CN109564609A - 利用先进计算机决策平台的计算机攻击的检测缓和与矫正 - Google Patents

利用先进计算机决策平台的计算机攻击的检测缓和与矫正 Download PDF

Info

Publication number
CN109564609A
CN109564609A CN201780047021.0A CN201780047021A CN109564609A CN 109564609 A CN109564609 A CN 109564609A CN 201780047021 A CN201780047021 A CN 201780047021A CN 109564609 A CN109564609 A CN 109564609A
Authority
CN
China
Prior art keywords
data
network
module
retrieved
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201780047021.0A
Other languages
English (en)
Inventor
杰森·克拉布特里
安德鲁·塞勒斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qomplx Inc
Original Assignee
Fractal Industries Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US15/229,476 external-priority patent/US10454791B2/en
Priority claimed from US15/237,625 external-priority patent/US10248910B2/en
Application filed by Fractal Industries Inc filed Critical Fractal Industries Inc
Publication of CN109564609A publication Critical patent/CN109564609A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

一种用于利用先进计算机决策平台的计算机攻击的缓和系统,包括时序数据检索模块、有向计算图形模块、结果模拟模块和观察模块。时序数据检索模块监控来自多个源的计算机安全相关数据,并连续地监控客户端网络上通信量。有向计算图形模块为了基线模式确定分析所检索数据,并为了异常出现分析数据。结果模拟模块对由平台的其他模块所提供的数据执行预测模拟变换并如需要的话提供结果。观察模块格式化数据以最大化所包括信息和数据的影响。一种用于从多个网络服务源捕捉数据的高度可伸缩分布式连接接口,包括连接器模块,其中,连接器模块从多个网络数据源检索多个商业相关数据;利用多个应用编程接口流行程序以与多个商业相关数据源通信;接受多个分析参数并控制直接来自人类界面装置或来自一个或多个命令和控制存储装置的命令;以及规定将对所检索商业数据采取的动作。

Description

利用先进计算机决策平台的计算机攻击的检测缓和与矫正
与申请相关联的交叉引用
本申请是2016年8月15日提交的名称为“DETECTION MITIGATION ANDREMEDIATION OF CYBERATTACKS EMPLOYING AN ADVANCED CYBER-DECISION PLATFORM”的美国专利申请序列号15/237,625、以及2016年8月5日提交的名称为“HIGHLY SCALABLEDISTRIBUTED CONNECTION INTERFACE FOR DATA CAPTURE FROM MULTIPLE NETWORKSERVICE SOURCES”的美国专利申请序列号15/229,476的PCT申请并且要求享有其优先权,在此通过全文引用的方式将其整个说明书并入本文。
技术领域
本发明属于在商业信息管理、运营和预测计划中使用计算机系统的领域。具体地,使用先进计算机决策系统以缓和新计算机攻击的发起并提供对正在进行计算机安全违背的近实时筛余分析,以及使用编程用于从广泛各种网络服务源捕捉信息并随后格式化该信息以用于紧邻指定下游商业信息系统使用的高可伸缩、分布式和自负载平衡连接接口。
背景技术
在过去数十年,针对多个公司的信息技术资产以及美国政府内部门和机构的计算机攻击(也即非法访问和修改)的频率和复杂性已经显著升级,并且IT基础结构脆弱点的发现和利用继续加速。计算机闯入的步调可以说现在已经达到依赖于仅从已公开之前攻击得到的保护方法和来自它们的咨询报告现在仅提供中等保护水平的程度。进一步,计算机安全信息和规程的陡峭体量已经远超在其大多数用途需求中完全遵循或可靠地使用其的能力,完全盖过了被控对于危险中数千家企业负有计算机安全责任的那些人。无法识别重要趋势或者变得以及时方式知晓信息已经导致高度可见的、客户面对的安全故障诸如在过去数年之上在TARGETTM,ANTHEMTM,DOW JONESTM和SAMSUNG ELECTRONICSTM处,仅列举成为新闻的几个。传统的计算机安全方案最可能在那些攻击要求太多主动配置、正在进行管理员交互的时刻使用,并且支持提供针对复杂对手的有限保护,由其是当用户的安全证书被偷盗或伪造时。
在过去数十年,来自于作为在企业的设备上找到的普遍存在传感器的源或从第三方来源、详细因果数据和商业进程监控软件可获得的、可应用于企业的决策者的金融、运营、基础结构、风险管理和哲学信息的量已经膨胀到其中数据已经压倒了公司执行官遵循全部这些并无疑地解释并在给定商业环境中有意义利用该可应用数据的能力的程度。换言之,现在对于公司决策者或决策者团队可获得的商业相关信息的急流已经远超其在大多数使用需求中完全遵循或可靠地利用其的能力。在过去数年,无法识别重要趋势或变得以及时方式知晓信息已经导致高度可见的、客户面对的在NETFLIXTM,FACEBOOKTM和UPSTM处的运营中断,仅列举几个。
在商业软件中近期已经有了数个进展,为了流水化或自动化商业数据分析或商业决策进程的目的而兴起,这可以受控用于辅助更好的计算机安全。PLANATIRTM提供用于在大量数据中隔离模式的软件,DATABRICKSTM提供常规分析服务,ANAPLANTM提供金融冲击计算服务。这些是缓和了隔离中数据相关性识别的一些特征方面的其他软件源,但是这些无法整体地寻址跨企业的计算机安全脆弱点的整个范围。然而,该数据和商业决策自动化的分析保持在它们有效范围外。当前,这些方案没有一个能处理多于整个任务的单个特征方面,无法形成预测分析数据变换,并且因此在其中仅方案是要求以上工具复杂集成的非常复杂进程的计算机安全领域很少使用。
在提供计算机安全咨询信息的基于网络的服务公司中的应用也已经大量增长。这仅用于增加上述信息的过载,并且作为最佳用途,必须由声称提供可靠计算机安全保护的任何商业信息管理系统小心地分析。
当前,存在少量可脚本化数据捕捉和分类接口诸如:Zapoer和IFTTT,两者能够连接至许多网络数据源。然而,这些提供物仅占据非常轻量的逻辑选项以用于将捕捉到的数据移动至具体类别或变换路径,这大大限制了它们在经常遇到的复杂商业情形中的有用性。另一开源捕捉引擎Sparkta聚焦于流动聚集并无法为例行支持事件驱动轮询提供灵活性,除了第三方APIs的无源流监控和由商业操作系统所需的类似操作之外,
所需要的是使用可伸缩、明确地可脚本化的连接接口从许多相异和异质源检索计算机安全相关信息、识别并分析该大量数据、将其变换为有用格式的全集成系统。该系统必须与企业的基准网络使用特征图而协力使用该数据并预先知晓企业的系统尤其是藏有敏感信息的那些以驱动集成的高度可伸缩模拟引擎,其可以利用系统的动态、离散事件与在模拟运行内基于事件的范式的组合以使得获得最有用和精确的数据变换并存储用于人类分析以快速地挖掘所展示信息,易于理解任何预测或推荐并且随后创造性的做出响应以缓和所报告的情形。该多方法信息安全信息捕捉、分析、变换、结果预测并展示系统形成了“商业操作系统”。
发明内容
因此,本发明人已经开发了一种用于对利用计算机决策平台的计算机攻击检测、缓和并矫正的系统。在典型的实施例中,作为商业操作系统的特殊编程应用的先进计算机决策平台连续地监控客户端企业的正常网络活动的行为诸如但不限于网络上正常用户、由每个用户访问的资源、每个用户的访问许可、网络上机器对机器通信量、批准的对核心网络的外部访问和对网络身份的管理员访问、以及访问管理服务与计算机攻击方法的实时分析通知认知协同使用。系统随后为了两个目的使用该信息:第一,使用系统的先进计算机分析和模拟能力以在网络外围和企业的信息传输范围内提供可能数字访问点的直接公开,并且在应该在攻击之前或期间必须增强在网络改变上给出受信的结构和推荐。第二,先进计算机决策平台连续地实时监控网络的通信量类型并且通过诸如深数据包检查的技术而监控在用户通信量中预先决定的分析上显著偏差以用于指示已知的计算机攻击向量诸如但不限于,ACTIVE DIRECTORYTM/Kerberos传递票攻击,ACTIVE DIRECTORYTM/Kerberos传递杂乱信息攻击以及相关的ACTIVE DIRECTORYTM/Kerberos绕过杂乱信息攻击,ACTIVEDIRECTORYTM/Kerberos骷髅秘钥,ACTIVE DIRECTORYTM/Kerberos金和银票攻击,特权逐步升级攻击,暴露用户证书,以及勒索软件盘攻击。当确定可疑活动在表示攻击的水平处时,系统发出聚集动作的报警信息至特别适用于在攻击缓和或矫正中它们角色的所有预先指示的当事人并格式化以提供基于历史、当前和上下文攻击级数分析的预测攻击建模以使得人类决策者可以快速地采用尽可能少的散乱数据在最可动作的信息的命令下在它们责任水平下阐明动作的最有效过程。系统随后以最可动作形式发布防御措施以可能最小损伤和曝光而终止攻击。持久地存储所有攻击数据用于稍后法医分析。
因此,发明人已经开发了一种用于从多个网络服务源捕捉数据的高度可伸缩分布式连接接口。设计连接接口以使能简单发起、执行和高度可应用从大量多个外部联网附图和应用的应用编程接口(API)至集成预测商业操作系统的模块的输入/结果。为了处理高容量信息交换,分布并设计连接接口为可伸缩并自负载平衡。连接接口拥有强健的可表达脚本描述能力,允许产生高度特殊的处理规则以用于在商业操作系统内数据的路由发送、变换和结果。输入数据可以由无源流监控或由网络服务信息的已编程、事件或时间驱动的下载接收,仅列举两个可能性。结果可以是原始或已变换数据的直接列表显示,图形或衍生图形显示,诸如模拟表示,具有或不具有持久性。数据可以持久地存储在数个数据存储的任何一个中,连接接口对于数个数据存储具有内部API例行程序。
根据本发明的优选实施例,已经设计并付诸实施了一种用于检测、缓和和矫正利用计算机决策平台的计算机攻击的系统。连接器模块存储在计算装置的存储器中并运行在其处理器上,其中连接器模块可以从多个网络数据源检索多个计算机安全相关数据,可以利用多个应用编程接口例行程序以与多个计算机安全相关数据源通信,可以直接从人机接口装置或者从一个或多个命令和控制存储装置接收多个分析参数和控制命令,以及可以规定将要对所检索、装配和机器学习分析的计算机安全数据进行的清除动作以用于由人类分析考虑并扩展。
根据本发明的另一实施例,已经设计并付诸实施了一种用于从多个网络服务源数据捕捉的高度可伸缩分布式连接接口的系统。连接器模块通过连续地监控由网络数据源释放的信息流而检索商业相关数据的至少一部分。可以基于过滤器的使用而隔离流动商业相关数据的至少一部分。基于事件触发器而从网络数据源检索商业相关数据的至少一部分。基于时间相关触发器从网络数据源检索商业相关数据的至少一部分。由连接器模块将检索到的商业相关数据的至少一部分变换为可用于预定目的的格式。将检索到的商业相关数据的至少一部分路由发送至商业操作系统中其他模块以用于变换为可用于预定目的的格式。显示并废弃检索到的商业相关数据的至少一部分。持久地存储检索到商业相关数据的至少一部分。
根据本发明的另一实施例,已经设计并付诸实施了一种用于对利用计算机决策平台的计算机攻击检测、缓和和矫正的系统,包括存储在计算装置的存储器中并运行在其处理器上的时序数据检索和存储模块,存储在计算装置的存储器中并运行在其处理器上的有向计算图形分析模块,存储在计算装置的存储器中并运行在其处理器上的动作结果模拟模块,以及存储在计算装置的存储器中并运行在其处理器上的观察和状态估算模块。时序数据检索和存储模块:监控来自多个源的计算机安全相关数据,连续地监控在至少一个客户端网络上的通信量,并且存储检索到和所监控的数据。有向计算图形分析模块从时序数据检索和存储模块检索多个数据,为了基线模式确定分析检索到数据的至少一部分;为了预定的异常出现而分析检索到数据的至少一部分,并提供相关数据和元数据至动作结果模拟模块。动作结果模拟模块从有向计算图形分析模块接收数据和元数据以为了预测模拟分析。其进一步对由先进计算机决策平台的其他模块所提供的数据执行预测模拟变换,并且提供预测模拟分析的结果至先进计算机决策平台的预定模块,其中,观察和状态估算模块以预设计用以最大化所包括信息和数据的传输至其人类分析师以为了检查、创造性扩展和实时从机器和人类处理强度得到的最终合成的方式而格式化从先进计算机决策平台的其他模块接收的数据。
根据本发明的优选实施例,已经设计并付诸实施了一种用于使用机器部件以智能地分析并优先排序向人类分析师展示的数据的大主体以确定动作的最终航向的缓和计算机攻击的系统,其中由时序数据检索和存储模块所检索的数据的至少一部分是来自多个专家源的计算机安全情报数据。其中由有向计算图形分析模块所分析的基线数据的至少一部分是网络设备日志,为了预测未覆盖网络脆弱点的目的而检查网络设备配置参数、网络拓扑信息和网络驻留服务器日志。其中由有向计算图形分析模块所分析的基线数据的至少一部分是至少一个已批准网络用户的正常网络使用通信量。其中由动作结果模拟模块运行的模拟的至少一部分包括驻留网络基础结构对多个计算机开发的预测性发现,并且为了在计算机安全以及计算机风险减少与对计算机安全相关支出做出的开销之间达到最佳平衡的目的而向人类分析师提供至少一个结果校正建议。其中由动作结果模拟模块运行的模拟的至少一部分包括来自可能正在进行的计算机攻击的网络通信量取样数据以预测进展的时间线并将预测引起有效缓和结果的至少一个推荐提供至人类分析师以为了机器相关和包封数据的有效检查以便于达到用于击退并调停攻击的最佳动作过程。其中由观察和状态估算模块格式化的输出的至少一部分被有向以在计算机安全响应期间从在所有决策作出层级下参与的个人集合的子集产生最聚焦的可动作响应。其中由观察和状态估算模块格式化的输出的至少一部分将可应用于输送的信息的特殊分段子集提供至在检测、缓和和矫正进程中具有不同角色的一个或多个人类计算机攻击响应团队。
根据本发明的优选实施例,一种用于缓和利用先进计算机决策平台的计算机攻击的方法包括步骤:a)使用时序数据检索和存储模块从多个源检索多个计算机安全相关数据;b)使用有向计算图形分析模块分析计算机安全相关数据以检测正在进行的计算机攻击;c)使用动作结果模拟模块从可应用计算机安全相关数据模拟多个结果以预测网络脆弱点和正在进行的计算机攻击的可能时间线;d)使用观察和状态估算模块以预设计用于传送最大可动作冲击的格式从先进计算机决策平台分析而展示结果信息。
根据本发明的优选实施例,一种用于从多个网络服务源数据捕捉的高度可伸缩分布式连接接口的方法包括步骤:a)使用存在于存储在计算装置的存储器中并运行在其处理器上的连接器模块中的多个网络数据源特殊应用编程接口例行程序而从多个网络数据源检索多个商业相关数据;以及b)基于存在于存储在计算装置的存储器中并运行在其处理器上的连接器模块中的商业相关数据特殊参数而将多个商业相关数据路由发送至包括商业操作系统的多个模块。
附图说明
附图说明了本发明的数个实施例,并且与说明书一起用于解释根据实施例的本发明的原理。本领域技术人员应该认识到,附图中所示的特定实施例仅是示例性的,并且并非意在限制本发明的范围。
图1是根据本发明实施例的商业操作系统的示例性架构的图。
图2是在导致缓和正在进行的计算机攻击以及用于缓和正在进行的计算机攻击的步骤的预定因素的检测和缓和中商业操作系统的示例性功能的流程图。
图3是示出了用于缓和计算机攻击的商业操作系统功能的方法图。
图4是用于将计算机攻击信息分段至合适的公司方的方法的进程流程图。
图5是根据本发明实施例的连接器模块和相关模块的示例性架构的图。
图6是根据本发明实施例的示例性连接器模块的操作的流程图。
图7是用于使用本发明的系统接收、处理并预测分析流数据方法的进程流程图。
图8是根据本发明实施例的用于线性变换管线系统的流程图,其介绍了变换管线的概念作为变换节点和消息的有向图。
图9是根据本发明实施例的用于变换管线系统的流程图,其中变换的一个从多于一个源接收输入,这引入了变换管线的概念作为变换节点和消息的有向图。
图10是根据本发明实施例的用于变换管线系统的流程图,其中一个数据变换的输出用作多于一个下游变换的输入,这引入变换管线的概念作为变换节点和消息的有向图。
图11是根据本发明实施例的用于变换管线系统的流程图,其中三个数据变换的集合用于形成圆柱形管线,这也引入变换管线的概念作为变换节点和消息的定向图。
图12是说明了本发明各个实施例中所使用的计算装置的示例性硬件架构的方框图。
图13是说明了根据本发明各个实施例的用于客户端装置的示例性逻辑架构的方框图。
图14是说明了根据本发明各个实施例的客户端、服务器和外部服务的示例性架构布置的方框图。
图15是说明了在本发明各个实施例中所使用的计算装置的示例性硬件架构的另一方框图。
具体实施方式
本发明人已经设想并付诸实施了一种用于对利用先进计算机决策平台的计算机攻击及时检测和缓和的系统。
本发明人已经设想并付诸实施了一种用于从多个网络服务源数据捕捉的高度可伸缩分布式连接接口。
可以在本申请中描述一个或多个不同的发明。进一步,对于在此所述的一个或多个发明,可以描述数个备选实施例;应该理解,这些仅为了说明示意目的而展示。所述实施例并非意在以任何方式限制。一个或多个发明可以广泛地可应用于数个实施例,如从本公开显而易见的。通常,足够详细描述实施例以使得本领域技术人员能够实施本发明的一个或多个,并且应该理解可以利用其它实施例,以及可以做出结构、逻辑、软件、电气和其他方面的改变而并未脱离特定发明的范围。因此,本领域技术人员应该认识到,可以采用各种修改和改变而实施本发明的一个或多个。本发明的一个或多个的特定特征可以参考行程了本公开的一部分、且其中借由示意说明的方式示出了本发明的一个或多个的具体实施例的一个或多个特定实施例或附图而描述。然而,应该理解,该特征不限于用于它们所参照描述的一个或多个特定实施例或附图。本公开并非本发明的一个或多个的所有实施例的字面描述,也并非必须存在于所有实施例中的本发明一个或多个的特征的列表。
在本专利申请中提供的段落的标题以及本专利申请的名称仅是为了方便,并且不应视作以任何方式限制本公开。
相互通信的装置无需相互连续通信,除非明确相反规定。此外,相互通信的装置可以直接地通信或者通过一个或多个逻辑或物理的中介而间接地通信。
具有相互通信的数个部件的实施例的描述并未暗示需要所有这些部件。相反,可以描述各种任选的部件以说明一个或多个本发明的广泛各种可能实施例且以便于更全面地说明本发明的一个或多个特征方面。类似地,尽管可以按照顺序描述进程步骤、方法步骤、算法等等,该进程、方法和算法可以通常配置用于以备选顺序工作,除非特殊规定相反。换言之,可以在本专利申请中描述的步骤的任意顺序或次序自身并未指示以该顺序执行步骤的需求。所述进程的步骤可以实际上以任何顺序执行。进一步,可以同时地执行一些步骤,尽管描述或暗示为顺序地发生(例如因为一个步骤描述为在另一步骤之后)。此外,由在附图中其图示对进程的说明并未暗示所示进程排除其他变形和修改,并未暗示所示进程或任意其步骤对于本发明的一个或多个是必须的,也并未暗示所示进程是优选的。此外,每个实施例通常描述步骤一次,但是这并未意味着它们必须发生一次,或者它们可以每次执行或运行进程、方法或算法时仅发生一次。一些步骤可以在一些实施例或一些事件中省略,或者在给定实施例或事件中可以多于一次执行一些步骤。
当描述单个装置或物品时,显而易见的是,可以替代于单个装置或物品而使用多于一个装置或物品。类似地,描述多于一个装置或物品时,显而易见的是,可以替代于多于一个装置或物品而使用单个装置或物品。
装置的功能或特征可以备选地由并未明确描述为具有该功能或特征的一个或多个其他装置所具体化。因此,本发明的一个或多个的其他实施例无需包括装置自身。
在此描述或参考的技术和机制将有时为了清楚以单数形式描述。然而,应该注意,特定实施例包括技术的多次迭代或者机制的多个表现,除非另外规定。进程描述或附图中方框应该理解为代表包括用于实施特殊逻辑功能或进程中步骤的一个或多个可执行指令的模块、区段或代码的部分。备选的实施方式包括在本发明的实施例的范围内,其中例如可以除了所示或所述顺序之外而执行功能,包括实质上同时地或以相反顺序,取决于所涉及的功能,如由本领域技术人员应该理解的。
定义
如在此所使用的,“泳道”是在时序传感器数据接收和分派装置与用以保持所分派时序传感器数据的数据存储机制之间的通信信道。泳道能够在两个装置之间移动特殊的有限量数据。例如,单个泳道可以可靠地携带等价于在5秒内来自10个传感器的5秒价值数据的数据并将其包括至数据存储中,这是其容量。尝试使用一个泳道放置从6个传感器接收的5秒数据价值将导致数据损失。
如在此所使用,“元泳道”是对于请求进程透明的两个或更多真实泳道的传输容量的如所需逻辑组合。可以发起其中单位时间接收到数据量预期随着时间变化高度异质非均匀的传感器研究以使用元泳道。使用以上所使用的单个真实泳道可以传输并包括10个传感器的5秒数据价值而并未数据损失的示例,在5秒间隔期间突然从13个传感器接收到输入的传感器数据将使得系统创建两个泳道元泳道以在一个真实泳道中容纳标准10秒数据并在第二、透明增加的真实泳道中容纳3个传感器数据超时效,然而无需对数据接收逻辑进行改变,因为数据接收和分派装置间透明地添加额外的真实泳道。
概念性架构
图1是根据本发明实施例的商业操作系统100的示例性架构的图。客户端访问系统105用于特殊数据输入、系统控制和与系统输出交互,诸如自动化预测决策做出和计划以及备选路径模拟,这通过系统的连接至云107的分布式可伸展高带宽云接口110而发生,并且使用卫星、健壮网络应用驱动接口为了面向客户端信息的输入和显示,以及数据存储112诸如但不限于MONGODBTM,COUCHDBTM,CASSANDRATM或REDISTM,取决于实施例。由系统从在客户端商业范围内的源以及从基于云的源所分析的大量商业数据也通过云接口110输入系统,数据传至连接器模块135,其可以拥有接受并转换外部数据并随后将归一化信息传至系统的其他分析和变换部件所需的API例行程序135a,有向计算图形模块155,高容量网络爬虫模块115,多维度时序数据库120,以及图形堆栈服务145。有向计算图形模块155从多个源检索一个或多个数据流,多个源包括但并未以任何方式限定于多个物理传感器、网络服务提供者、基于网络的问卷和调查、电子基础结构的监控、群众纯源化运动、以及人类输入装置信息。在有向计算图形模块155内,数据可以被分割成在专用预编程数据管线155a中的两个等同流,其中一个子流可以发送用于批处理并存储,而另一个子流可以重新格式化用于变换管线分析。随后将数据传输至通用变换器服务模块160用于线性数据变换作为分析的一部分,或者传输至可分解变换器服务模块150用于作为分析一部分的分支或迭代变换。有向计算图形模块155将所有数据表示为有向图,其中变换是节点,且得到的消息在图形的变换边缘之间。高容量网络爬虫模块115使用多个服务器主控的预编程网络蜘蛛,其自主地配置而部署在作为示例的SCRAPYTM的网络刮取框架115a内,以从并未由传统网络爬虫技术良好示踪的基于网络的源识别并检索感兴趣数据。多维度时序数据存储模块120可以从可以是数个不同类型的大量多个传感器接收流动数据。多维度时序数据存储模块也可以存储由系统遇到的任何时序数据,诸如但不限于企业网络使用数据、部件和系统日志、性能数据、网络服务信息捕捉诸如但不限于新闻和财经报料、以及销售和服务相关的客户数据。设计模块以通过动态地分配网络带宽和服务器处理信道而容纳不规则和高容量涌浪以处理输入的数据。包括对于例如但不限于C++,PERL,PYTHON和ERLANGTM的语言的编程包装允许将复杂编程逻辑添加至多维度时序数据库120的默认功能而无需密切知晓核心编程,大大扩展了功能宽度。由多维度时序数据库120和高容量网络爬虫模块115检索的数据可以由有向计算图形155和相关通用变换器服务150以及可分解变换器服务160模块分析并变换为任务最优化结果。备选地,来自多维度时序数据库和高容量网络爬虫模块的数据可以通常具有脚本提示信息确定重要顶点145a而发送至图形堆栈服务模块145,其采用标准化协议用于将信息流转换为该数据的图形表示,例如开放式图形互联网技术,尽管本发明不依赖于任何一个标准。通过步骤,图形堆栈服务模块145以由任何预定脚本修改145a所影响的图形形式表示数据,并将其存储在基于图形的数据存储145b诸如GIRAPHTM或密钥值配对类型数据存储REDISTM或RIAKTM中,在其他之中,所有这些均适用于存储基于图形的信息。
变换分析进程的结果随后可以在页运行了基于强大信息理论130a的预测统计功能和机器学习算法的自动化计划服务模块130中与其他客户端指示、额外商业规则以及关于在已经可应用数据之外的分析和形势信息的实践组合以允许一旦当前系统得到结果并选择多个可能商业决策的每一个则快速预测未来趋势和结果。使用所有可应用数据,自动化计划服务模块130可以提议商业决策最可能得到结果是具有可用高确定性水平的最有利商业结果。与在衍生的系统的使用中自动化计划服务模块密切相关导致可能外部提供的额外信息一起帮助了终端用户商业决策的做出,动作结果模拟模块125具有与面向终端用户的观察和状态估算模块140耦合的其离散事件模拟器编程模块125a,观察和状态估算模块140如情形需要是高度可脚本化的140b并且具有游戏引擎140a以更实际地呈现在考虑下商业决策的可能结果,允许商业决策者调查基于当前可应用数据的分析而选择一个未决动作过程在另一个之上的可能结果。
例如,由系统100通知信息保险部门,主犯A在使用此前从未被其使用的证书K(Kerberos主犯秘钥)以访问服务Y。服务Y利用这些相同证书以访问在数据存储Z上的安全数据。这正确地产生警报作为可疑的横向穿过网络的移动,并且将推荐基于连续基线网络通信量监控由编程用于处理该数据120a的多维度时序数据存储120隔离X和Y且挂起K,由有向计算图形155采用其下方的通用变换器服务模块160和可分解变换器服务模块150结合也已经收到且通过连接器模块135的多源连接APIs从多个源可公众地获得的同物化的自动化计划服务模块130的AI和待发机器学习能力130a严格分析网络基线。由动作结果模拟模块125及其在此用于确定合法性的似真性的概率空间的离散事件模拟器125a针对基线运行这些通信量模式的特设模拟。基于该数据和分析,系统100也能够检测并推荐对于所有商业操作呈现现有威胁的计算机攻击的缓和,其通过使用也已经专门预编程用于处理计算机安全事件140b的观察和状态估算服务140而在缓和和矫正工作中在攻击时刻在多个层级处向人类分析师展示了对于可动作计划最需要的信息。
例如,管线运营部门已经报告在领域的高度远程区段中在管线的一段中原油压力的非常小的减小。许多人相信问题完全是由于淤塞的、可能故障的流量传感器,其他人相信这是可以具有外来材料吸入其中的远端上游泵。这些可能性两者的校正将提高受影响泵的输出以有望将泵或淤塞的传感器清除。故障传感器将必须在下一个维护周期替换。然而,少数人觉得,压力下降是由于管线中断裂,可能在该点小,但是即使如此,原油在泄漏且对于淤塞传感器或泵的修补选项将使得泄漏更严重且以后浪费更多时间。公司具有在8小时之外的合约工,或者可以租用卫星时间以查看,但是这两者对于可能的传感器问题均是昂贵的,但是显著小于清洗溢油,并且具有显著负面的公众曝光。这些传感器问题已经在之前发生,并且商业操作系统100具有来自它们的数据,由于大量柱形图无人容易研究,因此运行备选的动作过程125、140。基于所有可应用数据,系统预测淤塞的传感器或泵由于其他可应用数据而这次不太可能是根本起因,并且派遣了合约工。她找到管线中小的泄露点。将有小型清洗且管线必须关停以修理,但是已经节省了数千万美元。这仅是商业操作系统的大量可能用途的一个示例,本领域技术人员将易于创制更多。
图2是在导致缓和正在进行计算机攻击200以及其步骤的预定因素的检测和缓和中商业操作系统的示例性功能的流程图。系统连续地检索网络通信量数据201,其可以由多维度时序数据存储120及其编程包装120a存储并预处理。随后分析所有捕捉到数据以预测网络节点诸如内部用户、网络相连系统和设备以及企业边界外的被批准用户例如场外雇员、合约工和卖主的正常使用模式,仅列举几个可能的参与者。自然,正常的其他网络通信量对于本领域技术人员也可以已知,给出的列表并未意味着是排他性的且其他可能性并未落在本发明设计之外。网络通信量的分析可以包括参数的图形分析,诸如使用在图形堆栈服务145、145a中特殊研发的程序的网络项至网络使用,可以由于与有向计算图形模块155、通用变换器服务模块160和可分解服务模块150相关联的特殊预开发的算法完成由每个网络项的使用的分析,取决于单个使用剖面201的复杂性。这些使用模式分析结合关于企业的网络拓扑的额外数据、网关防火墙编程、内部防火墙配置、目录服务协议和配置、以及对于用户和对于敏感信息访问两者的准许剖写,仅列举几个非排他性示例,可以随后在自动化计划服务模块130内进一步分析,其中可以采用机器学习技术包括但不限于信息理论统计130a,以及可以应用专用于基于当前数据125a预测结果模拟的动作结果模拟模块125以创制当前最新且连续演进的基线网络使用分布202。该相同数据将与最新已知计算机攻击方法报告组合,可能通过使用多应用编程接口知晓连接器模块135从数个发散且外来源检索以向作为物理和基于配置的网络基础结构改变的企业决策者展示预防性建议,以成本有效地减小计算机攻击的概率并显著且最成本有效地缓和在攻击203、204事件中的数据曝光和损失。
尽管这些选项的一些可以已经部分在过去可应用作为逐步解决方案,我们相信有能力基于接下来预测模拟和基于该当前数据的结果分析而智能地集成来自多个源的大量数据,以使得可以展示的可动作商业惯例高效推荐在该领域是创新且必须的。
一旦已经创制了使用所有可应用网络通信量数据的网络使用的全面基线剖写,特殊任务的商业操作系统连续地为与如由预标注边界205所确定基线异常活动连续地轮询输入的通信量数据。异常活动的示例可以包括用户尝试快速连续访问数个工作站或服务器,或用户尝试使用随机用户IDs或另一用户的用户ID和密码而获得对具有敏感信心的服务器的主服务器的访问,或者可以由任何用户尝试强力破解特权用户的密码,或回放近期发起的ACTIVE DIRECTORYTM/Kerberos票授权票,或者存在于任何已知网络上、在网络上正在进行开拓或者引入已知恶意软件至网络,仅列举对于本领域技术人员已知的计算机攻击剖写的非常小的样本。设计预测性的以及知晓已知开发的本发明以分析任何异常网络行为,创制行为的可能结果,并且随后发出任何所需的警报,而不论攻击是否遵循已公开的开发规范或呈现与正常网络实践偏离的创新特征。一旦检测到可能的计算机攻击,随后设计系统以将所需信息送至特制的责任方206,其中可能的,送至在缓和由其引起的攻击和损伤中每个角色207。这可以减小警报和更新中所包括信息的具体子集,以及其中可以通过企业的现有安全信息和事件管理系统展示信息的格式。网络管理员随后可以接收信息,诸如但不限于网络上何处相信攻击已经在此发源,什么系统相信当前被影响,关于攻击可以进展的预测信息,什么企业信息处于风险中,以及关于抵抗入侵和缓和损伤的可动作推荐,而主信息安全管可以接收警报,包括但不限于计算机攻击的时间线,相信受损的服务和信息,如果有的话已经采取了什么动作以缓和攻击,预测攻击可以如何展开,以及所给出用于控制并抵抗攻击207的推荐,尽管所有方面可以访问任何网络和它们在任何时刻已经准许访问的计算机攻击信息,除非怀疑泄密。可以由系统206、207发起其他特别特制的更新。
图3是示出了用于缓和计算机攻击的商业操作系统功能的进程图。可以将输入网络数据传入315商业操作系统310中用于分析作为其计算机安全功能的一部分,在本发明设计用以分析和集成的许多其他可能数据类型之中,输入网络输入可以包括网络流模式321、每片可测量网络通信量的发源和目的地322、来自服务器和网络上工作站的系统日志323、端点数据323a、来自服务器或可应用安全信息和事件(SIEM)系统的任何安全事件日志数据324、外部威胁智能送料324a、身份和上下文评估325、外部网络健康或计算机安全送料326、Kerberos域控制器或ACTIVEDIRECTORYTM服务器日志或仪表327、以及商业单元性能相关数据328。这些来自多个源的多种类型数据可以使用以下至少一个而变换用以分析311、312:专用计算机安全,风险评估或在计算机安全系统的角色中商业操作系统的普通功能,诸如但不限于,网络和系统用户特权监督331,网络和系统用户行为分析332,攻击者和防御者动作时间线333,SIEM集成和分析334,动态基准测试335,以及意外事件识别和分解性能分析336,在其他可能的计算机安全功能之中;作为系统风险分析能力的一部分,价值与风险(VAR)建模和模拟341,用于建立优先权的不同类型数据违背的预期与反应性成本估算342,工作因子分析343,以及计算机事件发现率344;以及作为商业操作系统的普通能力的一部分,格式化并输送定制报告和仪表板的能力351,按照需求执行通用化特设数据分析352,对于微小变化或扩散信息威胁连续监控、处理并探查输入数据353,以及产生计算机-物理系统图形354。输出317可以用于配置网络网关安全器具361,以帮助防止通过预测基础结构建议的变化的网络入侵362,以在攻击周期中早期警告正在被计算机攻击的企业,可能阻挠但是至少缓和了损伤362,记录顺应标准化指导或SLA需求363,连续地探查现有网络基础结构并对于可以造成更多违背的任何改变发起警报364,对于检测到的任何域控制器检票弱点建议解决方案365,检测恶意程序的存在366,以及取决于客户端指示一次或连续执行脆弱点扫描。这些示例自然仅是系统的可能用途的子集,它们本质上是示例性的并且并未反应本发明能力的任何边界。
图4是用于将计算机攻击信息分段至合适的公司方的方法400的进程流程图。如之前所公开的200、351,先进计算机决策平台的强度的一个是对于特殊受众精细定制报告和仪表板的能力,同时地是合适的。该定制由于商业操作系统的特殊编程的一部分的致力而可能由模块克服补偿,模块包括观察和状态估算服务140,具有其游戏引擎140a和脚本解释器140b。在计算机安全的设置中,专用警报、更新和报告的发布可以显著帮助以最及时的方式完成正确的缓和动作而同时保持所有参与者在预先指示的、合适的粒度下是消息灵通的。一旦由系统401检测到计算机攻击,分析关于正在进行的计算机攻击和已有计算机安全指示的所有可应用信息,包括通过近似实时的预测模拟402以开发对于关于攻击可以进展何处和如何可以缓和其的当前事件和可动作推荐的最精确的鉴定。总体产生的信息通常多于需要执行它们缓和任务的任何一个群组。在这点上,在计算机攻击期间,提供单个膨胀和包括一切的警报、仪表板图像或报告可以使得由每个参与者对关键性信息的识别和动作更困难,因此聚焦计算机安全的实施例可以创建多个目标信息流,每个同时地设计用于在攻击期间遍及企业产生最快速且有效的动作,并且发布接续的报告和可以导致此后长期改变的推荐或信息403。可以接收专用信息流的群组的示例可以包括但不限于攻击期间的前线应答器404,攻击期间和之后的意外事件辩论术支持405,主信息安全官406,以及主风险官407,信息发送至后两者,聚焦于何时的总损伤且在攻击之后实施缓和策略并预防变化。前线应答器可以使用计算机决策平台的特殊发送至它们的已分析、变换和相关信息404a以探查攻击的程度,隔离这些事物:预测攻击者的入口点至系统的网络上,涉及的系统或攻击的预测最终目标,并且可以使用系统的模拟能力以调查以最高效方式成功地终止攻击并抵抗攻击者的备选方法,尽管对于本领域已知的许多其他查询由本发明也可回答。模拟运行也可以包括任何攻击缓和动作对于企业的IT系统和公司用户的正常和关键操作的预测影响。类似地,主信息安全官可以使用计算机决策平台以预测性分析406a已经损伤了什么公司信息,预测性模拟攻击的最终信息目标可以已经或尚未受损且现在和近期未来可以进行完的攻击的总影响以保护该信息。进一步,在攻击的追溯辩论术检查期间,辩论术应答器可以使用计算机决策平台405a以清楚并完整地绘制通过预测性模拟和大容量数据分析的网络基础结构的范围。辩论术分析也可以使用平台的性能以采用用于渗透企业的子网和服务器的方法而执行攻击进展的时序和基础结构空间分析。再次,主风险官将执行被盗取了什么信息407a的分析并预测性模拟随着时间进展盗窃对于企业意味着什么。额外地,可以利用系统的预测性能力以帮助为IT基础架构的改变创建计划,这应该做出,对于在公司处合适位置中在可能有限的企业预算约束之下矫正计算机安全风险是最佳的以便于最大化金融结果。
因为实施例表现地可脚本化在大量编程能力中,这包括数据表示,信息的分段,选择用于接收信息的参与方,并且接收的信息将预期取决于单个公司策略、哲学和构成而在商业操作系统计算机安全实施例的协作客户端之间变化,或许是显著的,仅列举几个示例。
图5是根据本发明实施例的连接器模块和相关模块的示例性架构的图500。连接器模块135可以包括分布式多服务连接模块531,其协调了在商业操作系统100和外部网络服务源之间的连接,外部网络服务源可以例如是商业的云基服务,诸如但不限于SALESFORCETM、BLOOMBERGTM、THOMSON-REUTERSTM、TWITTERTM、FACEBOOKTM、和GOOGLETM,而其他的可以是内部网络服务诸如提供了由商业所需的输出数据的在内部和外部的无线网络健康监控器或应用。分布式多服务连接模块531包括API例行程序,允许其取决于源和预脚本描述的指令而通过无源流监控检索或者时间或事件驱动有源检索。可以在参数数据存储533中存储管理了连接器模块135的操作的API例行程序、分析师产生的脚本,任何所需的参数诸如对于网络服务、命令修改器、触发器事件描述符和时间段描述符的一个或多个所需的安全和预约证书,仅列举几个示例。包括允许数据在分布式多服务连接模块内和外路由发送并处理的、具有先进逻辑构造532的强健、表达性脚本语言将该连接接口设置远离那些当前可应用的诸如ZAPIERTM和IFTTTTM。基于事件或时间检索数据的能力引起连接器模块135在SPARKTATM的那些之上的能力。当使用类似于在此所述的连接接口时最重要的是,可以接收甚至出乎意料的大数据流而并无损失。为了解决这些可能性,设计并实施连接器模块100作为高度且快速可伸缩的分布式集群模块,且模块是能够自负载平衡的534。捕捉信息,可以由API例行程序进行简单变换,但是也可以进行广泛变换以转换为对于预先打算用途合适的形式。通过连接器模块135进入商业操作系统100的大多数数据可以因此由可分解变换器服务模块150修改,其通过分布式计算图形模块155访问。可以在这些情形中利用可分解变换器服务模块150,因为其能够执行复级数变换路径,这可以是简单线性800、分支900、两源至一输出1000、以及重复迭代1100。进行变换的本质完全取决于该数据的有意设计的下游使用,对于为了那些目的预编程并预选择的每个变换编码。原始或已变换的数据可以遵循多个输出路径之一,如对于数据源和类型预编程532。数据可以直接地显示在客户端访问终端510处,其可以是远程的且网络连接520,或者可以直接地连接至系统(为了简单未示出)。在其他之中,包括系统日志、性能数据和部件日志的时序数据可以永久地存储在多维度时序数据存储120中,其是特殊设计的并因此良好适用于该数据类型。原始或已变换的数据可以按照作者预确定的而存储在系统内的另一数据存储550中,或者数据可以发送至商业系统590、100的其他部件,例如用于预测分析的自动化计划服务模块130,用于模拟构造的动作结果模拟模块125,以及用于图形表示的状态估算服务140。
图6是根据本发明实施例的示例性连接器模块的操作的流程图600。信息来自多个网络或云基服务源,其可以包括但不限于SALESFORCETM,BLOOMBERGTM,THOMSON-REUTERSTM,TWITTERTM,FACEBOOKTM,和GOOGLETM,使用位任务602专门设计的连接器模块135。连接器模块可以为了所需信息从其检索的网络服务以及其他参数诸如任何安全或预约证书而存储并检索API例行程序,在来自数据存储中一个或多个数据库的其他任务相关信心之中601。检索可以由网络服务的已公开数据流的无源监控而发生,如对于源诸如新提供者或投资市场断续器的情形,仅列举少数几个对于本领域技术人员已知为通过使用预定过滤器而对于商业情报和操作重要的流源。备选地,检索可以基于触发事件集合的预决定和预脚本描述的触发事件或者基于时控间隔触发器而从网络服务源的子集发生,其中可以以特殊时间间隔或者在一天中特殊时刻轮询源新信息。对于信息检索的其他触发器可以对于本领域技术人员是已知的,并且由于设计至连接器模块135中的强健的、表达性的基于python的脚本语言,本发明可以配置用于利用可以被编程至计算装置中的任何该策略。
通过使用分立参数文件简化了对于特殊的基于时间或基于事件的触发器将要利用的调用脚本,其样本模板如下:
在以上所列中特别注意的是第10行,其中,一旦被触发,可以在该数据被路由发送至系统100中另一模块以可能进一步处理或显示之前对输入的数据执行特殊格式化,以及第12行,其中待执行的下一个动作最可能由商业操作系统的另一模块执行,诸如但不限于数字计算图形模块155和可分解变换器服务模块150、303,多维度时序数据存储120,显示在客户端访问终端105处或永久存储在数据存储(未示出)中。由这些和其他系统模块的组合引起的动作也是可能的。尽管其他商业系统模块可以参与有连接器模块500、602所检索信息的处理,数据修改完成603的大多数可以要求可分解变换器服务模块150的变换能力,这通过分布式计算图形模块155、700访问。可分解变换器服务模块150可以利用在三个情形中,因为其能够执行复级数变换路径,其可以是简单线性800、分支900、两源成一输出1000、以及重新迭代1100。变换完成的本质例如聚集或音频至文本翻译完全取决于该数据有意设计的下游使用,对于为了那些目的预编程和预选择的每个变换而编码。已变换数据可以随后遵循数个路径之一至有用的配置605,其非穷举地包括将数据传至商业操作系统100、608的其他模块,以图形板格式显示数据609,或者在最适于所接收数据类型606、607的数据存储中存储数据。由连接器模块执行的其他活动诸如但不限于简单数据聚集,且由相同的容易产生和维护的参数列表以及如上所列的下层基于PYTHONTM的脚本而控制输出格式化和路由发送。应该注意,尽管PYTHONTM当前用作下层描述语言,本发明不依赖于任何具体语言以满足该目的并且本领域技术人员已知的任何类似脚本语言可以如实用新型特约条款而用在其合适位置处。最后,每个检索和处理步骤,以及在SLA标准顺应中可以涉及的支持系统活动以及性能数据,可以存储在多维度时序数据存储604、120中,用于度量或分析监控传输或在稍后时刻在故障检修或度量检查期间稍后检查。
图7是使用可分解变换服务模块用于非常大数据集的预测分析的方法的进程流程图700。可以由系统从多个源接收701一个或多个数据流,多个源包括但绝不限于商业操作系统100的连接器模块135、500,许多物理传感器,基于网络的问卷和调查,电子基础结构的监控,群众发源的活动,以及直接人类交互。过滤702接收到的流以排除已经损坏的数据,不兼容或错误配置且因此无法使用的数据,可以是无损的但是在所运行分析的上下文内无意义的数据,以及由作者设置的多个预定分析相关和不相关准则。过滤的数据可以在该点处分割成两个等同流(第二流为了简明并未示出),其中一个子流可以发送用以批处理而另一个子流可以正式化703以用于变换管线分析704、800、900、1000、1100。用于变换管线分析的数据正式化用于重新格式化流数据以为了在分析期间最佳、可靠的使用。重新格式化可以需要但不限于:设置数据字段顺序,如果给出选择标准化测量单元,将复杂信息分割成多个更简单字段,以及剥除不希望的字符,再次,仅列举几个简单示例。正式化数据流可以经受一个或多个变换。每个变换用作对数据的函数并且可以改变或不改变数据。在本发明内,作用在相同数据流上的变换表示为变换管线,其中一个变换的输出用作下一个的输入。尽管在变换管线中先换的绝大部分接收单个输入流,以一些方式修改流内的数据并随后传递已修改数据作为输出至管线中下一个变换,本发明不要求这些特征。根据实施例,单个变换可以从多于一个源1000接收预期的输入,或根本不接收输入,只要变换用作时间戳。根据实施例,单个变换可以不修改数据,只要遇到数据存储用作在共同未决申请14/925,974的中所述的用于下游变换的队列。根据实施例,单个变换可以提供输出至多于一个下游变换900。这能力自身适用于其中多个可能选择可以在其所有待分析的工序的单个步骤处做出的情形。尽管仅单个,对于每个示例已经提供了简单的使用情形,在每个情形中,为了说明方便从多个可能性选择示例,给出的示例不应视作将本发明仅限制于过分简单化的应用。最后,根据本发明,变换管线主干线中的变换可以形成线性或准线性设置,或者可以是圆柱形1100,其中内部变换的一个的输出用作允许运行递归分析的其经历之一的输入。随后可以由来自数据流的批分析的结果修改变换管线分析的结构,并以由分析的作者预设计的格式输出706,具有人类可读的摘要打印输出,人类可读指令打印输出,人类可读的原始打印输出,数据存储,或者本领域已知的待用于进一步自动化分析或动作大纲的任何格式的机器编码的信息。
图8是用于使用分布式计算图形在用于非常大型数据集的预测分析的系统内变换管线的优选架构的方框图800。根据实施例,来自数据过滤器软件模块820、815的流输入用作变换管线的第一变换节点820的输入。对输入数据流执行变换节点的功能且已变换输出消息825发送至变换节点2830。变换节点820、830、840、850、860以及来自每个节点的相关联输出消息825、835、845、855、865的级数是线性配置,这是最简单设置,并且如之前所述,表示本领域当前状态。尽管根据各个实施例将变换节点描述为均匀形状(参照图8-11),该均匀性用于简单和清楚的展示且并未反映管线内变换之间必须的操作相似性。应该知晓,本领域技术人员将认识到管线中某些变换可以是完全自持的;某些变换可以涉及直接人类交互830,诸如经由拨号盘选择、手表的位置、或者控制显示器上设置的参数,所有这些可以在分析期间变化;其他变换可以要求外部聚集或相关服务,或者可以依赖于对于同步或异步分析引擎的远程工序调用,如在多个其他可能性之中在模拟中可以出现的。进一步,根据实施例,一个管线中的单个变换节点可以展示另一变换管线的功能。应该知晓,所示变换管线的节点长度绝非将由本发明采用的变换管线界定于任意最大长度840、850、860,如分布式的,变换的数目将由可应用于本发明每个实施方式的资源所限制。应该进一步知晓,变换管线长度无需限制。变换管线860的最后一个变换节点以及延伸的输出可以被发送返回至另一模块500用于预定的动作。
图9是用于使用分布式计算图在用于非常大型数据集的预测分析的系统内变换管线的另一优选架构的方框图900。根据实施例,来自数据过滤器软件模块500、905的流输入用作变换管线的第一变换节点910的输入。对输入数据流执行变换节点的功能并且将已变换的输出消息915发送至变换节点2920。在该实施例中,变换节点2920具有第二输入流965。该输入的特殊源960对于本发明的工作无意义且可以是另一变换管线软件模块,数据存储,人类交互,物理传感器,用于其他电子系统的监控设备,或者来自互联网如来自群集发源运动的流,仅列举几个可能性960。第二输入流功能集成至一个变换节点中要求两个输入流事件串行化。本发明使用可分解变换软件模块执行该串行化。尽管变换节点根据各个实施例描述为均匀形状(参照图8-11),该均匀性为了简单和清楚展示而使用并且并未反映在管线内变换之间的必须操作相似性。应该知晓,本领域技术人员将认识到管线中某些变换可以是完全自持的;某些变换可以涉及直接人类交互930,诸如经由拨号盘的选择,手表的定位,或者控制显示器上的参数设置,所有这些可以在分析期间改变;其他变换可以要求外部聚集或校正服务,或者可以依赖于对于在多个其他可能性之中在模拟中可以出现的同步或异步分析引擎的远程工序调用。进一步根据实施例,一个管线中单个变换节点可以展现另一变换管线的功能。应该知晓,所示的变换管线的节点长度绝非将由本发明利用的变换管线界定于节点910、920、930、940、950的任意最大长度,每个产生了如分布式的输出消息915、925、935、945、955,变换的数目可以受限于本发明每个实施方式可应用的资源。应该进一步知晓,变换管线长度无需限制。变换管线950的最后一个变换节点及其延伸的输出可以发送返回至连接器模块500用于预决定的动作。
图10是使用分布式计算图形在用于非常大型数据集的预测分析的系统内变换管线的另一优选架构的方框图1000。根据实施例,来自数据过滤器软件模块600、1005的流输入用作变换管线的第一变换节点1010的输入。对输入数据流执行变换节点的功能且将已变换的输出消息1015发送至变换节点21020。在该实施例中,变换节点21020将其输出流1025、1060发送至两个变换管线1030、1040、1050、1065、1075。这允许相同数据流经历两个全异的、可能完全不相关的分析而不必复制初始变换操作的基础结构,大大提高了本发明在当前变换管线之上的表现性。来自一个变换节点1020的第二输出流的功能集成要求两个输出流事件串行化。本发明使用可分解变换软件模块150执行该串行化。尽管变换节点根据各个实施例描述为均匀形状(参照图8-11),该均匀性为了简单和清楚展示而使用,并且并未反映在管线内变换之间必须的操作蕾丝小。应该知晓,本领域技术人员将认识到管线中某些变换可以是完全自持的;某些变换可以涉及直接人类交互,诸如经由拨号盘的选择,手表的定位,或者控制显示器上设置的参数,所有这些可以在分析期间变化;其他变换可以要求外部聚集或相关服务,或者可以在多个其他可能之中如在模拟中可以出现的对于同步或异步分析引擎的远程工序调用。进一步根据实施例,一个管线中单个变换节点可以展示另一变换管线的功能。应该知晓,所示变换管线的节点数目绝非将由本发明采用的变换管线限制于节点1010、1020、1030、1040、1050、1065、1075的任意最大长度,每个产生分布式的输出消息1015、1025、1035、1045、1055、1070、1080,变换的数目可以受限于本发明每个实施方式可应用的资源。进一步根据实施例,无需限制变换管线长度。可以将变换管线1050的最后一个变换节点及其延伸的输出发送返回至连接器模块135以用于编程使能的动作。
图11是使用分布式计算图形在用于非常大型数据集的预测分析的系统内变换管线的另一优选架构的方框图1100。根据实施例,来自数据过滤器软件模块820、1105的流输入用作变换管线的第一变换节点1110的输入。可以对输入数据流执行变换节点的功能并且可以将已变换输出消息1115发送至变换节点21120。同样,一旦由变换节点21120作用于数据流,使用其输出消息1125将其输出发送至变换节点31130。在该实施例中,变换节点31130将其输出流1135发送返回至变换节点11110,在变换节点11110、变换节点21120和变换节点31130之间形成了循环关系。一旦实现了一些网关结果,循环管线活动的输出可以发送至管线1140、1145内下游变换节点。通用循环路径构造的存在允许本发明用于解决涉及大型数据集合的复杂迭代问题,扩展了对于复杂问题快速检索结论的能力。循环变换管线的功能创建要求每个循环串行化。本发明使用可分解变换软件模块执行该串行化,其功能完全描述在共同未决的申请14/925,974的中。尽管变换节点根据各个实施例描述为均匀形状(参照图8-11),该均匀性为了简单和清楚展示而使用,并且并未反映在管线内变换之间的必须操作相似性。应该知晓,本领域技术人员将知晓,管线中某些变换可以是完全自持的;某些变换可以涉及直接人类交互830,诸如经由拨号盘选择,手表的定位,或者控制显示器上设置的参数,所有这些可以在分析期间改变;另外其他变换可以要求外部聚集或相关服务,或者可以在多个其他可能性之中如在模拟中可以发生的依赖于对于同步或异步分析引擎的远程工序调用。进一步根据实施例,一个管线中单个变换节点可以表现另一变换管线的累积功能。应该知晓,所示的变换管线的节点数目绝非将由本发明利用的变换管线限制于节点1110、1120、1130、1145、1155的任意最大长度,每个产生分布式的输出消息1115、1125、1135、1140、1150、1160,变换的数目可以受限于本发明每个实施方式可应用的资源。应该进一步知晓,变换管线长度无需限制。变换管线1155的最后一个变换节点及其延伸的输出可以发送返回至连接器模块500用于编程使能的动作。
硬件架构
通常,在此所公开的技术可以实施在硬件或者软件与硬件的组合上。例如,它们可以实施在操作系统内核中,在分立的用户进程中,在捆绑至网络应用中的库数据包中,在专门构造的机器上,在专用集成电路(ASIC)上,或者在网络接口卡上。
在此所公开的实施例的至少一些的软件/硬件混合实施方式可以实施在由存储在存储器中的计算机程序选择性激活或配置的可编程网络驻留机器(应该理解为包括间歇连接的知晓网络的机器)上。该网络装置可以具有可以配置或设计用于利用不同类型网络通信协议的多个网络接口。在此可以描述用于这些机器的一些的通用架构以便于说明由此可以实施给定功能单元的一个或多个示例性装置。根据具体实施例,在此所公开各个实施例的特征或功能的至少一些可以实施在于一个或多个网络相关联的一个或多个通用计算机上,诸如例如终端用户计算机系统、客户端计算机、网络服务器或者其他服务器系统、移动计算装置(例如平板计算装置、移动电话、智能电话、膝上型或其他合适的计算装置)、消费者电子装置、音乐播放器、或任何其他合适的电子装置、路由器、手表、或其他合适的装置、或其任意组合。在至少一些实施例中,在此所公开的各个实施例的特征或功能的至少一些可以实施在一个或多个虚拟化计算环境中(例如网络计算云,驻留在一个或多个物理计算机器上的虚拟机,或其他合适的虚拟环境)。
现在参照图12,示出了方框图,描绘了适用于实施在此所公开特征或功能的至少一部分的示例性计算装置10。计算装置10可以例如是在之前图中所列的计算机器的任意一个,或者的确是能够根据存储在存储器中一个或多个程序而执行基于软件或基于硬件指令的任何其他电子装置。计算装置10可以配置用于在通信网络之上与多个其他计算装置诸如客户端或服务器通信,通信网络诸如广域网、城域网、局域网、无线网络、互联网或使用不论无线或有线的用于通信的已知协议的任何其他网络。
在一个实施例宏,计算装置10包括一个或多个中央处理单元(CPU)12,一个或多个接口15,以及一个或多个总线14(诸如外围部件互联(PCI)总线)。当在合适的软件或固件的控制之下作用时,CPU12可以负责实施与特殊配置的计算装置或机器的功能相关联的特殊功能。例如,在至少一个实施例中,可以配置或设计计算装置10以用作利用CPU12、本地存储器11和/或远程存储器16以及接口15的服务器系统。在至少一个实施例中,可以使得CPU12在例如可以包括操作系统和任何合适应用软件、驱动等的软件模块或部件的控制下执行不同类型功能和/或操作的一个或多个。
CPU12可以包括一个或多个处理器13诸如例如来自Intel、ARM、Qualcomm和AMD系列微处理器的一个的处理器。在一些实施例中,处理器13可以包括用于控制计算装置10的操作的特殊设计的硬件诸如专用集成电路(ASIC)、电可擦除可编程只读存储器(EEPROMs)、现场可编程门阵列(FPGAs)等等。在具体实施例中,本地存储器11(诸如非易失性随机访问存储器(RAM)和/或只读存储器(ROM),包括例如一级或更多级高速缓存)也可以形成CPU12的一部分。然而,可以存在其中存储器可以耦合至系统10的许多不同方式。存储器11可以用于各种目的诸如例如高速缓存和/或存储数据,编程指令等。应该进一步知晓,CPU12可以是各种芯片上系统(SOC)类型硬件,其可以包括额外硬件诸如存储器或图形处理芯片,诸如本领域变得越来越普通的Qualcomm SNAPDRAGONTM或Samsung EXYNOSTM CPU,诸如用于移动装置或集成装置中。
如在此所使用的,术语“处理器”不仅限于本领域中所涉及的那些集成电路如处理器、移动处理器或微处理器,而是广义地涉及微控制器、微计算机、可编程逻辑控制器、专用集成电路、以及任何其他可编程电路。
在一个实施例中,接口15提供作为网络接口卡(NICs)。通常,NICs控制在计算机网络之上数据包的发送和接收;其他类型接口15可以例如支持计算装置10使用的其他外围设备。在可以提供的接口之中是以太网接口、帧中继接口、电缆接口、DSL接口、令牌环接口、图形接口等等。此外,可以提供各种类型接口,诸如例如,通用串行总线(USB)、串行、以太网、FIREWIRETM、THUNDERBOLTTM、PCI、并行、射频(RF)、BLUETOOTHTM、近场通信(例如使用近场磁体)、802.11(WiFi)、帧中继、TCP/IP、ISDN、快四以太网接口、吉比特以太网接口、串行ATA(SAT)或外部SATA(ESATA)接口、高清多媒体接口(HDMI)、数字视觉接口(DVI)、模拟或数字音频接口、异步传输模式(ATM)接口、高速串行接口(HSSI)接口、销售点(POS)接口、光纤数据分布式接口(FDDIs)等等。通常,该接口15可以包括适用于与合适媒介通信的物理端口。在一些情形中,它们也可以包括独立的处理器(诸如专用音频或视频处理器,如本领域普通的用于高保真A/V硬件接口),以及在一些情形中,易失性和/或非易失性存储器(例如RAM)。
尽管上述示出和描述的系统说明了用于实施在此所公开的本发明一个或多个的计算装置10的一个具体架构,其绝非仅是其中所述特征或技术的至少一部分可以实施在其上的唯一装置架构。例如,可以使用具有一个或任意数目处理器13的架构,并且该处理器13可以存在于单个装置中或分布在任意数目装置之中。在一个实施例中,单个处理器13操纵通信以及路由计算,而在其他实施例中可以提供分立的专用通信处理器。在各个实施例中,不同类型特征或功能可以实施在根据本发明的系统中,其包括客户端装置(诸如运行了客户端软件的平板装置或智能手机)和服务器系统(诸如以下更详细描述的服务器系统)。
与网络装置配置无关,本发明的系统可以利用配置用于存储数据、用于通用网络操作的程序指令、或关于在此所公开实施例的功能的其他信息(或以上任意组合)的一个或多个存储器或存储器模块(诸如例如,远程存储器组块16和本地存储器11)。例如,程序指令可以包括操作系统和/或一个或多个应用或者控制器执行。存储器16或者存储器11、16也可以配置用于存储数据结构、配置数据、加密数据、历史系统操作信息、或者在此所述任意其他专用或通用非程序信息。
因为可以利用该信息和程序指令以实施在此所述的一个或多个系统或方法,至少一些网络装置实施例可以包括非临时机器可读存储媒介,其例如可以配置或设计用于存储用于执行在此所述各种操作的程序指令、状态信息等等。该非临时机器可读存储媒介的示例包括但不限于,磁性媒介诸如硬盘、软盘和磁带,光学媒介诸如CD-ROM盘,磁-光媒介诸如光盘,以及特殊配置以存储并执行程序指令的硬件装置,诸如只读存储器装置(ROM)、闪存(如在移动装置和集成系统中普遍的)、固态驱动(SSD)和可以将固态的物理部件和硬盘驱动组合在单个硬件装置中(在关于个人计算机的领域中变得越来越普遍)的“混合SSD”存储装置、忆阻存储器、随机访问存储器(RAM)等等。应该知晓,该存储装置可以是整体且不可移除的(诸如可以焊接至母板上或另外集成至电子装置中的RAM硬件模块),或者它们可以是可移除的诸如可插拔闪存模块(诸如“拇指驱动”或设计用于快速交换物理存储装置的其他可移除媒介)、“可热插拔”硬盘驱动或固态驱动、可移除光学存储盘、或其他这种可移除媒介,并且这些整体和可移除存储媒介可以可互换地利用。程序指令的示例包括诸如可以由编译器产生的目标码,诸如可以由汇编器或链接器产生的机器码,诸如可以由例如JAVATM编译器产生并可以使用Java虚拟机或设备执行的字节码,或者包含可以由计算机使用解释器执行的更高级代码的文件(例如,以Python,Perl,Ruby,Groovy或其他脚本语言编写的脚本)。
在一些实施例中,根据本发明的系统可以实施在独立计算系统上。现在参照图13,示出了方框图,描绘了在独立计算系统上一个或多个实施例的典型示例性架构或者其部件。计算装置20包括处理器21,可以运行执行了本发明实施例的一个或多个功能或应用的软件,诸如例如客户端应用24。处理器21可以在操作系统22诸如例如Microsoft的WINDOWSTM操作系统、Apple的MacOS/X或iOS操作系统、Linux操作系统的一些变型、Google的ANDROIDTM操作系统等等版本的控制之下执行计算指令。在许多情形中,一个或多个共用服务23可以可操作于系统20中,并且可以帮助向客户端应用24提供公共服务。服务23可以例如是WINDOWSTM服务,Linux环境中的用户空间公共服务,或操作系统21使用的任何其他类型公共服务架构。输入装置28可以是适用于接收用户输入的任何类型,包括例如键盘、触摸屏、话筒(例如用于语音输入)、鼠标、触摸垫、轨迹球、或其任意组合。输出装置27可以是适用于向对于系统不论是远程或本地的一个或多个用户提供输出的任何类型,并且可以包括例如用于视觉输出的一个或多个屏幕、扬声器、打印机或其任意组合。存储器25可以是具有本领域已知的由处理器21使用例如以运行软件的任何结构和架构的随机访问存储器。存储装置26可以是用于以数字形式存储数据的任何磁性、光学、机械、忆阻、或电存储装置(诸如以上所述那些)。存储装置26的示例包括闪存、磁性硬驱动、CD-ROM和/或类似的。
在一些实施例中,本发明的系统可以实施在分布式计算网络上,诸如具有任意数目客户端和/或服务器的一个。现在参照图14,示出了方框图,描绘了用于在分布式计算网络上实施根据本发明实施例的系统的至少一部分的示例性架构30。根据实施例,可以提供任意数目客户端33。每个客户端33可以运行用于实施本发明客户端侧部分的软件;客户端可以包括系统20诸如上述的系统。此外,可以提供任意数目服务器32用于处理从一个或多个客户端33接收的请求。客户端33和服务器32可以经由一个或多个电子网络31相互通信,其在各个实施例中可以是互联网、广域网、移动电话网络(诸如CDMA或GSM蜂窝网络)、无线网络(诸如WiFi、Wimax、LTE等等)或局域网(或的确本领域已知的任何网络技术;本发明并未优选任何一个网络拓扑在另一个之上)。网络31可以使用任何已知的网络协议实施,包括例如有线和/或无线协议。
此外,在一些实施例中,当需要获得额外信息或涉及关于特定呼叫的额外数据时服务器32可以调用额外服务37。与外部服务37通信可以例如经由一个或多个网络31而发生。在各个实施例中,外部服务37可以包括与硬件装置相关或安装在其自身上的网络使能服务或功能。例如,在其中客户端应用24实施在智能电话或其他电子装置上的实施例中,客户端应用24可以获得存储在云中服务器系统32中或部署在特定企业或用户房产的一个或多个上的外部服务37上的信息。
在本发明的一些实施例中,客户端33或服务器32(或两者)可以利用可以本地或远程跨一个或多个网络32部署的一个或多个专用服务或器具。例如,可以由本发明一个或多个实施例使用或涉及一个或多个数据库34。本领域技术人员应该理解,数据库34可以设置在广泛各种架构中并且使用广泛各种数据访问和操纵装置。例如,在各个实施例中一个或多个数据库34可以包括使用结构化查询语言(SQL)的关系数据库系统,而其他的可以包括备选数据处处技术诸如本领域称作“NoSQL”的那些(例如Hadoop Cassandra,GoogleBigTable等等)。在一些实施例中,根据本发明可以使用变型数据库架构诸如面向列的数据库、存储器内数据库、集群数据库、分布式数据库、或者甚至平坦文件数据储存库。本领域普通技术人员应该知晓,如合适的可以使用已知或未来的数据库技术的任意组合,除非对于其中特定实施例规定了特殊数据库技术或部件的特殊布置。此外,应该知晓,如在此使用的术语“数据库”可以涉及物理数据库机器,用作单个数据库系统的机器的集群,或者整个数据库管理系统内的逻辑数据库。除非对于给定术语“数据库”的使用规定了特殊含义,应该解释为意味着词语的任何这些含义,所有这些由本领域技术人员理解为术语“数据库”的明显含义。
类似地,本发明的大多数实施例可以利用一个或多个安全系统36和配置系统35。安全和配置管理是普通信息技术(IT)和网络功能,并且每个的一些量通常与任何IT或网络系统相关联。本领域技术人员应该理解,本领域现在或未来已知的任何配置或安全子系统可以不受限制与本发明的实施例结合使用,除非由任何具体实施例的说明特殊地要求特殊的安全36或配置系统35或方案。
图15示出了可以用于遍及系统任何各种位置的计算机系统40的示例性概图。其是可以执行代码以处理数据的任何计算机的示例。可以对计算机系统40做出各种修改和改变而并未脱离在此所公开系统和方法的更宽范围。中央处理器单元(CPU)41连接至总线42,总线也连接至存储器43、非易失性存储器44、显示器47、输入/输出(I/O)单元48、和网络接口卡(NIC)53。I/O单元48可以通常连接至键盘49、指点装置50、硬盘52、以及实时时钟51。NIC53连接至网络54,其可以是互联网或局部网络,其中局部网络可以具有或不具有至互联网的连接。也已知作为系统40一部分的是在该示例中连接至主交流(AC)电源46的电源单元45。未示出的是可以存在的电池,以及广泛已知但是无法应用于在此所公开当前系统和方法的具体创新功能的许多其他装置和修改例。应该知晓,所示的一些或全部不见可以组合,诸如在各种集成应用中,例如Qualcomm或Samsung芯片上系统(SOC)装置,或者无论何时其可以合适地将多个性能或功能组合成单个硬件装置(例如,在移动装置诸如智能电话、视频游戏控制台、车载计算机系统诸如汽车中的导航或多媒体系统、或其他集成硬件装置中)。
ACDP以由当前现有技术不可检测的创新方式检测计算机攻击。其进一步使能遍及整个事件响应进程的人机协作以快速通知并解决计算机攻击的起源、扩散、影响和矫正(模拟/建模和机器学习引导提供上下文至结果的人类调查员,形成了迭代正直反馈回路)。最终,ACDP使用基线数据和IT环境的模拟/建模以推荐安全架构改变并自动地开发所建议的投资路线图以最大化有限计算机安全预算的商业价值。
在各个实施例中,用于实施本发明的系统或方法的功能可以分布在任意数目客户端和/或服务器部件之中。例如,可以实施各种软件模块用于执行与本发明有关的各个功能,并且可以各种不同地实施该模块以运行在服务器和/或客户端上。
本领域技术人员将知晓上述各个实施例的可能修改例的范围。因此,本发明由权利要求和它们等价形式限定。

Claims (34)

1.一种用于利用了先进计算机决策平台的计算机攻击的检测和缓和的系统,包括:
时序数据检索和存储模块,存储在计算装置的存储器中并运行在所述计算装置的处理器上;有向计算图形分析模块,存储在所述计算装置的存储器中并运行在所述计算装置的处理器上;动作结果模拟模块,存储在所述计算装置的存储器中并运行在所述计算装置的处理器上;以及
观察和状态估算模块,存储在所述计算装置的存储器中并运行在所述计算装置的处理器上;
其中,所述时序数据检索和存储模块:监控来自多个源的计算机安全相关数据;连续地监控在至少一个客户端上的通信量;以及存储所检索和监控的数据;
其中,所述有向计算图形分析模块:从所述时序数据检索和存储模块检索多个数据;分析所检索数据的至少一部分用于基线模式确定;分析所检索数据的至少一部分用于预定异常的出现;以及提供相关数据和元数据至所述动作结果模拟模块;
其中,所述动作结果模拟模块:从所述有向计算图形分析模块接收数据和元数据用于预测模拟分析;对由所述先进计算机决策平台的其他模块所提供的数据执行预测模拟变换;以及提供预测模拟分析的结果至先进计算机决策平台的预定模块;
其中,所述观察和状态估算模块以预设计用以最大化所包括信息和数据的输送的方式格式化从所述先进计算机决策平台的其他模块接收的数据。
2.根据权利要求1所述的系统,其中,所述由时序数据检索和存储模块检索的数据的至少一部分是来自多个专家源的计算机安全情报数据。
3.根据权利要求1所述的系统,其中,所述由有向计算图形分析所分析的基线数据的至少一部分是网络设备日志、网络设备配置参数、网络拓扑信息和网络驻留服务器日志以为了预测地揭露网络脆弱点的目的。
4.根据权利要求1所述的系统,其中,所述由有向计算图形分析模块所分析基线数据的至少一部分是至少一个已批准网络用户的正常网络使用通信量。
5.根据权利要求1所述的系统,其中,由动作结果模拟模块运行的模拟的至少一部分包括对于多个计算机开发预测发现驻留网络基础结构脆弱点并提供至少一个结果校正推荐。
6.根据权利要求1所述的系统,其中,由动作结果模拟模块运行的模拟的至少一部分包括来自可能正在进行计算机攻击的网络通信量样本数据以预测进展的时间线和预测导致有效缓和结果的至少一个推荐。
7.根据权利要求1所述的系统,其中,指引由观察和状态估算模块格式化的输出的至少一部分以从参与了计算机安全响应的那些的集合的子集产生最大聚焦可动作响应。
8.根据权利要求1所述的系统,其中,由观察和状态估算模块格式化的输出的至少一部分提供可应用信息的特殊分段子集用于输送至在缓和和恢复进程中具有不同角色的一个或多个计算机攻击响应团队。
9.一种用于利用先进计算机决策平台的计算机攻击的缓和的方法,包括步骤:
a)使用时序数据检索和存储模块从多个源检索多个计算机安全相关数据;
b)使用有向计算图形分析模块分析所述计算机安全相关数据以检测正在进行的计算机攻击;
c)使用动作结果模拟模块从可应用计算机安全相关数据模拟多个结果以预测网络脆弱点和正在进行的计算机攻击的可能时间线;
d)使用观察和状态估算模块以预设计用以传递最大可动作影响的格式展示从先进计算机决策平台分析得到的信息。
10.根据权利要求9所述的方法,其中,由时序数据检索和存储模块检索的数据的至少一部分是来自多个专家源的计算机安全情报数据。
11.根据权利要求9所述的方法,其中,由有向计算图形分析模块分析的基线数据的至少一部分是网络设备日志、网络设备配置参数、网络拓扑信息和网络驻留服务器日志以为了预测性揭露网络脆弱点的目的。
12.根据权利要求9所述的方法,其中,由有向计算图形分析模块分析的基线数据的至少一部分是至少一个已批准网络用户的正常网络使用通信量。
13.根据权利要求9所述的方法,其中,由动作结果模拟模块运行的模拟的至少一部分包括对于多个计算机开发的驻留网络基础结构脆弱点的预测性发现并提供至少一个结果校正推荐。
14.根据权利要求9所述的方法,其中,由动作结果模拟模块运行的模拟的至少一部分包括来自可能正在进行的计算机攻击的网络通信量采样数据以预测进展的时间线并提供预测引起有效缓和结果的至少一个推荐。
15.根据权利要求9所述的方法,其中,指引由观察和状态估算模块格式化的输出的至少一部分以从参与计算机安全响应的那些集合的子集产生最大聚集可动作响应。
16.根据权利要求9所述的方法,其中,由观察和状态估算模块格式化的输出的至少一部分提供用于输送的可应用信息的特殊分段子集至在缓和和恢复进程中具有不同角色的一个或多个计算机攻击响应团队。
17.一种用于从多个网络服务源捕捉数据的高度可伸缩分布式连接接口的系统:
连接器模块,存储在计算装置的存储器中并运行在所述计算装置的处理器上;
其中所述连接器模块:
从多个网络数据源检索多个商业相关数据;
利用多个应用编程接口例行程序以与所述多个商业相关数据源通信;
接受多个分析参数并控制直接来自人类接口装置或来自一个或多个命令和控制存储装置的命令;以及
规定将要对所检索商业数据采取的动作。
18.根据权利要求17所述的系统,其中,所述连接器模块通过连续监控由所述网络数据源释放的信息流而检索所述商业相关数据的至少一部分。
19.根据权利要求18所述的系统,其中,可以基于过滤器的使用而隔离所述流商业相关数据的至少一部分。
20.根据权利要求17所述的系统,其中,基于事件触发器从网络数据源检索所述商业相关数据的至少一部分。
21.根据权利要求17所述的系统,其中,基于时间相关触发器从网络数据源检索所述商业相关数据的至少一部分。
22.根据权利要求17所述的修通,其中,由所述连接器模块将所检索的商业相关数据的至少一部分变换为对于预定目的有用的格式。
23.根据权利要求17所述的系统,其中,将所检索商业相关数据的至少一部分路由发送至商业操作系统中其他模块以用于变换为对于预定目的有用的格式。
24.根据权利要求17所述的系统,其中,显示并废弃所检索商业相关数据的至少一部分。
25.根据权利要求17所述的系统,其中,永久地存储所检索商业相关数据的至少一部分。
26.一种用于从多个网络服务源捕捉数据的高度可伸缩分布式连接接口的方法,包括步骤:
a)使用存在于存储在计算装置的存储器中并运行在其处理器上的连接器模块中的多个网络数据源专用编程接口例行程序而从多个网络数据源检索多个商业相关数据;以及
b)基于存在于计算装置的存储器中并运行在其处理器上的连接器模块中的商业相关数据特殊参数而将所述多个商业相关数据路由发送至包括商业操作系统的多个模块。
27.根据权利要求26所述的方法,其中,所述连接器模块通过连续监控由所述网络数据源释放的信息流而检索所述商业相关数据的至少一部分。
28.根据权利要求26所述的方法,其中,可以基于过滤器的使用而隔离流动商业相关数据的至少一部分。
29.根据权利要求26所述的方法,其中,基于事件触发器从网络数据源检索所述商业相关数据的至少一部分。
30.根据权利要求26所述的方法,其中,基于时间相关触发器从网络数据源检索所述商业相关数据的至少一部分。
31.根据权利要求26所述的方法,其中,由所述连接器模块将所检索商业相关数据的至少一部分变换为对于预定目的有用的格式。
32.根据权利要求26所述的方法,其中,将所检索商业相关数据的至少一部分路由发送至商业操作系统中其他模块以为了变换为对于预定目的有用的格式。
33.根据权利要求26所述的方法,其中,显示并废弃所检索商业相关数据的至少一部分。
34.根据权利要求26所述的方法,其中,永久地存储所检索商业相关数据的至少一部分。
CN201780047021.0A 2016-08-05 2017-08-07 利用先进计算机决策平台的计算机攻击的检测缓和与矫正 Withdrawn CN109564609A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US15/229476 2016-08-05
US15/229,476 US10454791B2 (en) 2015-10-28 2016-08-05 Highly scalable distributed connection interface for data capture from multiple network service sources
US15/237,625 US10248910B2 (en) 2015-10-28 2016-08-15 Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US15/237625 2016-08-15
PCT/US2017/045759 WO2018027226A1 (en) 2016-08-05 2017-08-07 Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform

Publications (1)

Publication Number Publication Date
CN109564609A true CN109564609A (zh) 2019-04-02

Family

ID=61073187

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780047021.0A Withdrawn CN109564609A (zh) 2016-08-05 2017-08-07 利用先进计算机决策平台的计算机攻击的检测缓和与矫正

Country Status (3)

Country Link
EP (1) EP3494506A4 (zh)
CN (1) CN109564609A (zh)
WO (1) WO2018027226A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117234759A (zh) * 2023-11-13 2023-12-15 长沙时代跳动科技有限公司 一种app服务平台的数据处理方法及系统

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115563197A (zh) * 2018-03-15 2023-01-03 创新先进技术有限公司 一种数据驱动业务的方法、装置以及设备
US10958677B2 (en) 2018-12-18 2021-03-23 At&T Intellectual Property I, L.P. Risk identification for unlabeled threats in network traffic
CN110298381B (zh) * 2019-05-24 2022-09-20 中山大学 一种云安全服务功能树网络入侵检测系统
US11632386B2 (en) 2019-07-19 2023-04-18 Rochester Institute Of Technology Cyberattack forecasting using predictive information
CN112511360B (zh) * 2021-02-05 2021-05-07 北京通付盾人工智能技术有限公司 一种多源业务平台数据安全组件监控方法及系统
US20230130649A1 (en) * 2021-10-21 2023-04-27 Dazz, Inc. Techniques for semantic analysis of cybersecurity event data and remediation of cybersecurity event root causes
WO2023087069A1 (en) * 2021-11-18 2023-05-25 Canopus Networks Pty Ltd Network traffic classification
CN117675580A (zh) * 2022-08-24 2024-03-08 中兴通讯股份有限公司 网络设备的能耗控制方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8060936B2 (en) * 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US9426169B2 (en) * 2012-02-29 2016-08-23 Cytegic Ltd. System and method for cyber attacks analysis and decision support
US9258321B2 (en) * 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9794279B2 (en) * 2014-06-11 2017-10-17 Accenture Global Services Limited Threat indicator analytics system
WO2015200211A1 (en) * 2014-06-22 2015-12-30 Webroot Inc. Network threat prediction and blocking

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117234759A (zh) * 2023-11-13 2023-12-15 长沙时代跳动科技有限公司 一种app服务平台的数据处理方法及系统
CN117234759B (zh) * 2023-11-13 2024-02-23 长沙时代跳动科技有限公司 一种app服务平台的数据处理方法及系统

Also Published As

Publication number Publication date
EP3494506A4 (en) 2020-01-22
WO2018027226A1 (en) 2018-02-08
EP3494506A1 (en) 2019-06-12

Similar Documents

Publication Publication Date Title
US11323471B2 (en) Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes
US11184401B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
US10432660B2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
CN109564609A (zh) 利用先进计算机决策平台的计算机攻击的检测缓和与矫正
US11297088B2 (en) System and method for comprehensive data loss prevention and compliance management
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US20220078210A1 (en) System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces
US10248910B2 (en) Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform
US11570209B2 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
US11570204B2 (en) Detecting and mitigating golden ticket attacks within a domain
US11316891B2 (en) Automated real-time multi-dimensional cybersecurity threat modeling
US11005824B2 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
US10681060B2 (en) Computer-implemented method for determining computer system security threats, security operations center system and computer program product
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20220263860A1 (en) Advanced cybersecurity threat hunting using behavioral and deep analytics
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US11074652B2 (en) System and method for model-based prediction using a distributed computational graph workflow
WO2021216163A2 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US11637866B2 (en) System and method for the secure evaluation of cyber detection products
US20230370490A1 (en) System and method for cyber exploitation path analysis and task plan optimization
CN111316272A (zh) 使用行为和深度分析的先进网络安全威胁减缓
CN111316268A (zh) 用于银行间金融交易的高级网络安全威胁抑制

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20190402