[发明专利]注汽锅炉

说明书

背景技术

安全信息和事件管理(SIEM)技术提供对网络硬件和应用所生成的安全警报的实 时分析。SIEM技术可检测对计算网络的可能威胁。这些可能威胁可根据对安全事件 的分析来确定。

附图说明

下面的详细描述参照附图，其中：

图1和图2是根据各种示例的能够分布式模式发现的系统的框图；

图3是根据一个示例的用于基于分布式模式发现的规则来生成单项项集 (itemset)的方法的流程图；

图4是根据一个示例的用于确定分布式模式发现的新候选项集的方法的流程 图；

图5是根据一个示例的用于输出包括频繁项集的元组的方法的流程图；

图6是根据一个示例的用于从包括频繁项集的元组确定所发现的模式的方法 的流程图；以及

图7是根据一个示例的能够建立新候选项集的计算设备的框图。

具体实施方式

模式发现是基于数据挖掘的先发制人的方法，用于解决安全信息和事件管理 (SIEM)系统面临的许多挑战。随着大安全数据和专业的信息攻击者采用的先进 的协作技术的涌现，SIEM系统正面临各种挑战，例如，零日漏洞探索、慢攻击、 从一个系统到另一个系统的长期渗透、以及信息泄露。此外，黑客正在其仓库中 增加之前从未见过的新武器。

先发制人的方法可用于不通过匹配已知的签名来检测系统异常，而是通过关 联安全信息并发现系统中未知模式的痕迹来检测系统异常。SIEM中的模式发现是 确定这些漏洞的有用方法。

在某些示例中，网络的安全信息/事件管理可包括从网络和网络设备收集反映 网络活动和/或设备的操作的数据、以及分析数据以提高安全性。网络设备的示例 可包括防火墙、入侵检测系统、服务器、工作站、个人计算机，等。可分析数据 以检测模式，该模式可指示网络或网络设备上的攻击或异常。所检测的模式可用 于例如定位数据中的那些模式。例如，模式可指示尝试访问网络中的计算机并安 装恶意软件的蠕虫或其他类型的计算机病毒的活动。

从网络和网络设备收集的数据用于事件。事件可以为可被监控和分析的任意 活动。针对事件采集的数据称作事件数据。可实施所采集的事件数据的分析，以 确定事件是否与威胁或一些其他情况关联。与事件关联的活动的示例可包括登录、 退出、通过网络发送数据、发电子邮件、访问应用、读或写数据、端口扫描、安 装软件等。事件数据可从网络设备所生成的消息、日志文件条目来收集，或从其 他源收集。安全系统还可生成事件数据，例如，相关事件和审计事件。

在一些示例中，还可通过建立已在线下学习的系统的正常模式的基线来实现 异常检测。发生任何异常时，系统可检测新的模式并警告系统管理。SIEM的单个 节点上的模式发现可限制于系统资源(例如，存储器、具有数据库(DB)的IO 带宽，等)，使得其缺少处理大数据的能力，这在现代先进的企业安全体系中是 常见的。此外，如果以批处理模式实现模式发现，则实时发现新模式是有挑战性 的。

因此，本文描述的各种实施例涉及一种实时的能够扩展传统模式发现的分布 式模式发现引擎。此外，各种实施例可用于在关联的数据流式传入时，实时响应 新的模式。模式发现程序可分流并分成多个级。此外，多个节点可用于多个级。

如图1中进一步描述的，这些节点可包括事务项节点、单项计数节点、事务 项集生成器(builder)节点、项集计数器节点、以及模式输出节点。一个或多个节 点可分配于模式发现的每个级。在一些示例中，映射/归约、Storm(风暴)、或其 他方法可用于平衡工作负载。因此，本文描述的方法可避免数据集中的I/O瓶颈以 及计算集中的瓶颈。有利地，本文描述的方法可改善发现实时模式的性能。可在 流处理框架上实现映射/归约和/或Storm方法，以提供在多级上流模式发现处理的 机制，以及在一个或多个节点上并行化每级中的任务，以避免瓶颈。这允许实时 处理持续流动的安全信息和事件数据。

节点可检查事件组成，并将相关事件组识别为事务。随后可确定频繁项集。 在某些示例中，频繁项集是一起频繁地出现在不同事务中的相关事件组。因此， 一个或多个安全事件可包括在事务中。可被定制以例如满足消费者指定的标准的 这些频繁项集中的一些是恶意攻击的痕迹，且可用作未来分析的签名。