使用行为辨识系统的认知信息安全性技术方案

本文中提出的实施方案描述用于处理一个或多个网络连接计算机系统的数据流的方法。根据本公开的一个实施方案，接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多个传感器获得的信息安全性数据。所述信息安全性数据的神经语言学模型通过以下方式产生：群集矢量的所述有序流并对每一群集指定字母，基于将标准化矢量的所述有序流映射到所述群集来输出字母的有序序列，建立来自字母的所述有序输出的词语的词典，基于字母的所述有序输出来输出词语的有序流，和基于词语的所述有序输出产生多个短语。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求2013年8月9日提交的美国临时专利申请序列号61/864,274的权益，所述临时申请以全文引用方式并入本文中。
本文中提出的实施方案提供用于分析计算机数据流的技术。更明确来说，所公开的技术是用于从监视计算机网络来分析并学习行为模式。
技术介绍
入侵检测系统(IDS)监视针对恶意活动或违规的网络或系统活动，并且向管理控制台产生报告。许多当前的入侵检测系统是基于特征符的(signature-based)。即，IDS可被配置有检测恶意活动或不当的活动的特征符。已知攻击特征符是对应于已知攻击的计算机活动(或那些活动的变体)的序列，所述已知攻击如针对操作系统或应用程序的漏洞的攻击。攻击特征符也可以是对应于已知漏洞的网络包中的位模式。IDS可通过被动协议分析(例如，使用混杂模式中的“嗅探程序(sniffer)”)或特征符分析(例如，将特定系列的包或那个包内的数据解译成已知的攻击模式)而使用攻击特征符。例如，IDS可被配置有检测电子邮件中的特定病毒的攻击特征符。特征符可含有关于主题字段文本的信息，所述主题字段文本与已含有病毒的先前电子邮件或过去的附件文件名相关联。利用特征符，IDS可将每一电子邮件的主题与特征符中含有的主题以及具有已知可疑文件名的附件比较。然而，基于特征符的方法产生若干问题。例如，尽管IDS可能检测到特定攻击的变体，但变体通常必须定义在进行这种检测的特征符中。类似地，因为预定义攻击特征符，所以IDS易受尚未观察到新攻击的影响。即，某些人大体不得不在定义特征符之前观察特定攻击模式或漏洞攻击(exploit)的实例。因此，IDS可能不能检测所谓的“零天”攻击(即，利用系统或应用程序中的先前未知漏洞的攻击)。随着因零天攻击而出现违背的系统数目日益增加，入侵检测系统中基于特征符的方法的效用变得受限。另外，攻击者可使用代码变形技术来搅乱攻击特征符，从而使得攻击难以检测。
技术实现思路
本文中提出的一个实施方案包括用于处理一个或多个网络连接计算机系统的数据流的方法。所述方法总体上包括接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多个传感器获得的信息安全性数据。信息安全性数据的神经语言学模型通过以下方式产生：群集矢量的有序流并对每一群集指定字母，基于将标准化矢量的有序流映射到群集来输出字母的有序序列，建立来自字母的有序输出的词语的词典，基于字母的有序输出来输出词语的有序流，和基于词语的有序输出产生多个短语。另一实施方案包括具有指令的计算机可读存储介质，当在处理器上执行所述指令时，所述指令执行用于处理一个或多个网络连接计算机系统的数据流的操作。所述操作总体上包括接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多个传感器获得的信息安全性数据。信息安全性数据的神经语言学模型通过以下方式产生：群集矢量的有序流并对每一群集指定字母，基于将标准化矢量的有序流映射到群集来输出字母的有序序列，建立来自字母的有序输出的词语的词典，基于字母的有序输出来输出词语的有序流，和基于词语的有序输出产生多个短语。又一实施方案包括具有处理器和存储程序的存储器的系统，当在所述处理器上执行程序时，所述程序进行用于处理一个或多个网络连接计算机系统的数据流的操作。所述操作总体上包括接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多个传感器获得的信息安全性数据。信息安全性数据的神经语言学模型通过以下方式产生：群集矢量的有序流并对每一群集指定字母，基于将标准化矢量的有序流映射到群集来输出字母的有序序列，建立来自字母的有序输出的词语的词典，基于字母的有序输出来输出词语的有序流，和基于词语的有序输出产生多个短语。另一实施方案包括用于处理一个或多个网络连接计算机系统的数据流的方法。所述方法总体上包括接收标准化矢量的流，所述标准化矢量对应于在计算机网络上监视到的信息安全性数据。产生来自标准化矢量的流的多个符号。基于符号在流中相对于彼此出现的次序产生来自所产生多个符号的组合的词语的词典。基于在词典中的词语之间识别的关系产生多个短语。每一关系是基于每一词语相对于彼此出现的次序。在信息安全性数据内识别行为的模式。附图说明为了可以详细理解本公开的上述特征所采用的方式，本公开(上文简要概述)的更为具体的描述可以参考实施方案来获得，其中的某些实施方案在附图中例示。然而，应注意，附图仅例示示例性实施方案，并且因此不应被视为对本公开的范围的限制，而可允许其他同等有效的实施方案。图1例示根据一个实施方案的示例性计算环境。图2进一步例示根据一个实施方案的图1中描述的信息安全性插件(plug-in)。图3例示根据一个实施方案的图1中描述的行为辨识系统的系统架构。图4例示根据一个实施方案的用于标准化由信息安全性插件发送至行为辨识系统中的信息安全性驱动器的数据的方法。图5例示根据一个实施方案的用于产生标准化信息安全性数据的语言学表示的方法。为了便于理解，在可能的情况下，使用相同的元件符号来标示附图中共用的相同元件。预期的是，一个实施方案的元件和特征可有益地并入其他实施方案而无需另外表述。具体实施方式本文中提出的实施方案提供基于从计算机系统中的各种数据来源收集的数据流来分析并学习行为的模式的方法和系统。在一个实施方案中，安装在网络中的计算机系统上的信息安全性插件将数据从各种来源发送至行为辨识系统。例如，插件可接收包流量、位流和安全性日志。在一个实施方案中，行为辨识系统接收由信息安全性插件所观察的计算机网络数据流。行为辨识系统分析数据流以识别重现模式。为此，在一个实施方案中，行为辨识系统将数据流标准化成数值(例如，在0至1范围内)并且产生标准化数据的矢量。在一个实施方案中，行为辨识系统从标准化矢量产生语言学模型。明确来说，行为辨识系统中的神经语言学模块群集标准化矢量并且为每一群集指定不同的符号。符号充当语言学模型的构建单元(buildingblock)。神经语言学模块基于在数据中一起重现的符号的频率而识别符号的组合，即，词语(名词、形容词、动词等)。即，神经语言学模块通过识别标准化数据中出现的符号组合而建立包括词语的词典。一旦词典成熟(例如，在识别规定量的统计相关词语之后)，神经语言学模块基于词典中一起出现在数据中的词语的频率而识别来自词典的词语的组合，即，短语。另外，神经语言学模块也可评估稀有评分，所述稀有评分指示给定符号、词语或短语在数据中分别相对于其他符号、本文档来自技高网...

【技术保护点】
一种用于处理来自一个或多个网络连接计算机系统的信息安全性数据流的方法，所述方法包括：接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多个传感器获得的信息安全性数据；和通过以下方式产生所述信息安全性数据的神经语言学模型：群集矢量的所述有序流并对每一群集指定字母，基于将标准化矢量的所述有序流映射到所述群集来输出字母的有序序列，建立来自字母的所述有序输出的词语的词典，基于字母的所述有序输出来输出词语的有序流，和基于词语的所述有序输出产生多个短语。

【技术特征摘要】
【国外来华专利技术】2013.08.09 US 61/864,2741.一种用于处理来自一个或多个网络连接计算机系统的信息安全性数据流的方法，所
述方法包括：
接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多个传
感器获得的信息安全性数据；和
通过以下方式产生所述信息安全性数据的神经语言学模型：
群集矢量的所述有序流并对每一群集指定字母，
基于将标准化矢量的所述有序流映射到所述群集来输出字母的有序序列，
建立来自字母的所述有序输出的词语的词典，
基于字母的所述有序输出来输出词语的有序流，和
基于词语的所述有序输出产生多个短语。
2.如权利要求1所述的方法，其进一步包括：
将从所述有序流中的后续标准化矢量产生的字母、词语或短语的当前观察结果与所述
神经语言学模型比较；和
当字母、词语、短语的所述当前观察结果不同于所述信息安全性数据的所述神经语言
学模型时产生警告。
3.如权利要求2所述的方法，其中当字母、词语、短语的所述当前观察结果不同于所述
信息安全性数据的所述神经语言学模型时产生警告包括针对当前观察结果中的至少第一
字母、词语或短语，基于所述神经语言学模型的所述字母、词语和短语中字母、词语和短语
分别的频率确定稀有评分；和
当所述当前观察结果中的所述字母、词语或短语中的至少一个的所述稀有评分超过规
定阈值时产生所述警告。
4.如权利要求1所述的方法，其进一步包括：
将从所述有序流中的后续标准化矢量产生的字母、词语或短语的当前观察结果与所述
神经语言学模型比较；和
产生所述当前观察结果中的所述字母、词语或短语中的至少一个的稀有评分。
5.如权利要求1所述的方法，其进一步包括，
从标准化矢量的所述有序流中的后续标准化矢量动态地更新所述神经语言学模型。
6.如权利要求1所述的方法，其中与所述标准化矢量相关联的所述信息安全性数据中
的所述每一个值被标准化成在范围0至1内的值，包括端值。
7.如权利要求1所述的方法，其中所述信息安全性数据包括网络包流量信息、磁盘安装
事件信息或安全性日志数据。
8.如权利要求1所述的方法，其中建立所述词典包括建立多达字母的最大长度的词语
的词典。
9.一种存储指令的计算机可读存储介质，当在处理器上执行所述指令时，所述指令执
行用于处理一个或多个网络连接计算机系统的数据流的操作，所述操作包括：
接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多个传
感器获得的信息安全性数据；和
通过以下方式产生所述信息安全性数据的神经语言学模型：
群集矢量的所述有序流并对每一群集指定字母，
基于将标准化矢量的所述有序流映射到所述群集来输出字母的有序序列，
建立来自字母的所述有序输出的词语的词典，
基于字母的所述有序输出来输出词语的有序流，和
基于词语的所述有序输出产生多个短语。
10.如权利要求9所述的计算机可读存储介质，其中所述操作进一步包括：
将从所述有序流中的后续标准化矢量产生的字母、词语或短语的当前观察结果与所述
神经语言学模型比较；和
当字母、词语、短语的所述当前观察结果不同于所述信息安全性数据的所述神经语言
学模型时产生警告。
11.如权利要求10所述的计算机可读存储介质，其中当字母、词语、短语的所述当前观
察结果不同于所述信息安全性数据的所述神经语言学模型时产生警告包括针对当前观察
结果中的至少第一字母、词语或短语，基于所述神经语言学模型的所述字母、词语和短语中
字母、词语和短语分别的频率确定稀有评分；和
当所述当前观察结果中的所述字母、词语或短语中的至少一个的所述稀有评分超过规
定阈值时产生所述警告。
12.如权利要求9所述的...

【专利技术属性】
技术研发人员：韦斯利·肯内斯·科布，明中·萧，柯蒂斯·爱德华·小科利，科迪·谢伊·福尔肯，本杰明·A·科诺斯基，查尔斯·理查德·摩根，阿伦·波芬伯格，通·托安·恩古亚，
申请(专利权)人：行为识别系统公司，
类型：发明
国别省市：美国;US