[发明专利]网络安全分析系统及方法

说明书

本公开的各实施例总体上涉及网络安全分析系统。具体地，该网络安全分析系统通过实现网络数据的多视角分析来以低的误报率执行异常检测。分析系统采用一种新的用于使用例如话题建模和时间序列算法来定义网络基线的方法。分析系统实现自然语言处理技术以检查网络内容和时间序列数据，从而建立和维护基线网络状态模型的定义，新的活动与其相比较以标识异常。

优先权声明

本申请要求于2016年7月29日提交的名称为“Network Security AnalysisSystem”的案卷编号为15718-84的美国临时申请序列号 62/368,650的优先权。本申请还要求于2017年3月13日提交的名称为“Network Security Analysis System”的案卷编号为15718-178的美国申请序列号15/457,340的优先权。

技术领域

本申请涉及安全系统，包括用于计算机网络的安全系统。本申请还涉及安全系统中的威胁分析、标识、审查和解决。

背景技术

计算机系统可用的处理能力、存储器容量、可用磁盘空间以及其他资源近年来呈指数级增长。计算机系统的因特网络几乎部署在世界各地几乎每个可想到的应用中，并且执行从平凡到任务至关重要的各种各样的任务。这些系统的安全性的改善将加强对这些系统的保护，使其不会受到损害，不论损害是有意的还是无意的。

附图说明

图1示出了与提交网络数据用于分析的企业位置通信的网络安全分析系统；

图2示出了与企业位置通信的网络安全分析系统的另一视图；

图3示出了网络安全分析系统的示例实现；

图4示出了系统可以实现的滑动窗口机器学习的示例；

图5至图15示出了警报和分析图形用户界面的示例；以及

图16示出了系统如何使用加权因子来计算得分差异的示例。

具体实施方式

网络安全分析系统(“系统”)实现了高速和高数据量分析框架，该框架摄取和分析各种网络数据，诸如NetFlow数据、DNS数据、以及安全信息和事件管理(SIEM)数据。系统检测、分类和报告异常活动。系统实现自然语言处理(NLP)技术，该技术检查网络内容和时间序列分析以建立和维护基线(例如，“正常”或标称)网络状态模型。系统对网络活动的多维视角进行其分析。

图1至图3提供了用于系统中的技术解决方案的以下讨论的示例上下文。也就是说，图1至图3是很多可能的不同的实现和实现上下文中的具体示例。在这方面，技术解决方案在其应用方面不限于下面讨论的任何附图中所示的架构和系统，而是适用于很多其他系统实现、架构、用户界面和连接性。

图1示出了通过网络108连接的地理分布式企业系统102、104 和106的示例100。网络108可以包括通过例如任何预定的和可能的动态因特网协议(IP)地址范围定义的私有网络和公共网络。企业系统102-106包括托管和执行任何数目的任何类型的应用的单个物理和虚拟机。这些机器通常通过特定企业的企业网络被连接在一起。当企业涉及网络安全性时，企业可以订阅并且接收由网络安全分析系统 110提供的网络安全分析。在其他实现中，网络安全分析系统110在企业本身内实现，而不是被实现作为外部服务。