买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:北京航空航天大学
摘要:本发明公开了一种基于系统审计日志的HIDS告警溯源方法,包括:从主机收集HIDS原始告警日志和系统审计日志并进行预处理;通过时间戳和涉及的进程、文件、网络连接或注册表等系统实体来将两种日志关联,为关联到的系统审计日志中的事件添加告警标记;在全局系统审计日志中,根据因果关系对所有带标记的事件进行因果溯源追踪,形成事件序列;对事件序列进行打分,超过一定阈值的序列转化为最终告警输出。相较于HIDS的原始告警,能够提供告警点的上下文关联信息,实现对告警的溯源,减少人工分析工作量。
主权项:1.一种基于系统审计日志的HIDS告警溯源方法,应用于主机入侵检测告警分析,其特征在于,包括如下步骤:1将HIDS告警和系统审计日志处理为包含指定内容的数据格式,得到处理后的全局告警A和全局系统审计日志E;2将全局告警A中的每个告警a和全局系统审计日志E中的系统审计事件e进行关联,得到带有告警标记的事件列表matched_list;3从所述事件列表matched_list中的事件出发,在全局系统审计日志E中利用因果关系进行向前追踪和向后溯源,得到与告警相关联的事件序列,保存至序列列表seq_list中;4结合事件序列中的事件所关联到的告警的信息,根据序列评分机制,为所述事件序列seq_list中的每个序列评分,得到序列评分结果;将序列评分结果超过设定阈值的序列转变为最终告警输出;其中,步骤1中所述数据格式包含告警格式和系统审计日志中对应的系统审计事件格式,其中:告警格式包含{id,timestamp,data,rule};id用来索引和标识告警;timestamp代表了告警产生时的时间戳;data则包含告警的具体内容,至少包含data.entity和data.description两部分:data.entity是触发告警的系统实体有关信息,所述系统实体包含文件、网络连接、进程,对于Windows系统,注册表也是一类系统实体;由不同类型系统实体所触发的告警中的data.entity所包含的内容不同,对于文件类型系统实体所触发的告警,data.entity中包含文件的路径信息;对于网络连接类型系统实体触发的告警,data.entity中则包含网络连接的域名或IP、端口信息;对于进程类型系统实体触发的告警,data.entity包含进程ID和进程名信息;在Windows系统中注册表类型系统实体所产生的告警,data.entity包含对应注册表的键和值信息;data.description是对告警内容的描述信息;rule代表该告警相关的规则;所述规则至少包含以下信息{rule.id,rule.type,rule.level},其中rule.id代表规则的唯一标识,用来快速定位规则;rule.type代表该告警对应规则的类型,即实时匹配或定期检测,所述实时匹配代表该规则用于实时匹配系统中最新产生的日志,基于这类规则产生的告警会在系统中发生入侵事件时即刻产生,告警时间与入侵行为发生时间同步,基于这类规则产生的告警也就是实时告警;而所述定期检测的规则则用于匹配HIDS定期执行的检测程序的检测结果,这类规则产生的告警会在HIDS执行定期的检测任务时才产生,告警时间与入侵行为的发生时间不同步,基于这类规则产生的告警也就是定期检测告警;rule.level代表触发该规则的事件风险的高低,所述事件风险代表了该事件为入侵行为的可能性以及发生后会造成的后果严重程度的高低。告警中id,timestamp,以及data和rule的子字段都属于告警的属性;所有处理后的HIDS告警的集合就构成了全局告警A;系统审计事件格式包含{subject,object,timestamp,operation};subhect代表事件发生的主体,即事件中动作的发起方的系统实体;object代表事件发生的客体,即动作的接收方的系统实体;timestamp代表事件发生的时间戳信息;operation代表主体对客体执行的具体操作,包括进程对文件的读写、进程创建子进程、进程和远程网络连接的信息发送接收,Windows下进程对注册表的读写,以及其他记录到的系统实体之间的操作;所有系统审计事件构成的集合,即为全局系统审计日志E。
全文数据:
权利要求:
百度查询: 北京航空航天大学 一种基于系统审计日志的HIDS告警溯源方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。