推断网络安全事件的时间关系制造技术

认知安全分析平台通过提供用于自动推断网络安全事件的时间关系数据的技术被增强。在操作中，通常作为非结构化安全内容或数据接收安全事件的描述。从描述中提取诸如时间数据或线索的信息以及安全实体和关系数据。所提取的时间信息根据一组时间标记(启发法)进行处理以确定安全事件的时间值标记(即，建立时间)。该处理通常包括从一个或多个结构化数据源检索信息。所述建立时间被链接到安全实体和关系。得到的利用所识别的时间数据增强的安全事件随后经受管理操作。件随后经受管理操作。件随后经受管理操作。

【技术实现步骤摘要】
【国外来华专利技术】推断网络安全事件的时间关系


[0001]本公开总体上涉及网络安全侵犯分析。

技术介绍

[0002]今天的网络比以前更大并且更复杂，并且保护它们免受恶意活动是永不结束的任务。寻求保护他们的知识产权、保护他们的客户身份、避免业务中断等的组织需要不仅仅监视日志和网络流数据；实际上，许多组织每天创建数百万或甚至数十亿的事件，并且将该数据提炼到优先级侵犯的短列表可能是令人生畏的。
[0003]已知的安全产品包括安全事件和事件管理(SIEM)解决方案，这些解决方案是基于用于评估观察到的安全事件的基于规则的机制建立的。SIEM系统和方法对可用的网络数据进行收集、归一化和相关。这种类型的一个这样的安全智能产品是SIEM，其提供一组平台技术，所述技术检查网络流数据以发现和分类网络上的有效主机和服务器(资产)，跟踪它们使用的应用、协议、服务和端口。该产品收集、存储和分析该数据，并且它执行实时事件相关以用于威胁检测和合规性报告和审计。使用此平台，数十亿的事件和流因此可根据其业务影响被减少和优先化为少数可采取动作的侵犯。虽然基于SIEM的方法提供了显著的优点，本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种管理安全事件的方法，包括：接收安全事件的描述；从所述描述中提取一个或多个安全实体；从所述描述中提取时间信息；根据一组时间标记处理所提取的时间信息；响应于所述处理，确定所述安全事件的时间值标记；以及将所述时间值标记与所述一个或多个安全实体相关联；以及至少部分地基于所述时间值标记对所述安全事件执行安全事件管理操作。2.如权利要求1所述的方法，其中，所述描述作为非结构化安全内容被接收，并且至少所述一组时间标记中的时间标记包括在结构化数据源处。3.如权利要求1所述的方法，其中，所述描述是自然语言文本描述。4.如权利要求1所述的方法，其中，所述一组时间标记包括与从所述描述中提取的安全实体之间的关系具有相同依赖性的时间表达、来自所述关系的某个时间窗内的时间表达、从外部数据源提取的时间表达、与所述描述相关联的发布时间、与所述描述相关联的cron日期、所述描述的最后修改时间、所述描述的创建时间、以及对应于所述描述的检索时间的爬取时间。5.如权利要求1所述的方法，其中，与所述安全事件相关联的所述时间值标记是基于从所述描述中提取的时间线索连同来自结构化数据源的信息来推断的。6.如权利要求1所述的方法，其中，处理所提取的时间信息包括将相对时间表达转换成绝对时间。7.如权利要求1所述的方法，其中，所述一组时间标记是根据优先化方案排序的启发法。8.一种装置，包括：处理器；计算机存储器，所述计算机存储器保持由所述处理器执行以管理安全事件的计算机程序指令，所述计算机程序指令包括程序代码，所述程序代码被配置为：接收安全事件的描述；从所述描述中提取一个或多个安全实体；从所述描述中提取时间信息；根据一组时间标记处理所提取的时间信息；响应于所述处理，确定所述安全利用的时间值标记；以及将所述时间值标记与所述一个或多个安全实体相关联；以及至少部分地基于所述时间值标记对所述安全事件执行安全事件管理操作。9.如权利要求8所述的装置，其中，所述描述作为非结构化安全内容被接收，并且至少所述一组时间标记中的时间标记包括结构化数据源。10.如权利要求8所述的装置，其中，所述描述是自然语言文本描述。11.如权利要求8所述的装置，其中，所述一组时间标记包括与从所述描述中提取的安全实体之间的关系具有相同依赖性的时间表达、来自所述关系的某个时间窗内的时间表达、从外部数据源提取的...

【专利技术属性】
技术研发人员：P，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：