的地址轉換，并且發現事件的真實源和目的地(如果可能的話)。然后，系統將安全性事件分組成不同網絡會話。網絡會話是共享相同的會話修飾符集合的安全性事件的群組，所述會話修飾符包括但不限于源地址、目的地地址和網絡協議。因此，安全性事件相關實際上是在“會話化”的安全性事件之間發生的。
對于滿足安全性事件相關規則的“會話化”的安全性事件的每個集合，網絡安全性監控系統生成包括該“會話化”的安全性事件集合的安全性事故。換言之，安全性事故被定義為與值得網絡員特別注意的多個可能協同的網絡活動相關聯的安全性事件的集合。安全性事故至少涉及兩方源和目的地。更復雜的事故可能涉及更多方。每一方可以是一個安全性設備或者是一個非安全性設備。
在一個實施例中，監控系統通過將黑點附加到代表包括已被涉及到安全性事故中的非安全性設備的群組的云團符號，從而來突出該設備。附加到(或關聯到)設備符號或云團符號的黑點的數目充當關于特定安全性設備或非安全性設備群組的事故容量指示符。圖4A示出兩個黑點，一個附加到云團Perimeter-19，另一個附加到Perimeter 14，從而指示來自每個群組的一個成員已被涉及到安全性事故中，這將在下文中更詳細討論。
圖4B示出向量圖410，該向量圖提供了由監控系統所檢測到的安全性事故的不同視圖。如上所述，熱點圖指示安全性事故中涉及哪一個非安全性設備或安全性設備群組，而不識別與特定事故相關的網絡流量方向，例如，作為事故一部分的網絡會話的源和目的地。相反，向量圖410跳過了那些不充當事故的任何網絡會話的源或目的地的安全性或非安全性設備。向量圖410示出事故的任何一對源和目的地之間的網絡會話的數目。例如，在源主機40.40.1.23和目的地主機192.168.1.10之間的總共有三個網絡會話。根據這三個會話各自在安全性事件相關規則中的順序，它們被分割成兩個群組，具有一個會話的一個群組“E-115925”和具有兩個會話的另一個群組“E-15527”。以下給出關于這些網絡會話的更多討論。
圖5A示出了由系統在在預定時間段期間檢測到幾個安全性事故之后生成的更復雜的熱點圖。這些事故中至少涉及來自四個群組Perimeter-1、Cloud-3、Perimeter-14和Perimeter-19的非安全性設備，并且各種數目的黑點被與代表上述群組的云團相關聯，以指示每個群組的涉及程度。例如，云團Perimeter-19指示有七個非安全性被涉及到了事故中，充當各種網絡活動的源或目的地。在一個實施例中，監控系統設置給定時間段內熱點圖上的黑點的數目的上限，例如一小時期間三百個黑點。一旦達到此限制，則系統不再在圖上生成新的黑點，直到時間段期滿，這是因為具有太多黑點的熱點圖可能不那么直觀，并且阻撓其將系統用戶的注意力引向“熱點”的原本目的。在另一個實施例中，不同的顏色被分配給云團符號，以代表群組中有多少個非安全性設備被涉及到了安全性事故中。
從熱點圖中，用戶不僅能夠獲得對預定時段期間發生在網絡上的可疑網絡活動的概覽，還能夠對特定群組“放大”，從而取回關于該群組中已被涉及到這些網絡活動中的非安全性設備的更多細節。例如，如果用戶有興趣獲知關于由云團Cloud-3所表示的群組中的三個非安全性設備的更多細節，則他可以點擊圖5A中的云團Cloud-3，然后包含更多細節的新窗口彈出，如圖5B所示。彈出窗口示出每個非安全性設備的名稱和它們與彼此以及周圍的其他安全性設備如何連接。
為了簡單起見，以下討論集中于圖4A所示的示例。在此示例中，安全性事故至少涉及兩個非安全性設備(一個在由云團Perimeter-9所表示的群組內，另一個在由云團Peremiter-14所表示的群組內)以及某個未知數目的安全性設備。但是，熱點圖不表明每個設備在安全性事故中扮演什么角色(例如源或目的地)、流量路由是什么以及攻擊中是否涉及任何其他設備。收集此信息的一種方式是訪問安全性事故表。
圖6示出列出預定時間段期間發生的安全性事故的安全性事故表。在一個實施例中，安全性事故表包括六列。事故ID列601存儲系統檢測到的每個事故的唯一號碼，字符“I”被放在該號碼之前以指示它是事故ID。事件類型列602包括與構成事故的安全性事件集合相關聯的一個或多個事件類型，每個類型包括一個表達式，該表達式描述哪種網絡活動觸發這種安全性事件。匹配規則列603標識與安全性事故相關聯的安全性事件相關規則。動作列604表明響應于安全性事故采取了哪種動作。時間列605存儲一個時間段，在該時間段期間安全性事件集合被不同安全性傳感器所報告。最后，路徑列606具有兩個圖標，這兩個圖標都與描述事故的流量路由的圖相關聯，這將在下文中討論。為了獲知關于事故的更多細節，用戶可點擊列601中的事故ID“685029”。作為響應，系統生成包含該事故的更多細節的新的網頁。
圖7示出包含事故685029的信息的網頁，其包括安全性事件相關規則701以及多個網絡會話702、703和704。安全性事件相關規則701被表達為一個表，該表的列的含意完全可以根據其名稱不言而喻。表的每行在偏量列中具有唯一的數字，該數字指定與此行相關聯的事件和與此行之前或之后的行相關聯的事件之間的相關順序。
正如動作/操作列中的操作符所指示的，相關順序可以是邏輯順序或時間順序。例如，第一行的操作符是邏輯OR，這意味著如果存在與前兩行中的任一行相關聯的安全性事件，則相關可以移到第三行上。類似地，第二行的操作符是時間上的FOLLOWED-BY，這意味著屬于前兩行的事件必須在屬于第三行的事件之前。在默認情況下，相關開始于第一行，并且結束在表的最后一行處。但是，如果必要的話可以用前括號和后括號來調整此順序(見規則的Open和Close列，如圖7所示)。
規則的每一行包括“Counts”列或字段，它指定在該行被視為滿足之前必須滿足該行的約束的安全性事件的數目。當Counts等于1時，只需要一個符合行約束的安全性事件。當Counts等于2或更多時，需要指定數目的這種事件。
除了相關順序外，安全性事件相關規則的另一個重要方面是將不同安全性事件的源和目的地相互關聯起來，以發現構成網絡攻擊的一系列協同的網絡活動。例如，網絡攻擊可以是這樣的一系列網絡活動這些網絡活動是由黑客從一個或多個設備發起的，用于攻擊某些目標設備以便破壞存儲在目標設備中的數據或者將數據從目標設備非法傳輸到黑客指定的設備。
每個安全性事件包括特定網絡活動的源和目的地的信息。根據網絡流量的方向，網絡活動的源可以是發起攻擊的設備或受到攻擊的設備。從而，規則的一行或多行的源IP和目的地IP列可以被填充以變量。在某些實施例中，變量由以美元符號“$”開始的文本串表示，例如$TARGET01，以用于表示主機地址。這種表達方式的優點是相同的變量可被重新用于不同行中，以根據預定順序將它們鏈接在一起。例如，前三行中的代表相應安全性事件的目的地的變量$TARGET01變成了最后一行中的安全性事件的源，從而指示僅當滿足規則的第4行的分組源與滿足規則的第1至第3行的分組目標相同時，規則才被滿足。
最后，可能有由時間范圍列指定的對相關安全性事件的時間約束。在圖7所示的示例中，安全性相關規則701的時間范圍列只有最后一行中的一個條目0hh:5mm:0ss，其意思是要想滿足相關規則，那么第一安全性事件和最末安全性事件之間的滿足此相關規則的時間差距應當不大于5分鐘。
在圖7的下半部分中是與安全性事件685029相關聯的已滿足了圖7的上半部分中所示的安全性事件相關規則的網絡會話的表。兩個表共享類似的結構。列出了四個網絡會話，每個網絡會話具有唯一的ID，并且與規則的一個偏量相關聯。例如，網絡會話676903與偏量3相關聯，網絡會話676984與偏量4相關聯。注意與偏量1相關聯的會話已經被壓縮成了一行，并且在表達式“Total2”旁邊的行中有加號按鈕，以指示還有另外兩個網絡會話與偏量1相關聯，用戶可以通過點擊加號來展開該表。
圖8示出用戶點擊加號后的包括兩個與偏量1相關聯的會話的展開后的網絡會話列表。與這兩個網絡會話相關聯的安全性事件幾乎是相同的，只不過它們是由不同設備所報告的。網絡會話676852的安全性事件是由安全性傳感器HQ-SW-IDSM-1報告的，網絡會話676853的安全性事件是由傳感器HQ-NIDS1報告的，這兩個傳感器都可以位于圖4A的熱點圖中。注意，諸如事件、源IP和目的地IP之類的列下面的條目包括信息圖標。用戶可點擊這些圖標以取回關于該條目的更多細節。
例如，如果用戶點擊第一行中的IP地址192.168.1.10旁邊的信息圖標，則彈出如圖9所示的窗口，從而提供關于充當多個網絡會話的目的地的設備的更多細節，例如名稱、設備類型、地理區域、設備管理員、狀態和默認網關。類似地，圖10示出了報告網絡會話676984的安全性事件的安全性設備HQ-FW-1的更多細節。
除了獲知關于每個與網絡會話相關的設備的更多信息外，用戶還可以更深入地了解屬于網絡會話之一的每個安全性事件，例如安全性傳感器所報告的原始消息以及可疑網絡活動的流量路由等等。
圖11A示出包括分組在網絡會話676852下的安全性事件(在此情況下，只有一個由安全性傳感器HQ-SW-IDSM-1報告的事件676852)的彈出窗口。事件676852的原始消息指示事件的源地址是IP 40.40.1.23/0，目的地地址是IP 100.1.4.10/10，事件類型是“ICMP Network Sweepw/Echo”。注意原始消息中的目的地地址與網絡會話表中的相應的目的地地址192.168.1.10不同。正如下文中將要說明的，此差異是由NAT設備造成的。
圖11B示出了包括與網絡會話676852相關聯的局部熱點圖的彈出窗口。根據局部熱點圖，安全性事件676852是由附接到網絡交換機HQ-SW-1的安全性傳感器HQ-SW-IDSM-1響應于由從源地址40.40.1.23/0到目的地地址HQ-Web-1或192.168.1.10的一系列箭頭所指示的網絡流量而報告的。
圖11C示出了包括與網絡會話676852相關聯的局部向量圖的另一個彈出窗口。如上所述，局部向量圖是抽象表達方式，其用途是使網絡會話676852的源地址40.40.1.23與目的地地址192.168.1.10之間的網絡會話676852可視化。因此，沿著出現在圖11B的局部熱點圖中的路由的設備未出現在局部向量圖中。局部向量圖在這里示出了網絡會話676852是從源地址40.40.1.23到目的地地址192.168.1.10的偏量為1的兩個會話之一。
圖12A示出了與網絡會話676853相關聯的安全性事件(在此情況下只有一個事件676853)。圖12B和圖12C示出了網絡會話676853的局部熱點和向量圖。由于兩個網絡會話676852和676853都共享相同的源、目的地和偏量值，因此這兩幅圖與其關于網絡會話676852的對應物相同。
圖13A示出了與網絡會話676903相關聯的安全性事件。網絡會話676903包括由多個安全性傳感器報告的五個安全性事件。某些傳感器，比如像HQ-NIDS1，位于NAT設備的一側，某些位于另一側。這就是在安全性事件676900的原始消息中目的地地址是100.1.4.10/80，而在安全性事件676904的原始消息中目的地地址是192.168.1.10/80的原因。即使網絡會話676903的局部熱點圖與另兩個相同，其局部向量圖這一次也是不同的，因為網絡會話676903具有不同的偏量值3。
最后，圖14A示出了與網絡會話676984相關聯的三個安全性事件，這些事件是由附接到防火墻HQ-FW-1的安全性傳感器報告的。圖14B示出了包括開始于設備HQ-Web-1并且結束于設備30.30.2.24的網絡流量路由的局部熱點圖，圖14C示出了設備192.168.1.10或HQ-Web-1與設備30.30.2.24之間的網絡會話676984。
如上所述，某些網絡會話可能只包括一個安全性事件，例如網絡會話676852和676853，而某些可能包括多個事件，例如會話676903和676984。在第一種情況下，網絡會話中的唯一的安全性事件必須已滿足了安全性事件相關規則的相應行中規定的要求。這種事件也被稱為觸發事件。在第二種情況下，網絡會話內也至少有一個觸發事件。但是，網絡會話中的某些非觸發事件可能不完全滿足要求。這樣，正如下文中更詳細說明的，通過為這些事件中的每一個附上問號圖標，從而在網絡會話列表中突出了這些事件。
圖15A示出了另一個安全性事故685008的網絡會話列表和彈出窗口。偏量1處的網絡會話675271具有多個安全性事件。其中的兩個在末端處包括問號圖標，從而建議雖然這些事件不是觸發事件，但它們仍然足夠可疑到被列在此處。系統的用戶可通過進一步的調查來決定是否將這些事件保持在會話中。
圖15A中的彈出窗口提供了更多信息，從而解釋了為什么與會話675271相關聯的兩個事件之一具有問號。例如，當事件的目的地滿足以下三個要求時，攻擊類型“IIS Dot Dot Crash Attack”是有效的a)操作系統是Windows NT 4.0，b)應用是因特網信息服務器(IIS)2.0，以及c)協議是TCP。在此示例中，事件的目的地實際上正在Windows 2000操作系統上運行Microsoft IIS 5.0。
由于安全性事件的目的地的操作系統不是Windows NT 4.0，因此這個安全性事件可能是假陽性的，并且未來的任何類似此事件的事件可能將不會出現在網絡會話列表中。但是，用戶可以決定類似此事件的事件是否是假陽性的以及即使它是假陽性的那么應當如何對待它。如果用戶認為將這種類型的事件保持在網絡會話列表中有用的話，則他點擊圖15A中的Cancel按鈕，從而將來系統將會以相同的方式對待這種類型的安全性事件。否則，用戶需要指示系統創建特殊的規則，即丟棄規則，這種規則將清除掉未來的任何這種類型的安全性事件。
圖15B示出用戶需要向監控系統提供的用于創建與假陽性事件相對應的丟棄規則的指令之一。即使具有一個特定的事件參數集合的安全性事件被定義為假陽性的，用戶可能仍希望將其保存在日志文件或數據庫中以供將來參考。但是，默認選項是將來一旦安全性事件到達系統就完全丟棄它以便節省計算機資源以供他用。
圖15C示出了關于假陽性安全性事件的信息以及為此類型的安全性事件創建的新的丟棄規則表。丟棄規則表與安全性事件相關規則表類似，丟棄規則表的動作是丟棄(即忽略)任何滿足表中指定的要求的事件。丟棄規則表可包括丟棄一種類型的安全性事件的一行，或者丟棄多種類型的安全性事件的多行。
在用戶確認創建圖15C中的新丟棄規則之后，系統關閉彈出窗口，并且網絡會話列表中的相應的問號圖標被具有字符“F”的新圖標所替換，從而指示此事件已被標記為假陽性，如圖15D所示。
圖16A示出了丟棄規則列表，這些丟棄規則被聚集在與“DropRules”標簽相關聯的表中，以便將它們與“Inspection Rules”標簽下的那些安全性事件相關規則區分開來。在此示例中，有兩個丟棄規則，其中每一個用于丟棄一種特定類型的安全性事件。圖16B示出了包含已被系統識別的假陽性事件的事故。這些事故已被劃分成兩組，每一組與各自的丟棄規則相關聯。在一個實施例中，如果用戶預先知道一種類型的安全性事件應當被視為假陽性的，則在這里他可以通過點擊圖16A中的添加按鈕而不是經過以上聯系圖15A-D所討論的過程來直接創建丟棄規則。
如上所述，安全性事件相關規則被創建來用于檢測一種或多種網絡攻擊。由于響應于網絡技術的進步新的網絡攻擊可能會發展變化，所以必須開發新的安全性事件相關規則來對付這些新的攻擊。在一個實施例中，系統通過查詢已記錄的安全性事件數據從而發現新的攻擊場景，來生成新的安全性事件相關規則。
圖17A示出了用于查詢已記錄的安全性事件數據的查詢表1701。查詢表1701包括多列，這些列與圖7所示的安全性事件相關規則表的列類似。在此示例中，源IP條目被設置為20.20.1.15，時間范圍條目是一小時。如果用戶向包含安全性事件數據的數據庫提交此查詢，則系統定位并顯示以20.20.1.15作為其源并且在過去的一小時內到達系統的安全性事件的信息，然后把它們分組在不同事故和不同會話之下。
圖17B示出了用戶向數據庫提交查詢之后的查詢結果。作為示例，此查詢結果包括相同網絡會話675271和相同安全性事故685008之下的多個安全性事件。圖17C具有新的彈出窗口1702，該窗口提供了關于網絡會話675271中的不同事件的更多細節。此彈出窗口的原始消息列下的條目說明哪種網絡活動觸發這些事件，并且它們是用于發現新的類型的網絡攻擊的重要源。如果用戶認為查詢找出的數據可能確實代表對網絡安全性的潛在威脅，則他可以通過點擊圖17A中所示的“Save As Rules”按鈕將該查詢保存為新的安全性事件相關規則，從而補充現有的安全性事件相關規則。
為了進行說明，前述描述已參考特定實施例進行了描述。但是，以上的說明性的討論并不是要無遺漏的或者將本發明限制到所公開的確切形式。在考慮到上述教導的情況下，許多修改和變體都是可能的。選擇和描述這些實施例是為了最好地解釋本發明的原理及其實際應用，從而使得本領域的技術人員能夠以適合于所構思的特定用途的各種修改來最好地利用本發明和各種實施例。
權利要求
1.一種分析安全性事件的方法，包括接收和處理安全性事件，其中包括將所述安全性事件分組到網絡會話中，每個會話具有識別出的源和目的地；顯示代表網絡中的設備的圖，所述設備包括安全性設備和非安全性設備，所顯示的圖包括多個個體設備符號和多個群組設備符號，每個個體設備符號代表所述網絡的一個安全性設備，每個群組設備符號代表所述網絡的一個非安全性設備群組；以及結合所述圖顯示安全性事故信息，對于群組設備符號，所述信息包括事故容量指示符，該事故容量指示符指示其源或目的地在與所述群組設備符號相對應的非安全性設備群組的任何成員處的網絡會話的數目。
2.如權利要求1所述的方法，包括在用戶選擇非安全性設備群組的群組設備符號后，顯示代表所述群組中的非安全性設備以及與所述群組相關聯的安全性設備的第二級圖，所顯示的第二級圖包括多個非安全性設備符號和多個安全性設備符號，每個非安全性設備符號代表所述群組中的一個非安全性設備，每個安全性設備符號代表所述群組中的一個安全性設備；以及結合所述第二級圖顯示安全性事故信息，對于非安全性設備符號，所述信息包括事故容量指示符，該事故容量指示符指示其源或目的地在所述非安全性設備處的網絡會話的數目。
3.如權利要求1所述的方法，包括在用戶對所顯示的圖中的用戶指定的設備符號發出命令后，顯示代表其源或目的地在與所述用戶指定的設備符號相對應的設備處的網絡會話的數據。
4.如權利要求3所述的方法，包括響應于一個或多個用戶命令，從所顯示的數據中選擇網絡會話，并且定義丟棄規則，該丟棄規則包括與所選擇的網絡會話相對應的網絡條件集合；其中所述對安全性事件的處理包括過濾掉滿足所定義的丟棄規則的網絡會話。
5.如權利要求3所述的方法，其中所述代表網絡會話的數據包括源和目的地標識信息、指示與所述網絡會話相對應的事故的一種或多種類型的事件類型信息，以及指示報告與所述網絡會話相關聯的安全性事件的一個或多個安全性設備的安全性設備信息。
6.如權利要求1所述的方法，其中所述對安全性事件的處理包括識別一起滿足預定的安全性事故識別規則群組中的安全性事故識別規則的網絡會話的群組，并且將作為任何識別出的網絡會話群組的成員的每個網絡會話識別為規則觸發網絡會話；其中每個事故容量指示符指示其源或目的地在與所述設備符號相對應的設備處的規則觸發網絡會話的數目。
7.如權利要求6所述的方法，其中所述對安全性事件的處理包括從所述規則觸發網絡會話中排除滿足丟棄規則集合中的任何丟棄規則的任何網絡會話，每個丟棄規則定義各自的條件集合。
8.一種定義規則的方法，所述規則識別安全性事故的關于安全性事件的實例，所述方法包括提供具有多行的表，每行定義一種類別的安全性事件，并且定義與所述表中的后續行的所述類別的安全性事件的邏輯關系；使得用戶對所述表的編輯能夠在所述表的一行或多行中定義一個或多個約束，所述一個或多個約束是基于事件參數群組的，該群組包括源地址、目的地地址和事件類型；以及使得用戶對所述表的編輯能夠指定所述表中用戶選擇的行相對于所述表的后續行的邏輯關系，所指定的邏輯關系是從布爾關系和定時關系的預定集合中選擇出來的。
9.如權利要求8所述的方法，其中所述一個或多個約束包括指定一行的所述類別的安全性事件的源地址是所述表中的另一行的所述類別的安全性事件的目的地地址的約束。
10.如權利要求8所述的方法，其中所述一個或多個約束包括指定所述類別的安全性事件的一個或多個事件類型的約束。
11.如權利要求8所述的方法，其中所述一個或多個約束包括指定必須滿足由所述表的一行指定的所有其他約束的安全性事件的數目的約束。
12.如權利要求8所述的方法，其中所述一個或多個約束包括針對所述表中要被評估為得到滿足的一行指定必須順序滿足由所述行指定的所有其他約束的安全性事件的數目的約束。
13.如權利要求8所述的方法，其中所述定時關系指定一行的所述類別的安全性事件發生在后續行的所述類別的安全性事件之前。
14.一種定義對多個安全性事件的查詢以檢測用戶定義的安全性事件模式的方法，該方法包括收集多個安全性事件，每個事件的特征在于包括源地址、目的地地址和事件類型的事件參數集合；提供具有多行的表，每行具有多列并定義一種類別的安全性事件，一列指定與所述表中的后續行的所述類件的安全性事件的邏輯關系，一列指定所述類別的安全性事件的預定事件計數；使得用戶對所述表的編輯能夠在所述表的一行或多行中定義一個或多個約束，所述一個或多個約束中的每一個約束將一行的一列或多列與所述表中的另一行的一列或多列相關聯，或者將一行的一列或多列與預定的參數集合相關聯；以及使得用戶對所述表的編輯能夠指定所述表的用戶選擇的行相對于所述表的后續行的邏輯關系，所指定的邏輯關系是從布爾關系和定時關系的預定集合中選擇出來的。
15.如權利要求14所述的方法，其中所述多行指定網絡條件集合，以使得任何未來的處理跳過滿足所述條件集合的一個或多個安全性事件。
16.一種分析安全性事件流的方法，包括接收和處理安全性事件流，其中包括將所述安全性事件分組到多個網絡會話中，每個會話具有識別出的源和目的地并且被分配唯一的會話標識符；將多個預定的安全性事件相關規則應用到與經處理的安全性事件相關聯的所述多個網絡會話；對于所述預定的安全性事件相關規則的子集中的每一個，從與所述經處理的安全性事件相關聯的多個網絡會話中識別滿足所述規則的網絡會話；顯示代表網絡中的設備的圖，所顯示的圖包括多個個體設備符號和多個群組設備符號，每個個體設備符號代表所述網絡的一個安全性設備，每個群組設備符號代表所述網絡的一個非安全性設備群組；以及結合所述圖顯示與所識別出的網絡會話相關聯的信息，對于每個群組設備符號，所述信息包括會話容量指示符，該會話容量指示符指示其源或目的地在與所述群組設備符號相對應的非安全性設備群組中的非安全性設備處的識別出的網絡會話的數目。
17.一種分析安全性事件流的方法，包括接收安全性事件流；將所述安全性事件分組到多個網絡會話中，每個會話具有至少一個安全性事件并且其特征在于識別出的源和目的地；將多個預定的安全性事件相關規則應用到與所述安全性事件相關聯的所述多個網絡會話；對于所述預定的安全性事件相關規則的子集中的每一個，識別滿足所述規則的網絡會話；顯示代表網絡中的設備的圖，所顯示的圖包括多個個體設備符號和多個群組設備符號，每個個體設備符號代表所述網絡的一個安全性設備，每個群組設備符號代表所述網絡的一個非安全性設備群組；以及結合所述圖顯示與識別出的網絡會話相關聯的信息，對于每個群組設備符號，所述信息包括會話容量指示符，該會話容量指示符指示其源或目的地在與所述群組設備符號相對應的非安全性設備群組中的非安全性設備處的識別出的網絡會話的數目。
18.一種網絡安全性事件分析系統，包括一個或多個用于執行程序的中央處理單元；用于接收安全性事件的接口；以及可以由所述一個或多個中央處理單元執行的網絡安全性事件相關引擎，該引擎包括用于接收和處理安全性事件的指令，其中包括將所述安全性事件分組到網絡會話中，每個會話具有識別出的源和目的地；用于顯示代表網絡中的設備的圖的指令，所述設備包括安全性設備和非安全性設備，所顯示的圖包括多個個體設備符號和多個群組設備符號，每個個體設備符號代表所述網絡的一個安全性設備，每個群組設備符號代表所述網絡的一個非安全性設備群組；以及用于結合所述圖顯示安全性事故信息的指令，對于群組設備符號，所述信息包括事故容量指示符，該事故容量指示符指示其源或目的地在與所述群組設備符號相對應的非安全性設備群組的一個成員處的網絡會話的數目。
19.如權利要求18所述的系統，包括用于響應于用戶對非安全性設備群組的群組設備符號的選擇，顯示代表所述群組中的非安全性設備以及與所述群組相關聯的安全性設備的第二級圖的指令，所顯示的第二級圖包括多個非安全性設備符號和多個安全性設備符號，每個非安全性設備符號代表所述群組中的一個非安全性設備，每個安全性設備符號代表所述群組中的一個安全性設備；以及用于結合所述第二級圖顯示安全性事故信息的指令，對于非安全性設備符號，所述信息包括事故容量指示符，該事故容量指示符指示其源或目的地在所述非安全性設備處的網絡會話的數目。
20.如權利要求18所述的系統，包括用于響應于用戶對所顯示的圖中的用戶指定的設備符號的命令，顯示代表其源或目的地在與所述用戶指定的設備符號相對應的設備處的網絡會話的數據的指令。
21.如權利要求20所述的系統，包括用于響應于一個或多個用戶命令從所顯示的數據中選擇網絡會話并且定義丟棄規則的指令，所述丟棄規則包括與所選擇的網絡會話相對應的網絡條件集合；其中所述對安全性事件的處理包括過濾掉滿足所定義的丟棄規則的網絡會話。
22.如權利要求20所述的系統，其中所述代表網絡會話的數據包括源和目的地標識信息、指示與所述網絡會話相對應的事故的一種或多種類型的事件類型信息，以及指示報告與所述網絡會話相關聯的安全性事件的一個或多個安全性設備的安全性設備信息。
23.如權利要求18所述的系統，其中所述對安全性事件的處理包括識別一起滿足預定的安全性事故識別規則群組中的安全性事故識別規則的網絡會話的群組，并且將作為任何識別出的網絡會話群組的成員的每個網絡會話識別為規則觸發網絡會話；其中每個事故容量指示符指示其源或目的地在與所述設備符號相對應的設備處的規則觸發網絡會話的數目。
24.如權利要求23所述的系統，其中所述對安全性事件的處理包括從所述規則觸發網絡會話中排除滿足丟棄規則集合中的任何丟棄規則的任何網絡會話，每個丟棄規則定義各自的條件集合。
25.一種用于結合計算機系統使用的計算機程序產品，該計算機程序產品包括計算機可讀存儲介質和嵌入在其中的計算機程序機制，該計算機程序機制包括用于接收和處理安全性事件的指令，其中包括將所述安全性事件分組到網絡會話中，每個會話具有識別出的源和目的地；用于顯示代表網絡中的設備的圖的指令，所述設備包括安全性設備和非安全性設備，所顯示的圖包括多個個體設備符號和多個群組設備符號，每個個體設備符號代表所述網絡的一個安全性設備，每個群組設備符號代表所述網絡的一個非安全性設備群組；以及用于結合所述圖顯示安全性事故信息的指令，對于群組設備符號，所述信息包括事故容量指示符，該事故容量指示符指示其源或目的地在與所述群組設備符號相對應的非安全性設備群組的一個成員處的網絡會話的數目。
26.如權利要求25所述的計算機程序產品，包括用于響應于用戶對非安全性設備群組的群組設備符號的選擇，顯示代表所述群組中的非安全性設備以及與所述群組相關聯的安全性設備的第二級圖的指令，所顯示的第二級圖包括多個非安全性設備符號和多個安全性設備符號，每個非安全性設備符號代表所述群組中的一個非安全性設備，每個安全性設備符號代表所述群組中的一個安全性設備；以及用于結合所述第二級圖顯示安全性事故信息的指令，對于非安全性設備符號，所述信息包括事故容量指示符，該事故容量指示符指示其源或目的地在所述非安全性設備處的網絡會話的數目。
27.如權利要求25所述的計算機程序產品，包括用于響應于用戶對所顯示的圖中的用戶指定的設備符號的命令，顯示代表其源或目的地在與所述用戶指定的設備符號相對應的設備處的網絡會話的數據的指令。
28.如權利要求27所述的計算機程序產品，包括用于響應于一個或多個用戶命令從所顯示的數據中選擇網絡會話并且定義丟棄規則的指令，所述丟棄規則包括與所選擇的網絡會話相對應的網絡條件集合；其中所述對安全性事件的處理包括過濾掉滿足所定義的丟棄規則的網絡會話。
29.如權利要求27所述的計算機程序產品，其中所述代表網絡會話的數據包括源和目的地標識信息、指示與所述網絡會話相對應的事故的一種或多種類型的事件類型信息，以及指示報告與所述網絡會話相關聯的安全性事件的一個或多個安全性設備的安全性設備信息。
30.如權利要求25所述的計算機程序產品，其中所述對安全性事件的處理包括識別一起滿足預定的安全性事故識別規則群組中的安全性事故識別規則的網絡會話的群組，并且將作為任何識別出的網絡會話群組的成員的每個網絡會話識別為規則觸發網絡會話；其中每個事故容量指示符指示其源或目的地在與所述設備符號相對應的設備處的規則觸發網絡會話的數目。
31.如權利要求30所述的計算機程序產品，其中所述對安全性事件的處理包括從所述規則觸發網絡會話中排除滿足丟棄規則集合中的任何丟棄規則的任何網絡會話，每個丟棄規則定義各自的條件集合。
全文摘要
網絡安全性監控系統將多個安全性事件分組到網絡會話中，根據預定網絡安全性事件相關規則集合使網絡會話相互關聯，并且針對滿足網絡安全性事件相關規則之一的網絡會話生成安全性事故。然后該系統以直觀形式向系統的用戶提供網絡會話和安全性事故的信息。用戶不僅能夠獲知可能的網絡攻擊的細節，還能夠直觀地創建新的安全性事件相關規則，其中包括用于丟棄特定類型的事件的丟棄規則。
文檔編號G06F15/16GK1829953SQ200480022035
公開日2006年9月6日 申請日期2004年9月3日 優先權日2003年9月12日
發明者帕薩·巴塔卡婭, 艾敏·T·李, 阿吉·約瑟夫, 艾利·史蒂文斯, 迪瓦卡爾·納拉馬迪 申請人:普羅泰格網絡公司