CN112567367A - 用于聚类和加速多个事故调查的基于相似性的方法 - Google Patents
用于聚类和加速多个事故调查的基于相似性的方法 Download PDFInfo
- Publication number
- CN112567367A CN112567367A CN201980053436.8A CN201980053436A CN112567367A CN 112567367 A CN112567367 A CN 112567367A CN 201980053436 A CN201980053436 A CN 201980053436A CN 112567367 A CN112567367 A CN 112567367A
- Authority
- CN
- China
- Prior art keywords
- incident
- notification
- similar
- notifications
- incident notification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000009471 action Effects 0.000 claims abstract description 76
- 238000010801 machine learning Methods 0.000 claims abstract description 72
- 230000000875 corresponding effect Effects 0.000 claims description 37
- 238000004590 computer program Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 15
- 238000011524 similarity measure Methods 0.000 claims description 12
- 230000006855 networking Effects 0.000 claims 2
- 238000004422 calculation algorithm Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 230000007613 environmental effect Effects 0.000 description 14
- 238000007726 management method Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000003287 optical effect Effects 0.000 description 11
- 230000002452 interceptive effect Effects 0.000 description 9
- 230000000694 effects Effects 0.000 description 7
- 230000008520 organization Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 238000012913 prioritisation Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000012417 linear regression Methods 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000000611 regression analysis Methods 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/048—Fuzzy inferencing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0259—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the response to fault detection
- G05B23/0267—Fault communication, e.g. human machine interface [HMI]
- G05B23/0272—Presentation of monitored results, e.g. selection of status reports to be displayed; Filtering information to the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/065—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computational Linguistics (AREA)
- Automation & Control Theory (AREA)
- Fuzzy Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
提供了用于在计算环境中对事故进行聚类的系统、方法、和装置。与计算环境中的事件(例如可能的网络威胁或任何其他警报)相关的事故通知被接收,并且特征集可以基于事故通知来生成。特征集可以作为输入被提供给机器学习引擎,以在计算环境中标识相似事故通知。相似事故通知可以包括已解析事故通知或未解析事故通知。解析事故通知的动作可以被接收,从而接收到的动作可以被执行。在一些实现中,除了解析接收到的事故通知之外,动作可以被执行以解析由机器学习引擎标识的相似的未解析事故通知。
Description
背景技术
事故(incident)管理系统为行业专业人员提供了查看和响应事故报告的能力,诸如通过调查报告是由于良性还是恶意活动来生成的。例如,在信息技术(IT)设置中,安全分析人员可以接收事故报告,该事故报告与在云计算网络上连接的各种系统上发生的各种活动相对应。按照适时方式分析每个事故报告是期望的,因为某些事故可能包括对一个或多个系统的潜在网络威胁。与网络威胁相关的事故报告通常是作为独立情况来分析的,而不使它们与其他潜在的网络威胁相关。结果,对这种事故报告的解析可能不正确或不一致地被处置,导致处置潜在网络威胁的整体质量和准确性下降。
虽然相同类型的事故可以被分组(group),但是基于相同事故类型的这种分组通常不包括准确地对事故进行分组。在事故没有被适当地分组的情况下,负责处置事故的安全分析人员可能会误解或无意地忽视网络上的网络威胁。另外,即使在相同类型的不同事故可以被分组的系统中,安全分析人员仍然必须单独地查看和解析每个事故报告,从而潜在地导致不一致和不正确的处置。
在另一技术中,事故报告可以基于报告被生成的组织的重要性而被优先化,这可以使得安全分析人员能够将他或她的注意力集中在被认为相对重要的事故上。然而,以准确的方式为不同的事故分配优先级通常会失败,例如在优先化算法包括不正确的假设的情况下。另外,如上面所讨论的,即使在优先化技术被实现的情况下,每个事故仍然被单独处置。
发明内容
该发明内容被提供来以简化的形式介绍对于下面在详细描述中进一步描述的概念的选择。该发明内容不旨在标识所要求保护的主题的关键特征或者必要特征,也不旨在被用于限制所要求保护的主题的范围。
提供了用于在计算环境中对事故进行聚类的系统、方法和计算机程序产品。与计算环境中的事件(例如潜在的网络威胁或任何其他警报)相关的事故通知被接收。特征集可以基于接收到的事故通知而被生成。特征集可以作为输入被提供给机器学习引擎,该机器学习引擎应用基于机器学习的模型以在计算环境中标识相似事故通知。相似事故通知可以包括多种类型的通知,包括相似的已解析事故通知或相似的未解析事故通知。解析事故通知的动作可以被接收,从而接收到的动作可以被执行。在一些实现中,除了解析接收到的事故通知之外,动作可以被执行以解析由机器学习引擎标识并且通过用户界面选择的相似的未解析事故通知。
通过这种方式,基于机器学习的模型可以自动地标识已解析或未解析的一个或多个附加事故通知,其可以类似于安全分析人员当前正在查看的事故通知。例如,在处置事故通知时,安全分析人员可以被使得能够轻易地查看与相似的已解析事故通知相对应的信息,诸如相似事故通知的标识、指示事故通知与相似事故通知之间的相似性或差异的原因、以及先前被执行以解析相似事故通知的动作。在其他实现中,基于机器学习的模型可以被配置为标识一个或多个相似的未解析事故通知(例如队列中待定的通知),从而使得安全分析人员能够选择以与事故通知相同的方式处置的这种未解析事故通知。结果,事故通知(和相似事故通知)的处置可以以准确、一致和有效的方式被执行。
其他特征和优点以及各种示例实施例的结构和操作在下面参照附图被详细描述。注意,示例实现不限于本文描述的特定实施例。这种示例实施例仅出于说明性目的而在本文中被呈现。基于本文包含的教导,附加实现对于(多个)相关领域的技术人员将是明显的。
附图说明
被包含在本文中并且形成说明书的一部分的附图图示了本申请的示例实施例,并且连同本描述,还用于解释示例实施例的原理并且使得相关领域的技术人员能够制造和使用示例实施例。
图1示出了根据示例实现的用于在计算环境中对事故通知进行聚类的系统的框图。
图2示出了根据示例实施例的用于在计算环境中对事故通知进行聚类的方法的流程图。
图3示出了根据示例实施例的事故聚类系统的框图。
图4示出了根据示例实施例的用于基于相似性度量来标识相似事故通知的方法的流程图。
图5示出了根据示例实施例的用于标识相似的未解析事故通知的方法的流程图。
图6示出了根据示例实施例的用于标识相似的已解析事故通知的方法的流程图。
图7示出了根据示例实施例的说明性事故解析器图形用户界面。
图8是可以被用于实现各种示例实施例的基于示例处理器的计算机系统的框图。
当结合附图时,通过下面陈述的详细描述,本文描述的实现的特征和优点将变得更加明显,其中相同的附图标记始终标识对应的元件。在附图中,相同的附图标记通常指示相同的、功能相似和/或结构相似的元件。元件首次出现的附图由对应附图标记中的(多个)最左数字指示。
具体实施方式
I.介绍
本说明书和附图公开了许多示例实现。本申请的范围不限于所公开的实现,而是还涵盖所公开的实现的组合以及对所公开的实现的修改。说明书中对“一个实现”、“实现”、示例实施例”、“示例实现”等的引用指示所描述的实现可以包括特定特征、结构或特性,但是每个实现可能不一定包括该特定特征、结构或特性。而且,这种短语不一定指的是相同实现。进一步地,当特定特征、结构或特性是结合实现描述时,无论是否被明确描述,主张的是结合其他实现来实现这种特征、结构或特性在(多个)相关领域的技术人员的知识范围内。
在讨论中,除非另外声明,否则修饰本公开的实现的一个或多个特征的条件或关系特性的诸如“基本上”和“大约”等形容词应该被理解为意指该条件或特性被定义为在预期的应用的实现操作可接受的公差范围内。
此外,应该被理解的是,本文使用的空间描述(例如“在…上方”、“在…下方”、“上边”、“左侧”、“右侧”、“下边”、“顶部”、“底部”、“垂直的”、“水平的”等)仅出于说明的目的,并且本文描述的结构的实际实现可以以任何定向或方式在空间上被布置。
许多示例实施例被描述如下。要注意的是,本文提供的任何章节/小章节标题都不旨在是限制性的。实现在该文档中被描述,并且任何类型的实现可以被包括在任何章节/小章节下。此外,在任何章节/小章节中公开的实现可以以任何方式与在相同的章节/小章节和/或不同的章节/小章节中描述的任何其他实现组合。
II.示例实现
如上面的背景技术章节中提到的,事故管理系统为行业专业人员提供了查看和响应事故报告的能力,诸如通过调查报告是由于良性还是恶意活动而被生成的。例如,在信息技术(IT)设置中,安全分析人员可以接收事故报告,该事故报告与在云计算网络上连接的各种系统上发生的各种活动相对应。按照适时方式分析每个事故报告是期望的,因为某些事故可能包括对一个或多个系统的潜在网络威胁。与网络威胁相关的事故报告通常是作为独立情况来分析的,而不使它们与其他潜在的网络威胁相关。结果,对这种事故报告的解析可能不正确或不一致地被处置,导致处置潜在网络威胁的整体质量和准确性下降。
虽然相同类型的事故可以被分组,但是基于相同事故类型的这种分组通常不包括准确地对事故进行分组。在事故没有被适当地分组的情况下,负责处置事故的安全分析人员可能会误解或无意地忽视网络上的网络威胁。另外,即使在相同类型的不同事故可以被分组的系统中,安全分析人员仍然必须单独地查看和解析每个事故报告,从而可能导致不一致和不正确的处置。
在另一技术中,事故报告可以基于报告被生成的组织的重要性而被优先化,这可以使安全分析人员能够将他或她的注意力集中在被认为相对重要的事故上。然而,以准确的方式为不同的事故分配优先级通常会失败,例如在优先化算法包括不正确的假设的情况下。另外,如上面所讨论的,即使在优先化技术被实现的情况下,每个事故仍然被单独处置。
随着所连接系统的数量和潜在网络威胁的数量增加,对知识渊博的网络安全专家以准确且有效的方式解析这种潜在威胁的需求也越来越大。然而,由于缺乏解析这些事故的网络安全专家以及迅速发展的云平台和黑客工具,加宽的差距已经在组织的安全需求与可用于解决这些需求的资源之间形成。结果,安全分析人员通常被要求解决与分析人员可以正确处置的相比更大数量的潜在威胁,从而导致潜在的漏洞和对云计算网络的攻击。
组织可能具有连接至其网络的数千个服务器和数千个用户计算机(例如台式计算机和膝上型计算机)。这些服务器可以分别是某种类型的服务器,诸如负载平衡服务器、防火墙服务器、数据库服务器、认证服务器、人员管理服务器、web服务器、文件系统服务器等。另外,用户计算机可以分别是某种类型,诸如管理计算机、技术支持计算机、开发人员计算机、秘书计算机等。每个服务器和用户计算机可能安装了支持计算机功能所需的各种应用。事故管理系统可以连续且自动地监测连接至网络的这些服务器和/或计算机中的任何一个以进行正确的操作,并在检测到一个或多个设备或网络本身上的潜在问题或威胁时生成事故通知。每次事故报告被生成时,安全分析人员都会查看该报告以确定如何解析该报告,诸如通过提高严重性级别,将报告解析为误报等,要求分析人员在每个单独报告上花费时间和资源。
本文描述的实现通过被配置为在计算环境中对事故报告进行聚类的事故系统来解决这些问题。在实现中,系统基于特定事故通知来生成特征集。该特征集可以作为输入被提供给机器学习引擎,该机器学习引擎应用模型以在计算环境中标识相似事故通知。例如,机器学习模型可以被配置为标识安全分析人员或其他用户已经解析的相似通知,或者可以标识尚未被解析的相似通知(例如队列中待定的通知)。该系统可以使得分析人员能够选择响应于相似的已解析事故而采取的动作来解析事故通知,和/或选择与事故通知一起被解析的一个或多个相似的未解析事故通知。
通过这种方式,事故通知的聚类可以使得安全分析人员能够以有效、准确且一致的方式解析一个或多个待定事故通知。特别地,通过使得机器学习引擎能够标识先前与关联于每个事故的信息(例如指示相似性或差异的原因和/或被执行以解析通知的动作)一起被解析的相似事故,分析人员可以轻易地确定是否应用相同的动作来解析事故通知,从而提高了通知被解析的速度和准确性。结果,分析人员的生产率可以被提高,以及提高分析人员负责维护的计算机和/或网络的整体安全性。例如,包括潜在网络威胁的通知可以被快速地检测和解析,这可以降低入侵者恶意获得对任何计算机的访问,获得损害敏感数据,安装恶意软件等的风险。结果,计算机在网络上的操作以及网络本身都可以被保护。
更进一步地,示例实施例可以增强事故管理系统的图形用户界面(GUI)。例如,由安全分析人员使用的应用(诸如web应用)的GUI可以使得分析人员能够容易地确定哪些其他事故通知在本质上类似于当前在界面中被呈现的事故通知。基于由机器学习引擎标识并在GUI中提供的信息,安全分析人员可以与GUI的交互式控件进行交互,以跨多个相似的未解析事故应用相同的动作,而不必单独地打开每个单独的事故通知。此外,在相似事故通知是先前解析的事故通知的情况下,GUI可以自动显示与先前解析的通知相对应的信息,从而使分析人员能够查看这种信息,而无需单独搜索、导航到和打开先前解析的通知以确定相似事故先前如何被处置。结果,事故管理系统的GUI还可以被增强,进一步导致在解析事故通知时提高生产率和一致性。
现在将描述涉及用于对事故进行聚类的技术的示例实施例。例如,图1示出了用于在计算环境中对事故进行聚类的示例系统100的框图。如图1所示,系统100包括计算设备102、服务器106、计算设备112A至112N、和网络110。在示例实施例中,服务器106被配置为检测、记录和/或管理相对于计算设备112A至112N或网络110生成的事故。计算设备102可以包括与安全分析人员相关联的计算设备,以用于通过合适的接口访问、查看和/或解析这种事故。尽管计算设备102和计算设备112A至112N可以是单独的设备,但是在示例实施例中,计算设备102和计算设备112A至112N可以被包括为一个或多个计算设备中的(多个)节点或虚拟机。
计算设备102、计算设备112A至112N、和服务器106经由网络110而被通信地耦合。网络110可以包括一个或多个网络,诸如局域网(LAN)、广域网(WAN)、企业网络、互联网等,并且可以包括有线和/或无线部分中的一个或多个。计算设备102、计算设备112A至112N、和服务器106可以通过相应的网络接口经由网络110彼此通信。在实施例中,计算设备102、计算设备112A至112N、和服务器106可以经由一个或多个应用编程接口(API)进行通信。这些组件中的每个组件现在将被更详细地描述。
计算设备112A至112N可以包括例如网络可访问的服务器基础设施。在实施例中,计算设备112A至112N可以形成网络可访问的服务器集合,诸如云计算服务器网络。例如,计算设备112A至112N中的每个计算设备可以包括服务器(例如计算设备)的组或集合,其是每个服务器经由诸如互联网等网络(例如在“基于云的”实施例中)可访问,以存储、管理和处理数据。计算设备112A至112N中的每个计算设备可以包括任何数量的计算设备,并且可以包括任何类型和数量的其他资源,包括支持与服务器以及服务器之间的通信,由服务器(例如网络交换机、存储设备、网络等)存储等的资源。在实施例中,计算设备112A至112N可以包括客户影响计算设备,诸如在客户的物理位置处的计算设备、由客户可虚拟访问的计算设备、或者以其他方式依赖于客户或由客户使用的计算设备。
计算设备112A至112N中的每个计算设备可以被配置为执行一个或多个服务(包括微服务)、应用和/或支持服务。“支持服务”是被配置为管理服务器集合(例如服务器中的服务器集群)以作为用户的网络可访问(例如基于云的)计算资源操作的云计算服务/应用。支持服务的示例包括
亚马逊Web ServicesTM、谷歌云PlatformTM、
智能云等。支持服务可以被配置为在对应的服务器集合上构建、部署和管理应用和服务。支持服务的每个实例可以在对应的服务器集合上实现和/或管理所关注的且独特的特征或功能的集合,包括虚拟机、操作系统、应用服务、存储服务、数据库服务、消息收发服务等。支持服务可以用任何编程语言来编写。计算设备112A至112N中的每个计算设备可以被配置为执行任何数量的支持服务,包括相同支持服务的多个实例。
在另一实施例中,计算设备112A至112N可以包括用户(例如个人用户、家庭用户、企业用户、政府用户等)的、由管理员管理的计算设备。计算设备112A至112N可以包括任何数量的计算设备,包括数十、数百、数千、数百万甚或更多数量的计算设备。计算设备112A至112N中的每个计算设备可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如
设备、个人数字助理(PDA)、膝上型计算机、笔记本计算机、平板计算机(诸如苹果iPadTM、上网本等)、移动电话、可穿戴计算设备、或者其他类型的移动设备、或者静止计算设备(诸如台式计算机或PC(个人计算机))、游戏控制台、或服务器。
在系统100中,根据示例实施例,服务器106执行事故聚类系统108,以用于管理由服务器106接收的事故。服务器106可以表示能够执行安装在其上的计算机程序的基于处理器的电子设备,并且事故聚类系统108可以包括由服务器106执行的这种计算机程序。在实施例中,服务器106包括台式计算机、服务器或能够执行计算程序的其他非移动计算平台。可以包含服务器106的功能性的示例台式计算机将在下面参照图8被讨论。虽然服务器106被示出为独立的计算设备,但是在实施例中,服务器106可以被包括为一个或多个其他计算设备(未示出)中的(多个)节点,或者被包括为虚拟机。
事故聚类系统108例如可以包括事故管理系统,该事故管理系统被配置为管理(多个)网络110或计算设备112A至112N中的任何计算设备上的事故。事故聚类系统108可以实现安全信息和事件管理(SIEM)服务,该服务组合了安全信息管理(SIM)服务和安全事件管理(SEM)服务。
安全中心是SIEM服务的一个示例,其可以实现本文描述的特征和技术。事故聚类系统108可以被配置为在系统100中提供事故通知的实时监测和管理。在一些示例中,事故聚类系统108可以实现基于云的事故管理服务(例如在一个或多个服务器上执行以监测和/或管理事故通知的服务)。在其他示例中,事故聚类系统108可以被实现在本地计算机上(例如在计算设备102上),以监测与本地计算机相关的潜在网络威胁。
事故聚类系统108可以管理所生成的事故,标识与所生成的事故相似的事故,并使用户能够执行一个或多个动作来解析未解析的事故。在实现中,事故聚类系统108可以包括基于机器学习的模型,以基于与特定事故通知相对应的特征集来标识相似的事故通知。事故聚类系统108还可以被配置为记录操作计算设备102的一个或多个用户(例如安全分析人员)的动作以解析事故。在这种实现中,事故聚类系统108可以被配置为基于特定于一个或多个用户(例如用户分组)的学习行为来对事故进行聚类。
例如,事故可以包括任何类型的事故,包括但不限于由计算设备112A至112N、网络110、或服务器106生成的事故。在实施例中,事故还可以由耦合至网络110的任何计算设备的用户手动生成。在示例中,事故可以包括与网络110上的任何计算设备或网络110本身相关的安全事故,诸如信息技术事故。信息技术事故可以通过监测计算设备或网络110中的任何一个上的活动而被生成。
在实现中,事故可以包括对任何连接的资源或服务的潜在网络威胁、网络破坏或与网络110相关的漏洞的其他潜在利用。例如,事故可以包括与网络110相关联的基础设施即服务(IaaS)相关的警报,基础设施即服务(IaaS)诸如由计算设备112A至112N中的任何一个提供的一个或多个云计算资源。在另一示例中,事故可以基于对一个或多个平台即服务(PaaS)资源(诸如存储资源、密钥保持资源(例如安全密钥储存库等)、网络资源或者经由网络110可访问的任何其他资源(诸如基于云的资源))的潜在威胁来生成。例如,事故通知可以基于对这种资源内的敏感信息的尝试访问、未授权访问或其他潜在的不正确访问(或尝试访问)或者访问用户允许访问范围之外的目录或文件来生成。在一些其他实例中,PaaS资源还可以包括一个或多个基于web的应用,诸如网站构建器应用。在这种示例中,事故可以基于潜在的攻击者向web应用传输重复的请求以尝试防止其他人访问同一应用(例如通过引起服务中断)来生成。在一些其他实现中,事故可以基于对耦合至网络110的一个或多个软件即服务(SaaS)资源的潜在威胁来生成,诸如文字处理应用、电子表格应用、电子邮件应用、面向客户的应用等。这种事故可能包括但不限于不需要的电子邮件(例如垃圾邮件)、病毒、恶意软件、拒绝服务(DoS)攻击等。
在其他示例实施例中,事故通知可以包括破坏耦合至网络110的资源的其他尝试,诸如蛮力攻击以获得对所防卫或所保护资源的访问。在其他示例中,事故通知可以包括尝试执行恶意命令或代码,在资源上创建漏洞(例如通过打开端口或其他访问机制)或者由警报提供方(诸如防火墙服务、防病毒服务等)检测到的任何其他异常或恶意活动。然而,这些仅是示例,并不旨在进行限制,并且(多个)相关领域的技术人员将了解,事故可以包括在计算设备、系统或网络上发生或与之相关的任何事件。在实现中,每个生成的事故通知可以由服务器106的事故聚类系统108检测或被传输给服务器106的事故聚类系统108。
计算设备102可以表示能够执行安装在其上的计算机程序的基于处理器的电子设备。在一个实施例中,计算设备102包括移动设备,诸如移动电话(例如智能电话)、膝上型计算机、平板计算机、上网本、可穿戴计算机、或能够执行计算程序的任何其他移动设备。计算设备102包括事故解析器用户界面(UI)104。在示例实施例中,事故解析器UI 104可以向用户提供查看、选择和/或解析由事故聚类系统108接收到的事故通知的能力。在一些实现中,用户可以通过事故解析器UI 104选择特定的事故通知。事故解析器UI 104还可以使得用户能够查看与用户选择的特定事故通知相似的一个或多个事故通知。例如,基于用户通过事故解析器UI 104选择的事故通知,事故聚类系统108可以标识一个或多个相似的已解析事故通知和/或一个或多个相似的未解析事故通知。在一些示例中,事故解析器UI 104可以被配置为针对每个相似的已解析和/或未解析事故通知呈现附加信息,诸如指示相似性或差异的原因、为解析先前解析的相似事故通知中的每个事故通知而采取的动作的标识、和/或可以增强用户解析特定事故通知的效率的任何其他信息。在一些其他实现中,事故解析器UI 104可以使得用户能够选择一个或多个相似的未解析事故通知来与特定事故通知一起解析。
在一些示例实施例中,计算设备102可以被配置为经由网站、基于web的应用或本地安装的应用访问一个或多个远程服务或服务器,诸如服务器106。例如,事故解析器UI104可以包括与事故聚类系统108通信的基于web的应用,其使安全分析人员能够查看事故通知和相似的事故通知,以及利用一个或多个适当动作来解析这种通知。在一些示例中,事故解析器UI 104可以通过适当的API与事故聚类系统108通信。
因此,在示例实施例中,事故聚类系统108可以被配置为以各种方式在计算环境中对事故通知进行聚类。例如,图2示出了根据示例实施例的用于在计算环境中对事故通知进行聚类的方法的流程图200。在实现中,流程图200的步骤可以由事故解析器UI 104和/或事故聚类系统108来实现。图2是参照图1和图3来描述的。图3示出了事故聚类系统108的框图。事故聚类系统108包括事件记录器302、特征器304、机器学习引擎308、用户界面(UI)引擎312和动作解析器314。如图3所示,特征器304可以包括特征集306。机器学习引擎308可以被配置为生成、训练和/或应用模型310以标识一个或多个相似的事故通知。基于关于流程图200、图1的系统100、和图3的事故聚类系统108的以下讨论,其他结构和操作实施例对于(多个)相关领域的技术人员将是明显的。
流程图200开始于步骤202。在步骤202中,事故通知被接收。例如,参照图3描述的事件记录器302可以接收事故通知316。事故通知316可以包括与在耦合至本文描述的网络110的任何资源或服务上与潜在威胁或安全事故相关的任何类型的通知或报告。事故通知316可以包括与所生成的警报相关联的信息,诸如时间戳、位置、订阅、存储、应用或与警报相关联的资源的任何其他标识符。事件记录器302还可以被配置为接收与事故通知316相关的环境数据或上下文数据318,诸如与关联于事故通知316的过程创建、遥测或网络相关的信息,如在下面将更详细地被描述的。在一些实现中,每个事故通知316可以被分配有队列中的点,诸如序列号或其他标识符,使得事故聚类系统108可以基于通知被生成的顺序唯一地标识和/或排序多个事故通知。
事件记录器302可以以各种方式接收事故通知316。例如,事件记录器302可以在通知被生成时实时地或接近实时地接收事故通知,可以分批接收事故通知,或者可以以预定的时间间隔接收事故通知。在实现中,事件记录器302可以执行一个或多个监测应用(例如web应用、本地安装的应用等),或利用合适的API来监测和/或收集与网络110相关的事故通知。事件记录器302可以被启用以从各种警报提供方收集事故报告。警报提供方可以包括能够检测潜在威胁并生成与本文讨论的资源、应用、服务等中的任何一个相关的事故通知的任何服务、应用或计算设备。例如,事件记录器302可以被配置为与各种警报提供方进行交互以收集事故通知,诸如防火墙服务、防病毒服务、反恶意软件服务、云安全应用、或其他警报提供方,以接收与潜在威胁相对应的事故通知。
在一些实现中,事件记录器302可以由管理员或安全分析人员配置为标识和/或订阅以接收来自一个或多个警报提供方的事故通知。例如,事件记录器302可以被配置为仅针对由管理员标识的某些资源上发生的一些类型的网络威胁或威胁收集事故通知。事件记录器302可以将每个接收到的事故通知316存储在存储装置或存储器设备中。在一些示例实施例中,这种存储器或存储装置可以是服务器106的一部分或位于其本地。在其他示例中,存储器或存储装置可以位于远程。在示例中,事件记录器302可以以统一格式或结构存储事故通知。例如,即使事件记录器302被配置为从多个不同的警报提供方接收通知,事故通知316也可以进行初始处理以归一化其中包含的信息,以生成其他事故通知所共有的格式或结构的信息集合。通过这种方式,事件记录器302可以收集和存储信息,而不管生成通知的警报提供方的标识如何。
在步骤204中,特征集是基于事故通知来生成的。例如,参照图3,特征器304可以从事件记录器302接收320事故通知316,并基于此生成特征集306。在一些实现中,特征集可以基于安全分析人员在确定如何响应事故通知时可以分析的任何问题、主题、领域等,包括事故通知是否为有效通知、与通知相关联的严重性级别、以及执行以解析通知的动作。例如,特征器304可以为每个接收到的事故通知生成一个或多个特征,该接收到的事故通知与位置(诸如组织内的虚拟和/或物理位置)、用户标识符、订阅、时间戳、与事故通知316相关联的资源标识符(例如存储装置、应用、平台等)、资源的互联网协议(IP)地址、潜在攻击者的IP地址等相关。
附加地,特征集可以包括基于聚合或预处理的数据的一个或多个特征,诸如在特定时间段(例如最后一小时、一天、一周等)在同一资源上发生的警报的数量或频率。在一些其他实例中,所生成的特征还可以包括指示或标志,该指示或标志标识事故通知是否是在资源上发生的第一警报。例如,特征器304可以实现一种或多种数据挖掘技术以预处理与一个或多个特征相关联的原始数据,以生成特定事故通知的特征集。在一个示例中,特征器304可以基于与一个或多个特征相关联的统计来生成事故通知316的特征集。统计分析可以包括但不限于数据聚合、乘法、编译、确定标准偏差、特定时间段内的警报量、特定时间段内的平均警报数量等。换言之,特征器304可以被配置为从原始或未处理的通知数据中提取特征通知316的一个或多个有意义的特征。在一些其他实现中,特征器304可以在特征集306的生成期间执行噪声清除和/或归一化操作。
在一些示例实施例中,特征器304可以使用环境数据318来生成特征集306。因此,特征集306可以包括与事故通知316相关的一个或多个环境或上下文特征。在一些示例中,环境数据318可以包括对应于事故通知316在其中被生成的环境的一个或多个数据馈送。在示例中,环境或上下文特征可以通过与事故通知316分离的信息或数据馈送来生成。例如,环境数据318可以包括与关联于事故通知316的过程创建、遥测、网络、硬件配置或地理定位相关的数据馈送。基于过程创建的特征可以标识当前在事故通知316被生成的计算环境中执行的一个或多个过程。作为说明性示例,基于过程创建的特征可以指示事故通知316被生成的资源的操作系统、软件类型、版本等。在一些其他示例中,过程创建数据馈送可以标识在环境中执行的多个其他过程(例如正在执行的其他软件或应用)。在一些其他实现中,基于遥测的特征可以被包括在特征集306内,诸如与一个或多个警报相关联的时间(例如通知是否是在与另一通知相同时间或差不多相同的时间被生成的)、与计算设备相关联的订阅信息等。基于网络信息的特征可以指示相同的IP地址是否已经在相同时间或差不多相同的时间生成了多个事故通知,往返耦合至网络110的资源的故障通信的数目增加或异常的发生,多个资源是否正在访问恶意网站或资源或者可能表明与多个资源相关联的事故通知相似的其他可能有害的网站或资源。
特征还可以基于事故通知318被生成的计算环境的硬件配置而被生成。例如,基于硬件配置的特征可以标识以下任何一项或多项:与事故通知316相关联的计算设备的类型、品牌、制造和/或模型、处理器、计算机组件或外围设备(内部或外部的)等。在其他示例中,基于与事故通知316相关联的地理定位的特征可以指示例如与事故通知316相关联的计算设备的地理位置(例如物理位置)。例如,地理位置可以指示事故通知316被生成的计算环境的城市、县、舞台、国家和/或地理坐标。在一些实现中,地理定位可以基于与事故通知316相关联的计算设备的IP地址、计算设备的全球定位传感器(GPS)或者使用相关领域的技术人员所了解的任何其他技术来确定。因此,在示例中,特征集306不仅可以通过事故通知316来生成,而且还通过与事故通知316分离接收的信息(例如环境数据318)来生成。
在实现中,特征的类型可以基于自动确定和/或用户输入(例如来自安全分析人员的输入)。特征的类型可以基于与最重要和/或与机器学习引擎308最相关的特征的类型、格式和内容相关的一个或多个数据见解来选择,以标识相似的事故通知。要注意的是,本文描述的特征仅是说明性的,并且特征器304可以基于事故通知316内包括的和/或来自事故通知316外的数据馈送/源的任何信息来生成特征集。
在步骤206中,基于机器学习的模型被应用以基于特征集来标识相似的事故通知。例如,参照图3,机器学习引擎308可以基于特征集306应用模型310来标识一个或多个相似的事故通知(例如类似于事故通知316的通知)。机器学习引擎308可以以各种方式来应用模型310来标识相似的事故通知。在示例中,模型310可以被配置为实现一个或多个算法,以基于特征集306和训练数据来生成多个事故通知之间的相似性的分数或其他度量。在一个示例中,模型310可以实现分数模型、距离模型、和/或其他相似性度量,以确定两个事故通知相似的可能性。模型310可以实现本文讨论的一种或多种这种算法,以标识哪些特征或特征集在确定多个事故通知是否彼此相似时很重要。
在一些示例中,根据示例实施例,模型310可以实现决策树和/或深度学习模型。模型310不限于这些说明性的机器学习模型,而是还可以实现相关领域的技术人员所了解的任何其他已知的或将来开发的机器学习模型,以标识相似的事故通知。这种模型包括但不限于基于实例的算法、回归分析(例如线性回归、逻辑回归)、正则化算法、基于分类器的算法(例如朴素贝叶斯算法、K最近邻(KNN)算法等)、支持向量机(SVM)算法、聚类算法(例如k均值算法)、随机森林算法、降维算法、梯度提升算法等。在一些示例实施例中,模型310可以实现多个基于机器学习的算法,并且不限于仅一个实现。
在示例实施例中,机器学习引擎308被配置为通过分析与事故通知316相关联的特征集306来应用模型310以标识一个或多个相似的事故通知。例如,基于特征集306(其可以包括从事故通知316提取的特征和/或从环境数据318提取的环境特征),机器学习引擎308可以标识被确定为与事故通知316相似的其他事故通知。如上面所讨论的,在一些实现中,机器学习引擎308可以被配置为确定事故通知316与一个或多个其他事故通知之间的距离或相似性度量。取决于特定的特征集和事故通知316,在说明性示例中,机器学习引擎308可以标识在与事故通知316相同的或差不多相同的时间生成的相似事故通知。在其他示例中,机器学习引擎308可以标识在与事故通知316相同的资源上发生的相似事故通知。这些示例并非旨在进行限制,因为机器学习引擎308可以基于特征集306以任何其他方式标识相似事故。如下面将更详细地被讨论的,由机器学习引擎308标识的相似事故通知可以包括相似的已解析事故通知(例如安全分析人员先前已经通过执行校正动作,标记为误报等进行解析的事故通知),和/或可以包括相似的未解析事故通知(例如在事故聚类系统108中的队列中待定的事故通知)。
在一个非限制性说明性示例中,机器学习引擎308可以基于一个或多个特征(例如用户标识符、IP地址、资源标识符等)确定特定事故通知出于多个原因类似于另一事故通知,诸如尽管发生在不同的资源上,但事故通知的类型相同。在另一说明性示例中,在可能被攻击的资源是同一资源的情况下,事故通知可能相似。在又一说明性示例中,在潜在攻击者的IP地址与其他事故通知相同的情况下,事故通知可以被视为相似。
如上面所讨论的,特征集306还可以包括基于环境的一个或多个特征,事故通知316在该环境中被生成。因此,机器学习引擎308可以基于这种环境特征来标识一个或多个相似的事故通知,这些环境特征包括但不限于与关于事故通知316的过程创建、遥测和/或网络相关的特征。作为利用过程创建特征的说明性示例,机器学习引擎308可以确定两个事故通知在两个环境都执行(多个)相同过程的情况下是相似的,即使事故通知是针对不同的资源生成的。在另一说明性示例中,即使通知是在时间上相对接近地生成的,机器学习引擎308也可以将两个事故通知标识为不相似,其中与每个计算环境相关联的操作系统是不同的。因此,机器学习引擎308不仅可以基于从事故通知316提取的特征来标识相似的事故,而且还可以基于与事故通知316分开提取的环境或上下文特征来标识相似的事故。通过这种方式,机器学习引擎308可以以更准确的方式标识相似的事故通知并增强安全分析人员解析事故通知时的效率。
在实现中,模型310可以以各种方式训练。在一些示例实施例中,模型310可以使用监督学习和/或非监督学习技术来训练。例如,模型310可以基于由用户(例如安全分析人员)输入的训练数据(诸如可以指示两个事故通知相似的一个或多个特征的手动标识)来训练。在一些其他实例中,用户输入可以指示一个或多个特征,该特征指示两个事故通知不相似。在其他示例实施例中,模型310可以基于标识特征集和关联标签(诸如相似性度量、距离分数等)的用户输入来训练。
在一些其他实例中,模型310可以基于用户(或多个用户)的事故通知的先前解析来训练328。例如,模型310可以确定用户通常以相似的方式对待或解析与某个特征集相关联的事故通知。基于这种信息,模型310可以被训练以标识包括与相似事故通知相似的特征集的事故通知。模型310的训练不限于以上说明性示例,并且可以涵盖相关领域的技术人员已知和了解的任何其他训练方式。
在实现中,模型310还可以基于事故聚类系统108的用户的动作来连续且自动地训练。例如,当事故聚类系统108的用户响应事故通知时(例如通过标记为误报,提高严重性级别,采取另一动作来解析该通知等),模型310可以标识其他事故通知,诸如包括与用户正在响应的事故通知相似的相似特征的事故通知。在一些其他示例中,在用户已经经由事故解析器UI 104选择了一个或多个相似事故通知以与事故通知316相同的方式来解析的情况下,模型310可以基于用户对相似通知的选择来训练和加强。在用户未选择要由模型310标识的相似事故通知以与事故通知316相同的方式来解析的其他场景中,模型310可以被重新训练。通过这种方式,随着已解析的事故通知的数量增加,模型310还可以被完善,从而提高模型310在标识相似(或不同)事故通知时的准确性。
要注意的是,在一些实施例中,模型310可以以特定于个人的方式被训练,或者可以基于多个用户被训练。例如,模型310可以基于特定个人解析事故通知的方式来训练,或者可以基于一组用户(例如IT人员或安全分析人员团队)或用户的整个组织的行为来训练。通过这种方式,模型310可以被个性化和/或可以利用跨更大的用户群组学习的行为。
在步骤208中,解析以下至少一项的动作被接收:事故通知和相似事故通知。例如,继续参照图3,机器学习引擎308可以向UI引擎312提供324相似事故通知的标识。UI引擎312被配置为生成用户(诸如安全分析人员)可以经由事故解析器UI 104与之交互的用户界面(例如基于web的界面或任何其他应用接口)。说明性用户界面的非限制性示例在下面参照图7更详细地被描述。
在实现中,UI引擎312可以生成接口,当访问事故聚类系统108以进行事故解析时,用户可以通过该接口查看各种类型的信息。在一些示例实现中,用户可以与事故解析器UI104交互以输入登录凭证,以在响应事故之前获得对事故聚类系统108的访问。在获得访问后,UI引擎312可以使事故解析器UI 104能够基于用户选择来标识用于解析的特定事故通知(例如事故通知316)。在用户选择后,事故解析器UI 104可以显示与事故通知316相关的对应信息,诸如用户标识符、资源名称、事故通知的类型、位置、时间戳等,或者可以辅助用户确定如何解析事故通知316的任何其他信息。
在示例中,事故解析器UI 104使用户能够输入一个或多个动作来解析或以其他方式响应事故通知。例如,事故解析器UI 104可以使用户能够将事故通知316标记为合法威胁、误报、升级以便进一步审查等。在其他示例中,事故解析器UI 104可以使用户能够标识、提高或降低与事故通知316相关联的严重性级别。在其他示例中,事故解析器UI 104可以使用户能够采取一个或多个校正动作来解析、改正和/或补救潜在的网络威胁,诸如通过阻止对所保护资源的访问,禁用资源,阻止IP地址或通信信道等。这种动作仅是说明性的,并且事故解析器UI 104可以为用户提供任何数量和类型的动作,以查看和/或选择对事故通知316的响应,如将由本领域技术人员了解的。
事故解析器UI 104可以被配置为还显示由机器学习引擎308输出的相似事故通知的标识。在一些实例中,事故解析器UI 104可以显示相似的已解析事故通知和/或相似的未解析事故通知。在一些示例中,与相似的已解析事故通知相关联的附加信息(例如为解析相似的事故通知而采取的动作、相似性或差异的原因等)可以与事故通知316一起被显示在事故解析器UI 104中。在一些其他实例中,与相似的未解析事故通知相关联的附加信息(例如相似性或差异的原因)以及选择相似的未解析事故通知以用于与事故通知316一起解析的一个或多个可选择的用户界面元素。
在步骤210中,经由用户界面接收的动作被执行。例如,参照图3,动作解析器314可以接收326由UI引擎312经由事故解析器UI 204接收的一个或多个用户动作以响应事故通知。如本文所讨论的,动作解析器314可以执行动作以解析事故通知316和/或由机器学习引擎308标识的一个或多个相似的未解析事故通知。在示例实施例中,动作解析器314可以包括在服务器306中实现的合适的执行引擎和/或耦合至网络110的任何其他计算设备或服务,以解析经由事故解析器UI 104选择的所选事故通知。在多个事故通知(例如事故通知316和一个或多个相似的未解析事故通知)由用户选择以用于解析的一些实现中,动作解析器314可以按顺序(例如按照基于时间戳、优先级、资源层次等的预定顺序)针对每个所选的事故通知执行一个或多个动作,或者可以并行执行每个动作以解析多个事故通知。
如上所述,在示例实施例中,机器学习引擎308可以基于相似性度量来标识相似事故通知。例如,图4示出了根据示例实施例的用于基于相似性度量来标识相似事故通知的流程图400。在实施例中,流程图400可以由事故聚类系统108实现,如图1和图3所示。基于关于流程图400的以下讨论,其他结构和操作实施例对于(多个)相关领域的技术人员将是明显的。
流程图400开始于步骤402。在步骤402中,相似事故通知是基于事故通知的特征集和与相似事故通知相对应的特征集之间的相似性度量来标识的。例如,参照图3,机器学习引擎308可以基于相似性度量应用模型310以标识相似的事故通知。模型310可以被配置为应用合适的算法,其示例在上面被讨论,以确定与事故通知316相关联的特征集306和与相似事故通知相对应的特征集之间的相似性度量。例如,相似性度量可以包括置信度度量,诸如指示两个事故通知相似的置信度级别的值。在一些示例实施例中,相似性度量可以包括两个事故通知之间的得分或距离,诸如指示两个事故通知相似(或不相似)程度的值。例如,在事故通知可能相似的情况下,相似性度量可能较高,而在事故通知可能不同的情况下,相似性度量可能较低。在一些其他示例中,相似性度量可以包括非数字值,诸如字母等级或其他排名,以区分相似事故通知和非相似事故通知。在实现中,相似性度量可以针对由模型310标识的相似的已解析事故通知和相似的未解析事故来确定。
在一些实例中,模型31可以被配置为标识超过阈值相似性度量的相似事故通知。例如,模型310可以仅输出包括超过预定值的分数或距离(或其他度量)的相似事故通知。通过这种方式,用户可以被呈现包括相对较高的相似性度量的相似事故通知,这可以减小用户因不太可能与事故通知316相关的事故通知而分心的可能性。
在步骤404中,相似性度量被提供以在用户界面中呈现。例如,参照图3,UI引擎312可以提供与每个所标识的相似事故通知相对应的相似性度量以在事故解析器UI 104中呈现。例如,事故解析器UI 104可以被配置为经由计算设备102显示由模型310标识的与事故通知316相似的每个相似事故通知、以及与每个相似事故通知相关联的置信度度量。事故解析器UI 104也可以被配置为基于置信度的度量(例如从最高到最低)以排名的方式显示相似事故通知,使得具有较高置信度级别的相似事故通知被首先显示。
在一些实现中,事故解析器UI 104可以被配置为标识要被显示的多个相似事故通知。例如,计算设备102的用户可以在事故解析器UI104中配置阈值相似性度量,使得仅超过阈值的相似事故通知被呈现。在一些其他示例实施例中,事故解析器UI 104可以包括一个或多个交互式用户控件,该控件使得附加的相似事故通知能够从机器学习引擎308被获得并且被提供给事故解析器UI 104。在其他实现中,事故解析器UI 104可以被配置为显示固定数量的相似事故通知(例如事故通知316之间具有最高相似性度量的五个最相似的事故通知)
通过这种方式,计算设备102的用户可以以各种方式来配置事故解析器UI 104以显示适当类型和/或数量的相似事故通知,这可以增强用户更多地确定是否应用先前采取的相同动作(在发生相似的已解析通知的情况下)或应用通用动作来解析事故通知316和一个或多个相似的未解析的通知的能力。结果,相似事故通知的这种聚类和显示可以使用户能够以减少的努力来准确地、有效地且一致地解析事故通知。
如上所述,在示例实施例中,事故聚类系统108可以被配置为标识类似于事故通知316的一个或多个未解析事故通知。例如,图5示出了根据示例实施例的用于标识相似的未解析事故通知的流程图500。在实现中,流程图500可以由事故聚类系统108实现,如图1和图3所示。基于关于流程图500的以下讨论,其他结构和操作实施例对于(多个)相关领域的技术人员将是明显的。
流程图500开始于步骤502。在步骤502中,特征集被提供给基于机器学习的模型,该模型输出相似的未解析事故通知。例如,参照图3,与事故通知316相对应的特征集306可以被提供给模型310以标识相似的事故通知。如早前所描述的,机器学习引擎308可以应用模型310来标识尚未被解析的一个或多个相似事故通知。例如,未解析的事故通知可以包括等待解析和/或校正动作的事故通知。在一些实例中,未解析的事故通知可以被包括在其他未解析的事故通知中的队列中。在一些其他实例中,机器学习引擎308可以被配置为应用模型310以将事故通知316与待定通知队列中的每个未解析的事故通知进行比较(例如确定本文描述的相似性度量),以标识相似的未解析通知。
在步骤504中,与事故通知相对应的信息被提供以在用户界面中呈现。例如,继续参照图3,UI引擎312可以被配置为提供与事故通知316相关联的信息以在事故解析器UI104中呈现。与事故通知316相关联的信息可以包括从事故通知或从环境数据318中提取或获得的任何信息、数据、元数据等。例如,与事故通知316相关联的信息可以包括但不限于位置(诸如组织内的虚拟和/或物理位置)、用户标识符、订阅、时间戳、与事故通知316相关联的资源标识符(例如存储装置、应用、平台等)、资源或资源的潜在攻击者等的IP地址、潜在攻击者的IP地址或本文描述的环境数据。在其他实现中,与事故通知316相关联的信息可以包括安全分析人员在确定如何响应事故通知时可以依赖的任何其他类型的信息或数据,包括确定威胁是否合法、在威胁有效的情况下关联的严重性级别和/或解析事故通知的补救动作。
在步骤506中,由用户选择的解析事故通知的动作被接收。在示例实施例中,图5的步骤506可以以与上面参照图2的步骤208所描述的基本相似的方式被执行。
在步骤508中,相似的未解析事故通知的标识被提供以在用户界面中呈现。例如,参照图3,UI引擎312可以提供由机器学习引擎308标识的相似的未解析事故通知的标识以在事故解析器UI 104中呈现。在一些实现中,机器学习引擎308可以标识多个相似的未解析事故通知,并且UI引擎312可以提供每个这种事故通知的标识以在事故解析器UI 104中呈现(或其子集,例如基于本文描述的相似性度量)。
在一些示例中,与每个相似的未解析事故通知相关联的信息还可以被提供以在事故解析器UI 104中呈现。例如,与每个相似的未解析事故通知相关联的信息可以类似于相对于事故通知316提供的信息,如上面在步骤504中所描述的。
在步骤510中,将与事故通知一起被解析的相似的未解析事故通知的选择被接收。例如,参照图3,UI引擎312可以经由事故解析器UI 104提供交互式控制元素,诸如复选框、选择图标等,其使得在事故解析器UI 104中呈现的特定的相似的未解析事故通知能够与事故通知316一起被解析。例如,在用户确定在事故解析器UI 104中呈现的一个或多个相似的未解析事故通知应该以与事故通知316相同的方式被解析或对待的情况下,用户可以与适当的界面元素进行交互以标识相似的未解析事故通知。
在步骤512中,解析事故通知和相似的未解析事故通知的动作被执行。在实现中,图5的步骤512可以以与上面在图2的步骤210中描述的基本相似的方式被执行。例如,在标识一个或多个动作(例如标识威胁是否合法,标识严重性级别和/或标识校正动作)以补救事故通知316和相似的未解析事故通知时,动作解析器314可以执行动作(或多个动作)以共同解析这种事故通知。通过这种方式,用户不需要单独地参与要以相同方式被解析的每个事故通知的分析,而是可以为事故通知316选择适当的一个或多个动作,并且在选择这种相似通知后将相同的动作应用于相似的未解析事故通知。因此,通过使得多个事故通知能够以减少的步骤数量来解析,事故聚类系统可以提高用户可以解析事故通知的速度,同时还提高其解析的准确性和一致性。
如上所述,在示例实施例中,事故聚类系统108可以被配置为标识类似于事故通知316的一个或多个已解析事故通知。例如,图6示出了根据示例实施例的用于标识相似的已解析事故通知的流程图500。在实现中,流程图600可以由事故聚类系统108实现,如图1和图3所示。基于关于流程图600的以下讨论,其他结构和操作实施例对于(多个)相关领域的技术人员将是明显的。
流程图600开始于步骤602。在步骤602中,特征集被提供给基于机器学习的模型,该模型输出相似的已解析事故通知。例如,参照图3,与事故通知316相对应的特征集306可以被提供给模型310以标识相似的已解析事故通知。相似的已解析通知可以包括类似于事故解析器UI 104的用户先前解析的事故通知316的通知(例如,如由机器学习引擎308所确定的)。先前解析的事故通知可以包括以本文描述的任何方式被解析的通知,包括但不限于相对于该通知采取一个或多个动作,诸如将通知标识为合法的或误报,标识通知的关联严重性级别和/或标识补救通知的一个或多个动作。
在步骤604中,与事故通知相对应的信息被提供以在用户界面中呈现。在示例实施例中,图6的步骤604可以以与参照图5讨论的步骤504基本相似的方式被执行。
在步骤606中,相似的未解析事故通知的标识被提供以在用户界面中呈现。例如,类似于图5的步骤508,UI引擎312可以提供由机器学习引擎308标识的相似的已解析事故通知的标识以在事故解析器UI 104中呈现。机器学习引擎308可以标识多个相似的已解析事故通知,并且UI引擎312可以提供每个这种事故通知的标识以在事故解析器UI 104中呈现(或其子集,例如基于本文描述的相似性度量)。在示例实现中,与每个相似的已解析事故通知相关联的信息还可以被提供以在事故解析器UI 104中呈现(例如类似于相对于事故通知316提供的信息)。
在步骤608中,指示事故通知和相似的已解析事故通知之间的相似性或差异的原因被提供以在用户界面中呈现。例如,参照图3,UI引擎312可以提供指示事故通知316和相似的已解析事故通知之间的相似性和/或差异的原因以在事故解析器UI 104中呈现。在一些示例中,一个或多个相似性可以被显示。在一些其他示例中,一个或多个差异可以被显示。在其他示例中,相似性和差异可以被显示。指示相似性或差异的原因可以基于任何数量的属性,诸如从与每个事故通知相对应的特征集306提取或获得的信息、从每个事故通知获得的信息和/或与每个事故通知被生成的环境相关联的信息。例如,机器学习引擎308可以将特定通知标识为相似的已解析通知,即使在发生在不同资源上的相似的已解析通知由不同的IP地址生成,以不同的用户为目标等的情况下。机器学习引擎308可以被配置为将每个相似性或差异输出给UI引擎312以在事故解析器UI 104中呈现。
要注意,UI引擎312不限于提供指示事故通知316与相似的已解析事故通知之间的相似性和/或差异的原因。在其他示例中,诸如参照流程图500所描述的方法,UI引擎312可以提供指示事故通知316与相似的未解析事故通知之间的相似性或差异的原因。因此,在任一实现中,事故解析器UI 104的用户可以基于这种指示来确定由机器学习引擎308标识的一个或多个事故通知是否足够类似于事故通知316以保证以通用方式解析。
在步骤610中,被执行以解析相似的已解析事故通知的对应动作被提供以在用户界面中呈现。例如,参考图3,机器学习引擎308可以被配置为标识先前由用户采取以解析每个相似的已解析事故通知的对应动作。基于先前采取的动作的这种标识,UI引擎312可以提供每个这种动作以在事故解析器UI 104中呈现。通过这种方式,事故解析器UI 104可以显示一个或多个相似的已解析事故通知的标识以及指示相似性或差异的原因和被执行以解析每个通知的动作。基于在事故解析器UI 104中呈现的这种信息,用户可以快速确定是否将先前为解析相似事故通知而采取的相同动作应用于事故通知316。
在步骤612中,由用户选择的解析事故通知的动作被接收。在示例中,图6的步骤612可以以与上面参照图2的步骤208所描述的基本相似的方式被执行。例如,基于在事故解析器UI 104中呈现的信息(例如一个或多个相似的已解析事故通知的标识、指示相似性或差异的原因和/或被执行以解析每个通知的对应动作),用户可以快速确定是否将先前采取以解析相似事故通知的相同动作应用于事故通知316。结果,事故聚类系统108可以实现解析事故通知的更有效且一致的方式。
在步骤614中,解析事故通知的动作被执行。在示例实施例中,图6的步骤614可以以与上面参照图2的步骤208所描述的基本相似的方式被执行。
在一些示例实施例中,流程图200、500和/或600的一个或多个操作可以不被执行。而且,作为流程图200、500和/或600的操作的补充或替代的操作可以被执行。进一步地,在一些示例实施例中,流程图200、500和/或600的一个或多个操作可以不按顺序、以替代序列或者部分地(或完全地)彼此或与其他操作并发地被执行。
如所描述的,事故解析器UI 104可以在计算设备102的合适界面中呈现与事故通知316和一个或多个相似事故通知相关联的信息。例如,图7描绘了包括事故解析器UI 104的计算设备102的说明性且非限制性的用户界面。在实现中,事故解析器UI 104可以呈现与事故通知316、相似的已解析事故通知706和/或相似的未解析事故通知714相关联的信息和/或交互式用户界面元素。
例如,事故通知316可以包括关联信息702和交互式控件704,以标识解析事故通知316的动作。关联信息702可以包括与本文描述的事故通知316相关的任何信息,包括但不限于从事故通知提取的信息和/或与事故通知相关联的环境数据318。
相似的已解析事故通知706可以包括如上所述的由机器学习引擎308标识的相似事故通知。在实现中,相似的已解析事故通知706可以包括与关联信息702类似的关联信息708。相似的已解析事故通知706也可以指示先前被执行以解析该通知的先前解析动作710。在示例中,先前解析动作可以包括如上所述的一个或多个动作,例如以将通知标识为真实威胁或误报,标识严重性级别和/或执行校正动作以补救该通知。在一些实现中,如上所述,相似的已解析事故通知706可以可选地呈现相似性或差异原因712,其标识事故通知316和相似的已解析事故通知706之间的相似性或差异。例如,一个或多个显著差异(例如不同的受影响资源、不同的环境属性等)可以在事故解析器UI 104中被标识。
相似的未解析事故通知可以包括机器学习引擎308已标识为类似于事故通知316的事故通知待定解析(例如在其他未解析通知中的队列中)。在示例实施例中,相似的未解析事故通知714可以类似地在事故解析器UI 104中呈现关联信息718。如上所述,交互式控件716可以在事故解析器UI 104中被提供,以选择相似的未解析事故通知以与事故通知316一起解析。例如,如果用户确定该事故通知316应该通过使通知为误报来解析,则用户可以基于相似的未解析事故通知714和关联信息718来确定相似的未解析通知也应该被标记为误报。在这种示例中,用户可以与交互式控件716交互以选择要与事故通知316一起被执行的相似的未解析通知714。
事故解析器UI 104还可以提供交互式控件720,以基于用户选择来发起一个或多个动作的执行以解析事故通知316和/或一个或多个相似的未解析事故通知。在与交互式控件720交互后,动作解析器314可以针对每个事故通知执行所标识的动作的执行,从而使得多个通知能够以有效的方式被解析。
要注意,图7中所描绘的用户界面仅是说明性的,并且实现并不旨在限于图7的内容和布局。根据本文描述的实现,事故解析器UI 104可以包括用于与事故通知316、相似的已解析事故通知706和/或相似的未解析事故通知714进行交互的用户控件的任何组合。例如,事故解析器UI 104可以被配置为在用户选择事故通知316后显示相似的已解析事故通知706和/或相似的未解析事故通知714。在一些其他示例中,事故解析器UI 104可以呈现任何数量的相似的已解析事故通知和/或相似的未解析事故通知(例如基于对应的相似性度量被排名)。
此外,事故解析器UI 104可以被配置为以任何适当的格式和/或布置呈现与事故通知316、相似的已解析事故通知706和/或相似的未解析事故通知714相关联的信息和/或控件。此外,事故解析器UI 104可以被配置为呈现与任何相似事故通知相关联的其他类型的信息,诸如事故通知316、相似的已解析事故通知706和/或相似的未解析事故通知714之间的相似性度量。
因此,在示例实施例中,事故解析器UI 104可以提供使用户能够轻易地标识类似于所选的事故通知的其他事故通知的界面。基于在事故解析器UI 104中标识的信息,用户可以选择适当的动作来解析事故通知316和/或更多相似的未解析事故通知714,而无需单独打开和/或分析每个单独的通知。另外,事故解析器UI 104可以包括被动界面,用户可以在该被动界面中适当地选择要被解析的每个解析动作和/或事故通知,从而确保用户维持对事故通知被解析的方式的控制。作为以被动模式实现事故解析器UI 104的结果,针对任何给定事故通知的意外解析动作的风险可以被降低。
III.示例计算机系统实现
计算设备102、服务器106、计算设备112A至112N、事故聚类系统108的组件中的一个或多个,以及流程图200、400、500、600和700的一个或多个步骤可以在硬件或者与软件和/或固件组合的硬件中被实现。例如,计算设备102、服务器106、计算设备112A至112N、事故聚类系统108的一个或多个组件,以及流程图200、400、500、600和700的一个或多个步骤可以被实现为计算机程序代码/指令,其被配置为在一个或多个处理器中被执行并被存储在计算机可读存储介质中。
在另一实现中,计算设备102、服务器106、计算设备112A至112N、事故聚类系统108的组件中的一个或多个,以及流程图200、400、500、600和700的一个或多个步骤也可以在操作软件即服务(SaaS)或平台即服务(PaaS)的硬件中被实现。备选地,计算设备102、服务器106、计算设备112A至112N、事故聚类系统108的组件中的一个或多个,以及流程图200、400、500、600和700的一个或多个步骤可以被实现为硬件逻辑/电气电路系统。
例如,在实现中,计算设备102、服务器106、计算设备112A至112N、事故聚类系统108的组件中的一个或多个,以及流程图200、400、500、600和700的一个或多个步骤可以一起被实现在片上系统(SoC)中。SoC可以包括集成电路芯片,该集成电路芯片包括以下一个或多个:处理器(例如中央处理单元(CPU)、微控制器、微处理器、数字信号处理器(DSP)等)、存储器、一个或多个通信接口和/或其他电路,并且可以可选地执行接收到的程序代码和/或包括嵌入式固件以执行功能。
图8描绘了示例实施例可以被实现的计算设备800的实现。例如,计算设备102、服务器106、计算设备112A至112N和事故聚类系统108可以分别被实现在类似于静止或移动计算机实现中的计算设备800的一个或多个计算设备,包括计算设备800的一个或多个特征和/或替代特征。本文提供的计算设备800的描述是出于说明的目的而被提供的,并且不旨在是限制性的。如(多个)相关领域的技术人员已知的,示例实施例可以在其他类型的计算机系统中被实现。
如图8所示,计算设备800包括一个或多个处理器(称为处理器电路802)、系统存储器804和总线806,该总线806将包括系统存储器804的各种系统组件耦合至处理器电路802。处理器电路802是在一个或多个物理硬件电路设备元件和/或集成电路设备(半导体材料芯片或管芯)中被实现为中央处理单元(CPU)、微控制器、微处理器和/或其他物理硬件处理器电路的电气和/或光学电路。处理器电路802可以执行存储在计算机可读介质中的程序代码,诸如操作系统830的程序代码、应用程序832、其他程序834等。总线806表示几种类型的总线结构中的任何一个或多个,包括使用各种总线架构中的任何一种的存储器总线或存储器控制器、外围总线、加速图形端口以及处理器或本地总线。系统存储器804包括只读存储器(ROM)808和随机存取存储器(RAM)810。基本输入/输出系统812(BIOS)被存储在ROM808中。
计算设备800还具有以下驱动器中的一个或多个:用于读取和写入硬盘的硬盘驱动器814、用于读取或写入可移除磁盘818的磁盘驱动器816、和用于读取或写入可移除光盘822的光盘驱动器820(诸如CD ROM、DVD ROM或其他光学介质)。硬盘驱动器814、磁盘驱动器816和光盘驱动器820分别通过硬盘驱动器接口824、磁盘驱动器接口826和光盘驱动器接口826被连接至总线806。驱动器及其关联的计算机可读介质为计算机提供了计算机可读指令、数据结构、程序模块和其他数据的非易失性存储。尽管硬盘、可移除磁盘和可移除光盘被描述,但是其他类型的基于硬件的计算机可读存储介质可以被用于存储数据,诸如闪存卡、数字视频盘、RAM、ROM和其他硬件存储介质。
多个程序模块可以被存储在硬盘、磁盘、光盘、ROM或RAM上。这些程序包括操作系统830、一个或多个应用程序832、其他程序834和程序数据836。应用程序832或其他程序834可以包括例如用于实现计算设备102、服务器106、计算设备112A至112N、事故聚类系统108的组件中的一个或多个以及本文描述的流程图200、400、500、600、700和/或其他实现的一个或多个步骤的计算机程序逻辑(例如计算机程序代码或指令)。
用户可以通过诸如键盘838和指向设备840等输入设备将命令和信息录入计算设备800。其他输入设备(未示出)可以包括麦克风、操纵杆、游戏手柄、碟形卫星天线、扫描仪、触摸屏和/或触摸板、接收语音输入的语音识别系统、接收手势输入的手势识别系统等。这些和其他输入设备通常通过耦合至总线806的串行端口接口842被连接至处理器电路802,但是可以通过诸如并行端口、游戏端口或通用串行总线(USB)等其他接口被连接。
显示屏844也经由诸如视频适配器846等接口被连接至总线806。显示屏844可以在计算设备800外部或被并入计算设备800。显示屏844可以显示信息,以及作为用于接收用户命令和/或其他信息(例如通过触摸、手指手势、虚拟键盘、手写笔、笔、指向设备等)的用户界面。除了显示屏844之外,计算设备800还可以包括其他外围输出设备(未示出),诸如扬声器和打印机。
计算设备800通过适配器或网络接口850、调制解调器852或用于通过网络建立通信的其他部件被连接至网络848(例如互联网)。如图8所示,可以是内部的或外部的调制解调器852可以经由串行端口接口842被连接至总线806,或者可以使用包括并行接口的另一接口类型被连接至总线806。
如本文所使用的,术语“计算机程序介质”、“计算机可读介质”和“计算机可读存储介质”被用于指代物理硬件介质,诸如与硬盘驱动器814相关联的硬盘、可移除磁盘818、可移除光盘822、其他物理硬件介质,诸如RAM、ROM、闪存卡、数字视频盘、zip磁盘、MEM、基于纳米技术的存储设备、以及其他类型的物理/有形硬件存储介质。这种计算机可读存储介质与通信介质(不包括通信介质)区别并且不重叠。通信介质将计算机可读指令、数据结构、程序模块或其他数据实施在调制后的数据信号中,诸如载波。术语“调制数据信号”表示其一个或多个特性以对信号中的信息进行编码的这种方式被设置或改变的信号。作为示例而非限制,通信介质包括无线介质(诸如声学、RF、红外和其他无线介质)以及有线介质。实现还涉及这种通信介质,其与涉及计算机可读存储介质的实现分离并且不重叠。
如上面所提到的,计算机程序和模块(包括应用程序832和其他程序834)可以被存储在硬盘、磁盘、光盘、ROM、RAM或其他硬件存储介质上。这种计算机程序也可以经由网络接口850、串行端口接口842或任何其他接口类型来接收。当由应用执行或加载时,这种计算机程序使计算设备800能够实现本文讨论的示例实施例的特征。因此,这种计算机程序表示计算设备800的控制器。
实现也涉及包括存储在任何计算机可读介质上的计算机代码或指令的计算机程序产品。这种计算机程序产品包括硬盘驱动器、光盘驱动器、存储器设备封装、便携式记忆棒、存储卡以及其他类型的物理存储硬件。
IV.附加示例实施例
本文中描述了一种对事故进行聚类的系统。该系统包括至少一个处理器电路;以及存储器,其存储被配置为由至少一个处理器电路执行的程序代码,该程序代码包括:特征器,被配置为接收事故通知,该事故通知与在计算环境中发生的事件相关以及基于事故通知生成特征集;机器学习引擎,被配置为应用基于机器学习的模型以基于特征集来标识计算环境中的相似事故通知;以及动作解析器,被配置为:接收解析以下至少一项的动作:事故通知和相似事故通知;以及执行动作。
在前述系统的一个实现中,基于机器学习的模型被配置为:基于事故通知的特征集与对应于相似事故通知的特征集之间的相似性度量,来标识相似事故通知。
在前述系统的另一实现中,相似事故通知包括相似的已解析事故通知。
在前述系统的另一实现中,机器学习引擎被配置为:标识先前被执行以解析相似的已解析事故通知的对应动作。
在前述系统的另一实现中,相似事故通知包括相似的未解析事故通知。
在前述系统的另一实现中,动作解析器被配置为:接收相似的未解析事故通知应该与事故通知一起被解析的指示;以及执行解析事故通知和相似的未解析事故通知的动作。
在前述系统的另一实现中,特征集包括多个特征,该多个特征包括:从事故通知提取的特征;以及从数据馈送提取的特征,该数据馈送与事故通知分离并且与以下至少一项相关联:计算环境的过程创建、遥测、或者网络。
本文中描述了一种用于解析事故的方法。该方法包括:接收事故通知,该事故通知与计算环境中发生的事件相关;基于事故通知来生成特征集;将特征集作为输入提供给基于机器学习的模型,该基于机器学习的模型在计算环境中输出相似的未解析事故通知;为了在用户界面中呈现,提供与事故通知相对应的信息;从用户界面接收由用户选择的解析事故通知的动作;为了在用户界面中呈现,提供相似的未解析事故通知的标识;从用户界面接收对要与事故通知一起被解析的相似的未解析事故通知的选择;以及执行解析事故通知和相似的未解析事故通知的动作。
在前述方法的一个实现中,基于机器学习的模型被配置为:基于事故通知的特征集与对应于相似的未解析事故通知的特征集之间的相似性度量,来输出相似的未解析事故通知。
在前述方法的另一实现中,基于机器学习的模型还被配置为输出相似的已解析事故通知。
在前述方法的另一实现中,该方法还包括:为了在用户界面中呈现,提供被执行以解析相似的已解析事故通知的对应动作。
在前述方法的另一实现中,该方法还包括:为了在用户界面中呈现,提供指示事故通知与相似的未解析事故通知之间的相似性或差异的原因。
在前述方法的另一实现中,该方法还包括:为了在用户界面中呈现,提供事故通知与相似的未解析事故通知之间的相似性度量。
在前述方法的另一实现中,特征集包括多个特征,该多个特征包括:从事故通知提取的特征;以及从数据馈送提取的特征,该数据馈送与事故通知分离并且与以下至少一项相关联:计算环境的过程创建、遥测、或者网络。
本文中描述了一种用于解析事故的方法。该方法包括:接收事故通知,该事故通知与计算环境中发生的事件相关;基于事故通知来生成特征集;将特征集作为输入提供给基于机器学习的模型,该基于机器学习的模型在计算环境中输出相似的已解析事故通知;为了在用户界面中呈现,提供:与事故通知相对应的信息;相似的已解析事故通知的标识;以及指示事故通知与相似的已解析事故通知之间的相似性或差异的原因;以及被执行以解析相似的已解析事故通知的对应动作;从用户界面接收由用户选择的解析事故通知的动作;以及执行解析事故通知的动作。
在前述方法的一个实现中,基于机器学习的模型被配置为基于事故通知的特征集与对应于相似的已解析事故通知的特征集之间的相似性度量,来输出相似的已解析事故通知。
在前述方法的另一实现中,基于机器学习的模型还被配置为输出相似的未解析事故通知。
在前述方法的另一实现中,该方法还包括:从用户界面接收相似的未解析事故通知应该与事故通知一起被解析的指示;以及执行解析事故通知和相似的未解析事故通知的动作。
在前述方法的另一实现中,该方法还包括:为了在用户界面中呈现,提供事故与相似的已解析事故通知之间的相似性度量。
在前述方法的另一实现中,特征集包括多个特征,该多个特征包括:从事故通知提取的特征;以及从数据馈送提取的特征,该数据馈送与事故通知分离并且与以下至少一项相关联:计算环境的过程创建、遥测、或者网络。
V.结论
虽然各种示例实施例已经在上面被描述,但是应该被理解的是,它们仅通过示例而非限制被呈现。由(多个)相关领域的技术人员理解的是,在不脱离所附权利要求所限定的实施例的精神和范围的情况下,形式和细节上的各种改变可以在其中被进行。因此,本发明的宽度和范围不应被上述示例实施例中的任何一个限制,而应该仅根据以下权利要求及其等效物来限定。
Claims (15)
1.一种用于对事故进行聚类的系统,包括:
至少一个处理器电路;以及
存储程序代码的存储器,所述程序代码被配置为由所述至少一个处理器电路执行,所述程序代码包括:
特征器,被配置为:
接收事故通知,所述事故通知与计算环境中发生的事件相关;以及
基于所述事故通知来生成特征集;
机器学习引擎,被配置为应用基于机器学习的模型以基于所述特征集来标识所述计算环境中的相似事故通知;以及
动作解析器,被配置为:
接收解析以下至少一项的动作:所述事故通知和所述相似事故通知;以及
执行所述动作。
2.根据权利要求1所述的系统,其中所述基于机器学习的模型被配置为:基于所述事故通知的所述特征集与对应于所述相似事故通知的特征集之间的相似性度量,来标识所述相似事故通知。
3.根据权利要求1所述的系统,其中所述相似事故通知包括相似的已解析事故通知。
4.根据权利要求3所述的系统,其中所述机器学习引擎被配置为:标识先前被执行以解析所述相似的已解析事故通知的对应动作。
5.根据权利要求1所述的系统,其中所述相似事故通知包括相似的未解析事故通知。
6.根据权利要求5所述的系统,其中所述动作解析器被配置为:
接收所述相似的未解析事故通知应该与所述事故通知一起被解析的指示;以及
执行解析所述事故通知和相似的未解析事故通知的所述动作。
7.根据权利要求1所述的系统,其中所述特征集包括多个特征,所述多个特征包括:
从所述事故通知提取的特征;以及
从数据馈送提取的特征,所述数据馈送与所述事故通知分离并且与以下至少一项相关联:所述计算环境的过程创建、遥测、网络、硬件配置、或者地理定位。
8.一种用于解析事故的方法,所述方法包括:
接收事故通知,所述事故通知与计算环境中发生的事件相关;
基于所述事故通知来生成特征集;
将所述特征集作为输入提供给基于机器学习的模型,所述基于机器学习的模型在所述计算环境中输出相似的未解析事故通知;
为了在用户界面中呈现,提供与所述事故通知相对应的信息;
从所述用户界面接收由用户选择的解析所述事故通知的动作;
为了在所述用户界面中呈现,提供所述相似的未解析事故通知的标识;
从所述用户界面接收对要与所述事故通知一起被解析的所述相似的未解析事故通知的选择;以及
执行解析所述事故通知和所述相似的未解析事故通知的所述动作。
9.根据权利要求8所述的方法,其中所述基于机器学习的模型被配置为:基于所述事故通知的所述特征集与对应于所述相似的未解析事故通知的特征集之间的相似性度量,来输出所述相似的未解析事故通知。
10.根据权利要求8所述的方法,其中所述基于机器学习的模型还被配置为输出相似的已解析事故通知。
11.根据权利要求10所述的方法,还包括:
为了在所述用户界面中呈现,提供被执行以解析所述相似的已解析事故通知的对应动作。
12.根据权利要求8所述的方法,还包括:
为了在所述用户界面中呈现,提供指示所述事故通知与所述相似的未解析事故通知之间的相似性或差异的原因。
13.根据权利要求8所述的方法,还包括:
为了在所述用户界面中呈现,提供所述事故通知与所述相似的未解析事故通知之间的相似性度量。
14.根据权利要求8所述的方法,其中所述特征集包括多个特征,所述多个特征包括:
从所述事故通知提取的特征;以及
从数据馈送提取的特征,所述数据馈送与所述事故通知分离并且与以下至少一项相关联:所述计算环境的过程创建、遥测、网络、硬件配置、或者地理定位。
15.一种在其上记录有程序指令的计算机可读存储介质,包括:
计算机程序逻辑,所述计算机程序逻辑用于使得处理器能够执行权利要求8至14中的任一项。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/105,189 | 2018-08-20 | ||
| US16/105,189 US11263544B2 (en) | 2018-08-20 | 2018-08-20 | Similarity based approach for clustering and accelerating multiple incidents investigation |
| PCT/US2019/039658 WO2020040876A1 (en) | 2018-08-20 | 2019-06-28 | Similarity based approach for clustering and accelerating multiple incidents investigation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112567367A true CN112567367A (zh) | 2021-03-26 |
| CN112567367B CN112567367B (zh) | 2024-04-05 |
Family
ID=67515093
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980053436.8A Active CN112567367B (zh) | 2018-08-20 | 2019-06-28 | 用于聚类和加速多个事故调查的基于相似性的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11263544B2 (zh) |
| EP (1) | EP3841503B1 (zh) |
| CN (1) | CN112567367B (zh) |
| WO (1) | WO2020040876A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11637862B1 (en) * | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10944782B2 (en) * | 2018-12-04 | 2021-03-09 | EMC IP Holding Company LLC | Forensic analysis through metadata extraction |
| EP4028918A4 (en) * | 2019-09-09 | 2023-09-27 | Reliaquest Holdings, LLC | THREAT MITIGATION SYSTEM AND METHOD |
| US20210096548A1 (en) * | 2019-09-30 | 2021-04-01 | Rockwell Automation Technologies, Inc. | Management and aggregation of ticket data from multiple sources |
| US11587428B2 (en) * | 2020-03-11 | 2023-02-21 | Johnson Controls Tyco IP Holdings LLP | Incident response system |
| US11645397B2 (en) | 2020-04-15 | 2023-05-09 | Crowd Strike, Inc. | Distributed digital security system |
| US11616790B2 (en) | 2020-04-15 | 2023-03-28 | Crowdstrike, Inc. | Distributed digital security system |
| US11711379B2 (en) | 2020-04-15 | 2023-07-25 | Crowdstrike, Inc. | Distributed digital security system |
| US11861019B2 (en) | 2020-04-15 | 2024-01-02 | Crowdstrike, Inc. | Distributed digital security system |
| US11563756B2 (en) * | 2020-04-15 | 2023-01-24 | Crowdstrike, Inc. | Distributed digital security system |
| US11204824B1 (en) * | 2020-06-19 | 2021-12-21 | Accenture Global Solutions Limited | Intelligent network operation platform for network fault mitigation |
| EP3926891B1 (en) | 2020-06-19 | 2024-05-08 | Accenture Global Solutions Limited | Intelligent network operation platform for network fault mitigation |
| US11647034B2 (en) | 2020-09-12 | 2023-05-09 | Microsoft Technology Licensing, Llc | Service access data enrichment for cybersecurity |
| US20220207352A1 (en) * | 2020-12-30 | 2022-06-30 | Capital One Services, Llc | Methods and systems for generating recommendations for counterfactual explanations of computer alerts that are automatically detected by a machine learning algorithm |
| US11973796B2 (en) | 2021-04-06 | 2024-04-30 | Microsoft Technology Licensing, Llc | Dangling domain detection and access mitigation |
| US11677615B2 (en) * | 2021-04-23 | 2023-06-13 | Fortinet, Inc. | Systems and methods for incorporating automated remediation into information technology incident solutions |
| US11836137B2 (en) | 2021-05-19 | 2023-12-05 | Crowdstrike, Inc. | Real-time streaming graph queries |
| US11595243B1 (en) * | 2021-08-23 | 2023-02-28 | Amazon Technologies, Inc. | Automated incident triage and diagnosis |
| US11888870B2 (en) | 2021-10-04 | 2024-01-30 | Microsoft Technology Licensing, Llc | Multitenant sharing anomaly cyberattack campaign detection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5666481A (en) * | 1993-02-26 | 1997-09-09 | Cabletron Systems, Inc. | Method and apparatus for resolving faults in communications networks |
| CN102932323A (zh) * | 2011-08-29 | 2013-02-13 | 卡巴斯基实验室封闭式股份公司 | 对计算机网络中安全相关事故的自动分析 |
| US20140075327A1 (en) * | 2012-09-07 | 2014-03-13 | Splunk Inc. | Visualization of data from clusters |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2001295016A1 (en) | 2000-09-01 | 2002-03-13 | Sri International, Inc. | Probabilistic alert correlation |
| US8370466B2 (en) | 2008-07-23 | 2013-02-05 | International Business Machines Corporation | Method and system for providing operator guidance in network and systems management |
| US9389943B2 (en) * | 2014-01-07 | 2016-07-12 | International Business Machines Corporation | Determining a number of unique incidents in a plurality of incidents for incident processing in a distributed processing system |
| US9432393B2 (en) * | 2015-02-03 | 2016-08-30 | Cisco Technology, Inc. | Global clustering of incidents based on malware similarity and online trustfulness |
| CN106559292B (zh) * | 2015-09-29 | 2020-03-06 | 新华三技术有限公司 | 一种宽带接入方法和装置 |
| US10310933B2 (en) * | 2017-01-13 | 2019-06-04 | Bank Of America Corporation | Near real-time system or network incident detection |
| US11640434B2 (en) * | 2017-04-19 | 2023-05-02 | Servicenow, Inc. | Identifying resolutions based on recorded actions |
| US20190012630A1 (en) * | 2017-07-05 | 2019-01-10 | Tyfoom, Llc | Entity safety rating system |
-
2018
- 2018-08-20 US US16/105,189 patent/US11263544B2/en active Active
-
2019
- 2019-06-28 CN CN201980053436.8A patent/CN112567367B/zh active Active
- 2019-06-28 EP EP19749017.0A patent/EP3841503B1/en active Active
- 2019-06-28 WO PCT/US2019/039658 patent/WO2020040876A1/en unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5666481A (en) * | 1993-02-26 | 1997-09-09 | Cabletron Systems, Inc. | Method and apparatus for resolving faults in communications networks |
| CN102932323A (zh) * | 2011-08-29 | 2013-02-13 | 卡巴斯基实验室封闭式股份公司 | 对计算机网络中安全相关事故的自动分析 |
| US20140075327A1 (en) * | 2012-09-07 | 2014-03-13 | Splunk Inc. | Visualization of data from clusters |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11637862B1 (en) * | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3841503A1 (en) | 2021-06-30 |
| CN112567367B (zh) | 2024-04-05 |
| US20200057953A1 (en) | 2020-02-20 |
| WO2020040876A1 (en) | 2020-02-27 |
| US11263544B2 (en) | 2022-03-01 |
| EP3841503B1 (en) | 2024-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112567367B (zh) | 用于聚类和加速多个事故调查的基于相似性的方法 | |
| US11288111B2 (en) | Entropy-based classification of human and digital entities | |
| JP6888109B2 (ja) | インテリジェントセキュリティ管理 | |
| EP3841502B1 (en) | Enhancing cybersecurity and operational monitoring with alert confidence assignments | |
| US10721264B1 (en) | Systems and methods for categorizing security incidents | |
| US20230360513A1 (en) | Adaptive severity functions for alerts | |
| EP3635602B1 (en) | Validating correlation between chains of alerts using cloud view | |
| US10091231B1 (en) | Systems and methods for detecting security blind spots | |
| US11089024B2 (en) | System and method for restricting access to web resources | |
| US10242187B1 (en) | Systems and methods for providing integrated security management | |
| Pierazzi et al. | A data-driven characterization of modern Android spyware | |
| US11503059B2 (en) | Predicting a next alert in a pattern of alerts to identify a security incident | |
| US10574700B1 (en) | Systems and methods for managing computer security of client computing machines | |
| US20200050744A1 (en) | Authetication using features extracted based on cursor locations | |
| US11163875B1 (en) | Discovery of computer system incidents to be remediated based on correlation between support interaction data and computer system telemetry data | |
| San Zaw et al. | A case-based reasoning approach for automatic adaptation of classifiers in mobile phishing detection | |
| US11818166B2 (en) | Malware infection prediction and prevention | |
| US20240143760A1 (en) | Stacked Malware Detector For Mobile Platforms | |
| US20230199003A1 (en) | Machine learning-based security alert issuance based on actionability metrics | |
| US20230123632A1 (en) | Random strings classification for detecting suspicious network activities | |
| Baskaran | Detection of malicious applications in android using machine learning | |
| Liu | Scalable processing methods for host-based intrusion detection systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |