一种基于系统审计日志的HIDS告警溯源方法技术方案

本发明专利技术公开了一种基于系统审计日志的HIDS告警溯源方法，包括：从主机收集HIDS原始告警日志和系统审计日志并进行预处理；通过时间戳和涉及的进程、文件、网络连接或注册表等系统实体来将两种日志关联，为关联到的系统审计日志中的事件添加告警标记；在全局系统审计日志中，根据因果关系对所有带标记的事件进行因果溯源追踪，形成事件序列；对事件序列进行打分，超过一定阈值的序列转化为最终告警输出。相较于HIDS的原始告警，能够提供告警点的上下文关联信息，实现对告警的溯源，减少人工分析工作量。分析工作量。分析工作量。

【技术实现步骤摘要】
一种基于系统审计日志的HIDS告警溯源方法


[0001]本专利技术涉及主机入侵行为分析领域，更具体的，涉及一种基于系统审计日志的HIDS告警溯源方法。

技术介绍

[0002]以OSSEC为代表的主机入侵检测系统(简称HIDS)常常用于对主机行为的监控。这类HIDS能够进行主机日志分析、文件完整性检测以及rootkit检测等。本质上OSSEC等HIDS是根据预定义的规则，对输入的各类日志或HIDS定期执行的检测结果进行匹配，如果规则匹配到了相应的内容，则会产生对应的告警信息。而规则可以为告警设置风险等级，风险等级越高的告警意味着入侵行为越严重，或者入侵行为发生的可能性越大。
[0003]然而这样产生的告警往往代表了孤立的事件，彼此之间缺少关联信息，提供给分析人员的告警信息价值不高，而且由于低等级告警的规则相对宽松，更容易触发，所以入侵发生时，往往会产生大量告警，既占用系统空间，也会增加分析人员的工作量，即使没有入侵行为，较低的触发条件可能会导致出现很多低风险的误报告警。
[0004]为了缓解这些问题，已有的技术主要是通过将系统审计日志与预先配置的规则进行匹配碰撞，找到入侵点，然后在系统审计日志中对入侵点进行溯源追踪，然后通过一系列的威胁评估方法来降低误报。然而很多方法配置的规则通常仅限于对用于构建因果关系的系统审计日志的匹配碰撞，而基于其他日志来源的告警或者通过HIDS定期执行的检测产生的告警则缺少关注。

技术实现思路

[0005]本专利技术技术问题：为了克服现有技术的不足，提供一种基于系统审计日志的HIDS告警溯源方法，提高主机入侵检测告警的价值(价值可以认为是告警能够向安全人员提供的触发告警有关的事件信息的量，提供的信息量越高，安全人员越能全面的了解告警事件)，使其具有更好的可解释性(可解释性含义为告警被安全人员理解的难易度，本专利技术提供了告警信息的来龙去脉事件信息，使得安全人员更加容易理解为什么会触发告警以及可能产生了哪些后果)、准确性，在有效减少告警数量的同时，避免漏报发生，可以有效减少人工工作量。
[0006]为了达到上述目的，本专利技术包括以下步骤：
[0007]本专利技术的一种基于系统审计日志的HIDS告警溯源方法，应用于主机入侵检测告警分析，包括如下步骤：
[0008](1)将HIDS告警和系统审计日志处理为包含指定内容的数据格式，得到处理后的全局告警A和全局系统审计日志E；所述系统指操作系统，比如Windows、Linux，这类日志通常在内核层记录进程行为，全局系统审计日志E意为全部，即完整记录的系统审计日志；
[0009](2)将全局告警A中的每个告警a和全局系统审计日志E中的系统审计事件e进行关联，得到带有告警标记的事件列表matched_list；
[0010](3)从所述事件列表matched_list中的事件出发，在全局系统审计日志E中利用因果关系进行向前追踪和向后溯源，得到与告警相关联的事件序列，保存至序列列表seq_list中；
[0011](4)结合事件序列中的事件所关联到的告警的信息，根据序列评分机制，为所述事件序列seq_list中的每个序列评分，得到序列评分结果；将序列评分结果超过设定阈值的序列转变为最终告警输出；
[0012]其中，步骤(1)中所述数据格式包含告警格式和系统审计日志中对应的系统审计事件格式，其中：
[0013]告警格式包含{id，timestamp，data，rule}
[0014]id用来索引和标识告警；
[0015]timestamp代表了告警产生时的时间戳；
[0016]data则包含告警的具体内容，至少包含data.entity和data.description两部分：
[0017]data.entity是触发告警的系统实体有关信息。所述系统实体包含文件、网络连接、进程，对于Windows系统，注册表也是一类系统实体。由不同类型系统实体所触发的告警中的data.entity所包含的内容不同。具体说来，对于文件类型系统实体所触发的告警，data.entity中包含文件的路径信息；对于网络连接类型系统实体触发的告警，data.entity中则包含网络连接的域名或IP、端口信息；对于进程类型系统实体触发的告警，data.entity包含进程ID和进程名信息；在Windows系统中注册表类型系统实体所产生的告警，data.entity包含对应注册表的键和值信息。
[0018]data.description是对告警内容的描述信息。
[0019]rule代表该告警相关的规则，即是产生该告警所触发的规则，是由HIDS预定义的一种模式，当系统中发生的事件匹配到这些模式后，则触发告警；
[0020]规则至少包含以下信息{rule.id，rule.type，rule.level}，其中rule.id代表规则的唯一标识，用来快速定位规则，rule.type代表该告警对应规则的类型，即实时匹配或定期检测，所述实时匹配代表该规则用于实时匹配系统中最新产生的日志，基于这类规则产生的告警会在系统中发生入侵事件时即刻产生，告警时间与入侵行为发生时间同步，基于这类规则产生的告警也就是实时告警；而所述定期检测的规则则用于匹配HIDS定期执行的检测程序的检测结果，这类规则产生的告警会在HIDS执行定期的检测任务时才会产生，告警时间与入侵行为的发生时间不同步，基于这类规则产生的告警也就是定期检测告警。rule.level代表触发该规则的事件风险的高低，所述事件风险代表了该事件为入侵行为的可能性以及发生后会造成的后果严重程度的高低。
[0021]告警中id，timestamp，以及data和rule的子字段都属于告警的属性；
[0022]所有处理后的HIDS告警的集合就构成了全局告警A；
[0023]系统审计事件格式包含{subject，object，timestamp，operation}
[0024]subject代表事件发生的主体，即事件中动作的发起方的系统实体；
[0025]object代表事件发生的客体，即动作的接收方的系统实体；
[0026]timestamp代表事件发生的时间戳信息；
[0027]operation代表主体对客体执行的具体操作。包括进程对文件的读写、进程创建子进程、进程和远程网络连接的信息发送接收，Windows下进程对注册表的读写。以及其他记
录到的系统实体之间的操作。
[0028]所有系统审计事件构成的集合，即为全局系统审计日志E。
[0029]相较于已有的方法，本专利技术设计的方法将通用的而非特定的HIDS告警与系统审计日志进行关联(步骤1和步骤2)，而基于系统审计日志对告警进行溯源时，依据的是系统审计事件之间的因果关系，可以根据所产生的事件序列追踪HIDS告警产生的根源以及受到告警影响的范围(步骤3)。而最后通过评分机制会将多个存在因果关联的原始HIDS告警聚合在同一个序列中，作为本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于系统审计日志的HIDS告警溯源方法，应用于主机入侵检测告警分析，其特征在于，包括如下步骤：(1)将HIDS告警和系统审计日志处理为包含指定内容的数据格式，得到处理后的全局告警A和全局系统审计日志E；(2)将全局告警A中的每个告警a和全局系统审计日志E中的系统审计事件e进行关联，得到带有告警标记的事件列表matched_list；(3)从所述事件列表matched_list中的事件出发，在全局系统审计日志E中利用因果关系进行向前追踪和向后溯源，得到与告警相关联的事件序列，保存至序列列表seq_list中；(4)结合事件序列中的事件所关联到的告警的信息，根据序列评分机制，为所述事件序列seq_list中的每个序列评分，得到序列评分结果；将序列评分结果超过设定阈值的序列转变为最终告警输出；其中，步骤(1)中所述数据格式包含告警格式和系统审计日志中对应的系统审计事件格式，其中：告警格式包含{id，timestamp，data，rule}；id用来索引和标识告警；timestamp代表了告警产生时的时间戳；data则包含告警的具体内容，至少包含data.entity和data.description两部分：data.entity是触发告警的系统实体有关信息，所述系统实体包含文件、网络连接、进程，对于Windows系统，注册表也是一类系统实体；由不同类型系统实体所触发的告警中的data.entity所包含的内容不同，对于文件类型系统实体所触发的告警，data.entity中包含文件的路径信息；对于网络连接类型系统实体触发的告警，data.entity中则包含网络连接的域名或IP、端口信息；对于进程类型系统实体触发的告警，data.entity包含进程ID和进程名信息；在Windows系统中注册表类型系统实体所产生的告警，data.entity包含对应注册表的键和值信息；data.description是对告警内容的描述信息；rule代表该告警相关的规则；所述规则至少包含以下信息{rule.id，rule.type，rule.level}，其中rule.id代表规则的唯一标识，用来快速定位规则；rule.type代表该告警对应规则的类型，即实时匹配或定期检测，所述实时匹配代表该规则用于实时匹配系统中最新产生的日志，基于这类规则产生的告警会在系统中发生入侵事件时即刻产生，告警时间与入侵行为发生时间同步，基于这类规则产生的告警也就是实时告警；而所述定期检测的规则则用于匹配HIDS定期执行的检测程序的检测结果，这类规则产生的告警会在HIDS执行定期的检测任务时才产生，告警时间与入侵行为的发生时间不同步，基于这类规则产生的告警也就是定期检测告警；rule.level代表触发该规则的事件风险的高低，所述事件风险代表了该事件为入侵行为的可能性以及发生后会造成的后果严重程度的高低。告警中id，timestamp，以及data和rule的子字段都属于告警的属性；所有处理后的HIDS告警的集合就构成了全局告警A；系统审计事件格式包含{subject，object，timestamp，operation}；subhect代表事件发生的主体，即事件中动作的发起方的系统实体；
object代表事件发生的客体，即动作的接收方的系统实体；timestamp代表事件发生的时间戳信息；operation代表主体对客体执行的具体操作，包括进程对文件的读写、进程创建子进程、进程和远程网络连接的信息发送接收，Windows下进程对注册表的读写，以及其他记录到的系统实体之间的操作；所有系统审计事件构成的集合，即为全局系统审计日志E。2.根据权利要求1所述的基于系统审计日志的HIDS告警溯源方法，其特征在于，所述步骤(2)具体包含以下步骤：(21)针对全局告警A中的一个告警a
i
，首先判断a
i
的rule.type字段，如果告警是通过定期检测产生的，则跳转(23)，如果是实时告警则继续(22)；(22)在全局系统审计日志E中查找时间戳最接近a
i
.timestamp的系统审计事件记为e
j
，如果|e
j
.timestamp
‑
a
i
.timestamp|＞Threshold
TS
，就认为匹配失败，即无法找到与a
i
关联的系统审计事件，然后跳转(25)，否则跳转(24)，Threshold
TS
是一个时间戳关联阈值，时间戳的差值如果不高于该阈值则认为是同一时刻；(23)对于定期检测所产生的告警，由于可能存在的处理不及时导致相同原因多次触发告警，因此需要将这些重复的告警进行合并，即在全局告警A中找到与a
i
重复的告警，并只保留其中一个告警作为a
i
，删去其余重复告警；然后分别选择全局系统审计日志E中的每一个事件作为e
j
，执行(24)；(24)判断e
j
.subject或e
j
.object所涉及的系统实体与a
i
.data.entity所对应的系统实体是否为同一系统实体？如是，则认为e
j
与a
i
有关联，将e
j
和a
i
连接，得到e
j
：a
i
，并将其添加到matched_list中，相当于为事件e
j
添加了告警a
i
作为标记；如不是，认为e
j
与a
i
无关；(25)重复执行(21)至(24)，直至完成对全局告警A中所有告警的关联尝试，最终得到带有告警标记的事件列表matched_list；所述matched_list保留了所有关联到告警的事件及其关联到的告警信息，...

【专利技术属性】
技术研发人员：李云春，赵俊杰，李巍，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：