The various embodiments of the present disclosure are generally concerned with the network security analysis system. Specifically, the network security analysis system performs abnormal detection with low false alarm rate by realizing multi view analysis of network data. The analysis system uses a new method for using topic modeling and time series algorithms to define network baselines. The analysis system implements Natural Language Processing technology to check network content and time series data, so as to establish and maintain the definition of baseline network state model. Compared with new activities, it identifies anomalies.
【技术实现步骤摘要】
网络安全分析系统优先权声明本申请要求于2016年7月29日提交的名称为“NetworkSecurityAnalysisSystem”的案卷编号为15718-84的美国临时申请序列号62/368,650的优先权。本申请还要求于2017年3月13日提交的名称为“NetworkSecurityAnalysisSystem”的案卷编号为15718-178的美国申请序列号15/457,340的优先权。
本申请涉及安全系统,包括用于计算机网络的安全系统。本申请还涉及安全系统中的威胁分析、标识、审查和解决。
技术介绍
计算机系统可用的处理能力、存储器容量、可用磁盘空间以及其他资源近年来呈指数级增长。计算机系统的因特网络几乎部署在世界各地几乎每个可想到的应用中,并且执行从平凡到任务至关重要的各种各样的任务。这些系统的安全性的改善将加强对这些系统的保护,使其不会受到损害,不论损害是有意的还是无意的。附图说明图1示出了与提交网络数据用于分析的企业位置通信的网络安全分析系统;图2示出了与企业位置通信的网络安全分析系统的另一视图;图3示出了网络安全分析系统的示例实现;图4示出了系统可以实现的滑动窗口机器学习的示例;图5至图15示出了警报和分析图形用户界面的示例;以及图16示出了系统如何使用加权因子来计算得分差异的示例。具体实施方式网络安全分析系统(“系统”)实现了高速和高数据量分析框架,该框架摄取和分析各种网络数据,诸如NetFlow数据、DNS数据、以及安全信息和事件管理(SIEM)数据。系统检测、分类和报告异常活动。系统实现自然语言处理(NLP)技术,该技术检查网络内容和时间 ...
【技术保护点】
一种方法,包括:在网络安全系统中:建立用于企业网络的基线网络模型,所述基线网络模型包括用于所述企业网络的期望的正常操作简档;使所述基线网络模型随着时间演进以捕获所述企业网络的所述期望的正常操作简档的变化;使用数据摄取电路从所述企业网络接收网络数据;对所述网络数据执行自然语言处理器以与所述基线网络模型比较地来标识所述企业网络内的网络异常;生成包括关于所述网络异常的警报的机器界面;以及向操作者系统传送所述机器界面用于审查。
【技术特征摘要】
2016.07.29 US 62/368,650;2017.03.13 US 15/457,3401.一种方法,包括:在网络安全系统中:建立用于企业网络的基线网络模型,所述基线网络模型包括用于所述企业网络的期望的正常操作简档;使所述基线网络模型随着时间演进以捕获所述企业网络的所述期望的正常操作简档的变化;使用数据摄取电路从所述企业网络接收网络数据;对所述网络数据执行自然语言处理器以与所述基线网络模型比较地来标识所述企业网络内的网络异常;生成包括关于所述网络异常的警报的机器界面;以及向操作者系统传送所述机器界面用于审查。2.根据权利要求1所述的方法,其中:执行所述自然语言处理器包括定义所述企业网络内的网络活动的网络表征文档的语料库。3.根据权利要求1所述的方法,还包括:接收表征所述企业网络内的网络活动的网络数据流记录。4.根据权利要求3所述的方法,还包括:创建包括所述网络数据流记录的文档;以及对所述文档执行所述自然语言处理器以标识所述网络异常。5.根据权利要求4所述的方法,其中:所述网络数据流记录包括由源因特网协议地址和目的地因特网协议地址定义的网络事件。6.根据权利要求1所述的方法,其中:使所述基线网络模型随着时间演进包括分析网络活动的交叠的移动窗口。7.根据权利要求6所述的方法,还包括:将来自所述移动窗口的分析的结果聚合到所述基线网络模型中以捕获所述企业网络的所述期望的正常操作简档的所述变化。8.根据权利要求1所述的方法,其中:生成机器界面包括:生成所述企业网络的可视化作为网络图表和伴随的警报细节面板。9.根据权利要求1所述的方法,其中:生成机器界面包括:生成所述企业网络的可视化作为网络图表,所述网络图表包括:内部端点可视化;以及不同于所述内部端点可视化的外部端点可视化。10.根据权利要求9所述的方法,其中:所述内部端点可视化包括在所述企业网络内的端点;所述外部端点可视化包括在所述企业网络外部的端点;并且所述方法还包括:通过取决于网络业务是否异常而改变的在视觉上不同的连接器来将所述内部端点可视化中的内部端点与所述外部端点可视化中的端点连接。11.一...
【专利技术属性】
技术研发人员:E·马夸特,V·K·德赛,P·J·乔伊斯,B·怀特曼,
申请(专利权)人:埃森哲环球解决方案有限公司,
类型:发明
国别省市:爱尔兰,IE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。