CN112805740A - 人工智能辅助规则生成 - Google Patents
人工智能辅助规则生成 Download PDFInfo
- Publication number
- CN112805740A CN112805740A CN201980066210.1A CN201980066210A CN112805740A CN 112805740 A CN112805740 A CN 112805740A CN 201980066210 A CN201980066210 A CN 201980066210A CN 112805740 A CN112805740 A CN 112805740A
- Authority
- CN
- China
- Prior art keywords
- client
- rule
- new
- processors
- profile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/042—Knowledge-based neural networks; Logical representations of neural networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/027—Frames
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/30—Semantic analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Biophysics (AREA)
- Business, Economics & Management (AREA)
- Molecular Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Economics (AREA)
- Bioethics (AREA)
- General Business, Economics & Management (AREA)
- Technology Law (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
- Machine Translation (AREA)
- Computer And Data Communications (AREA)
Abstract
一种方法通过为计算机系统建立一组新的规则来改善计算机系统的安全性。一个或多个处理器将多个客户端简档输入到人工智能(AI)系统,其中所述多个客户端简档是基于对包括客户端资产的相应客户端环境的分析以及多个客户端的入侵检测警告历史。所述处理器将新的客户端简档与来自所述多个客户端简档的相应客户端简档进行匹配。处理器基于新客户端简档与相应客户端简档的相似性度量来为新客户端建立新的规则集。处理器随后接收指示已发生对新规则集的违反的信息,并且随后执行计算机系统的安全特征以便解决对新规则集的违反。
Description
技术领域
本发明涉及计算机安全领域,尤其涉及一种基于规则的计算机安全。更具体地,本发明涉及将规则部署到计算机系统。
背景技术
计算机安全服务负责使用自定义规则摄取和关联日志数据,创建警报并且通知客户端可能的攻击。这类服务通常由一个供应商向全球数千个客户提供。
通过关联来自数千个数据源和设备的数十亿个日志事件每天生成数千个可行动智能(intelligence)事件(例如,“警报”)。这使得服务能够检测特定于某些计算机系统/架构的威胁。即,这样的系统使用特定于特定信息技术(IT)环境(例如,特定硬件、软件、工作负荷、企业类型等)的自定义安全信息和事件管理(SIEM)规则,并且因此不在具有类似但稍微不同的IT简档的其他客户端上水平缩放。因此,对于具有类似但稍微不同的IT域的客户端不生成、跟踪或补救警报。这样的客户机的计算机系统仍然是遗忘的并且易受由于缺少的关联规则而在它们的环境中未知的攻击的影响。
发明内容
在本发明的一个实施例中,一种方法通过为计算机系统建立一组新的规则来提高计算机系统的安全性。一个或多个处理器将多个客户端简档输入到人工智能(AI)系统,其中所述多个客户端简档基于对包括客户端资产的相应客户端环境的分析以及多个客户端的入侵检测警告历史。所述处理器将新客户端的新客户端简档与来自所述多个客户端简档的相应客户端简档匹配,其中所述相应客户端简档用于所述多个客户端中的特定客户端。处理器基于新客户端简档与相应客户端简档的相似性度量来为新客户端建立新的规则集。处理器随后接收指示已发生对新规则集的违反的信息,并且响应于新规则集被违反,执行新客户端的计算机系统的安全特征以便解决对新规则集的违反。
在本发明的一个实施例中,一种方法通过基于另一个客户端所使用的规则构建新的规则来提高计算机系统的安全性。一个或多个处理器将多个客户端简档输入到人工智能(AI)系统,其中所述多个客户端简档是基于对包括客户端资产的相应客户端环境的分析以及多个客户端的入侵检测警告历史。所述处理器将新客户端的新客户端简档与来自所述多个客户端简档的相应客户端简档匹配,其中所述相应客户端简档是用于所述多个客户端中的特定客户端。处理器然后基于特定客户端所使用的规则为新客户端建立新规则。处理器随后接收指示已发生对新规则的违反的信息。响应于违反新规则,(一个或多个)处理器执行新客户端的计算机系统的安全特征,以便解决对新规则的违反。
在本发明的实施例中,一种方法通过从第二(特定)客户端向第一客户端分配规则以供由第一客户端所使用的计算机系统使用来改善由第一(新)客户端所使用的计算机系统的安全性。一个或多个处理器将多个客户端简档输入到人工智能(AI)系统,其中所述多个客户端简档是基于对包括客户端资产的相应客户端环境的分析以及多个客户端的入侵检测警告历史。所述处理器将所述新客户端的新客户端简档与来自所述多个客户端简档的相应客户端简档进行匹配,其中所述相应客户端简档是用于所述多个客户端中的所述特定客户端。处理器基于匹配相应客户端简档的新客户端简档将来自特定客户端的特定规则分配给新客户端。处理器随后接收指示已发生对特定规则的违反的信息,并且响应于违反特定规则,执行新客户端的计算机系统的安全特征以便解决对特定规则的违反。
在一个或多个实施例中,通过执行计算机程序产品和/或计算机系统来执行在此描述的方法。
附图说明
图1描绘了可以在其中实施本发明的示例性系统和网络;
图2描绘了本发明的一个或多个实施例所使用的总体解决方案架构;
图3示出了在本发明的一个或多个实施方式中使用的示例性高级威胁处置系统;
图4描绘了在本发明的一个或多个实施例中使用的示例性递归神经网络(RNN);
图5示出了如在本发明的一个或多个实施例中使用的示例性简档相关器;
图6描绘了如在本发明的一个或多个实施例中使用的示例性高级规则分析器;
图7示出了如在本发明的一个或多个实施例中使用的示例性规则人工智能(AI)系统;
图8描绘了在本发明的一个或多个实施例中使用的示例性主AI系统;
图9是根据本发明的一个或多个实施例执行的一个或多个步骤的高级流程图;
图10描绘了根据本发明的实施例的云计算环境;以及
图11描绘了根据本发明的实施例的云计算机环境的抽象模型层。
具体实施方式
在一个或多个实施例中,本发明是在任何可能的技术细节整合水平下的系统、方法、和/或计算机程序产品。在一个或多个实施例中,计算机程序产品包括计算机可读存储介质(或多个介质),其上具有用于使处理器执行本发明的各方面的计算机可读程序指令。
计算机可读存储介质可以是可以保留和存储指令以供指令执行设备使用的有形设备。计算机可读存储介质可以是例如但不限于电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或前述各项的任何合适的组合。计算机可读存储介质的更具体例子的非穷举列表包括以下:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式致密盘只读存储器(CD-ROM)、数字通用盘(DVD)、记忆棒、软盘、机械编码设备(诸如穿孔卡片)或具有记录在其上的指令的凹槽中的凸起结构)、以及上述的任意合适的组合。如本文中所使用的计算机可读存储介质不应被解释为瞬态信号本身,诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如,通过光纤电缆的光脉冲)、或通过导线传输的电信号。
在此所描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备或经由网络(例如,互联网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
在一个或多个实施例中,用于执行本发明的操作的计算机可读程序指令包括汇编指令,指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据,或者以一种或多种编程语言的任意组合编写的源代码或目标代码,包括Java、Smalltalk、C++等面向对象的编程语言,以及常规的过程式编程语言,例如“C”编程语言或类似的编程语言。在一个或多个实施例中,计算机可读程序指令完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立软件包执行、部分在用户的计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形下并且在一个或多个实施例中,远程计算机通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或者连接到外部计算机(例如,使用互联网服务提供商通过互联网)。在一些实施例中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA))通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化,以便执行本发明的方面。
本文中参考根据本发明的实施例的方法、设备(系统)和计算机程序产品的流程图说明和/或框图描述本发明的方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令来实现。
在一个或多个实施例中,这些计算机可读程序指令被提供给通用计算机的处理器、专用计算机或其他可编程数据处理装置、以产生机器,其通过计算机或其他可编程数据处理装置的处理器执行,创建用于实现在流程图和/或方框图的一个或多个方框中指定的功能/动作的装置。在一个或多个实施例中,这些计算机可读程序指令也被存储在计算机可读存储介质中,在一个或多个实施例中,指示计算机、可编程数据处理装置和/或其他设备以特定方式工作,使得具有存储在其中的指令的计算机可读存储介质包括制品,该制品包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各方面的指令。
在一个或多个实施例中,计算机可读程序指令也被加载到计算机上,其他可编程数据处理装置,或使得在计算机上执行一系列操作步骤的其他设备,其他可编程装置或其他设备,以产生计算机实现的过程,使得在计算机上执行的指令,其他可编程装置或其他设备实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此,流程图或框图中的每个方框表示模块、段或指令部分,其包括用于实现规定的逻辑功能的一个或多个可执行指令。在一些替代实现方式中,框中所标注的功能不以图中所标注的顺序发生。例如,取决于所涉及的功能,连续示出的两个框实际上基本上同时执行,或者这些框有时以相反的顺序执行。还应注意,在本发明的一个或多个实施例中,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,由执行指定功能或动作或执行专用硬件和计算机指令的组合的基于专用硬件的系统来实现。
现在参考附图,并且具体地参见图1,描绘了可以由本发明的实现方式利用和/或在本发明的实现方式中使用的示例性系统和网络的框图。注意,针对计算机102和在计算机102内示出的示例性体系结构中的一些或全部(包括描绘的硬件和软件两者)可以由软件部署服务器150和/或遥测源152和/或客户端计算机154和/或入侵检测系统156利用。
示例性计算机102包括耦合至系统总线106的处理器104。处理器104可利用一个或多个处理器,每个处理器具有一个或多个处理器核。驱动/支持显示器110的视频适配器108也耦合到系统总线106。系统总线106经由总线桥112耦合到输入/输出(I/O)总线114。I/O接口116耦接到I/O总线114。I/O接口116提供与不同I/O设备的通信,所述I/O设备包括键盘118、鼠标120、介质托盘122(其可以包括诸如CD-ROM驱动器、多媒体接口等的存储设备)、递归神经网络124(在图4中描绘的示例性实施例中更详细地描述)、以及(多个)外部USB端口126。虽然连接到I/O接口116的端口的格式可以是计算机架构领域的技术人员已知的任何格式,但是在一个实施例中,这些端口中的一些或全部是通用串行总线(USB)端口。
如所描绘的,计算机102能够使用网络接口130与软件部署服务器150、遥测源152、和/或客户端计算机154通信。网络接口130是硬件网络接口,诸如网络接口卡(NIC)等。网络128可以是诸如互联网的外部网络,或者诸如以太网或虚拟专用网络(VPN)的内部网络。
硬盘驱动器接口132也耦接到系统总线106。硬盘驱动器接口132与硬盘驱动器134接口。在一个实施例中,硬盘驱动器134填充系统存储器136,系统存储器136也耦合到系统总线106。系统存储器被定义为计算机102中的易失性存储器的最低级别。该易失性存储器包括附加的更高级的易失性存储器(未示出),包括但不限于高速缓存存储器、寄存器和缓冲器。填充系统存储器136的数据包括计算机102的操作系统(OS)138和应用程序144。
OS 138包括外壳140,用于提供对诸如应用程序144的资源的透明用户访问。通常,外壳140是提供解释器和用户与操作系统之间的接口的程序。更具体地,外壳140执行被输入到命令行用户界面中或来自文件的命令。由此,也称为命令处理器的外壳140通常是操作系统软件层级的最高级别且充当命令解译器。外壳提供系统提示,解释由键盘、鼠标或其他用户输入介质输入的命令,并将所解释的命令发送到操作系统的适当较低级(例如,内核142)用于处理。注意,虽然外壳140是基于文本的面向行的用户界面,但本发明将同样良好地支持其他用户界面模式,诸如图形、语音、姿势等。
如所描绘的,OS 138还包括内核142,内核142包括OS 138的较低级别的功能,包括提供OS 138和应用程序144的其他部分所需的基本服务,包括存储器管理、进程和任务管理、盘管理、以及鼠标和键盘管理。
应用程序144包括呈现器,以示例性方式示出为浏览器146。浏览器146包括使得万维网(WWW)客户端(即,计算机102)能够使用超文本传输协议(HTTP)消息传递来向互联网发送和接收网络消息的程序模块和指令,从而使得能够与软件部署服务器150和其他计算机系统通信。
计算机102的系统存储器(以及软件部署服务器150的系统存储器)中的应用程序144还包括计算机安全管理逻辑(CSML)148。CSML148包括用于实现下面描述的过程的代码,包括在图2-9中描述的那些。在一个实施例中,计算机102能够从软件部署服务器150下载CSML148,包括在按需的基础上,其中CSML148中的代码直到需要执行才被下载。进一步注意,在本发明的一个实施例中,软件部署服务器150执行与本发明相关联的所有功能(包括CSML148的执行),从而使计算机102不必使用其自己的内部计算资源来执行CSML148。
遥测源152也耦合至计算机102,遥测源152是关于安全事件的信息的源,并且在图2中的遥测源252中进一步详细描述。
客户端计算机154由客户端(如图2的表204中所示的客户端)使用。
客户端计算机154受入侵检测系统156保护,入侵检测系统156利用在此描述的用于检测客户端计算机154上的入侵的基于规则的特征中的一个或多个。
注意,计算机102中描绘的硬件元件不旨在是详尽的,而是代表性的以突出本发明所需的基本部件。例如,计算机102可以包括替代的存储器存储设备,诸如磁带盒、数字通用盘(DVD)、伯努利盒式磁带等等。这些和其他变化旨在处于本发明的精神和范围内。
本发明在此被描述为向计算机系统提供所需的安全规则。然而,本文描述的方法和系统不一定限于安全系统。相反,本文描述的方法和系统可应用于用公式表示机器学习模型上的处理布置的任何数据分析平台。
关于安全系统缺少其架构的特定规则的问题,本发明的一个或多个实施例提出了一种新的且新颖的解决方案架构以减轻特定客户端的规则中的缺口。即,特定客户端系统可能缺少用于响应安全攻击的规则。本发明的一个或多个实施例提出了人工智能(AI)辅助的规则生成和可行动智能架构。安全入侵检测系统从威胁分析和处置系统取得警报处置输入,匹配来自资产剖析器系统(在此也被称为“简档相关器”)或源系统的简档,并且(使用相关引擎)关联来自自然语言处理(NLP)规则分析系统的规则设计。在该架构/机制中,关联引擎独立于产品类别并且可以一般地跨不同数据域应用。即,在一个或多个实施例中,本发明采用从金融遥测分析开发的金融规则,并且基于市场数据分析从金融规则导出市场规则。然而,在一个或多个实施例中,这些系统中的每一个系统(即,金融系统和市场营销系统)消耗公共遥测,应用规则来处理数据,导出可行动智能,并且基于对规则的违反来利用智能执行某些动作。
由于在多个客户端环境上具有可见性,系统(例如,监控系统,如图1中所示的计算机102)能够评估可行动智能的有效性以及随后成功处置多个客户端的警报。这向其他客户端及其环境提供了比较性分析,在这些环境中存在覆盖差或可行动智能的生成。系统因此能够在简档与突出显示间隙之间进行比较,这可能是由于缺少数据源、规则或内部数据源。系统能够自动通知客户端添加缺失的关键数据源、检测规则、内部馈送或使系统更有效的任何其他域级别信息。在一个或多个实施例中,在预登机阶段(即,在客户端的计算机系统上线以处理客户端的信息技术(IT)需求之前)利用这个过程,其中可以进行评估以识别缺口并推荐缺失的域信息。在一个或多个实施例中,在此描述的过程还通过系统的生命周期来利用以便测量正在被收集的遥测的有效性或无效,由此如果所收集的遥测是无效的,则可以相应地调整或建议将其断开连接。
因此,在本发明的一个或多个实施例中,该系统动态地插入在事件的特定发生期间临时操作的规则。即,插入的规则使得客户端计算机的安全系统监视零日威胁(例如,监视在特定区域中发生的恶意软件攻击)。规则因此被激活以响应于基于某些遥测技术检测到的攻击,并且然后在攻击事件之后去激活规则。了解处置(攻击和响应)如何发生,并且使用关于被攻击的系统的域信息触发认知系统实时地为每个受影响的客户端构建自定义规则,将变化通知给系统,并且同时在通知票务系统上生成可行动智能。
现在参见图2,呈现了本发明的一个或多个实施例所使用的总体解决方案架构。
图2所示的结构202解决了以下问题。假设通过客户端C1的规则检测到可行动智能。例如,规则R2可以陈述“如果由客户端C1的计算机系统在十秒内由制造商X做出的电子邮件服务器接收到来自不可信的互联网协议(IP)地址的三个消息,如果不信任IP地址在客户端C1不信任的IP地址的“黑名单”上,并且如果这三条消息都包含词语“紧急”,则指示与安全系统相关联的通知票务系统针对客户端C1发布陈述客户端C1可能受到安全攻击的票据(ticket)。然而,由规则R2检测到的可行动智能对于客户端C1的环境保持本地。即,规则R2特定于由制造商X制造的电子邮件服务器接收的电子邮件。照此,由安全信息和事件管理(SIEM)规则检测的检测到的安全事件对于规则R2存在的客户端C1是本地的(即,针对客户端C1定制的)。
然而,现在假设在表204中示出的客户端C2不具有由制造商X制造的电子邮件服务器。相反,客户端C2使用由制造商Y制造的电子邮件服务器。因此,即使客户端C1和C2可能具有相似类型的操作,并且即使由制造商X构建的电子邮件服务器执行与由制造商Y构建的电子邮件服务器相同的功能,客户端C2也不具有规则R2的副本(因为R2专用于使用由制造商X构建的电子邮件服务器的计算机系统)。
因此,图2所示的过程匹配具有类似域简档(即,类似类型的操作、类似类型的设备等)的客户端(例如,客户端C1和客户端C2)。图2所示的过程然后自动生成并跨所有类似客户端应用规则和智能。
架构202包括以下系统组件。
高级威胁处置评分(ATDS)机器学习系统206是基于机器学习的威胁检测系统。即,ATDS机器学习系统206确定特定客户端(例如,客户端C1)的计算机系统是否在安全攻击下。ATDS机器学习系统206的附加细节在图3中呈现。
简档相关器208是基于自然语言处理(NLP)的系统以将客户端与相似简档进行匹配。简档相关器208的额外细节呈现于图5中。
规则分析210是用于将规则分解成子部件的基于NLP的规则分析系统。规则分析210的附加细节在图6中呈现。
规则人工智能(AI)机器学习系统212是用于预测规则阈值的基于监督机器学习的系统。规则AI机器学习系统212的附加细节在图7中呈现。
主AI系统214是解决方案聚合器、规则生成器和违规生成器。图8中呈现了主AI系统214的附加细节。
如图2中所示,主AI系统214被架构为1)预测特定客户端(例如,客户端C2)的可行动智能;2)添加新规则(例如,规则R2);以及3)向客户(例如,向客户端C2)提供已为客户端C2添加新规则和/或已发生安全入侵事件(基于新添加的规则R2)的通知。出于说明的目的,规则R2被用作正被违反和/或复制的规则的示例。然而,应当理解,本文描述的过程适用于正被违反和/或复制等的任何规则。
现在参考示例性表204,客户端C2不具有规则R2,即使客户端C1、C3和C4具有规则R2。如上所述,规则R2基本上声明如果发生某些事件(例如,来自传感器的可疑读数、来自列入黑名单的IP地址的消息等),则确定发生了安全漏洞发生。
在本发明的实施例中,与所描绘的不同规则(针对客户端C1、C3和C4)相关的事件是相同的。也就是说,每个条件/事件是相同的,包括涉及哪个特定设备、涉及什么类型的企业活动、涉及哪些特定消息等。如果主AI系统214确定C2具有规则R2中描述的特定设备,并且具有与客户端C1、C3和C4相同类型的企业活动(例如,银行业务),则主AI系统214将直接将规则R2分配给客户端C2。
然而,在本发明的另一个实施例中,与所描绘的不同规则(针对客户端C1、C3和C4)相关的事件不相同。例如,再次假设规则R2取决于涉及哪个特定设备以及涉及什么类型的企业活动。进一步假设主AI系统214确定客户端C2具有与客户端C1、C3和C4相同类型的企业活动(例如,银行业务),但客户端C2不使用与客户端C1、C3和C4相同的特定设备。例如,假设客户端C1、C3和C4采用X公司制造的邮件服务器,客户端C2采用Y公司制造的邮件服务器。然而,进一步假定由公司X制造的电子邮件服务器执行与由公司Y制造的电子邮件服务器相同的功能,尽管这两个电子邮件服务器可能具有不同的特征、安全级别等。尽管如此,在该实施例中,主AI系统214将创建在功能上与规则R2相同的规则R2(例如,规则R2’)的版本,即使规则R2’被设计为与公司Y制造的电子邮件服务器一起工作,而规则R2被设计为与公司X制造的电子邮件服务器一起工作。
再次参考表204,假设初始客户端C2不具有规则R2’。然而,ATDS机器学习206已通过客户端C1、C3和/或C4确定规则R2已被违反/触发,因此指示在其系统内已出现安全问题(例如,病毒攻击、专用拒绝服务攻击等)。例如,如果在用于客户端C1的计算机系统中违反规则R2,那么发生(例如,病毒攻击、专用拒绝服务攻击等)被视为在用于客户端C1的计算机系统中发生,如由“R2>O1”所示。类似地,如果在用于客户端C3的计算机系统中违反规则R2,则认为在用于客户端C3的计算机系统中发生事件,如由“R2>O3”所示。类似地,如果在用于客户端C4的计算机系统中违反规则R2,那么认为在用于客户端C3的计算机系统中发生事件,如由“R2>O4”所示。
因此,ATDS机器学习系统206确定在客户端C1、C3和C4中的一个或多个中违反了规则R2,并且为了此目的使用该信息。稍后,当ATDS机器学习系统206还跟踪客户端C2的规则违反时,还对客户端C2执行以下动作。
首先,ATDS机器学习系统206使用规则R2已经被违反的确定作为用于生成升级消息216的基础,该升级消息216被发送到客户端C1、C3和C4的安全系统218。在本发明的实施例中,这些安全系统218是安全管理人员。然而,在本发明的优选实施例中,安全系统218是关闭某些设备、阻挡来自某些IP地址的消息、升级防火墙等的自动化安全系统。
例如,假设分配给客户C1的自动化安全系统218中的一个与控制精炼厂中的泵的监督控制和数据采集(SCADA)系统相关联。进一步假设升级消息216指示已经接收到指示关键泵关闭的消息,并且消息来自不可信源。照此,用于客户端C1的自动安全系统218将自动引导SCADA系统保持关键泵开启,和/或适当地关闭使用该关键泵的整个单元,直到问题被解决。
在另一实施例中,如果违反规则R2,则阻止如由规则R2定义的来自某些IP地址的消息。
第二,ATDS机器学习系统206使用规则R2已经被违反的确定来更新简档相关器208。即,一个或多个客户端C1,C3和C4违反规则R2的细节,被发送到简档相关器208,简档相关器208确定违反规则R2的总体效果,特别是当它影响来自客户端C1,C3和C4的受影响的客户端的一个或多个资产(例如,设备、计算机、数据存储、软件等)时。该更新的信息然后被发送到客户数据库220,其包括用于客户端C1、C3和C4的客户资产简档。
第三,ATDS机器学习系统206使用规则R2已被违反的确定来向规则分析210告知规则R2的违反已发生。这允许规则分析210评估规则和违反,以便更新规则R2。例如,假定基于从不受信任的(列入黑名单的)IP地址接收到的电子邮件而违反规则R2。然而,规则分析210使用来自一组安全信息和事件管理(SIEM)规则222的规则测试条件,将修改规则R2,使得具有类似词语和/或动作(例如,访问某个数据库)的任何消息也将被防火墙阻止由计算机系统接收,即使类似的消息来自可信IP地址。
第四,ATDS机器学习系统206使用规则R2已经被违反的确定来让主AI系统214知道关于规则R2在客户端C1、C3和C4中正在发生什么。
如主AI系统214中所示,主AI系统214现在具有在向客户端C2分配新规则R2(例如,规则R2’)时使用的多个信息源。
即,对主AI系统214的输入包括:1)来自ATDS机器学习系统206的信息,该信息让其知道规则R2如何和是否已经被违反;2)来自规则分析210的输出,该输出描述对规则R2发生了什么修改(如果有的话);3)规则AI机器学习系统212的输出,该输出基于由SIEM规则222设置的规则条件、事件条件和行为条件,描述了要违反规则R2必须满足的预测阈值和边界;以及4)来自简档相关器208的输出,该输出描述受规则R2的违反影响的任何客户端的简档。
此外,主AI系统214从遥测源252、日志源226和域智能映射228接收输入。
遥测源252(类似于图1中所示的遥测源152)是关于事件的信息的任何源。例如,在一个实施例中,遥测源252是检测处理器正被过度使用从而导致整个计算机系统减速的传感器。在另一实施例中,遥测源252是检测电子邮件服务器已经从不受信任的IP地址接收到电子邮件的传感器。在另一个实施例中,遥测源252是社交媒体平台,该社交媒体平台已经张贴了与规则R2相关的消息,如“我被来自不可信IP地址x.x.x.x的电子邮件轰击。小心!”
日志源226包含事件的日志,包括计算机系统内的传感器的日志、张贴在社交媒体服务上的消息等。
域智能映射228搜索大数据源(例如,万维网)以寻找指示将违反规则R2的事件的某些关键字、模式等。
因此,在本发明的一个或多个实施例中,主AI系统214利用图2中所示的不同输入来确定客户端C2需要具有规则R2的副本(或至少规则R2的变型,诸如规则R2’)作为其安全基础设施的一部分。
现在参见图3,呈现了示例性高级威胁处置评分(ATDS)系统306(类似于图2中所示的ATDS机器学习系统206)。
如图3所示,ATDS系统306使用机器学习来确定违规(例如,计算机系统上的安全攻击)应被解决(例如,升级到违规的票/报告/动作的生成)还是被忽略(关闭)。关于违规应被解决还是被忽略的决定基于机器学习过程,该机器学习过程确定违规足够重要以保证进一步动作的可能性。即,ATDS系统305预测违规的处置应该是什么。在本发明的一个或多个实施例中,该预测/决定是基于AI过程对违规采取进一步行动的置信程度。
如图3所示,在本发明的各种实施方式中使用各种类型的机器学习过程。也就是说,不同的实施例可以在确定违规301应该被解决还是被忽略时使用被描述为在框303中描述的机器学习(ML)模型1、ML模型2(在框305中描绘)和/或ML模型3(在框324中描绘)的机器学习过程中的一个、两个或全部三个。
框303表示梯度提升机器(GBM)机器学习过程,该过程使用利用彼此的分析的多个决策树,从而“提升”该过程以便学习。即,假设第一决策树是在基于一组输入数据进行预测时具有许多错误的“弱学习者”。然后,对这些误差进行加权,使得它们被大量地用于重新训练第二决策树。该过程继续,直到最终模型/决策树在基于任何输入数据适当地预测正确的输出方面是有效的。
框305表示随机森林机器学习过程,该过程还使用决策树,但是将决策树随机组合成树的“随机森林”。这允许系统将不同决策树中的特征打包,使得非常强的预测器的各种决策树中的特定肢体/节点中的特征描述为相关的不同决策树。即,被证明是不同决策树中的一些结果的良好预测器的特定特征使得这些不同的决策树相关,因为它们从相同的特征产生相同的准确预测。
框324表示深度学习机器学习模型。本发明的一个或多个实施例使用的示例性深度学习机器学习模型是递归神经网络,如图4所示。
现在参考图4,呈现了示例性递归神经网络(RNN)424(类似于图1中所示的RNN124)。在RNN中,神经元布置在被称为输入层403、隐藏层405和输出层407的层中。输入层403包括获取输入数据并将其发送到神经元的一系列隐藏层(例如,隐藏层405)的神经元/节点,其中来自隐藏层中的一层的所有神经元与隐藏层405中的下一层中的所有神经元互连。隐藏层405中的最终层随后将计算结果输出到输出层407,输出层407通常是用于保存矢量信息的单个节点。
如刚才提到的,所描绘的RNN 424中的每个节点表示电子神经元,诸如所描绘的神经元409。如框411中所示,每个神经元(包括神经元409)在功能上包括至少三个特征:算法、输出值和权重。
该算法是用于处理来自一个或多个上游神经元的数据的数学公式。例如,假定中间隐藏层405中所描绘的神经元中的一个或多个神经元将数据值发送到神经元409。神经元409接着通过执行框411中所示的算法来处理这些数据值,以便创建一个或多个输出值,所述输出值接着被发送到另一神经元,诸如隐藏层405内的另一神经元或输出层407中的神经元。每个神经元也具有特定于该神经元和/或其他连接的神经元的权重。
例如,假设神经元413正在向神经元409发送其对一条数据的分析的结果。神经元409具有第一权重,该第一权重定义了具体来自神经元413的数据的重要性。如果数据是重要的,则来自神经元413的数据被大量地加权,由此使得神经元409内的算法生成更高的输出,这将对输出层407中的神经元具有更大的影响。类似地,如果神经元413已被确定为对神经元409的操作重要,则神经元413中的权重将增加,使得神经元409接收神经元413中的算法输出的较高值。这些权重对于RNN424中的一个或多个或所有神经元是可调整的,以使得可靠的输出将由输出层407产生。这样的调整可以手动地或自动地执行。
当手动调整时,用户、传感器逻辑等以重复方式调整权重,直到来自输出层407的输出匹配预期为止。例如,假设输入层403接收由图3所示违规301表示的某些数据值。如果输出层407的输出是不能准确描述已知安全攻击的向量,然后调整RNN424中的一个或多个神经元的权重(并且可替代地算法),直到由输出层407生成的向量具有与已知安全攻击(或已知安全攻击的预测)相关联的值。
当自动调整时,使用“反向传播”来调整权重(和/或算法),其中,通过使用“梯度下降”方法来调整神经元的权重值,该“梯度下降”方法确定每个权重值应当被调整至哪个方向。此梯度下降过程在某一方向上移动每一神经元中的权重,直到来自输出层407的输出改善(例如,变得更接近表示某一安全攻击和/或预测某一安全攻击)。
在各个实施例中使用的其他类型的机器学习过程/算法包括支持向量机(其使得数据被训练以在线性向量中对准)、线性回归(其对标量与一个或多个自变量之间的关系建模)、逻辑回归(其被应用于二进制因变量)等。
返回到图3,决策模型307因此能够决策(基于框303、305和/或324中描绘的ML模型1-3中的一者或一者以上的输出)所识别的违规是否应关闭(框309),且因此在数据库320中标记为关闭;或是否应升级所识别的违规(框317)。如果违规升级,那么通知/票据被发送到客户端318(类似于图2所示的自动安全系统218);简档相关器308(类似于图2所示的简档相关器208);主AI引擎314(类似于图2所示的主AI系统214);和/或规则分析引擎310(类似于图2所示的规则分析210)。
因此,ATDS系统306包括一个或多个(优选地如图3中所描绘的至少三个)单独的算法,这些算法提供具有置信度阈值的关于每个传入警报的违规处置分类(升级对关闭)。因此,决策模型307基于设置的阈值和决策逻辑关闭或自动升级违规,使得升级的警报被转发到简档相关器308、规则分析引擎310和主AI引擎314以及客户机318。
图5示出了在本发明的一个或多个实施方式中使用的示例性简档相关器。
如图5中所描绘,简档相关器508(类似于图2中所示的简档相关器208)从ATDS 506(类似于ATDS机器学习系统206)取得违规向量输入,并且从客户资产简档数据库520(类似于图2中所示的客户资产简档数据库220)取得简档输入。然后,客户端简档被清理、传输和转换成字符串。
例如,客户端A的客户端简档503包括描述客户端位于何处(Gi,Gj)的字符串数据;客户端在(Ij)中工作的行业的类型;客户端使用的IT设备的类型的描述(Ti,Tm,Tn);什么类型的日志源(客户端使用Li、Lp、Lq;客户端使用什么类型的安全系统来保护他的IT系统(Sp、St、Sf等);以及客户端使用什么关键业务应用(Ai、Ap、Al等)。然后,使用诸如项频率-逆文档频率(TF-IDF)算法之类的算法,将该信息令牌化(即,用保留关于该数据的必要信息而不揭示关于该数据的任何敏感信息的唯一标识符号来替换敏感数据)和向量化(和/或加权),该算法确定特定类型的客户端简档信息在确定是否升级或中止违规方面是如何重要的,如方框505所示。即,TF-IDF算法基于特定类型的简档信息在违规评估算法中出现的频率,将特定类型的简档信息识别为对该确定是关键的。
简档相关器508使用自然语言处理(NLP)方法501来识别具有类似信息技术(IT)简档的客户端(例如,客户端A、客户端B等)之间的相似性。
使用余弦相似性算法计算每个客户字符串数据集的相似性得分(参见框507)。具有高于指定阈值(x%)的相似性分数的客户端被筛选并且被输出到主AI引擎,诸如所描绘的AI主引擎514(类似于图2中示出的AI主系统214)。
图6描绘了作为在本发明的一个或多个实施例中使用的示例性高级规则分析器的规则分析引擎610(类似于图2所示的规则分析210)。
来自ATDS 606(类似于图2中所示的ATDS机器学习系统206)和客户端SIEM 622(类似于图2中所示的SIEM规则222)的输入被输入至规则分析引擎610。来自ATDS 606的示例性输入是图2中的表204中描述的规则之一的规则名。来自SIEM 622的示例性输入是可扩展标记语言(XML)文件,其描述和/或实现在SIEM 622内的工具或规则库中找到的命名规则。
解析规则逻辑602将接收到的规则解析成整齐格式(例如,表格格式),并且NLP串方法被应用于规则的变换。即,通过NLP方法601(类似于图5中所示的NLP方法501)将规则中的项解析成各种词语/短语,然后根据它们彼此的接近、上下文和频率关系以图形方式描述这些词语/短语。由解析规则逻辑602进行的该解析/转换导致在测试规则时将被使用的测试条件604的描述(例如,应当使用什么类型的测试算法和/或机器学习系统、应当使用什么类型的硬件等)。
由解析规则逻辑602对规则的解析/转换还导致对哪些日志源(例如,遥测数据的源、社交媒体评论等)应被用于测试规则的描述,如框606中所示。
由解析规则逻辑602对规则的解析/转换还导致对规则阈值的描述,所述规则阈值在测试规则时应当被使用,如在框608中所描述的。例如,规则可以声明,如果90%的传入电子邮件来自未知IP地址,则应当发出票据。在本示例中,“90%”是需要达到以便发票的规则的阈值。
由解析规则逻辑602对规则的解析/转换还导致在测试和/或使用规则时使用的操作符的描述符612。例如,诸如规则和/或输入至规则的项的映射的运算符将分配和描述逻辑树、向量空间等中的此类项/输入。
因此,由解析规则逻辑602从规则中提取测试条件604、日志源类型(框606)、阈值(框608)和操作符612。
此外,客户端特定信息(例如,名称、账号、行业类型等)被从规则中剥离,如框614中所示。
如框616中所示,规则然后被分解成可以在规则模板中组装的单独向量分量(例如,规则中描述的升级违规所必需的预测条件)。
向量化规则模板被输出到图6中描绘为主AI 614的主AI引擎(类似于图2中示出的AI主系统214)。
现在参见图7,呈现了在本发明的一个或多个实施例中使用的示例性规则人工智能(AI)系统。
如图7中所示,规则AI系统712(类似于图2中所示的规则AI机器学习系统212)从威胁智能馈送701、SIEM 722(类似于图2中所示的SIEM规则222)和安全解决方案703接收输入。
威胁智能馈送701包括来自图2中所示的遥测源252、日志源226和域智能映射228的馈送。
安全解决方案703是已经预先建立的安全漏洞的解决方案,如将防火墙提高到更高等级的流量限制、关闭某些IT设备等。
如图7所示,流条件705、事件条件707、违规条件709、行为条件711和杂项规则条件713被解析出来以构建规则所需的特征(框715)。
流条件705描述某些事件必须发生以便触发规则的顺序。例如,事件E1、E2和E3必须以该顺序发生,以便触发规则R1。如果这些事件按照E1、E3和E2的顺序发生,则规则R1将不被触发。
事件条件707描述为了使规则被触发而必须发生的事件。例如,示例性事件E1可以是从列入黑名单的IP接收电子邮件,示例性事件E2可以是接收电子邮件的计算机中的电力浪涌,并且示例性事件E3可以是计算机的关闭。
违规条件709描述了为了触发违规而必须发生的那些事件、以及它们的顺序、定时等。
行为条件711描述了计算机必须如何表现(例如,处理吞吐量、可用带宽等)以便触发违规。例如,即使在事件发生之后,计算机也必须以特定方式表现,诸如激活web浏览器,即使规则不禁止这一点。
杂项规则条件713是在系统创建特定规则时要考虑的任何用户定义的条件。
一旦新规则最初由规则AI系统712生成(参见框715),新规则用于训练机器学习模型717。例如,在本发明的实施方式中,构建诸如图4所示的RNN 424的神经网络以模拟新创建的规则。RNN 424被调整(例如,通过调整神经元中的一个或多个神经元内的算法、输出值、权重)直到被馈送到RNN 424中的触发事件导致来自RNN 424的指示已发生对计算机系统的安全性的攻击的输出为止。
在本发明的实施例中,机器学习模型717是使用如支持向量机(SVM)等算法的监督机器学习分类模型。
在本发明的实施例中,作为规则AI系统712的基于受监督机器学习的系统使用针对不同阈值类型(频率、计数、时间)的各种学习模型从规则库/SIEM工具、安全供应商规则等取得输入测试条件。
如框719中所示,规则阈值被预测并且被发送至AI主系统714(类似于图2中所示的AI主系统214)。即,一旦规则AI系统712解析测试条件和工程特征,规则阈值(即,在规则的条件中必须超过什么阈值)被设置并随后被标记,以便训练深度学习系统。
现在参见图8,呈现了在本发明的一个或多个实施例中使用的示例性主AI 814(类似于图2中所示的AI主系统214)。
主AI 814是最终解决方案集成器,其集成来自所有系统组件的输出并且针对由简档相关器匹配的客户端生成自定义规则。
主AI 814从简档相关器808(类似于图2中所示的简档相关器208)取得输入,规则AI引擎812(类似于图2所示的规则AI机器学习系统212),规则分析引擎810(类似于图2所示的规则分析210)和ATDS 806(类似于图2所示的ATDS机器学习系统206)。
使用这些输入,主AI 814使用其简档信息802为每个匹配的客户端生成自定义规则,该简档信息包括每个客户端的资产简档(即,客户端使用什么计算机资源)、客户简档(例如,客户端工作在什么类型的行业)等。进一步,简档信息802包括诸如用来报告计算机系统中的异常的日志源类型的信息,用于为所述特定的客户端设计规则的规则设计模板、触发所述客户端的规则所需的预测阈值,描述安全威胁的外部威胁智能,以及描述条件的哪些属性必须发生以使违规升级到工作票的升级违规属性,警报等。
如框804、816、818和820中所示,主AI 814还能够生成新规则(框804和818),并且能够为生成的每个自定义规则生成票务系统中的新违规(框816和820)。即,主AI 814不仅能够创建新规则(通过使用NLP 801从简档信息802提取信息),而且还能够生成描述被违反的新规则的新违规。
如图8所示,主AI 814然后通知安全资源822已经生成新规则和/或已经发生新违规。例如,在本发明的实施例中,将新规则和/或违规通知给客户端,SIEM、票务系统、事件报告平台(IRP)、客户端报告系统和信息门户也一样。主AI 814还可以让用例/规则库、威胁智能(TI)源和供应商系统知道新规则和/或违规。
现在参见图9,呈现了根据本发明的一个或多个实施例执行的一个或多个步骤的高级流程图。
在发起器框901之后,一个或多个处理器(例如,图1中所示的处理器152)将多个客户端简档输入到人工智能(AI)系统,如在框903中所描述的。这多个客户端简档基于对包括客户端资产的相应客户端环境和多个客户端的入侵检测警告历史的分析。即,客户端简档包括诸如图8中所示的客户端信息802的信息。
如框905中所描述的,(多个)处理器将新客户端的新客户端简档与来自多个客户端简档中的对应客户端简档进行匹配,其中,对应客户端简档针对多个客户端中的特定客户端。例如,本文所述的主AI系统将比较图2所示的客户端C1的客户端信息802(即,客户端简档)与图2所示的客户端C2的不同的客户端信息802。
在本发明的不同实施例中,该系统采取替代性步骤来向客户端(如客户端C2)分配新规则。
在一个实施例中,并且如框907中所描述的,(多个)处理器基于新的客户端简档与相应的客户端简档的相似性度量来为新的客户端构建新的规则集。即,在该实施例中,主AI系统将通过将客户端C2与另一客户端(例如,客户端C1)进行比较来为客户端C2建立规则。在本发明的实施例中,主AI系统随后将为客户端C2创建规则,该规则是当前由客户端C1使用的规则的组合。
在另一个实施例中,并且如框909中所述,(多个)处理器基于由特定客户端使用的规则来为新客户端建立新规则。例如,如表204所示,客户端C2获得新规则R2’,新规则R2’是由客户端C1使用的规则R2的修改版本。
在另一个实施例中,并且如框911中所描述的,(多个)处理器简单地基于匹配对应的客户端简档的新客户端简档将来自特定客户端的规则分配给新客户端。即,如果客户端C2的简档与客户端C1的简档匹配,则客户端C1使用的任何规则(包括规则R2)被指派供客户端C2使用,反之亦然。
在本发明的实施例中,创建/指派规则到新客户端(即,客户端C2)是在框907、909和/或911中描述的过程的组合。
如在框913中所描述的,(多个)处理器然后接收指示已经发生对新的规则集的违反(例如,客户端C2的设备现在违反了规则R2)的信息。
如在框915中所描述的,(多个)处理器响应于新的规则集被违反,执行计算机系统的安全特征以便解决新的规则集的违反。例如,可以升级防火墙,可以关闭存储设备等,以便解决违规(违反新的规则集)。
该流程图在终止程序框917处结束。
在本发明的实施例中,(多个)处理器将新的规则集向量化以创建向量化规则集,并且然后通过在所述AI系统中输入所述新的规则集的所述向量化的规则集来测试所述新的规则集,以便针对所述入侵检测警报历史来测试所述新的规则集。
即,新的规则集(例如,图2中所示的规则R2或规则R2’)首先被分解成多个分量(动作、事件、时间关系、受影响实体、词语、项、上下文关系等)的向量。例如,规则“如果X发生在客户端C发生的Y的五分钟内,则执行动作Z”可以被分解成诸如“X,Y”(动作)、“发生/正在发生”(事件)、“五分钟”(时间关系)和“客户端C”(受影响实体)等组件。这些组件随后被显示在逻辑向量中(例如,在关系树中)以基于新的规则集来创建向量化规则集。即,向量化将规则集分解成多个组件,这些组件随后在关系图(诸如树)中被描绘,该关系图描述规则集的不同组件之间的关系。
然后将这个向量化规则集输入到AI系统(例如,图4中所示的RNN 424)中,该AI系统已经被训练成基于一个或多个客户端的入侵检测警告历史来识别入侵。照此,通过将向量化规则集输入到图4所示的RNN424的输入层403中,输出层407应该(如果新规则集被适当地撰写以识别特定类型的入侵)反映该特定类型的入侵。
在本发明的实施例中,(多个)处理器应用自然语言处理(NLP)来确定新客户端与特定客户端的环境之间的相似性,并且然后基于新客户端与特定客户端的环境之间的相似性将新客户端简档与相应的客户端简档进行匹配。
例如,假设图5中的简档容器508中的简档中描绘的客户端A的特征描述了某个IT环境(例如,在支持类型Y服务器的类型X网络中的类型W客户端计算机,其全部由类型Z防火墙保护)。进一步假设图5中描述的客户端B还具有支持类型Y服务器的类型X网络中的类型W客户端计算机,所有这些类型W客户端计算机由类型Z防火墙保护。照此,如果客户端A(类似于图2中示出的客户端C1)使用规则R2,则客户端B(类似于图2中示出的客户端C2)将被分配相同的规则R2,或至少从R2导出的规则(R2’)。
在本发明的一个实施例中,其中AI系统开发新的规则集,新的规则集包括用于对应规则的警报,并且AI系统将新的规则集传输至计算机系统的安全系统部件。也就是说,AI系统不仅开发新的规则集(现有规则的直接拷贝或现有规则的导出,或者可替代地,不是从其他客户端所使用的其他规则导出的完全新的规则),而且还检测到新的规则集已被违反,创建由规则违反导致的警报(即,违反),以及向用于受影响的计算机系统的安全系统(例如,防火墙、安全管理员等)发送新的规则集。
在本发明的实施例中,(多个)处理器将新的规则集安装到入侵检测系统中。例如,新的规则组将被安装在图1所示的入侵检测系统156上,其实现新的规则组并且相应地作用于它们(例如,响应于来自图2所示的遥测源224的信号)以便保护客户端计算机154。
因此,在此所描述的本发明的实施例中的一个或多个实施例显著改善了具有类似简档(例如,处于同一行业中、处于同一地理区域中等)的所有客户端的安全检测覆盖。即,如果两个客户端具有相似的简档,则它们使用的安全规则被协调以使得它们全部使用相同(或至少相似)的安全规则集。
本发明还通过以在此描述的方式使用ATDS和自动规则生成器来显著地减少威胁检测时间。即,ATDS自动检测安全入侵,并且自动规则生成器(例如,基于客户端C2与客户端C1的相似性将规则R2分配给客户端C2)为客户端C2创建在检测到安全问题时更准确的安全检测系统,并且因此减少线程检测时间。
因此,本发明提供了一种不同于现有技术的安全检测解决方案。即,现有技术不使用如本文所述的机器学习来基于新的规则违反自动创建警报/违规(参见图8)。此外,现有技术不使用NLP方法基于使类似客户端的资产简档相关来生成自动化规则(参见图5-7)。
在一个或多个实施例中,使用云计算来实施本发明。尽管如此,预先理解的是,尽管本发明包括关于云计算的详细描述,但是本文所引用的教导的实现不限于云计算环境。相反,本发明的实施例能够结合现在已知或以后开发的任何其他类型的计算环境来实现。
云计算是一种服务递送模型,用于实现对可配置计算资源(例如,网络、网络带宽、服务器、处理、存储器、存储、应用、虚拟机和服务)的共享池的方便、按需的网络访问,所述可配置计算资源可以用最小的管理努力或与服务提供者的交互被快速配置和释放。该云模型包括至少五个特性、至少三个服务模型和至少四个部署模型。
特征如下:
按需自助服务:云消费者可以根据需要自动地单方面供应计算能力,如服务器时间和网络存储,而不需要与服务的提供者的人类交互。
宽泛的网络接入:能力在网络上是可用的并且通过标准机制来访问,这些标准机制促进由异构的瘦或厚客户端平台(例如,移动电话、膝上计算机、和PDA)使用。
资源池:提供者的计算资源被池化以使用多租户模型服务于多个消费者,其中不同的物理和虚拟资源根据需要被动态地分配和重新分配。存在位置独立性的意义,因为消费者一般没有对所提供的资源的确切位置的控制或了解,但仍能够在较高抽象层次(例如,国家、州或数据中心)处指定位置。
快速弹性:可以快速且弹性地提供能力(在一些情况下,自动地)以快速缩小和快速释放以快速放大。对于消费者,可用于供应的能力通常显得不受限制,并且可以在任何时间以任何数量购买。
测量的服务:云系统通过利用适合于服务类型(例如,存储、处理、带宽和活动用户账户)的某个抽象层次的计量能力来自动地控制和优化资源使用。资源使用可以被监控、控制和报告,从而为所利用的服务的提供者和消费者两者提供透明度。
软件即服务(SaaS):提供给消费者的能力是使用提供商在云基础设施上运行的应用。应用可通过诸如web浏览器(例如,基于web的电子邮件)的瘦客户端接口从不同客户端设备访问。消费者不管理或控制包括网络、服务器、操作系统、存储或甚至个体应用能力的底层云基础结构,可能的例外是有限的用户特定的应用配置设置。
平台即服务(PaaS):提供给消费者的能力是在云基础设施上部署消费者创建或获取的应用,这些应用是使用由提供商支持的编程语言和工具创建的。消费者不管理或控制包括网络、服务器、操作系统或存储的底层云基础结构,但是具有对所部署的应用以及可能的应用托管环境配置的控制。
基础设施即服务(IaaS):提供给消费者的能力是提供处理、存储、网络和消费者能够在其中部署和运行任意软件的其他基本计算资源,所述任意软件可以包括操作系统和应用程序。消费者不管理或控制底层云基础结构,而是具有对操作系统、存储、所部署的应用的控制,以及对所选联网组件(例如,主机防火墙)的可能有限的控制。
部署模型如下:
私有云:云基础结构单独为组织操作。在一个或多个实施例中,其由组织或第三方管理和/或存在于场所内或场所外。
社区云:云基础结构由若干组织共享并且支持具有共享的关注点(例如,任务、安全要求、策略和合规性考虑)的特定社区。在一个或多个实施例中,其由组织或第三方管理和/或存在于场所内或场所外。
公共云:使云基础设施对公众或大型产业群体可用并且由销售云服务的组织拥有。
混合云:云基础设施是两个或更多个云(私有云、社区云或公共云)的组成部分,这些云保持独特的实体但通过实现数据和应用便携性的标准化或专有技术(例如,用于云之间的负载平衡的云突发)绑定在一起。
云计算环境是面向服务的,集中于状态、低耦合、模块性和语义互操作性。云计算的核心是包括互连节点网络的基础设施。
现在参见图10,描绘了说明性云计算环境50。如图所示,云计算环境50包括一个或多个云计算节点10,云消费者使用的本地计算设备(诸如个人数字助理(PDA)或移动电话54A、台式计算机54B、膝上型计算机54C和/或汽车计算机系统54N)与该云计算节点10彼此通信。此外,节点10彼此通信。在一个实施例中,这些节点被物理地或虚拟地分组(未示出)在一个或多个网络中,诸如如上所述的私有云、社区云、公共云或混合云或其组合。这允许云计算环境50提供基础结构、平台和/或软件作为云消费者不需要维护本地计算设备上的资源的服务。应当理解,图10中所示的计算设备54A-54N的类型仅旨在是说明性的,并且计算节点10和云计算环境50可通过任何类型的网络和/或网络可寻址连接(例如,使用web浏览器)与任何类型的计算机化设备通信。
现在参见图11,示出了由云计算环境50(图10)提供的一组功能抽象层。应预先理解,图11中所示的部件、层和功能旨在仅是说明性的,并且本发明的实施例不限于此。如所描绘的,提供了以下层和相应的功能:
硬件和软件层60包括硬件和软件部件。硬件组件的示例包括:主机61;基于RISC(精简指令集计算机)架构的服务器62;服务器63;刀片服务器64;存储设备65;以及网络和联网组件66。在一些实施例中,软件组件包括网络应用服务器软件67和数据库软件68。
虚拟化层70提供抽象层,在一个或多个实施例中,从该抽象层提供虚拟实体的以下示例:虚拟服务器71;虚拟存储72;虚拟网络73,包括虚拟专用网络;虚拟应用和操作系统74;以及虚拟客户端75。
在一个示例中,管理层80提供以下描述的功能。资源供应81提供用于执行云计算环境内的任务的计算资源和其他资源的动态获取。计量和定价82在云计算环境内利用资源时提供成本跟踪,并针对这些资源的消费进行计费或发票。在一个示例中,这些资源包括应用软件许可证。安全性为云消费者和任务提供身份验证,以及对数据和其他资源的保护。用户门户83为消费者和系统管理员提供对云计算环境的访问。服务级别管理84提供云计算资源分配和管理,使得满足所需的服务级别。服务水平协议(SLA)计划和履行85提供云计算资源的预安排和采购,根据SLA预期该云计算资源的未来要求。
工作负载层90提供在一个或多个实施例中利用云计算环境的功能的示例。从该层提供的工作负荷和功能的示例包括:地图和导航91;软件开发和生命周期管理92;虚拟教室教育交付93;数据分析处理94;交易处理95;以及安全控制处理96,其执行本文所述的本发明的一个或多个特征。
在此所使用的术语仅用于描述具体实施例的目的并且不旨在限制本发明。如在此使用的,单数形式“一个”、“一种”和“该”旨在也包括复数形式,除非上下文另外清楚地指示。将进一步理解,当在本说明书中使用术语“包括”和/或“包括”时,其指定所陈述的特征、整数、步骤、操作、元件和/或组件的存在,但不排除一个或多个其他特征、整数、步骤、操作、元件、组件和/或其群组的存在或添加。
以下权利要求书中的所有装置或步骤加上功能元件的相应结构、材料、动作和等效物旨在包括用于结合如具体要求保护的其他要求保护的元件来执行功能的任何结构、材料或动作。已经出于说明和描述的目的呈现了本发明的不同实施例的描述,但并非旨在是穷尽性的或局限于所披露的形式的本发明。在不脱离本发明的范围和精神的情况下,许多修改和变化对本领域的普通技术人员将是显而易见的。选择和描述实施例是为了最好地解释本发明的原理和实际应用,并且使得本领域普通技术人员能够针对具有适合于所设想的特定用途的不同修改的不同实施例理解本发明。
在本发明的一个或多个实施例中,通过使用VHDL(VHSIC硬件描述语言)程序和VHDL芯片来实现本发明中所描述的任何方法。VHDL是用于现场可编程门阵列(FPGA)、专用集成电路(ASIC)和其他类似电子设备的示例性设计输入语言。由此,在本发明的一个或多个实施例中,通过基于硬件的VHDL程序来仿真本文所述的任何软件实现的方法,然后将其应用于VHDL芯片,诸如FPGA。
已经如此详细描述了本申请的本发明的实施例并且通过参考其说明性实施例,将显而易见的是,在不脱离所附权利要求书中限定的本发明的范围的情况下,修改和变化是可能的。
Claims (17)
1.一种方法,包括:
由一个或多个处理器将多个客户端简档输入到人工智能(AI)系统,其中所述多个客户端简档是基于对包括客户端资产的相应客户端环境的分析以及多个客户端的入侵检测警告历史;
由所述一个或多个处理器将新客户端的新客户端简档与来自所述多个客户端简档的相应客户端简档进行匹配,其中所述相应客户端简档用于所述多个客户端中的特定客户端;
由所述一个或多个处理器基于所述新客户端简档与所述相应客户端简档的相似性度量来构建所述新客户端的新规则集;
由所述一个或多个处理器接收指示已发生对所述新的规则集的违反的信息;以及
响应于所述新的规则集被违反,由所述一个或多个处理器执行所述新的客户端的计算机系统的安全特征,以便解决所述新的规则集的所述违反。
2.如权利要求1所述的方法,进一步包括:
由所述一个或多个处理器将所述新的规则集向量化以创建向量化规则集;以及
由所述一个或多个处理器通过在所述AI系统中输入所述新的规则集的所述向量化的规则集来测试所述新的规则集,以便针对所述入侵检测警报历史来测试所述新的规则集。
3.如权利要求1所述的方法,进一步包括:
由所述一个或多个处理器应用自然语言处理(NLP)以确定所述新的客户端与所述特定的客户端的环境之间的相似性;以及
由所述一个或多个处理器基于所述新客户端与所述特定客户端的环境之间的相似性将所述新客户端简档与所述相应客户端简档进行匹配。
4.如权利要求1所述的方法,其中所述AI系统开发所述新的规则集,其中所述新的规则集包括用于相应的规则的警告,并且其中所述AI系统将所述新的规则集传输至用于所述计算机系统的安全系统部件。
5.如权利要求1所述的方法,进一步包括:
由所述一个或多个处理器将所述新的规则集安装到入侵检测系统中。
6.一种方法,包括:
由一个或多个处理器将多个客户端简档输入到人工智能(AI)系统,其中所述多个客户端简档是基于对包括客户端资产的相应客户端环境的分析以及多个客户端的入侵检测警告历史;
由所述一个或多个处理器将新客户端的新客户端简档与来自所述多个客户端简档的相应客户端简档进行匹配,其中所述相应客户端简档是用于所述多个客户端中的特定客户端;
由所述一个或多个处理器基于所述特定客户端所使用的规则来构建所述新客户端的新规则;
由所述一个或多个处理器接收指示所述新规则的违反已发生的信息;以及
响应于违反所述新规则,由所述一个或多个处理器执行所述新客户端的计算机系统的安全特征,以便解决对所述新规则的所述违反。
7.如权利要求6所述的方法,进一步包括:
由所述一个或多个处理器将所述新规则向量化以创建向量化规则;以及
由所述一个或多个处理器通过在所述AI系统中输入所述向量化规则来测试所述新规则,以便针对所述入侵检测警报历史来测试所述新规则。
8.如权利要求6所述的方法,进一步包括:
由所述一个或多个处理器应用自然语言处理(NLP)以确定所述新的客户端与所述特定的客户端的环境之间的相似性;以及
由所述一个或多个处理器基于所述新客户端与所述特定客户端的环境之间的相似性将所述新客户端简档与所述相应客户端简档进行匹配。
9.如权利要求6所述的方法,其中所述AI系统开发所述新规则,其中所述新规则包括用于相应规则的警报,并且其中所述AI系统将所述新规则传输至用于所述计算机系统的安全系统部件。
10.如权利要求6所述的方法,进一步包括:
由所述一个或多个处理器将所述新规则安装到入侵检测系统中。
11.一种方法,包括:
由一个或多个处理器将多个客户端简档输入到人工智能(AI)系统,其中所述多个客户端简档是基于对包括客户端资产的相应客户端环境的分析以及多个客户端的入侵检测警告历史;
由所述一个或多个处理器将新客户端的新客户端简档与来自所述多个客户端简档的相应客户端简档进行匹配,其中所述相应客户端简档用于所述多个客户端中的特定客户端;
由所述一个或多个处理器基于所述新客户端简档匹配所述相应客户端简档来从所述特定客户端向所述新客户端指派特定规则;
由所述一个或多个处理器接收指示所述特定规则的违反已发生的信息;以及
响应于所述特定规则被违反,由所述一个或多个处理器执行所述新客户端的计算机系统的安全特征,以便解决对所述特定规则的所述违反。
12.如权利要求11所述的方法,进一步包括:
由所述一个或多个处理器将所述特定规则向量化以创建向量化规则;以及
由所述一个或多个处理器通过在所述AI系统中输入所述向量化规则来测试所述特定规则,以便针对所述入侵检测警报历史来测试所述特定规则。
13.如权利要求11所述的方法,进一步包括:
由所述一个或多个处理器应用自然语言处理(NLP)以确定所述新的客户端与所述特定的客户端的环境之间的相似性;以及
由所述一个或多个处理器基于所述新客户端与所述特定客户端的环境之间的相似性将所述新客户端简档与所述相应客户端简档进行匹配。
14.如权利要求11所述的方法,其中所述AI系统开发所述特定规则,其中所述特定规则包括用于相应规则的警报,并且其中所述AI系统将所述特定规则传输至用于所述计算机系统的安全系统部件。
15.如权利要求11所述的方法,进一步包括:
由所述一个或多个处理器将所述特定规则安装到入侵检测系统中。
16.一种系统,包括适于执行根据以上任一方法权利要求所述的方法的所有步骤的装置。
17.一种计算机程序,包括用于当在计算机系统上执行所述计算机程序时执行根据以上任一方法权利要求所述的方法的所有步骤的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/154,773 US10834142B2 (en) | 2018-10-09 | 2018-10-09 | Artificial intelligence assisted rule generation |
| US16/154,773 | 2018-10-09 | ||
| PCT/IB2019/058365 WO2020075011A1 (en) | 2018-10-09 | 2019-10-02 | Artificial intelligence assisted rule generation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112805740A true CN112805740A (zh) | 2021-05-14 |
| CN112805740B CN112805740B (zh) | 2023-04-11 |
Family
ID=70051358
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980066210.1A Active CN112805740B (zh) | 2018-10-09 | 2019-10-02 | 人工智能辅助规则生成 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US10834142B2 (zh) |
| JP (1) | JP7332250B2 (zh) |
| CN (1) | CN112805740B (zh) |
| DE (1) | DE112019003431T5 (zh) |
| GB (1) | GB2589799B (zh) |
| WO (1) | WO2020075011A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11258817B2 (en) * | 2018-10-26 | 2022-02-22 | Tenable, Inc. | Rule-based assignment of criticality scores to assets and generation of a criticality rules table |
| WO2020098908A1 (en) * | 2018-11-12 | 2020-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for selecting a transport configuration for a data network |
| US11803765B2 (en) * | 2019-05-31 | 2023-10-31 | At&T Intellectual Property I, L.P. | Public policy rule enhancement of machine learning/artificial intelligence solutions |
| US11908132B2 (en) | 2020-05-02 | 2024-02-20 | Blaize, Inc. | Method and systems for predicting medical conditions and forecasting rate of infection of medical conditions via artificial intelligence models using graph stream processors |
| US11252188B1 (en) | 2020-08-13 | 2022-02-15 | Room40 Labs, Inc. | Methods and apparatus to automate cyber defense decision process and response actions by operationalizing adversarial technique frameworks |
| US11210596B1 (en) | 2020-11-06 | 2021-12-28 | issuerPixel Inc. a Nevada C. Corp | Self-building hierarchically indexed multimedia database |
| US11924250B2 (en) * | 2021-04-21 | 2024-03-05 | Microsoft Technology Licensing, Llc | Automated contextual understanding of unstructured security documents |
| WO2023049358A1 (en) * | 2021-09-23 | 2023-03-30 | Noonlight, Inc. | Systems and methods for providing assistance in an emergency |
| US20230199022A1 (en) * | 2021-12-16 | 2023-06-22 | Paypal, Inc. | Security engine audit rules to prevent incorrect network address blocking |
| US11805145B2 (en) | 2022-03-16 | 2023-10-31 | Interpres Security, Inc. | Systems and methods for continuous threat-informed exposure management |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083659A (zh) * | 2006-05-30 | 2007-12-05 | 美国凹凸微系有限公司 | 便携式设备的安全策略与环境 |
| US20090254489A1 (en) * | 2008-02-01 | 2009-10-08 | Viktor Geller | Apparatuses, methods and systems for a periodic auction reset securities optimization engine |
| US8973088B1 (en) * | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| US9621585B1 (en) * | 2011-07-25 | 2017-04-11 | Symantec Corporation | Applying functional classification to tune security policies and posture according to role and likely activity |
| US9654513B1 (en) * | 2015-11-30 | 2017-05-16 | International Business Machines Corporation | Automated network security policy deployment in a dynamic environment |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6489979B1 (en) * | 1998-10-30 | 2002-12-03 | International Business Machines Corporation | Non-computer interface to a database and digital library |
| US7096499B2 (en) | 1999-05-11 | 2006-08-22 | Cylant, Inc. | Method and system for simplifying the structure of dynamic execution profiles |
| US7096498B2 (en) * | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| US8176527B1 (en) * | 2002-12-02 | 2012-05-08 | Hewlett-Packard Development Company, L. P. | Correlation engine with support for time-based rules |
| US20100179833A1 (en) | 2009-01-12 | 2010-07-15 | Roizen Michael F | Automated coaching |
| US8832780B1 (en) | 2012-06-26 | 2014-09-09 | Symantec Corporation | Data loss prevention of a shared network file system |
| US8813228B2 (en) | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
| US9008283B2 (en) | 2013-03-15 | 2015-04-14 | Genesys Telecommunications Laboratories, Inc. | Customer portal of an intelligent automated agent for a contact center |
| US9280741B2 (en) | 2013-05-01 | 2016-03-08 | Citrix Systems, Inc. | Automated alerting rules recommendation and selection |
| US20150244743A1 (en) | 2014-02-21 | 2015-08-27 | Airwatch Llc | Risk assessment for managed client devices |
| US10043035B2 (en) * | 2013-11-01 | 2018-08-07 | Anonos Inc. | Systems and methods for enhancing data protection by anonosizing structured and unstructured data and incorporating machine learning and artificial intelligence in classical and quantum computing environments |
| GB2520987B (en) | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
| US10140102B2 (en) | 2014-08-21 | 2018-11-27 | International Business Machines Corporation | Evaluating accessibility compliance of a hybrid user interface design |
| US20160071017A1 (en) * | 2014-10-15 | 2016-03-10 | Brighterion, Inc. | Method of operating artificial intelligence machines to improve predictive model training and performance |
| DK3292471T3 (da) * | 2015-05-04 | 2022-02-21 | Syed Kamran Hasan | Metode og enhed til styring af sikkerhed i et computernetværk |
| US10785234B2 (en) | 2016-06-22 | 2020-09-22 | Cisco Technology, Inc. | Dynamic packet inspection plan system utilizing rule probability based selection |
| US10402740B2 (en) | 2016-07-29 | 2019-09-03 | Sap Se | Natural interactive user interface using artificial intelligence and freeform input |
| JP6786959B2 (ja) | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
| US20180278500A1 (en) * | 2017-03-24 | 2018-09-27 | The Trustees Of Princeton University | Scalable streaming analytics platform for network monitoring |
| US10326788B1 (en) * | 2017-05-05 | 2019-06-18 | Symantec Corporation | Systems and methods for identifying suspicious controller area network messages |
| US11888883B2 (en) | 2017-06-14 | 2024-01-30 | International Business Machines Corporation | Threat disposition analysis and modeling using supervised machine learning |
| US11481640B2 (en) * | 2017-09-29 | 2022-10-25 | Oracle International Corporation | Directed trajectories through communication decision tree using iterative artificial intelligence |
| US11089034B2 (en) * | 2018-12-10 | 2021-08-10 | Bitdefender IPR Management Ltd. | Systems and methods for behavioral threat detection |
-
2018
- 2018-10-09 US US16/154,773 patent/US10834142B2/en active Active
-
2019
- 2019-10-02 CN CN201980066210.1A patent/CN112805740B/zh active Active
- 2019-10-02 DE DE112019003431.6T patent/DE112019003431T5/de active Pending
- 2019-10-02 GB GB2101502.9A patent/GB2589799B/en active Active
- 2019-10-02 WO PCT/IB2019/058365 patent/WO2020075011A1/en active Application Filing
- 2019-10-02 JP JP2021512938A patent/JP7332250B2/ja active Active
-
2020
- 2020-08-28 US US17/006,310 patent/US11265352B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083659A (zh) * | 2006-05-30 | 2007-12-05 | 美国凹凸微系有限公司 | 便携式设备的安全策略与环境 |
| US20090254489A1 (en) * | 2008-02-01 | 2009-10-08 | Viktor Geller | Apparatuses, methods and systems for a periodic auction reset securities optimization engine |
| US8973088B1 (en) * | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| US9621585B1 (en) * | 2011-07-25 | 2017-04-11 | Symantec Corporation | Applying functional classification to tune security policies and posture according to role and likely activity |
| US9654513B1 (en) * | 2015-11-30 | 2017-05-16 | International Business Machines Corporation | Automated network security policy deployment in a dynamic environment |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2589799B (en) | 2023-04-19 |
| DE112019003431T5 (de) | 2021-03-18 |
| US20200396261A1 (en) | 2020-12-17 |
| CN112805740B (zh) | 2023-04-11 |
| JP2022502732A (ja) | 2022-01-11 |
| GB202101502D0 (en) | 2021-03-17 |
| JP7332250B2 (ja) | 2023-08-23 |
| US20200112590A1 (en) | 2020-04-09 |
| WO2020075011A1 (en) | 2020-04-16 |
| GB2589799A (en) | 2021-06-09 |
| US10834142B2 (en) | 2020-11-10 |
| US11265352B2 (en) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112805740B (zh) | 人工智能辅助规则生成 | |
| US11997097B2 (en) | Security vulnerability assessment for users of a cloud computing environment | |
| US10970188B1 (en) | System for improving cybersecurity and a method therefor | |
| US11750642B1 (en) | Automated threat modeling using machine-readable threat models | |
| US11374958B2 (en) | Security protection rule prediction and enforcement | |
| US10997289B2 (en) | Identifying malicious executing code of an enclave | |
| US11663329B2 (en) | Similarity analysis for automated disposition of security alerts | |
| US20240114043A1 (en) | Protecting computer assets from malicious attacks | |
| JP7377058B2 (ja) | ファイアウォールを通したコンプライアンス違反のサーバに向かう通信/そのようなサーバからの通信を一時停止する、コンピュータによって実施される方法、コンピュータ・システム、およびコンピュータ・プログラム | |
| US20230396635A1 (en) | Adaptive system for network and security management | |
| WO2023104791A1 (en) | Combining policy compliance and vulnerability management for risk assessment | |
| US11755717B2 (en) | Security compliance for a secure landing zone | |
| US11012463B2 (en) | Predicting condition of a host for cybersecurity applications | |
| Nonum et al. | AI-JasCon: An Artificial Intelligent Containerization System for Bayesian Fraud Determination in Complex Networks | |
| Mao et al. | A non-intrusive runtime enforcement on behaviors of open supervisory control and data acquisition systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |