CN112534432A - 不熟悉威胁场景的实时缓解 - Google Patents
不熟悉威胁场景的实时缓解 Download PDFInfo
- Publication number
- CN112534432A CN112534432A CN201980052067.0A CN201980052067A CN112534432A CN 112534432 A CN112534432 A CN 112534432A CN 201980052067 A CN201980052067 A CN 201980052067A CN 112534432 A CN112534432 A CN 112534432A
- Authority
- CN
- China
- Prior art keywords
- processes
- threat
- client
- mitigation
- remediation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通过生成并且向客户端系统提供包括预测性缓解过程集的缓解文件以用于响应于威胁场景来响应于未知威胁场景。缓解文件通过首先生成标识针对特定威胁场景的多个不同威胁场景特性的威胁向量而被生成。然后,分类模型被应用于威胁向量,以标识被确定为最适合威胁向量并且被包括在缓解文件中的预测性缓解过程集。
Description
背景技术
计算机和计算系统几乎影响了现代生活的各个方面。计算机通常涉及工作、娱乐、保健、运输、娱乐、家庭管理等。
某种计算机功能可以通过计算系统经由网络连接而互连到其他计算系统的能力来增强。网络连接可以包括但不限于经由有线或无线以太网进行的连接、蜂窝连接、或甚至通过串行、并行、USB或其他连接而进行的计算机到计算机连接。这些连接允许计算系统访问其他计算系统处的服务并且快速且有效地从其他计算系统接收应用数据。
计算系统的互连促进了分布式计算系统,诸如所谓的“云”计算系统。在该描述中,“云计算”可以是用于使得能够对可以通过减少的管理工作或服务提供商交互来供应和发布的可配置计算资源(例如,网络、服务器、存储、应用、服务等)的共享池进行普遍、方便、按需网络访问的系统或资源。云模型可以包括各种特性(例如,按需自助服务、广泛的网络访问、资源池、快速弹性、可衡量的服务等)、服务模型(例如,软件即服务(“SaaS”)、平台即服务(“PaaS”)、基础设施即服务(“IaaS”)和部署模型(例如,私有云、社区云、公共云、混合云等)。
基于云和远程的服务应用是普遍的。这样的应用托管在公共和私有远程系统(诸如云)上,并且通常提供一组基于网络的服务来与客户端进行来回通信。
不幸的是,计算系统的云和互连使计算系统暴露于来自恶意方的漏洞和威胁。例如,恶意方可以将恶意软件代码传输给毫无戒心的计算系统,或者创建由计算机系统已知执行的应用,但是这些应用包含对计算系统执行不良操作的隐藏的恶意软件。恶意方也有可能在计算系统上发起暴力攻击或DDoS(分布式拒绝服务)攻击。
为了解决和防止如上所述的威胁场景,很多组织雇用信息技术(IT)专家来监测其计算机系统的运行状况,标识与威胁场景相关联的警报,以及管理和更新防病毒和反恶意软件以缓解新近开发和发现的威胁。但是,这种类型的监测和更新非常昂贵且耗时。此外,很多组织没有配备相同的监测软件和/或无法聘请了解针对新近开发和发现的威胁可用的所有可能的补救动作的专职专家。不同的补救方案也不总是适用于所有组织,这使事情变得更加复杂。因此,IT专家经常依靠自己的设备在互联网上搜索可能适用于解决威胁场景的解决方案。但是,这是一个非常低效的过程。在很多情况中,由于存在各种计算系统并且各种类型的可能的解决方案可用于实现以解决不同的威胁场景,因此IT专家甚至确定要针对它们的(多个)计算系统执行的最佳补救流程也是完全不切实际或不可能的。
当出现新的未知威胁场景时,上述问题甚至更加明显,任何人都尚未针对其建立补救协议。特别地,IT专业人员可以搜索补救协议,但找不到任何协议。在这种情况中,为IT专业人员和受威胁系统提供一种了解如何应对未知威胁场景的方法将很有帮助。
因此,对标识和提供用于标识和应用补救过程以解决威胁场景、尤其是新的和未知的威胁场景的补救技术存在持续的需求和期望。
本文中要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的实施例。而是,仅提供该背景以说明可以在其中实践本文中描述的一些实施例的一个示例性技术领域。
发明内容
公开的实施例涉及被配置为促进针对未知威胁场景的实时缓解的系统、方法和存储设备。
在一些实施例中,一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通过生成并且向客户端系统提供包括预测性缓解过程集的缓解文件以用于响应于威胁场景来响应于未知威胁场景。
缓解文件通过首先生成标识针对特定威胁场景的多个不同威胁场景特性的威胁向量而被生成。然后,将分类模型应用于威胁向量,以标识被确定为最适合威胁向量并且被动态添加到缓解文件中的预测性缓解过程集。
在一些情况中,分类模型包括与关联于不同威胁场景的不同类型的警报对应的多个不同客户端补救过程集,不同威胁场景中的至少一些威胁场景与特定未知威胁场景相关,并且使得缓解文件包括被标识为与被确定为与特定威胁场景相关的警报类型对应的补救过程。
在一些情况中,通过针对每个标识的警报执行以下来针对不同类型的警报中的每种类型的警报生成多个不同客户端补救过程集:标识由对应的多个不同客户端系统执行的多个过程,多个过程在接近标识的警报的预定时间和/或过程内被执行;基于多个过程与标识的警报的相关性向量来确定多个过程中的哪些过程与标识的警报相关;以及针对多个不同客户端系统的每个客户端,创建客户端补救过程集,客户端补救过程集包括被确定为与标识的警报相关并且由客户端在接近标识的警报的预定时间段和/或过程内执行的过程。
在一些实施例中,缓解文件包括用于解决威胁场景的补救动作的不可执行列表。
在替代实施例或附加实施例中,缓解文件包括可执行文件,该可执行文件具有与补救过程集对应的可执行指令,该可执行指令用于响应于在客户端系统处运行缓解文件而自动地执行补救动作。
提供本“发明内容”以便以简化的形式介绍一些概念,这些概念将在下面的“具体实施方式”中进一步描述。本“发明内容”既不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附加的特征和优点将在下面的描述中阐述,并且部分地将从描述变得很清楚,或者可以通过本文中的教导的实践而获知。本发明的特征和优点可以通过所附权利要求中特别指出的手段和组合而被实现和获取。本发明的特征根据以下描述和所附权利要求书将变得更加完全明显,或者可以通过以下所述的本发明的实施而获知。
附图说明
为了描述获取上述和其他优点和特征的方式,将通过参考在附图中示出的特定实施例来对以上简要描述的主题进行更具体的描述。应当理解,这些附图仅描绘典型实施例,并且因此不应当被视为对范围的限制,实施例将通过使用附图以附加特性和细节来描述和解释,在附图中:
图1示出了与所公开的方法相关联的动作的流程图,该方法用于通过众包安全解决方案来执行威胁补救的自动生成;
图2示出了包括计算系统的示例性计算环境,该计算系统被配置为实现和/或包括所公开的实施例;
图3示出了用于多个过程的相关性向量及其与警报的相关性的表示;
图4示出了从图3所示的相关性向量得出的补救过程集的表示;
图5示出了与特定警报相关联的不同客户端的补救过程集的集群的表示;
图6示出了复合补救文件的各种表示,诸如可以从补救过程集的集群得出的表示;
图7示出了与所公开的方法相关联的动作的流程图,该方法用于促进针对未知威胁场景的实时缓解;
图8示出了可以用于标识不同类型的威胁/警报的威胁向量的表示;以及
图9示出了不同威胁分类文件或分组的表示,其包括基于威胁/警报的类型而分组的不同威胁/警报。
具体实施方式
所公开的实施例总体上涉及被配置为基于众包安全解决方案来促进对威胁场景的自动缓解和补救的系统、方法和存储设备。
在一些实施例中,一种计算系统通过标识针对先前未经历过威胁场景并且补救过程未知的客户端系统的特定威胁场景来执行针对不熟悉威胁场景的实时缓解。计算系统通过生成并且向客户端系统提供包括预测性缓解过程集的缓解文件以用于响应于威胁场景来响应于未知威胁场景。缓解文件通过首先生成针对标识特定威胁场景的多个不同威胁场景特性的威胁向量而被生成。然后,将分类模型应用于威胁向量,以标识被确定为最适合威胁向量并且被包括在缓解文件中的预测性缓解过程集。
如本文中使用的,术语“缓解”和“补救”可互换使用,并且是指用于响应于特定威胁或警报状况的响应协议。在这点上,应当理解,威胁或警报状况也与诸如“威胁场景”、“威胁”、“警报”等其他术语一起可互换使用。
从本文中提供的公开将认识到,所公开的实施例能够通过以下方式来解决与威胁场景(包括尚未建立补救协议的未知威胁场景)的缓解相关联的技术和实践问题:改进计算系统能够用于以人类不可能或至少不可行的方式应用机器学习和人工智能以自动且动态地生成具有被预测/估计为能够减轻未知威胁场景的补救过程的缓解文件的方法。
通过众包安全解决方案对威胁补救的自动生成
图1示出了由计算系统(例如,图2所示的计算系统200)执行以用于通过众包安全解决方案来执行补救步骤的自动生成的流程图100的各种动作。
如图所示,计算系统标识多个不同类型的警报,其中多个不同类型的警报中的每个标识的警报与每个触发或检测到标识的警报的对应的多个不同客户端系统相关联(动作110)。警报的这种标识可以基于各种信息。例如,计算系统可以通过从应用或远程系统(例如,客户端270、272、274)接收/标识警报的定义来标识警报。计算系统还可以基于检测到与配置文件、日志文件或与计算机组件相关联的测量的计算机健康度量相关联的异常来自动地定义警报,诸如在执行各种客户端系统的自动健康监测时。
在一些情况中,标识的警报是针对检测到的威胁场景的,诸如病毒、恶意软件、DDoS、暴力攻击、性能、容量或带宽的意外改变、意外或未经授权的请求、意外执行或过程正在执行等。在一些情况中,标识的警报是针对不确定其是否与恶意活动相关联的过程的,但是可能是诸如文件的安装、更新、修改、删除、上载、下载或其他处理等过程。
图3示出了相关性向量300的一个示例,在一些情况中,该相关性向量300被生成并且用于标识与警报相关联的过程,并且还可以用于从正在执行的过程标识警报。相关性向量300将在下面更详细地描述。
在标识(多个)警报之后,计算系统为每个警报或每种类型的警报生成多个不同的客户端补救过程集(动作120)。该过程包括各种子步骤或子动作,包括:(1)针对每个标识的警报或警报类型,标识由对应的多个不同客户端系统在接近标识的警报和标识的警报之后的预定时间和/或过程内执行的过程(动作121),基于多个过程与标识的警报的相关性向量来确定多个过程中的哪些过程与标识的警报相关(动作122),并且针对多个不同客户端系统的每个客户端,创建客户端补救过程集,该客户端补救过程集包括被确定为与标识的警报相关并且由客户端在接近标识的警报的预定时间段和/或过程内执行的过程(动作123)。
由计算系统执行的过程的标识(动作121)可以包括日志记录过程和/或访问日志文件。在一些情况中,这还可以包括对标识的过程进行过滤,以标识正在执行的所有过程的子集,并且排除时间上距离太远或与警报状况相关的距离太近的过程。例如,如果检测到警报状况在特定时间发生,则标识的过程可以被限制/过滤以仅包括在警报状况之后预定时间发生的过程的子集。该预定时间可以是阈值时间段,该阈值时间段由分钟数、小时数、天数或从警报状况发生起的另一持续时间来定义。
同样,标识的过程可以被限制/过滤以仅包括由计算系统的特定组件执行的过程的子集,该过程的子集被确定为接近警报状况或以其他方式与警报状况紧密相关(例如,同一主机系统中的处理器、由与警报状况相关联的特定应用运行或打开的会话、与特定客户端相关联的虚拟机、特定负载平衡器、路由器、服务器、服务或网站等)。
基于多个过程与标识的警报的相关性向量来确定多个过程中的哪些过程与标识的警报相关的动作(动作122)可以涉及建立/处理相关性向量,诸如图3所示的相关性向量300所示。
尽管当前实施例仅包括七个过程(即,过程AG),但是应当理解,在其他实施例中,相关性向量将包括更多的过程,并且基于时间、组件或任何其他限定符,可以包括标识的过程的完整集合中的任何数量或仅包括有限/过滤的过程子集(例如,数十个、数百个、数千个、甚至更多个过程)。
在一些情况中,使用初始过程集来帮助查找和标识警报状况(动作110)。在其他情况中,过程集基于已经定义的警报状况并且基于仅选择被确定为已经在接近所定义的警报状况的阈值时间段和/或过程内发生的过程被选择性地过滤(大致如上所述)。
在当前实施例中,相关性向量300将每个标识的过程(A-G)与对应距离属性(即,距离属性1-4)相关联。尽管仅示出了四个距离属性,但是可以利用任何数目的距离属性来适应不同需求和偏好。
在一些情况中,距离属性表示为值(例如,值A1-G4),这些值包括绝对值,或备选地,这些值包括可以用于标识过程与特定警报或警报类型之间的相关性距离的归一化/相对值。在其他实施例中,距离属性是值,该值实际上是字符串或其他类型的标识符(数字值除外),值用于在补救过程集的构建过程中对过程进行过滤。
在一些情况中,距离属性包括诸如与警报状况或警报触发事件的时间接近性、执行过程的组件、与被标识为涉及警报状况的(多个)组件的联网接近性、唯一性、执行频率、执行计数器、过程与警报状况之间的已知相关性、和/或可以用于评估过程与已知警报状况之间的相对相关性的任何其他度量。
然后,在一些情况中,可以对距离属性进行归一化,以标识对应过程相对于特定警报的相对权重或距离,并且从而确定哪些过程可能与警报状况相关联。备选地或附加地,可以通过特定标识符或阈值(例如,值A1-G4)来过滤该过程。
在一些情况中,执行确定哪些过程与标识的警报相关的过程(动作122),以标识客户端在补救检测到的警报状况时执行的特定过程。这些过程可以是基于防病毒/防恶意软件的自动过程、和/或基于管理员/用户动作或输入命令而被手动触发或实现的过程。例如,这些过程可以包括诸如打开防火墙,关闭端口,改变密码,关闭服务,重新安装或重新格式化文件,隔离文件,禁用特定组件或应用,阻止来自特定地址的业务,为管理员或第三方生成通知,重新平衡网络业务,实例化新会话或功能,将新资源分散或招募到分布式网络中,创建数据的副本或备份,关闭或重新引导系统/组件和/或任何其他过程。
创建补救过程集的子动作(动作123)和/或生成多个补救过程集的动作(动作120)还可以包括存储表示补救过程集的数据结构。用于图3的相关性向量300的补救过程集的说明性示例是补救过程集400。如图所示,该补救过程集400包括由客户端1针对警报类型1而执行的过程。在这一点上,应当理解,警报类型1可以是任何类型的警报状况(例如,检测到的DDoS、检测到的具有未经授权的凭据的登录请求、检测到的未知和意外可执行文件的执行、或任何其他警报状况)。在一些情况中,为多个不同客户端中的每个客户端创建和存储与不同警报状况相关联的多个不同补救过程集。
图1所示的流程图100的下一示出的动作是计算系统基于多个不同客户端补救过程集之间存在相关性来针对每种类型的警报生成复合补救文件的动作(动作130)。例如,这可以通过保存单个文件或分布式文件而被完成,该文件标识来自公共警报状况的多个不同客户端补救过程集中的一个或多个常见补救过程的列表并且满足多个不同客户端补救过程集之间的通用性或相关性阈值,同时从复合补救文件删除不满足不同客户端补救过程集之间的通用性或相关性阈值的一个或多个不常见补救过程。
在一些情况中,生成复合补救文件的过程(动作130)包括标识/生成与不同客户端和公共警报状况相关联的补救过程集的集群。补救过程集500的集群的表示如图5所示。如图所示,很多客户端补救过程集(分别与客户端1-6和n对应)被编译到单个表中,该表反映被确定为满足用于被选择并且包括在不同客户端的对应补救过程集中的相应阈值的过程。例如,图4的补救过程集400在补救过程集500的集群的顶行中示出,其中过程A、C、D、F和G被标记为由客户端1响应于警报类型1而执行的过程。补救过程集500的集群还包括与相同警报类型1相关联的客户端2的补救过程集,其中客户端2被确定为已经执行过程A、C、D、F和G,即由客户端1执行的相同的过程集。但是,客户端3、4、5、6和n已经响应于相同警报而执行了不同的过程集,这由集群中的其对应补救过程集指示符来反映。
虽然在集群中仅示出了几个客户端补救过程集,但是应当理解,可以包括任何数目的客户端补救过程集。实际上,所使用的过程集越多,最终的复合补救文件输出可能越准确。
在一些情况中,复合补救文件的生成(130)基于针对特定警报类型的补救过程集的集群,该集群将省略与该警报类型相关联的全部标识或存储的补救过程集中的一些,诸如通过省略与非特定类型的客户端对应的补救过程集。甚至更具体地,补救过程集的集群可以过滤或仅包括可用补救过程集的子集,以便仅包括被确定为特定类型的计算系统的补救过程集(例如,具有通用处理配置、通用操作系统、通用网络配置等的系统)。在一些情况中,这可以使得处于警报状况的目标系统能够获取对应复合补救文件,该文件被专门量身定制用于并且基于类似配置的客户端系统的补救过程集。
一旦组装/标识了补救过程集500的集群,计算系统就可以对各种过程执行分析以确定哪些过程应当被包括在一个或多个复合补救文件中(动作130),诸如图6的复合补救文件610、620、630、640、650和660。该确定主要基于对过程满足特定相关性阈值的确定。
例如,在一些情况中,复合补救文件(诸如复合补救文件610)的过程的选择基于确定要包括的过程由集群中具有客户端补救过程集的所有客户端执行。在这种情况中,相关性阈值是与特定类型的警报相关联的集群中的包括。
在其他情况中,复合补救文件(诸如复合补救文件620)的过程的选择基于确定要包括的过程由集群中具有客户端补救过程集的大多数客户端执行。在这种情况中,相关性阈值是过程与补救特定警报状况的大多数客户端相关联。
在其他情况中,复合补救文件(诸如复合补救文件630、640和650)的过程的选择基于确定要包括的过程由同一类型或类似类型的所有或大多数客户端执行(例如,系统类型关联性)。例如,如果图5所示的客户端1-5和n的标签是客户端类型标识符,而不只是顺序数量标识符,则由类型1-2的客户端(例如,客户端1和客户端2)执行的过程将被包括在基于客户端类型1-2的复合补救文件630中。同样,由类型3-4的客户端执行的过程将被包括在复合补救文件640中,类由型5-6的客户端执行的过程将被包括在复合补救文件650中。尽管未示出,但是客户端类型n的其他复合补救文件将包括过程A、C、D、E、G、I和n。同样,尽管目前未示出,但是可以将用于多种不同类型(超过2种类型)的复合补救文件包括到单个复合补救文件中。
还将意识到,在一些情况中,复合补救文件包含不可执行的过程的列表,并且不包括用于触发所列出的过程的执行的任何触发。然而,在一些实施例中,备选地或附加地,复合补救文件包含用于由目标系统执行过程的实际可执行文件,和/或包括用于触发目标系统可用的可执行文件的触发,诸如当目标系统加载或运行复合补救文件时。在这些情况中,复合补救文件的生成还包括以下动作:针对复合文件中的每个相关/对应过程,将可执行文件和/或触发下载和加载到复合补救文件中。
尽管当前示出的复合补救文件(610、620、630、640、650和660)仅包含几个过程(即,3≤过程≥8),但是应当理解,复合补救文件可以包括被确定与特定警报类型充分相关并且在某些实施例中还基于客户端类型的任何数量的相关过程。例如,复合补救文件可能仅包含1或2个过程,在一些情况中可能包含9个或更多过程。
在一些实施例中,(多个)复合补救文件的生成还包括基于提示从复合补救动作文件(或补救过程集或相关性向量)接收用于包括或排除特定补救动作的用户输入,该提示是响应于确定没有足够的信息来确定特定补救动作是否满足多个不同客户端补救过程集之间的相关性阈值或者与特定警报状况或系统类型的通用性或相关性接近度阈值而触发的。
如图6所示,不必基于客户端类型对各种复合补救文件进行分类或分离。备选地,它们可以基于诸如文件670所反映的(多个)威胁/警报分类类型,其可以包括任何数量的相关过程(如椭圆627所反映的)。复合补救文件也可以基于客户端类型、警报类型或其他因素的任何类型的分类,如椭圆680所示。
现在将注意力转向图2,图2示出了前述计算系统200如何包含足以被配置为执行图3的流程图300所示的动作以及本文中描述的其他功能的组件。例如,计算系统200包括威胁缓解相关数据收集器210,该威胁缓解相关数据收集器210特别地配置有可执行代码,该可执行代码用于引起计算系统200收集关于不同威胁/警报类型的元数据并且检测包括或用于标识不同警报类型的威胁特定信息。威胁缓解相关数据收集器还标识和标记被确定为在威胁/警报状况的特定时间/接近度内执行的过程。
计算系统200还包括缓解嵌入器220,该缓解嵌入器220特别地配置有代码,该代码用于通过标识不同的标识的过程的距离属性值来构建相关性向量并且用于将该信息嵌入/插入到相关性向量中以标识过程与特定威胁/警报状况的相对相关性距离并且标识与警报状况足够接近/相关的过程以被包括在(多个)对应补救过程集中。
计算系统200还包括缓解产生器230,该缓解产生器230特别地配置有代码,该代码用于生成补救过程集的集群并且用于过滤/选择适当补救过程集以用于生成(多个)复合补救文件,以及用于生成(多个)复合补救文件。
计算系统200还包括一个或多个处理器,这些处理器是用于实例化各种系统组件(例如,210、220、230)和/或用于执行用于实现所公开和要求保护的功能的上述可执行代码的硬件处理器。
计算系统200还包括存储装置250,该存储装置250包括用于存储可执行代码和相关系统组件(例如,210、220、230)以及用于存储本文中描述的各种相关性向量(252)、补救过程集(254)和复合补救文件(256)的硬件存储装置。存储装置250可以是本地和/或远程存储装置(包括分布式存储装置)。该存储装置也可以是易失性和非易失性存储装置的任何组合。
计算系统200通过一个或多个网络连接而连接到各种客户端系统(例如,270、272、274和/或任何数量的其他客户端系统),这些客户端系统可以将过程信息提供给计算系统200以生成相关性向量252、补救过程集254和复合补救文件256,和/或可以从计算系统接收复合补救文件256。
通过网络连接260与计算系统通信的客户端也可以包括一个或多个目标系统,该目标系统生成并且向计算系统发送对复合补救文件的请求,该复合补救文件对应于目标系统所经历的警报状况。例如,客户端n(274)可以是经历警报状况并且生成对复合补救文件的相应请求以响应于警报状况的目标系统。对复合补救文件的这种请求可以指定警报状况的特定类型和(在一些情况中,遇到警报状况的特定类型的计算系统,诸如目标系统类型)。
响应于对复合补救文件的请求,计算系统200确定对应复合补救文件是否存在并且可访问。然后,当确定对应复合补救文件存在时,计算系统自动地执行参考图2的流程图200图示和描述的一个或多个动作以生成复合补救文件。备选地,当确定复合补救文件已经生成并且可访问时,计算系统200将简单地从存储装置250标识适当的复合补救文件256并且将其提供给目标系统(动作140)。然后,管理员可以查看所列出的过程,并且确定是否执行这些过程,而不必搜索和确定与管理员所关心的条件和系统类型相关或不相关的补救过程的相关性。
新生成的复合补救文件也将被存储,以便可以访问并且准备好在下次请求时提供。备选地,基于创建的新近度(例如,在最后一天、最后一周、最后一个月等之内),和/或哪些被预测为在一定即时阈值内(例如,在第二天、下周、下个月等)被再次请求,不存储任何复合补救文件,或者仅存储所生成的复合补救文件的子集。不存储所有复合补救文件的一个原因是它们变得过时和/或可以使用自上次创建以来已经接收到的更多信息更精确地进行调节,以便在接收到新请求时启动新调节的复合补救文件。在这种情况中,各种补救过程集和集群也将被按需刷新和更换。备选地,当随后接收到对新的复合补救文件的请求时,补救过程集和集群将保留在存储装置中并且被简单更新(当新信息可用并且适当时)。
在一些实施例中,计算系统200监测目标系统(例如,客户端n274)的健康状况,并且自动地检测目标系统所经历的警报状况以及目标系统类型。然后,计算系统200在没有从目标系统接收到对复合补救文件的请求的情况中,自动地响应于检测到警报状况而生成和/或向目标系统提供与警报状况(和系统类型)相关联的(多个)复合补救文件以进行手动应用(例如,当复合补救文件包含非可执行文件时)和自动应用(例如,当复合补救文件包含可执行文件时)。
计算系统200还可以监测各种客户端以检测警报状况,以便触发各种相关性向量和/或(多个)补救过程集和/或(多个)补救过程集的(多个)集群,即使没有完全生成复合补救文件。然后,复合补救文件仅响应于来自目标系统的针对复合补救文件的特定请求和/或响应于在目标系统处检测到警报状况而被生成。这可以帮助减少经常为每个检测到的警报状况生成和存储复合补救文件所需要的开销和费用。
未知威胁场景的实时缓解
现在将注意力转向图7,图7示出了流程图700,该流程图700包含由计算系统(诸如图2的计算系统200)执行并且与用于促进实时缓解未知威胁场景的所公开的方法相关联的动作。
如图所示,计算系统首先标识先前未经历过威胁状况的客户端系统的特定威胁场景(动作710)。这可以包括例如计算系统200监测客户端系统之一并且检测在客户端系统处触发的警报或客户端系统所经历的不规则状况。这可以包括实时检查在客户端系统处执行的日志文件和/或跟踪过程。威胁状况的标识还可以包括计算系统200接收对复合补救文件(如上所述)或用于解决威胁场景的任何类型的缓解文件的请求。在一些情况中,请求是由检测到异常情况的客户端系统自动地生成的。在其他情况中,请求是响应于用户输入(例如,管理员提交请求)而在界面处生成的。
威胁场景的标识还可以包括用于标识警报的任何前述技术(如参考动作110所述)。例如,计算系统可以基于检测到与配置文件、日志文件或与计算机组件相关联的测量的计算机健康度量相关联的异常来标识威胁场景,诸如在执行各种客户端系统的自动健康监测时。在一些情况中,标识的威胁场景基于检测到与关联于病毒、恶意软件、DDoS、暴力攻击、性能、容量或带宽的意外改变、意外或未经授权的请求、意外执行或过程正在执行等的简档类似的文件或行为。在一些情况中,标识的威胁场景还可以包括不一定与恶意行为或模式相匹配的场景,但可以是诸如文件的安装、更新、修改、删除、上载、下载或其他处理。
接下来,计算系统生成标识针对检测到的特定威胁场景的多个不同威胁场景特性的威胁向量(动作720)。威胁向量是由威胁嵌入器/分类器280(如图2所示)基于以下信息而生成的:该信息由经历威胁场景的(多个)客户端系统提供给计算系统(自动地或响应于对该信息的请求)、和/或由计算系统从第三方系统获取。
在一些情况中,威胁向量标识多个不同特性,这些特性用于检测特定威胁与一个或多个类似威胁场景(其中一些可能是已知的并与已知补救协议相关联并且其中一些可能是未知的或没有已知补救协议)之间的相对相关性或相似性距离度量。在这点上,可以考虑距离属性的不同特性以帮助计算系统确定各种威胁之间的距离或相似性。
图8示出了威胁向量800的示例,该威胁向量800包括一种或多种威胁或威胁类型(包括一个或多个过程或条件)以及与对应威胁或威胁类型相关联的各种距离属性/特性。在一些情况中,威胁向量将仅由单个威胁组成。在其他实例中,如图所示,威胁向量800将包括可以是相同类型或不同类型的多个不同威胁。在当前表示中,各种威胁/警报类型(例如,AG、n)是与关联于在动作110和/或710期间标识的警报/威胁的一个或多个不同定义的过程或条件集对应的威胁场景。
各种距离属性是与标识的威胁场景相关联的定义的特性。距离属性类型的非限制性示例包括诸如所涉及的资源/组件、检测组件、严重性、威胁特定信息、所采取的缓解步骤、时间戳和其他属性(诸如参考图3所述的属性)。距离属性的一些特定示例包括用户连接尝试次数、信息请求次数、安装或运行可执行文件的请求、下载或上传文件的请求、来自单个用户的请求次数、或来自多个不同位置或来自新或未知设备的帐户。
在一些情况中,针对所有已知威胁场景生成单个威胁向量。在其他情况中,针对不同威胁场景生成不同威胁向量,每个威胁向量基于位置、系统类型、系统配置或其他区分系统特性的任何组合。
一旦威胁向量被生成,计算系统就将分类模型(例如,图3至图6中描述的数据结构)应用于威胁向量,以标识被确定为最合适威胁向量的预测性缓解过程集(动作730)。该动作(动作730)涉及多个过程,诸如威胁场景的分类和缓解文件的标识,这些过程可以包括上述补救过程集和/或复合补救文件,并且可以用于减轻(多个)标识的威胁场景。
例如,计算系统将具有威胁嵌入器/分类器280的机器学习/人工智能应用于威胁向量以便标识威胁场景的类别,并且可以用于匹配未知威胁场景(或没有已知补救的威胁场景)与已知威胁场景(或具有已知补救过程集或复合补救文件的威胁场景)。然后,当检测到类似于具有已知缓解文件(例如,补救过程集和/或复合补救文件)的已知威胁场景的未知威胁场景时,则可以将缓解文件提供给目标客户端系统(动作740)。
由威胁嵌入器/分类器280应用的机器学习基于距离属性的距离/相似性来确定不同威胁场景的相对相似性。用于确定威胁场景是否相似的相似性阈值可以通过用户输入来调节,并且将控制不同威胁的最终分组/分类。在一些实施例中,威胁嵌入器/分类器280将各种威胁场景分组为多个不同的组/文件/数据结构,这些组/文件/数据结构包括同时具有已知和未知威胁场景的至少一组(其中已知威胁场景是具有已知的补救过程集和/或复合补救文件的威胁或警报,并且其中未知威胁场景是没有已知的补救过程集和/或复合补救文件的威胁或警报)。
图9示出了不同类型的威胁场景分组的几个示例,其中分组910、920和930全部具有与不同分组相关联的互斥的威胁/警报集。在其他情况中,如分组940和910所示,两个不同分组可以共享至少一个共同的威胁/警报(例如,B)。
在其他实施例中,单个分类的分组920可以包含不同的相似/尚未可区分的警报类型的多个子分组。
一旦发生威胁场景的不同分组/分类,就可以保存这些分组,诸如存储在计算系统200的存储装置250中的威胁分类文件(257),如图2所示。
威胁嵌入器/分类器280还可以将缓解文件258存储在存储装置250中,该缓解文件258被提供给不同的客户端系统。
如上所述,缓解文件258是用于缓解/响应于与(多个)缓解文件258相关联的特定威胁场景的缓解过程的列表。
计算系统200从图4和图5中描述的补救过程集和/或复合补救文件标识/构建缓解文件(258)。在一些情况中,缓解文件包括根据图9中描述的分类分组与已知警报相关联并且还与未知威胁相匹配的补救过程集。
在其他情况中,缓解文件包括根据图9中描述的分类分组与已知警报关联并且还与未知威胁相匹配的复合补救文件。
在一些实施例中,缓解文件包括用于解决威胁场景的补救动作的不可执行列表。在替代或附加实施例中,缓解文件包括具有与补救过程集对应的可执行指令的可执行文件,以用于响应于在客户端系统处运行缓解文件而自动地执行补救动作。
应当理解,本公开的范围包括前述实施例的任何组合。鉴于前述内容,应当理解,当前实施例使得计算系统能够比现有技术更有效地生成和提供与经历威胁状况(包括未知威胁状况)的目标系统相关的并且可以用于补救这些威胁状况的复合补救文件。
作为示例,并且利用当前实施例,系统可以区分暴力攻击(威胁场景A)与DDoS攻击(威胁场景B)以及另一种威胁场景C(例如,在客户端系统处的应用上的恶意可执行代码的运行)。在该实施例中,计算系统将确定威胁场景A(可能是未知的并且没有已知的缓解文件)与威胁场景C(可能是已知的并且具有已知的复合补救文件)相比与威胁场景B(也可能是已知的并且具有已知的复合补救文件)更相似。在这种情况中,计算系统将确定相似性,并且向受威胁方案A影响的客户端系统提供缓解文件,该缓解文件包括与威胁方案B相关联的复合补救文件。
所公开的方法可以通过包括计算机硬件的各种类型的专用或通用计算系统来实践。在本发明的范围内的实施例还包括用于承载或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可以由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,作为示例而非限制,本发明的实施例可以包括至少两种明显不同种类的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储设备(诸如CD、DVD等)、磁盘存储或其他磁性存储设备、或者可以用于以计算机可执行指令或数据结构形式存储期望程序代码并且可以由通用或专用计算机访问的任何其他介质。
“网络”被定义为使得能够在计算机系统、和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链路。当信息通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)传输或提供给计算机时,计算机会将连接正确地视为传输介质。传输介质可以包括可以用于以计算机可执行指令或数据结构的形式来承载期望程序代码装置并且可以由通用或专用计算机访问的网络。上述的组合也被包括在计算机可读介质的范围内。
此外,在到达各种计算机系统组件时,计算机可执行指令或数据结构形式的程序代码装置可以从传输计算机可读介质自动地传输到物理计算机可读存储介质(反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以缓冲在网络接口模块(例如,“NIC”)内的RAM中,并且然后最终传输到计算机系统RAM和/或到计算机系统处的较少易失性计算机可读物理存储介质。因此,计算机可读物理存储介质可以被包括在也(或者甚至主要地)利用传输介质的计算机系统组件中。
计算机可执行指令包括例如引起通用计算机、专用计算机或专用处理设备执行特定功能或功能组的指令和数据。计算机可执行指令可以是例如二进制、中间格式指令(诸如汇编语言)或甚至源代码。尽管已经用特定于结构特征和/或方法动作的语言描述了主题,但是应当理解,所附权利要求书中定义的主题不必限于上述描述的特征或动作。而是,所描述的特征和动作被公开作为实现权利要求的示例形式。
本领域技术人员应当理解,本发明可以在具有很多类型的计算机系统配置的网络计算环境中实践,包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器或可编程的消费类电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等。本发明还可以在分布式系统环境中实践,在分布式系统环境中,通过网络链接的本地和远程计算机系统(通过硬连线数据链接、无线数据链接、或通过硬连线和无线数据链接的组合)各自执行任务。在分布式系统环境中,程序模块可以位于本地和远程存储设备中。
备选地或附加地,本文中描述的功能可以至少部分由一个或多个硬件逻辑组件执行。例如而非限制,可以使用的说明性类型的硬件逻辑组件的类型包括现场可编程门阵列(FPGA)、程序特定的集成电路(ASIC)、程序特定的标准产品(ASSP)、系统级芯片系统(SOC)、复杂可编程逻辑器件(CPLD)等。
在不脱离本发明的精神或特征的情况中,本发明可以按照其他具体形式来体现。所描述的实施例在所有方面仅被认为是说明性的而非限制性的。因此,本发明的范围由所附权利要求书而不是前面的描述指示。落入权利要求的等同含义和范围内的所有改变均应当被包含在其范围之内。
Claims (15)
1.一种计算系统,包括一个或多个处理器和存储有计算机可执行指令的一个或多个硬件存储设备,所述计算机可执行指令由所述一个或多个处理器可执行以用于实现用于执行针对不熟悉威胁场景的实时缓解的方法,其中所述方法包括所述计算系统执行以下:
标识针对先前未经历过所述威胁场景并且补救过程未知的客户端系统的特定威胁场景;
生成标识针对所述特定威胁场景的多个不同威胁场景特性的威胁向量;
将分类模型应用于所述威胁向量,以标识被确定为最适合所述威胁向量的预测性缓解过程集;以及
向所述客户端系统提供包括所述预测性缓解过程集的缓解文件以用于响应于所述特定威胁场景。
2.根据权利要求1所述的计算系统,其中所述分类模型包括与关联于不同威胁场景的不同类型的警报对应的多个不同客户端补救过程集,所述不同威胁场景中的至少一些威胁场景与所述特定威胁场景相关。
3.根据权利要求2所述的计算系统,其中所述方法还包括通过针对每个标识的警报执行以下来针对所述不同类型的警报中的每种类型的警报生成所述多个不同客户端补救过程集:
标识由对应的多个不同客户端系统执行的多个过程,所述多个过程在接近所述标识的警报的预定时间和/或过程内被执行;
基于所述多个过程与所述标识的警报的相关性向量来确定所述多个过程中的哪些过程与所述标识的警报相关;以及
针对所述多个不同客户端系统的每个客户端,创建客户端补救过程集,所述客户端补救过程集包括被确定为与所述标识的警报相关并且由所述客户端在接近所述标识的警报的所述预定时间段和/或过程内执行的过程。
4.根据权利要求3所述的计算系统,其中所述缓解文件包括被包括在所述多个不同客户端补救过程集中的、被标识为与被确定为与所述特定威胁场景相关的警报类型对应的补救过程。
5.根据权利要求1所述的计算系统,其中所述缓解文件包括具有可执行指令的可执行文件,所述可执行指令用于响应于在所述客户端系统处运行所述缓解文件而自动地执行补救动作。
6.根据权利要求1所述的计算系统,其中所述缓解文件包括不可执行文件,所述不可执行文件包括用于解决所述威胁场景的推荐补救动作的列表。
7.一种用于执行针对不熟悉威胁场景的实时缓解的方法,所述方法包括:
标识针对先前未经历过所述威胁场景并且补救过程未知的客户端系统的特定威胁场景;
生成标识针对所述特定威胁场景的多个不同威胁场景特性的威胁向量;
将分类模型应用于所述威胁向量,以标识被确定为最适合所述威胁向量的预测性缓解过程集;以及
向所述客户端系统提供包括所述预测性缓解过程集的缓解文件以用于响应于所述特定威胁场景。
8.根据权利要求7所述的方法,其中所述分类模型包括与关联于不同威胁场景的不同类型的警报对应的多个不同客户端补救过程集,所述不同威胁场景中的至少一些威胁场景与所述特定威胁场景相关。
9.根据权利要求8所述的方法,其中所述方法还包括通过针对每个标识的警报执行以下来针对所述不同类型的警报中的每种类型的警报生成所述多个不同客户端补救过程集:
标识由对应的多个不同客户端系统执行的多个过程,所述多个过程在接近所述标识的警报的预定时间和/或过程内被执行;
基于所述多个过程与所述标识的警报的相关性向量来确定所述多个过程中的哪些过程与所述标识的警报相关;以及
针对所述多个不同客户端系统的每个客户端,创建客户端补救过程集,所述客户端补救过程集包括被确定为与所述标识的警报相关并且由所述客户端在接近所述标识的警报的所述预定时间段和/或过程内执行的过程。
10.根据权利要求9所述的方法,其中所述缓解文件包括被包括在所述多个不同客户端补救过程集中的、被标识为与被确定为与所述特定威胁场景相关的警报类型对应的补救过程。
11.根据权利要求7所述的方法,其中所述缓解文件包括具有可执行指令的可执行文件,所述可执行指令用于响应于在所述客户端系统处运行所述缓解文件而自动地执行补救动作。
12.根据权利要求7所述的方法,其中所述缓解文件包括不可执行文件,所述不可执行文件包括用于解决所述威胁场景的推荐补救动作的列表。
13.一种存储有计算机可执行指令的硬件存储设备,所述计算机可执行指令由计算系统的一个或多个处理器可执行以用于引起所述计算系统通过执行以下来实现用于执行针对不熟悉威胁场景的实时缓解的方法:
标识针对先前未经历过所述威胁场景并且补救过程未知的客户端系统的特定威胁场景;
生成标识针对所述特定威胁场景的多个不同威胁场景特性的威胁向量;
将分类模型应用于所述威胁向量,以标识被确定为最适合所述威胁向量的预测性缓解过程集;以及
向所述客户端系统提供包括所述预测性缓解过程集的缓解文件以用于响应于所述特定威胁场景。
14.根据权利要求13所述的硬件存储设备,其中所述分类模型包括与关联于不同威胁场景的不同类型的警报对应的多个不同客户端补救过程集,所述不同威胁场景中的至少一些威胁场景与所述特定威胁场景相关。
15.根据权利要求14所述的硬件存储设备,其中所述方法还包括通过针对每个标识的警报执行以下来针对所述不同类型的警报中的每种类型的警报生成所述多个不同客户端补救过程集:
标识由对应的多个不同客户端系统执行的多个过程,所述多个过程在接近所述标识的警报的预定时间和/或过程内被执行;
基于所述多个过程与所述标识的警报的相关性向量来确定所述多个过程中的哪些过程与所述标识的警报相关;以及
针对所述多个不同客户端系统的每个客户端,创建客户端补救过程集,所述客户端补救过程集包括被确定为与所述标识的警报相关并且由所述客户端在接近所述标识的警报的所述预定时间段和/或过程内执行的过程。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/056,052 | 2018-08-06 | ||
| US16/056,052 US10911479B2 (en) | 2018-08-06 | 2018-08-06 | Real-time mitigations for unfamiliar threat scenarios |
| PCT/US2019/039645 WO2020033072A1 (en) | 2018-08-06 | 2019-06-28 | Real-time mitigations for unfamiliar threat scenarios |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112534432A true CN112534432A (zh) | 2021-03-19 |
Family
ID=67441612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980052067.0A Pending CN112534432A (zh) | 2018-08-06 | 2019-06-28 | 不熟悉威胁场景的实时缓解 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10911479B2 (zh) |
| EP (1) | EP3834112A1 (zh) |
| CN (1) | CN112534432A (zh) |
| WO (1) | WO2020033072A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11620386B2 (en) * | 2017-05-17 | 2023-04-04 | Threatmodeler Software Inc. | Threat modeling systems and related methods including mitigating components |
| US11568059B2 (en) | 2017-05-17 | 2023-01-31 | Threatmodeler Software Inc. | Systems and methods for automated threat model generation from diagram files |
| US10826756B2 (en) | 2018-08-06 | 2020-11-03 | Microsoft Technology Licensing, Llc | Automatic generation of threat remediation steps by crowd sourcing security solutions |
| US20200344249A1 (en) * | 2019-03-27 | 2020-10-29 | Schlumberger Technology Corporation | Automated incident response process and automated actions |
| US11316891B2 (en) * | 2019-07-18 | 2022-04-26 | Bank Of America Corporation | Automated real-time multi-dimensional cybersecurity threat modeling |
| US20210226969A1 (en) | 2020-01-22 | 2021-07-22 | Forcepoint, LLC | Determining an Abstraction Level for Contents of an Entity Behavior Catalog |
| JP2023523079A (ja) * | 2020-04-28 | 2023-06-01 | アブソリュート ソフトウェア コーポレイション | 行動予測モデルを用いたエンドポイントセキュリティ |
| GB202020440D0 (en) * | 2020-12-22 | 2021-02-03 | British Telecomm | Identifying relationships in data |
| US11973796B2 (en) | 2021-04-06 | 2024-04-30 | Microsoft Technology Licensing, Llc | Dangling domain detection and access mitigation |
| US11888870B2 (en) | 2021-10-04 | 2024-01-30 | Microsoft Technology Licensing, Llc | Multitenant sharing anomaly cyberattack campaign detection |
| US11616799B1 (en) * | 2022-07-12 | 2023-03-28 | Netskope, Inc. | Training a model to detect malicious command and control cloud |
| US11736513B1 (en) | 2022-07-12 | 2023-08-22 | Netskope, Inc. | Detecting malicious command and control cloud traffic |
| US11843624B1 (en) | 2022-07-12 | 2023-12-12 | Netskope, Inc. | Trained model to detect malicious command and control traffic |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090099896A1 (en) | 2007-10-15 | 2009-04-16 | International Business Machines Corporation | System and method for workflow delinquency remediation |
| US8041996B2 (en) * | 2008-01-11 | 2011-10-18 | Alcatel Lucent | Method and apparatus for time-based event correlation |
| US8667583B2 (en) * | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
| US8504504B2 (en) | 2008-09-26 | 2013-08-06 | Oracle America, Inc. | System and method for distributed denial of service identification and prevention |
| US8578491B2 (en) | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
| US8904538B1 (en) | 2012-03-13 | 2014-12-02 | Symantec Corporation | Systems and methods for user-directed malware remediation |
| US9769046B2 (en) * | 2012-08-14 | 2017-09-19 | Digicert, Inc. | Sensor-based detection and remediation system |
| US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
| US9692789B2 (en) | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| WO2016097757A1 (en) | 2014-12-18 | 2016-06-23 | Sophos Limited | A method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
| US20160180087A1 (en) * | 2014-12-23 | 2016-06-23 | Jonathan L. Edwards | Systems and methods for malware detection and remediation |
| US9729562B2 (en) | 2015-03-02 | 2017-08-08 | Harris Corporation | Cross-layer correlation in secure cognitive network |
| US10931685B2 (en) * | 2016-12-12 | 2021-02-23 | Ut-Battelle, Llc | Malware analysis and recovery |
| US11240263B2 (en) | 2017-01-31 | 2022-02-01 | Micro Focus Llc | Responding to alerts |
| US10643214B2 (en) * | 2017-04-28 | 2020-05-05 | Splunk Inc. | Risk monitoring system |
| RU2651196C1 (ru) | 2017-06-16 | 2018-04-18 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий по популярности свертки события |
| US10637888B2 (en) * | 2017-08-09 | 2020-04-28 | Sap Se | Automated lifecycle system operations for threat mitigation |
| US11089042B2 (en) * | 2018-02-06 | 2021-08-10 | Bank Of America Corporation | Vulnerability consequence triggering system for application freeze and removal |
| US10826756B2 (en) * | 2018-08-06 | 2020-11-03 | Microsoft Technology Licensing, Llc | Automatic generation of threat remediation steps by crowd sourcing security solutions |
-
2018
- 2018-08-06 US US16/056,052 patent/US10911479B2/en active Active
-
2019
- 2019-06-28 WO PCT/US2019/039645 patent/WO2020033072A1/en unknown
- 2019-06-28 EP EP19745369.9A patent/EP3834112A1/en not_active Withdrawn
- 2019-06-28 CN CN201980052067.0A patent/CN112534432A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020033072A1 (en) | 2020-02-13 |
| EP3834112A1 (en) | 2021-06-16 |
| US10911479B2 (en) | 2021-02-02 |
| US20200045075A1 (en) | 2020-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
| US10666686B1 (en) | Virtualized exploit detection system | |
| US10965717B2 (en) | Intrusion detection and mitigation in data processing | |
| US11729193B2 (en) | Intrusion detection system enrichment based on system lifecycle | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| US10887326B2 (en) | Distributed system for adaptive protection against web-service- targeted vulnerability scanners | |
| CN112544054B (zh) | 通过众包安全性解决方案自动生成威胁修复步骤 | |
| EP3619903B1 (en) | Non-protocol specific system and method for classifying suspect ip addresses as sources of non-targeted attacks on cloud based machines | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
| US10686807B2 (en) | Intrusion detection system | |
| US11818014B2 (en) | Multi-baseline unsupervised security-incident and network behavioral anomaly detection in cloud-based compute environments | |
| WO2021121382A1 (en) | Security management of an autonomous vehicle | |
| US11611580B1 (en) | Malware infection detection service for IoT devices | |
| US11528286B2 (en) | Network vulnerability detection | |
| US11838329B1 (en) | Curating actionable intrusion detection system rules | |
| US11876834B1 (en) | Secure verification of detection rules on test sensors | |
| US20230403294A1 (en) | Cyber security restoration engine | |
| US20230133892A1 (en) | Comprehensible threat detection | |
| WO2024035746A1 (en) | A cyber security restoration engine |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |