定向安全警告的制作方法
【專利說明】定向安全警告
【背景技術(shù)】
[0001] 實體可維護(hù)具有到互聯(lián)網(wǎng)的一個或多個連接的內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)包括由通信鏈 路連接的多個資源,并且可用于連接人們、經(jīng)由互聯(lián)網(wǎng)內(nèi)部地和外部地提供服務(wù)和/或組 織信息以及與實體關(guān)聯(lián)的其他活動。網(wǎng)絡(luò)上的資源可能容易受到安全攻擊,其起源于內(nèi)部 網(wǎng)絡(luò)中或互聯(lián)網(wǎng)上。安全攻擊可包括嘗試破壞、修改、禁用、竊取和/或獲取對資產(chǎn)(例如, 資源、數(shù)據(jù)和信息)使用的未授權(quán)訪問。多個實體可能容易受到并且會遭受到公共安全攻 擊。
[0002] 附圖圖示
[0003] 圖1圖示了根據(jù)本公開的用于提供定向安全警告的環(huán)境的示例的流程圖。
[0004] 圖2圖示了根據(jù)本公開的用于提供定向安全警告的方法的示例的框圖。
[0005] 圖3圖示了根據(jù)本公開的將威脅交換社區(qū)中的參與者分組成集群用于提供定向 安全警告的示例的流程圖。
[0006] 圖4圖示了根據(jù)本公開的系統(tǒng)的示例的框圖。
【具體實施方式】
[0007] 實體可通過識別其網(wǎng)絡(luò)中的脆弱性來設(shè)法避免安全攻擊。脆弱性可包括網(wǎng)絡(luò)設(shè) 計、實現(xiàn)、操作和/或管理中可被開發(fā)以違反網(wǎng)絡(luò)安全策略的缺陷和/或弱點(例如,可能 通過對實體資產(chǎn)的未授權(quán)訪問、破壞、公開和/或修改而對網(wǎng)絡(luò)有不利影響的情形和/或事 件(event))。開發(fā)可包括借脆弱性之機(jī)導(dǎo)致不希望的和/或不可預(yù)料的行為的計算機(jī)可 讀指令、數(shù)據(jù)和/或命令序列。安全攻擊可包括針對脆弱性的開發(fā)的使用和/或嘗試使用。 為避免后續(xù)安全攻擊,實體可執(zhí)行調(diào)查(例如,司法調(diào)查),以確定在安全攻擊期間哪種開 發(fā)針對哪種脆弱性被使用。
[0008] 對實體來說,識別對與實體關(guān)聯(lián)的網(wǎng)絡(luò)、由實體持有的信息和/或由實體管理的 資源(例如,計算設(shè)備、存儲器資源、處理資源)的當(dāng)前安全威脅可能是有利的。安全威脅 可包括指示即將發(fā)生安全攻擊的可能性的信息。該信息可包括指示脆弱性和/或開發(fā)的信 息,和/或攻擊已針對另一實體發(fā)生的信息,以及其它信息。
[0009] 實體面臨對其信息技術(shù)(IT)基礎(chǔ)設(shè)施的越來越高級、專業(yè)、有組織并且受到良好 資助的安全攻擊。通過快速并準(zhǔn)確地檢測、識別和/或?qū)Ω栋踩{,實體可減輕這些安全 攻擊的影響。然而,實體可能發(fā)現(xiàn),憑借自身來快速并準(zhǔn)確地檢測、識別和/或?qū)Ω栋踩?脅越來越困難。目前實體可通過訪問多個威脅情報源來識別安全威脅。然而,威脅情報源 可能提供大量信息,并且可導(dǎo)致安全威脅的泛濫。安全威脅可導(dǎo)致假陽性安全警告,其會花 費(fèi)人力資源來分析并解決。鼓勵實體共享關(guān)于安全威脅的信息可改進(jìn)檢測新興威脅的速度 和/或精確度。
[0010] 根據(jù)本公開的示例,實體可參加威脅交換社區(qū)以識別安全威脅。例如,威脅交換社 區(qū)可包括一組計算系統(tǒng),其經(jīng)由通信鏈路交換關(guān)于信息技術(shù)(IT)基礎(chǔ)設(shè)施(例如,系統(tǒng)和 服務(wù))的信息(例如,數(shù)據(jù))。計算系統(tǒng)可被稱為威脅交換社區(qū)的參與者。在某些實現(xiàn)中, 包括和/或控制計算系統(tǒng)的實體可以也被稱為威脅交換社區(qū)的參與者。
[0011] 例如,參與者包括一組實體中每個實體的IT基礎(chǔ)設(shè)施內(nèi)的參與者服務(wù)器或參與 者服務(wù)器組。每個參與者服務(wù)器(或每個參與者服務(wù)器組)可將與包括該參與者服務(wù) 器的IT基礎(chǔ)設(shè)施內(nèi)或IT基礎(chǔ)設(shè)施處的動作有關(guān)的信息提供至威脅交換服務(wù)器。威脅 交換服務(wù)器可分析由每個參與者服務(wù)器提供的信息以識別威脅交換社區(qū)中的安全事務(wù) (occurrence),并且將關(guān)于安全事務(wù)的定向安全警告提供至參與者服務(wù)器。如本文所使用 的安全事務(wù)可包括影響威脅交換服務(wù)器的動作的變量和信息(例如,數(shù)據(jù))。例如,影響動 作的這種安全事務(wù)可包括利用參與者提供的信息識別的用于描述安全背景、安全攻擊、安 全威脅、可疑事件、脆弱性、開發(fā)、警告、事故(incident)和/或其他相關(guān)事件的信息。
[0012] 在某些示例中,以點對點體系結(jié)構(gòu)通信的參與者服務(wù)器以及威脅交換服務(wù)器或其 功能,分布于參與者服務(wù)器或參與者服務(wù)器的子集中。即,在某些示例中,威脅交換社區(qū)不 包括集中式威脅交換服務(wù)器。相反,威脅交換服務(wù)器以參與者服務(wù)器組實現(xiàn)。
[0013] 如本文所使用的,定向安全警告可包括參與者處于遭受攻擊(例如,安全攻擊)的 風(fēng)險中的通知。在某些實例中,這種通知可以是由特定攻擊者利用針對特定脆弱性的特定 開發(fā)。因為定向安全警告取決于由參與者提供的安全數(shù)據(jù),因此參與者可基于所提供的安 全數(shù)據(jù)的量和/或細(xì)節(jié)接收定向安全警告。由此,根據(jù)本公開的示例的安全威脅交換社區(qū) 可防止參與者接收警告而不提供數(shù)據(jù)和/或提供有限數(shù)據(jù),通常稱為"自由騎手"。
[0014] 進(jìn)一步,在本公開的多種示例中,參與者可分組為多個集群。多個集群可基于參與 者提供的特性數(shù)據(jù)(例如,基礎(chǔ)設(shè)施、規(guī)模、產(chǎn)業(yè))、安全數(shù)據(jù)(例如,主機(jī)名、網(wǎng)際協(xié)議(IP) 地址、補(bǔ)丁級別)和/或所識別的公共安全事務(wù)模式(例如,公共安全攻擊、事件以及在參 與者之間識別的事故)而動態(tài)地形成。集群可用于針對威脅交換社區(qū)中的各參與者計算威 脅相關(guān)分(如本文進(jìn)一步討論的)。
[0015] 系統(tǒng)、方法和計算機(jī)可讀可執(zhí)行指令被提供用于提供定向安全警告。提供定向安 全警告可包括從威脅交換社區(qū)中的多個參與者收集參與者數(shù)據(jù),利用威脅交換服務(wù)器使用 所收集的參與者數(shù)據(jù)計算多個參與者中一參與者的威脅相關(guān)分,以及經(jīng)由威脅交換社區(qū)中 的通信鏈路基于所計算的威脅相關(guān)分從威脅交換服務(wù)器向該參與者提供定向安全警告。
[0016] 在本公開如下詳細(xì)描述中,參考形成其一部分的附圖,附圖中以圖示的形式示出 本公開的示例如何被實現(xiàn)。這些示例被足夠詳細(xì)地描述以使本領(lǐng)域普通技術(shù)人員能夠?qū)崿F(xiàn) 本公開的示例,并且應(yīng)當(dāng)理解,其他示例可被使用,并可做出過程的、電氣的和/或結(jié)構(gòu)上 的變化,而不偏離本公開的范圍。
[0017] 本文的附圖遵循以下編號慣例:其中第一數(shù)字對應(yīng)于附圖號而剩余數(shù)字標(biāo)識附圖 中的元素或組件。不同的圖之間相似的元素或組件可通過使用相似數(shù)字來標(biāo)識。例如,102 可引用圖1的元素"02",而在圖3中相似元素可引用為302。如將被理解,本文多種示例中 示出的元素可被增加、替換和/或消除,以提供本公開的多個附加的示例。
[0018] 此外,如將被理解,圖中提供的元素的比例和相對尺度意圖圖示本公開的示例,并 且不應(yīng)理解為限制意義。如本文所使用的,在附圖中特別結(jié)合附圖標(biāo)記的指示符"N"、"K" 和"L"指示多個如此指示的特定特征可與本公開的多個示例一起包括。并且,如本文所使 用的"多個"元素和/或特征可指代一個或多個這種元素和/或特征。
[0019] 圖1圖示了根據(jù)本公開的用于提供定向安全警告的環(huán)境100的示例的流程圖。環(huán) 境100可包括威脅交換社區(qū)。威脅交換社區(qū)可包括連接至威脅交換服務(wù)器102的多個參與 者 110-1,110-2,…,110-N〇
[0020] 圖 1 的示例中圖示的箭頭(例如,112-1,112-2,112-N,114-1,114-2,114-N)圖示 了威脅交換服務(wù)器102和多個參與者110-1,. ..,110-N之間的通信。箭頭所圖示的通信可 包括威脅交換社區(qū)中的通信鏈路。如本文所使用的通信鏈路可包括網(wǎng)絡(luò)連接,諸如邏輯和 /或物理連接。提供從參與者110-1,...,110-N到威脅交換服務(wù)器102的通信的通信鏈路 (例如,由112-1,112-2, ...,112-N所圖示的)可與提供從威脅交換服務(wù)器102到參與者 110-1,…,110-N的通信的通信鏈路(例如,由114-1,114-2,…,114-N所圖示)相同和 /或不同。
[0021] 多個參與者110-1,...,110_N可提供參與者數(shù)據(jù)至威脅交換服務(wù)器102 (例如,如 由從參與者110-1,...,110-N到威脅交換服務(wù)器102的箭頭112-1,...,112-N所圖示)。 參與者數(shù)據(jù)可包括安全數(shù)據(jù)和/或特性數(shù)據(jù)。如本文所使用的安全數(shù)據(jù)可包括安全相關(guān)信 息(例如,IP地址、主機(jī)名、補(bǔ)丁級別、個人可識別信息、參與者特定安全信息等)。例如,安 全數(shù)據(jù)可包括描述安全事務(wù)的信息。如本文所使用的安全事務(wù)可包括影響威脅交換服務(wù)器 的動作的變量和信息(例如,數(shù)據(jù))。例如,影響動作的這種安全事務(wù)可包括利用參與者提 供的信息(例如,參與者數(shù)據(jù))識別的、描述安全背景、安全攻擊、安全威脅、可疑事件、脆弱 性、開發(fā)、警告、事故和/或其他相關(guān)事件的信息。
[0022] 特性數(shù)據(jù)可包括與參與者相關(guān)的數(shù)據(jù),如基礎(chǔ)設(shè)施數(shù)據(jù)、產(chǎn)業(yè)部門標(biāo)識和/或?qū)?體的規(guī)模。在多個示例中,特性數(shù)據(jù)可包括歷史安全數(shù)據(jù),其標(biāo)識由參與者識別的先前的安 全事務(wù)。
[0023] 如本文所使用的事件(或安全事件)可包括對已發(fā)生的事情的描述。事件可用于 描述發(fā)生的事情和對發(fā)生的事情的描述。例如,事件可包括信息,諸如與事件關(guān)聯(lián)的日志中 的記錄。事件的示例包括"Alice登入IP地址10. 1. 1. 1的機(jī)器","IP地址192. 168. 10. 1 的機(jī)器傳輸4. 2G字節(jié)的數(shù)據(jù)至IP地址8. 1. 34. 2的機(jī)器","郵件消息在下午2 :38從fredO flinstones. com發(fā)送至bettvOrubb