In one embodiment, provides a computing device for execution by the processor based on the method of origin characteristics of behavior characteristics of event data records in the value and the value in the event data records to create and store the event data records of the clusters, the method comprises: receiving a plurality of input values including the event data records set; mark with two or more of the first event data recording specific behavior characteristic value; whether the use of malicious behavior event data table and multiple comparisons to determine any two or more of the first event in the data recording is malicious, the malicious behavior event data table identifier set mapping behavior characteristic value the malicious behavior in the network, and a plurality of comparison operations using malicious behavior event data table and two or more of the first event data records; and As a result, the creation of similar behavioral cluster records including two or more first event data records is created.
【技术实现步骤摘要】
【国外来华专利技术】基于恶意软件相似性和在线信任度的对事件的全局聚类
本公开一般涉及改进的计算机实现的入侵检测系统。更具体地,本公开涉及用于基于被包括在事件数据记录(incidentdatarecord)中的行为特征值(behavioralcharacteristicvalue)和起源特征值(origincharacteristicvalue)来创建和存储事件数据记录的簇(cluster)并使用该簇来改进在联网分布式计算机系统中对安全故障或事件的检测的技术。
技术介绍
本节描述的方法是可以实行的方法,但并不一定是先前设想过或实行过的方法。因此,除非另有说明,否则不应假设本节所描述的任何方法仅因为被包括在本节中而成为现有技术。网络安全系统使用关于数据流量的信息来标识通信网络中的恶意事件(maliciousincident)。不幸的是,一些良性的数据流量经常被错误地归类为恶意的,而一些恶意流量经常被错误地归类为良性的。不正确的分类可能会导致不正确的报告和错误的告警。由网络安全系统生成的报告中的不准确性通常是由于无法正确标识由复杂和成熟的恶意软件(malware)引起的攻击。例如,由指挥和控制(C2)企业的牧人(herder)发起的攻击中的一些经常被广泛分散,因此可能难以确定其起源或特征。这种攻击往往是未检测到的或分类错误的。检测恶意攻击的问题可能由于网络安全系统的各种缺点而变得复杂。例如,网络安全系统中的一些错误地对检测到的事件进行优先级排序,或者没能将正确的上下文与检测到的事件相关联。其他网络安全系统错误地对从多个网络或多个系统接收到的事件数据进行分组。附图说明在图中:图1示出 ...
【技术保护点】
一种由计算设备的一个或多个处理器执行的数据处理方法,用于基于事件数据记录中的行为特征值和所述事件数据记录中的起源特征值来创建和存储所述事件数据记录的簇,所述方法包括:接收多个输入事件数据记录,所述输入事件数据记录包括基于已在一个或多个计算机网络中发生的多个事件确定的计算机网络属性值的集合;其中所述多个输入事件数据记录中的事件数据记录包括至少一个或多个行为特征值、严重性等级值、以及置信度分数值;标识两个或更多个第一事件数据记录,所述两个或更多个第一事件数据记录具有被存储在所述两个或更多个第一事件数据记录中的全部第一事件数据记录中的特定行为特征值;使用存储在数据存储设备中的恶意事件行为数据表和多个比较操作,来确定所述两个或更多个第一事件数据记录中的任一者是否已被标识为恶意的,其中所述恶意事件行为数据表将行为特征值的集合映射到所述一个或多个计算机网络中的恶意动作的标识符,并且所述多个比较操作使用了所述恶意事件行为数据表和所述两个或更多个第一事件数据记录;以及响应于确定来自所述两个或更多个第一事件数据记录的第一事件数据记录已被标识为恶意的:创建包括所述两个或更多个第一事件数据记录的相似性行为簇 ...
【技术特征摘要】
【国外来华专利技术】2015.02.03 US 14/612,6231.一种由计算设备的一个或多个处理器执行的数据处理方法,用于基于事件数据记录中的行为特征值和所述事件数据记录中的起源特征值来创建和存储所述事件数据记录的簇,所述方法包括:接收多个输入事件数据记录,所述输入事件数据记录包括基于已在一个或多个计算机网络中发生的多个事件确定的计算机网络属性值的集合;其中所述多个输入事件数据记录中的事件数据记录包括至少一个或多个行为特征值、严重性等级值、以及置信度分数值;标识两个或更多个第一事件数据记录,所述两个或更多个第一事件数据记录具有被存储在所述两个或更多个第一事件数据记录中的全部第一事件数据记录中的特定行为特征值;使用存储在数据存储设备中的恶意事件行为数据表和多个比较操作,来确定所述两个或更多个第一事件数据记录中的任一者是否已被标识为恶意的,其中所述恶意事件行为数据表将行为特征值的集合映射到所述一个或多个计算机网络中的恶意动作的标识符,并且所述多个比较操作使用了所述恶意事件行为数据表和所述两个或更多个第一事件数据记录;以及响应于确定来自所述两个或更多个第一事件数据记录的第一事件数据记录已被标识为恶意的:创建包括所述两个或更多个第一事件数据记录的相似性行为簇记录,并将所述相似性行为簇记录存储在计算机存储器中;通过将严重性等级值增加第一值来修改存储在所述两个或更多个第一事件数据记录中的每一者中的严重性等级值;以及通过将置信度分数值增加第二值来修改存储在所述两个或更多个第一事件数据记录中的每一者中的置信度分数值。2.根据权利要求1所述的数据处理方法,其中,对被包括在所述相似性行为簇记录中的两个或更多个第一事件数据记录中的每一者的严重性等级值的修改是基于与所述相似性行为簇记录相关联的严重性或信任度的。3.根据权利要求1所述的数据处理方法,其中,所述特定行为特征值是下述各项中的一个或多个:数据隧道数据、指示联络随机生成的域的数据、指示验证连接的数据、指示发出周期性轮询请求的数据、指示通过某些域和节点进行隧道传输的数据、或指示下载可执行文件的数据。4.根据权利要求1所述的数据处理方法,其中,所述相似性行为簇记录具有这样的严重性等级值,该严重性等级值被确定为是被包括在所述相似性行为簇记录中的事件的严重性等级值的平均值。5.根据权利要求1所述的数据处理方法,其中,修改所述相似性行为簇中的两个或更多个第一事件数据记录中的每一者的置信度分数是基于下述各项中的一个或多个的:所述相似性行为簇的大小、确认的受感染用户的计数、确认的恶意域的计数、或所述相似性行为簇是否已被验证为恶意的;其中所述置信度分数中的每一者具有在0%和100%之间的值;以及其中,所述100%的值指示被包括在所述相似性行为簇记录中的事件被确认为恶意软件事件。6.根据权利要求1所述的数据处理方法,其中,所述多个输入事件数据记录中的事件数据记录还包括事件的发起者的起源特征值,并且其中所述方法还包括:标识所述多个输入事件记录数据中的两个或更多个第二事件数据记录,所述两个或更多个第二事件数据记录具有被存储在所述两个或更多个第二事件数据记录中的全部第二事件数据记录中的特定起源特征值;使用存储在所述数据存储设备中的恶意事件起源数据表和多个比较操作,来确定所述两个或更多个第二事件数据记录中的任一者是否已被标识为恶意的,其中所述恶意事件起源数据表将起源特征值的集合映射到恶意事件起源的标识符,并且所述多个比较操作使用了所述恶意事件起源数据表和所述两个或更多个第二事件数据记录;以及响应于确定来自所述两个或更多个第二事件数据记录的第二事件数据记录已被标识为恶意的:创建包括所述两个或更多个第二事件数据记录的信任簇记录,并将所述信任簇记录存储在所述计算机存储器中;通过将严重性等级值增加第三值来修改存储在所述两个或更多个第二事件数据记录中的每一者中的严重性等级值;通过将置信度分数值增加第四值来修改存储在所述两个或更多个第二事件数据记录中的每一者中的置信度分数;以及确定所述信任簇记录的信任等级值。7.根据权利要求6所述的数据处理方法,其中,所述事件的严重性等级值指示所述事件的恶意严重性;其中所述事件的置信度分数指示所述事件与相应的被分类的行为的接近程度。8.根据权利要求6所述的数据处理方法,其中,来自所述多个输入事件数据记录的每个事件数据记录初始分配有初始严重性等级值和初始置信度分数。9.根据权利要求6所述的数据处理方法,其中,所述信任簇记录具有这样的严重性等级值,该严重性等级值被确定为是被分配给属于所述信任簇记录的第二事件数据记录的严重性等级值的平均值。10.根据权利要求6所述的数据处理方法,其中,所述特定起源特征值是下述各项中的一个或多个:网络域标识符、网络域名、设备的IP地址、设备群组的IP地址、用户的电子邮件地址、用户设备的IP地址。11.一种设备,包括:存储器单元;被配置用作服务器的计算设备的一个或多个处理器,所述一个或多个处理器被配置为执行存储在所述存储器单元中的指令,该指令用于基于事件数据记录中的行为特征值和所述事件数据记录中的起源特征值来创建和存储所述事件数据记录的簇,其中所述处理器对指令的执行使得进行下述操作:接收多个输入事件数据记录,所述输入事件数据记录包括基于已在一个或多个计算机网络中发生的多个事件确定的计算机网络属性值的集合;其中所述多个输入事件数据记录中的事件数据记录包括至少一个或多个行为特征值、严重性...
【专利技术属性】
技术研发人员:卡雷尔·巴托斯,马丁·雷哈克,迈克尔·索芙卡,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。