CN104756438B - 用于基于ip声誉安全的协作入侵检测生态系统 - Google Patents
用于基于ip声誉安全的协作入侵检测生态系统 Download PDFInfo
- Publication number
- CN104756438B CN104756438B CN201380043680.9A CN201380043680A CN104756438B CN 104756438 B CN104756438 B CN 104756438B CN 201380043680 A CN201380043680 A CN 201380043680A CN 104756438 B CN104756438 B CN 104756438B
- Authority
- CN
- China
- Prior art keywords
- cluster
- detection system
- intruding detection
- reputations
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种入侵检测系统(IDS)被加强,以在这种系统的集群中运行,被组织成集群的入侵检测系统互相协作,以实时地、或近乎实时地在协作的系统之间交换IP声誉影响事件的信息,以提高总体的系统响应时间、阻止隐藏的攻击破坏网络资源。IDS包括IP声誉分析引擎,用于分析新的和现有的事件、关联信息并发出潜在的告警。IP声誉分析引擎可以实施诸如模式匹配算法、连续数据挖掘算法等算法,以实现所述操作。将IDS端点集群以共享IP声誉影响事件,利用集群范围视图来确定IP声誉,并将该集群范围视图馈送回IDS端点,以提供相比于现有技术可靠、可扩展的针对威胁的增强的早期检测。
Description
技术领域
本公开一般涉及用于计算机网络的安全系统。
背景技术
计算机会遭受多种攻击,例如由通常被称为黑客的主体发起的攻击。例如黑客的蓄意破坏者可能试图侵入计算机,在工业间谍行动中窃取计算机中的信息,或植入病毒,或者篡改记录以达到使某人的利益或声誉受益或受损的目的。为了打击这些活动,可以由入侵检测系统(IDS)对计算机进行监控和保护。入侵检测系统是监控计算机网络并识别潜在威胁的设备或系统。
入侵检测的一个重要概念是因特网协议(IP)地址的“声誉(reputation)”,IP声誉服务可以向IDS系统告警某些可疑的IP地址。特别的,IP声誉服务保持那些与被识别为托管包括但不限于恶意软件、钓鱼内容和/或垃圾邮件等可疑内容的多个IP地址有关的信息。IDS一般采取行动缓和威胁,IP声誉服务提供的信息则提供额外的能力,进一步允许IDS阻止或警告终端用户那些被识别为向托管可疑内容的请求提供服务的特定IP地址。这允许IP声誉服务在可疑IP地址(或URL)需要被评级为“告警级别”时向IDS软件告警。例如,某个IP地址可能是垃圾邮件或恶意软件的来源,或者是某僵尸网络的一部分,或者参与了某些攻击,IP声誉服务将“告警级别”赋予该IP地址(或URL),后者接着又警告其客户(通常是IDS)要小心对待该IP地址(或URL)。
然而,目前实行的这样的IP声誉系统有一个局限,即它们是集中管理并且是分布式的。通常,IDS软件的供应商监视可疑的IP地址,并通过专门的通知服务向其IDS软件客户告警这些声誉问题。但是,使用单一的集中管理系统来发现和传播重要的IP声誉信息,是一种缓慢的方式。事实上,由于这种集中管理的方式,许多客户系统可能会在等待更新的过程中不必要地受到流氓消息的影响。例如,如果由某网络中的某个入侵检测系统检测到的问题没有立即传播到同一网络中的其他IDS,则会存在攻击向量可能利用不同的技术到达另一设备的潜在可能。鉴于越来越多的针对任一特定网络目标的攻击被特意设计成“轻量级”并难以发现的高级持续性威胁(Advanced Persistent Threats(APT))的事件,这尤其令人担忧。事实上,常常是通过—可能是实时地—分析和组合这些“轻量级”事件,才能提供真正网络漏洞的线索。
解决这一问题的一种已知方式是由网络中的入侵监测系统向安全事件管理系统(Security Incident and Event Manager(SIEM))告警。这种方式提供了一种中央“命令和控制”式样的控制台,然而却要依靠人工干预来决定是否多个事件构成一个有组织的攻击。大多数情况下,这些事件通常是在发生之后被彻底地回顾,并且很难通过手动分析找到模式,尤其是由于APT只会在IDS中引起很低级别的事件。
发明内容
一种入侵检测系统(IDS)被加强,以在这种系统的集群中运行,被组织成集群的入侵检测系统(IDSs)互相协作,以实时地、或近乎实时地在协作的系统之间交换IP声誉影响事件的信息,以提高总体的系统响应时间,阻止隐藏的攻击(例如—但不限于—高级持续性威胁(APTs))破坏网络资源。优选地,IDS包括IP声誉分析引擎,用于分析新的和现有的事件(包括但不限于来自集群中其他IDS的信息)、关联信息并发出潜在的告警。IP声誉分析引擎可以实施诸如模式匹配算法、连续数据挖掘算法等算法,以方便所述操作。
在一个示例性实施例中,将一组入侵检测系统端点设置在计算机网络中或计算机网络上,并配置到一个集群中。将IDS端点集群以共享IP声誉影响事件,利用集群范围的视角(view)来确定IP声誉,并将该集群范围视图馈送回IDS端点,可以提供相比于现有技术更加可靠和可扩展的增强的早期威胁检测。
根据另一个特定实施例,将一个入侵检测系统端点配置为协作检测系统集群的成员。优选地,入侵检测系统配置为定义它将与其他IDS共享的数据以及它想接收的数据。可以使用“发布-订阅”或类似机制将一个IDS在集群中注册,以实现数据共享。一旦集群被配置,每个IDS自主进行工作,但IP声誉影响信息根据事实上所执行的“发布-订阅”机制的共享协议进行共享。随着IP声誉影响事件产生,(例如在某个特定IDS中操作的)分析引擎可以确定与某一IP地址关联的声誉。可以根据多种因素进行该确定,例如活动的当前级别、活动的最后日期、观察到的活动的类型以及关联的IP地址或URL(例如源或目标,或两者)。IDS分析引擎利用此信息,优选地与从集群中的其他一个或多个IDS接收的类似信息一起进行分析。根据分析,并且可选地根据安全策略中的限定,在有效的“集群范围”内就该声誉将要与某一IP地址关联做出确定。。该通知然后可以被传送给IP声誉服务。在IP声誉服务处被分析,与其他信息关联并且相应地进行评级。然后,可以将该信息与其他IP声誉转发回集群并在其中维持。
因此,根据本公开,入侵检测系统的协作集群彼此共享IP声誉信息,优选地在本地级别共享。根据本公开配置的IDS包括向集群的其他成员分发IP声誉信息的机制,并且可以包括IP声誉分析引擎,其将接收的无害事件流解析成需要采取行动的潜在的攻击的数据。
上面已经描述了本发明的一些特定特征。这些特征仅仅出于说明的目的。可以通过以不同的方式应用或通过修改公开的本发明取得更多有益效果。
附图说明
为了更完整的理解本发明及其优势,参照以下附图对本发明进行说明,其中:
图1描述了可以实现本公开示例性实施例的示例方面的一个典型的分布式数据处理环境的框图;
图2是可以实现本公开示例性实施例的示例方面的一个典型的数据处理系统的框图;
图3示出了实施本公开主题的一个已知的入侵检测系统(IDS);
图4示出了入侵检测系统的IDS传感器;
图5示出了已知的IP声誉服务;
图6示出了具有一组IDS的企业网络;
图7示出了根据本公开的代表性IDS集群;
图8示出了根据本公开的代表性IDS实例;
图9示出了集群中的第一入侵检测系统向第二入侵检测系统报告入侵事件;
图10示出了根据本公开接收IP声誉影响信息并传递给IDS实例中的分析引擎;
图11示出了执行发布/订阅通信方法以交换信息的一对IDS实例;
图12示出了实现为WS通知服务的代表性发布/订阅机制;
图13示出了可以在入侵检测系统的分析引擎中处理的代表性的IP声誉影响信息;
图14示出了代表性的分析引擎;
图15示出了代表性的模式匹配算法。
具体实施方式
现在参考图1-2,其中示出了可以实现本公开示例性实施例的数据处理环境的示例性框图。应该理解,图1-2仅仅是出于示例的目的,不能认为是对能够实现本公开主题的示例性实施例的环境的限制。可以在不背离本发明精神和范围的前提下对示出的环境做出多种修改。
现在参考图1,其中示出了可以实现本公开示例性实施例的示例性分布式数据处理系统。分布式数据处理系统100可以包括可以实现本公开示例性实施例的各个方面的计算机网络。分布式数据处理系统100包括用于至少一个网络102,用于提供分布式数据处理系统100内连接的不同设备和计算机之间通信链路。网络102可以包括例如有线、无线通信链路或光缆连接。
在所示的示例中,服务器104和106与存储单元108一起连接至网络102。此外,客户机110、112和114也连接至网络102。这些客户机110、112和114可以例如是个人计算机、网络计算机等。在所示的示例中,服务器104向客户机110、112和114提供诸如引导文件、操作系统映像以及应用的数据。客户机110、112和114在给出的示例中是服务器104的客户机。分布式数据处理系统100可以包括未显示的其他的服务器以及其他设备。
在给出的示例中,分布式数据处理系统100是具有网络102的因特网,其中网络102表示利用传输控制协议/网际协议(TCP/IP)协议套件互相通信的全球网络和网关的集合。因特网的核心是主要节点和主机计算机之间的告诉数据通信链路的骨干网,这些主要节点包括路由数据和消息的上千个商业、政府、教育和其他计算机系统。当然,分布式数据处理系统100也可以实施为包括不同类型的网络,例如:内部网、局域网、广域网或类似。如前所述,图1的目的只是示例,因此,图1中显示的特定单元不能被认为对本发明的示例性实施例能够实施的环境产生限制。
现在参考图2,其中示出了可以实现本公开示例性实施例的数据处理系统200的示例性框图。数据处理系统200是计算机的一个例子,例如可以是图1中的服务器104或客户机110,其中根据示例性实施例的计算机可读程序代码或指令可以位于其上。在给出的示例中,数据处理系统200包括通信机制202,提供处理器单元204、存储器206、持久性存储器208、通信单元210、输入/输出单元212和显示单元214之间的通信。
处理器单元204用于执行可以加载到存储器206中的软件的指令。根据不同的实现,处理器单元204可以是一组一个或多个处理器,或者是多核处理器。并且,处理器单元204可以利用一个或多个异构处理器实现,其中主处理器和协处理器位于一个单独的芯片上。另一个示例性的例子中,处理器单元204可以是包括同样类型的多个处理器的对称多核处理器系统。
存储器206和持久性存储器208是存储设备的例子。存储设备是能够暂时和/或永久存储信息的任何硬件。存储器206例如可以是随机存储器或任何其他合适的易失性或非易性失存储设备。持久性存储器208可以根据不同的实施方式采取不同的形式。例如,持久性存储器208可以是硬盘、闪存盘、可擦写光盘、可擦写磁带或以上各种类型的组合。持久性存储器208可以采用可移除的介质。例如可以是移动硬盘。
通信单元210提供和其他数据处理系统或设备的通信。在这些例子中,通信单元210是网络接口卡。通信单元210可以通过物理的和/或无线的通信链路提供通信。
输入/输出单元212允许可以与数据处理系统200链接的其他设备的数据的输入和输出。例如,输入/输出单元212可以提供用户通过键盘和鼠标输入的连接。而且,输入/输出单元212可以将输出发送至打印机。显示单元214提供向用户显示信息的机制。
操作系统和应用的指令或程序位于持久性存储器208。这些指令可以被加载到存储器206中以由处理器单元204执行。不同实施例的过程可以由处理器单元204使用计算机实现的指令执行,这些指令可以位于例如存储器206的存储器中。这些指令被称作可以由处理器单元204中的处理器读取并执行的程序代码、计算机可用程序代码或计算机可读程序代码。不同实施例的这些程序代码可以实施为位于例如存储器206或持久性存储器208的不同的物理或有形计算机可读介质。
程序代码216位于计算机可读介质218的功能形式,计算机可读介质218可以选择性地被移除并且可以加载或传输至数据处理系统200由处理器单元204执行。程序代码216和计算机可读介质218形成计算机程序产品220。在一个例子中,计算机可读介质218可以是有形的形式,例如插入或放入驱动器或其他设备中的光盘或磁盘,或者传送至存储设备的持久性存储器208的一部分。例如,硬盘是持久性存储器208的一部分。作为有形的形式,计算机可读介质218可以采取持久性存储器208的形式,例如连接到数据处理系统200的硬盘、拇指盘或闪存盘。计算机可读介质218的有形形式也可以成为计算机可录存储介质。在某些例子中,计算机可录存储介质218可能是不可移除的。
替代的,程序代码216可以经由通信链路从计算机可读介质218传输至通信单元210和/或到输入/输出单元212的连接从计算机可读介质218传输至数据处理系统200。在给出的例子中,通信链路和/或连接可以是物理或无线的。计算机可读介质可以采取无形的形式,例如包含计算机程序代码的通信链路或无线传输。显示出的数据处理系统200的不同组件并不构成限制可以实施本公开不同实施例的系统的结构限制。不同示例性实施例可以实现为包括数据处理系统200中未包括的额外组件或与之不同的组件。其他组件可能与图2显示的组件不同。例如,数据处理系统200中的存储设备可以是能够存储数据的任何硬件设备。存储器206、持久性存储器208和计算机可读介质218只是有形的存储设备的例子。
在另外的例子中,可以利用总线系统实现通信机制202,可以包括诸如系统总线或输入/输出总线的一个或多个总线。当然,总线系统可以利用提供连接至该总线系统的不同组件或设备之间数据传输的任何合适类型的架构实现。此外,通信单元可以包括一个或多个用于发送和接收数据的设备,例如调制解调器或网络适配器。而且,存储器可以例如是存储器206、接口中的高速缓存存储器或通信机制202中的存储控制集线器。
用于执行本发明的计算机程序代码可以用一种或多种编程语言编写,包括诸如Java、Smalltalk、C++等面向对象的编程语言或诸如C语言等传统的面向过程的编程语言。程序代码可以作为单独的软件包全部或部分在用户计算机执行,或者部分在用户计算机部分在远程计算机执行,或者全部在远程计算机或服务器执行。在后者的场景中,远程计算机可以通过任何类型的网络连接至用户计算机,包括局域网、广域网或例如利用因特网服务提供商(ISP)通过因特网到外部计算机的连接。
本领域普通技术人员了解图1-2中的硬件可能根据不同的实施方式变化。另外的内部硬件或外部设备,例如闪存存储器、等效非易失性存储器或光盘驱动器等,可以采取图1-2中未包括的额外硬件或与之不同的硬件。此外,在不背离本公开的主题的精神和范围的前提下示例性实施例的过程可以应用于不同于前面提到的SMP系统的多核处理器数据处理系统。
这里描述的技术可以结合标准的客户机-服务器范例运行,其中客户机与可通过因特网访问的在一组机器上执行的基于Web的门户通信。终端用户操作能够访问并与门户交互的可连接因特网的设备(例如桌上型电脑、膝上型电脑、可访问因特网的移动设备等)。典型地,每个客户机或服务器是如图2显示的包括硬件和软件的数据处理系统,这些实体通过诸如因特网、内部网、外部网、私有网或其他任何通信介质或链路的网络彼此通信。数据处理系统典型地包括一个或多个处理器、操作系统、一个或多个应用和一个或多个实用工具。数据处理系统中的应用提供对Web服务的本地支持,包括但不限于HTTP、SOAP、XML、WSDL、UDDI和WSFL等。关于SOAP、WSDL、UDDI和WSFL等的进一步信息可以参阅万维网络联盟(W3C),其负责开发并维持这些标准。关于HTTP、XML等的进一步信息可以参与因特网工程任务组(IETF)。本文推定这些标准是熟知的。
图3示出了实施本公开主题的一个已知的入侵检测系统(IDS)。在图3中,被保护的设备300,例如计算机、Web服务器、工作站或其它类似的设备连接至因特网302或其他通信网络。消息从被保护设备300的本地源或同样连接于因特网302或其他通信网络的未显示的其他源流向被保护设备300。某些消息可能是试图侵入被保护设备300的使者,例如试图通过拒绝服务攻击(DoS)妨碍被保护设备300的运行。图3还示出了入侵检测系统304,其主要目的是检测此类入侵并向管理员310告警可疑的入侵。入侵检测系统304典型的包括入侵检测服务器306和入侵检测传感器308。尽管图3仅显示了一个被保护设备300和一个入侵检测传感器308,入侵检测服务器306可以保护多个设备并且具有与之相关联的多个入侵检测传感器。
图4示出了入侵检测系统的IDS传感器400(图3中的单元308)的结构。如图4所示,入侵检测传感器400典型地包括逻辑402、管理器404和签名文件406,逻辑402可以是个可编程处理器,其监督入侵检测传感器400的操作。这里的所用的术语不能作为限制。管理器404可以实施为逻辑402执行的指令,包括日志408。入侵检测传感器400生成的告警记录在日志408中。根据一个实施例,日志是一个记录入侵检测传感器400生成告警的时间的时间戳列表。时间戳可以用来确定入侵检测传感器400当前的告警生成速率(rate)(即,目前入侵检测传感器生成告警的速率)。管理器404也可以包括用于向日志输入时间戳的定时器410,用作当前告警生成速率的比较点的告警生成速率阈值412,以及响应于当前告警生成速率与告警生成速率阈值412比较的结果应用于一组签名的元素的一个或一组规则414。定时器410、告警生成速率阈值412和规则414的操作可以由逻辑402执行的指令实现。
图5示出了已知的基于供应商的IP声誉服务500以及它如何与特定于供应商的入侵检测系统交互。如图所示,供应商的IP声誉服务500监控因特网IP地址并接收一个或多个漏洞(例如垃圾邮件、僵尸网络、恶意软件等)的指示信息。基于供应商的IP声誉服务是集中管理的。操作中,它监控可疑的IP地址并通过发布IP声誉报告504向它的IDS软件客户502告警。
图3的入侵检测系统可以在如图1所示的数据处理系统中实现,也可以在网络中或跨网络(例如企业网)实现多个这样的系统。图6示出了具有一组IDS的企业网络,每个都由标记600表示。网络中或跨网络可以有多个这样的入侵检测系统。
这里描述的入侵检测系统可以包括多种硬件和/或软件组件,并且可以被配置成以下一种或几种:系统、机器、设备、装置、程序、一组程序、进程、一组进程、一个或多个执行线程或实例、相关数据和以上的任意组合。IDS功能性可以集成、并存、离散或分离。
参照以上的背景技术,本公开的技术将在以下进行描述。
用于基于IP声誉的安全的协作入侵检测
如前所述,根据本公开入侵检测系统(例如企业网中的IDS端点)被配置为协作检测系统集群的成员。入侵检测系统集群包括两个或更多(典型的甚至更多)入侵检测系统,但每个特定的IDS被配置。图7显示的代表性IDS集群700包括IDS 702a、…702n。集群中IDS(有时被称作“IDS实例”)的数量可以是固定的,也可以是变化的。因此,典型地,某特定集群的成员会随着IDS的加入或离开而动态地变化。
尽管可以使用专用的控制器,优选地集群中的任何IDS都可以作为集群的“领导者”而负责管理成员对集群的订阅。为此,可以利用“领导者”选举算法实现此目的,并且集群中的各IDS可以通过例如传播(Spread)的通信机制彼此通信。替代的,集群中的多个IDS实例可以简单地同时运行。
参考图8,在一个优选实施例中,将一个包括本公开功能IDS 800配置的包括一个该IDS通过其向集群注册的订阅模块(subscriber module)802。可以(例如由基于Web的配置工具)配置该订阅模块,以定义该特定IDS与集群中的其他IDS共享的数据,并且定义该特定IDS想要从一个或多个其他IDS实例接收的数据。典型地,正如下文将要详细说明的那样,该数据为IP声誉影响信息,即可以被评估而确定(产生或计算)IP地址的“声誉”的信息。已知的IP声誉数据分析技术可以用于此目的,这些技术可以以下面描述的方式提高。两种情况中,优选地可以利用“发布-订阅”或类似机制将IDS向集群注册以实现这样的数据共享。替代的,可以将这些配置选项和相关数据设置于可以由集群中的每个订阅IDS实例访问的数据库中。一旦集群被配置,优选地每个IDS自主地进行工作,但IP声誉影响信息根据由“发布-订阅”(或其他数据共享)机制实施的实际共享协议被共享。
除了订阅模块,IDS 800还包括一个或多个分析引擎806。具体来说,随着IP声誉影响事件的产生,分析引擎806可以确定将与某一IP地址关联的声誉。可以根据多种因素进行该确定,例如活动的当前级别、活动的最后日期、观察到的活动的类型以及关联的IP地址或URL(例如源或目标,或两者)。IDS分析引擎806利用此信息,优选地与从集群中的其他一个或多个IDS接收的类似信息一起进行分析。根据该分析,并且可选地根据安全策略中的限定,在有效的“集群范围”内就该声誉将要与某一IP地址关联做出确定。该通知然后可以被传送给如上文所述、图5所示的IP声誉服务。在IP声誉服务处被分析,与其他信息关联并且被相应地评级。然后,可以将该信息与其他IP声誉信息转发回集群并在其中维持。典型地,IP声誉服务与IDS集群是不同的,但这并非是必要的。
除了组件802、804和806,IDS还可以包括上文参照图3和图4描述的基本功能(或其部分)。一个或多个这些功能可以集成、分立、并存、或彼此分离。IDS功能可以由诸如软件代理的另一组件实现。因此,术语IDS不能作为对本公开的限制。
因此,根据本公开,一组协作的入侵检测系统彼此共享IP声誉信息。根据本公开配置的IDS包括向集群的其他成员分发IP声誉信息的机制(例如发布-订阅机制),并且可以包括IP声誉分析引擎,其将接收的事件流中的无害事件解析成关于需要针对其采取行动的潜在攻击的数据。
通过构建IDS实例的集群并利用发布-订阅(或等效)通信机制,实现集群成员间的IP声誉信息的即时交换。当然,并不限制成员的数量。以这种方式,如果一个组织的网络边界的入侵检测系统检测到某种事件,它可以向本地集群中的其他IDS告警。在一个更具体的例子中,初始事件可能是利用已知的CVE(通用漏洞披露)签名的攻击,那么IDS将该数据传递给集群中订阅的其他IDS。图9显示了该场景。此种情况中,要共享的主要数据为CVE(通用漏洞披露)数据,以及源和目标IP地址,而IP声誉值甚至可能尚未被不计算和传递。
当一个IDS接收到该数据,它优选地立即将其传递给IP声誉分析引擎,后者试图将该事件与其自己记录的、或由同一集群中的其他IDS之前传递的事件关联。图10显示了该操作。例如,如果另一个IDS检测到来自同一IP地址的(或许利用了不同的方式的)攻击,这两个事件可以(由特定IDS中的分析引擎)进行本地相关以指示一个明确的模式。事实上,通过将来自多个源的这种信息相关,可以指示一个更具针对性的攻击(例如高级持续性威胁APT)。这种使得某一IDS能够对照从集群中的另一个IDS源接收的信息而分析本地事件流的方式,同样使得针对影响多个网络资源(或反映分布式攻击)的潜在威胁采取实时、或近似实时的行动成为可能。此外,正如下面要描述的,分析引擎还可以执行后台数据挖掘任务以分析收集的数据(可能是大量的数据)来发现感兴趣的其他的潜在事件。
示例性地,IDS可以针对其分析引擎的输出采取一种或多种方式的行动。根据一个实施例,IDS的工作模式变为突出的告警或阻止。根据一个替代性实施例,IDS创建新的告警并将其发送至集群中一个或多个其他的订阅者或中央IP声誉服务。
以下提供了关于本公开IDS的功能的更多细节。
如前所述,首先配置集群中的IDS实例。“发布-订阅”模型在图11中示出。在该例中,IDS A作为发布者,IDS B作为订阅者。由发出关于其要发布的主题的通知的IDS A定义信息交换,IDS B订阅该主题。根据一个实施例,IDS A配置为发布要向集群中的其他IDS传递的一组事件类型/评级。根据另一个实施例,IDS A为与因特网连接的边界IDS。因为IDS A与因特网连接,IDS A记录的IP声誉事件的数量可能非常大,因此,尽管IDS A可能愿意发布所有的此类事件,IDS B可以选择只订阅某些此类事件。另一方面,如果IDS A在公司网的核心深处监控IP声誉事件,IDS B可能由于对这些事件可能更感兴趣而订阅全部的此类事件。因此,订阅的性质和范围可能有很大的不同。
特定的订阅-通知机制根据实施方式的不同可以是任何方便的类型。在一个示例性实施例中,订阅-通知机制可以利用“WS-通知”(WS-Notification)所规定的机制。“WS-通知”提供了Web服务通信的开放标准,其利用基于主题的发布/订阅消息模式。尽管特定的WS-通知将依赖于集群实现的细节,例如在一个实施例中,通知服务可以利用IBM应用服务器(IBM WAS)V7.0来实现,后者根据用于基于XML的Web服务的JavaAPI实现WS-通知,即7.0版WS-通知。
在替代方式中,可以利用OGSI(开放网格服务架构)中规定的订阅-通知机制。实现该目的的其他的发布-订阅(pub-sub)机制可以包括但不限于微软的WSP。
通常来说,如图11所示,通知服务包括在第一入侵检测系统中执行的通知产生组件,以及在第二入侵检测系统执行的通知消费组件。每个这样的组件在软件中实现,以一组计算机程序指令的形式存储于计算机存储器中并且由专门或特定的一个或多个处理器执行。利用适当的基于Web的编程接口,可以创建一个或多个“订阅”。订阅是表征通知消费组件、通知产生组件、主题和其他过滤器表达式、策略、上下文信息之间关系的WS-资源(WS-Resource)。订户是作为服务请求者向通知产生组件发送订阅请求消息的实体(该例中为集群中的IDS)。订户可能与通知消费组件不同。为了生成额外规模的通知服务,可以以符合WS-通知规范的已知方式实现订阅管理器和/或订阅中介组件。
利用这种类型的发布-订阅模型,某一特定IDS实例向集群中的一个或多个其他IDS订阅更新。这使得每个入侵检测系统能接收期望的通知。这些通知可能非常不同,也可以以任何格式提供。因此,可以实现WS-通知规范的意义中的任何主题。通知向订阅IDS提供最新的信息和时间信息。因此,不能作为限制的,通知可以具有任何类型和本质。通知可以具有粗粒度或细粒度,并且可以周期性地(例如每小时、每分钟或每秒)或异步地(例如某特定事件出现时)或它们的组合的方式被提供。通知可以是特定于资源的。当然,所有这些例子只是出于说明的目的,不能被认为是对本发明的限制。
(如图8所示的)入侵检测系统可以以将要描述的方式根据事件创建IP声誉信息。在一个优选的方式中,IP声誉基于内容的类型(例如垃圾邮件、恶意软件、色情信息、僵尸网络、匿名代理、通用漏洞披露(CVE))、近期发生的事件、事件发生的频度等。因此,出于示例的目的,如图13中的表所示,对于给定的IP声誉事件有4个不同的方面,即:当前级别(例如:低、中、高、极端),活动的最后日期、观察到的活动类型和IP地址/URL(可以包括源和目标两者)。该信息包括或被称作IP声誉影响信息。
(如图8所示的)入侵检测系统可以包括用于处理本地事件一个或多个分析引擎,典型地与从集群中的一个或多个其他订阅IDS实例接收的IP声誉影响信息相关。以这种方式,生成的IP声誉是“集群范围”或“基于集群”的。优选地,集群中的每个IDS都运行分析引擎,后者使每个能分析新的和现有的事件、将信息关联以检测网络威胁。分析引擎(或分析引擎的多个实例)可以实现多个算法。如图14所示,这些算法可以包括但不限于:模式匹配算法1400和连续数据挖掘算法1402等。也可以实现其他的人工智能的算法。
下面提供了关于利用模式匹配的代表性分析引擎的更多细节。通常,模式匹配可能涉及跨一个或多个条件的匹配,包括但不限于:源IP地址、目标IP地址、CVE、流氓IP地址/URL、操作系统等。图15示出了比较事件流和一个或多个条件的方法。如前所述,优选地,分析引擎将从集群中的其他入侵检测系统接收的至少一个IP声誉事件与数据库中的其他事件进行匹配。一些非限制性的处理的例子如下所示。第一个例子中,某一IP地址被其他入侵检测系统检测到是钓鱼攻击的创建者并且该IP地址已经登记在分析引擎中。当前的IDS注意到存在一个(例如,从一个内部主机的)到该IP地址的SSL会话并将两件事件相关联。另一个例子中,假设网络中某一部分的入侵检测系统标识一系列的包属于已知的Windows漏洞,那么它将记录该IP地址并将该事件转发给集群中的其他成员。现在,假设网络中另一部分的入侵检测系统检测到来自同一IP地址的Linux内核,那么(由其中一个系统)将两个事件相关联并且将告警级别提高(并在集群中分发)。另一个例子中,第一系统检测到针对服务器的AIX漏洞的攻击,它将该数据与(从另一IDS实例接收的)针对该服务器的另一不同的AIX漏洞的之前的攻击相关联,关联的数据预示着试图取得访问的重复性的尝试,因而发出警告。在每个例子中,IDS分析引擎优选地与从另一集群成员接收的至少某些数据一起进行数据处理,以生成可能或一定预示网络攻击的IP声誉(或其他)数据。
分析引擎还可以实现数据挖掘技术。这些技术可以对模式匹配进行补充,或者替代模式匹配。典型地,数据挖掘用于对模式匹配进行补充,因为数据挖掘算法通常需要分析大量数据。事实上,一个连续的数据挖掘算法可能涉及多种不同的算法,包括但不限于:异常检测、集群和分类。数据挖掘例子中可能触发检测到威胁的一些非限制性的例子包括:被视为异常的在某一时刻并且来自某一来源的访问事件(例如,非工作时间从外部IP地址对文件系统的访问),检测到当前环境并未使用的协议(例如,环境中并未运行NFS而接收到NFS客户机的请求),检测到同一用户名在过去30天内出现4次单次的密码错误的尝试之后并没有密码成功的事件(这可能预示某人试图通过一种慢“暴力”攻击某一账户,并让用户在攻击尝试之间登录,以清除密码错误的记录),从核心网内的不同服务器利用不同端口到不被允许的外部IP地址范围的3次连接尝试(例如,这些尝试分散到两个月中并且每次都被其他的IDS检测到)。当然,还可能有许多其他类型的事件。
作为一种变体的实施例,(尤其是数据挖掘场景中的)IP声誉分析引擎可以与SIEM系统相关地执行。
典型地,每个IDS集群包括来自同一供应商的IDS实例,但这并不能作为限制。如果需要,这里描述的IP声誉事件以及分析引擎的使用可以扩展到不同供应商的IDS实例的集群。例如,一个并购了另一家公司的跨国公司的网络中可能具有两个不同供应商的IDS,因而希望将集群扩展到两种IDS技术中。这种情况下,需要实现两种额外的要求。尤其是,标准化IP声誉事件信息是有益的,可以通过剪裁通用漏洞报告格式(CVRF)提供IP声誉评级和相关的数据来进行标准化。在这种替代实施方式中,在第三方IDS实例可以订阅事件之前,可能需要标准化消息协议的格式。如前所述,通知的基础可以利用例如由WS-通知家族标准中定义的系统。
这里描述的主题有很多优点。将IDS端点集群以共享IP声誉影响事件,利用集群范围视角来确定IP声誉,并将该集群范围视图馈送回IDS端点,以提供相比于现有技术可靠、可扩展的针对威胁的增强的早期检测。这里描述的技术使得威胁信息能够实时或近似实时地共享,因而系统得到更好的保护。这里描述的系统还减少对中央系统的需求和涉及,因而显著减少IP声誉信息分发和分析的时间延迟。
任何特定模式匹配和/或数据挖掘算法的具体细节都不在本公开的范围之内,因为任何这样的算法都可以用在集群中。
以上描述的功能性可以实现为单独的方法,例如由处理器执行的基于软件的功能,或者可以作为可用的托管服务(包括通过SOAP/XML结构的Web服务)。这里描述的特定的硬件和软件的实现细节只是出于说明的目的,不能对描述主题的范围进行限制。
更一般地说,公开主题的上下文中的计算设备的每一个都可以是(如图2所示的)包括硬件和软件的数据处理系统,这些实体通过诸如因特网、内部网、外部网、私有网或任何其他的通信介质或链路的网络彼此通信。数据处理系统中的应用提供对Web服务的本地支持,包括但不限于HTTP、
SOAP、XML、WSDL、UDDI和WSFL等。关于SOAP、WSDL、UDDI和WSFL等的进一步信息可以参阅万维网络联盟(W3C),其负责开发并维持这些标准。关于HTTP、XML等的进一步信息可以参与因特网工程任务组
(IETF)。本文推定这些标准是熟知的。
这里描述的技术还可以实现在包括简单的n-级架构、Web门户、联合系统等的不同的服务器端架构中,或者与之一起实现。这里描述的技术还可以在松散耦合(包括基于云)的服务器环境中实现。
更通常的,这里描述的主题可以完全以硬件实现、完全以软件实现或者软件结合硬件实现。在优选实施例中,该功能以软件实现,包括但不限于固件、驻留软件、微代码等。此外,如前所述,这里描述的端点的标识和跟踪功能性可以采取能够从计算机可用介质或计算机可读介质访问计算机程序产品的形式,所述计算机可用介质或计算机可读介质提供由计算机或任何指令执行系统或与之一起使用的程序代码。出于本说明的目的,计算机可用介质或计算机可读介质可以是包含或存储由指令执行系统、装置或设备或与之一起使用的程序代码的任何装置。介质可以是电、磁、电磁、光、红外或半导体系统(或装置、设备)。计算机可读介质的例子包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、磁盘和光盘。光盘现有的例子包括只读光盘(CD-ROM)、可重复擦写光盘(CD-R/W)和DVD。计算机可读介质是有形的介质。
计算机程序产品可以是用于实现描述的功能的一个或多个具有程序指令(或程序代码)的产品。这些指令或代码可以在通过网络或远程数据处理系统下载之后存储在数据处理系统的计算机可读存储介质中。或者,这些指令或代码可以存储在服务器数据处理系统中的计算机可读存储介质中并适于通过网络或远程数据处理系统下载以供位于远程系统中的计算机可读存储介质使用。
在一个代表性实施例中,前面描述的流程可以在专用计算机中,优选地由一个或多个处理器执行的软件实现。该软件在与一个或多个处理器关联的一个或多个数据存储或存储器中维持,并且该软件可以实现为一个或多个计算机程序。专用硬件和软件共同地包括或作为补充现有入侵检测系统解决方案的补充。
不能作为限制的,优选地可以利用管理服务器管理控制台暴露一个或多个基于Web的接口创建和/或修改IDS实例端点,为某一特定IDS端点设置其配置参数,配置分析引擎,配置通知等。
描述的功能性可以实现为现有IDS实例解决方案辅助或扩展,包括但不限于:IDS端点客户机(代理)、端点管理或中继服务器等。
虽然以上描述了本公开的某些实施例执行的操作的特定顺序,应该理解,该特定顺序仅是出于说明的目的,替代性实施例可能以不同的顺序执行操作,组合某些操作,重叠某些操作等。说明书中给定实施例的参考表明描述的实施例可以包括特定特征、结构或特性,但每个实施例并非都需要包括这些特定特征、结构或特性。
最后,虽然分别描述了系统的给定组件,本领域普通技术人员应当理解一些功能可以在给定的指令、程序序列、代码片段中合并或共享。
这里描述的任何应用和功能性可以通过提供到另一应用的钩子、利用插件机制或链接到机制等实现为本地代码。
集群可以在包括IPS、SIEM和漏洞管理系统的其他安全系统和设备中实现。
Claims (22)
1.一种用于计算机网络中的威胁检测的方法,包括:
将一组入侵检测系统组织进集群;
在集群的至少一些入侵检测系统之间共享IP声誉影响信息;
在集群的某一特定入侵检测系统处理本地事件信息以及从集群的至少一个其他入侵检测系统接收的至少一些所述IP声誉影响信息;
基于所述处理,确定给定的IP声誉数据预示针对计算机网络的威胁;
其中IP声誉影响信息通过发布/订阅进行共享,并且通过“领导者”选举算法在组织进集群的该组入侵检测系统中选取集群的“领导者”以负责管理成员对集群的订阅,并且集群的各个入侵检测系统之间通过传播的通信机制彼此通信。
2.根据权利要求1所述的方法,其中入侵检测系统通过标识它将要与集群的其他成员共享的以及它期望从集群的一个或多个其他成员获取的数据,订阅并成为集群的成员。
3.根据权利要求1所述的方法,其中所述处理执行模式匹配算法。
4.根据权利要求1所述的方法,其中所述处理执行数据挖掘算法。
5.根据权利要求1所述的方法,进一步包括在集群内分发所述给定的IP的声誉数据。
6.根据权利要求1所述的方法,其中本地事件信息包括以下任一种:活动的当前级别、活动的最后日期、活动的类型以及与活动关联的IP地址或URL。
7.根据权利要求1所述的方法,进一步包括:
从某一入侵检测系统接收对IP声誉数据的请求;
确定发出该请求的入侵检测系统是否为集群的成员;
如果发出该请求的入侵检测系统是集群的成员,那么提供IP声誉数据。
8.一种设备,包括:
处理器;
容纳计算机程序指令的计算机存储器,所述计算机程序指令由处理器执行时执行用于计算机网络中的威胁检测的方法,所述方法包括:
从集群的至少一些入侵检测系统接收IP声誉影响信息;
处理本地事件信息以及从集群的至少一个其他入侵检测系统接收的至少一些所述IP声誉影响信息;
基于所述处理,确定给定的IP声誉数据预示针对计算机网络的威胁;
其中IP声誉影响信息通过发布/订阅进行共享,并且通过“领导者”选举算法在组织进集群的该组入侵检测系统中选取集群的“领导者”以负责管理成员对集群的订阅,并且集群的各个入侵检测系统之间通过传播的通信机制彼此通信。
9.根据权利要求8的设备,其中入侵检测系统通过标识它将要与集群的其他成员共享的以及它期望从集群的一个或多个其他成员获取的数据订阅并成为集群的成员。
10.根据权利要求8所述的设备,其中所述处理执行模式匹配算法。
11.根据权利要求8所述的设备,其中所述处理执行数据挖掘算法。
12.根据权利要求8所述的设备,其中所述方法进一步包括在集群内分发所述给定的IP的声誉数据。
13.根据权利要求8所述的设备,其中本地事件信息包括以下任一种:活动的当前级别、活动的最后日期、活动的类型以及与活动关联的IP地址或URL。
14.根据权利要求8所述的设备,其中所述方法进一步包括:
从某一入侵检测系统对接收IP声誉数据的请求;
确定发出该请求的入侵检测系统是否为集群的成员;
如果发出该请求的入侵检测系统是集群的成员,那么提供IP声誉数据。
15.一种计算机可读介质,所述计算机可读介质容纳计算机程序指令,所述计算机程序指令由数据处理系统执行时执行在组织成集群的一组入侵检测系统中操作的方法,所述方法包括:
从集群的至少一些入侵检测系统接收IP声誉影响信息;
处理本地事件信息以及从集群的至少一个其他入侵检测系统接收的至少一些所述IP声誉影响信息;
基于所述处理,确定给定的IP声誉数据预示针对计算机网络的威胁;
其中IP声誉影响信息通过发布/订阅进行共享,并且通过“领导者”选举算法在组织进集群的该组入侵检测系统中选取集群的“领导者”以负责管理成员对集群的订阅,并且集群的各个入侵检测系统之间通过传播的通信机制彼此通信。
16.根据权利要求15的计算机可读介质,其中入侵检测系统通过标识它将要与集群的其他成员共享的以及它期望从集群的一个或多个其他成员获取的数据订阅并成为集群的成员。
17.根据权利要求15所述的计算机可读介质,其中所述处理执行模式匹配算法。
18.根据权利要求15所述的计算机可读介质,其中所述处理执行数据挖掘算法。
19.根据权利要求15所述的计算机可读介质,其中所述方法进一步包括在集群间分发所述给定的IP的声誉数据。
20.根据权利要求15所述的计算机可读介质,其中本地事件信息包括以下任一种:活动的当前级别、活动的最后日期、活动的类型以及与活动关联的IP地址或URL。
21.根据权利要求15所述的计算机可读介质,其中所述方法进一步包括:
从某一入侵检测系统接收IP声誉数据的请求;
确定发出该请求的入侵检测系统是否为集群的成员;
如果发出该请求的入侵检测系统是集群的成员,那么提供IP声誉数据。
22.入侵检测系统(IDS)设备,包括:
处理器,
容纳计算机程序指令的计算机存储器,所述计算机程序指令由处理器执行时执行一种方法,所述方法包括:
向IDS端点的集群订阅;
从集群的至少一些入侵检测系统接收IP声誉影响信息;
利用分析引擎处理本地事件信息以及从集群的至少一个其他入侵检测系统接收的至少一些所述IP声誉影响信息;
基于所述处理,确定给定的IP声誉数据预示针对计算机网络的威胁;
其中IP声誉影响信息通过发布/订阅进行共享,并且通过“领导者”选举算法在组织进集群的该组入侵检测系统中选取集群的“领导者”以负责管理成员对集群的订阅,并且集群的各个入侵检测系统之间通过传播的通信机制彼此通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/591,456 US8925082B2 (en) | 2012-08-22 | 2012-08-22 | Cooperative intrusion detection ecosystem for IP reputation-based security |
| US13/591,456 | 2012-08-22 | ||
| PCT/CA2013/050647 WO2014059534A1 (en) | 2012-10-15 | 2013-08-22 | Cooperative intrusion detection ecosystem for ip reputation-based security |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104756438A CN104756438A (zh) | 2015-07-01 |
| CN104756438B true CN104756438B (zh) | 2017-09-29 |
Family
ID=50149246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380043680.9A Active CN104756438B (zh) | 2012-08-22 | 2013-08-22 | 用于基于ip声誉安全的协作入侵检测生态系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8925082B2 (zh) |
| CN (1) | CN104756438B (zh) |
Families Citing this family (76)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8515912B2 (en) | 2010-07-15 | 2013-08-20 | Palantir Technologies, Inc. | Sharing and deconflicting data changes in a multimaster database system |
| EP2901612A4 (en) * | 2012-09-28 | 2016-06-15 | Level 3 Communications Llc | APPARATUS, SYSTEM AND METHOD FOR IDENTIFYING AND MITIGATING MALICIOUS THREATS ON A NETWORK |
| US9081975B2 (en) | 2012-10-22 | 2015-07-14 | Palantir Technologies, Inc. | Sharing information between nexuses that use different classification schemes for information access control |
| US9501761B2 (en) | 2012-11-05 | 2016-11-22 | Palantir Technologies, Inc. | System and method for sharing investigation results |
| US9965937B2 (en) | 2013-03-15 | 2018-05-08 | Palantir Technologies Inc. | External malware data item clustering and analysis |
| US8818892B1 (en) | 2013-03-15 | 2014-08-26 | Palantir Technologies, Inc. | Prioritizing data clusters with customizable scoring strategies |
| US9335897B2 (en) | 2013-08-08 | 2016-05-10 | Palantir Technologies Inc. | Long click display of a context menu |
| EP3050256B1 (en) * | 2013-09-29 | 2019-03-13 | McAfee, LLC | Threat intelligence on a data exchange layer |
| US10356032B2 (en) | 2013-12-26 | 2019-07-16 | Palantir Technologies Inc. | System and method for detecting confidential information emails |
| US9338013B2 (en) | 2013-12-30 | 2016-05-10 | Palantir Technologies Inc. | Verifiable redactable audit log |
| US8832832B1 (en) | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
| US9009827B1 (en) | 2014-02-20 | 2015-04-14 | Palantir Technologies Inc. | Security sharing system |
| US9619557B2 (en) | 2014-06-30 | 2017-04-11 | Palantir Technologies, Inc. | Systems and methods for key phrase characterization of documents |
| US9535974B1 (en) | 2014-06-30 | 2017-01-03 | Palantir Technologies Inc. | Systems and methods for identifying key phrase clusters within documents |
| US9202249B1 (en) | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
| US9785773B2 (en) | 2014-07-03 | 2017-10-10 | Palantir Technologies Inc. | Malware data item analysis |
| US9021260B1 (en) | 2014-07-03 | 2015-04-28 | Palantir Technologies Inc. | Malware data item analysis |
| US10572496B1 (en) | 2014-07-03 | 2020-02-25 | Palantir Technologies Inc. | Distributed workflow system and database with access controls for city resiliency |
| US9256664B2 (en) | 2014-07-03 | 2016-02-09 | Palantir Technologies Inc. | System and method for news events detection and visualization |
| US9419992B2 (en) | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
| EP3186921A1 (en) | 2014-08-28 | 2017-07-05 | Hewlett-Packard Enterprise Development LP | Distributed detection of malicious cloud actors |
| WO2016039643A1 (en) * | 2014-09-12 | 2016-03-17 | Pickles Samuel Geoffrey | A telecommunications defence system |
| US9043894B1 (en) | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
| US9367872B1 (en) | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
| US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US9648036B2 (en) | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US10372879B2 (en) | 2014-12-31 | 2019-08-06 | Palantir Technologies Inc. | Medical claims lead summary report generation |
| JP6528448B2 (ja) * | 2015-02-19 | 2019-06-12 | 富士通株式会社 | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム |
| US9509709B2 (en) | 2015-03-19 | 2016-11-29 | International Business Machines Corporation | Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history |
| CA2982107A1 (en) * | 2015-04-10 | 2016-10-13 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
| US10320813B1 (en) * | 2015-04-30 | 2019-06-11 | Amazon Technologies, Inc. | Threat detection and mitigation in a virtualized computing environment |
| US9407652B1 (en) | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
| US9456000B1 (en) | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
| US10489391B1 (en) | 2015-08-17 | 2019-11-26 | Palantir Technologies Inc. | Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface |
| US9537880B1 (en) | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
| US10102369B2 (en) | 2015-08-19 | 2018-10-16 | Palantir Technologies Inc. | Checkout system executable code monitoring, and user account compromise determination system |
| US10044745B1 (en) | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
| US9888039B2 (en) | 2015-12-28 | 2018-02-06 | Palantir Technologies Inc. | Network-based permissioning system |
| US9916465B1 (en) | 2015-12-29 | 2018-03-13 | Palantir Technologies Inc. | Systems and methods for automatic and customizable data minimization of electronic data stores |
| CN107154914B (zh) * | 2016-03-02 | 2020-12-04 | 中兴通讯股份有限公司 | 样本文件分析方法、装置及系统 |
| US10498711B1 (en) | 2016-05-20 | 2019-12-03 | Palantir Technologies Inc. | Providing a booting key to a remote system |
| US20170345112A1 (en) * | 2016-05-25 | 2017-11-30 | Tyco Fire & Security Gmbh | Dynamic Threat Analysis Engine for Mobile Users |
| US10084802B1 (en) | 2016-06-21 | 2018-09-25 | Palantir Technologies Inc. | Supervisory control and data acquisition |
| US10291637B1 (en) | 2016-07-05 | 2019-05-14 | Palantir Technologies Inc. | Network anomaly detection and profiling |
| US10698927B1 (en) | 2016-08-30 | 2020-06-30 | Palantir Technologies Inc. | Multiple sensor session and log information compression and correlation system |
| US10728262B1 (en) | 2016-12-21 | 2020-07-28 | Palantir Technologies Inc. | Context-aware network-based malicious activity warning systems |
| CN108234426B (zh) * | 2016-12-21 | 2021-08-03 | 中国移动通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
| US10721262B2 (en) | 2016-12-28 | 2020-07-21 | Palantir Technologies Inc. | Resource-centric network cyber attack warning system |
| US10754872B2 (en) | 2016-12-28 | 2020-08-25 | Palantir Technologies Inc. | Automatically executing tasks and configuring access control lists in a data transformation system |
| US10027551B1 (en) | 2017-06-29 | 2018-07-17 | Palantir Technologies, Inc. | Access controls through node-based effective policy identifiers |
| US10963465B1 (en) | 2017-08-25 | 2021-03-30 | Palantir Technologies Inc. | Rapid importation of data including temporally tracked object recognition |
| US10984427B1 (en) | 2017-09-13 | 2021-04-20 | Palantir Technologies Inc. | Approaches for analyzing entity relationships |
| US10079832B1 (en) | 2017-10-18 | 2018-09-18 | Palantir Technologies Inc. | Controlling user creation of data resources on a data processing platform |
| GB201716170D0 (en) | 2017-10-04 | 2017-11-15 | Palantir Technologies Inc | Controlling user creation of data resources on a data processing platform |
| US10250401B1 (en) | 2017-11-29 | 2019-04-02 | Palantir Technologies Inc. | Systems and methods for providing category-sensitive chat channels |
| US11133925B2 (en) | 2017-12-07 | 2021-09-28 | Palantir Technologies Inc. | Selective access to encrypted logs |
| US10142349B1 (en) | 2018-02-22 | 2018-11-27 | Palantir Technologies Inc. | Verifying network-based permissioning rights |
| CN108363740B (zh) * | 2018-01-22 | 2020-09-04 | 中国平安人寿保险股份有限公司 | Ip地址的分析方法、装置、存储介质及终端 |
| US10878051B1 (en) | 2018-03-30 | 2020-12-29 | Palantir Technologies Inc. | Mapping device identifiers |
| EP4290400A3 (en) | 2018-04-03 | 2024-03-06 | Palantir Technologies Inc. | Controlling access to computer resources |
| US11431745B2 (en) | 2018-04-30 | 2022-08-30 | Microsoft Technology Licensing, Llc | Techniques for curating threat intelligence data |
| US10949400B2 (en) | 2018-05-09 | 2021-03-16 | Palantir Technologies Inc. | Systems and methods for tamper-resistant activity logging |
| US11244063B2 (en) | 2018-06-11 | 2022-02-08 | Palantir Technologies Inc. | Row-level and column-level policy service |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
| US11397832B2 (en) * | 2018-12-04 | 2022-07-26 | Dhiraj Sharan | Virtual data lake system created with browser-based decentralized data access and analysis |
| US10846342B2 (en) * | 2018-12-04 | 2020-11-24 | Dhiraj Sharan | Artificial intelligence-assisted information technology data management and natural language playbook system |
| EP3694173B1 (en) | 2019-02-08 | 2022-09-21 | Palantir Technologies Inc. | Isolating applications associated with multiple tenants within a computing platform |
| EP3697117B1 (en) * | 2019-02-12 | 2023-03-29 | Telefónica Cybersecurity & Cloud Tech, S.L.U. | Method and system for controlling internet browsing user security |
| US11704441B2 (en) | 2019-09-03 | 2023-07-18 | Palantir Technologies Inc. | Charter-based access controls for managing computer resources |
| US10761889B1 (en) | 2019-09-18 | 2020-09-01 | Palantir Technologies Inc. | Systems and methods for autoscaling instance groups of computing platforms |
| CN110995714B (zh) * | 2019-12-06 | 2022-07-26 | 杭州安恒信息技术股份有限公司 | 一种检测对Web站点的团伙攻击的方法、装置及介质 |
| CN111541702B (zh) * | 2020-04-27 | 2023-04-07 | 北京天际友盟信息技术有限公司 | 网络威胁安全检测方法及装置 |
| US11269978B2 (en) | 2020-05-07 | 2022-03-08 | Microsoft Technology Licensing, Llc | Detection of slow brute force attacks based on user-level time series analysis |
| CN111741021B (zh) * | 2020-08-03 | 2020-11-24 | 北京翼鸥教育科技有限公司 | 一种cc攻击接入服务集群的检测防护系统 |
| CN112491869A (zh) * | 2020-11-25 | 2021-03-12 | 上海七牛信息技术有限公司 | 一种基于ip信誉度的应用层ddos攻击的检测防护方法及系统 |
| CN113904881B (zh) * | 2021-12-13 | 2022-03-04 | 北京金睛云华科技有限公司 | 一种入侵检测规则误报处理方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1746916A (zh) * | 2005-10-25 | 2006-03-15 | 二六三网络通信股份有限公司 | 网络ip地址信誉度评估方法及其在电子邮件系统中的应用 |
| CN103037339A (zh) * | 2012-12-28 | 2013-04-10 | 深圳市彩讯科技有限公司 | 一种基于“用户信誉度和短信垃圾度”的短信息过滤方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7574740B1 (en) | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
| FI20010552A0 (fi) * | 2001-03-19 | 2001-03-19 | Stonesoft Oy | Tilatietojen käsittely verkkoelementtiklusterissa |
| US7845004B2 (en) | 2001-07-27 | 2010-11-30 | International Business Machines Corporation | Correlating network information and intrusion information to find the entry point of an attack upon a protected computer |
| US7308714B2 (en) | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
| WO2003029934A1 (en) | 2001-09-28 | 2003-04-10 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
| US7941855B2 (en) | 2003-04-14 | 2011-05-10 | New Mexico Technical Research Foundation | Computationally intelligent agents for distributed intrusion detection system and method of practicing same |
| US7464158B2 (en) | 2003-10-15 | 2008-12-09 | International Business Machines Corporation | Secure initialization of intrusion detection system |
| TWI331868B (en) * | 2007-06-11 | 2010-10-11 | Univ Nat Pingtung Sci & Tech | Detecting method of network invasion |
| US20100235915A1 (en) * | 2009-03-12 | 2010-09-16 | Nasir Memon | Using host symptoms, host roles, and/or host reputation for detection of host infection |
| US7890627B1 (en) * | 2009-09-02 | 2011-02-15 | Sophos Plc | Hierarchical statistical model of internet reputation |
| US9054990B2 (en) * | 2009-10-30 | 2015-06-09 | Iii Holdings 2, Llc | System and method for data center security enhancements leveraging server SOCs or server fabrics |
| US8424091B1 (en) * | 2010-01-12 | 2013-04-16 | Trend Micro Incorporated | Automatic local detection of computer security threats |
| US9106689B2 (en) * | 2011-05-06 | 2015-08-11 | Lockheed Martin Corporation | Intrusion detection using MDL clustering |
| US8549612B2 (en) * | 2011-11-28 | 2013-10-01 | Dell Products, Lp | System and method for incorporating quality-of-service and reputation in an intrusion detection and prevention system |
| US8850588B2 (en) * | 2012-05-01 | 2014-09-30 | Taasera, Inc. | Systems and methods for providing mobile security based on dynamic attestation |
-
2012
- 2012-08-22 US US13/591,456 patent/US8925082B2/en active Active
-
2013
- 2013-08-22 CN CN201380043680.9A patent/CN104756438B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1746916A (zh) * | 2005-10-25 | 2006-03-15 | 二六三网络通信股份有限公司 | 网络ip地址信誉度评估方法及其在电子邮件系统中的应用 |
| CN103037339A (zh) * | 2012-12-28 | 2013-04-10 | 深圳市彩讯科技有限公司 | 一种基于“用户信誉度和短信垃圾度”的短信息过滤方法 |
Non-Patent Citations (5)
| Title |
|---|
| Policy-controlled Event Management for Distributed Intrusion Detection;Christian Kreibich;《25th IEEE International Conference on Distributed Computing Systems Workshops》;IEEE;20050620;第6栏第4.1小节第36-41行 * |
| Reputation-based Intrusion Detection System for wireless sensor networks;Keldor Gerrigagoitia;《Complexity in Engineering(COMPENG)》;20120719;第4栏第IV小节第32-39行、第46-49行,第5栏第5-9行,图1 * |
| Reputation-based Intrusion Detection System for wireless sensor networks;Keldor Gerrigagoitia;《Complexity in Engineering(COMPENG)》;IEEE;20120719;第4栏第IV小节第32-39行、第46-49行,第5栏第5-9行,图1 * |
| 数据挖掘方法在网络入侵检测中的应用;章金熔;《数据挖掘方法在网络入侵检测中的应用》;20091231;第30卷(第24期);全文 * |
| 网络入侵检测系统中的模式匹配算法优化研究;陈牮华;《网络入侵检测系统中的模式匹配算法优化研究》;20110228;第28卷(第2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104756438A (zh) | 2015-07-01 |
| US8925082B2 (en) | 2014-12-30 |
| US20140059683A1 (en) | 2014-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104756438B (zh) | 用于基于ip声誉安全的协作入侵检测生态系统 | |
| US11323484B2 (en) | Privilege assurance of enterprise computer network environments | |
| WO2014059534A1 (en) | Cooperative intrusion detection ecosystem for ip reputation-based security | |
| US11799900B2 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| Vasilomanolakis et al. | Taxonomy and survey of collaborative intrusion detection | |
| US20190251260A1 (en) | Cyber security using one or more models trained on a normal behavior | |
| Zhao et al. | Botgraph: large scale spamming botnet detection. | |
| US20160164893A1 (en) | Event management systems | |
| Lodi et al. | An event-based platform for collaborative threats detection and monitoring | |
| Ficco et al. | Intrusion detection in cloud computing | |
| Huang et al. | BPS: A reliable and efficient pub/sub communication model with blockchain-enhanced paradigm in multi-tenant edge cloud | |
| Coppolino et al. | A framework for mastering heterogeneity in multi-layer security information and event correlation | |
| Pon et al. | Blockchain based cloud service security architecture with distributed machine learning for smart device traffic record transaction | |
| Ficco et al. | Intrusion detection in federated clouds | |
| MacDermott et al. | Considering an elastic scaling model for cloud security | |
| Iyengar et al. | Chaotic theory based defensive mechanism against distributed denial of service attack in cloud computing environment | |
| Dauda et al. | Big data analytics architecture for security intelligence | |
| Wang et al. | A prediction model of insider threat based on multi-agent | |
| Shah et al. | Security measurement in industrial IoT with cloud computing perspective: taxonomy, issues, and future directions | |
| Qusa et al. | Secure collaborative processing architecture for mitb attack detection | |
| MacDermott et al. | Detecting intrusions in federated cloud environments using security as a service | |
| Baldoni et al. | Data dissemination supporting complex event pattern detection | |
| Beretas | Governments Failure on Global Digital Geopolitical Strategy | |
| Lodi et al. | Trust management in monitoring financial critical information infrastructures | |
| Baldoni et al. | Data Dissemination supporting collaborative complex event processing: characteristics and open issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |