CN117501658A - 安全事件告警的可能性评估 - Google Patents
安全事件告警的可能性评估 Download PDFInfo
- Publication number
- CN117501658A CN117501658A CN202280043192.7A CN202280043192A CN117501658A CN 117501658 A CN117501658 A CN 117501658A CN 202280043192 A CN202280043192 A CN 202280043192A CN 117501658 A CN117501658 A CN 117501658A
- Authority
- CN
- China
- Prior art keywords
- security event
- security
- validity
- alarms
- assessment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011156 evaluation Methods 0.000 title claims description 10
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000012549 training Methods 0.000 claims abstract description 22
- 230000008520 organization Effects 0.000 claims description 63
- 239000007787 solid Substances 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 4
- 230000009471 action Effects 0.000 abstract description 7
- 230000008569 process Effects 0.000 abstract description 5
- 238000011835 investigation Methods 0.000 abstract 2
- 230000005540 biological transmission Effects 0.000 description 7
- 238000013210 evaluation model Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000001681 protective effect Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000011521 glass Substances 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000005067 remediation Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0627—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time by acting on the notification or alarm source
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/01—Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开所述的原则涉及模型的训练和实现,该模型被设计用于估计新安全事件为真实事件的概率。这发生在SIEM等服务监视计算系统和其他资源的网络并检测到可能是安全威胁的各种事件的环境中。这些事件被报告给SOC来调查,并且SOC将采取适当的动作来减轻真实安全漏洞的潜在威胁。作为调查过程的一部分,SOC可以标记安全事件是真实的、虚假的还是良性的。在标记足够的安全事件后,一个模型可以被生成以估计新安全事件为真实事件的概率。这将有助于SOC更有效地过滤安全事件,以便更快地响应最有可能的安全漏洞。
Description
背景技术
网络安全对于保持组织正常运行至关重要。如果没有这种安全性,组织的各种计算系统和其他网络资源可能会被暴露给恶意程序。这些程序可能会针对勒索赎金或执行其他破坏动作来访问敏感数据、持有数据和资源。
为了维护安全的网络,组织可以建立一个安全运营中心(SOC)。SOC雇用人员、流程和技术以持续监控和改进组织的安全性,同时预防、检测、分析和响应网络安全事件。
SOC将采用的常见技术是SIEM工具(安全信息和事件管理)。这些工具将提供由组织内部署的应用和网络硬件生成的安全告警。SOC将调查该告警并采取适当动作来减轻潜在威胁。
本公开要求保护的主题不限于解决任何缺点或仅在诸如上述那些环境中操作的实施例。相反,提供该背景仅用于说明一个示例性技术领域,在该领域中可以实施本公开所述的某些实施例。
发明内容
该发明内容部分旨以简化的形式介绍一些概念,这些概念将在下面的具体实施方式中被进一步描述。该发明内容部分不旨在标识要求保护的主题的关键特征或基本特征,也不旨在用作确定要求保护的主题范围的辅助工具。
本公开所述原则涉及一种用于提供新安全告警列表的方法,所述新安全告警列表中的每一个新安全告警包括作为有效安全事件的可能性。按照该方法,系统访问被标记的先前安全事件告警集合,所述被标记的先前安全事件告警集合在由组织控制的网络环境内生成。所述被标记的集合中的每一个安全事件告警由所述组织利用相应安全事件告警的有效性评估来标记。例如,安全事件告警可以被标记为真阳性或假阳性。然后,系统利用所访问的所述被标记的集合训练评估模型,以配置所述评估模型对由于所述网络环境内的安全事件而被生成的未来安全事件告警执行可能性有效性评估。可能性有效性评估包括对所述相应安全事件的有效性的估计和所述估计的可能性级别。
在推理阶段,系统预测针对来自网络环境内的未来安全事件告警的可能性有效性评估。例如,响应于检测到相应的安全事件告警在网络环境内被生成,系统使用经训练的评估模型以对相应的安全事件告警执行可能性有效性评估。例如,系统可以指示告警存在一定的概率是真正的积极安全事件告警,代表真正的安全问题。然后,系统将多个可能性有效性评估报告给组织。
这允许组织内的实体能够快速缩小最有可能反映实际安全问题的安全事件告警的范围。因此,组织可以采取适当的步骤来补救安全问题。在一个实施例中,列表作为经排序的列表被提供,该列表按安全事件是真阳性的可能性排序。备选地,或者另外,排序可以考虑严重性级别。因此,最严重和最有可能是真正的安全告警将成为组织关注的焦点,从而允许快速补救组织内最紧迫的安全问题。
附加的特征和优点将在下面的描述中阐述,并且部分特征和优点将从描述中显而易见,或者可以通过实践本公开的教导而获知。本发明的特征和优点可以通过所附权利要求中特别指出的仪器和组合来达到和获得。本发明的特征将从下面的描述和所附权利要求中变得更加充分显而易见,或者可以通过实践下文所阐述的本发明而获知。
附图说明
为了描述可以获得上述和其他优点和特征的方式,将通过参考附图中示出的具体实施例来呈现对上述简要描述的主题的更具体的描述。理解到这些附图仅描绘了典型的实施例,因此不应被视为对范围的限制,将通过附图对实施例进行更具体、更详细的描述和说明,其中:
图1示出了一个组织的表示,该组织表示一个在其中可能发生各种安全事故并且包含各种不同的资产类型的组织的示例;
图2利用适当保护措施示出了一个图1的组织的表示;
图3示意性示出了一个安全事件告警数据结构;
图4示出了一个用于训练机器学习模型以针对组织内生成的新安全事件告警提供可能性有效性评估的方法的流程图;
图5示出了一个评估模型在其中被训练的环境;
图6示出了一个用于训练评估模型的方法,并且表示了一个训练图4的评估模型的动作的示例;
图7示出了一个包含实体模型和事件模型的两阶段评估模型;
图8示出了一个使用经训练的评估模型推断后续安全事件告警的可能性有效性评估的方法的流程图;以及
图9示出了一个可以采用本公开描述的原理的示例计算系统。
具体实施方式
本公开所述原理涉及提供新安全告警列表,新安全告警列表中的每一个新安全告警包括作为有效安全事件的可能性。按照该方法,系统访问被标记的先前安全事件告警集合,被标记的先前安全事件告警集合在由组织控制的网络环境内生成。被标记的集合中的每一个安全事件告警由组织利用相应安全事件告警的有效性评估来标记。例如,安全事件告警可以被标记为真阳性或假阳性。然后,系统利用所访问的被标记的集合训练评估模型,以配置评估模型对由于网络环境内的安全事件而被生成的未来安全事件告警执行可能性有效性评估。可能性有效性评估包括对相应安全事件的有效性的估计和估计的可能性级别。
在推理阶段,系统预测针对来自网络环境内的未来安全事件告警的可能性有效性评估。例如,响应于检测到相应的安全事件告警在网络环境内被生成,系统使用经训练的评估模型以对相应的安全事件告警执行可能性有效性评估。例如,系统可以指示告警存在一定的概率是真正的积极安全事件告警,代表真正的安全问题。然后,系统将多个可能性有效性评估报告给组织。
这允许组织内的实体能够快速缩小最有可能反映实际安全问题的安全事件告警的范围。因此,组织可以采取适当的步骤来补救安全问题。在一个实施例中,列表作为经排序的列表被提供,该列表按安全事件是真阳性的可能性排序。备选地,或者另外,排序可以考虑严重性级别。因此,最严重和最有可能是真正的安全告警将成为组织关注的焦点,从而允许快速补救组织内最紧迫的安全问题。
图1示出了一个组织100的表示,该组织表示一个在其中可能发生各种安全事故并且包含各种不同的资产类型的组织的示例。组织的示例包含具有相互连接的计算系统的任何组织,包含但不限于公司、机构、大学、企业、部门、建筑等。然而,本公开描述的原则不限于任何特定类型的组织。
当安全事件发生时,可能存在一个或多个与安全事件相关的潜在不同类型的资产。例如,当在特定机器上操作的特定用户试图访问特定文件时,可能会发生特定的安全事件。因此,该特定用户、机器和文件与安全事件相关。
所示出的环境100包含四种不同类型的资产,包含资源110、文件120、用户130和机器140。然而,资产的类型和种类可能因组织而异,如省略号150所表示。即使在单个组织内,资源的类型也可能随时间变化,如省略号150所表示。备选地,机器、文件、资源和用户的枚举应被视为组织内资产的简单示例。
资源110包含由省略号112表示的潜在其他资源中的资源111。文件120包含由省略号122表示的潜在其他文件中的文件121。用户130包含由省略号132表示的潜在其他用户中的用户131。机器140包含由省略号142表示的潜在其他机器中的机器141。省略号112、122、132和142表示无论每种类型的资产在组织内存在多少,本公开所述的原则都是适用的。省略号112、122、132和142还表示每种类型的资产的数量甚至可以随时间动态变化。作为示例,组织内的用户可以随着新人加入组织而随时间变化。
组织可能会受到各种类型的网络安全漏洞的攻击。因此,组织通常会采取各种保护措施来防范此类网络安全事件。这些保护措施首先要准确检测安全事件。备选地,除了资产外,组织网络还包含各种旨在检测潜在地指示安全威胁的行为或动作的传感器。
图2利用适当保护措施示出了一个图1的组织100的表示。虽然资产110、120、130、140和150仍然存在于组织100内,但这些资产未在图2中示出,以便允许图2的重点放在组织100的保护措施上。
特别地,在图2中,组织100被示为包含检测安全事件的传感器210、向日志230报告相应安全事件告警的记录器220以及安全操作中心240。传感器210被示为包含三个传感器211、212和213。然而,省略号214表示组织可以包含任意数量的传感器,该传感器可以检测潜在的安全事件。传感器210可以分布在整个组织中,以便按区域检测安全事件。备选地,或者另外,传感器210可以专门用于检测特定类型的安全事件。
被传感器211、212和213检测到的潜在安全事件通过例如记录器组件220被报告到日志230中。日志230被示为包含四个安全事件告警231至234。然而,省略号235表示日志230中可能存在任意数量的安全事件告警。随着时间的推移,新的安全事件告警将被添加到日志230中,并且可能过时的安全事件告警可以从日志230中被删除。
安全操作中心240通过读取安全事件告警并使这些告警对人工智能或人类智能可见来监视日志230。然后,人工智能或人类智能可以评估安全事件告警是否反映真实的安全事件,该安全事件是否重要,以及应该采取什么补救措施(如有)以中和或改善该安全事件或类似安全事件的影响。在一个示例中,组织的一个或多个信息技术(IT)代表可以为安全操作中心240配备人员。
人工智能或人类智能还可以利用附加数据标记安全事件告警,例如安全事件告警是否是假阳性,即不存在潜在的安全事件,或者是真阳性,即存在潜在的安全事件。备选地,人工智能或人类智能可以标记安全事件告警为良性阳性,即安全事件告警是由对组织网络保护措施的经控制的测试引起的。
记录器220、日志230和安全操作中心240被示为在组织100内。然而,记录器220和日志230可以备选地经由云服务在组织外部被实现。此外,虽然安全操作中心240可以在组织内部被实现,但安全操作中心240的所有或一些功能可以在云计算环境内被实现。
图3示意性示出了一个安全事件告警数据结构300。安全事件告警数据结构300是一个示例,该示例是图2中的日志230的安全事件告警231到234中的每一个如何被结构化的示例。安全事件告警数据结构300包含表示安全事件告警300的特征的各种字段。例如,安全事件告警数据结构300包含事件类型310、产品标识符320、严重性级别330、相关实体340、告警有效性350、时间360,以及由省略号370表示的潜在其他特征。
告警类型310表示事件类型。仅作为示例,告警类型310可以是来自特权用户帐户的异常行为、未经授权的内部人员尝试访问服务器和数据、异常出站网络流量、发送向或来自未知位置的流量、资源的过度消耗、配置中未经批准的变化、隐藏文件、异常浏览活动、可疑注册表条目等。产品标识符320标识产生告警的产品。严重性级别330指示安全事件的估计严重性(例如,严重、中度、轻微)。
相关实体340包含与安全事件相关的任何组织资产。例如,图1的资产110、120、130和140可能与安全事件相关。作为示例,如果安全事件是由于用户131使用机器141访问资源111而发生的,则该用户、机器和资源可以被标识为安全事件的相关实体。在图3中,实体字段340包含实体字段341和实体字段342。然而,省略号343表示可以存在被标识为与安全事件相关的任何数量的实体。
有效性字段350标识安全事件告警的估计有效性。作为示例,如果基础安全事件被估计为真实,则有效性可以被表达为“真阳性”,如果告警被估计为不真实地反映实际安全事件,则有效性可以被表达为“假阳性”,或者如果告警基于真实的安全事件,而该安全事件是组织内保护措施受控测试的结果,则有效性可以被表达为“良性阳性”。作为示例,组织的熟练代理可以使用安全操作中心240来将有效性标签附加到安全事件上。
根据本公开所述的原则,组织的代理已经标记了告警的有效性的安全事件告警将被用作训练数据,以训练旨在自动估计未来安全事件告警的有效性数据的模型。因此,有效性字段350也可以表示由这种经训练的模型所做的有效性估计。有效性数据还可以包含可能性指示符,该可能性指示符可以定性地(例如,“高度可能”、“适度可能”等)或定量地(例如百分比)表示。作为示例,特定的安全事件告警可能被给予90%的真阳性的机会。
结束图3的示例,安全事件告警数据结构300还包含安全事件发生的时间360、创建安全事件告警的时间和/或安全事件告警记录在日志中的时间。省略号370表示安全事件告警数据结构可以包含表示安全事件告警特征的数量、类型和种类的字段。
图4示出了一种用于训练机器学习模型以针对组织内生成的新安全事件告警提供可能性有效性评估的方法400的流程图。图5至图7每分别涉及该训练阶段。在关于图4至图7讨论训练阶段之后,将对图7和图8的推理阶段进行描述,其中经训练的评估模型被用于以随后生成的安全事件告警的形式的实时数据上,以生成那些随后告警的可能性有效性评估。
参考图4,训练阶段涉及首先访问被标记的先前安全事件告警集合,该被标记的先前安全事件告警集合在由组织控制的网络环境内生成(动作401)。例如,参考图1和图2,组织可以是组织100,并且由该组织100控制的网络可以是包含图1的资产110、120、130、140和150的网络,并且包含图2的保护措施。在这种情况下,可以从日志230获取先前安全事件告警的被标记的集合。也就是说,被标记的集合中的每一个安全事件告警由组织100(通过安全操作中心240)利用有效性评估来标记。在图3的示例中,每一个被标记的安全事件告警集合的每一个安全事件告警数据结构300包含填充的有效性字段350。
参考图4,然后利用先前安全事件告警的被标记的集合来训练评估模型(动作402)。图5示出了一个评估模型在其中被训练的环境500。在图5中,先前安全事件告警501的被标记的集合501被提供(如箭头511所示)向模型构造器组件502。模型构造器组件502可以如针对图9的可执行组件906所述被构造。模型构造器组件502构建(如箭头512所示)评估模型503,使得评估模型503被配置为针对组织网络环境内因安全事件而生成的未来安全事件告警执行可能性有效性评估。这种可能性有效性评估意味着评估模型503将在推理阶段,填充各个未来安全事件告警数据结构300的有效性字段(例如,有效性字段350)。
图6示出了一种用于训练评估模型的方法600,并且表示了一个训练图4的评估模型的动作402的示例。根据本公开所述原则,经训练的评估模型本身包含两个阶段的模型——实体模型和事件模型。例如,图7示出了一个包含实体模型710和事件模型720的两阶段评估模型700。经训练的评估模型700是图5中评估模型503的一个示例。现在将针对图7的两阶段评估模型700描述用于训练两阶段评估模型的方法600。
针对训练两阶段评估模型的方法600包含构建实体模型(动作610)。该实体模型的一个示例是图7的评估模型700的实体模型710。模型构造器标识被标记的安全事件告警集合内的实体(动作611)。例如,模型构造器可以读取每一个安全事件告警的实体字段340,以便为被标记的安全事件告警集合中的多个(并且潜在地全部)被标记的安全事件告警中的每一个收集实体列表。作为示例,对于每一个被标记的安全事件告警集合,模型构造器可以确定哪些资源、文件、用户、帐户和机器与相应的被标记的安全事件告警相关。作为示例,在图7中,安全事件告警701包含实体702和703。
然后,对于所标识的一个或多个实体中的每一个,模型构造器标识所标识的一个或多个实体的一个或多个特征(动作612)。例如,实体的特征可以是安全事件告警的比例,该安全事件告警包括的被标识的实体具有特定有效性评估。作为示例,可以存在与安全事件告警相关的特定用户,该用户重复执行导致安全事件告警为假阳性的活动。因此,该用户的假阳性百分比可以是该用户实体的特征。作为另一个示例,可以存在与安全事件告警相关的特定机器,该机器特别容易受到网络攻击(例如,防火墙机器),因此针对该机器相关的告警的真阳性百分比很高。因此,该机器的真阳性百分比可能是该机器实体的特征。特征的另一个示例是某个实体(在特定时间窗口内)作为相关实体出现在安全事件告警中的次数。
这些所标识的实体特征被用于训练实体模型(动作613)。实体模型可以像深度神经网络一样复杂。然而,由于这里的特征数量可能相对较少,实体模型可以是接收实体特征并输出初始有效性评估的梯度提升树。
事件模型还可以由模型构造器形成(动作620)。例如,事件模型可以是图7的事件模型720。事件模型可以是神经网络。然而,因为安全事件告警的特征数量可能相当小,所以事件模型可以是梯度提升树。
对于多个被标记的先前安全事件告警中的每一个,模型构造器执行框621的内容。也就是说,模型构造器使用针对安全事件告警的一个或多个实体的初始有效性评估作为事件模型中的实际特征(动作621A)。作为示例,事件可能具有一个特征,该特征是实体模型针对事件警报的所有相关实体生成的最高初始有效性评估。
构造器还标识安全事件告警的一个或多个其他特征(动作621B)。此类其他特征的示例包含安全事件告警的严重性、安全事件告警的源类型、安全事件告警的源等等。
然后,构造器使用相应安全事件告警的所标识的一个或多个特征并且将有效性的初始评估包括为一个或多个附加特征来训练事件模型(动作621C)。然后,经训练的事件模型被配置为输出与未来安全事件告警相关联的最终可能性有效性评估。
通过将模型分为两个阶段(实体模型阶段和事件模型阶段),提高了可能性有效性评估的准确性。通过训练大量标记的安全事件告警,评估模型变得非常能够预测未来安全事件告警是真阳性的可能性。此外,当安全事件告警首先生成时,该模型能够立即生成可能性有效性评估。因此,紧急和可能的真阳性的安全事件告警可以快速表面化以引起安全运营中心的注意。
图8示出了一个使用经训练的评估模型推断后续(训练后)安全事件告警的可能性有效性评估的方法800的流程图。方法800在检测到在组织的网络内生成的安全事件告警时开始(动作801),然后使用经训练的评估模型以对安全事件告警执行可能性有效性评估。
为此,安全事件告警的相关实体特征被提取(动作802)。也就是说,从告警中读取组成相关实体,并且标识这些实体的特征。实体的特征然后被馈送向实体模型(动作803)。作为示例,告警701的实体702的特征可能被馈送到实体模型710(如箭头712所示),从而产生一个初始有效性评估721。类似地,告警701的实体703的特征可以被馈送到实体模型710(如箭头713所示),从而产生另一个初始有效性评估721。
参考图8,初始可能性有效性评估然后被提供给事件模型(动作804)。作为示例,也许仅最高可能性有效性评估被提供给事件模型以用作安全事件告警的特征。此外,安全事件告警本身的一个或多个其他特征被标识(动作805)。安全事件告警的特征(如图7中的箭头711和721所示)然后被馈送到事件模型(动作806)。事件模型然后会生成一个可能性有效性评估(动作807),其然后可以被填充到有效性字段中的安全事件告警数据结构中(动作808)。
当每一个未来的安全事件被接受时,此过程可以被重复。告警被报告给组织(动作809)的频率也许与每一次评估安全事件告警的频率一样。此外,每一次评估新的安全事件告警时,安全事件告警列表可以被重排序。作为示例,可以仅按是真阳性的可能性对事件告警排序。备选地,或者另外,可以通过告警是真阳性的可能性与告警的严重程度的加权组合对列表排序。并且,这种排序可以随着对每一个新的安全事件告警的评估而频繁更新。因此,紧急安全事件告警可以快速被插入到列表的顶部以供组织处理,无需等待熟练用户对每一个安全事件告警的紧急程度手动评估。因此,紧急安全事件可能会被更快地解决。
因为本公开描述的原理是在计算系统的上下文中被执行的,所以将关于图9对计算系统进行一些介绍性描述。计算系统的形式越来越多样化。计算系统可以是,例如手持设备、电器、膝上型计算机、台式计算机、大型机、分布式计算系统、数据中心,或者甚至传统上没有被认为是计算系统的设备,例如可穿戴设备(例如,眼镜)。在本说明和权利要求中,术语“计算系统”被广义地定义为包含任何设备或系统(或其组合),其包含至少一个物理和有形处理器,以及能够在其上具有可由处理器执行的计算机可执行指令的物理和有形存储。存储可以采用任何形式并且可以取决于计算系统的性质和形式。计算系统可以分布在网络环境上并且可以包含多个组成计算系统。
如图9所示,在其最基本的配置中,计算系统900包含至少一个硬件处理单元902和存储904。处理单元902包含通用处理器。虽然不是必需的,但处理单元902还可以包含现场可编程门阵列(FPGA)、专用集成电路(ASIC)或任何其他专用电路。在一个实施例中,存储904包含物理系统存储。该物理系统存储可以是易失性的、非易失性的或两者的某种组合。在第二实施例中,存储是非易失性的大容量存储,例如物理存储介质。如果计算系统是分布式的,则处理、存储和/或存储能力也可以是分布式的。
计算系统900在其上还具有通常被称为“可执行组件”的多个结构。例如,计算系统900的存储904被示为包含可执行组件906。术语“可执行组件”是计算领域的普通技术人员所熟知的结构名称,该结构可以是软件、硬件或其组合。例如,当以软件的形式实现时,本领域的普通技术人员将理解可执行组件的结构可以包含可以在计算系统上执行的软件对象、例程、方法(等等)。这种可执行组件存在于计算系统的堆中、计算机可读存储介质中,或其组合中。
本领域普通技术人员将认识到,可执行组件的结构存在于计算机可读介质上,使得当由计算系统的一个或多个处理器(例如,由处理器线程)解释时,使计算系统执行功能。这种结构可以由处理器直接计算机可读(如可执行组件是二进制的情况)。备选地,该结构可以被结构化为可解释的和/或可编译的(无论是在单个阶段还是在多个阶段),以便生成可由处理器直接解释的这种二进制。当使用术语“可执行组件”时,这种对可执行组件示例结构的理解完全符合计算机领域普通技术人员的理解。
对于普通技术人员来说,术语"可执行组件"还完全可以理解为包含诸如硬编码或硬连线逻辑门等结构,这些结构完全或几乎完全在硬件中实现,例如在现场可编程门阵列(FPGA)、专用集成电路(ASIC)或任何其他专用电路中实现。相应地,术语“可执行组件”是计算领域普通技术人员所熟知的结构的术语,无论是以软件、硬件或组合方式实现。在本说明中,还可以使用术语"组件"、"代理"、"管理器"、"服务"、"引擎"、"模块"、"虚拟机"或类似术语。如在本说明和具体实施方式中使用的,这些术语(无论是否用修饰从句表示)也旨在与术语"可执行组件"同义,因此也具有计算机领域普通技术人员所熟知的结构。
在接下来的描述中,参考由一个或多个计算系统执行的动作来描述实施例。如果这些动作以软件的形式实现,则一个或多个(执行该动作的相关联的计算系统的)处理器指挥计算系统的运行,以响应于已经执行的构成可执行组件的计算机可执行指令。例如,这种计算机可执行指令可以体现在形成计算机程序产品的一个或多个计算机可读介质上。这种操作的示例涉及对数据的操作。如果这种动作被排他地或接近排他地在硬件中实现,例如在FPGA或ASIC中,则计算机可执行指令可以是硬编码或硬连线逻辑门。计算机可执行指令(和被操纵的数据)可以存储在计算系统900的存储904中。计算系统900还可以包含允许计算系统900通过例如网络910与其他计算系统通信的通信信道908。
虽然并非所有计算系统都需要用户交互界面,但在一些实施例中,计算系统900包含用于与用户交互界面的用户交互界面系统912。该用户交互界面系统912可以包含输出机制912A以及输入机制912B。本公开描述的原理不限于精确的输出机制912A或输入机制912B,因为这将取决于设备的性质。然而,输出机制912A可以包含,例如扬声器、显示器、触觉输出、虚拟或增强现实、全息图等等。输入机制的示例912B可以包含,例如麦克风、触摸屏、虚拟或增强现实、全息图、照相机、键盘、鼠标或其他指针输入、任何类型的传感器等等。
本公开所述的实施例可以包括或使用包含计算机硬件的专用或通用计算系统,例如,一个或多个处理器和系统存储,下文将详细讨论。本公开所述的实施例还包含用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这种计算机可读介质可以是通用或专用计算系统可以访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,作为示例而非限制,本发明的实施例可以包括至少两种明显不同种类的计算机可读介质:存储介质和传输介质。
计算机可读存储介质包含RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备,或任何其他物理和有形存储介质,其可用于存储计算机可执行指令或数据结构形式的所需程序代码手段,并可由通用或专用计算系统访问。
“网络”被定义为在计算系统和/或模块和/或其他电子设备之间能够使电子数据传输的一个或多个数据链路。当信息通过网络或另一个通信连接(硬连线、无线或硬连线或无线的组合)被传送或提供到计算系统时,计算系统适当地将该连接视为传输介质。传输介质可以包含网络和/或数据链路,该网络和/或数据链路可以被用于以计算机可执行指令或数据结构的形式携带期望的程序代码手段,并且可以被通用或专用计算系统访问。上述的组合也应该包含在计算机可读介质的范围内。
此外,以计算机可执行指令或数据结构为形式的程序代码手段到达各种计算系统组件后,可自动从传输介质传输到存储介质(反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以缓冲在网络接口模块(例如,“NIC”)内的RAM中,然后最终被传送到计算系统的RAM和/或易失性较低的存储介质。因此,应当理解,存储介质可以包含在同时(甚至主要)使用传输介质的计算系统组件中。
计算机可执行指令包括,例如,当在处理器处被执行时,使通用计算系统、专用计算系统或专用处理设备执行特定功能或功能组。备选地,或另外,计算机可执行指令可以配置计算系统以执行特定功能或功能组。计算机可执行指令可以是,例如,二进制或甚至在由处理器直接执行之前经历一些翻译(例如编译)的指令,例如,诸如汇编语言之类的中间格式指令,或者甚至是源代码。
尽管已经用特定于结构特征和/或方法动作的语言描述该主题,应当理解,在所附权利要求中定义的主题不一定限于上述描述的特征或动作。相反,所描述的特征和动作被公开为实现权利要求的示例形式。
本领域技术人员将理解,本发明可以在具有多种类型计算系统配置的网络计算环境中实践,包含个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程消费电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机、数据中心、可穿戴设备(例如眼镜)等。本发明还可以在分布式系统环境中实践,在该环境中,本地和远程计算系统通过网络连接(通过硬线数据链接、无线数据链接或硬线和无线数据链接的组合),同时执行任务。在分布式系统环境中,程序模块可以位于本地和远程存储存储设备中。
本领域技术人员还将理解,本发明可以在云计算环境中实践。云计算环境可以是分布式的,尽管这不是必需的。如果云计算环境是分布式的,云计算环境可以在组织内国际分布和/或具有跨多个组织拥有的组件。在本说明和以下权利要求中,“云计算”被定义为一种针对能够按需通过网络访问可配置计算资源的(例如,网络、服务器、存储、应用和服务)共享池的模式。“云计算”的定义不限于当适当被部署时可以从这种模型获得的任何其他众多优点。
对于本公开的过程和方法,可以以不同的顺序实施过程和方法中执行的操作。此外,所概述的操作仅作为示例提供,其中一些操作可以是可选的,可以合并为更少的步骤和操作,可以用更多的操作进行补充,也可以扩展为更多的操作,而不会脱离所公开的实施例的本质。
本发明可以在不脱离其精神或特征的前提下,以其他具体形式体现。本发明所描述的实施例在所有方面均应仅视为说明性的,而非限制性的。因此,本发明的范围由所附的权利要求书而不是上述描述来说明。在权利要求书的含义和等同范围内的所有变化都应包含在权利要求书的范围内。
Claims (10)
1.一种用于提供新安全告警列表的方法,所述新安全告警列表中的每一个新安全告警包括作为有效安全事件的可能性,所述方法包括:
访问被标记的先前安全事件告警集合,所述被标记的先前安全事件告警集合在由组织控制的网络环境内生成,所述被标记的先前安全事件告警集合中的每一个安全事件告警由所述组织利用相应安全事件告警的有效性评估来标记;
利用所访问的所述被标记的集合训练评估模型,以配置所述评估模型对由于所述网络环境内的安全事件而被生成的未来安全事件告警执行可能性有效性评估;
对于在所述训练后从所述网络环境内产生的多个安全事件告警中的每一个安全事件告警:检测在所述网络环境内被生成的相应安全事件告警;并且响应于所述检测,使用经训练的所述评估模型对所述相应安全事件告警执行所述可能性有效性评估,所述可能性有效性评估包括对所述相应安全事件的有效性的估计和所述估计的可能性级别;以及
使所述多个可能性有效性评估被报告给所述组织。
2.根据权利要求1所述的方法,所述使所述多个可能性有效性评估被报告给所述组织包括:
通过所述多个可能性有效性评估来对所述多个安全事件告警进行排序;以及
使经排序的所述多个可能性有效性评估被报告给所述组织。
3.根据权利要求2所述的方法,所述多个安全事件告警的所述排序还通过可能性有效性评估和事件严重性来进行。
4.根据权利要求1所述的方法,所述评估模型的所述训练包括:
通过以下来构建实体模型:对于所述被标记的先前安全事件告警集合中的多个被标记的安全事件告警中的每一个,标识相应被标记的安全事件告警中的一个或多个实体,标识所标识的所述一个或多个实体的一个或多个特征,并且使用所述一个或多个特征训练所述实体模型,使得所述实体模型通过在多个所述被标记的安全事件告警中的一个或多个实体的一个或多个特征上训练而被构建,经训练的所述实体模型被配置为输出有效性的初始评估。
5.根据权利要求4所述的方法,所述标识所标识的所述一个或多个实体的一个或多个特征包括:
基于包含所述实体的相应安全事件告警的所述被标记的有效性评估,标识所述实体的至少一个所述特征。
6.根据权利要求5所述的方法,所述评估模型的所述训练还包括:
通过以下来构建事件模型:对于所述被标记的先前安全事件告警集合中的多个被标记的先前安全事件告警中的每一个,标识相应安全事件告警的一个或多个特征,以及使用所述相应安全事件告警的所标识的一个或多个特征并且将有效性的所述初始评估包括为一个或多个附加特征来训练所述事件模型,使得所述事件模型通过在所述多个相应安全事件告警中的每一个的所述一个或多个特征以及有效性的所述初始评估上训练而被构建。
7.根据权利要求6所述的方法,针对所标识的所述一个或多个实体中的至少一个实体的所标识的特征是如下的安全事件告警的比例,所述安全事件告警包括的被标识的实体具有特定有效性评估。
8.根据权利要求6所述的方法,所标识的所述一个或多个实体中的至少一个实体是与相应被标记的安全事件告警相关联的用户。
9.根据权利要求6所述的方法,所标识的所述一个或多个实体中的至少一个实体是与相应被标记的安全事件告警相关联的机器。
10.根据权利要求6所述的方法,所标识的所述一个或多个实体中的至少一个实体是与相应被标记的安全事件告警相关联的用户的统一资源标识符。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/352,008 | 2021-06-18 | ||
| US17/352,008 US11991201B2 (en) | 2021-06-18 | 2021-06-18 | Likelihood assessment for security incident alerts |
| PCT/US2022/029934 WO2022265803A1 (en) | 2021-06-18 | 2022-05-19 | Likelihood assessment for security incident alerts |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117501658A true CN117501658A (zh) | 2024-02-02 |
Family
ID=82058197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280043192.7A Pending CN117501658A (zh) | 2021-06-18 | 2022-05-19 | 安全事件告警的可能性评估 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11991201B2 (zh) |
| EP (1) | EP4356564A1 (zh) |
| CN (1) | CN117501658A (zh) |
| WO (1) | WO2022265803A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11106525B2 (en) * | 2019-02-04 | 2021-08-31 | Servicenow, Inc. | Systems and methods for classifying and predicting the cause of information technology incidents using machine learning |
| US20220303300A1 (en) * | 2021-03-18 | 2022-09-22 | International Business Machines Corporation | Computationally assessing and remediating security threats |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2450478A (en) | 2007-06-20 | 2008-12-31 | Sony Uk Ltd | A security device and system |
| US8898090B2 (en) * | 2010-04-08 | 2014-11-25 | Microsoft Corporation | Interactive optimization of the behavior of a system |
| US9699049B2 (en) * | 2014-09-23 | 2017-07-04 | Ebay Inc. | Predictive model for anomaly detection and feedback-based scheduling |
| US9888024B2 (en) * | 2015-09-30 | 2018-02-06 | Symantec Corporation | Detection of security incidents with low confidence security events |
| JP2022514509A (ja) * | 2018-12-13 | 2022-02-14 | データロボット, インコーポレイテッド | データ異常を検出および解釈するための方法、ならびに関連システムおよびデバイス |
| US11487880B2 (en) | 2019-09-13 | 2022-11-01 | Microsoft Technology Licensing, Llc | Inferring security incidents from observational data |
| US11374953B2 (en) * | 2020-03-06 | 2022-06-28 | International Business Machines Corporation | Hybrid machine learning to detect anomalies |
| US20210377303A1 (en) * | 2020-06-02 | 2021-12-02 | Zscaler, Inc. | Machine learning to determine domain reputation, content classification, phishing sites, and command and control sites |
| US11620578B2 (en) * | 2020-07-08 | 2023-04-04 | Vmware, Inc. | Unsupervised anomaly detection via supervised methods |
-
2021
- 2021-06-18 US US17/352,008 patent/US11991201B2/en active Active
-
2022
- 2022-05-19 EP EP22730650.3A patent/EP4356564A1/en active Pending
- 2022-05-19 CN CN202280043192.7A patent/CN117501658A/zh active Pending
- 2022-05-19 WO PCT/US2022/029934 patent/WO2022265803A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022265803A1 (en) | 2022-12-22 |
| US20220407882A1 (en) | 2022-12-22 |
| US11991201B2 (en) | 2024-05-21 |
| EP4356564A1 (en) | 2024-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3841502B1 (en) | Enhancing cybersecurity and operational monitoring with alert confidence assignments | |
| US11032304B2 (en) | Ontology based persistent attack campaign detection | |
| CN112805740B (zh) | 人工智能辅助规则生成 | |
| Arogundade et al. | An ontology-based security risk management model for information systems | |
| CN117501658A (zh) | 安全事件告警的可能性评估 | |
| János et al. | Security concerns towards security operations centers | |
| CN108092985B (zh) | 网络安全态势分析方法、装置、设备及计算机存储介质 | |
| US11093611B2 (en) | Utilization of deceptive decoy elements to identify data leakage processes invoked by suspicious entities | |
| CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
| US9171171B1 (en) | Generating a heat map to identify vulnerable data users within an organization | |
| US20240111809A1 (en) | System event detection system and method | |
| US20210044606A1 (en) | Automatic generation of detection alerts | |
| WO2022150513A1 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| CN112596984A (zh) | 业务弱隔离环境下的数据安全态势感知系统 | |
| CA3204098C (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| CN113904828B (zh) | 接口的敏感信息检测方法、装置、设备、介质和程序产品 | |
| US11763014B2 (en) | Production protection correlation engine | |
| US20210067554A1 (en) | Real-time notifications on data breach detected in a computerized environment | |
| Mishra et al. | Forensics analysis of cloud-computing traffics | |
| Adeniran et al. | A descriptive analytics of the occurrence and predictive analytics of cyber attacks during the pandemic | |
| Leslie et al. | Modeling approaches for intrusion detection and prevention system return on investment | |
| CN114143105B (zh) | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 | |
| Georgeson | Mapping SIEM Vulnerabilities in STIG | |
| CN116484376A (zh) | 一种基于云平台的漏洞告警方法及装置 | |
| Sylvester | Factors Impacting Mobile Device Users’ Susceptibility to Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |