[发明专利]知识推断和统计相关系统的并行化和n层级化

权利要求书

1.一种用于监控和预测网络攻击的n层级化安全威胁推断和相关装置，所述装置包括：

多个推断-相关系统组，每个组包括至少一个推断系统和至少一个相关联的相关系统，并且其被配置以监控至少一个网络；和

输入/输出(I/O)系统，其被配置以接收安全事件，并且将所接收的安全事件广播到所述多个推断-相关系统组；

其中，相应的推断-相关系统组被配置以仅处理与相应的网络有关的安全事件，以识别所述网络攻击；和

其中，一个所述推断-相关系统组的所述至少一个推断系统可操作以基于所定义的推断规则来处理相关的被广播的安全事件，以识别高值事件和低值事件，以及所述推断规则是从随机参数中获得的，所述随机参数是根据严重程度属性由用户可自定义的；和

其中所述一个所述推断-相关系统组的所述至少一个相关联的相关系统可操作以基于所定义的确定规则来处理所述相关的被广播的安全事件，所述确定规则是从历史数据中推导出的，以用于预测网络攻击。

2.根据权利要求1所述的装置，其中，所述至少一个推断系统包括多个推断系统，所述推断系统在需要时被动态地生成。

3.根据权利要求1所述的装置，其中，所述至少一个相关系统(106b-114b)包括多个相关系统，所述相关系统在需要时被动态地生成。

4.根据权利要求1所述的装置，其中，所述至少一个推断系统(106a-114a)包括，被通信地联接到所述至少一个相关联的相关系统(106b-114b)。

5.根据权利要求1所述的装置，其中，所述至少一个推断系统(106a-114a)和所述至少一个相关联的相关系统(106b-114b)包括，被配置以在虚拟机环境中被逻辑地执行。

6.根据权利要求1所述的装置，其中，所述被广播的安全事件包括，作为数据包(200)被广播，所述数据包分别被配置有第一标识符(202)和有效载荷(206)，所述有效载荷包含与所述安全事件有关的信息，所述第一标识符(202)被布置有与所述网络相关联的独特值，以使得相应的所述推断-相关系统组(106a-114a,106b-114b)能够确定被广播的所述安全事件是否与处理所述有效载荷(206)有关。

7.根据权利要求6所述的装置，其中，所述数据包(200)还被配置有第二标识符(204)，以使得所述至少一个推断系统(106a-114a)和同一组的所述至少一个相关联的相关系统(106b-114b)能够在确定所述被广播的安全事件是有关的之后确定是否处理所述有效载荷(206)。

8.根据权利要求6或7所述的装置，其中，经由用户数据报协议来广播所述数据包(200)。

9.根据权利要求6所述的装置，其中，所述第一标识符的独特值包括与每个推断-相关系统组(106a-114a,106b-114b)唯一相关的不可拒绝的共享秘密值。

10.根据权利要求1所述的装置，其中，所述至少一个推断系统(106a-114a)和同一组的所述至少一个相关联的相关系统(106b-114b)中的至少一个被配置以处理所述被广播的安全事件。

11.一种操作用于监控和预测网络攻击的n层级化安全威胁推断和相关装置(100)的方法(300)，所述装置包括输入/输出(I/O)系统(102)和多个推断-相关系统组(106a-114a,106b-114b)，每个组包括至少一个推断系统(106a-114a)和至少一个相关联的相关系统(106b-114b)，并且其被配置以监控至少一个网络，所述方法包括：

由所述I/O系统接收安全事件；

由所述I/O系统将接收到的所述安全事件广播到所述多个推断-相关系统组；和

由相应的所述推断-相关系统组仅处理与相应的所述网络有关的被广播的所述安全事件，以识别所述网络攻击；

其中，一个所述推断-相关系统组的所述至少一个推断系统(106a-114a)以基于所定义的推断规则来处理相关的被广播的安全事件，以识别高值和低值事件，以及所述推断规则是从随机参数中获得的，所述随机参数是根据严重程度属性由用户可自定义的；和

其中所述一个所述推断-相关系统组的所述至少一个相关联的相关系统可操作以基于所定义的确定规则来处理所述相关的被广播的安全事件，所述确定规则是从历史数据中推导出的，以用于预测网络攻击。