CN102932323A - 对计算机网络中安全相关事故的自动分析 - Google Patents
对计算机网络中安全相关事故的自动分析 Download PDFInfo
- Publication number
- CN102932323A CN102932323A CN2012103104709A CN201210310470A CN102932323A CN 102932323 A CN102932323 A CN 102932323A CN 2012103104709 A CN2012103104709 A CN 2012103104709A CN 201210310470 A CN201210310470 A CN 201210310470A CN 102932323 A CN102932323 A CN 102932323A
- Authority
- CN
- China
- Prior art keywords
- accident
- event
- security server
- module
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
用于响应包括安全服务器和客户端装置的计算机网络中安全相关事故的解决方案。安全服务器包括:通信耦合到计算机网络的事件收集模块,配置为获取事故相关信息,包括来自多个客户计算机中至少一个客户计算机的事件等级信息且至少与第一事故相关联,第一事故由该至少一个客户计算机检测到并响应该检测被提供到事件收集模块;操作耦合到事件收集模块的事件分析模块,配置为重建至少一个事件链,其与第一事故具有因果关系并基于事故相关信息表明第一事故的根本成因;和操作耦合到事件分析模块的解决方案模块,配置为制定至少一个推荐方案供至少一个客户计算机使用,该至少一个推荐方案基于至少一个事件链且包括为响应第一事故而特定的修正/预防措施。
Description
技术领域
本发明总体上涉及信息系统,且更具体而言,涉及自动调查计算机网络中安全相关事故的系统和方法。
背景技术
在企业环境中,计算机网络以及构成网络节点的各自的计算机系统的安全尤为重要。在公司的计算机网络中存储并处理的信息一旦泄露则会导致巨大的损失和债务。据此,正在信息安全方面投入重大研发努力。
安全人员和执法机构必须有适当的手段来识别和调查可能的安全漏洞,并且找到并起诉须为这些漏洞负责的恶意行为者。同样也期望防止类似的事故将来重复发生。以面向事故(incident-oriented)的方法对未授权的行为进行调查。该方法实质上是对可能在事故起因中起作用的先前的输入数据采样,对该数据分类,对其进行分析以确定事故的可能成因,并且制定方案以修正事故并防止其将来复发。进行这种调查应当优选是即时的并且易于管理的。
目前存在这样的系统,其将收集与用户计算机上的事件相关的信息、选择可能已造成损害的事件以及发送报告给安全服务纳入考虑。然而,存在仍未充分解决的若干问题。这些问题之一在于现有的系统以异类事件的形式呈现数据,例如,“发现病毒”或“反病毒程序失效”。该信息在没有更多信息的情况下并不特别有助于确定事故的根本成因。
常规的事件监视系统所面对的另一个问题在于其不允许将某些事件从其他事件当中挑选出来进行评级。这种能力将会对从事件日志移除的不必要信息加以考虑,并且尽可能长地保存关键性事件。经验表明,为了适当的调查某些事故,必须分析数年(2~3年)时间内的事件。这一问题导致的实际情况是,对于特定事故的调查,期望专家承担对如此大量的表现这些相当长的时间段内的类似事故的数据的人工审阅工作是不合理的。
另一个缺点是,这些系统不能被集成到拥有大量个人计算机(PC)的计算机网络中,这是因为事件的当前记录由于变成了大的无序数据集的缘故而不能由非专门人员分析,并且将会使专门人员耗费大量时间进行分析。
由于这些及其他成因,因此仍然需要更加高效且有效地应对调查计算机网络中安全事故的挑战。
发明内容
本发明的一个方面针对的是进行对计算机网络中安全事故的调查、对其后果加以修复并防止其复发。
根据本发明一个方面,一种用于对计算机网络中安全相关事故做出响应的安全服务器包括:事件收集模块,其通信地耦合到所述计算机网络;事件分析模块,其操作地耦合到所述事件收集模块;和解决方案模块,其操作地耦合到所述事件分析模块。所述事件收集模块经配置以获取事故相关信息,所述事故相关信息包括来自多个客户计算机中的至少一个客户计算机的事件等级信息,所述事故相关信息至少与第一事故相关联,所述第一事故是由所述至少一个客户计算机检测到的并且作为对该检测的响应而提供给所述事件收集模块。所述事件分析模块经配置以重建至少一个事件链,所述至少一个事件链与所述第一事故具有因果关系,并且基于所述事故相关信息而表明所述第一事故的根本成因。所述解决方案模块经配置以制定至少一个推荐方案以供所述至少一个客户计算机使用,所述至少一个推荐方案基于所述至少一个事件链,并且包括为响应所述第一事故而特定的修正/预防措施。
在本发明的另一个方面中,提供了一种用于对客户计算机上的安全相关事故自动做出响应的方法。所述客户计算机操作至少一个保护集模块,所述保护集模块适于保护存储在所述客户计算机上的信息并检测安全相关事故的发生。所述客户计算机将表现所述至少一个保护集模块的活动的事件等级记录记入日志。所述至少一个保护集模块检测客户计算机上影响信息安全的事故,所述检测是基于事故检测标准来执行的。作为对检测到所述事故的响应,所述客户计算机使所述事件等级记录中被选择的一些记录与所述事故相关联,所述关联是基于事故关联标准来执行的。所述客户计算机提供所述事件等级记录中被选择的这些记录到远程服务器以进行分析。客户计算机接收关于将要在客户计算机上执行的修正措施的至少一个推荐方案,所述关于修正措施的推荐方案是从所述远程服务器接收的,并且包括用于解决所述事故的指令。客户计算机执行所述用于解决所述事故的指令。客户计算机可以接收指令以用新的一组相应的标准来更新下列各项中的至少一项:所述事故检测标准、所述事故关联标准或其组合。
有利的是,本发明的各个方面通过对安全事故的改进的检测、修正和预防而减少了在调查安全事故上所花费的时间。下面描述的系统和方法也可以检测计算机网络中的可疑事件、对其进行分析并找出解决方案,以纠正这种事件的后果并调整系统以防止事件复发。
其他大量优点将从下面对优选实施例的详细描述中显现出来。
附图说明
对下面结合附图对本发明的各种实施例的详细描述加以考虑,可以更全面地理解本发明,附图中:
图1是示出了根据本发明一个实施例的用于调查安全相关事故的系统的框图。
图2示出了根据一个实施例的在管理服务器和客户PC之间的数据交换的工作原理。
图3A是示出了根据一个实施例的用于自动调查安全相关事故的系统的示意图。
图3B是示出了根据本发明一个实施例的实施为图3A的系统的一部分的解决方案模块的框图。
图4A示出了供与图3的事故分析器的一类实施例一起使用的模糊逻辑系统的示例。
图4B示出了图4A的模糊逻辑系统的分类函数。
图5A和图5B是分别示出了客户端和服务器端的进程的流程图,这些进程用于利用根据本发明一些实施例的系统对事故自动做出响应。
图6是示出了通用计算机系统的示例的示意图,本文中所描述的本发明的各个方面可以根据各种实施例而在该通用计算机系统上加以实施。
尽管可将本发明修改为各种修改例和替代形式,但其细节在图中已通过示例的方式示出并将进行详细描述。然而,应予以理解的是,并非意图将本发明限制到所描述的特定实施例。而相反,旨在将落入由随附的权利要求书所界定的本发明的精神和范围内的所有修改、等同和替代都涵盖在内。
具体实施方式
企业中的计算机安全系统一般包括耦合到分布式客户PC的集中式安全服务器。可存在一个或多个不同的网络拓扑,分布式PC依据网络拓扑耦合到安全服务器,网络拓扑包括例如星型、树型、环型、网状、总线型结构等等或者它们的任何组合。安全服务器被设计为收集与事故和在每台PC及使其互连的网络上执行的措施有关的信息、以及用于远程控制PC并更新其设置的信息。
本发明的各个方面都可以作为这样的安全服务器的一部分或者作为耦合到计算机网络的专门的专用计算机系统来加以实施。计算机系统可以是一个物理系统,或者可以被分布在多个物理机当中,譬如通过担任角色或功能,或是在云计算分布模型的情况下通过进程线程来加以分布。在各种实施例中,本发明的各个方面可以经配置以在虚拟机中运行,而该虚拟机又执行在一个或多个物理机上。为了简明起见,本文中所讨论的实施例将围绕安全服务器。本领域技术人员将理解的是,本发明的特征可以通过各种不同的合适的机器实施方式来加以实现。
图6及其下列相关描述详述了物理的通用计算机系统的示例,该通用计算机系统可经编程以作为安全服务器或作为客户计算机系统工作。当经编程以执行根据本发明实施例的安全服务器功能时,该通用计算机系统将被认为是专用装置,它的功能包括执行根据本发明的各个方面的进程。
图1是示出了根据一个示例性实施例的自动调查安全事故的框图。安全系统包括下列组件:管理服务器110、管理数据库120、事故数据库130、专家系统数据库140和反病毒服务器150。客户PC 100经由管理服务器110而耦合到该系统。控制台160为安全系统的管理员提供用户接口。
在各种实施例中,管理服务器110、反病毒服务器150被实施为模块。本文中所使用的术语“模块”意指真实世界的设备、组件或组件组合体(arrangement),它们可以用硬件实施,譬如通过例如专用集成电路(ASIC)或现场可编程门阵列(FPGA),或者可以作为硬件和软件的结合加以实施,譬如通过微处理器系统和实施模块的功能的一组指令,该组指令(在执行时)将微处理器系统转换成专用设备。模块还可以被实施为上述两者的结合,即某些功能由硬件单独实施而另外一些功能由硬件和软件结合实施。在某些实现方案中,模块中的至少一部分并且在一些情况下其全部都可以在执行操作系统、系统程序和应用程序的通用计算机(譬如下面结合图6更加详细地描述的通用计算机)的处理器上执行,同时还使用多任务、多线程、分布式(例如,云)处理或其他这类技术实施所述模块。据此,每个模块可以按不同的合适的配置来加以实现,并且不应限于本文中所例示的任何特定的实现方案。
在概述层面,根据本发明各种实施例的安全布置提供安全服务器,该安全服务器对网络中一个或多个客户PC上发生的事故做出响应。事故是指可归于人为根本成因的事件或系列事件。此外,如本文中所使用的,术语“事故”特别指计算机系统或网络中影响安全的事件或系列事件。从每台PC上的事件或系列事件检测到事故。作为对此的响应,安全服务器自动分析每个事故,并采取修正和预防措施。事件是指系统、进程、应用程序、配置、工作流等的正常行为的可观察出的变化。
在一个实施例中,使用运行在每台客户PC 100上的专门的自动化软件,在客户端(即客户PC 100)识别事故。根据由事件或事件的组合构成事故所要符合的标准,预先配置该专门的自动化软件。事故的示例包括但不限于在反病毒程序工作时检测到恶意软件、检测到网络攻击、检测到严重违规操作等。根据本实施例的对事故发生进行检测的分散式方法,因为仅将构成所检测到的事故或者与之相关联的事件传送到远程服务器进行分析,所以能够高效地利用通信资源,例如网络带宽。
在相关的实施例中,专门的自动化软件准许控制台160的管理员定义构成事故所要符合的附加的标准,并且经由管理服务器110将更新后的标准推送或者以其他方式传送到每台客户PC 100。在另一个相关的实施例中,事故分析器130被编程为自动建立构成事故所要符合的新的标准,并且管理服务器110被编程为遍及PCs 100的网络来散布新的标准。通常,响应已经做出的决策而识别事故,或是通过直接观察,或是通过演绎或推理。
当在PC 100的网络中检测到事故时,该事故潜在的细节,譬如从中检测到事故的事件,以及(在一些实施例中)该事故之前的或导致该事故的所有事件或者选定类别的事件,被中转到管理服务器110并存储在管理数据库120中。此事件等级信息的细节可类似于系统日志、SNMP或者像微软Windows事件日志或Windows安全日志这类日志中所包含的、或通过例如微软的事件收集器服务传送的信息的细节。为事件等级信息设想了各种程度的细节,并且这些示例决不应当被视为限制在如本发明涉及的范围之内,除非被任何权利要求所明确界定。
在一个实施例中,由可以经由控制台160访问系统的专门人员对事故进行分析。该专门人员可以访问管理数据库120和事故数据库130,后者包含与之前已经过分析的事故有关的信息。专家系统数据库140可由专门人员经由控制台160进行访问,包含关于各种事故的成因和解决方案的信息,专家系统数据库140是可更新的,更新来自反病毒服务器150,反病毒服务器150可由例如安全服务提供商的第三方操作。
对事件进行分析之后,专门人员将其与已知的或新定义的事故相关联,并将对每个事故的描述记录在事故数据库130中。与只有事件的类似数据库相比,用比率低的多的事故来填充该数据库,以便能够使事故记录保持数年。所提议的一些专家系统解决方案可以自动实施。
如果专门人员同意这些决策,则他/她确认其实施方式。作为响应,把传送给客户PC 100的必要的命令传给管理服务器110。这些命令可以是或者不是针对单个PC的;其也可以采用全局解决方案的形式,譬如在网络中的群组级或者在甚至所有PC 100上禁用自动运行。
在相关的实施例中,将所采取的修正措施的结果输入到对事故的描述中。可以将关于事故以及对措施的接受或拒绝的统计数据以匿名方式传到反病毒服务器,用于积累统计资料然后调整专家系统的规则库。
上述实施例中所描述的方法可适用于较小的网络。然而,在较大的组织中,有待分析或以其他方式处理的事故相关信息量会变得难以处理。据此,下面围绕下列示范性实施例描述本发明的另一个方面,这个方面针对改进或优化事故数据的处理,以便减小有待储存或以其他方式跟踪的信息量。
图2中更加详细地示出了对耦合到管理服务器的PCs 100进行管理的一个示范性进程。为了保护客户PC 100上的信息,安装有保护集(set)210。每个保护集210均可以被视为单独模块,或者可以与其他保护集组合为一体化模块。保护集的组成可依据各种实施例而不同,但通常情况下其包括反病毒引擎,该引擎对计算机系统进行恶意组件扫描并修复(fix)任何受感染的文件。在相关的实施例中,保护集210包括防火墙、入侵检测/预防系统、消息过滤以及应用程序控制。
在一类实施例中,保护集210包括由管理服务器控制的一组参数。在一个这样的实施例中,该组参数包括定义事故检测规则的参数;在另一个实施例中,该组参数包括用于采取修正/预防措施以移除或无效(neutralize)当前威胁或者对潜在的将来的威胁产生免疫的规则。
例如,在用于过滤客户PC 100上的网络通信量(traffic)的防火墙配置规则中,可以阻止对不期望的或危险的网络资源的访问。内置式操作系统安全服务也可以被认为是保护集210并且可以支持网络中的安全策略。
在相关的实施例中,每台客户PC 100均包括远程配置模块215,该模块从管理服务器110接收命令和数据并将其应用于保护集210。远程配置模块215可以是单独的模块,如图所示,其通过针对每个保护集210修改配置文件或运行脚本而与每个保护集210接口。在特定实施例中,远程配置模块215有助于提高管理服务器110修改未被设计为与管理服务器110直接接口的第三方保护集210的操作的能力。在该实施例中,远程配置模块215或是确定出现在客户PC 100上的第三方保护集210的类型并将该确定结果传达给管理服务器110,或是收集与第三方保护集有关的信息并将该信息传达给管理服务器110,而管理服务器110进而确定可用于客户PC100上的第三方保护集的类型。在知晓客户PC 100上可用的保护集的类型的情况下,管理服务器110以例如脚本形式将特定于保护集的配置指令、或者以将要被转换成在客户PC 100上可执行的脚本的某一其他形式将特定于保护集的配置指令提供给远程配置模块215,远程配置模块215进而使特定于保护集的指令在客户PC 100上执行。
在另一个实施例中,远程配置模块(或其功能)完全被集成到每个保护集210中,从而使每个保护集210均可以直接与管理服务器110接口。在相关的实施例中,保护集210在用户模式下执行,而远程配置模块215仅可用管理员特权访问。
在一个实施例中,保护集210将其活动记入日志,作为日志条目(entry)或事件记录。在另一个实施例中,单独的监视模块监视保护集210的活动,并基于此制作日志条目。基于日志条目或事件记录,生成定期的或自发的报告220。报告220中所报告的信息可以不同格式呈现:例如,文本文件、二进制文件、数据库记录等。
在一个实施例中,每个报告220均是作为对任何保护集210确定已发生了构成事故的事件(或系列事件)的响应而生成的。对事故发生的确定是基于事故检测标准来执行的,在相关的实施例中,可以从远程机器更新该标准,譬如从管理服务器110。作为对检测到事故的响应,使已被记入日志的日志条目或事件记录中的某一些与该事故相关联,并且将这些相关联的被记入日志的事项添加到报告220中。进行这种关联的进程例如由保护集210或者由专用模块执行,并且基于已被配置到每台客户计算机中的事故关联标准。每个报告均可以包括每个事件的系统时间(即,日期-时间戳)、所检测到的事故的错误代码和/或类型。
报告220被传到管理服务器110,在管理服务器110中对报告220进行分析。根据一类实施例,报告220的传送是由保护集210中的任何一个或者由诸如远程配置模块215这样的协调模块自动发起的。在另一类实施例中,报告220的传送是响应源于管理服务器110的指令而进行的。
此外,在相关的实施例中,管理服务器110可以根据需要从报告的PC100获取附加信息。例如,当发生像“检测到病毒”或“检测到攻击”这样的事件时,管理服务器110收到大量的信息,譬如:如果在可移除介质上发现病毒,则收到该介质的类型、序列号和连接日期这类信息;在公共文件夹中发现病毒的情况下,则收到与该文件夹中受感染对象的创建者有关的数据;在网络事故的情况中,则收到与网络接口设备(例如,wi-fi适配器、以太网卡、调制解调器或者涉及网络通信的其他网络接口适配器)有关的信息。附加信息可以由客户PC 100基于客户PC自己关于检测到的事故的严重性所做出的决策而自动传送。在另一个实施例中,附加信息由管理服务器110请求,并且作为对该请求的响应而由客户PC 100发送。在又一个实施例中,可以从另一个PC 100请求附加信息,所述另一个PC 100不同于其中检测到正在接受分析的事故的PC 100。此方法可以是有益的,例如,当在其中检测到事故的PC 100被确定为已经与请求附加信息的单独的PC 100进行了数据交换时。
在分析了数据之后,由管理服务器110生成关于修正措施的推荐方案230,所述管理服务器110确定如何将这些推荐方案呈现给或应用于客户PC 100。可以将一些推荐方案230自动分配并发送到一个或多个客户PC100。
在自动应用所述推荐方案的一个示例中,考虑PC受到闪存设备感染的事故。在此情况中,系统经配置以在所有的或选定的PC 100上自动锁定具有特定序列号的闪存设备。对于推荐方案而言存在其他可能的选择,用于在自动模式下使用——譬如阻止给定PC上的所有介质、实施高级扫描等。
在没有将对事故报告的分析呈现给控制台160的安全管理员时,管理服务器110的报告将如表1中所示:
表1
非专门人员很难正确解释此数据。即使安全管理员精通于保护计算机免受恶意软件和攻击侵害,但他/她也不会每次都知道在被感染的情况下如何恢复系统。这是根据本文中描述的某些实施例的自动事故调查系统所解决的问题之一。在处理了原始数据和所请求的附加信息之后,系统能够使用存储在事故数据库130和专家系统数据库140中的知识来生成将能够被中等水平的专业人员所理解的报告,并且在一些情况下甚至可以自动解决问题。根据一个这样的实施例的事件报告具有全新的呈现,如表2的示例中所示。
表2
在表2所示示例的方括号中的是诸如超链接的交互元素,点击这些元素会导致执行某些动作从而配置或显示附加信息。该示例性报告使用了与表1中所示的前一个示例相同的数据、以及一些附加信息和事故历史。呈现的内容包含了采用可由管理员或经授权的用户访问的格式的合并数据(consolidated data),指明了该事故的基本特点,指明了该事故的时间,并且识别了事故的可辨别的成因(如果有的话)或者可能的成因。
根据该示例的报告的一个显著特征是被推荐实施的修正措施。在一个这样的实施例中,当稍后应用任何修正措施时,该报告被修改为针对这些具体的修正措施而指明“结束”。在相关的实施例中,在报告中包括交互功能“取消”,其允许管理员或拥有充分的权限的用户中断该修正措施。
在另一个相关的实施例中,事故描述包括由管理员采取的人工措施的日志,该日志是由他/她在实施这些人工措施时添加的。这个特征支持维护管理记录,譬如,例如“请求用户附注”、“收到注释备忘录”、“由于重复的病毒性事故而决定为该用户增强网页浏览内容过滤”等。
图3A示出了根据一类实施例的用于自动分析与计算机系统的安全有关的事故的系统。该系统包括事件收集模块300、解决方案模块302、事故登记模块303和事件分析模块301。
该系统可以被实现为管理服务器110的一部分并且因而与计算机网络耦合。
在一个示例性实施例中,事件收集模块300的主要功能是加载表现系统事件的数据(譬如由客户PC 100在报告220中所报告的那些)。所关注的事件收集数据既包括系统日志和报告,也包括由各种程序生成的报告。这种报告的示范性内容包括用户措施记录、软件发出的请求、网络查询等。系统事件数据的获取可以按几个阶段来实施,例如,可以获取高等级事件数据;然后,根据需要,获取低等级事件数据。高等级事件数据包括诸如文件操作、更改许可、程序运行这类事项。低等级事件包括程序命令、网络数据包信息、存储器访问进程、对传入数据包数据的阻止等。
事故登记模块303记录事故的发生。在一个实施例中,事故登记模块303基于由事件收集模块300收集的事件等级数据而对事故进行更深入的检测。在此类方法中,假如由对事故发生执行进一步检测的事故登记模块303进行附加的详细审查,则客户PC 100上的事故检测标准可以包括更多的事故,即,更灵敏。
可替代地,由于例如由诸如反病毒引擎、防火墙或者具有高级分析能力的其他这类安全机制的保护集210在客户PC 100上实施事故检测,所以可以将事故检测标准编程为更具有识别力(discriminating)。例如,无需将由安全机制完全了解的安全相关事件(或系列事件)作为事故报告给事故登记模块303。这种方法将事故分析的初始阶段(即,识别需要进一步分析的事故)分派给客户PC,使事件收集模块300不必对大量的无关紧要的请求做出响应。
在发现了安全事故之后,安全服务可对检测到的威胁譬如感染或违反策略做出响应。在一些情况中,解决方案可能会要求采取诸如系统恢复或文件处理这样的措施。然而,问题的根源可能潜藏得更深。在未先确定事故起初是如何发生的情况下不可能制定完整的解决方案。因而,例如,如果反病毒引擎检测到恶意软件,则可能需要了解该恶意软件是从何处加载的或者网络中是否还存在被感染对象。这种对安全相关事故的根源更加全面的了解使系统能够搜寻对原始问题的真实的解决方案,而不仅仅针对已经检测到的事故。据此,在一类实施例中,对事故的根本成因的调查是事件分析模块301的主要目的。事故一经登记,就被传给事件分析模块301,该模块搜集与该事故相关联的事件。这些事件可以被存储在管理数据库中或者任何其他可访问的信息存储装置中。事件收集模块300负责收集这些事件;但是,并非所有记录都要用来分析。
对于在客户PC 100上已经发生的或者已经被检测到的每个事故,事件收集模块300将其之前的事件按照时间次序加载并分类。事件分析模块301构建与特定的事故具有因果关系的事件链。该事故可以与操作系统对象(例如,文件、进程、网络数据包、账户、存储器、登记条目、连接的物理设备等)相关联。事件链通常是由事件收集模块300收集的事件的子集。但是,应予以注意的是,事件链常会包括一开始并未被认为与该事故相关联的事件。鉴于此,事件链包括在获取第一组事故相关信息之后开始的附加的事件搜集操作中所搜集的事件。
这样,在一个实施例中,通过请求指向在其中检测到事故的客户PC100的附加的事件225,获取附加的事件等级信息。在一个示例中,附加的事件被并入一个或多个事件链中,所述事件链具有一个起始事件和一个终止事件。终止事件是最终导致事故被检测并登记的事件。起始事件是在其他事件之前发生的事件,并且被确定为与事故的根本成因相关。起始事件最可能为初始事件。
一旦计算机设备中的第一事件链被重建,事件分析模块301就检查由分支(branching)导致的其他事件——譬如与其他客户PC 100、其他联网设备或者外部设备(例如,存储卡、外部驱动器、移动设备)相关联的事件。分支的示例包括经由电子邮件传输文件、在多个设备(或虚拟设备,例如用户配置文件(profile))之间复制或共享文件、或者在可移除存储卡上写入文件。如果发现任何分支,则为出现所述分支的设备重建相应的事件链。该事件链与第一事件链(预分支(pre-branching))合并。这样,所述分支建立多个计算设备之间的关系,并且根据本实施例对与检测到的由这种关系导致的事故相关联的事件进行分析。
由与事故相关联的事件(包括通过对分支的分析而发现的那些)构建的事件链可以具有不止一个初始事件。在各种示例中,初始事件是从恶意网站下载文件、接收并打开带有恶意附件的电子邮件消息、连接被感染的外部存储器等等。初始事件可以由其性质而被预定义为初始事件。例如,构成从外部提供的对系统的改变(如基于从本地系统外部获得的对象)的任何事件都可以被认为是初始事件。例如:创建或添加新文件、打开收到的电子邮件附件、首次执行程序或脚本、安装新程序、对现有的应用软件或操作系统组件实施更新等等。
在另一个实施例中,首先在系统日志中存储事件的因果关系。在此情况中,日志被构造为表、列表或数据库,表现记录之间的因果关系,譬如对象继承、条目的时间顺序和其他指标。例如,如果确定文件被打开并且该文件是有害的,则开始调查下列数据:文件的全称、其校验和、其最后的修改日期以及可由操作系统所用到的其他参数。表、列表或数据库被建立为包括与用户、打开的文件和打开文件的应用程序有关的信息。
在一个方法中,对未知的文件打开应用软件的识别将触发新的用于并行分析的起始点,其目的是要确定与该应用软件的来源以及赋予该应用软件的信任度有关的信息,例如,根据有权访问该应用软件的用户数、该应用软件运行的频率以及该应用软件的下载或复制来源加以衡量。
如果文件打开应用软件已知并且被信任,则分析继续搜寻与从网络位置下载文件相关的事件数据和/或与复制该文件相关的事件数据。在一个实施例中,如果文件被存储在可移除的存储设备上或者是从例如闪存驱动器、USB棒、闪存卡或光盘这类可移除存储设备或介质复制的,则分析包括审查存储设备或介质、确定当前正在访问或者可能已经访问过该特定存储设备或介质的本地网络上的计算机系统。
在一类实施例中,每个分析的结果均可成为用于建立事件链的新分析的起始点,其中先前分析的结果构成新分析的输入参数。
一些事件链将导致被认为是未影响计算机系统的安全的事件。这些事件包括:
·由被信任的应用软件执行的操作;
·涉及新的设备、网络资源和对象的操作,关于这些操作,事件日志缺乏并且专家系统数据库中的知识不足;
·由于发生在创建日志之前或者基于特定设置未被记入日志因而在事件日志中没有条目与之对应的这类事件。
在分析以上面列出的终点事件之一结束的情况中,分析集中在与时间有关的方法上。系统事件的数据库被审查以识别在时间上接近于最后事件发生的事件。这些事件包括网络连接、程序启动和其他这类事件。这种连续的分析方法产生了新的事件链,该事件链开始于在时间上接近于终点事件发生的事件。
在相关的实施例中,如果在第一计算设备上检测到可疑对象,但上述调查显示是不确定的,那么,系统继续搜索第一计算设备上的其他用户配置文件或者网络上的计算设备是否存在可疑对象。一旦在另外的一个或多个计算设备上发现可疑对象,则分析这些设备的事件日志,以进一步了解在这些相应的计算设备上可疑对象是如何出现的、可疑对象又分别是如何使用的等等。例如,在第一计算机系统上检测到病毒,而在该机器上不可能分析事件日志。于是作为对此情况的响应,搜寻其他计算机系统是否存在该病毒,并在这些相应的计算机系统上重建一个或多个事件链。各种实施例中该方法的规模不仅可限于单个计算设备或者本地网络,而且也可扩大到包括基于多方计算设备参与的全局网来搜索或获取信息,其中所述全局网使用与多个不同计算设备直接连接的中央服务器。
在一个实施例中,初始事件被认为是安全相关事故的可能成因,并且随之采取的修正/预防措施被设计为防止该事故进一步复发并修正其影响。这些修正/预防操作由解决方案模块302制定。
图3B是示出了根据一个实施例的解决方案模块302的示意图。分析管理器310是自动化模块,其将存储在管理数据库120中的事件分析模块的输出222与存储在事故数据库130中的事故信息以及来自专家系统数据库140的专家数据311合并(consolidate)。解决方案模块302包括若干分析模块320,每个分析模块320均实施基于一个特性(或一组特性)的决策制定算法。这些算法可以通过更新专家系统数据库140来改变或更新,而不必改变解决方案模块302自身的结构。
每个分析模块320的输出均被馈送到决策制定系统330中。每个单独的分析模块320均适于优先产生单个解决方案。由决策制定系统330得出的最终解决方案基于各个分析模块320的输出的选择性组合。在一个实施例中,分析模块被各自赋予不同的优先等级,这些优先等级影响每个模块各自的解决方案被赋予的权重。一些分析模块320使用不同数据作为参数,并且解决方案不会总是相冲突,而是彼此互补。例如,如果第一分析模块320决定了要实行隔离,那么第二分析模块320可以独立地决定是否将文件发送到反病毒服务器150进行检查,第三分析模块320可以决定自动应用某些其他解决方案。在处理所有这些各自的决策之后,决策制定系统330生成推荐的解决方案230并将其包含在事故报告230中,事故报告230进而被存储在事故数据库130中,并且在专门人员视情况同意所推荐的措施或者选择最为合适的一个措施之后,使用控制台160发送到管理服务器110。在本实施例的变形例中,所述系统可以经配置以自动实施推荐方案。在此情况中,将不需要专门人员的审批阶段。
如上所述,预期分析模块320的算法可以是各不相同的。作为示例,这些模块之一的算法基于模糊逻辑。该分析模块必须确定是否将被分析的文件发送到隔离区以及是否将其发送到反病毒服务器150进行分析。在本实施例中,采用Mamdani型模糊逻辑算法。在此情况中,输入信号是在对象的元数据中找到的信息,例如,全称、大小、关于作者的信息、最后修改时间、属性等。现在参照图4A,分析模块320的输入数据410用下列附图标记表示并且定义如下:
410a:qr_nc_count——先前已被成功发送到隔离区的、具有相似元数据的文件的数目;
410b:qr_err_count——被系统发送到隔离区但未成功发送的、具有相似元数据的文件的数目(当对象是通过特殊方法受复制保护的登记条目或文件时出现类似的情况);
410c:qr_malware_count——已被成功发送到隔离区(自动地或由用户控制地)并且经研究被认为是有害的、具有相似元数据的文件的数目;
410d:qr_new_malware_count——已被成功发送到隔离区、未检测到自动启发(heuristics)并且经研究发现是恶意的、具有相似元数据的文件的数目;
410e:qr_good_count——已被成功发送到隔离区并且经分析被认为是合法的、具有相似元数据的文件的数目。
这些标识符(indicator)都不允许做出单个决策,并且实际上,在大多数情况中,在输入之间存在竞争,其中这些标识符的大多数都不等于0。例如,将这样的文件纳入考虑,即,该文件先前遇到过几次,并且在一些情况中被认为是干净的,在另一些情况中被认为是恶意的,而且在每个情况中,情形都是唯一的并且要求一个单个决策。鉴于这些环境而将该文件发送到隔离区并非明智之举。
这种情境并非不寻常。对于每个事故,经常要收集大量的文件并且非常难以处理。而在所有这些文件之中,只有一些文件(2~3个)是实际需要关注的。
图4B示出了根据一个实施例的从属关系(隶属关系)函数。为每个输入变量460定义了语言变量,并且为每个变量定义了术语。例如,针对每个术语,将从属关系函数440定义为“非常低”、“低”、“中”、“高”、“非常高”。在从属关系函数440的帮助下,可以执行被称为“模糊化”的操作,即,简化为模糊变量。如果关于具有这类元数据的文件发现了40个新的恶意程序,则此对应“中”。专家制定的规则如下:
如果{新的恶意程序的数目高}
则{对隔离的需求非常高}。
这些规则很简单,是用自然语言编写的。这样,因为这些规则容易分析并验证,所以专家可以容易地制定这些规则。而且,恶意程序的“高”数目目前被认为是5,但一段时间之后,该值可能会增至500。在模糊化阶段应当对此认真考虑。从属关系函数440易于编辑以适用于当前环境,而无需改变规则,反之亦然。在系统内部,根据一个实施例,规则可以采用下列形式:
如果(qr-nc-count为高)则(qr-priority为低)[0.15]
如果(qr-nc-count为非常高)则(qr-priority为低)[0.15]
如果(qr-err-count为非常低)则(qr-priority为高)[0.6]
如果(qr-err-count为低)则(qr-priority为中)[0.6]
如果(qr-err-count为中)则(qr-priority为低)[0.1]
如果(qr-err-count为高)则(qr-priority为低)[0.1]
如果(qr-malware-count为非常低)则(qr-priority为低)[1]
如果(qr-malware-count为低)则(qr-priority为低)[1]
如果(qr-malware-count为中)则(qr-priority为中)[1]
如果(qr-malware-count为高)则(qr-priority为非常高)[1]
如果(qr-malware-count为非常高)则(qr-priority为非常高)[1]
如果(qr-new-malware-count为非常低)则(qr-priority为低)[0.25]
如果(qr-new-malware-count为低)则(qr-priority为中)[0.25]
方括号中的数字是表明规则的优先级和重要性的权重系数。在该系统中,通常有作为决策制定基础的20~30个规则。接下来的是逆操作——去模糊化(defuzzification)430,在该过程中计算精确的数字,例如“0”到“100”。“0”意指隔离区不是必需的,而另一端值“100”意指必须将文件发送到隔离区并以最高优先级对其进行分析。
图5A和图5B是分别示出了客户端的进程和服务器端的进程的流程图,这些进程用于利用根据本发明一些实施例的系统对事故自动做出响应。图5A中客户端的操作开始于500,其发起保护集210。保护集210(或客户计算机100中的单独模块)将可以由保护集210处理的事件等级记录记入日志,并且可以将与客户计算机100的其他模块或组件的操作相关的其他事件等级信息记入日志。事件等级记录的处理通常涉及拦截命令、函数(例如,API函数),读取存储器和程序文件以及任何其他合适的与操作系统对象的交互。保护集210的一个重要功能是识别并跟踪安全事故,譬如违反安全策略并且通常对PC 100和计算机网络构成威胁的事件。
据此,在510,保护集210基于事故检测标准监视客户计算机100上的活动是否出现事故。在530,监视来自服务器端的通信。
如果在决策515处检测到事故,则在520基于事故关联标准而使日志中的某些被选择的事件与该事故相关联。根据各种实施例可以使用任何合适的技术使所选择的事件相关联,譬如,例如用事故标识符标记被记入日志的单个事件,或者将所选择的事件的副本存储在单独的文件或数据结构中,该文件或数据结构被绑定到该事故的记录或者存储事故记录以及与之相关联的事件。在各种实施例中,实施用于将事件与事故相关联的不同基准。例如,在一个这样的实施例中,在检测到事故之前某个预定持续时间的事件、或者在检测到事故之前的设定数量的事件被自动与该事故相关联。在另一个示例性实施例中,将事故之前直到并且包括初始事件(或者预定数量的初始事件)的所有事件(按照与发生顺序相反的次序收集)与事故相关联。
在525,将事故和相关联的事件等级信息提供给服务器端用于分析。此信息的提供可以是传送由客户计算机100发起的所有信息,或者可以以其他方式实施,譬如通过仅传送通知给服务器端,提示服务器检索(retrieve)被记入日志的信息。
除了作为对来自服务器的网络请求的响应而监视本地活动以外,客户PC还可以从服务器接收推荐方案以修正事故后果、更新命令或者对更多事件数据的请求。因而,作为示例,在535,如果收到来自服务器的通信,其包括响应事故而关于修正措施的推荐方案,则在540由客户PC 100执行该指令。根据各种实施例,此通信可以由远程配置模块215接收,该模块可以解析该通信并将适当的指令(例如以脚本形式)传到每个相应的保护集210,或者此通信可以由保护集210自己接收。如果在545收到来自服务器的更新以更新检测标准或事故关联标准或此二者,则在550执行该更新。在一个实施例中,更新由远程配置模块215处理。如果在552收到对附加的事件数据的请求,则在554搜集附加的事件数据。
现在转到图5B,服务器端的操作开始于在555收到发生事故的指示之时。事故的检测可通过保护集210中安装在客户PC 100上的检测器阵列进行。事故的检测也可以由服务器基于从多个PC收集的多个系统报告的相关性来加以实施。一旦检测到事故(在服务器或客户机上),就在560由管理服务器收集关于此事故的数据。该数据可以与事故指示一起被提供给管理服务器,或者可以作为单独的交互被传送。在一个实施例中,如上所述,所收集的与事故相关联的初始数据是相对较小的一组参数,譬如检测到事故的时间、网络上PC的名称、经授权的用户的名字、事故的类型以及在检测到事故之前的事件日志信息。
在565,在事故数据库130中搜寻相关的事故。这些事故可以被登记在计算机上,可以是由于用户的过错而发生的,具有相同的类别,或者可以是由先前在别处已检测到的熟悉的恶意软件而引起的。在570,对表现当前事故和任何检索到的历史事故的数据执行分析。该分析的各种示例包括验证数据的有效性、将事故与相关的过去的事故或事件相比较、确定事故的成因、以及在575准备详尽的事故报告。
可能需要附加的数据,例如事件日志的最新条目、所连接的外部设备的序列号和所访问的网站的历史,以便更好地建立违反安全策略的成因。系统也可能认识到需要测试特定问题是否在多个PC或者在网络不同分支上的PC之间广泛分布。据此,在575,在一个实施例中,可以从除了其中首先检测到事故的PC以外的特定PC请求附加的数据。根据一个实施例,作为对由任何一个分析模块320所确定的需要附加的数据以便充分应用其相应决策标准的响应,请求附加的数据。在此情况中,事故分析器模块将对附加的信息的请求传给管理服务器110,管理服务器110进而提示一些(或者多组)客户PC 100各自提供该信息。
在一个特定实施例中,在575请求附加的信息之前,该附加的信息并不与所检测到的事故相关联。在相关的实施例中,随后用事件-事故关联性来对一些(或者多组)客户PC 100进行各自更新,使得与上面已经分析过的事故类似的事故、在575附加请求的该类信息将来可以由客户PC 100自动提供,从而避免对这类信息周而复始地进行附加的请求。
在评估了事故并收集了所有必要参数之后,在580对推荐方案和决策进行搜索。该过程在解决方案模块302中进行,辅助以专家数据。在分析模块320中实施的因果关系(Cause-and-effect)算法可以按不同方式来构造——统计的、逻辑的、模糊逻辑的、函数的以及其他的方式。将关于任何找到的解决方案和推荐方案的信息添加到在585生成的事故报告中,使其更容易呈现给安全管理员。该报告可以包括关于事故的信息,譬如事故的描述、在事故出现之前的事件、自动采取的措施以及将来要采取的所推荐的措施。
在一个实施例中,在将修正措施传送给客户PC 100之前,可以由专家在审批过程中人工审查新的推荐方案,其中如果提供有任何可替代的推荐方案则从中选择最为合适的解决方案。在590,将关于修正措施的推荐方案传送给每个受影响的客户PC,或者将免疫指令传送给所有易受影响的客户PC 100。决策和推荐方案的实施如果在系统设置中被设置为在自动模式下使用则可以如此进行,或者可以由安全管理员基于事故报告的人工审查来运行。最后,在595,将事故报告存储在事故数据库130中。最后得到的报告包含所收集的关于事故的数据、附加的信息、制定的推荐方案和实施的措施、以及管理措施。
在一个实施例中,事故报告包括特定于首先在其中检测到事故的客户PC 100的信息、以及在块585确定的同样特定于该客户PC 100的修正措施。属于该客户PC 100的特定信息可以包括关于客户PC 100的硬件或软件配置的信息。
同样地,在其中自动实施关于修正措施的推荐方案的相关实施例中,可以基于特定客户PC 100的特定的硬件或软件配置而以特定方式制定关于修正措施的推荐方案。因而,作为示例,这些推荐方案可以适用于会受事故影响并需要修正的特定的操作系统或一组应用软件。这些类型的推荐方案可以指定以某种方式修复某些文件;或者可以包括将要在PC 100上执行的特定软件指令(例如,脚本、将由解释器运行的源代码、对象或可执行代码等)。
在另一个实施例中,关于修正措施的推荐方案中的信息并非特定于任何特定的客户PC 100。在一个这样的实现方案中,与上述实施例相比,以更高的等级来制定或表述推荐方案。因而,作为示例,关于修正措施的推荐方案可以指定修正具有某些特性(例如,某些内容)的文件,并将确定该文件是否存在或者确定该文件的位置的过程留给每个PC 100执行。这些类型的关于修正措施的推荐方案可以由管理服务器110广泛散布到网络中大量不同的PC 100上,每个PC 100确定是否以及如何应用修正措施。在一种实现方案中,按照这样的条件制定关于修正措施的推荐方案,即该条件规定如果符合某些标准则要执行的修正措施。在相关的实施例中,关于修正措施的推荐方案被制定为由远程配置模块215执行,远程配置模块215进而经配置以选择并调整推荐方案以使其适合于本地硬件或软件配置。
图6是示出了通用计算机系统600的示例的示意图,在该计算机系统上可根据各种实施例实施如本文中所描述的本发明的各个方面。计算机系统600可以包括计算设备,譬如个人计算机602。个人计算机602包括一个或多个处理单元604、系统存储器606、视频接口608、输出外围接口610、网络接口612、用户输入接口614、可移除存储器接口616和不可移除存储器接口618以及耦合各种组件的系统总线或高速通信通道620。在各种实施例中,处理单元604可以具有多个逻辑核,这些逻辑核能够处理存储在诸如系统存储器606或者附接至可移除存储器接口616和不可移除存储器接口618的存储器这类计算机可读介质上的信息。计算机602的系统存储器606可以包括诸如只读存储器(ROM)622这样的非易失性存储器或者诸如随机存取存储器(RAM)624这样的易失性存储器。ROM 622可以包括基本输入/输出系统(BIOS)626,以帮助与计算机602的其他部分通信。RAM 624可以存储各种软件应用的一部分,所述软件应用譬如操作系统628、应用程序630和其他程序模块632。此外,RAM 624可以存储其他信息,譬如程序或应用程序数据634。在各种实施例中,RAM 624存储要求低延迟和高效访问的信息,譬如正在被操控或操作的程序和数据。在各种实施例中,RAM 624包括双倍数据速率(DDR)存储器、错误纠正存储器(ECC)或者其他具有不同的延迟和配置的存储器技术,譬如RAMBUS或DDR2和DDR3。这样,在各种实施例中,系统存储器606可以存储输入数据存储、访问证书(credential)数据存储、操作存储器数据存储、指令集数据存储、分析结果数据存储以及操作存储器数据存储。此外,在各种实施例中,处理单元604可以被配置为执行这样的指令,所述指令通过在授权访问上述数据存储之前要求访问证书来限制对上述数据存储进行访问。
可移除存储器接口616和不可移除存储器接口618可以将计算机602耦合到磁盘驱动器636,诸如安全服务器D或者旋转磁盘驱动器。这些磁盘驱动器636可以为诸如操作系统638、应用程序640和其他程序模块642这样的各种软件应用提供进一步的存储。此外,磁盘驱动器636可以存储其他信息,譬如程序或应用程序数据644。在各种实施例中,磁盘驱动器636中可存储并不要求与在其他存储介质中同样低延迟的信息。此外,在上述各种实施例中,操作系统638、应用程序640数据、程序模块642和程序或应用软件数据644可以是与存储在RAM 624中的信息相同的信息,或者其可以是由RAM 624存储的数据所可能派生的不同的数据。
此外,可移除非易失性存储器接口616可以将计算机602耦合到利用诸如软盘648、Zip或Jazz这类磁性介质的磁性便携式磁盘驱动器646、或者利用用于诸如
DVD-R/RW、CD-R/RW和其他类似格式的计算机可读介质存储的光学介质652的光盘驱动器650。其他实施例还利用内置于便携式外壳中的安全服务器D或旋转磁盘,以提高可移除存储器的容量。
计算机602可以利用网络接口612而与局域网(LAN)658或广域网(WAN)660上的一个或多个远程计算机656通信。网络接口612可以利用网络接口卡(NIC)或者其他接口例如调制解调器662进行通信。调制解调器622可以经由电话线、同轴电缆、光纤、电力线或以无线方式进行通信。远程计算机656可以包含类似的硬件和软件配置,或者可以具有包含远程应用程序666的存储器664,其中远程应用程序666可以提供附加的计算机可读指令到计算机602。在各种实施例中,远程计算机存储器664可以被用于存储诸如可稍后下载到本地系统存储器606上的所识别的文件信息之类的信息。此外,在各种实施例中,远程计算机656可以是应用服务器、管理服务器、客户计算机或网络装置。
用户可以用连接到用户输入接口614的输入设备例如鼠标668和键盘670将信息输入到计算机602。除此之外,输入设备还可以是触控板、指纹扫描仪、操纵杆、条形码扫描仪、媒体扫描仪等。视频接口608可以提供视频信息给显示器,譬如监视器672。视频接口608可以是嵌入式接口或者其可以是分立接口。此外,计算机可以利用多个视频接口608、网络接口612以及可移除接口616和不可移除接口618,以便提高计算机602的操作灵活性。此外,各种实施例利用若干监视器672和若干视频接口608来改变计算机602的性能和容量。计算机602中还可以包括其他计算机接口,譬如输出外围接口610。该接口可以耦合到打印机674或扬声器676或者其他外围设备,以向计算机602提供附加的功能。
计算机602的各种可替代的配置和实现方案都在本发明的精神范围内。这些变形例可以包括但不限于附加的接口,这些接口耦合到诸如通用串行总线(USB)的系统总线620、打印机端口、游戏端口、PCI总线、PCI Express或者诸如北桥或南桥这类上述各种组件到芯片集组件中的集成。例如,在各种实施例中,处理单元604可以包括嵌入式存储器控制器(未示出)以便与系统总线620所能提供的相比能够更加高效地从系统存储器606传输数据。
上述实施例仅是例示性而非限制性的。另外的实施例在权利要求书内。此外,虽然参照特定实施例描述了本发明的各个方面,但本领域技术人员应认识到,在不脱离由权利要求书所界定的本发明的精神和范围的情况下,可以在形式和细节上做出各种改变。
相关领域的普通技术人员将认识到,本发明所包括的特征可以比上述任何单独的实施例中所例示的少。本文中所描述的实施例并非意图作为对本发明不同特征的组合形式的穷举示例。因此,这些实施例并不是各种特征的互斥性组合;而是,如本领域的普通技术人员所理解的,本发明可包括选自不同的单独实施例的不同的单独特征的组合。
对以上任何通过引用文献形式的并入加以限制,使得违背本文所明确公开内容的主题不应被并入。进一步对以上任何通过引用文献形式的并入加以限制,使得包括在这些文献中的权利要求不应以引用的方式被并入到本文中。再进一步对以上任何通过引用文献形式的并入加以限制使得除非本文明确包括,否则这些文献所提供的定义不应以引用的方式被并入到本文中。。
为了解释本发明的权利要求,明确表示,将不会援引35U.S.C第112节第6段的规定,除非在权利要求书中记载有专门术语“用于……的装置”或者“用于……的步骤”。
Claims (14)
1.一种用于对包括多个客户计算机的计算机网络中的安全相关事故做出响应的安全服务器,所述安全服务器包括:
通信地耦合到所述计算机网络的事件收集模块、操作地耦合到所述事件收集模块的事件分析模块和操作地耦合到所述事件分析模块的解决方案模块;
其中,所述事件收集模块经配置以获取事故相关信息,所述事故相关信息包括来自所述多个客户计算机中的至少一个客户计算机的事件等级信息,所述事故相关信息至少与第一事故相关联,所述第一事故是由所述至少一个客户计算机检测到的并且作为对该检测的响应而提供给所述事件收集模块;
其中,所述事件分析模块经配置以重建至少一个事件链,所述至少一个事件链与所述第一事故具有因果关系,并且基于所述事故相关信息而表明所述第一事故的根本成因;和
其中,所述解决方案模块经配置以制定至少一个推荐方案以供所述至少一个客户计算机使用,所述至少一个推荐方案基于所述至少一个事件链,并且包括为响应所述第一事故而特定的修正/预防措施。
2.根据权利要求1所述的安全服务器,其中,所述事故相关信息限制为基本上包括与所述第一事故相关联的事件等级信息。
3.根据权利要求1所述的安全服务器,其中,用于修正措施的所述至少一个推荐方案包括:(a)自然语言部分,所述自然语言部分描述所述第一事故;和(b)修正措施部分,所述修正措施部分包括要在所述至少一个客户计算机上执行用于解决所述第一事故的指令。
4.根据权利要求3所述的安全服务器,其中,所述自然语言部分包括以自然语言表述方式来描述所述修正措施部分的报告。
5.根据权利要求3所述的安全服务器,其中,所述修正措施部分包括特定于在其上检测到所述第一事故的个体客户计算机的指令。
6.根据权利要求3所述的安全服务器,其中,所述修正措施部分包括能应用于多个不同客户计算机的指令。
7.根据权利要求3所述的安全服务器,其中,所述修正措施部分包括适于由至少一个客户计算机自动实施的指令。
8.根据权利要求1所述的安全服务器,其中,所述解决方案模块包括:
多个分析模块,所述多个分析模块中的每一者均经配置以应用各异的决策标准并且产生表现用于响应所述第一事故的至少一个建议的相应的输出;和
决策制定系统,所述决策制定系统收集所述多个分析模块中的每一者的输出,并且有选择地组合这些输出以产生用于响应所述第一事故的所述至少一个推荐方案。
9.根据权利要求8所述的安全服务器,进一步包括:
事故数据库,所述事故数据库与所述解决方案模块通信地耦合,所述事故数据库存储已知事故数据的先前存在的收集信息,所述先前存在的收集信息包括与所述已知事故相关联的事件等级信息和描述性信息;和
专家系统数据库,所述专家系统数据库通信地耦合到所述解决方案模块,并且存储所述决策标准。
10.根据权利要求1所述的安全服务器,其中,所述安全服务器经配置以:
确定是否需要来自与所述第一事故相关的所述至少一个客户计算机的附加的事件等级信息用于分析所述第一事故;和
作为对确定需要附加的使用历史信息的响应,使所述事件收集模块从所述至少一个客户计算机请求所述附加的使用历史信息。
11.根据权利要求10所述的安全服务器,其中,所述安全服务器经配置以从与在其上已检测到所述第一事故的客户计算机不同的客户计算机请求附加的使用历史信息。
12.根据权利要求1所述的安全服务器,其中,所述事件链包括与在多个客户计算机之间的信息传输相关的事件。
13.根据权利要求1所述的安全服务器,其中,所述第一事故是在第一客户计算机处检测到的,并且其中,所述解决方案模块经配置以制定用于响应所述第一事故的所述至少一个推荐方案,以供在其上尚未检测到所述第一事故的第二客户计算机使用。
14.根据权利要求1所述的安全服务器,其中,所述安全服务器经配置以控制在所述至少一个客户计算机中的每一者上的一组参数,该组参数定义下列各项的至少一项:事故检测规则、用于应用修正/预防措施的规则或者它们的任意组合。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/219,887 US8776241B2 (en) | 2011-08-29 | 2011-08-29 | Automatic analysis of security related incidents in computer networks |
| US13/219,887 | 2011-08-29 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102932323A true CN102932323A (zh) | 2013-02-13 |
| CN102932323B CN102932323B (zh) | 2016-03-02 |
Family
ID=45833157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210310470.9A Active CN102932323B (zh) | 2011-08-29 | 2012-08-28 | 对计算机网络中安全相关事故的自动分析 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8776241B2 (zh) |
| EP (1) | EP2566130B1 (zh) |
| CN (1) | CN102932323B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105556526A (zh) * | 2013-09-30 | 2016-05-04 | 慧与发展有限责任合伙企业 | 分层威胁智能 |
| CN106062719A (zh) * | 2014-02-26 | 2016-10-26 | 微软技术许可有限责任公司 | 根据使用数据的结构化日志模式的服务度量分析 |
| CN106411823A (zh) * | 2015-07-31 | 2017-02-15 | 华为技术有限公司 | 一种基于cdn的访问控制方法及相关设备 |
| CN109388950A (zh) * | 2017-08-10 | 2019-02-26 | 卡巴斯基实验室股份制公司 | 确保系统配置的安全改变的系统和方法 |
| WO2020083023A1 (zh) * | 2018-10-22 | 2020-04-30 | 中兴通讯股份有限公司 | 一种事件流处理方法、电子设备和可读存储介质 |
| CN112242991A (zh) * | 2019-07-17 | 2021-01-19 | 卡巴斯基实验室股份制公司 | 用于关联事件来检测信息安全事故的系统和方法 |
| TWI722001B (zh) * | 2015-09-04 | 2021-03-21 | 日商網屋股份有限公司 | 壓縮、翻譯伺服器 |
| CN112567367A (zh) * | 2018-08-20 | 2021-03-26 | 微软技术许可有限责任公司 | 用于聚类和加速多个事故调查的基于相似性的方法 |
| CN113269540A (zh) * | 2021-07-14 | 2021-08-17 | 支付宝(杭州)信息技术有限公司 | 专家系统的更新方法、业务处理方法及装置 |
| CN113824678A (zh) * | 2020-06-19 | 2021-12-21 | 卡巴斯基实验室股份制公司 | 处理信息安全事件以检测网络攻击的系统和方法 |
Families Citing this family (128)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9083741B2 (en) * | 2011-12-29 | 2015-07-14 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
| US9258321B2 (en) | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US9646279B2 (en) * | 2012-09-28 | 2017-05-09 | Rex Wiig | System and method of a requirement, compliance and resource management |
| US9953281B2 (en) * | 2012-09-28 | 2018-04-24 | Rex Wiig | System and method of a requirement, compliance and resource management |
| US10268974B2 (en) * | 2012-09-28 | 2019-04-23 | Rex Wiig | System and method of a requirement, compliance and resource management |
| US8990308B2 (en) * | 2012-09-28 | 2015-03-24 | Rex Wiig | System and method of a requirement, compliance and resource management |
| US9679131B2 (en) * | 2013-01-25 | 2017-06-13 | Cybereason Inc. | Method and apparatus for computer intrusion detection |
| WO2014120189A1 (en) * | 2013-01-31 | 2014-08-07 | Hewlett-Packard Development Company, L.P. | Sharing information |
| US9635040B2 (en) * | 2013-03-14 | 2017-04-25 | Cybereason Inc. | Method and apparatus for collecting information for identifying computer attack |
| US10601654B2 (en) | 2013-10-21 | 2020-03-24 | Nyansa, Inc. | System and method for observing and controlling a programmable network using a remote network manager |
| US9953163B2 (en) | 2014-02-23 | 2018-04-24 | Cyphort Inc. | System and method for detection of malicious hypertext transfer protocol chains |
| WO2015134572A1 (en) * | 2014-03-06 | 2015-09-11 | Foreground Security | Internet security cyber threat reporting |
| WO2015149062A1 (en) * | 2014-03-28 | 2015-10-01 | Zitovault, Inc. | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment |
| US10657469B2 (en) | 2014-04-11 | 2020-05-19 | International Business Machines Corporation | Automated security incident handling in a dynamic environment |
| US9680855B2 (en) | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
| US10185924B1 (en) * | 2014-07-01 | 2019-01-22 | Amazon Technologies, Inc. | Security risk response impact analysis |
| WO2016122632A1 (en) * | 2015-01-30 | 2016-08-04 | Hewlett Packard Enterprise Development Lp | Collaborative investigation of security indicators |
| BR112017023869A2 (pt) | 2015-05-04 | 2018-07-24 | Kamran Hasan Syed | sistema de segurança informática que processa um evento de segurança; sistema de segurança virtual; método para crescimento de inteligência interativa; e sistema de identificação, integração e análise de inteligência de ameaça virtual |
| CN104881284A (zh) * | 2015-05-22 | 2015-09-02 | 国云科技股份有限公司 | 一种高效的日志操作方法 |
| CN106470205B (zh) * | 2015-08-21 | 2021-03-05 | 中兴通讯股份有限公司 | 一种安全配置变更检测方法和装置 |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10305922B2 (en) * | 2015-10-21 | 2019-05-28 | Vmware, Inc. | Detecting security threats in a local network |
| EP3384652B1 (en) | 2015-11-30 | 2021-08-11 | Hewlett-Packard Development Company, L.P. | Security mitigation action selection based on device usage |
| IL243825B (en) * | 2016-01-28 | 2021-05-31 | Verint Systems Ltd | A system and method for automated forensic investigation |
| US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US10585776B2 (en) | 2016-04-07 | 2020-03-10 | International Business Machines Corporation | Automated software code review |
| US10289478B2 (en) * | 2016-04-26 | 2019-05-14 | Nec Corporation | System fault diagnosis via efficient temporal and dynamic historical fingerprint retrieval |
| US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10592648B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
| US11341447B2 (en) * | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Privacy management systems and methods |
| US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
| US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
| US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
| US10685140B2 (en) | 2016-06-10 | 2020-06-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
| US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
| US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
| US11328092B2 (en) | 2016-06-10 | 2022-05-10 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
| US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
| US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
| US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11336697B2 (en) | 2016-06-10 | 2022-05-17 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
| US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
| US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
| US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
| US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
| US10510031B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US10909488B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Data processing systems for assessing readiness for responding to privacy-related incidents |
| US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
| US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
| US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
| US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11410106B2 (en) | 2016-06-10 | 2022-08-09 | OneTrust, LLC | Privacy management systems and methods |
| US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US11343284B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US10878127B2 (en) | 2016-06-10 | 2020-12-29 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
| US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
| US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
| US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
| US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US10909265B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
| US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US10949565B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11301796B2 (en) | 2016-06-10 | 2022-04-12 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
| US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| RU2634173C1 (ru) * | 2016-06-24 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения приложения удалённого администрирования |
| US10681071B1 (en) | 2016-08-02 | 2020-06-09 | ThreatConnect, Inc. | Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events |
| US10462170B1 (en) * | 2016-11-21 | 2019-10-29 | Alert Logic, Inc. | Systems and methods for log and snort synchronized threat detection |
| US10990915B2 (en) | 2017-01-13 | 2021-04-27 | Bank Of America Corporation | Near real-time system or network incident detection |
| US10783473B2 (en) | 2017-01-13 | 2020-09-22 | Bank Of America Corporation | Near Real-time system or network incident detection |
| US10164992B2 (en) * | 2017-01-13 | 2018-12-25 | Bank Of America Corporation | Near real-time system or network incident detection |
| US10310933B2 (en) | 2017-01-13 | 2019-06-04 | Bank Of America Corporation | Near real-time system or network incident detection |
| US10237294B1 (en) | 2017-01-30 | 2019-03-19 | Splunk Inc. | Fingerprinting entities based on activity in an information technology environment |
| US10496085B2 (en) * | 2017-04-18 | 2019-12-03 | Nec Corporation | Power plant system fault diagnosis by learning historical system failure signatures |
| US20180324207A1 (en) * | 2017-05-05 | 2018-11-08 | Servicenow, Inc. | Network security threat intelligence sharing |
| US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
| US10791128B2 (en) | 2017-09-28 | 2020-09-29 | Microsoft Technology Licensing, Llc | Intrusion detection |
| US10666494B2 (en) * | 2017-11-10 | 2020-05-26 | Nyansa, Inc. | System and method for network incident remediation recommendations |
| US20230308472A1 (en) * | 2018-02-20 | 2023-09-28 | Darktrace Limited | Autonomous email report generator |
| DK3800856T3 (da) * | 2018-02-20 | 2023-08-28 | Darktrace Holdings Ltd | Cybersikkerhedsindretning til en cloud-infrastruktur |
| EP3531325B1 (en) * | 2018-02-23 | 2021-06-23 | Crowdstrike, Inc. | Computer security event analysis |
| US11449379B2 (en) | 2018-05-09 | 2022-09-20 | Kyndryl, Inc. | Root cause and predictive analyses for technical issues of a computing environment |
| US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
| US11093620B2 (en) | 2018-11-02 | 2021-08-17 | ThreatConnect, Inc. | Ahead of time application launching for cybersecurity threat intelligence of network security events |
| AU2019275633B2 (en) | 2018-12-06 | 2022-08-04 | Infosys Limited | System and method of automated fault correction in a network environment |
| US11050773B2 (en) | 2019-01-03 | 2021-06-29 | International Business Machines Corporation | Selecting security incidents for advanced automatic analysis |
| EP4028918A4 (en) | 2019-09-09 | 2023-09-27 | Reliaquest Holdings, LLC | THREAT MITIGATION SYSTEM AND METHOD |
| CN110912714A (zh) * | 2019-10-30 | 2020-03-24 | 中国船舶重工集团公司第七一六研究所 | 基于改进网卡驱动软件的网络报文快速转发方法 |
| US11513817B2 (en) * | 2020-03-04 | 2022-11-29 | Kyndryl, Inc. | Preventing disruption within information technology environments |
| US11863573B2 (en) | 2020-03-06 | 2024-01-02 | ThreatConnect, Inc. | Custom triggers for a network security event for cybersecurity threat intelligence |
| RU2738334C1 (ru) * | 2020-03-25 | 2020-12-11 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент |
| RU2762528C1 (ru) | 2020-06-19 | 2021-12-21 | Акционерное общество "Лаборатория Касперского" | Способ обработки событий информационной безопасности перед передачей на анализ |
| EP4179435A1 (en) | 2020-07-08 | 2023-05-17 | OneTrust LLC | Systems and methods for targeted data discovery |
| EP4189569A1 (en) | 2020-07-28 | 2023-06-07 | OneTrust LLC | Systems and methods for automatically blocking the use of tracking tools |
| US20230289376A1 (en) | 2020-08-06 | 2023-09-14 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
| US11436373B2 (en) | 2020-09-15 | 2022-09-06 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
| WO2022061270A1 (en) | 2020-09-21 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
| US11397819B2 (en) | 2020-11-06 | 2022-07-26 | OneTrust, LLC | Systems and methods for identifying data processing activities based on data discovery results |
| US11687528B2 (en) | 2021-01-25 | 2023-06-27 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
| WO2022170047A1 (en) | 2021-02-04 | 2022-08-11 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
| EP4288889A1 (en) | 2021-02-08 | 2023-12-13 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
| WO2022173912A1 (en) | 2021-02-10 | 2022-08-18 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
| US11775348B2 (en) | 2021-02-17 | 2023-10-03 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
| US11546661B2 (en) | 2021-02-18 | 2023-01-03 | OneTrust, LLC | Selective redaction of media content |
| US11533315B2 (en) | 2021-03-08 | 2022-12-20 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
| US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
| US11924250B2 (en) | 2021-04-21 | 2024-03-05 | Microsoft Technology Licensing, Llc | Automated contextual understanding of unstructured security documents |
| US11985144B2 (en) | 2021-06-25 | 2024-05-14 | ThreatConnect, Inc. | Browser extension for cybersecurity threat intelligence and response |
| US11956270B2 (en) * | 2022-02-11 | 2024-04-09 | Oracle International Corporation | Parallel network-based vulnerability scanning |
| US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
| CN115484100A (zh) * | 2022-09-15 | 2022-12-16 | 南方电网科学研究院有限责任公司 | 一种网络安全事件分析方法、装置及存储介质 |
| CN115904810B (zh) * | 2022-12-02 | 2024-02-06 | 四川星环纪元科技发展有限公司 | 基于人工智能的数据复制容灾方法及容灾系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040143753A1 (en) * | 2003-01-21 | 2004-07-22 | Symantec Corporation | Network risk analysis |
| US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
| WO2006071985A2 (en) * | 2004-12-29 | 2006-07-06 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6530024B1 (en) | 1998-11-20 | 2003-03-04 | Centrax Corporation | Adaptive feedback security system and method |
| RU9691U1 (ru) * | 1998-12-02 | 1999-05-16 | Общество с ограниченной ответственностью "Дюны" | Опорная конструкция для диван-кровати |
| WO2001025935A1 (en) | 1999-10-01 | 2001-04-12 | Security Automation Incorporated | Information technology incident response and investigation system and method |
| US6779120B1 (en) * | 2000-01-07 | 2004-08-17 | Securify, Inc. | Declarative language for specifying a security policy |
| US7159237B2 (en) | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| AU2001257400A1 (en) | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | System and method for managing security events on a network |
| US7080287B2 (en) | 2002-07-11 | 2006-07-18 | International Business Machines Corporation | First failure data capture |
| US8412808B2 (en) | 2002-08-21 | 2013-04-02 | Hewlett-Packard Development Company, L.P. | Method and framework for service-based remote support delivery |
| US20040260947A1 (en) | 2002-10-21 | 2004-12-23 | Brady Gerard Anthony | Methods and systems for analyzing security events |
| EP1629651A1 (en) | 2003-05-30 | 2006-03-01 | International Business Machines Corporation | Detecting network attacks |
| US8225407B1 (en) * | 2003-08-21 | 2012-07-17 | Symantec Corporation | Incident prioritization and adaptive response recommendations |
| US7260844B1 (en) | 2003-09-03 | 2007-08-21 | Arcsight, Inc. | Threat detection in a network security system |
| EP1607866A1 (en) | 2004-06-15 | 2005-12-21 | Hewlett-Packard Development Company, L.P. | System and method for remote computer support service with solution function updates |
| US7979889B2 (en) * | 2005-01-07 | 2011-07-12 | Cisco Technology, Inc. | Methods and apparatus providing security to computer systems and networks |
| US20060218108A1 (en) | 2005-03-24 | 2006-09-28 | Sergey Panfilov | System for soft computing simulation |
| US7836500B2 (en) | 2005-12-16 | 2010-11-16 | Eacceleration Corporation | Computer virus and malware cleaner |
| US7461036B2 (en) | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
| US8504679B2 (en) | 2006-05-09 | 2013-08-06 | Netlq Corporation | Methods, systems and computer program products for managing execution of information technology (IT) processes |
| US20090222876A1 (en) | 2008-02-28 | 2009-09-03 | Maor Goldberg | Positive multi-subsystems security monitoring (pms-sm) |
| RU2390839C1 (ru) | 2008-10-23 | 2010-05-27 | ООО "НеоБИТ" | Способ централизованных автоматизированных настройки, контроля и анализа безопасности информационных систем и система для его осуществления |
| AU2010259950A1 (en) * | 2009-06-12 | 2011-12-01 | QinetiQ North America, Inc. | Integrated cyber network security system and method |
| RU96991U1 (ru) | 2010-04-26 | 2010-08-20 | Общество с ограниченной ответственностью "Трафика" | Система для обнаружения и предотвращения утечек информации |
-
2011
- 2011-08-29 US US13/219,887 patent/US8776241B2/en active Active
-
2012
- 2012-03-06 EP EP12158171.4A patent/EP2566130B1/en active Active
- 2012-08-28 CN CN201210310470.9A patent/CN102932323B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040143753A1 (en) * | 2003-01-21 | 2004-07-22 | Symantec Corporation | Network risk analysis |
| US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
| WO2006071985A2 (en) * | 2004-12-29 | 2006-07-06 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10104109B2 (en) | 2013-09-30 | 2018-10-16 | Entit Software Llc | Threat scores for a hierarchy of entities |
| CN105556526A (zh) * | 2013-09-30 | 2016-05-04 | 慧与发展有限责任合伙企业 | 分层威胁智能 |
| CN105556526B (zh) * | 2013-09-30 | 2018-10-30 | 安提特软件有限责任公司 | 提供分层威胁智能的非暂时性机器可读介质、系统和方法 |
| US10289470B2 (en) | 2014-02-26 | 2019-05-14 | Microsoft Technology Licensing, Llc | Service metric analysis from structured logging schema of usage data |
| CN110245034B (zh) * | 2014-02-26 | 2023-06-20 | 微软技术许可有限责任公司 | 根据使用数据的结构化日志模式的服务度量分析 |
| CN106062719B (zh) * | 2014-02-26 | 2019-06-04 | 微软技术许可有限责任公司 | 根据使用数据的结构化日志模式的服务度量分析 |
| CN110245034A (zh) * | 2014-02-26 | 2019-09-17 | 微软技术许可有限责任公司 | 根据使用数据的结构化日志模式的服务度量分析 |
| CN106062719A (zh) * | 2014-02-26 | 2016-10-26 | 微软技术许可有限责任公司 | 根据使用数据的结构化日志模式的服务度量分析 |
| CN106411823A (zh) * | 2015-07-31 | 2017-02-15 | 华为技术有限公司 | 一种基于cdn的访问控制方法及相关设备 |
| CN106411823B (zh) * | 2015-07-31 | 2019-07-12 | 华为技术有限公司 | 一种基于cdn的访问控制方法及相关设备 |
| US10693858B2 (en) | 2015-07-31 | 2020-06-23 | Huawei Technologies Co., Ltd. | CDN-based access control method and related device |
| TWI722001B (zh) * | 2015-09-04 | 2021-03-21 | 日商網屋股份有限公司 | 壓縮、翻譯伺服器 |
| CN109388950A (zh) * | 2017-08-10 | 2019-02-26 | 卡巴斯基实验室股份制公司 | 确保系统配置的安全改变的系统和方法 |
| CN112567367B (zh) * | 2018-08-20 | 2024-04-05 | 微软技术许可有限责任公司 | 用于聚类和加速多个事故调查的基于相似性的方法 |
| CN112567367A (zh) * | 2018-08-20 | 2021-03-26 | 微软技术许可有限责任公司 | 用于聚类和加速多个事故调查的基于相似性的方法 |
| WO2020083023A1 (zh) * | 2018-10-22 | 2020-04-30 | 中兴通讯股份有限公司 | 一种事件流处理方法、电子设备和可读存储介质 |
| CN112242991B (zh) * | 2019-07-17 | 2023-08-25 | 卡巴斯基实验室股份制公司 | 用于关联事件来检测信息安全事故的系统和方法 |
| CN112242991A (zh) * | 2019-07-17 | 2021-01-19 | 卡巴斯基实验室股份制公司 | 用于关联事件来检测信息安全事故的系统和方法 |
| CN113824678A (zh) * | 2020-06-19 | 2021-12-21 | 卡巴斯基实验室股份制公司 | 处理信息安全事件以检测网络攻击的系统和方法 |
| CN113824678B (zh) * | 2020-06-19 | 2023-07-11 | 卡巴斯基实验室股份制公司 | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 |
| CN113269540B (zh) * | 2021-07-14 | 2021-10-22 | 支付宝(杭州)信息技术有限公司 | 专家系统的更新方法、业务处理方法及装置 |
| CN113269540A (zh) * | 2021-07-14 | 2021-08-17 | 支付宝(杭州)信息技术有限公司 | 专家系统的更新方法、业务处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2566130B1 (en) | 2016-02-24 |
| CN102932323B (zh) | 2016-03-02 |
| US8776241B2 (en) | 2014-07-08 |
| US20130055399A1 (en) | 2013-02-28 |
| EP2566130A1 (en) | 2013-03-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102932323B (zh) | 对计算机网络中安全相关事故的自动分析 | |
| US11848760B2 (en) | Malware data clustering | |
| CN103023983B (zh) | 用于分布计算机安全任务的处理的系统 | |
| CN103065088B (zh) | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 | |
| US20170366559A1 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
| Kott et al. | The promises and challenges of continuous monitoring and risk scoring | |
| US20070136814A1 (en) | Critical function monitoring and compliance auditing system | |
| CN103198259A (zh) | 用于安全策略管理的方法和装置 | |
| AU2013254368A1 (en) | Cyber security analyzer | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| DE202013102441U1 (de) | System zur Überprüfung digitaler Zertifikate | |
| KR20040035572A (ko) | 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법 | |
| CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
| WO2008103764A1 (en) | Risk-based vulnerability assessment, remediation and network access protection | |
| KR20110055921A (ko) | 온라인상의 개인정보 보호 시스템 및 이 시스템을 이용한 개인정보 보호 방법 | |
| US8620911B2 (en) | Document registry system | |
| CN117769706A (zh) | 在网络中自动检测和解析网络安全的网络风险治理系统及方法 | |
| CN113282474A (zh) | 基于堡垒机的用户行为监控方法、系统、设备及介质 | |
| CN109344042A (zh) | 异常操作行为的识别方法、装置、设备及介质 | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| CN103597473B (zh) | 用于合并部分聚合查询结果的系统和方法 | |
| Al-Fedaghi et al. | Events classification in log audit | |
| JP2006031211A (ja) | ソフトウェア利用管理システムおよび方法、情報処理装置および方法、プログラム並びに記録媒体 | |
| Awodele et al. | A Multi-Layered Approach to the Design of Intelligent Intrusion Detection and Prevention System (IIDPS). | |
| CN114745143A (zh) | 一种访问控制策略自动生成方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |