CN103875222B - 用于实时定制的威胁防护的系统和方法 - Google Patents
用于实时定制的威胁防护的系统和方法 Download PDFInfo
- Publication number
- CN103875222B CN103875222B CN201280045112.8A CN201280045112A CN103875222B CN 103875222 B CN103875222 B CN 103875222B CN 201280045112 A CN201280045112 A CN 201280045112A CN 103875222 B CN103875222 B CN 103875222B
- Authority
- CN
- China
- Prior art keywords
- threat
- sensor
- event
- cloud
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
在一个示范实施例中提供一种方法,该方法包括:接收与来自遍及网络环境分布的传感器的报告相关联的事件信息以及使事件信息相互关联以识别威胁。基于威胁的定制的安全策略可以被发送到传感器。
Description
技术领域
本说明书一般涉及网络安全的领域,更具体地涉及用于实时定制的威胁防护的系统和方法。
背景技术
信息系统已经在全球规模上逐渐融入人们的日常生活和工作中,且信息安全的领域已经同样地在现在的社会中变得愈加重要。这样大规模的融合还为恶意操作者展现了许多利用这些系统的机会。如果恶意软件能感染主计算机,则它能执行任意数量的恶意行动,如从主计算机发出垃圾邮件或恶意邮件、从与主计算机相关联的企业或个人盗取敏感信息、向其它主计算机传播和/或帮助分布式拒绝服务攻击。此外,对于一些类型的恶意软件,恶意操作者能向其它恶意操作者出售或者以其它方式给予访问权,由此扩大对主计算机的利用。因此,有效保护并维持稳定的计算机和系统的能力仍然对于组件制造商、系统设计者和网络运营商提出很大的挑战。
附图说明
为了提供对本公开及其特点和优点的更全面的理解,参照结合附图进行的以下描述,其中相似的附图标记表示相似的部分,其中:
图1是示出根据本说明书的用于实时定制的威胁防护的网络环境的示范实施例的简化框图;以及
图2是可与该网络环境相关联的潜在操作的简化交互图。
图3是可与该网络环境相关联的潜在操作的简化流程图。
具体实施方式
概述
在一个示范实施例中提供一种方法,该方法包括:接收与来自遍及网络环境分布的传感器的报告相关联的事件信息以及使事件信息相互关联以识别威胁。基于威胁的定制的安全策略可以被发送到传感器。在更具体的实施例中,可从威胁情报云接收事件信息。在另外的实施例中,还可基于威胁将声誉数据发送到威胁情报云。
示范实施例
转向图1,图1是网络环境10的示范实施例的简化框图,在网络环境10中可实现用于实时定制的威胁防护的系统和方法。网络环境10包括威胁情报云15、事件分析子云20、传感器25a-25c以及主机30a-30i。传感器25a-25c例如可包括遍及网络环境10分布的防止入侵系统、网关设备、防火墙、防病毒软件和/或其它安全系统以跨越威胁向量从主机30a-30i收集信息,威胁向量包括文件、Web、消息和网络威胁向量。威胁情报云15一般表示用于从传感器25a-25c接收信息并传递从该信息导出的实时的基于声誉的威胁情报的基础设施。事件分析子云表示用于分析由威胁情报云15接收的信息的基础设施,以及还可提供更新服务35,更新服务35能将威胁信息和策略配置更新传递到传感器25a-25c和/或主机30a-30i。
图1的每个元件可通过简单的网络接口或通过任何其它合适的连接(有线或无线)来相互耦合,这提供用于网络通信的可行路径。此外,这些元件中的任何一个或更多可基于具体配置需要进行组合或者从架构中移除。网络环境10可包括能够进行用于在网络中传输或接收分组的传输控制协议/互联网协议(TCP/IP)通信的配置。网络环境10还可基于具体需要在适当情况下结合用户数据报协议/IP(UDP/IP)或任何其它合适的协议来操作。
在详细描述图1的操作和基础设施之前,提供某些上下文信息以提供可在网络环境10内发生的一些操作的概观。诚挚提供这样的信息并且只用于教导的目的,因此不应以任何方式解释为限制本公开的广泛应用。
通常的网络环境包括以下能力:例如使用互联网来与其它网络电子通信、访问连接到互联网的服务器上托管的Web页面、发送或接收电子邮件(即,email)消息或者与连接到互联网的最终用户或服务器交换文件。用户一般期望存储在网络环境中的数据易于得到但免遭未授权的访问。他们还经常期望通信是可靠的且免遭未授权的访问。然而,恶意用户不断开发新的手段来干扰正常操作以及获得对机密信息的访问权。病毒、木马、蠕虫、Bot以及其它恶意软件是用来利用网络或系统中的弱点的工具的常见示例,但设计成通过未授权访问、破坏、公开、修改数据和/或拒绝服务来干扰计算机或网络的正常操作的任何活动都是“威胁”。
能部署广范围的对策来应对威胁,包括防火墙、防止入侵系统、网络访问控制以及Web过滤。防止入侵系统(IPS)(还称为入侵检测和防止系统(IDPS))能例如监视网络和/或系统的活动是否有恶意活动或潜在恶意活动以及发送警报。然而,IPS警报可能不总是可采取行动的。许多警报只提供警告信息或指导,即使观察到的事件指示恶意活动,这是因为单个事件可能不足以用合适的置信度来识别攻击。
IPS通常处于在线(in-line)以便它能例如通过丢弃分组、重置连接和/或阻挡来自源的业务来积极地阻挡检测到的入侵。IPS能使用多个检测方法,包括应用和协议异常、外壳代码(shell-code)检测算法和特征(signature)。例如,基于特征的检测一般包括将特征(即,对应于已知威胁的任何模式)与观察到的事件或活动比较以识别威胁。示范特征是将远程连接建立为根用户的尝试。另一个示例是接收其主题栏和所附文件是已知形式的恶意软件所特有的电子邮件。
基于特征的检测在检测已知威胁时可能非常有效,但在检测未知威胁或者甚至已知威胁的细微变化时可能无效。另外,IPS特征倾向于是通用的而一般不是为局部环境定制的。威胁可能只是局部看得见,而不是全局看得见。从全局部署的传感器收集的知识一般不能被有效利用来改进局部安全策略。还经常要求人工调整策略,这可能导致足以允许感染蔓延的延迟。
根据本文中描述的实施例,网络环境10能通过提供用于使全局威胁情报和局部威胁情报相互关联以及提供定制的安全策略的系统和方法来克服这些缺点(和其它缺点)。
再次参照图1用于说明,主机30a-30i可以是网络元件,这些网络元件意在包括网络设备、服务器、路由器、交换机、网关、桥、负载均衡器、防火墙、处理器、模块或可操作以在网络环境中交换信息的任何其它合适的设备、组件、元件或对象。网络元件可包括任何合适的便于其操作的硬件、软件、组件、模块、接口或对象。这可包括适当的允许有效交换数据或信息的算法和通信协议。主机30a-30i还可以表示其它有线或无线网络节点,如台式计算机、膝上计算机或移动通信设备(例如,iPhone、iPad、安卓设备等)。
威胁情报云15在一个实施例中是声誉系统,其可以实现为分布式文件系统集群。一般,声誉系统监视活动并基于实体过去的行为来对其分配声誉值或者分。声誉值可表示在从善意到恶意的范围上的不同的可信赖等级。例如,可基于与网络地址进行的连接或源自该地址的电子邮件来为该地址计算连接声誉值(例如,最小风险、未证实、高风险等)。连接声誉系统可用来拒绝带有已知或可能与恶意活动相关联的IP地址的电子邮件或网络连接,而文件声誉系统能阻挡具有已知或可能与恶意活动相关联的散列的文件(例如,应用)的活动。威胁情报云15可接收来自遍及网络分布的传感器(例如,传感器25a-25c)的报告,传感器中的一些可以在由分开的实体控制的分开的域中。例如,收集模块可请求传感器向威胁情报云15周期性地发送报告,这些报告可匿名发送以保护敏感信息。报告可包括事件信息,如连接的源和目的地址、活动的类型、下载的文件、使用的协议等,以及可以是可采取行动的(例如,改变严重程度的警报)或劝告的(例如,提供可能不可独立采取行动的关于可疑活动的信息)。
事件分析子云20表示用于在历史上以及近实时地存储、处理和挖掘事件的云基础设施。子云20可实现用于数据挖掘警报的启发法以使来自遍及网络分布的传感器(例如,传感器25a-25c)的信息相互关联并识别新的威胁。可运行长期和短期性能分析(profiling)算法来识别由传感器全局检测的普遍威胁并自动化响应。因此,子云20可收集实时警报信息并提供能关于每个传感器进行定制的高级分析和威胁相互关联,这能便于迅速的全局威胁检测。当威胁发生时,实况威胁信息能被发送回传感器。子云20可从威胁情报云15(其可从传感器25a-25c接收作为警报的事件)检索事件,或可直接从传感器25a-25c接收事件,并返回结果,这些结果允许威胁情报云调整与新的威胁相关联的声誉数据。另外,子云20还可远程地并近实时地自动向传感器25a-25c和/或主机30a-30i提供更新和新的威胁情报。顾客然后可快速并主动地按照这些更新来行动,通过有效利用子云20的处理能力和启发法以及全局威胁情报来保护他们的系统。子云20还能使策略配置建议有效、自动调整策略或特征集配置和/或使其它响应行动有效,以便能以更高的置信度识别或者阻挡新的全局威胁(且不需人工配置)。
在某些实施例中,威胁情报云15和事件分析子云20两者都可实现为云基础设施。云基础设施一般是这样一种环境:允许对能以最小的服务提供商交互来迅速供应(和释放)的计算资源的共享池的按需网络访问。因此,它能提供计算、软件、数据访问以及存储服务,这些服务不要求最终用户知道传递这些服务的系统的物理位置和配置。云计算基础设施能包括通过共享数据中心传递的服务,其可表现为单个访问点。多个云组件,如云15和子云20,能通过诸如消息队列的松散耦合机制相互通信。因此,处理(和有关的数据)不需要位于指定的、已知的或静态的位置中。云15和子云20可包括能实时延伸现有能力的任何被管理的、被托管的服务。
关于与网络环境10相关联的内部结构,威胁情报云15、事件分析子云20、传感器25a-25c和主机30a-30i中的每个能包括用于存储将用在本文中概述的操作中的信息的存储器元件。这些设备还可在任何合适的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、专用集成电路(ASIC)等)、软件、硬件中或者基于具体需要在适当的情况下在任何其它合适的组件、设备、元件或对象中保存信息。本文中论述的任何存储器部件(memory items)应解释为被包括在广义术语“存储器元件”的范围内。可能在任何数据库、寄存器、表、队列、控制列表或存储结构中提供由威胁情报云15、事件分析子云20、传感器25a-25c或主机30a-30i跟踪或发送的信息,所有这些都能在任何合适的时间段(timeframe)被引用。任何这样的存储选择也可被包括在如本文中使用的广义术语“存储器元件”的范围内。
此外,威胁情报云15、事件分析子云20、传感器25a-25c和主机30a-30i可包括能够运行软件或算法来执行如本文中论述的活动的多个处理器。处理器能运行与存储器元件相关联的任何类型的指令以实现本文中详细描述的操作。在一个示例中,处理器可能将元素或物品(例如,数据)从一个状态或事物变换为另一个状态或事物。
注意,在某些示范实现中,本文中概述的功能可通过在一个或更多有形介质中编码的逻辑(例如,在ASIC中提供的嵌入逻辑、数字信号处理器(DSP)指令、将由处理器或其它类似的机器运行的软件(潜在包括目标代码和源代码)等)来实现,该一个或更多有形介质可包括非短暂性介质。在这些情况中的一些情况下,存储器元件能存储用于本文中描述的操作的数据。这包括存储器元件能够存储被运行以执行本文中描述的活动的软件、逻辑、代码或处理器指令。在另一个示例中,本文中概述的活动可以用固定逻辑或可编程逻辑(例如,由处理器运行的软件/计算机指令)来实现,以及本文中标识的元件可能是某一类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)或包括数字逻辑、软件、代码、电子指令的ASIC,或者是其任何合适的组合。本文中描述的任何潜在处理元件、模块和机器应解释为被包括在广义术语“处理器”的范围内。
图2是可与网络环境10的示范实施例相关联的潜在操作的简化交互图,在网络环境10中子云20专用于分析来自IPS传感器的事件。在200,IPS传感器(例如,传感器25a)可观察指示威胁的活动,如主机30b下载带有嵌入JAVASCRIPT标签的PDF文档。在205,局部IPS可阻挡威胁和/或发送局部警报。在210,还可向威胁情报云15报告该事件。在215,威胁情报云15可确定该事件是否与子云20中的事件分析有关(例如,报告是从IPS接收的)。如果该事件与子云20中的分析有关,则威胁情报云15可在220将事件信息发送到子云20。在225使用各种分析启发法(例如,基于时间、地理位置、声誉等),子云20可使该事件与从遍及网络环境10分布的其它传感器报告的事件(或者来自同一传感器的随后事件,如带外业务的意外增加)相互关联以识别全局威胁。
例如,对于下载具有JAVASCRIPT标签的便携文档格式(PDF)文件可设置低严重性警报。局部策略可忽视这样的事件,这是因为它是低严重性警报。然而,可基于从遍及网络的多个传感器接收的报告来确定这样的PDF的声誉和来源。通过数据挖掘从分布的传感器报告的事件,可通过使由某一国家、地区或企业中的传感器报告的事件相互关联来将PDF文档识别为目标是该国家、地区或企业的威胁。从声誉差的可疑地址下载该PDF文件的主机也能被识别。然后能提供建议、指导和策略改变推荐。
在230,子云20可生成全局威胁信息并通知在网络环境10中或在网络环境10的某一段(例如,与某一国家相关联)内的所有IPS,以及基于威胁相互关联向它们提供定制的安全策略/配置建议。定制的安全策略能包括不需要来自管理员的介入而保护网络环境10的粒状(granular)响应行动。例如,更新服务35可向传感器25a提供定制的安全策略,该安全策略通过地址识别被感染的主机(例如,主机30b),识别数据丢失(如果有的话)的类型并隔离被感染的主机,或者它可以识别应该被阻挡的某一地址。在235,子云20还可向威胁情报云15提供结果以补充其它声誉数据。
图3是示出可与网络环境10的某些实施例相关联的潜在操作的简化流程图300。在具体实施例中,这样的操作可例如由事件分析子云20运行。在305,可接收事件信息。事件信息可例如推送至威胁情报云15或从威胁情报云15取出。在一些实施例中,事件信息可由网络环境(例如,网络环境10)各处分布的传感器报告。可在310使事件信息相互关联。如果在315相互关联揭示威胁,则定制的安全策略可在320被发送到传感器中的至少一个。定制的安全策略能部分或全部基于在315识别的威胁。声誉数据(其也可部分或全部基于在315检测的威胁)可在320被发送。例如,事件信息的相互关联可识别与某一网络地址相关联的威胁以及子云20可将该网络地址的声誉的更新发送到威胁情报云15。
因此,网络环境10可提供显著的优点,其中一些已经被描述了。更具体地,局部安全对策能使用局部调节的策略来基于局部网络的需要提供针对威胁的防护,以及网络环境10能将每个局部传感器(即,传感器25a-25c)连接到一个全局威胁情报网络中。在网络环境10中,局部安全对策不再只对最近的威胁反应。关于新的威胁的情报可自动推送到管理系统,从而允许管理系统主动保护网络。另外,网络环境10可通过有效利用用于主动调节的基于云的基础设施来显著降低用于安全对策的总拥有成本。
注意,利用以上提供的示例,可根据两个、三个或四个网络元件来描述交互。然而,只是为了清楚和示例的目的才这样做。在某些情况下,通过只参照有限数量的网络元件来描述流的给定集合的一个或更多功能性可能更容易。应理解,网络环境10(及其教导)可易于扩展且能容纳大量组件以及更复杂/更高级的布置和配置。还应理解,本文中描述的在IPS的具体上下文中的原理可易于延伸到其它类型的网络元件,如网关、防火墙等,或者延伸到主机系统,如防病毒系统。因此,提供的示例不应限制范围或者约束如潜在应用于很多其它架构的网络环境10的广泛教导。此外,虽然参考其中操作可与给定网络元件相关联的具体情景进行描述,但是这些操作能在外部实现,或者以任何合适的方式合并和/或组合。在某些情况下,可在单个专有的模块、设备、单元等中提供某些元件。
还重要的是,注意附图中的步骤只说明可由网络环境10运行或在网络环境10内运行的一些可能的信令情景和模式。可在适当情况下删除或移除这些步骤中的一些,或者可相当大地修改或改变这些步骤而不脱离本文中提供的教导的范围。此外,这些操作中的若干操作已描述为与一个或更多额外操作同时运行或并行运行。然而,这些操作的定时可变动相当大。前述操作流已被提供用于示例和论述的目的。由网络环境10提供巨大的灵活性,因为可提供任何合适的布置、时间顺序(chronologies)、配置和定时机制而不脱离本文中提供的教导。
本领域技术人员可能发现大量其它的改变、替换、变化、变动和修改,且本公开意在包括落入所附权利要求书的范围内的所有这样的改变、替换、变化、变动和修改。为了帮助美国专利商标局(USPTO)并另外帮助基于本申请颁发的任何专利的任何读者解释于此附上的权利要求书,申请人希望指出:申请人(a)并不意在使任何所附权利要求以其在本申请的申请日存在的形式援引35 U.S.C第112节的第六(6)段,除非文字“用于…的部件”或“用于…的步骤”在具体权利要求中被特别地使用;以及(b)并不意在通过本说明书中的任何陈述以未在所附权利要求书中另行反映的任何方式来限制本公开。
Claims (33)
1.一种用于威胁防护的方法,包括:
由威胁情报云接收与来自遍及网络环境分布的多个传感器的报告相关联的多个事件信息;
由事件分析子云使所述多个事件信息相互关联以识别威胁;
基于所述威胁生成定制的安全策略;以及
基于所述威胁将所述定制的安全策略从所述事件分析子云发送到所述传感器中的每一个。
2.根据权利要求1所述的方法,还包括基于所述威胁将声誉数据从所述事件分析子云发送到声誉系统。
3.根据权利要求1所述的方法,还包括由所述威胁情报云基于所述威胁接收声誉数据。
4.根据权利要求1所述的方法,其中所述传感器包括防止入侵系统。
5.根据权利要求1-4中任一项所述的方法,其中所述定制的安全策略隔离感染有所述威胁的主机。
6.根据权利要求1-4中任一项所述的方法,还包括由位于包括在所述网络环境中的多个局部网络处的传感器中的每一个使用局部调节的策略来基于每一个所述局部网络的需要提供针对所述威胁的防护。
7.根据权利要求1-4中任一项所述的方法,其中所述使所述事件信息相互关联包括通过使由某一国家、地区或企业中提供的传感器报告的多个事件信息相互关联来识别目标是所述某一国家、地区或企业的威胁。
8.根据权利要求1-4中任一项所述的方法,其中所述使所述事件信息相互关联包括使来自某一传感器的至少一些事件信息与从所述某一传感器接收的随后事件信息相互关联。
9.根据权利要求1-4中任一项所述的方法,其中所述使所述事件信息相互关联包括使来自某一传感器的至少一些事件信息与从遍及所述网络环境分布的所述传感器中的其它传感器接收的其它事件信息相互关联。
10.根据权利要求1所述的方法,还包括由所述威胁情报云基于所述威胁接收声誉数据,以及其中所述传感器包括防止入侵系统,以及所述定制的安全策略隔离感染有新的威胁的主机。
11.一种用于威胁防护的装置,包括:
威胁情报云;
事件分析子云;以及
一个或更多处理器,可操作来运行与所述威胁情报云和所述事件分析子云相关联的指令使得:
所述威胁情报云将接收与来自遍及网络环境分布的多个传感器的报告相关联的多个事件信息;以及
所述事件分析子云将使所述多个事件信息相互关联以识别威胁、基于所述威胁生成定制的安全策略以及基于所述威胁将所述定制的安全策略发送到所述传感器中的每一个。
12.根据权利要求11所述的装置,其中所述事件分析子云还配置成基于所述威胁将声誉数据发送到声誉系统。
13.根据权利要求11所述的装置,其中所述威胁情报云还将基于所述威胁接收声誉数据。
14.根据权利要求11所述的装置,其中所述传感器包括防止入侵系统。
15.根据权利要求11-14中任一项所述的装置,其中所述定制的安全策略隔离感染有所述威胁的主机。
16.根据权利要求11-14中任一项所述的装置,其中位于包括在所述网络环境中的多个局部网络处的传感器中的每一个将使用局部调节的策略来基于每一个所述局部网络的需要提供针对所述威胁的防护。
17.根据权利要求11-14中任一项所述的装置,其中所述使所述事件信息相互关联包括通过使由某一国家、地区或企业中提供的传感器报告的多个事件信息相互关联来识别目标是所述某一国家、地区或企业的威胁。
18.根据权利要求11-14中任一项所述的装置,其中所述使所述事件信息相互关联包括使来自某一传感器的至少一些事件信息与从所述某一传感器接收的随后事件信息相互关联。
19.根据权利要求11-14中任一项所述的装置,其中所述使所述事件信息相互关联包括使来自某一传感器的至少一些事件信息与从遍及所述网络环境分布的所述传感器中的其它传感器接收的其它事件信息相互关联。
20.根据权利要求11所述的装置,其中所述威胁情报云还将基于所述威胁接收声誉数据,以及其中所述传感器包括防止入侵系统,以及所述定制的安全策略隔离感染有新的威胁的主机。
21.根据权利要求11-14中任一项所述的装置,其中所述威胁包括全局威胁。
22.一种用于威胁防护的装置,包括:
用于由威胁情报云接收与来自遍及网络环境分布的多个传感器的报告相关联的多个事件信息的部件;
用于由事件分析子云使所述多个事件信息相互关联以识别威胁的部件;
用于基于所述威胁生成定制的安全策略的部件;以及
用于基于所述威胁将所述定制的安全策略从所述事件分析子云发送到所述传感器中的每一个的部件。
23.根据权利要求22所述的装置,还包括用于由所述事件分析子云基于所述威胁将声誉数据发送到声誉系统的部件。
24.根据权利要求22所述的装置,还包括用于由所述威胁情报云基于所述威胁接收声誉数据的部件。
25.根据权利要求22所述的装置,其中所述传感器包括防止入侵系统。
26.根据权利要求22-25中任一项所述的装置,其中所述定制的安全策略隔离感染有所述威胁的主机。
27.根据权利要求22-25中任一项所述的装置,还包括用于由位于包括在所述网络环境中的多个局部网络处的传感器中的每一个使用局部调节的策略来基于每一个所述局部网络的需要提供针对所述威胁的防护的部件。
28.根据权利要求22-25中任一项所述的装置,其中所述用于使所述事件信息相互关联的部件包括用于通过使由某一国家、地区或企业中提供的传感器报告的多个事件信息相互关联来识别目标是所述某一国家、地区或企业的威胁的部件。
29.根据权利要求22-25中任一项所述的装置,其中所述用于使所述事件信息相互关联的部件包括用于使来自某一传感器的至少一些事件信息与从所述某一传感器接收的随后事件信息相互关联的部件。
30.根据权利要求22-25中任一项所述的装置,其中所述用于使所述事件信息相互关联的部件包括用于使来自某一传感器的至少一些事件信息与从遍及所述网络环境分布的所述传感器中的其它传感器接收的其它事件信息相互关联的部件。
31.根据权利要求22所述的装置,还包括用于由所述威胁情报云基于所述威胁接收声誉数据的部件,以及其中所述传感器包括防止入侵系统,以及所述定制的安全策略隔离感染有新的威胁的主机。
32.一种用于威胁防护的装置,包括至少一个处理器和至少一个存储器元件,所述至少一个存储器元件其上存储有指令,其中当所述指令由所述至少一个处理器运行时使所述装置执行根据权利要求1-4中任一项所述的方法。
33.根据权利要求32所述的装置,其中所述装置是共享计算资源池。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510877937.1A CN105491035B (zh) | 2011-09-15 | 2012-09-14 | 用于实时定制的威胁防护的系统和方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/233497 | 2011-09-15 | ||
| US13/233,497 US20130074143A1 (en) | 2011-09-15 | 2011-09-15 | System and method for real-time customized threat protection |
| PCT/US2012/055630 WO2013040496A2 (en) | 2011-09-15 | 2012-09-14 | System and method for real-time customized threat protection |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510877937.1A Division CN105491035B (zh) | 2011-09-15 | 2012-09-14 | 用于实时定制的威胁防护的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103875222A CN103875222A (zh) | 2014-06-18 |
| CN103875222B true CN103875222B (zh) | 2018-05-15 |
Family
ID=47881935
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280045112.8A Active CN103875222B (zh) | 2011-09-15 | 2012-09-14 | 用于实时定制的威胁防护的系统和方法 |
| CN201510877937.1A Active CN105491035B (zh) | 2011-09-15 | 2012-09-14 | 用于实时定制的威胁防护的系统和方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510877937.1A Active CN105491035B (zh) | 2011-09-15 | 2012-09-14 | 用于实时定制的威胁防护的系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20130074143A1 (zh) |
| EP (2) | EP2756439B1 (zh) |
| JP (2) | JP5816375B2 (zh) |
| KR (2) | KR101898793B1 (zh) |
| CN (2) | CN103875222B (zh) |
| WO (1) | WO2013040496A2 (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
| KR101414959B1 (ko) * | 2012-02-29 | 2014-07-09 | 주식회사 팬택 | 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법 |
| EP2901612A4 (en) * | 2012-09-28 | 2016-06-15 | Level 3 Communications Llc | APPARATUS, SYSTEM AND METHOD FOR IDENTIFYING AND MITIGATING MALICIOUS THREATS ON A NETWORK |
| CN105519041B (zh) | 2013-09-28 | 2019-03-01 | 迈克菲股份有限公司 | 安全连接的框架 |
| US10135845B2 (en) * | 2013-09-28 | 2018-11-20 | Mcafee, Llc | Context-aware network on a data exchange layer |
| CN105556526B (zh) * | 2013-09-30 | 2018-10-30 | 安提特软件有限责任公司 | 提供分层威胁智能的非暂时性机器可读介质、系统和方法 |
| US9401926B1 (en) * | 2013-10-31 | 2016-07-26 | Fulcrum IP Services, LLC | System and method for implementation of cyber security |
| US10686759B2 (en) | 2014-06-22 | 2020-06-16 | Webroot, Inc. | Network threat prediction and blocking |
| WO2016014021A1 (en) | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Security indicator linkage determination |
| US10257227B1 (en) * | 2014-08-14 | 2019-04-09 | Amazon Technologies, Inc. | Computer security threat correlation |
| US9832219B2 (en) * | 2014-09-05 | 2017-11-28 | International Business Machines Corporation | System for tracking data security threats and method for same |
| US9699201B2 (en) | 2014-09-25 | 2017-07-04 | International Business Machines Corporation | Automated response to detection of threat to cloud virtual machine |
| US9807118B2 (en) | 2014-10-26 | 2017-10-31 | Mcafee, Inc. | Security orchestration framework |
| US9124622B1 (en) | 2014-11-07 | 2015-09-01 | Area 1 Security, Inc. | Detecting computer security threats in electronic documents based on structure |
| CN105592024A (zh) * | 2014-11-14 | 2016-05-18 | 江苏威盾网络科技有限公司 | 一种基于认知网络的网络防护系统及方法 |
| US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
| CN104539484B (zh) * | 2014-12-31 | 2018-01-26 | 深圳先进技术研究院 | 一种动态评估网络连接可信度的方法及系统 |
| US10230742B2 (en) | 2015-01-30 | 2019-03-12 | Anomali Incorporated | Space and time efficient threat detection |
| CN107409126B (zh) * | 2015-02-24 | 2021-03-09 | 思科技术公司 | 用于保护企业计算环境安全的系统和方法 |
| CA2982107A1 (en) * | 2015-04-10 | 2016-10-13 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| US10169584B1 (en) | 2015-06-25 | 2019-01-01 | Symantec Corporation | Systems and methods for identifying non-malicious files on computing devices within organizations |
| US10055586B1 (en) | 2015-06-29 | 2018-08-21 | Symantec Corporation | Systems and methods for determining the trustworthiness of files within organizations |
| US9935981B2 (en) * | 2015-09-18 | 2018-04-03 | International Business Machines Corporation | Dynamic tuple for intrusion prevention systems |
| IN2015CH05315A (zh) * | 2015-10-05 | 2015-10-23 | Wipro Ltd | |
| US9838405B1 (en) | 2015-11-20 | 2017-12-05 | Symantec Corporation | Systems and methods for determining types of malware infections on computing devices |
| CN105763530A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于web的威胁情报采集系统及方法 |
| GB2545486B (en) * | 2015-12-18 | 2019-12-11 | F Secure Corp | Evasive intrusion detection in private network |
| IL243825B (en) * | 2016-01-28 | 2021-05-31 | Verint Systems Ltd | A system and method for automated forensic investigation |
| US10104117B2 (en) * | 2016-02-24 | 2018-10-16 | Microsoft Technology Licensing, Llc | Identifying user behavior in a distributed computing system |
| US10003606B2 (en) * | 2016-03-30 | 2018-06-19 | Symantec Corporation | Systems and methods for detecting security threats |
| US10542014B2 (en) | 2016-05-11 | 2020-01-21 | International Business Machines Corporation | Automatic categorization of IDPS signatures from multiple different IDPS systems |
| US20170353475A1 (en) * | 2016-06-06 | 2017-12-07 | Glasswall (Ip) Limited | Threat intelligence cloud |
| JP6538618B2 (ja) * | 2016-06-27 | 2019-07-03 | 日本電信電話株式会社 | 管理装置及び管理方法 |
| US10242187B1 (en) * | 2016-09-14 | 2019-03-26 | Symantec Corporation | Systems and methods for providing integrated security management |
| US10091231B1 (en) | 2016-09-15 | 2018-10-02 | Symantec Corporation | Systems and methods for detecting security blind spots |
| US10542017B1 (en) | 2016-10-13 | 2020-01-21 | Symantec Corporation | Systems and methods for personalizing security incident reports |
| US10691795B2 (en) * | 2016-10-24 | 2020-06-23 | Certis Cisco Security Pte Ltd | Quantitative unified analytic neural networks |
| US10417033B2 (en) * | 2017-01-23 | 2019-09-17 | ShieldX Networks, Inc. | Generating efficient computer security threat signature libraries |
| US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
| US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
| US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
| US10855713B2 (en) * | 2017-04-27 | 2020-12-01 | Microsoft Technology Licensing, Llc | Personalized threat protection |
| US10498758B1 (en) | 2017-06-28 | 2019-12-03 | Armis Security Ltd. | Network sensor and method thereof for wireless network vulnerability detection |
| US10505967B1 (en) * | 2017-06-28 | 2019-12-10 | Armis Security Ltd. | Sensor-based wireless network vulnerability detection |
| US11637844B2 (en) | 2017-09-28 | 2023-04-25 | Oracle International Corporation | Cloud-based threat detection |
| CN107819783A (zh) * | 2017-11-27 | 2018-03-20 | 深信服科技股份有限公司 | 一种基于威胁情报的网络安全检测方法及系统 |
| US10841331B2 (en) | 2017-12-19 | 2020-11-17 | International Business Machines Corporation | Network quarantine management system |
| US10887327B2 (en) | 2018-03-23 | 2021-01-05 | Juniper Networks, Inc. | Enforcing threat policy actions based on network addresses of host threats |
| US10862912B2 (en) * | 2018-03-23 | 2020-12-08 | Juniper Networks, Inc. | Tracking host threats in a network and enforcing threat policy actions for the host threats |
| US11063967B2 (en) * | 2018-07-03 | 2021-07-13 | The Boeing Company | Network threat indicator extraction and response |
| WO2023118907A1 (en) * | 2021-12-22 | 2023-06-29 | Citrix Systems,Inc | Systems and methods for adaptive action with distributed enforcement points |
| KR102690914B1 (ko) * | 2022-04-14 | 2024-07-31 | 동국대학교 와이즈캠퍼스 산학협력단 | 네트워크 보안 시스템 및 이를 이용한 네트워크 보안 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1829953A (zh) * | 2003-09-12 | 2006-09-06 | 普罗泰格网络公司 | 用于显示网络安全性事故的方法和系统 |
| CN101127633A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现移动台安全控制的方法及其系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3697249B2 (ja) * | 2003-04-30 | 2005-09-21 | 株式会社エヌ・ティ・ティ・データ | ネットワーク状態監視システム及びプログラム |
| JP4129207B2 (ja) * | 2003-07-18 | 2008-08-06 | 株式会社日立製作所 | 不正侵入分析装置 |
| US7260844B1 (en) * | 2003-09-03 | 2007-08-21 | Arcsight, Inc. | Threat detection in a network security system |
| US7523504B2 (en) * | 2004-08-02 | 2009-04-21 | Netiq Corporation | Methods, systems and computer program products for evaluating security of a network environment |
| JP4523480B2 (ja) * | 2005-05-12 | 2010-08-11 | 株式会社日立製作所 | ログ分析システム、分析方法及びログ分析装置 |
| JP2007179131A (ja) * | 2005-12-27 | 2007-07-12 | Nec Corp | イベント検出システム、管理端末及びプログラムと、イベント検出方法 |
| CN100550768C (zh) * | 2006-04-10 | 2009-10-14 | 华为技术有限公司 | 一种信息安全管理平台 |
| EP2021968B1 (en) * | 2006-05-18 | 2012-11-14 | Research In Motion Limited | Automatic security action invocation for mobile communications device |
| JP2008083751A (ja) * | 2006-09-25 | 2008-04-10 | Hitachi Information Systems Ltd | 不正アクセス対応ネットワークシステム |
| KR101042820B1 (ko) * | 2007-01-09 | 2011-06-21 | 이경태 | 시스템 취약점(exploit)을 이용한 웜 바이러스 치료 보안솔루션 |
| US8549632B2 (en) * | 2008-09-05 | 2013-10-01 | Nec Europe Ltd. | Method for supporting attack detection in a distributed system |
| CN101610174B (zh) * | 2009-07-24 | 2011-08-24 | 深圳市永达电子股份有限公司 | 一种日志事件关联分析系统与方法 |
| US8806620B2 (en) * | 2009-12-26 | 2014-08-12 | Intel Corporation | Method and device for managing security events |
| WO2011103385A1 (en) * | 2010-02-22 | 2011-08-25 | Avaya Inc. | Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as soa |
| CN103078864B (zh) * | 2010-08-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御文件修复方法 |
-
2011
- 2011-09-15 US US13/233,497 patent/US20130074143A1/en not_active Abandoned
-
2012
- 2012-09-14 KR KR1020167029787A patent/KR101898793B1/ko active IP Right Grant
- 2012-09-14 CN CN201280045112.8A patent/CN103875222B/zh active Active
- 2012-09-14 JP JP2014530908A patent/JP5816375B2/ja active Active
- 2012-09-14 EP EP12831899.5A patent/EP2756439B1/en active Active
- 2012-09-14 KR KR1020147007384A patent/KR101671594B1/ko active IP Right Grant
- 2012-09-14 CN CN201510877937.1A patent/CN105491035B/zh active Active
- 2012-09-14 EP EP15198066.1A patent/EP3009949B1/en active Active
- 2012-09-14 WO PCT/US2012/055630 patent/WO2013040496A2/en active Application Filing
-
2015
- 2015-09-25 JP JP2015188532A patent/JP6147309B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1829953A (zh) * | 2003-09-12 | 2006-09-06 | 普罗泰格网络公司 | 用于显示网络安全性事故的方法和系统 |
| CN101127633A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种实现移动台安全控制的方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2756439A2 (en) | 2014-07-23 |
| KR101671594B1 (ko) | 2016-11-01 |
| EP2756439A4 (en) | 2015-03-11 |
| EP3009949A1 (en) | 2016-04-20 |
| JP2014530419A (ja) | 2014-11-17 |
| US20130074143A1 (en) | 2013-03-21 |
| KR20140061463A (ko) | 2014-05-21 |
| KR101898793B1 (ko) | 2018-09-13 |
| WO2013040496A3 (en) | 2013-05-10 |
| JP2016027491A (ja) | 2016-02-18 |
| KR20160128434A (ko) | 2016-11-07 |
| JP6147309B2 (ja) | 2017-06-14 |
| CN105491035A (zh) | 2016-04-13 |
| EP3009949B1 (en) | 2018-08-29 |
| JP5816375B2 (ja) | 2015-11-18 |
| CN105491035B (zh) | 2019-01-04 |
| CN103875222A (zh) | 2014-06-18 |
| WO2013040496A2 (en) | 2013-03-21 |
| EP2756439B1 (en) | 2018-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103875222B (zh) | 用于实时定制的威胁防护的系统和方法 | |
| CN104023034B (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
| Venkatasubramanian et al. | Iot malware analysis using federated learning: A comprehensive survey | |
| CN105519041B (zh) | 安全连接的框架 | |
| EP2835948B1 (en) | Method for processing a signature rule, server and intrusion prevention system | |
| Vimal et al. | Enhance Software‐Defined Network Security with IoT for Strengthen the Encryption of Information Access Control | |
| CN105580022A (zh) | 使用声誉指示符来促进恶意软件扫描的系统和方法 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| Al-Hawawreh et al. | Securing the Industrial Internet of Things against ransomware attacks: A comprehensive analysis of the emerging threat landscape and detection mechanisms | |
| Mishra et al. | Process mining in intrusion detection-the need of current digital world | |
| Man et al. | A collaborative intrusion detection system framework for cloud computing | |
| Kovanen et al. | Cyber threat landscape in energy sector | |
| CA2961695A1 (en) | Correlation-based detection of exploit activity | |
| Onyshchenko et al. | The Mechanism of Information Security of the National Economy in Cyberspace | |
| Abidin | Enhancing security in WSN by artificial intelligence | |
| ES2381353A1 (es) | Sistema de seguridad colaborativa para usuarios residenciales. | |
| US7313821B1 (en) | System, method and computer program product for correlating information from a plurality of sensors | |
| Sudhakar et al. | Machine Learning Algorithms and Approaches used in Cybersecurity | |
| Oberoi et al. | Review of CIDS and techniques of detection of malicious insiders in cloud-based environment | |
| Alam et al. | Cyber-physical Attacks and IoT | |
| Arul et al. | Artificial Intelligence to Protect Cyber Security Attack on Cloud E-Learning Tools (AIPCE) | |
| Modi | Network intrusion detection in cloud computing | |
| Kim et al. | Event Log Validity Analysis for Detecting Threats by Insiders in Control System. | |
| Benmoussa et al. | Distributed intrusion detection system based on anticipation and prediction approach | |
| Trivedi et al. | Distributed Intrusion Detection System using Mobile Agents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |
|
| CP01 | Change in the name or title of a patent holder |