CN105556526A - 分层威胁智能 - Google Patents
分层威胁智能 Download PDFInfo
- Publication number
- CN105556526A CN105556526A CN201380079668.3A CN201380079668A CN105556526A CN 105556526 A CN105556526 A CN 105556526A CN 201380079668 A CN201380079668 A CN 201380079668A CN 105556526 A CN105556526 A CN 105556526A
- Authority
- CN
- China
- Prior art keywords
- scoring
- threat
- calculated
- entity
- threaten
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0484—Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
- G06F3/04847—Interaction techniques to control parameter settings, e.g. interaction with sliders or dials
Abstract
一种用于提供分层威胁智能的设备包括存储指令的非暂时性机器可读存储介质,所述指令使设备:接收多个威胁管理设备的多个所计算的威胁评分,其中该威胁评分分别与环境信息相关联;基于所计算的威胁评分的第一子集来确定第一实体的第一威胁评分;基于所计算的威胁评分的第二子集来确定第二实体的第二威胁评分;从威胁管理设备的监听器接收第一子集的所计算的威胁评分中的一个威胁评分的更新信息;以及基于该更新信息来更新第一威胁评分。
Description
背景技术
安全信息和事件管理(SIEM,SecurityInformationandEventManagement)技术提供了对网络硬件和应用所产生的安全警报的实时分析。SIEM技术能够检测对计算网络的可能威胁。这些可能威胁能够根据对安全事件的分析来确定。仪表板能够用于呈现关于可能威胁的信息。
附图说明
下面的详细描述参考附图,其中:
图1是根据一个示例的用于确定威胁评分的系统的框图;
图2是根据一个示例的能够基于其他实体的威胁评分来确定威胁评分的系统的框图;
图3是根据一个示例的用于基于另一威胁评分来确定实体的威胁评分的方法的流程图;
图4是根据一个示例的用于基于更新后的所计算威胁评分来更新威胁评分的方法的流程图;
图5是根据一个示例的能够更新并且呈现实体的威胁评分的计算设备的框图;以及
图6是根据一个示例的用于呈现威胁评分的仪表板的示例用户界面的框图。
具体实施方式
安全信息/事件管理(SIM或SIEM)系统一般关注从网络和反映网络活动和/或设备的操作的联网设备来收集数据并且分析该数据以增强安全性。例如,数据可以被分析以识别网络或联网设备上的攻击并且确定哪个用户或机器负有责任。如果攻击正在进行,可以执行对策以挫败攻击或者减轻由攻击造成的损坏。能够被收集的数据可以起源于由联网设备产生的消息(例如,事件、警报、预警等)或日志文件中的条目。示例联网设备包括防火墙、入侵检测系统、服务器等。在一个示例中,每条消息或日志文件条目(“事件”)能够被存储以在将来使用。被存储的事件能够以多种方式来组织。
在因特网和/或其他网络上存在多个基于因特网协议(IP)地址的设备。这些的设备中的许多设备可能有正执行的恶意代码。此外,雇员或其他个体具有对网络的物理访问可能造成安全威胁。应针对任何恶意行为仔细检查从任何潜在恶意设备至企业的通信。另外,来自这些设备的攻击模式的类型和这些设备能够利用的弱点可能差异很大。SIEM技术能够识别大量的威胁,例如,风险和/或攻击程序。然而,对系统的威胁会是对安全分析员或管理员提出的挑战。
因此,本文中的各种实施例描述了与SIEM一起使用的分层威胁实体。威胁实体可以是使用SIEM数据库和/或实时组件(例如,数据监视器)基于对安全事件和模型信息执行查询来计算威胁评分的独立实体。威胁实体可以与一个或多个SIEM实体(例如,演员、资产、团体、用户、区域、类别等)相关联。此信息能够被提供给安全分析员或管理员,他们能快速理解该信息技术(IT)基础设施的安全威胁风险,并且深入分析详细的威胁构成。威胁历史能够被保留,并且能够允许用户观察在顶级以及在子级的威胁趋势。此外,能够基于威胁评分和/或威胁评分的变化来采取自动的动作。例如,如果威胁评分按0-100的百分制,则大于80的威胁评分会导致警报,但大于95的威胁评分会导致威胁实体(例如,用户账户)的禁用。此外,威胁评分能够与安全事件关联以触发附加的警报或动作。例如,如果威胁评分是50,则可以不采取自动的警报和动作,然而,当与进入的安全事件关联时,能够采取警报或其他动作。
威胁评分可以基于各种方法。威胁可以被认为是可能会利用弱点来破坏安全的可能危险,这可能造成可能的危害。威胁可能是蓄意的、偶然的(例如,由于功能故障或不可抗力)或其他的情况、能力、动作或事件。威胁的示例可以包括物理破坏、自然事件、失去重要服务(例如,电力)、技术故障、信息损坏、功能损坏等。
如前所述,威胁可以基于各种情况。找到恶意活动的方法包括经由签名匹配、模式发现和匹配等。模式发现是基于数据挖掘的抢先式方法,用于解决安全信息和事件管理(SIEM)系统所面对的许多挑战。如此,系统能够通过匹配已知签名和/或通过关联安全信息并发现系统中的未知跟踪模式来检查系统异常。
在某些示例中,针对网络的安全信息/事件管理可包括从网络和反映网络活动和/或设备的操作的网络设备收集数据并且分析数据以增强安全性。网络设备的示例可包括防火墙、入侵检测系统、服务器、工作站、个人计算机等。数据能够被分析以检测模式,模式可指示对网络或网络设备的攻击或异常。所检测的模式可以用于例如定位数据中的那些模式。例如,模式可以指示试图访问网络中的计算机并且安装恶意软件的蠕虫或其他类型计算机病毒的活动。
从网络和网络设备收集的数据用于事件。事件可以是能够被监视和被分析的任何活动。针对事件采集的数据被称为事件数据。对所采集的事件数据的分析可以被执行,以确定该事件是否与威胁或一些其他情况相关联。与事件相关联的活动的示例可以包括登陆、退出、通过网络发送数据、发送电子邮件、访问应用、读或写数据、端口扫描、安装软件、访问设施中的房间等。事件数据可以从由网络设备生成的消息、日志文件条目或者从其他源来收集。安全系统还可以产生事件数据,例如,关联事件和审计事件。
在某些示例中,异常检测还可以通过构建系统的正常模式的基线来实现,该基线被离线地学习。当出现任何异常时,系统能够检测新模式并且向系统管理发警报。除了其他信息,此警报可用于确定威胁评分。
图1是根据一个示例的用于确定威胁评分的系统的框图。系统100可以包括经由通信网络110与监听器104通信的威胁管理设备102a-102n,以及其他设备(未示出)。在某些示例中,通信网络110还可以允许连接至仪表板设备106。在一些示例中,仪表板设备106可以是威胁管理设备。在某些示例中,威胁管理设备102、监听器104、和/或仪表板设备106是计算设备,例如服务器、客户端计算机、桌面计算机、移动计算机、工作站等。在其他实施例中,这些设备可以包括专用机器。这些设备可以经由处理元件、存储器和/或其他组件来实现。
威胁管理设备102可以包括与在该通信网络110或其他网络上的其他设备通信的通信模块122。威胁管理设备102还可以包括数据监视器124。数据监视器124能用于接收关于一个或多个设备或实体的的信息。在某些示例中,数据监视器可以将事件与增强信息关联。例如,数据监视器可以从安全事件和关联获得信息,并且提供附加信息,例如每小时计数、事件图(联系分析可视化)、地理事件图、分层图、关于最后的“N”个事件的信息、最后的状态、一个或多个规则、统计、事件以及会话和解的部分匹配、系统和系统属性监视器、资产类别计数等。
威胁管理设备102还包括用于确定实体的评分的评分模块126。如前所述,威胁实体可以被认为是使用SIEM数据库和/或实时组件基于对安全事件和模型信息执行查询来计算威胁评分的独立实体。实体自身可以基于实体的环境(context)。例如,威胁实体可以包括用户、建筑的区域、访问受控位置、计算信息(例如,受保护的数据库)。威胁评分可以是实体处于可能危险中的表示,该危险可能利用弱点来破坏安全性,这可以造成可能的危害。当针对实体的威胁评分被更新时,信息可以经由通信模块122被发送至监听器104。如上所述,系统能够基于实时监视器实时维护威胁评分。
监听器104能够接收信息。在一些示例中,该信息可以包括威胁实体的威胁评分和标识符。此外,信息可包括威胁管理设备102的标识符或其他环境信息(例如,关于威胁评分可能所基于的其他威胁实体的信息)。监听器104能够将更新后的信息提供至威胁管理设备102和/或仪表板设备106。监听器能够针对设备感兴趣的信息使用各种方法来将消息提供至设备。例如,可以使用公布/预订消息发送方案。在某些示例中,威胁管理设备能够经由监听器104预订一个或多个威胁实体。当针对那些威胁实体的评分被更新至监听器104时,监听器104能够将更新后的信息发送至预订者。在一些示例中,通知能够被发送,并且预订者能够从监听器获取信息或者直接在威胁管理设备处获取信息。其他方法可用于传播信息(例如,请求-应答、推-拉等)。利用这些方法,向威胁管理设备102提供在其分层中可能是较低级的威胁实体的所计算的威胁评分。利用分层也能降低一个威胁实体评分基于另一威胁实体(基于第一威胁实体)的竞争情况的可能性。
在一个示例中,建筑可被分成多个区。每个区可被认为是威胁实体,并且可以包括来自分层中较低级的其他威胁实体(例如,安全门)的信息。分层中较高级的威胁实体(例如建筑)可具有取决于区和/或较低级威胁实体的威胁评分。较高级威胁实体可以经由监听器104预订较低级威胁实体,以接收关于较低级威胁实体的信息。
在某些示例中,从监听器104接收信息的威胁管理设备102可以是仪表板设备106。仪表板能够从通信模块138接收所计算的评分136。此外,通信模块138能够从监听器104接收附加更新,该附加更新能更新和/或改变一个或多个威胁实体的在其他威胁管理设备处计算的评分。评分模块132能够根据将其评分更新至监听器104的威胁管理设备102之一来确定与威胁实体相关联的实体的威胁评分。在一个示例中,该实体根据被更新的威胁实体在分层中是高的。例如,建筑威胁实体可能依赖于在相应地关联的威胁管理设备102处计算的一个或多个区威胁评分。其他威胁管理设备102可使用与仪表板设备106类似的方法基于从监听器104接收的信息来计算评分。
在一些示例中,所计算的威胁评分可被认为是第一顶级威胁评分。这能够经由表示模块134向用户表示。此外,能够基于所计算的威胁评分的第二子集针对第二实体确定第二顶级威胁评分。在建筑示例中,顶级威胁评分可以与第二建筑、包括建筑的场所、场所的国家等相关联。第一顶级威胁评分的第一用户界面要素和第二顶级威胁评分的第二用户界面要素的表示能够被表示。还能够表示附加的顶级评分。在一些示例中,顶级评分是基于至少一个较低级评分的评分。当从监听器接收到与子集的所计算威胁评分中的一个有关的更新信息时,能够基于更新信息来更新第一顶级威胁评分。
如此,表示模块134能够基于更新来表示更新后的第一用户界面要素。该设备能够接收对更新后的第一用户界面要素进行选择的选择输入。当用户界面要素被选择时,表示模块134能够表示第一子集的所计算的威胁评分作为响应。如此,用户能够进一步观察威胁评分的分层。还能够表示与所关联的威胁实体的环境有关的信息。在一些示例中,向用户提供对安全动作的选项(例如,关闭与威胁评分相关联的实体,限制该实体,限制网络访问等),以基于威胁评分来执行。在图6中示出了示例仪表板用户界面的更多细节。
此外,威胁管理设备102(例如仪表板设备106)能够基于威胁评分来执行其他任务。例如,威胁管理设备102能够接收关于事件的信息。安全动作能够基于与和事件信息关联的一个或多个实体相关联的当前威胁评分来产生。安全动作能够基于威胁评分进一步针对输入事件信息而不同。安全动作的示例包括限制对实体的一个或多个组件的访问、引起给管理者的警报、禁止访问一个或多个组件、提供另一类型的响应、向一个或多个所建议的响应方案提供警报,等。
此外,在某些示例中,能够使用系统100来执行关联。如此,威胁评分能够用在其他关联组件如查询、趋势、规则以及数据监视器中。对于每个威胁评分资源,每当该评分改变时,该评分与时间戳可以保存在DB(数据库)中。能够向用户提供用于查看威胁评分随时间段变化的趋势(例如,以曲线图或表的形式)的能力。例如,当前威胁评分对上月、多月等的同时间威胁评分。另一源可以是针对这些威胁评分所产生的内部事件。这些内部事件也能用在规则中。例如,为了当一些坏事发生时或当威胁等级是红色(例如,在阈值水平之上)时或当存在偏离于“正常”活动等级时得到警报。
通信网络110能够使用有线通信、无线通信或其结合。此外,通信网络110能够包括多个子通信网络,例如,数据网络、无线网络、电话网络等。这样的网络能够包括例如公共数据网络,如因特网、局域网(LAN)、广域网(WAN)、城域网(MAN)、电缆网络、光纤光网络、它们的结合等。在某些示例中,无线网络可包括蜂窝网络、卫星通信、无线LAN等。此外,通信网络110可以采用设备之间的直接网络链路的形式。各种通信结构和基础设施能够用于实现通信网络。
通过示例的方式,设备102、104、106经由通信协议或多个协议访问通信网络110与彼此和其他组件通信。协议可以是规定通信网络110的节点如何与其他节点交互的规则的集合。此外,网络节点之间的通信可以通过交换离散数据包或发送消息来实现。包可以包括与协议相关联的头信息(例如,关于要联系的网络节点的位置的信息)以及有效载荷信息。
处理器(例如适于获取和执行指令的中央处理单元(CPU)或微处理器)和/或电子电路能够被配置成执行在本文中描述的各个设备中使用的模块中的任意一个模块的功能。在某些场景中,指令和/或其他信息,例如配置文件、网络应用代码等,能够被包括在存储器中。输入/输出接口可以通过相应的设备被附加地提供。例如,输入设备(例如键盘、触摸界面、鼠标、麦克风等)能够用于从计算设备周围的环境接收输入。此外,输出设备(例如显示器)能够被用于向用户提供或输出信息。输出设备的示例包括扬声器、显示设备、放大器等。此外,在某些实施例中,一些组件能够被用于实现本文所描述的其他组件的功能。输入/输出设备(例如像网络通信设备或无线通信设备一样的通信设备)也能够被认为是能够使用输入/输出接口的设备。
每个模块可包括例如硬件设备,该硬件设备包括用于实现本文所描述的功能的电子电路。另外或作为替代,每个模块可以被实现为在设备的机器可读存储介质上被编码并且可由至少一个处理器执行的一系列指令。应注意,在一些实施例中,一些模块被实现为硬件设备,而其他模块被实现为可执行指令。
图2是根据一个示例的能够基于其他实体的威胁评分来确定威胁评分的系统的框图。评分模块126、132能够用于产生中间级或顶级威胁评分202。在一些示例中,一个实体的顶级威胁评分202可以是在分层中较高的实体的中间级威胁评分。
评分模块能够使用能允许用户选择不同数目的数据源的威胁评分生成器,用户将很可能使用该数据源利用数学公式204来计算最终级或中间级威胁评分。威胁评分生成器可能看上去如表1。
表1:威胁评分生成
在这种场景下,N1206a、N2206b、N3206c…Nn(未示出)是用户能够根据各种数据源(例如,事件资源、其他威胁评分等)产生的数目。数据源可以包括数据查询或对威胁评分的查询208。数据查询可以以仅返回一个数字字段的方式在像会话列表、活动列表、资产等一样的各种资源210a、210b、210c、210n(未示出)上生成。数据源还可以包括像活动表一样的其他源。每个数据源可以被验证,使得其返回仅一个数字数目。
一旦用户选择了各种数目的数据源,则用户将能够通过将数学公式应用在这些数目上来操纵这些数目以计算最终评分(例如,顶级评分或中间级评分)。在一些示例中,当用户在表1中的应用公式上点击时,将出现被称为公式生成器的另一用户界面。
公式生成器将允许用户对其选择的各种数目使用一些数学运算符如(+、-、/、*、sqrt(平方根)等)来计算其最终威胁评分。例如,威胁评分=sqrt((N1*0.08)+(N2*0.04)+4*N4)。在其它示例中,威胁评分可以优先基于特定环境(例如,场所、数据等)的重要性。此外,威胁评分可以是另一威胁评分的最小值或最大值,或者可以在计算中使用这样的函数。
为了累积评分变化,每个威胁评分可以将其自身登记至评分变化监听器组件。每当威胁评分变化时,都会通知评分变化监听器组件。在一些示例中,评分变化监听器组件将负责使用变化的威胁评分来通知其他威胁评分,以基于新值重新计算其评分。这样,每个威胁评分变化将被使用它的其他威胁评分拾取,并且最终,所有评分变化将一直传播到顶部。另外,使用分层限制针对更新的竞争情况的风险。
在一些示例中,被计划的任务能够用于计算一时间间隔内的所有威胁评分。用户将被允许定制用于计算威胁评分的时间表。另外,用户还能够被允许在任何时间手动地重新计算风险评分。
每当威胁评分变化时都能发送内部事件。这些事件能够具有与之前的风险评分、新风险评分有关并且与在自定义字段中的威胁评分的方向(例如,其向上、向下等)有关的信息。这些内部事件能够用于像规则、报告、数据监视器、趋势、活动列表等一样的其他关联组件。
图3是根据一个示例的用于基于另一威胁评分来确定实体的威胁评分的方法的流程图。尽管在下面参考系统100描述了方法300的执行,但用于执行方法300的其他合适组件能够被使用(例如计算设备500)。另外,用于执行方法300的组件可以分布在多个设备之中。方法300可以以被存储在机器可读存储介质(例如存储介质520)上的可执行指令的形式和/或以电子电路的形式来实现。
在302处,诸如仪表板设备106之类的威胁管理设备102能够接收多个威胁管理设备的所计算的威胁评分。这些所计算的威胁评分能够与威胁实体相关。多于一个威胁实体可以被表示在威胁管理设备上。在一些示例中,威胁实体可以表示位置或组织系统。在其它示例中,威胁实体还可以表示演员、资产、团体、用户、区域(例如,建筑的区域)、访问受控位置、类别、计算信息(例如,被保护并且可能被攻击的数据库信息)等。此外,各个威胁实体能够提供环境信息。例如,威胁实体能够包括如环境信息一样的区域或位置,其还可以是分层的。
在304处,设备能够从监听器接收一个或多个所计算的威胁评分的更新通知。监听器能够接收对其他管理设备的所计算威胁评分的更新。此外,当所计算的威胁评分之一变化时会通知监听器。当监听器得到该更新时,更新通知被发送至每个设备,其中包括预订了用于更新该评分的通知的设备。预订信息能够用于跟踪在设备上运行的哪些设备和/或程序对评分感兴趣。该通知能够基于中断系统和/或是周期性的。在306处,设备能够基于更新后的所计算威胁评分和另一威胁评分来确定实体的威胁评分。此外,在一些示例中,其他资源可用于产生威胁评分。产生威胁评分的附加示例能够在图2的描述中找到。
在一些示例中,表示可能由威胁评分造成。不同实体的一个或多个威胁评分能够像图6中的威胁评分一样被表示在仪表板上。交互式用户界面要素能够用于表示威胁评分。当选择用户界面要素时,能够表示对威胁评分的深入分析。如果可用(例如,如果在分层中存在附加的较低级数据点),也能够根据这一级执行其他深入分析。
图4是根据一个示例的用于基于更新后的所计算威胁评分来更新威胁评分的方法的流程图。尽管在下面参考系统100描述了方法400的执行,但用于执行方法400的其他合适组件(例如计算设备500)能够被利用。另外,用于执行方法400的组件可以分布在多个设备之中。方法400可以以被存储在机器可读存储介质(例如存储介质520)上的可执行指令的形式和/或以电子电路的形式来实现。
设备能够等待或者另外从监听器接收针对设备预订的所计算威胁评分的更新(402)。如果存在对所计算的威胁评分的更新,则设备能够更新在其数据库中的威胁评分(404)。这可以基于从监听器接收信息而是自动的。另外,根据变化能够确定趋势信息。例如,趋势信息可以基于之前评分和新评分和/或其他的之前评分。能够确定针对趋势、是否上升、下降或者关于这些的公式。此外,在406处,能够基于更新后的所计算威胁评分来更新顶级威胁评分。能够对更新后的顶级威胁评分做出表示。此外,在一些示例中,能够基于一个或多个之前的顶级威胁评分和更新后的信息来确定顶级威胁评分的趋势信息。趋势信息还能够如图6中进一步示出的那样被表示。如此,趋势信息的表示能够包括基于顶级威胁评分的更新的趋势方向。
图5是根据一个示例的能够更新和表示实体的威胁评分的计算设备的框图。计算设备500包括例如处理器510和机器可读存储介质520,机器可读存储介质520包括用于更新和表示在分层威胁智能环境中的实体的威胁评分。计算设备500可以是例如笔记本计算机、平板设备、便携式阅读设备、无线电子邮件设备、移动电话、工作站、服务器、台式计算机或任意其他计算设备。
处理器510可以是至少一个中央处理单元(CPU)、至少一个基于半导体的微处理器、至少一个图形处理单元(GPU)、适合于获取并执行在机器可读存储介质520中存储的指令的其他硬件设备、或它们的结合。例如,处理器510可以包括一个芯片上的多个核、包括在多个芯片上的多个核、在多个设备上的多个核(例如,在计算设备500包括多个节点设备的情况下)、或它们的结合。处理器510可以取得、解码以及执行指令522、524、526以实现方法300和400。作为获取和执行指令的替代或附加,处理器510可以包括包含用于执行指令522、524、526的功能的多个电子组件的至少一个集成电路(IC)、其他控制逻辑、其他电子电路或其结合。
机器可读存储介质520可以是包含或存储可执行指令的任意电子的、磁的、光的或其他物理的存储设备。因此,机器可读存储介质可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动、光盘只读存储器(CD-ROM)、等。如此,机器可读存储介质可以是非暂时性的。如本文中所详细描述的,机器可读存储介质520可以利用用于跟踪威胁评分的一系列可执行指令来编码。
通信指令524能够用于接收威胁管理设备的所计算威胁评分。威胁评分能够分别与环境信息相关联。如上所述,环境信息可以与位置、被保护数据、区域等相关。
评分指令522能够被执行,以基于所计算威胁评分的第一子集来确定第一实体的第一威胁评分。第二实体的第二威胁评分能够基于所计算威胁评分的第二子集来确定。所确定的第一威胁评分和所确定的第二威胁评分还可以基于其他信息,例如,如图2中所示的其他资源。
能够从威胁管理设备的监听器接收针对第一子集的所计算威胁评分中的一个的更新信息。第一威胁评分能够基于该更新信息来更新。能够产生第一威胁评分的第一用户界面元素以及第二威胁评分的第二用户界面元素的表示。在一些示例中,该表示可以采用显示设备或投影仪上的仪表板的形式(例如,通过发送信号至设备)。
在一个示例中,接收对第一用户界面要素进行选择的选择输入。能够基于该选择产生第一子集的所计算威胁评分中的至少两个的表示。此外,能够产生分别与第一子集的至少两个所计算威胁评分相关联的环境的表示。
能够基于未更新的第一威胁评分和更新信息来确定与第一威胁评分有关的趋势信息。仪表板能够用于表示如在图6中进一步讨论的趋势信息。
图6是根据一个示例的用于表示威胁评分的仪表板的示例用户界面的框图。计算顶级威胁评分的优势是在单个仪表板600上显示顶级威胁评分以向管理者马上给出完整的高级画面。图6示出仪表板的一个示例。
在某些示例中,仪表板能够示出实体602a至602f的威胁等级。在某些示例中,威胁等级能够通过不同的颜色如绿色(健康)、黄色(预警)以及红色(报警)来示出。用户可以能够通过选择每个威胁等级的评分范围来定制威胁等级。速度计604近旁的箭头能够示出威胁评分的是上升或下降或保持不变的趋势或者方向606。另外地或可替代地,能够在速度计604上放置两个箭头,一个示出当前威胁评分,而另一个是灰色,示出之前的威胁评分。能够使用速度计之外的其他方式来示出威胁评分,例如,能够使用数字、条码等来进行对威胁评分的表示。该表示可以是用户界面要素。
用户将能够深入分析仪表板,以达到针对每个威胁评分的评分机制。如此,如果选择了实体602a,则能够显示用于顶级评分的实体的威胁评分。该显示能够以类似的方式来表示。如此,用户能够迅速确定是否存在状态上的改变可能正在到来的单个位置。如果存在可用的威胁评分或其他信息,则能够执行附加的深入分析。在一个示例中,所表示的用户界面要素可以是交互的。当交互时,被深入研究的仪表板能够包括在产生所选择的威胁评分中所使用的所计算威胁评分/资源的所计算评分(例如,速度计604)。在一些示例中,该深入研究能够继续直到资源或数据监视器被表示。在一些示例中,资源可以是表示与特定实体相关联的一些事物(例如,登录、门打开的时间长度,等)的值。能够使用资源信息表示值的描述。
Claims (15)
1.一种存储指令的非暂时性机器可读存储介质,所述指令在由用于提供分层威胁智能的设备的至少一个处理器执行的情况下,使所述设备:
接收多个威胁管理设备的多个所计算的威胁评分,其中所述威胁评分分别与环境信息相关联;
基于所计算的威胁评分的第一子集来确定第一实体的第一威胁评分;
基于所计算的威胁评分的第二子集来确定第二实体的第二威胁评分;
从所述威胁管理设备的监听器接收所述第一子集的所计算的威胁评分中的一个威胁评分的更新信息;以及
基于所述更新信息来更新所述第一威胁评分。
2.根据权利要求1所述的非暂时性机器可读存储介质,进一步包括在由所述至少一个处理器执行的情况下使所述设备执行如下操作的指令:
引起所述第一威胁评分的第一用户界面要素和所述第二威胁评分的第二用户界面要素的表示,
接收对所述第一用户界面要素进行选择的选择输入;以及
引起所述第一子集的所计算的威胁评分中的至少两个威胁评分的表示。
3.根据权利要求1所述的非暂时性机器可读存储介质,进一步包括在由所述至少一个处理器执行的情况下使所述设备执行如下操作的指令:
引起分别与所述第一子集的至少两个所计算的威胁评分相关联的环境的表示。
4.根据权利要求3所述的非暂时性机器可读存储介质,进一步包括在由所述至少一个处理器执行的情况下使所述设备执行如下操作的指令:
基于未更新的第一威胁评分和所述更新信息来确定关于所述第一威胁评分的趋势信息;以及
引起所述趋势信息的表示。
5.一种用于提供分层威胁智能的系统,包括:
多个威胁管理设备,用于基于安全事件信息和实时监视器来计算一个或多个相应实体的威胁评分;
监听器,用于:
从所述威胁管理设备接收所计算的威胁评分,
其中所述监听器将所计算的威胁评分提供至多个其它威胁管理设备;以及
所述其它威胁管理设备中的至少一个其它威胁管理设备,用于:
接收一个或多个所计算的威胁评分;
确定与所述一个威胁管理设备相关联的实体的威胁评分,其中所述威胁评分至少部分基于所述一个或多个所计算的威胁评分。
6.根据权利要求5所述的系统,其中所述至少一个其它威胁管理设备包括仪表板设备,其中所述实体的威胁评分是第一顶级威胁评分,所述仪表板进一步用于:
基于所计算的威胁评分的第二子集来确定第二实体的第二顶级威胁评分;以及
引起所述第一顶级威胁评分的第一用户界面要素和所述第二顶级威胁评分的第二用户界面要素的表示;
从所述监听器接收所述第一子集的所计算的威胁评分中的一个所计算的威胁评分的更新信息;以及
基于所述更新信息来更新所述第一顶级威胁评分;
基于所述更新引起更新后的第一用户界面要素的表示;
接收对所述更新后的第一用户界面要素进行选择的选择输入;以及
基于所述选择引起所述第一子集的一个所计算的威胁评分的表示。
7.根据权利要求5所述的系统,其中所述实体包括用户、建筑的区域、访问受控位置以及计算信息中的至少一个的环境。
8.根据权利要求5所述的系统,其中所述威胁管理设备基于实时监视器实时维护所述威胁评分。
9.根据权利要求8所述的系统,其中所述其它威胁管理设备中的所述至少一个其它威胁管理设备进一步用于:
接收事件信息;以及
基于所述威胁评分和所述事件信息产生自动的安全动作。
10.一种用于提供分层威胁智能的方法,包括:
在设备处接收多个威胁管理设备的多个所计算的威胁评分;
从监听器接收所计算的威胁评分中的至少一个威胁评分的更新通知,所述监听器接收对所计算的威胁评分中的至少一个威胁评分的更新,
其中所述监听器在所计算的威胁评分中的一个威胁评分改变时被通知,并且基于预订信息基于所述改变将更新通知发送至所述设备,以及
至少基于这一更新后的所计算威胁评分和所计算威胁评分中的另一个来确定实体的威胁评分。
11.根据权利要求10所述的方法,其中所计算的威胁评分中的每一个与威胁实体相关联,并且其中所述威胁实体表示位置和组织系统中的至少一个。
12.根据权利要求11所述的方法,进一步包括:
经由至少一个交互式用户界面要素引起所述威胁评分的表示;以及
基于与所述交互式用户界面要素的交互来引起所计算的威胁评分中的至少一个威胁评分的表示。
13.根据权利要求12所述的方法,进一步包括:
基于未更新的顶级威胁评分和所述更新信息来确定关于所述顶级威胁评分的趋势信息;以及
引起所述趋势信息的表示。
14.根据权利要求13所述的方法,其中所述趋势信息的表示包括所述顶级威胁评分的更新趋势的方向。
15.根据权利要求12所述的方法,
其中所计算的威胁评分分别表示威胁实体,
其中所述相应的威胁实体提供环境信息,
其中所述顶级威胁评分基于所述环境信息,以及
其中所述威胁实体包括用户、建筑的区域、访问受控位置以及计算信息中的至少一个。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/062624 WO2015047394A1 (en) | 2013-09-30 | 2013-09-30 | Hierarchical threat intelligence |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105556526A true CN105556526A (zh) | 2016-05-04 |
| CN105556526B CN105556526B (zh) | 2018-10-30 |
Family
ID=52744268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380079668.3A Expired - Fee Related CN105556526B (zh) | 2013-09-30 | 2013-09-30 | 提供分层威胁智能的非暂时性机器可读介质、系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10104109B2 (zh) |
| EP (1) | EP3053074A4 (zh) |
| CN (1) | CN105556526B (zh) |
| WO (1) | WO2015047394A1 (zh) |
Families Citing this family (90)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9792430B2 (en) | 2011-11-03 | 2017-10-17 | Cyphort Inc. | Systems and methods for virtualized malware detection |
| US9411327B2 (en) | 2012-08-27 | 2016-08-09 | Johnson Controls Technology Company | Systems and methods for classifying data in building automation systems |
| US20160117622A1 (en) * | 2013-05-22 | 2016-04-28 | Nec Corporation | Shared risk group management system, shared risk group management method, and shared risk group management program |
| US10095866B2 (en) * | 2014-02-24 | 2018-10-09 | Cyphort Inc. | System and method for threat risk scoring of security threats |
| US10326778B2 (en) | 2014-02-24 | 2019-06-18 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
| US10225280B2 (en) | 2014-02-24 | 2019-03-05 | Cyphort Inc. | System and method for verifying and detecting malware |
| US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
| US9118714B1 (en) * | 2014-07-23 | 2015-08-25 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a cyber threat visualization and editing user interface |
| US10230742B2 (en) * | 2015-01-30 | 2019-03-12 | Anomali Incorporated | Space and time efficient threat detection |
| US10075474B2 (en) | 2015-02-06 | 2018-09-11 | Honeywell International Inc. | Notification subsystem for generating consolidated, filtered, and relevant security risk-based notifications |
| US10021125B2 (en) * | 2015-02-06 | 2018-07-10 | Honeywell International Inc. | Infrastructure monitoring tool for collecting industrial process control and automation system risk data |
| US10021119B2 (en) | 2015-02-06 | 2018-07-10 | Honeywell International Inc. | Apparatus and method for automatic handling of cyber-security risk events |
| US10075475B2 (en) | 2015-02-06 | 2018-09-11 | Honeywell International Inc. | Apparatus and method for dynamic customization of cyber-security risk item rules |
| US20160234240A1 (en) * | 2015-02-06 | 2016-08-11 | Honeywell International Inc. | Rules engine for converting system-related characteristics and events into cyber-security risk assessment values |
| US10298608B2 (en) | 2015-02-11 | 2019-05-21 | Honeywell International Inc. | Apparatus and method for tying cyber-security risk analysis to common risk methodologies and risk levels |
| US9866576B2 (en) * | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US10135633B2 (en) | 2015-04-21 | 2018-11-20 | Cujo LLC | Network security analysis for smart appliances |
| US10230740B2 (en) * | 2015-04-21 | 2019-03-12 | Cujo LLC | Network security analysis for smart appliances |
| US9800604B2 (en) | 2015-05-06 | 2017-10-24 | Honeywell International Inc. | Apparatus and method for assigning cyber-security risk consequences in industrial process control environments |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10896259B2 (en) | 2015-09-28 | 2021-01-19 | Micro Focus Llc | Threat score determination |
| US10534326B2 (en) | 2015-10-21 | 2020-01-14 | Johnson Controls Technology Company | Building automation system with integrated building information model |
| AU2016367922B2 (en) * | 2015-12-11 | 2019-08-08 | Servicenow, Inc. | Computer network threat assessment |
| US10069859B2 (en) * | 2015-12-16 | 2018-09-04 | Verizon Digital Media Services Inc. | Distributed rate limiting |
| US10356045B2 (en) | 2015-12-18 | 2019-07-16 | Cujo LLC | Intercepting intra-network communication for smart appliance behavior analysis |
| US11268732B2 (en) | 2016-01-22 | 2022-03-08 | Johnson Controls Technology Company | Building energy management system with energy analytics |
| US11947785B2 (en) | 2016-01-22 | 2024-04-02 | Johnson Controls Technology Company | Building system with a building graph |
| US10192058B1 (en) * | 2016-01-22 | 2019-01-29 | Symantec Corporation | System and method for determining an aggregate threat score |
| US10469515B2 (en) * | 2016-02-22 | 2019-11-05 | Lookingglass Cyber Solutions, Inc. | Methods and apparatus for efficient storage and processing of global and local cyber threat data in a distributed factor graph database |
| US11768004B2 (en) | 2016-03-31 | 2023-09-26 | Johnson Controls Tyco IP Holdings LLP | HVAC device registration in a distributed building management system |
| US10417451B2 (en) | 2017-09-27 | 2019-09-17 | Johnson Controls Technology Company | Building system with smart entity personal identifying information (PII) masking |
| US10505756B2 (en) | 2017-02-10 | 2019-12-10 | Johnson Controls Technology Company | Building management system with space graphs |
| US10901373B2 (en) | 2017-06-15 | 2021-01-26 | Johnson Controls Technology Company | Building management system with artificial intelligence for unified agent based control of building subsystems |
| US11774920B2 (en) | 2016-05-04 | 2023-10-03 | Johnson Controls Technology Company | Building system with user presentation composition based on building context |
| US10264009B2 (en) * | 2016-07-26 | 2019-04-16 | Booz Allen Hamilton Inc. | Automated machine learning scheme for software exploit prediction |
| US20180189697A1 (en) * | 2016-12-30 | 2018-07-05 | Lookingglass Cyber Solutions, Inc. | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset |
| US10684033B2 (en) | 2017-01-06 | 2020-06-16 | Johnson Controls Technology Company | HVAC system with automated device pairing |
| US11900287B2 (en) | 2017-05-25 | 2024-02-13 | Johnson Controls Tyco IP Holdings LLP | Model predictive maintenance system with budgetary constraints |
| US10515098B2 (en) | 2017-02-10 | 2019-12-24 | Johnson Controls Technology Company | Building management smart entity creation and maintenance using time series data |
| US10169486B2 (en) | 2017-02-10 | 2019-01-01 | Johnson Controls Technology Company | Building management system with timeseries processing |
| US10854194B2 (en) | 2017-02-10 | 2020-12-01 | Johnson Controls Technology Company | Building system with digital twin based data ingestion and processing |
| US11360447B2 (en) | 2017-02-10 | 2022-06-14 | Johnson Controls Technology Company | Building smart entity system with agent based communication and control |
| US20190361412A1 (en) | 2017-02-10 | 2019-11-28 | Johnson Controls Technology Company | Building smart entity system with agent based data ingestion and entity creation using time series data |
| US11307538B2 (en) | 2017-02-10 | 2022-04-19 | Johnson Controls Technology Company | Web services platform with cloud-eased feedback control |
| US11764991B2 (en) | 2017-02-10 | 2023-09-19 | Johnson Controls Technology Company | Building management system with identity management |
| WO2018175912A1 (en) | 2017-03-24 | 2018-09-27 | Johnson Controls Technology Company | Building management system with dynamic channel communication |
| US11327737B2 (en) | 2017-04-21 | 2022-05-10 | Johnson Controls Tyco IP Holdings LLP | Building management system with cloud management of gateway configurations |
| US11386343B2 (en) * | 2017-05-09 | 2022-07-12 | Elasticsearch B.V. | Real time detection of cyber threats using behavioral analytics |
| US10788229B2 (en) | 2017-05-10 | 2020-09-29 | Johnson Controls Technology Company | Building management system with a distributed blockchain database |
| US11620386B2 (en) * | 2017-05-17 | 2023-04-04 | Threatmodeler Software Inc. | Threat modeling systems and related methods including mitigating components |
| US11314872B2 (en) * | 2017-05-17 | 2022-04-26 | Threatmodeler Software Inc. | Systems and methods for automated threat modeling when deploying infrastructure as a code |
| US11568059B2 (en) | 2017-05-17 | 2023-01-31 | Threatmodeler Software Inc. | Systems and methods for automated threat model generation from diagram files |
| US11022947B2 (en) | 2017-06-07 | 2021-06-01 | Johnson Controls Technology Company | Building energy optimization system with economic load demand response (ELDR) optimization and ELDR user interfaces |
| WO2019018304A1 (en) | 2017-07-17 | 2019-01-24 | Johnson Controls Technology Company | SYSTEMS AND METHODS FOR BUILDING SIMULATION ON THE BASIS OF AN AGENT FOR OPTIMAL CONTROL |
| EP3655824A1 (en) | 2017-07-21 | 2020-05-27 | Johnson Controls Technology Company | Building management system with dynamic work order generation with adaptive diagnostic task details |
| US20190034066A1 (en) | 2017-07-27 | 2019-01-31 | Johnson Controls Technology Company | Building management system with central plantroom dashboards |
| WO2019067627A1 (en) * | 2017-09-27 | 2019-04-04 | Johnson Controls Technology Company | SYSTEMS AND METHODS OF RISK ANALYSIS |
| US11120012B2 (en) | 2017-09-27 | 2021-09-14 | Johnson Controls Tyco IP Holdings LLP | Web services platform with integration and interface of smart entities with enterprise applications |
| US10559181B2 (en) * | 2017-09-27 | 2020-02-11 | Johnson Controls Technology Company | Building risk analysis system with risk combination for multiple threats |
| US11314788B2 (en) | 2017-09-27 | 2022-04-26 | Johnson Controls Tyco IP Holdings LLP | Smart entity management for building management systems |
| US10962945B2 (en) | 2017-09-27 | 2021-03-30 | Johnson Controls Technology Company | Building management system with integration of data into smart entities |
| US10809682B2 (en) | 2017-11-15 | 2020-10-20 | Johnson Controls Technology Company | Building management system with optimized processing of building system data |
| US11281169B2 (en) | 2017-11-15 | 2022-03-22 | Johnson Controls Tyco IP Holdings LLP | Building management system with point virtualization for online meters |
| US11127235B2 (en) | 2017-11-22 | 2021-09-21 | Johnson Controls Tyco IP Holdings LLP | Building campus with integrated smart environment |
| EP3528458B1 (en) * | 2018-02-20 | 2020-09-23 | Darktrace Limited | A cyber security appliance for a cloud infrastructure |
| US11954713B2 (en) | 2018-03-13 | 2024-04-09 | Johnson Controls Tyco IP Holdings LLP | Variable refrigerant flow system with electricity consumption apportionment |
| US11431745B2 (en) * | 2018-04-30 | 2022-08-30 | Microsoft Technology Licensing, Llc | Techniques for curating threat intelligence data |
| WO2019221713A1 (en) * | 2018-05-15 | 2019-11-21 | Visa International Service Association | Data security method utilizing mesh network dynamic scoring |
| US11016648B2 (en) | 2018-10-30 | 2021-05-25 | Johnson Controls Technology Company | Systems and methods for entity visualization and management with an entity node editor |
| US11927925B2 (en) | 2018-11-19 | 2024-03-12 | Johnson Controls Tyco IP Holdings LLP | Building system with a time correlated reliability data stream |
| US20200234220A1 (en) | 2019-01-18 | 2020-07-23 | Johnson Controls Technology Company | Smart building automation system with employee productivity features |
| US10788798B2 (en) | 2019-01-28 | 2020-09-29 | Johnson Controls Technology Company | Building management system with hybrid edge-cloud processing |
| US10536475B1 (en) * | 2019-06-20 | 2020-01-14 | PhishCloud, Inc. | Threat assessment based on coordinated monitoring of local communication clients |
| US11894944B2 (en) | 2019-12-31 | 2024-02-06 | Johnson Controls Tyco IP Holdings LLP | Building data platform with an enrichment loop |
| US20210200792A1 (en) | 2019-12-31 | 2021-07-01 | Johnson Controls Technology Company | Building data platform with graph projections |
| US20210294904A1 (en) * | 2020-03-20 | 2021-09-23 | 5thColumn LLC | Generation of an asset evaluation regarding a system aspect of a system |
| US11537386B2 (en) | 2020-04-06 | 2022-12-27 | Johnson Controls Tyco IP Holdings LLP | Building system with dynamic configuration of network resources for 5G networks |
| US11874809B2 (en) | 2020-06-08 | 2024-01-16 | Johnson Controls Tyco IP Holdings LLP | Building system with naming schema encoding entity type and entity relationships |
| US11496522B2 (en) | 2020-09-28 | 2022-11-08 | T-Mobile Usa, Inc. | Digital on-demand coupons for security service of communications system |
| US11546368B2 (en) | 2020-09-28 | 2023-01-03 | T-Mobile Usa, Inc. | Network security system including a multi-dimensional domain name system to protect against cybersecurity threats |
| US11397773B2 (en) | 2020-09-30 | 2022-07-26 | Johnson Controls Tyco IP Holdings LLP | Building management system with semantic model integration |
| US11954154B2 (en) | 2020-09-30 | 2024-04-09 | Johnson Controls Tyco IP Holdings LLP | Building management system with semantic model integration |
| US20220138492A1 (en) | 2020-10-30 | 2022-05-05 | Johnson Controls Technology Company | Data preprocessing and refinement tool |
| JP2024511974A (ja) | 2021-03-17 | 2024-03-18 | ジョンソン・コントロールズ・タイコ・アイピー・ホールディングス・エルエルピー | 設備エネルギー浪費を判定するためのシステム及び方法 |
| US11769066B2 (en) | 2021-11-17 | 2023-09-26 | Johnson Controls Tyco IP Holdings LLP | Building data platform with digital twin triggers and actions |
| US11899723B2 (en) | 2021-06-22 | 2024-02-13 | Johnson Controls Tyco IP Holdings LLP | Building data platform with context based twin function processing |
| US11796974B2 (en) | 2021-11-16 | 2023-10-24 | Johnson Controls Tyco IP Holdings LLP | Building data platform with schema extensibility for properties and tags of a digital twin |
| US11934966B2 (en) | 2021-11-17 | 2024-03-19 | Johnson Controls Tyco IP Holdings LLP | Building data platform with digital twin inferences |
| US11704311B2 (en) | 2021-11-24 | 2023-07-18 | Johnson Controls Tyco IP Holdings LLP | Building data platform with a distributed digital twin |
| US11714930B2 (en) | 2021-11-29 | 2023-08-01 | Johnson Controls Tyco IP Holdings LLP | Building data platform with digital twin based inferences and predictions for a graphical building model |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101271498A (zh) * | 2008-03-25 | 2008-09-24 | 浙江大学 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
| US20110178942A1 (en) * | 2010-01-18 | 2011-07-21 | Isight Partners, Inc. | Targeted Security Implementation Through Security Loss Forecasting |
| CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
| US20120096552A1 (en) * | 2009-07-07 | 2012-04-19 | Electronics And Telecommunications Research Institute | System for an engine for forecasting cyber threats and method for forecasting cyber threats using the system |
| CN102932323A (zh) * | 2011-08-29 | 2013-02-13 | 卡巴斯基实验室封闭式股份公司 | 对计算机网络中安全相关事故的自动分析 |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6959384B1 (en) * | 1999-12-14 | 2005-10-25 | Intertrust Technologies Corporation | Systems and methods for authenticating and protecting the integrity of data streams and other data |
| US9495652B1 (en) * | 2003-06-23 | 2016-11-15 | Daniel M. Cook | Autonomic discrete business activity management method |
| US8015604B1 (en) * | 2003-10-10 | 2011-09-06 | Arcsight Inc | Hierarchical architecture in a network security system |
| US9027120B1 (en) * | 2003-10-10 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Hierarchical architecture in a network security system |
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| US7278163B2 (en) * | 2005-02-22 | 2007-10-02 | Mcafee, Inc. | Security risk analysis system and method |
| US7944468B2 (en) * | 2005-07-05 | 2011-05-17 | Northrop Grumman Systems Corporation | Automated asymmetric threat detection using backward tracking and behavioral analysis |
| US7624276B2 (en) * | 2006-10-16 | 2009-11-24 | Broadon Communications Corp. | Secure device authentication system and method |
| JP4899853B2 (ja) * | 2006-12-19 | 2012-03-21 | 富士ゼロックス株式会社 | 認証プログラム、認証サーバおよびシングルサインオン認証システム |
| WO2008141327A1 (en) * | 2007-05-14 | 2008-11-20 | Sailpoint Technologies, Inc. | System and method for user access risk scoring |
| US20090077214A1 (en) * | 2007-09-17 | 2009-03-19 | Honeywell International Inc. | System for fusing information from assets, networks, and automated behaviors |
| US20090138521A1 (en) * | 2007-09-17 | 2009-05-28 | Honeywell International Inc. | Method and system for sharing information between disparate data sources in a network |
| US8352737B2 (en) * | 2007-12-20 | 2013-01-08 | Nokia Corporation | Methods, apparatuses, and computer program products for authentication of fragments using hash trees |
| US8196207B2 (en) * | 2008-10-29 | 2012-06-05 | Bank Of America Corporation | Control automation tool |
| US7890627B1 (en) * | 2009-09-02 | 2011-02-15 | Sophos Plc | Hierarchical statistical model of internet reputation |
| US8719939B2 (en) * | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
| US8793789B2 (en) * | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
| US8868728B2 (en) * | 2010-03-11 | 2014-10-21 | Accenture Global Services Limited | Systems and methods for detecting and investigating insider fraud |
| US8712596B2 (en) * | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
| US8010993B1 (en) * | 2010-07-14 | 2011-08-30 | Domanicom Corp. | Devices, systems, and methods for enabling reconfiguration of services supported by a network of devices |
| ES2442747T3 (es) | 2011-02-10 | 2014-02-13 | Telefónica, S.A. | Procedimiento y sistema para mejorar la detección de amenazas de seguridad en redes de comunicación |
| US20120253891A1 (en) * | 2011-04-01 | 2012-10-04 | The Corporate Executive Board | Computer-Implemented Generation Of Roadmap Visualizations |
| US20120268269A1 (en) * | 2011-04-19 | 2012-10-25 | Qualcomm Incorporated | Threat score generation |
| US9118702B2 (en) * | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
| US20120311562A1 (en) | 2011-06-01 | 2012-12-06 | Yanlin Wang | Extendable event processing |
| US8392230B2 (en) * | 2011-07-15 | 2013-03-05 | Credibility Corp. | Automated omnipresent real-time credibility management system and methods |
| US8595837B2 (en) * | 2011-08-29 | 2013-11-26 | Novell, Inc. | Security event management apparatus, systems, and methods |
| US8595269B2 (en) * | 2011-09-02 | 2013-11-26 | Infosys Limited | Managing classification hierarchies in master data management environments |
| US8839349B2 (en) * | 2011-10-18 | 2014-09-16 | Mcafee, Inc. | Integrating security policy and event management |
| US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
| US8813228B2 (en) * | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
| US9208460B2 (en) * | 2012-10-19 | 2015-12-08 | Lexisnexis, A Division Of Reed Elsevier Inc. | System and methods to facilitate analytics with a tagged corpus |
| US10686819B2 (en) * | 2013-02-19 | 2020-06-16 | Proofpoint, Inc. | Hierarchical risk assessment and remediation of threats in mobile networking environment |
| US20140278733A1 (en) * | 2013-03-15 | 2014-09-18 | Navin Sabharwal | Risk management methods and systems for enterprise processes |
| US8898784B1 (en) * | 2013-05-29 | 2014-11-25 | The United States of America, as represented by the Director, National Security Agency | Device for and method of computer intrusion anticipation, detection, and remediation |
| EP3036863A1 (en) * | 2013-08-19 | 2016-06-29 | Hewlett Packard Enterprise Development LP | Adaptive network security policies |
| US9674207B2 (en) * | 2014-07-23 | 2017-06-06 | Cisco Technology, Inc. | Hierarchical attack detection in a network |
-
2013
- 2013-09-30 US US14/914,122 patent/US10104109B2/en active Active
- 2013-09-30 CN CN201380079668.3A patent/CN105556526B/zh not_active Expired - Fee Related
- 2013-09-30 WO PCT/US2013/062624 patent/WO2015047394A1/en active Application Filing
- 2013-09-30 EP EP13894459.0A patent/EP3053074A4/en not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101271498A (zh) * | 2008-03-25 | 2008-09-24 | 浙江大学 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
| US20120096552A1 (en) * | 2009-07-07 | 2012-04-19 | Electronics And Telecommunications Research Institute | System for an engine for forecasting cyber threats and method for forecasting cyber threats using the system |
| US20110178942A1 (en) * | 2010-01-18 | 2011-07-21 | Isight Partners, Inc. | Targeted Security Implementation Through Security Loss Forecasting |
| CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
| CN102932323A (zh) * | 2011-08-29 | 2013-02-13 | 卡巴斯基实验室封闭式股份公司 | 对计算机网络中安全相关事故的自动分析 |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
Non-Patent Citations (1)
| Title |
|---|
| 陈秀真 等: "层次化网络安全威胁态势量化评估方法", 《软件学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US10104109B2 (en) | 2018-10-16 |
| WO2015047394A1 (en) | 2015-04-02 |
| CN105556526B (zh) | 2018-10-30 |
| EP3053074A4 (en) | 2017-04-05 |
| EP3053074A1 (en) | 2016-08-10 |
| US20160212165A1 (en) | 2016-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105556526A (zh) | 分层威胁智能 | |
| US11212299B2 (en) | System and method for monitoring security attack chains | |
| US20210092150A1 (en) | Advanced cybersecurity threat mitigation using behavioral and deep analytics | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| Ficco et al. | Simulation platform for cyber-security and vulnerability analysis of critical infrastructures | |
| US10742664B2 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
| CN105009132A (zh) | 基于置信因子的事件关联 | |
| CN109564609A (zh) | 利用先进计算机决策平台的计算机攻击的检测缓和与矫正 | |
| Kumar et al. | Unsupervised outlier detection technique for intrusion detection in cloud computing | |
| Levshun et al. | Design lifecycle for secure cyber-physical systems based on embedded devices | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| Fursov et al. | Smart Grid and wind generators: an overview of cyber threats and vulnerabilities of power supply networks | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids | |
| Magare et al. | Security and privacy issues in smart city: Threats and their countermeasures | |
| CN105493096A (zh) | 分布式模式发现 | |
| Pan et al. | Anomaly behavior analysis for building automation systems | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| Malyuk et al. | Information security theory for the future internet | |
| EP3679506A2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
| Jekov et al. | Intelligent protection of Internet of things systems | |
| Titko et al. | Modeling Vulnerability of Critical Infrastructure of Transportation Network using Influence Diagrams | |
| CN113360354A (zh) | 用户操作行为监控方法、装置、设备及可读存储介质 | |
| Motlhabi et al. | Context-aware cyber threat intelligence exchange platform | |
| Ambassa et al. | Privacy violations in constrained micro-grids: Adversarial cases |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180611 Address after: American California Applicant after: Antite Software Co., Ltd. Address before: American Texas Applicant before: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181030 Termination date: 20200930 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |