[發(fā)明專利]基于惡意軟件相似性和在線信任度的對事件的全局聚類有效
| 申請?zhí)枺?/td> | 201680007904.4 | 申請日: | 2016-01-19 |
| 公開(公告)號: | CN107743701B | 公開(公告)日: | 2020-12-22 |
| 發(fā)明(設(shè)計)人: | 卡雷爾·巴托斯;馬丁·雷哈克;邁克爾·索芙卡 | 申請(專利權(quán))人: | 思科技術(shù)公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;G06F16/906 |
| 代理公司: | 北京東方億思知識產(chǎn)權(quán)代理有限責(zé)任公司 11258 | 代理人: | 宗曉斌 |
| 地址: | 美國加*** | 國省代碼: | 暫無信息 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 惡意 軟件 相似性 在線 信任 事件 全局 | ||
在一個實施例中,提供了一種由計算設(shè)備的處理器執(zhí)行的用于基于事件數(shù)據(jù)記錄中的行為特征值和事件數(shù)據(jù)記錄中的起源特征值來創(chuàng)建和存儲事件數(shù)據(jù)記錄的簇的方法,該方法包括:接收包括屬性值集合的多個輸入事件數(shù)據(jù)記錄;標(biāo)識具有特定行為特征值的兩個或更多個第一事件數(shù)據(jù)記錄;使用惡意事件行為數(shù)據(jù)表和多個比較操作來確定兩個或多個第一事件數(shù)據(jù)記錄中的任一者是否是惡意的,其中惡意事件行為數(shù)據(jù)表將行為特征值的集合映射到網(wǎng)絡(luò)中的惡意行為的標(biāo)識符,并且多個比較操作使用了惡意事件行為數(shù)據(jù)表和兩個或更多個第一事件數(shù)據(jù)記錄;以及如果是,則創(chuàng)建包括兩個或更多個第一事件數(shù)據(jù)記錄的相似性行為簇記錄。
技術(shù)領(lǐng)域
本公開一般涉及改進(jìn)的計算機(jī)實現(xiàn)的入侵檢測系統(tǒng)。更具體地,本公開涉及用于基于被包括在事件數(shù)據(jù)記錄(incident data record)中的行為特征值(behavioralcharacteristic value)和起源特征值(origin characteristic value)來創(chuàng)建和存儲事件數(shù)據(jù)記錄的簇(cluster)并使用該簇來改進(jìn)在聯(lián)網(wǎng)分布式計算機(jī)系統(tǒng)中對安全故障或事件的檢測的技術(shù)。
背景技術(shù)
本節(jié)描述的方法是可以實行的方法,但并不一定是先前設(shè)想過或?qū)嵭羞^的方法。因此,除非另有說明,否則不應(yīng)假設(shè)本節(jié)所描述的任何方法僅因為被包括在本節(jié)中而成為現(xiàn)有技術(shù)。
網(wǎng)絡(luò)安全系統(tǒng)使用關(guān)于數(shù)據(jù)流量的信息來標(biāo)識通信網(wǎng)絡(luò)中的惡意事件(malicious incident)。不幸的是,一些良性的數(shù)據(jù)流量經(jīng)常被錯誤地歸類為惡意的,而一些惡意流量經(jīng)常被錯誤地歸類為良性的。不正確的分類可能會導(dǎo)致不正確的報告和錯誤的告警。
由網(wǎng)絡(luò)安全系統(tǒng)生成的報告中的不準(zhǔn)確性通常是由于無法正確標(biāo)識由復(fù)雜和成熟的惡意軟件(malware)引起的攻擊。例如,由指揮和控制(C2)企業(yè)的牧人(herder)發(fā)起的攻擊中的一些經(jīng)常被廣泛分散,因此可能難以確定其起源或特征。這種攻擊往往是未檢測到的或分類錯誤的。
檢測惡意攻擊的問題可能由于網(wǎng)絡(luò)安全系統(tǒng)的各種缺點(diǎn)而變得復(fù)雜。例如,網(wǎng)絡(luò)安全系統(tǒng)中的一些錯誤地對檢測到的事件進(jìn)行優(yōu)先級排序,或者沒能將正確的上下文與檢測到的事件相關(guān)聯(lián)。其他網(wǎng)絡(luò)安全系統(tǒng)錯誤地對從多個網(wǎng)絡(luò)或多個系統(tǒng)接收到的事件數(shù)據(jù)進(jìn)行分組。
附圖說明
在圖中:
圖1示出了用于實現(xiàn)基于惡意軟件相似性和在線信任度對事件進(jìn)行全局聚類(global clustering)的方法的網(wǎng)絡(luò)環(huán)境的示例;
圖2示出了用于在多節(jié)點(diǎn)網(wǎng)絡(luò)環(huán)境中收集關(guān)于網(wǎng)絡(luò)事件的信息的方法的示例;
圖3示出了事件起源數(shù)據(jù)的示例;
圖4示出了事件起源數(shù)據(jù)的標(biāo)識符的示例;
圖5A示出了事件行為數(shù)據(jù)的示例;
圖5B示出了附加的事件行為數(shù)據(jù)的示例;
圖6示出了事件行為的圖形表示的示例;
圖7示出了用于創(chuàng)建信任簇(trustfulness cluster)的方法的示例;
圖8示出了用于創(chuàng)建相似性行為簇(similarity behavioral cluster)的方法的示例;
圖9示出了用于創(chuàng)建信任簇的方法的流程圖;
圖10示出了用于創(chuàng)建相似性行為簇的方法的流程圖;
圖11A示出了惡意事件起源數(shù)據(jù)表的示例;
圖11B示出了惡意事件行為數(shù)據(jù)表的示例;
圖12示出了可以使用各種實施例的計算機(jī)系統(tǒng)。
具體實施方式
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于思科技術(shù)公司,未經(jīng)思科技術(shù)公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201680007904.4/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計算機(jī)設(shè)備和存儲介質(zhì)
- 一種基于應(yīng)用軟件散布的軟件授權(quán)與保護(hù)方法及系統(tǒng)
- 一種用于航空機(jī)載設(shè)備的軟件在線加載系統(tǒng)及方法
- 軟件構(gòu)建方法、軟件構(gòu)建裝置和軟件構(gòu)建系統(tǒng)
- 惡意軟件檢測方法及裝置
- 一種基于軟件基因的軟件同源性分析方法和裝置
- 軟件引入系統(tǒng)、軟件引入方法及存儲介質(zhì)
- 軟件驗證裝置、軟件驗證方法以及軟件驗證程序
- 使用靜態(tài)和動態(tài)惡意軟件分析來擴(kuò)展惡意軟件的動態(tài)檢測
- 一種工業(yè)控制軟件構(gòu)建方法和軟件構(gòu)建系統(tǒng)
- 可替換游戲軟件與測驗軟件的裝置與方法
- 基于異類關(guān)系確定目標(biāo)相似性的方法和系統(tǒng)
- 相似性匹配系統(tǒng)和方法
- 相似性匹配系統(tǒng)和方法
- 興趣點(diǎn)預(yù)測和推薦中的用戶時空相似性度量方法
- 一種基于相似性和邏輯矩陣分解的miRNA?疾病關(guān)聯(lián)關(guān)系預(yù)測方法
- 一種結(jié)合二分網(wǎng)絡(luò)和文本的醫(yī)院科室相似性分析方法
- 一種基于相似性學(xué)習(xí)及其增強(qiáng)的細(xì)胞類型鑒定方法
- 確定企業(yè)屬性相似性、重名對象判定
- 獲取機(jī)構(gòu)技術(shù)相似性的方法及裝置
- 一種基于圖卷積神經(jīng)網(wǎng)絡(luò)的lncRNA-蛋白質(zhì)相互作用預(yù)測方法
