基于恶意软件相似性和在线信任度的对事件的全局聚类制造技术

在一个实施例中，提供了一种由计算设备的处理器执行的用于基于事件数据记录中的行为特征值和事件数据记录中的起源特征值来创建和存储事件数据记录的簇的方法，该方法包括：接收包括属性值集合的多个输入事件数据记录；标识具有特定行为特征值的两个或更多个第一事件数据记录；使用恶意事件行为数据表和多个比较操作来确定两个或多个第一事件数据记录中的任一者是否是恶意的，其中恶意事件行为数据表将行为特征值的集合映射到网络中的恶意行为的标识符，并且多个比较操作使用了恶意事件行为数据表和两个或更多个第一事件数据记录；以及如果是，则创建包括两个或更多个第一事件数据记录的相似性行为簇记录。

Global clustering of events based on malware similarity and online trust

In one embodiment, provides a computing device for execution by the processor based on the method of origin characteristics of behavior characteristics of event data records in the value and the value in the event data records to create and store the event data records of the clusters, the method comprises: receiving a plurality of input values including the event data records set; mark with two or more of the first event data recording specific behavior characteristic value; whether the use of malicious behavior event data table and multiple comparisons to determine any two or more of the first event in the data recording is malicious, the malicious behavior event data table identifier set mapping behavior characteristic value the malicious behavior in the network, and a plurality of comparison operations using malicious behavior event data table and two or more of the first event data records; and As a result, the creation of similar behavioral cluster records including two or more first event data records is created.

【技术实现步骤摘要】
【国外来华专利技术】基于恶意软件相似性和在线信任度的对事件的全局聚类
本公开一般涉及改进的计算机实现的入侵检测系统。更具体地，本公开涉及用于基于被包括在事件数据记录(incidentdatarecord)中的行为特征值(behavioralcharacteristicvalue)和起源特征值(origincharacteristicvalue)来创建和存储事件数据记录的簇(cluster)并使用该簇来改进在联网分布式计算机系统中对安全故障或事件的检测的技术。
技术介绍
本节描述的方法是可以实行的方法，但并不一定是先前设想过或实行过的方法。因此，除非另有说明，否则不应假设本节所描述的任何方法仅因为被包括在本节中而成为现有技术。网络安全系统使用关于数据流量的信息来标识通信网络中的恶意事件(maliciousincident)。不幸的是，一些良性的数据流量经常被错误地归类为恶意的，而一些恶意流量经常被错误地归类为良性的。不正确的分类可能会导致不正确的报告和错误的告警。由网络安全系统生成的报告中的不准确性通常是由于无法正确标识由复杂和成熟的恶意软件(malware)引起的攻击。例如，由指挥和控制(C2)企业的牧人(herder)发起的攻击中的一些经常被广泛分散，因此可能难以确定其起源或特征。这种攻击往往是未检测到的或分类错误的。检测恶意攻击的问题可能由于网络安全系统的各种缺点而变得复杂。例如，网络安全系统中的一些错误地对检测到的事件进行优先级排序，或者没能将正确的上下文与检测到的事件相关联。其他网络安全系统错误地对从多个网络或多个系统接收到的事件数据进行分组。附图说明在图中：图1示出了用于实现基于恶意软件相似性和在线信任度对事件进行全局聚类(globalclustering)的方法的网络环境的示例；图2示出了用于在多节点网络环境中收集关于网络事件的信息的方法的示例；图3示出了事件起源数据的示例；图4示出了事件起源数据的标识符的示例；图5A示出了事件行为数据的示例；图5B示出了附加的事件行为数据的示例；图6示出了事件行为的图形表示的示例；图7示出了用于创建信任簇(trustfulnesscluster)的方法的示例；图8示出了用于创建相似性行为簇(similaritybehavioralcluster)的方法的示例；图9示出了用于创建信任簇的方法的流程图；图10示出了用于创建相似性行为簇的方法的流程图；图11A示出了恶意事件起源数据表的示例；图11B示出了恶意事件行为数据表的示例；图12示出了可以使用各种实施例的计算机系统。具体实施方式在下面的描述中，出于解释的目的，阐述了许多具体细节，以便提供对本方法的透彻理解。然而，显而易见的是，可以在没有这些具体细节的情况下实践本方法。在其他实例中，公知的结构和装置以框图形式示出，以避免不必要地模糊本方法。1.概览实施例提供了用于将相似的网络安全事件聚类成高等级的事件簇的方法。该聚类方法确定并考虑与检测到的网络事件相关联的上下文数据，并使用该上下文数据来基于其信任度和行为相似性不断地对事件进行聚类。该上下文信息还用于改进对检测到的事件的分类，从而提高入侵检测系统的效率。在一个实施例中，一种数据处理方法由被配置用作服务器的计算设备的一个或多个处理器执行，以用于基于事件数据记录中的行为特征值和事件数据记录中的起源特征值来创建和存储事件数据记录的簇。在一个实施例中，该方法包括接收多个输入事件数据记录，其中该输入事件数据记录包括基于已在一个或多个计算机网络中发生的多个事件确定的计算机网络属性值的集合。多个输入事件数据记录中的事件数据记录可以包括至少一个或多个行为特征值、严重性等级值、以及置信度分数值。在一个实施例中，该方法包括标识两个或更多个第一事件数据记录，其中该两个或更多个第一事件数据记录具有被存储在两个或更多个第一事件数据记录中的全部第一事件数据记录中的特定行为特征值。可以通过使用恶意事件行为数据表来执行对该两个或更多个第一事件数据记录的标识。恶意事件行为数据表可以被存储在数据存储设备中。该表可以被用于将行为特征值的集合映射到网络中的恶意动作的标识符。该方法还包括多个比较操作，该多个比较操作使用了恶意事件行为数据表和该两个或更多个第一事件数据记录。响应于确定来自该两个或更多个第一事件数据记录的第一事件数据记录已被标识为恶意的，创建相似性行为簇记录并将其存储在计算机存储器中。相似性簇记录可以包括该两个或更多个第一事件数据记录。在一个实施例中，通过将严重性等级值增加第一值来修改存储在该两个或更多个第一事件数据记录中的每一者中的严重性等级值。在一个实施例中，通过将置信度分数值增加第二值来修改存储在该两个或更多个第一事件数据记录中的每一者中的置信度分数值。2.结构概览实施例提供了用于基于事件的行为属性和关于源发事件的源的信息来将在一个或多个数据通信网络中检测到的网络事件相互关联的方法。基于网络事件的相关性，这些事件可以被聚类成一个或多个簇。簇中的一些可以包括包含以相似行为为特征的网络事件的簇。其他簇可以包括由已知发起恶意软件攻击的源源发的网络事件。包括展现出相似行为的网络事件的簇可以被称为相似性行为簇，而包括由已知发起恶意软件攻击的同一源源发的网络事件的簇可以被称为信任簇。图1示出了用于实现基于恶意软件相似性和在线信任度、对事件进行全局聚类的方法的网络环境的示例。在一个实施例中，网络环境10包括一个或多个攻击者节点120、122、124，一个或多个受攻击节点140、142、144，一个或多个安全系统110，以及一个或多个数据库112。攻击者节点120、122、124，受攻击节点140、142、144，以及安全系统110经由通信网络150与彼此通信，并且可选地与附加的计算机网络130、132、134通信。例如，攻击者节点120、122、124中的一个或多个可以经由通信网络150对受攻击节点140、142、144中的一个或多个发起恶意软件攻击。关于攻击事件的信息可以被安全系统110收集和处理。基于经处理的信息，安全系统110可以实现用于对事件进行全局聚类的方法，以改进对检测到的事件的分类。在一个实施例中，术语“攻击者节点”被非常广泛地理解为包括能够发起网络攻击的任何类型的实体。因此，术语“攻击者节点”不仅可以包括任何类型的物理设备，还可以包括计算机用户、计算机域、计算机网络、计算机子网络等等。例如，攻击者节点不仅可以是计算机服务器、膝上型计算机、PC、工作站或平板电脑，还可以是从各种计算机设备对其他计算机设备发起攻击的用户、从其发起攻击的计算机域、从其发起攻击的计算机网络、和/或从其发起攻击的计算机子网络。事实上，术语“攻击者节点”不限于计算机设备、用户、域、网络和子网络；它可以包括能够发起网络攻击的任何物理或非物理实体。出于说明清楚示例的目的，网络环境10包括三个攻击者节点120、122、124，三个受攻击节点140、142、144，一个网络150，一个数据库112，以及三个远程通信网络130、132、134。然而，其他实现方式可以包括任何数目的攻击者节点、受攻击节点、通信网络、数据库以及远程通信网络。2.1攻击者节点和受攻击节点攻击者节点120、122、124和受攻击节点140、14本文档来自技高网...

【技术保护点】
一种由计算设备的一个或多个处理器执行的数据处理方法，用于基于事件数据记录中的行为特征值和所述事件数据记录中的起源特征值来创建和存储所述事件数据记录的簇，所述方法包括：接收多个输入事件数据记录，所述输入事件数据记录包括基于已在一个或多个计算机网络中发生的多个事件确定的计算机网络属性值的集合；其中所述多个输入事件数据记录中的事件数据记录包括至少一个或多个行为特征值、严重性等级值、以及置信度分数值；标识两个或更多个第一事件数据记录，所述两个或更多个第一事件数据记录具有被存储在所述两个或更多个第一事件数据记录中的全部第一事件数据记录中的特定行为特征值；使用存储在数据存储设备中的恶意事件行为数据表和多个比较操作，来确定所述两个或更多个第一事件数据记录中的任一者是否已被标识为恶意的，其中所述恶意事件行为数据表将行为特征值的集合映射到所述一个或多个计算机网络中的恶意动作的标识符，并且所述多个比较操作使用了所述恶意事件行为数据表和所述两个或更多个第一事件数据记录；以及响应于确定来自所述两个或更多个第一事件数据记录的第一事件数据记录已被标识为恶意的：创建包括所述两个或更多个第一事件数据记录的相似性行为簇记录，并将所述相似性行为簇记录存储在计算机存储器中；通过将严重性等级值增加第一值来修改存储在所述两个或更多个第一事件数据记录中的每一者中的严重性等级值；以及通过将置信度分数值增加第二值来修改存储在所述两个或更多个第一事件数据记录中的每一者中的置信度分数值。...

【技术特征摘要】
【国外来华专利技术】2015.02.03 US 14/612,6231.一种由计算设备的一个或多个处理器执行的数据处理方法，用于基于事件数据记录中的行为特征值和所述事件数据记录中的起源特征值来创建和存储所述事件数据记录的簇，所述方法包括：接收多个输入事件数据记录，所述输入事件数据记录包括基于已在一个或多个计算机网络中发生的多个事件确定的计算机网络属性值的集合；其中所述多个输入事件数据记录中的事件数据记录包括至少一个或多个行为特征值、严重性等级值、以及置信度分数值；标识两个或更多个第一事件数据记录，所述两个或更多个第一事件数据记录具有被存储在所述两个或更多个第一事件数据记录中的全部第一事件数据记录中的特定行为特征值；使用存储在数据存储设备中的恶意事件行为数据表和多个比较操作，来确定所述两个或更多个第一事件数据记录中的任一者是否已被标识为恶意的，其中所述恶意事件行为数据表将行为特征值的集合映射到所述一个或多个计算机网络中的恶意动作的标识符，并且所述多个比较操作使用了所述恶意事件行为数据表和所述两个或更多个第一事件数据记录；以及响应于确定来自所述两个或更多个第一事件数据记录的第一事件数据记录已被标识为恶意的：创建包括所述两个或更多个第一事件数据记录的相似性行为簇记录，并将所述相似性行为簇记录存储在计算机存储器中；通过将严重性等级值增加第一值来修改存储在所述两个或更多个第一事件数据记录中的每一者中的严重性等级值；以及通过将置信度分数值增加第二值来修改存储在所述两个或更多个第一事件数据记录中的每一者中的置信度分数值。2.根据权利要求1所述的数据处理方法，其中，对被包括在所述相似性行为簇记录中的两个或更多个第一事件数据记录中的每一者的严重性等级值的修改是基于与所述相似性行为簇记录相关联的严重性或信任度的。3.根据权利要求1所述的数据处理方法，其中，所述特定行为特征值是下述各项中的一个或多个：数据隧道数据、指示联络随机生成的域的数据、指示验证连接的数据、指示发出周期性轮询请求的数据、指示通过某些域和节点进行隧道传输的数据、或指示下载可执行文件的数据。4.根据权利要求1所述的数据处理方法，其中，所述相似性行为簇记录具有这样的严重性等级值，该严重性等级值被确定为是被包括在所述相似性行为簇记录中的事件的严重性等级值的平均值。5.根据权利要求1所述的数据处理方法，其中，修改所述相似性行为簇中的两个或更多个第一事件数据记录中的每一者的置信度分数是基于下述各项中的一个或多个的：所述相似性行为簇的大小、确认的受感染用户的计数、确认的恶意域的计数、或所述相似性行为簇是否已被验证为恶意的；其中所述置信度分数中的每一者具有在0％和100％之间的值；以及其中，所述100％的值指示被包括在所述相似性行为簇记录中的事件被确认为恶意软件事件。6.根据权利要求1所述的数据处理方法，其中，所述多个输入事件数据记录中的事件数据记录还包括事件的发起者的起源特征值，并且其中所述方法还包括：标识所述多个输入事件记录数据中的两个或更多个第二事件数据记录，所述两个或更多个第二事件数据记录具有被存储在所述两个或更多个第二事件数据记录中的全部第二事件数据记录中的特定起源特征值；使用存储在所述数据存储设备中的恶意事件起源数据表和多个比较操作，来确定所述两个或更多个第二事件数据记录中的任一者是否已被标识为恶意的，其中所述恶意事件起源数据表将起源特征值的集合映射到恶意事件起源的标识符，并且所述多个比较操作使用了所述恶意事件起源数据表和所述两个或更多个第二事件数据记录；以及响应于确定来自所述两个或更多个第二事件数据记录的第二事件数据记录已被标识为恶意的：创建包括所述两个或更多个第二事件数据记录的信任簇记录，并将所述信任簇记录存储在所述计算机存储器中；通过将严重性等级值增加第三值来修改存储在所述两个或更多个第二事件数据记录中的每一者中的严重性等级值；通过将置信度分数值增加第四值来修改存储在所述两个或更多个第二事件数据记录中的每一者中的置信度分数；以及确定所述信任簇记录的信任等级值。7.根据权利要求6所述的数据处理方法，其中，所述事件的严重性等级值指示所述事件的恶意严重性；其中所述事件的置信度分数指示所述事件与相应的被分类的行为的接近程度。8.根据权利要求6所述的数据处理方法，其中，来自所述多个输入事件数据记录的每个事件数据记录初始分配有初始严重性等级值和初始置信度分数。9.根据权利要求6所述的数据处理方法，其中，所述信任簇记录具有这样的严重性等级值，该严重性等级值被确定为是被分配给属于所述信任簇记录的第二事件数据记录的严重性等级值的平均值。10.根据权利要求6所述的数据处理方法，其中，所述特定起源特征值是下述各项中的一个或多个：网络域标识符、网络域名、设备的IP地址、设备群组的IP地址、用户的电子邮件地址、用户设备的IP地址。11.一种设备，包括：存储器单元；被配置用作服务器的计算设备的一个或多个处理器，所述一个或多个处理器被配置为执行存储在所述存储器单元中的指令，该指令用于基于事件数据记录中的行为特征值和所述事件数据记录中的起源特征值来创建和存储所述事件数据记录的簇，其中所述处理器对指令的执行使得进行下述操作：接收多个输入事件数据记录，所述输入事件数据记录包括基于已在一个或多个计算机网络中发生的多个事件确定的计算机网络属性值的集合；其中所述多个输入事件数据记录中的事件数据记录包括至少一个或多个行为特征值、严重性...

【专利技术属性】
技术研发人员：卡雷尔·巴托斯，马丁·雷哈克，迈克尔·索芙卡，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国,US