基于模拟和虚拟现实的网络行为系统的制作方法

本申请要求于2016年7月14日提交的美国临时申请No.62/362,346的优先权，该申请通过引用被结合于此。

技术领域

本发明的一些实施例一般而言涉及网络安全(cybersecurity)，并且尤其是涉及基于模拟和虚拟现实的网络行为(cyber behavioral)系统以及网络行为系统之间的知识共享。

背景技术：

传统上，网络防御者只审查信息的片断来帮助了解其网络上正在实际发生的情况。为了查看潜在的行动过程(a course of action)、防御策略以及对抗(force on force)场景而模拟整个网络可能是非常困难和耗费人力的。当前的网络安全练习允许防御者互相对抗，但是这些练习并未涵盖网络上可能发生的所有场景。每天，新威胁的数量和复杂性都在增长，并且网络防御者越来越难跟上当前的网络运营系统。

通常，公司和组织独立地处理与网络安全相关的问题。当它们确实共享信息时，这通常是通过用于促进与网络安全相关的数据的共享的行业或政府政策和框架。用于共享信息的传统做法不足以处理攻击的数量或速度。它不允许公司充分利用可用于在网络内积极进行防御的人力，也不允许在网络之间战斗以捍卫一个部门、多个部门或一个国家。

技术实现要素：

根据所公开的主题，提供了系统、方法和非瞬态计算机可读介质来提供网络安全系统，该网络安全系统用于管理与网络参与者(cyber actor)相关联的网络行为以使得可以计算和预测网络行为并且可以创建网络参与者之间的网络互动。

在一些实施例中，所公开的主题包括一种网络安全系统，其包括网络行为空间管理模块、互动引擎、分析工作流引擎以及可视化引擎。在一些实施例中，网络行为空间管理模块与互动引擎、分析工作流引擎和可视化引擎通信。在一些实施例中，网络行为空间管理模块被配置为接收输入数据、来自互动引擎的数据以及来自分析工作流引擎的数据中的至少一个，输入数据包括输入网络数据、传感器数据、富集(enrichment)数据和第三方数据中的至少一个。在一些实施例中，网络行为空间管理模块被配置为基于输入数据、来自互动引擎的数据以及来自分析工作流引擎的数据中的至少一个来生成多个网络行为空间，该多个网络行为空间中的每一个包括网络行为空间数据。在一些实施例中，网络行为空间数据包括网络数据，网络数据包括输入网络数据和变换后的输入网络数据中的至少一个、与多个网络参与者相关联的网络参与者数据、以及与多个网络场景相关联的网络场景数据，网络行为空间数据由多个维度、多个模式和多个尺度来定义。在一些实施例中，互动引擎被配置为接收与多个网络参与者中的第一网络参与者相关联的第一网络参与者数据，第一网络参与者包括真实网络参与者和模拟参与者中的至少一个。在一些实施例中，互动引擎被配置为处理接收到的第一网络参与者数据，以促进第一网络参与者与网络行为空间、网络场景和网络地图中的至少一个之间的第一互动以及第一网络参与者与多个网络参与者中的第二网络参与者之间的第二互动中的至少一个，其中网络地图与多个网络行为空间中的至少一个相关联。在一些实施例中，互动引擎被配置为传送与第一互动和第二互动中的至少一个相关联的数据。在一些实施例中，分析工作流引擎被配置为分析与多个网络行为空间中的每一个相关联的网络行为空间数据以计算网络行为，并且基于网络行为空间数据、计算出的网络行为和计算出的网络行为向网络数据、网络参与者数据和网络场景数据中的至少一个的分配、第一互动以及第二互动中的至少一个来更新网络数据、网络参与者数据和网络场景数据中的至少一个。在一些实施例中，互动引擎被配置为传送与更新后的网络数据、网络参与者数据和网络场景数据中的至少一个相关联的数据。在一些实施例中，可视化引擎被配置为计算与来自互动引擎的第一互动和第二互动中的至少一个相关联的数据以及在网络行为空间、多个网络参与者、多个网络场景、多个网络地图和计算出的网络行为中的至少一个中的至少一个的可视化，并且传送可视化以供显示。

在一些实施例中，网络安全系统包括与网络行为空间管理模块通信的查询引擎，查询引擎被配置为从第一网络参与者接收关于多个网络行为空间中的至少一个的查询。在一些实施例中，查询与以下中的至少一个相关联：与多个网络实体中的第一网络实体相关联的风险、多个网络实体中具有与第一网络实体类似简档的一组网络实体、内部或外部组织构造、以及与第一网络实体、该组网络实体中的每个网络实体、第一网络参与者、第二网络参与者和第三网络参与者中的至少一个相关联的行为。在一些实施例中，分析工作流引擎被配置为计算并持续更新与多个网络实体中的每个网络实体和多个网络参与者中的每个网络参与者相关联的风险。

在一些实施例中，网络安全系统包括与网络行为空间管理模块通信的模拟引擎，其被配置为生成多个网络场景，该多个网络场景中的每一个包括网络数据的子集、网络场景以及与多个网络行为空间相关联的网络地图。在一些实施例中，模拟引擎被配置为生成模拟，模拟被配置为对真实世界数据和模拟数据中的至少一个进行操作，以及为操作、分析、洞察(insight)、规划、训练、补救行动和缓解行动中的至少一个提供行动过程。

在一些实施例中，分析工作流引擎被配置为创建变换后的网络行为空间，其中为了创建变换后的网络行为空间，分析工作流引擎还被配置为将网络行为空间数据变换为张量数据和较低秩张量近似，以及使用机器学习来定义网络行为和与变换后的网络行为空间相关联的多个网络行为空间。

在一些实施例中，分析工作流引擎被配置为将规则和机器学习中的至少一个应用于变换后的网络行为空间以定义增加或减少与真实网络参与者或模拟参与者、网络实体、机器、组织和处理中的至少一个相关联的风险的网络行为。

在一些实施例中，网络安全系统与第一组织相关联，此外，其中增加或减少风险的网络行为可被与第一组织相关联的网络参与者观察到并且不可被与第二组织相关联的网络参与者观察到。在一些实施例中，网络安全系统包括网络行为交换引擎，网络行为交换引擎与网络行为空间管理模块通信。在一些实施例中，网络行为交换引擎被配置为使用隐私保护(privacy preserving)分布式机器学习算法和隐私保护通信协议中的至少一个将增加或减少风险的网络行为传送到与第二组织相关联的网络行为交换引擎，使得增加或减少风险的网络行为可以用于分析第二组织中的数据，并且与第一组织相关联的网络行为空间数据不可被与第二组织相关联的网络参与者观察到。

在一些实施例中，网络安全系统处理第一网络参与者数据以确定与变换后的网络行为空间相关联的网络行为中的第一网络行为以及与变换后的网络行为空间相关联的多个网络场景中的第一网络场景中的至少一个，并且提高与对第一网络行为和第一网络场景进行响应相关联的操作能力、准备情况和训练。

在一些实施例中，分析工作流引擎被配置为处理分组数据、网络流量、计算机日志、信号情报、可见光、红外线、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告中的至少一个。

在一些实施例中，多个网络行为空间中的每一个包括实时网络行为空间、历史网络行为空间和模拟网络行为空间中的至少一个。在一些实施例中，网络行为包括初始侦察(initial reconnassance)、扫描、初始危害(initial compromise)、建立立足点、发信标(beaconing)、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为中的至少一个。在一些实施例中，多个维度包括源地址和目的地地址、到达时间、数量(volume)、分组大小和协议类型的组合，多个模式包括分组数据、网络流量、计算机日志、信号情报、可见光、红外线、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告的组合，并且多个尺度包括时间多尺度数据和地理空间数据的组合。

在一些实施例中，网络行为空间管理模块被配置为接收传感器数据，传感器数据包括关于物理参与者的物理参与者传感器数据和关于物理系统的物理系统传感器数据中的至少一个，以及输入数据、来自互动引擎的数据和来自分析工作流引擎的数据中的至少一个，输入数据包括输入网络数据、富集数据和第三方数据中的至少一个。在一些实施例中，网络行为空间管理模块被配置为基于传感器数据和输入数据、来自互动引擎的数据以及来自分析工作流引擎的数据中的至少一个来生成多个网络行为空间，该多个网络行为空间中的每一个包括网络行为空间数据。在一些实施例中，网络行为空间数据包括：网络数据，网络数据包括输入网络数据和变换后的输入网络数据中的至少一个；与多个网络参与者相关联的网络参与者数据；以及与多个网络场景相关联的网络场景数据。在一些实施例中，网络行为空间数据由多个维度、多个模式和多个尺度定义。在一些实施例中，互动引擎被配置为接收与多个网络参与者中的第一网络参与者相关联的第一网络参与者数据，第一网络参与者包括真实网络参与者和模拟参与者中的至少一个。在一些实施例中，互动引擎被配置为处理接收到的第一网络参与者数据，以促进第一网络参与者与网络行为空间、网络场景和网络地图中的至少一个之间的第一互动以及第一网络参与者与多个网络参与者中的第二网络参与者之间的第二互动中的至少一个，其中网络地图与多个网络行为空间中的至少一个相关联。在一些实施例中，互动引擎被配置为传送与第一互动和第二互动中的至少一个相关联的数据。在一些实施例中，分析工作流引擎被配置为分析与多个网络行为空间中的每一个相关联的网络行为空间数据以计算网络行为，并且基于网络行为空间数据、计算出的网络行为和计算出的网络行为向网络数据、网络参与者数据和网络场景数据中的至少一个的分配、第一互动、第二互动以及关于物理系统和物理参与者中的至少一个的物理行为的计算中的至少一个来更新网络数据、网络参与者数据和网络场景数据中的至少一个。在一些实施例中，互动引擎被配置为传送与更新后的网络数据、网络参与者数据和网络场景数据中的至少一个相关联的数据。在一些实施例中，可视化引擎被配置为计算与来自互动引擎的第一互动和第二互动中的至少一个相关联的数据以及网络行为空间、多个网络参与者、多个网络场景、多个网络地图和计算出的网络行为中的至少一个中的至少一个的可视化。在一些实施例中，可视化引擎被配置为传送可视化以供显示。

在一些实施例中，被配置为接收传感器数据的网络安全系统包括与网络行为空间管理模块通信的查询引擎。在一些实施例中，查询引擎被配置为从第一网络参与者接收关于多个网络行为空间中的至少一个的查询。在一些实施例中，查询与以下中的至少一个相关联：与多个网络实体中的第一网络实体相关联的风险、多个网络实体中具有与第一网络实体类似的简档的一组网络实体、内部或外部组织构造、以及与第一网络实体、该组网络实体中的每个网络实体、第一网络参与者、第二网络参与者和第三网络参与者中的至少一个相关联的行为。在一些实施例中，分析工作流引擎被配置为计算并持续更新与多个网络实体中的每个网络实体和多个网络参与者中的每个网络参与者相关联的风险。

在一些实施例中，被配置为接收传感器数据的网络安全系统包括与网络行为空间管理模块通信的模拟引擎，模拟引擎。在一些实施例中，模拟引擎被配置为生成多个网络场景，该多个网络场景中的每一个包括网络数据的子集、网络场景以及与多个网络行为空间相关联的网络地图。在一些实施例中，模拟引擎被配置为生成模拟。在一些实施例中，模拟被配置为对真实世界数据和模拟数据中的至少一个进行操作，并且提供用于操作、分析、洞察、规划、训练、补救行动和缓解行动中的至少一个的行动过程。

在一些实施例中，与被配置为接收传感器数据的网络安全系统相关联的分析工作流引擎被配置为创建变换后的网络行为空间。在一些实施例中，其中为了创建变换后的网络行为空间，分析工作流引擎被配置为将网络行为空间数据变换为张量数据和较低秩张量近似，并使用机器学习来定义网络行为和与变换后的网络行为空间相关联的多个网络行为空间。

在一些实施例中，与被配置为接收传感器数据的网络安全系统相关联的分析工作流引擎被配置为将规则和机器学习中的至少一个应用于变换后的网络行为空间以定义增加或减少与真实网络参与者或模拟参与者、网络实体、机器、组织和处理中的至少一个相关联的风险的网络行为。

在一些实施例中，被配置为接收传感器数据的网络安全系统与第一组织相关联，此外，其中增加或减少风险的网络行为可被与第一组织相关联的网络参与者观察到并且不可被与第二组织相关联的网络参与者观察到。在一些实施例中，网络安全系统包括网络行为交换引擎，网络行为交换引擎与网络行为空间管理模块通信。在一些实施例中，网络行为交换引擎被配置为使用隐私保护分布式机器学习算法和隐私保护通信协议中的至少一个将增加或减少风险的网络行为传送到与第二组织相关联的网络行为交换引擎，使得增加或减少风险的网络行为可以用于分析第二组织中的数据，并且与第一组织相关联的网络行为空间数据不可被与第二组织相关联的网络参与者观察到。

在一些实施例中，处理与被配置为接收传感器数据的网络安全系统相关联的第一网络参与者数据，以确定与变换后的网络行为空间相关联的网络行为中的第一网络行为以及与变换后的网络行为空间相关联的多个网络场景中的第一网络场景中的至少一个；并且提高与对第一网络行为和第一网络场景进行响应相关联的操作能力、准备情况和训练。

在一些实施例中，分析工作流引擎被配置为处理来自操作技术(OT)传感器、操作技术日志、分组数据、网络流量、计算机日志、信号情报、可见光、红外线、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告中的至少一个。

在一些实施例中，与被配置为接收传感器数据的网络安全系统相关联的多个网络行为空间中的每一个包括实时网络行为空间、历史网络行为空间和模拟网络行为空间中的至少一个。在一些实施例中，网络行为包括初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性和相关行为中的至少一个。

在一些实施例中，与被配置为接收传感器数据的网络安全系统相关联的多个维度包括源地址和目的地地址、到达时间、数量、分组大小和协议类型的组合，多个模式包括分组数据、网络流量、计算机日志、信号情报、可见光、红外线、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告的组合，并且多个尺度包括时间多尺度数据和地理空间数据的组合。

在阅读以下附图说明、具体实施方式和权利要求之后，将更全面地理解所公开的主题的这些和其它能力。应该理解的是，本文采用的措辞和术语是为了描述的目的，而不应该被认为是限制性的。

附图说明

当结合以下附图考虑时，参考以下对所公开的主题的详细描述，可以更全面地理解所公开的主题的各种目的、特征和优点，其中相同的附图标记表示相同的元件。应该理解的是，本文使用的措辞和术语是为了描述的目的，而不应该被认为是限制性的。

图1是示出根据本公开的一些实施例的网络安全系统的系统图。

图2A是示出根据本公开的一些实施例的使用不同大小的窗口的多尺度建模技术的图。

图2B是示出根据本公开的一些实施例的用于在CBS中建模数据和用于CBS的张量表示的多尺度建模的图。

图3是示出根据本公开的一些实施例的在网络行为空间(CBS)的创建中较低秩近似和张量的角色的图。

图4是示出根据本公开的一些实施例的管理互动式CBS环境的互动引擎的系统图。

图5是示出根据本公开的一些实施例的管理一套CBS的模拟引擎的系统图。

图6是示出根据本公开的一些实施例的以受控方式在企业内或企业之间安全地共享信息的多个网络行为交换(CBX)的操作的系统图。

图7是示出根据本公开的一些实施例的与操作技术环境互动的网络安全系统的系统图。

具体实施方式

在一些实施例中，模拟和虚拟现实系统被用于通过彼此共享行为相关信息来增强网络防御者的操作能力和训练，行为相关信息包括观察到的行为相关信息、通过使用分析工作流计算出的行为相关信息以及当来自一个或多个组织的多个真实或虚拟网络参与者参与场景、模拟和虚拟现实环境时生成的行为相关信息。

在一些实施例中，使用网络行为交换以安全和隐私保护方式来交换行为相关信息，使得两个或更多个组织可以作为场景、模拟和虚拟现实环境的一部分来交换信息以增强训练、提高组织的防御或者提高共享信息的多个组织的防御。

网络行为空间

网络安全系统的一些实施例基于网络行为空间(在本文中也称为CBS)，在其一个实现中，网络行为空间包括以下五个元素中的至少一个：1)多维度、多模式、多尺度的数据；2)网络参与者；3)场景；4)网络行为向1)、2)或3)的分配；以及5)物理行为向1)、2)或3)的分配。下面更详细地描述这五个元素中的每一个。

多维度、多模式、多尺度数据可以包括但不限于关于以下的数据：实体、参与者、网络、物理空间、虚拟空间、其行为以及其互动。多维度可以是指导出、提取或计算出的数据属性。网络数据的数据属性的示例包括但不限于：源地址和目的地地址、到达时间、数量、分组大小和协议类型。多模式数据是指从多个传感器类型或域(包括网络域)导出的数据。多模式数据的示例包括但不限于：分组数据、网络流量、计算机日志、信号情报、可见光、红外光、多光谱、高光谱、合成孔径雷达、移动目标指示器雷达、技术情报数据和情报报告。多尺度是指可以在模型中以不同分辨率使用的数据。时间数据、地理空间数据、组织数据和网络数据都可以是多尺度模型的一部分。例如，时间多尺度数据是指可以被建模的时间，例如，以年、月、周、天、小时、分钟、秒、毫秒为单位的时间。例如，地理空间多尺度数据可以包括以不同尺度，诸如房屋级别、街区级别、多街区级别、城市和地区的数据。

网络参与者可以指个别参与者或网络参与者的集合。网络参与者也可以是真实的个体或虚拟的参与者，并且可以与实时的、历史的和模拟的网络行为空间互动。如下面更详细描述的，网络行为空间可以包括一个或多个网络参与者。在一些实施例中，网络行为空间不包括任何其他网络参与者或模拟的网络参与者。

网络场景可以指参与者、实体、网络以及物理或虚拟空间的组合。在一些实施例中，场景不包含任何参与者，或者可以不包含任何实体、网络或者物理或虚拟空间。场景的示例是：网络参与者渗漏(exfiltrate)(或提取)来自受害实体的数据、数据渗漏被行为模型识别、以及网络防御者将受害实体与网络隔离。

网络行为可以如上所述被分配给1)、2)或3)，或者给结构、组件或其组合。1)多维度、多模式、多尺度数据；2)网络参与者；3)场景中的每一个本身可能是复杂的，并且通常具有包含元素、子元素；以及集合或集合的集合等的层次结构。网络行为可以被分配给元素、元素之间的关系、元素之间的布置、或者从元素、子元素及其关系(类似于针对子元素)构建的结构，等等，或者可以被分配给集合、集合之间的关系、集合之间的布置、或从集合、集合的集合以及其关系(类似于针对集合的集合)构建的结构，等等。网络行为包括但不限于初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为。例如，由从数据构建的特征定义的一些点的集群可以被分配“渗漏(exfil)行为”，而其它集群可以被分配“侦察(recon)行为”。Exfil(数据渗漏)通常指从计算机或存储设备未经授权地复制、传递或检索数据。侦察行为通常指了解网络及其包含的设备，以便于其危害。在一些实施例中，可以以以下方式分配行为：假设第一数据集中的每个点用以上列出的网络行为中的一个或用指示与该点相关联的行为不与以上列出的任何所列举的行为有关的标签(诸如NA)标记。还假设使用算法将点分组为集群。然后每个集群都可以用一个标签标记，该标签比在该集群中出现的任何其它标签与该集群更相关。现在，给定第二数据集，每个所述点可以被分配给与数据点关系最密切的集群，并且然后可以用与该集群对应的标签进行标记。行为可以以多种方式分配给第一数据集中的点，包括但不限于使用分析历史数据、流传输数据或互动式数据的机器学习方法或统计方法；使用规则和规则引擎来定义行为；使用专家来定义行为；或者使用这些方法的一些组合。

物理行为可以如上所述被分配给1)、2)或3)，或者给结构、组件或它们的组合。与网络行为一样，物理行为可以被分配给1)、2)和3)的元素、子元素等以及其布置和关系以及从它们构建的结构，或者被分配给1)、2)和3)的集合、集合的集合等以及其布置和关系以及从它们构建的结构。物理行为包括但不限于：登录、企业或工作站点内部和外部个体的地理空间位置、人类的移动、物理设备和机器以及人、物理设备和机器之间的互动。示例包括：工作场所、访问路径、车辆、数据中心、包含物理设备和机器的环境、物理工厂及其组件，诸如传输线路和发电厂。

在一些实施例中，仅上述五个元素的子集存在于网络行为空间中。

图1示出了根据本公开的一些实施例的网络安全系统100。网络安全系统100包括互动引擎106、网络行为查询引擎107、可视化引擎108、监视/报告引擎109、CBS管理器113、分析工作流引擎114、模拟引擎115、网络行为交换(CBX)117和分析工作流118。图1还示出了网络数据101、传感器数据102、富集数据103、第三方数据104、真实和虚拟网络参与者105、初始和更新后的网络行为空间(CBS)110、模拟CBS 111、互动式CBS 112、以及观察者和控制器116。

网络数据101可以包括多维度、多域、多尺度网络数据，包括但不限于，关于网络实体、网络参与者、网络分组和流、它们的行为以及它们的互动的数据。在一些实施例中，网络数据101由数据管理系统(未示出)管理。数据管理系统可以是关系数据库、到配置管理系统的接口或具有集成用户界面和存储机制的任何其它计算机系统。

传感器数据102可以包括用于物理环境的实际或模拟数据，包括但不限于：可见光、红外线、多光谱、高光谱、合成孔径雷达(SAR)、移动目标指示器(MTI)、安全相机、声学、生物识别和读卡器。不同类型的传感器数据102在本文也称为多模式数据。

富集数据103包括向网络数据和传感器数据提供附加上下文的信息，包括但不限于：动态主机配置协议(DHCP)、域名系统(DNS)、资产管理、配置管理、日志文件和人类资源信息。

第三方数据104是可以与先前的数据类型相关的附加数据源，包括但不限于：威胁管理馈送、信誉域和黑名单。

分析工作流118的集合处理历史数据、流传输数据、模拟数据和来自互动的数据以识别网络行为。网络行为包括但不限于：初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获，提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为。在一些实施例中，网络行为由分析历史数据的机器学习方法或统计方法来定义。在一些实施例中，使用或者由专家手动编码或者由规则引擎管理的规则来定义行为。在一些实施例中，使用这些和其它方法的组合。

网络参与者105可以是实际的个体或虚拟的个体，其具有与包含涉及零个或多个其它网络参与者和零个或多个模拟网络参与者的场景的实时、历史和模拟网络行为空间互动的能力。

互动引擎106使得真实和虚拟网络参与者105都能够与网络行为系统接口和修改网络行为系统。

网络行为查询引擎107使得真实参与者、虚拟参与者和系统的其它组件能够向CBS查询网络行为，诸如但不限于前填(exfill)、发信标或剥削行为，这些网络行为或者是一般性的，或者是受限于其它约束(诸如但不限于，对一天中的某些时间、某些网段和某些端口的限制)的那些网络行为。在一些实施例中，网络行为查询引擎还可以从CBS中检索数据的某些子集，诸如与指定时间段、指定网段、指定端口、指定用户、指定设备或CBS中数据的这些和任何其它属性或特征的布尔组合相关联的所有数据。在一些实施例中，网络行为查询引擎还可以沿着维度(诸如但不限于时间、网段和用户的类别)向下钻取。例如，用户的向下钻取可以从所有用户进行，到所有员工、到辖区的所有员工、以及到辖区中的部门内的所有员工。

可视化引擎108提供CBS、其处理、组件和输出的2-D和3-D表示。

监视/报告引擎109提供CBS及其处理和组件的实时和历史状态。

初始CBS 110为模拟CBS提供起始状态。更新后的CBS 110是在系统的数据和其它更新之后产生的CBS。

模拟CBS 111表示由模拟引擎115生成的CBS以及由CBS管理器113提供的其它更新。

互动式CBS 112表示由互动引擎106生成的CBS以及由CBS管理器提供的其它更新。

一般的CBS 118在本文被称为初始CBS 110、更新后的CBS 110、模拟CBS 111、互动式CBS 112或由系统组件之一生成的任何其它CBS中的任何一个或其组合。

CBS管理器113(其在本文也被称为网络行为空间管理模块)管理数据119，包括但不限于网络数据101、传感器数据102、富集数据103和第三方数据104。CBS管理器113还为与系统相关联的CBS提供控制和更新机制，包括管理初始模拟CBS、与模拟环境关联的CBS、与互动式环境相关联的CBS、与真实环境相关联的CBS、其它CBS以及这些的各种组合。CBS管理器113与网络安全系统100内的每个其它组件通信。CBS管理器处理数据并在组件之间路由处理后的和未处理的数据。如本文所述，CBS管理器113基于输入数据生成网络行为空间。在一些实施例中，网络行为空间由分析工作流引擎114运行的分析工作流118生成或更新，分析工作流引擎114应用于CBS、输入数据和来自其它系统组件的数据中的至少一个，如下面更详细描述的。

分析工作流引擎114管理在CBS上操作的分析的类型和组合，包括用于与CBS相关联的张量的分析工作流以及用于与CBS相关联的张量的较低秩近似的分析工作流。在一些实施例中，分析工作流引擎114分析与网络行为空间相关联的网络行为空间数据以计算网络行为，并基于网络行为空间数据、计算出的网络行为和计算出的网络行为向网络数据、网络参与者数据和网络场景数据中的至少一个的分配、以及网络参与者与其他网络参与者和与网络行为空间之间的互动中的至少一个来更新网络数据、网络参与者数据和网络场景数据中的至少一个。例如，如果通常不与任何数据库连接的参与者登录到以前从未登录过的工作站，并尝试连接到若干数据库并失败，则检查该参与者的正常行为的第一分析工作流可以基于他使用新机器以及联系他通常不联系的服务(诸如数据库)分配高分值。第二分析工作流可以基于不成功登录的次数分配高分值，而第三分析工作流可以基于他企图连接到的特别敏感的数据库(即使登录没有失败)分配高分值。最后，基于对来自三个分析工作流的分值的分析，第四分析工作流可以向参与者分配“可能不良的参与者”的标签，并且可能向与数据库的失败登录相关联的数据集中的点分配“所企图的未授权访问”的标签，并且可能向包含可能不良参与者、他的相关联工作站、各种数据库和相关联连接的部分的场景分配“所企图的横向运动”的标签。

模拟引擎115基于模拟、基于算法以及来自真实世界和来自虚拟和真实网络参与者的输入提供用于初始化和更新模拟CBS的机制。

观察者和控制器116管理CBS的整体状态以便确保实现目标。

网络行为交换117提供用于安全共享数据并且调解与企业内部或外部的其它CBS的互动的机制。

在一些实施例中，网络行为空间110、111、112、118的数据来自数据119，其包括网络数据101、传感器数据102、富集数据103和第三方数据104。CBS的网络行为由分析工作流引擎114管理的分析工作流118定义。真实和虚拟网络参与者105提供CBS所需的网络参与者，并且CBS所需的场景由模拟引擎115、互动引擎106、分析工作流引擎114或引擎106、114、115的组合来生成。

在一些实施例中，网络数据101、传感器数据102、富集数据102或第三方103可以分布在或者单个位置内或者在两个或更多个地理上分布的位置。在数据是分布式的情况下，在一些实施例中，使用包括高性能网络、企业服务总线或其它技术的网络来传输数据。类似地，包括但不限于分析工作流引擎114、模拟引擎115、互动引擎106和可视化引擎108的系统组件可以是分布式的。

CBS可以用地图丰富。在这种上下文中，地图可以被视为与信息空间、物理空间、网络空间、网络空间、社交空间和组织空间或者包含数据和信息的这些不同类型的空间的某种组合相联系的可视化。组织空间示出了一组实体之间的关系。示例是企业或其它组织的组织结构。内部组织空间可以指在组织自身内的“内部”，而“外部”可以指与其它实体的关系。例如，CBS可以用关于以下的地图来丰富：与组织相关联的设施的物理位置；描述不同网络实体和其它设备如何连接在一起的网络拓扑；描述个体及其报告结构的组织空间；以及描述数据如何被组织的信息结构。

在一些实施例中，场景是指真实或虚拟网络参与者105的一系列行为，其可以取决于：i)网络、传感器、富集、第三方或其它数据；ii)场景中真实或虚拟网络参与者中的两个或更多个的互动；或iii)第三方的一个或多个动作(即，不在场景中的真实或虚拟参与者的动作)；或者iv)第三方与场景中的真实或虚拟参与者的一次或多次互动。场景可以被组合以创建训练情景。在一些实施例中，来自同一组织的参与者可以在地理上是分布的并且经由网络通信。在其它情况下，来自不同组织的可以地理上分布的真实和虚拟参与者可以使用网络行为交换117进行通信。

场景可以使用网络行为交换117引入来自不同地理位置的多个防御者以参与模拟，以便以同步的方式理解公共问题。在一些实施例中，互动式场景和情景可以涉及由主动防御者正在采取和敌手正在采取的动作做出的改变。作为示例，在一个场景中，网络参与者可以从足够安静以隐藏在网段的背景噪音中的受害机器来进行网络侦察，而来自多个地理位置的多个防御者独自行动或团队行动以试图根据网段中观察到的行为来定位网络参与者和受害机器。

可以以多种方式创建CBS，包括但不限于，更新现有CBS以基于新数据创建更新后的CBS 110、模拟行为以创建模拟CBS 111，以及使真实或虚拟参与者参与互动环境以创建具有互动行为112的CBS。可以以多种方式来定义行为，包括以下：i)可以使用机器学习和人工智能(AI)方法来从历史或模拟数据中学习行为；ii)在一些实施例中，CBS系统具有应用编程接口(API)，使得可以使用规则、涉及行为原语的代码、或使用用于生成用户指定行为的更复杂的环境来生成行为；iii)可以通过使用自然语言处理从文档中的文本、从存储在内部网络上的文本、从互联网中提取出的文本以及从社交媒体系统提取出的文本中提取行为来学习行为；以及iv)可以通过处理当实际个体参与指定的或自组织(ad hoc)的行为时产生的数据来提取行为。

多尺度数据和张量表示

随着数据量、随着维度的数量、随着模型片段的数量以及随着数据模式数量的增长，本公开的一些实施例将数据119表示为张量。张量是数字的多索引数组。张量的阶是其模式或维度的数量。张量可以被认为是向量(一阶张量)和矩阵(二阶张量)的泛化，并且包括向量和矩阵二者作为特殊情况。张量的元素是可以被导出、提取或计算出的数字，并且可以表示多模式数据。三阶张量的示例是具有五个索引的数值数组，其中元素表示在一天中与特定协议相关联的从源IP到目的地IP的通信量。假设在这个示例中，观察到的协议被分组为25种类型，编号为1、2、...、25。这里，三个维度是：源IP、目的地IP和协议类型。可以用于创建张量的多模式数据属性的示例包括但不限于：分组数据、网络流量、计算机日志、信号情报、可见光、红外光、多光谱、高光谱、合成孔径雷达以及移动目标指示器雷达。

在本公开的一些实施例中，使用由非循环图描述的工作流来处理张量，其中节点表示计算，并且有向边表示从一个节点(边的源)到另一个节点(边的目标)的数据流。节点可以具有多个张量输入和输出，并且一些输入和输出可以使用张量输入和输出的切片或投影。由非循环图描述的工作流是由分析工作流引擎114管理的分析工作流的示例。特别地，类似这些的分析工作流可以用于处理CBS中的数据以使用机器学习、使用统计技术、使用规则或者使用本公开中描述的任何其他方法来提取感兴趣的行为。基于张量的方法也被模拟引擎115用于创建模拟CBS 111。

对于数据中的任何变量，可以使用多种不同的方法以不同的尺度或粒度级别来进行分析。多尺度建模是指一种类型的建模，其中不同尺度的多个模型同时用于描述系统，不同模型使用不同分辨率尺度的数据。例如，对于多尺度时间分析，可以使用如关于图2更详细描述的跳转窗口205来用单次测量(例如，均值、修剪后的均值、中值或者从窗口中的数据计算的一些其它统计或特征)代替窗口中的所有测量。如本文所述，窗口是指数据属性或特征x的连续子集，诸如区间[x,x+w]中的数据。窗口可以通过以非重叠的方式移动，例如从[x,x+w]，[x+w,x+2w]移动来跳转，或者它们可以例如从[x,x+w]、[x+s,x+s+w]、[x+2s,x+2s+w]滑动量s，其中s<w。通过使用不同大小的窗口，诸如大小以乘法增长的窗口，生成不同分辨率尺度的CBS。多尺度分析既适用于原始数据又适用于从原始数据导出的任何特征。与CBS相关联的数据和行为的多尺度时间分析也可以用于减缓或以比与CBS相关联的实时行为更快的速度播放。

图2是示出根据本公开的一些实施例的数据119的多尺度表示的计算的图。2a示出根据一些实施例的使用不同大小的窗口的多尺度建模技术，并且图2b示出根据一些实施例的多尺度建模如何可以用于在CBS 118中建模数据和用于CBS的张量表示203。以这种方式，可以使用数据119来计算涉及多尺度建模的CBS 118，其又可以使用涉及多尺度建模的张量203来表示。可以通过分析工作流引擎114分析CBS数据和张量以创建行为模型，并且可以使行为模型和相关联的数据可用于查询。

如图2所示，可以使用大小增加的跳转窗口205的序列，其中每个窗口的大小是其前任大小的两倍，来创建数据的多尺度表示。大小或尺度增加的窗口可以以其它方式生成，诸如使每个窗口比例如先前一个窗口大10倍、100倍或多于100倍。数据206的张量表示和数据203的多尺度表示的张量表示可以由系统以下面描述的方式进行分析。如本文描述的使用张量表示的一些优点包括使得能够进行1)多尺度时间虚拟现实(VR)和历史数据的回放，包括比实时更快的回放；2)模拟数据的多尺度时间VR回放，包括比实时更快的回放能力；3)整合历史和模拟数据的多尺度时间VR。

作为张量和多尺度分析的简单示例，可以针对1毫秒、10毫秒、100毫秒、1秒、10秒、100秒、1000秒、10,000秒和100,000秒的时间尺度w构建具有维度源IP、目的地IP、源端口、目的地端口和时间t的5路张量，其中张量的每个元素指示在时间段t到t+w期间从源IP和源端口到目的地IP和目的地端口的分组的数量。如果可视化和互动每100毫秒刷新一次(即，每秒10次)，那么以1秒或更长时间使用与窗口相关联的张量会产生比实时更快的可视化(换句话说，时间加快)。例如，如果窗口的大小为10秒，并且互动式CBS环境中的场景或实时和/或虚拟参与者之间的互动每秒刷新10次，则如由挂钟测得的真实或虚拟参与者之间的每秒互动对应于在活动要实时播放情况下的100秒活动。即，互动式CBS环境中的虚拟互动比实时更快。

系统的一些实施例使用各种方法来将CBS中的数据及其张量表示降低至较低维度的结构，诸如对表示CBS中的数据或处理后的数据的张量的较低秩近似。定义张量秩的一种方法是将k阶张量分解为适当维度的k个向量的外积之和，如下例中所示。在这种情况下，被加数的数量是秩。可以用不同的方式计算这些原始张量的较低秩近似，包括但不限于，CANDECOMP/PARAFAC(CP)或张量的Tucker分解。在系统的一些实施例中，行为模型与从这些较低秩近似到原始张量的特征相关联。

作为简单的示例，考虑阶3张量T_x1，x2，x3，其中第一张量分量的维度为n₁，第二张量分量的维度为n₂，并且第三张量分量的维度为n₃。张量T_x1，x2，x3可以被写为和：

其中和是对于i＝1到r，a_i、b_i和c_i分别是维度n₁、n₂和n₃的向量，并且指示向量的外积。这里r是低维张量近似的秩。观察到张量T_x1，_x2，x3具有n₁n₂n₃的自由度，而较低维秩r张量近似具有r(n₁+n₂+n₃)的自由度，其对于小r和大维度n_i比n₁n₂n₃小得多。这是因为例如对于a₁有n₁的自由度，对于b₁有n₂的自由度，并且对于c₁有n₃的自由度，因此对于的外积有(n₁+n₂+n₃)的自由度。由于在以上等式的右边的总和中有r个这样的外积，因此观察如下。这种分解可以使用若干算法来计算，包括CANDECOMP/PARAFAC算法。

在一些实施例中，通过分析工作流引擎114将机器学习方法应用到来自传感器的数据，以创建处理后的行为数据210，其包括行为模型、集群和分段行为以及实体风险矩阵。然后可以通过用户指定的参数(诸如行为、风险或自组织查询)来查询创建的数据。在一些实施例中，将规则和机器学习方法应用到实体风险矩阵本身，使得实体的风险基于包括系统的所设置的各种规则、模型和工作流的输出的规则和分析。这些更新后的实体风险矩阵(其可以使用批量的、流传输的、基于事件的更新进行更新)然后可以通过用户指定的参数(诸如行为、风险或自组织查询)来查询。

图3是示出根据本公开的一些实施例的在创建CBS中对张量的较低秩近似的图。在本公开的一些实施例中，通过使用分析工作流引擎114应用分析工作流来从与CBS 118相关联的张量203计算较低秩近似，以计算对张量203的较低秩张量近似303。这些较低秩张量近似303又用于定义新的变换后的CBS 304。以这种方式，使用数据119来创建具有统计属性的CBS 304，这些统计属性对于某些应用可能是更有用的，因为可以使用这些较低秩张量近似303去除一些更高维“噪声”。网络行为查询引擎117可以查询CBS 304，并且互动引擎106可以基于CBS 304支持互动式环境。并且，网络行为交换117可以与和其它组织相关联的CBS共享来自CBS 304的信息。

在一些实施例中，分析工作流引擎114使用关于每个实体和/或参与者的基于张量的方法计算多个分析模型，并使用这些多个分析模型来为每个实体和/或参与者创建风险分值。在一些实施例中，当处理与实体或参与者相关的新数据时更新这些风险分值。参与者可以指个体或个体的集合或组织或组织的集合。例如，参与者可以包括或者已知或者未知、攻击或捍卫系统的个体或个体组。实体可以指与数据相关联的任何元素，包括网络设备、工作站、服务器、移动设备和传感器。一般而言，实体还可以包括与数据相关联的个体、组和组织。取决于上下文，与数据相关联的物理实体可以与和数据(参与者)相关联的个体和组织区分开来。

互动式CBS环境

图4是示出根据本公开的一些实施例的管理互动式CBS环境401的互动引擎106的系统图。互动引擎106创建互动式CBS，从而使得两个或更多个实际或虚拟网络参与者105能够利用特定的动作或互动或者利用由所支持的网络行为定义的动作或互动的序列来异步更新由互动式CBS环境401管理的CBS中的一个或多个。多个真实或虚拟网络参与者通过使用互动引擎106来参与虚拟环境中的网络互动，以更新互动式CBS环境401并且以这种方式创建虚拟现实环境。

互动引擎106使用历史网络数据101的存储来为互动式CBS环境401的创建提供基础。传感器数据102提供关于物理环境的信息。富集数据103提供附加的上下文。互动引擎106创建由整合这些信息源的一组CBS组成的环境。

互动式CBS环境401提供用于可视化、分析、协作、规划、训练、练习和战争游戏的分布式系统。许多参与者105可以在互动式CBS环境401中竞争或协作。可以将参与者105组织成团队或其它组。参与者105可以代表其自己的或其它的组织。参与者105可以具有可以与其它参与者105竞争的广泛目标。

模拟实体403可以表示参与者105的合成版本，但是也可以表示互动式CBS环境401内的广泛各种的其它实体。一些模拟实体403可以表示敌手。其它模拟实体403可以通过模拟参与者105来补充和支持参与者105以提供附加功能。模拟实体403可以用于增加互动式CBS环境401内的活动的规模。模拟实体403可以表示互动式CBS环境401中自主操作或响应于参与者105或其它模拟实体403的设备。

观察者-控制器402监视参与者105、模拟实体403和互动式CBS环境401之间的互动。观察者-控制器402可以协助分析互动式CBS环境401内的一组互动。观察者-控制器402可以干预互动式CBS环境401内的参与者105、模拟实体403之间的互动，以便确保满足分析、训练练习或情景的目标。

互动引擎106产生一组结果404。在一些实施例中，互动引擎106可以生成中间结果以及最终结果。结果可以包括关于参与者105和模拟实体403的活动的可视化、图形和报告，以及分析、训练练习或情景的总体结果。

在一些实施例中，互动引擎106允许表示为来自不同地理位置的参与者105或模拟实体403的多个防御者参与模拟以了解在同步方式中设置的共同问题。这种能力由CBS 401将地理地图整合到CBS401中的能力支持。类似地，来自不同公司和不同部门的多个防御者可以被带入到虚拟现实环境中，以了解在同步方式中设置的共同问题。这种能力由CBS 401将组织地图整合到CBS 401中的能力支持。

图5是示出根据本公开的一些实施例的管理一套CBS的模拟引擎115的系统图。模拟引擎115使用上述方法中的一种或多种方法来创建模拟网络行为。特别地，在一些实施例中，网络数据101、传感器数据102和富集数据103用于创建初始CBS 501并提供模拟引擎115所需的统计信息。这种模拟能力允许网络防御者给予网络以生命，并且模拟各种处理、事件和动作，以确定潜在的结果。模拟的上下文允许网络防御者了解许多不同工具的影响，以确定哪些是主动防御网络的最佳选项和动作。

由模拟引擎115生成的一套CBS 502相互比较并对照，以便优化网络防御动作。特别地，由分析工作流引擎114生成的行为模型可以用于创建在特定场景和情景中特定参与者503感兴趣的指定网络行为，并更新模拟。模拟引擎115也可以用于动态测试网络配置以发现弱点。

模拟引擎115也可以用于测试和认证网络防御者，并且使用模拟程序以及监控和报告504来训练部门内的多个公司。

最后，模拟引擎115可以用于以比实时更快的速度动态探索正在进行的事件的相对重要性以优先级化网络防御者的动作。特别地，可以使用较小的尺度或“微观”模拟来支持各种级别受过训练的防御者的简单网络防御动作。

在一些实施例中，系统使用一组加密密钥来验证模拟中的参与者被明确(clear)参与模拟。以这种方式，使用例如如图1所示的网络行为交换117，存在可验证和安全的方式将团队聚集在一起，甚至是来自行业部门内或来自多个行业部门的分布式团队。

更新505提供了用于网络数据、传感器数据和富集数据中的变化的机制，该变化在模拟的时间段期间发生，但不影响要并入到CBS中的模拟。例如，地形数据的变化可能不会改变模拟，但应该出现在CBS中。确实改变模拟的网络数据、传感器数据和富集数据的变化作为模拟系统操作的一部分被并入。

互动式引导506提供了在正常的模拟操作过程之外更改CBS的机制。这种机制可以被用户/管理员用来指导模拟的过程来修剪不感兴趣的或非生产性的区域。

基于条件的约束507提供用于通过防止模拟超出极限来最小化不准确结果的机制。模拟通常具有超出其模拟就变得不准确或无效的条件。例如，飞行模拟在高于某些空速、高度或对于异常高度可能是无效的。

网络行为交换

来自两个或更多个系统的信息可以经由网络行为交换来共享。图6是示出根据本公开的一些实施例的以受控方式在企业620、630内或之间安全地共享信息的多个网络行为交换(CBX)的操作的系统图。

在一些实施例中，识别CBS包含的可共享信息601。由于参与组织的信息共享政策，企业内的一些CBS 602不可共享。

可以创建例如通过投影、数据的掩蔽、数据的变换、使用固定数量的主要组件、降低到较低秩近似、使用隐私保护机器学习或同态加密、或类似的方法创建的修改后的CBS 603，其包含要以正确的格式共享以供机器或人类消费的信息的子集、变换后的集合或加密的集合。在一些实施例中，系统组件投影、掩蔽或以其它方式变换612数据以创建修改后的CBS 603。

在一些实施例中，如果任何私有或敏感商业信息保留，则在604中使用隐私保护变换(诸如向数据添加噪声或者使用同态加密来加密数据)以将数据变换为可共享的CBS 605。

对参与组织的信息安全性和其它策略所需的信息共享606施加任何附加约束。

在一些实施例中，结果得到的可共享的CBS 605被发送到CBX 607用于安全传输到其它启用CBX的企业630，可能地包括可信的第三方。在一些实施例中，如果启用CBX的企业630被向其提交数据的每个企业信任，则信息不必与其它组织直接共享，只有当可信第三方在隐私保护变换和聚合被应用到提交的数据之后返回结果时才间接地共享。

在一些实施例中，可共享的CBS 605被加密以创建被安全地传送到其它启用CBX的企业以供机器或人类消费的安全CBS 608。

可共享的CBS 605或加密的CBS 608由一个或多个启用CBX的企业630经由与该企业相关联的CBX 609接收。

合作企业更新相关CBS以创建更新后的CBS 610。确定哪些CBS与更新相关可以以多种方式完成，包括但不限于：使用用于实体、参与者、行为、数据的唯一密钥来确定哪些应该被更新；使用标签、属性、特征和行为来确定哪些应该被更新；或者使用规则或机器学习方法来选择哪些CBS应该被更新。

在一些实施例中，基于相关企业的安全性和信息共享政策、规则或规定，一些CBS 611没有被更新。

在一些实施例中，根据图6中所描述的处理交换的CBS可以像单个格式化数据记录或格式化数据记录的集合一样简单或者像表示用于获得对受保护环境的访问、提升特权、横向移动和攻击系统的特定交易手段的网络数据、网络参与者和网络场景的集合一样复杂。

虚拟训练和防御

在一些实施例中，模拟和虚拟现实系统用于通过共享彼此行为相关信息、两者观察到的行为相关信息以及当多个真实或虚拟网络参与者参与场景、模拟和虚拟现实环境时生成的行为相关信息来增强网络防御者的操作能力或训练。在地理上分散的企业内或其之间以这种方式在所有操作元素之间共享观察到的或模拟的网络行为使得当前的网络防御者“军队”能够与防御者的单个元素相对。这个既真实又模拟的虚拟网络参与者或化身的“军队”使得网络防御者能够在场景、模拟和虚拟现实环境中参与和协作。通过模拟多个行动过程(COA)、防御策略、行动的影响以及将该信息并入到共享虚拟环境中用于增强的可视化支持更全面和快速的操作理解和决策处理来启用这种实时协作。

在一些实施例中，行为相关信息的交换可以来自两个或更多个组织中的真实和虚拟参与者或化身。在一些实施例中，模拟和虚拟现实环境也可以来自两个或更多个组织。以这种方式，来自两个或更多个组织的网络防御者可以在场景、模拟和虚拟现实环境中参与和协作。

在一些实施例中，模拟引擎115用于生成在互动式CBS环境401中使用以向网络防御者提供行动过程(COA)的多个模拟CBS111(在一些参与者105是网络防御者的情况下)。创建互动式CBS环境的数据可以包括但不限于网络数据101、传感器数据102和各种类型的富集数据103。参与者105和观察者/控制器402可以使用互动引擎401来创建训练情景、开发COA、重放情景并采取不同的行动来改善结果。互动式环境中的这些情景可以包括模拟实体403。

在本公开的一些实施例中，模拟引擎115用于生成涉及参与行为的模拟虚拟网络参与者的多个模拟CBS，行为诸如但不限于，初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为；并且互动引擎106被使用以使得网络防御者参与者可以在互动式CBS环境中采取行动，包括但不限于阻止设备进行通信、阻止端口以停止泄漏、去除用户或去除用户的特权、以及查杀进程。对于虚拟、真实或两者的组合，CBS可以用于在虚拟环境中制定如果-怎样(what-if)假设情景或增强实际环境。类似地，网络防御者可以在互动式CBS环境中针对虚拟或真实的网络参与者练习网络防御。

在一些实施例中，模拟引擎115用于生成涉及参与行为的模拟虚拟网络参与者的多个模拟CBS，行为诸如但不限于，初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为；并且互动引擎106被使用以使得网络防御者参与者可以在互动式CBS环境中采取行动，包括但不限于阻止或重定向设备进行通信、阻止端口以停止泄漏、去除或重定向用户或去除用户的特权、以及查杀进程。以这种方式，网络防御者可以在虚拟环境中练习网络缓解技术。当CBS中存在恶意性质的实际网络活动时，网络防御者可以在这些行动被实际执行之前快速了解其缓解行动的潜在效果。网络防御者可以在实际网络攻击正在进行的同时在互动式CBS环境中针对虚拟网络参与者练习网络防御，以便降低风险并提高执行的防御和其它行动可能达到预期结果的可能性。在一些实施例中，这些模拟可以以比实时更快的速度播放，从而使得网络防御者能够更快地实现更快和更高效地导致更好结果的情景和行动。对于虚拟、真实或两者的组合，CBS可以用于在虚拟环境中制定如果-怎样(what-if)假设情景或增强实际环境。类似地，网络防御者可以在互动式CBS环境中针对虚拟或真实的网络参与者练习网络防御。

在一些实施例中，参与者可以使用作为CBS的一部分的多尺度结构和地图来放大或缩小；将他们的视图集中在某些类别的实体、系统、流程或处理上；或者用笔记、图像和表盘来注释互动式CBS环境。以这种方式，参与者可以更好地了解环境。

在一些实施例中，实际的网络参与者可以在互动式CBS环境内彼此通信以便更好地协调他们的防御行动。

在一些实施例中，模拟引擎115用于生成涉及参与行为的模拟虚拟网络参与者的多个模拟CBS，行为诸如但不限于，初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为。使用CBS的这些多重模拟，CBS中实体的风险计算可以以若干不同的方式计算，包括但不限于，使用蒙特卡罗方法或贝叶斯方法。以这种方式，可以向CBS中的所有实体分配风险分值。类似地，这些方法也可以用于计算多样性分值。

在一些实施例中，分析工作流引擎114用于计算CBS中的数据的较低维张量近似。然后模拟引擎115使用这些较低维张量近似来生成涉及参与行为的模拟虚拟网络参与者的多个模拟CBS，行为诸如但不限于，初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为。使用CBS的这些多重模拟，CBS中实体的风险计算可以以若干不同的方式计算，包括但不限于，使用蒙特卡罗方法或贝叶斯方法，以这种方式，可以向CBS中的所有实体分配风险分值。类似地，这些方法也可以用于计算多样性分值。

多样性分值是对组织内或跨组织的多样化程度和量的量化。通过使装备(诸如路由器、防火墙和计算机)具有不同的供应商，可以提高多样化。多样化也可以通过不同的网络配置和拓扑来增加。多样性对于评估组织或多个组织对于攻击的脆弱性是重要的。例如，如果组织具有低的多样性分值，那么一种类型的攻击可能破坏组织的大部分。作为对照，具有高多样性分值的组织将只有少量的组织因相同的攻击而被破坏。类似地，跨多个组织，高多样性分值将意味着并非所有组织都将受到同样类型攻击的同样程度的影响。

多样性分值可以被存储为张量。张量可以唯一地捕获对多样性分值的贡献方面的多重性。多样性分值可以通过将算子应用于先前计算出的张量或张量的集合来计算。模拟引擎115可以用于导出和探索组织内或跨组织的多个配置。模拟的结果可以存储在张量或张量的集合中，该张量或张量的集合然后用于计算多样性分值。

与多样性分值类似的风险分值是对组织内或跨组织的攻击风险程度和量的量化。如前所述，多样性分值是对风险分值的重要贡献因素。风险分值也可以被存储为张量。风险分值可以通过将算子应用于先前计算出的张量或张量的集合来计算。模拟也可以用于导出和探索组织内或跨组织的风险。模拟的结果可以存储在张量或张量的集合中，该张量或张量的集合然后用于计算风险分值。

在一些实施例中，随着更新后的网络数据、传感器数据、富集数据和/或第三方数据被提供给CBS管理器102，多样性分值和风险分值被更新，CBS管理器102创建新的更新后的模拟CBS，其又用于计算CBS中所有实体的更新后的风险分值。

所产生的多样性和风险张量还可以使用CBX 117跨多个地理上分散的位置安全地共享以用于信息共享并且更新共享的CBS环境401。

在一些实施例中，首先创建CBS的集合，每个CBS具有CBS中实体的不同的计算出的多样性级别及其特性，包括但不限于它们的操作系统、它们的配置、它们的软件库和软件实用程序、它们的软件应用和它们的接口。对于每个这样的CBS，模拟引擎115用于生成涉及参与行为的模拟虚拟网络参与者的多个模拟CBS，行为诸如但不限于，初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭证捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏、维持持久性以及相关行为。使用CBS的这些多重模拟，给定多样性级别的实体的风险计算使用例如蒙特卡罗方法或贝叶斯方法来计算。以这种方式，CBS中实体的多样性和风险分值之间的关系可以被网络防御者了解并用于降低CBS中实体的风险分值。

在一些实施例中，分析工作流引擎114用于计算CBS中的数据的较低秩张量近似。接下来，创建这些较低秩张量近似中的CBS的集合，每个CBS具有CBS中实体的不同的计算出的多样性级别及其特性，包括但不限于它们的操作系统、它们的配置、它们的软件库和软件实用程序、它们的软件应用和它们的接口。对于每个这样的CBS，模拟引擎用于生成涉及参与行为的模拟虚拟网络参与者的多个模拟CBS，行为诸如但不限于，初始侦察、扫描、初始危害、建立立足点、发信标、命令和控制、凭据捕获、提升特权、内部侦察、横向运动、网络映射、数据渗漏，维持持久性以及相关行为。使用CBS的这些多重模拟，给定多样性级别的实体的风险计算使用例如蒙特卡罗方法或贝叶斯方法来计算。以这种方式，CBS中实体的多样性和风险分值之间的关系可以被网络防御者了解并用于降低CBS中实体的风险分值。

OT环境

在一些实施例中，传感器和网络数据可以来自操作技术(OT)环境中的数据。OT环境是指硬件传感器和被设计为监视和控制物理机器和物理处理的软件，诸如但不限于在工业环境中。

图7是示出根据本公开的一些实施例的与操作技术环境互动的网络安全系统的系统图。

物理机器701由OT传感器702监视，并且数据被传递到OT网络703。OT传感器702还监视与物理机器701互动并调整物理机器701的物理参与者704。OT传感器702收集关于状态、操作、互动、内部条件、外部条件、内部状态、性能的数据以及关于机器和设备的相关数据。OT传感器702还收集关于物理环境的数据，包括环境条件和变化、人类的存在以及相关数据。OT传感器利用电线附连到机器和设备、经由OT网络连接到机器和设备、经由IT网络连接到机器和设备、或通过物理环境分布。OT数据被封装在OT/IT网络接口705中的标准网络分组中，其中它可用于由与OT环境705相关联的IT环境707进行处理。IT环境707中的各种IT组件(包括OT/IT接口705)可以被监视或者可以产生创建网络数据707的日志文件，网络数据707又可用于网络安全安全系统，作为在一些实施例中网络数据101的一个示例。在一些实施例中，封装在网络分组或日志文件中的传感器数据706可用作网络安全系统的输入103之一。如上所述，然后由CBS管理器113处理传感器数据103和网络数据101。

本文描述的主题可以用数字电子电路系统或者用计算机软件、固件或硬件(包括本说明书中公开的结构部件及其结构等同物)或者它们的组合来实现。本文描述的主题可以被实现为一个或多个计算机程序产品，诸如有形地体现在信息载体中(例如，在机器可读存储设备中)或体现在传播信号中用于由数据处理装置(例如，可编程处理器、计算机或多个计算机)执行或者控制数据处理装置的操作的一个或多个计算机程序。计算机程序(也称为程序、软件、软件应用或代码)可以用任何形式的编程语言编写，包括编译或解释语言，并且它可以以任何形式(包括作为独立程序或者作为适用于在计算环境中使用的模块、组件、子例程或其它单元)进行部署。计算机程序不一定对应于文件。程序可以存储在保持其它程序或数据的文件的一部分中、专用于所讨论的程序的单个文件中、或者在多个协调文件中(例如，存储一个或多个模块、子程序或代码的部分的文件)。计算机程序可以被部署为在一个站点处或跨多个站点分布的一个计算机上或多个计算机上执行并通过通信网络互连。

本说明书中描述的处理和逻辑流程(包括本文描述的主题的方法步骤)可以由执行一个或多个计算机程序的一个或多个可编程处理器来执行，以通过操作输入数据和生成输出来执行本文描述的主题的功能。处理和逻辑流程也可以由专用逻辑电路系统，例如，FPGA(现场可编程门阵列)或ASIC(专用集成电路)来实现，并且本文描述的主题的装置可以被实现为专用逻辑电路系统，例如，FPGA(现场可编程门阵列)或ASIC(专用集成电路)。

作为示例，适用于执行计算机程序的处理器包括通用和专用微处理器以及任何类型的数字计算机的任何一个或多个处理器。通常，处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的基本元件是用于执行指令的处理器以及用于存储指令和数据的一个或多个存储器设备。通常，计算机还将包括一个或多个用于存储数据的大容量存储设备，例如，磁盘、磁光盘或光盘，或者计算机将被可操作地耦合以从该一个或多个大容量存储设备接收数据和/或将数据传递到该一个或多个大容量存储设备。适用于体现计算机程序指令和数据的信息载体包括所有形式的非易失性存储器，作为示例包括半导体存储器设备(例如，EPROM、EEPROM和闪存设备)；磁盘(例如，内部硬盘或可移动磁盘)；磁光盘；以及光盘(例如，CD和DVD盘)。处理器和存储器可以由专用逻辑电路系统补充或并入其中。

为了提供与用户的互动，本文描述的主题可以在用于向用户显示信息的计算机、可穿戴设备、头戴式显示器、眼镜、具有显示设备或机构(例如，CRT(阴极射线管)、激光投影设备、LCD(液晶显示器)、LED(发光二极管)或OLED(有机发光二极管)监视器)的视网膜设备以及用户可以通过其向计算机或设备提供输入的键盘和指点设备(例如，鼠标或轨迹球)上实现。其它种类的设备也可以用于提供与用户的互动。例如，提供给用户的反馈可以是任何形式的感官反馈(例如，视觉反馈、听觉反馈或触感反馈)，并且来自用户的输入可以以任何形式被接收，包括声学、语音或触感输入。

本文描述的主题可以在计算系统中实现，该计算系统包括后端组件(例如，数据服务器)、中间件组件(例如，应用服务器)或前端组件(例如，客户端计算机移动设备、可穿戴设备，其具有通过其用户可以与本文描述的主题的实现互动的图形用户界面或web浏览器)、或者这种后端、中间件和前端组件的任何组合。系统的组件可以通过任何形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)，例如，互联网。

应该理解的是，所公开的主题在其应用中不限于在以上描述中阐述的或者在附图中示出的构造的细节和组件的布置。所公开的主题能够具有其它实施例并且能够以各种方式来实践和执行。而且，应该理解的是，本文采用的措辞和术语是为了描述的目的，而不应该被认为是限制性的。

由此，本领域技术人员将认识到的是，本公开所基于的概念可以容易地用作设计用于执行所公开主题的若干目的的其它结构、方法和系统的基础。因此，重要的是，只要不脱离所公开主题的精神和范围，权利要求就应该被认为包括这样的等同构造。

虽然已经在前述示例性实施例中描述和图示了所公开的主题，但应该理解的是，本公开仅仅通过示例的方式进行，并且所公开的主题的实现细节的许多变化可以在不脱离所公开主题的精神和范围的情况下进行，所公开主题仅由随后的权利要求限定。