网络分析工作流程加速制造技术

一种网络威胁情报(CTI)网关设备可以接收用于过滤TCP/IP数据包通信事件的规则，该规则被配置为促使CTI网关设备识别与网络威胁的指示符、签名和行为模式相对应的通信。CTI网关设备可以接收组成端点到端点通信事件的数据包，并且可以针对每个事件确定该事件对应于由过滤规则指定的标准。该标准可以对应于网络威胁指示符、签名和行为模式中的一个或多个。CTI网关可以创建威胁事件的日志，并将该威胁事件日志转发到由网络分析工作流程应用程序管理的任务队列。人工网络分析人员使用该网络分析工作流程应用程序，通过去除队列前面的任务、调查威胁事件以及确定该事件是否为应当报告给适当管理机构的可报告调查结果，从而为任务队列提供服务。为了提高工作流程进程的效率，队列中的任务按网络分析人员将相关联的威胁事件确定为可报告的调查结果的似然或概率排序；因此，高似然的事件被首先调查。似然使用应用于事件的特征的人工设计算法和机器学习算法计算的。低似然事件可以从工作队列中丢弃，以进一步提高效率。

Network analysis workflow acceleration

【技术实现步骤摘要】
【国外来华专利技术】网络分析工作流程加速
技术介绍
随着信息时代的不断发展，网络安全变得越来越重要。网络威胁可能采取多种形式(例如，未经授权的请求或数据传输、病毒、恶意软件、旨在淹没网络资源的大量网络流量等)。许多组织机构订阅网络威胁服务，这些服务定期提供与网络威胁相关联的信息，例如，包含网络威胁指示符(例如，网络地址、统一资源标识符(URI)等)、或威胁签名(例如，恶意软件文件标识符)、或威胁行为(例如，高级持续威胁的特征模式)的列表。此类服务所提供的信息可以被组织机构用来识别针对其网络和相关资产的威胁。例如，网络设备可以监控网络通信，并利用与威胁指示符相对应的网络地址来识别端点之间的任何通信。一旦被识别，就可以记录这些通信事件，并且可以将事件日志提供给网络分析系统或人工网络分析人员，以进一步调查威胁事件的性质和严重性以及潜在的补救措施。通常，网络分析系统或网络分析人员将确定这些日志记录的威胁事件中仅一小部分是可报告的，从某种意义上说，应将事件报告给可能负责执行相关补救措施并确保网络的安全性和可能负责增强法规遵从性或报告违规行为的适当管理机构。然而，在许多现代企业网络中，网络威胁事件本文档来自技高网...

【技术保护点】
1.一种方法，其包括：/n接收多个事件日志；/n由计算设备基于至少一种算法确定每个事件日志的可报告性似然；/n基于所述多个事件日志中的每个的所述可报告性似然，对所述多个事件日志的事件队列进行排序；/n由所述计算设备将基于所述多个事件日志中的每个的所述可报告性似然在所述事件队列中排序的所述多个事件日志传送至分析系统。/n

【技术特征摘要】
【国外来华专利技术】20170710 US 62/530,543;20180709 US 16/030,3541.一种方法，其包括：
接收多个事件日志；
由计算设备基于至少一种算法确定每个事件日志的可报告性似然；
基于所述多个事件日志中的每个的所述可报告性似然，对所述多个事件日志的事件队列进行排序；
由所述计算设备将基于所述多个事件日志中的每个的所述可报告性似然在所述事件队列中排序的所述多个事件日志传送至分析系统。


2.根据权利要求1所述的方法，其中所述可报告性似然是组合可报告性似然，并且其中由所述计算设备基于所述至少一种算法确定每个事件日志的所述可报告性似然包括：
由所述计算设备基于静态算法确定每个事件日志的第一可报告性似然；
由所述计算设备基于机器学习算法确定每个事件日志的第二可报告性似然；以及
由所述计算设备基于所述第一可报告性似然和所述第二可报告性似然确定每个事件日志的所述组合可报告性似然。


3.根据权利要求2所述的方法，其进一步包括：
从所述分析系统接收基于经分析的事件日志生成的报告数据；和
根据基于所述经分析的事件日志生成的所述报告数据，更新机器学习系统的训练数据。


4.根据权利要求2所述的方法，其中针对每个事件日志，所述静态算法基于事件威胁指示符的保真性、所述事件威胁指示符的类型、所述事件威胁指示符的年龄、与所述事件威胁指示符相关联的威胁情报提供者数据、至少一个威胁情报提供者的信誉数据以及所述事件威胁指示符的风险评分中的至少一个来确定所述事件日志的所述第一可报告性似然。


5.根据权利要求2所述的方法，其中针对每个事件日志，所述机器学习算法基于与所述事件日志相关联的事件威胁指示符的类型、与所述事件日志相关联的威胁情报提供者数据以及与所述事件日志相关联的威胁情报提供者的数量中的至少一个来确定所述事件日志的所述第二可报告性似然。


6.根据权利要求2所述的方法，其中针对每个事件日志，所述机器学习算法基于与所述事件日志相关联的域名、与所述事件日志相关联的所述域名的熵值、与所述事件日志相关联的所述域名的标签的数量、与所述事件日志相关联的所述域名的字符串长度、与所述事件日志关联的数据的大小以及与所述事件日志关联的事件发生时间中的至少一个来确定所述事件日志的所述第二可报告性似然。


7.根据权利要求2所述的方法，其中所述机器学习算法基于从经分析的事件日志导出的相关性数据进行持续地更新。


8.根据权利要求2所述的方法，其中所述静态算法是人工设计算法，其中所述静态算法基于操作员输入进行设置。


9.根据权利要求1所述的方法，其进一步包括：
从所述分析系统接收基于经分析的事件日志生成的报告数据；和
根据基于所述经分析的事件日志生成的所述报告数据，更新所述至少一种算法的训练数据。


10.根据权利要求1所述的方法，其进一步包括：
接收多个数据包；
基于威胁情报数据，确定多个潜在威胁通信事件；
基于所述多个潜在威胁通信事件，生成所述多个事件日志；以及
将所述多个事件日志存储到所述事件队列。


11.根据权利要求10所述的方法，其进一步包括：
从所述分析系统接收基于经分析的事件...

【专利技术属性】
技术研发人员：肖恩·摩尔，乔纳森·罗杰斯，杰西·帕内尔，扎迦利·恩内德，
申请(专利权)人：向心网络公司，
类型：发明
国别省市：美国;US