CN111052704A

CN111052704A - 网络分析工作流程加速

Info

Publication number: CN111052704A
Application number: CN201880056482.9A
Authority: CN
Inventors: 肖恩·摩尔; 乔纳森·罗杰斯; 杰西·帕内尔; 扎迦利·恩内德
Original assignee: Centripetal Networks LLC
Current assignee: Xiangxin Co ltd
Priority date: 2017-07-10
Filing date: 2018-07-10
Publication date: 2020-04-21
Also published as: AU2018301781B2; US11574047B2; WO2019014159A1; US20240004996A1; EP3652914A1; US10503899B2; DE202018006616U1; EP4152692A1; AU2018301781A1; AU2018301781B9; US11797671B2; US20190012456A1; US20230117494A1; EP3652914B1; CA3069437A1; US20200019700A1

Abstract

一种网络威胁情报(CTI)网关设备可以接收用于过滤TCP/IP数据包通信事件的规则，该规则被配置为促使CTI网关设备识别与网络威胁的指示符、签名和行为模式相对应的通信。CTI网关设备可以接收组成端点到端点通信事件的数据包，并且可以针对每个事件确定该事件对应于由过滤规则指定的标准。该标准可以对应于网络威胁指示符、签名和行为模式中的一个或多个。CTI网关可以创建威胁事件的日志，并将该威胁事件日志转发到由网络分析工作流程应用程序管理的任务队列。人工网络分析人员使用该网络分析工作流程应用程序，通过去除队列前面的任务、调查威胁事件以及确定该事件是否为应当报告给适当管理机构的可报告调查结果，从而为任务队列提供服务。为了提高工作流程进程的效率，队列中的任务按网络分析人员将相关联的威胁事件确定为可报告的调查结果的似然或概率排序；因此，高似然的事件被首先调查。似然使用应用于事件的特征的人工设计算法和机器学习算法计算的。低似然事件可以从工作队列中丢弃，以进一步提高效率。

Description

网络分析工作流程加速

背景技术

随着信息时代的不断发展，网络安全变得越来越重要。网络威胁可能采取多种形式(例如，未经授权的请求或数据传输、病毒、恶意软件、旨在淹没网络资源的大量网络流量等)。许多组织机构订阅网络威胁服务，这些服务定期提供与网络威胁相关联的信息，例如，包含网络威胁指示符(例如，网络地址、统一资源标识符(URI)等)、或威胁签名(例如，恶意软件文件标识符)、或威胁行为(例如，高级持续威胁的特征模式)的列表。此类服务所提供的信息可以被组织机构用来识别针对其网络和相关资产的威胁。例如，网络设备可以监控网络通信，并利用与威胁指示符相对应的网络地址来识别端点之间的任何通信。

一旦被识别，就可以记录这些通信事件，并且可以将事件日志提供给网络分析系统或人工网络分析人员，以进一步调查威胁事件的性质和严重性以及潜在的补救措施。通常，网络分析系统或网络分析人员将确定这些日志记录的威胁事件中仅一小部分是可报告的，从某种意义上说，应将事件报告给可能负责执行相关补救措施并确保网络的安全性和可能负责增强法规遵从性或报告违规行为的适当管理机构。然而，在许多现代企业网络中，网络威胁事件日志的数量和产生速度通常使人类网络分析人员在调查所有事件方面不堪重负。因此，必须有效地分配网络分析人员的工作。为此，网络分析系统或网络分析人员应仅调查那些极有可能报告的事件，而不是浪费时间和精力调查不太可能报告的威胁事件。因此，仍存在对网络分析工作流程加速的需要。

发明内容

以下给出了简要概述，以便提供对本公开的一些方面的基本理解。其既不旨在确认本公开的关键或重要要素，也不旨在勾画本公开的范围。以下概述仅以简化形式给出本公开的一些构思，作为以下描述的序言。

本公开的各方面涉及网络分析工作流程加速。根据本公开的实施例，一种TCP/IP网络通信监控设备可以接收威胁检测规则，该威胁检测规则被配置为促使监控设备识别与威胁检测规则相对应的通信事件。这些规则还可以包含可由监控设备应用于与规则匹配的数据包的动作。例如，规则可以促使监控设备基于规则阻止、允许、修改/变换、记录、捕获或对数据包执行其他动作。监控设备可以接收组成端点到端点通信的TCP/IP数据包，并且针对每个数据包和数据包相关联的通信，监控设备可以确定该数据包和/或相关联的通信对应于一个或多个威胁检测规则所指定的标准。该标准可以对应于一个或多个网络威胁指示符、或一个或多个网络威胁签名或者一个或多个网络威胁行为模式。

在检测到威胁时，监控设备可以记录数据包、可以将数据包日志聚集到相关联通信的事件日志中，以及可以将通信指定为威胁事件。该日志还可以包含上下文信息，诸如检测标准、环境信息(例如，时间戳、接口ID、方向性)、由监控设备应用于数据包的任何动作或由监控设备对数据包进行的修改。存储在这些事件日志中的信息旨在促进对威胁事件的风险和影响进行网络分析，以及促进为减轻威胁而采取的任何补救措施。监控设备还可以捕获数据包。所捕获的数据包的副本可以按原始/未处理的形式存储。可以将组成通信的每个数据包存储在一起，以便进一步促进对威胁事件的网络分析。

当监控设备生成事件日志时，可以按到达时间的顺序将日志作为任务存储在工作队列中。可以通过旨在帮助事件分析的用户界面将工作队列呈现给网络分析人员或网络分析系统。通过用户界面，网络分析人员或网络分析系统可以在队列的开头选择事件日志并开始对其进行调查，从而启动对该事件的网络分析工作流程进程。该工作流程可以如下进行：网络分析系统或网络分析人员查看事件的信息并且可以进行调查；可以确定事件的类型和严重性，诸如确定事件是否造成了重大资产损坏或损失；可以确定是否存在任何缓解或补救措施，诸如确定是否从主机中删除恶意软件；以及可以将该事件和任何缓解或补救措施作为“调查结果”报告给适当的管理机构，诸如管理和/或网络安全运营和/或监管机构，或者网络分析系统或网络分析人员可以将事件确定为非可报告的调查结果，这两者都可以完成工作流程。网络分析系统可以查看和汇总由网络分析系统接收的事件信息。汇总和/或事件信息可以被呈现或传送给网络分析人员用户设备，并查询以提供或确定任何丢失的信息，并且可以包含建议的事件类型和严重性确定以及建议的缓解或补救措施。如果该事件并非可报告调查结果，则网络分析人员的工作被视为“浪费”功夫。调查属于非可报告调查结果的事件所花费的任何时间可能会被视为效率低下，其可能会由于例如机会成本等原因而对网络安全质量产生不利影响。也就是说，调查非可报告事件所花费的时间可以被用来调查可报告的调查结果。

为了解决可报告的调查结果，管理设备可能需要对调查结果采取行动，诸如通过将报告消息传送到管理机构网络设备来向管理机构报告调查结果，以便符合适用法规。网络安全运营可以负责执行与调查结果相关联的缓解措施。在完成单个工作流程进程后，网络分析系统或网络分析人员可以传送消息以通过循环回到选择下一个事件来发起新的工作流程进程，以对下一个事件进行分析、执行工作流程，确定下一个事件是可报告的还是非可报告的。可以重复此工作流程循环，直到网络分析人员完成他们的工作会话或直到工作队列已经清空为止。

网络安全运营的主要问题是，在具有使用常规网络分析应用程序和工具的网络分析人员的典型网络安全环境中，威胁事件的产生速率或等效地工作队列的到达速率可能远远超过网络分析人员针对每个事件的服务速率。如果网络分析工作流程循环进行得过慢，则待服务事件的待办事项或队列可能会增加直到超过队列的最大长度为止，此时事件可能会从队列中丢弃。丢弃的事件可能永远不会被调查，因此情况可能是某些潜在可报告事件可能永远不会被发现。这损害了网络安全。

解决该问题的一种方法是提高威胁事件工作队列的服务速率。为此，一种方法是添加更多的网络分析人员来服务于威胁事件队列。然而，在典型的环境中，充分增加网络分析人员的数量以使队列的服务速率与队列事件的到达速率相匹配是不切实际的。

提高服务速率的另一种方法是减少平均工作流程循环时间，或等效地减少每个排队事件或任务的平均服务时间，即加快工作流程。在典型的环境中，大多数事件可能被确定为低风险或误报，因此是非可报告的。因此，如果有一种方法可以确保网络分析人员不花费任何时间调查被认为非可报告的事件，则此类事件的循环时间为零，并且可以显著减少平均工作流程循环时间。相反，如果有一种方法可以确保网络分析人员仅调查确定为可报告的事件，则可以显著减少平均工作流程循环时间。就事件队列而言，作为按到达时间对队列中的事件进行排序(这导致最旧的事件位于队列的开头)的替代，可以按可报告性的似然([0,1]的概率值)对队列中的事件进行排序或分离(这导致最有可能报告的事件位于队列的开头)。为了按可报告性似然对队列中的事件进行排序，可以将计算事件可报告性似然的算法应用于到达队列的每个事件，并且随后可以按排序的顺序将事件插入队列。具有较低可报告性似然的事件可能永远不会被网络分析人员调查，并且可能会从队列中删除；则此类事件的服务时间为零，并且由此减少了排队事件的平均工作流程循环时间，从而加快了工作流程。

网络分析工作流程加速的关键组成部分是设计计算事件的可报告性似然的算法。在描述此类算法的性质之前，应观察，如果存在可以高精度计算出事件可报告性似然的算法，那么人工网络分析人员几乎不需要进行调查；他们可以完全由机器人代替。迄今为止，尚未设计出如此高精度的算法，并且通常认为人类使用显式编程方法来设计高精度算法是不可行的。同样地，对于被认为针对世界的特定网络或区域是准确的算法，当在全球范围内应用于所有网络安全环境中的事件时，可能并不被认为是准确的。也就是说，由于对哪些事件可被视为可报告的不同考虑因素，在一个环境中被认为可报告的事件在另一环境中可能不会被视为可报告事件。例如，考虑两个可能相互敌对甚至处于战争状态的政治国家A和B。假定存在连接到由国家A军方控制和操作的网络的恶意软件分发服务器M。与M进行的任何联网通信都可能是恶意软件分发，因此应视为威胁风险。然而，恶意软件分发服务器M和连接到由国家A控制的网络的主机计算机之间的通信可能不会被国家A视为可报告事件；相反，恶意软件分发服务器M和连接到由国家B控制的网络的主机计算机之间的通信可能会被国家B视为可报告事件。

可以存在两种类型的算法来确定事件的估计可报告性似然：(1)可以显式编程的人工设计(H/D)启发式算法；和(2)可以通过机器学习系统产生的机器设计或机器学习(M/L)算法。为了确定事件的可报告似然的估计，H/D算法可以对事件特征进行分类和/或在数学上组合事件特征的度量，例如事件威胁指示符的保真性(URI的保真性高于域名，而域名的保真性高于IP地址)、指示符的年龄、提供指示符的威胁情报提供者、威胁情报提供者的信誉、威胁情报提供者分配给威胁指示符的信誉或风险评分或其他人工选择的事件特征。为了确定事件的可报告性似然，M/L算法通过将事件特征与先前确定的威胁事件相关联来类似地组合事件特征。相较于H/D算法，M/L算法可以使用更多的特征，并且可以以更复杂的方式组合这些特征，例如，通过计算可能不容易通过人来设计或显式编程或容易理解的非线性多变量函数。可以通过使用诸如人工神经网络(ANN)、遗传编程(GP)等方法(它们通常使用监督学习方法)的机器学习系统来学习得到对可报告性的准确确定的特征和组合。机器学习系统生成计算威胁事件的可报告性似然值的M/L算法。

应注意，H/D算法和M/L算法两者均使用的一些事件特性是新颖的，并且被认为是本公开的一部分。

为了产生有效的M/L算法，使用监督学习的机器学习系统通常需要大量的训练数据。训练数据由威胁事件日志组成，这些威胁事件日志已(通过人类网络分析人员)分类为可报告的调查结果(正例)和非可报告的事件(负例)。因此，使用M/L算法进行网络分析工作流程加速的潜在问题是训练数据不足导致自死锁。也就是说，在实际时间量内生成足够数量的训练数据以产生用于工作流加速的高精度M/L算法本身可能需要工作流加速。

为了避免这种潜在的死锁，在由于训练不足而导致M/L算法不够准确的时间期间，可以使用H/D启发式算法来确定事件的可报告性似然，从而在生成训练数据的同时实现一定程度的网络分析人员工作流程加速。训练数据可以用于生成M/L算法，随时间推移，该M/L算法在确定可报告性似然方面会变得非常准确。然后，可以将该M/L算法应用于队列中的事件，以通过可报告性似然(可能与用于可报告性似然的H/D算法结合)对事件进行排序。网络分析人员调查在队列开头的事件(其可能是最可能可报告的事件)，并通过将事件标记为可报告或非可报告来结束其调查或工作流程循环。网络分析系统或网络分析人员已经调查并标记为可报告或非可报告的每个事件均可以作为训练数据反馈到机器学习系统中，该训练数据将用于创建更准确的M/L算法。可将已排序队列中可报告性似然小于某个阈值(其可以由网络分析人员主观地确定)的事件从队列中丢弃，并且丢弃的事件可能永远不会被调查。如上所述，从队列中丢弃事件可以加速工作流程。

将H/D算法与M/L算法结合使用以改善工作流程加速的另一个原因是要解决不规则和特质事件。威胁事件可能会发生为，当被网络分析人员调查时将被视为可报告事件，但与用作M/L算法训练数据的先前可报告事件的模式并不很好地关联。因此，M/L算法将为该事件分配较低的可报告性似然，而H/D算法可能为其分配较高的可报告性似然。为了使整个系统对此类异常情况或威胁事件模式的变化(如网络安全中所常见的情况)具有鲁棒性，可以将H/D算法计算的可报告性似然与M/L算法计算的可报告性似然相结合，从而使得组合似然始终大于或等于H/D似然和M/L似然中的较大者(但始终小于或等于1)。因此，即使M/L似然较低，用于对队列中的事件进行排序的组合可报告性似然值也应大于或等于H/D评分。

由不同算法计算的可报告性似然可以进行加权。H/D算法可以与由M/L算法计算的可报告性似然相结合，从而使得组合可报告性似然被加权以强调算法之一。系统可以被加权以强调H/D算法。系统可以使用H/D算法来确定组合可靠性，直到用于改进M/L算法的训练数据量已经达到阈值为止。随着训练数据量的增加，可以改变权重以在H/D似然和M/L似然之间取得平衡。

另外，用于生成M/L算法的历史数据/训练数据可以特定于特定的系统/组织、特定的网络细分或特定的网络分析人员。例如，有可能在一个市场细分/关键基础结构细分中被认为是重要的威胁事件(即值得网络分析人员耗费时间和精力)，在另一细分市场/关键基础结构中可能不被认为是重要的。类似地，在给定的细分中，一个组织在给定的细分中认为重要的威胁事件不被同一给定的细分中的另一组织视为重要的威胁事件。此外，一个网络分析人员认为重要的威胁事件不被另一个体网络分析人员视为重要。如此，M/L算法可能基于为该算法提供训练数据的市场/网络细分、关键基础结构细分、组织或网络分析人员而变化。

因此，训练数据用于开发“调整”到给定细分或组织或个体网络分析人员的相关性测量算法。这也意味着可以同时使用多种相关性测量算法，每种算法都在一组不同的训练数据上进行机器学习/训练。

可以将被称为网络威胁情报(CTI)网关的TCP/IP通信监控设备配置为检测和记录与威胁指示符、签名、行为模式等相匹配的通信。当设备检测到威胁通信或威胁事件时，设备可以记录该事件并将事件日志转发到工作队列，该工作队列含有供网络分析系统或网络分析人员调查的任务。在将事件日志插入到队列中之前，可以通过H/D算法和M/L算法分别计算事件的可报告似然(0到1之间的概率值)。可以将H/D算法的似然值和M/L算法的似然值组合在一起，以生成名为R的综合可报告性似然值。事件日志可以按排序的顺序插入到工作队列中，排序标准为该队列中每个事件日志的R值，并且在队列开头附近具有较大的R值。设备检索、弹出或删除在队列开头的事件日志(其可以是队列中所有事件日志中R值最大的事件日志)，并将该事件日志传送到网络分析系统或网络分析人员以对其进行调查，并且网络分析系统或网络分析人员确定该事件是否为可报告或非可报告的。如果是可报告的，则网络分析系统或网络分析人员用户设备可以为该事件创建报告，该报告可以包含针对补救措施的建议，或者网络分析系统或网络分析人员可以执行或推荐补救措施并将该信息包含在报告中。可以将事件日志转发到机器学习系统用作训练数据，以便进一步提高M/L算法的准确性。可以将报告发送给可能负责确保网络安全、执行补救措施、遵守适用法规、报告违规行为等的适当管理机构。

工作流程进程以及监控和日志记录进程可以持续地重复。监控设备检测并记录威胁通信事件，并将事件转发到工作队列。事件可以根据其R值按排序的顺序插入到队列中，这些R值可以通过H/D和M/L算法来计算。网络分析系统或网络分析人员可以从队列的开头检索、请求或传送事件、调查事件并将它们标记为可报告或非可报告的。经调查的事件(既有可报告又有非可报告的)可以被发送到机器学习系统，以用作训练数据来创建更准确的M/L算法。网络分析系统或网络分析人员调查在队列开头的事件日志，直到R值降至阈值(其可以是主观的)以下。可以将R值低于某个阈值的事件日志从队列中丢弃，并且丢弃的事件日志可能永远不会被网络分析人员调查。

以上进程通过减少队列中每个事件的平均服务速率或调查时间来加速工作流程。网络威胁情报操作系统可以确保网络分析人员仅调查具有高R值的事件，而不花费任何时间调查具有低R值的事件(R值低于某个阈值的事件)。

附图说明

在所附权利要求中特别指出了本公开。通过在整体上回顾本公开(包含随其一起提供的附图)，本公开的特征将变得更加明显。

在附图的各图中，通过示例而非限制的方式示出了本文中的一些特征，其中类似的附图标记指代相似的元件，并且其中：

图1示出了根据本公开的一个或多个方面的用于网络分析工作流程加速的网络威胁情报(CTI)操作环境的例示性功能图；

图2示出了根据本公开的一个或多个方面的具有网络分析工作流程加速的CTI操作系统的例示性TCP/IP网络环境；

图3示出了根据本公开的一个或多个方面的用于网络分析工作流程应用程序进程的例示性功能环境；

图4示出了根据本公开的一个或多个方面的用于确定由网络威胁情报网关收集的通信事件的可报告性似然的代表性的人工设计(H/D)启发式算法；

图5示出了根据本公开的一个或多个方面的用于创建机器学习(M/L)算法的机器学习系统，该机器学习算法用于确定由网络威胁情报网关收集的通信事件的可报告性似然；

图6a和图6b列出了根据本公开的一个或多个方面的通信事件日志和相关联的度量的特征，它们可以用作用于确定由网络威胁情报网关收集的通信事件的可报告性似然机器学习系统和M/L算法的输入。

具体实施方式

在各种例示性实施例的以下描述中，参考了形成本说明书的一部分的附图，并且在附图中通过例示说明的方式示出了可以实践本公开各方面的各种实施例。应当理解，在不脱离本公开的范围的情况下，可以利用其他实施例，并且可以进行结构和功能上的修改。此外，参考了其中可以实践本公开各方面的特定应用、协议和实施例。应当理解，在不脱离本公开的范围的情况下，可以利用其他应用、协议和实施例，并且可以进行结构和功能上的修改。

在以下描述中讨论了元件之间的各种连接。这些连接是一般性的，并且除非另外指明，其可以是直接或间接的、有线或无线的、物理或逻辑定义的。就这一点而言，本说明书并非旨在进行限制。

图1示出了根据本公开的一个或多个方面的用于网络分析工作流程加速的网络威胁情报(CTI)操作环境的例示性功能图。参考图1，CTI操作系统100可以包含典型的网络威胁情报(CTI)操作循环的功能组件。CTI要求组件110以以下形式收集来自各个提供者的网络威胁情报：威胁指示符，例如可能被恶意行为者控制的互联网连接的端点的IP地址、域名和URI；威胁签名，例如恶意软件文件的MD5哈希；以及威胁行为模式，例如扩展名为.mp3的可以进行系统调用的文件。CTI要求组件110将CTI分发给收集组件120，该收集组件可以通过CTI网关来实现。CTI网关可以是检查与CTI匹配的网络通信的网络设备。收集组件或CTI网关120可以位于网络A150内、在网络A150与网络B160之间的接口处或附近。例如，假定连接到网络A150(例如，企业局域网(LAN))的主机台式计算机使用统一资源定位符(URL)http://www.malware-server.net/directory-aaa/a87gah.exe向连接到网络B160(其可以是因特网)的web服务器www.malware-server.net发送web超文本传输协议(HTTP)请求。如果收集组件或CTI-网关120正在网络通信中搜索威胁指示符www.malware-server.net，则其将检测到该HTTP请求并且可以将得到的HTTP会话记录为威胁事件。收集组件或CTI网关120将威胁事件日志发送到网络分析应用程序系统130。网络分析应用程序系统130可以包括由网络分析人员使用威胁事件分析应用程序(诸如安全信息和事件管理(SIEM)应用程序)执行的功能，以调查事件并确定是否应将事件报告给管理机构。报告可以包含补救措施。网络分析应用程序系统130将任何可报告的调查结果发送给管理机构系统网络设备140。管理机构系统网络设备140可以由具有执行补救措施权限的实体来实现，例如，将主机计算机与网络断开连接并对其进行恶意软件扫描。网络分析应用程序系统130还将任何可报告的事件调查结果和任何非可报告的事件发送给机器学习系统170，在机器学习系统处它们可以被存储并可以用作训练数据。

在CTI操作系统100中，网络分析应用程序系统130经常是瓶颈。收集组件120所记录的威胁事件日志的产生速率或等效地威胁事件日志到网络分析应用程序系统130的到达速率，显著超过了网络分析应用程序系统130处理威胁事件日志的速率或网络分析人员调查威胁事件的速率。结果是，只有一小部分事件可以得到调查。此外，在可以得到调查的事件中，通常经调查的事件中只有一小部分可以被确定为可报告的调查结果。例如，在典型的企业网络环境中，企业面向公众的服务器上可能面临许多端口扫描攻击，这些攻击可能很容易被例如网络防火墙阻止。这些被阻止的扫描攻击事件可以被记录并发送到网络分析应用程序系统130，但是因为攻击可能是常见的并且已被阻止，所以网络分析人员不会将其报告给管理机构。CTI操作系统100通过计算事件的可报告性似然值并通过可报告似然对工作队列中的事件进行排序来减轻瓶颈，从而使得网络分析人员仅调查具有高可报告似然的事件。这显着减少了用于调查事件的平均服务时间，从而加快了网络分析工作流程。

图2示出了根据本公开的一个或多个方面的用于网络分析工作流程加速的网络环境的例示性系统图。参考图2，CTI操作系统100可以包含一个或多个网络。例如，CTI操作系统100可以包含网络A150和网络B160。网络A150可以包括与例如一个或多个个体或实体(例如，政府、公司、服务提供者或其他组织机构)相关联的一个或多个网络(例如，局域网(LAN)、广域网(WAN)、虚拟专用网网络(VPN)、软件定义网络(SDN)或其组合)。网络B160可以包括使网络A150与一个或多个其他网络(图2中未示出)交互的一个或多个网络(例如，LAN、WAN、VPN、SDN或其组合)。例如，网络B160可以包括互连许多公共和专用网络(诸如网络A150)的因特网或类似网络或其一部分。

CTI操作系统100还可以包括一个或多个主机，诸如计算设备或网络设备(例如，服务器、台式计算机、膝上型计算机、平板电脑、移动设备、智能电话、路由器、网关、交换机、接入点等)。例如，网络A150可以包含端点主机-A1152和主机-A2154，以及用于支持诸如网络分析应用程序系统130和机器学习系统170等的系统的主机基础结构(图2中未示出)。主机152和154可以支持例如访问连接因特网的HTTP服务器(网站)的HTTP客户端应用程序(网络浏览器)。网络A150还可以包含多个收集组件或CTI网关设备120，它们通常可以位于网络边界处或附近，并检查连接诸如网络A150和网络B160等的网络链路106上传输的网络流量。收集组件或CTI网关设备120可以检测与CTI相对应的威胁事件，并且记录和捕获事件，并且将日志发送到网络分析应用程序系统130，以供网络分析人员进行调查。

网络B160可以包括端点主机-B1162和主机-B2164，以及用于支持CTI提供者系统112和114的主机基础结构(图2中未示出)。主机设备162和164可以支持例如HTTP服务器应用程序(网站)，该服务器应用程序可能被恶意行为者操作或控制，这些恶意行为者可能会破坏具有HTTP客户端的端点，例如与HTTP服务器建立会话的主机设备152和154。CTI提供者系统112和114可以与监控网络威胁(例如，与威胁主机162和164相关联的威胁)并向诸如收集组件或CTI网关120和网络分析应用程序系统130的订户传播网络威胁情报报告的服务相关联。网络威胁情报报告可以包含与网络威胁相关联的网络威胁指示符(例如，网络地址、端口、完全合格域名(FQDN)、统一资源定位符(URL)、统一资源标识符(URI)等)；网络威胁签名(例如，恶意软件文件的MD5哈希)；网络威胁行为模式(例如，具有正在执行进程的数据扩展名的文件、指示I2P节点的通信等)，以及与网络威胁相关联的其他信息，例如威胁的类型(例如，网络钓鱼恶意软件、僵尸网络恶意软件等)、地理信息(例如，国际武器交易规则(ITAR)国家、外国资产管理办公室(OFAC)国家、地理IP数据等)、匿名网络和暗网(例如，Tor网络、I2P网络等)和恶意行为者(例如，俄罗斯商业网络(RBN)、叙利亚电子军(SEA)、APT1等)。

图3示出了根据本公开的一个或多个方面的用于网络分析工作流程应用程序进程的例示性环境。参考图3，网络分析应用程序系统130对应于图1和图2中所示的网络分析应用程序系统130。网络分析应用程序系统130可以包括一个或多个处理器、存储器和/或网络接口。本文描述的功能和步骤可以体现在由一个或多个计算机或用来执行本文所述一个或多个功能的其他设备执行的计算机可用数据或计算机可执行指令中，例如在一个或多个程序模块中。通常，程序模块包含例程、程序、对象、组件、数据结构等，它们在由计算机或其他数据处理设备中的一个或多个处理器执行时执行特定任务或实现特定抽象数据类型。计算机可执行指令可以存储在诸如硬盘、光盘、可移动存储介质、固态存储器、RAM等的计算机可读介质上。应当理解，在各种实施例中，可以根据需要组合和分配程序模块的功能。另外，功能可以全部或部分地体现在固件或硬件等效物中，诸如集成电路、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等。特定的数据结构可以被用于更有效地实现本公开的一个或多个方面，并且此类数据结构被认为在本文描述的计算机可执行指令和计算机可用数据的范围内。

到网络分析应用程序系统130的输入是由收集组件或CTI网关系统120(在网络分析应用系统130外部)产生的威胁事件日志，其应于图1中所示的收集组件120和图2中所示的收集组件或CTI网关系统120。收集组件或CTI网关120产生威胁事件日志，该威胁事件日志可以从与CTI提供者(诸如图2中所示的CTI提供者112和114的)提供的CTI匹配的通信中得出，并且可能当前正由收集组件或CTI网关120应用于网络(诸如图2所示的网络A150和网络B160)之间的网络通信。

事件日志可以由CTI丰富装置131接收和处理。CTI丰富装置131将从CTI提供者得到的附加数据添加到威胁日志中，并且可以将其用于计算可报告性似然确定。这种数据丰富可以包括，例如提供促使收集组件或CTI网关120创建事件日志的指示符、签名或行为模式的所有CTI提供者的名称；CTI提供者对于指示符、签名或行为模式的信誉或风险评分；指示符、签名或行为模式的年龄；潜在威胁的分类或类别；造成威胁的行为者；威胁的行为以及其可能造成的资产损失等等。

经丰富的事件日志可以由可报告性似然估计器装置132接收和处理。可报告性似然估计器132按照[0,1]来计算网络分析人员或网络分析系统将确定该事件为可报告调查结果的似然或概率值。可报告性似然估计器132使用两种类型的算法来确定估计的可报告性似然：(1)启发式的人工设计(H/D)算法；和(2)机器学习(M/L)算法。两种类型算法可以提供互补的有益效果。人类网络分析人员预期H/D算法在确定估计似然时可能平均不如受过良好训练的M/L算法准确，因为确定事件的可报告性需要人类水平智能、智力技能、推理和情景感知以及理解力，这可能是由人类已经使用常规计算机编程语言和方法设计并显示编程的算法所难以模仿的。H/D算法不会自动学习，因此不会随时间推移而提高其作为估算器的性能。相反，受过良好训练的M/L算法将识别事件特征中的复杂模式，以区分可能是可报告调查结果的事件和可能不是可报告调查结果的事件。实际上，M/L算法已经学会了如何模仿人类网络分析人员的推理，其中很多是人类难以将其显式编程为计算机逻辑的隐式知识。然而，M/L算法在估计可报告性似然时的准确性与用作到图2中的机器学习系统170的输入的训练数据的质量直接相关。高质量的训练数据由大量可报告的调查结果(正例)和非可报告事件(负例)组成，这些事件具有涵盖广泛可能值的事件特征。因此，直到已经对M/L算法进行了大量的正例和负例训练(这些正例和负例可以是对可能事件的特征空间的足够密集的采样)为止，按预期M/L算法不能给出准确的估计确定。

随时间推移，由于可能会向机器学习系统(图2中的170)的训练数据添加越来越多的正例和负例，因此M/L算法在确定可报告性似然时的准确性将会提高。在此之前，情况可能是，对于由可报告性似然估计器132接收到的给定新事件，H/D算法处理器133比M/L算法处理器134更准确。为了考虑训练数据的缺陷以及创建会导致M/L算法处理器134得到准确估计确定的充足训练数据可能花费的时间，需要采用某种方式来组合由M/L算法处理器134产生的确定和由H/D算法处理器133产生的确定。可报告性似然估计器132将两个确定组合以产生单个似然确定，称为R值。用于组合两个确定以产生R值的算法可以采用多种形式，但是一个约束条件是它们应保留R值是概率的属性，即R值在[0,1]中。计算出的R值可具有以下属性：R值大于或等于由H/D 133和M/L 134算法处理器产生的两个估计确定(并且由于其为似然或概率，R值在[0,1]中)。例如，可报告性似然估计器132可以使用简单的组合算法来将R值设置为H/D 133和M/L 134算法处理器的输出中的较大者。可报告性似然估计器132可以将计算的R值添加到经丰富的事件日志中，并将该日志转发到网络分析工作队列系统135。

网络分析工作队列系统135接收该经丰富的事件日志(具有指定的R值)，并将经丰富的事件日志(其现在可以视为网络分析人员或网络分析系统的任务)插入到按R值排序的顺序的网络分析工作队列中。例如，如果X大于或等于Y，则R值为X的事件日志A将比R值为Y的事件日志B更靠近队列的前端或开头。因此，队列开头的任务具有队列中的所有任务的最大R值；而在队列尾部的任务的R值具有队列中的所有任务的最小R值。

诸如SIEM应用程序之类的取证分析应用程序设备136在队列的开头检索或弹出/删除任务，接收任务，并通过界面(例如，显示在显示器上的图形用户界面)将任务呈现给网络分析人员。网络分析人员可以使用取证分析应用程序设备136来调查事件。网络分析人员可以在取证分析应用程序中输入关于事件是可报告调查结果还是非可报告调查结果的决策单元137，并相应地标记事件日志。如果是，则将事件或可报告调查结果传送给报告生成器应用程序系统138并由其接收，该报告生成器应用程序系统创建可包含补救措施的报告。报告生成器138生成的报告被发送到管理机构系统网络设备140(其可以在网络分析应用程序系统130的外部并且对应于图1中的管理机构系统网络设备140)，其可以由可能负责任何合规执法和/或被授权执行补救措施的实体来操作。在步骤8中，可能是可报告调查结果(正例)或非可报告事件(负例)的经分析事件被存储在训练数据存储区171中，其为机器学习系统170的组件(图1、图2和图5中示出)。

网络分析应用程序系统130从队列的开头开始重复处理任务，直到工作队列为空，或者由于在队列的开头的任务的R值低于某个阈值使得进一步的工作将使网络分析人员的工作效率降低到不可接受的水平，因此网络分析人员决定停止工作为止。当发生后一种情况时，网络分析应用程序系统130或适当的管理机构可以丢弃队列中剩余的任务。例如，当网络分析人员工作能力足够时，或者当通过改进的M/L算法进行的进一步分析表明R值增加时，可以将丢弃的任务存档并在以后的时间进行调查。当具有大于阈值的R值的新任务(事件日志)到达时，网络分析应用程序系统130可以例如通过用户界面通知、文本消息、电子邮件、电话呼叫等将警报自动发送到网络分析人员。

图4示出了根据本公开的一个或多个方面的用于确定由网络威胁情报网关收集的通信事件的可报告性似然的示例性人工设计(H/D)启发式算法决策表(其可以在图3中的H/D算法处理器133中实现)。在这种情况下，网络威胁情报(CTI)类别是采用网络地址(例如，IP地址、完全合格域名(FQDN)以及URL)形式的威胁指示符。H/D算法处理器133的输出是[0,1]中的可报告性似然值，在表的最左列中示出。算法处理器133的输入是经丰富的事件日志，其含有用于“Indicator_Type”、“Indicator_Age”和“CTI_Score”的字段。Indicator_Type值包含用于IP地址指示符的“IP”、用于FQDN指示符的“FQDN”和用于URL指示符的“URL”。Indicator_Age和CTI_Score字段和值可以通过CTI丰富131(图3中所示)来创建。Indicator_Age值可以是以天为单位的范围。CTI_Score值可以是{高，中，低}中的一个。为了确定可报告性似然，H/D算法可以使用应用于事件字段值的条件逻辑和布尔逻辑。例如，表的第二行可以表示计算机程序语句“IF((Indicator_Type＝＝FQDN)AND((0<＝Indicator_Age<30)OR(CTI_Score＝＝High)))THEN Reportability_Likelihood:＝0.7”。例如，表的第八行可以表示计算机程序语句“IF(((Indicator_Type＝＝FQDN)OR(Indicator_Type＝＝IP))AND(180<＝Indicator_Age))THEN Reportability_Likelihood:＝0.1”。

H/D算法利用事件的可报告性似然和与事件的网络地址相匹配的CTI指示符的保真性和年龄之间的相关性。这种相关性是由(人类)网络分析人员所提供的在图4的H/D算法中捕获的启发式知识。指示符的保真性直接映射到Indicator_Type值。具有Indicator_Type值“URL”的指示符具有最高保真性，因为URL映射到单个联网(恶意)资源(例如，恶意软件可执行文件)。由于威胁指示符到威胁资源的这种一对一映射，所相关联事件可报告的似然应当较高。具有Indicator_Type值“FQDN”的指示符的保真性比“URL”低，因为单个FQDN可以映射到多个URL或多个联网资源，其中某些部分可能是非恶意的。由于单个威胁指示符到潜在多个资源的这种一对多映射(其中某些部分可能不是恶意的)，所相关联事件可报告的似然应低于通过URL指示符检测的事件的可报告性似然。类似地，具有Indicator_Type值“IP”的指示符的保真性比“FQDN”低并且(相应地)比“URL”低，因为单个IP地址可以映射到多个FQDN或多个联网资源(其中某些部分可能是非恶意的)。

可以将Indicator_Type值或等效地保真性视为主要排序标准，而Indicator_Age则可以视为辅助排序标准。参考图4，对于Indicator_Type值“FQDN”和“IP”，指示符的年龄影响可报告性似然。指示符的年龄是指自网络威胁情报提供者首次报告该指示符以来到当天的天数。可报告性似然随着指示符年龄的增加而降低。由CTI提供者分配的CTI_Score值也可以用作辅助排序标准。对于图4所示的H/D算法，可以等效地对待CTI_Score和Indicator_Age，并且因此在CTI提供者未提供Indicator_Age或CTI_Score值中任一个的情况下，可以彼此替代。

图5示出了根据本公开的一个或多个方面的示例性机器学习系统170(其对应于图1和图2中的机器学习系统170)，其创建了机器学习(M/L)算法(诸如用于图3中的M/L算法处理器134的算法)以用于确定由网络威胁情报网关收集的通信事件的可报告性似然。机器学习算法生成引擎172的输入是经丰富的事件日志，该经丰富的日志之前已经由由网络分析人员进行过分析，标记为可报告调查结果(正例)或非可报告事件(负例)，并存储在训练数据存储区171中用于稍后作为机器学习算法生成引擎(例如172)的训练数据。机器学习算法生成引擎172的输出是用于M/L算法处理器134(其对应于图3中的M/L算法处理器134)的机器学习(M/L)算法，其确定威胁事件的可报告性似然。

机器学习算法生成引擎172可以是任何的监督学习算法，诸如人工神经网络、遗传编程等。用于监督学习算法的训练数据由标记的训练实例构成；在本公开中，训练实例可以是被标记为可报告调查结果(正例，标记值为+1)或非可报告事件(负例，标记值为0)的经分析事件日志。机器学习算法的目标是学习函数F，该函数将每个输入(其为训练数据中的训练实例)映射到其输出(对于正训练实例其为+1，对于负训练实例其为0)。在机器学习算法生成引擎172已经生成准确地将正训练实例和映射到+1并将负训练实例映射到0的M/L算法之后，M/L算法处理器134可以用于确定新生成的事件日志的可报告性似然。也就是说，M/L算法处理器134可以用于分析在训练数据中未被用作训练实例的事件日志。随后，M/L算法处理器134可以被嵌入在可报告性似然估计器132(参考图3)中，其可以是网络分析应用程序系统130(参考图3)的组件。

应注意，针对训练实例的标签值0和+1的选择是有意的，并且是本公开的一部分。因为可以在训练期间使用这些标签值，所以当M/L算法处理器134用于评估未作为训练实例的事件日志(输入)时，所得到的M/L算法处理器134将输出包含0和+1(含)之间的值，或者[0,1]。因此，M/L算法134的输出可以被解释为输入事件日志是可报告调查结果的概率或似然。

M/L算法处理器134的确定的准确性部分取决于机器学习算法生成引擎172用于创建M/L算法处理器134的训练数据的质量。训练数据的质量以及最终确定的准确性取决于从事件日志得出的特征向量的质量。事件日志的特征向量而非事件日志的原始数据是对机器学习算法生成引擎172和M/L算法处理器134的实际输入。特征向量是一个数值数组，每个数值均是事件某些特征或特性的度量。例如，由通信事件传输的文件的大小(以字节为单位)是一种特征，其可以构成特征向量中的一个或多个元素。高质量的特征向量是包含大量高度不相关的事件特征的特征向量，其(a)使机器学习算法生成引擎172在训练期间迅速收敛于M/L算法；和(b)使M/L算法处理器134产生准确的可报告性似然。

本公开包含用于确定网络分析工作流程加速的可报告性似然的特征向量的特征或特性。图6a和6b列出了这些特性和相关信息。应注意，通常，这些功能及其相关值可以被设计为基于事件日志中的字段值来测量或量化人类对威胁风险的感知，并由此测量或量化对事件的可报告性似然的感知。

“CTI-Prvdr-{1,N}”是正在向收集组件或CTI-网关120和网络分析应用程序系统130(参见图2)提供CTI(例如，威胁指示符、签名和行为模式)的N个CTI提供者实体(参考图2中的112和114)的名称。这种CTI提供者信息通过CTI丰富131(参考图3)被添加到事件日志中。如果CTI提供者具有与其CTI数据库中的事件相匹配的指示符/签名/模式，则CTI-Prvdr-X特征的数值为1；否则，值为0。例如，假定总共有八(8)个CTI提供者实体(因此有八个特征CTI-Prvdr-1、CTI-Prvdr-2、…CTI-Prvdr-8)，并且对于给定事件，三(3)个CTI提供者实体CTI-Prvdr-2、CTI-Prvdr-5和CTI-Prvdr-7在其CTI数据库中具有与事件匹配的指示符/签名/模式；则相关联的特征向量为(0,1,0,0,1,0,1,0)。

“Norm-PolyGram-Entropy-LL-e2LD”是完全合格域名(FQDN)的有效第2级域名的前导标签的多元文法概率分布的信息熵的归一化度量，其可以包含在事件日志中，例如，如果相关联的通信事件是HTTP客户端(例如，Web浏览器应用程序)和具有FQDN(例如，在诸如因特网的DNS的域名系统中找到的www.company-web-server.com)之间的HTTP会话。非正式地，“Norm-PolyGram-Entropy-LL-e2LD”测量人们对域名的感知随机性，其可以捕获网络分析人员的直觉，即该域名可能表示可报告事件。由于合法的非恶意的因特网连接主机的域名通常是由人类创建的并且由人类可读的单词构成(例如，www.company-web- server.com)，而恶意的因特网连接主机的域名通常是机器生成的随机字符串并因此不能被人类识别为单词(例如，www.4aiu68dh3fj.com)，因此这种度量作为M/L算法134用来学习区分可能是可报告调查结果的事件和可能是非可报告的事件的特征具有一定价值。

更正式地说，FQDN的第2级域名(2LD)，例如“www.company-web-server.com”为“company-web-server.com”，而2LD的前导标签(LL)为“company-web-server”。例如，FQDNwww.company-web-server.co.uk的有效第2级域名(e2LD)为“company-web-server.co.uk”。对于FQDN(诸如“www.company-web-server.co.uk”)，e2LD“company-web-server.co.uk”比2LD“co.uk”更好地捕获了域名所有权，因此相比于2LD是用于本公开的更好的特征。应注意，“www.company-web-server.com”的2LD和e2LD可以相同，即“company-web-server.com”。还应注意，对于某些FQDN，例如447a7a44.ksfcradio.com，如果存在e3LD，则e3LD的前导标签(“447a7a44”)可能比e2LD的前导标签更好；类似地，对于某些FQDN的e4LD，例如447a7a44.web.ksfcradio.com。因此，如果存在附加特征“Norm-PolyGram-Entropy-LL-e3LD”和“Norm-PolyGram-Entropy-LL-e4LD”，则也可以使用它们。

一组N个概率P＝{p1,p2,p3,…pN}的信息理论熵值被计算为Entropy(P)＝-Σ_ip_ilog₂p_i(对于i＝1…N)，其中log₂是基数为2的对数函数。对于本公开，将Entropy()函数应用于域名的前导标签的一种方法是首先将概率分布选择为英文文本的字母字符出现的相对频率或概率。例如，众所周知，字母“e”是英文文本中最常见的字母字符，其经验概率值约为13％。然后，将此分布应用于有效第2级域的前导标签中的字母字符或一元文法模型的每一个。例如，对于域名“www.mysite.com”(其中“mysite”是有效的第2级域的前导标签)，P_ex1＝{p(“m”),p(“y”),p(“s”),p(“i”),p(“t”),p(“e”)}，其中概率值p(“[字母]”)可以从英文文本的字母字符或字母的一些经验概率分布中选择。然后计算Entropy(P_ex1)。

在特征“Norm-PolyGram-Entropy-LL-e2LD”中使用以上Entropy(P_ex1)计算存在的问题是，“www.mysite.com”的Entropy(P_ex1)值与“www.eytmsi.com”的Entropy(P_ex1)值相同；因此，其没有区分随机字符串和英语单词的字符串，或者在本公开的上下文中，它没有量化人类感知，即“eytmsi”是随机的并因此是可疑的，而“mysite”是人类可读的。为了更好地实现区分并捕获人类的感知，可以使用英语文本的二元文法(连续的字符对)或三元文法(连续的三重字符)或通常的多元文法的概率分布来代替一元文法的概率分布。例如，“mysite”的二元文法集合为{“my”,“ys”,“si”,“it”,“te”}，而三元文法集合为{“mys”,“ysi”,“sit”,“ite”}。同样，“eytmsi”的二元文法集合为{“ey”,“yt”,“tm”,“ms”,“si”}，然后P_ex2＝{p(“my”),p(“ys”),p(“si”),p(“it”),p(“te”)}且P_ex3＝{p(“ey”),p(“yt”),p(“tm”),p(“ms”),p(“si”)}，其中概率值p(“[二元文法]”)可以从英语文本的二元文法的一些经验概率分布中选择，Entropy(P_ex3)>Entropy(P_ex2)，其可测量地量化了“eytmsi”的人类感知随机性大于“mysite”的随机性的概念。因此，在计算此特征“Norm-PolyGram-Entropy-LL-e2LD”时，应使用二元文法或三元文法(或更常见的多元文法)代替一元文法。

由于域名标签可以被允许包含数字字符和连字符，因此在将Entropy()函数应用于标签的多元文法的概率分布之前，从标签中删除非字母字符可能是有用的。另选地，可以使用出于合法目的由人类创建的域名标签的多元文法的经验概率分布。

最后，可以对Entropy()计算应用归一化以解决字符串长度的差异，因为通常，较长的字符串将比较短的字符串具有更大的Entropy()值。例如，人类会认为域名www.ajiduvb.com与www.ajiduvbgyxtz.com具有相同或相似的随机性，而www.ajiduvbgyxtz.com的Entropy()值大约是www.ajiduvb.com的两倍。要对字符串长度的差异进行归一化，应将Entropy()值除以二元文法或三元文法或更一般的多元文法集合的大小的以2为底的对数(常用符号为log₂)。例如，“mysite”的二元文法集合P_ex2＝{“my”,“ys”,“si”,“it”,“te”}的大小为5，因此将Entropy(P_ex2)除以log₂(5)来归一化。

如果有效的第2级域或有效的第3级域的前导标签的第一个字符是数字字符(十进制数字)，则“Numeric-Head-LL-e2or3LD”是布尔值特征，为1(真)；否则为0(假)。创建合法域的人类往往不会在域名的开始(开头)使用数字字符；因此，人类网络分析人员可能会认为带有数字开头的域名标签是可疑的。

“String-Length-LL-e2LD-Bin-XY”和“String-Length-LL-e3LD-Bin-XY”是布尔值特征，如果有效的第2级域或有效的第3级域的前导标签字符串的长度(以字节为单位)在[X,Y](含)范围内，则其为1(真)；否则为0(假)。例如，字符串长度的按区间划分可以是[1,4]、[5-8]、[9-16]、[17-32]、[33,63]和[64,inf]。最后一个区间[64,inf]用于非法的长标签，标签长度不得超过63个字节(RFC 1035)。通过此示例性的按区间划分，将有六(6)个特征，名称为“String-Length-LL-e2LD-Bin-X-Y”，其中“X-Y”值对应于分区边界。

“TLD-Category-{g,s,cc,other}”是布尔值特征，如果事件日志中可能包含的FQDN的顶级域位于IANA定义的顶级域组gTLD或sTLD或ccTLD或其他中的一个中，则其可以为1(真)；否则为0(假)。

“Time-of-Day-Bin-X-Y”是布尔值特征，如果事件发生的一天中的时间在[X,Y]范围内，则其可以为1(真)；否则为0(假)。例如，具有网络相关性的一天中的时间按区间划分可以是[0200,0600)、[0600-0800)、[0800,1000)、[1000,1200)、[1200,1400)、[1400,1600)、[1600,1800)、[1800,2200)和[2200,0200)。通过此示例性的按区间划分，将有九(9)个特征，其名称为“Time-of-Day-Bin-X-Y”，其中“X-Y”值对应于分区边界。

“Weekend-or-Holiday”是布尔值特征，如果事件发生的日期是周末或假日，则为1(真)；否则为0(假)。

“Flow-Byte-Count-Bin-XY”是布尔值特征，如果内容信息(例如，事件的TCP或UDP数据包的有效负载)的大小(以字节为单位测量)在[X,Y)范围内，则其可以为1(真)；否则为0(假)。例如，大小的按区间划分可以是[0,8)、[8,64)、[64,512)、[512,4K)、[4K,32K)、[32K,256K)和[256K,inf)。利用此示例性的按区间划分，将具有七(7)个特征，其名称为“Flow-Byte-Count-Bin-X-Y”，其中“X-Y”值对应于分区边界。

“Percentage-Digits-FQDN”特征的值在[0,1]范围内，是FQDN中数字字符的百分比。

“Percentage-Hyphens-FQDN”特征的值在[0,1]范围内，是FQDN中连字符的百分比。

“Percentage-NonCompliant-Characters-FQDN”特征的值在[0,1]范围内，是FQDN中可能与RFC 1035不兼容的字符所占的百分比，其表示字符应为字母、数字、连字符“-”、或点“.”。

“Direction-and-Breach-Category-X”是布尔值特征，如果事件与类别X的方向性和违反相匹配，则可能为1(真)；否则为0(假)。方向性是入侵或渗透的一种，即从受保护网络外部发起的入站攻击或从受保护网络内部发起的出站攻击；违反是允许或阻止的一种，即，是允许(Allowed)通信穿过网络边界，还是被例如网络防火墙或CTI网关阻止(Blocked)通信穿过网络边界。因此，X可能有四个可能的类别，即{Intrusion,Allowed}、{Intrusion,Blocked}、{Exfusion,Allowed}和{Exfusion,Blocked}，因此有四(4)个名称为“Direction-and-Breach-Category-{X}”的特征。这些特征可能会影响可报告性似然确定，因为例如，网络分析人员报告受阻止的入侵事件的可能性要小于报告受允许的渗透事件的可能性。

尽管不是必需的，但是本领域的普通技术人员将理解，本文描述的各个方面可以体现为一种方法、一种装置或体现为一种或多种存储计算机可执行指令的计算机可读介质。因此，那些方面可以采取完全硬件实施例、完全软件实施例、完全固件实施例，或以任何组合结合软件、硬件和固件方面的实施例的形式。

如本文所述，各种方法和动作可以在一个或多个计算设备和一个或多个网络上操作。功能可以以任何方式分布，或者可以位于单个计算设备(例如，服务器、客户端计算机等)中。

本公开的各方面已经根据其例示性实施例进行了描述。通过阅读本公开，本领域普通技术人员可以想到所附权利要求的范围和精神内的许多其他实施例、修改和变化。例如，本领域的普通技术人员将理解，例示性附图中示出的步骤可以以不同于所列举的顺序来进行，并且示出的一个或多个步骤可以是任选的。

Claims

1.一种方法，其包括：

接收多个事件日志；

由计算设备基于至少一种算法确定每个事件日志的可报告性似然；

基于所述多个事件日志中的每个的所述可报告性似然，对所述多个事件日志的事件队列进行排序；

由所述计算设备将基于所述多个事件日志中的每个的所述可报告性似然在所述事件队列中排序的所述多个事件日志传送至分析系统。

2.根据权利要求1所述的方法，其中所述可报告性似然是组合可报告性似然，并且其中由所述计算设备基于所述至少一种算法确定每个事件日志的所述可报告性似然包括：

由所述计算设备基于静态算法确定每个事件日志的第一可报告性似然；

由所述计算设备基于机器学习算法确定每个事件日志的第二可报告性似然；以及

由所述计算设备基于所述第一可报告性似然和所述第二可报告性似然确定每个事件日志的所述组合可报告性似然。

3.根据权利要求2所述的方法，其进一步包括：

从所述分析系统接收基于经分析的事件日志生成的报告数据；和

根据基于所述经分析的事件日志生成的所述报告数据，更新机器学习系统的训练数据。

4.根据权利要求2所述的方法，其中针对每个事件日志，所述静态算法基于事件威胁指示符的保真性、所述事件威胁指示符的类型、所述事件威胁指示符的年龄、与所述事件威胁指示符相关联的威胁情报提供者数据、至少一个威胁情报提供者的信誉数据以及所述事件威胁指示符的风险评分中的至少一个来确定所述事件日志的所述第一可报告性似然。

5.根据权利要求2所述的方法，其中针对每个事件日志，所述机器学习算法基于与所述事件日志相关联的事件威胁指示符的类型、与所述事件日志相关联的威胁情报提供者数据以及与所述事件日志相关联的威胁情报提供者的数量中的至少一个来确定所述事件日志的所述第二可报告性似然。

6.根据权利要求2所述的方法，其中针对每个事件日志，所述机器学习算法基于与所述事件日志相关联的域名、与所述事件日志相关联的所述域名的熵值、与所述事件日志相关联的所述域名的标签的数量、与所述事件日志相关联的所述域名的字符串长度、与所述事件日志关联的数据的大小以及与所述事件日志关联的事件发生时间中的至少一个来确定所述事件日志的所述第二可报告性似然。

7.根据权利要求2所述的方法，其中所述机器学习算法基于从经分析的事件日志导出的相关性数据进行持续地更新。

8.根据权利要求2所述的方法，其中所述静态算法是人工设计算法，其中所述静态算法基于操作员输入进行设置。

9.根据权利要求1所述的方法，其进一步包括：

根据基于所述经分析的事件日志生成的所述报告数据，更新所述至少一种算法的训练数据。

10.根据权利要求1所述的方法，其进一步包括：

接收多个数据包；

基于威胁情报数据，确定多个潜在威胁通信事件；

基于所述多个潜在威胁通信事件，生成所述多个事件日志；以及

将所述多个事件日志存储到所述事件队列。

11.根据权利要求10所述的方法，其进一步包括：

根据基于所述经分析的事件日志生成的所述报告数据，更新数据包规则处置，以将数据包确定为所述多个潜在威胁通信事件中的一个。

12.根据权利要求1所述的方法，其中所述排序基于事件威胁指示符的保真性、所述事件威胁指示符的类型、所述事件威胁指示符的年龄、与所述事件威胁指示符相关联的威胁情报提供者数据、至少一个威胁情报提供者的信誉数据以及所述事件威胁指示符的风险评分中的至少一个。

13.根据权利要求1所述的方法，其中所述可报告性似然是潜在威胁通信与实际威胁相关联的概率。

14.一种方法，其包括：

由计算设备接收多个事件日志；

由所述计算设备基于人工设计算法确定每个事件日志的第一可报告性似然；

由所述计算设备基于所述第一可报告性似然和所述第二可报告性似然确定每个事件日志的组合可报告性似然；

基于所述多个事件日志中的每个的所述组合可报告性似然对所述多个事件日志排序；以及

在事件队列中存储基于所述多个事件日志中的每个的所述组合可报告性似然在所述事件队列中排序的所述多个事件日志。

15.根据权利要求14所述的方法，其进一步包括：

从分析系统接收基于经分析的事件日志生成的报告数据；和

基于经分析的事件日志的可报告性调查结果，更新机器学习系统的训练数据。

16.根据权利要求14所述的方法，其中所述人工设计算法基于事件威胁指示符的保真性、所述事件威胁指示符的年龄、与所述事件威胁指示符相关联的威胁情报提供者数据、至少一个威胁情报提供者的信誉数据以及所述事件威胁指示符的风险评分中的至少一个来确定所述第一可报告性似然。

17.根据权利要求14所述的方法，其中所述机器学习算法基于事件与历史可报告事件之间的相关性来确定所述第二可报告性似然。

18.一种或多种非暂时性计算机可读介质，其具有存储在其上的指令，当所述指令由一个或多个计算设备执行时，促使所述一个或多个计算设备：

接收多个事件日志；

基于至少一种算法确定每个事件日志的可报告性似然；

基于所述多个事件日志中的每个的所述可报告性似然对所述多个事件日志排序；以及

在事件队列中存储基于所述多个事件日志中的每个的所述可报告性似然在所述事件队列中排序的所述多个事件日志。

19.根据权利要求18所述的一种或多种非暂时性计算机可读介质，其中所述可报告性似然是组合可报告性似然，所述一种或多种非暂时性计算机可读介质具有存储在其上的用于基于所述至少一种算法确定每个事件日志的所述可报告性似然的指令，当所述指令由一个或多个计算设备执行时，促使所述一个或多个计算设备：

基于静态算法确定每个事件日志的第一可报告性似然；

基于机器学习算法确定每个事件日志的第二可报告性似然；以及

基于所述第一可报告性似然和所述第二可报告性似然确定每个事件日志的所述组合可报告性似然。

20.根据权利要求18所述的一种或多种非暂时性计算机可读介质，其具有存储在其上的指令，当所述指令由所述一个或多个计算设备执行时，进一步促使所述一个或多个计算设备：

从分析系统接收基于经分析的事件日志生成的报告数据；和

基于经分析的事件日志的可报告性调查结果，更新所述至少一种算法的训练数据。