● 摘要
在复杂的网络环境下对缺乏集成的不同软硬件产品提供一个统一的安全管理监控平台并非易事。如何根据底层事件推导出更为精确和有意义的事件,如何从形式不一的设备日志中筛选出自己所感兴趣的信息、如何对检测到的危险和违规事件做出处理,这些都是一个集中式安全审计和监控系统中的事件流分析模块必须面对的问题。面对形式不一的多种数据源,事件模式匹配是进行事件分析的一项主要技术,而事件模式匹配的关键就是设计一种能够灵活表达事件模式的语言。 本文首先分析了当前的事件流分析技术,指出了本文所采纳的分析方法。接着针对目前事件模式语言中存在的不足,提出了一种简洁灵活的事件模式语言,扩展了以前的事件模式语言的研究工作。本文提出的事件模式语言不仅支持常用的模式运算符,而且增加了控制和时间观测等运算符,极大的丰富了事件模式语言的表达能力。然后基于该语言,本文设计和实现了一个语言驱动的事件流分析引擎,该引擎能有效地分析来自不同数据源的事件,实现事件的关联分析。同时提出了一种基于状态分析树的事件检测算法来实现事件模式的匹配。最后,本文对实现的事件流分析引擎进行了有效的评估,探讨了该引擎的应用前景并成功地将其应用于实验室目前正在研发的统一安全审计与监控平台中。