[发明专利]使用行为辨识系统的认知信息安全性

说明书

相关申请的交叉引用

本申请要求2013年8月9日提交的美国临时专利申请序列号61/864,274的权益，所 述临时申请以全文引用方式并入本文中。

技术领域

本文中提出的实施方案提供用于分析计算机数据流的技术。更明确来说，所公开 的技术是用于从监视计算机网络来分析并学习行为模式。

背景技术

入侵检测系统(IDS)监视针对恶意活动或违规的网络或系统活动，并且向管理控 制台产生报告。许多当前的入侵检测系统是基于特征符的(signature-based)。即，IDS可被 配置有检测恶意活动或不当的活动的特征符。已知攻击特征符是对应于已知攻击的计算机 活动(或那些活动的变体)的序列，所述已知攻击如针对操作系统或应用程序的漏洞的攻 击。攻击特征符也可以是对应于已知漏洞的网络包中的位模式。IDS可通过被动协议分析 (例如，使用混杂模式中的“嗅探程序(sniffer)”)或特征符分析(例如，将特定系列的包或 那个包内的数据解译成已知的攻击模式)而使用攻击特征符。例如，IDS可被配置有检测电 子邮件中的特定病毒的攻击特征符。特征符可含有关于主题字段文本的信息，所述主题字 段文本与已含有病毒的先前电子邮件或过去的附件文件名相关联。利用特征符，IDS可将每 一电子邮件的主题与特征符中含有的主题以及具有已知可疑文件名的附件比较。

然而，基于特征符的方法产生若干问题。例如，尽管IDS可能检测到特定攻击的变 体，但变体通常必须定义在进行这种检测的特征符中。类似地，因为预定义攻击特征符，所 以IDS易受尚未观察到新攻击的影响。即，某些人大体不得不在定义特征符之前观察特定攻 击模式或漏洞攻击(exploit)的实例。因此，IDS可能不能检测所谓的“零天”攻击(即，利用 系统或应用程序中的先前未知漏洞的攻击)。随着因零天攻击而出现违背的系统数目日益 增加，入侵检测系统中基于特征符的方法的效用变得受限。另外，攻击者可使用代码变形技 术来搅乱攻击特征符，从而使得攻击难以检测。

发明内容

本文中提出的一个实施方案包括用于处理一个或多个网络连接计算机系统的数 据流的方法。所述方法总体上包括接收标准化矢量的有序流，所述标准化矢量对应于从监 视计算机网络的一个或多个传感器获得的信息安全性数据。信息安全性数据的神经语言学 模型通过以下方式产生：群集矢量的有序流并对每一群集指定字母，基于将标准化矢量的 有序流映射到群集来输出字母的有序序列，建立来自字母的有序输出的词语的词典，基于 字母的有序输出来输出词语的有序流，和基于词语的有序输出产生多个短语。

另一实施方案包括具有指令的计算机可读存储介质，当在处理器上执行所述指令 时，所述指令执行用于处理一个或多个网络连接计算机系统的数据流的操作。所述操作总 体上包括接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一个或多 个传感器获得的信息安全性数据。信息安全性数据的神经语言学模型通过以下方式产生： 群集矢量的有序流并对每一群集指定字母，基于将标准化矢量的有序流映射到群集来输出 字母的有序序列，建立来自字母的有序输出的词语的词典，基于字母的有序输出来输出词 语的有序流，和基于词语的有序输出产生多个短语。

又一实施方案包括具有处理器和存储程序的存储器的系统，当在所述处理器上执 行程序时，所述程序进行用于处理一个或多个网络连接计算机系统的数据流的操作。所述 操作总体上包括接收标准化矢量的有序流，所述标准化矢量对应于从监视计算机网络的一 个或多个传感器获得的信息安全性数据。信息安全性数据的神经语言学模型通过以下方式 产生：群集矢量的有序流并对每一群集指定字母，基于将标准化矢量的有序流映射到群集 来输出字母的有序序列，建立来自字母的有序输出的词语的词典，基于字母的有序输出来 输出词语的有序流，和基于词语的有序输出产生多个短语。

另一实施方案包括用于处理一个或多个网络连接计算机系统的数据流的方法。所 述方法总体上包括接收标准化矢量的流，所述标准化矢量对应于在计算机网络上监视到的 信息安全性数据。产生来自标准化矢量的流的多个符号。基于符号在流中相对于彼此出现 的次序产生来自所产生多个符号的组合的词语的词典。基于在词典中的词语之间识别的关 系产生多个短语。每一关系是基于每一词语相对于彼此出现的次序。在信息安全性数据内 识别行为的模式。

附图说明