CN105659247A - 上下文感知前摄威胁管理系统 - Google Patents

上下文感知前摄威胁管理系统 Download PDF

Info

Publication number
CN105659247A
CN105659247A CN201380080351.1A CN201380080351A CN105659247A CN 105659247 A CN105659247 A CN 105659247A CN 201380080351 A CN201380080351 A CN 201380080351A CN 105659247 A CN105659247 A CN 105659247A
Authority
CN
China
Prior art keywords
equipment
threat
activity data
module
hed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201380080351.1A
Other languages
English (en)
Other versions
CN105659247B (zh
Inventor
A·巴尔加瓦-斯庞特泽尔
J·B·维森特
M·R·哈吉加特
O·W·陈
H·M·科斯拉维
U·卡哈那
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN105659247A publication Critical patent/CN105659247A/zh
Application granted granted Critical
Publication of CN105659247B publication Critical patent/CN105659247B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Human Computer Interaction (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)
  • User Interface Of Digital Computer (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开涉及上下文感知前摄威胁管理系统。一般地,设备可以使用内部活动数据以及关于外部活动的数据(例如,由远程资源提供)用于威胁评估和缓解。设备可以包括例如敌对环境检测(HED)模块来协调威胁评估和缓解。HED模块可以积聚内部活动数据(例如,来自设备中的安全服务)以及来自远程资源的关于系统环境和/或物理环境的外部活动数据。HED模块随后可以基于活动数据来评估威胁并且确定自动和/或手动缓解操作来回应威胁。在一个实施例中,可视化特征还可用于例如使威胁对用户可视化,使自动/手动缓解操作可视化,请求关于手动缓解操作的执行的用户确认,等等。

Description

上下文感知前摄威胁管理系统
技术领域
本公开涉及设备安全,并且更特别地涉及可应对设备、系统和物理环境中的可能的威胁的安全方案。
背景技术
电子通信技术的发展已经帮助驱动其在专业和个人设置方面的快速接受和利用。人们已经开始依赖于电子通信,不仅是用于个人交互,而且可以采用他们的通信使能的设备来执行各种交易。例如,用户可以在进行购买交易、银行交易、商业相关交易等时采用各种设备(例如,智能手机、平板设备/膝上型计算机/台式计算机,等等)。结果,越来越多的个人、金融、商业相关信息正被积聚,使这些电子设备变成敏感信息仓库。例如,电子设备可以包括用户名、地址、社会安全号、驾驶证号、金融账号、账户余额信息、商业联系信息、商业账号、商业安全码,甚至在一些实例中是极其机密的信息,比如政府安全与访问码。
现有的用于保护设备及其内容的措施可能集中于局部威胁压制措施。例如,可实现病毒防护、基于硬件/软件的防火墙等来抵御病毒、恶意软件等。用户身份核验系统(例如,密码输入、生物识别等)也可以帮助阻挠掌控设备控制权的非授权用户的访问企图。然而,这些已知的措施正变得过时,因为那些寻求非授权访问的人磨练他们的技能。例如,专门设计新的基于软件的攻击来避免或克服现有的保护软件所提供的保护。这些增强的攻击可得到经由电子通信(例如,与设备所有者、服务提供商等)等的由基于非软件措施的支持,诸如可能发生在人身上的监视、欺骗、迷惑等。结果,即使用户警惕,仍可能使得他们的设备操作以及他们的信息受到损害。
附图说明
随着下面的具体实施方式的继续进行以及参考附图,权利要求主题的各实施例的特征和优点将变得明显,其中相似的标记指代相似的部件,并且其中:
图1示出了根据本公开的至少一个实施例的示例的上下文感知前摄(proactive)威胁管理系统;
图2示出了根据本公开的至少一个实施例的设备的示例配置;
图3示出了根据本公开的至少一个实施例的敌对环境检测(HED)模块如何可集成到设备架构中的示例;
图4示出了根据本公开的至少一个实施例的远程资源的示例配置;以及
图5示出了根据本公开的至少一个实施例的上下文感知前摄威胁管理系统的示例操作。
虽然下面的具体实施方式将参考示例性的实施例进行,其许多替选方案、修改方案和变型对于本领域技术人员将是显而易见的。
具体实施方式
本公开涉及上下文感知前摄威胁管理系统。一般地,设备可以使用内部活动数据以及用于威胁评估和缓解(mitigation)的关于外部活动的数据(例如,由远程资源提供)。设备可以包括例如敌对环境检测(HED)模块,用于协调威胁评估和缓解。HED模块可以积聚内部活动数据(例如,来自设备中的安全服务),以及来自远程资源的关于系统环境和/或物理环境的外部活动数据。HED模块随后可以基于活动数据来评估威胁并且确定自动和/或手动缓解操作来回应威胁。在一个实施例中,可视化特征还可用于例如使得威胁对用户可见,使得自动/手动缓解操作可视化,请求关于手动缓解操作的执行的用户确认,等等。
在一个实施例中,与上下文感知威胁管理系统一起使用的设备可以包括例如通信模块和HED模块。通信模块可以与在设备之外的至少远程资源交互。HED模块可以接收来自设备内的安全服务的内部活动数据以及经由通信模块接收来自远程资源的外部活动数据。在接收到内部活动数据和外部活动数据之后,HED模块可进一步基于内部活动数据或外部活动数据中的至少一个来确定对设备的威胁并且响应于任何确定的威胁而确定缓解操作。
在一个实施例中,远程资源可以包括能经由包含信息技术(IT)服务、全局威胁情报服务或信誉服务中的至少一个的广域网(WAN)访问的至少一个计算设备。HED模块接收来自设备内的安全服务的内部活动数据可以包括HED模块接收与设备配置、设备操作或设备内容中的至少一个有关的安全数据。HED模块接收来自远程资源的外部活动数据可以包括HED模块接收存在于能够与设备通信的系统环境中的威胁或存在于设备正在其中运行的物理环境中的威胁中的至少一个有关的数据。HED模块基于内部活动数据或外部活动数据中的至少一个来确定对设备的威胁可以包括HED模块确定对设备操作的威胁或对设备中存储的信息的威胁中的至少一个。
在相同或另外的实施例中,设备可以进一步包括向用户呈现信息的用户接口模块,HED模块进一步使用户接口模块通过用户接口模块使任何确定的威胁对用户可见。HED模块响应于任何确定的威胁而确定缓解操作可以包括HED模块确定自动缓解操作或手动缓解操作中的至少一个。HED模块可进一步使自动缓解操作由设备或远程资源中的至少一个执行。HED模块可进一步使用户接口模块令自动缓解操作或手动缓解操作中的至少一个对用户可见。HED模块可进一步使用户经由用户接口被查询,所述查询确定用户是否已承担由用户接口模块可视化的任何手动缓解操作。HED模块可进一步使得关于威胁或缓解操作中的至少一个的数据经由通信模块发送到远程资源。依照本公开的使用上下文感知威胁管理的示例方法可以包括:接收来自设备内的安全服务的内部活动数据;接收来自设备之外的远程资源的外部活动数据;基于内部活动数据或外部活动数据中的至少一个来确定对设备的威胁;以及响应于任何确定的威胁而确定缓解操作。
图1示出根据本公开的至少一个实施例的示例的上下文感知前摄威胁管理系统。本文所提到的“威胁”可以关于任何在作恶的情况下会导致设备的操作受损或者设备中的信息能够由非授权方访问的活动。威胁可以存在于物理设备本身之外。例如,威胁可存在于设备正以试图从网络获得对设备的访问权的程序的形式参与的系统环境、隐藏在因特网页面中的“特洛伊木马(Trojanhorse)”程序等中。威胁还可以存在于设备操作的物理环境中,诸如例如其他人观察用户动作、进行欺骗、偷盗设备等。
与仅在设备级别处操作来抵御软件驱动的攻击(例如,病毒、恶意软件等)的现有保护措施不同,示例的系统100可以使用多环境威胁评估和缓解方法。系统100可以包括例如设备102和远程资源104。设备102的示例可以包括,但不限于,移动通信设备,诸如蜂窝手机或基于OS、OS、OS、OS、OS等的智能电话,移动计算设备,诸如平板式计算机如GalaxyKindle等,包括英特尔公司制造的低功率芯片组的掌上设备、上网本、笔记本、膝上型计算机等,通常固定的计算设备,诸如台式机、机顶盒、智能电视机等。远程资源104可以包括例如能够经由局域网(LAN)或广域网(WAN)访问的至少一个计算设备。在一个实施例中,远程资源104可以包括以“云”计算方案配置的一个或多个服务器。
设备102可以包括至少HED模块106。在操作期间,HED模块106可以接收来自各种源的活动数据。活动数据可以包括任何能用于确定对设备102的威胁的数据。例如,HED模块106可以接收来自设备102中的安全服务的关于设备环境110(例如,设备102中的操作系统(OS))的内部活动数据。内部活动数据可以与例如设备配置、设备操作或设备内容(例如,设备102中的程序、服务、数据等)有关。外部活动数据也可以从与系统环境112(例如,包括设备102可能能够与之进行通信的其它设备108的有线/无线网络,等等)和物理环境114(例如,接近设备102的人、结构、车辆、装备等)有关的远程资源104接收。HED模块106可以积聚从设备环境110、系统环境112和物理环境114接收到的活动数据,可以分析活动数据寻找任何对设备102的威胁,并且可以制定对威胁的响应(例如,缓解操作)。威胁评估与缓解操作可伴随着对设备102的用户的可视化。例如,设备102中的用户接口可以使得威胁数据或缓解操作数据被呈现给用户。可视化可以包括使数据呈现在设备102中的显示器上或者在与设备102耦合的另一显示器(例如,用户视野内的外部显示器)上,可以包括吸引用户注意力的声音、振动或另一形式的指示,等等。在一个实施例中,可视化可以包括“增强现实”,其中标记、图像等可以叠加在用户看到的物理环境114上(例如,如通过设备102中的照相机或与设备102耦合的照相机捕获的视频,如通过包括至少用于呈现的显示器的眼镜看到的,等等)。
系统100易于应用于各种情形。例如,设备102的用户可能处于不熟悉的区域中(例如,物理环境114)并且可能期望访问因特网来发送/接收数据,执行金融交易,等等。连接到因特网的访问点(AP)可以经由各种有线/无线LAN(例如,系统环境112)而可用于设备102。这些AP中的一些可以处于公共位置(例如,餐厅、旅馆等),在不安全的公共网络上,等等。没有系统100,失策的用户可以将设备102与第一可用AP耦合,而不知道是否存在威胁。因此,设备102的操作和内容可能会暴露于局部威胁(例如,病毒/恶意软件)、系统威胁(例如,远程黑客)和或物理威胁(例如,偷盗)。
在系统100中,HED模块106可以防止用户有这种无意的暴露。HED模块106可以接收内部和/或外部活动数据104(例如,从远程资源104),可以评估活动数据并且可以响应于威胁而制定缓解操作。HED模块106可以实时地、周期性地、发生事件(例如,检测到威胁)时等来接收该数据。缓解操作可以是自动的或手动的。例如,HED模块106可以确定,在访问LAN时,设备102上传了可能有害的软件。该软件的去除可以是自动威胁缓解操作。HED模块106还可以接收指示特定网络不安全、网络上的其它设备108正在运行通常与黑客相关联的软件(例如,黑客工具)、警察报告表明设备近期从网络操作的位置被偷盗等的数据。在一定程度上,自动缓解特征可试图通过例如阻止对可能破坏设备102的某些网络特征的访问,阻止有问题的设备访问设备102等,来保护设备102免于这些威胁。然而,更有效的防护措施可以是HED模块106使设备102将威胁以及诸如例如建议用户不将设备102连接到不安全网络和/或建议访问因特网的更安全方式(如果可用)的手动缓解操作一起可视化。例如,HED模块106可以使得可选AP列表连同诸如例如从用户当前位置到AP的距离、关于每个AP的安全性和可靠性数据等的信息一起呈现给用户。
在另一示例中,设备102可能正在执行导致个人信息(例如,联系人信息)泄漏到恶意网站的有害应用。HED模块106可以接收来自内部源(例如,设备安全服务)和/或来自远程资源104的关于应用的数据。HED模块106随后可以确定缓解操作,包括例如禁用该服务。设备102的配置可以规定需要发生什么来局部地缓解威胁(例如,禁用有害的应用),但是这可以仅是初始缓解规定。该动作可以发起反馈给设备102和/或远程资源104中的策略的模式,其更新如何识别未来的威胁,建议设备102的用户在用户个人信息可能已经受损的情况下相关的手动操作,等等。
图2示出了根据本公开的至少一个实施例的设备的示例的配置。设备102’能够执行图1所示的示例的功能中的一些或全部。然而,设备102’意在仅作为能用于符合本公开的实施例中的装备的示例,并且不意图将这些各种实施例限于任何特定的实现方式。
设备102’可以包括管理普通设备操作的系统模块200。系统模块200可以包括例如处理模块202、存储器模块204、功率模块206、用户接口模块208和通信接口模块210。设备102’还可以包括通信模块212和HED模块106’。虽然显示通信模块212和HED模块106’分开于系统模块200,但是设备102’的示例的实现方式仅为了本文说明的目的而提供。与通信模块212和/或HED模块106’相关联的一些或全部的功能也可以被包含在系统模块200内。
在设备102’中,处理模块202可以包括位于分开的组件中的一个或多个处理器,或者可选地,可以包括嵌入单个组件中(例如,片上系统(SoC)配置中)的一个或多个处理核,以及任何处理器相关的支持电路系统(例如,桥接接口,等等)。示例的处理器可以包括但不限于可从英特尔公司得到的各种基于x86的微处理器,包括Pentium、Xeon、Itanium、Celeron、Atom、Corei-series产品家族中的那些微处理器,先进RISC(例如,精减指令集计算)机器或“ARM”处理器等。支持电路系统的示例可以包括芯片组(例如,可从英特尔公司获得的Northbridge,Southbridge等),其被配置为提供接口,通过该接口,处理模块202可以与设备102’中的其它以不同速度操作、在不同总线上操作等的系统组件交互。通常与支持电路系统相关联的一些或全部的功能也可以包含在与处理器(例如可从英特尔公司获得的SandyBridge处理器家族中的处理器)相同的物理包中。
处理模块202可被配置为执行设备102’中的各种指令。指令可以包括程序代码,程序代码被配置为使处理模块202执行与读数据、写数据、处理数据、制定数据、转换数据、变换数据等有关的活动。信息(例如,指令、数据等)可以存储在存储器模块204中。存储器模块204可以包括固定或可移除形式的随机存取存储器(RAM)或只读存储器(ROM)。RAM可以包括存储器,该存储器配置为在设备102’操作期间保存信息,诸如例如静态RAM(SRAM)或动态RAM(DRAM)。ROM可以包括:存储器,诸如Bios或统一可扩展固件接口(UEFI)存储器,其配置为当设备102’活动时提供指令;可编程存储器,诸如电子可编程ROM(EPROM);闪存等。其它固定的和/或可移除的存储器可以包括:磁存储器,诸如例如软盘、硬盘驱动器等;电子存储器,诸如固态闪存(例如,嵌入式多媒体卡(eMMC)等)、可移除存储卡或记忆棒(例如,微型存储设备(uSD)、USB等);光学存储器,诸如基于压缩盘的ROM(CD-ROM),等等。
电力模块206可以包括内部电源(例如,电池)和/或外部电源(例如,机电或太阳发电机、电网、燃料电池等)以及有关的电路,所述电路配置为给设备102’提供运行所需的电力。用户接口模块208可以包括允许用户与设备102’交互的装备和/或软件,这些装备和/或软件诸如例如各种输入机制(例如,麦克风、开关、按钮、旋钮、键盘、扬声器、触摸敏感表面、一个或多个配置为捕获图像和/或感测接近度、距离、运动、姿态、朝向等的传感器)和各种输出机制(例如,扬声器、显示器、点亮的/闪烁的指示器、用于振动、运动等的机电组件)。用户接口模块208中的装备可包含在设备102’内和/或可以经由有线或无线通信介质与设备102’耦合。
通信接口模块210可配置为处理通信模块212的分组路由与其它控制功能,这可以包括配置为支持有线和/或无线通信的资源。有线通信可以包括串行和并行有线介质,诸如例如以太网、通用串行总线(USB)、Firewire、数字视频接口(DVI)、高清晰多媒体接口(HDMI)等。无线通信可包括例如近接近度无线介质(例如,射频(RF),诸如基于近场通信(NFC)标准、红外(IR)、光学字符识别(OCR)、磁字符感测等)、短程无线介质(例如,蓝牙、WLAN、Wi-Fi等)以及长距离无线介质(例如,蜂窝广域无线电通信技术、基于卫星的通信,等等)。在一个实施例中,通信接口模块210可配置为防止在通信模块212中活跃的无线通信相互干扰。在执行该功能时,通信接口模块210可以基于例如等待发送的消息的相对优先级来调度通信模块212的活动。
在图2所示的实施例中,HED模块106’可以配置为与至少用户接口模块208和通信模块212交互。在操作期间,HED模块106’可以利用通信模块212来与远程资源104交互。例如,HED模块106’可以利用通信模块212来接收关于系统环境112和/或物理环境114的活动数据,以及还将关于感测的威胁、缓解操作等的反馈信息发送到远程资源104。当威胁被检测到时,HED模块106’可以采用用户接口模块208来例如使威胁可视化,使自动和/或手动缓解操作可视化,请求来自用户的手动缓解操作完成的确认,等等。
图3示出了根据本公开的至少一个实施例的HED模块106’如何可以集成到设备架构中的示例。设备102”可包括在不同特权级执行的各种软件(例如,应用和服务),特权级包括例如用户级特权300、内核级特权302和硬件/固件(HW/FW)级特权304。用户级特权300可以包括各种运行在低特权级的程序,诸如浏览器306、应用308和会话310。这些是通常在设备102”的OS中执行的程序的示例。
内核特权级302可以包括用于管理设备102”的OS与HW/FW特权级304中的装备交互的服务。这些服务的示例可以包括但不限于联网(NW)服务312和系统服务314。安全服务316还可以并入内核特权级302。例如,安全服务316可以包括防病毒服务318、主机入侵防止服务(HIDS)320以及用于抵御基于软件的攻击的固件(FW)服务322。服务318、320和322中的每一个还可以包括将服务318、320和322链接到HW/FW级304中的统一安全服务324的应用程序接口(API)。
初始地,可以使HW/FW特权级304中的一些或全部的安全相关服务在可信执行环境(TEE)内被保护。TEE可以是安全的工作空间,在该安全的工作空间内,可以执行已知良好的程序,可以采用安全的方式存储机密信息,等等。例如,TEE可以采用英特尔公司开发的软件防护扩展(SGX)技术。SGX可以在系统存储器内提供安全的且硬件加密的计算与存储区域,其内容不能由特权码或者甚至通过对存储器总线应用硬件探头来解密。当TEE位于SGX内时,与本公开一致的实施例使得入侵者不可能将TEE108的内容解密。特别地,程序的身份(例如,基于每个程序的内容的加密散列度量)可以被签署且存储在每个程序内。当程序随后被装载时,处理器核验程序的度量(例如,处理器计算的)与先前嵌入程序内的度量相同。用于签署嵌入的度量的签名也是能核验的,因为处理器被提供了用于在程序装载时核验签名的公共密钥。这样,恶意软件不会妨碍程序,也不会改变其可核验度量。
统一安全服务324的至少部分可位于HW/FW特权级304内。统一安全服务324针对设备环境110中的威胁,可从较低特权级积聚活动数据。例如,安全服务316可以沿着关于病毒、恶意软件、访问设备102”的未授权企图等的信息遍历而到达统一安全服务324。然后,局部威胁信息可以传递到HED模块106”中的内部传感器326,内部传感器326可以有收集内部活动数据的任务。HED模块106”可以从远程资源104积聚内部活动数据以及被提供给外部传感器330(例如,有收集外部活动数据的任务)的外部活动数据。在操作示例中,HED模块106”可使情境数据被提供给远程资源104(例如,标识数据、位置数据、在设备102”的通信范围内感测到的数据标识网络,等等)。远程资源104则可以以关于设备102”的位置、接近设备102”的网络等的外部活动数据来回应。检测引擎328随后可以基于威胁检测策略332来分析积聚的活动数据。威胁检测策略332可以识别一些标识需要缓解操作的威胁的活动、活动的组合。例如,处于包括非安全系统环境112的有问题的物理环境114中的设备102”可能需要缓解操作。在这方面,至少检测引擎328可以与动态威胁缓解(DTM)服务334来交互而产生缓解操作。威胁缓解操作可以是“动态的”,因为缓解操作可以基于本地传感器326(例如,由于问题得以解决或者新威胁出现)和远程传感器330(例如,因为设备102”与新网络耦合,移动到新的物理位置,等等)接收到的新数据而改变或更新。DTM服务334可以基于威胁缓解策略340来生成本地缓解操作336和远程缓解操作338。威胁缓解策略340可以规定用于回应检测引擎328识别到的每个威胁和/或威胁组合的一个或多个操作。本地缓解操作336可以在设备102”内执行(例如,增加病毒/恶意软件扫描,限制应用执行/许可,建立用于访问设备的密码防护,发起/增加用于远程位置确定的设备地点记录,等等)。远程缓解操作338可以在设备102”外执行(例如,禁止来自一些/全部其它设备的连接,发起/增加到外部存储位置的备份,记录设备位置,报告接近设备102”感测到的威胁,等等)。
本地缓解操作336和远程缓解操作338可以是自动或手动操作。自动操作可由设备102”和/或远程资源104来执行,而无需用户干预。示例的自动缓解操作可以包括DTM服务334,使得设备102”重新配置病毒/恶意软件防护、防火墙强度、备份频率、地点记录、设备访问要求等。手动缓解操作会要求来自用户的某活动。示例的手动缓解操作可以包括将设备102”置于安全存储位置以避免偷盗,移动到不同的物理位置,将设备102”连接到有线LAN而不是使用无线通信,等等。在一个实施例中,手动缓解操作340可以由威胁和/或缓解操作可视化342来提示。可视化342可以例如使得威胁相关信息被呈现给用户,可以使得威胁缓解操作被呈现给用户,可以使得关于手动威胁缓解操作的提示(例如,包括用于执行手动威胁缓解操作的指令和/或用于确认手动威胁缓解操作已经完成的请求)被呈现给用户,等等。在相同的或另一实施例中,HED模块106”还可以使得关于检测的威胁、威胁缓解等的反馈被提供给远程资源104。
图4示出了根据本公开的至少一个实施例的用于远程资源的示例配置。远程资源104’可以包括例如信息技术(IT)服务400、全局威胁情报模块和信誉服务404。IT服务400可以包括用于支持设备102的操作的各种服务。IT服务400的特征可取决于例如设备102的类型以及如何使用该设备。例如,IT服务400可以由公司、教育机构、政府实体等来提供。示例的服务可以包括但不限于病毒/恶意软件防护支持、备份服务、数据访问服务、网络访问服务、设备定位服务、设备维修服务,等等。
全局威胁情报服务402可以包括与系统环境112和/或物理环境114有关的威胁数据。例如,出现的病毒版本、黑客攻击、迷惑方案等可以由全局威胁情报服务402来跟踪。由IT服务提供商、政府机构(例如,本地警察、联邦调查局(FBI)、中央情报局(CIA)提供的事件报告可以添加到由全局威胁情报服务402维护的数据中,全局威胁情报服务402可利用该数据来将潜在威胁通知给设备102。类似地,信誉服务404可以包括当遇到威胁时由设备102提供的数据。通过这种方式,信誉服务404内的活动数据可以是“群集做源”,因为其由参与的设备/用户提供。在一个操作示例中,信誉服务404可以记录在一些系统环境112和/或物理环境114内的各种设备102的经历,可以根据记录的经历数据来确定重要活动数据(例如,指示威胁),并且可以将活动数据提供给这些特定环境附近的设备102。
图5示出了根据本公开的至少一个实施例的上下文感知前摄威胁管理系统的示例操作。敌对环境检测可以发起于操作500(例如,在设备内的HED模块中)。在操作502中,可以接收内部活动数据(例如,从设备中的安全服务)以及外部活动数据(例如,从设备外的远程资源)。随后在操作504中,可以对接收到的内部和外部活动信息进行聚合和分析威胁。在操作506中可以做出在设备中是否需要动作的确定(例如,设备是否需要缓解在操作504中识别的威胁)。在操作506中的不需要动作的确定(例如,在操作504中未识别出威胁)之后可以返回操作502,其中在设备中可以再次接收内部活动数据和外部活动数据。
如果在操作506中确定出需要动作(例如,威胁存在),则在操作508中可对于设备的每个威胁构建威胁缓解操作的动态列表。在可选的操作510中,威胁和/或威胁缓解操作可对用户可见(例如,经由设备中的用户接口模块呈现给用户)。然后,可以在操作512中做出是否任何威胁缓解操作是手动威胁缓解操作的确定。如果在操作512中确定出没有一个威胁缓解操作是手动,则在操作514中可以执行自动威胁缓解操作(例如,由设备和/或远程资源),并且在操作516中,可以向远程资源提供反馈(例如,用于预测未来威胁,等等)。如果在操作512中确定出需要手动威胁缓解操作,则在操作518中可以使手动威胁缓解操作对设备的用户可视化。然后,可在操作520中做出关于威胁是否已经缓解(例如,在操作518中可视化的手动威胁缓解操作已经由用户执行)的确定。在操作520中确定出威胁未得到缓解之后可以返回操作508以构建新的威胁缓解操作的动态列表。操作520中确定出威胁已经缓解之后可以是操作520,在该操作520中,与威胁和/或威胁缓解操作有关的数据可反馈给远程资源。
虽然图5示出了根据实施例的操作,应当理解不是图5中描绘的全部操作对于其它实施例都是必要的。事实上,在本文全面构思的是,在本公开的其它实施例中,图5所示的操作和/或本文描述的其它操作可按照未在任意附图中具体显示而仍充分符合本公开的方式来组合。因此,涉及到没有在一个图中确切显示的特征和/或操作的权利要求被视为在本公开的范围和内容内。
如本申请和权利要求中所使用的,通过术语“和/或”所连接的项的列表可以表示所列项的任意组合。例如,短语“A、B和/或C”可以表示A;B;C;A和B;A和C;B和C;或者A,B和C。在如本申请和权利要求中所使用的,通过术语“至少一个”连接的项的列表可以表示所列项的任何组合。例如,短语“A,B或C中的至少一个”可以表示A;B;C;A和B;A和C;B和C;或者A,B和C。
如在本文中任何实施例中使用的,术语“模块”可以是指配置为执行任何前述操作的软件、固件和/或电路系统。软件可以实施为软件包、代码、指令、指令集和/或记录在非暂时性计算机可读存储介质上的数据。固件可实施为代码、指令或指令集和/或硬编码(例如,非易失性)在存储器设备中的数据。如本文中任何实施例中使用的“电路系统”可以包括例如单一地或者任意组合的硬接线电路系统、可编程电路系统,诸如包括一个或多个单个指令处理核的计算机处理器、状态机电路系统和/或存储由可编程电路系统执行的指令的固件。模块可以统一地或者单个地实施为形成较大型系统的部分的电路系统,较大型系统例如集成电路(IC)、片上系统(SoC)、台式计算机、膝上型计算机、平板式计算机、服务器、智能手机等。
本文所描述的任意操作可以实现在包括其中单独地或者组合地存储有当由一个或多个处理器执行时执行方法的指令的一个或多个存储介质(例如,非暂时性存储介质)的系统中。此处,处理器可以包括例如服务器CPU、移动设备CPU、和/或其它可编程电路系统。而且,目的在于本文所描述的操作可以分布在多个物理设备上,诸如在多于一个不同的物理位置处的处理结构。存储介质可以包括任何类型的有形介质,例如,任何类型的磁盘,包括硬盘、软盘、光盘、压缩盘只读存储器(CD-ROM)、压缩盘可重写(CD-RW)以及磁光盘,诸如只读存储器(ROM)的半导体器件、诸如动态和静态RAM的随机存取存储器(RAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪速存储器、固态盘(SSD)、嵌入式多媒体卡(eMMC)、安全数字输入/输出(SDIO)卡、磁卡或光卡、或者任何类型的适合存储电子指令的介质。其它实施例可实现为由可编程控制设备执行的软件模块。
因此,本公开涉及上下文感知前摄威胁管理系统。一般地,设备可以使用内部活动数据以及关于外部活动(例如,由远程资源提供)的数据,用于威胁评估和缓解。设备可以包括例如协调威胁评估和缓解的敌对环境检测(HED)模块。HED模块可积聚内部活动数据(例如,从设备中的安全服务),以及来自远程资源的关于系统环境和/或物理环境的外部活动数据。HED模块随后可以基于活动数据来评估威胁并且确定自动和/或手动缓解操作来回应威胁。在一个实施例中,可视化特征还可用于例如使威胁对用户可视化,可视化自动/手动缓解操作,请求关于手动缓解操作的执行的用户确认,等等。
下面的示例涉及到进一步的实施例。本公开的下面的示例可以包括诸如设备、方法、用于存储指令的至少一个机器可读介质的主体材质,当被执行时指令使得机器基于方法、用于基于该方法执行动作的装置和/或上下文感知前摄威胁管理系统来执行动作,如下文所提供的。
根据第一示例,提供一种用于上下文感知威胁管理系统的设备。该设备可以包括与设备外的至少远程资源交互的通信模块;以及敌对环境检测(HED)模块,其接收来自设备内的安全服务的内部活动数据,经由通信模块接收来自远程资源的外部活动数据,基于内部活动数据或外部活动数据中的至少一个来确定对设备的威胁,以及响应于任何所确定的威胁而确定缓解操作。
示例2包括示例1的要素,其中所述远程资源包括能经由广域网(WAN)访问的至少一个计算设备。
示例3包括示例2的要素,其中所述至少一个计算设备包括信息技术(IT)服务、全局威胁情报服务或信誉服务中的至少一个。
示例4包括示例1至3中任一个的要素,其中所述HED模块接收来自所述设备内的安全服务的内部活动数据包括所述HED模块接收与设备配置、设备操作或设备内容中的至少一个有关的安全数据。
示例5包括示例4的要素,其中所述安全服务包括病毒防护服务、主机入侵检测服务或设备内的防火墙防护服务中的至少一个。
示例6包括示例4至5中任一个的要素,其中所述安全服务包括内核级防护服务或硬件/固件级防护服务中的至少一个。
示例7包括示例1至6中任一个的要素,其中所述HED模块接收来自所述远程资源的外部活动数据包括所述HED模块接收与存在于能够与设备通信的系统环境中的威胁或者存在于设备正在其中运行的物理环境中的威胁中的至少一个有关的数据。
示例8包括示例7的要素,其中存在于系统环境中的威胁包括病毒、恶意软件或者能够用于获得对设备的非授权访问权的工具中的至少一个。
示例9包括示例7至8中任一个的要素,其中存在于物理环境中的威胁包括非授权用户企图访问设备或设备的失窃中的至少一个。
示例10包括示例1至9中任一个的要素,其中所述HED模块基于所述内部活动数据或所述外部活动数据中的至少一个来确定对所述设备的威胁包括所述HED模块确定对设备操作的威胁或对存储在所述设备中的信息的威胁中的至少一个。
示例11包括示例10的要素,其中确定对设备操作的威胁或者对存储在设备中的信息的威胁中的至少一个是基于设备中的威胁检测策略。
示例12包括示例1至11中任一个的要素,其中所述设备进一步包括向用户呈现信息的用户接口模块,所述HED模块进一步使得所述用户接口模块使任何确定的威胁通过所述用户接口模块对所述用户可视化。
示例13包括示例12的要素,其中所述HED模块响应于任何确定的威胁来确定缓解操作包括所述HED模块确定自动缓解操作或手动缓解操作中的至少一个。
示例14包括示例13的要素,其中自动缓解操作和手动缓解操作是基于设备中的威胁缓解策略。
示例15包括示例13至14中任一个的要素,其中所述自动缓解操作包括在设备内执行的本地缓解操作和设备外执行的远程缓解操作中的至少一个。
示例16包括示例13至15中任一个的要素,其中HED模块进一步使得所述自动缓解操作由所述设备或所述远程资源中的至少一个执行。
示例17包括示例13至16中任一个的要素,其中所述HED模块进一步使得所述用户接口模块使所述自动缓解操作或所述手动缓解操作中的至少一个对所述用户可视化。
示例18包括示例17的要素,其中使手动缓解操作可视化包括使用户经由有线连接而连接到系统环境的请求或者用户连接到替选的系统环境的建议中的至少一个可视化。
示例19包括示例17至18中任一个的要素,其中所述HED模块进一步使所述用户经由所述用户接口被查询,所述查询确定所述用户是否已经承担由所述用户接口模块可视化的任何手动缓解操作。
示例20包括示例1至19中任一个的要素,其中所述HED模块进一步使得关于所述威胁或所述缓解操作中的至少一个的数据经由所述通信模块被发送到所述远程资源。
示例21包括示例1至20中任一个的要素,其中所述设备进一步包括向用户呈现信息的用户接口模块,所述HED模块进一步使得用户接口模块使任何确定的威胁通过用户接口模块对用户可视化。
示例22包括示例21的要素,其中HED模块响应于任何确定的威胁而确定缓解操作包括HED模块确定自动缓解操作或手动缓解操作中的至少一个且使得自动缓解操作由设备或远程资源中的至少一个执行。
示例23包括示例22的要素,其中所述HED模块进一步进行:使得用户接口模块使自动缓解操作或手动缓解操作中的至少一个对用户可视化或者使得用户经由用户接口被查询中的至少一个,所述查询确定用户是否承担由用户接口模块可视化的任何手动缓解操作。
根据示例24,提供用于上下文感知威胁管理的方法。该方法可以包括:接收来自设备内的安全服务的内部活动数据,接收来自设备外的远程资源的外部活动数据,基于内部活动数据或外部活动数据中的至少一个来确定对设备的威胁;以及响应于任何确定的威胁而确定缓解操作。
示例25包括示例24的要素,并且进一步包括:在确定对设备的威胁之前,聚合内部活动数据和外部活动数据。
示例26包括示例24至25中的任一个的要素,其中接收来自设备内的安全服务的内部活动数据包括接收与设备配置、设备操作或设备内容中的至少一个有关的安全数据。
示例27包括示例26的要素,其中安全服务包括病毒防护服务、主机入侵检测服务或设备内的防火墙防护服务中的至少一个。
示例28包括示例26至27中的任一个的要素,其中所述安全服务包括内核级防护服务或硬件/固件级防护服务中的至少一个。
示例29包括示例24至28中的任一个的要素,其中接收来自远程资源的外部活动数据包括接收与存在于能够与设备通信的系统环境中的威胁或者存在于设备正在其中运行的物理环境中的威胁中的至少一个有关的数据。
示例30包括示例29的要素,其中存在于系统环境中的威胁包括病毒、恶意软件或能够用于获得对设备的非授权访问权的工具中的至少一个。
示例31包括示例29至30中的任一个的要素,其中存在于物理环境中的威胁包括非授权用户企图访问设备或设备的失窃中的至少一个。
示例32包括示例24至31中的任一个的要素,其中基于内部活动数据或外部活动数据中的至少一个来确定对设备的威胁包括确定对设备操作的威胁或对存储在设备中的信息的威胁中的至少一个。
示例33包括示例32的要素,其中确定对设备操作的威胁或对存储在设备中的信息的威胁中的至少一个是基于设备中的威胁检测策略。
示例34包括示例24至33中的任一个的要素,并且进一步包括使得任何确定的威胁对用户可视化。
示例35包括示例24至34中的任一个的要素,其中响应于任何确定的威胁而确定缓解操作包括确定自动缓解操作或手动缓解操作中的至少一个。
示例36包括示例35的要素,其中自动缓解操作和手动缓解操作是基于设备中的威胁缓解策略。
示例37包括示例35至36中的任一个的要素,其中自动缓解操作包括在设备内执行的本地缓解操作以及在设备外执行的远程缓解操作中的至少一个。
示例38包括示例35至37中的任一个的要素,并且进一步包括使得自动缓解操作由设备或远程资源中的至少一个执行。
示例39包括示例35至38中的任一个的要素,并且进一步包括使得自动缓解操作或手动缓解操作中的至少一个对用户可视化。
示例40包括示例39的要素,其中使手动缓解操作可视化包括使用户经由有线连接而连接到系统环境的请求或者用户连接到替选的系统环境的建议中的至少一个可视化。
示例41包括示例39至40中的任一个的要素,并且进一步包括使得确定用户是否已承担任何手动缓解操作的查询对用户可视化。
示例42包括示例24至41中的任一个的要素,并且进一步包括使得关于威胁或缓解操作中的至少一个的数据经由通信模块被发送到远程资源。
示例43包括示例24至42中的任一个的要素,其中响应于任何确定的威胁确定缓解操作包括:确定自动缓解操作或手动缓解操作中的至少一个;以及使得自动缓解操作由设备或远程资源中的至少一个执行。
示例44包括示例43的要素,并且至少进一步包括以下之一:使得自动缓解操作或手动缓解操作中的至少一个对用户可视化或者使得确定所述用户是否已承担任何手动缓解操作的查询对所述用户可视化。
根据示例45,提供包括至少一个设备的系统,该系统被布置成执行上述示例24至44中的任一个的方法。
根据示例46,提供被布置成执行上述示例24至44中的任一个的方法的芯片组。
根据示例47,提供至少一个机器可读介质,包括多条指令,响应于在计算设备上执行,所述指令使得计算设备实施根据上述示例24至44中的任一个的方法。
根据示例48,提供配置用于上下文感知威胁管理系统的至少一个设备,该设备布置成执行上述示例24至44中的任一个的方法。
根据示例49,提供一种上下文感知威胁管理系统。该系统可以包括:用于接收来自设备内的安全服务的内部活动数据的单元;用于接收来自设备外的远程资源的外部活动数据的单元;用于基于内部活动数据或外部活动数据中的至少一个来确定对设备的威胁的单元,以及用于响应于任何确定的威胁而确定缓解操作的单元。
示例50包括示例49的要素,其中用于接收来自设备内的安全服务的内部活动数据的单元包括用于接收与设备配置、设备操作或设备内容中的至少一个有关的安全数据的单元。
示例51包括示例49至50中的任一个的要素,其中用于接收来自远程资源的外部活动数据的单元包括用于接收与存在于能够与设备通信的系统环境中的威胁或存在于设备在其中运行的物理环境中的威胁中的至少一个有关的数据的单元。
示例52包括示例49至51中的任一个的要素,其中用于基于内部活动数据或外部活动数据中的至少一个确定对设备的威胁的单元包括用于确定对设备操作的威胁或对存储在设备中的信息的威胁中的至少一个的单元。
示例53包括示例49至52中的任一个的要素,并且进一步包括用于使任何确定的威胁对用户可视化的单元。
示例54包括示例49至53中的任一个的要素,其中用于响应于任何确定的威胁而确定缓解操作的单元包括用于确定自动缓解操作或手动缓解操作中的至少一个的单元。
示例55包括示例54的要素,并且进一步包括用于使得自动缓解操作由设备或远程资源中的至少一个执行的单元。
示例52包括示例54至55中的任一个的要素,并且进一步包括用于使得自动缓解操作或手动缓解操作中的至少一个对用户可视化的单元或者用于使得确定所述用户是否已承担任何手动缓解操作的查询对所述用户可视化的单元中的至少一个。
本文中采用的术语和表达用作说明而不是限制的术语,并且在使用这些术语和表达时无意排除所显示和所描述的特征的任意等同物(或其部分),并且应当认识到在权利要求的范围内各种修改是可能的。因此,权利要求旨在覆盖全部这样的等同物。

Claims (25)

1.一种用于与上下文感知威胁管理系统一起使用的设备,包括:
通信模块,其用于与在所述设备外部的至少远程资源进行交互;以及敌对环境检测(HED)模块,其用于:
接收来自所述设备内的安全服务的内部活动数据;
经由所述通信模块接收来自所述远程资源的外部活动数据;
基于所述内部活动数据或所述外部活动数据中的至少一个来确定对所述设备的威胁;以及
响应于任何所确定的威胁而确定缓解操作。
2.如权利要求1所述的设备,其中,所述远程资源包括能够经由广域网(WAN)访问的至少一个计算设备。
3.如权利要求2所述的设备,其中,所述至少一个计算设备包括信息技术(IT)服务、全局威胁情报服务或信誉服务中的至少一个。
4.如权利要求1所述的设备,其中,所述HED模块接收来自所述设备内的安全服务的内部活动数据包括所述HED模块接收与设备配置、设备操作或设备内容中的至少一个有关的安全数据。
5.如权利要求1所述的设备,其中,所述HED模块接收来自所述远程资源的外部活动数据包括所述HED模块接收与存在于能够与所述设备通信的系统环境中的威胁或者存在于所述设备正在其中运行的物理环境中的威胁中的至少一个有关的数据。
6.如权利要求1所述的设备,其中,所述HED模块基于所述内部活动数据或所述外部活动数据中的至少一个来确定对所述设备的威胁包括所述HED模块确定对设备操作的威胁或者对存储在所述设备中的信息的威胁中的至少一个。
7.如权利要求1所述的设备,其中,所述设备进一步包括向用户呈现信息的用户接口模块,所述HED模块进一步使得所述用户接口模块使任何所确定的威胁通过所述用户接口模块对所述用户可视化。
8.如权利要求7所述的设备,其中,所述HED模块响应于任何所确定的威胁来确定缓解操作包括所述HED模块确定自动缓解操作或手动缓解操作中的至少一个。
9.如权利要求8所述的设备,其中,所述HED模块进一步使得所述自动缓解操作由所述设备或所述远程资源中的至少一个执行。
10.如权利要求8所述的设备,其中,所述HED模块进一步使得所述用户接口模块使所述自动缓解操作或所述手动缓解操作中的至少一个对所述用户可视化。
11.如权利要求9所述的设备,其中,所述HED模块进一步使得所述用户经由所述用户接口被查询,所述查询确定所述用户是否已经承担由所述用户接口模块可视化的任何手动缓解操作。
12.如权利要求1所述的设备,其中,所述HED模块进一步使得关于所述威胁或所述缓解操作中的至少一个的数据经由所述通信模块被发送到所述远程资源。
13.一种用于上下文感知威胁管理的方法,包括:
接收来自设备内的安全服务的内部活动数据;
接收来自所述设备外部的远程资源的外部活动数据;
基于所述内部活动数据或所述外部活动数据中的至少一个来确定对所述设备的威胁;以及
响应于任何所确定的威胁来确定缓解操作。
14.如权利要求13所述的方法,进一步包括:
在确定对所述设备的所述威胁之前,聚合所述内部活动数据和外部活动数据。
15.如权利要求13所述的方法,其中,接收来自所述设备内的安全服务的内部活动数据包括接收与设备配置、设备操作或设备内容中的至少一个有关的安全数据。
16.如权利要求13所述的方法,其中,接收来自所述远程资源的外部活动数据包括接收与存在于能够与所述设备通信的系统环境中的威胁或存在于所述设备正在其中运行的物理环境中的威胁中的至少一个有关的数据。
17.如权利要求13所述的方法,其中,基于所述内部活动数据或所述外部活动数据中的至少一个确定对所述设备的威胁包括确定对设备操作的威胁或对存储在所述设备中的信息的威胁中的至少一个。
18.如权利要求13所述的方法,进一步包括:
使得任何所确定的威胁对用户可视化。
19.如权利要求13所述的方法,其中,响应于任何所确定的威胁而确定缓解操作包括确定自动缓解操作或手动缓解操作中的至少一个。
20.如权利要求19所述的方法,进一步包括:
使得所述自动缓解操作由所述设备或所述远程资源中的至少一个执行。
21.如权利要求19所述的方法,进一步包括:
使得所述自动缓解操作或所述手动缓解操作中的至少一个对所述用户可视化。
22.如权利要求21所述的方法,进一步包括:
使得确定所述用户是否已承担任何手动缓解操作的查询对所述用户可视化。
23.如权利要求13所述的方法,进一步包括:
使得关于所述威胁或所述缓解操作中的至少一个的数据经由所述通信模块被发送到所述远程资源。
24.一种包括至少一个设备的系统,所述系统被布置成执行权利要求13至23中的任一项所述的方法。
25.包括多条指令的至少一个机器可读介质,响应于在计算设备上被执行,所述多条指令使得所述计算设备实施根据权利要求13至23中的任一项所述的方法。
CN201380080351.1A 2013-11-19 2013-11-19 上下文感知前摄威胁管理系统 Expired - Fee Related CN105659247B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2013/070858 WO2015076790A1 (en) 2013-11-19 2013-11-19 Context-aware proactive threat management system

Publications (2)

Publication Number Publication Date
CN105659247A true CN105659247A (zh) 2016-06-08
CN105659247B CN105659247B (zh) 2019-05-31

Family

ID=53179926

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380080351.1A Expired - Fee Related CN105659247B (zh) 2013-11-19 2013-11-19 上下文感知前摄威胁管理系统

Country Status (4)

Country Link
US (1) US9973527B2 (zh)
EP (1) EP3072077B1 (zh)
CN (1) CN105659247B (zh)
WO (1) WO2015076790A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9754117B2 (en) * 2014-02-24 2017-09-05 Northcross Group Security management system
EP3373180A1 (de) 2017-03-09 2018-09-12 Siemens Aktiengesellschaft Verfahren und computer mit einer sicherung gegen cyberkriminelle bedrohungen
US10607013B2 (en) * 2017-11-30 2020-03-31 Bank Of America Corporation System for information security threat assessment and event triggering
US10652264B2 (en) * 2017-11-30 2020-05-12 Bank Of America Corporation Information security vulnerability assessment system
US11405404B2 (en) 2019-09-06 2022-08-02 International Business Machines Corporation Dynamic privilege allocation based on cognitive multiple-factor evaluation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100100964A1 (en) * 2008-10-21 2010-04-22 Flexilis, Inc. Security status and information display system
CN103065086A (zh) * 2012-12-24 2013-04-24 北京启明星辰信息技术股份有限公司 应用于动态虚拟化环境的分布式入侵检测系统及方法
US20130160129A1 (en) * 2011-12-19 2013-06-20 Verizon Patent And Licensing Inc. System security evaluation

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US8332947B1 (en) * 2006-06-27 2012-12-11 Symantec Corporation Security threat reporting in light of local security tools
US7720965B2 (en) * 2007-04-23 2010-05-18 Microsoft Corporation Client health validation using historical data
US8621551B2 (en) * 2008-04-18 2013-12-31 Samsung Electronics Company, Ltd. Safety and management of computing environments that may support unsafe components
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
JP5559306B2 (ja) * 2009-04-24 2014-07-23 アルグレス・インコーポレイテッド 対話的グラフを用いた予測モデリングのための企業情報セキュリティ管理ソフトウェア
US20120249588A1 (en) * 2011-03-22 2012-10-04 Panduit Corp. Augmented Reality Data Center Visualization
US8370407B1 (en) 2011-06-28 2013-02-05 Go Daddy Operating Company, LLC Systems providing a network resource address reputation service
US8949993B2 (en) * 2011-10-17 2015-02-03 Mcafee Inc. Mobile risk assessment
US9749338B2 (en) * 2011-12-19 2017-08-29 Verizon Patent And Licensing Inc. System security monitoring
KR20130097554A (ko) * 2012-02-24 2013-09-03 주식회사 팬택 증강 현실 서비스를 위한 유해성 검증 시스템, 장치 및 방법
US8776180B2 (en) * 2012-05-01 2014-07-08 Taasera, Inc. Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
US20140359777A1 (en) * 2013-05-31 2014-12-04 Fixmo, Inc. Context-aware risk measurement mobile device management system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100100964A1 (en) * 2008-10-21 2010-04-22 Flexilis, Inc. Security status and information display system
US20130160129A1 (en) * 2011-12-19 2013-06-20 Verizon Patent And Licensing Inc. System security evaluation
CN103065086A (zh) * 2012-12-24 2013-04-24 北京启明星辰信息技术股份有限公司 应用于动态虚拟化环境的分布式入侵检测系统及方法

Also Published As

Publication number Publication date
WO2015076790A1 (en) 2015-05-28
EP3072077A1 (en) 2016-09-28
US9973527B2 (en) 2018-05-15
EP3072077A4 (en) 2017-04-26
EP3072077B1 (en) 2019-05-08
US20150195301A1 (en) 2015-07-09
CN105659247B (zh) 2019-05-31

Similar Documents

Publication Publication Date Title
US10432627B2 (en) Secure sensor data transport and processing
Volety et al. Cracking Bitcoin wallets: I want what you have in the wallets
CN105210042B (zh) 互联网协议威胁防护
JP6122555B2 (ja) 危殆化されている秘密鍵を識別するためのシステム及び方法
JP6789308B2 (ja) トリップワイヤファイルを生成するためのシステム及び方法
US8555077B2 (en) Determining device identity using a behavioral fingerprint
US8689350B2 (en) Behavioral fingerprint controlled theft detection and recovery
CN105531692A (zh) 针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略
CN107533608A (zh) 可信更新
CN109033885B (zh) 一种数据响应方法、终端设备以及服务器
CN107567699A (zh) 实时移动安全态势
EP3577616A2 (en) Terminal for conducting electronic transactions
WO2015183698A1 (en) Method and system for implementing data security policies using database classification
CN104247329A (zh) 请求云服务的装置的安全补救
JP2015531134A (ja) ハードウェアによるアクセス保護
CN105659247A (zh) 上下文感知前摄威胁管理系统
CN105930726B (zh) 一种恶意操作行为的处理方法及用户终端
CN114207613A (zh) 用于激励式入侵检测系统的技术
CN105745896A (zh) 用于经由面向方面编程来增强移动安全的系统和方法
Parasher et al. Green Smart Security System
Meshram et al. A survey paper on vulnerabilities in android OS and security of android devices
CN113779562A (zh) 基于零信任的计算机病毒防护方法、装置、设备及介质
Magare et al. Security and privacy issues in smart city: Threats and their countermeasures
Bhatia A comprehensive review on the cyber security methods in Indian organisation
GB2535579A (en) Preventing unauthorized access to an application server

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190531

Termination date: 20191119