[发明专利]使用无监督式机器学习和优先权算法的高速威胁情报管理的系统及方法

说明书

本文档揭示一种用于整并计算机及其相关网络的威胁情报数据的系统和方法。数量庞大的原始威胁情报数据收集自多个来源，且被划分成一公共格式以供进行群集分析，其中数据的群集是使用无监督式机器学习算法来达成。产生的经组织的威胁情报数据其后经历以加权资产为基础的威胁严重等级相关过程。一特定计算机网络的所有中间网络漏洞均被使用做为此过程的关键整并参数。透过此高速自动化过程所收集的经过处理的最终情报数据接着在传输至第三方之前被格式化成预定义格式。

技术领域

本发明涉及一种用于整并计算机及其相关网络的威胁情报数据(threatintelligence data)的系统和方法。特别是，本发明涉及从多个来源收集数量庞大的原始威胁情报数据，并将所收集的数据划分成一公共格式以供进行群集分析(clusteranalysis)。接着其使用无监督式机器学习算法(unsupervised machine learningalgorithm)将经过标准化的数据群集。所产生的经过组织的威胁情报数据其后经历以加权资产(weighted asset)为基础的威胁严重等级相关过程。一特定计算机网络的所有中间网络漏洞均被使用做为此过程的关键整并参数。透过此高速自动化过程所集纳的经过处理的最终情报数据接着在传输至第三方之前被格式化成预定义格式。

现有技术概述

计算机及其相关网络的安全和健全对于企业每日的正常运作而言已变得极其重要，因为储存于这些计算机和网络之内的信息无日不受到来自各式各样来源的日益复杂的恶意网络威胁的威胁。由于计算技术的进展，对于计算机网络的攻击也已变得日渐复杂，使得现有的安全专家和他们的管理工具均难以应付和减轻这些攻击。这些网络攻击的形式可以是来自计算机病毒、蠕虫(worm)、拒绝服务攻击(denial of service attack；DoS)、特洛伊木马(Trojan horse)、网络钓鱼(phishing)、或者任何其他恶意的软件的威胁，其意图是扰乱基本的计算机运作、收集敏感数据及/或获取限制性计算机网络的存取权。这种性质的软件概括地被称为恶意软件(malware)。因此，为了先行预防可能由这些威胁对重要信息资产所造成的任何损害，其需要维持有关这些网络安全威胁的最新情报信息的持续性境况知晓。

为了减轻施加到计算机及其相关网络的网络威胁，安全提供者需要有关于这些威胁的概貌及来源的详细信息。此信息将包括特定恶意软件的来源，诸如域名(domainname)、因特网协议(IP)地址、相关网站及其统一资源定位符(URL)、电子邮件地址、国家及全球位置坐标、以及这些恶意软件的检测足迹，使得网络安全提供者能够拿出全面性的策略来预测及缓解这些恶意软件。

由于网络安全提供者不可能自己获得这种信息，所以这种信息通常是从诸如开放来源与商业厂商的各种情报来源取得的。这些情报来源供应网络威胁情报数据，所述数据提供有关于已被检测、标识且分类的潜在与现有的网络威胁的信息。从这些信息提供者取得的数据从而可以由网络安全提供者和系统管理者使用，以确保其计算机系统对于这些潜在威胁被妥善保护。

多数系统管理者向开放来源和商业网络安全提供者两方均预订所述威胁情报数据。然而，来自每一个这些来源的数据馈入通常被表示成它们自己的专有格式，且取决于研发团队的实力，还带有不同程度有效性和可靠度。错误、不精确、及/或误导信息的传递的可能性特别令人关注，因为此虚假信息可能对使用所接收威胁情报的组织或政府的能力造成广泛的质疑。此虚假信息问题并不容易处理，因为信息的数字传输是以非常高的速度、自由且大量地进行。因此，对于网络管理者而言，其难以正确地采用这些不一致的数据馈入而后将其变成对抗入侵安全威胁的可用的可操作回应。