【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求2013年8月9日提交的美国临时专利申请序列号61/864,274的权益,所述临时申请以全文引用方式并入本文中。
本文中提出的实施方案提供用于分析计算机数据流的技术。更明确来说,所公开的技术是用于从监视计算机网络来分析并学习行为模式。
技术介绍
入侵检测系统(IDS)监视针对恶意活动或违规的网络或系统活动,并且向管理控制台产生报告。许多当前的入侵检测系统是基于特征符的(signature-based)。即,IDS可被配置有检测恶意活动或不当的活动的特征符。已知攻击特征符是对应于已知攻击的计算机活动(或那些活动的变体)的序列,所述已知攻击如针对操作系统或应用程序的漏洞的攻击。攻击特征符也可以是对应于已知漏洞的网络包中的位模式。IDS可通过被动协议分析(例如,使用混杂模式中的“嗅探程序(sniffer)”)或特征符分析(例如,将特定系列的包或那个包内的数据解译成已知的攻击模式)而使用攻击特征符。例如,IDS可被配置有检测电子邮件中的特定病毒的攻击特征符。特征符可含有关于主题字段文本的信息,所述主题字段文本与已含有病毒的先前电子邮件或过去的附件文件名相关联。利用特征符,IDS可将每一电子邮件的主题与特征符中含有的主题以及具有已知可疑文件名的附件比较。然而,基于特征符的方法产生若干问题。例如,尽管IDS可能检测到特定攻击的变体,但变体通常必须定义在进行这种检测的特征符中。类似地,因为预定义攻击特 ...
【技术保护点】
一种用于处理来自一个或多个网络连接计算机系统的信息安全性数据流的方法,所述方法包括:接收标准化矢量的有序流,所述标准化矢量对应于从监视计算机网络的一个或多个传感器获得的信息安全性数据;和通过以下方式产生所述信息安全性数据的神经语言学模型:群集矢量的所述有序流并对每一群集指定字母,基于将标准化矢量的所述有序流映射到所述群集来输出字母的有序序列,建立来自字母的所述有序输出的词语的词典,基于字母的所述有序输出来输出词语的有序流,和基于词语的所述有序输出产生多个短语。
【技术特征摘要】
【国外来华专利技术】2013.08.09 US 61/864,2741.一种用于处理来自一个或多个网络连接计算机系统的信息安全性数据流的方法,所
述方法包括:
接收标准化矢量的有序流,所述标准化矢量对应于从监视计算机网络的一个或多个传
感器获得的信息安全性数据;和
通过以下方式产生所述信息安全性数据的神经语言学模型:
群集矢量的所述有序流并对每一群集指定字母,
基于将标准化矢量的所述有序流映射到所述群集来输出字母的有序序列,
建立来自字母的所述有序输出的词语的词典,
基于字母的所述有序输出来输出词语的有序流,和
基于词语的所述有序输出产生多个短语。
2.如权利要求1所述的方法,其进一步包括:
将从所述有序流中的后续标准化矢量产生的字母、词语或短语的当前观察结果与所述
神经语言学模型比较;和
当字母、词语、短语的所述当前观察结果不同于所述信息安全性数据的所述神经语言
学模型时产生警告。
3.如权利要求2所述的方法,其中当字母、词语、短语的所述当前观察结果不同于所述
信息安全性数据的所述神经语言学模型时产生警告包括针对当前观察结果中的至少第一
字母、词语或短语,基于所述神经语言学模型的所述字母、词语和短语中字母、词语和短语
分别的频率确定稀有评分;和
当所述当前观察结果中的所述字母、词语或短语中的至少一个的所述稀有评分超过规
定阈值时产生所述警告。
4.如权利要求1所述的方法,其进一步包括:
将从所述有序流中的后续标准化矢量产生的字母、词语或短语的当前观察结果与所述
神经语言学模型比较;和
产生所述当前观察结果中的所述字母、词语或短语中的至少一个的稀有评分。
5.如权利要求1所述的方法,其进一步包括,
从标准化矢量的所述有序流中的后续标准化矢量动态地更新所述神经语言学模型。
6.如权利要求1所述的方法,其中与所述标准化矢量相关联的所述信息安全性数据中
的所述每一个值被标准化成在范围0至1内的值,包括端值。
7.如权利要求1所述的方法,其中所述信息安全性数据包括网络包流量信息、磁盘安装
事件信息或安全性日志数据。
8.如权利要求1所述的方法,其中建立所述词典包括建立多达字母的最大长度的词语
的词典。
9.一种存储指令的计算机可读存储介质,当在处理器上执行所述指令时,所述指令执
行用于处理一个或多个网络连接计算机系统的数据流的操作,所述操作包括:
接收标准化矢量的有序流,所述标准化矢量对应于从监视计算机网络的一个或多个传
感器获得的信息安全性数据;和
通过以下方式产生所述信息安全性数据的神经语言学模型:
群集矢量的所述有序流并对每一群集指定字母,
基于将标准化矢量的所述有序流映射到所述群集来输出字母的有序序列,
建立来自字母的所述有序输出的词语的词典,
基于字母的所述有序输出来输出词语的有序流,和
基于词语的所述有序输出产生多个短语。
10.如权利要求9所述的计算机可读存储介质,其中所述操作进一步包括:
将从所述有序流中的后续标准化矢量产生的字母、词语或短语的当前观察结果与所述
神经语言学模型比较;和
当字母、词语、短语的所述当前观察结果不同于所述信息安全性数据的所述神经语言
学模型时产生警告。
11.如权利要求10所述的计算机可读存储介质,其中当字母、词语、短语的所述当前观
察结果不同于所述信息安全性数据的所述神经语言学模型时产生警告包括针对当前观察
结果中的至少第一字母、词语或短语,基于所述神经语言学模型的所述字母、词语和短语中
字母、词语和短语分别的频率确定稀有评分;和
当所述当前观察结果中的所述字母、词语或短语中的至少一个的所述稀有评分超过规
定阈值时产生所述警告。
12.如权利要求9所述的...
【专利技术属性】
技术研发人员:韦斯利·肯内斯·科布,明中·萧,柯蒂斯·爱德华·小科利,科迪·谢伊·福尔肯,本杰明·A·科诺斯基,查尔斯·理查德·摩根,阿伦·波芬伯格,通·托安·恩古亚,
申请(专利权)人:行为识别系统公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。