式中�,第二方面的檢測代理中的每個構(gòu)成第一方面的事件檢測檢測器單元。此外����,在一些實施方式(它們中的一些可以與前面的句段中所提及的實施方式中的一些一致)中,由子進程生成的各個檢測代理所尋找的觸發(fā)條件根據(jù)來自隱性狀態(tài)確定器(諸如�����,形成本發(fā)明的第一方面的一部分的隱性狀態(tài)確定器)的輸出被指定���。例如,主進程可以被實例化來尋找對應于包括階段_1��、階段_2����、階段_4的階段序列的模式??梢杂芍鬟M程利用一般的指示多階段事件已經(jīng)伴隨階段_1的發(fā)生而開始的觸發(fā)條件集來生成初始階段_1檢測代理。根據(jù)該通過遵循觸發(fā)條件被觸發(fā)的檢測代理,其可以將指示至少區(qū)分特征(例如���,目標身份)和可見狀態(tài)標識符的觸發(fā)消息報告回主進程��,其中主進程可以與形成該主進程所使用的隱性狀態(tài)模型的一部分的可見狀態(tài)相關(guān)聯(lián)��。該主進程隨后生成至少生成階段_2檢測代理的子進程���。階段_2檢測代理的觸發(fā)條件可以包括對將被涉及的相同的區(qū)分特征的需求。這還可以取決于隱性狀態(tài)確定器的關(guān)于將導致隱性狀態(tài)確定器確定系統(tǒng)已經(jīng)過渡到階段_2狀態(tài)的可見狀態(tài)的評定���。然后���,這將導致將必然導致檢測器作為整體確定被跟蹤的事件已進入所期望的階段_2狀態(tài)的觸發(fā)器。
[0027]在一些實施方式中��,超過一個檢測代理可以被實例化��,盡管它們與單個的觸發(fā)條件相關(guān)聯(lián)��。例如��,如果觸發(fā)條件取決于遵循一個物理系統(tǒng)上的一個條件以及不同系統(tǒng)上的另一個條件�����,則一個代理可以被實例化用于監(jiān)測一個系統(tǒng)而另一個用于監(jiān)測另一個系統(tǒng)。
[0028]本發(fā)明的進一步的方面涉及對應于本發(fā)明的第一方面和第二方面的方法���,并且涉及用于根據(jù)本發(fā)明的第一方面或第二方面中的一個使計算機能夠作為多階段事件檢測器操作或者用于根據(jù)本發(fā)明的一個方面使計算機或者其它處理器控制的設(shè)備或設(shè)備組來實施方法的處理器指令����。進一步的方面涉及攜帶這種處理器指令的載體���,優(yōu)選地諸如磁或光存儲盤或者固態(tài)存儲設(shè)備的非臨時性載體�。
【附圖說明】
[0029]為了可以更好的理解本發(fā)明����,現(xiàn)在將參照附圖僅以示例的方式描述本發(fā)明的實施方式,其中:
[0030]圖1是根據(jù)本發(fā)明的實施方式的包括多階段事件檢測器的計算機網(wǎng)絡的示意圖���;
[0031]圖2是更加詳細地示出圖1的多階段事件檢測器的監(jiān)測引擎的示意圖;
[0032]圖3是根據(jù)第二實施方式的圖1的多階段事件檢測器的監(jiān)測引擎的示意圖���;
[0033]圖4是由圖3的監(jiān)測代理生成的主進程的示意圖�����;
[0034]圖5是作為從與階段I觸發(fā)條件相關(guān)聯(lián)的檢測代理接收觸發(fā)器響應的結(jié)果的圖4的主進程和由該主進程生成的子進程的示意圖��;
[0035]圖6是作為從與階段2觸發(fā)條件相關(guān)聯(lián)的檢測代理接收觸發(fā)器響應的結(jié)果的圖4的主進程和由該主進程生成的第二子進程的示意圖�����;
[0036]圖7是根據(jù)第三實施方式的圖1的多階段事件檢測器的監(jiān)測引擎的示意圖��。
【具體實施方式】
[0037]圖1示出了根據(jù)幾個實施方式的包括多事件檢測器的計算機網(wǎng)絡系統(tǒng)����,其中,這些實施方式僅在監(jiān)測引擎100的結(jié)構(gòu)和功能方面不同���。下面參照圖2 (第一實施方式)����、圖
3��、圖4�����、圖5和圖6 (第二實施方式)以及圖7 (第三實施方式)更加詳細地討論第一實施方式���、第二實施方式和第三實施方式�����。
[0038]如圖1所示����,系統(tǒng)包括用戶1、連接到被監(jiān)測的網(wǎng)絡或可替換的信息源的數(shù)據(jù)饋送
2�����、4��、6和多階段事件監(jiān)測器10 (在下面進行更加詳細的討論)�。
[0039]數(shù)據(jù)饋送2、4��、6的性質(zhì)與本發(fā)明不是特別相關(guān)�����,并且因此在本文中將不做更加詳細的討論����。但是(例如)數(shù)據(jù)饋送2可以對應于用于從互聯(lián)網(wǎng)(尤其是諸如Twitter和Facebook等的社交網(wǎng)站,以及新聞網(wǎng)站和博客等)提取信息的引擎����;數(shù)據(jù)饋送4可以對應于基于網(wǎng)絡的入侵檢測設(shè)備,其監(jiān)測與正由監(jiān)測器10監(jiān)測的一個或更多個組織相關(guān)聯(lián)的一個或更多個計算機網(wǎng)絡����;以及數(shù)據(jù)饋送6可以對應于從基于主機的入侵檢測系統(tǒng)收集數(shù)據(jù)的引擎,該入侵檢測系統(tǒng)中的每個與屬于被監(jiān)測的組織等的單個設(shè)備相關(guān)聯(lián)�。
[0040]監(jiān)測器10包括用于允許用戶將信息輸入到該監(jiān)測器以及用于從該監(jiān)測器提取關(guān)于所檢測到的事件的信息等的圖形用戶界面部件20。該監(jiān)測器還包括關(guān)鍵績效指標(KPI)�、數(shù)據(jù)挖掘和統(tǒng)計庫單元30,該數(shù)據(jù)挖掘和統(tǒng)計庫單元30被用于輔助用戶指定某些可以被用于幫助生成觸發(fā)條件的可觀測事件�����,或者最終被下面進行更加詳細地討論的監(jiān)測引擎100所使用的可見或可觀測的事件���。監(jiān)測器10附加地包括攻擊模式單元40���。其存儲各種預先指定的多階段事件(諸如,某些網(wǎng)絡攻擊)的模式�����,尤其在這些攻擊遵循的通常順序方面(例如,階段_1����、階段_2、階段_4)����。監(jiān)測器10附加地包括可以以多種不同的方式(例如,⑶I 20上的電子郵件��、文字訊息��、閃爍的指示符等)將警報發(fā)送給關(guān)注用戶的報警引擎���。監(jiān)測器10附加地包括數(shù)據(jù)源管理器60和多個數(shù)據(jù)源連接器和提取器72����、74��、76�����。該數(shù)據(jù)源管理器管理接合到數(shù)據(jù)饋送2、4�、6的數(shù)據(jù)源連接器和提取器72、74�、76�。最后,監(jiān)測器附加地包括下面進行更加詳細地討論的監(jiān)測器引擎100�。
[0041]KP1、數(shù)據(jù)挖掘和統(tǒng)計庫單元30存儲KPI�,該KPI是來自數(shù)據(jù)源的測量結(jié)果或可觀測的事件并且它們被用于幫助嘗試確定是否發(fā)生多階段事件,以及如果是那么已經(jīng)達到什么階段���。在本實施方式中�����,用戶I創(chuàng)建各種條件(例如����,觸發(fā)條件��、過渡函數(shù)等)�,其依賴于數(shù)據(jù)源連接器和提取器能夠從數(shù)據(jù)饋送提取的某些KPI,可能在由控制器10的一個或更多個元件(可能包括單元30本身)進行一些預處理之后����。為了支持由用戶I創(chuàng)建條件和過渡函數(shù)����,單元30提供諸如分組/秒����、k比特/秒、點擊數(shù)/小時�����、點擊數(shù)/數(shù)據(jù)�、事件/分鐘等的現(xiàn)存的KPI的列表,以及這些可以如何被修改(例如�����,去往或來自特定網(wǎng)絡地址或地址范圍的分組/秒等)�。用戶也可以基于這些KPI來指定條件,例如上下閥值��、在指定的持續(xù)時間內(nèi)參數(shù)變化的梯度���、梯度是增大還是減小等�����。用戶還可以針對特定的條件指定用于KPI的信息應來自何處(例如��,來自哪個數(shù)據(jù)饋送)�����,并且可以基于多個參數(shù)��、參數(shù)的函數(shù)����、子條件等的邏輯組合形成復雜條件�����。所有這些都被存儲在單元30中�。此外,當創(chuàng)建這些測量結(jié)果的同時���,存在可用于探索數(shù)據(jù)源以通過也包含在KP1�、數(shù)據(jù)挖掘和統(tǒng)計庫單元30中的數(shù)據(jù)挖掘和統(tǒng)計工具來分析歷史數(shù)據(jù)(例如���,在先前識別的多階段事件等的期間生成的數(shù)據(jù)�,如果涉及先前識別的多階段事件的這些數(shù)據(jù)是可用的)的工具。
[0042]攻擊模式單元允許用戶指定他(她)想要監(jiān)測器10能夠跟蹤和檢測等的某些多階段事件����。每個模式包括各種不同的多階段事件預計經(jīng)過的階段。模式一旦被生成���,它們就會被存儲在攻擊模式數(shù)據(jù)庫中��。存在版本管理��。用HMM對這些模式進行編碼以由監(jiān)測引擎針對數(shù)據(jù)饋送來執(zhí)行��。除了針對各個模式創(chuàng)建的階段外�,攻擊模式單元40還包括模型(可能使用應用于歷史數(shù)據(jù)的線性回歸模型或者技術(shù))����,該模型除指定多階段事件經(jīng)過的階段的順序,其主要屬性可以由用戶I指定�����。例如�,用戶可以基于某些測量結(jié)果(例如��,上面所討論的KPI)指定可能預計會在某些特定階段之間以某一近似速率增長的某一參數(shù)����。這些可以通過使用用戶可獲得的或直接創(chuàng)建的許多公知技術(shù)和工具中的任一種(例如����,基于線性回歸技術(shù))從歷史數(shù)據(jù)中獲悉。
[0043]將主要關(guān)注多階段事件中所經(jīng)過的階段的序列的隱性狀態(tài)模型(例如HMM)組合并且對這些階段之間的變化建模使本發(fā)明的實施方式能夠利用多階段事件的時間方面的優(yōu)勢�����。這解決了與已有的HMM對多階段事件檢測的應用相關(guān)的三個關(guān)鍵問題�,尤其是多階段網(wǎng)絡攻擊的檢測��。如上所述����,存在HMM對多階段事件檢測技術(shù)的的一些已知的應用-它們中的大多數(shù)監(jiān)測階段以及用于各個階段的信號。還存在使用HMM對階段過渡進行建模的工作����。然而,所有這些在監(jiān)測可疑活動的連續(xù)進度方面存在困難��。本發(fā)明的實施方式提供一種工具,該工具使人工專家能夠創(chuàng)建階段模式����,并且針對各個階段指定什么源可被用于測量當事件已到達特定的階段時期望發(fā)生的事件。一旦這些階段被創(chuàng)建�����,則用戶可以附加地指定某些參數(shù)可以在階段之間預計如何變化的函數(shù)(例如�,用戶可指定與其值通常在階段之間改變的變量有關(guān)的某些曲線的形狀)。這些函數(shù)可以對階段之間細微的改變進行建模���。然后�,這些函數(shù)可以依次被用于處理活動的很多模糊測量��。這些函數(shù)的細節(jié)(例如���,表示在階段之間過渡期間的參數(shù)變化的曲線的改變方向)可以以對于人工專家來說更容易指定的方式更好地對實際情況下更加復雜的情況進行建模���,并因此可以減輕人工用戶的專業(yè)知識。為了輔助人工專家���,這些函數(shù)可以基于用戶I可以指定(或從歷史情況中檢索)的階段之間的數(shù)據(jù)點通過諸如線性回歸技術(shù)的自動或半自動機器學習技術(shù)獲悉���。指定某些可觀測的參數(shù)