亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

模式合并以識(shí)別惡意行為的制作方法

文檔序號(hào):7995062閱讀:190來(lái)源:國(guó)知局
模式合并以識(shí)別惡意行為的制作方法
【專(zhuān)利摘要】一種過(guò)程,包括分析由網(wǎng)絡(luò)上的計(jì)算設(shè)備報(bào)告的事件,以識(shí)別發(fā)生在所述網(wǎng)絡(luò)上的事件的模式,以及與社區(qū)共享關(guān)于檢測(cè)到的模式的信息。所述過(guò)程還可以使用關(guān)于所述模式的合并信息,來(lái)選擇所述模式中的一個(gè)或多個(gè),以用于識(shí)別所選擇的模式是否產(chǎn)生于惡意行為的分析。所述合并信息包括在所述網(wǎng)絡(luò)上檢測(cè)到的關(guān)于所述模式的信息和關(guān)于別處發(fā)生的事件的對(duì)應(yīng)模式的信息。
【專(zhuān)利說(shuō)明】模式合并以識(shí)別惡意行為

【背景技術(shù)】
[0001] 惡意軟件經(jīng)常被設(shè)計(jì)為延遲特定惡意效果。例如,許多蠕蟲(chóng)、病毒和特洛伊木馬試 圖"零日攻擊"以在軟件開(kāi)發(fā)者意識(shí)到軟件漏洞之前利用該漏洞。為了最大效果,零日攻擊 可以在特定日期發(fā)動(dòng)部分攻擊,該特定日期可以在蠕蟲(chóng)、病毒或木馬程序開(kāi)始傳播的日期 之后。這可以特別為在攻擊的延遲部分具有能容易檢測(cè)的效果時(shí)的情況,例如,特別有害效 果的情況。攻擊的延遲可能致力于允許這種惡意軟件在被注意之前傳播并積聚感染設(shè)備的 臨界質(zhì)量。希望盡快檢測(cè)并使這種惡意軟件失效,并且特別是在攻擊的更多有害部分開(kāi)始 之前。然而,抗病毒軟件解決方案通常使用已知的簽名和探試程序來(lái)檢測(cè)惡意軟件,并且新 攻擊中的許多不被抗病毒軟件解決方案所識(shí)別,直到發(fā)生顯著的損害之后??共《窘鉀Q方 案還可能需要時(shí)間來(lái)更新簽名,從而這種解決方案可能僅能夠在惡意軟件的零日攻擊開(kāi)始 之后處理特定的惡意軟件幾天或幾周。最終,可能發(fā)生大量損害。
[0002] 模式發(fā)現(xiàn)過(guò)程可以執(zhí)行復(fù)變分析以檢測(cè)另外可能隱藏在系統(tǒng)質(zhì)量和用戶行為中 的事件的模式。然而,分析在大型企業(yè)中產(chǎn)生的事件的企業(yè)系統(tǒng)管理(ESM)安裝程序可以 檢測(cè)相當(dāng)多的模式以至于全部檢測(cè)到的模式的安全分析可能是不現(xiàn)實(shí)的。

【專(zhuān)利附圖】

【附圖說(shuō)明】
[0003] 圖1為包括連接以與社區(qū)的其他成員共享事件模式的企業(yè)管理系統(tǒng)的系統(tǒng)的框 圖。
[0004] 圖2為通過(guò)檢測(cè)并分析事件模式來(lái)檢測(cè)惡意行為的過(guò)程的流程圖。
[0005] 圖3為使用檢測(cè)到的模式的共享的標(biāo)準(zhǔn)形式來(lái)識(shí)別可能的惡意軟件行為的發(fā)生 的過(guò)程的流程圖。
[0006] 圖4為能夠共享檢測(cè)到的模式的標(biāo)準(zhǔn)形式的管理器的框圖。
[0007] 圖5為使用共享模式信息的合并來(lái)選擇用于分析的模式的過(guò)程的流程圖。
[0008] 在不同的附圖中使用的相同參考標(biāo)記指示類(lèi)似或相同的項(xiàng)目。

【具體實(shí)施方式】
[0009] 檢測(cè)惡意軟件的系統(tǒng)和過(guò)程可以檢測(cè)單個(gè)ESM安裝程序中事件的模式、生成在每 個(gè)安裝程序中檢測(cè)到的模式的標(biāo)準(zhǔn)形式、與社區(qū)共享關(guān)于標(biāo)準(zhǔn)形式的信息、以及合并多個(gè) 安裝程序中的共享信息以識(shí)別模式中的哪一個(gè)存在最大威脅或惡意行為的可能。與新事件 的模式關(guān)聯(lián)的威脅的水平可以基于發(fā)生的數(shù)目或速率以及事件的模式在ESM安裝程序的 社區(qū)中傳播有多廣泛而評(píng)分。例如,模式的威脅評(píng)分可以基于在單個(gè)機(jī)構(gòu)中模式的支持,例 如機(jī)器或呈現(xiàn)行為的用戶賬號(hào)的數(shù)目,和/或被模式影響的機(jī)構(gòu)的數(shù)目。為了有利于這種 評(píng)估,使用公共或?qū)S媒粨Q機(jī),例如威脅交換機(jī),模式的標(biāo)準(zhǔn)形式可以被合并和共享。模式 的標(biāo)準(zhǔn)形式還可以被安全分析師通過(guò)諸如即時(shí)消息、郵件、論壇或社交媒體的其他通信模 式而交換。分析師可以特別研宄最新出現(xiàn)的廣泛傳播的模式,以在零日攻擊的更具毀滅性 的部分開(kāi)始之前發(fā)現(xiàn)傳播的惡意軟件。
[0010] 圖1為社區(qū)100的框圖,社區(qū)100包括企業(yè)系統(tǒng)110,企業(yè)系統(tǒng)110包括網(wǎng)絡(luò)安全, 例如ESM安裝程序,其可以檢測(cè)事件的模式并共享關(guān)于檢測(cè)到的模式的信息。因此,系統(tǒng) 110中的信息可以與發(fā)生在別處的模式相對(duì)應(yīng)的信息合并,并且該合并的信息可以被用于 在零日攻擊中提早識(shí)別惡意軟件行為。
[0011] 系統(tǒng)110包括網(wǎng)絡(luò)115、一個(gè)或多個(gè)代理120和管理器130。在一些實(shí)施方式中, 代理、管理器和/或控制臺(tái)中的一些或全部可以在單個(gè)計(jì)算平臺(tái)中組合或者在兩個(gè)或多個(gè) 物理平臺(tái)中分配。網(wǎng)絡(luò)115可以為傳統(tǒng)局域網(wǎng)并且可以被采用為覆蓋企業(yè)的全部或部分。 網(wǎng)絡(luò)115的特定類(lèi)型(例如,網(wǎng)絡(luò)115的拓?fù)浣Y(jié)構(gòu),不管網(wǎng)絡(luò)115使用無(wú)線或有線通信以及 實(shí)施哪個(gè)特定協(xié)議)對(duì)于事件模式的檢測(cè)和惡意行為的識(shí)別通常不是關(guān)鍵的,如這里進(jìn)一 步描述的。通常,網(wǎng)絡(luò)115可以包括諸如路由器和交換器的設(shè)備,以使諸如服務(wù)器、網(wǎng)絡(luò)家 電和個(gè)人電腦的計(jì)算設(shè)備與諸如打印機(jī)和掃描儀的外部設(shè)備互連。網(wǎng)絡(luò)115可以進(jìn)一步包 括一個(gè)或多個(gè)網(wǎng)關(guān)112,以連接至包括諸如因特網(wǎng)的公共或廣域網(wǎng)的其他網(wǎng)絡(luò)165。覆蓋企 業(yè)的其他部分的網(wǎng)絡(luò)(未示出)可以由其他網(wǎng)絡(luò)安全系統(tǒng)(未示出)服務(wù)。
[0012] 系統(tǒng)110中的代理120可以為執(zhí)行模塊,其捕獲、過(guò)濾或聚合與網(wǎng)絡(luò)115關(guān)聯(lián)的多 個(gè)網(wǎng)絡(luò)安全設(shè)備和/或應(yīng)用程序中的本地事件數(shù)據(jù)。代理120可以隨著事件的發(fā)生實(shí)時(shí) (或接近于實(shí)時(shí))處理事件或者可以定期訪問(wèn)可以被維持在特定設(shè)備中的事件的日志。安 全事件的一些典型源為常見(jiàn)的網(wǎng)絡(luò)安全設(shè)備,諸如防火墻、指令檢測(cè)系統(tǒng)和操作系統(tǒng)日志。 代理120可以,例如,收集來(lái)自產(chǎn)生事件日志或消息的任意源的事件,并且可以在諸如服務(wù) 器、網(wǎng)絡(luò)家電、個(gè)人電腦或網(wǎng)關(guān)112的本地設(shè)備上操作、在網(wǎng)絡(luò)115內(nèi)的合并點(diǎn)上操作和/ 或通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)陷阱操作。
[0013] 管理器130可以被部署在任意計(jì)算機(jī)硬件平臺(tái)上,并且可以例如包括進(jìn)一步合 并、過(guò)濾和交叉關(guān)聯(lián)從代理120接收的事件的基于服務(wù)器的部件。管理器130的一個(gè)特定 角色為捕獲和存儲(chǔ)實(shí)時(shí)事件和歷史事件的數(shù)據(jù),以構(gòu)建網(wǎng)絡(luò)115上安全行為的表征。為此, 管理器130采用集中事件數(shù)據(jù)庫(kù)140,其可以包括用于存儲(chǔ)事件數(shù)據(jù)的事件表142。在一些 實(shí)施方式中,管理器130可以充當(dāng)多個(gè)代理120的集中器,并且可以將包括事件數(shù)據(jù)的信息 轉(zhuǎn)發(fā)至另一個(gè)管理器(未示出),其可以被部署在包括網(wǎng)絡(luò)115的企業(yè)中的公司總部或別 處。
[0014] 控制臺(tái)135可以采用應(yīng)用程序用于允許安全專(zhuān)家訪問(wèn)管理器130并執(zhí)行諸如事件 監(jiān)控、規(guī)則設(shè)計(jì)、事故調(diào)查和報(bào)告的日常管理和操作任務(wù)。例如,控制臺(tái)135可以采用瀏覽 器訪問(wèn)來(lái)自管理器130或社區(qū)100的其他部分的安全事件、知識(shí)庫(kù)文件、報(bào)告和通知,社區(qū) 100的其他部分包括其他企業(yè)的管理器170、威脅交換機(jī)180、分析師資源190或其他當(dāng)事 人。管理器130可以包括可經(jīng)由托管在控制臺(tái)135或代替控制臺(tái)135并提供控制臺(tái)135的 一些或全部功能的便攜式計(jì)算機(jī)(未示出)上的網(wǎng)絡(luò)瀏覽器訪問(wèn)的網(wǎng)絡(luò)服務(wù)器部件(未示 出)。在安全專(zhuān)家不在直接連接至網(wǎng)絡(luò)115的設(shè)備的物理位置上時(shí),瀏覽器訪問(wèn)可能是特別 有用的。在將模式上的信息與威脅交換機(jī)180或分析師資源190共享時(shí),瀏覽器訪問(wèn)也可 以是有用的。控制臺(tái)135或遠(yuǎn)程設(shè)備和管理器130之間的通信可以為雙向或加密的。訪問(wèn) 控制列表可以被用于允許多個(gè)安全專(zhuān)家使用相同的管理器130和數(shù)據(jù)庫(kù)140。因此,單個(gè)管 理器130可以支持多個(gè)控制臺(tái)135或遠(yuǎn)程設(shè)備。
[0015] 在圖1的實(shí)施例中,管理器130包括與代理120通信以接收事件數(shù)據(jù)的事件管理 器132,以及實(shí)施事件數(shù)據(jù)庫(kù)140的功能的數(shù)據(jù)庫(kù)管理器134。管理器130和代理120之間 的通信可以為雙向的,例如允許管理器130將命令發(fā)送至托管代理120的平臺(tái)。如果使用 與代理120的雙向通信,則事件管理器132可以將消息發(fā)送至代理120。如果代理-管理 器的通信采用加密,則事件管理器132可以將從代理120接收的消息解密,并且將發(fā)送至代 理120的任意消息加密。事件管理器132還可以負(fù)責(zé)產(chǎn)生一些事件數(shù)據(jù)消息,諸如關(guān)聯(lián)事 件和審計(jì)事件,或可以執(zhí)行這些功能的規(guī)則引擎136。事件管理器132可以將事件數(shù)據(jù)直接 或通過(guò)規(guī)則引擎136傳遞至數(shù)據(jù)庫(kù)管理器134,并且數(shù)據(jù)庫(kù)管理器134可以控制數(shù)據(jù)庫(kù)140 中事件數(shù)據(jù)的存儲(chǔ)和組織。數(shù)據(jù)庫(kù)管理器134還可以執(zhí)行搜索查詢或其他指令,以檢索數(shù) 據(jù)庫(kù)140中的事件數(shù)據(jù)。
[0016] 在一個(gè)實(shí)施方式中,數(shù)據(jù)庫(kù)管理器134使用通過(guò)事件管理器132從代理120接收 的事件數(shù)據(jù)在事件數(shù)據(jù)庫(kù)140中構(gòu)建事件表142。例如,代理120可以以單個(gè)事件的形式和 /或以聚合形式提供事件數(shù)據(jù)。事件的聚合形式可以為相同類(lèi)型的多個(gè)事件的單個(gè)表征。 例如,代理120可以將表示550字節(jié)的事件信息從第一 IP地址發(fā)送至第二IP地址,而不是 將十個(gè)不同字節(jié),例如10、20、30、40……100字節(jié)的事件,從第一 IP地址提供至第二IP地 址。在一個(gè)示例中,代理120給事件管理器132提供事件流。事件流為事件的連續(xù)流,其中 每個(gè)事件由一組數(shù)據(jù)區(qū)表示。事件管理器132可以將事件傳遞至規(guī)則引擎136以處理???替代地,事件或事件數(shù)據(jù)可以被聚合或產(chǎn)生在管理器130中,例如通過(guò)事件管理器132或規(guī) 則引擎136。數(shù)據(jù)庫(kù)管理器134可以將從代理120接收或由管理器130產(chǎn)生的事件數(shù)據(jù)存 儲(chǔ)在數(shù)據(jù)庫(kù)140中的事件表142中。在一個(gè)實(shí)施方式中,事件表142可以具有對(duì)應(yīng)于單個(gè) 事件的行和對(duì)應(yīng)于事件字段的列。
[0017] 管理器130還包括模式處理能力,并且規(guī)則引擎136可以包括經(jīng)由數(shù)據(jù)庫(kù)管理器 134調(diào)用模式檢測(cè)的規(guī)則,諸如描述何時(shí)進(jìn)行模式檢測(cè)或哪個(gè)用戶可以看到模式檢測(cè)結(jié)果 的規(guī)則。在示出的實(shí)施例中,管理器130包括處理事件數(shù)據(jù)以識(shí)別事件數(shù)據(jù)中的模式的模 式發(fā)現(xiàn)模塊150。模式發(fā)現(xiàn)模塊150可以經(jīng)由事件管理器132從代理120接收事件數(shù)據(jù)、從 規(guī)則引擎136接收事件數(shù)據(jù)或直接或經(jīng)由數(shù)據(jù)庫(kù)管理器134從事件數(shù)據(jù)庫(kù)140接收事件數(shù) 據(jù)。
[0018] 在一個(gè)實(shí)施方式中,模式發(fā)現(xiàn)模塊150采用模式發(fā)現(xiàn)配置文件144,其可以被存儲(chǔ) 在事件數(shù)據(jù)庫(kù)140中。每個(gè)模式發(fā)現(xiàn)配置文件144指示確定一組事件是否符合與模式發(fā)現(xiàn) 配置文件144關(guān)聯(lián)的模式的準(zhǔn)則。在一個(gè)特定實(shí)施方式中,模式發(fā)現(xiàn)配置文件144可以為 定義用于發(fā)現(xiàn)模式的準(zhǔn)則的資源,例如以XML的形式。模式發(fā)現(xiàn)配置文件144可以例如指 示要考慮的事件發(fā)生的時(shí)間段、事件的選擇性過(guò)濾條件、一組包含諸如事件名稱的相應(yīng)值 的模式識(shí)別字段,諸如源地址和目標(biāo)地址的模式處理字段、模式中不同行為的最小數(shù)目、以 及模式橫跨不同事務(wù)重復(fù)次數(shù)的最小數(shù)目。模式發(fā)現(xiàn)模塊150可以處理來(lái)自數(shù)據(jù)庫(kù)140的 事件或事件數(shù)據(jù),以自動(dòng)產(chǎn)生配置文件144。配置文件144可以可替代地由其他源提供。例 如,模式發(fā)現(xiàn)模塊150或控制臺(tái)135的用戶可以產(chǎn)生配置文件144,或者配置文件144可以 通過(guò)威脅交換機(jī)180或其他通信來(lái)共享。
[0019] 管理器130可以將事件表142中的事件與模式發(fā)現(xiàn)配置文件144中定義的準(zhǔn)則相 比較,以識(shí)別對(duì)應(yīng)于模式148匹配的事件組。例如,管理器130可以僅使用產(chǎn)生的模式發(fā) 現(xiàn)配置文件144或者使用事件數(shù)據(jù)庫(kù)140中的任意之前存儲(chǔ)的模式發(fā)現(xiàn)配置文件144。然 后,數(shù)據(jù)庫(kù)管理器134可以執(zhí)行SQL命令以將事件表142中的事件字段與模式發(fā)現(xiàn)配置文 件144中定義的準(zhǔn)則相比較。匹配可以包括表示滿足模式發(fā)現(xiàn)配置文件中定義的準(zhǔn)則的一 系列行為的一組事件。匹配模式發(fā)現(xiàn)配置文件144的每個(gè)實(shí)例為模式148的發(fā)生。模式的 發(fā)生可以被用于產(chǎn)生與網(wǎng)絡(luò)115上事件的模式148相應(yīng)關(guān)聯(lián)的統(tǒng)計(jì)值146,并且該具體發(fā)生 或統(tǒng)計(jì)值146可以被存儲(chǔ)在數(shù)據(jù)庫(kù)140中??商娲兀c特定配置文件144或模式148對(duì) 應(yīng)的模式的每個(gè)檢測(cè)可以被報(bào)告給社區(qū)100或與社區(qū)100分享。
[0020] 產(chǎn)生模式發(fā)現(xiàn)配置文件和檢測(cè)事件數(shù)據(jù)中的模式的系統(tǒng)和方法進(jìn)一步被描述在 美國(guó)專(zhuān)利No. 7509677 中,名稱為"Pattern Discovery in a Network Security System(網(wǎng) 絡(luò)安全系統(tǒng)中的模式發(fā)現(xiàn))",其整體通過(guò)引用被合并于此。
[0021] 通知者138可以定期或在檢測(cè)到新模式時(shí)產(chǎn)生通知,例如消息、警告等。通知者 138可以例如將包含模式148的標(biāo)準(zhǔn)形式和關(guān)聯(lián)模式統(tǒng)計(jì)值146 (若有的話)的消息發(fā)送至 威脅交換機(jī)180。同樣,用于檢測(cè)模式的事件數(shù)據(jù)可以例如通過(guò)針對(duì)用戶/分析師的控制臺(tái) 135來(lái)顯示和/或在管理器130中分析。
[0022] 社區(qū)100,如上所指出,可以包括可以通過(guò)公共網(wǎng)絡(luò)165互相連接并連接至系統(tǒng) 110的安裝在其他企業(yè)中的管理器170、威脅交換機(jī)180和分析師資源190。每個(gè)管理器170 可以與網(wǎng)絡(luò)管理器130相同,而且用以在作為不同機(jī)構(gòu)和企業(yè)的一部分的不同網(wǎng)絡(luò)(未示 出)上監(jiān)控網(wǎng)絡(luò)行為。因此,管理器170可以類(lèi)似地共享關(guān)于檢測(cè)到的發(fā)生在事件相應(yīng)網(wǎng) 絡(luò)上的事件模式的信息。
[0023] 威脅交換機(jī)180可以為實(shí)施在可以與ESM安裝程序通信的服務(wù)器或其他硬件平臺(tái) 上的服務(wù),例如與管理器130和170以及分析師資源190通信。威脅交換機(jī)180的一個(gè)功 能是合并關(guān)于可以在多個(gè)企業(yè)中檢測(cè)到的模式的信息。具體而言,威脅交換機(jī)180可以構(gòu) 建包含會(huì)被報(bào)告給威脅交換機(jī)180的模式的標(biāo)準(zhǔn)形式的表182。表184可以包含合并的統(tǒng) 計(jì)值或包括與標(biāo)準(zhǔn)形式關(guān)聯(lián)的入口的其他數(shù)據(jù),包括,例如,報(bào)告模式檢測(cè)的機(jī)構(gòu)或企業(yè)的 總數(shù)目、被事件模式影響的機(jī)器或用戶賬號(hào)的總數(shù)目、以及指示事件的模式的風(fēng)險(xiǎn)或威脅 水平的評(píng)分。由合并的數(shù)據(jù)184估算或另外確定的評(píng)分可以被用于區(qū)分用于分析的模式的 優(yōu)先次序并選擇分析的模式。威脅交換機(jī)180還可以合并或收集在檢測(cè)的模式中任一個(gè)上 共享的分析186。分析186可以指示檢測(cè)的模式是否已經(jīng)被分析并確定為惡意或善意的行 為。分析186還可以響應(yīng)于檢測(cè)模式而指示要采取的解決方案或動(dòng)作。通信模塊188可以 包括允許管理器130和170將標(biāo)準(zhǔn)形式、關(guān)聯(lián)統(tǒng)計(jì)值或分析上載到威脅交換機(jī)180或下載 標(biāo)準(zhǔn)形式182、合并的數(shù)據(jù)184和分析186的網(wǎng)絡(luò)服務(wù)器部件,例如,用于模式檢測(cè)、分析和 校正動(dòng)作。通信模塊可以類(lèi)似地允許分析師190上載或下載信息。
[0024] 分析師資源190可以是單獨(dú)或與威脅交換機(jī)180相關(guān)聯(lián)而提供以識(shí)別惡意行為或 推薦校正行為的服務(wù)。
[0025] 圖2示出過(guò)程200,其使用在零日攻擊期間并且可能地在攻擊的延遲和特別有害 部分發(fā)生之前提早識(shí)別惡意行為的模式檢測(cè)。為了說(shuō)明,這里結(jié)合圖1系統(tǒng)中的行為描述 過(guò)程200,盡管過(guò)程200可以在不同的系統(tǒng)中進(jìn)行。
[0026] 過(guò)程200開(kāi)始于檢測(cè)和共享發(fā)生在被監(jiān)控的網(wǎng)絡(luò)中的事件的模式的框210。框210 可以特別地在諸如圖1中示出的ESM安裝程序中進(jìn)行,其中管理器130可以實(shí)施模式檢測(cè) 框212???12檢測(cè)在特定時(shí)間周期期間發(fā)生在被監(jiān)控的網(wǎng)絡(luò)中的事件的模式???14產(chǎn) 生檢測(cè)到的模式的一些或全部的標(biāo)準(zhǔn)形式,并且框216共享該模式中的一些或全部的標(biāo)準(zhǔn) 形式,框214針對(duì)該模式產(chǎn)生標(biāo)準(zhǔn)形式。通常,僅僅需要針對(duì)會(huì)被共享的模式而產(chǎn)生標(biāo)準(zhǔn)形 式。如果模式?jīng)]有被檢測(cè)系統(tǒng)分類(lèi),則過(guò)程200的一些實(shí)施方式僅可以產(chǎn)生標(biāo)準(zhǔn)形式(或 共享模式),檢測(cè)系統(tǒng)例如為與善意或惡意行為相對(duì)應(yīng)的管理器130或社區(qū)100。檢測(cè)到的 模式可以被分類(lèi),例如,通過(guò)諸如下面進(jìn)一步描述或通過(guò)歷史描述的分析。例如,與新出現(xiàn) 的模式相比,已經(jīng)發(fā)生了延長(zhǎng)的時(shí)間周期,而不是有害的模式可以被認(rèn)為不太可能是惡意 的。在一個(gè)實(shí)施方式中,如果對(duì)于安裝程序來(lái)說(shuō)模式是新的,即如果模式的第一發(fā)生小于某 個(gè)特定時(shí)間之前而發(fā)生,則ESM安裝可以僅共享模式。
[0027] 框214可以由原始事件數(shù)據(jù)產(chǎn)生模式的標(biāo)準(zhǔn)形式,以移除或另外保護(hù)原始事件數(shù) 據(jù)中潛在的機(jī)密信息并且提供可以適用于許多網(wǎng)絡(luò)系統(tǒng)的事件模式的格式。原始事件經(jīng) 常包含日志線形式的信息。在系統(tǒng)110中,代理120可以解析事件或日志線,以識(shí)別字段, 例如事件名稱、源地址、目標(biāo)地址等,并且將一些或全部事件字段發(fā)送管理器130。管理器 130可以使用資產(chǎn)模型、用戶模型和其他信息完善或增大事件數(shù)據(jù)。系統(tǒng)110中被識(shí)別的 事件模式148可以包括在模式的計(jì)算中使用的各個(gè)字段值的具體快照。這個(gè)信息經(jīng)常是 機(jī)密的,并且因此不與其他當(dāng)事人共享。在產(chǎn)生標(biāo)準(zhǔn)形式時(shí)的框214可以提取或更改包含 機(jī)密信息的字段,以使針對(duì)模式更改的事件數(shù)據(jù)可以與社區(qū)100共享或特別與威脅交換機(jī) 180共享。因此,一些字段值可以被轉(zhuǎn)換為傳送針對(duì)識(shí)別的模式要求的信息而不傳送機(jī)密 信息的公認(rèn)通用值。例如,事件的模式的標(biāo)準(zhǔn)形式可以為避免公開(kāi)特定設(shè)備或系統(tǒng)細(xì)節(jié)并 且可以被一般地映射到網(wǎng)絡(luò)上常見(jiàn)設(shè)備的模式的表征。在一個(gè)實(shí)施方式中,模式的標(biāo)準(zhǔn)形 式148可以為由模式發(fā)現(xiàn)配置文件144中的模式識(shí)別字段(例如,事件名稱)表示的一系 列行為。模式的標(biāo)準(zhǔn)形式的一個(gè)特定實(shí)施方式可以進(jìn)一步包括其中每個(gè)事件都可以包括行 為識(shí)別字段的一組事件。針對(duì)行為字段的不同值可以指示諸如TCP探測(cè)、端口掃描、shell 代碼X86NOOP和成功登陸等的行為。連同模式的標(biāo)準(zhǔn)形式,模式的支持也可以被共享。該 支持為其中觀察到模式的唯一的源-目標(biāo)結(jié)合的數(shù)目。在一個(gè)實(shí)施方式中,源和目標(biāo)識(shí)別 字段可以指示源或目標(biāo)的地址和網(wǎng)絡(luò)區(qū)。在不指示特定或保密值的情況下,源和目標(biāo)字段 還可以指指示值類(lèi)型的單個(gè)字段,例如用戶ID或信用卡號(hào)。
[0028] 在具有或不具有諸如與檢測(cè)到的模式關(guān)聯(lián)的統(tǒng)計(jì)信息的輔助信息的情況下,框 216與社區(qū)共享檢測(cè)到的標(biāo)準(zhǔn)形式的模式。如上所述,社區(qū)100可以包括其他ESM安裝程序 的管理者,諸如管理器170、威脅交換機(jī)180、以及其他安全性專(zhuān)家或分析師資源190。社區(qū) 100可以特別包括管理器130的制造商作為服務(wù)提供給社區(qū)100的管理器130和分析師資 源190的特定類(lèi)型或品牌的用戶,社區(qū)100包括使用管理器130的企業(yè)。共享216可以包 括將新模式指派給管理器130的制造商可以維護(hù)的威脅交換機(jī)180。
[0029] 威脅交換機(jī)180可以合并來(lái)自許多安裝程序的模式的報(bào)告并積聚關(guān)于每個(gè)模式 的信息,該信息諸如是已經(jīng)報(bào)告模式的安裝程序的數(shù)目和模式在全部安裝程序上發(fā)生的數(shù) 目。作為合并的一部分,框220可以檢查社區(qū)100中報(bào)告的匹配模式,并且可以產(chǎn)生指示模 式表示惡意行為的可能性的評(píng)分。威脅交換機(jī)108可以被配置為通過(guò)收集、登記和評(píng)價(jià)管 理器130和170共享的模式來(lái)實(shí)施框220??商娲?,管理器130可以針對(duì)匹配新模式的當(dāng) 前報(bào)告的其他管理器170中之前的報(bào)告檢查威脅交換機(jī)180的記錄,并且管理器130可以 產(chǎn)生將模式代表的威脅水平建議給網(wǎng)絡(luò)115的評(píng)分。在確定威脅評(píng)分過(guò)程中,模式可以呈 現(xiàn)更多的威脅,并且如果模式是新的、發(fā)生在許多采用威脅交換機(jī)180的不同安裝程序中 并且大量發(fā)生,則具有更高的威脅評(píng)分。廣泛傳播并且在許多安裝程序上具有很高的發(fā)生 率的新模式通常值得另外的調(diào)查。
[0030] 指示模式的威脅水平的評(píng)分可以使用根據(jù)舉報(bào)方的聲譽(yù)而加權(quán)的發(fā)生的報(bào)告之 和來(lái)確定。方程1,例如,示出其中評(píng)分為當(dāng)事人的信譽(yù)的產(chǎn)物的所有部分或參與者和當(dāng)事 人的安裝程序處的模式支持之和的示例。在方程1中,當(dāng)事人信譽(yù)為舉報(bào)參與者的信譽(yù),并 且模式支持為報(bào)告的統(tǒng)計(jì)值或數(shù)值,例如設(shè)備的數(shù)目或包含在模式中的用戶賬號(hào)、針對(duì)該 模式而報(bào)告的參與者。可替代的威脅評(píng)分可以為標(biāo)準(zhǔn)化評(píng)分,其中對(duì)于每個(gè)參與者,評(píng)分包 含作為參與者的IT系統(tǒng)中的百分比或標(biāo)準(zhǔn)化模式支持的貢獻(xiàn)。例如,對(duì)于來(lái)自每個(gè)參與 者的評(píng)分的貢獻(xiàn)可以等于例如模式支持除以IT系統(tǒng)的大小的測(cè)量的比率。這會(huì)使得較小 系統(tǒng)的貢獻(xiàn)在整個(gè)威脅評(píng)分中更加重要,并且評(píng)分會(huì)受到被影響的每個(gè)參與者更平等的干 涉。該對(duì)于機(jī)構(gòu)的大小的測(cè)量可以通過(guò)多種方式確定。例如,一個(gè)測(cè)量可以為參與者的系 統(tǒng)中服務(wù)器的數(shù)目。

【權(quán)利要求】
1. 一種過(guò)程,包括: 分析由網(wǎng)絡(luò)上的多個(gè)計(jì)算設(shè)備報(bào)告的事件,以識(shí)別發(fā)生在所述網(wǎng)絡(luò)上的事件的模式; 共享關(guān)于所檢測(cè)到的模式的信息,其中所述信息與社區(qū)共享;并且 使用關(guān)于所述模式的合并信息,來(lái)選擇所述模式中的一個(gè)或多個(gè),以用于識(shí)別所選擇 的模式是否產(chǎn)生于惡意行為的分析,其中 所述合并信息包括在所述網(wǎng)絡(luò)上檢測(cè)到的關(guān)于所述模式的信息和關(guān)于別處檢測(cè)到的 事件的對(duì)應(yīng)模式的信息。
2. 根據(jù)權(quán)利要求1所述的過(guò)程,其中共享所述信息包括: 產(chǎn)生識(shí)別的事件的模式中的每一個(gè)的標(biāo)準(zhǔn)形式;以及 將所述標(biāo)準(zhǔn)形式包括在與所述社區(qū)共享的信息中。
3. 根據(jù)權(quán)利要求2所述的過(guò)程,其中產(chǎn)生所述標(biāo)準(zhǔn)形式包括: 收集對(duì)應(yīng)于所述模式的一組事件的事件數(shù)據(jù); 將所述事件數(shù)據(jù)中的行為表征與執(zhí)行行為的參與者的表征隔離;以及 不將所述行為表征與所述執(zhí)行行為的參與者的表征共享,以由此避免共享所述事件數(shù) 據(jù)中的機(jī)密信息。
4. 根據(jù)權(quán)利要求1所述的過(guò)程,其中使用所述合并信息包括:以指示給分析師所述模 式的威脅的相應(yīng)水平的順序,區(qū)分所述模式的優(yōu)先次序。
5. 根據(jù)權(quán)利要求1所述的過(guò)程,其中共享包括:提供關(guān)于所述模式的所述信息至在所 述社區(qū)中可訪問(wèn)的威脅交換機(jī)。
6. 根據(jù)權(quán)利要求1所述的過(guò)程,其中使用所述合并信息包括:確定事件的所述模式中 的一個(gè)發(fā)生在其上的網(wǎng)絡(luò)的數(shù)目。
7. 根據(jù)權(quán)利要求1所述的過(guò)程,其中使用所述合并信息包括:確定被事件的所述模式 中的一個(gè)的發(fā)生影響的機(jī)器的數(shù)目。
8. 根據(jù)權(quán)利要求1所述的過(guò)程,進(jìn)一步包括:分析所選擇模式中的一個(gè)以檢測(cè)引起該 模式的惡意軟件,其中在所述惡意軟件執(zhí)行零日攻擊的延遲部分之前,所述惡意軟件被檢 測(cè)。
9. 根據(jù)權(quán)利要求1所述的過(guò)程,其中使用針對(duì)模式的所述合并信息包括:確定該模式 的評(píng)分,其中所述評(píng)分為通過(guò)多個(gè)機(jī)構(gòu)取決于該模式的相應(yīng)報(bào)告的多個(gè)貢獻(xiàn)之和。
10. 根據(jù)權(quán)利要求9所述的過(guò)程,其中所述貢獻(xiàn)中的每一個(gè)根據(jù)與該貢獻(xiàn)關(guān)聯(lián)的機(jī)構(gòu) 的聲譽(yù)而加權(quán)。
11. 一種非臨時(shí)性計(jì)算機(jī)可讀媒體,包含在被計(jì)算系統(tǒng)執(zhí)行時(shí)引起一過(guò)程的指令,所述 過(guò)程包括: 分析由網(wǎng)絡(luò)上的多個(gè)計(jì)算設(shè)備報(bào)告的事件,以識(shí)別發(fā)生在所述網(wǎng)絡(luò)上的事件的模式; 共享關(guān)于所檢測(cè)到的模式的信息,其中所述信息與社區(qū)共享;并且 使用關(guān)于所述模式的合并信息,以選擇所述模式中的一個(gè)或多個(gè),以用于識(shí)別所選擇 的模式是否產(chǎn)生于惡意行為的分析,其中 所述合并信息包括在所述網(wǎng)絡(luò)上檢測(cè)到的關(guān)于所述模式的信息和關(guān)于別處檢測(cè)到的 事件的對(duì)應(yīng)模式的信息。
12. -種系統(tǒng),包括: 模式發(fā)現(xiàn)模塊,被配置為在網(wǎng)絡(luò)中檢測(cè)事件的模式;以及 通知者,被配置為將檢測(cè)到的模式的標(biāo)準(zhǔn)形式與社區(qū)共享,其中所述標(biāo)準(zhǔn)形式在與別 處檢測(cè)到的關(guān)于模式的信息合并時(shí)指示產(chǎn)生于惡意行為的模式的威脅的相應(yīng)水平。
13. 根據(jù)權(quán)利要求12所述的系統(tǒng),進(jìn)一步包括威脅交換機(jī),所述威脅交換機(jī)與所述社 區(qū)通信,并且被配置為給所述社區(qū)提供與所述標(biāo)準(zhǔn)形式關(guān)聯(lián)并且產(chǎn)生于多個(gè)所述模式發(fā)現(xiàn) 模塊中的合并信息的信息。
14. 根據(jù)權(quán)利要求13所述的系統(tǒng),其中所述威脅交換機(jī)可操作為針對(duì)所述模式確定評(píng) 分,其中所述評(píng)分為通過(guò)多個(gè)機(jī)構(gòu)取決于該模式的相應(yīng)報(bào)告的多個(gè)貢獻(xiàn)之和。
15. 根據(jù)權(quán)利要求12所述的系統(tǒng),其中所述標(biāo)準(zhǔn)形式包括從所述事件數(shù)據(jù)中提取的行 為表征,而不包括以標(biāo)準(zhǔn)形式執(zhí)行行為的參與者的表征。
【文檔編號(hào)】H04L12/26GK104509034SQ201280074998
【公開(kāi)日】2015年4月8日 申請(qǐng)日期:2012年7月31日 優(yōu)先權(quán)日:2012年7月31日
【發(fā)明者】阿努拉克·辛格拉, 蘇蘭讓·普羅馬尼克, 托馬斯·桑德 申請(qǐng)人:惠普發(fā)展公司,有限責(zé)任合伙企業(yè)
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1