网络通信量模式中的违规和攻击执行的快速识别的制作方法

技术特征：
1.一种用于在基于tcp/ip的网络上识别威胁的方法，包括：获得与一个或多个已定义的危害指示符ioc相关联的一组参考模式，其中参考模式是分组捕获的编码并且包括针对分组捕获中的一个或多个可寻址网络接口的每个配对的以区间为界限的一组通信量测量以及任何其他可检测的会话数据；接收与通信量模式相关联的网络通信量数据作为数据流；对接收到的网络通信量进行编码以生成网络谱；当接收到所述数据流时，将所述网络谱与包括所述参考模式的一组参考模式进行实时模式匹配；以及响应于识别出所述网络谱与所述一组参考模式中的至少一个参考模式之间的匹配，采取给定的补救或者缓解行动。2.根据权利要求1所述的方法，其中，所述实时模式匹配包括：将所述一组参考模式中的每个参考模式识别为所述网络谱的匹配；当针对所述网络谱与给定参考模式之间的匹配的置信度下降到低于可配置阈值时，从进一步考虑中移除所述给定参考模式。3.根据权利要求1所述的方法，其中，所述至少一个参考模式是通过对所述分组捕获进行编码并过滤表现出空闲通信量活动的一个或多个以时间为界限的区间来生成的。4.根据权利要求1所述的方法，其中，所述一个或多个可寻址网络接口与至少两(2)个不同的计算实体相关联。5.根据权利要求4所述的方法，其中，所述至少一个参考模式是涉及两(2)个以上不同的计算实体的多方向通信量模式。6.根据权利要求1所述的方法，其中，所述编码还包括以下各项中的至少一个：通信总量、定向数据、以及与传输连接相关联的未加密的通信量元数据。7.根据权利要求1所述的方法，其中，所述接收到的网络通信量数据是以下各项之一：捕获的分组通信量，以及从实时捕获的通信量导出的数据。8.一种装置，包括：处理器；计算机存储器，其持有计算机程序指令，所述计算机程序指令由所述处理器执行以在基于tcp/ip的网络上识别威胁，所述计算机程序指令包括程序代码，所述程序代码被配置为：获得与一个或多个已定义的危害指示符ioc相关联的一组参考模式，其中参考模式是分组捕获的编码并且包括针对分组捕获中的一个或多个可寻址网络接口的每个配对的以区间为界限的一组通信量测量以及任何其他可检测的会话数据；接收与通信量模式相关联的网络通信量数据作为数据流；对接收到的网络通信量进行编码以生成网络谱；当接收到所述数据流时，将所述网络谱与包括所述参考模式的一组参考模式进行实时模式匹配；以及响应于识别出所述网络谱与所述一组参考模式中的至少一个参考模式之间的匹配，采取给定的补救或者缓解行动。9.根据权利要求8所述的装置，其中，用于所述实时模式匹配的所述计算机程序指令还
包括被配置为执行以下操作的程序代码：将所述一组参考模式中的每个参考模式识别为所述网络谱的匹配；当针对所述网络谱与给定参考模式之间的匹配的置信度下降到低于可配置阈值时，从进一步考虑中移除所述给定参考模式。10.根据权利要求8所述的装置，其中，所述至少一个参考模式是通过对所述分组捕获进行编码并过滤表现出空闲通信量活动的一个或多个以时间为界限的区间来生成的。11.根据权利要求8所述的装置，其中，所述一个或多个可寻址网络接口与至少两(2)个不同的计算实体相关联。12.根据权利要求11所述的装置，其中，所述至少一个参考模式是涉及两(2)个以上不同的计算实体的多方向通信量模式。13.根据权利要求8所述的装置，其中，所述编码还包括以下各项中的至少一个：通信总量、定向数据、以及与传输连接相关联的未加密的通信量元数据。14.根据权利要求8所述的装置，其中，所述接收到的网络通信量数据是以下各项之一：捕获的分组通信量，以及从实时捕获的通信量导出的数据。15.一种非暂存性计算机可读介质中的计算机程序产品，其在数据处理系统中使用以在基于tcp/ip的网络上识别威胁，所述计算机程序产品持有计算机程序指令，当由所述数据处理系统执行时，所述计算机程序指令被配置为：获得与一个或多个已定义的危害指示符ioc相关联的一组参考模式，其中参考模式是分组捕获的编码并且包括针对分组捕获中的一个或多个可寻址网络接口的每个配对的以区间为界限的一组通信量测量以及任何其他可检测的会话数据；接收与通信量模式相关联的网络通信量数据作为数据流；对接收到的网络通信量进行编码以生成网络谱；当接收到所述数据流时，将所述网络谱与包括所述参考模式的一组参考模式进行实时模式匹配；以及响应于识别出所述网络谱与所述一组参考模式中的至少一个参考模式之间的匹配，采取给定的补救或者缓解行动。16.根据权利要求15所述的计算机程序产品，其中，用于所述实时模式匹配的所述计算机程序指令包括进一步被配置为执行以下操作的程序代码：将所述一组参考模式中的每个参考模式识别为所述网络谱的匹配；当针对所述网络谱与给定参考模式之间的匹配的置信度下降到低于可配置阈值时，从进一步考虑中移除所述给定参考模式。17.根据权利要求15所述的计算机程序产品，其中，所述至少一个参考模式是通过对所述分组捕获进行编码并过滤表现出空闲通信量活动的一个或多个以时间为界限的区间来生成的。18.根据权利要求15所述的计算机程序产品，其中，所述一个或多个可寻址网络接口与至少两(2)个不同的计算实体相关联。19.根据权利要求18所述的计算机程序产品，其中，所述至少一个参考模式是涉及两(2)个以上不同的计算实体的多方向通信量模式。20.根据权利要求15所述的计算机程序产品，其中，所述编码还包括以下各项中的至少
一个：通信总量、定向数据、以及与传输连接相关联的未加密的通信量元数据。21.根据权利要求15所述的计算机程序产品，其中，所述接收到的网络通信量数据是以下各项之一：捕获的分组通信量，和从实时捕获的通信量导出的数据。22.一种网络威胁检测系统，包括：第一基于软件的实用工具，其在硬件上执行并且被配置为获得分组捕获和生成第一编码，所述第一编码包括针对所述分组捕获中的一个或多个可寻址网络接口的每个配对的一组以区间为界限的通信量测量，以及任何其他可检测的会话数据；以及第二基于软件的实用工具，其在硬件上执行并且被配置为接收数据流，并且当接收到所述数据流时，将接收到的所述数据流的编码与包括所述第一编码的一组编码进行实时模式匹配。

技术总结
一种用于在基于TCP/IP的网络上识别威胁的方法、装置和计算机系统。该方法利用与一个或多个已定义的危害指示符(IoC)相关联的一组参考模式(或“网络谱”)。至少一个参考模式是以时间为界限(time-bounded)的并且使用会话数据的集合(例如，总量、方向、通信量元数据)对网络通信量模式进行概况分析，所述会话数据的集合是有效载荷中性的并且可以部分地通过对至少一个不变化编码区间进行时间序列压缩来导出。接收与被测试通信量模式相关联的网络通信量数据并将其编码成测试谱。执行基于流的实时比较来确定测试谱是否与参考谱中的任何一个匹配。响应于识别出匹配，采取给定的补救或缓解行动。参考谱可以表示双向流或多向流，并且多向流可以涉及多个实体。多向流可以涉及多个实体。多向流可以涉及多个实体。


技术研发人员：W.F.塔卡布里 B.多斯桑托斯西尔瓦
受保护的技术使用者：国际商业机器公司
技术研发日：2021.04.23
技术公布日：2023/2/3