Saql: A Stream-based Query System for Real-Time Abnormal System Behavior Detection abstract。

解决的问题

APT 攻击 emerging,针对系统活动的监控成为了一种解决方案,但是阻止攻击者造成深层次的损害是一个时间敏感的任务,现有的方案无法在可接受时间内大规模的溯源数据上进行基于专家知识的异常检测。

因此提出本方案解决该问题。

Architecture

arch

本文提出的是一种新型的基于流的查询系统,该系统将企业中多个主机聚合的实时事件源作为输入,并且提供异常查询引擎,该引擎查询事件源根据特定异常活动来识别异常行为。

为了促进基于专家知识的异常表达任务,系统提供了一种特定的查询语言 SAQL,给分析人员提供了:

  • 基于规则的异常检测
  • 基于事件序列的异常检测
  • 基于异常值的异常检测

query
query
query
query

SAQL语言设计

多事件特征匹配

  • 全局限制
  • 事件特征
  • 滑动窗口
  • 事件时间关系
  • 事件属性关系

状态计算

  • 状态块
  • 状态变量
  • 状态集群

告警条件检查

返回和过滤

SAQL 执行引擎

查询执行引擎

并发查询引擎