推断网络安全事件的时间关系制造技术

认知安全分析平台通过提供用于自动推断网络安全事件的时间关系数据的技术被增强。在操作中，通常作为非结构化安全内容或数据接收安全事件的描述。从描述中提取诸如时间数据或线索的信息以及安全实体和关系数据。所提取的时间信息根据一组时间标记(启发法)进行处理以确定安全事件的时间值标记(即，建立时间)。该处理通常包括从一个或多个结构化数据源检索信息。所述建立时间被链接到安全实体和关系。得到的利用所识别的时间数据增强的安全事件随后经受管理操作。件随后经受管理操作。件随后经受管理操作。

【技术实现步骤摘要】
【国外来华专利技术】推断网络安全事件的时间关系


[0001]本公开总体上涉及网络安全侵犯分析。

技术介绍

[0002]今天的网络比以前更大并且更复杂，并且保护它们免受恶意活动是永不结束的任务。寻求保护他们的知识产权、保护他们的客户身份、避免业务中断等的组织需要不仅仅监视日志和网络流数据；实际上，许多组织每天创建数百万或甚至数十亿的事件，并且将该数据提炼到优先级侵犯的短列表可能是令人生畏的。
[0003]已知的安全产品包括安全事件和事件管理(SIEM)解决方案，这些解决方案是基于用于评估观察到的安全事件的基于规则的机制建立的。SIEM系统和方法对可用的网络数据进行收集、归一化和相关。这种类型的一个这样的安全智能产品是SIEM，其提供一组平台技术，所述技术检查网络流数据以发现和分类网络上的有效主机和服务器(资产)，跟踪它们使用的应用、协议、服务和端口。该产品收集、存储和分析该数据，并且它执行实时事件相关以用于威胁检测和合规性报告和审计。使用此平台，数十亿的事件和流因此可根据其业务影响被减少和优先化为少数可采取动作的侵犯。虽然基于SIEM的方法提供了显著的优点，但是规则利用具有具体的妥协指标(IoC)的威胁馈送被硬编码或者被参数化。因此，典型地，这些解决方案能够仅检测已知的威胁，但是对于(例如，通过基于行为的规则检测的)未知的威胁，不能识别根本原因并辅助安全分析者。此外，这些系统可能呈现实现挑战，因为它们通常依赖于通过安全专业人员阅读威胁通报并提取IoC对任何半结构化和非结构化威胁馈送(即，自然语言文本)的手动综合处理。
[0004]在诸如以上所描述的系统中，结构化数据源提供关于“什么/谁是坏的”的安全性和威胁情报信息，但是通常这种数据源缺少关于威胁的深度知识以及关于如何解决特定情形的可采取动作的洞察。通常，结构化数据源由领域专家仔细地综合处理。示例包括但不限于IBM X
‑
Force Exchange、Virus Total、黑名单、共同脆弱性评分系统(CVSS)得分等。相反，非结构化数据源提供更多的上下文信息，诸如为什么特定IP地址或URL是坏的、它们做什么、如何保护用户免受已知漏洞危害等等。这样的非结构化数据源的示例包括但不限于来自可信源的威胁报告、博客、推特等。结构化和非结构化知识因此通常分开存在，并且甚至结构化数据源常常是分散的和异构的。虽然现代安全工具(例如，SIEM)可直接咨询结构化数据源，但它们不具有理解非结构化文本中的信息的能力，非结构化文本通常仅由人类专家手动消费。
[0005]网络安全操作依赖于IoC和其他威胁情报数据以能够提供准确的安全事件响应。威胁情报数据准确性的一个方面是这种数据的时间重要性。然而，妥协指标和其他威胁情报数据往往是短暂的。实际上，网络安全事件是非常时间敏感的，因为许多网络安全对象(例如，恶意软件、IP地址、域等)是高度动态的并且随着时间不断地改变它们的行为。尽管已知网络安全事件提取技术是已知的，但提供关于威胁情报数据的准确时间信息(尤其是在该数据是在以自然语言编写的非结构化文档中呈现的情况下)或呈现任意时间帧的最相
关数据是有挑战性的(部分由于这种暂时性)。在不知道事件何时实际发生的情况下，网络安全情报通常是不完整的。
[0006]仍然需要提供使系统能够推断网络安全事件的时间信息的自动且高效的计算技术。

技术实现思路

[0007]为此，本文的主题提供了一种用于自动推断安全事件(例如，网络安全利用)的时间关系数据的方法、装置和计算机程序产品。在一个方面，一种用于自动推断与网络安全事件(例如，IoC)相关联的时间信息的方法开始于通常从包括非结构化安全内容的源文档(诸如新闻文章、博客或一些其他安全威胁报告源)提取关于事件的信息。使用自然语言处理(NLP)等，检测文本中存在的一个或多个时间表达。表达可以指时间点(例如，2016年5月25日)、相对时间参考(例如，去年)、时间范围(例如，从2017年6月至2018年3月)等。对于相对时间参考，优选地基于锚点时间的任何存在(在相同文本中)来推断事件的时间点，其中锚点时间是可以被识别并且在给定上下文的情况下被当作正确的某个时间参考。当锚点时间不能从相同文本推断出时，所提取的事件的时间信息被与附加结构化数据相关，该附加结构化数据通常是从一个或多个综合处理的外部数据源获得的。基于这些启发法，“时间”值标记(其可以是范围)然后被分配，即，被确定为与网络发生事件相关联。从系统(或系统的用户)的角度看，时间值标记然后被认为是所讨论的事件发生的“时间”。标记可以是绝对的或相对的。通过以此方式关联事件的时间值标记，随后(例如，向其他系统或安全分析者)输出关于网络安全事件的更有用且准确的信息，由此改进管理安全事件和事情的速度和准确性。
[0008]前面已经概述了所述主题的一些更相关的特征。这些特征应被解释为仅是说明性的。通过以不同方式应用所公开的主题或通过如将描述地方式修改主题，可以获得许多其他有益的结果。
附图说明
[0009]为了更完整地理解主题及其优点，现在参考结合附图进行的以下描述，在附图中：
[0010]图1描绘了可以实现说明性实施例的示例性方面的分布式数据处理环境的示例性框图；
[0011]图2是可以实现说明性实施例的示例性方面的数据处理系统的示例性框图；
[0012]图3示出了可以实施本公开的技术的安全情报平台；
[0013]图4描绘了认知分析技术的高级处理流程；
[0014]图5更详细地描绘了图4的认知分析技术；并且
[0015]图6描绘了如何使用安全知识图来增强侵犯上下文图；并且
[0016]图7描绘了可以存在于非结构化文档的文本中的安全事件时间表达的示例；
[0017]图8描绘了根据本公开的用于提取网络安全事件的时间信息的技术的处理流程；
[0018]图9是描绘了利用本公开的分析技术的基于知识图的时间推断的框图；
[0019]图10描绘了本公开的技术的第一示例，其示出被应用以指示过去的安全事件与文章中所参考的另一安全事件之间的关系的相对时间；并且
[0020]图11描绘了该技术的第二示例，其示出使用启发法和优先级方案的实施例将正确时间应用于文章中的关系。
具体实施方式
[0021]现在参考附图并且具体地参见图1
‑
2，提供了可以实现本公开的说明性实施例的数据处理环境的示例图。应当理解，图1
‑
2仅是示例性的，并且不旨在断言或暗示关于可以实施所公开的主题的各方面或实施例的环境的任何限制。在不背离本专利技术的精神和范围的情况下，可以对所描绘的环境进行许多修改。
[0022]现在参考附图，图1描绘了可以实现说明性实施例的各方面的示例性分布式数据处理系统的图表示。分布式数据处理系统100可以包括可以实现说明性实施例的各方面的计算机的网络。分布式数据处理系统100包含至少一个网络102，该网络102是用于提供在分布式数据处理系统100内连接在一起的不同设备和计算机本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种管理安全事件的方法，包括：接收安全事件的描述；从所述描述中提取一个或多个安全实体；从所述描述中提取时间信息；根据一组时间标记处理所提取的时间信息；响应于所述处理，确定所述安全事件的时间值标记；以及将所述时间值标记与所述一个或多个安全实体相关联；以及至少部分地基于所述时间值标记对所述安全事件执行安全事件管理操作。2.如权利要求1所述的方法，其中，所述描述作为非结构化安全内容被接收，并且至少所述一组时间标记中的时间标记包括在结构化数据源处。3.如权利要求1所述的方法，其中，所述描述是自然语言文本描述。4.如权利要求1所述的方法，其中，所述一组时间标记包括与从所述描述中提取的安全实体之间的关系具有相同依赖性的时间表达、来自所述关系的某个时间窗内的时间表达、从外部数据源提取的时间表达、与所述描述相关联的发布时间、与所述描述相关联的cron日期、所述描述的最后修改时间、所述描述的创建时间、以及对应于所述描述的检索时间的爬取时间。5.如权利要求1所述的方法，其中，与所述安全事件相关联的所述时间值标记是基于从所述描述中提取的时间线索连同来自结构化数据源的信息来推断的。6.如权利要求1所述的方法，其中，处理所提取的时间信息包括将相对时间表达转换成绝对时间。7.如权利要求1所述的方法，其中，所述一组时间标记是根据优先化方案排序的启发法。8.一种装置，包括：处理器；计算机存储器，所述计算机存储器保持由所述处理器执行以管理安全事件的计算机程序指令，所述计算机程序指令包括程序代码，所述程序代码被配置为：接收安全事件的描述；从所述描述中提取一个或多个安全实体；从所述描述中提取时间信息；根据一组时间标记处理所提取的时间信息；响应于所述处理，确定所述安全利用的时间值标记；以及将所述时间值标记与所述一个或多个安全实体相关联；以及至少部分地基于所述时间值标记对所述安全事件执行安全事件管理操作。9.如权利要求8所述的装置，其中，所述描述作为非结构化安全内容被接收，并且至少所述一组时间标记中的时间标记包括结构化数据源。10.如权利要求8所述的装置，其中，所述描述是自然语言文本描述。11.如权利要求8所述的装置，其中，所述一组时间标记包括与从所述描述中提取的安全实体之间的关系具有相同依赖性的时间表达、来自所述关系的某个时间窗内的时间表达、从外部数据源提取的...

【专利技术属性】
技术研发人员：P，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：