CN105009137B - 定向安全警告 - Google Patents
定向安全警告 Download PDFInfo
- Publication number
- CN105009137B CN105009137B CN201380072035.XA CN201380072035A CN105009137B CN 105009137 B CN105009137 B CN 105009137B CN 201380072035 A CN201380072035 A CN 201380072035A CN 105009137 B CN105009137 B CN 105009137B
- Authority
- CN
- China
- Prior art keywords
- participant
- cluster
- instruction
- threat
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
提供定向安全警告可包括从威胁交换社区中的多个参与者收集参与者数据,利用威胁交换服务器使用所收集的参与者数据计算威胁交换社区中的多个参与者中的一参与者的威胁相关分,并且经由威胁交换社区中的通信链路,基于计算的威胁相关分,从威胁交换服务器向该参与者提供定向安全警告。
Description
背景技术
实体可维护具有到互联网的一个或多个连接的内部网络。内部网络包括由通信链路连接的多个资源,并且可用于连接人们、经由互联网内部地和外部地提供服务和/或组织信息以及与实体关联的其他活动。网络上的资源可能容易受到安全攻击,其起源于内部网络中或互联网上。安全攻击可包括尝试破坏、修改、禁用、窃取和/或获取对资产(例如,资源、数据和信息)使用的未授权访问。多个实体可能容易受到并且会遭受到公共安全攻击。
附图图示
图1图示了根据本公开的用于提供定向安全警告的环境的示例的流程图。
图2图示了根据本公开的用于提供定向安全警告的方法的示例的框图。
图3图示了根据本公开的将威胁交换社区中的参与者分组成集群用于提供定向安全警告的示例的流程图。
图4图示了根据本公开的系统的示例的框图。
具体实施方式
实体可通过识别其网络中的脆弱性来设法避免安全攻击。脆弱性可包括网络设计、实现、操作和/或管理中可被开发以违反网络安全策略的缺陷和/或弱点(例如,可能通过对实体资产的未授权访问、破坏、公开和/或修改而对网络有不利影响的情形和/或事件(event))。开发可包括借脆弱性之机导致不希望的和/或不可预料的行为的计算机可读指令、数据和/或命令序列。安全攻击可包括针对脆弱性的开发的使用和/或尝试使用。为避免后续安全攻击,实体可执行调查(例如,司法调查),以确定在安全攻击期间哪种开发针对哪种脆弱性被使用。
对实体来说,识别对与实体关联的网络、由实体持有的信息和/或由实体管理的资源(例如,计算设备、存储器资源、处理资源)的当前安全威胁可能是有利的。安全威胁可包括指示即将发生安全攻击的可能性的信息。该信息可包括指示脆弱性和/或开发的信息,和/或攻击已针对另一实体发生的信息,以及其它信息。
实体面临对其信息技术(IT)基础设施的越来越高级、专业、有组织并且受到良好资助的安全攻击。通过快速并准确地检测、识别和/或对付安全威胁,实体可减轻这些安全攻击的影响。然而,实体可能发现,凭借自身来快速并准确地检测、识别和/或对付安全威胁越来越困难。目前实体可通过访问多个威胁情报源来识别安全威胁。然而,威胁情报源可能提供大量信息,并且可导致安全威胁的泛滥。安全威胁可导致假阳性安全警告,其会花费人力资源来分析并解决。鼓励实体共享关于安全威胁的信息可改进检测新兴威胁的速度和/或精确度。
根据本公开的示例,实体可参加威胁交换社区以识别安全威胁。例如,威胁交换社区可包括一组计算系统,其经由通信链路交换关于信息技术(IT)基础设施(例如,系统和服务)的信息(例如,数据)。计算系统可被称为威胁交换社区的参与者。在某些实现中,包括和/或控制计算系统的实体可以也被称为威胁交换社区的参与者。
例如,参与者包括一组实体中每个实体的IT基础设施内的参与者服务器或参与者服务器组。每个参与者服务器(或每个参与者服务器组)可将与包括该参与者服务器的IT基础设施内或IT基础设施处的动作有关的信息提供至威胁交换服务器。威胁交换服务器可分析由每个参与者服务器提供的信息以识别威胁交换社区中的安全事务(occurrence),并且将关于安全事务的定向安全警告提供至参与者服务器。如本文所使用的安全事务可包括影响威胁交换服务器的动作的变量和信息(例如,数据)。例如,影响动作的这种安全事务可包括利用参与者提供的信息识别的用于描述安全背景、安全攻击、安全威胁、可疑事件、脆弱性、开发、警告、事故(incident)和/或其他相关事件的信息。
在某些示例中,以点对点体系结构通信的参与者服务器以及威胁交换服务器或其功能,分布于参与者服务器或参与者服务器的子集中。即,在某些示例中,威胁交换社区不包括集中式威胁交换服务器。相反,威胁交换服务器以参与者服务器组实现。
如本文所使用的,定向安全警告可包括参与者处于遭受攻击(例如,安全攻击)的风险中的通知。在某些实例中,这种通知可以是由特定攻击者利用针对特定脆弱性的特定开发。因为定向安全警告取决于由参与者提供的安全数据,因此参与者可基于所提供的安全数据的量和/或细节接收定向安全警告。由此,根据本公开的示例的安全威胁交换社区可防止参与者接收警告而不提供数据和/或提供有限数据,通常称为“自由骑手”。
进一步,在本公开的多种示例中,参与者可分组为多个集群。多个集群可基于参与者提供的特性数据(例如,基础设施、规模、产业)、安全数据(例如,主机名、网际协议(IP)地址、补丁级别)和/或所识别的公共安全事务模式(例如,公共安全攻击、事件以及在参与者之间识别的事故)而动态地形成。集群可用于针对威胁交换社区中的各参与者计算威胁相关分(如本文进一步讨论的)。
系统、方法和计算机可读可执行指令被提供用于提供定向安全警告。提供定向安全警告可包括从威胁交换社区中的多个参与者收集参与者数据,利用威胁交换服务器使用所收集的参与者数据计算多个参与者中一参与者的威胁相关分,以及经由威胁交换社区中的通信链路基于所计算的威胁相关分从威胁交换服务器向该参与者提供定向安全警告。
在本公开如下详细描述中,参考形成其一部分的附图,附图中以图示的形式示出本公开的示例如何被实现。这些示例被足够详细地描述以使本领域普通技术人员能够实现本公开的示例,并且应当理解,其他示例可被使用,并可做出过程的、电气的和/或结构上的变化,而不偏离本公开的范围。
本文的附图遵循以下编号惯例:其中第一数字对应于附图号而剩余数字标识附图中的元素或组件。不同的图之间相似的元素或组件可通过使用相似数字来标识。例如,102可引用图1的元素“02”,而在图3中相似元素可引用为302。如将被理解,本文多种示例中示出的元素可被增加、替换和/或消除,以提供本公开的多个附加的示例。
此外,如将被理解,图中提供的元素的比例和相对尺度意图图示本公开的示例,并且不应理解为限制意义。如本文所使用的,在附图中特别结合附图标记的指示符“N”、“K”和“L”指示多个如此指示的特定特征可与本公开的多个示例一起包括。并且,如本文所使用的“多个”元素和/或特征可指代一个或多个这种元素和/或特征。
图1图示了根据本公开的用于提供定向安全警告的环境100的示例的流程图。环境100可包括威胁交换社区。威胁交换社区可包括连接至威胁交换服务器102的多个参与者110-1,110-2,...,110-N。
图1的示例中图示的箭头(例如,112-1,112-2,112-N,114-1,114-2,114-N)图示了威胁交换服务器102和多个参与者110-1,...,110-N之间的通信。箭头所图示的通信可包括威胁交换社区中的通信链路。如本文所使用的通信链路可包括网络连接,诸如逻辑和/或物理连接。提供从参与者110-1,...,110-N到威胁交换服务器102的通信的通信链路(例如,由112-1,112-2,...,112-N所图示的)可与提供从威胁交换服务器102到参与者110-1,...,110-N的通信的通信链路(例如,由114-1,114-2,...,114-N所图示)相同和/或不同。
多个参与者110-1,...,110-N可提供参与者数据至威胁交换服务器102(例如,如由从参与者110-1,...,110-N到威胁交换服务器102的箭头112-1,...,112-N所图示)。参与者数据可包括安全数据和/或特性数据。如本文所使用的安全数据可包括安全相关信息(例如,IP地址、主机名、补丁级别、个人可识别信息、参与者特定安全信息等)。例如,安全数据可包括描述安全事务的信息。如本文所使用的安全事务可包括影响威胁交换服务器的动作的变量和信息(例如,数据)。例如,影响动作的这种安全事务可包括利用参与者提供的信息(例如,参与者数据)识别的、描述安全背景、安全攻击、安全威胁、可疑事件、脆弱性、开发、警告、事故和/或其他相关事件的信息。
特性数据可包括与参与者相关的数据,如基础设施数据、产业部门标识和/或实体的规模。在多个示例中,特性数据可包括历史安全数据,其标识由参与者识别的先前的安全事务。
如本文所使用的事件(或安全事件)可包括对已发生的事情的描述。事件可用于描述发生的事情和对发生的事情的描述。例如,事件可包括信息,诸如与事件关联的日志中的记录。事件的示例包括“Alice登入IP地址10.1.1.1的机器”,“IP地址192.168.10.1的机器传输4.2G字节的数据至IP地址8.1.34.2的机器”,“邮件消息在下午2:38从fred@ flinstones.com发送至bettv@rubble.com”或"JohnSmith在下午8:30使用他的标记卡打开3号楼5门”。事件可包含多个详细数据,并且可以以计算机可读的方式格式化(例如逗号隔开的字段)。在某些示例中,事件不对应于与安全明显相关的任何事物。例如,事件可为良性。
事故(或安全事故)可为表示安全攻击已发生和/或当前正在发生的可能性的信息。不同于关于未来的安全威胁,事故关于过去和现在。事故可包括错误播放、检测开发活动的系统触发的警告和/或可疑或反常活动的证据。事故可被调查以确定安全攻击是否实际发生(在多种情况下事故可为假阳性)以及根本原因是什么(即哪种脆弱性和开发被使用)。
如本文所使用的警告(或安全警告)可包括指示攻击可能性的事件。例如,参与者(例如,110-1,...,110-N)的入侵检测系统和/或威胁交换服务器102可查找已知可疑的行为并生成该效果的事件。这种事件(例如,警告)可具有与其关联的优先级,以表示其有多大可能成为安全攻击和/或所观察的行为有多危险。
安全背景可包括描述关于参与者的信息(例如,参与者特性数据)、安全事务的总体威胁级别、关于独立的或本地威胁环境的信息、关于威胁交换社区的全局威胁环境(例如,增加的特定类型的活动)的信息和/或其他有用信息。换句话说,安全背景描述和/或是威胁交换社区中的安全相关状况。作为示例,安全背景可描述或图示威胁交换社区中的安全威胁级别、威胁交换社区中安全攻击和/或安全威胁的定性评估、威胁交换社区中的活动和/或事件、威胁交换社区中的IT基础设施、威胁交换社区中的事故、由威胁交换服务器提供的信息、由威胁交换社区参与者收集的信息和/或其他安全相关信息。作为特定示例,安全背景可由威胁交换社区中的安全事务定义。即,参与者或威胁交换社区的安全背景可基于威胁交换社区中识别的安全事务来确定。
在某些示例中,特性数据可从多个参与者110-1,...,110-N收集,作为注册过程的一部分。例如,参与者110-1,...,110-N可注册威胁交换服务器1-2并提供特性数据。特性数据可随时间更新,然而也可不经常变化。
在本公开的多种示例中,威胁交换服务器102及其功能可以是参与者110-1,...,110-N的一部分,和/或可以作为服务(例如,威胁交换服务)被提供给参与者110-1,...,110-N。如本文所使用的服务可包括提供至用户的无形的商品。例如,提供的服务可包括计算资源(例如,存储、存储器、处理资源)和/或计算机可读指令(例如,程序)。
如本文所使用的威胁交换服务器102可包括被设计和/或指定为提供多个威胁交换功能的计算机硬件组件(例如,物理服务器、处理资源、存储器资源)和/或计算机可读指令组件。如图1的示例所图示的威胁交换服务器102可包括和/或访问事故数据库104、参与者数据库106和/或其他威胁情报数据库108。如图1的示例所图示的环境100图示了单个威胁交换服务器102。然而,根据本公开的示例不限于此。在多种示例中,威胁交换服务器可包括多个威胁交换服务器。
如本文所使用的数据库可包括结构化数据集合。事故数据库104可为包含威胁交换社区的当前和历史安全事务(例如,由参与者110-1,...,110-N报告的)的数据库。当前安全事务可包括未解决的安全事务(例如,安全攻击和安全事故)。历史安全事务可包括已被解决和/或不再考虑为当前安全事务的安全事务。
参与者数据库106可为包含参与者提供的特性数据的数据库。如本文所使用的特性数据可包括IT系统信息、产业部门信息和/或基础设施信息(例如,硬件和/或程序指令信息),以及与参与者110-1,...,110-N中的每一个相关的其它数据。例如,特性数据可包括关于在参与者的基础设施内运行的软件的信息,诸如应用名、应用版本和/或操作系统补丁级别。
威胁交换服务器102在多种示例中可包括另一威胁情报数据库108。另一威胁情报数据库108可为包含外部和内部威胁情报的数据库。例如,威胁情报可包括安全攻击的标识和/或症状。
威胁交换服务器102可将来自多个参与者110-1,...,110-N的进入的安全数据与事故数据库104、参与者数据库106和/或其他威胁情报数据库108相比较,以向参与者110-1,...,110-N提供定向安全警告116-1,116-2,...,116-N。安全数据可包括实时和/或近实时安全事件、背景和/或事故。
在本公开的某些示例中,参与者提供数据可由参与者110-1,...,110-N提供为自由形式文本的事故描述。语义文本处理工具,诸如智能数据操作层(IDOL)服务器,可用于确定不同的自由形式事故描述的相似性。这可帮助确定哪一个参与者110-1,...,110-N提交了相似的事故和/或事件数据。
例如,威胁交换服务器102可利用所收集的参与者数据计算多个参与者110-1,...,110-N中的一参与者(例如,特定参与者110-2)的威胁相关分。如本文所使用的威胁相关分可包括标识安全事务与特定参与者的相关性的分数(例如,参与者有多大可能要经历安全事务,这种分数可能对参与者的影响,或在相对于可能影响参与者的其他安全事务的相关性方面安全事务的等级和/或其组合)。威胁相关分可与特定安全事务相关。在某些示例中,威胁相关分可包括概率。例如,威胁相关分可包括安全事务(例如,安全攻击)与参与者110-2相关的统计概率。在多种实例中,安全事务可与威胁交换社区中的参与者(例如,第一参与者110-1)相关联。例如,如果参与者具有已验证的安全攻击和/或正经历可疑行为和/或事件,则安全事务可与该参与者相关联。
例如,所收集的用于计算威胁相关分的参与者数据可包括总的收集的参与者数据的子集。子集可包括收集自参与者(例如,特定参与者110-2)和集群中的参与者的参与者数据。参与者110-1,...,110-N可例如基于参与者提供数据分组为多个集群。集群的分组可基于从参与者提供数据中识别的相似的行为。
威胁相关分可例如通过比较参与者110-2与参与者集群而计算。例如,集群可具有验证的安全攻击。如果参与者110-2属于(例如,分组在)具有验证的安全攻击的集群,则定向安全警告可提供至参与者110-2。如果参与者110-2不属于具有验证的安全攻击的集群,则参与者110-2的特性数据和/或安全数据可与该集群的特性数据和/或安全数据相比较,以确定参与者与集群的相似性,并计算威胁相关分(如本文进一步讨论的)。
针对每一个参与者110-1,...,110-N计算威胁相关分可包括多种技术以测量参与者110-1,...,110-N的相似性。例如,威胁交换服务器102可将来自剩余参与者的进入的安全数据与具有验证的安全攻击的参与者的集群进行比较。相似性可包括例如来自入侵检测系统(IDS)、数据库访问异常和/或相关IP地址的相似事件。
在某些示例中,针对参与者110-1,...,110-N计算威胁相关分可包括对每一个参与者110-1,...,110-N处的安全事务进行统计建模,并计算遇到特定事件的条件概率(例如,特定参与者将被针对脆弱性的开发所攻击的概率)。提供至威胁交换服务器102的进入的安全数据可与参与者提供的特性数据(例如,参与者数据库106中的数据)相比较和/或与其他威胁情报数据(例如,其他威胁情报数据库108中的数据)相比较。
尽管本示例图示了计算概率,但根据本公开的示例计算威胁相关分不限于此。威胁相关分可在这种概率未知的情况下被计算。例如,在多种示例中,计算威胁相关分可包括基于参与者数据识别(例如,确定)安全事务与参与者的相关性。在多种示例中,相关性可包括参与者将经历安全事务的总体可能性、其对参与者的影响或相对于其他安全事务的等级和/或其组合。在某些实例中,这种计算可不包括数字概率分。例如,可能已知安全攻击A比安全攻击B更有可能对参与者1(例如,110-1)发生。利用该总体知识,可针对安全攻击A向参与者1提供具有比针对安全攻击B向参与者1提供的定向安全警告更高分数的定向安全警告。
在多种示例中,计算威胁相关分可包括考虑安全背景以识别威胁级别(例如,安全事件的严重性)。例如,安全背景可包括描述关于参与者的信息、安全事务总体威胁级别、关于威胁交换社区的全局威胁环境的信息(例如,增加的特定类型的活动)和/或其他有用信息。将特性数据与进入的安全数据和/或安全背景进行比较可用于确定安全事务对每一个参与者(例如,110-1,...,110-N)有多关键。例如,根据参与者所利用的硬件和/或计算机可读指令组件,安全事件可对第二参与者110-2而言比第三参与者110-N受到更大的关注。
例如,假设第一参与者110-1具有验证的安全攻击。与第一参与者110-1关联的安全攻击的严重性可被识别并用于计算剩余参与者110-2,...,110-N的威胁相关分。在多种示例中,与第一参与者110-1关联的安全事务的严重性可基于由参与者集群提供的安全背景来识别和/或确定。参与者集群可包括第一参与者110-1(例如,第一参与者110-1所属的参与者集群)。
作为另一示例,假设参与者集群具有已识别的安全攻击A,并且由该集群提供的安全背景识别出安全攻击A导致1,000美元的损失。假设该参与者集群还具有识别的安全攻击B,并且由该集群提供的安全背景识别出安全攻击B导致1百万美元的损失。基于安全背景(例如,由安全攻击A导致的1,000美元损失以及由安全攻击B导致的1百万美元损失),具有计算的50%的安全攻击A发生概率和10%的安全攻击B发生概率的参与者(例如,特定参与者110-1)的威胁相关分可针对安全攻击B具有比安全攻击A更高的威胁相关分。即,安全背景可影响威胁相关分。
在某些示例中,定向安全警告可基于所识别的与威胁交换社区中的特定参与者关联的安全事务来计算。例如,基于提供自第一参与者110-1的安全数据,与第一参与者110-1关联的安全事务(例如,安全攻击、安全事故和可疑事件)可被识别。与参与者关联的安全事务可包括影响参与者和/或由参与者经历的安全事务。识别安全事务可包括识别安全事务的特点。如本文所使用的安全事务的特点可包括识别的安全攻击的症状、识别的与安全事故关联的脆弱性和/或开发和/或安全事件,以及其它信息。例如,安全攻击的症状可包括与安全攻击关联的多个动作和/或事件的模式。
所识别的特点可用于对每个剩余参与者计算安全事务的威胁相关分。例如,第二参与者110-2的威胁相关分可利用由威胁交换社区的第二参与者110-2和/或多个附加参与者提供的安全数据计算。例如,威胁相关分可包括分数、概率和/或等级,其基于触发安全事务的识别的特点(例如症状、脆弱性、开发和事件)之间的相似性和由每个参与者110-1,...,110-N提供的安全数据,针对每个参与者来计算。
利用所计算的威胁相关分,定向安全警告116-1,...,116-N可被提供至每个参与者110-1,...,110-N。例如,在某些示例中,定向安全警告116-1,...,116-N可响应于所计算的威胁相关分大于(例如,超出)阈值分数而提供。如本文所使用的定向安全警告可包括基于特定参与者的行为和/或信息(例如,提供的安全数据和/或特性数据)而生成的警告(例如,指示攻击可能性的事件)。阈值分数可包括预定数字值。例如,阈值分数可以是参与者可配置的。
在某些示例中,威胁相关分可包括数字分数(例如,0到1)和/或一般级别。一般级别可包括预定分类,诸如“高”、“中”、和“低”和/或“红”、“黄”、“绿”,以及其它分类。分类可包括由威胁交换社区和/或参与者110-1,...,110-N基于威胁相关分而设置的预定分类。
在本公开的多种示例中,定向安全警告116-1,...,116-N可以是参与者可配置的。例如,参与者可预先确定所计算的威胁相关分如何用于提供定向安全警告116-1,...,116-N。配置可包括预定阈值分数、预定分类和/或如何提供定向安全警告的指示。
例如,第一参与者110-1可配置阈值分数为90%,由此响应于所计算的威胁相关分大于90%,定向安全警告116-1可提供至第一参与者110-1。尽管本示例图示了参与者配置阈值,但根据本公开的示例不限于此。在多种示例中,威胁交换服务器102的操作者可配置定向安全警告116-1,...,116-N的阈值和/或设置。
提供定向安全警告至威胁交换社区中的参与者110-1,...,110-N可帮助参与者110-1,...,110-N将人力资源分配至安全威胁。参与者110-1,...,110-N可基于提供的定向安全警告识别最相关的安全事务,并相应地专用人力资源。进一步,因为提供至参与者的定向安全警告基于由参与者提供的安全数据,所以定向安全警告可通过鼓励参与者提供安全数据来帮助防止环境100中的自由骑手(例如,不提供安全数据和/或提供有限安全数据的参与者)。
图2图示了根据本公开的用于提供定向安全警告的方法220的示例的框图。方法220可用于提供安全警告至威胁交换社区中与相关安全事务关联的多个参与者中的每一个。
在222,方法220可包括从威胁交换社区中的多个参与者收集参与者数据。参与者数据可包括特性数据和安全数据。例如,多个参与者可提供特性数据至威胁交换服务器,作为注册过程的一部分。在多种示例中可连续地从多个参与者收集安全数据。参与者数据可经由威胁交换社区中的通信链路从多个参与者收集至威胁交换服务器。
在224,方法220可包括利用威胁交换服务器使用收集的参与者数据计算多个参与者中一参与者的威胁相关分。在多种示例中,计算威胁相关分可包括基于参与者数据确定安全事务与参与者的相关性(例如,参与者有多大可能要经历安全事务,这种分数可能对参与者的影响,或在相对于可能影响参与者的其他安全事务的相关性方面安全事务的等级和/或其组合)。
在本公开多种示例中,计算威胁相关分可包括基于参与者数据的子集对安全事务与该参与者相关的概率进行统计建模。如本文所使用的参与者提供数据的子集可包括由该参与者提供的参与者数据以及由参与者集群提供的参与者数据。例如,对安全事务与该参与者相关的概率进行统计建模可包括对该参与者将受针对脆弱性的开发所攻击的概率进行建模。
在226,方法220可包括经由威胁交换社区中的通信链路,基于所计算的威胁相关分,从威胁交换服务器向该参与者提供定向安全警告。如本文所使用的定向安全警告可包括指示安全攻击的可能性的事件。在某些示例中,定向安全警告可包括支持证据。支持证据可包括与安全事务相关联的信息和/或所计算的威胁相关分。支持证据的示例可包括开发的标识、脆弱性的标识和/或安全事务的标识,以及其它信息。
提供定向安全警告可包括发送定向安全警告至该参与者和/或存储定向安全警告。定向安全警告可存储在已知和/或预定的位置,诸如统一资源定位符(URL),其中参与者可访问定向安全警告。在这种实例中,提供定向安全警告可包括发送指示定向安全警告可用的消息(例如,电子邮件和/或其他文本消息)至参与者。在多种示例中,定向安全警告可响应于所计算的分数大于(例如,超过)阈值分数而发送至参与者。
图3图示了根据本公开将威胁交换社区330中的参与者310-1,310-2,310-3,310-4,310-5,310-6,...,310-L分组成集群332-1,332-2,...,332-K的示例的框图。将参与者310-1,...,310-L分组成集群332-1,...,332-K可用于计算威胁交换社区330中的参与者的威胁相关分。
如图3的示例所图示的集群332-1,…,332-K可利用威胁交换服务器302形成。在多种示例中,如图3所图示的威胁交换服务器302可包括如图1所图示的威胁交换服务器102。如图3的示例所图示的箭头334-1,334-2,...,334-K可包括威胁交换社区中的通信链路330。
如本文所使用的参与者310-1,...,310-L的集群332-1,...,332-K可包括威胁交换社区330中多个参与者310-1,...,310-L中的参与者子组。威胁交换社区330中的参与者310-1,...,310-L可基于不同的参与者特性而经历不同的安全事务。例如,金融业中的参与者可看到与金融业的其他参与者相似的安全事务。作为另一示例,具有公共IT基础设施的参与者可经历相似的安全事务。
在多种示例中,参与者310-1,...,310-L可基于所提供的特性数据和/或安全数据被分组为集群332-1,...,332-K。例如,安全数据可利用威胁交换服务器302从威胁交换社区330中的多个参与者310-1,...,310-L连续地收集。例如,安全数据可包括IP地址、主机名、计算机可读指令(例如,程序)标识符和补丁级别,以及其它数据。
集群332-1,...,332-K可利用多种聚类技术形成。例如,集群可利用聚类函数(例如,算法)形成。使用的特定聚类函数可基于所提供的特性数据和/或安全数据的细节而选择。例如,如果特性数据和/或安全数据包括数字值,则使用的聚类函数可包括距离函数。如果特性数据和/或安全数据包括类别,则其他聚类函数可被使用。聚类函数可为分层的或非分层的。示例聚类函数可包括k均值聚类函数,其将n个观测值划分为k个集群,其中每个观测值属于具有最近均值的集群。
集群332-1,...,332-K可基于特性数据、安全数据和/或其组合形成。利用特性数据、安全数据和/或两者,多个参与者310-1,...,310-L可基于所识别的行为(例如,公共行为)被分组。例如,集群332-1,...,332-K可基于从一时间段内收集的安全数据和/或由参与者310-1,...,310-L提供的安全数据所识别的公共安全事务模式而形成。公共安全事务模式可包括公共安全事件和/或参与者之间(例如,第一参与者310-1和第二参与者310-2之间)的安全事故。公共安全事务模式可例如基于相关IP地址、公共安全攻击、公共安全事件和/或安全事故来识别。由此,在某些示例中,公共安全事务模式可基于安全数据和特性数据。
例如,攻击者可使用安全攻击中的相关IP地址。相关IP地址可包括攻击者在多次安全攻击中使用的IP地址。因此,相似IP地址可用于相似攻击。参与者可基于与安全事务相关联的相关IP地址的标识而形成为集群。
可选地和/或附加地,攻击者可能由于对相似参与者有效的攻击工具和/或因为攻击者的目标而以公共安全事务模式攻击参与者310-1,...,310-L。攻击工具可能对特定基础设施有效,由此具有相似基础设施的参与者310-1,...,310-L可被类似地攻击。参与者310-1,…,310-L之间的安全事务模式可被识别,例如,基于提供至参与者310-1,...,310-L的相似的定向安全警告。在某些实例中,攻击者可具有目标和/或视点。例如,相似产业(例如,银行)的参与者可能呈现出公共安全事务模式。
集群332-1,…,332-K可被动态地分组,例如,基于连续收集的数据。动态地将多个参与者310-1,...,310-L分组为多个集群332-1,...,332-K可包括随着时间重新评估安全数据和/或特性数据。与静态分组相比较,动态地将参与者310-1,...,310分组成集群332-1,...,332-K可给参与者提供对攻击者的改变的技术和策略的更好的响应。例如,集群可识别攻击者已开发有效攻击特定硬件组件的方式。提供该信息至参与者310-1,...,310-L可帮助参与者310-1,...,310-L更好地保护其网络。
在多种示例中,参与者310-1,...,310-L可提供安全数据,并且不提供特性数据和/或提供有限的特性数据。将参与者310-1,...,310-L分组成多个集群332-1,...,332-K可基于安全数据,而特性数据的子部分可利用安全数据推断。由此,在多种示例中,集群332-1,...,332-K可利用提供相关特性数据的子部分的参与者来形成。
例如,集群(例如,特定集群332-2)可基于由参与者提供的安全数据形成。集群332-2可识别集群332-2中的参与者(例如,特定参与者310-3,310-4和310-5)之间的公共安全事务模式。威胁交换服务器302可能不具有和/或不知道该集群中每个参与者的特性数据的子部分。威胁交换服务器302可推断参与者未提供的特性数据,并且可使用所推断的数据在将来的时间重构集群。
例如,参与者3(例如,310-3)、参与者4(例如,310-4)和参与者5(例如,310-5)可处于集群332-2(例如,集群2)中。威胁交换服务器302可具有参与者3和参与者4的特性数据,用于识别他们正在使用特定应用(例如,软件)。威胁交换服务器302可基于聚类推断出参与者5正在使用特定应用。所推断的信息例如可被保存(例如,保存在参与者数据库中)。尽管本示例说明了推断信息为应用的标识,但根据本公开的推断信息不限于此。例如,推断信息可包括多种特性数据。
集群332-1,...,332-K可用于提供定向安全警告至威胁交换社区330中的参与者。例如,特定参与者的威胁相关分可通过确定该参与者与多个集群332-1,...,332-K中的一集群之间的相似性来计算。集群在某些实例中可以是针对集群中的一个参与者(或多个)具有验证的安全事务(例如,安全攻击)的集群。
例如,假设集群2(例如,332-2)中的参与者3(例如,310-3)和参与者4(例如,310-4)具有通过针对特定脆弱性的特定开发进行的验证的安全攻击。集群2中的参与者5(例如,310-5)可具有基于针对该集群(例如,集群2)的验证的安全攻击而计算的、比参与者5不属于该集群的情况更高的威胁相关分。
此外,属于不同集群(例如,332-1和332-K)的剩余参与者(例如,310-1,310-2,310-6,310-L)可具有通过比较每个参与者与该集群(例如,集群2)的相似性而计算的威胁相关分。因为多个集群(332-1,332-2,...,332-K)基于安全数据和/或特性数据形成,所以每一个集群可被当作简档,其标识集群中参与者的公共IT基础设施、规模、产业、安全事务和/或其他安全数据和/或特性数据。不同的集群(例如,集群3332-K)的参与者6(例如,310-6)的威胁相关分可通过比较来自参与者6的参与者数据(例如,安全数据和/或特性数据)和集群2(例如,332-2)的简档来计算。响应于确定参与者6与集群2的简档相似,可计算出比不与集群2的简档相似的参与者1(例如,集群1中的310-1)更高的威胁相关分。
在本公开多种示例中,聚类可被使用和/或被传送至参与者310-1,...,310-L,用于开发安全策略。集群332-1,…,332-K可用于识别参与者310-1,...,310-L的同质组。这种信息可用于开发同质组中的参与者310-1,…,310-L可受益的缓和策略。例如,参与者集合(例如,测试组)可利用集群332-1,...,332-K识别以测试新的缓和策略。集群332-1,...,332-K可允许归纳从一个测试组到另一个测试组获取的缓和测试的结果,这降低需要的测试组的数量。进一步,参与者可使用集群信息来比较他们自身与同伴(例如,相同的产业中、相同规模等的参考者)。例如,如果金融业的参与者发现他们与产业同伴不在一个集群,其可能希望理解他们被不同地聚类的影响原因以及是否需要校正动作。
图4图示了根据本公开的系统438的示例的框图。系统438可利用软件、硬件、固件和/或逻辑来执行多个功能。
系统438可以是被配置以提供定向安全警告的任何硬件和程序指令的组合。硬件例如可包括处理资源440、存储器资源446和/或计算机可读介质(CRM)(例如,机器可读介质(MRM)、数据库等)。如本文所使用的处理资源440可包括能够执行存储器资源446所存储的指令的任何数量的处理器。处理资源440可集成于单个设备中或分布在各设备中。程序指令(例如,计算机可读指令(CRI))可包括存储于存储器资源446上并且可由处理资源440执行以实现希望功能(例如,从威胁交换社区中的多个参与者连续地收集安全数据等)的指令。
存储器资源446可与处理资源440相通信。如本文所使用的存储器资源446可包括能够存储可由处理资源440执行的指令的任何数量的存储器组件。这种存储器资源446为非暂存CRM。存储器资源446可集成于单个设备中或分布在各设备中。进一步,存储器资源446可完全或部分地集成在与处理资源440相同的设备中,或可与该设备和处理资源440分立但可由该设备和处理资源440访问。因此,应当注意系统438可实现于用户和/或客户端设备上,服务器设备和/或服务器设备的集合上和/或用户设备和服务器设备的组合上。
处理资源440可与存储器资源446相通信,存储器资源446存储可由本文描述的处理资源440执行的一组CRI。CRI还可存储于由服务器管理的远程存储器中,并表示可被下载、安装和执行的安装包。系统438可包括存储器资源446,并且处理资源440可联接至存储器资源446。
处理资源440可执行可存储于内部或外部存储器资源446的CRI。处理资源440可执行CRI以执行多种功能,包括结合图1、图2和图3描述的功能。例如,处理资源440可执行CRI以提供定向安全警告至威胁交换社区中的参与者。
CRI可包括多个模块448、450、452、456、458。多个模块448、450、452、456、458可包括在由处理资源440执行时可执行多个功能的CRI。
多个模块448、450、452、456、458可为其他模块的子模块。例如,计算威胁相关分模块456和提供定向安全警告模块458可为子模块和/或包含于相同的计算设备中。在另一示例,多个模块448、450、452、456、458可包括位于分立且不同的位置(例如,CRM等)处的独立模块。
注册模块448可包括在由处理资源440执行时可提供多个注册功能的CRI。注册模块448可注册威胁交换社区中的多个参与者,包括从多个参与者收集特性数据。例如,注册模块448可使用威胁交换服务器经由威胁交换社区中的通信链路(例如,从参与者到威胁交换服务器的通信链路)收集并存储特性数据。特性数据例如可存储在位于威胁交换服务器上和/或可由威胁交换服务器访问的参与者数据库中。
收集安全数据模块450可包括在由处理资源440执行时可提供多个安全数据收集功能的CRI。收集安全数据模块450可从多个参与者连续地收集安全数据。例如,收集安全数据模块450可使用威胁交换服务器经由威胁交换社区中的通信链路(例如,从参与者到威胁交换服务器的通信链路)收集并存储安全数据。收集的安全数据例如可存储在位于威胁交换服务器上和/或可由威胁交换服务器访问的事故数据库中。
聚类参与者模块452可包括在由处理资源440执行时可执行多个聚类功能的CRI。聚类参与者模块452可基于从特性数据和安全数据识别的行为动态地将多个参与者分组成多个集群。例如,聚类参与者模块452可包括用于基于利用连续收集的安全数据识别的公共安全事务模式对参与者进行聚类的指令。在某些示例,聚类参与者模块452可包括用于基于利用连续收集的安全数据所推断的特性数据动态地将参与者分组成集群的指令。
计算威胁相关分模块456可包括在由处理资源440执行时可执行多个威胁相关分功能的CRI。计算威胁相关分模块456可利用从参与者和多个集群中的集群收集的安全数据来计算多个参与者中的参与者的威胁相关分。例如,计算威胁相关分模块456可使用威胁交换社区中的威胁交换服务器计算威胁相关分。
提供定向安全警告模块458可包括在由处理资源440执行时可执行多个定向安全警告功能的CRI。提供定向安全警告模块458可经由威胁交换社区中的通信链路从威胁交换服务器向参与者提供基于所计算的分数的定向安全警告。定向安全警告可例如响应于所计算的威胁相关分高于阈值分数而提供。
如本文所使用的存储器资源446可包括易失性和/或非易失性存储器。易失性存储器可包括依赖于电力存储信息的存储器,诸如各种类型的动态随机存取存储器(DRAM),以及其他。非易失性存储器可包括不依赖电力存储信息的存储器。
存储器资源446可集成计算设备中,或以有线和/或无线方式可通信地联接至计算设备。例如,存储器资源446可为内部存储器、便携式存储器、便携式磁盘或关联于另一计算资源的存储器(例如,使CRI能够在网络诸如互联网中传输和/或执行)。
存储器资源446可经由通信路径442(例如,通信链路)与处理资源440相通信。通信路径442可位于与处理资源440关联的机器(例如,计算设备)的本地或远程。本地通信路径442的示例可包括机器(例如,计算设备)内部的电子总线,其中存储器资源446是经由电子总线与处理资源440相通信的易失性、非易失性、固定和/或可移除存储介质之一。
通信路径442可以诸如存储器资源446和处理资源(例如440)之间的网络连接而使存储器资源446位于处理资源(例如440)的远程。即,通信路径442可为网络连接。这种网络连接的示例可包括局域网(LAN)、广域网(WAN)、个人局域网(PAN)和互联网,以及其他。在该示例中,存储器资源446可与第一计算设备关联,而处理资源440可与第二计算设备例如服务器关联。例如,处理资源440可与存储器资源446相通信,其中存储器资源446包括一组指令,并且其中处理资源440被设计为执行该组指令。
联接至存储器资源446的处理资源440可执行CRI以注册威胁交换社区中的多个参与者,包括从多个参与者收集特性数据。联接至存储器资源446的处理资源440可执行CRI以从多个参与者连续地收集安全数据。联接至存储器资源446的处理资源440还可执行CRI以基于从特性数据和安全数据识别的行为动态地将多个参与者分组成多个集群。联接至存储器资源446的处理资源440还可执行CRI以利用威胁交换服务器使用从参与者和多个集群中的集群收集的安全数据来计算多个参与者中的参与者的威胁相关分。进一步,联接至存储器资源446的处理资源440还可执行CRI以经由威胁交换社区中的通信链路基于所计算的威胁相关分从安全交换服务器向参与者提供定向安全警告。
如本文所使用的“逻辑”为用于执行本文描述的动作和/或功能等的可选的或附加的处理资源,包括硬件(例如各种形式的晶体管逻辑、专用集成电路(ASIC)等),与存储于存储器中并且可由处理器执行的计算机可执行指令(例如软件、固件等)相反。
说明书示例提供了对本公开的系统和方法的应用和使用的描述。由于多个示例可被形成而不偏离本公开的系统和方法的精神和范围,因此该图示书仅仅提出了多种可能的示例配置和实现方式中的一些。
Claims (14)
1.一种用于提供定向安全警告的方法,所述方法包括:
从威胁交换社区中的多个参与者收集参与者数据;
基于参与者提供数据,动态地将所述多个参与者分组成多个集群;
利用威胁交换服务器使用来自所述多个参与者中的一参与者和所述多个集群中的一集群的所收集的参与者数据计算该参与者的威胁相关分;以及
经由所述威胁交换社区中的通信链路,基于所计算的威胁相关分,从所述威胁交换服务器向该参与者提供定向安全警告。
2.根据权利要求1的方法,其中计算威胁相关分包括基于所收集的参与者数据的子集对安全事务与该参与者相关的概率进行统计建模。
3.根据权利要求1的方法,其中计算威胁相关分包括对该参与者被针对脆弱性的开发所攻击的概率进行统计建模。
4.根据权利要求1的方法,其中计算威胁相关分包括比较该参与者与所述多个集群中的一集群。
5.一种非暂存计算机可读介质,存储由处理资源可执行的一组指令,其中该组指令能由所述处理资源执行以:
从威胁交换社区中的多个参与者收集特性数据和安全数据;
基于所收集的特性数据和安全数据,动态地将所述多个参与者分组成多个集群;
利用威胁交换服务器使用来自所述多个参与者中的一参与者和所述多个集群中的一集群的安全数据,计算该参与者的威胁相关分;以及
经由所述威胁交换社区中的通信链路,基于所计算的威胁相关分,从所述威胁交换服务器向该参与者提供定向安全警告。
6.根据权利要求5的介质,其中由所述处理资源可执行的指令包括可执行以进行以下操作的指令:基于从所收集的安全数据识别的公共安全事务模式将所述多个参与者分组成多个集群。
7.根据权利要求5的介质,其中由所述处理资源可执行以提供定向安全警告的指令包括用于进行以下操作的指令:响应于所述威胁相关分超出阈值分数,向该参与者发送所述定向安全警告。
8.根据权利要求5的介质,其中由所述处理资源可执行以计算该参与者的威胁相关分的指令包括:用于考虑安全背景以识别威胁级别的指令。
9.根据权利要求5的介质,其中由所述处理资源可执行以提供定向安全警告的指令包括:用于在所述定向安全警告中提供支持证据的指令。
10.根据权利要求5的介质,其中由所述处理资源可执行以计算该参与者的威胁相关分的指令包括:用于确定该参与者与该集群的相似性的指令。
11.一种用于发送定向安全警告的系统,包括:
处理资源;以及
存储器资源,可通信地联接至所述处理资源,并且包含由所述处理资源可执行的指令以:
在威胁交换社区中注册多个参与者,包括从所述多个参与者收集特性数据;
从所述多个参与者连续收集安全数据;
基于从所述特性数据和安全数据识别的行为,动态地将所述多个参与者分组成多个集群;
利用威胁交换服务器使用来自所述多个参与者中的一参与者和所述多个集群中的一集群的安全数据,计算该参与者的威胁相关分;以及
经由所述威胁交换社区中的通信链路,基于所计算的威胁相关分,从所述威胁交换服务器向该参与者提供定向安全警告。
12.根据权利要求11的系统,其中可执行以计算该参与者的威胁相关分的指令包括用于进行以下操作的指令:响应于针对该集群的验证的安全攻击且该参与者位于该集群中,计算该参与者的更高威胁相关分。
13.根据权利要求11的系统,其中可执行以提供定向安全警告的指令包括:用于响应于所述威胁相关分高于阈值分数,提供所述定向安全警告的指令。
14.根据权利要求11的系统,其中所述指令可执行以基于利用连续收集的安全数据而推断的信息来动态地分组所述参与者。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/024029 WO2014120181A1 (en) | 2013-01-31 | 2013-01-31 | Targeted security alerts |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105009137A CN105009137A (zh) | 2015-10-28 |
| CN105009137B true CN105009137B (zh) | 2017-10-20 |
Family
ID=51262746
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380072035.XA Active CN105009137B (zh) | 2013-01-31 | 2013-01-31 | 定向安全警告 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10635817B2 (zh) |
| EP (1) | EP2951753A4 (zh) |
| CN (1) | CN105009137B (zh) |
| WO (1) | WO2014120181A1 (zh) |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9246935B2 (en) | 2013-10-14 | 2016-01-26 | Intuit Inc. | Method and system for dynamic and comprehensive vulnerability management |
| US9501345B1 (en) | 2013-12-23 | 2016-11-22 | Intuit Inc. | Method and system for creating enriched log data |
| US9325726B2 (en) * | 2014-02-03 | 2016-04-26 | Intuit Inc. | Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment |
| US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
| US9866581B2 (en) | 2014-06-30 | 2018-01-09 | Intuit Inc. | Method and system for secure delivery of information to computing environments |
| US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
| US9276945B2 (en) | 2014-04-07 | 2016-03-01 | Intuit Inc. | Method and system for providing security aware applications |
| US9245117B2 (en) | 2014-03-31 | 2016-01-26 | Intuit Inc. | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems |
| US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US9900322B2 (en) | 2014-04-30 | 2018-02-20 | Intuit Inc. | Method and system for providing permissions management |
| US9330263B2 (en) | 2014-05-27 | 2016-05-03 | Intuit Inc. | Method and apparatus for automating the building of threat models for the public cloud |
| US9473481B2 (en) | 2014-07-31 | 2016-10-18 | Intuit Inc. | Method and system for providing a virtual asset perimeter |
| US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
| US20160080408A1 (en) * | 2014-09-15 | 2016-03-17 | Lookingglass Cyber Solutions | Apparatuses, methods and systems for a cyber security assessment mechanism |
| US9690928B2 (en) | 2014-10-25 | 2017-06-27 | Mcafee, Inc. | Computing platform security methods and apparatus |
| US10073972B2 (en) | 2014-10-25 | 2018-09-11 | Mcafee, Llc | Computing platform security methods and apparatus |
| SG11201708551WA (en) | 2015-04-17 | 2017-11-29 | Soltra Solutions Llc | Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format |
| CN105763530A (zh) * | 2015-12-12 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于web的威胁情报采集系统及方法 |
| US20170237752A1 (en) * | 2016-02-11 | 2017-08-17 | Honeywell International Inc. | Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics |
| US10469515B2 (en) * | 2016-02-22 | 2019-11-05 | Lookingglass Cyber Solutions, Inc. | Methods and apparatus for efficient storage and processing of global and local cyber threat data in a distributed factor graph database |
| US10880317B2 (en) * | 2016-12-27 | 2020-12-29 | Crypteia Networks S.A. | Systems and methods for cluster-based network threat detection |
| US10701100B2 (en) * | 2016-12-30 | 2020-06-30 | Microsoft Technology Licensing, Llc | Threat intelligence management in security and compliance environment |
| US10721254B2 (en) * | 2017-03-02 | 2020-07-21 | Crypteia Networks S.A. | Systems and methods for behavioral cluster-based network threat detection |
| WO2019156680A1 (en) * | 2018-02-09 | 2019-08-15 | Visa International Service Association | Proactive device authentication platform |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101385034A (zh) * | 2006-02-24 | 2009-03-11 | 诺基亚公司 | 应用检验 |
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6807569B1 (en) | 2000-09-12 | 2004-10-19 | Science Applications International Corporation | Trusted and anonymous system and method for sharing threat data to industry assets |
| US7996888B2 (en) | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
| CA2381689A1 (en) | 2002-04-12 | 2003-10-12 | Algorithmics International Corp. | System, method and framework for generating scenarios |
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| US7500266B1 (en) * | 2002-12-03 | 2009-03-03 | Bbn Technologies Corp. | Systems and methods for detecting network intrusions |
| US8327442B2 (en) | 2002-12-24 | 2012-12-04 | Herz Frederick S M | System and method for a distributed application and network security system (SDI-SCAM) |
| US8065725B2 (en) | 2003-05-30 | 2011-11-22 | Yuliang Zheng | Systems and methods for enhanced network security |
| US7246156B2 (en) | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| US20050102535A1 (en) | 2003-10-10 | 2005-05-12 | Bea Systems, Inc. | Distributed security system with security service providers |
| US20050102534A1 (en) | 2003-11-12 | 2005-05-12 | Wong Joseph D. | System and method for auditing the security of an enterprise |
| GB2412189B (en) | 2004-03-16 | 2007-04-04 | Netcraft Ltd | Security component for use with an internet browser application and method and apparatus associated therewith |
| US7784097B1 (en) | 2004-11-24 | 2010-08-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
| US7594270B2 (en) * | 2004-12-29 | 2009-09-22 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
| US20060265324A1 (en) * | 2005-05-18 | 2006-11-23 | Alcatel | Security risk analysis systems and methods |
| US10764264B2 (en) | 2005-07-11 | 2020-09-01 | Avaya Inc. | Technique for authenticating network users |
| US8095984B2 (en) * | 2005-09-22 | 2012-01-10 | Alcatel Lucent | Systems and methods of associating security vulnerabilities and assets |
| US7953846B1 (en) | 2005-11-15 | 2011-05-31 | At&T Intellectual Property Ii, Lp | Internet security updates via mobile phone videos |
| US7461036B2 (en) | 2006-01-18 | 2008-12-02 | International Business Machines Corporation | Method for controlling risk in a computer security artificial neural network expert system |
| US7841008B1 (en) | 2006-03-31 | 2010-11-23 | Symantec Corporation | Threat personalization |
| US8959568B2 (en) * | 2007-03-14 | 2015-02-17 | Microsoft Corporation | Enterprise security assessment sharing |
| US8286239B1 (en) | 2008-07-24 | 2012-10-09 | Zscaler, Inc. | Identifying and managing web risks |
| US8525681B2 (en) * | 2008-10-14 | 2013-09-03 | Telecommunication Systems, Inc. | Location based proximity alert |
| US8275899B2 (en) * | 2008-12-29 | 2012-09-25 | At&T Intellectual Property I, L.P. | Methods, devices and computer program products for regulating network activity using a subscriber scoring system |
| US8356001B2 (en) | 2009-05-19 | 2013-01-15 | Xybersecure, Inc. | Systems and methods for application-level security |
| US9727842B2 (en) * | 2009-08-21 | 2017-08-08 | International Business Machines Corporation | Determining entity relevance by relationships to other relevant entities |
| US20110153383A1 (en) | 2009-12-17 | 2011-06-23 | International Business Machines Corporation | System and method for distributed elicitation and aggregation of risk information |
| US20110161069A1 (en) | 2009-12-30 | 2011-06-30 | Aptus Technologies, Inc. | Method, computer program product and apparatus for providing a threat detection system |
| US8516576B2 (en) | 2010-01-13 | 2013-08-20 | Microsoft Corporation | Network intrusion detection with distributed correlation |
| US8756684B2 (en) | 2010-03-01 | 2014-06-17 | Emc Corporation | System and method for network security including detection of attacks through partner websites |
| US20110239270A1 (en) | 2010-03-26 | 2011-09-29 | Nokia Corporation | Method and apparatus for providing heterogeneous security management |
| WO2011149773A2 (en) * | 2010-05-25 | 2011-12-01 | Hewlett-Packard Development Company, L.P. | Security threat detection associated with security events and an actor category model |
| US8468599B2 (en) | 2010-09-20 | 2013-06-18 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
| US20120143650A1 (en) * | 2010-12-06 | 2012-06-07 | Thomas Crowley | Method and system of assessing and managing risk associated with compromised network assets |
| US8438644B2 (en) | 2011-03-07 | 2013-05-07 | Isight Partners, Inc. | Information system security based on threat vectors |
| US8800044B2 (en) | 2011-03-23 | 2014-08-05 | Architelos, Inc. | Storing and accessing threat information for use in predictive modeling in a network security service |
| WO2012166194A1 (en) * | 2011-06-01 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Network asset information management |
| US8973147B2 (en) * | 2011-12-29 | 2015-03-03 | Mcafee, Inc. | Geo-mapping system security events |
| CN104509034B (zh) * | 2012-07-31 | 2017-12-12 | 慧与发展有限责任合伙企业 | 模式合并以识别恶意行为 |
| US9461876B2 (en) * | 2012-08-29 | 2016-10-04 | Loci | System and method for fuzzy concept mapping, voting ontology crowd sourcing, and technology prediction |
| US9940479B2 (en) * | 2015-10-20 | 2018-04-10 | International Business Machines Corporation | Identifying and tracking sensitive data |
-
2013
- 2013-01-31 EP EP13873289.6A patent/EP2951753A4/en not_active Withdrawn
- 2013-01-31 US US14/764,670 patent/US10635817B2/en active Active
- 2013-01-31 CN CN201380072035.XA patent/CN105009137B/zh active Active
- 2013-01-31 WO PCT/US2013/024029 patent/WO2014120181A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| CN101385034A (zh) * | 2006-02-24 | 2009-03-11 | 诺基亚公司 | 应用检验 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150371044A1 (en) | 2015-12-24 |
| US10635817B2 (en) | 2020-04-28 |
| EP2951753A4 (en) | 2016-09-21 |
| WO2014120181A1 (en) | 2014-08-07 |
| EP2951753A1 (en) | 2015-12-09 |
| CN105009137A (zh) | 2015-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105009137B (zh) | 定向安全警告 | |
| Keshk et al. | A privacy-preserving-framework-based blockchain and deep learning for protecting smart power networks | |
| Hassan et al. | Anomaly detection in blockchain networks: A comprehensive survey | |
| US20220124108A1 (en) | System and method for monitoring security attack chains | |
| Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| Ghazal et al. | DDoS Intrusion Detection with Ensemble Stream Mining for IoT Smart Sensing Devices | |
| CN105556526A (zh) | 分层威胁智能 | |
| Xie et al. | A feature extraction method for credit card fraud detection | |
| US20120296692A1 (en) | System and method for managing a fraud exchange | |
| Gaurav et al. | A novel approach for DDoS attacks detection in COVID-19 scenario for small entrepreneurs | |
| CN112738040A (zh) | 一种基于dns日志的网络安全威胁检测方法、系统及装置 | |
| CN109274639A (zh) | 开放平台异常数据访问的识别方法和装置 | |
| Ferrara | Twitter spam and false accounts prevalence, detection and characterization: A survey | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| Sahu et al. | A study of K-Means and C-Means clustering algorithms for intrusion detection product development | |
| CN109313541A (zh) | 用于显示和比较攻击遥测资源的用户界面 | |
| Sajith et al. | Network intrusion detection system using ANFIS classifier | |
| Plný et al. | DeCrypto: Finding cryptocurrency miners on ISP networks | |
| CN105493096A (zh) | 分布式模式发现 | |
| CN112560085B (zh) | 业务预测模型的隐私保护方法及装置 | |
| Prud'Homme et al. | Poisoning attack anticipation in mobile crowdsensing: A competitive learning-based study | |
| Fu et al. | A general framework for account risk rating on Ethereum: toward safer blockchain technology | |
| Al-Hashedi et al. | A Supervised Model to Detect Suspicious Activities in the Bitcoin Network | |
| Ksibi et al. | IoMT Security Model based on Machine Learning and Risk Assessment Techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160923 Address after: American Texas Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: American Texas Applicant before: Hewlett-Packard Development Company, Limited Liability Partnership |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180613 Address after: American California Patentee after: Antite Software Co., Ltd. Address before: American Texas Patentee before: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Utah, USA Patentee after: Weifosi Co., Ltd Address before: California, USA Patentee before: Antiy Software Co.,Ltd. |