用于使用3D抽象建模的离散时间参考中的威胁事件证实的系统和方法技术方案

在本文档中描述了一种用于评估计算机网络的网络安全威胁事件的系统和方法。具体而言，描述了可通过在设备的显示器上将网络安全威胁事件显示为多个图形对象来可视化计算机网络的这些威胁事件。可接着通过将单个连续触摸输入施加到设备的触摸界面来选择这些图形对象或威胁事件的子集。风险评分将接着基于被包含在该图形对象的子集内的威胁事件来被生成和显示。解决触发了这些威胁事件的网络安全威胁的缓解动作接着通过设备来实现。

【技术实现步骤摘要】
【国外来华专利技术】用于使用3D抽象建模的离散时间参考中的威胁事件证实的系统和方法专利
本专利技术涉及用于评估计算机网络的网络安全威胁事件的系统和方法。具体而言，本专利技术涉及通过在设备的显示器上将网络安全威胁事件显示为多个图形对象来可视化计算机网络的这些威胁事件。可接着通过向设备的触摸界面施加单个连续触摸输入来选择表示不同的时间参考系中的威胁事件的这些图形对象的子集。风险分数将接着基于被包含在该图形对象的子集内的威胁事件来被生成和显示。解决触发了这些威胁事件的网络安全威胁的缓解动作接着通过设备来实现。现有技术概要较大数量的计算机安全系统正以渐增方式被部署用于监视各组织的计算机网络的日常运营中发生的安全事件。此类监视活动的主要目的是在诸如对计算机网络的安全性的攻击或破坏之类的异常事件能够对网络造成严重破坏之前检测并缓解这些异常事件。通常被用于此类目的的监视系统是安全事件监视系统。这样的事件监视系统可被用作集中式枢纽，以接收和整理被传送自计算机网络的许多监视设备的安全事件。每当监视设备检测到异常事件时，该监视设备就将安全事件传送到计算机网络的事件监视系统。由于计算机网络将利用各种各样的监视设备(例如，防火墙、入侵检测系统等)，因此事件监视系统通常将接收各种格式和样式的安全事件。为了解决这种信息的混杂，事件监视系统将对所接收的安全事件进行整理并转换成称为可传输事件格式(TIF)的统一格式。以这样的统一格式储存这些安全事件允许经报告的事件的报告标准化、趋势分析和脆弱性分析。然后，安全分析员可以容易地评估经整理的TIF记录，以确定要被执行以处理安全事件的合适的缓解动作。缓解动作可基于规则集内所提供的预先计划的动作，或者替代地，如果预先计划的动作不可用，则安全事件可被升级以供人类分析员作进一步分析。行以及要由安全分析员评估的TIF记录的行随着检测到的异常事件数量的增加而被实时快速地生成。常规地，TIF记录将使用基于文本的办法来被显示为页面上的行或列。每个行将包含关于触发了安全事件的攻击的信息，诸如攻击者的源IP地址、攻击的性质、受攻击影响的操作系统等。分析员将必须查阅TIF记录的每个行，以评估其中所包含的事件是不是对计算机网络的实际威胁。此外，随着TIF记录的越来越多的行被生成，分析员更难以确定或可视化一个事件与下一个事件之间的关系。例如，第一事件可能与在另一监视设备上检测到的第十事件相关。这些问题增加了错误发生的可能性。进而，这将导致对事件的错误评估，其接着导致虚假警报的生成。虚假警报对计算机网络是有害的，因为计算资源必须被部署或禁用以解决这些虚假警报。在某些场景中，恶意攻击者甚至可能利用此类虚假警报的生成来使计算机网络的资源过载，使得恶意攻击者可在网络的资源已被转移以处理大量虚假警报时破坏网络的安全性。出于以上原因，本领域技术人员正不断努力想出一种允许非常大规模的网络安全威胁事件在单个显示器上被同时地、准确且有效地评估的系统和方法。
技术实现思路
通过根据本专利技术的各实施例所提供的系统和方法解决了上述和其他问题，并且在本领域中取得了进步。根据本专利技术的系统和方法的各实施例的第一优点在于，由显示器上的图形对象表示的网络安全威胁事件可以被实时容易且快速地评估，因为所选择的事件的风险分数将被立即更新和显示。这降低了虚假警报的发生以及随后可避免的缓解动作，由此释放了计算机资源。根据本专利技术的系统和方法的各实施例的第二优点在于，触摸界面允许本专利技术的用户容易地选择相对于彼此以三维格式布置的图形对象，而无需滚动或最小化显示。根据本专利技术的系统和方法的各实施例的第三优点在于，定为目标的缓解动作可被快速地执行以解决特定的所选择的事件。被认为对计算机网络具有低风险的事件没有被加以注意，而被确定为对计算机网络构成威胁的事件将被处理。这确保了计算机网络的资源可被战略性地部署。以上优点是由根据本专利技术的按以下方式操作的系统的各实施例来提供的。根据本专利技术的第一方面，使用设备评估计算机网络的网络安全威胁事件的方法包括：在设备的显示器的用户界面上呈现图形对象，其中每个图形对象表示网络安全威胁事件；通过用户界面的触摸界面接收单个连续触摸输入，该连续触摸输入选择图形对象的子集；为该图形对象子集生成风险分数，其中该风险分数使用该图形对象子集中的每个图形对象的事件分数来被生成；在设备的显示器上显示所生成的风险分数；以及在所生成的风险分数超过置信度分数的情况下针对该图形对象子集中的图形对象执行缓解动作。参考第一方面，在第一方面的第一种可能的实现中，为该图形对象子集生成风险分数包括：检索与计算机网络相关联的计算机资产的列表和被赋予计算机资产中的每一者的严重性权重值，其中针对每个图形对象，标识受该图形对象所表示的威胁事件影响的计算机资产并对所标识的计算机资产的严重性权重值求和，并且将经求和的严重性权重值除以所有资产的严重性权重值的总和，以获得每个图形对象的事件分数，以及通过将该图形对象子集中的所有图形对象的事件分数的总和除以该图形对象子集中的图形对象的总数并将结果乘以100来计算风险分数。参考第一方面，在第一方面的第二种可能的实现中，选择图形对象的子集包括通过触摸输入在图形对象周围描绘连续边界；以及从该边界所包围的图形对象生成图形对象的子集。参考第一方面，在第一方面的第三种可能的实现中，选择图形对象的子集包括通过触摸输入来描绘通过第一平面上所提供的图形对象和第二平面上所提供的图形对象的连续三维图案，其中第一平面上的图形对象通过在触摸界面上施加第一压力值来被选择，并且第二平面上的图形对象通过在触摸界面上施加第二压力值来被选择；以及从该三维图案内所包含的图形对象生成图形对象的子集。参考第一方面，在第一方面的第四种可能的实现中，选择图形对象的子集包括通过触摸输入来描绘通过第一平面上所提供的图形对象、第二平面上所提供的图形对象和第三平面上所提供的图像对象的连续三维图案，其中第一平面上的图形对象通过在触摸界面上施加第一压力值来被选择，第二平面上的图形对象通过在触摸界面上施加第二压力值来被选择，并且第三平面上的图像对象通过在触摸界面上施加第三压力值来被选择；以及从该三维图案内所包含的图形对象生成图形对象的子集。参考第一方面，在第一方面的第五种可能的实现中，缓解动作包括通过设备向与计算机网络相关联的中间入侵检测或防御系统传送命令，以规避触发了图形对象子集中的网络安全威胁事件的互联网协议地址，并且同时在可能的情况下向SIEM系统提交事件通知票证。参考第一方面的第四或第五种可能的实现，在第一方面的第六种可能的实现中，第一压力值包括x和y笛卡尔坐标形式的坐标，并且第二压力值包括x、y和z笛卡尔坐标形式的坐标。参考第一方面，在第一方面的第七种可能的实现中，在设备的显示器的用户界面上呈现图形对象包括：选择在一时间帧内发生了的威胁事件；将所选择的威胁事件聚类成组，其中每个组表示该时间帧的一时刻，并且其中每个组中的每个威胁事件被显示为图形对象；以及将每一组图形对象显示为沿用户界面的z轴的平面，其中每个平面表示该时间帧的一时刻。附图简述以上及其他问题通过根据本专利技术的在详细描述中描述且在以下附图中示出的系统和方法的特征和优点来解决。图1解说了表示用于实现根据本专利技术的各实施例的特征的电子设备中的组件的框图；图2解本文档来自技高网...

【技术保护点】
1.一种使用设备评估计算机网络的网络安全威胁事件的方法，所述方法包括：在所述设备的显示器的用户界面上呈现图形对象，其中每个图形对象表示网络安全威胁事件；通过所述用户界面的触摸界面接收单个连续触摸输入，所述连续触摸输入选择图形对象的子集；为所述图形对象子集生成风险分数，其中所述风险分数使用所述图形对象子集中的每个图形对象的事件分数来生成；在所述设备的显示器上显示所生成的风险分数；以及在所生成的风险分数超过置信度分数的情况下针对所述图形对象子集中的图形对象执行缓解动作。

【技术特征摘要】
【国外来华专利技术】1.一种使用设备评估计算机网络的网络安全威胁事件的方法，所述方法包括：在所述设备的显示器的用户界面上呈现图形对象，其中每个图形对象表示网络安全威胁事件；通过所述用户界面的触摸界面接收单个连续触摸输入，所述连续触摸输入选择图形对象的子集；为所述图形对象子集生成风险分数，其中所述风险分数使用所述图形对象子集中的每个图形对象的事件分数来生成；在所述设备的显示器上显示所生成的风险分数；以及在所生成的风险分数超过置信度分数的情况下针对所述图形对象子集中的图形对象执行缓解动作。2.根据权利要求1所述的方法，其特征在于，所述为所述图形对象子集生成所述风险分数包括：检索与所述计算机网络相关联的计算机资产的列表和被赋予所述计算机资产中的每一者的严重性权重值，其中针对每个图形对象，标识受所述图形对象所表示的所述威胁事件影响的计算机资产并对所标识的计算机资产的严重性权重值求和，并且将经求和的严重性权重值除以所有所述资产的严重性权重值的总和，以获得针对每个图形对象的事件分数，以及通过将所述图形对象子集中的所有图形对象的事件分数的总和除以所述图形对象子集中的图形对象的总数并将该结果乘以100来计算所述风险分数。3.根据权利要求1所述的方法，其特征在于，所述选择所述图形对象子集包括：通过所述触摸输入在所述图形对象周围描绘连续边界；以及从所述边界所包围的图形对象生成所述图形对象子集。4.根据权利要求1所述的方法，其特征在于，所述选择所述图形对象子集包括：通过所述触摸输入来描绘通过第一平面上所提供的图形对象和第二平面上所提供的图形对象的连续三维图案，其中所述第一平面上的图形对象通过在所述触摸界面上施加第一压力值来被选择，并且所述第二平面上的图形对象通过在所述触摸界面上施加第二压力值来被选择；以及从所述三维图案内所包含的图形对象生成所述图形对象子集。5.根据权利要求1所述的方法，其特征在于，所述选择所述图形对象子集包括：通过所述触摸输入来描绘通过第一平面上所提供的图形对象、第二平面上所提供的图形对象和第三平面上所提供的图像对象的连续三维图案，其中所述第一平面上的图形对象通过在所述触摸界面上施加第一压力值来被选择，所述第二平面上的图形对象通过在所述触摸界面上施加第二压力值来被选择，并且所述第三平面上的图像对象通过在所述触摸界面上施加第三压力值来被选择；以及从所述三维图案内所包含的图形对象生成所述图形对象子集。6.根据权利要求1所述的方法，其特征在于，所述缓解动作包括：通过所述设备向与所述计算机网络相关联的中间入侵检测系统传送命令，所述命令指令所述入侵检测系统规避触发了所述图形对象子集中的所述网络安全威胁事件的互联网协议(IP)地址。7.根据权利要求4或5中任一项所述的方法，其特征在于，所述第一压力值包括x和y笛卡尔坐标形式的坐标，并且所述第二压力值包括x、y和z笛卡尔坐标形式的坐标。8.根据权利要求1所述的方法，其特征在于，所述在所述设备的显示器的用户界面上呈现所述图形对象包括：选择在一时间帧内发生了的威胁事件；将所选择的威胁事件聚类成组，其中每个组表示所述时间帧中的一时刻，并且其中每个组中的每个威胁事件被显示为图形对象；以及将每一组图形对象显示为沿所述用户界面的z轴的平面，其中每个平面表示所述时间帧的一时刻。9.一种用于评估计算机网络的网络安全威胁事件的系统，包括：处理单元；以及能由所述处理单元读取的非瞬态介质，所述介质储存当由所述处理单元执行时致使所述处理单元执行以下步骤的指令：在所述设备的显示器的用...

【专利技术属性】
技术研发人员：林庆麟，
申请(专利权)人：策安保安有限公司，
类型：发明
国别省市：新加坡,SG