用于在计算机网络中管理安全性的方法和设备
阅读:457发布:2023-01-15
专利汇可以提供用于在计算机网络中管理安全性的方法和设备专利检索,专利查询,专利分析的服务。并且用于管理 计算机网络 中的安全的方法和设备包括 迭代 智能生长、迭代演进、和演进路径的 算法 ;信息类型标识符、阴谋检测、媒体扫描器、特权隔离分析、用户 风 险管理和境外实体管理的子算法;以及安全行为、创造性、人工威胁、自动化生长引导、响应/通用解析器、安全检阅模 块 和监控交互系统的模块。应用包括恶意 软件 预测 跟踪 、通过网络空间中的秘密操作的秘密机器智能惩罚、逻辑推断的零 数据库 先验实施防御、通过 云 和分层信息安全的关键 基础 设施保护和惩罚、和批判性思维 存储器 和 感知 。,下面是用于在计算机网络中管理安全性的方法和设备专利的具体信息内容。
1.一种处理安全事件的计算机安全系统,包括:
(a)行为模块,其包括多个子算法,其中,每个子算法对应于与预定安全问题相关的预定分类;以及
(b)组合模块,其基于行为模块的输出,提供安全分析。
2.如权利要求1所述的系统,其中,子算法并行执行,并且子算法中的每一项处理输入和存储输出。
3.如权利要求2所述的系统,其中,信息处理请求被发送给至少一个子算法,其中,每个子算法处理安全事件的数据,其中,每个子算法的结果被存储在用于子算法的数据库中。
4.如权利要求2所述的系统,进一步包括高置信度过滤器,其对来自子算法的高于预定置信度水平的结果进行过滤。
5.如权利要求4所述的系统,其中,组合请求被发送到组合算法,其中,组合算法根据组合请求的类型而组合两个或者多个子算法,其中,组合算法基于预定标准选择结果。
6.如权利要求5所述的系统,进一步包括分类模块,其基于政策和行为的组合来确定安全事件的分类。
7.如权利要求6所述的系统,进一步包括模式匹配模块,其基于安全事件的行为模式过滤出安全事件,并且其中分类模块从模式匹配模块确定所过滤的事件的分类。
8.如权利要求7所述的系统,其中行为模块连接到行为数据库,其中行为数据库存储包括多个分类的元数据。
9.如权利要求8所述的系统,分类的每一项包括参考id、第一概念、第二概念、和算法确定的相关联索引。
10.如权利要求7所述的系统,进一步包括卫生模块,其基于卫生政策过滤进入的事件。
11.一种网络安全系统,包括:
(i)阴谋检测子算法,其检查针对多个安全事件的背景,并且确定安全事件之间的模式和相关性;以及
(ii)信息类型标识符子算法,其确定未知数据的类型,并且声明其在其选择的数据类型中的置信度,并且如果置信度低于预定水平则返回失败标记。
12.如权利要求11所述的系统,其中,在阴谋检测子算法中,安全事件由导出安全事件的相关属性的信息类型标识符子算法解析,其中,属性由外部政策和行为解译检查,以查看事件是否通过阈值以用于被处理。
13.如权利要求12所述的系统,其中,用于安全事件的所导出的事件属性被存储在特定数据库中,其中,做出用于所导出的事件属性的所有组合,其中,组合由预定的允许规则选择,其中,所选择的组合相对于特定数据库针对预定相似度因子查询。
14.如权利要求13所述的系统,其中,预定相似度因子包括具有相同的SSN和发生日的时间,包括相同IP LAN子网范围和个人电话号码和个人地址,包括在不同电子邮件地址中的相同域名,并且包括其应该指向的域名和IP地址,以对抗幽灵域名。
15.如权利要求13所述的系统,向管理控制台通知由阴谋检测子算法检查的结果。
16.如权利要求11所述的系统,进一步包括境外实体管理子算法,其以境外威胁向企业的独立网络做出的请求为基础而将境外威胁的严重性升级或者降级,并且接收第三方信息以增强其对境外威胁的感知,以及包括用户风险管理子算法,其基于预定风险因子确定对于用户记录的总体风险评价。
17.如权利要求16所述的系统,其中,在境外实体管理子算法中,由信息类型标识符子算法解析安全事件,以导出安全事件所涉及的网络起源和用户,其中,安全事件的网络起源相对于安全观察列表被检查,其中,如果用户信息在安全观察列表中被找到,则该用户由用户风险评价子算法检查。
18.如权利要求17所述的系统,其中,检查结果以受外部政策和行为影响的预定阈值为基础而考虑和聚集,其中,所聚集的结果被存储在特定数据库中。
19.如权利要求16所述的系统,其中,在信息类型标识符子算法中,对于所提供的未知数据,出于并行目的,提供批输入。
20.如权利要求19所述的系统,其中,信息类型标识符子算法提取未知数据的属性,其包括长度、数字、字母比率和特殊字符。
21.如权利要求20所述的系统,其中,所提取的属性与被选择用于比较的数据库数据点相比较。
22.如权利要求21所述的系统,其中,为了比较,首先检查缓存。
23.如权利要求22所述的系统,其中,信息类型标识符子算法针对置信度水平处理所比较的结果。
24.如权利要求23所述的系统,其中,如果结果的置信度水平低于预定阈值,则结果截止,其中,预定阈值可以是动态的。
25.如权利要求23所述的系统,其中,执行模式检测以将类型亲和性与属性构成相关,其中,高置信度模式被存储在缓存中,其中,数据库不包含所计算的模式,但是包含在类型和属性之间的静态相关性。
26.如权利要求25所述的系统,所处理的结果被编译为符合API,并且所编译的结果被输出。
27.如权利要求16所述的系统,进一步包括媒体扫描器子算法,其扫描给定媒体,并且针对这样的媒体的所预期的构成,检查非法信息传递和不一致/可疑行为。
28.如权利要求27所述的系统,其中,在媒体扫描器子算法中,执行媒体解析以强调在给定媒体中的信息的可疑点,其中,可疑点可以被隐藏在元数据中,或者被隐藏在媒体的原始格式中,其中,媒体的数据和元数据被扫描。
29.如权利要求27所述的系统,其中,信息的可疑点被信息类型标识符子算法处理,其中,用户身份被传递到用户风险管理子算法,因此过程被传递到用户风险管理子算法,其中,所有其他信息被传递给通用解析器。
30.如权利要求27所述的系统,其中,通用解析器与风险对象数据库交互,以找到在文件中的风险关联。
31.如权利要求30所述的系统,其中,如果找到了风险关联,则阻止媒体被传送,创建风险对象,并且向用户风险管理子算法通知相关用户涉及安全事件。
32.如权利要求30所述的系统,其中,所处理的结果被组合和解析,以产生是否阻止或者允许媒体的决定。
33.如权利要求16所述的系统,进一步包括特权隔离分析子算法,其确定用户或者过程是否在其准许的特权分配内,其被不断调用,并且将任何所确认的特权违规报告给主要过程和对主要过程针对违规采取措施进行复查的次要过程。
34.如权利要求33所述的系统,其中,在特权隔离分析子算法中,发送用户准许事件,用户ID令牌和请求访问/修改的位置由信息类型标识符子算法提取,并且被推送给线程管理器。
35.如权利要求34所述的系统,其中,线程管理器包括位置线程管理器,其接收位置信息并且针对准许谁访问/修改而调用位置数据库。
36.如权利要求35所述的系统,其中,位置准许库接收特定数据库(2)的位置准许要求,并且由决定由于用户安全风险特定位置是否应该被阻止为防范的线程查询,其中,经由外部政策和行为确定用于防范水平的阈值。
37.如权利要求36所述的系统,其中,线程管理器包括用户线程管理器,其接收用户信息并且针对准许访问/修改什么位置而调用用户数据库,并且调用用户风险管理子算法以获取应该针对在防范政策内的该用户被阻止的风险位置。
38.如权利要求37所述的系统,其中,用户准许库接收特定数据库(1)的用户准许属性,并且被位置线程管理器查询以查看用户是否被准许在该位置执行所请求的动作。
39.如权利要求38所述的系统,其中,准许聚集器在逻辑上组合位置线程管理器和用户线程管理器的结果,并且输出所组合的结果。
40.如权利要求16所述的系统,其中,在用户风险管理子算法中,预定风险因子包括之前的政策违规、过度使用、和所发生的可疑操作。
41.如权利要求40所述的系统,其中,输入用户标识令牌,并且输出具有多个有风险利益的链接对象的总体风险评价百分比,其中,对象可以经由其他子算法独立地访问,以用于进一步分析。
42.如权利要求41所述的系统,其中,输入与用户相关的风险对象,其中,记录用户与风险对象的关联。
43.如权利要求41所述的系统,其中,提供用户ID令牌,以生成风险评价报告或者以存放风险对象参考,其中,使用所存放的风险对象参考来构建用户风险历史。
44.如权利要求43所述的系统,其中,如果提供了风险对象参考,则在数据库中做出存放以用于进一步参考。
45.如权利要求43所述的系统,其中,如果没有做出风险对象参考存放,并且线程管理器请求做出报告,其中,相关用户ID在特定数据库中查找以访问用户的风险历史。
46.如权利要求43所述的系统,其中,从为风险对象给出风险评级的特定数据库中检索风险率,其中,使用风险率和所检索的风险对象,最终的聚集报告被产生并且被推送给输出,其中,综合主要风险指数也被推送给输出,以用于标识用户的即时风险因子。
47.一种用于迭代智能生长的方法,其包括以下步骤:
a)接收初始规则集的输入;
b)接收多个人格特质的输入,其中,人格特质限定了应该对安全事件行使的反动特性;
c)选择人格特质并且将人格特质指派给演进路径;
d)针对所有人格特质,为其他演进路径重复步骤c);以及
e)执行演进路径,其中,演进路径中的每个演进路径按照其给定人格特质演进多代;
其中,演进路径的每个演进路径的操作几乎与其他演进路径的操作隔离。
48.如权利要求47所述的方法,其中,人格特质包括
i)基于相关程度使用CPU时间的现实主义特质;
ii)基于无论是否存在针对给定实体的之前的安全事故而使用CPU时间的记仇特质,所述给定实体包括个体或者计算机系统;
iii)基于校正动作的可提供性使用CPU时间的机会主义特质;或者
iv)基于对于假设的少许宽恕和容忍使用CPU时间的严格和谨慎特质;
其中,CPU时间以CPU循环/秒测量。
49.如权利要求47所述的方法,其中,监控和交互系统将来自人工安全威胁(AST)系统的安全事件注入到演进路径中,并且将与来自安全行为云的安全事件相关联的安全响应进行中继,其中,如果演进路径中的任一演进路径达到不能解决给定安全问题的无穷状态,则抛弃该演进路径的执行,其中,所抛弃的演进路径的人格特质被修改,其中,所修改的人格特质被指派给另一演进路径,并且所抛弃的演进路径的安全事件被注入到另一演进路径,并且其中,执行另一演进路径,其中,监控和交互系统输出演进路径的性能,并且接收用于修改人格特质的输入。
50.如权利要求47所述的方法,其中,交叉引用模块分析对于给定安全事件的安全系统响应,决定安全系统响应是否是有意义的,将安全系统响应推送给特质标注模块。
51.如权利要求50所述的方法,其中,特质标注模块按照被提供给特质标注模块的人格类型对安全系统响应进行分类。
52.如权利要求51所述的方法,特质交互模块分析人格特质之间的相关性,其中,分析结果传递给安全行为云,其中,安全行为云将分析结果传递给监控和交互系统。
53.一种网络威胁智能标识、集成和分析系统,包括:
a)接收两种父形式的智能选择器,其中,父形式表示数据的抽象构造,并且将两种父形式合并到混合形式中;
b)限定系统被使用的算法类型的模式模块,其中,智能选择器基于算法类型决定用于合并的部分;以及
c)接收用于形式应该如何被合并的自定义数据的输入的静态标准模块。
54.如权利要求53所述的系统,其中,自定义数据包括排名优先化、所期望的数据比率、以及用于取决于由模式模块限定的算法类型指导合并的数据。
55.如权利要求53所述的系统,其中,智能选择器包括原始比较模块,其基于由静态标准模块提供的自定义数据执行对两种父形式的原始比较,其中,原始比较模块相关于改变和非改变进行输出,其中,智能选择器基于自定义数据对改变的重要性进行排名,其中,改变和非改变基于静态标准的自定义数据和模式的算法类型被合并到混合形式中,其中,合并包括调整数据的比率分布、数据的重要性和数据之间的关系,其中,比率模式、优先级模式和风格模式在系统中预设置。
56.如权利要求55所述的系统,其中,在比率模式中,重叠的信息量按照由静态标准设置的比率被过滤,其中,如果比率被设置为大的,则被保持为一致的大量形式数据将被合并到混合形式中,其中,如果比率被设置为小的,则大多数混合形式将被构造为具有与其过去的迭代非常不同的形式。
57.如权利要求55所述的系统,其中,在优先级模式中,当两个数据集都竞争以所述形式在相同地方限定特征时,优先化过程发生为选择哪些特征是显著的、哪些特征是被重叠和隐藏的,其中,当只有一个特质可以占据在混合形式中时,优先化过程发生。
58.如权利要求55所述的系统,其中,在风格模式中,重叠点被合并的方式,其中,静态标准和模式将该模块引导为更优选某个特定合并,而不是另一个合并。
59.如权利要求53所述的系统,其中,特质构成和被索引的安全感兴趣点(POI)被提供以查询安全事件以及其响应,其中,POI被存储在安全POI池中,并且POI使用特质索引桥接,其中,当关于安全问题的人格特质被查询时,在POI池中查找相关的POI,并且相关的事件和响应存储被检索和返回,其中,在POI接口模块中,人格特质与POI相关联。
60.如权利要求53所述的系统,进一步包括响应解析器,其包括:
a)交叉引用模块,其中描述安全事件和对安全事件的响应的数据被接收;安全行为模块提供已知POI,并且用于被标注为安全事件的人格特质的输入被接收;
b)特质标注模块,其基于个人特质的方案和与过去的安全行为的模式相关性将安全响应与个人特质相关联;以及
c)特质交互模块,其从特质标注模块接收特质构成并且评价其内部兼容性;
其中,安全事件、响应、特质被存储在安全行为云中。
61.如权利要求53所述的系统,其中,使用人工漏洞利用测试安全规则集,其中,在执行漏洞利用之后,如果漏洞利用有效并且如果其应该被合并到漏洞利用数据库,则结果反馈模块提供结果,其中,信息发布模块向创造性模块提供对于下一漏洞利用应该看起来如何的细节,其中,信息在信息发布模块和漏洞利用数据库之间合并,其中,漏洞利用作为批执行,其中所有演进路径使用相同漏洞利用并行和同时测试,其中,创造性模块产生混合漏洞利用,其使用之前漏洞利用的优势并且基于信息发布模块的结果避免漏洞利用中的已知弱点。
62.如权利要求61所述的系统,其中,监督管理模块监控漏洞利用存储和使用中的发展,其中,漏洞利用由外部输入产生/修改/移除,其中,漏洞利用连同已知行为历史一同存储,所述已知行为历史描述漏洞利用过去在特定条件内如何执行和漏洞利用重要性。
63.如权利要求53所述的系统,其中,进一步包括监控/交互系统,其中,创造性模块产生用于路径的下一代,其中,两个输入形式是来自安全行为云的已编译的安全行为和来自安全检阅模块的变量,其中,作为结果产生的混合形式被推送给迭代处理器,其中,迭代处理器处理推送自创造性模块的混合形式,并且集合成新一代,并将新一代上传到相关演进路径中,其中,安全检阅模块从演进路径接收报告变量,并且将其安全性能相对于人工安全威胁(AST)系统评估,输出报告以用于进一步检阅,并且将报告发送给创造性模块以迭代下一代,其中,安全行为云向安全检阅模块提供相关事件和响应,其中,标准经由特质索引查询确定,其中,如果接收到好性能评估,则安全检阅模块尝试找到更好的漏洞利用来打破在安全行为云中的漏洞利用,其中,特质构成被提供给安全行为云并且安全行为云将特质构成提供给创造性模块,以引导代规则集应该如何被构成。
64.如权利要求63所述的系统,其中,自动生长引导系统介入在外部控制以及监控和交互系统之间,其中,模块类型辨别所期望的模块行为是什么,并且其中,强制的反馈是由模块在其每次被给予新指令时通知其当前条件的响应,其中,高水平主变量是对静态标准的外部输入,其中,创造性模块在被给出之前的所期望的结果和实际结果之后辨别新的所期望的结果,其中,包括所控制的模块的状态和状况的实际结果被存储在模块跟踪数据库中,其中,模块跟踪数据库由模块和创造性模块填充,其中,模块跟踪数据库将输入形式提供给反映被控制模块的内部所选生长模式的创造性模块,其中,创造性模块将用于模块的新控制推送给模块跟踪器和模块其自身,其中,除了模块跟踪在单个实例中操作并且被分割以同时处理多个模块之外,模块被并行地控制,其中,来自包括从实际模块历史导出的信息的所控制的模块的反馈被存储在现实主义数据库中,其中,理论数据库包含由创造性模块提供的对于模块的理论控制,其中,如果控制按预期执行,则保持相同的生长模式,如果控制不寻常地执行,则适用可替换的生长模式。
65.如权利要求53所述的系统,进一步包括恶意软件预测跟踪算法,其中,迭代现有恶意软件以考虑构成中的理论变化,其中,随着理论时间的进行,恶意软件演进为与创造性模块交互,其中,分类A表示具有识别和移除的已证明的历史的已确认的恶意软件威胁,分类B表示系统知道存在但是不能识别也不能以绝对的置信度移除的恶意软件,并且分类C表示以各种可能方式对系统而言完全未知的恶意软件,其中,过程从分类A开始,其中,已知恶意软件被推送给创造性模块,以产生包括表示当前未知的恶意软件的潜在变形的混合形式,其中,然后基于分类B,理论过程表示未知威胁是如何的最佳估计,其中,基于分类C的过程表示系统不知晓并且试图预测的实际威胁,其中,产生模式以表示已知和已确认迭代的过渡,其中,过渡模式被用来预测当前未知的威胁。
66.如权利要求53所述的系统,进一步包括通过云和分层信息安全的关键基础设施保护和惩罚(CIPR/CTIS),其包括可信平台安全信息同步服务,其中,信息在所管理的网络和安全提供者(MNSP)内的多个安全算法之间流动,其中,企业内联网、外联网和互联网内的所有企业业务经由VPN中继到MNSP云,以用于实时和检阅性安全分析,其中,在检阅性安全分析中,事件和其安全响应和特质被存储和编索引,以用于未来的查询,阴谋检测提供了用于多个安全事件的例行背景检查并且尝试确定模式和相关性,成熟化和选择并行演进路径,迭代的各代采用相同的AST批,并且具有最佳人格特质的路径最终变成最能抵抗安全威胁的,其中,在实时安全分析中,语法模块提供用于读和写计算机代码的框架,目的模块使用语法模块来从代码中导出目的,并且以其本身的复杂目的格式输出这样的目的,企业网络和数据库被克隆在虚拟环境中,并且敏感数据以仿制的(伪造的)数据替换,信号模仿提供了当得出了虚拟混淆(保护)的分析结论时所使用的惩罚形式,其中,其检查境外代码的所有内部函数是有意义的,使用语法和目的模块来将境外代码约简到复杂目的格式,检测被秘密地嵌入在数据和传输分组中的代码,其中,需求和目的的所映射的分层结构被应用,以决定境外代码是否适合系统的总体目的。
67.如权利要求53所述的系统,进一步包括逻辑推断的零数据库先验实施防御(LIZARD),其中,在企业系统内的每个数字传送通过LIZARD的实例中继,其中,来自企业系统外部的所有输出/进入的信息经由LIZARD VPN和LIZARD云调拨,其中,迭代模块(IM)使用静态核(SC)来依照语法地修改动态壳(DS)的代码库,其中,所修改的版本由人工安全威胁(AST)与多个和不同的安全场景并行地进行压力测试,其中,如果LIZARD执行了低置信度的决定,则其将相关数据中继到AST,以改进LIZARD的未来的迭代,其中,AST创建具有所仿真的安全威胁的虚拟测试环境,以使得能够实现迭代过程,其中,LIZARD的静态核从初始的较简单的函数导出逻辑上必需的函数,转变由语法模块直接理解的任意(通用)代码,并且将代码逻辑约简到较简单的形式以产生互连函数的图,其中,迭代扩展增添了细节和复杂度,以通过引用目的关联将简单的目标演进为复杂目的,其中,虚拟混淆模块通过逐渐地以及部分地将代码沉浸到虚拟化伪造环境中而对代码进行混乱和约束,其中,恶意软件假设性地避开企业安全系统,LIZARD具有对进入的代码块的意图/目的的低置信度评价,可疑代码被秘密分配给一半数据与仿制的(伪造的)数据智能地混合的环境中,真实数据同步器智能地选择要给予所混合的系统的数据以及以何种优先级排序,并且仿制数据生成器使用真实数据同步器作为用于创建仿造和无用数据的模板。
68.如权利要求53所述的系统,进一步包括通过在网络空间模块中的秘密操作的秘密机器智能和惩罚,其中,潜伏双重间谍安静地捕获一份敏感文件,并且所捕获的文件在企业网络外部被推送给欺诈目的地服务器,其中,标准日志被生成,其被递送以用于实时和长期分析,其中,实时分析执行对恶意行为的近乎即时的识别,以在执行之前停止它,并且长期分析在经过更多时间的分析之后识别恶意行为。
69.如权利要求53所述的系统,进一步包括批判性思维存储器和感知算法,其产生对观察者的仿真,并且将所有潜在感知点与这样的观察者仿真变化进行测试/比较,其中,所选感知的优先级按照权重以降序选择,其中,政策命令规定选择截止的方式,其中,感知和相关权重以可比较变量格式(CVF)作为其索引存储,其中,从数据增强日志导出的CVF被用作是感知存储的数据库查找中的标准,其中,度量处理模块对来自所选的模式匹配算法(SPMA)的安全响应的变量进行逆向工程,其中,安全响应的一部分和其相应的系统元数据被用来复制安全响应的原始感知,其中,调试和算法跟踪使用基于传统语法信息分类被分成不同的分类,其中,分类被用来组织和产生具有与安全风险和主题的相关性的不同的安全响应。
用于在计算机网络中管理安全性的方法和设备
[0001] 与相关申请的交叉引用
[0002] 本发明要求对于以下申请的优先权:在2015年5月4日提交的题为Method and Device for Managing Security in a Computer Network(用于管理计算机网络中的安全的方法和设备)的临时申请号62/156,884的申请;在2015年7月28日提交的题为Cyber Security Algorithm(网络安全算法)的临时申请号62/198,091的申请;在2015年8月18日提交的题为CYBER SECURITY SUB-ALGORITHMS(网络安全子算法)的临时申请号62/206,675的申请;在2015年8月27日提交的题为CIPO based on Iterative Intelligence Growth and iterative Evolution(基于迭代智能生长和迭代演进的CIPO)的临时申请号62/210,546的申请;在2015年9月18日提交的题为Cyber Security Suite(网络安全程序组)的临时申请号62/220,914的申请;在2016年1月24日提交的题为Clandestine Machine Intelligence Retribution through Covert Operations in Cyberspace(通过网络空间中的秘密操作的秘密机器智能惩罚)的临时申请号62/286,437的申请;在2016年2月11日提交的题为Logically Inferred Zero-database A-priori Realtime Defense(逻辑推断的零数据库先验实时防御)的临时申请号62/294,258的申请;在2016年3月13日提交的题为Critical Infrastructure Protection&Retribution(CIPR)through Cloud&Tiered Information Security(CTIS)(通过云和分层信息安全(CTIS)的关键基础设施保护和惩罚(CIPR))的临时申请号62/307,558的申请;在2016年4月16日提交的题为Critical Thinking Memory&Perception(CTMP)(批判性思维存储器和感知(CTMP))的临时申请号62/
323,657的申请,以上申请的公开内容如其在本文中所阐述一样通过引用被并入。
323,657的申请,以上申请的公开内容如其在本文中所阐述一样通过引用被并入。
技术领域
背景技术
[0004] 按照FireEye,Inc的报告的The Numbers Game:How Many Alerts is too Many to Handle,由于安全警报的快速增长的数量,机构难以以及时和有效的方式管理安全警报并且对其做出反应。即便在警报被捕获并且正确分类时,庞大的量是令人难以应付的。并且当它们未能得以快速响应时,后果可能是灾难性的。大量的警报要求超过大多数公司实际上能够维护的管理级别。所有级别的安全人员面临着费力地完成数据、误警报和重复警报。虽然安全队伍过滤了噪声数据和采集了警报,但是在较高级别,仍然有过多的内容需要被解决。在美国,37%的组织每个月面临多于50000的警报。但是,进行响应的IT安全专家通常具有多个安全责任的任务,这使得错过警报更有可能。当分析员由于工作过度而不具有足够时间透彻检阅警报或者不是警报调查方面专家时,会产生代价高的错误。噪声是一个显著的问题,并且多于一半的警报是误报。如果警报没有被关联或者去重,则这个数字很可能甚至更高,因为多于其三分之一是冗余的。所有的这些都导致这样的场景,即:其中平台产生过多的、简单无效的数据。更糟的是,检阅所有这些是在浪费宝贵的时间。这种检阅过程是代价高的。少于60%的公司具有用于自动忽略冗余警报的过程,这意味着它们以少于一半的时间人工响应于包含实际恶意的事件的警报。对关键警报的检阅仅仅是第一步。分析员然后需要标识警报是否是实际攻击,修复任何损坏的系统并且完成取证调查(forensic investigation)来减轻损害。在初始检阅时的任何延迟会减慢整个过程。为了最终成功,警报必须被准确地分类。如果关键警报被分类为低优先级,并且没有接收快速响应,则其可以证明是灾难性的。太频繁的是,公司简单地试图跟上而非确定如何改进该过程。如果资源被重新分配,则警报管理可以变得敏捷和高效。组织需要考虑替换方案,其包括前置测试、政策检阅、以及用于更好管理警报过程的新主动权。
[0005] Zaitsev的US 8776241 B2公开了一种在计算机网络中的安全相关事故的自动分析系统,其包括事件收集模块、事件分析模块和解决方案模块。事件收集模块从多个客户端计算机获取事故相关的信息。事件分析模块重构有理由地与第一事故相关的事件链,并且基于事故相关信息指示第一事故的根本原因。解决方案模块制定推荐方案,供客户端计算机使用。推荐方案基于事件链,并且包括特定于对第一事故响应的校正性/防止性动作。
[0006] Thielamay的US 20060191007 A1公开了一种自动安全监控和管理框架,其包括中央管理中心、将硬件和软件信息集中到集中式数据库中的安全姿态模块、针对已知安全软件轮询环境的审计模块、获取和处理安全建议的威胁分析模块、用于查看总体网络安全健康的执行性仪表盘模块、提供预定义度量方法来分析系统风险的风险分析模块、用于存储和跟踪当前和历史安全问题的故障标签模块、分析和解决基础设施中的问题的决议模块、比较数据并确保环境中的统一性的相关性引擎模块、以及标识由未授权个人在尝试损坏系统时使用的技术的事故发现模块。
[0007] Winkler等人的US 8457996 B2公开了一种基于模型的企业连续性管理框架。企业过程模型处理程序确定包括按照有向图安排的任务的企业过程模型。任务中的一些是与用于执行任务的要求相关联的。信息技术拓扑模型处理程序确定具有用于执行任务中的至少一些任务的连接资源的信息技术拓扑模型。行为模型生成器从行为信息库确定资源行为,并且生成行为模型,其中,任务和其相应要求连接到资源以及其相应行为。连续性分析器基于行为模型提供连续性分析。
[0008] Houston等人的US 7921459 B2公开了一种用于管理在网络上的安全事件的系统和方法。该系统采用事件管理软件模块,其从位于所监控的计算网络中的安全设备收集安全事件。在处理安全事件数据时,事件管理器模块可以格式化数据,并且创建事件的可管理概述。事件管理器还支持安全事件数据的存储以及对数据执行的任何处理的结果。安全事件数据可以由事件管理器标识,以供在对安全事件响应时使用。Newton等人的US 8209759 B2公开了一种安全事故管理器,其包括在分析攻击时的事件和网络流。原始事件由所监控的设备报告,并且事故管理器可以请求来自对应于原始事件的各种设备的网络流。然后,管理器将可变分数指派给事件的严重性、相关性和可信性,以确定其下一处理步骤。这些看起来很可能和有效的攻击的事件被分类为进攻。
发明内容
[0009] 本发明的目的是提供一种执行每秒分析古高尔(大数)或者10的古高尔次方(古戈尔普勒克斯)的事件和警报的网络安全框架,以便确定真实事故并且随后基于不同事故类型或者阈值标准对真实事故执行分诊(triage),以便将其转发给相关的/授权的/所指派的一方,以用于最终处理和/或自动处理/执行校正性动作。
[0010] 一种安全筛选程序被安装在每个计算设备上。安全筛选程序对通过计算设备的网络业务进行筛选,以找到潜在的事故。当安全筛选程序以给定筛选规则找到潜在事故时,安全筛选程序生成警报。如果潜在事故被决定为不是事故,则第二级模块做出反馈解决方案,以用于修改筛选规则;并且生成和发送筛选规则反馈报告到计算设备。筛选规则反馈报告包括用于修改筛选规则的反馈解决方案。
[0011] 第一过滤标准是误报。如果潜在事故被决定为是误报,则第一层模块生成和发送误报报告到计算设备的安全筛选程序。误报报告包括用于修改筛选规则的解决方案。
[0012] 第一级模块填写预定事故评估表格,其描述潜在事故;并且以预定事故验证规则验证所填写的事故评估表格。预定的事故评估表格和预定的表格验证规则与分类相关,所述分类按照所指派的部门的每个部门而不同。
[0013] 本发明的安全服务器分析安全警报或者事件,并且基于企业/组织的各种业务或者功能操作分部的需要和要求执行分诊(将事件分类、关联、按优先级排序、指派到某项(法律、HR、隐私、公开、网络安全、政策、操作、CSIRC、SOC、督察长、安全等)以用于进一步调查和响应)或者基于企业/组织的前述业务或者功能操作分部的要求执行校正性动作,以便修复安全威胁和提供/利用可用的取证信息以便减轻损害。
[0014] 本发明的系统可以在设备上运行(即,服务器或者用于较小部署的另一机器)或者其可以虚拟(针对许多客户端)执行或者在专用(针对每个单个客户端)基于云环境执行,以便每秒处理数百个古高尔或者10的古高尔次方的数字的事件和警报。
[0015] 本发明的关键属性是如下内容:
[0016] 1)本系统发现了什么发生了,以便允许通过分析事件和警报来立即遏制。
[0017] 2)本系统将用于取证过程的时间减少到毫秒、秒和/或分钟,以便通过自动化理解事故的人类元素,以便确定:
[0018] a.完成了什么
[0019] b.为什么完成了这个
[0020] c.其在何处发生的
[0021] d.其何时发生的
[0022] e.其如何发生的
[0023] f.谁做的
[0024] g.与网络安全事故/攻击相关的属性
[0025] i.其对于企业/组织/实体而言关键吗
[0028] 3)系统确定如何立即遏制任何影响或者解决易损性以便防止其再次发生。
[0029] 安全事件是在每天操作网络或者信息技术服务中的改变,指示安全政策可能已经违规,或者安全保护可能已经失败。
[0030] 事件的第一指示可能来自于软件定义的警报,或者由终端用户向帮助台通知网络服务已经减缓。
[0031] 计算设备包括任何安全事件生成器或者设备:路由器、计算机(膝上型电脑、PC、平板等等)、移动设备等等。
[0032] 在第二层模块中的人类事故验证分析可以由人类执行,或者由安全事件分析器执行,因此将从事件生成到校正动作的整个安全事件分析生命期循环自动化,以便确保准确性、高效和有效性。
[0033] 本发明的关键点是如下:(1)信息分析的分层方法,(2)在每层内的粒度水平,(3)特定于部门的粒度,(4)基于特定于组织和每个单个部门(在组织内,例如督察长、法律、金融、隐私、网络安全等等)的要求和政策,从事件生成到校正动作的整个安全事件生命期循环的自动分析。
[0034] 为了实现该目的,本发明提供了一种处理安全事件的计算机安全系统,其包括行为模块,所述行为模块包括多个子算法,其中每个子算法对应于预定分类,其相关于预定安全问题;以及组合模块,其基于行为模块的输出提供安全分析。
[0035] 子算法并行执行,并且子算法中的每一项处理输入并存储输出。信息处理请求被发送到至少一个子算法,其中,每个子算法处理安全事件的数据,其中,每个子算法的结果存储在用于子算法的数据库中。
[0036] 系统进一步包括高置信度过滤器,其从高于预定置信度水平的子算法中过滤结果。组合请求被发送到组合算法,其中,组合算法根据组合请求的类型而组合两个或者更多个子算法,其中,组合算法基于预定标准选择结果。
[0037] 系统进一步包括分类模块,其基于政策和行为的组合而确定安全事件的分类,以及模式匹配模块,其基于安全事件的行为模式过滤出安全事件,并且其中分类模块从模式匹配模块确定所过滤事件的分类。
[0038] 行为模块连接到行为数据库,其中,行为数据库存储包括多个分类的元数据。分类中的每个分类包括参考id、第一概念、第二概念和算法确定的关联索引。系统进一步包括卫生模块,其基于卫生政策过滤进入的事件。
[0039] 本发明进一步提供一种包括阴谋(conspiracy)检测子算法的网络安全系统,所述算法检查针对多个安全事件的背景,并且确定模式和在安全事件之间的相关性;以及信息类型标识符子算法,其确定未知数据的类型,并且声明其在其所选的数据类型中的置信度,并且如果置信度低于预定水平则返回失败标记。
[0040] 在阴谋检测子算法中,安全事件由信息类型标识符子算法解析,所述信息类型标识符子算法导出安全事件的相关属性,其中,属性由外部政策和行为解释进行检查,以查看事件是否通过阈值,以用于被处理。
[0041] 用于安全事件的所导出的事件属性被存储在特定数据库中,其中,做出对于所导出的事件属性的所有组合,其中,由预定的允许规则选择组合,其中,所选择的组合针对预定相似度因子相对于特定数据库查询。
[0042] 预定相似度因子包括具有相同的SSN和发生日的时间,其包括相同的IP LAN子网范围和个人电话号码和个人地址,其包括在不同电子邮件地址中的相同域名,并且包括域名和其应该指向的IP地址,以便对抗幽灵域名(ghost domain name)。向管理控制台通知由阴谋检测子算法检查的结果。
[0043] 系统进一步包括境外实体管理子算法,其以境外威胁向企业的独立网络做出的请求为基础而将境外威胁的严重性升级或者降级,并且接收第三方信息以增强其对境外威胁的感知,以及包括用户风险管理子算法,其基于预定风险因子确定对于用户记录的总体风险评价。
[0044] 在境外实体管理子算法中,由信息类型标识符子算法解析安全事件,以导出安全事件所涉及的网络起源和用户,其中,安全事件的网络起源相对于安全观察列表被检查,其中,如果用户信息在安全观察列表中被找到,则该用户由用户风险评价子算法检查。检查结果以受外部政策和行为影响的预定阈值为基础而考虑和聚集,其中,所聚集的结果被存储在特定数据库中。
[0045] 用于所提供的未知数据的信息类型标识符子算法中,出于并行目的,提供批输入。信息类型标识符子算法提取未知数据的属性,其包括长度、数字、字母比率和特殊字符。所提取的属性与被选择用于比较的数据库数据点相比较。为了比较,首先检查缓存。信息类型标识符子算法针对置信度水平处理所比较的结果。如果结果的置信度水平低于预定阈值,则结果截止,其中,预定阈值可以是动态的。执行模式检测以将类型亲和性与属性构成相关联,其中,高置信度模式被存储在缓存中,其中,数据库不包含所计算的模式,但是包含在类型和属性之间的静态相关性。所处理的结果被编译为符合API,并且所编译的结果被输出。
[0046] 系统进一步包括媒体扫描器子算法,其扫描给定媒体,并且针对这样的媒体的所预期的构成,检查非法信息传递和不一致/可疑行为。在媒体扫描器子算法中,执行媒体解析以强调在给定媒体中的信息的可疑点,其中,可疑点可以被隐藏在元数据中,或者被隐藏在媒体的原始格式中,其中,媒体的数据和元数据被扫描。
[0047] 信息的可疑点被信息类型标识符子算法处理,其中,用户身份(因此,过程)被传递到用户风险管理子算法,其中,所有其他信息被传递给通用解析器。通用解析器与风险对象数据库交互,以找到在文件中的风险关联。如果找到了风险关联,则阻止媒体被传递,创建风险对象,并且向用户风险管理子算法通知相关用户涉及安全事件。所处理的结果被组合和解析,以产生是否阻止或者允许媒体的决定。
[0048] 系统进一步包括特权隔离分析子算法,其确定用户或者过程是否在其准许的特权分配内,其被不断调用,并且将任何所确认的特权违规报告给主要过程和对主要过程针对违规采取措施进行复查的次要过程。在特权隔离分析子算法中,发送用户准许事件,用户ID令牌和请求访问/修改的位置由信息类型标识符子算法提取,并且被推送给线程管理器。线程管理器包括位置线程管理器,其接收位置信息并且针对准许谁访问/修改而调用位置数据库。
[0049] 位置准许库接收特定数据库2的位置准许要求,并且由决定由于用户安全风险、特定位置是否应该被阻止为防范的线程查询,其中,经由外部政策和行为确定用于防范水平的阈值。线程管理器包括用户线程管理器,其接收用户信息并且针对准许访问/修改什么位置而调用用户数据库,并且调用用户风险管理子算法以获取应该针对在防范政策内的该用户被阻止的风险位置。
[0050] 用户准许库接收特定数据库1的用户准许属性,并且被位置线程管理器查询以查看用户是否被准许在该位置执行所请求的动作。准许聚集器在逻辑上组合位置线程管理器和用户线程管理器的结果,并且输出所组合的结果。
[0051] 在用户风险管理子算法中,预定风险因子包括之前的政策违规、过度使用、和所发生的可疑操作。输入用户标识令牌,并且输出具有多个有风险利益的链接对象的总体风险评价百分比。其中,对象可以经由其他子算法独立地访问,以用于进一步分析。输入与用户相关的风险对象,其中,记录用户与风险对象的关联。提供用户ID令牌,以生成风险评价报告或者以存放风险对象参考,其中,使用所存放的风险对象参考来构建用户风险历史。
[0052] 如果提供了风险对象参考,则在数据库中做出存放以用于进一步参考。如果没有做出风险对象参考存放,并且线程管理器请求做出报告,其中,相关用户ID在特定数据库中查找以访问用户的风险历史。从为风险对象给出风险评级的特定数据库中检索风险率,其中,使用风险率和所检索的风险对象,最终的聚集报告被产生并且被推送给输出,其中,综合主要风险指数也被推送给输出,以用于标识用户的即时风险因子。
[0053] 本发明进一步提供了一种用于迭代智能生长的方法,其包括以下步骤:接收初始规则集的输入;接收多个人格特质的输入,其中人格特质限定应该对安全事件行使的反动特性(reactionary characteristic);选择人格特质并且将人格特质指派给演进路径;针对所有人格特质,为其他演进路径重复以上内容;并且执行演进路径,其中,演进路径中的每个演进路径按照其给定人格特质演进多代。演进路径的每个演进路径的操作几乎与其他演进路径的操作隔离。
[0054] 人格特质包括i)基于相关性程度使用CPU时间的现实主义特质;ii)基于无论是否存在针对给定实体(其包括个体或者计算机系统)的之前的安全事故而使用CPU时间的记仇特质;iii)基于校正动作的可提供性使用CPU时间的机会主义特质;或者iv)基于对于假设的少许宽恕和容忍使用CPU时间的严格和谨慎特质。CPU时间以CPU循环/秒测量。
[0055] 监控和交互系统将来自人工安全威胁(AST)系统的安全事件注入到演进路径中,并且将与来自安全行为云的安全事件相关联的安全响应进行中继,其中,如果演进路径中的任一演进路径达到不能解决给定安全问题的无穷状态,则抛弃该演进路径的执行,其中,所抛弃的演进路径的人格特质被修改,其中,所修改的人格特质被指派给另一演进路径,并且所抛弃的演进路径的安全事件被注入到另一演进路径,并且其中,执行另一演进路径,其中,监控和交互系统输出演进路径的性能,并且接收用于修改人格特质的输入。
[0056] 交叉引用模块分析对于给定安全事件的安全系统响应,决定安全系统响应是否是有意义的,将安全系统响应推送给特质标注模块。特质标注模块按照被提供给特质标注模块的人格类型对安全系统响应进行分类。特质交互模块分析人格特质之间的相关性,其中,分析结果传递给安全行为云,其中,安全行为云将分析结果传递给监控和交互系统。
[0057] 本发明进一步提供了一种网络威胁智能标识、集成和分析系统,包括接收两种父形式的智能选择器,其中,父形式表示数据的抽象构造,并且将两种父形式合并到混合形式中;限定系统被使用的算法类型的模式模块,其中,智能选择器基于算法类型决定用于合并的部分;以及接收用于形式应该如何被合并的自定义数据的输入的静态标准模块。自定义数据包括排名优先化、所期望的数据比率、以及用于指导取决于由模式模块限定的算法类型的合并的数据。
[0058] 智能选择器包括原始比较模块,其基于由静态标准模块提供的自定义数据执行对两种父形式的比较,其中,原始比较模块相关于改变和非改变进行输出,其中,智能选择器基于自定义数据对改变的重要性进行排名,其中,改变和非改变基于静态标准的自定义数据和模式的算法类型被合并到混合形式中,其中,合并包括调整数据的比率分布、数据的重要性和数据之间的关系,其中比率模式、优先级模式和风格模式在系统中预设置。
[0059] 在比率模式中,重叠的信息量按照由静态标准设置的比率被过滤,其中,如果比率被设置为大的,则被保持为连贯的大量形式数据将被合并到混合形式中,其中,如果比率被设置为小的,则大多数混合形式将被构造为具有与其过去的迭代非常不同的形式。在优先级模式中,当两个数据集都竞争以该形式在相同地方限定特征时,优先化过程发生为选择哪些特征是显著的、哪些特征是被重叠和隐藏的,其中,当只有一个特质可以占据在混合形式中时,优先化过程发生。在风格模式中,重叠点被合并的方式,其中,静态标准和模式将该模块引导为更优选某个特定合并,而不是另一个合并。
[0060] 特质构成和被索引的安全感兴趣点(POI)被提供以查询安全事件以及其响应,其中,POI被存储在安全POI池中,并且POI使用特质索引桥接,其中,当关于安全问题的人格特质被查询时,在POI池中查询相关的POI,并且相关的事件和响应存储被检索和返回,其中,在POI接口模块中,人格特质与POI相关联。
[0061] 系统进一步包括响应解析器,其包括交叉引用模块,其中描述安全事件和对安全事件的响应的数据被接收;安全行为模块提供已知POI,并且用于被标注为安全事件的人格特质的输入被接收;特质标注模块,其基于个人特质的方案和与过去的安全行为的模式相关性将安全响应与个人特质相关联;以及特质交互模块,其从特质标注模块接收特质构成并且评价其内部兼容性。安全事件、响应、特质被存储在安全行为云中。
[0062] 使用人工漏洞利用测试安全规则集,其中,在执行漏洞利用之后,如果漏洞利用有效并且如果其应该被合并到漏洞利用数据库,则结果反馈模块提供结果,其中,信息发布模块向创造性模块提供对于下一漏洞利用应该看起来如何的细节,其中,信息在信息发布模块和漏洞利用数据库之间合并,其中,漏洞利用作为批执行,其中所有演进路径使用相同漏洞利用并行和同时测试,其中,创造性模块产生混合漏洞利用,其使用之前漏洞利用的优势并且基于信息发布模块的结果避免漏洞利用中的已知弱点。
[0063] 监督管理模块监控漏洞利用存储和使用中的发展,其中,漏洞利用由外部输入产生/修改/移除,其中,漏洞利用连同已知行为历史一同存储,所述已知行为历史描述漏洞利用在过去在特定条件和漏洞利用重要性内如何执行。
[0064] 系统进一步包括监控/交互系统,其中,创造性模块产生用于路径的下一代,其中,两个输入形式是来自安全行为云的已编译的安全行为和来自安全检阅模块的变量,其中,作为结果产生的混合形式被推送给迭代处理器,其中,迭代处理器处理推送自创造性模块的混合形式,并且集合成新一代,并将新一代上传到相关演进路径中,其中,安全检阅模块从演进路径接收报告变量,并且将其安全性能相对于人工安全威胁(AST)系统评估,输出报告以用于进一步检阅,并且将报告发送给创造性模块以迭代下一代,其中,安全行为云向安全检阅模块提供相关事件和响应,其中,标准经由特质索引查询确定,其中,如果接收到好性能评估,则安全检阅模块尝试找到更好的漏洞利用来打破在安全行为云中的漏洞利用,其中,特质构成被提供给安全行为云并且安全行为云将特质构成提供给创造性模块,以引导代规则集应该如何被构成。
[0065] 自动生长引导系统介入在外部控制和监控和交互系统之间,其中,模块类型辨别所期望的模块行为是什么,并且其中,强制的反馈是由模块在其每次被给予新指令时通知其当前条件的响应,其中,高水平主变量是对静态标准的外部输入,其中,创造性模块在被给出之前的所期望的结果和实际结果之后辨别新的所期望的结果,其中,包括所控制的模块的状态和状况的实际结果被存储在模块跟踪数据库中,其中,模块跟踪数据库由模块和创造性模块填充,其中,模块跟踪数据库将输入形式提供给反映被控制模块的内部所选生长模式的创造性模块,其中,创造性模块将用于模块的新控制推送给模块跟踪器和模块其自身,其中,除了模块跟踪在单个实例中操作并且被分割以同时处理多个模块之外,模块被并行地控制,其中,来自包括从实际模块历史导出的信息的所控制的模块的反馈被存储在现实主义数据库中,其中,理论数据库包含由创造性模块提供的对于模块的理论控制,其中,如果控制按预期执行,则保持相同的生长模式,如果控制不寻常地执行,则采纳可替换的生长模式。
[0066] 系统进一步包括恶意软件预测跟踪算法,其中,迭代现有恶意软件以考虑构成中的理论变化,其中,随着理论时间的进行,恶意软件演进为与创造性模块交互,其中,分类A表示具有识别和移除的已证明的历史的已确认的恶意软件威胁,分类B表示系统知道存在但是不能识别也不能以绝对的置信度移除的恶意软件,并且分类C表示以各种可能方式对系统而言完全未知的恶意软件,其中,过程从分类A开始,其中,已知恶意软件被推送给创造性模块,以产生包括表示当前未知的恶意软件的潜在变形的混合形式,其中,然后基于分类B,理论过程表示未知威胁是如何的最佳估计,其中,基于分类C的过程表示系统不知晓并且试图预测的实际威胁,其中,产生模式以表示已知和已确认迭代的过渡,其中,过渡模式被用来预测当前未知的威胁。
[0067] 系统进一步包括通过云和分层信息安全的关键基础设施保护和惩罚(CIPR/CTIS),其包括可信平台安全信息同步服务,其中,信息在所管理的网络和安全提供者(MNSP)内的多个安全算法之间流动,其中,企业内联网、外联网和互联网内的所有企业业务经由VPN中继到MNSP云,以用于实时和检阅性安全分析,其中,在检阅性安全分析中,事件和其安全响应和特质被存储和编索引,以用于未来的查询,阴谋检测提供了用于多个安全事件的例行背景检查并且尝试确定模式和相关性,成熟化和选择并行演进路径,迭代的各代采用相同的AST批,并且具有最佳人格特质的路径最终变成最能抵抗安全威胁的,其中,在实时安全分析中,语法模块提供用于读和写计算机代码的框架,目的模块使用语法模块来从代码中导出目的,并且以其本身的复杂目的格式输出这样的目的,企业网络和数据库被克隆在虚拟环境中,并且敏感数据以仿制的(伪造的)数据替换,信号模仿提供了当得出了虚拟混淆(保护)的分析结论时所使用的惩罚形式,其中,其检查境外代码的所有内部函数是有意义的,使用语法和目的模块来将境外代码缩减到复杂目的格式,检测被秘密地嵌入在数据和传输分组中的代码,其中,需求和目的的所映射的分层结构被应用,以决定境外代码是否适合系统的总体目的。
[0068] 系统进一步包括逻辑推断的零数据库先验实施防御(LIZARD),其中,在企业系统内的每个数字传递通过LIZARD的实例中继,其中,来自企业系统外部的所有输出/进入的信息经由LIZARD VPN和LIZARD云调拨,其中,迭代模块(IM)使用静态核(SC)来依照语法地修改动态壳(DS)的代码库,其中,所修改的版本由人工安全威胁(AST)与多个和不同的安全场景并行地进行压力测试,其中,如果LIZARD执行了低置信度的决定,则其将相关数据中继到AST,以改进LIZARD的未来的迭代,其中,AST创建具有所仿真的安全威胁的虚拟测试环境,以使得能够实现迭代过程,其中,LIZARD的静态核从初始的较简单的函数导出逻辑上必需的函数,转变由语法模块直接理解的任意(通用)代码,并且将代码逻辑缩减到较简单的形式以产生互连函数的图,其中,迭代扩展增添了细节和复杂度,以通过引用目的关联将简单的目标演进为复杂目的,其中,虚拟混淆模块通过逐渐地以及部分地将代码沉浸到虚拟化伪造环境中而对代码进行混乱和约束,其中,恶意软件假设性地避开企业安全系统,LIZARD具有对进入的代码块的意图/目的的低置信度评价,可疑代码被秘密分配给一半数据与仿制的(伪造的)数据智能地混合的环境中,真实数据同步器智能地选择要给予所混合的系统的数据以及以何种优先级排序,并且仿制数据生成器使用真实数据同步器作为用于创建仿造和无用数据的模板。
[0069] 系统进一步包括通过在网络空间模块中的秘密操作的秘密机器智能和惩罚,其中,潜伏双重间谍安静地捕获一份敏感文件,并且所捕获的文件在企业网络外部被推送给欺诈目的地服务器,其中,标准日志被生成,其被递送以用于实时和长期分析,其中,实时分析执行对恶意行为的近乎即时的识别,以在执行之前停止它,并且长期分析在经过更多时间的分析之后识别恶意行为。
[0070] 系统进一步包括批判性思维存储器和感知算法,其产生对观察者的仿真,并且将所有潜在感知点与这样的观察者仿真变化进行测试/比较,其中,所选感知的优先级按照权重以降序选择,其中,政策命令规定选择截止的方式,其中,感知和相关权重以可比较变量格式(CVF)作为其索引存储,其中,从数据增强日志导出的CVF被用作是感知存储的数据库查找中的标准,其中,度量处理模块对来自所选的模式匹配算法(SPMA)的安全响应的变量进行逆向工程,其中,安全响应的一部分和其相应的系统元数据被用来复制安全响应的原始感知,其中,调试和算法跟踪使用基于传统语法信息分类被分成不同的分类,其中,分类被用来组织和产生具有与安全风险和主题的相关性的不同的安全响应。附图说明
[0071] 将参考详细描述连同以下附图更完整地理解本发明,其中:
[0072] 图1是按照本发明的示出网络警报分析器的任务流的流程图;
[0073] 图2是示出网络警报分析器的功能的示意性图,并具有在节点间从流出的业务到互联网的数据流的示例;
[0074] 图3是示出了网络警报分析器将所处理的数据/事件分配到组织的相关部门(基于其层1模块分析功能)的示意性图;
[0075] 图4是示出了计算机网络的示意性图;
[0076] 图5是示出了计算设备的示意性图;
[0077] 图6是按照本发明的示出了安全管理方法的流程图;
[0078] 图7是按照本发明的示出了安全服务器的示意性图;
[0079] 图8是示出了网络警报分析器的多层结果的示意性图;
[0080] 图9是总体过程/工作流,其证明了各种概念如何在网络事故分析器中协调结合;
[0081] 图10图示了行为分析应该如何被拆分到网络事故分析器中的专用或者“子”算法中;
[0082] 图11图示了网络事故分析器的政策和行为;
[0083] 图12是示出了阴谋检测子算法的示意性图;
[0084] 图13是示出了境外实体管理子算法的示意性图;
[0085] 图14是示出了信息类型标识符子算法的示意性图;
[0086] 图15是示出了媒体扫描器子算法的示意性图;
[0087] 图16是示出了特权隔离分析子算法的示意性图;
[0088] 图17是示出了用户风险管理子算法的示意性图;
[0089] 图18是示出了使用前述子算法的安全情况场景的示意性图;
[0090] 图19是示出了迭代智能生长算法的示意性图;
[0091] 图20是示出了迭代演进算法的示意性图;
[0092] 图21是示出了网络威胁智能标识集成和分析算法的示意性图;
[0093] 图22是示出了休眠的恶意软件安全使用情况的示意性图;
[0094] 图23-26是示出了创造性算法的示意性图;
[0095] 图27是示出了安全行为云的示意性图;
[0096] 图28是示出了响应解析器算法的示意性图;
[0097] 图29是示出了网络违法和异常行为检测和分析算法的示意性图;
[0098] 图30是示出了人工安全威胁算法的示意性图;
[0099] 图31是示出了监控/交互系统算法的示意性图;
[0100] 图32是示出了安全检阅模块算法的示意性图;
[0101] 图33-36是示出了自动生长引导算法的示意性图;
[0102] 图37-45是示出了恶意预测跟踪算法的示意性图;
[0103] 图46是示出了用于迭代生长和迭代演进算法的相依结构的示意性图;
[0104] 图47是示出了用于演进路径和信息类型标识符子算法的相依结构的示意性图;
[0105] 图48是示出了用于子算法阴谋检测、媒体扫描器和特权隔离分析的相依结构的示意性图;
[0106] 图49是示出了用于用户风险管理子算法的相依结构的示意性图;
[0107] 图50是示出了用于子算法境外实体管理和响应解析器的相依结构的示意性图;
[0108] 图51是示出了用于安全行为云的相依结构的示意性图;
[0109] 图52是示出了用于创造性算法的相依结构的示意性图;
[0110] 图53是示出了用于人工安全威胁算法的相依结构的示意性图;
[0111] 图54是示出了用于自动生长引导的相依结构的示意性图;
[0112] 图55是示出了用于安全检阅模型的相依结构的示意性图;
[0113] 图56是示出了用于监控交互系统的相依结构的示意性图;
[0114] 图57-58是安全攻击动机和手段的概述,以用于理解它们;
[0115] 图59是示出了与诸如硬件/软件卖主和执法机关之类的第三方交互的可信平台的示意性图;
[0116] 图60-66是示出了构成管理网络和安全服务提供者(MNSP)的算法的概述的示意性图;
[0117] 图67-72是示出了逻辑推断的零数据库先验实施防御(LIZARD)算法的概述的示意性图;
[0118] 图73是相对于对秘密操作和适当算法解决方案的分析枚举罪犯的攻击向量的示意性图;
[0119] 图74-75是示出了批判性思维存储器感知(CTMP)算法的功能概述的示意性图;
[0120] 图76-78是示出了批判性思维存储器感知(CTMP)算法的相依结构的示意性图;
[0121] 图79是示出了计算机安全系统处理安全事件的示意性图;
[0122] 图80是示出了网络安全系统以及其子算法的示意性图;以及
[0123] 图81是示出了用于迭代智能生长的流程图。
具体实施方式
[0124] 误报是被标识为异常或者恶意的任何正常或者预期行为。误报可能会发生,因为(1)一些合法应用不严格遵守IETF RFCs,并且写到RFC的签名可能在这样的应用运行时触发;(2)在异常检测系统的训练阶段没有见过的应用将很可能在该应用尝试运行时触发警报;(3)签名可能写得太宽,并且因此包括合法和不合法业务两者;(4)在组织的一个区域中的异常行为可能是可接受的,而在另一个区域中是高度可疑的。例如,NBT业务在Windows LAN环境中是正常的,但是一般在互联网上不是被预期的。这不是穷尽的列表,但是是IDS、防火墙、DLP和其他网络安全应用/系统可能具有误报的大多数常见场合。误报是实现网络安全系统的某人面临的最大问题之一。误报创建的主要问题在于,其可以容易地盖过合法警报。导致误报的单个规则可能容易地在短时间段中创建数千警报。如果做出分析员可以每五分钟检阅一条警报的假设,则分析员每天可以大约检阅100条警报。每五分钟检阅一条警报对于透彻分析而言太快了,但是我们可以假设,一些警报将不要求透彻分析,从而降低了用于分析的平均时间。看这些数字,明显的是,只有少量的误报可以盖过合法警报。用于导致重复误报的规则的警报通常被忽略和禁用。从这一点开始,组织有效地无视有问题的规则惹来的攻击。几乎任何规则可以创建误报。网络安全系统管理的技术领域正在学习如何最小化误报,并且使得组织不无视相关攻击。
[0125] 参考图1-3,本发明提供了一种通过分成部分并且学习事件/数据的相互关系来有方法地检查事件/数据的系统。
[0126] 从具有COTS或者其他软件的诸如计算机、设备等等的ICT系统生成的数据事件基于特定标准生成数据/时间,所述特定标准包括名称、地址、社会安全号、雇员标识号、特定字、图像、文件类型、文件大小、数据、日、月、年、时间等等。
[0127] 这样的数据/时间使用各种各样的标准验证,所述标准包括误报、真正、噪声等等。
[0128] 系统的工作流包括分离数据/事件、处理数据/事件、和转发通知的过程。
[0129] 分离数据/事件是例如基于包括功能性组织(HCO/HR、IG、隐私、公开、政策、安全、联盟等等)、严重性(高、中、低等等)、数据量(文件大小、项数等等)和智能分类等等的标准的。
[0130] 处理数据/事件是例如基于给定标准(例如,漏报、隐私相关等等)的。处理包括为特定功能性组织中的员工填写动作报告/表格以用于批准等等。基于组织特定要求、标准等等(例如,隐私表格、公开表格、HR表格等等)创建表格。
[0131] 在处理数据之后,按照给定标准(例如,漏报、隐私相关等等),通过转发电子邮件或者通过其他方法将通知发送给相应的组织/人员以用于批准表格。对于更严重/附加的标准(例如,在一天、一周、一个月中来自相同个人的5个或者更多个事故等等、向督察长通知等等),基于所发起的动作,通知被发送给经理、高级管理层、特定组织。
[0132] 报告(和/或警报)实时地或者近实时地同时给出;报告的静态或者动态内容例如可以包括事故数量和每个组织和每种类型的特定信息等等。在检阅来自网络安全系统的安全事件时,该系统(网络事件分析器)将验证其是真正的还是误报(除了误报之外的其他标准也可以被处理)。如果安全事件被验证为不是误报,则系统确定安全事件是否是(1)可疑意图的或者未授权的公开,(2)可疑的非意图公开,或者(3)可疑内部政策违规等等。对于所有三种情况常见的是,系统执行以下任务(a)填充特定表格/报告以分类为潜在事故,(b)验证表格内容以分类为事故,(c)向相应组织通知,以用于通过在GUI/仪表盘上显示完整表格进行进一步动作,以及(d)在负面事故的情况下向事故收集系统反馈以用于政策修改,和/或(e)基于组织特定标准的校正动作。
[0133] 参考图1,再次简要解释本发明的分层结构。层1模块执行用于给定网络事件的漏报校正。层1模块可以验证由外部网络安全系统提供的警报,或者可以自身监控计算机网络中的数据通信。层2模块根据包括IG、隐私、安全等等的标准执行特定于部门隔离。层3模块执行事故分类。也就是说,层3模块分析和决定与在计算机网络中生成的警报相关联的数据通信是否真的是对网络的威胁。层4模块执行评价,其包括校正动作、安全威胁修复、取证信息报告和损害减轻。
[0134] 参考图4和图6,解释了一种管理用于组织12的计算机网络10中的安全的方法。网络10包括多个计算设备14。该方法包括接收从一个或者多个计算设备生成的警报S01,以及用于与警报相关联的潜在事故的数据;分析用于潜在事故的数据S02;决定在第一过滤标准下潜在事故是否是安全威胁S03;以及如果潜在事故被决定为不是安全威胁,在第一调查规则下对该潜在事故进行第一调查S04。
[0135] 参考图3,组织12包括多个部门16。第一调查的步骤S04向潜在事故指派组织12的部门16中的一个部门。
[0136] 方法进一步包括将潜在事故报告给所指派的部门S05,;以及由所指派的部门决定潜在事故是否是事故S06。
[0137] 决定事故的步骤S06包括在第二调查规则下进行第二调查S07。第二调查规则包括特定于部门的标准(例如,隐私事故、公开事故、犯罪事故、安全事故等等)。
[0138] 方法进一步包括,如果警报或者潜在事故被决定为是事故,则执行风险评价过程S08。
[0139] 第一调查规则按照与用于潜在事故的数据敏感性相关的调查标准以及每个部门的角色来指派部门。
[0140] 调查标准包括用于潜在事故的数据是否是可疑的有意图的公开;用于潜在事故的数据是否是可疑的未授权的公开;以及用于潜在事故的数据是否是可疑的政策违规。
[0141] 如果用于潜在事故的数据被决定是可疑的有意图的或者无意图的但是未授权的公开,则指派处理电子犯罪的部门18;如果用于潜在事故的数据被决定是可疑的无意图的但是授权的公开,则指派管理隐私事故的部门20;其中,如果用于潜在事故的数据被决定为是其他情况,则指派具有安全操作中心功能的部门22。
[0142] 参考图5,安全筛选程序24被安装在计算设备14的每一个计算设备14上。安全筛选程序24通过计算设备14筛选网络业务,以找到潜在事故。当安全筛选程序24在给定筛选规则28下找到潜在事故时,安全筛选程序24生成警报30。可替换地,网络或者网络安全筛选服务器/设备可以监控来自给定企业/组织的流入/流出业务以便执行前述功能,而不需要安装被安装在每个计算设备上的安全筛选程序。
[0143] 方法进一步包括如果潜在事故26被决定为是事故34,则做出用于修改筛选规则28的反馈解决方案32的步骤S09;以及生成和发送筛选规则反馈报告36到计算设备S10。筛选规则反馈报告36包括用于修改筛选规则28的反馈解决方案32。
[0144] 在该实施例中,第一过滤标准是误报。方法进一步包括如果潜在事故26决定了在决定潜在事故26是否是误报的步骤S03中的误报则生成和发送误报报告38给计算设备14的安全筛选程序24的步骤S11。
[0145] 在生成误报报告的步骤S11中,误报报告38包括用于修改筛选规则28的解决方案。
[0146] 方法进一步包括在调查潜在事故26的步骤S04之后填写描述潜在事故26的预定事故评估表的步骤S12,以及在预定表格验证规则下验证所填写的事故评估表40的步骤S13。预定事故评估表和预定表格验证规则与按照所指派的部门16的每个部门而不同的分类相关。
[0147] 参考图7,安全服务器44为组织12管理计算机网络10中的安全。安全服务器44包括第一水平模块46,其通信地耦合到计算机网络10;接收从一个或者多个计算设备14生成的警报30,以及用于与警报30相关联的潜在事故26的数据;分析用于潜在事故26的数据;决定潜在事故26是否是误报;并且如果潜在事故26被决定为是误报则在第一调查规则下调查潜在事故26。
[0148] 安全服务器44进一步包括第二水平模块48,其操作地连接到第一水平模块46。每个部门16包括第二水平模块48。第一水平模块46将潜在事故26指派给组织12的部门16中的一个部门的第二水平模块48。
[0149] 第一水平模块46将潜在事故26报告给所指派的部门16的第二水平模块48。所指派的部门16的第二水平模块48决定潜在事故26是否是事故34。
[0150] 第二水平模块48在第二调查规则下决定事故。
[0151] 如果潜在事故26被决定为是事故34,则第二水平模块48执行风险评价过程。
[0152] 如果潜在事故26被决定为不是事故34,则第二水平模块48做出用于修改筛选规则28的反馈解决方案32,并且生成和发送筛选反馈报告36给计算设备14。
[0153] 如果潜在事故26被决定为是误报,则第一水平模块46生成和发送误报报告38给计算设备14的安全筛选程序24。
[0154] 第一水平模块填写描述潜在事故26的预定事故评估表格40,;并且在预定表格验证规则42下验证所填写的事故评估表格46。因此,基于特定于组织/部门的标准、政策、法律等等提供校正动作以解决特定事故。
[0155] 图9-11图示了用于网络安全的算法的细节。一种由组织行为驱动的主要行为算法(从许多子算法接收输入)确保了(1)动态政策,(2)自动分析,(3)即时/实时校正动作,以及(4)用于在必要时的行为、政策和其他规则修改的人类输入。
[0157] 图9示出了总体过程/工作流,其证明了各种概念如何在网络事故分析器中协调结合。
[0158] ·过程模块将访问由“元数据”组成的数据库。
[0159] ·在数据库中存在不同分类的“元数据”,每个分类由子算法表示。
[0160] ·这样的数据基本上与具有置信度评级的不同概念相联系。典型的分类将具有4列:参考id、概念a、概念b、算法确定的关联索引(这意味着相关子算法的输出)。
[0161] ·通用“组合”算法组合在不同分类之间的有用链接。
[0162] ·以来自通用算法的所产生的输出为基础确定反应。
[0163] 以上逻辑流涵盖在图9中描绘的枚举点。关键是具有并行执行的多个子算法,处理输入和存储输出,即便输出可能具有低的或者未知的质量。然后,通用算法进行一些简单的排名来从该信息池中得到最相关的信息,并且应该输出整个行为模块的最终结果,并且同时通过修改/移除特定行来同时输出反馈到数据库,以提高元数据质量。这在第二图中更详细地表述。
[0164] 图10图示了行为分析应该如何被拆分成专用的或者“子”算法。主要的或者“组合”算法传递所期望的最终结果,诸如主要安全分析,而同时算法将分类单个类型的安全问题(如一个分析社会安全号,另一个进行位置分析,另一个分析名称等等)。
[0165] 子算法独立于组合算法被引发,以使用结果填充数据库,即便它们具有低质量。组合算法的好伙伴“高置信度过滤器”将处理确保有意义的高质量结果被输出。将低质量结果存储在数据库中是重要的,这是因为其成熟化为高质量的潜力。
[0166] 例如,一个子算法可能发现了位置异常,但是没有什么证据证明它(低置信度)。随着时间流逝,它经历了更多数据,并且最终该异常成熟化为高置信度的安全威胁,其然后被组合算法经由高置信度过滤器发现,并且在人类可得的最终输出中传送。有时,虽然低置信度将仅仅保持低置信度,但是这是没问题的,因为其价值在于其潜力。
[0167] 图11图示了政策和行为。
[0168] 详细解释图9。该流程图表示信息分析的主要顺序。
[0169] ·基于某种简单和静态政策规则,对进入的事件进行第一卫生处理。
[0170] ·模式匹配模块使用已确立的行为模式连同公司/企业的数据库来过滤出非常弱的警报(基本上是误报)。误报仍然被记录,但是被放置在“垃圾邮件过滤器”风格位置以用于潜在的人类检阅。
[0171] ·如果事件经过初始模式匹配层,则其通过分类处理,其利用政策和行为的组合来确定部门和警报的严重性。
[0172] ·这样的具有适当部门和严重性信息的事件被显示到相关的部门控制台(特定于控制台),并且也被显示到通用控制台,其应用于有兴趣观看所有安全活动的特定支部的雇员。
[0173] ·如果由AI可得,则将要执行的推荐动作显示给相关控制台。
[0174] 详细解释了图10。独立线程管理器将信息处理请求发送给相关的子算法(“子请求”)。该子算法使用非常宽松的/宽大的过滤器将所处理的数据存储在其自己的单独的数据库表中。过滤器被如此调谐以使得潜在高质量结果可以逐渐构建自原始是低质量结果的项。单独的线程管理器并行地将请求发送到组合算法,其取决于组合请求的类型使用特定子算法的组合。基于高质量/置信度标准选择结果。
[0175] 详细解释了图11。
[0176] 政策:
[0177] 人类直接创建/修改在实际上放置在规则数据库中的静态规则。人类也可以经由自动导出小规模规则的“大规模规则”的创建而创建静态规则的批。
[0178] 行为:
[0179] 人类接收事件信息,并且给出对于分类的潜在程度和/或要承担的行为的选项。这样的决定可能是有可能基于二进制“是”或者“否”(以及“跳过”)而做出的。所有这样的行为历史被记录,并且从此开始处于逐渐改变的恒定状态的动态规则被反映在规则数据库中。
[0180] 人类管理分部监督人类行为历史连同基于这样的历史做出的相关AI决定。管理分部也具有对于静态规则创建修改的监督。
[0181] 阴谋检测
[0182] 图12示出了阴谋检测子算法。该子算法提供用于多个“阴谋”安全事件的例程背景检查,并且尝试确定在看似不相关的安全事件之间的模式和相关性。输出主要是为了使得人类网络安全分析受益,而不是为了进一步的AI动作。
[0183] 显著的安全事件由信息类型标识符50解析,以导出信息的所有相关属性(IP地址、时间、位置、SSN等等)。变量由外部政策和行为解释检查,以查看事件属性是否通过了阈值以用于被处理。
[0184] 在实施例中:
[0185] 所检索的信息:
[0186] 用户ID令牌:A1B2C3
[0187] IP地址:112.20.190.176
[0188] 时间戳:1439226504
[0189] 阈值检查:是的,该安全事件足以显著到被处理。
[0190] 参考并行属性52,所有所导出的属性被提交给特定数据库以用于该子算法的未来的迭代。
[0191] 在实施例中:
[0192] 这里是要留心的一些属性:
[0193] 所检索的信息:
[0194] 用户ID令牌:A1B2C3
[0195] IP地址:112.20.190.176
[0196] 时间戳:1439226504
[0197] 参考并行比较54,属性的每个可能的所允许的组合相对于特定数据库为了相似性被组织和查询。
[0198] 为了相似性被搜索的假设性安全事件是:
[0199] 1)具有相同的SSN和发生日的时间的安全事件。
[0200] 2)包括相同的IP LAN子网范围和个人电话号码和个人地址的安全事件。
[0201] 3)包括不同电子邮件地址中的相同域名名称的安全事件。
[0202] 4)包括其应该指向的域名和IP地址的安全事件,以对抗幽灵域名。
[0203] 参考呈现56,已经做出的任何相关趋势或者连接被处理成人类可读形式,并且通知管理控制台以更新其数据来反映任何有意义的改变。
[0204] 在实施例中:
[0205] 在控制台管理屏幕上示出,存在源自中国的协同攻击的高风险。
[0206] 境外实体管理
[0207] 图13示出境外实体管理子算法。该子算法通过基于其对企业的独立网络做出的请求而不断升级/降级严重性来管理所感知的境外威胁。也接收第三方信息,以增强其对潜在境外威胁的感知。
[0208] 网络事件58由信息类型标识符子算法解析,所述信息类型标识符子算法随后参考图14解释。网络起源和所涉及的用户(如果适用)是所寻找的两个主要变量:
[0209] 在实施例中:
[0210] 网络起源:112.20.190.176
[0211] 用户ID令牌:A1B2C3
[0212] 网络起源相对于由可信的第二或者第三方保持的安全观察列表60检查。其可以在企业结构内或者外。
[0213] 在实施例中:可信方说:该IP地址具有某种不良安全历史。
[0214] 如果找到了用户信息,则用户由用户风险评价子算法62检查。
[0215] 在实施例中:
[0216] 用户风险管理:用户A1B2C3具有75%的风险因子,并且不应该被允许处理敏感SSN。
[0217] 参考风险聚集64,如果考虑所有相关的结果,并且以由外部政策和行为所影响的阈值为基础进行聚集的话。
[0218] 在实施例中:
[0219] 以当前政策和行为为基础,该IP地址应该在系统中被禁止很长时间。
[0220] 参考存放66,所学的任何新信息被提交给特定数据库以用于未来参考。
[0221] 在实施例中:
[0222] 存放到数据库:IP地址112.20.190.176已经被禁止。
[0223] 存放到用户风险管理:用户A1B2C3比你所想更具有风险,这里是对于他的一些更多信息。
[0224] 信息类型标识符
[0225] 图14示出了信息类型标识符子算法。该子算法确定未知数据的类型/本质。可以确定未知数据是否是社会安全号、家庭地址、电话号码等等。子算法也声明其在其所选的数据类型中的置信度,并且如果置信度过低,其将返回失败标记。
[0226] 参考68,提供了未知数据。出于并行化目的,实际代码将提供大量输入。
[0227] 在实施例中:
[0228] 123-45-6789被提供给输入。
[0229] 参考提取属性70,属性被导出,诸如长度、数字/字母比率和特殊字符。
[0230] 在实施例中:
[0231] 属性是:其是9个字母,100%的数字与字母比率,并且具有2个破折号。
[0232] 参考确定数据库重叠72,数据库数据点被选择用于比较。
[0233] 在实施例中:
[0234] 查询数据库:是否存在被限定为具有9个数字的数据类型?并具有100%的数字与字母比率?以及2个破折号?
[0235] 参考缓存旁路74,首先检查缓存以用于比较。
[0236] 在实施例中:
[0237] 查询缓存:上一次我有类似这样的请求时,你的响应(如果存在)是什么以及你有多可信?
[0238] 参考所计算的置信度差数76,处理结果以用于置信度水平。
[0239] 在实施例中:
[0240] 用于SSN的标准100%匹配,因此有100%置信度这是SSN。
[0241] 参考过滤出低置信度78,应用了用于结果的置信度的阈值的截止,阈值可以被做成是动态的。
[0242] 在实施例中:
[0243] 因为置信度是100%,所以这是SSN的决定将被传递给输出。
[0244] 参考缓存置信度模式80,执行模式检测以将类型亲和性与属性构成相关。高执行度模式被存储在缓存中,数据库不包括所计算的模式,但是包含在类型和属性之间的静态关联。
[0245] 在实施例中:
[0246] 创建模式规则:如果存在具有总长度11、包含9个数字和2个破折号的字符串,则不要告知数据库,因为我100%确定这是SSN。
[0247] 参考输出82,编译结果以与API兼容,并且执行输出。
[0248] 在实施例中:
[0249] 在API语法中的输出:我100%确定这是SSN。
[0250] 媒体扫描器
[0251] 图15示出了媒体扫描器子算法。
[0252] 向子算法提供了文档/相片等等,并且检查非法信息传递并且针对这样的媒体的所预期的构成检查不一致/可疑行为。
[0253] 参考媒体事件84(初始媒体解析),接收文档/相片,执行媒体解析以强调信息的可疑点。这可以包括隐藏在元数据中的信息,或者隐藏在文档中的原始格式中等等。
[0254] 在实施例中:
[0255] 扫描数据和元数据。
[0256] 参考信息类型标识符86,信息的可疑重要点被信息类型标识符处理。任何用户身份被传递给用户风险管理子算法。所有其他信息被传递给通用解析器。
[0257] 在实施例中:
[0258] 找到潜在感兴趣点:
[0259] 找到用户ID令牌:A1B2C3
[0260] 找到多个SSN
[0261] 参考88、90、92,解析器与风险对象数据库交互以找到在文件中的任何显著风险关联。例如:在文档中的SSN已经在风险对象数据库中找到,并且其结果是,该SSN已经在过去的24小时中怀疑被泄露。因此,最终阻止该文档被传递,风险对象被创建,并且通知用户风险管理算法相关用户涉及该事故。
[0262] 在实施例中:
[0263] 发现SSN之一存在于公用文档中,并且SSN已经在过去24小时中泄露。
[0264] 参考94,结果被组合,并且被解析,以产生是否阻止或者允许文件的决定。
[0265] 在实施例中:
[0266] 用户找到的具有高风险因子、不良历史以及SSN泄露,以及在文件中的SSN之一已经在包括已经在24小时内泄露的另一SSN的另一文件中找到。
[0267] 因为所有这些信息,阻止媒体进行运送。
[0268] 特权隔离分析
[0269] 图16示出了特权隔离分析子算法。该子算法确定用户或者过程是否在其所准许的特权分配内。其被设计为不断调用,并且其是确定用户或者过程是否被准许在其活动部分中的监察人过程。过程由主过程馈入背景信息,并且其自身不主动寻找信息。任何所确认的特权违规立即被报告给主过程,并且次要过程复查主过程最终确实做了些关于其的事情。
[0270] 发送用户准许事件96。这样的事件可能不一定是直接的人类,而是使用需要验证哪些准许的用户账户的过程。用户ID令牌和访问/修改的所请求位置被信息类型标识符子算法提取,并且被推送给相关的线程管理器。
[0271] 在实施例中:
[0272] 找到用户ID令牌:A1B2C3
[0273] 所请求的位置:人力资源SSN文件夹
[0274] 所请求的准许:只读(无修改)
[0275] 参考位置线程管理器98,线程管理器接收位置信息,并且针对被准许访问/修改的人调用位置数据库。
[0276] 在实施例中:
[0277] 询问数据库:所有允许从人力资源SSN文件夹读取文件的人们是谁?
[0278] 参考用户线程管理器100,线程管理器接收用户信息,并且针对什么位置被准许访问/修改调用用户数据库。还调用用户风险管理子算法来获得在防范政策内应该针对该特定用户阻止的任何潜在风险位置。
[0279] 在实施例中:
[0280] 准许用户A1B2C3从该25个文件夹的列表中读取。
[0281] 按照用户风险管理子算法,应该阻止该用户访问该文件夹。
[0282] 用户准许库102接收特定数据库1的用户准许属性,并且由位置线程管理器查询以查看用户是否被准许在该位置执行所请求的动作。结果被提交到准许聚集器。
[0283] 在实施例中:
[0284] 用户A1B2C3被允许从人力资源SSN读和写。
[0285] 位置准许库104接收特定数据库2的位置准许要求,并且由线程查询特定位置是否应该由于用户安全风险被阻止为防范。针对防范水平的阈值经由外部政策和行为确定。
[0286] 在实施例中:
[0287] 人力资源SSN文件夹可以由用户A1B2C3读取。然而,作为防范,他应该被阻止,因为他具有75%的风险,并且具有处理SSN的不良历史。
[0288] 准许聚集器106逻辑地组合结果流,并且将其判决推送给输出。
[0289] 在实施例中:
[0290] 已经阻止用户A1B2C3从人力资源SSN文件夹中读取任何东西。
[0291] 用户风险管理
[0292] 图17示出了用户风险管理子算法。该子算法确定用于用户记录(其可以是雇员或者其他方面)的总体风险评价。风险因子包括之前的政策违规、过度使用、所发生的可疑操作等等。强制性输入时用户标识令牌,并且输出是具有各种所链接对象的总体风险评价百分数,所链接对象具有风险利率。这些对象可以经由其他子算法独立访问,以用于进一步分析。可选输入是与用户相关的风险对象参考。该子算法然后将记录用户与风险对象的关联,并且默认将不输出风险评价。
[0293] 提供用户ID令牌108,以生成风险评价报告或者存放风险对象参考。这样的存放是用于构建用户风险历史的,并且在这样的使用情况下,不会给出有意义的输出。
[0294] 在实施例中:
[0295] 用户ID令牌:A1B2C3风险对象参考:无
[0296] 如果提供了风险对象参考110,则在数据库中做出存放,以用于未来参考,并且算法实例结束其运行。
[0297] 在实施例中:
[0298] 没有提供风险对象参考,所以没有向数据库存放。
[0299] 参考开始报告112,没有做出风险对象参考的存放,因此线程管理器请求要做出的报告。在特定数据库中查找相关用户ID,以评价用户风险历史。
[0300] 在实施例中:
[0301] 在数据库中找到了用户ID A1B2C3,其具有在过去一周的3次安全事故和在过去一年的12次安全事故。
[0302] 参考114(获取对象),已经由特定数据库查询产生的对象参考被具体化。从可由其他算法访问的对象数据库检索完整的对象细节。
[0303] 在实施例中:
[0304] 从数据库中获取风险对象192和866。
[0305] 参考116,对所有的风险细节排名。从特定数据库检索风险率,其针对某些种类的风险对象给出风险排名。使用风险排名和所检索的风险对象,最终聚集报告被产生,并且被推送给输出。综合主要风险指数也被推送给输出,以用于其他模块快速标识用户的即时风险因子。
[0306] 在实施例中:
[0307] 考虑风险对象192和866,风险率告诉我:我们应该考虑这些确实不良的风险攻击。已经确认了用户将SSN号泄露给欺诈境外实体。因此,我高度推荐阻挡该用户访问企业SSN和潜在地甚至所有电子邮件业务。
[0308] 风险指数:75%
[0309] 安全情况情景
[0310] 图18示出了使用了以上解释的子算法的安全情况情景。在该情景中,15个社会安全号由雇员在电子邮件中写入,并且被发送到公司网络之外。该电子邮件作为典型的安全检查被推送给媒体扫描器。媒体扫描器子算法检测电子邮件中的15个社会安全号,因此将其标记为高风险。组合请求模块咨询风险对象数据库、用户风险管理子算法、特权隔离子算法、和境外实体管理子算法,以进一步挑战安全风险的严重性。在该过程中,静态政策和动态行为的所有实例在每个子算法中独立访问。每个子算法评价需要解译其本身的安全事件上下文的相关规则。包含各自枚举安全事故的风险对象的风险对象数据库返回:15个SSN中的2个SSN已经在过去泄露,因此该当前事件是高风险的。确定用户总体风险的用户风险管理子算法返回:雇员是有风险的,并且具有泄露敏感信息的过去行为。决定是否准许特定动作/事件的特权隔离分析子算法返回:不准许雇员在输出的电子邮件中包括15个SSN。确定非公司实体的总体风险的境外实体管理子算法返回:电子邮件的所打算的接收者是高风险、欺诈、并且在公司网络之外的。基于结果采取校正动作。由于事件风险,所以:(1)阻挡输出的电子邮件;(2)阻挡用于雇员的所有流入和流出的业务,以及(3)通知相关的管理。
[0311] 迭代智能生长
[0312] 图19示出了静态规则集随着其适应于不同安全威胁而成熟化的方式。产生了一代规则集的序列,其演进经由“人格”特质定义而调拨。这样的规则集用来处理进入的安全警报,并且执行最期望的通知和校正动作。
[0313] 参考116,网络安全分析员创建初始规则集来启动演进链。
[0314] 在实施例中:
[0315] 不是发自HR部门的输出的电子邮件不能具有多于或者等于5个社会安全号。
[0316] 参考118,人工安全威胁(AST)是提供一致的安全开发环境的独立系统。
[0317] 在实施例中:
[0318] AST系统使用恶意软件来感染LAN上的计算机。这样的恶意软件将敏感信息发送到网络之外,并且永久地锁定所感染的计算机。
[0319] 演进路径120是具有一致的“人格”的各代的完整链。随着CPU时间的进行,各代变得愈发动态。初始的静态规则集变得较不普遍,并且潜在地被擦除或者覆写。
[0320] 在实施例中:
[0321] 演进路径A具有严格和谨慎的特质,以及对于假设的少许宽恕和容忍。
[0322] 路径人格122是限定应该对安全事件行使的反动特性的变量集群。这样的特质由人类直接限定,并且作为对实际和人工安全威胁的反应通过观察人类行为被关联。
[0323] 在被告知哪批决定具有x和y特质之后,其可以在由人工安全威胁(AST)系统提供的安全情景中应用那些特质。
[0324] 在实施例中:
[0325] 对于这样的安全系统的示例特质:
[0326] –现实主义:无论何时存在具有模糊相关性的特定安全事件,其给出不存在安全问题的怀疑的益处。然后,该算法代替地聚焦于对于更实际和现实主义威胁的更多CPU时间。
[0327] –记仇:如果特定个体或者系统已经经历了之前的安全事故,则其可疑地将在更长时间内威胁这样的实体。
[0328] –机会主义:无论何时算法感知到潜在校正动作,其将追求所有可能的证据来试图和实现这样的校正动作。
[0329] 迭代演进
[0330] 图20、21描述了使得并行演进路径成熟化和选择并行演进路径的方法。迭代的各代采用相同的人工安全威胁(AST),并且具有最佳个人特质的路径最终成为最能抵抗安全威胁的。
[0331] CPU时间124是随时间对CPU功率的测量。可以以CPU周期/秒来测量。单独使用时间来测量演进路径接收的处理曝光量是不足的,因为每个CPU的核和功率的量必须被考虑。
[0332] 在实施例中:
[0333] 处理花费Pentium III一千年的请求可能会花费Haswell处理器30分钟。
[0334] 参考126,所有演进路径几乎都被隔离,以确保其迭代是单独基于其自身人格标准的。
[0335] 在实施例中:
[0336] 路径B完全未意识到路径C已经解决了困难的安全问题,并且必须依赖于其自身的人格特性和已学的数据来计算解决方案。
[0337] 监控/交互系统128是注射来自人工安全威胁(AST)系统的安全事件并且依赖来自安全行为云(全部都按照所规定的人格特质)的相关联的安全响应的平台。
[0338] 在实施例中:
[0339] 监控系统向路径B提供了制定代12需要的必要安全响应。
[0340] 人工安全威胁(AST)130是提供一致的安全开发环境的隔离的系统。其为网络分析者提供了安全演习,以在系统上实践和训练系统以便识别不同的潜在安全响应和特质。
[0341] 在实施例中:
[0342] AST系统使得LAN上的计算机感染了恶意软件。这样的恶意软件将敏感信息发送到网络之外,并且永久地锁定感染的计算机。
[0343] 参考132,特定路径必须被废弃,因为它们达到了不能解决安全问题的无穷状态。最可能的结果是,新路径必须引发已修改的人格。
[0344] 在实施例中:
[0345] 路径D不能在一百个单元的CPU时间内解决安全问题。因此,废弃整个路径。
[0346] 参考134(安全行为云),网络安全分析者的行为被处理和存储,使得演进路径可以从其进行学习。
[0347] 在实施例中:
[0348] 路径A找到了对于与特定场景和人格特质乐观主义匹配的安全威胁的许多反应。路径A然后创建模仿这样的行为的规则。
[0349] 参考136,网络分析者能够使用监控/交互系统来查看路径的性能,以及做出定制的修改。人类直接对监控/交互系统给出直接命令,即,人工废除路径、更改路径人格中的主变量等等。
[0350] 在实施例中:
[0351] 网络分析者人工地废弃路径D,因为他发现其糟糕的性能是由于人格特质的荒谬组合造成的。
[0352] 参考138,交叉引用模块是在安全事件与由网络安全分析员做出的响应之间的分析桥梁。在提取有意义的动作之后,其将其推送给特质标注模块。安全事件可以来自真实事件或者安全演习。
[0353] 在实施例中:
[0354] 网络分析员人工地增大具有每个电子邮件的所允许SSN限制的90%的电子邮件的风险。交叉引用模块记录动作,以及该动作的自己宣称的人格特性(其已经被网络安全分析员限定)。
[0355] 特质标注模块140按照(一个或者多个)人格类型划分所有行为。
[0356] 在实施例中:
[0357] 当该网络安全分析员将具有4个SSN的该电子邮件标记为有风险时,模块将其标记为谨慎人格,因为其与过去事件的行为重叠,也因为分析员是自己宣称的警告型人。
[0358] 特质交互模块142分析不同人格之间的相关性。该信息给传递给安全行为云,其然后被传递到监控/交互系统和路径本身中。安全行为云存储来自将安全事件进行关联的机器学习过程的数据,并且取决于什么特质要执行什么适当的响应被规定。
[0359] 在实施例中:
[0360] 人格记仇和现实主义在使用方面具有大重叠,并且对于相同的事件返回相似的响应。
[0361] 网络威胁智能标识集成和分析(CTPA)
[0362] 图22示出了安全威胁智能标识集成和分析算法。定义:休眠的恶意软件掩饰为作为系统一部分的正常代码,但是当其被触发时,其尝试将敏感信息发送给外部黑客服务器。恶意软件可以从预先编程的时间戳、内部事件(使用标题保存的文档,例如金融数据)或者诸如收到无害电子邮件之类的外部激发事件来触发。
[0363] 具有已知、已证明、和可预测的模式的恶意软件被传递用于迭代,以确定系统还未直接交互的潜在未来和未知的恶意软件。所迭代的理论的恶意软件和已知的恶意软件被比较,以阻挡在公司系统((一个或者多个)PC文件/程序、(一个或者多个)服务器文件、(一个或者多个)数据库文件等等)中找到的代码块。如果在恶意软件签名中存在显著重叠,则其被隔离并且尽早检测任何所尝试的触发者。其后果(即,将公司保密数据发送给外部黑客服务器)在完成之前被阻挡。
[0364] 创造性
[0366] 参考144,两个父形式(之前的形式)被推送给智能选择器,以产生混合形式。这些形式可以表示数据的抽象构造。智能选择器算法146选择新特征和将新特征合并到混合形式中。
[0367] 在实施例中:
[0368] 形式A表示由漏洞利用数据库导出的安全漏洞利用的平均模型。形式B表示由安全规则集对其如何对安全漏洞利用进行反应的新信息发布。在形式B中的信息允许所产生的混合形式成为比形式A表示的更好的安全漏洞利用。
[0369] 模式148限定了创造性模块用于其中的算法类型。以这种方法,智能选择器取决于所使用的应用知道哪些部分适用于合并。系统具有预设模式,用于将合并过程配置成处理进入的数据集的类型和所期望的输出类型是什么。按照由静态标准设置的比率进行过滤重叠信息的量。如果比率被设置为大的,则具有所保持的一致性的大量形式数据将被合并成混合形式。如果比率被设置为小的,则大多数混合形式将被构建为与其过去的迭代非常不同。当两个数据集都竞争在相同地方限定具有该形式的特征时,优先化过程发生为选择使得哪些特征是显著的,并且哪些特征被重叠和隐藏。以重叠点被合并的方式。在那里的大部分时间是可以发生特定合并的多种方式,因此,静态标准和模式将该模块引导为更优选某个特定合并,相比于另一合并而言。
[0370] 在实施例中:
[0371] 该模式被设置为“人工安全威胁”,所以智能选择器知道所预期的输入数据具有漏洞利用数据库表示(形式A),并且具有详述对安全漏洞利用的规则集反应的新发布的信息(形式B)。属性化模式限定了如何将新数据与旧数据最佳合并以产生有效混合形式的详述方法。
[0372] 静态标准150由提供针对形式应该如何被合并的通用自定义的网络安全分析员提供。这样的数据可以包括排序优先级、所期望的数据比率、以及用于取决于选择了什么模式引导合并的数据。
[0373] 在实施例中:
[0374] 如果模式被选择为“人工安全威胁”,则从失败的漏洞利用作为结果产生的信息应该严重影响漏洞利用数据库,从而强烈变化这样的漏洞利用的构成。如果漏洞利用在这样的变化之后保持失败,则完全抛弃该漏洞利用。
[0375] 原始比较152取决于由网络安全分析者提供的静态标准对两种进入的形式执行。
[0376] 在实施例中:
[0377] 在执行了原始比较之后,按照静态标准,绝大部分形式是兼容的。所找到的唯一差别在于,形式A包括由静态标准标记为“境外”的响应。这意味着,漏洞利用数据库表示形式B不涵盖/表示在形式A中找到的特定异常。
[0378] 参考154,按照所提供的静态标准,排序重要的和不重要的改变。
[0379] 在实施例中:
[0380] 因为在形式A中找到了在形式B中未被表示的异常,所以静态标准识别该异常是具有至关重要的重要性的,因此,其导致在合并过程中做出显著修改,以产生混合形式AB。
[0381] 参考156(合并-模式、比率、优先级、风格),保持相同的和被发现是不同的内容以所使用的静态标准和模式为基础被重新集合到混合形式中。这样的变化可以包括数据的比率分布、特定数据的重要程度、并且数据应该如何与彼此密切配合/相关。
[0382] 在实施例中:
[0383] 接收到异常构成的排名重要性。在做出适当调整之后,由静态标准引导的过程辨别对于异常的该反应是否与数据的其他部分不兼容。然后,合并过程修改这样的预先存在的数据,使得异常的修正可以有效地与预先存在的数据混合。
[0384] 参考158,当仅一个特质可以占据特定点(使用红色强调),则发生优先化过程,以选择是哪个特征。当两个数据集都竞争在相同地方限定具有该形式的特征时,优先化过程发生为选择使得哪些特征是显著的,并且哪些特征被重叠和隐藏。
[0385] 在实施例中:
[0386] 在图中,示出了两个潜在结果。事实上,这些形式中只有一个形式可以是最终输出。
[0387] 参考160,大多数时间,存在特征之间的重叠形式,因此具有已合并的特质的形式可以被产生。以重叠点被合并的形式。大多数时间,存在可以发生特定合并的多种方式,因此静态标准和模式引导为更优选某个特定合并,相比于另一合并而言。
[0388] 在实施例中:
[0389] 当三角形和圆形被提供为输入形式时,可以产生“吃豆人(pac-man)”形状。
[0390] 安全行为
[0391] 图27示出了安全行为模块。事件和其相应响应和特质被存储和编索引,以用于未来查询。
[0392] 参考162(事件+响应存储),事件和其相应响应被存储。特质构成以及被编索引的安全感兴趣点(POI)被限定,以简单地查询安全事件以及其适当的响应。
[0393] 在实施例中:
[0394] 存储SSN经由FTP在工作时间以外的时间期间被传递的事件。阻挡传递的响应以及与发送者和接收者直接相关的每个实体被标记为防范性响应。POI是SSN类型和FTP协议。
[0395] 参考164(安全POI池),POI被存储在此处以用于参考,并且以与特质索引相桥接。以这种方式,如果某个人以某种标准查找特质,其将被示出所存储的事件。这些事件经由POI索引查询。
[0396] 在实施例中:
[0397] 提交用于查找处理SSN的严格和中性特质的查询。在POI池中查找相关POI,并且检索和返回相关的事件+响应存储。
[0398] 执行外部查询166以查找特质或者事件+响应。
[0399] 在实施例中:
[0400] 提交用于查找处理FTP协议的事件的查询。在POI池中查找相关POI,并且检索和返回相关的事件+响应存储。
[0401] 参考168(特质索引),POI接口将特质统计数据与相关事件+响应相连接。
[0402] 在实施例中:
[0403] 执行特质查询以询问乐观主义人格是否将阻挡被发出的多个5个SSN。POI接口查找SSN POI,并且检索事件+响应以图示乐观主义人格将做什么。
[0404] 响应解析器
[0405] 图28示出了响应解析器模块。响应解析器监控人类对于安全场景的反应,并且辨别填充了这样的安全响应的行为特质的种类。
[0406] 参考170,接收到来自安全场景(无论其是真实的还是演习)的描述性数据。
[0407] 在实施例中:
[0408] 安全场景A描述了,非典型量的SSN在公司的工作时间以外的时间期间经由FTP端口提交。
[0409] 参考172,已知安全感兴趣点(POI)由安全行为模块提供。这样的POI连同人类响应有助于评估安全场景和哪些部分重要。
[0410] 在实施例中:
[0411] 所发送的SSN是POI,所以它们在安全场景中被强调,并且在人类响应中被寻找。
[0412] 参考174,对安全威胁进行响应的网络安全分析者使用特定特质对每个动作进行标注。该信息被传递给特质标注模块。
[0413] 在实施例中:
[0414] 网络安全分析者John将其对于SSN安全泄露的响应标注为“严格”和“悲观主义”响应。
[0415] 参考176,特质标注模块将安全响应与其相应特质相关联。这使用人类的自我定义的特质和来自过去安全行为的模式相关性的混合项完成。模式检测检查与过去的安全行为的重叠,并且然后,如果存在自我定义的标注,其检查以查看其是否证实模块的决定。这些变量更改模块标注中的最终置信度。
[0416] 在实施例中:
[0417] 过去的安全行为指示安全响应A是“悲观主义”,并且自我描述特质是“中性”。
[0418] 参考178,特质交互模块从特质标注模块接收特质构成,并且评价其内部兼容性。
[0419] 在实施例中:
[0420] 特质构成包括强悲观主义特质和强乐观主义特质。这两种特质是相互排他的,因此取消特质提交。
[0421] 参考180,初始安全场景和其响应以及兼容的特质被存放到安全行为云中。
[0422] 在实施例中:
[0423] 对非典型量的SSN通过FTP在工作时间以外的时间期间被发送的响应是,阻挡该事务和与接收者和发送者相关的每个实体。这被标注为具有防范性特质。
[0424] 网络不法和异常行为检测和分析(CNADA)
[0425] 图29示出了网络不法和异常行为监测和分析算法。
[0426] 定义:休眠的恶意软件被远程地通过访问网站、点击网络钓鱼电子邮件或者使用已感染的拇指驱动器等等埋设在网络中。在激活之后,恶意软件执行不法行为,其从少量隔离的警报是不可检测的,而是,从各种各样源接收到的大量警报提供用于使得算法检测到不法行为所必须的数据量。单个事件具有非常低的风险评价。然而,当它们针对大规模模式被解译时,它们共同地表示能够进行不法活动的大风险和潜在代码。信息类型标识符检测信息类型/属性,以使得可以执行准确的比较。阴谋检测子算法相对于数据库针对任何相似性检查所有可能的属性组合。阴谋检测子算法接收许多事件(相关的与不相关的)。其执行与之前的显著安全事件的大规模模式比较。其报告风险和适当的校正动作被采取。在校正动作阶段,总体风险评价通过已经证明了在抵抗攻击和以恶意软件为攻击对象方面的优势的安全警报的自动迭代的各代(分析)计算。有效的代接收95%的风险评价,并且提供智能制定的校正动作。
[0427] 人工安全威胁
[0428] 图30示出了人工安全威胁模块。该模块提供假设性安全场景,以测试安全规则集的功效。安全威胁在严重性和类型方面是一致的,以提供安全场景的有意义的比较。
[0429] 参考182,安全规则集使用人工漏洞利用来测试。在执行了漏洞利用之后,如果漏洞利用有效并且如果其应该被合并到漏洞利用数据库中,则“结果反馈”提供即时和简单的结果。“信息发布”向创造性模块针对下一漏洞利用应该看起来如何(信息在“信息发布”和漏洞利用数据库之间合并)提供细节。
[0430] 在实施例中:
[0431] 安全漏洞利用A无法看透规则集,所以立即通知漏洞利用数据库来经由“结果反馈”降低该漏洞利用的价值。然后,创造性模块经由新的“信息发布”和在漏洞利用数据库中预先存在的漏洞利用形成下一漏洞利用。以这种方式,新做的漏洞利用不会面临之前的漏洞利用所有的相同弱点。
[0432] 参考184(编译的安全漏洞利用批),执行漏洞利用。其被执行为一批,这意味着所有的演进路径使用完全相同的漏洞利用被并行地和同时地测试。以这种方式,可以执行在它们之间的合法竞争,以辨别最佳路径。
[0433] 在实施例中:
[0434] 在该漏洞利用批中被测试的5个演进路径中,只有2个抵抗了漏洞利用。
[0435] 参考186,模式限定了创造性模块被用于其中的算法类型。以这种方式,取决于所使用的应用,智能选择器知道哪些部分适用于合并。
[0436] 在实施例中:
[0437] 该模式被设置为“人工安全威胁”,所以智能选择器知道所预期的输入数据具有漏洞利用数据库表示(形式A),并且具有详述对安全漏洞利用的规则集反应的新发布的信息(形式B)。属性化模式限定了如何将新数据与旧数据最佳合并以产生有效混合形式的详述方法。
[0438] 参考188,创造性模块智能地产生混合漏洞利用,其使用之前的漏洞利用的优势,并且避免在漏洞利用中的已知弱点(如由“所发布的信息”已知的)。
[0439] 在实施例中:
[0440] 安全漏洞利用A无法看透规则集。漏洞利用B通过移除在漏洞利用A中找到的弱点而产生,并且从漏洞利用数据库做出了显著的、已知的、规避了导致漏洞利用A失败的弱点的优势。
[0441] 监督管理190要监控和跟踪在漏洞利用存储和使用中的发展。这样的漏洞利用可以被网络安全分析员人工地产生/修改/移除。
[0442] 在实施例中:
[0443] 网络安全分析员已经监控了一周某个漏洞利用发展模式。他注意到其进展正在改进,然后他自己产生了更好的漏洞利用。他从漏洞利用数据库移除了旧的漏洞利用,并且插入其人工产生的漏洞利用。
[0444] 参考192(漏洞利用数据库),漏洞利用与已知行为历史一同存储(漏洞利用在过去在特定条件内如何执行)。漏洞利用重要性也被存储,以使得创造性模块可以考虑漏洞利用的已知重要性。
[0445] 在实施例中:
[0446] 漏洞利用A是数据库中的最强和最可靠的漏洞利用。其具有在不同环境下和针对不同规则集很好工作的很长历史。其在漏洞利用数据库中被标记为高价值/重要性。
[0447] 静态标准194被网络安全分析员提供,所述静态标准提供了针对形式应该如何被合并的通用自定义。这样的数据可以包括排名优先化、数据的所期望的比率、以及用于取决于选择什么模式而指导合并的数据。
[0448] 在实施例中:
[0449] 模式被选择为“人工安全威胁”。来自失败的漏洞利用的作为结果产生的信息严重影响漏洞利用数据库,以强烈地变化这样的漏洞利用的构成。如果漏洞利用在这样的变化之后保持失败,则完全抛弃该漏洞利用。
[0450] 监控/交互系统
[0451] 图31示出了监控/交互系统模块。该模块是在演进路径和数据库/人类介入之间的中间人。
[0452] 参考196,网络安全分析员的行为被处理和存储,以使得演进路径可以从其学习。
[0453] 在实施例中:
[0454] 路径A找到了对于匹配于特定情境和人格类型乐观主义的安全威胁的许多反应。路径A然后创建模仿这样的行为的规则。
[0455] 参考198,创造性模块在这里被用于产生用于路径的下一代。两个输入形式是来自196的已编译的安全行为和来自安全检阅模块204的变量。作为结果产生的混合形式被推送给迭代处理器202。
[0456] 在实施例中:
[0457] 安全检阅模块已经报告,代9是弱的。其强调了安全缺点,并且将其传递给创造性模块。创造性模块执行其与已知安全行为的合并过程,以产生解决安全缺点的更有弹性的一代。
[0458] 参考200,静态标准由提供针对形式应该如何被合并的通用自定义的网络安全分析员提供。这样的数据可以包括排序优先级、所期望的数据比率、以及用于取决于选择了什么模式引导合并的数据。
[0459] 在实施例中:
[0460] 模式被选择为“迭代处理器”。来自“安全检阅模块”的作为结果产生的信息指示在当前代中的安全缺点。该信息与已知安全行为合并,以产生修正该安全缺点的混合代。
[0461] 参考202,迭代处理器处理从创造性模块推送的混合形式,并且收集被比作是相关演进路径的新一代。
[0462] 在实施例中:
[0463] 创造性模块发送用于代10的构造点。代9的处理被暂停,代10被上传到虚拟化环境中,并且安全威胁被激活。
[0464] 参考204,安全检阅模块从演进路径接收报告变量,以评估其相对于人工安全威胁(AST)系统的安全性能。其推送所收集的报告以用于网络安全分析员查看,并且推送给创造性模块以迭代下一代。
[0465] 在实施例中:
[0466] 代9报告等同于安全缺点的变量,因此通知查看模块,并且向创造性模块给出需要产生省略这样的安全缺点的混合形式(下一代)的细节。
[0467] 安全检阅模块
[0468] 图32示出了排他地属于监控/交互系统的安全检阅模块。
[0469] 创造性模块将混合形式推送给迭代处理器206,其管理上传下一代的技术任务。
[0470] 在实施例中:
[0471] 创造性模块发送用于代10的构造点。代9的处理被暂停,代10被上传到虚拟化环境中,并且安全威胁被激活。
[0472] 安全行为云208被用来提供用于创造性模块的输入形式,并且将相关事件+响应提供给安全检阅模块。标准经由特质索引查询确定。
[0473] 在实施例中:
[0474] 特质索引查询针对“非常悲观”执行。因此,与总体悲观主义特质构成相关的事件+响应被提供给安全模块,以查找规则集中的弱点。安全行为云还提供用于输入的基形式,以创建总体悲观主义混合形式。
[0475] 参考210,当接收到糟糕的性能评估时,则创造性模块迭代新一代,以尝试克服缺点。如果接收到好性能评估,则安全检阅模块尝试找到更好的漏洞利用以打破该漏洞利用。
[0476] 在实施例中:
[0477] 规则集执行得很好,因此没有迭代该代,而是代替地,在事件+响应查询中找到了更强更相关的漏洞利用,并且该漏洞利用要相对于该代运行。
[0478] 参考212,路径人格提供特质构成,以通知安全行为云并且最终通知创造性模块关于针对代规则集应该如何被构成的指南。
[0479] 在实施例中:
[0480] 由于该路径人格总体是“严格的”,所以创造性模块接收维持特质和特质特性的形式。即便在许多迭代之后,规则集依然维持“严格”的一般人格。
[0481] 自动化生长引导
[0482] 图33-36示出了自动化生长引导模块,其添加在人类和人类控制功能之间的层,以进一步整体地将系统生长和维护自动化。
[0483] 参考214,在人工模式,网络安全分析员直接控制相关的变量。在自动模式中,分析员控制少得多的变量,并且整个控制过程被自动化为整体地引导系统生长。
[0484] 在实施例中:
[0485] 系统被置于自动模式和中性设置下,因此,整个系统被最佳设置为最终适配于安全威胁的所有方式和企业网络的自定义环境。
[0486] 参考216,所列出的是从人类接收直接控制的各种模块,并且因此自动化生长引导系统可以介入并充当在人类和模块之间的桥。
[0487] 在实施例中:
[0488] 自动化生长系统自动调谐人工安全威胁模块,以长期提供更有效的威胁。
[0489] 参考218,提供模块类型以辨别所期望的模块结果/行为是什么。强制的反馈是由模块在每次其被给予新指令时通知其当前条件的响应机制。
[0490] 在实施例中:
[0491] 模块类型被设置为人工安全威胁(AST),因此所期望的结果通过告知创造性模块该类型是什么而计算。
[0492] 参考220,高水平变量在数量上是少的,并且依然由人类控制。它们在大范围和长期范围上引导整个系统。
[0493] 在实施例中:
[0494] 变量“系统安全”被设置为高,所以整个系统被设置为无风险、逐渐和可预测的设置。
[0495] 参考222,创造性模块在被给出之前的所期望的结果和实际结果之后,辨别新的所期望的结果。
[0496] 在实施例中:新的所期望的结果是,人工安全威胁(AST)系统应该更有侵略性。
[0497] 参考224,实际结果(模块的状态和状况)被存储在模块跟踪数据库中。这由模块其自身和创造性模块(该部分尤其用于可以在未来实现的理论控制)直接填充。模块跟踪模块数据库其自身将输入形式提供给创造性模块,其反映针对所控制的模块内部选择的生长模式。
[0498] 在实施例中:
[0499] 模块跟踪内部地选择可替换的模式,因为之前的一种模式不起作用。数据的这种新模式作为输入形式被发送给创造性模块。
[0500] 参考226,创造性模块将用于该模块的新控制推送给模块跟踪器和模块其自身。
[0501] 在实施例中:
[0502] 创造性模块产生用于AST系统的控制,其教会它使用FTP协议的新漏洞利用。
[0503] 参考228,除了模块跟踪在单个实例中操作并且被分成同时处理多个模块之外,模块被并行控制。
[0504] -除了模块跟踪在单个实例中操作并且被分成同时处理多个模块之外,模块被并行控制。
[0505] 在实施例中:
[0506] AST系统和演进路径容器两者都在两个单独的处理线程中被同时修改。
[0507] 参考230,来自所控制的模块的反馈被存储在现实主义数据库中,其表示从实际模块历史导出的信息。
[0508] 在实施例中:
[0509] AST发送其安全漏洞利用总体上非常糟糕地执行的反馈。
[0510] 参考232,理论数据库控制用于模块的理论控制(不与所期望的结果所混淆,尤其处理结果并且不是控制)。这些理论结果由创造性模块填充。
[0511] 在实施例中:
[0512] 创造性模块发送执行FTP协议的新漏洞利用的AST系统的理论控制。
[0513] 参考234,如果控制按预期执行,保持相同的生长模式,并且逆为真。生长模式影响创造性模块输入。
[0514] 在实施例中:
[0515] 将新的漏洞利用类型快速加入到AST系统的生长模式已经起作用,所以创造性模式持续这种生长模式。
[0516] 恶意软件预测跟踪
[0517] 图37-45示出了恶意软件预测跟踪算法,其利用创造性模块来迭代具有各种范围的恶意软件演进模式。这些迭代范围表示在恶意软件预测的长期分析中的不同优先级,其面临在准确度和高效性之间的权衡。已知威胁用作是用于预测未知威胁的范围和构成的类比。
[0518] 参考图37,现有恶意软件被迭代,以考虑构成中的理论方差。随着理论时间进行,恶意软件演进为与创造性模块交互。
[0519] 参考图38,迭代范围表示每次迭代的恶意软件变化的程度。窄迭代范围意味着只处理了最预期的迭代。窄迭代在每次CPU时间具有对于投资的高回报,但是较不可能预测真实恶意软件形成。宽迭代范围意味着处理了许多迭代,即便它们不可能表示在真实世界中的实际恶意软件演进。宽迭代范围更可能预测真实的恶意软件形成,但是以每次正确预测的增大的CPU时间为代价。动态迭代范围按照任何所期望的有效标准在宽和窄之间替换。
[0520] 参考图39,分类A表示具有识别和移除的已证明的历史的已确认的恶意软件威胁。分类B表示系统知道存在但是不能识别也不能以绝对的置信度移除的恶意软件。分类C表示以各种可能方式对系统而言完全未知的恶意软件。恶意软件预测过程以已知的恶意软件威胁开始。对于每个连续迭代,迭代尝试覆盖尽可能多的分类B威胁。如果迭代范围更宽,则其将覆盖更多的分类C威胁作为次要优先级。
[0521] 参考图40-41,过程从分类A开始。已知恶意软件被推送给创造性模块,以产生包括表示当前未知的恶意软件的潜在变化的混合形式。通过安全行为云,之前的安全事件+响应被推送给创造性模块,以预测未知威胁。然后基于分类B,理论过程表示未知威胁像是什么样的最佳估计。算法没有确认,但是以过去的安全行为为基础作出了可信的预测。基于分类C的过程表示系统未意识到并且试图预测的实际威胁。理论化威胁通常将不与真实未知威胁完全相同,但是在签名方面的大重叠依然将产生有效的防御。
[0522] 参考图42,产生用于表示已知和已确认迭代的过渡的模式。过渡模式然后用来预测当前未知威胁。过渡模式用来预测已知恶意软件可能演进成什么样。所添加的片段将不与在已知迭代中所添加的那些完全相同,因为这个新颜色集更好地匹配于初始威胁。这意味着模式迭代是动态的,并且迭代特征取决于初始输入。
[0523] 参考图43-44,与分类C相关,已经被安全情景遭遇到的或者在自然环境下找到的未知威胁被分析,并且存储为已知威胁。然后,其与在分类B中做出的预测相比较。在预测和现实之间完成比较,并且将结果存储在安全行为云中。该信息将用于在下一次经由新更新的安全行为云将输入形式提供给创造性模块而做出所尝试的更好的预测。未知威胁因为在真实安全情景中的最终交互而变成已知的。然后,做出用于辨别预测公式在估计之前未知的恶意软件的结构时有多么准确的比较。
[0524] 参考图45,虽然所示出的示例没有反映可以在形状/颜色/位置和功能/属性之间做出潜在更高级的相关性,但是图示了可以由特定属性表示的恶意软件的许多示例。例如,不同几何形状的四种组合表示基因型(genotype),其是恶意软件功能或者属性的语法构成。恶意软件的四种表型是恶意软件功能或者属性的描述性和实际的实现形式,其是(1)经由FTP协议运行欺诈代码的文件传递漏洞利用;(2)经由SSH协议运行欺诈代码的文件传递漏洞利用;(3)中间人拦截策略,恶意软件假装是所意图的目标;以及(4)恶意软件假装是所意图的文件服务器目标,并且对用于从尝试登录的计算机访问文件的SSH协议进行漏洞利用。
[0525] 图46-56是示出了在用于本发明的网络安全系统的算法和/或模块中的相依性图的示意性图。
[0526] 图46是示出了用于一般算法的相依性的示意性图。迭代智能生长算法产生代规则集,并且经由“人格”特质定义调拨演进。这样的规则集用于处理进入的安全警报,并且执行最期望的通知和校正动作。迭代智能生长算法取决于创造性模块、人工安全威胁模块、安全行为模块和演进路径模块。
[0527] 在迭代演进算法中,使得并行演进路径成熟化并选择并行演进路径。迭代的各代适应于相同的人工安全威胁(AST),并且具有最佳人格特质的路径最终成为最能抵抗安全威胁的。迭代演进算法取决于监控交互系统模块、人工安全威胁模块、安全行为模块和演进路径模块。
[0528] 演进路径X算法是几乎包含性的和隔离的一系列规则集代。演进特性和标准由这样的路径人格X来限定。自动生长引导模块、迭代演进模块和迭代智能生长模块取决于演进路径X算法。
[0529] 图47是示出用于子算法的相依性的示意性图。信息类型标识符子算法确定未知数据的类型/本质。其可以确定未知数据是否是社会安全号、家庭地址、电话号码等等。阴谋检测子算法、特权隔离分析子算法、媒体扫描器子算法、境外实体管理子算法、和不法活动模块取决于信息类型标识符子算法。
[0530] 阴谋检测子算法提供用于多个“阴谋”安全事件的例程背景检查,并且尝试确定在看似无关的安全事件之间的模式和相关性。阴谋检测子算法取决于信息类型标识符子算法和安全行为模块。
[0531] 媒体扫描器子算法接收文档/相片等等,并且检查非法信息传递并且针对这样的媒体的所预期的构成检查不一致/可疑行为。媒体扫描器子算法取决于信息类型标识符子算法和用户风险管理子算法。安全情况情景1模块取决于媒体扫描器子算法。
[0532] 特权隔离分析子算法是确定用户或者过程是否被准许在其活动区段的一致调用的过程。特权隔离分析子算法取决于信息类型标识符子算法、用户风险管理子算法和安全行为模块。安全情况情景1模块取决于特权隔离分析子算法。
[0533] 用户风险管理子算法确定用于用户的总体风险评价。风险因子包括政策违规、过度使用、所发生的可疑操作等等。用户风险管理子算法取决于安全行为模块。媒体扫描器子算法、特权隔离分析子算法、境外实体管理子算法、和安全情况情景1模块取决于用户风险管理子算法。
[0534] 境外实体管理子算法通过以境外威胁向企业的独立网络做出的请求为基础而不断将其严重性升级或者降级而管理所感知的境外威胁。境外实体管理子算法取决于信息类型标识符子算法、用户风险管理子算法和安全行为模块。安全情况情景1模块取决于境外实体管理子算法。
[0535] 图48-56是示出了用于模块的相依性的示意性图。在安全行为模块中,事件和其安全响应和特质被存储和编索引,以用于未来查询。阴谋检测、特权隔离分析、用户风险管理、境外实体管理的子算法;迭代演进和迭代智能生长的算法;监控交互系统、休眠恶意软件、响应解析器、安全检阅模块和恶意预测跟踪模块取决于安全行为模块。
[0536] 创造性模块包括从之前形式中智能创建新混合形式的过程,并且被用作是用于服务多个算法的插件。迭代智能生长算法、以及人工安全威胁、安全检阅、监控交互系统、恶意软件预测跟踪、自动化生长引导和休眠恶意软件的模块取决于创造性模块。
[0537] 人工安全威胁模块提供假设性安全场景,以测试安全规则集的功效。安全威胁在严重性和类型方面是一致的,以提供安全场景的有意义的比较。人工安全威胁模块取决于创造性模块。迭代演进和迭代智能生长的算法;以及监控交互系统、安全检阅和自动化生长引导的模块取决于安全行为模块。
[0538] 自动化生长引导模块添加在人类和人类控制功能之间的层,以进一步整体地自动化系统生长和维护。自动生长引导模块取决于演进路径X算法、以及人工安全威胁、响应解析器、监控交互系统和创造性模块。
[0539] 响应解析器模块监控人类对安全场景的反应,并且辨别填充了这样的安全响应的行为特质的种类。响应解析器取决于安全行为模块。迭代演进算法和自动化生长引导模块取决于响应解析器模块。
[0540] 安全检阅模块将迭代的和演进的安全机制与人工安全威胁相协调。这有助于引导安全机制的演进,并且是用于人类分析的访问点。安全检阅模块取决于创造性、人工安全威胁和安全行为模块。迭代智能生长算法和监控监护系统模块取决于安全检阅模块。
[0541] 监控交互系统模块与演进路径和数据库交互,并且提供用于人类的复杂控制/监控系统。监控交互系统模块取决于创造性、人工安全威胁、安全行为和安全检阅模块。自动生长引导模块和迭代演进算法取决于监控交互系统模块。
[0542] 通过云和分层信息安全的关键基础设施保护和惩罚(CIPR/CTIS)
[0543] 图57示出了对于相关于现代网络安全的问题谁、什么和何时的分析。图58示出了对于相关于现代网络安全的问题何处、为何和如何的分析。图59示出了可信的平台安全信息同步服务。可信平台是通过分享安全信息和服务相互受益于彼此的已验证的公司和系统的集合。图60示出了在所管理的网络和安全服务提供者(MNSP)内的多个安全算法之间的信息流。图61示出了多个集团(即,能量公司)如何经由工业私有外联网合作。这样的外联网连接到MNSP云服务。图62示出了在企业内联网内将所有企业业务经由VPN中继到MNSP云,以用于实时和检阅性安全分析。图63示出了在非企业环境(咖啡厅)内部的企业设备将信息经由VPN中继到MNSP。图64示出了关于I2GE迭代智能生长和演进的检阅性安全处理。
[0544] 参考236,事件和其安全响应和特质被存储和编索引,以用于未来查询。
[0545] 参考238,阴谋检测提供了用于多个“阴谋”安全事件的例程背景检查,并且尝试确定在看似无关的安全事件之间的模式和相关性。
[0546] 参考240,成熟化和选择并行演进路径。迭代的各代采用相同的人工安全威胁(AST),并且具有最佳人格特质的路径最终成为最能抵抗安全威胁的。
[0547] 图65示出了关于基于LIZARD云的加密安全的实时安全处理。参考246,语法模块提供用于读和写计算机代码的框架。对于写:从PM接收复杂格式化目的,然后以任意代码语法写代码,然后助手功能可以将该任意代码翻译成真实可执行代码(取决于所期望的语言)。对于读:提供代码的语法解译,以便于使得PM导出用于这样的代码的功能的目的。
[0548] 参考248,目的模块使用语法模块(图65A)来从代码导出目的,并且将这样的目的以其自身的“复杂目的格式”输出。这样的目的应该足以描述由SM解译的代码块的所意图的功能(即便该代码被秘密嵌入在数据中)。
[0549] 参考250,企业网络和数据库在虚拟环境中被克隆,并且敏感数据由仿制的(伪造的)数据替代。取决于目标的行为,环境可以被实时动态更改,以整体包括系统的更多伪造元素或者更多真实元素。
[0550] 参考252,信号模拟提供通常在得出虚拟混淆(保护)的分析结论时使用的惩罚形式。信号模拟使用语法模块来理解恶意软件与其黑客的通信语法。其然后劫持这样的通信,以向恶意软件给出错误的印象:其成功地将敏感数据发送回给黑客(即便其是被发送给黑客的虚拟幻象的伪造数据)。真实的黑客也被LIZARD发送恶意软件错误代码,从而使得其看起来像是其来自于恶意软件。这将黑客的时间和资源转移到错误的调试离题项,并最终放弃起作用的恶意软件,并具有其不起作用的错误印象。
[0551] 参考254,检查境外代码的所有内部函数是有意义的。确保不存在内部与作为整体的境外代码的目的不一致的代码段。
[0552] 参考256,使用语法和目的模块来将境外模块简化成复杂目的格式。然后,其使用所导出的目的构建代码集。这确保了仅境外代码的所期望和理解的目的在企业内执行,并且任何未意图的函数执行不能访问系统。
[0553] 参考258,检测秘密嵌入在数据和传输分组中的代码。
[0554] 参考260,需要和目的的所映射的分层结构被引用,以决定境外代码是否适于系统的总体目的。
[0555] 图66示出了智能信息管理、查看和控制。
[0556] 参考262,使用通用水平标准来过滤出不重要和冗余的信息,而合并和标注来自多个平台的信息流。
[0557] 参考264,配置和部署服务是用于使用正确的安全配置和连接设置部署新企业资产(计算机、膝上型电脑、移动电话)的接口。在设备被添加和设置之后,其可以经由管理控制台使用作为中间人的管理反馈控制稍稍调整。该服务还管理新顾客/客户端用户账户的部署。这样的部署可以包括硬件与用户账户、接口的自定义、顾客/客户端变量(即,业务类型、产品类型等等)列表相关联。
[0558] 参考266,信息的所标注的池按照管理控制台用户的相关权限被排他地分开。
[0559] 参考268,信息按照单个威胁被组织。每种类型的数据或是与添加赘言的威胁相关,或是被移除。
[0560] 参考270,在过程的该阶段,剩余信息现在看起来像是岛的集群,每个岛是一个网络安全威胁。相关性使得内部平台成熟化安全分析。访问历史数据(从与LIZARD相对的I2GE)以理解威胁模式,并且CTMP被用于批判性思维分析。
[0561] 参考272,从鸟瞰图(大图片)感知网络安全威胁。这样的威胁被传递到管理控制台中,以用于图形表示。由于属于威胁机制的所计算的测量最终从多个平台合并;所以可以自动执行更有根据的威胁管理决定。
[0562] 参考274,自动控制表示用于控制对MNSP、TP、3PS的管理相关控制的算法访问。
[0563] 参考276,提供可以用来促进政策制定、取证取证、威胁调查等等的所有基于MNSP云、可信平台(TP)、附加第三方服务(3PS)的服务的高水平控制。这样的管理控制最终出现在管理控制台(MC)上,并具有适当的可自定义的视觉效果和呈现功效。这允许直接来自可按需要放大到细节的单个界面的对整个系统(MNSP、TP、3PI)的高效控制和操纵。
[0564] 参考278,人工控制表示用于控制对MNSP、TP、3PS的管理相关控制的人类访问。
[0565] 参考280,直接管理利用人工控制来提供人类界面。
[0566] 参考282,管理控制台的用户使用其登录凭证,所述登录凭证限定其对信息分类访问的权限和范围。
[0567] 参考284,所有潜在数据向量是活动中的数据、静止的数据和使用中的数据。
[0568] 参考286,表示用于各种企业部门(会计、金融、HR、IT、法律、安全/督察长、隐私/公开、联盟)和利益相关者(员工、经理、在每个相关部门的执行总监)以及第三方伙伴、执法机关等等的可自定义视觉效果。
[0569] 参考288,对所有潜在能力的单个视图,所述潜在能力诸如监控、日志记录、报告、事件相关性、警报处理、政策/规则集创建、校正动作、算法调谐、服务提供(新顾客/修改)、使用可信平台以及第三方服务(包括从第三方服务提供者和供应商接收报告和警报/日志等等)。
[0570] 参考290,视觉效果表示周界、企业、数据中心、云、可移除媒体、移动设备等等。
[0571] 参考292,合格专家的队伍全面地监控多个系统的活动和状态。因为做出了对信息和AI决定的智能处理,所以可以通过雇佣具有更少年限经验的更少人来降低成本。该队伍的主要目的在于,作为在验证系统正按照所期望的标准成熟化和进步并同时执行大规模分析点方面的后备层。
[0572] LIZARD(逻辑推断的零数据库先验实施防御):基于云的加密安全
[0573] 图67示出了在企业网络内的每个数字传递如何通过LIZARD实例被中继。如果传递在LAN上发生,则在单个端点上运行的LIZARD精简版将管理安全过程。来自企业外部的所有输出/进入的信息必须经由LIZARD VPN和LIZARD云调拨。诸如虚拟混淆之类的复杂功能从LIZARD精简版中继到LIZARD云,以弥补处理资源管理。图68示出了LIZARD实时安全算法的概述。
[0574] 参考294,动态壳更倾向于经由迭代改变。要求高度复杂度来实现其目的的模块常常属于这里;因为它们已经超过了程序员队伍可以掌控的复杂度水平。
[0575] 参考296,迭代模块(IM)使用静态核(SC)来按照在“固定目标”中的已限定的目的和来自数据返回中继(DRR)的数据在语法上修改动态壳(DS)的代码库。LIZARD的该修改版本然后由人工安全威胁(AST)使用多个和不同的安全情景进行压力测试(并行地)。最成功的迭代被采纳为现实起作用的版本。
[0576] 参考298,表示数据返回中继。如果LIZARD执行低置信度决定,则其将相关数据中继到AST以改进LIZARD的未来迭代。LIZARD其自身不直接依赖于数据以用于执行决定,但是关于演进威胁的数据可以间接对LIZARD的未来迭代可能执行的先验决定有益。
[0577] 参考300,人工安全威胁(AST)创建虚拟测试环境,并具有用于使得能够实现迭代过程的仿真安全威胁。AST的人工演进足以用于保持在罪犯的恶意网络活动的自然演进之前。
[0578] 参考302,表示静态核。LIZARD的这层最不倾向于经由自动迭代改变,并且代替地,由人类程序员直接改变。尤其是最内部的深红色方形,其根本不被自动迭代影响。这个最内部层就像是引导LIZARD的方向和总体能力的树的根。
[0579] 图69示出了LIZARD的静态核的概述。参考304,从初始较简单的函数导出了逻辑上必须的函数。最终结果是,函数相依性的整个树是根据规定的复杂目的建造的。
[0580] 参考306,将由语法模块函数直接理解的任意(通用)代码转变成任何所选的已知计算机语言。将已知计算机语言翻译成任意代码的逆过程也被执行。
[0581] 参考308,将代码逻辑约简到更简单的形式,以产生互连函数的图。
[0582] 参考310,表示用于存储互连子目的的存储格式,所述互连子目的表示总体目的。
[0583] 参考312,硬编码参考针对于什么函数和行为类型指代何种目的。
[0584] 参考314,迭代扩展添加了细节和复杂度,以通过参考目的关联性而将简单目标演进成复杂目的。
[0585] 参考316,迭代解译循环所有互连函数,并且通过参考目的关联性产生所解译的目的。
[0586] 参考318,表示外部核。语法模块(SM)和目的模块(PM)共同工作,以向未知境外代码导出逻辑目的,并且以从规定的函数代码目标产生可执行代码。
[0587] 图70示出了LIZARD静态核的内部核。表示系统的本质核功能,其由相关的网络安全专家直接地和排他地编程。
[0588] 图71示出了LIZARD的动态壳。
[0589] 参考320,表示人类/可靠性关系。尽管存在平均相关性,但是在更静态/人类的代码和更可靠/确立的代码之间不存在直接的因果联系。
[0590] 参考322,表示新的实验算法。对于新模块的需要可以由人类或者AI决定。
[0591] 参考324,利用内部一致性检查来检查境外代码块的所有内部函数是否是有意义的。确保不存在内部与作为整体的境外代码的目的不一致的代码段。
[0592] 参考326,表示境外代码重写。在导出境外代码目的之后,重写部分或者重写整个代码自身,并且仅允许执行重写。镜像测试进行检查,以确保重写的输入/输出动态与原始相同。这样,使得在原始代码中的任何隐藏的漏洞利用变得冗余,并且将再不执行。
[0593] 参考328,表示AST溢出中继。输入被中继到AST,以用于当系统仅可以执行低置信度决定时进行未来迭代改进。
[0594] 参考330,表示需要映射匹配。需要和目的的所映射的分层结构被引用,以决定境外代码是否适于系统的总体目的(即,谜题)。
[0595] 参考332,表示虚拟混淆、混乱和约束代码,并且因此表示潜在恶意软件,这是通过逐渐和部分将它们合并到虚拟化伪造环境中实现的。
[0596] 参考334,表示代码隔离。将境外代码隔离到所约束的虚拟环境中(即,培养皿)。
[0597] 参考336,表示秘密代码检测。检测到代码秘密嵌入在数据和传输分组中。
[0598] 图72示出了虚拟混淆。参考338,恶意软件假设性地避开企业防火墙/入侵检测系统/反病毒等等。
[0599] 参考340,LIZARD具有对进入的代码块的意图/目的的低置信度评价。为了减轻使得无辜过程被剥夺有资格的关键数据的风险,并且也为了避免允许恶意代码具有敏感数据的风险,可疑代码被秘密分配给其中一半数据与仿制的(伪造的)数据智能混合的环境。
[0600] 参考342,真实数据同步器是智能选择要被给予混合环境的数据和以何种优先级的两层之一(另一是数据管理器)。这样,高度敏感的信息对于可疑的恶意软件是不可访问的,并且仅对于众所周知的和已确立是可信的代码是可访问的。
[0601] 参考344,仿制数据生成器使用真实数据同步器作为用于创建仿造和无用数据的模板。诸如数据类型、数据格式、数据密度、数据细节等等的属性模仿自真实数据,以产生具有看起来逼真的数据的、看似整体很好地集成到系统中的数据库(没有不相关和奇怪的数据)。
[0602] 通过网络空间中的秘密操作的秘密机器智能(MACINT)和惩罚
[0603] 图73示出了MACINT秘密操作的概述,即罪犯如何对企业系统进行漏洞利用。
[0604] 参考346,潜伏双重间谍安静地捕获一份敏感文件。
[0605] 参考348,所捕获的文件经由在企业网络外部的加密被推送给欺诈目的地服务器。这样的加密(即,https)是被政策允许的,因此传输不会被立即阻挡。
[0606] 参考350,标准日志被生成,其被传递以用于实时和长期分析。
[0607] 参考352,日志聚集将相关数据推送给实时和长期扫描。
[0608] 参考354,实时不足以准备好执行对恶意活动的近乎即时的识别,以在执行之前停止它。
[0609] 参考356,长期扫描最终识别恶意软件行为,因为其具有更多时间进行分析的优点。
[0610] 参考358,属于任意第三方的系统的计算机用来传递敏感文件,以摆脱调查并陷害该任意第三方。
[0611] 参考360,小偷接收敏感文件,并同时经由其僵尸网络保持隐藏的存在。进行到使用敏感文件以用于非法勒索和盈利。
[0612] 批判性思维、存储器和感知(CTMP)算法
[0613] 图74-75显示了CTMP的功能概述。图76示出了CTMP的相依性。
[0614] 参考362,产生对观察者的仿真,并且将所有潜在感知点与这样的观察者仿真的变化进行测试/比较。输入全部都是潜在感知点外加增强的数据日志,而输出是作为结果产生的由这样的增强日志根据最佳、最相关、和最谨慎观察者以及所选感知的这样的混合项产生的安全决定。
[0615] 参考364,可调整的政策命令被用于执行观察者仿真的感知量。所选感知的优先级是按照权重以降序选择的。政策然后命令选择中断的方式,不论是以百分数、固定数、还是选择的更复杂算法。
[0616] 参考366,从数据增强日志导出的CVF用作是在感知存储(PS)的数据库查找中的标准。
[0617] 参考368,度量处理对来自所选的模式匹配算法(SPMA)的安全响应的变量进行逆向工程,以“拯救”来自这样的算法智能的感知。
[0618] 参考370,使用安全响应的一部分和其相应的系统元数据来复制安全响应的原始感知。
[0619] 参考372,最终逻辑用于确定CTMP输出。
[0620] 参考374,调试和算法跟踪通过使用基于传统语法的信息分类被分成不同分类。这样的分类可以然后用于组织和产生具有与安全风险和主题相关的不同的安全响应。
[0621] 参考376,输入系统元数据被分成有意义的安全因果关系。
[0622] 参考378,综合性地将所有具有相关风险和响应的安全主题分类。
[0623] 参考380,主题导航器滚过所有适用的主题。
[0624] 参考382,主题填充器检索与主题相关的适当风险和响应。
[0625] 参考384,对感知编索引并存储。感知除了其相关权重之外以可比较变量格式(CVF)作为其索引被存储。这意味着数据库被优化为接收CVF作为输入查询查找,并且结果将是对感知的分类。
[0626] 图77示出CTMP的相依结构。参考386,导出可以数据的感知角度,其可以被当前已知的感知角度影响。
[0627] 参考388,进入的原始日志表示已知知识。该模块估计可报告日志能力之外的潜在未知知识的范围和类型。这样,CTMP的之后的批判性思维特征可以利用所有涉及的、系统直接已知或者未知的知识的潜在范围。
[0628] 参考390,感知角度被分成度量分类。
[0629] 参考392,单个度量被返回到整个感知角度中。
[0630] 参考394,多个和不同的感知角度的度量被分类地存储在单个数据库。上限由每个单独度量数据库的峰值知识表示。在增强和复杂性完善之后,度量被返回,以被转换回感知角度并且被用于批判性思维。
[0631] 参考396,信息流被转换成可比较变量格式(CVF)。
[0632] 图78示出了CTMP的相依结构。参考398,已知感知被用来扩展规则集的批判性思维范围。
[0633] 参考400,可比较变量格式(CVF)从接收自规则语法导出的感知形成。新形成的CVF用来在感知存储(PS)中查找具有相似索引的相关感知。潜在匹配被返回给规则语法生成。
[0634] 参考402,从输入数据形成混沌场。执行场扫描以识别已知概念。
[0635] 参考404,整体概念被单独优化成被称为索引的单独部分。这些索引被字母扫描器用于与混沌场交互。
[0636] 参考406,安全事故日志被扫描,以用于可实现的规则。执行任何适用的和可实现的规则,以产生安全覆写决定。
[0637] 参考408,执行已经在每次存储器扫描混沌场时被确认为存在和已实现的规则,以产生所期望的和相关的批判性思维决定。
[0638] 参考410,(规则实现解析器)RFP接收具有识别标注的规则的单独部分。每个部分被标记为已经被存储器识别(MR)找到,或者在混沌场中未找到。RFP可以然后逻辑推断哪些整体规则、所有其部分的组合已经在混沌场中充分识别,以受到规则执行(RE)。
[0639] 参考412,正确规则按规则分开和组织。因此,所有的动作、属性、条件和对象单独堆叠。这使得系统能够辨别什么部分已经在混沌场中找到,并且什么部分没有被找到。
[0640] 参考414,逻辑“黑与白”规则被转换成基于度量的感知。多个规则的复杂布置被转换成经由不同梯度的多个度量表达的单个唯一感知。
[0641] 参考416,接收以感知格式存储的之前已确认的感知。与感知的内部度量构成接洽。度量的这样的基于梯度的测量被转换成二进制和逻辑规则集,其仿真原始感知的输入/输出信息流。
[0642] 本发明再次关于权利要求进行解释。参考图1-11和图79,计算机安全系统处理安全事件,包括行为模块,其包括多个子算法,其中每个子算法对应于与预定安全问题相关的预定分类;以及组合模块,其基于行为模块的输出提供安全分析。
[0643] 子算法并行执行,并且子算法中的每一项处理输入和存储输出。信息处理请求被发送给至少一个子算法,其中,每个子算法处理安全事件的数据,其中,子算法的每一项的结果被存储在用于子算法的数据库中。
[0644] 系统进一步包括高置信度过滤器,其过滤来自子算法的高于预置信度水平的结果。组合请求被发送给组合算法,其中,组合算法取决于组合请求的类型组合两个或者更多个子算法,其中,组合算法基于预定标准选择结果。
[0645] 系统进一步包括分类模块,其基于政策和行为的组合来确定安全事件的分类,以及模式匹配模块,其基于安全事件的行为模式过滤出安全事件,并且其中,分类模块从模式匹配模块确定所过滤的事件的分类。
[0646] 行为模块连接到行为数据库,其中,行为数据库存储包括多个分类的元数据。分类的每一项包括参考id、第一概念、第二概念、和算法确定的相关联索引。系统进一步包括卫生模块,其基于卫生政策过滤进入的事件。
[0647] 参考图12-18和80,网络安全系统包括阴谋检测子算法,其检查针对多个安全事件的背景,并且确定安全事件之间的模式和相关性;以及信息类型标识符子算法,其确定未知数据的类型,并且声明其在其选择的数据类型中的置信度,并且如果置信度低于预定水平则返回失败标记。
[0648] 参考图12,在阴谋检测子算法中,安全事件由导出安全事件的相关属性的信息类型标识符子算法解析,其中,属性由外部政策和行为解译检查,以查看事件是否通过阈值以用于被处理。
[0649] 用于安全事件的所导出的事件属性被存储在特定数据库中,其中,做出用于所导出的事件属性的所有组合,其中,组合由预定的允许规则选择,其中,所选择的组合相对于特定数据库针对预定相似度因子查询。
[0650] 预定相似度因子包括具有相同的SSN和发生的一天的时间,包括相同IPLAN子网范围和个人电话号码和个人地址,包括在不同电子邮件地址中的相同域名,并且包括其应该指向的域名和IP地址,以对抗幽灵域名。向管理控制台通知由阴谋检测子算法检查的结果。
[0651] 参考图13,系统进一步包括境外实体管理子算法,其以境外威胁向企业的独立网络做出的请求为基础而将境外威胁的严重性升级或者降级,并且接收第三方信息以增强其对境外威胁的感知,以及包括用户风险管理子算法,其基于预定风险因子确定对于用户记录的总体风险评价。
[0652] 在境外实体管理子算法中,由信息类型标识符子算法解析安全事件,以导出安全事件所涉及的网络起源和用户,其中,安全事件的网络起源相对于安全观察列表被检查,其中,如果用户信息在安全观察列表中被找到,则该用户由用户风险评价子算法检查。检查结果以受外部政策和行为影响的预定阈值为基础而考虑和聚集,其中,所聚集的结果被存储在特定数据库中。
[0653] 参考图14,在信息类型标识符子算法中,对于所提供的未知数据,出于并行目的,提供批输入。信息类型标识符子算法提取未知数据的属性,其包括长度、数字、字母比率和特殊字符。所提取的属性与被选择用于比较的数据库数据点相比较。为了比较,首先检查缓存。信息类型标识符子算法针对置信度水平处理所比较的结果。如果结果的置信度水平低于预定阈值,则结果截止,其中,预定阈值可以是动态的。执行模式检测以将类型亲和性与属性构成相关,其中,高置信度模式被存储在缓存中,其中,数据库不包含所计算的模式,但是包含在类型和属性之间的静态相关性。所处理的结果被编译为符合API,并且所编译的结果被输出。
[0654] 参考图15,系统进一步包括媒体扫描器子算法,其扫描给定媒体,并且针对这样的媒体的所预期的构成,检查非法信息传递和不一致/可疑行为。在媒体扫描器子算法中,执行媒体解析以强调在给定媒体中的信息的可疑点,其中,可疑点可以被隐藏在元数据中,或者被隐藏在媒体的原始格式中,其中,媒体的数据和元数据被扫描。
[0655] 信息的可疑点被信息类型标识符子算法处理,其中,用户身份(因此过程)被传递到用户风险管理子算法,其中,所有其他信息被传递给通用解析器。通用解析器与风险对象数据库交互,以找到在文件中的风险关联。如果找到了风险关联,则阻止媒体被传递,创建风险对象,并且向用户风险管理子算法通知相关用户涉及安全事件。所处理的结果被组合和解析,以产生是否阻止或者允许媒体的决定。
[0656] 参考图16,系统进一步包括特权隔离分析子算法,其确定用户或者过程是否在其准许的特权分配内,其被不断调用,并且将任何所确认的特权违规报告给主要过程和对主要过程针对违规采取措施进行复查的次要过程。在特权隔离分析子算法中,发送用户准许事件,用户ID令牌和访问/修改的所请求的位置由信息类型标识符子算法提取,并且被推送给线程管理器。线程管理器包括位置线程管理器,其接收位置信息并且针对准许谁访问/修改而调用位置数据库。
[0657] 位置准许库接收特定数据库2的位置准许要求,并且由决定由于用户安全风险特定位置是否应该被阻止为防范的线程查询,其中,经由外部政策和行为确定用于防范水平的阈值。线程管理器包括用户线程管理器,其接收用户信息并且针对准许访问/修改什么位置而调用用户数据库,并且调用用户风险管理子算法以获取应该针对在防范政策内的该用户被阻止的风险位置。
[0658] 用户准许库接收特定数据库1的用户准许属性,并且被位置线程管理器查询以查看用户是否被准许在该位置执行所请求的动作。准许聚集器在逻辑上组合位置线程管理器和用户线程管理器的结果,并且输出所组合的结果。
[0659] 参考图17,在用户风险管理子算法中,预定风险因子包括之前的政策违规、过度使用、和所发生的可疑操作。输入用户标识令牌,并且输出具有多个有风险利率的链接对象的总体风险评价百分比。其中,对象可以经由其他子算法独立地访问,以用于进一步分析。输入与用户相关的风险对象,其中,记录用户与风险对象的关联。提供用户ID令牌,以生成风险评价报告或者以存放风险对象参考,其中,使用所存放的风险对象参考来构建用户风险历史。
[0660] 如果提供了风险对象参考,则在数据库中做出存放以用于进一步参考。如果没有做出风险对象参考存放,并且线程管理器请求做出报告,其中,相关用户ID在特定数据库中查找以访问用户的风险历史。从为风险对象给出风险评级的特定数据库中检索风险率,其中,使用风险率和所检索的风险对象,最终的聚集报告被产生并且被推送给输出,其中,综合主要风险指数也被推送给输出,以用于标识用户的即时风险因子。
[0661] 参考图19-21和图81,本发明进一步提供了一种用于迭代智能生长的方法,其包括以下步骤:接收初始规则集的输入;接收多个人格特质的输入,其中,人格特质限定了应该对安全事件行使的反动特性;选择人格特质并且将人格特质指派给演进路径;针对所有人格特质,为其他演进路径重复以上内容;并且执行演进路径,其中,演进路径中的每个演进路径按照其给定人格特质演进多代。演进路径的每个演进路径的操作几乎与其他演进路径的操作隔离。
[0662] 人格特质包括i)基于相关性程度使用CPU时间的现实主义特质;ii)基于无论是否存在针对给定实体(其包括个体或者计算机系统)的之前的安全事故而使用CPU时间的记仇特质;iii)基于校正动作的可提供性使用CPU时间的机会主义特质;或者iv)基于对于假设的少许宽恕和容忍使用CPU时间的严格和谨慎特质。CPU时间以CPU循环/秒测量。
[0663] 参考图20,监控和交互系统将来自人工安全威胁(AST)系统的安全事件注入到演进路径中,并且将与来自安全行为云的安全事件相关联的安全响应进行中继,其中,如果演进路径中的任一演进路径达到不能解决给定安全问题的无穷状态,则抛弃该演进路径的执行,其中,所抛弃的演进路径的人格特质被修改,其中,所修改的人格特质被指派给另一演进路径,并且所抛弃的演进路径的安全事件被注入到另一演进路径,并且其中,执行另一演进路径,其中,监控和交互系统输出演进路径的性能,并且接收用于修改人格特质的输入。
[0664] 参考图21,交叉引用模块分析对于给定安全事件的安全系统响应,决定安全系统响应是否是有意义的,将安全系统响应推送特质标注模块。特质标注模块按照被提供给特质标注模块的人格类型分类安全系统响应。特质交互模块分析人格特质之间的相关性,其中,分析结果传递给安全行为云,其中,安全行为云将分析结果传递给监控和交互系统。
[0665] 参考图22-36,本发明进一步提供网络威胁智能标识、集成和分析系统,其包括接收两种父形式的智能选择器,其中,父形式表示数据的抽象构造,并且将两个父形式合并到混合形式中;限定系统被使用的算法类型的模式模块,其中,智能选择器基于算法类型决定用于合并的部分;以及接收用于形式应该如何被合并的自定义数据的输入的静态标准模块。自定义数据包括排名优先化、数据的所期望的比率、以及用于指导取决于由模式模块限定的算法类型的合并的数据。
[0666] 参考图24,智能选择器包括原始比较模块,其基于由静态标准模块提供的自定义数据执行对两个父形式的比较,其中,原始比较模块相关于改变和非改变进行输出,其中,智能选择器基于自定义数据对改变的重要性进行排名,其中,改变和非改变基于静态标准的自定义数据和模式的算法类型被合并到混合形式中,其中,合并包括调整数据的比率分布、数据的重要性和数据之间的关系,其中比率模式、优先级模式和风格模式在系统中预设置。
[0667] 在比率模式中,重叠的信息量按照由静态标准设置的比率被过滤,其中,如果比率被设置为大的,则被保持为一致的大量形式数据将被合并到混合形式中,其中,如果比率被设置为小的,则大多数混合形式将被构造为具有与其过去的迭代非常不同的形式。在优先级模式中,当两个数据集都竞争以该形式在相同地方限定特征时,优先化过程发生为选择使得哪些特征是显著的,并且哪些特征被重叠和隐藏,其中,当只有一个特质可以占据在混合形式中时,优先化过程发生。在风格模式中,重叠点被合并的方式,其中,静态标准和模式将该模块引导为更优选某个特定合并,相比于另一合并而言。
[0668] 参考图27,特质构成和被索引的安全感兴趣点(POI)被提供给查询安全事件以及其响应,其中,POI被存储在安全POI池中,并且POI使用特质索引桥接,其中,当关于安全问题的人格特质被查询时,在POI池中查找相关的POI,并且相关的事件和响应存储被检索和返回,其中,在POI接口模块中,人格特质与POI相关联。
[0669] 参考图28,系统进一步包括响应解析器,其包括交叉引用模块,其中描述安全事件和对安全事件的响应的数据被接收;安全行为模块提供已知POI,并且用于被标注为安全事件的人格特质的输入被接收;特质标注模块,其基于个人特质的方案和与过去的安全行为的模式相关性将安全响应与个人特质相关联;以及特质交互模块,其从特质标注模块接收特质构成并且评价其内部兼容性。安全事件、响应、特质被存储在安全行为云中。
[0670] 使用人工漏洞利用测试安全规则集,其中,在执行漏洞利用之后,如果漏洞利用有效并且如果其应该被合并到漏洞利用数据库,则结果反馈模块提供结果,其中,信息发布模块向创造性模块提供对于下一漏洞利用应该看起来如何的细节,其中,信息在信息发布模块和漏洞利用数据库之间合并,其中,漏洞利用作为批执行,其中所有演进路径使用相同漏洞利用并行和同时测试,其中,创造性模块产生混合漏洞利用,其使用之前漏洞利用的优势并且基于信息发布模块的结果避免漏洞利用中的已知弱点。
[0671] 监督管理模块监控漏洞利用存储和使用中的发展,其中,漏洞利用由外部输入产生/修改/移除,其中,漏洞利用连同已知行为历史一同存储,所述已知行为历史描述漏洞利用在过去在特定条件和漏洞利用重要性内如何执行。
[0672] 参考图31,系统进一步包括监控/交互系统,其中,创造性模块产生用于路径的下一代,其中,两个输入形式是来自安全行为云的已编译的安全行为和来自安全检阅模块的变量,其中,作为结果产生的混合形式被推送给迭代处理器,其中,迭代处理器处理推送自创造性模块的混合形式,并且集合成新一代,并将新一代上传到相关演进路径中,其中,安全检阅模块从演进路径接收报告变量,并且将其安全性能相对于人工安全威胁(AST)系统评估,输出报告以用于进一步检阅,并且将报告发送给创造性模块以迭代下一代,其中,安全行为云向安全检阅模块提供相关事件和响应,其中,标准经由特质索引查询确定,其中,如果接收到好性能评估,则安全检阅模块尝试找到更好的漏洞利用来打破在安全行为云中的漏洞利用,其中,特质构成被提供给安全行为云并且安全行为云将特质构成提供给创造性模块,以引导代规则集应该如何被构成。
[0673] 参考图33-36,自动生长引导系统介入在外部控制和监控和交互系统之间,其中,模块类型辨别所期望的模块行为是什么,并且其中,强制的反馈是由模块在每次其被给予新指令时通知其当前条件的模块的响应,其中,高水平主变量是对静态标准的外部输入,其中,创造性模块在被给出之前的所期望的结果和实际结果之后辨别新的所期望的结果,其中,包括所控制的模块的状态和状况的实际结果被存储在模块跟踪数据库中,其中,模块跟踪数据库由模块和创造性模块填充,其中,模块跟踪数据库将输入形式提供给反映对于所控制的模块的内部所选生长模式的创造性模块,其中,创造性模块将用于模块的新控制推送给模块跟踪器和模块其自身,其中,除了模块跟踪在单个实例中操作并且被分割以同时处理多个模块之外,模块被并行地控制,其中,来自包括从实际模块历史导出的信息的所控制的模块的反馈被存储在现实主义数据库中,其中,理论数据库包含由创造性模块提供的对于模块的理论控制,其中,如果控制按预期执行,则保持相同的生长模式,并且如果控制不寻常地执行,则采纳可替换的生长模式。
[0674] 参考图37-45,系统进一步包括恶意软件预测跟踪算法,其中,迭代现有恶意软件以考虑构成中的理论变化,其中,随着理论时间的进行,恶意软件演进为与创造性模块交互,其中,分类A表示具有识别和移除的已证明的历史的已确认的恶意软件威胁,分类B表示系统知道存在但是不能识别也不能以绝对的置信度移除的恶意软件,并且分类C表示以各种可能方式对系统而言完全未知的恶意软件,其中,过程从分类A开始,其中,已知恶意软件被推送给创造性模块,以产生包括表示当前未知的恶意软件的潜在变形的混合形式,其中,然后基于分类B,理论过程表示未知威胁是如何的最佳估计,其中,基于分类C的过程表示系统不知晓并且试图预测的实际威胁,其中,产生模式以表示已知和已确认迭代的过渡,其中,过渡模式被用来预测当前未知的威胁。
[0675] 参考图57-66,系统进一步包括通过云和分层信息安全的关键基础设施保护和惩罚(CIPR/CTIS),其包括可信平台安全信息同步服务,其中,信息在所管理的网络和安全提供者(MNSP)内的多个安全算法之间流动,其中,企业内联网、外联网和互联网内的所有企业业务经由VPN中继到MNSP云,以用于实时和检阅性安全分析,其中,在检阅性安全分析中,事件和其安全响应和特质被存储和编索引,以用于未来的查询,阴谋检测提供了用于多个安全事件的例程背景检查并且尝试确定模式和相关性,成熟化和选择并行演进路径,迭代的各代采用相同的AST批,并且具有最佳人格特质的路径最终变成最能抵抗安全威胁的,其中,在实时安全分析中,语法模块提供用于读和写计算机代码的框架,目的模块使用语法模块来从代码中导出目的,并且以其本身的复杂目的格式输出这样的目的,企业网络和数据库被克隆在虚拟环境中,并且敏感数据以仿制的(伪造的)数据替换,信号模仿提供了当得出了虚拟混淆(保护)的分析结论时所使用的惩罚形式,其中,其检查境外代码的所有内部函数是有意义的,使用语法和目的模块来将境外代码缩减到复杂目的格式,检测被秘密地嵌入在数据和传输分组中的代码,其中,需求和目的的所映射的分层结构被应用,以决定境外代码是否适合系统的总体目的。
[0676] 参考图67-72,系统进一步包括逻辑推断的零数据库先验实施防御(LIZARD),其中,在企业系统内的每个数字传递通过LIZARD的实例中继,其中,来自企业系统外部的所有输出/进入的信息经由LIZARD VPN和LIZARD云调拨,其中,迭代模块(IM)使用静态核(SC)来依照语法地修改动态壳(DS)的代码库,,其中,所修改的版本由人工安全威胁(AST)与多个和不同的安全场景并行地进行压力测试,其中,如果LIZARD执行了低置信度的决定,则其将相关数据中继到AST,以改进LIZARD的未来的迭代,其中,AST创建具有所仿真的安全威胁的虚拟测试环境,以使得能够实现迭代过程,其中,LIZARD的静态核从初始的较简单的函数导出逻辑上必需的函数,转变由语法模块直接理解的任意(通用)代码,并且将代码逻辑缩减到较简单的形式以产生互连函数的图,其中,迭代扩展增添了细节和复杂度,以通过引用目的关联将简单的目标演进为复杂目的,其中,虚拟混淆模块通过逐渐地以及部分地将代码沉浸到虚拟化伪造环境中而对代码进行混乱和约束,其中,恶意软件假设性地避开企业安全系统,LIZARD具有对进入的代码块的意图/目的的低置信度评价,可疑代码被秘密分配给一半数据与仿制的(伪造的)数据智能地混合的环境中,真实代码同步器智能地选择要给予所混合的系统的数据以及以何种优先级排序,并且仿制数据生成器使用真实数据同步器作为用于创建仿造和无用数据的模板。
[0677] 参考图73,系统进一步包括通过在网络空间模块中的秘密操作的秘密机器智能和惩罚,其中,潜伏双重间谍安静地捕获一份敏感文件,并且所捕获的文件在企业网络外部被推送给欺诈目的地服务器,其中,标准日志被生成,其被递送以用于实时和长期分析,其中,实时分析执行对恶意行为的近乎即时的识别,以在执行之前停止它,并且长期分析在用于分析的更多时间之后识别恶意行为。
[0678] 参考图74-78,系统进一步包括批判性思维存储器和感知算法,其产生对观察者的仿真,并且将所有潜在感知点与这样的观察者仿真变化进行测试/比较,其中,所选感知的优先级按照权重以降序选择,其中,政策命令选择截止的方式,其中,感知和相关权重以可比较变量格式(CVF)作为其索引存储,其中,从数据增强日志导出的CVF被用作是感知存储的数据库查找中的标准,其中,度量处理模块对来自所选的模式匹配算法(SPMA)的安全响应的变量进行逆向工程,其中,安全响应的一部分和其相应的系统元数据被用来复制安全响应的原始感知,其中,调试和算法跟踪使用基于传统语法信息分类被分成不同的分类,其中,分类被用来组织和产生具有与安全风险和主题的相关性的不同的安全响应。
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
前拨链器热门专利
QQ群二维码
意见反馈
意见反馈