CN109154965B - 用于使用3d抽象建模的离散时间参考中的威胁事件证实的系统和方法 - Google Patents

用于使用3d抽象建模的离散时间参考中的威胁事件证实的系统和方法 Download PDF

Info

Publication number
CN109154965B
CN109154965B CN201680085463.XA CN201680085463A CN109154965B CN 109154965 B CN109154965 B CN 109154965B CN 201680085463 A CN201680085463 A CN 201680085463A CN 109154965 B CN109154965 B CN 109154965B
Authority
CN
China
Prior art keywords
graphical objects
subset
graphical
plane
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680085463.XA
Other languages
English (en)
Other versions
CN109154965A (zh
Inventor
林庆麟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Certis Cisco Security Pte Ltd
Original Assignee
Certis Cisco Security Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Certis Cisco Security Pte Ltd filed Critical Certis Cisco Security Pte Ltd
Publication of CN109154965A publication Critical patent/CN109154965A/zh
Application granted granted Critical
Publication of CN109154965B publication Critical patent/CN109154965B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04842Selection of displayed objects or displayed text elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0487Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser
    • G06F3/0488Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures
    • G06F3/04883Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures for inputting data by handwriting, e.g. gesture or text
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

在本文档中描述了一种用于评估计算机网络的网络安全威胁事件的系统和方法。具体而言,描述了可通过在设备的显示器上将网络安全威胁事件显示为多个图形对象来可视化计算机网络的这些威胁事件。可接着通过将单个连续触摸输入施加到设备的触摸界面来选择这些图形对象或威胁事件的子集。风险评分将接着基于被包含在该图形对象的子集内的威胁事件来被生成和显示。解决触发了这些威胁事件的网络安全威胁的缓解动作接着通过设备来实现。

Description

用于使用3D抽象建模的离散时间参考中的威胁事件证实的系 统和方法
发明领域
本发明涉及用于评估计算机网络的网络安全威胁事件的系统和方法。具体而言,本发明涉及通过在设备的显示器上将网络安全威胁事件显示为多个图形对象来可视化计算机网络的这些威胁事件。可接着通过向设备的触摸界面施加单个连续触摸输入来选择表示不同的时间参考系中的威胁事件的这些图形对象的子集。风险分数将接着基于被包含在该图形对象的子集内的威胁事件来被生成和显示。解决触发了这些威胁事件的网络安全威胁的缓解动作接着通过设备来实现。
现有技术概要
较大数量的计算机安全系统正以渐增方式被部署用于监视各组织的计算机网络的日常运营中发生的安全事件。此类监视活动的主要目的是在诸如对计算机网络的安全性的攻击或破坏之类的异常事件能够对网络造成严重破坏之前检测并缓解这些异常事件。
通常被用于此类目的的监视系统是安全事件监视系统。这样的事件监视系统可被用作集中式枢纽,以接收和整理被传送自计算机网络的许多监视设备的安全事件。每当监视设备检测到异常事件时,该监视设备就将安全事件传送到计算机网络的事件监视系统。由于计算机网络将利用各种各样的监视设备(例如,防火墙、入侵检测系统等),因此事件监视系统通常将接收各种格式和样式的安全事件。为了解决这种信息的混杂,事件监视系统将对所接收的安全事件进行整理并转换成称为可传输事件格式(TIF)的统一格式。以这样的统一格式储存这些安全事件允许经报告的事件的报告标准化、趋势分析和脆弱性分析。
然后,安全分析员可以容易地评估经整理的TIF记录,以确定要被执行以处理安全事件的合适的缓解动作。缓解动作可基于规则集内所提供的预先计划的动作,或者替代地,如果预先计划的动作不可用,则安全事件可被升级以供人类分析员作进一步分析。
行以及要由安全分析员评估的TIF记录的行随着检测到的异常事件数量的增加而被实时快速地生成。常规地,TIF记录将使用基于文本的办法来被显示为页面上的行或列。每个行将包含关于触发了安全事件的攻击的信息,诸如攻击者的源IP地址、攻击的性质、受攻击影响的操作系统等。
分析员将必须查阅TIF记录的每个行,以评估其中所包含的事件是不是对计算机网络的实际威胁。此外,随着TIF记录的越来越多的行被生成,分析员更难以确定或可视化一个事件与下一个事件之间的关系。例如,第一事件可能与在另一监视设备上检测到的第十事件相关。这些问题增加了错误发生的可能性。进而,这将导致对事件的错误评估,其接着导致虚假警报的生成。虚假警报对计算机网络是有害的,因为计算资源必须被部署或禁用以解决这些虚假警报。在某些场景中,恶意攻击者甚至可能利用此类虚假警报的生成来使计算机网络的资源过载,使得恶意攻击者可在网络的资源已被转移以处理大量虚假警报时破坏网络的安全性。
出于以上原因,本领域技术人员正不断努力想出一种允许非常大规模的网络安全威胁事件在单个显示器上被同时地、准确且有效地评估的系统和方法。
发明内容
通过根据本发明的各实施例所提供的系统和方法解决了上述和其他问题,并且在本领域中取得了进步。根据本发明的系统和方法的各实施例的第一优点在于,由显示器上的图形对象表示的网络安全威胁事件可以被实时容易且快速地评估,因为所选择的事件的风险分数将被立即更新和显示。这降低了虚假警报的发生以及随后可避免的缓解动作,由此释放了计算机资源。
根据本发明的系统和方法的各实施例的第二优点在于,触摸界面允许本发明的用户容易地选择相对于彼此以三维格式布置的图形对象,而无需滚动或最小化显示。
根据本发明的系统和方法的各实施例的第三优点在于,定为目标的缓解动作可被快速地执行以解决特定的所选择的事件。被认为对计算机网络具有低风险的事件没有被加以注意,而被确定为对计算机网络构成威胁的事件将被处理。这确保了计算机网络的资源可被战略性地部署。
以上优点是由根据本发明的按以下方式操作的系统的各实施例来提供的。
根据本发明的第一方面,使用设备评估计算机网络的网络安全威胁事件的方法包括:在设备的显示器的用户界面上呈现图形对象,其中每个图形对象表示网络安全威胁事件;通过用户界面的触摸界面接收单个连续触摸输入,该连续触摸输入选择图形对象的子集;为该图形对象子集生成风险分数,其中该风险分数使用该图形对象子集中的每个图形对象的事件分数来被生成;在设备的显示器上显示所生成的风险分数;以及在所生成的风险分数超过置信度分数的情况下针对该图形对象子集中的图形对象执行缓解动作。
参考第一方面,在第一方面的第一种可能的实现中,为该图形对象子集生成风险分数包括:检索与计算机网络相关联的计算机资产的列表和被赋予计算机资产中的每一者的严重性权重值,其中针对每个图形对象,标识受该图形对象所表示的威胁事件影响的计算机资产并对所标识的计算机资产的严重性权重值求和,并且将经求和的严重性权重值除以所有资产的严重性权重值的总和,以获得每个图形对象的事件分数,以及通过将该图形对象子集中的所有图形对象的事件分数的总和除以该图形对象子集中的图形对象的总数并将结果乘以100来计算风险分数。
参考第一方面,在第一方面的第二种可能的实现中,选择图形对象的子集包括通过触摸输入在图形对象周围描绘连续边界;以及从该边界所包围的图形对象生成图形对象的子集。
参考第一方面,在第一方面的第三种可能的实现中,选择图形对象的子集包括通过触摸输入来描绘通过第一平面上所提供的图形对象和第二平面上所提供的图形对象的连续三维图案,其中第一平面上的图形对象通过在触摸界面上施加第一压力值来被选择,并且第二平面上的图形对象通过在触摸界面上施加第二压力值来被选择;以及从该三维图案内所包含的图形对象生成图形对象的子集。
参考第一方面,在第一方面的第四种可能的实现中,选择图形对象的子集包括通过触摸输入来描绘通过第一平面上所提供的图形对象、第二平面上所提供的图形对象和第三平面上所提供的图像对象的连续三维图案,其中第一平面上的图形对象通过在触摸界面上施加第一压力值来被选择,第二平面上的图形对象通过在触摸界面上施加第二压力值来被选择,并且第三平面上的图像对象通过在触摸界面上施加第三压力值来被选择;以及从该三维图案内所包含的图形对象生成图形对象的子集。
参考第一方面,在第一方面的第五种可能的实现中,缓解动作包括通过设备向与计算机网络相关联的中间入侵检测或防御系统传送命令,以规避触发了图形对象子集中的网络安全威胁事件的互联网协议地址,并且同时在可能的情况下向SIEM系统提交事件通知票证。
参考第一方面的第四或第五种可能的实现,在第一方面的第六种可能的实现中,第一压力值包括x和y笛卡尔坐标形式的坐标,并且第二压力值包括x、y和z笛卡尔坐标形式的坐标。
参考第一方面,在第一方面的第七种可能的实现中,在设备的显示器的用户界面上呈现图形对象包括:选择在一时间帧内发生了的威胁事件;将所选择的威胁事件聚类成组,其中每个组表示该时间帧的一时刻,并且其中每个组中的每个威胁事件被显示为图形对象;以及将每一组图形对象显示为沿用户界面的z轴的平面,其中每个平面表示该时间帧的一时刻。
附图简述
以上及其他问题通过根据本发明的在详细描述中描述且在以下附图中示出的系统和方法的特征和优点来解决。
图1解说了表示用于实现根据本发明的各实施例的特征的电子设备中的组件的框图;
图2解说了用于实现根据本发明的各实施例的特征的电子设备中的模块的框图;
图3解说了根据本发明的各实施例的显示用户界面的示例性设备,其中用户界面正显示各自表示一个威胁事件的多个图形对象;
图4解说了根据本发明的各实施例的显示用户界面的示例性设备,其中已使用连续触摸输入选择了图形对象的子集,并且已为所选择的图形对象子集生成并显示了风险分数。
图5a解说了根据本发明的各实施例的显示用户界面的示例性设备,其中用户界面正在显示器上按三维布置显示图形对象;
图5b解说了根据本发明的各实施例的显示用户界面的示例性设备,其中用户界面正在显示器上按三维布置显示图形对象,其中z轴表示时域轴;
图6解说了根据本发明的各实施例的显示用户界面的示例性设备,其中已使用连续触摸输入从图像对象的三维布置中选择了图形对象的子集,并且已为所选择的图形对象子集生成并显示了风险分数;以及
图7解说了根据本发明的各实施例的用于评估在设备的显示器上显示的威胁事件的过程的流程图。
详细描述
本发明涉及用于评估影响计算机网络的网络安全威胁事件构成真实威胁还是虚假警报的系统和方法。具体而言,影响计算机网络的网络安全威胁事件在设备的显示器上被以图形方式显示为按二维(2D)或三维布置配置的多个图形对象。在两种布置中,每个图形对象都意味着威胁事件。在三维(3D)布置中,具有多个深度层(其中每个层表示不同的时间参考帧)的3D图形对象的子集可被选择以关联威胁事件,并且该选择通过向设备的触摸界面施加单个连续触摸输入来被完成。2D布置中的图形对象可以使用类似的连续触摸输入手势来被选择。风险分数将接着基于被包含在该图形对象的子集内的威胁事件来被生成和显示。解决触发了这些威胁事件的网络安全威胁的缓解动作接着通过设备来实现。
图1中的框图解说了可被包括在用于实现根据本发明的各实施例的实施例的电子设备100中的处理系统和该处理系统的各组件。电子设备100可包括但不限于能够执行计算功能并且具有某种形式的显示器的任何设备,诸如智能电话、平板计算机、移动计算机、上网本、诸如智能电话之类的可穿戴电子设备等。本领域技术人员将认识到,每个电子设备的确切配置可以是不同的且每个电子设备的确切配置可以变化,并且图1仅作为示例给出。
在本发明的各实施例中,电子设备100包括控制器101和用户输入102。用户输入102被布置成实现用户与电子设备100之间的手动交互,并且出于该目的而包括用户输入指令以控制电子设备100所需的输入/输出组件。本领域技术人员将认识到,用户输入102的组件可根据实施例而变化,但通常将包括显示器140、键盘135和跟踪板136中的一者或多者。
显示器140还包括触摸屏控制器145,其被用来检测显示器140上的物理输入。在本发明的各实施例中,显示器140可包括任何类型的触摸屏,诸如电阻感测触摸屏、红外感测触摸屏、触觉或感触触摸屏、电容感测触摸屏、声学/压电感测触摸屏、压敏触摸屏等等。显示器140还可包括使用将检测到的移动转换成坐标的运动传感器来检测显示区域上的移动的显示器。
在本发明的各实施例中,显示器140的像素可以由按电容布置来被布置的各电极层(其被基板分隔开)之间的交叉点来定义,使得当压力被施加到显示器140的表面时,各电极层之间的距离改变。当各电极层之间的距离变化时,这导致毗邻所施加的压力测量的电容也发生改变。电容中的这种变化可以通过该像素处的电压中的产生的改变来检测。由于电压和各电极行之间的距离之间的关系,随着电极之间的距离被减小,所测得的像素的电压将相应地减少。通过测量像素的电容中的改变,像素的位置可接着通过触摸屏控制器145来被计算。
像素位置的计算可如以下来被执行。每个电极层可被连接到设置在触摸屏控制器145内的电端子,并且这些电端子可全部被布置成使得触摸屏控制器145能够提供多端子感测布置,使得显示器140上的单个位置值可被确定。具体而言,多端子感测布置允许在X轴、Y轴或Z轴方向上获得以笛卡尔坐标表示的测量。由触摸屏控制器145计算的笛卡尔坐标接着被传送到控制器101以供进一步处理。
控制器101经由总线115与用户输入102进行数据通信,并且包括存储器120、被安装在电路板上的处理用于执行该实施例的方法的指令和数据的中央处理单元(CPU)105、操作系统106、用于与用户输入102通信的输入/输出(I/O)接口130,以及在该实施例中是网卡150的形式的通信接口。网卡150可例如被用于经由有线或无线网络将数据从电子设备100发送到其他处理设备或经由有线或无线网络接收数据。可由网卡150使用的无线网络包括但不限于,无线保真(Wi-Fi)、蓝牙、近场通信(NFC)、蜂窝网络、卫星网络、电信网络、广域网(WAN)等。
存储器120和操作系统106经由总线110与CPU 105进行数据通信。存储器组件包括易失性和非易失性存储器以及不止一种类型的存储器,所述不止一种类型的存储器包括随机存取存储器(RAM)120、只读存储器(ROM)125和大容量存储设备145,最后的大容量存储设备145包括一个或多个固态驱动器(SSD)。本领域技术人员将认识到,存储器组件包括非瞬态计算机可读介质,并且应被视为包括除瞬态、传播的信号以外的所有计算机可读介质。通常,指令被储存为存储器组件中的程序代码,但也可以是硬连线的。存储器120可包括内核和/或编程模块,诸如可被储存在易失性或非易失性存储器中的软件应用。
本文中,术语“CPU”被用来一般地指代可处理此类指令的任何设备或组件,并且可包括:微处理器、微控制器、可编程逻辑器件或其他计算设备。换言之,CPU 105可由任何合适的逻辑电路系统提供以用于接收输入、根据存储器中所储存的指令处理这些输入以及(例如,向存储器组件或在显示器140上)生成输出。在该实施例中,CPU 105可以是具有存储器可寻址空间的单核或多核处理器。在一个示例中,CPU 105可以是多核的,包括例如8核CPU。
图2解说了用于实现本发明的各实施例的示例性软件模块205、210和215。在本发明的各实施例中,触摸控制器模块205、图形对象管理器模块210以及风险分析和威胁评估模块215可全部被提供在存储器120内。操作系统106充当控制用户输入102和控制器101中的各模块之间的数据流的控制器接口,并且可包括用于与电子设备100中的各种硬件或模块通信的软件驱动。例如,驱动将补充对从用户输入102接收的输入信号的处理。此类输入信号可包括但不限于由显示器140检测到的物理数据,该物理数据接着被触摸屏控制器145处理成基于位置的数据,诸如笛卡尔坐标。基于位置的数据接着通过一个或多个应用编程接口(API)被使得对触摸控制器模块205可用。这些API可以是操作系统附带的一组API(例如,Linux或UNIX API),以及专用于发送和接收与触摸输入相关的数据的API。触摸控制器模块205接收基于位置的数据,并接着根据内部模型将所接收的数据转换成输入事件。基于输入事件的类型,相关数据可接着被提供给图形对象管理模块210或风险分析和威胁评估模块215以待进一步处理,如以下关于图3-6的部分所描述。
如前面部分所提到的,事件监视系统通常被用作集中式枢纽,以接收和整理从受监视计算机网络中的监视设备传送的安全事件。每当监视设备检测到异常事件时,该监视设备就将安全事件传送到计算机网络的事件监视系统。每个接收到的安全事件将接着由事件监视系统转换成用可传输事件格式(TIF)的记录。
这些事件中的每一者可包括诸如但不限于以下的事件:用户对根的攻击(user toroot attack),诸如“rootkit”、“loadmodule”或“Perl”;远程对本地攻击,诸如“warezclient”、“warezmaster”、“imap”、“ftpwrite”、“multihop”、“phf”或“spy”;拒绝服务攻击,诸如“ping of death”、“back”、“mail bomb”、“UDP storm”、“xlock”、“xnsnoop”或“sendmail dictionary”;或探测攻击,诸如“saint”、“portsweep”、“mscan”或“nmap”,这里仅举几个例子。每个事件记录都将包含事件的属性,诸如触发了事件的源IP、事件的源IP、类别、数据、协议、目的地端口、描述、以及列出事件发生的时间连同事件的持续时间的事件的时间戳等等。
在本发明的各实施例中,来自事件监视系统的TIF记录的每个事件可被显示为显示器的用户界面上的图形对象。在图3中解说了这样的实施例,其中示例性电子设备被例示为具有触摸屏显示器310。触摸屏显示器310被进一步提供有用户界面305。图形对象I1-I9被显示在用户界面305上,其中每个图形对象表示来自监视系统的TIF记录的唯一事件。本领域技术人员将认识到,虽然图3仅例示了表示九个事件的九个图形对象,但是在不脱离本发明的情况下,可以在用户界面305上显示任何数量的图形对象。
用户界面305允许设备的用户通过施加各种触摸输入(例如,通过跨触摸屏显示器310的表面移动手指或任何压力施加工具)来与被显示在显示器310上的图形对象交互。用户界面305上的图形对象可按二维布置来被布置(如图3所例示),或者如果大量的图形对象要被显示的话,则用户界面305将改为促使这些图形对象按三维布置来被显示(如图5a所例示)。
在第一时刻处,用户可将压力(使用手指或指针)施加到用户界面305上,以选择性地围绕用户界面305上所显示的某些图形对象绘制连续边界,从而指示这些图形对象将被选择。在图3所示的示例中,压力被施加在点315处,并且该压力在单次运动中被连续地施加,以围绕图形对象I1、I2、I5、I6和I7描绘圆320。虚线或某种形式的视觉指示符可被显示在显示器310上,以在视觉上向用户指示图形对象I1、I2、I5、I6和I7将被选择作为由圆320包围的图形对象的子集的一部分。
在下一个时刻处,在用户已停止向用户界面305施加压力之后,圆320将被变换成包围以连续边界为界的图形对象的三维对象410。在所例示的示例中,这导致对象410包围图形对象I1、I2、I5、I6和I7。当这发生时,由三维对象410包围的图形对象将自动地形成图形对象的子集。
同时,在图形对象的子集在用户界面305处的创建之际(即,在三维对象410的形成之际),设备内所包含的风险分析和威胁评估模块(例如,模块215)将被触发以计算图形对象的子集内所包含的事件的风险分数。该经计算的风险分数接着在用户界面305上被显示为风险分数405。
在本发明的各实施例中,(由图形对象表示的)每个事件的风险分数可按以下方式来被计算。风险和威胁评估模块将首先检索与计算机网络相关联的计算机资产的列表。计算机资产中的每一者都将具有预先分配的严重性权重值。通常,在计算机网络的日常运行中关键的计算机资产(即,有价值的资产)与本该赋予相对较低的严重性权重值的不那么有价值的资产相比将被赋予较大的严重性权重值。在本发明的各实施例中,严重性权重值的范围可以在0-10之间,其中10是可被分配给计算机资产的最大的严重性权重值,而0是可被分配给计算机资产的最低的严重性权重值。本领域技术人员将认识到,具有不同严重性权重范围(例如,0-100、50-100等)的数字值可被使用而不脱离本发明,并且被留给本领域技术人员作为设计选择。
风险和威胁评估模块将接着比照对象410内所包含的每个事件来证实所检索的计算机资产的列表,以确定每个事件的严重性权重分数。如果计算机资产受事件影响,则该事件的严重性权重值将被用于该事件的总体严重性权重分数的生成。在本发明的各实施例中,可以使用以下公式来计算事件的严重性权重分数:
Figure BDA0001856506580000091
其中“IncidentScore(事件分数)”是事件的总严重性权重分数,而“Weightage ofAffected Assets(受影响资产的权重)”是受该事件影响的资产的权重严重性值。然后可以使用以下公式计算对象410中所包含的事件的总风险分数:
Figure BDA0001856506580000092
使用以下示例来最好地解释以上公式。在图4所例示的示例性实施例中,假设评估模块已检索了计算机网络的资产列表连同它们各自的预先分配的严重性权重值。在该示例中,示出了计算机网络包括计算机资产460(即,A1-A7),这些计算机资产每个都已被预先分配了它们各自的严重性权重值465(即,分别为“3”、“9”、“5”、“1”、“2”)。这些资产已被预先分配了0–10之间的值,其中值“10”被赋予在计算机网络中最重要或最有价值的资产。
评估模块将通过选择对象410中所包含的作为图形对象I1的第一事件来开始事件分数计算过程(即,从事件465作出选择,例如I1、I2、I5、I6和I7)。由于关于每个事件的所有信息都被储存在每个事件记录内(即,关于I1的信息被包含在I1本身内),因此受事件I1影响的特征可被获得自对应的事件记录本身。所选择的对象I1接着被与资产460中的资产列表进行比较,并假设确定I1影响资产A1(3)、A5(5)和A6(2),则事件I1的严重性权重分数接着使用公式(1)来被计算。然后,事件分数被获得为“(10/20)=0.5”。事件分数计算过程的确定步骤可以在评估模块中被执行,其中该评估模块标识具有受事件I1影响的特征的资产。例如,如果事件I1的记录指示I1通过HTTP或FTP协议影响Windows操作系统,则只有运行Windows操作系统和HTTP或FTP协议的资产将受到事件I1的影响。不运行此类配置的资产将不受事件I1的影响。
返回该示例,该过程接着针对其他剩余的事件(即,I2、I5、I6和I7)来被重复。假设事件分数被获得为如下:I2具有0.1的事件分数,I5具有0.45的事件分数,I6具有0.15的事件分数,而I7具有0.30的事件分数,则对象410中所包含的对象的风险分数可接着使用以上公式(2)来被获得。然后,风险分数被获得为“[(0.5+0.1+0.45+0.15+0.3)/5]X 100%=30%”。风险分数405将接着在用户界面305上显示所获得的30%的值。应当注意,所有这些计算都发生在评估模块中,并且不被显示在用户界面305上。被显示给用户界面305的用户的唯一结果是风险分数405。
根据所显示的风险分数,用户接着能够确定缓解动作是否要被执行以解决对象410中所包含的事件。在该示例中,由于所获得的风险分数仅为30%,因此用户通常将不会针对这些事件发起任何缓解动作。用户将继续选择事件的下一个子集,并且以上所描述的过程本身重复进行,直到用户获得警告它们的风险分数值,例如,>80%的风险分数值。
在本发明的另一实施例中,当用户界面305从图形对象管理模块(例如,模块210)确定图形对象可能不再在显示器310上的单个屏幕上被呈现为二维布置时,用户界面305将促使图形对象被呈现为三维布置而不是二维布置。这样的三维布置在图5a中被显示为三维布置500。三维布置500包括三个平面。这些平面是包括图形对象的二维布置的平面501、包括图形对象的另一二维布置的平面502和包括图形对象的又一个二维布置的平面503。这三个平面全部被组合在一起以形成三维布置500。本领域技术人员将认识到,可以使用任何数量的平面而不脱离本发明。还应当注意,每个平面可包括任何数量的图形对象,只要所有图形对象可同时被显示在显示器310上的单个屏幕上。布置500中的图形对象还被显示为半透明对象而不是实心图形对象。这确保了后面的平面(即,平面502和503)中的对象可被用户界面305的用户容易地查看,并且不被最前方的平面(即,平面501)上所提供的图形对象阻挡。
在这个阶段,有用的是回顾一下在本发明的一实施例中,用户界面305上所显示的每个图形对象表示来自事件监视系统的TIF记录的事件。随时间推移,被储存在TIF记录中的事件的数量将相应地增加。为了向用户提供可能在一时间段T内影响计算机网络的事件的整体概览,计算机系统中的图形对象管理模块可通过根据事件类型将事件聚类在一起来预处理所储存的事件。对象管理模块将首先收集时间段T内发生了的所有事件。本领域技术人员将认识到T可包括任何时间段,诸如但不限于任何天数、月数或年数,并且被留给本领域技术人员作为设计选择。管理模块将接着根据事件类型将事件分组或聚类在一起。一旦这被完成,管理模块就将接着在用户界面上将这些事件类型中的每一者显示为图形对象。
在本发明的各实施例中,图3中的二维布置和图5中的三维布置中所显示的图形对象可使用以上所描述的预处理方法来被处理,其中代替将每个单个事件记录表示为图形对象,每个所显示的图形对象表示事件类型的群集。在本发明的各实施例中,在诸如布置500的三维布置中,事件群集可按分层方式来被显示,其中具有最大数量的群集的事件群集可被显示在最靠近用户界面305的用户的平面(即,平面501)处,而具有较少数量的群集的事件群集可被显示在第一平面后面的平面(即,平面502)处,以此类推。通过这么做,系统能够使用户注意到包含频繁发生的事件的事件群集。用户可接着根据需要通过选择性地将所显示的图形对象分组在一起来获得所选择的图形对象的各分组的风险分数。用户接着能够获得跨时段T的由事件类型的各种分组发起的威胁的一般概览。
在本发明的又一个实施例中,为了给用户提供可能在较短时段N内影响计算机网络的事件的实时快照视图,计算机系统中的图形对象管理模块可通过仅选择在t=0-N和t=0之间发生了的事件来预处理所储存的事件。应当注意,时段N通常比时段T短得多,并且N的时段被留给本领域技术人员作为设计选择。图形对象管理模块将接着把所选择的事件聚类到t0、t0-1、t0-2...t0-N的时间间隔中,其中每个时间间隔表示一时刻。为避免疑义,t0-2的时间间隔发生在t0-1之前;t0-1的时间间隔发生在t0之前,依此类推。每个事件接着各自被显示为用户界面305上的图形对象,其中被聚类在一起(即,具有相同的时间间隔)的事件全部被绘制在沿z轴的相同平面上。
在图5b中解说了这样的实施例,其中三维布置550包括已被预处理以向用户提供在以下时段之间发生的事件的快照视图的图像对象(每个表示一事件):t=0-N和t=0。在布置550中,在时间间隔t0处发生的事件全都被绘制为平面551上的图形对象;在时间间隔t0-1处发生的事件全都被绘制为平面552上的图形对象;并且在时间间隔t0-2处发生的事件全都被绘制为平面553上的图形对象。概括而言,在布置550中,最新近的事件被绘制为在布置550的前面提供的平面551上的图形对象;而在更早之前发生了的事件则被绘制在平面551后面的对应平面上。虽然布置550仅例示了三个平面(即,平面551、552和553),但是本领域技术人员将认识到布置550上所绘制的平面的数量将对应于直至t=t0-N时刻的时刻数,即N个平面。这样的布置是有用的,因为它向用户提供了对跨多个时间间隔的事件发生的洞察。
对于图5a和5b中所解说的实施例,在最靠近用户界面305的用户的平面(即,分别为平面501或551)上提供的图形对象可通过将第一压力水平(使用手指或指针)施加到要选择的图形对象上来被选择,而在该平面后面的平面(即,分别为平面502或552)上提供的图形对象可通过施加第二压力水平来被选择。被提供在系统内的触摸控制器模块(例如,模块205)将确定检测到的压力水平是落在第一压力水平内还是落在第二压力水平内。这可通过以下来被完成:设置上压力边界和下压力边界以划分相应的压力水平。同时,图形对象管理模块(例如,模块210)将确定图像对象是否被提供在压力水平被检测到的位置处。如果图形对象管理模块确定图形对象存在于相关压力水平被测得的特定位置处,则该模块将促使该特定图形对象被选择。类似地,在平面503或553上提供的图形对象可通过施加第三压力水平来被选择。本领域技术人员将认识到,在其他平面上提供的图形对象(例如,用来在第四平面上选择对象的第四压力水平)可按相同的方式来被选择。
图6解说了本发明的该实施例的示例,其中三维布置500中的图形对象的子集使用以上所描述的方法来被选择。本领域技术人员将认识到,该示例也可被应用于如图5b中所描述的布置550。在该示例中,图形对象601、602、603和604是要被选择以形成图形对象的子集的图形对象。在第一时刻处,第一压力水平被施加到对象601。该第一压力水平由用户界面305检测,并且由此,对象601被添加到图形对象的子集。在连续运动中,在不移除施加在用户界面305上的压力(例如,手指或指针)的情况下,沿着x轴朝向对象602连续地施加压力。用户界面305接着确定连续运动中的第一压力水平已如此被施加在对象602处;对象602也被添加到图形对象的子集中。
在这个阶段,如果用户希望仅获得这两个图形对象(即,对象601和602)的风险分数405,或者更具体而言希望获得由这些对象表示的事件的风险分数405,则用户可通过移开他们的手指或指针来移除施加在用户界面305上的压力。当压力被移除时,仅这两个事件的风险分数被自动地计算,并且该风险分数将在用户界面305上被显示给用户。
替代地,如果用户希望将另外的图形对象添加到图形对象的子集,则用户将必须在选择对象602之后连续地选择下一个图形对象。在图6所示的示例中,要选择的下一个对象是对象603,其位于与对象601和602不同的平面上。为了选择被提供在平面502处的对象603,作为先前连续运动的一部分,在不移除施加在用户界面305上的压力(例如,手指或指针)的情况下,沿着z轴朝向对象603连续地施加压力。一旦第二压力水平被施加到对象603,则用户界面305将确定由于连续运动中的第二压力水平已被施加在对象603处,因此对象603要被添加到图形对象的子集。
应当注意,当触摸运动被以单条连续的线施加在对象602和对象603之间时,所施加的触摸压力本该穿过对象611。然而,对象611没有被选择,因为对象611驻留在平面503中。这意味着对象611只有在第三压力水平被施加时才可被选择。这确保了即使多个平面被用于三维布置500中,用户仍可毫不费力地准确且快速地选择期望的图形对象。
现在要选择的在对象603之后的下一个对象是对象604,其位于与对象601、602和603不同的平面处。为了选择被提供在平面503处的对象604,作为先前连续运动的一部分,在不移除施加在用户界面305上的压力(例如,手指或指针)的情况下,沿着z轴从对象603朝对象603连续地施加压力。一旦第三压力水平被施加到对象604,则用户界面305将确定由于连续运动中的第三压力水平已被施加在对象604处,因此对象604同样要被添加到图形对象的子集。
当用户已完成对要添加到图形对象的子集的图形对象的选择时,用户现在可停止将压力施加到用户界面305。当这发生时,已被选择的图形对象601、602、603和604将自动地形成图形对象的子集。
类似地,在图形对象的子集在用户界面305处的创建之际,设备内所包含的风险分析和威胁评估模块(例如,模块215)将被触发以计算图形对象的子集内所包含的事件的风险分数。该经计算的风险分数接着在用户界面305上被显示为风险分数405。
如果从风险分数405确定图形对象的子集中的事件表示对计算机网络的实际威胁,则风险和威胁评估模块将接着提出可被执行以解决所选择的事件的缓解动作。所提出的缓解动作的列表可被显示在显示器310上。用户可接着通过以下来选择要执行的缓解动作:在用户界面305上用滑动运动来选择该动作或者将触摸压力施加到该合适的动作上使得用户界面305识别出该动作已被选择。应当注意,缓解动作将仅相关于被包含在图形对象的子集内的事件来被执行。例如,如果缓解操作涉及向计算机分析员发送电子邮件以进行进一步动作,则电子邮件将仅包含关于图形对象的子集内所包含的事件的信息。这意味着计算机分析员将被提供允许他们把特定监视设备作为目标的详细信息。这些信息可改善分析员的响应时间,因为他们将不会随无关数据或虚假警报而应接不暇。
在本发明的各实施例中,缓解动作可涉及将命令传输到中间入侵检测或防御系统,以规避触发了网络安全威胁事件的互联网协议地址,并且同时,在可能的情况下向安全信息和事件管理(SIEM)系统提交事件通知票证。可以从事件记录中检索关于触发了攻击的源IP的信息。
在本发明的各实施例中,需要一种用于评估和处理在触摸屏显示器上被表示为图形对象的网络安全威胁事件的过程。以下描述和图7描述了根据本发明的过程的实施例。
图7解说了由计算机系统执行以允许用户快速地评估在显示器上表示为图形对象的网络安全威胁事件的过程700。该过程接着计算所选择的威胁事件的风险分数,并且提出场景检测规程作为缓解动作。
过程700开始于步骤705,其中过程700将TIF记录内所包含的每个事件显示为显示器的用户界面上的图形对象。在该步骤处,过程700确定图形对象是要作为二维布置还是作为三维布置来被显示。如果二维布置中的所有图形对象都可被显示在单个显示屏幕上,则过程700将选择二维布置。替代地,过程700将为图形对象选择三维布置,由此图形对象被布置为多个平面。
过程700接着进行到步骤710,其中过程700经由显示器的用户界面接收用于选择要形成图形对象的子集的一部分的图形对象的用户输入。用户输入可采取显示器上的触摸压力的形式。基于图形对象的子集内所包含的图形对象,或者基于由该图形对象子集表示的事件,过程700接着行进至计算所选择的事件的风险分数。这发生在步骤715处。一旦风险分数已被计算,则过程700还在步骤715处显示风险分数。
在步骤720处,过程700确定是否接收到用于选择图形对象的新的子集以替换先前所选择的子集的进一步的用户输入。如果过程700确定这样的进一步的用户输入已被接收,则过程700返回到步骤710,其中过程700行进至经由显示器的用户界面接收用于选择要形成图形对象的新的子集的图形对象的进一步的用户输入。类似地,基于图形对象的新的子集内所包含的图形对象,过程700在步骤715处接着行进至计算所选择的事件的风险分数。一旦风险分数已被计算,则过程700还在步骤715处显示风险分数。
替代地,如果在步骤720处,过程700确定没有接收到进一步的用户输入,则过程700在步骤725处接着行进至执行场景检测规程以解决被确定为威胁的事件。场景检测规程可包括把所选择的事件作为目标的缓解动作,诸如向相关各方发送电子邮件或中断攻击源。
以上是对如在所附权利要求中阐述的根据本发明的系统和过程的各实施例的描述。设想了其他人可能设计以及将设计落在所附权利要求范围内的替代方案。

Claims (14)

1.一种使用设备评估计算机网络的网络安全威胁事件的方法,所述方法包括:
在所述设备的显示器的用户界面上呈现图形对象,其中每个图形对象表示网络安全威胁事件;
通过所述用户界面的触摸界面接收单个连续触摸输入,所述连续触摸输入选择图形对象的子集;
为所述图形对象子集生成风险分数,其中所述风险分数使用所述图形对象子集中的每个图形对象的事件分数来生成;
在所述设备的显示器上显示所生成的风险分数;以及
在所生成的风险分数超过置信度分数的情况下针对所述图形对象子集中的图形对象执行缓解动作,
其中所述为所述图形对象子集生成所述风险分数包括:
检索与所述计算机网络相关联的计算机资产的列表和被赋予所述计算机资产中的每一者的严重性权重值,其中针对每个图形对象,标识受所述图形对象所表示的所述威胁事件影响的计算机资产并对所标识的计算机资产的严重性权重值求和,并且将经求和的严重性权重值除以所有所述资产的严重性权重值的总和,以获得针对每个图形对象的事件分数,以及
通过将所述图形对象子集中的所有图形对象的事件分数的总和除以所述图形对象子集中的图形对象的总数并将所得结果乘以100来计算所述风险分数。
2.根据权利要求1所述的方法,其特征在于,所述选择所述图形对象子集包括:
通过所述触摸输入在所述图形对象周围描绘连续边界;以及
从所述边界所包围的图形对象生成所述图形对象子集。
3.根据权利要求1所述的方法,其特征在于,所述选择所述图形对象子集包括:
通过所述触摸输入来描绘通过第一平面上所提供的图形对象和第二平面上所提供的图形对象的连续三维图案,其中所述第一平面上的图形对象通过在所述触摸界面上施加第一压力值来被选择,并且所述第二平面上的图形对象通过在所述触摸界面上施加第二压力值来被选择;以及
从所述三维图案内所包含的图形对象生成所述图形对象子集。
4.根据权利要求1所述的方法,其特征在于,所述选择所述图形对象子集包括:
通过所述触摸输入来描绘通过第一平面上所提供的图形对象、第二平面上所提供的图形对象和第三平面上所提供的图像对象的连续三维图案,其中所述第一平面上的图形对象通过在所述触摸界面上施加第一压力值来被选择,所述第二平面上的图形对象通过在所述触摸界面上施加第二压力值来被选择,并且所述第三平面上的图像对象通过在所述触摸界面上施加第三压力值来被选择;以及
从所述三维图案内所包含的图形对象生成所述图形对象子集。
5.根据权利要求1所述的方法,其特征在于,所述缓解动作包括:
通过所述设备向与所述计算机网络相关联的中间入侵检测系统传送命令,所述命令指令所述入侵检测系统规避触发了所述图形对象子集中的所述网络安全威胁事件的互联网协议(IP)地址。
6.根据权利要求3或4中任一项所述的方法,其特征在于,所述第一压力值包括x和y笛卡尔坐标形式的坐标,并且所述第二压力值包括x、y和z笛卡尔坐标形式的坐标。
7.根据权利要求1所述的方法,其特征在于,所述在所述设备的显示器的用户界面上呈现所述图形对象包括:
选择在一时间帧内发生了的威胁事件;
将所选择的威胁事件聚类成组,其中每个组表示所述时间帧中的一时刻,并且其中每个组中的每个威胁事件被显示为图形对象;以及
将每一组图形对象显示为沿所述用户界面的z轴的平面,其中每个平面表示所述时间帧的一时刻。
8.一种用于评估计算机网络的网络安全威胁事件的系统,包括:
处理单元;以及
能由所述处理单元读取的非瞬态介质,所述介质储存当由所述处理单元执行时致使所述处理单元执行以下步骤的指令:
在设备的显示器的用户界面上呈现图形对象,其中每个图形对象表示网络安全威胁事件;
通过所述用户界面的触摸界面接收单个连续触摸输入,所述连续触摸输入选择图形对象的子集;
为所述图形对象子集生成风险分数,其中所述风险分数使用所述图形对象子集中的每个图形对象的事件分数来被生成;
在所述设备的显示器上显示所生成的风险分数;以及
在所生成的风险分数超过置信度分数的情况下针对所述图形对象子集中的图形对象执行缓解动作,
其中用于为所述图形对象子集生成所述风险分数的指令包括用于引导所述处理单元执行以下步骤的指令:
检索与所述计算机网络相关联的计算机资产的列表和被赋予所述计算机资产中的每一者的严重性权重值,其中针对每个图形对象,标识受所述图形对象所表示的所述威胁事件影响的计算机资产并对所标识的计算机资产的严重性权重值求和,并且将经求和的严重性权重值除以所有所述资产的严重性权重值的总和,以获得针对每个图形对象的所述事件分数,以及
通过将所述图形对象子集中的所有图形对象的事件分数的总和除以所述图形对象子集中的图形对象的总数并将所得结果乘以100来计算所述风险分数。
9.根据权利要求8所述的系统,其特征在于,用于选择所述图形对象子集的指令包括:
用于引导所述处理单元执行以下步骤的指令:
通过所述触摸输入在所述图形对象周围描绘连续边界;以及
从所述边界所包围的图形对象生成所述图形对象子集。
10.根据权利要求8所述的系统,其特征在于,用于选择所述图形对象子集的指令包括:
用于引导所述处理单元执行以下步骤的指令:
通过所述触摸输入来描绘通过第一平面上所提供的图形对象和第二平面上所提供的图形对象的连续三维图案,其中所述第一平面上的图形对象通过在所述触摸界面上施加第一压力值来被选择,并且所述第二平面上的图形对象通过在所述触摸界面上施加第二压力值来被选择;以及
从所述三维图案内所包含的图形对象生成所述图形对象子集。
11.根据权利要求8所述的系统,其特征在于,用于选择所述图形对象子集的指令包括:
用于引导所述处理单元执行以下步骤的指令:
通过所述触摸输入来描绘通过第一平面上所提供的图形对象、第二平面上所提供的图形对象和第三平面上所提供的图像对象的连续三维图案,其中所述第一平面上的图形对象通过在所述触摸界面上施加第一压力值来被选择,所述第二平面上的图形对象通过在所述触摸界面上施加第二压力值来被选择,并且所述第三平面上的图像对象通过在所述触摸界面上施加第三压力值来被选择;以及
从所述三维图案内所包含的图形对象生成所述图形对象子集。
12.根据权利要求8所述的系统,其特征在于,所述缓解动作包括:
用于引导所述处理单元执行以下步骤的指令:
通过所述设备向与所述计算机网络相关联的中间入侵检测系统传送命令,所述命令指令所述入侵检测系统规避触发了所述图形对象子集中的所述网络安全威胁事件的互联网协议(IP)地址。
13.根据权利要求10或11中任一项所述的系统,其特征在于,所述第一压力值包括x和y笛卡尔坐标形式的坐标,并且所述第二压力值包括x、y和z笛卡尔坐标形式的坐标。
14.根据权利要求8所述的系统,其特征在于,用于在所述设备的显示器的用户界面上呈现所述图形对象的指令包括:
用于引导所述处理单元执行以下步骤的指令:
选择在一时间帧内发生了的威胁事件;
将所选择的威胁事件聚类成组,其中每个组表示所述时间帧的一时刻,并且其中每个组中的每个威胁事件被显示为图形对象;以及
将每一组图形对象显示为沿所述用户界面的z轴的平面,其中每个平面表示所述时间帧的一时刻。
CN201680085463.XA 2016-04-11 2016-04-11 用于使用3d抽象建模的离散时间参考中的威胁事件证实的系统和方法 Active CN109154965B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SG2016/050175 WO2017180057A1 (en) 2016-04-11 2016-04-11 System and method for threat incidents corroboration in discrete temporal reference using 3d abstract modelling

Publications (2)

Publication Number Publication Date
CN109154965A CN109154965A (zh) 2019-01-04
CN109154965B true CN109154965B (zh) 2021-08-10

Family

ID=60042562

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680085463.XA Active CN109154965B (zh) 2016-04-11 2016-04-11 用于使用3d抽象建模的离散时间参考中的威胁事件证实的系统和方法

Country Status (7)

Country Link
US (1) US10237297B2 (zh)
EP (1) EP3443498B1 (zh)
CN (1) CN109154965B (zh)
AU (1) AU2016402550B2 (zh)
MY (1) MY191560A (zh)
SG (1) SG11201606387QA (zh)
WO (1) WO2017180057A1 (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10587644B1 (en) 2017-05-11 2020-03-10 Ca, Inc. Monitoring and managing credential and application threat mitigations in a computer system
AU2017421179B2 (en) * 2017-06-29 2022-10-27 Certis Cisco Security Pte Ltd Autonomic incident triage prioritization by performance modifier and temporal decay parameters
US10565844B2 (en) 2017-09-27 2020-02-18 Johnson Controls Technology Company Building risk analysis system with global risk dashboard
US20190138512A1 (en) 2017-09-27 2019-05-09 Johnson Controls Technology Company Building risk analysis system with dynamic and base line risk
US11477219B2 (en) * 2018-02-20 2022-10-18 Darktrace Holdings Limited Endpoint agent and system
WO2019165548A1 (en) * 2018-02-28 2019-09-06 Cyber Defence Qcd Corporation Methods and systems for cyber-monitoring and visually depicting cyber-activities
CN110808947B (zh) * 2019-05-23 2022-03-04 南瑞集团有限公司 一种自动化的脆弱性量化评估方法及系统
US20210286879A1 (en) * 2020-03-13 2021-09-16 International Business Machines Corporation Displaying Cyber Threat Data in a Narrative
US11503047B2 (en) 2020-03-13 2022-11-15 International Business Machines Corporation Relationship-based conversion of cyber threat data into a narrative-like format
US11843622B1 (en) * 2020-10-16 2023-12-12 Splunk Inc. Providing machine learning models for classifying domain names for malware detection

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6906709B1 (en) * 2001-02-27 2005-06-14 Applied Visions, Inc. Visualizing security incidents in a computer network
US8468606B2 (en) * 2009-12-08 2013-06-18 Verizon Patent And Licensing Inc. Security handling based on risk management

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5287121A (en) * 1989-11-20 1994-02-15 Louis William M Integrating graphics input device
US20020056009A1 (en) * 2000-08-22 2002-05-09 Affif Filippo L. Method for interacting with a device using an abstract space
KR101207328B1 (ko) * 2004-08-02 2012-12-03 코닌클리케 필립스 일렉트로닉스 엔.브이. 압력 감지 터치 스크린, 압력 감지 터치 스크린을 구비하는 데이터 처리 시스템, 데이터 처리 시스템과의 사용자 상호작용을 쉽게 하는 방법, 및 컴퓨터 판독 가능한 매체
DE102008000405A1 (de) * 2008-02-26 2009-09-24 Visteon Global Technologies, Inc., Van Buren Township Benutzerschnittstelle zur Einstellung von Parametern für Klimaanlagen in Fahrzeugen
US20090254970A1 (en) * 2008-04-04 2009-10-08 Avaya Inc. Multi-tier security event correlation and mitigation
US8060936B2 (en) * 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US20130247205A1 (en) * 2010-07-14 2013-09-19 Mcafee, Inc. Calculating quantitative asset risk
US8621637B2 (en) * 2011-01-10 2013-12-31 Saudi Arabian Oil Company Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems
KR101295709B1 (ko) * 2011-08-24 2013-09-16 주식회사 팬택 백그라운드 프로세스에 대한 보안 정보 제공 장치 및 방법
US9686293B2 (en) 2011-11-03 2017-06-20 Cyphort Inc. Systems and methods for malware detection and mitigation
US20130241865A1 (en) * 2012-03-19 2013-09-19 Cheng Uei Precision Industry Co., Ltd. Touch display device and method for determining touch position thereof
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US9954883B2 (en) * 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment
US9298266B2 (en) * 2013-04-02 2016-03-29 Aquifi, Inc. Systems and methods for implementing three-dimensional (3D) gesture based graphical user interfaces (GUI) that incorporate gesture reactive interface objects
US20150052465A1 (en) * 2013-08-16 2015-02-19 Microsoft Corporation Feedback for Lasso Selection
US9798808B2 (en) * 2014-03-17 2017-10-24 SynerScope B.V. Data visualization system
US9832219B2 (en) * 2014-09-05 2017-11-28 International Business Machines Corporation System for tracking data security threats and method for same
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
CN105224126B (zh) * 2015-09-17 2017-02-01 京东方科技集团股份有限公司 触摸屏及其压力触控检测方法
US20170126727A1 (en) * 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having threat visualization

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6906709B1 (en) * 2001-02-27 2005-06-14 Applied Visions, Inc. Visualizing security incidents in a computer network
US8468606B2 (en) * 2009-12-08 2013-06-18 Verizon Patent And Licensing Inc. Security handling based on risk management

Also Published As

Publication number Publication date
SG11201606387QA (en) 2017-11-29
US20180324202A1 (en) 2018-11-08
EP3443498A4 (en) 2019-11-27
EP3443498A1 (en) 2019-02-20
AU2016402550A1 (en) 2018-11-01
CN109154965A (zh) 2019-01-04
MY191560A (en) 2022-06-30
WO2017180057A1 (en) 2017-10-19
EP3443498B1 (en) 2021-11-10
US10237297B2 (en) 2019-03-19
AU2016402550B2 (en) 2021-04-08

Similar Documents

Publication Publication Date Title
CN109154965B (zh) 用于使用3d抽象建模的离散时间参考中的威胁事件证实的系统和方法
US11093608B2 (en) Anomaly detection in enterprise threat detection
EP3635602B1 (en) Validating correlation between chains of alerts using cloud view
CN107835149B (zh) 基于dns流量分析的网络窃密行为检测方法以及装置
US10592308B2 (en) Aggregation based event identification
US11487880B2 (en) Inferring security incidents from observational data
US20160179063A1 (en) Pipeline generation for data stream actuated control
US11756404B2 (en) Adaptive severity functions for alerts
CN107592309B (zh) 安全事件检测和处理方法、系统、设备及存储介质
US20160330217A1 (en) Security breach prediction based on emotional analysis
JP6939906B2 (ja) 異常検知装置
JP6656211B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
EP3479279B1 (en) Dynamic ranking and presentation of endpoints based on age of symptoms and importance of the endpoint in the environment
CN113242267A (zh) 一种基于类脑计算的态势感知方法
WO2019218875A1 (zh) 单台在网设备风险评估方法及系统
US20210287246A1 (en) Visualization of dynamic events and anomaly detection
WO2023040764A1 (en) Dynamic geofencing-enabled physiological risk monitoring system in physical and mixed reality environments
CN114095345A (zh) 主机网络健康状况评估方法、装置、设备和存储介质
EP2915059B1 (en) Analyzing data with computer vision
AU2013207630A1 (en) Detection of Anomalous Behaviour in Computer Network Activity
WO2022264650A1 (ja) サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム
CN115965584A (zh) 资源处理方法、装置、计算机设备和存储介质
WO2015183253A1 (en) Dynamic graphic entity determination
JP2015106215A (ja) リスク分析装置及びリスク分析プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1261050

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant