CN105100042A - 用于对应用中的漏洞进行分布式发现的计算机系统 - Google Patents
用于对应用中的漏洞进行分布式发现的计算机系统 Download PDFInfo
- Publication number
- CN105100042A CN105100042A CN201510226765.1A CN201510226765A CN105100042A CN 105100042 A CN105100042 A CN 105100042A CN 201510226765 A CN201510226765 A CN 201510226765A CN 105100042 A CN105100042 A CN 105100042A
- Authority
- CN
- China
- Prior art keywords
- computer
- concrete
- research
- leak
- under test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011160 research Methods 0.000 claims abstract description 197
- 238000000034 method Methods 0.000 claims abstract description 66
- 238000012360 testing method Methods 0.000 claims abstract description 53
- 230000006854 communication Effects 0.000 claims abstract description 39
- 238000004891 communication Methods 0.000 claims abstract description 38
- 238000012544 monitoring process Methods 0.000 claims abstract description 10
- 230000036544 posture Effects 0.000 claims description 4
- 238000003672 processing method Methods 0.000 claims description 2
- 230000004044 response Effects 0.000 abstract description 7
- 238000011835 investigation Methods 0.000 abstract description 5
- 230000008569 process Effects 0.000 description 27
- 238000005516 engineering process Methods 0.000 description 17
- 238000013507 mapping Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 230000005284 excitation Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 230000001737 promoting effect Effects 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000008030 elimination Effects 0.000 description 2
- 238000003379 elimination reaction Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003042 antagnostic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000009223 counseling Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013501 data transformation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 235000012054 meals Nutrition 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000011076 safety test Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000032258 transport Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06398—Performance of employee with respect to a job function
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0207—Discounts or incentives, e.g. coupons or rebates
- G06Q30/0208—Trade or exchange of goods or services in exchange for incentives or rewards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/01—Social networking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Entrepreneurship & Innovation (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Game Theory and Decision Science (AREA)
- Educational Administration (AREA)
- Tourism & Hospitality (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Primary Health Care (AREA)
- Data Mining & Analysis (AREA)
- Cardiology (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及用于对应用中的漏洞进行分布式发现的计算机系统,具体地,提供了一种数据处理方法,包括:邀请分布式的多个研究方计算机参与一个或多个计算机漏洞研究项目,该项目被用于识别由第三方所有或操作的一个或多个系统的计算机漏洞;将与具体被测系统有关的具体计算机漏洞研究项目分配给研究方计算机的子集中的具体研究方计算机;使用控制逻辑监控具体研究方计算机和具体被测系统之间的联网数据通信,并基于监控得到的联网数据通信创建评估具体研究方计算机的评估数据;验证从具体研究方计算机接收到的、具体被测系统的候选安全漏洞的报告;至少部分地基于该报告,对具体被测系统执行一个或多个补救操作。
Description
技术领域
本公开一般涉及关于安全问题的计算机测试。本公开更加具体地涉及用于执行网络侵入(penetration)测试,攻击测试,安全漏洞的识别,以及相关的web应用、服务器计算机和网络元件的安全测试的技术。
背景技术
本章节中所描述的方法是能够被实行的方法,但不一定是先前已经被构想或实行的方法。因此,除非特别说明,否则不应当假设本章节所描述的任何方法仅是由于它们被包括在此章节中而作为现有技术。
当前用于识别网络中的安全问题的方法具有明显的缺点。典型的网络安全评估、测试和保护涉及在网络中安装保护性的元件,比如,防火墙、病毒和恶意软件扫描仪及类似的系统。这些系统接收在其他网络中正在发生的攻击向量的报告,并试图判定相同的攻击是否正在具体被测网络中发生。如果是,则报告会被准备并且网络管理员可手动检查网络互联元件、web应用程序和服务器计算机的配置以判定配置是否应当被改变以清除问题或阻止攻击。
然而,这些方法的缺陷在于它们是响应性的,而非预防性的。通常,存在如此多的不同种类的攻击以致于让大型企业内的网络管理员或者甚至是安全专家组详尽地针对所有已知的攻击、恶意软件或病毒的漏洞测试该企业中的所有网络元件和计算设备被认为是不切实际的。因此,在当前实践中,许多企业web应用、服务器计算机和类似的工具在实际的安全事件被识别和被解决前具有一段时期的持续的漏洞。
发明内容
所附权利要求可作为本发明的概述。
附图说明
在附图中:
图1示出了众包(crowd-sourced)应用漏洞发现的过程。
图2示出了可被用于众包web应用漏洞发现、提供全球分布的网络侵入测试、并确定用于提升漏洞的发现的激励的示例计算机系统安排。
图3示出了与图2中的某些计算机系统元件集成的应用漏洞发现的过程。
图4A按分类法示出了漏洞类别到激励奖赏金额的范围的映射。
图4B示出了确定因发现漏洞对研究方的激励奖赏。
图5示出了可在其中实现实施例的计算机系统。
具体实施方式
在下面的描述中,出于说明的目的提出了许多具体细节以便于提供对本发明的透彻理解。然而,明显地,本发明可在没有这些具体细节的情况下被实施。在其他实例中,以框图形式示出了众所周知的结构和设备从而避免不必要地模糊本发明。
根据下面的提纲来描述实施例:
1.总体概述
2.众包应用漏洞发现
3.用于全球分布的众包网络侵入测试的系统
4.用于提升计算机软件漏洞发现的安全评估激励程序
5.实施方式示例-硬件概述
6.扩展和替换
1.总体概述
在一个方面中,本公开提供了一种方法,该方法包括:邀请分布式的多个研究方参与一个或多个计算机漏洞研究项目,该项目被用于识别由第三方所有或操作的一个或多个网络和/或计算机的计算机漏洞;对该一个或多个研究方的声望和技术进行评估,并且接受具有积极的声望和足够的技术来执行计算机漏洞调查的研究方的子集;将与具体被测网络有关的具体计算机漏洞研究项目分配给研究方的子集中的具体研究方;使用在逻辑上居于具体研究方和具体被测网络之间的计算机监控具体研究方和具体被测网络之间的通信,其中这些通信与试图识别具体被测网络的候选安全漏洞有关;验证从具体研究方接收到的具体被测网络的获选安全漏洞的报告;响应于成功验证了从具体研究方接收到具体被测网络的获选安全漏洞的报告,确定奖赏并向该具体研究方提供该奖赏。
在另一方面中,本公开提供了一种数据处理方法,该方法包括:使用计算机邀请分布式的多个研究方计算机参加一个或多个计算机漏洞研究项目,该项目被用于识别由第三方所有或操作的一个或多个网络和/或计算机的计算机漏洞;使用该计算机,将与具体被测网络有关的具体计算机漏洞研究项目分配给研究方的子集中的具体研究方;使用在逻辑上居于具体研究方计算机和具体被测网络之间的控制逻辑监控在具体研究方和具体被测网络之间的联网的数据通信,其中该通信与试图识别具体被测网络的候选安全漏洞有关;验证从具体研究方计算机接收到的具体被测网络的候选安全漏洞的报告;至少部分地基于该报告对具体被测网络执行一个或多个修复操作;其中该方法是使用一个或多个计算设备执行的。
在又一方面中,本公开提供了一种方法,该方法包括:邀请分布式的多个研究方参与一个或多个计算机漏洞研究项目,该项目被用于识别由第三方所有或操作的一个或多个网络和/或计算机的计算机漏洞;向分布式的多个研究方发布潜在的计算机漏洞分类,其中在该分类中每一个具体计算机漏洞与一系列奖赏值相关联;使用被通信地耦合至分布式的多个研究方中的具体研究方和一个或多个网络和/或计算机中的被测网络的计算机监控具体研究方和具体被测网络之间的通信,其中通信与试图识别具体被测网络的候选安全漏洞有关;响应于从具体研究方处接收到的具体被测网络的候选安全漏洞的报告,并且基于分类,确定具体奖赏值并向具体研究方提供该具体奖赏值。
这些方法相比于现有实践提供了显著的益处。在一个实施例中,先前无法进入企业的全球顶尖的安全性人才能够被雇佣并通过奖金被激励以发现各种目标应用和系统中的安全漏洞。全球范围内的安全资源能够被安全地占用,并且动态经济学和游戏机制可被用于激励那些人才执行工作。因此,费用和报酬产生了优于通用报告的结果。
在一些实施例中,本文所描述的系统能够在仅仅几小时内发起全面的漏洞评估,产生快速的结果。通过很少的前置时间,组织能够获取快速的反馈,减少投放市场的时间并且能够在太迟之前修补漏洞。该方法还可以能够可扩展的。通过使用全球资源,该方法能够立即扩展到众多评估。对于具有大型应用和许多web端点的企业来说,本文的方法提供了比传统自动或手动解决方案有效得多的用于获取快速结果的解决方案。
实施例还被配置为是可改编的。评估能够由精通随它们的演进的所有技术栈的工业专家来支持。在实施例中,测试不依赖于签名而是使用对抗性的策略以通过提供对攻击向量的独特洞察力的方法来发现最新的零日漏洞。研究方经历严格的核实和审查过程,并且本文所描述的服务的用户能够从进行此项工作的、不同信任和验证等级的安全研究方中进行选择。
2.众包应用漏洞发现
图1示出了众包应用漏洞发现的过程。在一个实施例中,实现图1中的过程的一方可以有效地与大量全球分布的研究方协调以识别第三方计算机网络的目标计算机或主机的各种不同的计算机漏洞。例如,图1的过程可由一方面与多个全球分布的计算机安全研究方具有契约关系而且与作为漏洞调查的目标的计算机系统的第三方所有者或操作者具有供应商-客户关系的服务提供商来实现。使用这样的包括了大量分布的研究方力图以被控制和监控的方式识别漏洞的第三方方法,计算机漏洞能够被以比现有技术快得多的速度和更高效地被识别出来。
在一个实施例中,在框101处,图1的过程包括创建一个或多个项目记录以识别第三方的计算机漏洞。框101广义地表示出了例如实现图1的服务提供商与拥有或操作计算机系统或网络的第三方签订契约或其他关系,并且创建第三方希望针对计算机漏洞进行评估的计算机、系统、应用或其他元件的记录。因此,第三方和服务提供商可具有客户-供应商的关系。在此上下文中,“计算机漏洞”包括针对任何终端站计算机、服务器计算机云计算实例或资源、诸如路由器、交换机、防火墙和网关之类的网络互联基础设施或其他硬件设备,以及诸如数据库服务器、应用服务器或在线应用(比如,web应用、移动应用等等)之类的逻辑实体或软件实体的任何安全漏洞、网络漏洞、机会或数据泄露等等。服务提供商可与组织密切合作以创建最符合它们的预算限制和技术要求的项目,这在一些实施例中包括执行组织的安全态势初步评估以确保该组织针对众包漏洞测试的开始进行良好的定位。
另外,框101包括创建具体项目的记录以识别漏洞。项目记录可由服务提供商和第三方例如通过准备第三方期望检查或测试的网络或一组计算机中的具体资产的拓扑结构或其他描述来定义。
在一个实施例中,在框102处,图1的过程包括邀请分布式的多个研究方参与一个或多个项目以识别第三方的计算机漏洞。例如,服务提供商可使用在线论坛、留言板、电子邮件列表或它自己的网站来提升参与针对计算机漏洞的众包研究项目的机会。通常,由于服务提供商将与一个或多个第三方签订契约以向第三方提供关于其网络的安全态势的咨询服务、安全调查或其他服务,因而第三方的身份是事先已知的。然而,出于保密性的目的,第三方一般不会在框102处被识别出来。非公开协议和其他契约规则可作为搭载研究方的一部分被实施;例如,社交工程、DDos和基于垃圾邮件的攻击可被禁止,并且组织可针对具体领域或技术定义契约的其他规则。
在此上下文中,“分布式的多个研究方”指的是处于世界上的任何地方的任意数量的研究方。通常,研究方不是实现该方法的一方的雇员;研究方在框102的邀请的时候对实现该方法的一方来说可能是先前未知的,或者可能是通过安全论坛、会议或其他方法非正式地得知的。
在框104处,过程包括在计算机漏洞管理系统中评估和登记一个或多个研究方。框104可包括检查回复了框102处的邀请的研究方的证书,确定该研究方的声望并在识别研究方和提供联系信息、声望信息来源、履历或简历等信息的计算机数据库中创建数据记录。在框104处的评估还可包括向回复的研究方提供一个或多个在线测试或评估以确定研究方的技能或专业技能的水平。例如,实现图1的一方可维护具有已知漏洞的联网计算机系统,并且可以向回复的研究方提供网络地址和/或该系统的完整或部分登陆证书;然后,作为测试技能和知识的手段,研究方可直接尝试找到该系统中的一个或多个安全漏洞。框104还可涉及用评估的结果来更新数据库。
在框106处,过程包括向具体研究方和可选择地零位或更多其他研究方分配具体计算机漏洞研究项目。例如,框106可包括提供对在框101处所定义的那些记录中的具体的计算机漏洞研究项目的记录的概述以及与服务提供商相关联的访问位置。在实施例中,框106可涉及向研究方提供目标计算机的网络地址或域地址,和/或与该具体计算机漏洞研究项目相关联的计算机或资源的部分或完整的访问证书。附加地或可替代地,具体研究方和任意其他研究方被给予与服务提供商相关联的计算机或应用的访问证书或位置数据,其后这些研究方仅通过服务提供商的计算机和/或应用访问具体漏洞研究项目的目标计算机或网络。在一个实施例中,研究方访问的工具被称为启动点(LaunchPoint);本文的其他部分提供了详细描述的启动点的示例。
此信息可被提供给或供应给具体研究方或一组研究方。具体项目所涉及的研究方的数量不受限制,并且将单个项目分配给多个无关的或分布式的研究方以激励争相找到漏洞可能会带来益处。框106中涉及的具体步骤或信息不是关键性的,倘若一个或多个研究方获取足够的信息来理解项目的本质和目标或待被调查的网络位置或计算机的身份。
在框108处,过程包括检查、记录和监控研究方和具体漏洞研究项目的目标计算机系统之间的通信。一般来说,该过程被配置为允许实现图1的一方检查、记录和/或监控被分配到项目的研究方和第三方的目标计算机、网络或系统之间的所有电子通信。此方法可允许实现图1的一方确定有用的评估数据,比如:研究方和目标系统之间的通信量;研究方看起来是否真正在解决具体漏洞研究项目的主题;研究方是否尝试访问被禁止访问的或超出该具体漏洞研究项目的范围的第三方的资源;研究方看起来是否有能力和/或勤奋;以及其他度量标准。
作为示例,框108可包括存储研究方发送至目标系统的所有URL的审计追踪;对研究方对目标系统的其他输入进行击键记录;存储动态生成的页面的URL,其中该页面是目标系统响应于研究方的行动而生成的;基于诸如TCP/IP5-元组之类的分组流标识符存储个体流记录和/或聚合流记录;基于5-元组或其他标识数据存储分组、区段、消息、或请求-响应对的集合;以及任何其他与研究方和目标系统之间的通信相关联的数据。
在框110处,过程从具体研究方接收候选安全漏洞报告。在一个实施例中,认为她/他自身已经识别出了目标系统中的安全漏洞的研究方可提交详细说明了漏洞并标识了目标系统的报告。各种格式可被用于提交明显的安全漏洞的报告并且报告的具体形式并不重要。
在框112处,过程包括评价和尝试复制研究方所报告的候选安全漏洞。例如,框112可涉及重新执行报告中所识别的一些列操作,和/或重新执行通过框108获取的一些列操作。在框114处,过程测试该候选安全漏洞是否被成功地验证。如果不是,则在框122处,表明漏洞未被验证的负面报告或负面消息可被传送至研究方,以表明漏洞无法被验证、需要更多的信息、或该报告看起来体现了安全漏洞以外的事情。这类报告或消息的具体形式和内容并不重要。
如果框114处的测试为真,则若干操作可以按任何顺序被连续执行或被并行执行。在框116处,在一个实施例中,过程确定向研究方支付的费用。框116处的费用可被认为是激励奖赏、奖金、服务费或任何其他形式的付款。该费用可包括以认可的硬货币中计量的值,以诸如比特币(Bitcoin)之类的电子货币计量的值,和/或以诸如令牌、点数或其他可在另一程序、系统或设施中兑换的物品之类的虚拟货币计量的值。在本文的另一章节中对用于确定框116中的费用的具体技术进行了描述。
在框118处,通知可被提供给第三方。例如,经验证的安全漏洞可在向拥有或操作网络、计算机、或系统的第三方的报告、消息或其他通信中进行描述,其中该网络、计算机、或系统是具体计算机漏洞研究项目的主体。这类报告或消息的具体形式和内容并不重要。
在框120处,过程包括执行主机评估或其他补救行为。例如,框120可包括在主机上执行研究方在框110的报告中所识别的一个或多个安全补救操作,比如,安装软件更新、改变配置数据、重新配置网络拓扑中的单元的位置、更新诸如入侵检测系统之类的自动攻击检测系统的配置、及其他操作。
因此,图1的方法通过提供用以引起潜在的大量分布式的研究方尝试对计算机或网络的缺陷进行攻击、入侵或其他开发,并且可选择的以费用、奖赏或其他认可作为回报的方式,可使得计算机或网络中的漏洞问题被快速识别和补救。实现图1的一方,比如服务提供商作为分布式研究方和目标计算机或网络之间的中间媒介,以使得可能包括实际攻击企图的研究方的所有通信能够被检查、监控和记录。另外,在服务提供商验证之后,拥有或操作作为调查主体的网络的第三方能够基于分布式研究方的工作接收报告、补救操作和/或配置数据。所有这些特征和方面可以提供被大大改进的、更有效率或更加有效的用于识别和解决计算机漏洞的过程。
3.用于全球分布式众包网络侵入测试的系统
图2示出了可被用于众包web应用漏洞发现、提供全球分布的网络侵入测试、并确定用于提升漏洞的发现的激励的示例计算机系统安排。图3示出了与图2中的某些计算机系统元件集成的应用漏洞发现的过程。首先参照图2,在一个实施例中,多个研究方计算机202经由一个或多个网络和/或互联网络被耦合到启动点计算机206。自动化扫描系统204、管理计算机207、漏洞数据库250以及一个或多个被测网络208、228也被通信耦合到启动点计算机206。为了说明清楚的示例的目的,图2示出了有限数量的研究方计算机202、自动化扫描系统204、被测网络208、228、被测计算机226、230以及客户端单元220、222,但在实际的实施例中这样的单元的数量是不受限制的;实施例可以与至少数千个具有计算机的分布式研究方进行交互操作和与任意数量的具有任意数量的计算机的被测客户网络或其它被测节点进行交互操作。
在一个实施例中,研究方计算机202中的每个都与先前所描述的类型的多个分布式研究方中的一个相关联。研究方计算机202可以包括任何台式计算机、工作站、膝上型计算机、上网本计算机、超极本计算机、平板计算机、或智能手机。研究方计算机202通过一个或多个局域网、广域网、互联网络等的任何组合(可以包括公共互联网)被间接耦合到启动点计算机206。
在一个实施例中,启动点计算机206包括一个或多个客户端单元220、222,并且可以被耦合到管理计算机207,管理计算机207包括控制逻辑224和费用计算逻辑214,并且被耦合到漏洞数据库250。在一个实施例中,启动点计算机206用作被配置用于提供网络连接和监测研究方计算机202和被测网络之间的通信的目的的终端。另外,研究方和被测网络之间的启动点计算机206的逻辑位置提供研究方到被测网络的通信的安全路由,并且提供针对被测网络的拥有者/操作者的可预测的源IP地址,以使得防火墙和/或IPS/IDS设备能够进行调整。
在一个实施例中,每个客户端单元220、222都被配置为与分别位于不同的被测网络208、228中的不同的被测计算机226、230进行通信。每个客户端单元220、222因此被配置为作为研究方计算机202中的一个或多个和被测网络208、228中的一个和/或被测计算机226、230中的一个之间的中间媒介与启动点计算机206合作。如箭头290所指示的,每个研究方计算机202都可以建立到一个或多个被测网络208、228的逻辑双向通信路径,所有的通信通过启动点计算机206用于控制哪个具体研究方计算机被连接到哪个具体被测网络的目的并且用于监测、记录、和/或分析。如本文所进一步描述的,控制逻辑224可以被配置为仅在指定的环境下(包括在评估、测试、项目的分配或其它操作后)向具体研究方计算机202提供到具体被测网络208、228的访问。因此,研究方计算机202通常不能随意联系被测网络208、228;替代地,启动点计算机206必须促进访问、授权访问、或提供证书。
在一个实施例中,控制逻辑224被配置为实现本文进一步描述的控制功能和管理功能。在一个实施例中,费用计算逻辑214被配置为在考虑到识别被测计算机226、230或被测网络208、228中的一个的漏洞的情况下来确定应给与或支付给研究方中的一个的费用、奖赏、奖金或其它报酬、值或货币。本文在其它部分描述了用于计算适当的费用的技术。控制逻辑224和费用计算逻辑214中的每个可以使用如图5所描述的一个或多个计算机程序、其它软件元件、其它数字逻辑、或它们的任何组合来被实施。
自动化扫描系统204可以被耦合到一个或多个被测网络208、228和/或一个或多个被测计算机226、230,并且可以基于对那些网络或计算机执行自动扫描操作来生成一个或多个报告205。报告205可以在漏洞数据库250处被接收以提供基线漏洞数据或辅助定义可以被提供给研究方的计算机漏洞项目。另外,在实施例中,基于来自研究方的经验证的漏洞报告,控制逻辑224可以实现与自动化扫描系统204有关的反馈回路(控制逻辑通过该反馈回路提供对到自动化扫描系统的配置数据或其它输入的更新),以改善自动化扫描系统的能力或在未来检测与被测网络208、228或被测计算机226、230有关的其它漏洞。
漏洞数据库250可以被耦合到启动点计算机206,并且可以被配置为存储与研究方,研究方计算机202,客户端单元220、222,被测网络208、228,被测计算机226、230有关的元数据或实质数据,以及对支持系统的操作有用的其它数据。在实施例中,管理计算机207或另一计算机可以容宿web应用,该web应用使得客户端和研究方能够关于固定已经被输入到漏洞数据库250的漏洞进行合作。
具体被测网络228可以被耦合到与该网络的网络管理员相关联的管理员计算机240。在实施例中,控制逻辑224被配置为经由被托管在管理计算机处的客户端网络接口从管理员计算机240接收一个或多个请求260。这些请求通常涉及在相关联的被测网络228或该网络内的被测计算机230或该网络的其它节点内执行漏洞测试。控制逻辑224还可以被配置为生成与在相关联的被测网络228、或该网络内的被测计算机230、或该网络的其它节点中已经被识别的安全漏洞有关的一个或多个报告270并将其发送到管理员计算机240。
因此,从图2中可以看出,实施例可以提供与第一方相关联的启动点计算机206,其被逻辑地布置为与第二方相关联的研究方计算机202和第三方的被测网络208、228和被测计算机226、230之间的中间媒介。来自启动点计算机206的输入可以被用于更新自动化扫描系统204以改善它的性能,并且与管理员计算机240相关联的管理员可以接收与被发现的漏洞有关的报告。
现在参照图3,在实施例中,众包应用漏洞发现的过程可以与图2的被选择的技术元件集成以有效地配合大量的全球分布式研究方来识别第三方计算机网络的目标计算机或主机的各种不同的计算机漏洞。
在块302处,邀请和评估被执行。在实施例中,实现图3的一方采取步骤以识别和邀请研究方,并且在一些实施例中,块302可以表示执行如上所述的图1的块101、102、104。评估可以包括对候选研究方的社交媒体发帖和其它在线数据源的调查以确定例如具体研究方是所谓的白帽黑客并且不是恶意的计算机用户。评估可以包括面试过程,其可以部分地包括对候选研究方的现场面试、候选研究方的背景核检查、技能测试、身份验证、和其它调查。评估还可以包括执行候选研究方的随机的技术考试,其中研究方被要求对与网络应用安全、移动应用安全、基础设施有关的问题以及其它问题进行分类。以这种方式的技能的实际的评估可以用作接受加入研究方的小组的邀请的前提条件。结果可以被用于基于用户需求来将研究方划分到各种信任类别中;信任的等级能够被用于影响之后计算得出的奖金的金额。
在一个实施例中,块302还可以涉及存储基于公民身份、可允许的政府访问的等级、居住或住所、或其它因素来对研究方进行划分或分类的数据;数据库250可以用针对这些属性对研究方进行标识的记录中的标签进行更新。
在块304处,进行项目的分配。在一个实施例中,块304假定运作启动点计算机206的服务提供商和被测网络208、228的第三方已经定义了一个或多个计算机漏洞项目。定义项目可以包括例如通过准备第三方期望检查或测试的被测网络208、228中的特定资产的拓扑结构或其它描述并且在数据库250中创建项目的记录。另外地或可替代地,自动化扫描系统204可以提供提示漏洞或指示异常(指示存在漏洞)的报告205;报告中的数据可以被用于形成项目的记录以供调查。
块304可以包括上面所述的块106的操作。另外,项目的分配可以包括授权研究方对web应用的web门户的访问(在项目的范围内)。web门户可以提供例如显示具体漏洞研究项目的范围内的计算机的一般内容、网络或其它资源的身份和一般内容的屏幕视图。通常,实现图3的一方的客户的身份是匿名的从而研究方不知道他们确切地正在攻击谁,以防止偏见被引入到漏洞检测过程中。在一个实施例中,项目的分配可以包括接收针对具体项目或目标的注册请求。获得研究方对客户专属机密性协议的同意可以被要求作为分配过程的一部分。
在块306处,项目由研究方启动并且实现图3的一方接收所分配的项目的范围内的计算机漏洞的一个或多个报告。块306可以表示如上所述的图1的块106、108、110的操作。另外,在一个实施例中,启动项目包括实例化共享数据中心(例如,云计算设施)中的虚拟机,这将启动点计算机206实现为服务器实例或其它计算实例。因此,启动点计算机206可以按需被加速(spunup)。任何这样的服务器可以在基于涉及到项目的具体研究方的位置的地理位置处被实例化;因此,例如,如果实现图3的服务提供商位于洛杉矶,被测网络208位于纽约,并且被分配到该网络的研究方的研究方计算机202位于迈阿密,则启动点计算机206可以在亚特兰大或迈阿密中的数据中心而不是纽约或洛杉矶中的数据中心处被更好地加速。
块306还包括监测并且可选地记录所有测试、消息并且在被分配的研究方计算机202与目标网络或计算机之间;因此,所有测试漏斗(funnel)通过服务提供商的基础设施的许可记录活动和由研究方采取的捕获行动。
漏洞的报告可以从被分配到项目的任何研究方被定期地接收。在实施例中,包括漏洞报告的数据在相同的视图或被用于获取与项目、目标计算机和目标网络有关的数据的用户界面设施中被接收。在一个实施例中,为报告预期的漏洞,研究方针对他们正在报告的漏洞输入类别值并且可选地输入子类别值。类别和子类别值被视为提议的并且要经过服务提供商的验证。在一些实施例中,报告预期的漏洞可以报告接收提交表中的字段中的数据值。作为示例,提交表可以包括针对以下各项的数据字段:标题;描述;漏洞类别,其可以从下拉菜单或其它GUI小部件中被选择;复制漏洞的步骤;漏洞的影响;被用于确定漏洞的针对一个或多个代码的秘密要点;推荐的修理;以及漏洞所存在于的URL的URL标识符。
在一些实施例中,报告所提议的漏洞还包括接收对包括以下各项的问题的调查表示例的回答:
1.需要认证的登录么?是,否
2.对机密性的影响是什么?没有,对单个用户是如此,对不止一个用户是如此。
3.应用或用户数据的完整性被折衷了么?否,对单个用户是如此,对不止一个用户是如此。
4.该漏洞对应用可用性具有任何影响么?否,对单个用户是如此,对不止一个用户是如此。
在块308处,被报告的漏洞被评价并且被验证,其可以包括图1的块112、114的操作。在一个实施例中,漏洞的评价可以包括去重复,这涉及检查另一研究方先前是否已经报告过同一漏洞或实质上相似的漏洞。去重复可以包括对响应于调查表而接收到的值和从研究方接收的关于所提示的漏洞的其它数据与数据库250中的之前被报告的漏洞的记录执行文字或模糊的对比。漏洞的评价还可以包括检验提交的质量并且如果需要的话请求更多信息。漏洞的评价还可以包括通过重复执行精确的攻击来验证报告,确确的攻击被报告来检查研究方所报告的是真正的漏洞。
在块310处,如上面针对块116所述,过程确定要支付给报告提议的漏洞的研究方的费用。在一种方法中,块310基于所接收的对上面所描述的调查表的回答而被配置为计算诸如CVSS得分之类的漏洞得分,并且将漏洞的类别和子类别和CVSS得分映射到最低价格和最高价格。使用被存储的到待付的奖金的价格的映射,CVSS得分可以被线性缩放到最低价格和最高价格之间的价格。通常,在对所有CVSS组分求和后,0的得分值映射到最低价格并且10.0的得分值映射到最高价格。以这种方式,实施例可以针对被报告的漏洞的价值提供实时的、市场值计算。
为了确定费用、去重复的目的和其它目的,控制逻辑可以被配置为管理与类别、子类别、漏洞名称和一系列费用相关联的数据库250中的漏洞分类。图4A示出了示例漏洞分类法,图4B示出了特定漏洞得分到特定费用的示例映射。首先参照图4A,在一个实施例中,漏洞分类402包括多个任意数量的类别406、406B、406C。类别406可以具有任意数量(包括零)的子类别408、408B、408C。类别406或子类别408可以与一个或多个漏洞404相关联,为了说明清楚的示例的目的,图4A中示出了漏洞404中的一个。
在实施例中,具体漏洞404包括标识符410、最小值412和最大值414。标识符410可以是使得具体漏洞能够被人类和/或机器辨识的任何标签。标识符410可以包括可用于编程操作的值、或可显示的名称、或这二者。最小值412代表可支付给研究方以识别目标系统中的相关联的漏洞的费用的最小金额;最大值414代表这样的费用的最大金额。最小值412和最大值414可以使用任何形式的单位被表示。在实施例中,代表美元的整数被使用。
现在参照图4B,在实施例中,最小值412和最大值414可以被用作费用范围的端点。针对具体漏洞的漏洞得分420(其可以使用CVSS或其它得分被确定)也存在于具有最小得分值422和最大得分值424的分开的范围内。在实施例中,具体漏洞得分420从得分值的范围中的它的位置被线性映射到费用的范围中的等价的位置,使得对具有具体漏洞得分420的相关联的漏洞的具体费用430进行选择或计算。
CVSS得分的计算可以根据NIST标准使用下面的表达式被执行:
基础得分=(0.6*影响+0.4*可利用性-1.5)*f(影响)
影响=10.41*(1-(1-机密性影响)*(1-完整性影响)*(1-可用性影响))
可利用性=20*访问复杂性*认证*访问向量
其中下面的变量具有下面的值:
访问复杂性:0.61
访问向量:1.0
认证:
问题:“需要认证的登录么?”;回答:“是。”:0.56;“否。”:0.704
机密性影响:
问题:“对机密性的影响是什么”;回答:“没有。”:0.0;“对单个用户是如此。”:0.275;“对不止一个用户是如此。”:0.660
完整性影响:
问题:“应用或用户数据的完整性被折衷了么?”;回答:“否。”:0.0;“对单个用户是如此。”:0.275;“对不止一个用户是如此。”:0.660
可用性影响:
问题:“该漏洞对应用可用性具有任何影响么”;回答:“否。”:0.0;“对单个用户是如此。”:0.275;“对不止一个用户是如此。”:0.660
下面的是被嵌入漏洞的分类的下一级别中并且与具体指定价格相关联的漏洞的示例描述:
产生的价格可以被提供给研究方,并且现有的支付网络或其它转账系统可以被用于将等价于该价格的费用、或其它项目或虚拟货币转给研究方。在实施例中,定价被标准化而不分客户;这在研究方团体之间设立预期值,所以他们通常知道他们是否找到了他们将得到指定的金额的具体硬漏洞。
再次参照图3,在实施例中,在块322处,如上面针对图1的块118所一般描述的,过程向客户提供通知。在实施例中,启动点计算机206可以容宿持应用程序、web服务器、或提供(服务提供商的客户可以登录到其中的)分开的门户的等价物。在实施例中,由管理计算机207提供的客户门户可以使得客户能够经由管理员计算机240来获得和显示例如已经被研究方计算机202识别、并根据被测网络208内的具体资产被组织的漏洞的视图。在此情境中,资产可以包括计算机、网络基础设施的元件、应用、或其它节点或项目。在一个实施例中,客户门户使得客户能够改变具体漏洞的状态以识别客户已经针对相关联的资产或针对漏洞整体所采取的补救步骤。在实施例中,控制逻辑224可以被配置为将表示漏洞报告和/或补救努力的数据输出到诸如(可从澳大利亚悉尼的AtlassianPty有限责任公司商购的)JIRA之类的缺陷追踪应用。
在实施例中,控制逻辑224可以被配置为促进管理员计算机240和与识别具体漏洞的研究方相关联的具体研究方计算机202之间的直接通信。在这样的实施例中,启动点计算机206可以充当用于这样的通信的中间媒介,并且可以记录消息,或用作消息存储和转发服务,管理员计算机240可以使用消息存储和转发服务构成消息并且请求配送到具体研究方计算机202。以这种方式,启动点计算机206的具体客户的管理员计算机240可以重新接入研究方计算机202,例如以请求重新验证来检查具体漏洞是否因为客户执行的补救操作而被成功地修正或修补。在一些实施例中,考虑到这样的重新评价,管理计算机207或另一系统可以将固定的费用转给研究方计算机202。
在实施例中,在图3的块314处,过程准备反馈数据并且将反馈数据提供给数据库240和/或自动风险扫描仪204。例如,控制逻辑224可以被配置为将具体漏洞转换为漏洞的通用描述从而使得相同种类或类型的漏洞能够在相同类型的其它app中被发现。通用描述可以根据通用协议被格式化或者可以根据与具体的一个或多个自动风险扫描仪204兼容的操作、语法、语义或配置数据来表达。以这种方式,由任何研究方计算机202识别的具体漏洞可以被用于更新自动漏洞扫描仪204,以使得随着时间过去对于研究方计算机来说找到新的漏洞变得更困难。
在块316处,如上面针对图1的块120所一般描述的,一个或多个主机评估操作可以被执行。在一个实施例中,主机评估包括生成表示被测网络208中的具体资产的情形或硬件配置和软件配置的一组或多组独特标识(fingerprint)数据。在实施例中,独特标识数据可以代表补丁级别的资产的配置,并且独特标识数据可以被提供给自动漏洞扫描仪204以许可对硬件、软件、和服务进行改进的扫描。任何形式的签名数据可以被使用,例如关于应用语义的。
4.用于提升计算机软件漏洞发现的安全评估激励程序
实施例可以被用于实现激励程序以诱导或鼓励研究方计算机202来定位漏洞。在一个实施例中,如上面针对图1和图3描述的,识别计算机漏洞的过程可以集成向研究方提供、确定和支付费用作为发现漏洞的诱因。在一个实施例中,通过发布将被付出的费用的大概范围,和关于具体漏洞的漏洞评分如何被映射到该范围内以产生具体费用的信息,这样的方法的诱因利益可以被提升。以这种方式,本领域的研究方接收关于费用将被如何确定和支付的客观上能理解的信息,这将会提高对整个方法和系统的信任。
在另一实施例中,图1、图3的方法可以用游戏化的操作来补充。例如,在一个实施例中,图1、图3的方法还包括,和/或控制逻辑224被配置为提供,向具体漏洞分配若干分数,而不仅是某一费用。例如,代表如图4A所示的漏洞的元数据还可以包括最小分值和最大分值,且图4B的过程还可以包括,通过将漏洞评分映射至由最小分值和最大分值限定的分的范围之内,确定具体漏洞的具体分值。在各种实施例中,可以使用线性映射或非线性映射、加权和/或比例映射来确定具体分值。在一个实施例中,映射可以使用混合映射函数,该函数将漏洞评分值、代表漏洞报告或提交的质量的提交质量评分、被测网络208中的资产的感知值、和/或其他值混合。
进一步地,图1、图3、和/或控制逻辑224可以被配置为创建、存储和/或使得显示排行榜,该排行榜标识研究方计算机202和研究方已赚得或获得的总分值或具体分值。
图1、图3、和/或控制逻辑224可以被配置为确定被奖励给在具体奖励期间内(比如,具体月份内)获得了最高分的研究方计算机202或研究方的一个或多个奖品。
图1、图3、和/或控制逻辑224可以被配置为创建、存储和/或使得显示数据,这些数据基于研究方所赚得或者被奖励给的总分代表具体研究方计算机202的完成程度。例如,具体成绩可以与识别具体数目的漏洞、赚得具体数目的分数、或赚得具体总额的费用相关联。每一成果可以与诸如徽章的图标相关联,或可以与奖品、费用、虚拟货币、对事件的许可、或其他奖赏,或对研究方或研究方计算机202的认可相关联。
图1、图3、和/或控制逻辑224可以被配置为促进将分数兑现为与研究方计算机202的白帽角色一致的事物。例如,图1、图3、和/或控制逻辑224可以被配置为促进将在任意前述的实施例中被奖励的分数兑换为旅行、礼物、餐券或其他物品。图1、图3、和控制逻辑224可以被配置为使用到外部系统的接口并根据规定的转换比率执行使用这些方法或系统赚得的分数到外部系统(包括积分系统)的转换,其中规定的转换比率将发现计算机漏洞所赚得的分数变换为航线分数、宾馆分数、就餐分数、或第三方系统的其他种类的分数
5.实施方式示例一硬件概述
根据一个实施例,这里所描述的技术由一个或多个专用计算设备来实现。专用计算设备可以为硬连线的以执行这些技术,或可以包括被永久地编程为执行这些技术的数字电子设备(比如,一个或多个专用集成电路(ASIC)或者现场可编程门阵列(FPGA)),或者可以包括被编程为依照固件、存储器、其他存储设备、或其组合中的程序指令来执行这些技术的一个或多个通用处理器。这样的专用计算设备还可以将定制的硬连线逻辑、ASIC、或FPGA与定制编程相组合来完成这些技术。专用计算设备可以为台式计算机系统、便携式计算系统、手持设备、联网设备、或包含用于实现这些技术的硬连线和/或程序逻辑的任何其他设备。
例如,图5为示出了计算机系统500的框图,本发明的实施例可以在计算机系统500上被实现。计算机系统500包括用于传送信息的总线502或其他通信机制,和与总线502相耦合的、用于处理信息的硬件处理器504。例如,硬件处理器504可以为通用微处理器。
计算机系统500还包括耦合至总线502的、用于存储信息和将由处理器504执行的指令的主存储器506,比如,随机访问存储器(RAM)或其他动态存储器设备。主存储器506还可以被用于存储在将由处理器504执行的指令的执行期间的临时变量或其他中间信息。这些指令,当存储于可被处理器504访问的非易失性存储介质中时,使得计算机系统500成为专用机,该专用机被定制为执行在这些指令中所指定的操作。
计算机系统500还包括耦合至总线502的、用于存储静态信息和用于处理器504的指令的只读存储器(ROM)508或其他静态存储器设备。存储器设备510(比如,磁盘或光盘)被提供给并耦合至总线502以用于存储信息和指令。
计算机系统500可以通过总线502被耦合至诸如阴极射线管(CRT)之类的显示器512,以向计算机用户显示信息。包括字母数字和其他键的输入设备514被耦合至总线502,以向处理器504传送信息和命令选择。另一类型的用户输入设备为用于向处理器504传送光标方向信息和命令选择并用于控制光标在显示器512上的移动的光标控制516,比如,鼠标、轨迹球、或光标方向键。这一输入设备通常具有允许设备在平面中指定位置的在两个轴(第一轴(例如,x)和第二轴(例如,y))上的两个自由度。
计算机系统500可以使用定制的硬连线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑来实现这里描述的技术,其中定制的硬连线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑与计算机系统相结合使得计算机系统500成为或将计算机系统500编程为专用机。根据一个实施例,响应于处理器504执行包含于主存储器506中的一条或多条指令的一个或多个序列,这里的技术被计算机系统500执行。这样的指令可以从诸如存储器设备510之类的另一存储介质读入主存储器506。包含于主存储器506中的指令序列的执行使得处理器504执行这里描述的过程步骤。在可替代的实施例中,硬连线电路可被用于替换软件指令或与软件指令相组合。
这里使用的术语“存储介质”指的是存储使得机器以指定方式运行的数据和/或指令的任何非暂态介质。这样的存储介质可以包括非易失性介质和/或易失性介质。非易失性介质包括,例如,诸如存储设备510之类的光盘或磁盘。易失性介质包括诸如主存储器506之类的动态存储器。存储介质的常见形式包括,例如,软盘、柔性盘、硬盘、固态驱动、磁带、或任何其他磁性数据存储介质、CD-ROM、任何其他光数据存储介质、任何具有孔状图案的物理介质、RAM、PROM、和EPROM、FLASH-EPROM、NVRAM、任何其他存储器片或存储盒。
存储介质与传输介质不同,但可以与传输介质结合使用。传输介质参与在存储介质之间转移信息。例如,传输介质包括(包括包含总线502的线的)同轴线缆、铜线和光纤。传输介质还可以采用声波或光波的形式,比如,在无线电波和红外数据通信过程中生成的那些波。
在将一条或多条指令的一个或多个序列运送至处理器504以供执行中可能涉及各种形式的介质。例如,指令最初可能由远程计算机的磁盘或固态驱动来承载。远程计算机可以将这些指令加载它的动态存储器中,并使用调制解调器在电话线上发送这些指令。位于计算机系统500本地的调制解调器能够接收电话线上的数据,并利用红外发送器将这些数据转化为红外信号。红外检测器可以接收该红外信号中携带的数据,并且适当的电路可以将这些数据放于总线502上。总线502将这些数据运送至主存储器506,处理器504从主存储器5-6取回并执行该指令。主存储器506所接收到的指令可以可选地在被处理器504执行之前或之后被存储于存储器设备510上。
计算机系统500还包括耦合至总线502的通信接口518。通信接口518提供双向数据通信,该通信耦合至连接至本地网络522的网络链路520。例如,通信接口518可以为用于向相应类型的电话线提供对数据通信连接的综合业务数字网(ISDN)卡、线缆调制解调器、卫星调制解调器、或调制解调器。作为另一示例,通信接口518可以为用于向兼容性LAN提供数据通信连接为局域网(LAN)卡。无线连接也可以被实现。在任何这样的实现方式中,通信接口518发送和接收携带了代表各种类型的信息的数字数据流的电信号、电磁信号、或光信号。
通常,网络链路520通过一个或多个网络向其他数据设备提供数据通信。例如,网络链路520可以通过本地网络522提供到主计算机524或者由互联网服务提供商(ISP)526操作的数据设备的连接。ISP526继而通过世界范围的数据通信网络(现在通常称为“互联网”)528提供数据通信服务。本地网络522和互联网528均使用携带数字数据流的电信号、电磁信号、或光信号。这些通过各种网络的信号,和在网络链路520上并通过通信接口518的信号是传输介质的示例形式,这些信号将数字数据运送至计算机系统500并从中运送出数据。
计算机系统500能够通过(一个或多个)网络、网络链路520和通信接口518发送消息和接收数据(包括程序代码)。在互联网的示例中,服务器530可以通过互联网528、ISP526、本地网络522和通信接口518传输为应用程序请求的代码。
当被接收时,所接收的代码可以被处理器504执行,和/或存储于存储设备510、或其他非易失性存储设备中以供以后执行。
6.扩展和替换
在上述说明书中,已经通过参考大量可能随实现方式而改变的具体细节描述了本发明的实施例。相应地,说明书和附图被认为是示例性的,而非限制性意义上的。本发明的范围的唯一和排他的指示和申请人所意指的本发明的范围是,从该申请得出的一组权利要求的以这样的权利要求被公布的具体形式的字面和等价的范围,包括任何后续的修改。
Claims (15)
1.一种数据处理方法,包括:
使用计算机,邀请分布式的多个研究方计算机参与一个或多个计算机漏洞研究项目,所述计算机漏洞研究项目被用于识别由第三方所有或操作的一个或多个系统的计算机漏洞;
使用所述计算机,将与具体被测系统有关的具体计算机漏洞研究项目分配给所述研究方计算机的子集中的具体研究方计算机;
使用逻辑上居于所述具体研究方计算机和所述具体被测系统之间的控制逻辑,监控所述具体研究方计算机和所述具体被测系统之间的联网数据通信,并且基于监控得到的所述联网数据通信创建评估所述具体研究方计算机的评估数据,其中所述通信与试图识别所述具体被测系统的候选安全漏洞有关;
验证从所述具体研究方计算机接收到的、所述具体被测系统的候选安全漏洞的报告;
至少部分地基于所述报告,对所述具体被测系统执行一个或多个补救操作。
2.如权利要求1的所述方法,其中,所述具体被测系统包括终端站计算机、服务器计算机、云计算实例、云计算资源、路由器、交换机、防火墙、网关、数据库服务器、应用服务器、web应用、或移动应用中的任何一个。
3.如权利要求1或2所述的方法,其中,所述计算机漏洞包括安全漏洞、网络漏洞、机会、或数据泄露中的任何一个。
4.如权利要求1-3中的任一项所述的方法,还包括:对所述第三方的安全态势执行初始评估。
5.如权利要求1-4中的任一项所述的方法,还包括:通过准备所述被测系统内的网络或一组计算机的拓扑结构来创建具体计算机漏洞研究项目的记录。
6.如权利要求1-5中的任一项所述的方法,还包括:通过准备对所述被测系统中的具体资产的描述来创建具体计算机漏洞研究项目的记录。
7.如权利要求1-6中的任一项所述的方法,其中,将具体计算机漏洞研究项目分配给所述研究方计算机的子集中的具体研究方计算机包括:将所述被测系统的网络地址或域地址提供给所述具体研究方计算机。
8.如权利要求1-7中的任一项所述的方法,其中,将具体计算机漏洞研究项目分配给所述研究方计算机的子集中的具体研究方计算机包括:向所述具体研究方计算机提供所述被测系统的部分或完整的访问证书。
9.如权利要求1-8中的任一项所述的方法,其中,所述验证包括:在接收到所述报告之后,尝试复制所述候选安全漏洞。
10.一种数据处理系统,包括:
第一计算机,该第一计算机通信地耦合至多个被测系统、自动化扫描系统、和漏洞数据库,并且该第一计算机逻辑上居于介于所述多个被测系统和分布式的多个研究方计算机之间的网络拓扑结构中;
在所述第一计算机中的一个或多个非暂态计算机可读存储介质,所述计算机可读存储介质存储一个或多个指令的序列,当所述一个或多个指令的序列被执行时,使得以下操作被执行:
使用所述第一计算机,邀请分布式的多个研究方计算机参与一个或多个计算机漏洞研究项目,所述一个或多个计算机漏洞研究项目被用于识别由第三方所有或操作的一个或多个系统的计算机漏洞;
将与具体被测系统有关的具体计算机漏洞研究项目分配给所述研究方计算机的子集中的具体研究方计算机;
使用第二计算机,监控所述具体研究方计算机和所述具体被测系统之间的联网数据通信,并且基于监控得到的所述联网数据通信创建评估所述具体研究方计算机的评估数据,其中所述通信与试图识别所述具体被测系统的候选安全漏洞有关;
验证从所述具体研究方计算机接收到的、所述具体被测系统的候选安全漏洞的报告;
至少部分地基于所述报告,对所述具体被测系统执行一个或多个补救操作。
11.如权利要求10的数据处理系统,其中,在所述第一计算机中的所述一个或多个非暂态计算机可读存储介质存储一个或多个指令的序列,当所述一个或多个指令的序列被执行时,进一步使得以下操作被执行:
对所述第三方的安全态势执行初始评估。
12.如权利要求10或11所述的数据处理系统,其中,在所述第一计算机中的所述一个或多个非暂态计算机可读存储介质存储一个或多个指令的序列,当所述一个或多个指令的序列被执行时,进一步使得以下操作被执行:
通过准备所述被测系统内的网络或一组计算机的拓扑结构来创建具体计算机漏洞研究项目的记录。
13.如权利要求10-12中的任一项所述的数据处理系统,其中,在所述第一计算机中的所述一个或多个非暂态计算机可读存储介质存储一个或多个指令的序列,当所述一个或多个指令的序列被执行时,进一步使得以下操作被执行:
通过准备对所述被测系统中的具体资产的描述来创建具体计算机漏洞研究项目的记录。
14.如权利要求10-13中的任一项所述的数据处理系统,其中,将具体计算机漏洞研究项目分配给所述研究方计算机的子集中的具体研究方计算机包括:将所述被测系统的网络地址或域地址提供给所述具体研究方计算机。
15.如权利要求10-14中的任一项所述的数据处理系统,其中,将具体计算机漏洞研究项目分配给所述研究方计算机的子集中的具体研究方计算机包括:向所述具体研究方计算机提供所述被测系统的部分或完整的访问证书。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/271,110 US9015847B1 (en) | 2014-05-06 | 2014-05-06 | Computer system for distributed discovery of vulnerabilities in applications |
| US14/271,110 | 2014-05-06 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105100042A true CN105100042A (zh) | 2015-11-25 |
| CN105100042B CN105100042B (zh) | 2019-11-05 |
Family
ID=52822724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510226765.1A Active CN105100042B (zh) | 2014-05-06 | 2015-05-06 | 用于对应用中的漏洞进行分布式发现的计算机系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (7) | US9015847B1 (zh) |
| EP (1) | EP2942750B1 (zh) |
| CN (1) | CN105100042B (zh) |
| AU (1) | AU2015202373B2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9888026B2 (en) | 2014-05-06 | 2018-02-06 | Synack, Inc. | Computer system for distributed discovery of vulnerabilities in applications |
| CN110365625A (zh) * | 2018-04-09 | 2019-10-22 | 国家计算机网络与信息安全管理中心 | 物联网安全检测方法、装置及存储介质 |
| CN110521177A (zh) * | 2016-12-29 | 2019-11-29 | 编年史有限责任公司 | 收集攻陷指示器用于安全威胁检测 |
| CN110708279A (zh) * | 2019-08-19 | 2020-01-17 | 中国电子科技网络信息安全有限公司 | 一种基于群体智能的漏洞挖掘模型构建方法 |
| CN112100620A (zh) * | 2020-09-04 | 2020-12-18 | 百度在线网络技术(北京)有限公司 | 代码安全检测方法、装置、设备和可读存储介质 |
| CN113228590A (zh) * | 2019-03-14 | 2021-08-06 | 甲骨文国际公司 | 利用安全服务引擎来评估安全网关元件上的安全漏洞的方法、系统和计算机可读介质 |
Families Citing this family (85)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014134630A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Modeling social behavior |
| CN106155298B (zh) * | 2015-04-21 | 2019-11-08 | 阿里巴巴集团控股有限公司 | 人机识别方法及装置、行为特征数据的采集方法及装置 |
| CN106656924A (zh) * | 2015-10-30 | 2017-05-10 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
| CN105704119B (zh) * | 2015-12-31 | 2018-10-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种确定网络安全态势分布的方法及装置 |
| US10268824B2 (en) * | 2016-03-01 | 2019-04-23 | Wipro Limited | Method and system for identifying test cases for penetration testing of an application |
| CN107358104A (zh) * | 2016-05-09 | 2017-11-17 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及对象检测系统 |
| US9660870B1 (en) * | 2016-06-08 | 2017-05-23 | Synack, Inc. | Systems and methods of soft patching security vulnerabilities |
| US9727738B1 (en) * | 2016-06-08 | 2017-08-08 | Synack, Inc. | Patch validation via replay and remediation verification |
| US11012466B2 (en) * | 2016-07-13 | 2021-05-18 | Indrasoft, Inc. | Computerized system and method for providing cybersecurity detection and response functionality |
| US10291643B2 (en) * | 2016-07-29 | 2019-05-14 | Praetorian Group, Inc. | Method and system for validating a vulnerability submitted by a tester in a crowdsourcing environment |
| US10972494B2 (en) | 2016-10-10 | 2021-04-06 | BugCrowd, Inc. | Vulnerability detection in IT assets by utilizing crowdsourcing techniques |
| US9934138B1 (en) | 2016-12-07 | 2018-04-03 | International Business Machines Corporation | Application testing on a blockchain |
| US11201888B2 (en) | 2017-01-06 | 2021-12-14 | Mastercard International Incorporated | Methods and systems for discovering network security gaps |
| US10122750B2 (en) | 2017-01-30 | 2018-11-06 | XM Cyber Ltd | Setting-up penetration testing campaigns |
| EP3560170A4 (en) | 2017-01-30 | 2020-07-29 | XM Cyber Ltd. | NETWORKED SYSTEM PENETRATION TEST |
| US10686822B2 (en) | 2017-01-30 | 2020-06-16 | Xm Cyber Ltd. | Systems and methods for selecting a lateral movement strategy for a penetration testing campaign |
| US10257220B2 (en) | 2017-01-30 | 2019-04-09 | Xm Cyber Ltd. | Verifying success of compromising a network node during penetration testing of a networked system |
| US10068095B1 (en) | 2017-05-15 | 2018-09-04 | XM Cyber Ltd | Systems and methods for selecting a termination rule for a penetration testing campaign |
| EP3593305A4 (en) | 2017-03-08 | 2020-10-21 | IP Oversight Corporation | SYSTEM AND PROCEDURE FOR GENERATING TOKENS SECURED BY THE VALUE OF GOODS FROM RESERVES |
| US10581802B2 (en) | 2017-03-16 | 2020-03-03 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for advertising network security capabilities |
| US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
| US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
| US10534917B2 (en) | 2017-06-20 | 2020-01-14 | Xm Cyber Ltd. | Testing for risk of macro vulnerability |
| US10574684B2 (en) | 2017-07-09 | 2020-02-25 | Xm Cyber Ltd. | Locally detecting phishing weakness |
| US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US10719609B2 (en) | 2017-08-14 | 2020-07-21 | Onapsis, Inc. | Automatic impact detection after patch implementation with entry point finder |
| US11443046B2 (en) | 2017-08-14 | 2022-09-13 | Onapsis, Inc. | Entry point finder |
| US20190052602A1 (en) * | 2017-08-14 | 2019-02-14 | Onapsis, lnc. | Generating rules to detect security vulnerabilities based on vulnerability primitives with entry point finder |
| US10572669B2 (en) | 2017-08-14 | 2020-02-25 | Onapsis, Inc. | Checking for unnecessary privileges with entry point finder |
| CN107392033B (zh) * | 2017-08-30 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 一种安卓设备渗透测试系统及其自动化渗透测试方法 |
| US10412112B2 (en) | 2017-08-31 | 2019-09-10 | Xm Cyber Ltd. | Time-tagged pre-defined scenarios for penetration testing |
| US10447721B2 (en) | 2017-09-13 | 2019-10-15 | Xm Cyber Ltd. | Systems and methods for using multiple lateral movement strategies in penetration testing |
| WO2019097382A1 (en) | 2017-11-15 | 2019-05-23 | Xm Cyber Ltd. | Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign |
| CN108053103A (zh) * | 2017-12-05 | 2018-05-18 | 广州发展集团股份有限公司 | 一种科研信息统计管理系统 |
| US20190180276A1 (en) | 2017-12-07 | 2019-06-13 | Bank Of America Corporation | Automated Event Processing Computing Platform for Handling and Enriching Blockchain Data |
| US11196747B2 (en) | 2017-12-07 | 2021-12-07 | Bank Of America Corporation | Automated event processing computing platform for handling and enriching blockchain data |
| US11853932B2 (en) | 2017-12-19 | 2023-12-26 | Bugcrowd Inc. | Intermediated communication in a crowdsourced environment |
| US11188897B2 (en) | 2018-02-13 | 2021-11-30 | Bank Of America Corporation | Multi-tiered digital wallet security |
| US10440044B1 (en) | 2018-04-08 | 2019-10-08 | Xm Cyber Ltd. | Identifying communicating network nodes in the same local network |
| US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
| US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
| US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
| US11755584B2 (en) | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
| US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
| US11025638B2 (en) | 2018-07-19 | 2021-06-01 | Forcepoint, LLC | System and method providing security friction for atypical resource access requests |
| US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
| US10382473B1 (en) | 2018-09-12 | 2019-08-13 | Xm Cyber Ltd. | Systems and methods for determining optimal remediation recommendations in penetration testing |
| US11025659B2 (en) * | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
| US11418528B2 (en) * | 2018-11-02 | 2022-08-16 | Rapid7, Inc. | Dynamic best path determination for penetration testing |
| US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
| US10469521B1 (en) | 2018-11-04 | 2019-11-05 | Xm Cyber Ltd. | Using information about exportable data in penetration testing |
| US10574687B1 (en) | 2018-12-13 | 2020-02-25 | Xm Cyber Ltd. | Systems and methods for dynamic removal of agents from nodes of penetration testing systems |
| WO2020161532A1 (en) | 2019-02-06 | 2020-08-13 | Xm Cyber Ltd. | Taking privilege escalation into account in penetration testing campaigns |
| US11283827B2 (en) | 2019-02-28 | 2022-03-22 | Xm Cyber Ltd. | Lateral movement strategy during penetration testing of a networked system |
| CN110008710B (zh) * | 2019-04-15 | 2022-11-18 | 上海交通大学 | 基于深度强化学习和程序路径插桩的漏洞检测方法 |
| US11206281B2 (en) | 2019-05-08 | 2021-12-21 | Xm Cyber Ltd. | Validating the use of user credentials in a penetration testing campaign |
| WO2020241757A1 (ja) * | 2019-05-30 | 2020-12-03 | 株式会社Hirotsuバイオサイエンス | 情報処理装置 |
| SG11202001961VA (en) * | 2019-06-27 | 2020-04-29 | Alibaba Group Holding Ltd | Managing cybersecurity vulnerabilities using blockchain networks |
| US10637883B1 (en) | 2019-07-04 | 2020-04-28 | Xm Cyber Ltd. | Systems and methods for determining optimal remediation recommendations in penetration testing |
| US11489854B2 (en) | 2019-07-30 | 2022-11-01 | Nagravision S.A. | Techniques for incentivized intrusion detection system |
| US10880326B1 (en) | 2019-08-01 | 2020-12-29 | Xm Cyber Ltd. | Systems and methods for determining an opportunity for node poisoning in a penetration testing campaign, based on actual network traffic |
| US11533329B2 (en) | 2019-09-27 | 2022-12-20 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
| US11005878B1 (en) | 2019-11-07 | 2021-05-11 | Xm Cyber Ltd. | Cooperation between reconnaissance agents in penetration testing campaigns |
| US11283828B2 (en) * | 2020-01-17 | 2022-03-22 | International Business Machines Corporation | Cyber-attack vulnerability and propagation model |
| US11489862B2 (en) | 2020-01-22 | 2022-11-01 | Forcepoint Llc | Anticipating future behavior using kill chains |
| US11575700B2 (en) | 2020-01-27 | 2023-02-07 | Xm Cyber Ltd. | Systems and methods for displaying an attack vector available to an attacker of a networked system |
| US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
| US11080109B1 (en) | 2020-02-27 | 2021-08-03 | Forcepoint Llc | Dynamically reweighting distributions of event observations |
| US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
| US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
| US11080032B1 (en) | 2020-03-31 | 2021-08-03 | Forcepoint Llc | Containerized infrastructure for deployment of microservices |
| US11582256B2 (en) | 2020-04-06 | 2023-02-14 | Xm Cyber Ltd. | Determining multiple ways for compromising a network node in a penetration testing campaign |
| US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
| US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
| US11509677B2 (en) * | 2020-05-05 | 2022-11-22 | Uber Technologies, Inc. | Automatically detecting vulnerability remediations and regressions |
| US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
| US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
| US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
| US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
| US11683335B2 (en) | 2021-01-15 | 2023-06-20 | Bank Of America Corporation | Artificial intelligence vendor similarity collation |
| US11757904B2 (en) | 2021-01-15 | 2023-09-12 | Bank Of America Corporation | Artificial intelligence reverse vendor collation |
| US11895128B2 (en) | 2021-01-15 | 2024-02-06 | Bank Of America Corporation | Artificial intelligence vulnerability collation |
| CN114363221B (zh) * | 2021-12-29 | 2024-05-03 | 武汉烽火信息集成技术有限公司 | 一种基于微服务系统的心跳检测方法、存储介质、电子设备及系统 |
| CN114329300B (zh) * | 2022-03-14 | 2022-05-20 | 中南大学 | 基于数据安全性的多方投影方法及多方生产数据分析方法 |
| US12010003B1 (en) | 2023-01-26 | 2024-06-11 | Bank Of America Corporation | Systems and methods for deploying automated diagnostic engines for identification of network controls status |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030009696A1 (en) * | 2001-05-18 | 2003-01-09 | Bunker V. Nelson Waldo | Network security testing |
| US20080256638A1 (en) * | 2007-04-12 | 2008-10-16 | Core Sdi, Inc. | System and method for providing network penetration testing |
| US8087088B1 (en) * | 2006-09-28 | 2011-12-27 | Whitehat Security, Inc. | Using fuzzy classification models to perform matching operations in a web application security scanner |
| US20120239459A1 (en) * | 2009-05-18 | 2012-09-20 | Microsoft Corporation | Modeling a plurality of contests at a crowdsourcing node |
| US20140123295A1 (en) * | 2012-10-22 | 2014-05-01 | Nt Objectives, Inc. | Systems and methods for advanced dynamic analysis scanning |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030051163A1 (en) * | 2001-09-13 | 2003-03-13 | Olivier Bidaud | Distributed network architecture security system |
| JP2005530239A (ja) * | 2002-06-18 | 2005-10-06 | コンピュータ アソシエイツ シンク,インコーポレイテッド | エンタプライズアセットを管理する方法及びシステム |
| JP2006511855A (ja) * | 2002-12-13 | 2006-04-06 | コンピュータ アソシエイツ シンク,インコーポレイテッド | コンテント管理システム |
| WO2007025279A2 (en) * | 2005-08-25 | 2007-03-01 | Fortify Software, Inc. | Apparatus and method for analyzing and supplementing a program to provide security |
| GB2459629A (en) * | 2007-02-16 | 2009-11-04 | Veracode Inc | Assessment and analysis of software security flaws |
| WO2008109770A2 (en) * | 2007-03-06 | 2008-09-12 | Core Sdi, Incorporated | System and method for providing application penetration testing |
| US8555393B2 (en) * | 2009-12-03 | 2013-10-08 | Verizon Patent And Licensing Inc. | Automated testing for security vulnerabilities of devices |
| US8516596B2 (en) * | 2010-01-26 | 2013-08-20 | Raytheon Company | Cyber attack analysis |
| US8626827B1 (en) * | 2011-03-25 | 2014-01-07 | Amazon Technologies, Inc. | Programmatically simulating system conditions |
| US9032528B2 (en) * | 2011-06-28 | 2015-05-12 | International Business Machines Corporation | Black-box testing of web applications with client-side code evaluation |
| US9904786B2 (en) * | 2013-01-17 | 2018-02-27 | International Business Machines Corporation | Identifying stored security vulnerabilities in computer software applications |
| US9405915B2 (en) * | 2013-03-14 | 2016-08-02 | Whitehat Security, Inc. | Techniques for correlating vulnerabilities across an evolving codebase |
| US9015847B1 (en) | 2014-05-06 | 2015-04-21 | Synack, Inc. | Computer system for distributed discovery of vulnerabilities in applications |
| US9413780B1 (en) * | 2014-05-06 | 2016-08-09 | Synack, Inc. | Security assessment incentive method for promoting discovery of computer software vulnerabilities |
| US9824222B1 (en) * | 2014-05-06 | 2017-11-21 | Synack, Inc. | Method of distributed discovery of vulnerabilities in applications |
| US10140455B2 (en) * | 2016-04-19 | 2018-11-27 | Synack, Inc. | Distributed system for discovery of vulnerabilities in applications including detecting and/or filtering out vulnerability duplicates |
| US10291643B2 (en) * | 2016-07-29 | 2019-05-14 | Praetorian Group, Inc. | Method and system for validating a vulnerability submitted by a tester in a crowdsourcing environment |
| US10579803B1 (en) * | 2016-11-17 | 2020-03-03 | Jpmorgan Chase Bank, N.A. | System and method for management of application vulnerabilities |
-
2014
- 2014-05-06 US US14/271,110 patent/US9015847B1/en active Active
-
2015
- 2015-02-17 US US14/624,361 patent/US9177156B1/en active Active
- 2015-04-30 EP EP15166012.3A patent/EP2942750B1/en active Active
- 2015-05-05 AU AU2015202373A patent/AU2015202373B2/en active Active
- 2015-05-06 CN CN201510226765.1A patent/CN105100042B/zh active Active
- 2015-09-09 US US14/849,398 patent/US9350753B2/en active Active
-
2016
- 2016-05-20 US US15/161,143 patent/US9473524B2/en active Active
- 2016-09-19 US US15/269,639 patent/US9888026B2/en active Active
-
2018
- 2018-01-17 US US15/873,773 patent/US10462174B2/en active Active
-
2019
- 2019-10-25 US US16/664,577 patent/US11171981B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030009696A1 (en) * | 2001-05-18 | 2003-01-09 | Bunker V. Nelson Waldo | Network security testing |
| US8087088B1 (en) * | 2006-09-28 | 2011-12-27 | Whitehat Security, Inc. | Using fuzzy classification models to perform matching operations in a web application security scanner |
| US20080256638A1 (en) * | 2007-04-12 | 2008-10-16 | Core Sdi, Inc. | System and method for providing network penetration testing |
| US20120239459A1 (en) * | 2009-05-18 | 2012-09-20 | Microsoft Corporation | Modeling a plurality of contests at a crowdsourcing node |
| US20140123295A1 (en) * | 2012-10-22 | 2014-05-01 | Nt Objectives, Inc. | Systems and methods for advanced dynamic analysis scanning |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9888026B2 (en) | 2014-05-06 | 2018-02-06 | Synack, Inc. | Computer system for distributed discovery of vulnerabilities in applications |
| US10462174B2 (en) | 2014-05-06 | 2019-10-29 | Synack, Inc. | Computer system for distributed discovery of vulnerabilities in applications |
| US11171981B2 (en) | 2014-05-06 | 2021-11-09 | Synack, Inc. | Computer system for distributed discovery of vulnerabilities in applications |
| CN110521177A (zh) * | 2016-12-29 | 2019-11-29 | 编年史有限责任公司 | 收集攻陷指示器用于安全威胁检测 |
| CN110521177B (zh) * | 2016-12-29 | 2020-10-27 | 编年史有限责任公司 | 收集攻陷指示器用于安全威胁检测 |
| CN110365625A (zh) * | 2018-04-09 | 2019-10-22 | 国家计算机网络与信息安全管理中心 | 物联网安全检测方法、装置及存储介质 |
| CN110365625B (zh) * | 2018-04-09 | 2021-11-26 | 国家计算机网络与信息安全管理中心 | 物联网安全检测方法、装置及存储介质 |
| CN113228590A (zh) * | 2019-03-14 | 2021-08-06 | 甲骨文国际公司 | 利用安全服务引擎来评估安全网关元件上的安全漏洞的方法、系统和计算机可读介质 |
| CN110708279A (zh) * | 2019-08-19 | 2020-01-17 | 中国电子科技网络信息安全有限公司 | 一种基于群体智能的漏洞挖掘模型构建方法 |
| CN110708279B (zh) * | 2019-08-19 | 2021-08-13 | 中国电子科技网络信息安全有限公司 | 一种基于群体智能的漏洞挖掘模型构建方法 |
| CN112100620A (zh) * | 2020-09-04 | 2020-12-18 | 百度在线网络技术(北京)有限公司 | 代码安全检测方法、装置、设备和可读存储介质 |
| CN112100620B (zh) * | 2020-09-04 | 2024-02-06 | 百度在线网络技术(北京)有限公司 | 代码安全检测方法、装置、设备和可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9015847B1 (en) | 2015-04-21 |
| US20180309777A1 (en) | 2018-10-25 |
| US9177156B1 (en) | 2015-11-03 |
| AU2015202373A1 (en) | 2015-11-26 |
| US9350753B2 (en) | 2016-05-24 |
| US10462174B2 (en) | 2019-10-29 |
| US9888026B2 (en) | 2018-02-06 |
| CN105100042B (zh) | 2019-11-05 |
| EP2942750B1 (en) | 2019-01-30 |
| US11171981B2 (en) | 2021-11-09 |
| US9473524B2 (en) | 2016-10-18 |
| AU2015202373B2 (en) | 2020-01-30 |
| US20150381650A1 (en) | 2015-12-31 |
| EP2942750A1 (en) | 2015-11-11 |
| US20160269438A1 (en) | 2016-09-15 |
| US20200145450A1 (en) | 2020-05-07 |
| US20170134417A1 (en) | 2017-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105100042A (zh) | 用于对应用中的漏洞进行分布式发现的计算机系统 | |
| US10521593B2 (en) | Security assessment incentive method for promoting discovery of computer software vulnerabilities | |
| US10915636B1 (en) | Method of distributed discovery of vulnerabilities in applications | |
| Chiregi et al. | A new method for trust and reputation evaluation in the cloud environments using the recommendations of opinion leaders' entities and removing the effect of troll entities | |
| JP7429755B2 (ja) | 検査システム、検査方法、およびコンピュータプログラム | |
| EP3149583B1 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| US10628764B1 (en) | Method of automatically generating tasks using control computer | |
| Sung et al. | Understanding of blockchain-based identity management system adoption in the public sector | |
| Wang et al. | Impact and user perception of sandwich attacks in the defi ecosystem | |
| Carlton | Development of a cybersecurity skills index: A scenarios-based, hands-on measure of non-IT professionals' cybersecurity skills | |
| Mantha et al. | Assessment of the cybersecurity vulnerability of construction networks | |
| El Bekkali et al. | A blockchain-based architecture and framework for cybersecure smart cities | |
| US20220337607A1 (en) | Blockchain data breach security and cyberattack prevention | |
| Grosse et al. | Towards more Practical Threat Models in Artificial Intelligence Security | |
| Talan | Zero Trust Network Access with Cybersecurity Challenges and Potential Solutions | |
| Bellasio et al. | Developing Cybersecurity Capacity | |
| Al-Banna et al. | Crowdsourcing Software Vulnerability Discovery: Models, Dimensions, and Directions | |
| Rajamäki et al. | Governance and management information system for cybersecurity centres and competence hubs | |
| Ferrell | Exploring Senior Executives’ Thoughts to Recognize and Address Cybersecurity Risk | |
| Ahmed et al. | CBES: A framework for Cloud-based E-learning System at SaaS Level | |
| Fox et al. | Cyber Wargaming: Framework for Enhancing Cyber Wargaming with Realistic | |
| ABAZI | A New Approach and Framework for Risk Assessment Maturity | |
| KR20140140724A (ko) | 개방형 피드백 장치 및 이의 동작 방법 | |
| Ciurea | The Informatics Audit-A Collaborative Process | |
| RAJITHA et al. | Effective Cloud-Based Strategies For Managing Online Reputations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |