[发明专利]使用认知计算的异常检测

说明书

本公开涉及一种异常检测系统，其被配置成基于一组网络安全数据的空间属性和该组网络安全数据的时间属性来生成多个张量。该组网络安全数据包括从多个计算源收集的数值数据和文本数据。异常检测系统可以将多个张量提供给层级即时记忆(HTM)网络。HTM网络可被配置成为HTM网络的相应区域生成相应HTM输出。异常检测系统可确定至少一个HTM输出指示异常，将至少一个HTM输出转换为通知，并将通知提供给用户接口。

技术领域

本公开涉及计算机安全，并且更具体地，涉及异常检测系统。

背景技术

异常检测系统可以用作网络安全系统的一个组件，该网络安全系统被配置成保持数据的机密性、完整性和/或可用性，该数据被存储在数据处理系统中、在数据处理系统上执行和/或在数据处理系统之间传送。例如，异常检测系统可以识别在网络安全环境的部分之内、之间或贯穿网络安全环境的部分发生的不安全、意外、异常、可疑、恶意和/或未授权的活动。

识别信息系统环境内的异常状况是检测网络攻击、安全事件和威胁的最有效方式之一。检测这种状况是任何组织都需要采取的第一步，以便能够及时响应来保护IT环境中的重要信息资产不被损害、丢失或损坏。检测异常状况以及正确理解和关联到特定安全或威胁分类和响应是具有挑战性的过程。典型的IT环境包括多个物理计算机、网络设备、存储设备、操作系统、软件组件和应用系统。这些大型、复杂、互连且相互依赖的系统处理各种形式的大量数据。

因此，在本领域中需要解决上述问题。

发明内容

从第一方面来看，本发明提供了一种用于确定安全异常的计算机实现的方法，所述方法包括：基于一组网络安全数据的空间属性和该组网络安全数据的时间属性来生成多个张量，其中该组网络安全数据包括数值数据和文本数据，并且其中该组网络安全数据是从多个计算源收集的；将所述多个张量提供给层级即时记忆(HTM)网络，所述HTM网络被配置成为所述HTM网络的相应区域生成相应HTM输出，其中相应输出基于所述HTM网络的相应区域的活动节点；确定至少一个HTM输出指示异常；将所述至少一个HTM输出转换为通知；以及将所述通知提供给用户接口。从另一方面来看，本发明提供了一种用于确定安全异常的计算机实现的方法，所述方法包括：使用特征提取系统中的机器学习算法将安全数据转换成多个空间-时间多维阵列，其中所述安全数据是至少部分地从在通信地耦合多个计算设备的网络安全环境中起作用的安全信息和事件管理(SIEM)系统收集的；其中所述多个空间-时间多维阵列至少部分地基于与所述多个计算设备的至少一部分相关联的计算事件的至少一个序列；将所述多个空间-时间多维阵列提供给执行层级即时记忆(HTM)网络的三维集成电路(3DIC)；在所述特征提取系统处并且从所述HTM网络接收至少部分地基于所述HTM网络的相应区域中的活动节点的至少一个输出多维阵列；使用所述特征提取系统中的机器学习算法基于所述至少一个输出多维阵列来识别至少一个异常；由所述特征提取系统响应于识别出所述至少一个异常而重新配置所述网络安全环境的至少一个方面；以及由所述特征提取系统并且向通信地耦合到所述特征提取系统的用户接口呈现所述至少一个异常的通知。

从另一方面来看，本发明提供了一种用于确定安全异常的计算机系统，所述系统包括：处理器；用于存储程序指令的有形计算机可读存储器，所述程序指令在由所述处理器执行时执行一种方法，所述方法包括：基于一组网络安全数据的空间属性和该组网络安全数据的时间属性来生成多个张量，其中该组网络安全数据包括数值数据和文本数据，并且其中该组网络安全数据是从多个计算源收集的；将所述多个张量提供给层级即时记忆(HTM)网络，所述HTM网络被配置成为所述HTM网络的相应区域生成相应HTM输出，其中相应输出基于所述HTM网络的相应区域的活动节点；确定至少一个HTM输出指示异常；将所述至少一个HTM输出转换为通知；以及将所述通知提供给用户接口。