CN111316268A - 用于银行间金融交易的高级网络安全威胁抑制 - Google Patents
用于银行间金融交易的高级网络安全威胁抑制 Download PDFInfo
- Publication number
- CN111316268A CN111316268A CN201880071889.9A CN201880071889A CN111316268A CN 111316268 A CN111316268 A CN 111316268A CN 201880071889 A CN201880071889 A CN 201880071889A CN 111316268 A CN111316268 A CN 111316268A
- Authority
- CN
- China
- Prior art keywords
- network
- processor
- data
- analysis
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000000116 mitigating effect Effects 0.000 title description 4
- 238000004088 simulation Methods 0.000 claims abstract description 21
- 230000009471 action Effects 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims description 66
- 238000004458 analytical method Methods 0.000 claims description 56
- 230000015654 memory Effects 0.000 claims description 34
- 238000006243 chemical reaction Methods 0.000 claims description 20
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000012800 visualization Methods 0.000 claims description 7
- 238000011156 evaluation Methods 0.000 claims description 5
- 238000013519 translation Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 36
- 238000010586 diagram Methods 0.000 description 38
- 230000006870 function Effects 0.000 description 26
- 230000008569 process Effects 0.000 description 22
- 238000003860 storage Methods 0.000 description 19
- 238000012545 processing Methods 0.000 description 17
- 230000006399 behavior Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 15
- 230000007704 transition Effects 0.000 description 13
- 238000013500 data storage Methods 0.000 description 12
- 238000007726 management method Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 11
- 230000004048 modification Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 238000013439 planning Methods 0.000 description 8
- 230000001010 compromised effect Effects 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 6
- 238000013459 approach Methods 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000001629 suppression Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013501 data transformation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003449 preventive effect Effects 0.000 description 2
- 238000005067 remediation Methods 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- RASMOUCLFYYPSU-UHFFFAOYSA-N 2-amino-5-(3,4-dimethoxyphenyl)-6-methylpyridine-3-carbonitrile Chemical compound C1=C(OC)C(OC)=CC=C1C1=CC(C#N)=C(N)N=C1C RASMOUCLFYYPSU-UHFFFAOYSA-N 0.000 description 1
- 241000239290 Araneae Species 0.000 description 1
- 241000283973 Oryctolagus cuniculus Species 0.000 description 1
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000010923 batch production Methods 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010205 computational analysis Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000000556 factor analysis Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 238000011842 forensic investigation Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 230000001846 repelling effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012955 system risk analysis Methods 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/02—Banking, e.g. interest calculation or account maintenance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
一种采用高级网络决策平台抑制网络攻击的系统,该高级网络决策平台包括时序数据存储、有向计算图模块、动作结果模拟模块以及观察和状态估计模块,其中,监测网络的状态并将其用于产生代表网络资源的网络物理图,产生并监测模拟的网络事件,并且分析网络事件及其影响以产生安全建议。
Description
相关申请的交叉引用
本申请为2017年9月6日提交的申请号为15/696,367、题目为“用于银行间金融交易的高级网络安全威胁抑制”的美国专利申请的PCT申请并要求该美国专利申请的优先权,该美国专利申请的整个说明书通过引用整体并入本文。
技术领域
本公开涉及计算机管理领域,并且更特别地涉及网络安全和威胁分析领域。
背景技术
在过去的十年里,针对多家公司以及美国政府内部部门和机构的信息技术资产进行的网络攻击(即,非法访问和修改)的频率和复杂性已经显著上升,并且IT基础设施漏洞的发现和利用继续加速。可以说,网络入侵的速度已经达到了这样的程度:仅依靠从已发布的之前的攻击中得出的保护方法以及由此产生的建议,现在只能提供中等程度的保护。此外,庞大的网络安全信息和程序已经远远超出了最需要使用它的人们完全遵循或可靠使用它的能力,这使承担数千家面临风险的企业的网络安全职责的人们不堪重负。在过去几年里,未能及时识别重要趋势或及时了解信息导致了高度可见的、面向用户的安全故障,例如TARGETTM、ANTHEMTM、DOW JONESTM和SAMSUNG ELECTRONICSTM,这里所列仅为其中的一些新闻。在这些攻击发生时最有可能使用的传统的网络安全解决方案需要太多的活动配置、持续的管理员交互和支持,同时提供有限的保护来抵御复杂的对手-尤其是在用户凭据被盗用或伪造的情况下。
为了精简或自动化可能用于帮助提高网络安全性的业务数据分析或业务决策过程,商业软件方面已经出现了一些最新发展。PALANTIRTM提供在大量数据中隔离模式的软件,DATABRICKSTM提供定制分析服务,ANAPLANTM提供财务影响计算服务。还有其它软件源单独抑制业务数据相关性识别的某些方面,但是这些软件源不能全面解决整个范围的企业网络安全漏洞。然而,仍然无法实现企业数据的整体分析和业务决策的自动化。当前,这些解决方案都不能处理整个任务的单个方面,不能形成预测性的分析数据转换,因此,这些解决方案在网络安全领域几乎没有什么作用,其中网络安全唯一的解决方案是需要精细地集成上述工具的非常复杂的过程。
提供网络安全咨询信息的基于网络的服务公司的使用也大大增加了。这只会增加上述信息的负担,并且为了最佳地使用,任何旨在提供可靠网络安全保护的业务信息管理系统都必须仔细分析上述信息。
需要一种完全集成的系统,该系统使用可扩展的、可表达性脚本化的连接接口以从许多不同的异构源中检索与网络安全相关的信息,识别并分析大量数据,并将其转换为有用的格式。然后,这样的系统必须使用该数据与企业的基线网络使用特性图以及企业系统,尤其是那些包含敏感信息的系统的高级知识相结合,以驱动所集成的高度可扩展的仿真引擎,该仿真引擎可以结合使用系统动力学、离散事件和在模拟运行过程中基于代理的范式,以便获取并存储最有用和最准确的数据转换,以供分析人员快速领会所显示的信息、轻松理解任何预测或建议、然后创造性地做出响应以抑制所报告的情况。这种多方法信息安全的信息捕获、分析、转换、结果预测和呈现系统构成了“业务操作系统”。
发明内容
因此,发明人开发了用于抑制银行间金融交易的高级网络安全威胁的系统。
根据一个方面,公开了一种用于检测和抑制银行间金融交易的网络攻击的系统,银行间金融交易通过SWIFT(全球银行间金融电信协会)网络发送,该系统包括:与SWIFT系统的接口,其连接到高级网络决策平台:时序数据存储,其至少包括处理器、存储器以及存储在存储器中并在处理器上运行的多个编程指令,其中当操作软件指令时,处理器被配置成监测多个网络事件,并产生时序数据,该时序数据至少包括网络事件的记录以及事件发生的时间;动作结果模拟模块,其至少包括处理器、存储器以及存储在存储器中并在处理器上操作的多个编程指令,其中当操作软件指令时,处理器被配置成生成模拟网络事件,并被配置成至少部分地基于有向计算图模块执行的分析结果产生安全建议;观察和状态估计模块,其至少包括处理器、存储器以及存储在存储器中并在处理器上操作的多个编程指令,其中当操作软件指令时,处理器被配置成监测网络上的多个连接的资源以及产生代表多个连接的资源的至少一部分的网络物理图;以及有向计算图模块,其至少包括处理器、存储器以及存储在存储器中并在处理器上操作的多个编程指令,其中当操作软件指令时,处理器被配置成对时序数据的至少一部分执行多个分析和转换操作,并被配置成对网络物理图的至少一部分执行多个分析和转换操作。
根据另一个方面,公开了一种采用高级网络决策平台来抑制对银行间金融交易的网络攻击的方法,包括以下步骤:a)使用观察和状态估计模块来产生代表网络上多个连接的资源的网络物理图;b)使用有向计算图模块来分析网络物理图的至少一部分;c)使用动作结果模拟模块来模拟多个网络事件;d)使用时序数据存储来监测网络事件的至少一部分;e)基于至少部分的网络事件来产生时序数据;f)分析时序数据的至少一部分;以及g)基于至少部分的分析结果来产生安全建议。
附图说明
附图示出了多个方面,并且与说明书一起用于根据这些方面解释本发明的原理。本领域技术人员将理解的是,附图中示出的特定布置仅是示例性的,并且不应以任何方式视作是对本发明或本文的权利要求的范围的限制。
图1是根据一个方面的高级网络决策平台的示例性架构的示图。
图2是业务操作系统在检测和抑制导致以及抑制正在进行的网络攻击的步骤的预定因素中的示例性功能的流程图。
图2A是用于检测和抑制针对通过SWIFT网络发送的银行间金融交易的网络攻击的业务操作系统的示例性功能的流程图。
图3是示出用于抑制网络攻击的业务操作系统功能的流程图。
图4是用于将网络攻击信息分段到适当的公司方的方法的过程流程图。
图5是根据一个方面的用于使用参与者驱动的分布式计算图对非常大的数据集进行快速预测分析的系统的示例性架构的示图。
图6是根据一个方面的用于使用参与者驱动的分布式计算图对非常大的数据集进行快速预测分析的系统的示例性架构的示图。
图7是根据一个方面的用于使用参与者驱动的分布式计算图对非常大的数据集进行快速预测分析的系统的示例性架构的示图。
图8是根据一个方面的用于网络安全行为分析的示例性方法的流程图。
图9是根据一个方面的用于测量网络安全攻击的影响的示例性方法的流程图。
图10是根据一个方面的用于连续网络安全监测和探测的示例性方法的流程图。
图11是根据一个方面的用于映射网络物理系统图的示例性方法的流程图。
图12是根据一个方面的用于连续网络复原能力评分的示例性方法的流程图。
图13是根据一个方面的用于网络安全特权监督的示例性方法的流程图。
图14是根据一个方面的用于网络安全风险管理的示例性方法的流程图。
图15是根据一个方面的用于抑制受损凭证威胁的示例性方法的流程图。
图16是示出计算装置的示例性硬件架构的框图。
图17是示出客户端装置的示例性逻辑架构的框图。
图18是示出客户端、服务器和外部服务的示例性架构布置的框图。
图19是示出计算装置的示例性硬件架构的框图。
具体实施方式
发明人构思并实践了用于银行间金融交易的高级网络安全威胁抑制。
在本申请中,可描述一个或多个不同方面。此外,对于本文描述的一个或多个方面,可以描述许多替代布置;应当理解的是,这些布置仅出于说明性目的而提出,并且不以任何方式限制本文所包含的方面或本文所提出的权利要求。如从本公开中可显而易见的,一种或多种布置可以广泛地应用于许多方面。一般而言,对布置进行了足够详细的描述,以使本领域技术人员能够实践一个或多个方面,并且应当理解的是,可以利用其它布置,并且在不脱离特定方面的范围的情况下,可以做出结构、逻辑、软件、电气和其他改变。可以参考一个或多个特定方面或形成本公开的一部分的附图来描述本文所述的一个或多个方面的特定特征,并且在附图中通过图示的方式示出了一个或多个方面的特定布置。然而,应当理解的是,这类特征不限于在一个或多个特定方面或描述该特定方面所参考的附图中使用。本公开既不是字面描述一个或多个方面的所有布置,也不是列举所有布置中必须存在的一个或多个方面的特征。
本专利申请中提供的各部分的标题和本专利申请的名称仅是为了方便起见,而不应被认为以任何方式限制本公开。
除非另外明确说明,否则彼此通信的装置不需要彼此持续通信。另外,彼此通信的装置可以通过一个或多个逻辑或物理的通信手段或媒介直接或间接通信。
对具有多个彼此通信的组件的方面的描述并不意味着需要所有这样的组件。相反,可以描述各种可选组件以说明各种可能的方面,以便更充分地说明一个或多个方面。类似地,尽管可以以先后顺序描述过程步骤、方法步骤、算法等,但是除非有相反的明确说明,否则通常可以将这样的过程、方法和算法配置为以交替顺序进行。换言之,可能在本专利申请中描述的步骤的任何次序或顺序本身并不表示要求按该顺序执行这些步骤。所描述的过程的步骤可以以任何实际顺序执行。此外,尽管被描述为或暗示为非同时发生(例如,因为一个步骤在另一步骤之后描述),但是一些步骤可以同时执行。此外,通过在附图中描绘过程来说明该过程并不意味着所说明的过程排除其他变型和修改,并不意味着所说明的过程或其任何步骤对于一个或多个方面都是必需的,也并不意味着所说明的过程是优选的。并且,步骤的每个方面通常仅描述一次,但这并不意味着步骤必须发生一次或步骤在每次实现或执行过程、方法或算法时只能发生一次。在某些方面或某些情况下可以省略某些步骤,或者在给定方面或给定情况下可以多次执行某些步骤。
当本文描述单个装置或物品时,将显而易见的是,可以使用多个装置或物品代替单个装置或物品。类似地,在本文描述了多个装置或物品的情况下,将显而易见的是,可以使用单个装置或物品代替多个装置或物品。
装置的功能或特征可以可选地由未明确描述为具有这种功能或特征的一个或多个其它装置来实现。因此,其它方面不必包括装置本身。
为了清楚起见,有时将以单数形式描述本文所述或参考的技术和机理。但是,应当理解,除非另外指出,否则特定方面可以包括技术的多次迭代或机理的多个实例。图中的过程描述或方框应被理解为代表包括用于实施过程中的特定逻辑功能或步骤的一个或多个可执行指令的代码的模块、段或部分。如本领域普通技术人员将理解的,可选实施方式包括在各方面的范围内,在该范围中,例如,根据所涉及的功能,功能可以与所示或所讨论的不同的顺序执行,包括基本上同时或按相反的顺序执行。
定义
如本文所使用的,“图”是信息和关系的表示,其中信息的每个主要单位构成图的“节点”或“顶点”,并且两个节点之间的关系构成图的边沿。可以通过将一个或多个描述符或“属性”连接到节点来进一步限定该节点。例如,给定节点人名信息“James R”,限定属性可以是“183厘米高”、“DOB 08/13/1965”和“说英语”。与使用属性进一步描述节点中的信息类似,可以使用“标签”来限定形成边沿的两个节点之间的关系。因此,在给定第二节点“Thomas G”的情况下,“James R”和“Thomas G”之间指示两个人彼此认识的边沿可能会被标记为“认识”。在这种情况下应用图论符号(Graph=(Vertices,Edges))时,该组节点用作有序对的一个参数V,并且该组2个元素边沿端点用作有序对的第二参数E。当E的对中的边沿端点的顺序不重要时,例如,边沿James R,Thomas G等效于Thomas G,James R,则该图称为“无向的”。在关系在一个方向上从一个节点流向另一个节点的情况下,例如James R比Thomas G更“高”,则端点的顺序很重要。具有这些边沿的图形称为“有向的”。在分布式计算图系统中,转换管线内的转换表示为有向图,其中每个转换包括节点,并且转换之间的输出消息包括边沿。分布式计算图规定了以编程方式线性化的非线性转换管线的潜在用途。这种线性化可以导致资源消耗的指数增长。克服可能性的最明智的方法是在需要时引入新的转换管线,从而只创建准备好进行计算的转换管线。这种方法导致转换图的大小和节点、边沿组成随着系统处理数据流而高度可变。熟悉本领域的技术人员将意识到,转换图可以采用许多形状和大小,并且具有广泛的边沿关系拓扑。选择所给出的示例仅出于说明目的并且代表最简单的可能性中的少数几种。这些示例不应用来定义作为本发明的操作的一部分而预期的可能的图。
如本文所使用的,“转换”是对零个或多个输入数据流执行的功能,其导致单个输出流,该输出流随后可以用作或可以不用作另一转换的输入。转换可以包括机器、人或人机交互的任意组合。转换不需要更改输入到其中的数据,这种类型的一个示例将是接收输入并随后充当该数据的队列以用于后续转换的存储转换。如上所示,特定的转换可以在不存在输入数据的情况下生成输出数据。以时间戳为例。在本发明中,将转换放置在管线中,使得一个转换的输出可以用作另一转换的输入。这些管线可以包含两个或更多个转换,并且转换的数量仅受系统资源的限制。从历史上看,转换管线是线性的,并且管线中的每个转换都从一个前项接收输入,并在不分支或不迭代的情况下将输出提供给后续的一个转换。其他管线配置也是可能的。本发明被设计成允许这些配置中的几种,包括但不限于:线性的、传入分支、传出分支和周期性的。
如本文所使用的,“数据库”或“数据存储子系统”(可以认为这些术语是基本上同义的)是适于长期存储、索引和数据检索的系统,该检索通常是通过某种查询界面或语言进行的。“数据库”可以用于指代本领域中已知的关系数据库管理系统,但是不应被认为限于这样的系统。在本领域中已经并且的确正在引入许多替代性数据库或数据存储系统技术,包括但不限于分布式非关系数据存储系统,例如Hadoop、列导向数据库、内存数据库等。虽然各个方面可以优先采用本领域可用的(或将来可用的)各种数据存储子系统中的一个或另一个,但是本发明不应被解释为受到这样的限制,因为根据这些方面可以使用任何数据存储架构。类似地,虽然在某些情况下,一个或多个特定的数据存储需求被描述为由单独的组件(例如,扩展的私人资本市场数据库和配置数据库)满足,但这些描述仅指数据存储系统的功能用途,并非指它们的物理架构。例如,本文所指的数据库的任何一组数据存储系统可以一起包括在单个机器上操作的单个数据库管理系统中,或者它们可以包括在于本领域中已知的机器集群上操作的单个数据库管理系统中。类似地,任何单个数据库(例如,扩展的私人资本市场数据库)都可以在单个机器上、使用聚类技术的一组机器上、通过本领域已知的一个或多个消息传递系统连接的几台机器上、或本领域中常见的主/从布置中实施。这些示例应当清楚说明了,在不脱离所要求保护的本发明的范围的情况下,根据本发明,没有特定的数据库管理的架构方法是优选的,并且数据存储技术的选择由每个实施者决定。
如本文所使用的,“数据背景”是指标识数据位置的一组自变量。这可以是Rabbit队列、基于云的存储中的.csv文件、或任何其它此类位置引用,单个事件或记录除外。活动可以将事件或数据背景相互传递以进行处理。管线的性质允许活动之间直接传递信息,并且在管线启动时不需要预定数据位置或文件。
如本文所使用且可互换地称为“数据管线”或“处理管线”的“管线”是指一组数据流活动和批处理活动。流和批处理活动可以在管线内任意连接。事件将以响应方式流过流活动参与者。在流活动与批处理活动的连接处,将存在一个StreamBatchProtocol数据对象。该对象负责确定何时以及是否运行批处理。三种可能性中的一种或多种可用于处理触发器:规律的定时间隔、每N个事件或可选的外部触发器。事件将一直保留在队列中或类似情况直到处理为止。每个批处理活动可以包含“源”数据背景(如果上游活动是流式传输,则这可能是一个流式背景)和“目的”数据背景(其被传递到下一个活动)。流活动可以具有可选的“目的地”流数据背景(可选含义:事件的缓存/持久性与临时性),尽管这不应该是初始实施的一部分。
概念架构
图1是根据一个方面的高级网络决策平台(ACDP)100的示例性架构的示图。客户通过系统的分布式可扩展高带宽云接口110访问系统105,以进行特定的数据输入、系统控制以及与系统输出的交互,例如自动预测决策和计划以及替代路径模拟,其中高带宽云接口110使用通用的、鲁棒的网络应用程序驱动的接口以经由网络107输入和显示面向客户的信息,并根据各种布置来操作例如但不限于MONGODBTM、COUCHDBTM、CASSANDRATM或REDISTM的数据存储112。通过系统分析的自客户业务范围内的源和来自基于云的源两者的许多业务数据,也通过云接口110进入系统,数据被传递到连接器模块135、有向计算图模块155、高容量网络爬虫模块115、多维时序数据库120和图栈服务145,其中连接器模块135可以拥有API例程135a,该API例程135a是接受和转换外部数据,然后将标准化的信息传递给系统的其它分析和转换组件所需要的。有向计算图模块155从多个源中检索一个或多个数据流,这些源包括但不限于多个物理传感器、网络服务供应商、基于网络的问卷和调查、电子基础设施的监测、众包活动和人工输入装置信息。在有向计算图模块155内,数据可以在专门的预编程数据管线155a中分成两个相同的流,其中一个子流可以发送以进行批处理和存储,而另一子流可以被重新格式化以进行转换管线分析。随后,数据被传输到通用转换器服务模块160以进行作为分析的一部分的线性数据转换,或传输到分解转换器服务模块150进行作为分析的一部分的分支或迭代的转换。有向计算图模块155将所有数据表示为有向图,其中转换是节点以及图的转换边沿之间的结果消息。大容量网络爬虫模块115使用多个服务器托管的预编程网络蜘蛛,这些网络蜘蛛在自动配置的同时部署在以SCRAPYTM为例的网络抓取框架115a内,以从传统的网络爬虫技术未很好标记的基于网络的源中识别以及检索感兴趣的数据。多维时序数据存储模块120可以从可能是几种不同类型的大容量传感器接收流数据。多维时序数据存储模块还可以存储系统遇到的任何时序数据,例如但不限于企业网络使用数据、组件和系统日志、性能数据、网络服务信息捕获,例如但不限于新闻和财政性收费、以及与销售和服务相关的客户数据。该模块被设计成通过动态分配网络带宽和服务器处理通道来处理传入数据以适应不规则的和大量的浪涌。包括用于语言的编程封装器以允许无需丰富的核心编程知识即可将复杂的编程逻辑添加到多维时序数据库120的默认功能中,大大扩展了功能范围,编程封装器的示例包括但不限于C++、PERL、PYTHON以及ERLANGTM。由多维时序数据库120和大容量网络爬虫模块115检索的数据可以通过有向计算图155以及相关联的通用转换器服务150和可分解转换器服务160模块进一步分析并变换为任务优化结果。可选地,来自多维时序数据库和大容量网络爬虫模块的数据通常通过脚本化提示信息确定重要的顶点145a,可以发送到图栈服务模块145,其利用将信息流转换为该数据的图表示形式的标准化协议,该标准化协议例如开放图互联网技术,尽管本发明不依赖于任何一种协议。通过这些步骤,图栈服务模块145以图的形式表示受任何预定脚本修改145a影响的数据,并将其存储在基于图的数据存储145b中,例如GIRAPHTM或键值对类型数据存储REDISTM、或RIAKTM等,所有这些都适合存储基于图的信息。
随后,转换分析处理的结果可以与进一步的客户端指令、与分析相关的其它业务规则和实践以及自动计划服务模块130中已经可用的数据外部的情境信息相结合,该自动计划服务模块130还运行基于强大信息理论130a的预测统计功能和机器学习算法,以允许根据当前系统导出的结果以及选择多个可能的业务决策来快速预测未来的趋势和结果。由于使用所有可用数据,自动计划服务模块130可以以可能的高度确定性提出最有可能导致最有利的业务结果的业务决策。由于在使用系统得出的结果中与自动计划服务模块密切相关,使得结合了借助于终端用户决策制定的可能的外部提供的附加信息,动作结果模拟模块125及其离散事件模拟器编程模块125a允许业务决策者基于对当前可用数据的分析,研究选择一个未决行动方案而不是另一个的可能结果,动作结果模拟模块125的离散事件模拟器编程模块125a与面向终端用户的观察和状态估计服务140联接,该观察和状态估计服务140视情况需要可高度脚本化140b,并且具有游戏引擎140a以更现实地呈现正被考虑的商业决策的可能结果。
例如,系统100通知信息保障部门,委托人X正在使用其从未使用过的凭证K(Kerberos主体密钥)来访问服务Y。服务Y利用这些相同的凭证来访问数据存储Z上的安全数据。这会因为通过网络的可疑的横向移动而正确地发出警报,并且将基于由被编程为处理这种数据120a的多维时序数据存储120进行的连续基线网络流量监测、由有向计算图155进行的严格的网络基线分析,建议隔离X和Y以及暂停K,有向计算图155的底层的通用转换器服务模块160和可分解转换器服务模块150与自动计划服务模块130的AI和基础机器学习功能130a结合在一起,自动计划服务模块130也通过连接器模块135的多源连接API接收并同化了来自多个源的公开可用数据。动作结果模拟模块125及其离散事件模拟器125a相对于基线运行这些流量模式的临时模拟,其中离散事件模拟器125a在这里用于确定合法性的可能性的概率空间。基于该数据和分析,系统100能够检测并建议抑制对所有业务运营都构成生存威胁的网络攻击,并且在发生攻击时,通过使用观察和状态估计服务140向正在进行抑制和补救工作的多个级别的分析人员呈现可执行计划最需要的信息,其中,观察和状态估计服务140也已被特定地预先编程以处理网络安全事件140b。
根据一个方面,作为一种经过特定编程的业务操作系统使用的高级网络决策平台结合告知网络攻击方法知识的实时分析,连续监测客户端企业的正常网络活动,以监测以下行为:例如但不限于网络上的正常用户、每个用户访问的资源、每个用户的访问许可、机器到机器的网络流量、获批准的对核心网络的外部访问、以及对网络标识和访问管理服务器的管理访问。随后,系统将此信息用于两个目的:首先,系统的高级计算分析和仿真功能用于在网络外围和企业信息传输范围内立即提供可能的数字访问点,并给出针对网络更改的信任结构和建议,该网络改变应在攻击发生之前或之时进行强化。其次,高级网络决策平台连续地实时监测网络的流量类型和通过的技术两者,这些技术诸如对用户流量中的重大偏差进行预先决定的分析的深度数据包检查用以指示已知的网络攻击向量,例如但不限于ACTIVE DIRECTORYTM/Kerberos传递票证攻击、ACTIVE DIRECTORYTM/Kerberos传递哈希攻击及相关的ACTIVE DIRECTORYTM/Kerberos越哈希攻击、ACTIVEDIRECTORYTM/Kerberos万能钥匙、ACTIVE DIRECTORYTM/Kerberos黄金和白银票攻击、特权升级攻击、受损的用户证书以及勒索软件磁盘攻击。当确定处于表明攻击的级别的可疑活动(例如,包括但不限于万能钥匙攻击、哈希传递攻击或通过受损的用户证书进行的攻击)时,系统向所有预先指定的各方发布针对行动的警报信息,这些各方专门针对其在抑制攻击或补救中的角色而量身定制,并经过格式化以提供基于历史的、当前的和背景的攻击进展分析的预测攻击模型,以使人工决策者可以在他们的职责范围内迅速制定最有效的行动方案,以掌握最可行的信息同时尽可能减少分散注意力的数据。随后,系统以最可行的方式采取防御措施,以尽可能少的破坏和暴露来结束攻击。所有攻击数据均被永久存储以供日后取证分析。
图2是业务操作系统在检测和抑制导致以及抑制正在进行的网络攻击200的步骤的预定因素中的示例性功能的流程图。系统连续地检索可以由多维时序数据存储120及其编程封装器120a存储和预处理的网络流量数据201。随后,对所有捕获的数据进行分析以预测网络节点的正常使用模式,例如内部用户、网络连接的系统和装备以及企业范围外的获批准的用户,例如异地员工、承包商和供应商,以上仅为可能的参与者的几个示例。当然,本领域技术人员也可已知正常的其它网络流量,所给出的列表并不意味着是排他的,并且其它可能性也不会超出本发明的设计范围。网络流量的分析可以包括使用图栈服务145、145a中的专门开发的程序对诸如网络项到网络使用的参数进行图解分析,根据单个使用配置文件201的复杂性,可以通过与有向计算图模块155、通用转换器服务模块160和可分解服务模块150相关联的专门预先开发的算法来完成每个网络项目的使用情况的分析。这些使用模式结合有关企业网络拓扑的附加数据、网关防火墙编程、内部防火墙配置、目录服务协议及配置进行分析;随后,仅列举一些非排他性示例,用户和访问敏感信息的权限配置文件可以在自动计划服务模块130中进一步进行分析,其中,可以采用包括但不限于信息理论统计130a的机器学习技术,并且可以应用专用于基于当前数据125a的结果预测模拟的动作结果模拟模块125来制定当前最新的并不断发展的基线网络使用配置文件202。该相同的数据会与最新的、可能通过使用多应用程序编程接口自适应连接器模块135从多个不同的外源中检索到的已知网络攻击方法报告结合,以向企业决策者提出预防性建议来针对基于物理和配置的网络基础结构进行更改,从而经济有效地降低网络攻击的可能性,并在发生攻击的情况下以最显著且最经济有效地抑制数据泄露和丢失203、204。
尽管这些选项中的一些在过去可能已经部分地作为零散解决方案使用,但我们相信,持续不断地实时智能地集成来自多个源的大量数据,然后根据当前数据进行结果的预测性仿真和分析的能力,使得在这个领域能够提出可行、有效的商业实践建议是既新颖又有必要的。
一旦制定了使用所有可用网络流量数据的网络使用情况的综合基线配置文件,则专门负责的业务操作系统就会针对与如预先指定的边界205所确定基线相比异常的活动,而连续轮询传入的流量数据。异常活动的示例可以包括用户尝试快速连续访问多个工作站或服务器,或者用户尝试使用随机用户ID或另一个用户的用户ID和密码来访问具有敏感信息的服务器的域服务器,或者任意用户尝试强行破解特权用户的密码,或重播最近发布的ACTIVE DIRECTORYTM/Kerberos票证授予票证,或者存在对网络任何已知的、正在进行的漏洞利用或向网络中引入已知的恶意软件,以上仅为本领域技术人员已知的网络攻击配置文件的很小的样本。本发明具有预测性且知晓已知漏洞利用,旨在分析任何异常的网络行为,制定该行为的可能结果,然后发出任何所需的警报,而不管攻击是否遵循已发布的漏洞利用规范或表现出不同于正常的网络实践的新特性。一旦检测到可能的网络攻击,则系统将被设计为将所需信息提供给响应方206,该响应方在可能的情况下针对抑制攻击及攻击所造成的破坏中的每个角色而量身定制207。这可以包括警报和更新中包含的确切信息子集,以及可以通过企业现有的安全信息和事件管理系统显示信息的格式。随后,虽然所有各方除了在怀疑存在破解以外都可以随时访问他们已授予访问权限的任何网络和网络攻击信息,但网络管理员可能会收到以下信息,例如但不限于,认为攻击源于网络上的何处、认为哪些系统当前受到影响、有关攻击可能在何处进行的预测性信息、哪些企业信息处于风险中以及抵制入侵和抑制损害的可执行的建议,而首席信息安全官可能会收到警报,包括但不限于网络攻击的时间线、被认为受到损害的服务和信息、如果有则应采取什么措施来抑制攻击、预测攻击可能如何发展以及为控制和击退攻击提供的建议207。其它专门定制的更新可由系统发布206、207。
图2A是示出用于抑制与通过SWIFT网络发送的银行间金融交易有关的网络攻击的业务操作系统的总体流程220的流程图。尽管该图特定于SWIFT网络,但也可以使用本发明来验证其它清算系统的交易。同样,尽管为SWIFT系统显示了单独的组件,但是所公开的SWIFT系统的功能也可以在其它组件中执行,例如在上层中已经存在的那些。系统221包括用于输入交易的SWIFT终端222,该终端连接到系统接口223。所有输入的交易都传递到交易验证器224,交易验证器224从各种源收集系统范围的数据,其中可能包括网络行为225、用户行为226和装置行为227。如先前所公开的200,随后使用多种高级网络安全检测方法来分析捕获的数据,以形成用于银行间金融交易的基线配置文件202。这种基线配置文件是基于对与银行间金融交易有关的网络节点的正常使用模式的复杂分析,例如交易地点、端点标识、交易明细、交易量、交易金额以及交易时机等能进行分析的一些变量。在多模式分析228中,通过系统的SWIFT交易与基线配置文件进行比较以检测异常,这能表明可疑活动。在分析之后,交易将发送到交易路由器229,交易路由器229根据是否检测到异常230而适当地路由交易。如果未检测到异常,则将照常处理交易235。如果检测到异常,则将交易搁置并为了人工干预231而路由到多个用户终端232以进行人工评估233。如果人工分析确定该交易是合法的,则该交易将完成235。否则,该交易将被拒绝234,从而保护所涉及的金融机构免受损失。
图3是示出用于抑制网络攻击的业务操作系统功能的总体流程300的流程图。输入网络数据可以传递315到业务操作系统310中以作为其网络安全功能的一部分进行分析,其中,输入网络数据可以包括网络流模式321、每段可测量网络流量的原点和目的地322、来自网络上的服务器和工作站的系统日志323、端点数据323a、来自服务器或可用安全信息及事件(SIEM)系统的任何安全事件日志数据324、外部威胁情报馈送324a、标识或评估背景325、外部网络健康或网络安全馈送326、Kerberos域控制器或ACTIVE DIRECTORYTM服务器日志或仪器日志327和与业务单位性能相关的数据328、以及本发明被设计用于分析和集成的其它可能的数据类型。来自多个源的这些多种类型的数据可以使用专用网络安全、风险评估或以网络安全系统的角色操作的业务操作系统的常见功能中的至少一种来转换以进行分析311、312,这些功能例如但不限于,网络和系统用户特权监督331、网络和系统用户行为分析332、攻击者和防御者行动时间线333、SIEM集成和分析334、动态基准测试335以及事件标识和解决方案性能分析336,以及其它可能的网络安全功能;作为系统风险分析功能的一部分的风险价值(VAR)建模和仿真341、对不同类型数据泄露的预期成本与被动成本估算以建立优先级342、工作因子分析343和网络事件发现率344;以及作为业务操作系统的通用功能的一部分以下能力:格式化和交付定制的报告和仪表板351、按需执行通用的临时数据分析352、连续监测和处理以及探测输入数据的细微变化或分散信息线程353以及生成网络物理系统图354。输出317可用于配置网络网关安全设备361,以通过对基础结构建议进行预测性更改来帮助防止网络入侵362、在攻击周期的早期提醒企业正在进行的网络攻击,虽然不一定能阻止网络攻击,但至少降低了损害362、记录对标准化准则或SLA要求的遵守情况363、持续探查现有网络基础结构并对可能导致违规的任何更改发出警报364、针对检测到的任何域控制器票证弱点提出解决方案365、检测存在恶意软件366以及根据客户端指令执行一次或连续漏洞扫描367。当然,这些示例只是系统可能的用途的子集,它们本质上是示例性的,并且不反映本发明的功能的任何界限。
图4是用于将网络攻击信息分段到适当的公司方的方法400的处理流程图。如上文所公开的200、351,高级网络决策平台的优势之一是能够同时针对特定受众细化定制报告和仪表板的能力。这种定制是有可能的,因为业务操作系统的一部分程序专门用于模块的结果表示,这些模块包括观察和状态估计服务140及其游戏引擎140a和脚本编译器140b。在网络安全的环境中,发布专门的警报、更新和报告可能会极大地帮助以最及时的方式采取正确的抑制措施,同时让所有参与者都以预先指定的适当间隔获悉。一旦系统检测到网络攻击401,就分析所有有关正在进行的攻击和现有网络安全知识的可用信息,包括通过近乎实时的预测模拟402来开发对当前事件的最准确评估和关于攻击可能发生的地点以及如何抑制的可行建议。总体而言,生成的信息通常超过任何一组执行抑制任务所需的信息。就这一点而言,在网络攻击期间,提供单个扩展且包含所有内容的警报、仪表板图像或报告可能会使每个参与者对关键信息的识别和操作更加困难,因此,以网络安全为重点的布置可能会创建多个目标信息流,每个信息流同时旨在在攻击期间在整个企业范围内采取最迅速、最有效的行动,并发布具有可能导致后续长期变化的建议或信息的后续报告403。可以接收专门信息流的组的示例包括但不限于,在攻击期间的前线响应者404、在攻击期间和之后的事件取证支持405、接收信息的首席信息安全官406和首席风险官407,信息发送到后两者,后两者聚焦于在攻击后评估总体损坏并实施抑制策略和预防形性更改。尽管本领域技术人员已知的许多其它查询也可以由本发明来应答,但前线响应者可以使用网络决策平台专门发送给它们的经分析、转换或关联的信息来探测攻击的程度404a,从而隔绝以下这些事:预测性的攻击者进入企业网络、涉及攻击的相关系统或预测性的最终目标的进入点,并且可以使用系统的模拟功能来研究以最有效的方式成功终止攻击并拒斥攻击者的可选方法。运行的模拟还可以包括作用于企业IT系统和企业用户的正常和关键操作的任意攻击抑制措施的预测效果。类似地,首席信息安全官可以使用网络决策平台来预测性地分析406a哪些公司信息已经受到破坏、预测性地模拟可能或可能没有受到破坏的攻击的最终信息目标以及攻击在现在和不久的将来可能导致的总体影响,以保护这些信息。此外,在对攻击的追溯取证调查期间,取证响应者可以使用网络决策平台405a通过预测模拟和大容量数据分析来清晰、完整地映射网络基础结构的程度。取证分析师还可以使用该平台的功能通过用于渗透企业子网和服务器的方法,来对攻击的进程进行时序和基础结构空间分析。再有,首席风险官可以分析窃取了哪些信息407a,并对随着时间的流逝盗窃对企业意味着什么进行预测性模拟。此外,系统的预测功能可用于协助制定IT基础结构变更计划,该计划应在公司可能受到有限的企业预算约束的情况下最适合补救网络安全风险时制定,从而最大化财务结果。
图5是根据一个方面的用于使用参与者驱动的分布式计算图500对非常大的数据集进行快速预测分析的系统的示例性架构的示图。根据该方面,DCG 500可以包括管线协调器501,其可以用于对处理管线内的数据执行各种数据转换功能,并且可以与消息传递系统510一起使用,该消息传递系统510能够利用任何数量的各种服务和协议的通信、中继消息以及根据需要将消息转换为协议专用API系统调用以与外部系统进行互操作(而不是要求将特定的协议或服务集成到DCG 500中)。
管线协调器501可以产生可以用作简化并行处理的专用工作者的多个子管线集群502a-b。在一些布置中,可以将整个数据处理管线传递给子集群502a以进行处理,而不是单独地处理任务,从而使每个子集群502a-b能够以专用方式处理整个数据管线以使用不同的群集节点502a-b保持对不同管线的隔离处理。管线协调器501可以提供用于启动、停止、提交或保存管线的软件API。当管线启动时,管线协调器501可以例如使用AKKATM集聚将管线信息发送到可用的工作者节点502a-b。对于由管线协调器501初始化的每个管线,可以维护具有状态信息的报告对象。流活动可以报告上次处理事件的时间以及处理的事件数量。批处理活动可以在它们发生时报告状态消息。管线协调器501可以使用例如IGFSTM缓存文件系统来执行批处理缓存。这使得管线502a-b内的活动512a-d以任何必要的参数配置将数据背景相互传递。
可以为每个新运行的管线产生管线管理器511a-b,并且管线管理器511a-b可以用于向管线协调器501发送活动、状态、生命周期和事件计数信息。在特定管线内,管线管理器511a-b可以创建多个活动参与者512a-d以处理单独的任务,并将输出提供给数据服务522a-d。如管线管理器511a-b所引导的,在给定管线中使用的数据模型可以由特定管线和活动确定。每个管线管理器511a-b控制并引导由其产生的任何活动参与者512a-d的操作。管线处理可能需要协调任务之间的流数据。为此,管线管理器511a-b可以产生服务连接器以动态地创建活动实例512a-d之间的TCP连接。可以为每个单独的活动512a-d维护数据背景,并且可以根据需要缓存数据背景以提供给其它活动512a-d。数据背景定义活动如何访问信息,并且活动512a-d可以处理数据或简单地将数据转发到下一步骤。在管线步骤之间转发数据可以通过流背景或批处理背景路由数据。
客户服务集群530可以操作多个服务参与者521a-d来服务活动参与者512a-d的请求,理想地保持足够的服务参与者521a-d以支持每种服务类型的每个活动。这些也可以以类似于数据管线中的群集502a-b内的活动参与者512a-d的逻辑组织的方式布置在服务群集520a-d内。日志服务530可用于在操作期间记录和采样DCG请求和消息,而通知服务540可用于在操作期间接收警报以及其它通知(例如,警告错误,这随后可以通过从日志服务530查看记录来诊断),并且通过从外部连接到消息传递系统510可以在操作过程中添加、移除或修改日志记录和通知服务而不影响DCG 500。多个DCG协议550a-b可以用于提供DCG 500和消息传递系统510之间的结构化消息传递,或者使消息传递系统510能够如图所示跨服务集群520a-d分配DCG消息。服务协议560可以用于定义服务交互,以使DCG 500可以修改而不会影响服务实施。以这种方式可以理解的是,使用参与者驱动的DCG 500的系统的整体结构以模块化的方式操作,从而能够对各种组件进行修改和替换而不会影响其它操作或需要额外的重新配置。
图6是根据一个方面的用于使用参与者驱动的分布式计算图500对非常大的数据集进行快速预测分析的系统的示例性架构的示意图。根据该方面,变体消息传递布置可以利用消息传递系统510作为使用流传输协议610的消息传递代理,使用作为消息代理的消息传递系统510立即发送和接收消息,以根据需要桥接服务参与者521a-b之间的通信。可选地,单独的服务522a-b可以使用数据背景服务630作为代理在服务522a-b之间批量处理和中继消息,在批处理背景620中直接通信。
图7是根据一个方面的用于使用参与者驱动的分布式计算图500对非常大的数据集进行快速预测分析的系统的示例性架构的示意图。根据该方面,变体消息传递布置可以利用服务连接器710作为多个服务参与者521a-b之间的中央消息代理,在流背景610中桥接消息,而数据背景服务630继续在批处理背景620中提供单独的服务522a-b之间的直接对等的消息传递。
应当理解的是,例如对于由管线管理器511a-b引导的一个数据管线使用一种特定的消息传递布置,上述系统变体(参考图1-7)的各种组合和布置是可能的,而另一个管线可以利用不同的消息传递布置(或可以完全不利用消息传递)。通过这种方式,单个DCG 500和管线协调器501可以以最适合其特定需求的方式来操作单个管线,并且通过如上文图5中所述的设计模块化使动态布置成为可能。
示例性方面的详细描述
图8是根据一个方面的用于网络安全行为分析的示例性方法800的流程图。根据该方面,行为分析可以利用来自多个现有端点的被动信息馈送(例如,包括但不限于网络上的用户活动、网络性能、SWIFT交易或装置行为)来生成安全解决方案。在初始步骤801中,网络爬虫115可以被动地收集活动信息,然后这可以使用DCG 155对活动信息进行处理802以分析行为模式。基于该初始分析,可以识别异常行为803(例如,基于与已建立的模式或趋势的差异阈值),诸如高风险用户或诸如机器人的恶意软件操作员。随后可以使用这些异常行为以分析潜在的攻击角度804,然后基于该第二级分析和由动作结果模拟模块125生成的预测来产生安全建议805,以确定变化的可能影响。随后可以根据需要自动实施建议的行为806。然后,被动监测801继续在实施新的安全解决方案806之后收集信息,因观察和分析了安全变化与观察到的行为和威胁之间的关系而使机器学习能够随着时间的流逝改善操作。
这种用于行为分析的方法800能够使针对各种网络攻击威胁的主动和高速的反应防御能力成为可能,网络攻击威胁包括异常的人类行为以及非人类的“不良行为者”,例如可以探测并随后利用现有漏洞的自动化软件机器人。与手动干预相比,以这种方式使用自动行为学习提供了更具响应性的解决方案,从而能够快速响应威胁以抑制任何潜在影响。利用机器学习行为进一步增强了这种方法,提供了在仅当威胁发生时对威胁做出反应的简单自动方法中不可能提供的额外的主动行为。
图9是根据一个方面的用于测量网络安全攻击的影响的示例性方法900的流程图。根据该方面,可以使用DCG 155来测量攻击的影响评估,以分析用户帐户并识别其访问能力901(例如,帐户可以访问哪些文件、目录、装置或域)。随后,这可以用于生成账户的影响评估分数902,其代表该账户受损时的潜在风险。在发生事件的情况下,可以使用针对任何受损帐户的影响评估分数来产生“爆炸半径”计算903,以准确识别哪些资源由于入侵而处于危险中以及安全人员应将注意力集中在哪里。为了通过模拟模块125提供主动安全建议,可以运行模拟入侵904以针对各种攻击识别潜在的爆炸半径计算并确定高风险账户或资源905,从而可以在那些关键区域中提高安全性而不是将精力集中在反应性解决方案上。
图10是根据一个方面的用于连续网络安全监测和探测的示例性方法1000的流程图。根据该方面,状态观察服务140可以从诸如(例如,包括但不限于)服务器、域、数据库或用户目录的各种连接的系统接收数据1001。可以连续接收该信息,以随着时间的流逝被动地收集事件并监测活动,同时将收集的信息馈送到制图服务145中1002以用于产生随时间变化的状态和时序图1003。随后该经整理的时序数据可用于产生随时间变化的可视化1004,以将收集的数据量化为有意义且可理解的格式。当记录新事件时,例如改变用户角色或权限、修改服务器或数据结构或安全基础结构内的其它改变,这些事件将自动合并到时序数据中,并相应地更新可视化,从而以突出有意义的数据的方式实时监测大量信息,而不会由于检查大量数据点而丢失细节。
图11是根据一个方面的用于映射网络物理系统图(CPG)的示例性方法1100的流程图。根据该方面,网络物理系统图可以包括安全基础结构中的装置和资源之间的层次结构和关系的可视化,以安全人员和用户容易理解的物理装置关系来使安全信息溶入背景中。在初始步骤1101中,可以在制图服务145处接收行为分析信息(如前文所述,参考图8),以包括在CPG中。在下一步骤1102中,可以接收影响评估分数(如前文所述,参考图9),并将其并入CPG信息中,以便将风险评估背景添加到行为信息中。在下一步骤1103中,可以接收以及合并时序信息(如前文所述,参考图10),以便随着改变的发生和事件的记录更新CPG信息。随后,该信息可用于产生用户、服务器、装置和其它将物理关系与逻辑关系相关联的资源的图可视化1104,以产生反映基础结构中存在的内部关系的当前状态的安全基础结构的有意义的且溶入背景中的可视化。
图12是根据一个方面的用于连续网络复原能力评分的示例性方法1200的流程图。根据该方面,基线分数可以用于测量网络基础结构的总体风险水平,并且可以通过首先收集关于公开披露的漏洞的信息1201,例如(举例而言)使用互联网或常见漏洞及利用(CVE)处理,来进行编译。然后,可以如前文图11中所述将该信息并入到CPG中1202,随后可以分析CPG和已知漏洞的组合数据以识别已知漏洞与基础结构的组件所暴露的风险之间的关系1203。这会生成组合的CPG 1204,该CPG 1204合并了网络资源、用户帐户和装置的内部风险等级以及基于对已知的漏洞和安全风险的分析的实际风险等级。
图13是根据一个方面的用于网络安全特权监督的示例性方法1300的流程图。根据该方面,可以收集时序数据1301(如上所述,参考图10)以用于用户帐户、证书、目录以及其它基于用户的特权和访问信息。随后,可以分析该数据1302以识别可能影响安全性的随时间的变化,例如修改用户访问特权或添加新用户。可以针对CPG(如前文在图11中所述)检查分析的结果,以将用户目录改变与实际基础结构状态进行比较和关联1303。该比较可以用于执行准确且背景增强的用户目录审核1304,该审核不仅识别当前用户证书和其它特定于用户的信息,而且识别该信息随时间的改变以及用户信息如何与实际基础结构关联(例如,授予装置访问权限的凭据,并且因此可能由于无法单独从用户目录中立即显现的装置关系而隐含地授予附加的访问权限)。
图14是根据一个方面的用于网络安全风险管理的示例性方法1400的流程图。根据该方面,可以通过首先接收基础结构的时序数据1401(如前文图10中所述)以提供对网络事件的实时监测,来组合前文描述的多种方法以在攻击发生时提供攻击的实时评估。随后,利用CPG(如上文图11中所述)增强该数据1402,以将事件与诸如服务器或账户的实际基础结构元素关联。当事件(例如,对易受攻击的系统或资源的尝试性攻击)发生1403时,将该事件记录在时序数据中1404,并与CPG进行比较1405以确定影响。这通过包括针对任何受影响资源的影响评估信息来增强1406,随后针对基线分数检查攻击以确定攻击影响的全部范围以及对基础结构或规则的任何必要的修改1407。
图15是根据一个方面的用于抑制受损凭证威胁的示例性方法1500的流程图。根据该方面,可以为目录中的用户账户收集影响评估分数1501(如前文所述,参考图9),使得在实际攻击事件之前知晓任何给定凭证攻击的潜在影响。该信息可以与前文在图11中描述的CPG组合在一起1502,以在基础结构中将响评估得分溶入背景中(例如,以便可以预测哪些系统或资源可能受到任何给定的凭证攻击风险)。随后,可以执行模拟攻击1503以使用机器学习来提高安全性而无需等待实际攻击来触发反应性响应。爆炸半径评估(如上文在图9中所述)可以用于响应1504以确定模拟攻击的效果并识别弱点,并产生用于改善和强化基础结构以抵抗未来攻击的推荐报告1505。
硬件架构
通常,本文公开的技术可以在硬件或软件与硬件的组合上实施。例如,它们可以在操作系统内核中、单独的用户进程、绑定到网络应用程序的库包中、专门构建的机器上、专用集成电路(ASIC)上或网络接口卡上实施。
可以在由存储在存储器中的计算机程序选择性地激活或重新配置的可编程网络驻留机器(应当理解为包括间歇连接的网络自适应机器)上实施本文公开的至少一些方面的软件/硬件混合实施方案。这种网络装置可以具有可以被配置成或设计成利用不同类型的网络通信协议的多个网络接口。本文可能描述了这些机器中的一些的通用架构,以便说明可以实施给定功能单元的一种或多种示例性手段。根据特定的方面,本文公开的各个方面中的至少一些特征或功能可以在与一个或多个网络相关联的一个或多个通用计算机上实施,例如,举例而言,终端用户计算机系统、客户端计算机、网络服务器或其它服务器系统、移动计算装置(例如,平板计算装置、移动电话、智能手机、膝上型计算机或其它合适的计算装置)、消费电子装置、音乐播放器或任何其它合适的电子装置、路由器、交换机或其它合适的装置,或它们的任意组合。在至少一些方面中,本文公开的各个方面中的至少一些特征或功能可以在一个或多个虚拟化的计算环境(例如,网络计算云、托管在一个或多个物理计算机上的虚拟机或其它合适的虚拟环境)中实施。
现在参考图16,示出了描绘适于实施本文公开的特征或功能的至少一部分的示例性计算装置10的框图。计算装置10可以是例如前一段中列出的计算机器中的任一个,或者实际上是能够根据存储在存储器中的一个或多个程序运行基于软件或硬件的指令的任何其它电子装置。计算装置10可以被配置成使用无线亦或有线的用于这种通信的已知协议,经过诸如广域网、城域网、局域网、无线网、互联网或任何其它的通信网络与诸如客户端或服务器的多个其它计算装置进行通信。
一方面,计算装置10包括一个或多个中央处理单元(CPU)12、一个或多个接口15以及一个或多个总线14(例如外围组件互连(PCI)总线)。当在适当的软件或固件的控制下行动时,CPU 12可以负责实施与特定配置的计算装置或机器的功能相关联的特定功能。例如,在至少一个方面,计算装置10可以被配置成或设计成用作利用CPU 12、本地存储装置11和/或远程存储装置16以及接口15的服务器系统。在至少一个方面,可以使CPU 12在软件模块或组件的控制下执行一种或多种不同类型的功能和/或操作,软件模块或组件例如可以包括操作系统和任何适当的应用软件、驱动程序等。
CPU 12可以包括一个或多个处理器13,例如,来自Intel、ARM、Qualcomm和AMD系列微处理器之一的处理器。在一些方面,处理器13可以包括专门设计的硬件,例如专用集成电路(ASIC)、电可擦除可编程只读存储器(EEPROM)、现场可编程门阵列(FPGA)等,以控制计算装置10的操作。在特定的方面,本地存储装置11(例如,包括例如一级或多级高速缓存存储器的非易失性随机存取存储器(RAM)和/或只读存储器(ROM))也可以形成CPU 12的一部分。然而,存在多种不同的方式可以将存储器联接到系统10。存储器11可以用于多种目的,例如,高速缓存和/或存储数据、编程指令等。应当进一步理解的是,CPU 12可以是多种片上系统(SOC)类型的硬件之一,该类型的硬件可以包括诸如存储器或图处理芯片的附加硬件,诸如在本领域中正变得越来越普遍的诸如用于移动装置或集成装置中的QUALCOMMSNAPDRAGONTM或SAMSUNG EXYNOSTM CPU。
如本文中所使用的,术语“处理器”不仅限于本领域中称为处理器、移动处理器或微处理器的那些集成电路,还广泛地指微控制器、微计算机、可编程逻辑控制器、专用集成电路、以及任何其它可编程电路。
一方面,接口15作为网络接口卡(NIC)提供。通常,NIC控制计算机网络上数据包的发送和接收;其它类型的接口15可以例如支持与计算装置10一起使用的其它外围装置。可以提供的接口之中包括以太网接口、帧中继接口、电缆接口、DSL接口、令牌环接口、图形接口等。此外,可以提供各种类型的接口,例如通用串行总线(USB)、串行接口、以太网、FIREWIRETM、THUNDERBOLTTM、PCI、并行接口、射频(RF)、BLUETOOTHTM、近场通信(例如,使用近场磁场)、802.11(WiFi)、帧中继、TCP/IP、ISDN、快速以太网接口、千兆位以太网接口、串行ATA(SATA)或外部SATA(ESATA)接口、高清多媒体接口(HDMI)、数字视频接口(DVI)、模拟或数字音频接口、异步传输模式(ATM)接口、高速串行接口(HSSI)接口、销售点(POS)接口、光纤数据分布式接口(FDDI)等。通常,这种接口15可以包括适合于与适当的媒体进行通信的物理端口。在某些情况下,它们还可以包括独立处理器(例如高保真A/V硬件接口技术领域中常见的专用音频或视频处理器),并且,在某些情况下还包括易失性和/或非易失性存储器(例如RAM)。
虽然图16所示的系统示出了用于实施本文所述的一个或多个方面的计算装置10的一种特定架构,但绝不是可以在其上实施本文描述的特征和技术的至少一部分的唯一装置架构。例如,可以使用具有一个或任意数量的处理器13的架构,并且这种处理器13可以存在于单个装置中或分布在任何数量的装置之中。一方面,单个处理器13处理通信以及路由计算,而在其他方面,可以提供单独的专用通信处理器。在各个方面中,可以在根据包括客户端装置(例如运行客户端软件的平板装置或智能手机)和服务器系统(例如下文更详细描述的服务器系统)的方面的系统中实施不同类型的特征或功能。
不论网络装置配置如何,一方面的系统可以采用被配置成存储用于通用目的的网络操作的数据、程序指令或与本文描述的方面的功能相关的其它信息(或上述的任意组合)的一个或多个存储器或存储模块(例如,远程存储块16和本地存储装置11)。程序指令可以控制例如操作系统和/或一个或多个应用的运行或包括操作系统和/或一个或多个应用。存储装置16或存储装置11、16还可被配置成存储数据结构、配置数据、加密数据、历史系统操作信息或本文所述的任何其它特定或通用的非程序信息。
由于此类信息和程序指令可用于实施本文所述的一个或多个系统或方法,因此至少一些网络装置方面可包括非暂时性机器可读存储介质,例如,其可配置成或设计成存储用于执行本文所述的各种操作的程序指令、状态信息等。这种非暂时性机器可读存储介质的示例包括但不限于诸如硬盘、软盘和磁带的磁性介质,诸如CD-ROM磁盘的光学媒体,诸如光盘的磁光介质,以及专门配置成存储和执行程序指令的硬件装置,例如只读存储装置(ROM)、闪速存储器(正如在移动装置和集成系统中很常见)、固态驱动器(SSD)和可以将固态物理组件和硬盘驱动器的物理组件结合在单个硬件装置中的“混合SSD”存储驱动器(正如个人计算机在本领域中变得越来越普遍)、忆阻器存储器、随机存取存储器(RAM)等。应当理解的是,这种存储装置可以是一体的并且不可移动的(例如可以焊接到主板上或者以其它方式集成到电子装置中的RAM硬件模块),或者它们可以是可移动的,例如可插拔的闪速存储器模块(例如“拇指驱动器”或旨在快速交换物理存储装置的其它可移动介质)、“可热插拔”硬盘驱动器或固态驱动器、可移动光学存储磁盘或其它此类可移动介质,并且此类一体式和可移动存储介质可以互换使用。程序指令的示例包括目标代码,例如可由编译器产生的目标代码、机器代码,例如可以由汇编程序或链接器产生的机器代码、例如可由JAVATM编译器生成并且使用Java虚拟机或等效的虚拟机执行的字节代码、或包含可由计算机使用解释器执行的更高级别代码的文件(例如,以Python、Perl、Ruby、Groovy或任何其它脚本语言编写的脚本)。
在一些方面,系统可以在独立的计算系统上实施。现在参考图17,示出了描述独立计算系统上的一个或多个方面或其组件的典型示例性架构的框图。计算装置20包括处理器21,该处理器21可以运行执行各方面的一个或多个功能或应用的软件,例如客户端应用程序24。处理器21可以在诸如MICROSOFT WINDOWSTM操作系统、APPLEmacOSTM或iOSTM操作系统、某些种类的Linux操作系统、ANDROIDTM操作系统等的版本的操作系统22的控制下执行计算指令。在许多情况下,一个或多个共享服务23可在系统20中进行操作,并且可用于向客户端应用程序24提供公共服务。服务23可以例如是WINDOWSTM服务、Linux环境中的用户空间公共服务或与操作系统21一起使用的任何其它类型的公共服务架构。输入装置28可以是适合于接收用户输入的任何类型,包括例如键盘、触摸屏、麦克风(例如,用于语音输入)、鼠标、触摸板、轨迹球或它们的任意组合。输出装置27可以是适合于向系统20的一个或多个远程用户或本地用户提供输出的任何类型,并且可以包括例如用于视觉输出的一个或多个屏幕、扬声器、打印机或它们的任意组合。存储器25可以是具有本领域已知的任何结构和架构的随机存取存储器,以供处理器21使用,例如用于运行软件。存储装置26可以是用于以数字形式存储数据的任何磁性、光学、机械、忆阻器或电存储装置(诸如上文参考图16所述的那些)。存储装置26的示例包括闪速存储器、磁性硬盘驱动器、CD-ROM等。
在一些方面,系统可在诸如具有任何数量的客户端和/或服务器的分布式计算网络上实施。现在参照图18,示出了描述用于在分布式计算网络上实现根据一个方面的系统的至少一部分的示例性架构30的框图。根据该方面,可以设置任意数量的客户端33。每个客户端33可以运行用于实施系统的客户端部分的软件;客户端可以包括诸如图17所示的系统20。另外,可以设置任意数量的服务器32用于处理从一个或多个客户端33接收的请求。客户端33和服务器32可以经由一个或多个电子网络31彼此通信,该电子网络31在各个方面可以是互联网、广域网、移动电话网络(例如CDMA或GSM蜂窝网络)、无线网络(例如WiFi、WiMAX、LTE等)或局域网(或实际上是任何本领域已知的网络拓扑;该方面不优选任意一种网络拓扑)中的任意一种。可以使用包括例如有线和/或无线协议的任何已知网络协议来实施网络31。
另外,在一些方面,服务器32可以在需要时调用外部服务37来获得附加信息,或参考与特定调用有关的附加数据。与外部服务37的通信可以例如经由一个或多个网络31进行。在各个方面,外部服务37可以包括与硬件装置本身有关或安装在硬件装置本身上的网络启用的服务或功能。例如,在智能手机或其它电子装置上实施客户端应用程序24的一个方面,客户端应用24可以获取存储在云中的服务器系统32中或部署在特定企业的或用户的住所的一个或多个外部服务37中的信息。
在一些方面,客户端33或服务器32(或两者)可以利用可以通过一个或多个网络31在本地或远程部署的一个或多个专用服务或设备。例如,一个或多个数据库34可以被一个或多个方面使用或参考。本领域的普通技术人员应该理解,数据库34可以以多种架构布置并且使用多种数据访问和操纵手段。例如,在各个方面中,一个或多个数据库34可以包括使用结构化查询语言(SQL)的关系数据库系统,而其它数据库可以包括可选数据存储技术,例如在本领域中称为“NoSQL”的那些技术(例如,HADOOP CASSANDRATM、GOOGLE BIGTABLETM等)。在一些方面,根据该方面,可以使用诸如列式数据库、存储器中数据库、集群式数据库、分布式数据库或者甚至平面文件数据存储库的变体数据库架构。本领域普通技术人员将理解,除非为本文描述的特定方面指定了特定的数据库技术或组件的特定布置,否则可以适当地使用已知或将来的数据库技术的任意组合。此外,应当理解的是,本文所使用的术语“数据库”可以指物理数据库机器、充当单个数据库系统的机器集群或整个数据库管理系统内的逻辑数据库。除非为术语“数据库”的给定用途规定了特定含义,否则应被解释为表示该词被本领域普通技术人员理解为术语“数据库”的普通含义中的任何一种含义。
类似地,一些方面可以利用一个或多个安全系统36和配置系统35。安全和配置管理是常用的信息技术(IT)和网络功能,并且每种功能中的某些数量通常与任意IT或网络系统相关联。本领域普通技术人员应理解的是,除非任一特定方面的描述特别要求特定的安全系统36或配置系统35或方法,否则本领域中在现在或将来已知的任何配置或安全子系统可以与各方面结合使用而不受限制。
图19示出了可以在整个系统的各个位置中使用的计算机系统40的示例性概观。其是可以运行代码以处理数据的任何计算机的示例。在不脱离本文所公开的系统和方法的较宽范围的情况下,可以对计算机系统40进行各种修改和改变。中央处理器单元(CPU)41连接到总线42,该总线42也连接到存储器43、非易失性存储器44、显示器47、输入/输出(I/O)单元48以及网络接口卡(NIC)53,通常,I/O单元48可以连接到键盘49、定点装置50、硬盘52和实时时钟51。NIC 53连接到网络54,该网络可以是因特网或局域网,该局域网可以具有或可以不具有到因特网的连接。在该示例中,还示出作为系统40的一部分的电源单元45,该电源单元45连接到主交流(AC)电源46。未示出可能存在的电池,以及公知但不适用于本文公开的当前系统和方法的特定新颖功能的许多其它装置和修改。应当理解的是,所示的一些或所有组件可以进行结合,例如结合到各种集成应用中,例如Qualcomm或Samsung片上系统(SOC)装置,或在可能适合将多个能力或功能结合到单个硬件装置中(例如,结合到诸如智能手机、视频游戏机、诸如车内导航或多媒体系统的车载计算机系统的移动装置中,或结合到其它集成硬件装置中)。
在各个方面,用于实施各个方面的系统或方法的功能可以分布在任意数量的客户端和/或服务器组件之中。例如,可以实施各种软件模块来执行与任何特定方面的系统结合的各种功能,并且可以以各种方式实施这种模块以在服务器和/或客户端组件上运行。
技术人员将知晓上述各个方面的可能的修改范围。因此,本发明由权利要求及其等同物限定。
Claims (7)
1.一种用于检测和抑制银行间金融交易的网络攻击的系统,所述银行间金融交易通过SWIFT(全球银行间金融电信协会)网络发送,所述系统包括:与SWIFT网络的接口,其连接到用于抑制网络攻击的高级网络决策平台,所述平台包括:
时序数据存储,所述时序数据存储至少包括处理器、存储器以及多个编程指令,所述多个编程指令存储在所述存储器中并在所述处理器上运行,其中,当在所述处理器上操作时,可编程指令使所述处理器:
监测多个网络事件;
产生时序数据,所述时序数据至少包括网络事件的记录以及事件发生的时间;
观察和状态估计模块,所述观察和状态估计模块至少包括处理器、存储器以及多个编程指令,所述多个编程指令存储在所述存储器中并在所述处理器上运行,其中,当在所述处理器上操作时,可编程指令使所述处理器:
监测网络上的多个所连接的资源;以及
产生代表所述多个连接的资源的至少一部分的网络物理图,所述网络物理图至少包括所述网络上的多个连接的资源的部分之间的逻辑关系,以及至少包括硬件装置的任何连接的资源之间的物理关系;
有向计算图模块,所述有向计算图模块至少包括处理器、存储器以及多个编程指令,所述多个编程指令存储在所述存储器中并在所述处理器上操作,其中,当在所述处理器上操作时,可编程指令使所述处理器:
对所述时序数据的至少一部分执行多个分析和转换操作;并且
对所述网络物理图的至少一部分执行多个分析和转换操作;以及
动作结果模拟模块,所述动作结果模拟模块至少包括处理器、存储器以及多个编程指令,所述多个编程指令存储在所述存储器中并在所述处理器上操作,其中,当在所述处理器上操作时,可编程指令使所述处理器:
产生至少包括模拟网络攻击的模拟网络事件;
至少部分基于所述有向计算图模块执行的分析结果,产生多个安全建议。
2.根据权利要求1所述的系统,其中,对所述网络物理图的至少一部分执行的所述多个分析和转换操作包括为图中的资源的部分中的每一个计算影响评估得分。
3.根据权利要求2所述的系统,其中,对所述时序数据的至少一部分执行的所述多个分析和转换操作包括计算网络攻击的总体影响,其中所述计算至少部分地基于受所述网络攻击影响的每个资源的所述影响评估得分。
4.根据权利要求1所述的系统,其中,对所述网络物理图的至少一部分执行的所述多个分析和转换操作包括将资源与已知安全漏洞之间的关系进行比较。
5.根据权利要求4所述的系统,其中,所述动作结果模拟模块产生的建议至少部分地基于与已知安全漏洞的比较结果。
6.根据权利要求1所述的系统,其中,所述观察和状态估计模块进一步被配置成至少部分地基于时序数据的至少一部分来产生可视化,其中所述可视化示出了数据随时间的改变。
7.一种采用高级网络决策平台来抑制网络攻击的方法,所述方法包括以下步骤:
a)使用观察和状态估计模块产生代表多个连接的资源的至少一部分的网络物理图,所述网络物理图至少包括所述网络上的多个连接的资源的部分之间的逻辑关系,以及至少包括硬件装置的任何连接的资源之间的物理关系;
b)使用有向计算图模块对所述网络物理图的至少一部分执行多个分析和转换操作;
c)使用动作结果模拟模块产生至少包括模拟网络攻击的模拟网络事件;
d)使用时序数据存储监测至少包括模拟网络攻击的多个网络事件;
e)至少部分地基于所述网络事件来产生时序数据;
f)对所述时序数据的至少一部分执行多个分析和转换操作;以及
g)至少部分地基于由所述有向计算图模块执行的分析结果,产生多个安全建议。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/696,367 US10432660B2 (en) | 2015-10-28 | 2017-09-06 | Advanced cybersecurity threat mitigation for inter-bank financial transactions |
| US15/696,367 | 2017-09-06 | ||
| PCT/US2018/049807 WO2019051131A2 (en) | 2017-09-06 | 2018-09-06 | IMPROVED MITIGATION OF CYBER SECURITY THREATS FOR INTERBANCIAL FINANCIAL TRANSACTIONS |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111316268A true CN111316268A (zh) | 2020-06-19 |
Family
ID=65635202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880071889.9A Pending CN111316268A (zh) | 2017-09-06 | 2018-09-06 | 用于银行间金融交易的高级网络安全威胁抑制 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3679506A4 (zh) |
| CN (1) | CN111316268A (zh) |
| WO (1) | WO2019051131A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741004A (zh) * | 2020-06-24 | 2020-10-02 | 中国银行股份有限公司 | 一种网络安全态势感知的方法和相关装置 |
| CN112149124A (zh) * | 2020-11-02 | 2020-12-29 | 电子科技大学 | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130198840A1 (en) * | 2012-01-31 | 2013-08-01 | International Business Machines Corporation | Systems, methods and computer programs providing impact mitigation of cyber-security failures |
| US8768838B1 (en) * | 2005-02-02 | 2014-07-01 | Nexus Payments, LLC | Financial transactions using a rule-module nexus and a user account registry |
| US20150295948A1 (en) * | 2012-10-23 | 2015-10-15 | Suzanne P. Hassell | Method and device for simulating network resiliance against attacks |
| US20170126712A1 (en) * | 2015-10-28 | 2017-05-04 | Fractal Industries, Inc. | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9225730B1 (en) * | 2014-03-19 | 2015-12-29 | Amazon Technologies, Inc. | Graph based detection of anomalous activity |
-
2018
- 2018-09-06 EP EP18852934.1A patent/EP3679506A4/en not_active Withdrawn
- 2018-09-06 CN CN201880071889.9A patent/CN111316268A/zh active Pending
- 2018-09-06 WO PCT/US2018/049807 patent/WO2019051131A2/en unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8768838B1 (en) * | 2005-02-02 | 2014-07-01 | Nexus Payments, LLC | Financial transactions using a rule-module nexus and a user account registry |
| US20130198840A1 (en) * | 2012-01-31 | 2013-08-01 | International Business Machines Corporation | Systems, methods and computer programs providing impact mitigation of cyber-security failures |
| US20150295948A1 (en) * | 2012-10-23 | 2015-10-15 | Suzanne P. Hassell | Method and device for simulating network resiliance against attacks |
| US20170126712A1 (en) * | 2015-10-28 | 2017-05-04 | Fractal Industries, Inc. | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741004A (zh) * | 2020-06-24 | 2020-10-02 | 中国银行股份有限公司 | 一种网络安全态势感知的方法和相关装置 |
| CN111741004B (zh) * | 2020-06-24 | 2022-05-27 | 中国银行股份有限公司 | 一种网络安全态势感知的方法和相关装置 |
| CN112149124A (zh) * | 2020-11-02 | 2020-12-29 | 电子科技大学 | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 |
| CN112149124B (zh) * | 2020-11-02 | 2022-04-29 | 电子科技大学 | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019051131A3 (en) | 2019-04-04 |
| WO2019051131A2 (en) | 2019-03-14 |
| EP3679506A4 (en) | 2021-01-13 |
| EP3679506A2 (en) | 2020-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323471B2 (en) | Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes | |
| US11750631B2 (en) | System and method for comprehensive data loss prevention and compliance management | |
| US11089045B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US10432660B2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| US11582207B2 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| US11570209B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
| US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| US11799900B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| US20220377093A1 (en) | System and method for data compliance and prevention with threat detection and response | |
| US11757920B2 (en) | User and entity behavioral analysis with network topology enhancements | |
| US11757849B2 (en) | Detecting and mitigating forged authentication object attacks in multi-cloud environments | |
| CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
| CN111316268A (zh) | 用于银行间金融交易的高级网络安全威胁抑制 | |
| WO2020102601A1 (en) | Comprehensive data loss prevention and compliance management | |
| WO2019113492A1 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| WO2019051131A1 (zh) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200619 |
|
| WD01 | Invention patent application deemed withdrawn after publication |