CN112242991B

CN112242991B - 用于关联事件来检测信息安全事故的***和方法

Info

Publication number: CN112242991B
Application number: CN202010582583.9A
Authority: CN
Inventors: 伊万·S·柳克施恩; 安德烈·A·基尔尤金; 德米特里·S·卢基扬; 帕维尔·V·菲洛诺夫
Original assignee: Kaspersky Lab AO
Current assignee: Kaspersky Lab AO
Priority date: 2019-07-17
Filing date: 2020-06-23
Publication date: 2023-08-25
Anticipated expiration: 2040-06-23
Also published as: EP3767913A1; EP3767913B1; CN112242991A

Abstract

本发明涉及用于关联事件来检测信息安全事故的***和方法，其中，关联模块可以接收指示潜在安全性的违反的多个网络事件，其中，所述多个网络事件中的每个网络事件具有相应的时间戳。所述关联模块可以基于每个相应的时间戳，从所述多个网络事件中识别在一段时间内已经发生的网络事件的子集。所述关联模块可以针对所述网络事件的子集确定多个潜在发生顺序。所述关联模块可以将至少一个关联规则应用于多个潜在发生顺序中的每个相应的潜在发生顺序。响应于确定满足所述至少一个关联规则，而所述关联模块可以检测到所述信息安全事故。

Description

用于关联事件来检测信息安全事故的***和方法

技术领域

本发明涉及数据安全领域，并且更具体地，涉及关联事件来检测信息安全事故。

背景技术

目前，除了传统的恶意软件(例如病毒、网络蠕虫、键盘记录器、勒索软件等)之外，计算机攻击(诸如针对性攻击(Targeted Attack，TA)和复杂攻击(例如高级持续性威胁(Advanced Persistent Threat，APT))已经在信息物理***(Cyber-Physical System，CPS)和IT***(即公司基础设施)上变得普遍。黑客可以有各种各样的目标-从简单地窃取员工的个人数据到工业间谍活动。黑客经常掌握有关公司网络的架构、内部文档业务的原理、网络和计算机设备所使用的保护手段的信息，或者用于信息物理***或IT***的任何其它特定信息。该信息允许黑客绕过现有的保护手段，而这些手段通常没有设置灵活性来满足IT***的所有需求。

用于防御恶意软件和计算机威胁的现有技术(例如，签名分析、启发式分析、仿真等)具有许多缺点，这些缺点使得现有技术无法对计算机攻击提供适当级别的保护。例如，现有技术无法检测和跟踪以前未知的威胁、不使用恶意软件的计算机攻击、复杂的攻击(使用技术来绕过保护手段)和长期运行的攻击(从几天到几年)，这些攻击的特征在很长一段时间后才为人所知。

为了保护信息物理***(CPS)，越来越多地使用安全信息和事件管理(SecurityInformation and Event Management，SIEM)***。这类***根据安装在用户的计算机、服务器、网络设备和控制器上的众多保护手段和网络传感器来执行大量信息安全(Information Security，IS)事件的自动收集和处理。SIEM***能够在早期阶段检测到计算机攻击、识别信息安全事故并向CPS的操作员发出警报，以用于进一步调查。为了实现这一点，使用信息安全事件的关联性-根据指定的规则(签名)分析不同事件之间的交互工作并在触发规则时自动创建事故，然后将该事故显示给CPS的操作员以用于详细的调查。SIEM使得可以检测网络攻击、病毒蔓延、漏洞、黑客攻击和其它类型的计算机攻击以及网络设备的配置错误。

然而，经常发生的是：多个不同的IS事件同时发生(具有给定的不确定性)。这可能由于各种原因而发生。例如，传感器上的时钟(事件的来源)可能不同步。此外，事件可能发生在同一数据包中，使得即使事件发生在不同的时间，也可能为这些事件分配相同的时间戳。在又一示例中，当接收到事件时，在由不同模块处理业务时可能已经发生了延迟。由于这些原因，可能会忽略信息安全事故，或者可能会产生误报(false positive)。

因此，出现了对信息物理***中信息安全事故的低级别检测的技术问题。

然而，现有技术中已知的技术不能解决该技术问题，因为这些技术不能提高信息物理***中信息安全事故的检测级别(例如，当同时获得一系列事件时)。因此，需要一种能够解决所述技术问题的技术，即，需要一种用于关联事件来检测信息安全事故的***和方法。

发明内容

本发明的各个方面涉及数据安全领域。特别地，本发明的各个方面描述了用于关联事件来检测信息安全事故的方法和***。

技术结果是提高了信息物理***中信息安全事故的检测级别。

在用于关联事件来检测信息安全事故的示例性方面中，关联模块可以(例如，从事件生成模块)接收指示潜在安全性的违反的多个网络事件，其中，所述多个网络事件中的每个网络事件具有相应的时间戳。所述关联模块可以基于每个相应的时间戳，从所述多个网络事件中识别在一段时间内已经发生的网络事件的子集。所述关联模块可以针对所述网络事件的子集确定多个潜在发生顺序(例如，通过确定所述子集中的事件的所有排列)。所述关联模块可以将至少一个关联规则应用于多个潜在发生顺序中的每个相应的潜在发生顺序，其中，所述至少一个关联规则包括与信息安全事故相关联的至少一个网络事件发生顺序。响应于确定满足所述至少一个关联规则，而所述关联模块可以检测到所述信息安全事故。

在一些方面中，所述一段时间的长度小于确定连续的网络事件的准确发生顺序所需的、所述连续的网络事件之间的最小时间量。

在一些方面中，从多个源设备接收所述多个网络事件，使得从所述多个源设备中的第一源设备至少接收所述多个网络事件中的第一网络事件并且从所述多个源设备中的第二源设备至少接收所述多个网络事件中的第二网络事件。

在一些方面中，所述第一源设备的时钟与所述第二源设备的时钟不同步。

在一些方面中，所述第一源设备的事件检测速度小于所述第二源设备的事件检测速度。

在一些方面中，所述关联模块可以通过将所述至少一个网络事件发生顺序与每个相应的潜在发生顺序进行比较，并且基于该比较来确定所述至少一个网络事件发生顺序与至少一个潜在发生顺序之间的匹配性来确定满足所述至少一个关联规则。

在一些方面中，响应于确定所述多个潜在发生顺序中的任一者都不满足所述至少一个关联规则，而所述关联模块可以未检测到所述信息安全事故。

在一些方面中，根据创建时间在指定时间段内的各个事件的重要性级别，指定至少一个发生顺序，该重要性级别由所述事件生成模块指定。

在一些方面中，所述事件至少从以下事件生成模块之一获得：白名单、入侵检测***、检测和解析模块、业务分析模块、资产管理模块。

在一些方面中，使用包括关联模块和至少一个事件生成模块的***，所述设备根据关联事件的方法来产生用于检测信息安全事故的事件的关联。

在一些方面中，一种非暂时性计算机可读介质，所述非暂时性计算机可读介质上存储有用于关联事件来检测信息安全事故的计算机可执行指令，所述计算机可执行指令包括用于执行上述方法的指令。

以上对示例性方面的简化概述用于提供对本发明的基本理解。该概述不是所有预期方面的广泛综述，并且既不旨在标识所有方面的关键或重要要素，也不旨在描绘本发明的任何或所有方面的范围。其唯一目的是以简化的形式呈现一个或多个方面，作为随后的本发明的更详细描述的前奏。为了实现前述内容，本发明的一个或多个方面包括在权利要求中所描述和示例性指出的特征。

附图说明

并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例方面，以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。

图1a示出了根据本发明的各方面的技术***(TS)的框图。

图1b示出了根据本发明的各方面的技术***(TS)的实现方式的框图。

图2示出了根据本发明的各方面的用于关联事件来检测信息安全事故的***的框图。

图3示出了根据本发明的各方面的用于关联事件来检测信息安全事故的方法的流程图。

图4示出了根据本发明的各方面的计算机保护模块的框图。

图5示出了根据本发明的各方面的用于防御针对性攻击的模块的框图。

图6示出了根据本发明的各方面的事件生成模块的框图。

图7示出了可以在其上实现本发明的各方面的通用计算机***的示例。

具体实施方式

本文中在用于关联事件来检测信息安全事故的***、方法和计算机程序产品的上下文中描述了示例性各方面。本领域普通技术人员将意识到，以下的描述仅仅是示例性的，而不旨在以任何方式进行限制。其它方面将很容易将其自身暗示给了解本发明的优点的本领域技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或相似的项目。

以下特征将用于描述本发明：

妥协指标(IOC)(也称为感染指标)是在计算机上或网络中可观察到的IT***中入侵的伪像或残留特征。典型的妥协指标是防病毒记录、IP地址、文件的校验和、URL地址、僵尸网络的命令中心的域名等。存在针对妥协指标的许多标准，特别是：OpenIOC、结构化威胁信息表达(Structured Threat Information Expression，STIX^TM)、网络可观察表达(CyberObservable Expression，CybOX^TM)等。

IT安全***中的信息安全事件(在本发明中也称为网络事件或事件)是检测到的***或服务的状态、或指示IT安全策略的可能违反的网络状态、监控和控制手段和措施的违反或失败、或之前未知的可能对安全性非常重要的情况。

关联性是使用给定的关联规则(签名)对不同事件之间的交互工作的分析。

事件链(以下称为链)是组合成公共集合的一系列事件。

信息安全事故(以下称为事故)是一个或多个不想要的或不期望的信息安全事件，这些信息安全事件以极大的概率导致损害企业的运营并对信息安全造成威胁。事故也可以与其它事件一起参与关联过程。

控制对象是经受外部(控制和/或扰乱)动作以改变其状态的技术对象；在一特定实例中，此类对象是设备(例如电动机)或技术过程(或技术过程的一部分)。

技术过程(TP)是材料生产的过程，其包括材料实体(工作主体)的状态的连续变化。

技术过程的控制(过程控制)是用于在最终产品的制造过程中控制过程变量的一组方法。

控制回路包括材料实体和将所测量的过程变量的值自动调节至期望设定点的值所需的控制功能。控制回路包含检测器和传感器、控制器以及致动机构(致动器)。

过程变量(PV)是正在被观察或监控的TP的特定部分的当前计量值。过程变量可以是例如来自传感器的测量值。

设定点是待被保持的过程变量的值。

操纵变量(MV)是被调节以便将过程变量的值保持在设定点级别的参数。

外部动作是在特定方向上更改经受该动作的单元(例如技术***(TS)的单元)的状态的方法，该动作以信号的形式从TS的一个单元传输至TS的另一单元。

控制对象的状态是由状态的参数表达的控制对象的基本属性的总和，所述状态的参数在外部动作的影响下变化或维持，该外部动作包括来自控制子***的控制动作。

状态的参数是表征对象的基本属性的一个或多个数值；在一特定实例中，状态的参数为物理量的数值。

控制对象的规范状态是对应于流程图和其它技术文献(在TP的情况下)或者对应于时间表(在设备的情况下)的控制对象的状态。

控制动作是对控制对象上的控制子***的控制主体部分的故意的(该动作的目标是作用在对象的状态上)、合理的(由TP提供)导致控制对象的状态的改变或控制对象的状态的维持的外部动作。

扰乱动作是对于控制对象的状态的故意或无意的不合理的外部动作(不由TP提供)，包括对控制主体部分的动作。

控制主体是将控制动作施加到控制对象或者在直接施加到对象之前将控制动作传输到另一控制主体以进行转换的设备。

多级控制子***是涉及多个级的控制主体的集合。

信息物理***是IT概念，意味着将计算资源整合到物理过程中。在这种***中，传感器、设备和IT***沿超出了单个企业或商业的范围的整个价值创造链连接。这些***通过标准的网络协议相互交互，以进行预测、自动调整和适应改变。信息物理***的示例是技术***、物联网(包括便携式设备)和工业物联网。

物联网(Internet of Things，IoT)是物理对象(“事物”)的计算机网络，该物联网配备有用于相互交互或与外部世界进行交互的内置技术。物联网包括诸如便携式设备、运输工具的电子***、智能汽车、智能城市、工业***等技术。

工业物联网(Industrial Internet of Things，IIoT)是物联网的子类别，工业物联网还包括面向消费者的应用，例如便携式设备、“智能家居”技术和具有自动控制的汽车。这两个概念的显著特征是具有内置传感器的设备、机床和基础设施通过因特网发送数据并借助于软件被控制。

技术***(TS)是多级控制子***的一组功能上相关的控制主体、和控制对象(TP或设备)，通过改变控制主体的状态实现了改变控制对象的状态。技术***的结构由技术***的基本单元(多级控制子***的相关的控制主体、和控制对象)以及这些单元之间的链接而形成。在技术***中的控制对象为技术过程的情况下，控制的最终目标是：通过改变控制对象的状态来改变工作对象(原材料、坯料等)的状态。在技术***中的控制对象为设备的情况下，控制的最终目标是改变设备(运输工具、航天器)的状态。TS的单元的功能关系是指这些单元的状态的关系。甚至可以不存在单元之间的直接的物理链接，例如不存在致动器和技术操作之间的物理链接，但是切削速度与主轴的旋转速度例如功能上相关，即使这些状态的参数不是物理上连接的。

控制主体的状态是由状态的参数表达的所述控制主体的基本属性的总和，所述状态的参数在外部动作的影响下可以变化或维持。

控制主体的基本属性(以及相应地状态的基本参数)是对控制对象的状态的基本属性具有直接影响的属性。控制对象的基本属性是对正在被控制的针对TS的功能因素(精度、安全性、效力)有直接影响的属性。例如，对应于规范指定条件的切割条件、对应于其行程的火车的移动、将反应堆温度维持在可容许的范围内。根据正在被控制的因素，选择控制对象的状态的参数、以及相应地选择对控制对象施加控制动作的控制主体的状态的相关参数。

技术***的单元的状态是控制主体和控制对象的状态。

技术***的单元的实际状态是通过测量状态的参数和通过拦截TS的单元之间的信号(业务)而确定的、在某一对控制对象进行的动作的时间的技术***的单元的状态。例如，借助于安装在TS中的传感器，执行状态的参数的测量。

技术***的实际状态是技术***的单元的相互关联的实际状态的总和。

控制块(cybernetic block)是监控技术***的单元的操作过程的信息物理监控***的单元。

状态空间是规范化动态***(技术***或信息物理***)的状态的改变的方法。

计算机攻击(也称为网络攻击)是通过硬件和软件对信息***和计算机电信网络进行的针对性动作，其目的是破坏这些***和网络中的信息安全。

定向攻击(或针对性攻击，TA)是针对特定组织或特定个人的计算机攻击的特定实例。

SIEM(Security Information and Event Management，安全信息和事件管理)***是设计用于总体上控制组织中的信息安全并管理从各种来源获得的事件的手段。SIEM***能够实时分析来自网络设备和各种应用程序的事件。

图1a示意性地示出了包括单元110a和单元110b的技术***(TS)的示例，其中TS的各个单元为：控制对象110a；控制主体110b，控制主体110b形成多级控制子***120；水平链接130a和竖直链接130b。控制主体110b按级140分组。

图1b示意性地示出了技术***100’的实现方式的特定示例。控制对象110a’为TP或设备；控制对象110a’被配置成控制由工业控制***(ICS)120’详细制定并实现的动作；在ICS中，区分了三个级140’，这三个级包括水平地通过水平链接(在一个级内的链接，在图中未示出)和竖直地通过竖直链接130b’(各个级之间的链接)彼此互连的控制主体110b’。这些关系是功能性的，即在一般情况下在一个级上的控制主体110b’的状态的改变引起在该级上和在其它级上与其连接的控制主体110b’的状态的改变。关于控制主体的状态的改变的信息以信号的形式沿着在控制主体之间建立的水平链接和竖直链接进行传输，即，关于特定控制主体的状态的改变的信息是相对于其它控制主体110b’的外部动作。根据控制主体110b’的目的来识别ICS 120’中的级140’。级的数量可以变化，这取决于工业控制***120’的复杂性。简单***可以包含一个或多个下级。为了将TS的单元(110a、110b)与TS 100的子***进行物理链接而使用有线网络、无线网络和集成微电路；为了将TS的单元(110a、110b)与TS 100的子***之间进行逻辑链接而使用以太网、工业以太网和工业网络。使用的工业网络和协议具有各种类型和标准：Profibus(现场总线)、FIP、ControlNet(控制网)、Interbus-S、DeviceNet(设备网)、P-NET、WorldFIP、LongWork、Modbus等。

上级(监督控制和数据获取(Supervisory Control and Data Acquisition，SCADA)的级)是调度员/操作员控制的级，并且至少包括以下控制主体110b’：控制器、控制计算机、安装在控制计算机上的保护装置以及人机界面(Human-Machine Interface，HMI)(如图1b所示，在单个控制主体SCADA内)。该级被设计成跟踪TS的单元(110a’、110b’)的状态，以获取并编译关于TS的单元(110a’、110b’)的状态的信息，以及在必要时对这些信息进行更正。

中级(控制级(CONTROL level))是控制器的级，并且至少包括以下控制主体：可编程逻辑控制器(PLC)、计数器、继电器、调节器。PLC类型的控制主体110b’从“测量和控制设备”类型的控制主体以及从“传感器”类型的控制主体110b’接收关于控制对象110a’的状态的信息。PLC类型的控制主体根据用于“致动器”类型的控制主体的编程控制算法来详细制定(创建)控制动作。致动器在下级直接实现(将该控制动作应用于控制对象)该控制动作。致动器是致动设备(装置)的一部分。诸如PID调节器(比例-积分-微分控制器或PID控制器)的调节器是具有反馈的控制回路中的设备。

下级(输入/输出级)是诸如这类的控制主体的级：传感器和检测器、监控控制对象110a’的状态的测量和控制仪器(MCI)、以及致动器。致动器直接作用于控制对象110a’的状态，以使其符合规范状态，所述规范状态即符合技术任务、技术图表或一些其它技术文件(在TP的情况下)或时间表(在设备的情况下)的状态。在该级上，来自“传感器”类型的控制主体110b’的信号与中级的控制主体的输入相协调，并且由PLC类型的控制主体110b’所详细制定的控制动作与“致动器”类型的控制主体110b’相协调，“致动器”类型的控制主体110b’实现该控制动作。致动器是致动设备的一部分。致动设备根据来自调节器或控制设备的信号来移动调节元件。致动设备是自动控制链中的最后一个链，并且通常包括以下单元：

-放大设备(接触器、变频器、放大器等)；

-具有反馈单元(输出轴的位置的检测器、终端位置的信令、手动驱动器等)的致动机构(电动驱动器、气动驱动器或液压驱动器)；

-调节元件(闸门、阀门、滑阀等)。

根据应用条件，致动设备的设计可以不同。致动机构和调节元件通常为致动设备的基本单元。

在特定的示例中，致动设备整体被称为致动机构。

ICSE 120a’是企业的工业控制***。

图2示出了用于检测信息安全事故的关联***的示图。以简化的变型示出了信息物理***200。信息物理***200的示例是上述技术***100(参见图1a-图1b)、物联网、工业物联网。为了在本申请的其余部分中清楚指出，TS应当被视为CPS 200的主要示例。传感器、致动器和其它主体的未处理数据由可编程逻辑控制器转换为数字形式，并通过计算机网络发送到SCADA***110b’。网络流量也被镜像(端口镜像，SPAN-交换端口分析器(SwitchedPort Analyzer))至监控***210。位于监控***210中的网络过滤器201被配置成用于处理接收到的网络业务并将已处理的业务发送至事件生成模块211。事件生成模块211被配置成用于生成信息安全事件并用于将这些信息安全事件发送至事件服务器212。事件生成模块211包括白名单、入侵检测***(Intrusion Detection System，IDS)、检测和解析模块、业务分析模块、监控模块、资产管理模块等。在图5中更密切地示出了事件生成模块211。

事件服务器212将事件保存在事件数据库214中，并将事件发送到至关联模块213。关联模块213使用关联规则来执行事件的关联，因此，使用关联规则可以发现信息安全事故(信息安全事故也是事件)。将这些信息安全事故报告回至事件服务器212并保存在事件数据库214中。图形用户界面(GUI)215也有权访问事件数据库214，该图形用户界面(GUI)215向监控***210的操作员输出关于事件和事故的信息。此外，关联模块213连接至事件队列216，关联模块213将事件保存在事件队列216中以供之后的分析，并且关联模块213还连接到链数据库217，关联模块213将事件链保存在链数据库217中。

信息安全事件特别包含事件源、时间戳和事件描述。此外，在特定的示例性实施方式中，IS事件包含事件的重要性级别。时间戳是接收到事件的时间，时间戳可以被定义为网络过滤器201接收到包含用于定义该事件的数据的网络数据包的时间。事件源是生成该事件的事件生成模块211的标识符。

关联模块213使用关联规则来执行事件的关联。关联规则包含针对使用和动作的条件。使用的条件定义满足关联规则以由关联模块213采取动作的事件(事件链)。特别地，这些动作是创建信息安全事故。此外，动作可以是例如创建新的事件链以及将事件添加至现有的事件链。事件链被保存在链数据库217中。

作为示例性实施方式并且为了便于进一步说明，考虑以有限状态机的形式实现的关联规则，该关联规则描述了事件链的各个节点(也称为状态)之间的过渡(transition)。可以例如使用标记语言YAML来描述关联规则。

关联规则包括规则的名称和节点之间的过渡(交易)列表。此外，关联规则可以包含针对事件链的最大可允许的事件数量(max_events)。

在YAML标记语言中，关联规则可以被编写如下：

过渡(交易)列表被描述如下：

1.从其发生过渡的节点(从节点)的名称。

2.过渡发生到其的节点(到节点)的名称。

3.谓词-一组用于从“从节点”到“到节点”的链的过渡的陈述性条件。

4.动作-在过渡情况下待被执行的一组可选的陈述性动作。

5.过渡可能会延迟一定时间和/或延迟一定到达事件数量(delay(延迟)，delay_count)的声明。

链中的节点用于表示关联规则的开始(<start>)和结束(<end>)，并且还表示位置：

链过渡的谓词包含从一个节点到下一节点的过渡的条件。过渡条件可以是由多个条件组成的复合条件。

例如，下面示出的谓词包含过渡条件，该过渡条件在事件No.1000到来时得到满足，并且条件是事件源的IP地址(event.src_address.ip)与给定的IP地址($my_ip)一致：

predicate:

-event:1000

-equal:{var:event.src_address.ip,expect:$my_ip}

因此，仅在满足谓词的条件时才发生过渡。为了过渡到规则的结尾(节点<end>)，将按照规则中的指示来执行动作(例如，创建IS事故)。事件链的从一个节点到另一个节点的过渡执行一系列动作：确定该链的当前位置，将事件添加至该链，延迟过渡达给定时间和/或达给定事件数量。特别地，所述动作可以为以下动作：

-store_attr–由关联模块213保存事件属性。

-ttl–超时，在此期间，关联模块213等待用于添加至该链的新事件。在时间ttl到期时，将由关联模块213销毁该链。

-fire_incident–由关联模块213创建事故。

事件还可以包含属性，尤其是以下属性：

-源/目的MAC地址；

-源/目的IP地址；

-事件的类型；

-事件的来源–生成该事件的事件生成模块211；

-IDS签名；

-来自资产管理模块的信息(CPS设备列表)；

-超时；

-重要性级别；

-待忽略的IP地址列表；

-待忽略的MAC地址列表。

根据事件属性，关联模块213可以根据关联规则从事件服务器212请求附加信息，而事件服务器212又从事件生成模块211接收该信息。例如，如果库存模块已经创建了关于控制器固件的改变的事件，则关联模块213可以从库存模块请求控制器固件的版本。此外，属性可以包含在关联规则的各个节点之间的过渡的谓词中。例如，过渡条件可以不仅包括在事件A之后的事件B的到达，还可以包括例如事件A和事件B发生的来源的IP地址的一致(为此，每个过渡中的IP地址将通过动作store_attr被保存)。

现在考虑本发明的用于关联事件来识别信息安全事故的***和方法的使用的示例。

假设关联模块213已经接收到三个事件A、B、C，并且事件的到达时间一致。事件的描述在表1中示出。如果事件的到达时间一致或相差不超过给定值(例如0.01s)，则认为事件的时间一致。

表1.信息安全事件的示例

关联规则的示例：

/>

因此，规则2包含四个过渡。第一过渡是在接收到事件А(ID＝2601)后，从开始条件到步骤1。如果已经连续接收到多个事件A，则存在第二过渡。第三过渡在接收到事件B(ID＝3000)时实现从步骤1到步骤2的过渡。以及第四过渡在接收到事件C(ID＝2602)时实现从步骤2到结束步骤的过渡，由此创建了事故“事故A-B-C(IncidentА-B-C)”。此外，在所有过渡中建立了10秒的超时，这意味着如果随后的事件在10秒内未发生，则事件链将被销毁。因此，如果事件C在事件B之后12秒发生，则不会创建事故。

接下来，接收到到达关联模块213的以下事件序列：

然而，可以看出，事件А、B、C的布置顺序与上述给定规则2不一致。因此，现有技术中已知的关联***在本示例中将不会检测到IS事件与关联规则的匹配，并且将不会在匹配事件中检测到IS事故。同时，所要求保护的使信息安全事件关联的***和方法都将检测IS事件与关联规则的匹配并检测IS事故，因此提高了信息物理***中信息安全事故的检测级别。

图3示出了关联事件来检测信息安全事故的方法。下面基于如上所示的事件X1、X2、X3、А、B、C、X4、X5、X6的示例来描述关联方法。因此，已经在步骤301中从至少一个事件生成模块211接收到事件X1、X2、X3、A、B、C、X4、X5、X6之后，识别创建时间在给定时间段(例如0.01s)内的事件—在这种情况下，这些事件为事件А、B、C。然后，针对这些事件，关联模块213用于指定事件的至少一个发生顺序(步骤302)。

关联模块213可以确定所识别的事件的所有排列。例如，这种事件的发生顺序为：

1)B，А，C。

2)B，C，А。

3)А，B，C。

4)А，C，B。

5)C，А，B。

6)C，B，А。

接下来，考虑到每个指定的发生顺序，关联模块213用于针对获得的事件应用关联规则(图3中的步骤303)。在本示例中，变型3满足规则2。因此，将首先考虑变型1-2，然后再考虑变型3。由于变型3已经满足了关联规则的条件，因此将不考虑变型4-6。

在一个特定的变型实施方式中，根据创建时间在指定时间段内的各个事件的重要性级别(严重性)，指定至少一个发生顺序，重要性级别由事件生成模块211指定。事件的重要性级别是由事件生成模块指定的数值参数。

因此，所要求保护的关联事件的方法能够解决所陈述的技术问题并且实现所要求保护的技术结果，即提高信息物理***中的信息安全事故的检测级别。

表2示出了定义信息安全事故(诸如主机的网络攻击、破坏主机的网络策略等)的关联规则的示例。

表2.关联规则示例

/>

监控***210还可以从信息***220接收网络业务，信息***220是信息物理***200的一部分。在这种情况下，网络过滤器201接收信息***220的网络225的事件。信息***220(也是公司基础设施)包括通过计算机网络225互连的计算机221的集合。在一般情况下，计算机221是指：任何计算设备和传感器，尤其是个人计算机、笔记本电脑、智能手机；以及还指通信设备，诸如路由器、交换机、集中器等。可以使用现有技术中已知的网络225的任何拓扑来组织信息***220，所述拓扑诸如以下类型之一：完全连接的拓扑、总线拓扑、星型拓扑、环型、蜂窝型拓扑或混合类型的拓扑。在一些计算机221上安装有保护模块222。应当注意的是，保护模块222可能未安装在特定计算机221上。信息***220可以包括针对性攻击保护模块223，针对性攻击保护模块223可以例如位于单独的服务器上。信誉服务器224可以位于信息***220中或位于服务提供商的云服务中。应当注意的是，计算机221可以是物理设备或虚拟机。代理服务器(图中未示出)可以用于通过网络225将计算机221连接至监控***210中的因特网。

保护模块222以及可选地针对性攻击保护模块223用于收集关于计算机221上的对象和网络225中的对象的信息(即关于与计算机221上的对象和网络225中的对象相关的IS事件的信息)，并且用于然后通过网络225将IS事件发送至网络过滤器201。在特定的实施方式中，所述对象可以例如是文件(该文件的哈希)、进程、URL地址、IP地址、证书、文件执行日志或、在计算机221上检测到的任何其它对象。

在特定的实施方式中，保护模块222-223用于特别地收集以下IS事件：

-进程的行为(例如进程的性能跟踪)；

-操作***(OS)中的事件—OS的事件日志的记录；

-关于网络之间交互的信息；

-妥协指标；

-保护模块的判定(包括模糊判定)或测试签名；

-元数据对象，其包括对象的校验和。

针对性攻击保护模块223通过网络225连接至保护模块222，并且对信息***220的网络活动执行分析，以及通过特别是使用“沙盒”(一种用于安全执行进程的计算机环境)和其它检测技术(更详细的内容请参见图3-图4)检测计算机221的对象来执行信息***中的针对性攻击的检测功能。

针对性攻击保护模块223收集网络业务中正在发送的信息。因此，针对性攻击保护模块223收集关于正在从计算机221(包括其上未安装保护模块222的那些计算机221)通过网络225发送的所有对象的信息。

关于网络225中的对象的信息(IS事件)可以包括针对性攻击保护模块223的判定、网络业务中的可疑行为、DNS业务中的可疑行为、来自邮件或因特网的对象的仿真结果。

在特定的变型实施方式中，保护模块222-223收集关于所有上述对象的信息。在另一实施方式中，保护模块222-223可以包含安全(合理)对象(关于这些对象，确定地知道它们不是恶意的或可疑的)的列表以及恶意对象和可疑对象(图中未示出)的列表。在该示例中，保护模块222-223不仅收集关于来自恶意对象和可疑对象的列表中的对象的信息，而且还收集关于未知对象(不在恶意对象和可疑对象的列表中，并且也不在安全对象的列表中)的信息。

在又一示例性实施方式中，保护模块222-223可以包含需要收集关于其信息的附加对象的列表。这类对象列表可以例如由管理员226生成。在又一特定的示例性实施方式中，管理员226可以生成恶意对象和可疑对象的列表以及安全对象的列表，从而向所述列表添加对象或从所述列表删除对象。

例如，管理员226可以指示禁止动作的列表和允许动作的列表。例如，在信息***220中可以禁止在一些计算机221上使用psexec实用程序，因为黑客可能会将psexec实用程序用于远程管理。由保护模块222-223收集关于与禁止动作相关的对象的信息。因此，如果在任何计算机221上或网络225中发现psexec实用程序的使用，则关于该使用的信息将被发送至监控***210。如果针对性攻击保护模块223在未安装保护模块222的计算机221上检测到psexec实用程序的使用，则可以由针对性攻击保护模块223对在该计算机上使用psexec的许可执行验证，前提是该动作不在管理员指定的允许动作的列表上(在附图中未示出)。

图4示出了保护模块222的模块的可能的示例。保护模块222可以包含被设计成确保计算机安全的模块：按访问扫描器、按需扫描器、电子邮件防病毒程序、网络防病毒程序、主动保护模块、HIPS(Host Intrusion Prevention System，主机入侵防护***)模块、DLP(data loss prevention，数据丢失防护)模块、漏洞扫描器、仿真器、网络防火墙等。在特定的示例性实施方式中，这些模块可以是保护模块的组件。在又一示例性实施方式中，这些模块可以被实现为单独的软件组件。

按访问扫描器包含用于检测用户的计算机***上正在打开、启动和保存的所有文件的恶意活动的功能。按需扫描器与按访问扫描器的不同之处在于，按需扫描器根据用户的要求扫描用户指定的文件和目录。

需要电子邮件防病毒程序来监控传入和传出的电子邮件中是否包含恶意对象。网络防病毒程序被配置成用于防止当被用户访问时可能在网站上发现的恶意代码的执行，并且还用于阻止打开网站。HIPS模块被配置成用于检测程序的不想要的和恶意的活动，并且用于在执行时阻止该活动。DLP模块被配置成用于检测和防止机密数据泄露出计算机或网络。需要漏洞扫描器来检测计算机上的漏洞(例如，保护模块的特定组件已被关闭、过时的病毒数据库、网络端口已被关闭等)。网络防火墙根据给定的规则监控和过滤网络业务。仿真器的工作是在仿真器中执行代码期间仿真客户***。主动保护模块使用行为签名来检测可执行文件的行为，并按信任级别对可执行文件进行分类。

这些模块在检测到恶意软件(可疑行为、垃圾邮件和其它计算机威胁的迹象)时，创建相应的通知(然后可以将该通知转换为对保护模块的判定)，从而将检测到的威胁以及为了消除威胁要采取动作的需求(例如，删除或修改文件、禁止执行等)通知给保护模块。在特定的示例性实施方式中，已经检测到恶意软件的实际模块可以执行消除威胁的动作。在又一示例中，判定可以是模糊判定或测试判定(因为该判定可能产生误报)—在这种情况下，保护模块将不会执行消除威胁的动作，而是将继续向事件生成模块211发送通知。应当注意的是，保护模块的判定是关于对象(文件、进程)的信息的一部分，然后将判定发送至事件生成模块211，事件生成模块211将生成相应的IS事件。

图5示出了针对性攻击保护模块223的一个可能的示例，针对性攻击保护模块223特别是“沙盒”、入侵检测***(Intrusion Detection System，IDS)、信誉服务模块、用于检查YARA规则的模块以及其它检测模块。

沙箱模块具有类似于计算机的保护模块的仿真器的功能，不同之处在于，沙箱可以利用附加的计算能力并且可以工作更长的时间。

沙箱是用于安全执行进程的计算机环境，并配置成用于在执行从文件启动的进程时识别可疑活动。

沙箱可以例如以虚拟机的形式、基于文件***和注册表的部分虚拟化、基于对文件***和注册表的访问规则、或基于混合协议来实现。

入侵检测***是检测对信息物理***200或网络225的未经授权的访问、或者对信息物理***200或网络225的未经授权的控制的手段。

信誉服务器包含关于计算机上的对象的受欢迎程度的信息(存在对象的计算机的数量、对象的启动的数量等)。

用于检查YARA规则的模块被配置成用于检查YARA签名—开放的签名格式。

DLP模块被配置成用于检测并防止机密数据泄漏出计算机或网络。

TI(threat intelligence，威胁情报)分析器是用于将来自关于计算机攻击的报告的对象与关于所述对象的信息和与可疑行为的特征相关联的模块。例如，TI分析器可以确定参与已知计算机攻击的命令中心的IP地址的列表。TI分析器将获得的信息发送至评分模块，该评分模块将关于对象的信息和可疑行为的特征按照其属于计算机攻击的可能性进行排序。

图6示出了事件生成模块211的示例。白名单登记所有未包含在白名单(即，已授权的通信的列表)列表中的网络通信。因此，在检测到未经授权的网络连接时，白名单创建未经授权的网络连接事件，并将该事件发送至事件服务器212。

入侵检测***(IDS)分析网络活动并将该网络活动与已知计算机攻击的模式进行比较。在匹配的情况下，对事件服务器212创建相应的事件。例如：访问黑客的命令中心的IP地址。

业务分析模块对统计数据进行分析，并对网络数据包的内容进行检查和过滤。例如，可以使用DPI(Deep Packet Inspection，深度包检查)技术来执行分析，DPI技术是用于收集统计数据以及对网络数据包的内容进行检查和过滤的技术。在检测到网络中不典型的、可疑的数据包时(例如更新任何PLC或传感器的微控制器的固件的命令、传感器的过程变量超过给定阈值等)可以创建IS事件。

检测和解析模块被配置成用于检测和解析用于控制工业协议的专用网络协议。

资产管理模块被配置成用于检测和监控关于在工业网络中运行的设备的信息。例如，如果新设备已经在网络中注册，则将创建相应的IS事件。如果从网络丢失了任一设备，则也将创建IS事件(例如，传感器或控制器断开连接)。事件的其它示例例如可以是改变控制器的固件的制造商。

ARP欺骗检测模块用于检测针对APR协议中的漏洞并且尤其是针对以太网中的漏洞的计算机攻击。

图7是示出了根据一示例性方面的计算机***20的框图，在计算机***20上可以实现用于关联事件来检测信息安全事故的***和方法的各方面。计算机***20可以被实现为***100、200，监控***210，信息***220等，并且可以是以多个计算设备的形式或者以单个计算设备的形式，例如，台式电脑、笔记本电脑、手提电脑、移动计算设备、智能手机、平板电脑、服务器、大型机、嵌入式设备和其它形式的计算设备。

如图所示，计算机***20包括中央处理单元(Central Processing Unit，CPU)21、***存储器22和连接各种***部件的***总线23，各种***部件包括与中央处理单元21相关联的存储器。***总线23可以包括总线存储器或总线存储器控制器、***总线、以及能够与任何其它的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI-Express)、超传输^TM(HyperTransport^TM)、无限带宽^TM(InfiniBand^TM)、串行ATA、I²C、和其它合适的互连。中央处理单元21(也称为处理器)可以包括单组或多组具有单核或多核的处理器。处理器21可以执行实现本发明的技术的一种或多种计算机可执行代码。***存储器22可以为用于存储本文中所使用的数据和/或由处理器21可执行的计算机程序的任何存储器。***存储器22可以包括易失性存储器(诸如随机存取存储器(Random Access Memory，RAM)25)和非易失性存储器(诸如只读存储器(Read-Only Memory，ROM)24、闪存等)或其任意组合。基本输入/输出***(Basic Input/Output System，BIOS)26可以存储用于在计算机***20的元件之间传输信息的基本程序，例如在使用ROM 24加载操作***时的那些基本程序。

计算机***20可以包括一个或多个存储设备，诸如一个或多个可移除存储设备27、一个或多个不可移除存储设备28、或其组合。所述一个或多个可移除存储设备27和一个或多个不可移除存储设备28借助存储器接口32连接到***总线23。在一个方面中，存储设备和相应的计算机可读存储介质为用于存储计算机***20的计算机指令、数据结构、程序模块、和其它数据的电源独立的模块。***存储器22、可移除存储设备27和不可移除存储设备28可以使用各种各样的计算机可读存储介质。计算机可读存储介质的示例包括：机器存储器，诸如缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM；闪存或其它存储技术，诸如在固态驱动器(Solid State Drive，SSD)或闪存驱动器中；磁带盒、磁带、和磁盘存储器，诸如在硬盘驱动器或软盘中；光学存储器，诸如在光盘(CD-ROM)或数字通用光盘(Digital Versatile Disk，DVD)中；以及可用于存储期望数据且可被计算机***20访问的任何其它介质。

计算机***20的***存储器22、可移除存储设备27和不可移除存储设备28可以用于存储操作***35、附加应用程序37、其它程序模块38和程序数据39。计算机***20可以包括用于传送来自输入设备40的数据的***接口46，所述输入设备40诸如键盘、鼠标、触针、游戏控制器、语音输入设备、触点输入设备、或其它***设备，诸如借助一个或多个I/O端口的打印机或扫描仪，该一个或多个I/O端口诸如串行端口、并行端口、通用串行总线(Universal Serial Bus，USB)、或其它***接口。显示设备47(诸如一个或多个监控器、投影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到***总线23。除了显示设备47之外，计算机***20还可以装配有其它***输出设备(未示出)，诸如扬声器和其它视听设备。

计算机***20可以使用与一个或多个远程计算机49的网络连接而在网络环境中工作。所述一个或多个远程计算机49可以为本地计算机工作站或服务器，其包括前面在描述计算机***20的性质时所述的元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中，所述其它设备诸如但不限于路由器、网站、对等设备或其它的网络节点。计算机***20可以包括用于借助一个或多个网络而与远程计算机49通信的一个或多个网络接口51或网络适配器，该一个或多个网络诸如局域计算机网络(Local-Area computerNetwork，LAN)50、广域计算机网络(Wide-Area computer Network，WAN)、内联网、和因特网。网络接口51的示例可以包括以太网接口、帧中继接口、SONET接口、和无线接口。

本发明的各个方面可以为***、方法和/或计算机程序产品。计算机程序产品可以包括一种或多种计算机可读存储介质，该计算机可读存储介质上具有用于使处理器执行本发明的各方面的计算机可读程序指令。

计算机可读存储介质可以为有形设备，该有形设备可以保持且存储指令或数据结构的形式的程序代码，该程序代码可以被计算设备(诸如计算***20)的处理器访问。计算机可读存储介质可以为电子存储设备、磁性存储设备、光学存储设备、电磁存储设备、半导体存储设备、或其任何合适组合。作为示例，这类计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、便携式光盘只读存储器(CD-ROM)、数字通用光盘(DVD)、闪存、硬盘、便携式电脑磁盘、记忆棒、软盘、或甚至机械编码设备，诸如在其上记录有指令的凹槽中的打孔卡或凸起结构。如在本文中所使用的，计算机可读存储介质不应被视为暂时性信号本身，暂时性信号诸如无线电波或其它自由传播的电磁波、通过波导或传输介质传播的电磁波、或通过电线传输的电信号。

可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算设备、或借助网络(例如，因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。在每个计算设备中的网络接口从网络接收计算机可读程序指令并转发该计算机可读程序指令，用以存储在相应的计算设备内的计算机可读存储介质中。

用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构(Instruction-Set-Architecture，ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言和传统程序化编程语言)的任意组合编写的源代码或目标代码。计算机可读程序指令(作为独立的软件包)可以完全地在用户的计算机上、部分地在用户的计算机上、部分地在用户的计算机上且部分地在远程计算机上、或完全地在远程计算机或服务器上执行。在后一种场景中，远程计算机可以通过任何类型的网络(包括LAN或WAN)连接到用户的计算机，或可以进行与外部计算机的连接(例如通过因特网)。在一些实施方式中，电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)、或可编程逻辑阵列(Programmable Logic Array，PLA))可以通过利用计算机可读程序指令的状态信息而执行计算机可读程序指令，以使该电子电路个性化，从而执行本发明的各方面。

为了清楚起见，本文中没有公开各个方面的所有例行特征。应当领会的是，在本发明的任何实际的实现方式的开发中，必须做出许多特定实现方式的决定，以便实现开发者的特定目标，并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是，这种开发努力会是复杂的且费时的，但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。

此外，应当理解的是，本文中所使用的措辞或术语出于描述而非限制的目的，从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合(一个或多个)相关领域技术人员的知识来解释。此外，不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义，除非明确如此阐述。

本文中所使用的术语“模块”指的是例如现实世界的设备、组件、或使用硬件(例如通过专用集成电路(Application Specific Integrated Circuit，ASIC)或FPGA)实现的组件的布置，或者指的是硬件和软件的组合，例如通过微处理器***和实现模块功能的指令集(该指令集在被执行时将微处理器***转换成专用设备)来实现这样的组合。一个模块还可以被实现为两个模块的组合，其中单独地通过硬件促进某些功能，并且通过硬件和软件的组合促进其它功能。在某些实现方式中，模块的至少一部分(以及在一些情况下，模块的全部)可以在计算机***的处理器上运行。因此，每个模块可以以各种合适的配置来实现，而不应受限于本文中所例示的任何特定的实现方式。

本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外，尽管已经示出并描述了各个方面和应用，但是对于了解本发明的优点的本领域技术人员将显而易见的是，在不脱离本文中所公开的发明构思的前提下，相比于上文所提及的内容而言的更多修改是可行的。

Claims

1.一种用于关联事件来检测信息安全事故的方法，所述方法包括：

接收指示潜在安全性的违反的多个网络事件，其中，所述多个网络事件中的每个网络事件具有相应的时间戳；

基于每个相应的时间戳，从所述多个网络事件中识别在一段时间内已经发生的网络事件的子集；

针对所述网络事件的子集，确定多个潜在发生顺序；

将至少一个关联规则应用于所述多个潜在发生顺序中的每个相应的潜在发生顺序，其中，所述至少一个关联规则包括与所述信息安全事故相关联的至少一个网络事件发生顺序；以及

响应于确定满足所述至少一个关联规则，而检测到所述信息安全事故，

其中，如果所述网络事件的到达时间一致或者相差不超过给定值，则认为所述网络事件的时间一致，并且所述多个网络事件是从不同步的多个源设备接收的；

其中，确定满足所述至少一个关联规则包括：

将每个关联规则的所述至少一个网络事件发生顺序与每个相应的潜在发生顺序进行比较；以及

基于所述比较，确定所述至少一个网络事件发生顺序与至少一个潜在发生顺序之间的匹配性。

2.根据权利要求1所述的方法，其中，所述一段时间的长度小于确定连续的网络事件的准确发生顺序所需的、所述连续的网络事件之间的最小时间量。

3.根据权利要求1所述的方法，其中，从多个源设备接收所述多个网络事件，使得从所述多个源设备中的第一源设备至少接收所述多个网络事件中的第一网络事件并且从所述多个源设备中的第二源设备至少接收所述多个网络事件中的第二网络事件。

4.根据权利要求3所述的方法，其中，所述第一源设备的时钟与所述第二源设备的时钟不同步。

5.根据权利要求3所述的方法，其中，所述第一源设备的事件检测速度小于所述第二源设备的事件检测速度。

6.根据权利要求1所述的方法，所述方法还包括：响应于确定所述多个潜在发生顺序中的任一者都不满足所述至少一个关联规则而未检测到所述信息安全事故。

7.一种用于关联事件来检测信息安全事故的***，所述***包括硬件处理器，所述硬件处理器被配置成：

针对所述网络事件的子集，确定多个潜在发生顺序；

其中，确定满足所述至少一个关联规则包括：

8.根据权利要求7所述的***，其中，所述一段时间的长度小于确定连续的网络事件的准确发生顺序所需的、所述连续的网络事件之间的最小时间量。

9.根据权利要求7所述的***，其中，从多个源设备接收所述多个网络事件，使得从所述多个源设备中的第一源设备至少接收所述多个网络事件中的第一网络事件并且从所述多个源设备中的第二源设备至少接收所述多个网络事件中的第二网络事件。

10.根据权利要求9所述的***，其中，所述第一源设备的时钟与所述第二源设备的时钟不同步。

11.根据权利要求9所述的***，其中，所述第一源设备的事件检测速度小于所述第二源设备的事件检测速度。

12.根据权利要求7所述的***，其中，所述硬件处理器被配置成响应于确定所述多个潜在发生顺序中的任一者都不满足所述至少一个关联规则而未检测到所述信息安全事故。

13.一种非暂时性计算机可读介质，所述非暂时性计算机可读介质上存储有用于关联事件来检测信息安全事故的计算机可执行指令，所述计算机可执行指令被计算机的处理器执行，所述计算机可执行指令包括用于以下操作的指令：

针对所述网络事件的子集，确定多个潜在发生顺序；

其中，确定满足所述至少一个关联规则包括：

14.根据权利要求13所述的非暂时性计算机可读介质，其中，所述一段时间的长度小于确定连续的网络事件的准确发生顺序所需的、所述连续的网络事件之间的最小时间量。

15.根据权利要求13所述的非暂时性计算机可读介质，其中，从多个源设备接收所述多个网络事件，使得从所述多个源设备中的第一源设备至少接收所述多个网络事件中的第一网络事件并且从所述多个源设备中的第二源设备至少接收所述多个网络事件中的第二网络事件。

16.根据权利要求15所述的非暂时性计算机可读介质，其中，所述第一源设备的时钟与所述第二源设备的时钟不同步。

17.根据权利要求15所述的非暂时性计算机可读介质，其中，所述第一源设备的事件检测速度小于所述第二源设备的事件检测速度。