公开(公告)号：US20100306285A1

公开(公告)日：2010-12-02

申请号：US12789318

申请日：2010-05-27

申请人： Dhaval M. Shah ,  William M. Alexander ,  Hector Aguilar-Macias ,  Rubin Jin

发明人： Dhaval M. Shah ,  William M. Alexander ,  Hector Aguilar-Macias ,  Rubin Jin

IPC分类号： G06F17/30

CPC分类号： G06F17/271 ,  G06F8/427

摘要： A system for generating a parser and using the parser to parse a target file includes a target file description, an output format description, a Parser generator, a Parser, a target file, and a result object. The target file description and the output format description are included in one or more “properties files”, which are text files that include one or more name/value pairs (“properties”). The target file description and the output format description are input into the Parser generator, which outputs the Parser. The target file is input into the Parser, which outputs the result object. The target file description specifies one or more parsers and/or tokenizers that can be used to parse the target file. The parsers and/or tokenizers specified by the target file description are part of the generated Parser. These parsers and/or tokenizers make the Parser more flexible, which enables the Parser to parse semi-structured data.

摘要翻译： 用于生成解析器并使用解析器来解析目标文件的系统包括目标文件描述，输出格式描述，解析器生成器，解析器，目标文件和结果对象。 目标文件描述和输出格式描述被包括在一个或多个“属性文件”中，它们是包括一个或多个名称/值对（“属性”）的文本文件。 目标文件描述和输出格式描述被输入到解析器生成器中，该分析器生成器输出解析器。 目标文件被输入到解析器中，该输出结果对象。 目标文件描述指定一个或多个可用于解析目标文件的解析器和/或记号器。 由目标文件描述指定的解析器和/或记号器是生成的解析器的一部分。 这些解析器和/或记号器使得Parser更加灵活，这使Parser能够解析半结构化数据。

公开(公告)号：US20100011031A1

公开(公告)日：2010-01-14

申请号：US12554541

申请日：2009-09-04

申请人： Wei Huang ,  Yizheng Zhou ,  Bin Yu ,  Wenting Tang ,  Christian F. Beedgen

发明人： Wei Huang ,  Yizheng Zhou ,  Bin Yu ,  Wenting Tang ,  Christian F. Beedgen

IPC分类号： G06F17/30 ,  G06F9/44

CPC分类号： H04L63/1425 ,  G06F11/3476 ,  G06F17/30595 ,  G06F21/552 ,  G06F2201/86 ,  G06F2221/034 ,  H04L63/1408

摘要： A logging system includes an event receiver and a storage manager. The receiver receives log data, processes it, and outputs a column-based data “chunk.” The manager receives and stores chunks. The receiver includes buffers that store events and a metadata structure that stores metadata about the contents of the buffers. Each buffer is associated with a particular event field and includes values from that field from one or more events. The metadata includes, for each “field of interest,” a minimum value and a maximum value that reflect the range of values of that field over all of the events in the buffers. A chunk is generated for each buffer and includes the metadata structure and a compressed version of the buffer contents. The metadata structure acts as a search index when querying event data. The logging system can be used in conjunction with a security information/event management (SIEM) system.

摘要翻译： 记录系统包括事件接收器和存储管理器。 接收器接收日志数据，处理它，并输出基于列的数据“块”。 经理收到并存储块。 接收器包括存储事件的缓冲器和存储关于缓冲器的内容的元数据的元数据结构。 每个缓冲区与一个特定事件字段相关联，并包含一个或多个事件的该字段的值。 对于每个“感兴趣的领域”，元数据包括反映缓冲器中的所有事件的该字段的值的范围的最小值和最大值。 为每个缓冲区生成一个块，并包括元数据结构和缓冲区内容的压缩版本。 元数据结构在查询事件数据时用作搜索索引。 记录系统可以与安全信息/事件管理（SIEM）系统结合使用。

公开(公告)号：US20080104276A1

公开(公告)日：2008-05-01

申请号：US11923513

申请日：2007-10-24

申请人： Ankur Lahoti ,  Hui Huang ,  Christian Beedgen

发明人： Ankur Lahoti ,  Hui Huang ,  Christian Beedgen

IPC分类号： G06F15/16

CPC分类号： G06F21/6218 ,  G06F21/577 ,  G06F2221/2101 ,  G06F2221/2129 ,  H04L29/12018 ,  H04L41/046 ,  H04L41/069 ,  H04L41/16 ,  H04L61/10 ,  H04L63/1416 ,  H04L69/22

摘要： A unique identifier is assigned to a network node and is used to obtain an “asset model” corresponding to the node and to determine whether the node is a member of a particular category. An asset model is a set of information about a node (e.g., the node's role within the enterprise, software installed on the node, and known vulnerabilities/weaknesses of the node). An identifier lookup module determines a node's identifier based on characteristics of the node (such as IP address, host name, network zone, and/or MAC address), which are used as keys into lookup data structures. A category lookup module determines whether a particular node is a member of (i.e., within) a particular category using a transitive closure to model the categories (properties) that can be attached to an asset model. A transitive closure for a particular asset category is stored as a bitmap, similar to bitmap indexing.

摘要翻译： 唯一标识符被分配给网络节点，并且用于获得与节点对应的“资产模型”，并且确定该节点是否是特定类别的成员。 资产模型是关于节点的一组信息（例如，节点在企业内的角色，安装在节点上的软件以及节点的已知漏洞/弱点）。 标识符查找模块基于用作查找数据结构中的键的节点的特性（诸如IP地址，主机名，网络区域和/或MAC地址）来确定节点的标识符。 类别查找模块使用传递闭包来确定特定节点是否是特定类别的成员（即，在特定类别之内），以模拟可附加到资产模型的类别（属性）。 特定资产类别的传递闭包存储为位图，类似于位图索引。

公开(公告)号：US07333999B1

公开(公告)日：2008-02-19

申请号：US10698814

申请日：2003-10-30

申请人： Hugh S. Njemanze

发明人： Hugh S. Njemanze

IPC分类号： G06F17/00

CPC分类号： G06F8/33 ,  Y10S707/99943

摘要： A prefix expression tree showing an expression can be supplemented to also display the expression in infix notation. In one embodiment, the present invention includes displaying an expression being capable of representation in infix and prefix notation in prefix expression tree format. In one embodiment, the expression includes a plurality of operators and operands, and the plurality of operands make up the leaves of the expression tree. In one embodiment, the present invention further includes inserting a plurality of infix operators corresponding with the plurality of operators into the prefix expression tree, wherein, the plurality of operands and infix operators represent the expression in infix notation.

摘要翻译： 可以补充显示表达式的前缀表达式树，还可以以中缀符号显示表达式。 在一个实施例中，本发明包括以前缀表达式树形式显示能够以中缀和前缀符号表示的表达式。 在一个实施例中，表达式包括多个运算符和操作数，并且多个操作数组成表达式树的叶。 在一个实施例中，本发明还包括将与多个运算符相对应的多个中缀运算符插入到前缀表达树中，其中，多个操作数和中缀运算符以中缀符号表示。

公开(公告)号：US08015604B1

公开(公告)日：2011-09-06

申请号：US10683221

申请日：2003-10-10

申请人： Kenny Tidwell ,  Christian Beedgen ,  Hugh S. Njemanze ,  Pravin S. Kothari

发明人： Kenny Tidwell ,  Christian Beedgen ,  Hugh S. Njemanze ,  Pravin S. Kothari

IPC分类号： G06F11/00

CPC分类号： H04L41/0631 ,  H04L41/046 ,  H04L63/1416 ,  H04L63/1441 ,  H04L67/10 ,  H04L67/12

摘要： A network security system having a hierarchical configuration is provided. In one embodiment the present invention includes a plurality of subsystems, where each subsystem includes a plurality of distributed software agents configured to collect security events from monitor devices, and a local manager module coupled to the plurality of distributed software agents to generate correlated events by correlating the security events. Each of the subsystems can report the correlated events to a global manager module coupled to the plurality of subsystems, and the global manager module can correlate the correlated events from each manager module.

摘要翻译： 提供具有层次结构的网络安全系统。 在一个实施例中，本发明包括多个子系统，其中每个子系统包括被配置为从监控设备收集安全事件的多个分布式软件代理，以及耦合到多个分布式软件代理的本地管理器模块，以通过相关 安全事件。 每个子系统可以将相关事件报告给耦合到多个子系统的全局管理器模块，并且全局管理器模块可以将来自每个管理器模块的相关事件相关联。

公开(公告)号：US20110066585A1

公开(公告)日：2011-03-17

申请号：US12881036

申请日：2010-09-13

申请人： Rajiv Subrahmanyam ,  Hector Aguilar-Macias

发明人： Rajiv Subrahmanyam ,  Hector Aguilar-Macias

IPC分类号： G06N5/02

CPC分类号： G06N7/005

摘要： An “unstructured event parser” analyzes an event that is in unstructured form and generates an event that is in structured form. A mapping phase determines, for a given event token, possible fields of the structured event schema to which the token could be mapped and the probabilities that the token should be mapped to those fields. Particular tokens are then mapped to particular fields of the structured event schema. By using the Naïve Bayesian probability model, a “probabilistic mapper” determines, for a particular token and a particular field, the probability that that token maps to that field. The probabilistic mapper can also be used in a “regular expression creator” that generates a regex that matches an unstructured event and a “parameter file creator” that helps a user create a parameter file for use with a parameterized normalized event generator to generate a normalized event based on an unstructured event.

摘要翻译： “非结构化事件解析器”分析非结构化形式的事件，并生成结构化形式的事件。 对于给定的事件标记，映射阶段确定可以映射令牌的结构化事件模式的可能字段以及令牌应映射到这些字段的概率。 然后将特定令牌映射到结构化事件模式的特定字段。 通过使用朴素贝叶斯概率模型，“概率映射器”对于特定的令牌和特定字段确定该令牌映射到该字段的概率。 概率映射器也可用于生成与非结构化事件匹配的正则表达式和“参数文件创建者”的“正则表达式创建者”，该参数文件创建者可帮助用户创建参数文件以与参数化的归一化事件生成器一起使用，以生成归一化 基于非结构化事件的事件。

公开(公告)号：US07260844B1

公开(公告)日：2007-08-21

申请号：US10655062

申请日：2003-09-03

申请人： Kenny Tidwell ,  Kumar Saurabh ,  Debabrata Dash ,  Hugh S. Njemanze ,  Pravin S. Kothari

发明人： Kenny Tidwell ,  Kumar Saurabh ,  Debabrata Dash ,  Hugh S. Njemanze ,  Pravin S. Kothari

IPC分类号： G06F11/00

CPC分类号： H04L63/1433 ,  G06F21/577 ,  H04L63/1425

摘要： A network security system is provided that receives information from various sensors and can analyse the received information. In one embodiment of the present invention, such a system receives a security event from a software agent. The received security event includes a target address and an event signature, as generated by the software agent. The event signature can be used to determine a set of vulnerabilities exploited by the received security event, and the target address can be used to identify a target asset within the network. By accessing a model of the target asset, a set of vulnerabilities exposed by the target asset can be retrieved. Then, a threat can be detected by comparing the set of vulnerabilities exploited by the security event to the set of vulnerabilities exposed by the target asset.

摘要翻译： 提供一种从各种传感器接收信息并且可以分析所接收的信息的网络安全系统。 在本发明的一个实施例中，这样的系统从软件代理接收安全事件。 所接收的安全事件包括由软件代理产生的目标地址和事件签名。 可以使用事件签名来确定接收的安全事件利用的一组漏洞，并且可以使用目标地址来识别网络内的目标资产。 通过访问目标资产的模型，可以检索目标资产公开的一组漏洞。 然后，可以通过将安全事件利用的一组漏洞与目标资产公开的一组漏洞进行比较来检测威胁。

公开(公告)号：US07219239B1

公开(公告)日：2007-05-15

申请号：US10308585

申请日：2002-12-02

申请人： Hugh S. Njemanze ,  Hector Aguilar-Macias ,  Christian Friedrich Beedgen

发明人： Hugh S. Njemanze ,  Hector Aguilar-Macias ,  Christian Friedrich Beedgen

IPC分类号： H04L9/32 ,  G06F12/14

CPC分类号： H04L63/0218 ,  H04L63/1416

摘要： In one embodiment, the present invention provides for receiving security events from a network device by a distributed software agent of a network security system, determining a priority of each received security event, and storing the security events in a plurality of prioritized event buffers based on the determined priorities for a period of time determined by a timer. Upon expiration of the timer, a batch of security events for transport to a security event manager of the network security system can be created by including security events in the batch in order of priority until the batch is full.

摘要翻译： 在一个实施例中，本发明提供了由网络安全系统的分布式软件代理从网络设备接收安全事件，确定每个接收到的安全事件的优先级，并且基于以下方式将安全事件存储在多个优先事项的事件缓冲器中： 由定时器确定的一段时间的确定的优先级。 在计时器到期时，可以通过以优先级的顺序包括批处理中的安全事件直到批量满满来创建用于传输到网络安全系统的安全事件管理器的一批安全事件。

公开(公告)号：US07899901B1

公开(公告)日：2011-03-01

申请号：US10308416

申请日：2002-12-02

申请人： Hugh S. Njemanze ,  Debabrata Dash ,  Shijie Wang

发明人： Hugh S. Njemanze ,  Debabrata Dash ,  Shijie Wang

IPC分类号： G06F15/173 ,  G06F9/00 ,  G06F11/00

CPC分类号： G06F21/552

摘要： A selected time interval of previously stored security events generated by a number of computer network devices are replayed and cross-correlated according to rules defining security incidents. Meta-events are generated when the security events satisfy conditions associated with one or more of the rules. The rules used during replay may differ from prior rules used at a time when the security events occurred within a computer network that included the computer network devices. In this way, new rules can be tested against true security event data streams to determine whether or not the rules should be used in a live environment (i.e., the efficacy of the rules can be tested and/or debugged against actual security event data).

摘要翻译： 由许多计算机网络设备产生的先前存储的安全事件的选定时间间隔根据定义安全事件的规则被重播和交叉相关。 当安全事件满足与一个或多个规则相关联的条件时，生成元事件。 在播放期间使用的规则可能与在包括计算机网络设备的计算机网络中发生安全事件时使用的先前规则不同。 以这种方式，可以针对真实的安全事件数据流来测试新的规则，以确定是否应该在活动环境中使用规则（即，可以针对实际安全事件数据来测试和/或调试规则的功能） 。

公开(公告)号：US07844999B1

公开(公告)日：2010-11-30

申请号：US11070024

申请日：2005-03-01

申请人： Hector Aguilar-Macias ,  Rajiv Subrahmanyam

发明人： Hector Aguilar-Macias ,  Rajiv Subrahmanyam

IPC分类号： G06F7/04 ,  G06F3/00 ,  G06F9/00 ,  G06F15/173 ,  H04L29/06

CPC分类号： H04L63/0227 ,  G06F21/552 ,  G06F2221/2129 ,  G06F2221/2151 ,  H04L63/1441

摘要： Device discovery can be made efficient using certain embodiments of the present invention. In one embodiment, the present invention includes accessing a message in a message log, wherein the message log associates a host identifier with the message, the host identifier being an identifier of a host that sent the message to the message log. Then a list of parsers associated with the host identifier associated with the message can be accessed and parsing the message using parsers from the list of parsers associated with the host identifier can be attempted. If the parsing is unsuccessful, a device type of an originator of the message can be discovered, and a parser associated with the discovered device type can be added to the list of parsers associated with the host identifier.

摘要翻译： 可以使用本发明的某些实施例使设备发现成为有效的。 在一个实施例中，本发明包括访问消息日志中的消息，其中消息日志将主机标识符与消息相关联，主机标识符是将消息发送到消息日志的主机的标识符。 然后，可以访问与与该消息相关联的主机标识符相关联的解析器的列表，并且可以尝试使用与主机标识符相关联的解析器列表中的解析器来解析消息。 如果解析不成功，则可以发现消息的发起者的设备类型，并且可以将与发现的设备类型相关联的解析器添加到与主机标识符相关联的解析器列表中。