亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

重組威脅建模的制作方法

文檔序號:11333868閱讀:247來源:國知局
重組威脅建模的制造方法與工藝



背景技術:

企業(yè)不斷受到網(wǎng)絡攻擊或對計算資源和數(shù)據(jù)的電子攻擊(以下所有企業(yè)的計算資源和數(shù)據(jù),不僅僅是連接資源,被稱為“網(wǎng)絡”)。從2011到2015年,在美國以及美國以外的許多其他企業(yè)和政府網(wǎng)絡上,至少有七百(700)件文件記錄在案的主要網(wǎng)絡攻擊事件。一些攻擊為了竊取數(shù)據(jù)。其他攻擊為了竊取金錢或獲取對金錢的電子訪問。而其攻擊則惡意破壞數(shù)據(jù),或導致拒絕服務。這些攻擊不僅降低了受到攻擊的特定網(wǎng)絡的完整性,而且降低了用戶對所有網(wǎng)絡的信心。因此,網(wǎng)絡安全人員和負責計算機安全的其他人員一直面臨著為網(wǎng)絡防御網(wǎng)絡攻擊而提出的挑戰(zhàn)。

因此,網(wǎng)絡安全人員負責開發(fā)和維護用于其負責下的網(wǎng)絡的威脅模型。威脅模型識別這些網(wǎng)絡中的漏洞,并且理想地,識別或幫助識別技術以減輕任何識別到的相應計算機安全風險。這些技術的應用被稱為修復。

然而,目前針對企業(yè)和政府計算資源攻擊的規(guī)模、復雜程度和種類已經(jīng)增加到了威脅數(shù)據(jù)的分析至少從自動化、第三方數(shù)據(jù)的利用和數(shù)據(jù)共享中受益的程度。

附圖說明

具體實施方式參照附圖進行說明。

圖1是目前威脅空間的示圖。

圖2是顯示相同威脅矩陣中兩個威脅模型的交集的示圖。

圖3示出了威脅、攻擊向量(漏洞)和威脅模型的上下文。

圖4說明了威脅模型、威脅景觀和威脅矩陣之間的關系。

圖5是用于重組威脅模型和威脅矩陣的示例性硬件、軟件和網(wǎng)絡環(huán)境。

圖6是重組威脅模型和威脅矩陣的示例性框圖。

圖7是示例性圖形結構。

具體實施方式

威脅模型的上下文和概述

計算機安全中的現(xiàn)有威脅環(huán)境

企業(yè)和政府實體面臨的威脅環(huán)境在過去幾年中,在貨幣流失、知識產(chǎn)權和數(shù)據(jù)二者方面,從簡單破壞服務(“黑客”)急劇變化到重大經(jīng)濟盜竊。公司采用的風險控制策略已被迫從基于策略和控制的策略變化到包括評估、測量和跟蹤漏洞的復雜的安全設備。大多數(shù)安全應用都會監(jiān)測安全信息和事件管理日志(稱為“siem”),并對發(fā)現(xiàn)的問題進行評分,并且然后為修復制定緩解響應。然而,隨著復雜的企業(yè)風險分析策略的發(fā)展,這些策略對更危險的攻擊對手而言仍然是防御性的和反應式的。

目前的企業(yè)和政府對信息基礎設施具有關鍵性的依賴,以推銷他們的產(chǎn)品和服務、與客戶溝通并輔助圖形分布式工作場所、員工和數(shù)據(jù)中心之間的通信。這些接入點中的每一個都具有由其配置和已知漏洞定義的攻擊表面。成功攻擊的特征是通用漏洞和暴露(cve)、計算機應急響應小組(cert)以及來自安全研究人員的其他報告。然而,認識到這些攻擊是基于對攻擊簽名本身的事實識別之后的。

驅動和資助更復雜攻擊發(fā)展的經(jīng)濟激勵導致圖1中威脅金字塔100所示的威脅空間中的巨大差異。在檢測后組織和指導風險緩解和修復已經(jīng)不夠,因為它是基于在攻擊表面上出現(xiàn)的攻擊簽名。威脅金字塔100代表了對當前狀況的更準確的看法。

現(xiàn)有技術的風險管理工具通過安全策略、數(shù)據(jù)治理和安全設備將一級和二級威脅處理得很好。第六級攻擊本質上對漏洞掃描工具是不可見的,因為漏洞利用(exploit)創(chuàng)建了一個以前不存在的自定義漏洞,因此沒有任何簽名來檢測。第五級攻擊在很難檢測和修復方面相似。

漏洞、威脅、攻擊和攻擊表面

威脅可以被理解為具有使用不同攻擊過程來利用漏洞的能力和意愿的特定實體。例如,較早版本的windowsnttm服務器容易通過ping脆弱端口(稱為“死亡ping”)而崩潰。因此,nt死亡ping威脅是脆弱端口與對已知端口進行ping的相關性。

這樣一來,漏洞就是網(wǎng)絡防御的弱點,通常被稱為攻擊向量。攻擊是對該漏洞的利用。威脅是可能執(zhí)行或正在執(zhí)行特定攻擊的一方或實體。網(wǎng)絡特定部分的一組漏洞或攻擊向量被稱為網(wǎng)絡部分的攻擊表面。

重要的是要指出,威脅不需要利用本質上為技術性的漏洞,而可能是非技術性的(例如來自受損工人或不滿工人的威脅)。這在圖2中示出,其中威脅模型包含外部攻擊表面(其包括攻擊向量(諸如nt死亡ping)的)和內部攻擊表面(諸如不滿的雇員)。

攻擊樹

攻擊表面通常用攻擊樹來表示。攻擊樹是計算機安全結構,其用于存儲計算機網(wǎng)絡中漏洞的先決條件和前提。通常,樹將由父節(jié)點組成,每個父節(jié)點都有一組子節(jié)點。樹內部的子節(jié)點將具有各自相應的子節(jié)點(父節(jié)點的孫子節(jié)點)。沒有自己的子節(jié)點的子節(jié)點是葉節(jié)點。每個父節(jié)點都存儲網(wǎng)絡的潛在漏洞。該父節(jié)點的子節(jié)點是利用存儲在父節(jié)點中的漏洞的潛在向量。例如,父節(jié)點可以存儲病毒可能感染文件的概念。父節(jié)點可以具有第一子節(jié)點(其存儲作為管理員執(zhí)行的病毒向量)和第二子節(jié)點(其存儲作為非管理員權限執(zhí)行的病毒向量)。存儲作為管理員執(zhí)行的病毒向量的子節(jié)點可以依次具有其各自相應的子節(jié)點,其存儲利用根漏洞的病毒的概念和利用受損管理帳戶運行的病毒的概念。

因為攻擊樹存儲攻擊向量,所以攻擊樹被用來開發(fā)威脅矩陣。威脅矩陣是對網(wǎng)絡所有威脅的主列表,其被交叉引用至潛在的修復響應。然而,由于攻擊樹不存儲明確的響應,因此它們不提供修復信息以開發(fā)完整的威脅矩陣。此外,用于開發(fā)攻擊樹的現(xiàn)有技術本質上是人工的。因此,開發(fā)和維護攻擊樹是復雜和耗時的。具體來說,現(xiàn)有技術的攻擊樹技術不具備動態(tài)生成攻擊樹的能力。

可以針對特定類別的漏洞開發(fā)攻擊樹。例如,第一攻擊樹可能存儲來自技術攻擊的漏洞,第二攻擊樹可能會存儲來自社交攻擊的漏洞。這兩個攻擊樹也可以組合成單一的威脅矩陣。

然而,利用現(xiàn)有技術,存儲在兩個攻擊樹中的攻擊先決條件不會相關,盡管其處于相同的威脅矩陣中。具體來說,現(xiàn)有技術并不考慮一個攻擊樹中的子節(jié)點是潛在先決條件并且因此是第二攻擊樹中的潛在子節(jié)點。

一般來說,現(xiàn)有技術的威脅建模技術遭受具有單一威脅行為人的目標。具體來說,用于開發(fā)威脅模型的現(xiàn)有技術的過程本質上是線性的,即使真實世界的攻擊可以是側向的,即最初存儲在一個攻擊樹中的攻擊最終演變成存儲在另一個攻擊樹中的攻擊。例如,社交模型下(即存儲在由社交和/或人為因素數(shù)據(jù)構成的攻擊樹中)的攻擊的指示符不被用作指示技術威脅的指示符(即存儲在由技術攻擊數(shù)據(jù)組成的攻擊樹中)。例如,過去三個評審中員工被忽略加薪的知識可能不會觸發(fā)檢查員工是否是it人員并可能嘗試對服務器進行技術攻擊的響應。

攻擊樹適合于將許多數(shù)據(jù)源(組織的內部和外部)的數(shù)據(jù)合并到組織中。然而在實踐中,威脅矩陣通常僅用作內部開發(fā)的威脅模型的輸入。通常情況下,威脅矩陣不會被其他安裝中沒有由公司安全主管負責的安裝事件更新。這通常不僅不能訪問第三方數(shù)據(jù),而且現(xiàn)有技術已經(jīng)是時間密集的以便單獨從內部數(shù)據(jù)開發(fā)攻擊樹。

重組威脅模型

威脅模型、威脅景觀(landscape)、威脅矩陣

在這里,我們描述了開發(fā)稱為重組威脅模型的威脅模型的新技術,它識別威脅空間的差異化。重組威脅模型映射威脅及其相應的攻擊向量。重組威脅模型可以組合成一系列重疊的“威脅景觀”。然后威脅景觀可以組合成最終的“威脅矩陣”,以用于安裝。由于本文所述的性質,重組威脅模型可能是相互關的,并且可以使用第三方數(shù)據(jù)進行擴展。

“攻擊表面”一般是在一系列潛在威脅的上下文中提出的,稱為威脅模型。例如,一個攻擊表面可能由弱加密的威脅組成。另一個攻擊表面可能包含來自服務器中無意暴露點的威脅。另一個攻擊表面可能包括來自人為因素的威脅(例如不滿的雇員、受損員工、人為錯誤)。

重組威脅模型可以被構建為攻擊表面陣列,其相應的攻擊向量對應于一個或多個資產(chǎn)(asset)(見圖3)。攻擊表面由與描述相應漏洞的一個或多個屬性相關聯(lián)的漏洞組成。表面區(qū)域可能具有一個或多個“攻擊向量”,并且威脅通過利用攻擊向量訪問攻擊面。攻擊表面可以由各種屬性建模。例如,攻擊表面可以是一組技術向量或非技術性向量。屬性可以是自動的(通過計算機自動化導出或推斷),攝入的(輸入到威脅模型)或觀察到的屬性。例如,資產(chǎn)的攻擊歷史可以被輸入(被攝入),然后憑借具有攻擊歷史的相應資產(chǎn),被標記為具有更多風險(自動/派生)的攻擊表面的一部分。可替換地,安全小組可能會觀察到正在進行的攻擊。

“威脅矩陣”由一組“威脅景觀”組成,并且威脅景觀由一組重組威脅模型組成(見圖4)。重組威脅模型可能在威脅景觀下獨立存在??商鎿Q地,多個重組威脅模型可以互聯(lián)在一起。威脅景觀表示對資產(chǎn)進行邏輯分組的計算機安全威脅,諸如提供功能的一組服務器和/或終端用戶計算機。由威脅景觀所覆蓋的資產(chǎn)的一些例子包括零售中心、數(shù)據(jù)中心,類似服務器類型的分組,執(zhí)行管理組以及其他等。一組威脅景觀又構成了威脅矩陣,其代表企業(yè)、政府或一般組織面臨的所有威脅。

指示符和響應

重組威脅模型不僅識別潛在攻擊向量和相關聯(lián)的響應,還可以識別“威脅指示符”。一個威脅指示符是一些可能是微妙或明顯的可檢測到的事件,其暗示漏洞可能被威脅所利用。因此,威脅指示符將觸發(fā)響應,以防止、遏制或消除正在進行的攻擊。因此,通過對威脅執(zhí)行一個或多個響應來實現(xiàn)修復。

對于每個攻擊向量,公司安全人員或其他責任方理想地將識別響應。通過防止攻擊或消除漏洞,響應理想地是主動的。例如,威脅可能來自不滿的工人。開除和移除工人可能會阻止攻擊??商鎿Q地,可以通過將所有nt服務器升級到更高版本或關閉易受攻擊的端口來消除nt死亡ping。有時,響應可能是反應性的,其中在停止攻擊之前損傷受到限制并被遏制。反應性響應通常本質上是動態(tài)的,并且在檢測到威脅指示符時被觸發(fā)。

因此,由重組威脅模型組成的威脅矩陣不僅由分組到攻擊表面的攻擊向量填充,它將被交叉引用到對應于相應攻擊向量的響應,并且將被交叉引用到威脅指示符,該指示符如果被檢測到,則指示相應的攻擊向量即將發(fā)生的可能性。

攻擊歷史和評估

在攻擊表面中指示的攻擊向量不一定是正在進行的實際攻擊,而是代表潛在的攻擊。因此,并不是攻擊表面中所表示的所有攻擊向量都將被威脅所利用。事實上,理想地沒有一個攻擊向量一開始就會被利用,并且所有的響應將是主動的。然而,實際上組織是遭到攻擊的。威脅矩陣不僅可以存儲響應,還可以存儲利用攻擊向量的威脅,并且還可以存儲響應的有效性。以這種方式,威脅矩陣可以跟蹤響應的效力。

在實踐中,一些響應是有效的,但不幸的是有些響應不是。公司安全人員或其他責任方隨后可以通過改進的響應來更新威脅矩陣,從而消除作為風險的以前被利用的威脅。

示例性硬件、軟件和通信環(huán)境

圖5是用于重組威脅模型和威脅矩陣的示例性硬件、軟件和通信環(huán)境的圖500。

可以從客戶端機器502執(zhí)行對重組威脅模型基礎設施的請求??蛻舳藱C器502可以是具有處理器504、存儲器506和足以直接地或經(jīng)由互聯(lián)網(wǎng)連接到云服務器的網(wǎng)絡接口508的任何設備。通常,存在駐留在存儲器506中的操作系統(tǒng)510和一個或多個應用512。典型配置是中央處理單元、ram和wi-fi或以太網(wǎng)連接。存儲器506將是計算機可讀介質和/或將具有對其他計算機可讀介質的訪問,并且將運行包括駐留在存儲器和/或其他計算機可讀介質中的計算機可執(zhí)行代碼的客戶端應用512。客戶端502可以訪問諸如本地網(wǎng)絡上的網(wǎng)絡感知存儲器(nas)516之類的遠程存儲器514。

類似地,托管重組威脅模型基礎設施的服務器側的服務器516或云服務器518可以是具有處理器520、存儲器522和足以直接地或經(jīng)由互聯(lián)網(wǎng)連接到客戶端機器的網(wǎng)絡接口524的設備。與客戶端機器一樣,通常會有一個操作系統(tǒng)。典型配置是中央處理單元、ram、wi-fi或以太網(wǎng)連接。存儲器將是計算機可讀介質和/或具有對其它計算機可讀介質的訪問,并且將運行包含駐留在存儲器和/或其他計算機可讀介質中的計算機可執(zhí)行代碼的應用526和操作系統(tǒng)528。服務器可以訪問本地或在其本地網(wǎng)絡上具有的數(shù)據(jù)庫或數(shù)據(jù)存儲器530。

云服務器532通常可以運行可以創(chuàng)建虛擬機的虛擬化環(huán)境534。在每個虛擬機中,可能存在操作系統(tǒng)或系統(tǒng)級環(huán)境。每個虛擬機可能會生成進程,每個進程可以生成線程諸如java虛擬機或.net運行時間之類的執(zhí)行環(huán)境可以在虛擬機中執(zhí)行,并管理進程和線程。服務器532也可以數(shù)據(jù)庫服務器536的形式出現(xiàn)。

注意,計算機可讀介質至少包括兩種類型的計算機可讀介質,即計算機存儲介質和通信介質。計算機存儲介質包括用于存儲諸如計算機可讀指令,數(shù)據(jù)結構,程序模塊或其他數(shù)據(jù)的信息的任何方法或技術實現(xiàn)的易失性和非易失性、可移動和不可移動介質。計算機存儲介質包括但不限于ram、rom、eeprom、閃速存儲器或其他存儲器技術、cd-rom、數(shù)字通用盤(dvd)或其他光學存儲器、磁帶盒、磁帶、磁盤存儲器或其他磁存儲設備或可用于存儲用于由計算設備訪問的信息的任何其它非傳輸介質。相比之下,通信介質可以體現(xiàn)計算機可讀指令、數(shù)據(jù)結構、程序模塊或以調制數(shù)據(jù)信號形式存在的其他數(shù)據(jù),諸如載波或其他傳輸機制。如本文所定義的,計算機存儲介質不包括通信介質。

圖6是用于支持重組威脅模型的示例性系統(tǒng)配置的示圖600。該配置包括具有處理器604的主控計算機系統(tǒng)602、計算機可讀存儲器606和計算機可讀介質608。存儲器604可以是ram,并且計算機可讀介質606可以是持久的,諸如磁盤存儲器。計算機可讀介質可以存儲用于重組威脅模型和威脅矩陣的數(shù)據(jù)結構存儲器610。數(shù)據(jù)結構存儲器610是軟件數(shù)據(jù)結構,諸如用于存儲重組威脅模型數(shù)據(jù)的圖表或一組表格。計算機可讀介質608可以與處理器604和存儲器606分離,并且可以在網(wǎng)絡上、互聯(lián)網(wǎng)上或云服務器上的網(wǎng)絡感知存儲器或數(shù)據(jù)庫服務器上執(zhí)行。

在存儲器606中是軟件查詢組件612、軟件相似度組件614,軟件數(shù)據(jù)饋送組件616和軟件審核組件618。

軟件查詢組件612被配置為接收查詢數(shù)據(jù)。典型的查詢數(shù)據(jù)是以觀察事件的形式存在。觀察到的事件可以用一個或多個屬性描述。軟件查詢組件也可以接收過濾器指示符。當執(zhí)行查詢時,軟件查詢組件612與軟件相似度得分組件614進行通信,該件相似度得分組件614提供實體之間的相似度得分。實體由一組屬性組成,并且關于下面的數(shù)據(jù)結構存儲器610的討論進一步被描述。

軟件相似度組件614可以在兩個實體之間應用相似度得分。在一個實施例中,軟件相似度組件614可以枚舉第一實體的至少一些屬性(有時稱為字段),并且枚舉第二實體的至少一些屬性。首先,通過名稱和類型的相似度來對齊字段名稱和類型。然后對這些字段的值進行相似度評分。兩個實體之間的相似度可以是組成成對屬性相似度的歸一化之和。以這種方式,具有不同屬性的實體可針對相似性被評分為。注意,軟件相似度組件614實際上并不聲明實體實際上是相似的。相反,它只是產(chǎn)生一個得分。相似度得分與預定閾值結合使用,如果超過,則指示足夠的相似度。

軟件相似度組件614還可以與軟件數(shù)據(jù)饋送組件616一起使用。軟件數(shù)據(jù)饋送組件616是接收攻擊向量、攻擊表面和威脅模型數(shù)據(jù)的加載器。軟件數(shù)據(jù)饋送組件616將攻擊向量、攻擊表面和威脅模型數(shù)據(jù)加載到相應的實例中。然而,軟件數(shù)據(jù)饋送組件616可以使用軟件相似度組件614來創(chuàng)建或推斷威脅模型和攻擊表面之間的關聯(lián)。這是可能的,因為軟件相似度組件614執(zhí)行成對屬性比較。

在查詢時間期間由軟件查詢組件612在實體之間推斷的關聯(lián),以及在加載時間的軟件數(shù)據(jù)饋送組件616可能是不正確的。因此,對經(jīng)推斷的關聯(lián)的任何使用或創(chuàng)建由軟件審核組件618存儲。

數(shù)據(jù)結構存儲610存儲可具有不同屬性的實體。實體包括攻擊向量620、攻擊表面622、威脅模型624以及攻擊表面和威脅模型626的關聯(lián)。每個實體的記錄稱為實例。注意,數(shù)據(jù)結構存儲器不需要實現(xiàn)為關系數(shù)據(jù)庫。每個實體可能被指定為抽象基類,從而從抽象基類派生的實例可能具有不同的屬性。例如,攻擊表面實例可以具有與第二攻擊表面實例不同的屬性。

攻擊向量620和攻擊表面實體622不僅分別與漏洞和攻擊表面相關聯(lián),而且還可以與指示符數(shù)據(jù)628和響應數(shù)據(jù)630相關聯(lián)。指示符數(shù)據(jù)628描述如果觀察到改變相應的攻擊向量和攻擊表面將發(fā)生的可能性的事件。典型地,指示符示出可能性在增加,并且應當主動采取響應以進行修復。

相關聯(lián)的響應數(shù)據(jù)630存儲用于相應的攻擊向量和攻擊表面的推薦修復過程。響應數(shù)據(jù)630還可以存儲響應無效的指示符,諸如字段或標志。該效力數(shù)據(jù)可用于改變在查詢期間返回的響應的優(yōu)先級。

威脅模型方法

威脅模型方法的概述

本文描述了開發(fā)重組威脅模型的技術。重組威脅模型將存儲關于(a)攻擊表面及其相關攻擊向量、(b)這些攻擊向量所針對的網(wǎng)絡資產(chǎn)、(c)以指示符形式存在的威脅簡檔、(d)攻擊歷史、以及(e)對攻擊的歷史響應的信息。重組威脅模型可以組合成統(tǒng)一的威脅矩陣。存儲的信息不限于特定的公司或安裝,但是需要包括公開信息。威脅矩陣將用于使來自不同重組威脅模型的威脅相關,并快速地自動更新存儲在威脅矩陣中的響應。

威脅模型的初始填充

提出的威脅矩陣的輸入包括被收集到一個或多個攻擊表面的攻擊向量、攻擊歷史和歷史響應。攻擊表面的來源可能包括組織在現(xiàn)有攻擊樹中的內部數(shù)據(jù)。其他來源可能包括第三方來源,諸如經(jīng)由國家標準與技術研究所的來自聯(lián)邦政府的數(shù)據(jù)。

攻擊向量也可能與威脅簡檔和其他來源的指標相關。可以通過檢查攻擊歷史(例如來自siem)和歷史響應來收集指示符。歷史響應的收集可以經(jīng)由rss饋送、外部費用或被編程為爬蟲以用于網(wǎng)絡攻擊的爬行互聯(lián)網(wǎng)搜索。

以這種方式,由重組威脅模型組成的威脅矩陣將更加完整,并且將利用來自不同威脅模型的交叉相關信息,從而產(chǎn)生更強大的方式來檢測攻擊和產(chǎn)生響應方式。通過使用機器學習和模式匹配功能分析威脅矩陣,公司安全人員將能夠從側面角度解決威脅情報,為公司安全人員提供一個比威脅景觀更準確的威脅圖,從而更準確地評估組織風險。

威脅矩陣和重組威脅模型的基礎數(shù)據(jù)結構可以是有向圖數(shù)據(jù)結構(以下稱為“圖形”)的形式。(參見圖7的示例性有向圖)。

表示技術和非技術數(shù)據(jù)點的數(shù)據(jù)將作為一系列圖形節(jié)點被攝入到圖形數(shù)據(jù)結構中。

每個節(jié)點表示威脅矩陣內的實體,并且可以表示威脅行為人、威脅簡檔、漏洞、攻擊歷史、響應或類似物等。節(jié)點可能有多個屬性和標簽。

節(jié)點與其他節(jié)點有關系(邊緣),其他節(jié)點也可以包含屬性。使用節(jié)點和關系來開發(fā)威脅模型。

圖中的關系決定了表面區(qū)域或模型節(jié)點的開發(fā)方式。威脅模型中的關系表示從表面區(qū)域到另一個表面區(qū)域的向量。

注意,由于所有節(jié)點都在同一個圖中,所以一個威脅模型中的節(jié)點可能會被連接,并且因此與來自不同威脅模型的節(jié)點相關。

另外注意,由于歷史響應包括來自蜘蛛(spider)的輸入,這種方法可以自動從組織外部添加第三方威脅信息。

節(jié)點本身的結構可以是抽象類的形式,其中記錄被表示為對象實例。一個提出的模型可能針對每個用于攻擊向量抽象類、用于重組威脅模型的都具有抽象類,并且將威脅模型實例存儲在由威脅模型和攻擊向量實例的圖形組成的威脅矩陣中。攻擊向量實例可以分組在一起以包含攻擊表面。

威脅矩陣可以作為威脅模型抽象類的圖形來實現(xiàn)。實際上,威脅矩陣成為威脅模型實例的映射。這允許任意的威脅模型實例,任意屬性都是威脅矩陣圖的一部分。

攻擊表面(稱為s)可存儲受損員工的人為因素漏洞的特定屬性,如下所示:

員工任期=否

最后審查=壞

工資=文職范圍

重組威脅模型(稱為m)可具有特定屬性,也可具有以下人為因素漏洞:

期限長短=1年

工作表現(xiàn)=2/5

賠償金=$30,000

為了確定威脅模型是否應該與攻擊向量相關聯(lián),匹配/相似度算法可以將表面s與模型m相匹配。注意,屬性可能具有不同的名稱,并且可能具有不同的值類型。首先,匹配/相似度算法可以確定s中的“最后審查”屬性映射到m中的“工作表現(xiàn)”屬性。然后,匹配/相似度算法可以確定s中的二進制壞/好的“最后審查”屬性與m中的2/5標量“工作表現(xiàn)”屬性值相似,并且因此匹配。可以應用各種已知的相似度評分和模糊邏輯評分算法。

相似度的預定閾值可以應用于匹配/相似度算法。具體來說,匹配/相似度算法采用威脅模型實例,并枚舉威脅模型實例的屬性。然后,其選擇候選攻擊表面實例以與威脅模型相關聯(lián),并枚舉攻擊表面的屬性。其成對地計算威脅模型實例屬性與攻擊表面實例屬性的相似度。然后,其計算威脅模型實例與攻擊表面實例的相關性得分。如果相關性得分超過預定閾值,則威脅模型實例和攻擊面實例將被關聯(lián)在一起。

對攻擊指示符的響應

填充“威脅矩陣”后,響應可按如下被確定:

首先,系統(tǒng)接收觀察到的事件。觀察到的事件包括一組屬性,該組屬性與指示符數(shù)據(jù)相當,該指示符數(shù)據(jù)相當與攻擊向量實例和攻擊表面相關聯(lián)。

然后系統(tǒng)在圖表中搜索與觀察到的事件相似的指示符。如果觀察到的事件的屬性與要分析的指示符不同,則軟件相似度組件可以執(zhí)行屬性比較。在發(fā)現(xiàn)指示符超過相似度的預定閾值的情況下,檢索相關聯(lián)的攻擊向量實例和相關聯(lián)的攻擊表面實例。

注意,數(shù)據(jù)結構存儲器中的任何實體可以與其與指示符相關聯(lián),該指示符與過濾器相關聯(lián),諸如標志或字段。如果軟件查詢組件被配置為通過過濾器來運行查詢,即快速查詢模式,則軟件查詢組件將僅在具有適當?shù)倪^濾器指示符集合的節(jié)點上執(zhí)行相似度搜索。由于比較字段比執(zhí)行相似度搜索更快,所以快速查詢模式通常將比僅執(zhí)行相似度搜索的查詢更快。

與檢索到的攻擊向量實例和攻擊表面實例相關聯(lián)的響應由系統(tǒng)報告。至少有一些響應是為了修復而被執(zhí)行的。

回想一下,重組威脅模型的一個特征是提供來自多于一個模型的數(shù)據(jù)。系統(tǒng)可以識別與返回的攻擊表面實例相關聯(lián)的第一組威脅模型。因此,軟件相似度組件還可以在用戶的引導下創(chuàng)建與第一組威脅模型中的威脅模型類似的第二組威脅模型和攻擊表面。注意,軟件相似度組件不僅可以將威脅模型與威脅模型進行比較,還可以將威脅模型與攻擊表面進行比較。

該第二組又向用戶提供另一組潛在的修復方法。具體來說,與返回的攻擊表面相關聯(lián)的攻擊表面和攻擊向量與響應數(shù)據(jù)相關聯(lián)。用戶還可以執(zhí)行響應數(shù)據(jù)中描述的至少一些修復過程。

重組威脅模型的另一個特點是減少修復中誤報的可能性。具體來說,應該向用戶呈現(xiàn)最有可能解決攻擊的修復響應,而不會用潛在的響應量來壓倒用戶。

在發(fā)現(xiàn)響應無效或不相關的情況下,該圖可以確定如果使用了不同相似度的預定閾值,哪些響應將不被檢索。具體來說,收集無效或不相關的響應(誤報),并檢查其相應的攻擊表面和威脅模型。如果大多數(shù)誤報來自第二組檢索的威脅模型和攻擊表面,則建議使用較高的預定閾值。

更新重組威脅模型

威脅矩陣和基礎的威脅模型理想地被不時更新。一些威脅或攻擊到期。新的響應技術被開發(fā)。自動生成的相關性可能不正確。隨著威脅矩陣尺寸的增長,可能會增加性能優(yōu)化。

一個優(yōu)化是從基礎圖形中刪除過期的威脅和攻擊。在威脅的情況下,事件發(fā)生表明一方不再是威脅。例如,長時間的黑客被捕。在這種情況下,圖形可能會被搜索與該威脅相關的所有攻擊。僅與該威脅相關的數(shù)據(jù)可能會從圖形中刪除并被存檔。重要的是不刪除與其他威脅實體相關聯(lián)的攻擊數(shù)據(jù),因為這些攻擊仍可能被啟動,盡管是另一個威脅實體。

在過期攻擊的情況下,會發(fā)生事件,指示攻擊向量不再是漏洞。例如,可能存在已經(jīng)從網(wǎng)絡中移除的攻擊的路由器。由于路由器不再在網(wǎng)絡中,所以不再是漏洞。因此,可能會移除特定于該路由器的攻擊。

替代移除,與過期的威脅或攻擊相關聯(lián)的數(shù)據(jù)可能只是被標記為低優(yōu)先級,以便跳過快速圖形遍歷。具體來說,當圖形被遍歷時,如果用戶或機器搜索圖形如此指示,則搜索將跳過標記為低優(yōu)先級的節(jié)點,從而節(jié)省了用以比較較低優(yōu)先級節(jié)點的處理時間。

一般來說,該圖形可能會受到不同過濾器的影響。由于隨著時間的推移,圖形將會變得相當大,屬于常用遍歷子集的節(jié)點可能會存儲標志或字段值,該值表示其屬于特定子集。然后,經(jīng)受子集上的過濾器的影響的遍歷將僅檢查具有相應標志或字段值集合的節(jié)點。

共同訪問的節(jié)點也可能被緩存。具體來說,一些圖形查詢被共同被執(zhí)行。因此,在預期數(shù)據(jù)是靜態(tài)的情況下,可以緩存那些節(jié)點以加速檢索。

結論

雖然已經(jīng)以特定于結構特征和/或方法動作的語言對主題進行了描述,但是應當理解,所附權利要求中限定的主題不不必限于以上描述的具體特征或動作。相反,以上描述的具體特征和動作被公開為實現(xiàn)權利要求的示例形式。

當前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1