基于模拟和虚拟现实的网络行为系统技术方案

本公开提供了一种网络安全系统，用于管理与网络参与者相关联的网络行为以使得能够计算和预测网络行为并且能够创建网络参与者之间的网络互动。该系统包括网络行为空间管理模块，其被配置为接收输入数据以及来自互动引擎和分析工作流引擎的数据，并且基于接收到的数据生成多个网络行为空间。该系统包括互动引擎，其被配置为处理网络参与者数据以促进与网络行为空间、网络场景、网络地图和另一个网络参与者的互动。该系统包括分析工作流引擎，其被配置为分析网络行为空间并基于分析数据和互动引擎数据更新网络数据。该系统包括可视化引擎，其被配置为计算可视化并传送可视化以供显示。

【技术实现步骤摘要】
【国外来华专利技术】基于模拟和虚拟现实的网络行为系统对相关申请的交叉引用本申请要求于2016年7月14日提交的美国临时申请No.62/362,346的优先权，该申请通过引用被结合于此。
本专利技术的一些实施例一般而言涉及网络安全(cybersecurity)，并且尤其是涉及基于模拟和虚拟现实的网络行为(cyberbehavioral)系统以及网络行为系统之间的知识共享。
技术介绍
传统上，网络防御者只审查信息的片断来帮助了解其网络上正在实际发生的情况。为了查看潜在的行动过程(acourseofaction)、防御策略以及对抗(forceonforce)场景而模拟整个网络可能是非常困难和耗费人力的。当前的网络安全练习允许防御者互相对抗，但是这些练习并未涵盖网络上可能发生的所有场景。每天，新威胁的数量和复杂性都在增长，并且网络防御者越来越难跟上当前的网络运营系统。通常，公司和组织独立地处理与网络安全相关的问题。当它们确实共享信息时，这通常是通过用于促进与网络安全相关的数据的共享的行业或政府政策和框架。用于共享信息的传统做法不足以处理攻击的数量或速度。它不允许公司充分利用可用于在网络内积极进行防御的人力，也不允许在网络之间战斗以捍卫一个部门、多个部门或一个国家。
技术实现思路
根据所公开的主题，提供了系统、方法和非瞬态计算机可读介质来提供网络安全系统，该网络安全系统用于管理与网络参与者(cyberactor)相关联的网络行为以使得可以计算和预测网络行为并且可以创建网络参与者之间的网络互动。在一些实施例中，所公开的主题包括一种网络安全系统，其包括网络行为空间管理模块、互动引擎、分析工作流引擎以及可视化引擎。在一些实施例中，网络行为空间管理模块与互动引擎、分析工作流引擎和可视化引擎通信。在一些实施例中，网络行为空间管理模块被配置为接收输入数据、来自互动引擎的数据以及来自分析工作流引擎的数据中的至少一个，输入数据包括输入网络数据、传感器数据、富集(enrichment)数据和第三方数据中的至少一个。在一些实施例中，网络行为空间管理模块被配置为基于输入数据、来自互动引擎的数据以及来自分析工作流引擎的数据中的至少一个来生成多个网络行为空间，该多个网络行为空间中的每一个包括网络行为空间数据。在一些实施例中，网络行为空间数据包括网络数据，网络数据包括输入网络数据和变换后的输入网络数据中的至少一个、与多个网络参与者相关联的网络参与者数据、以及与多个网络场景相关联的网络场景数据，网络行为空间数据由多个维度、多个模式和多个尺度来定义。在一些实施例中，互动引擎被配置为接收与多个网络参与者中的第一网络参与者相关联的第一网络参与者数据，第一网络参与者包括真实网络参与者和模拟参与者中的至少一个。在一些实施例中，互动引擎被配置为处理接收到的第一网络参与者数据，以促进第一网络参与者与网络行为空间、网络场景和网络地图中的至少一个之间的第一互动以及第一网络参与者与多个网络参与者中的第二网络参与者之间的第二互动中的至少一个，其中网络地图与多个网络行为空间中的至少一个相关联。在一些实施例中，互动引擎被配置为传送与第一互动和第二互动中的至少一个相关联的数据。在一些实施例中，分析工作流引擎被配置为分析与多个网络行为空间中的每一个相关联的网络行为空间数据以计算网络行为，并且基于网络行为空间数据、计算出的网络行为和计算出的网络行为向网络数据、网络参与者数据和网络场景数据中的至少一个的分配、第一互动以及第二互动中的至少一个来更新网络数据、网络参与者数据和网络场景数据中的至少一个。在一些实施例中，互动引擎被配置为传送与更新后的网络数据、网络参与者数据和网络场景数据中的至少一个相关联的数据。在一些实施例中，可视化引擎被配置为计算与来自互动引擎的第一互动和第二互动中的至少一个相关联的数据以及在网络行为空间、多个网络参与者、多个网络场景、多个网络地图和计算出的网络行为中的至少一个中的至少一个的可视化，并且传送可视化以供显示。在一些实施例中，网络安全系统包括与网络行为空间管理模块通信的查询引擎，查询引擎被配置为从第一网络参与者接收关于多个网络行为空间中的至少一个的查询。在一些实施例中，查询与以下中的至少一个相关联：与多个网络实体中的第一网络实体相关联的风险、多个网络实体中具有与第一网络实体类似简档的一组网络实体、内部或外部组织构造、以及与第一网络实体、该组网络实体中的每个网络实体、第一网络参与者、第二网络参与者和第三网络参与者中的至少一个相关联的行为。在一些实施例中，分析工作流引擎被配置为计算并持续更新与多个网络实体中的每个网络实体和多个网络参与者中的每个网络参与者相关联的风险。在一些实施例中，网络安全系统包括与网络行为空间管理模块通信的模拟引擎，其被配置为生成多个网络场景，该多个网络场景中的每一个包括网络数据的子集、网络场景以及与多个网络行为空间相关联的网络地图。在一些实施例中，模拟引擎被配置为生成模拟，模拟被配置为对真实世界数据和模拟数据中的至少一个进行操作，以及为操作、分析、洞察(insight)、规划、训练、补救行动和缓解行动中的至少一个提供行动过程。在一些实施例中，分析工作流引擎被配置为创建变换后的网络行为空间，其中为了创建变换后的网络行为空间，分析工作流引擎还被配置为将网络行为空间数据变换为张量数据和较低秩张量近似，以及使用机器学习来定义网络行为和与变换后的网络行为空间相关联的多个网络行为空间。在一些实施例中，分析工作流引擎被配置为将规则和机器学习中的至少一个应用于变换后的网络行为空间以定义增加或减少与真实网络参与者或模拟参与者、网络实体、机器、组织和处理中的至少一个相关联的风险的网络行为。在一些实施例中，网络安全系统与第一组织相关联，此外，其中增加或减少风险的网络行为可被与第一组织相关联的网络参与者观察到并且不可被与第二组织相关联的网络参与者观察到。在一些实施例中，网络安全系统包括网络行为交换引擎，网络行为交换引擎与网络行为空间管理模块通信。在一些实施例中，网络行为交换引擎被配置为使用隐私保护(privacypreserving)分布式机器学习算法和隐私保护通信协议中的至少一个将增加或减少风险的网络行为传送到与第二组织相关联的网络行为交换引擎，使得增加或减少风险的网络行为可以用于分析第二组织中的数据，并且与第一组织相关联的网络行为空间数据不可被与第二组织相关联的网络参与者观察到。在一些实施例中，网络安全系统处理第一网络参与者数据以确定与变换后的网络行为空间相关联的网络行为中的第一网络行为以及与变换后的网络行为空间相关联的多个网络场景中的第一网络场景中的至少一个，并且提高与对第一网络行为和第一网络场景进行响应相关联的操作能力、准备情况和训练。在一些实施例中，分析工作流引擎被配置为处理分组数据、网络流量、计算机日志、信号情报、可见光、红外线、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告中的至少一个。在一些实施例中，多个网络行为空间中的每一个包括实时网络行为空间、历史网络行为空间和模拟网络行为空间中的至少一个。在一些实施例中，网络行为包括初始侦察(initialreconnassance)、扫描、初始危害(initialcompromise)、本文档来自技高网...

【技术保护点】
一种用于管理与网络参与者相关联的网络行为以使得能够计算和预测网络行为并且能够创建网络参与者之间的网络互动的网络安全系统，所述系统包括：网络行为空间管理模块；互动引擎；分析工作流引擎；以及可视化引擎，网络行为空间管理模块，其与互动引擎、分析工作流引擎和可视化引擎通信，并被配置为：接收以下中的至少一个：输入数据，所述输入数据包括输入网络数据、传感器数据、富集数据和第三方数据中的至少一个，来自互动引擎的数据，以及来自分析工作流引擎的数据；基于输入数据、来自互动引擎的数据以及来自分析工作流引擎的数据中的至少一个生成多个网络行为空间，所述多个网络行为空间中的每一个包括网络行为空间数据，所述网络行为空间数据包括：网络数据，所述网络数据包括输入网络数据和变换后的输入网络数据中的至少一个，与多个网络参与者相关联的网络参与者数据，以及与多个网络场景相关联的网络场景数据，所述网络行为空间数据由多个维度、多个模式和多个尺度定义；所述互动引擎被配置为：接收与所述多个网络参与者中的第一网络参与者相关联的第一网络参与者数据，所述第一网络参与者包括真实网络参与者和模拟参与者中的至少一个，处理接收到的第一网络参与者数据以促进以下中的至少一个：第一网络参与者与以下中的至少一个之间的第一互动：网络行为空间，网络场景，以及网络地图，所述网络地图与所述多个网络行为空间中的至少一个相关联，以及第一网络参与者与所述多个网络参与者中的第二网络参与者之间的第二互动，以及传送与第一互动和第二互动中的至少一个相关联的数据；所述分析工作流引擎被配置为：分析与所述多个网络行为空间中的每一个相关联的网络行为空间数据以计算网络行为，以及基于以下中的至少一个更新网络数据、网络参与者数据和网络场景数据中的至少一个：网络行为空间数据，计算出的网络行为以及所述计算出的网络行为向网络数据、网络参与者数据和网络场景数据中的至少一个的分配，第一互动，以及第二互动，以及传送与更新后的网络数据、网络参与者数据和网络场景数据中的至少一个相关联的数据；所述可视化引擎被配置为：计算以下中的至少一个的可视化：与来自互动引擎的第一互动和第二互动中的至少一个相关联的数据，以及网络行为空间、多个网络参与者、多个网络场景、多个网络地图和计算出的网络行为中的至少一个，以及传送所述可视化以供显示。...

【技术特征摘要】
【国外来华专利技术】2016.07.14 US 62/362,3461.一种用于管理与网络参与者相关联的网络行为以使得能够计算和预测网络行为并且能够创建网络参与者之间的网络互动的网络安全系统，所述系统包括：网络行为空间管理模块；互动引擎；分析工作流引擎；以及可视化引擎，网络行为空间管理模块，其与互动引擎、分析工作流引擎和可视化引擎通信，并被配置为：接收以下中的至少一个：输入数据，所述输入数据包括输入网络数据、传感器数据、富集数据和第三方数据中的至少一个，来自互动引擎的数据，以及来自分析工作流引擎的数据；基于输入数据、来自互动引擎的数据以及来自分析工作流引擎的数据中的至少一个生成多个网络行为空间，所述多个网络行为空间中的每一个包括网络行为空间数据，所述网络行为空间数据包括：网络数据，所述网络数据包括输入网络数据和变换后的输入网络数据中的至少一个，与多个网络参与者相关联的网络参与者数据，以及与多个网络场景相关联的网络场景数据，所述网络行为空间数据由多个维度、多个模式和多个尺度定义；所述互动引擎被配置为：接收与所述多个网络参与者中的第一网络参与者相关联的第一网络参与者数据，所述第一网络参与者包括真实网络参与者和模拟参与者中的至少一个，处理接收到的第一网络参与者数据以促进以下中的至少一个：第一网络参与者与以下中的至少一个之间的第一互动：网络行为空间，网络场景，以及网络地图，所述网络地图与所述多个网络行为空间中的至少一个相关联，以及第一网络参与者与所述多个网络参与者中的第二网络参与者之间的第二互动，以及传送与第一互动和第二互动中的至少一个相关联的数据；所述分析工作流引擎被配置为：分析与所述多个网络行为空间中的每一个相关联的网络行为空间数据以计算网络行为，以及基于以下中的至少一个更新网络数据、网络参与者数据和网络场景数据中的至少一个：网络行为空间数据，计算出的网络行为以及所述计算出的网络行为向网络数据、网络参与者数据和网络场景数据中的至少一个的分配，第一互动，以及第二互动，以及传送与更新后的网络数据、网络参与者数据和网络场景数据中的至少一个相关联的数据；所述可视化引擎被配置为：计算以下中的至少一个的可视化：与来自互动引擎的第一互动和第二互动中的至少一个相关联的数据，以及网络行为空间、多个网络参与者、多个网络场景、多个网络地图和计算出的网络行为中的至少一个，以及传送所述可视化以供显示。2.如权利要求1所述的网络安全系统，还包括：与网络行为空间管理模块通信的查询引擎，所述查询引擎被配置为从第一网络参与者接收关于多个网络行为空间中的至少一个的查询，所述查询与以下中的至少一个相关联：与多个网络实体中的第一网络实体相关联的风险；所述多个网络实体中具有与第一网络实体类似的简档的一组网络实体；内部或外部组织构造；以及与第一网络实体、所述一组网络实体中的每个网络实体、第一网络参与者、第二网络参与者和第三网络参与者中的至少一个相关联的行为；以及其中分析工作流引擎还被配置为计算并持续更新与所述多个网络实体中的每个网络实体和所述多个网络参与者中的每个网络参与者相关联的风险。3.如权利要求1所述的网络安全系统，还包括与网络行为空间管理模块通信的模拟引擎，其被配置为生成所述多个网络场景，所述多个网络场景中的每一个包括网络数据的子集以及与所述多个网络行为空间相关联的网络地图。4.如权利要求3所述的网络安全系统，其中所述模拟引擎还被配置为生成模拟，所述模拟被配置为：对真实世界数据和模拟数据中的至少一个进行操作；以及为操作、分析、洞察、规划、训练、补救行动和缓解行动中的至少一个提供行动过程。5.如权利要求1所述的网络安全系统，其中所述分析工作流引擎还被配置为：创建变换后的网络行为空间，其中为了创建变换后的网络行为空间，所述分析工作流引擎还被配置为：将网络行为空间数据变换为张量数据和较低秩张量近似；以及使用机器学习来定义网络行为和与变换后的网络行为空间相关联的多个网络行为空间。6.如权利要求5所述的网络安全系统，其中所述分析工作流引擎还被配置为：将规则和机器学习中的至少一个应用于变换后的网络行为空间，以定义增加或减少与以下中的至少一个相关联的风险的网络行为：真实网络参与者或模拟参与者；网络实体；机器；组织；以及处理。7.如权利要求6所述的网络安全系统，其中所述网络安全系统与第一组织相关联，此外，其中增加或减少风险的网络行为能被与第一组织相关联的网络参与者观察到并且不能被与第二组织相关联的网络参与者观察到，所述网络安全系统还包括：网络行为交换引擎，所述网络行为交换引擎与网络行为空间管理模块通信，所述网络行为交换引擎被配置为：使用隐私保护分布式机器学习算法和隐私保护通信协议中的至少一个将增加或减少风险的网络行为传送到与第二组织相关联的网络行为交换引擎，以使得增加或减少风险的网络行为能够用于分析第二组织中的数据，并且与第一组织相关联的网络行为空间数据不能被与第二组织相关联的网络参与者观察到。8.如权利要求5所述的网络安全系统，其中所述第一网络参与者数据还被处理为：确定以下中的至少一个：与变换后的网络行为空间相关联的网络行为中的第一网络行为，以及与变换后的网络行为空间相关联的多个网络场景中的第一网络场景；以及提高与对第一网络行为和第一网络场景进行响应相关联的操作能力、准备情况和训练。9.如权利要求1所述的网络安全系统，其中所述分析工作流引擎还被配置为处理分组数据、网络流量、计算机日志、信号情报、可见光、红外线、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告中的至少一个。10.如权利要求1所述的网络安全系统，其中多个网络行为空间中的每一个包括实时网络行为空间、历史网络行为空间和模拟网络行为空间中的至少一个。11.如权利要求1所述的网络安全系统，其中所述网络行为包括初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为中的至少一个。12.如权利要求1所述的网络安全系统，其中：所述多个维度包括源地址和目的地地址、到达时间、数量、分组大小和协议类型的组合；所述多个模式包括分组数据、网络流量、计算机日志、信号情报、可见光、红外线、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告的组合；以及所述多个尺度包括时间多尺度数据和地理空间数据的组合。13.一种用于管理与网络参与者相关联的网络行为以使得能够计算和预测网络行为并且能够创建网络参与...

【专利技术属性】
技术研发人员：R·L·格罗斯曼，K·B·亚历山大，J·E·希思，R·L·加雷特，
申请(专利权)人：铁网网络安全股份有限公司，
类型：发明
国别省市：美国,US