(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210997131.6 (22)申请日 2022.08.19 (71)申请人 北京航空航天大 学 地址 100191 北京市海淀区学院路37号 (72)发明人 李云春　赵俊杰　李巍　 (74)专利代理 机构 北京科迪生专利代理有限责 任公司 1 1251 专利代理师 安丽　顾炜 (51)Int.Cl. H04L 41/0631(2022.01) H04L 41/069(2022.01) H04L 41/0686(2022.01) H04L 41/0604(2022.01) H04L 9/40(2022.01) (54)发明名称 一种基于系统审计日志的HIDS告警溯源方 法 (57)摘要 本发明公开了一种基于系统审计日志的 HIDS告警溯源方法， 包括： 从主机收集HIDS原始 告警日志和系统审计日志并进行预处理； 通过时 间戳和涉及的进程、 文件、 网络连接或注册表等 系统实体来将两种日志关联， 为 关联到的系统审 计日志中的事件 添加告警标记； 在全局系统审计 日志中， 根据因果关系对所有带标记的事件进行 因果溯源追踪， 形成事件序列； 对事件序列进行 打分， 超过一定阈值的序列转化为最终告警输 出。 相较于HIDS的原始告警， 能够提供告警点的 上下文关联信息， 实现对告警的溯源， 减少人工 分析工作量。 权利要求书4页 说明书11页 附图5页 CN 115378793 A 2022.11.22 CN 115378793 A 1.一种基于系统审计日志 的HIDS告警溯源方法， 应用于主机入侵检测告警分析， 其特 征在于， 包括如下步骤： (1)将HIDS告警和系 统审计日志处理为包含指定内容的数据格式， 得到处理后的全局 告警A和全局系统审计日志E； (2)将全局告警A中的每个告警a和全局系 统审计日志E中的系 统审计事件e进行关联， 得到带有 告警标记的事 件列表matc hed_list； (3)从所述事件列表matched_list中的事件出发， 在全局系统审计日志E中利用因果关 系进行向前追踪和向后 溯源， 得到与告警相关联的事 件序列， 保存至序列 列表seq_l ist中； (4)结合事件序列中的事件所关联到的告警的信息， 根据序列评分机制， 为所述事件序 列seq_list 中的每个序列评分， 得到序列评分结果； 将序列评分结果超过设定阈值的序列 转变为最终告警输出； 其中， 步骤(1)中所述数据格式包含告警格式和系统审计日志中对应的系统审计事件 格式， 其中： 告警格式包 含{id， timestamp， data， rule}； id用来索引和标识告警； timestamp代 表了告警产生时的时间戳； data则包 含告警的具体内容， 至少包 含data.entity和data.descripti on两部分： data.entity是触发告警的系统实体有关信息， 所述系统实体包含文件、 网络连接、 进 程， 对于Windows系统， 注册表也是一类系统实体； 由不同类型系统实体所触发的告警中的 data.entity所包含的内容不同， 对于文件类型系统实体所触发 的告警， data.entity中包 含文件的路径信息； 对于网络连接类型系统实体触发的告警， data.entity中则包含网络连 接的域名或IP、 端口信息； 对于进程类型系统实体触发的告警， data.entity包含进程ID和 进程名信息； 在Windows系统中注册表类型系统实体所产生的告警， data.entity包含对应 注册表的键和值信息； data.descripti on是对告警内容的描述信息； rule代表该告警相关的规则； 所述规则至少 包含以下信息{rule.id， rule.type， rule.level}， 其中rule.id代表规 则的唯一标识， 用来快速定位规则； rule.type代表该告警对应规则的类型， 即实时匹配或 定期检测， 所述实时匹配代表该规则用于实时匹配系统中最新产生的日志， 基于这类规则 产生的告警会在系统中发生入侵事件时即刻产生， 告警时间与入侵行为发生时间同步， 基 于这类规则产生的告警也就是实时告警； 而 所述定期 检测的规则则用于匹配HIDS 定期执行 的检测程序的检测结果， 这类规则产生的告警会在HIDS执行定期的检测任务时才产生， 告 警时间与入侵行为的发生时间不同步， 基于这类规则产生的告警也就是定期检测告警； rule.lev el代表触发该规则的事件风险的高低， 所述事件风险代表了该事件为入侵行为的 可能性以及发生后会造成的后果 严重程度的高低。 告警中id， timestamp， 以及data和rule的子 字段都属于告警的属性； 所有处理后的HID S告警的集 合就构成了全局告警A； 系统审计事 件格式包 含{subject， object， timestamp， operati on}； subhect代表事件发生的主体， 即事 件中动作的发起方的系统实体；权　利　要　求　书 1/4 页 2 CN 115378793 A 2object代表事件发生的客体， 即动作的接收方的系统实体； timestamp代 表事件发生的时间戳信息； operation代表主体对客体执行的具体操作， 包括进程对文件的读写、 进程创建子进 程、 进程和远程网络连接的信息发送接收， Windows下进程对注册表的读写， 以及其他记录 到的系统实体之间的操作； 所有系统审计事 件构成的集 合， 即为全局系统审计日志E 。 2.根据权利要求1所述的基于系统审计日志的HIDS告警溯源方法， 其特征在于， 所述步 骤(2)具体包 含以下步骤： (21)针对全局告警A中的一个告警ai， 首先判断ai的rule.type字段， 如果告警是通过定 期检测产生的， 则跳转(23)， 如果是实时告警则继续(2 2)； (22)在全局系统审计日志E中查找时间戳最接近ai.timestamp的系统审计事件记为ej， 如果|ej.timestamp ‑ai.timestamp|＞ThresholdTS， 就认为匹配失败， 即无法找到与ai关联 的系统审计事件， 然后 跳转(25)， 否则跳转(24)， ThresholdTS是一个时间戳关联阈值， 时间 戳的差值如果 不高于该阈值则认为是同一时刻； (23)对于定期检测所产生的告警， 由于可能存在的处理不及时导致相同原因多次触发 告警， 因此需要将这些重复的告警进行合并， 即在全局告警A中找到与ai重复的告警， 并只 保留其中一个告警作为ai， 删去其余重复告 警； 然后分别选择全局系统审计日志E中 的每一 个事件作为ej， 执行(24)； (24)判断ej.subject或ej.object所涉及的系统实体与ai.data.entity所对应的系统 实体是否为同一系统实体？ 如是， 则认为ej与ai有关联， 将ej和ai连接， 得到ej： ai， 并将其添 加到matc hed_list中， 相当于为事 件ej添加了告警ai作为标记； 如不是， 认为ej与ai无关； (25)重复执行(21)至(24)， 直至完成对全局告警A中所有告警的关联尝试， 最终得到带 有告警标记的事 件列表matc hed_list； 所述matched_list保留了所有关联到告警的事件及其关联到的告警信息， 因此至少包 含系统审计事件events和 告警alerts两列数据， 选择系统审计事件events列作为索引列， 由于可能存在一个系统审计事件关联到多个告警的情况， 在向matched_ list中添加项ej： ai 时， 先查找events列中是否已经有ej， 如果已经存在， 则仅需在 ej这一行的alerts列的末尾 添加ai， 这样该行数据就由{ej， {aj1， aj2， ...}}变为{ej， {aj1， aj2， ...， ai}}， 其中aj1， aj2， ... 是ej已经匹配到的其 他告警； 如果ej不存在， 则直接将{ej， {ai}}作为新的一行 添加。 3.根据权利要求1所述的基于系统审计日志的HIDS告警溯源方法， 其特征在于， 所述步 骤(3)具体包括以下步骤： (31)在全局系统审计日志E中根据因果关系对matched_list中的一个事件e进行向后 溯源， 直至找到没有原因事件的根原因事件er， 得到一个溯源序列{er， ...， eb2， eb1， e}， 代表 了一条影响了事 件e发生的事 件序列， 在E中最终找到的溯源序列数量记为m； (32)在全局系统审计日志E中对事件e进行向前追踪， 直至找到没有结果事件的末端事 件el， 得到一个追踪序列{e， ef1， ef2， ...el}的序列， 代表受到e事件影响的事件序列， 在E中 最终找到的追踪序列数量记为 n； (33)将找到的m个溯源序列和n个追踪序列进行组合连接， 得到关于事件e的m ×n个序 列， 保存至序列 列表seq_l ist中；权　利　要　求　书 2/4 页 3 CN 115378793 A 3