CN106161345A - 针对性攻击的发现 - Google Patents
针对性攻击的发现 Download PDFInfo
- Publication number
- CN106161345A CN106161345A CN201510142847.8A CN201510142847A CN106161345A CN 106161345 A CN106161345 A CN 106161345A CN 201510142847 A CN201510142847 A CN 201510142847A CN 106161345 A CN106161345 A CN 106161345A
- Authority
- CN
- China
- Prior art keywords
- information
- network
- normalized
- threat information
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及针对性攻击的发现。设备可以接收与客户端网络的组相关联的使用信息,包括与特定客户端网络相关联的特定使用信息。设备可以接收与客户端网络的组相关联的威胁信息,包括与特定客户端网络相关联的特定威胁信息。设备可以基于使用信息确定基线。设备可以基于基线和特定使用信息确定与特定客户端网络相关联的归一化函数。设备可以基于归一化函数和特定威胁信息确定与特定客户端网络相关联的归一化的威胁信息。设备可以确定与客户端网络的组相关联的总体归一化的威胁信息。设备可以比较归一化的威胁信息和总体归一化的威胁信息。设备可以提供与比较归一化的威胁信息和总体归一化的威胁信息相关联的信息。
Description
技术领域
本发明涉及针对性攻击的发现。
背景技术
安全设备可以被放置在用户设备和服务器设备(例如,与网站相关联的服务器设备)之间。安全设备可以被配置为检测(例如,使用统一资源定位符(URL)声誉、黑名单、反病毒扫描、反恶意软件技术等)由服务器设备提供的恶意对象(例如,木马、蠕虫、间谍程序等),并且可以被配置为阻止恶意对象被用户设备接收。
发明内容
根据一些可能的实现方式,一种设备可以包括一个或者多个处理器用以:接收与客户端网络的组相关联的使用信息,其中该使用信息可以包括与客户端网络的组中的特定客户端网络相关联的特定使用信息;接收与客户端网络的组相关联的威胁信息,其中该威胁信息可以包括与特定客户端网络相关联的特定威胁信息;基于与客户端网络的组相关联的使用信息确定使用基线;基于使用基线和特定使用信息确定与特定客户端网络相关联的归一化函数;基于归一化函数和特定威胁信息,确定与特定客户端网络相关联的归一化的威胁信息;确定与客户端网络的组相关联的总体归一化的威胁信息;比较与特定客户端网络相关联的归一化的威胁信息和与客户端网络的组相关联的总体归一化的威胁信息;以及提供与比较与特定客户端网络相关联的归一化的威胁信息和与客户端网络的组相关联的总体归一化的威胁信息相关联的信息。
根据一些可能的实现方式,一种计算机可读介质可以存储一个或多个指令,该一个或多个指令当由一个或者多个处理器执行时,使得该一个或者多个处理器:获得使用信息,其中该使用信息可以与网络的组相关联,并且其中该使用信息可以包括与网络的组中的特定网络相关联的特定使用信息;获得威胁信息,其中该威胁信息可以与网络的组相关联,并且其中该威胁信息可以包括与特定网络相关联的特定威胁信息;基于与网络的组相关联的使用信息确定使用基线;基于使用基线和特定使用信息计算归一化因数,其中该归一化因数可以对应于特定网络;基于归一化因数和特定威胁信息确定归一化的威胁信息,其中该归一化的威胁信息可以对应于特定网络;确定总体归一化的威胁信息,其中总体归一化的威胁信息可以与网络的组相关联;比较归一化的威胁信息和总体归一化的威胁信息;以及提供基于比较归一化的威胁信息和总体归一化的威胁信息的威胁评估。
根据一些可能的实现方式,一种方法可以包括:由设备接收与客户端网络的集合相关联的使用信息,其中该使用信息可以包括与客户端网络的集合中的特定客户端网络相关联的特定使用信息,并且其中该使用信息可以对应于特定时间段;由设备接收与客户端网络的集合相关联的威胁信息,其中该威胁信息可以包括与特定客户端网络相关联的特定威胁信息,并且其中该威胁信息可以对应于特定时间段;由设备确定与客户端网络的集合相关联的使用基线,其中可以基于使用信息来确定该使用基线;由设备确定与特定客户端网络相关联的归一化函数,其中可以基于使用基线和特定使用信息来确定该归一化函数;由设备确定与特定客户端网络相关联的归一化的威胁信息,其中可以基于将归一化函数应用于特定威胁信息来确定该归一化的威胁信息;由设备确定与客户端网络的集合相关联的总体归一化的威胁信息;由设备比较归一化的威胁信息和总体归一化的威胁信息;以及由设备提供与比较归一化的威胁信息和总体归一化的威胁信息相关联的信息。
附图说明
图1是在此描述的示例实现方式的概述的示图;
图2是在其中可以实现在此描述的系统和/或方法的示例环境的示图;
图3是图2的一个或者多个设备的示例部件的示图;
图4是用于确定和提供与客户端网络相关联的使用信息以及与客户端网络相关联的威胁信息的示例过程的流程图;
图5是与在图4中所示的示例过程有关的示例实现方式的示图;
图6是用于接收与客户端网络的集合相关联的使用信息和与客户端网络的集合相关联的威胁信息,以及确定与客户端网络的集合相关联的使用基线的示例过程的流程图;
图7是与在图6中所示的示例过程有关的示例实现方式的示图;
图8是用于基于比较与客户端网络相关联的归一化的威胁信息和与客户端网络的集合相关联的总体归一化的威胁信息来提供与客户端网络相关联的威胁评估的示例过程的流程图;
图9是与在图8中所示的示例过程有关的示例实现方式的示图。
具体实施方式
以下对示例实现方式的详细描述参照附图。在不同附图中的相同的标号可以标识相同的或者相似的元素。
安全设备可以实现安全解决方案以检测与客户端网络相关联的恶意对象(例如,恶意软件、病毒、蠕虫、间谍软件、勒索软件等)。安全设备可以能够提供(例如,向客户端网络管理员)包括与在客户端网络中检测到的恶意对象相关联的信息的威胁评估。然而,这种威胁评估可能引入一定程度的混淆和/或可能不是有价值的,因为该威胁评估可能不指示什么级别的恶意活动(例如,恶意对象的数量、恶意对象的体积、恶意对象的频率、恶意对象的类型、恶意对象的严重性等)可以是正常的(例如,相对于其他客户端网络)和/或什么级别的恶意活动可以代表增加的级别的恶意活动(例如,在恶意活动的级别中的尖峰)。
克服这种问题的一种解决方案是比较恶意活动的当前级别与恶意活动的一个或者多个历史级别。这种解决方案的问题在于该解决方案可能要求相对长的历史,以便于提供对恶意活动趋势的有价值的深刻理解。此外,这种解决方案可能不考虑全球的恶意活动趋势(例如,互联网范围的趋势、服务提供商范围的趋势等)。因此,如果在给定的一天释放恶意对象(例如,在互联网上),有可能安全设备能够在客户端网络中检测到恶意活动的级别中的涌入,但是这种信息可能没什么价值,因为安全设备可能不能够比较恶意活动的检测到的级别和与其他客户端网络相关联的恶意活动的级别。
在此描述的实现方式可以提供解决方案,该解决方案允许比较与客户端网络相关联的恶意活动的检测到的级别和与一个或者多个其他客户端网络相关联的恶意活动的一个或者多个其他检测到的级别,使得与客户端网络相关联的威胁评估可以提供与恶意活动的检测到的级别相关联的见解。这样,可以通知与客户端网络相关联的安全设备和/或管理员,客户端网络已经成为恶意活动的目标(例如,并且因此,安全设备可以实行必要的措施以便于确保感染不会在客户端网络内接管(take hold))。
图1是在此描述的示例实现方式100的概述的示图。为了示例实现方式100的目的,假设在客户端网络的组(例如,客户端1至客户端N)中的每个客户端网络包括客户端设备的组和安全设备。进一步地,假设在每个客户端网络中包括的每个安全设备被配置为确定与对应的客户端网络相关联的使用信息以及与对应的客户端网络相关联的威胁信息(在此称为使用和威胁信息),并且向与客户端网络的组相关联的中央安全设备提供使用和威胁信息。
如在图1中以及由标号105所示,在客户端网络1中包括的安全设备(例如,CN1安全设备)可以向中央安全设备提供与客户端网络1相关联的使用和威胁信息。类似地,如由标号110所示,在客户端网络N中包括的安全设备(例如,CNN安全设备)可以向中央安全设备提供与客户端网络N相关联的使用和威胁信息。在一些实现方式中,中央安全设备可以使得与客户端网络相关联的安全设备(例如,CN1安全设备、CNN安全设备等)向中央安全设备发起使用和威胁信息的传送(例如,CN1安全设备可以向中央安全设备推送CN1使用和威胁信息,CNN安全设备可以向中央安全设备推送CNN使用和威胁信息)。附加地或者可替代地,中央安全设备可以周期性地从安全设备请求使用和威胁信息(例如,中央安全设备可以从CN1安全设备拉取使用和威胁信息,中央安全设备可以从CNN安全设备拉取使用和威胁信息等)。
如由标号115所示,中央安全设备可以接收与客户端网络1至客户端网络N相关联的使用和威胁信息,以及可以确定与客户端网络1至客户端网络N相关联的使用基线。
如由标号120所示,中央安全设备可以接收指示以提供与客户端网络1相关联的威胁评估。如由标号125所示,中央安全设备可以基于使用基线和与客户端网络1相关联的使用信息确定与客户端网络1相关联的归一化函数。如由标号130所示,中央安全设备可以接下来基于与客户端网络1相关联的归一化函数和威胁信息确定与客户端网络1相关联的归一化的威胁信息。
如由标号135所示,中央安全设备还可以确定与客户端网络1至客户端网络N相关联的总体归一化的威胁信息,以及如由标号140所示,中央安全设备可以比较与客户端网络1相关联的归一化的威胁信息和总体归一化的威胁信息。如由标号145所示,基于比较与客户端网络1相关联的归一化的威胁信息和总体归一化的威胁信息,中央安全设备可以确定与客户端网络1相关联的威胁评估。如由标号150所示,中央安全设备可以向在客户端网络1中包括的安全设备提供威胁评估,并且因此客户端网络1安全设备可以实现(例如,更新、调整、修改、去除、推导等)与保护客户端网络1相关联的安全解决方案。
这样,中央安全设备可以提供解决方案,该解决方案允许比较与客户端网络相关联的恶意活动的检测到的级别和与一个或者多个其他客户端网络相关联的恶意活动的一个或者多个其他检测到的级别,使得与客户端网络相关联的威胁评估可以提供与恶意活动的检测到的级别相关联的见解。
图2是其中可以实现在此描述的系统和/或方法的示例环境200的示图。如图2中所示,环境200可以包括两个或者多个客户端网络210.1至210.N(N>1)(此后统称为客户端网络210,以及个体地称为客户端网络210)。如所示,每个客户端网络210可以包括一个或者多个客户端设备220(例如,客户端网络210.1可以包括客户端设备220.1-1至客户端设备220.1-M(M≥1),客户端网络210.N可以包括客户端设备220.N-1至客户端设备220.N-O(O≥1)等),以及安全设备230(例如,客户端网络210.1可以包括安全设备230.1,客户端网络210.N可以包括安全设备230.N等)。如进一步所示,环境200可以进一步包括中央安全设备240和网络250。环境200的设备可以经由有线连接、无线连接、或者有线和无线连接的组合来互连。
客户端网络210可以包括与客户端设备220的组相关联的一个或者多个有线的和/或无线的网络。例如,客户端网络210可以包括无线局域网(WLAN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网(例如,公共交换电话网(PSTN))、蜂窝网络、公众陆地移动电话网(PLMN)、自组网、企业内部网、互联网、基于光纤的网络、云计算网络和/或这些或者其他类型的网络的组合。在一些实现方式中,客户端网络210可以包括一个或者多个客户端设备220和/或一个或者多个安全设备230。在一些实现方式中,客户端网络210可以是与商业、公司、服务提供商的客户等相关联的企业网络。
客户端设备220可以包括能够经由网络(例如,客户端网络210)与其他设备(例如,其他客户端设备220)通信的一个或者多个设备。例如,客户端设备220可以包括计算设备,诸如膝上型计算机、平板计算机、手持计算机、台式计算机、移动电话(例如,智能电话、无线电电话等)、个人数字助理或者类似的设备。在一些实现方式中,客户端设备220可以被包括在客户端网络210中。
安全设备230可以包括能够接收、生成、确定、提供和/或存储与客户端网络210相关联的使用信息和/或与客户端网络210相关联的威胁信息的一个或者多个设备。例如,安全设备230可以包括计算设备,诸如一个服务器设备或者服务器设备的组。在一些实现方式中,安全设备230可以包括能够在客户端网络210中包括的客户端设备220之间处理和/或传送通信(例如,请求、响应等)的一个或者多个设备。例如,安全设备230可以包括网络设备,诸如反向代理、服务器(例如,代理服务器)、流量转移设备、防火墙、路由器、负载均衡器等。
安全设备230可以与单个客户端网络210或者客户端网络210的组结合起来使用。通信可以被路由通过安全设备230以到达在客户端网络210中包括的一个或者多个客户端设备220。例如,安全设备230可以被放置在客户端网络210内作为到包括一个或者多个客户端设备220的私有网络的网关。
中央安全设备240可以包括能够接收、提供、生成、存储和/或处理与一个或者多个客户端网络210相关联的使用信息和/或威胁信息的一个或者多个设备。例如,中央安全设备240可以包括计算设备,诸如一个服务器设备或者服务器设备的汇集。在一些实现方式中,中央安全设备240可以在使用一个或者多个虚拟机的云计算网络内实现。在一些实现方式中,中央安全设备240可以能够接收(例如,从安全设备230)与多个客户端网络210相关联的使用信息以及与多个客户端网络210相关联的威胁信息,并且计算与多个客户端网络210相关联的使用基线。附加或者可替代地,中央安全设备240可以能够基于使用基线和与客户端网络210相关联的使用信息确定与客户端网络210相关联的归一化函数。附加或者可替代地,中央安全设备240可以能够基于归一化函数确定与客户端网络210相关联的归一化的威胁信息。
附加或者可替代地,中央安全设备240可以能够确定与多个客户端网络210相关联的总体归一化的威胁信息,以及比较与客户端网络210相关联的归一化的威胁信息和与多个客户端网络210相关联的总体归一化的威胁信息。在一些实现方式中,中央安全设备240可以能够标识总体归一化的威胁信息的子集(例如,与主控特定操作系统的客户端设备220相关联的威胁信息、与特定类型的客户端设备220相关联的威胁信息等),以及比较总体归一化的威胁信息的子集和与客户端网络210相关联的归一化的威胁信息的对应的子集。附加或者可替代地,,中央安全设备240可以能够基于比较归一化的威胁信息和归一化的威胁信息提供与客户端网络210相关联的威胁评估。
网络250可以包括一个或者多个有线的和/或无线的网络。例如,网络250可以包括WLAN、LAN、WAN、MAN、电话网、蜂窝网络、PLMN、自组网、企业内部网、互联网、基于光纤的网络、云计算网络和/或这些或者其他类型的网络的组合。在一些实现方式中,网络250可以允许诸如客户端设备220、安全设备230和/或中央安全设备240的设备之间的通信。
在图2中所示的设备和网络的数目和布置作为示例被提供。在实践中,与在图2中所示的那些设备和/或网络相比,可以存在另外的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络或者不同地布置的设备和/或网络。此外,在图2中所示的两个或者多个设备可以在单个设备内实现,或者在图2中所示的单个设备可以被实现为多个、分布式的设备。附加或者可替代地,环境200的设备的集合(例如,一个或者多个设备)可以执行如正由环境200的设备的另一集合执行的所描述的一个或者多个功能。
图3是设备300的示例部件的示图。设备300可以对应于客户端设备220、安全设备230和/或中央安全设备240。在一些实现方式中,客户端设备220、安全设备230和/或中央安全设备240可以包括一个或者多个设备300和/或设备300的一个或者多个部件。如在图3中所示,设备300可以包括总线310、处理器320、存储器330、存储部件340、输入部件350、输出部件360和通信接口370。
总线310可以包括准许设备300的部件之中的通信的部件。处理器320可以包括处理器(例如,中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)等)、微处理器和/或理解和/或执行指令的任何处理部件(例如,现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)。存储器330可以包括随机存取存储器(RAM)、只读存储器(ROM)和/或存储信息和/或指令用于被处理器320使用的其他类型的动态的或者静态的存储设备(例如,闪速存储器、磁存储器、光存储器等)。
存储部件340可以存储与设备300的操作和使用相关的信息和/或软件。例如,存储部件340可以包括硬盘(例如,磁盘、光盘、磁光盘、固态硬盘等)、光盘(CD)、数字万用盘(DVD)、软盘、盒式磁盘、磁带和/或其他类型的计算机可读介质,连同对应的驱动。
输入部件350可以包括准许设备300诸如经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关、麦克风等)接收信息的部件。附加或者可替代地,输入部件350可以包括用于感测信息的传感器(例如,全球定位系统(GPS)部件、加速计、陀螺仪、致动器等)。输出部件360可以包括提供来自设备300的输出信息的部件(例如,显示器、扬声器、一个或者多个发光二极管(LED)等)。
通信接口370可以包括使得设备300能够与其他设备诸如经由有线的连接、无线的连接或者有线的和无线的连接的组合进行通信的类似收发器的部件(例如,收发器、单独的接收器和发送器等)。通信接口370可以准许设备300接收来自另一设备的信息和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
设备300可以执行在此所述的一个或者多个过程。设备300可以响应于处理器320执行由诸如存储器330和/或存储部件340的计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在此被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储空间或者遍布多个物理存储设备的存储空间。
可以经由通信接口370从另一计算机可读介质或者从另一设备将软件指令读入存储器330和/或存储部件340中。在存储器330和/或存储部件340中存储的软件指令当被执行时可以使得处理器320执行在此所述的一个或者多个过程。附加或者可替代地,硬接线的电路可以被用于替代软件指令或者与软件指令结合来执行在此所述的一个或者多个过程。因此,在此所述的实现不被限制于硬件电路和软件的任何特定组合。
在图3中所示的部件的数目和布置作为示例被提供。在实践中,与在图3中所示的那些部件相比,设备300可以包括另外的部件、更少的部件、不同的部件或者不同地布置的部件。附加或者可替代地,设备300的部件的集合(例如,一个或者多个部件)可以执行如被设备300的部件的另一集合执行的所描述的一个或者多个功能。
图4是用于确定和提供与客户端网络相关联的使用信息以及与客户端网络相关联的威胁信息的示例过程400的流程图。在一些实现方式中,图4的一个或者多个过程框可以由安全设备230来执行。在一些实现方式中,图4的一个或者多个过程框可以由另一设备或者与安全设备230分离的或者包括安全设备230的设备的组来执行,诸如在环境200中包括的客户端设备220或者另一设备。
如在图4中所示,处理400可以包括确定与客户端网络相关联的使用信息以及与客户端网络相关联的威胁信息(框410)。例如,安全设备230可以确定与客户端网络210相关联的使用信息,以及与客户端网络210相关联的威胁信息(此后被称为使用和威胁信息)。在一些实现方式中,安全设备230可以安全设备230接收到安全设备230将确定使用和威胁信息的指示时确定该使用和威胁信息。附加或者可替代地,安全设备可以(例如,自动地)以规律的时间间隔(例如,在没有接收指示的情况下)确定该使用和威胁信息。
与客户端网络210相关联的使用信息可以包括与一个或者多个度量相关联的信息,该一个或者多个度量与在客户端网络210中包括的客户端设备220使用客户端网络210的方式相关联。例如,使用信息可以包括在客户端网络210中包括的客户端设备220的数量、与在客户端网络210中包括的每个客户端设备220相关联的吞吐量、与客户端网络210相关联的总吞吐量的平均量、由在客户端网络210中包括的客户端设备220提供的请求的数量、由在客户端网络210中包括的客户端设备220接收的响应的数量、与在此期间客户端设备220是活跃的(例如,发送和/或接收满足活动阈值的流量、通电、被连接至客户端网络210等)的时间段相关联的时刻信息、与在此期间客户端设备220是非活跃的(例如,发送和/或接收不满足活动阈值的流量、通电、被连接至客户端网络210等)的时间段相关联的时刻信息、或者与客户端设备220使用客户端网络210的方式相关联的另一类型的信息。
在一些实现方式中,安全设备230可以基于监测与客户端网络210相关联的流量和/或监测客户端设备220来确定使用信息。例如,安全设备230可以被放置使得穿越客户端网络210的流量经过安全设备230,并且安全设备230可以在流量经过安全设备230时监测使用信息。附加或者可替代地,安全设备230可以基于从另一设备接收的信息确定使用信息。例如,安全设备230可以从一个或者多个客户端设备230请求使用信息,并且安全设备230可以基于对该请求的响应确定使用信息。附加或者可替代地,安全设备230可以以另一方式确定使用信息。
与客户端网络210相关联的威胁信息可以包括与在客户端网络210中检测到的恶意对象相关联的信息。例如,威胁信息可以包括标识在客户端网络210中检测到的恶意对象的数量、在客户端网络210中检测到的恶意对象的类型、在客户端网络210中检测到的恶意对象的严重性、与在客户端网络210中检测到的恶意对象相关联的攻击向量的类型的信息,或者与在客户端网络210中检测到的恶意对象相关联的另一类型的信息。作为另一示例,威胁信息可以包括标识与客户端网络210相关联的恶意事件的信息。例如,威胁信息可以包括与端口扫描事件、重复的登录失败事件、列入黑名单的请求、利用签名匹配、流量上的异常增加、连接至服务器设备的客户端设备210的异常增加或者可以由安全设备230检测的另一类型的恶意事件相关联的信息。虽然在与恶意对象相关联的威胁信息的上下文中描述在此所述的过程和/或方法,在一些实现方式中,这些过程和/或方法可以同样地应用于与恶意事件相关联的威胁信息和/或与恶意对象和恶意事件相关联的威胁信息。
在一些实现方式中,安全设备230可以基于执行与客户端网络210相关联的安全功能来确定威胁信息。例如,安全设备230可以被放置使得穿越客户端网络210的流量经过安全设备230,并且安全设备230可以执行安全功能(例如,防火墙功能、过滤功能、扫描功能等)以检测穿越客户端网络210中的恶意对象。在这个示例中,安全设备230可以基于检测恶意对象确定与恶意对象相关联的威胁信息。附加或者可替代地,安全设备230可以基于从另一设备接收的信息确定威胁信息。例如,安全设备230可以从一个或者多个客户端设备220请求该威胁信息(例如,当该一个或者多个客户端设备220被配置为实现与客户端网络210相关联的安全功能时),并且安全设备230可以基于对该请求的响应确定该威胁信息。作为另一示例,安全设备230可以从被配置为实现与客户端网络210相关联的安全功能的一个或者多个其他设备(例如,在客户端网络210外部的、在客户端网络210中包括的等)请求该威胁信息,并且安全设备230可以基于对该请求的响应确定该威胁信息。附加或者可替代地,安全设备230可以以另一方式来确定该威胁信息。
如在图4中进一步示出的,过程400可以包括提供与客户端网络相关联的使用信息以及与客户端网络相关联的威胁信息(框420)。例如,安全设备230可以提供该使用和威胁信息。在一些实现方式中,安全设备230可以在安全设备230确定与客户端网络210相关联的使用信息之后提供该使用和威胁信息。附加或者可替代地,安全设备230可以在安全设备230确定与客户端网络210相关联的威胁信息之后提供该使用和威胁信息。附加或者可替代地,,安全设备230可以在安全设备230接收到安全设备230将提供该使用和威胁信息的指示时提供该使用和威胁信息。
在一些实现方式中,安全设备230可以基于时间段来提供使用和威胁信息。例如,安全设备230可以被配置为确定在一段时间(例如,一分钟时间段、十分钟时间段、一小时时间段等)期间的使用和威胁信息,并且安全设备230可以在该时间段结束时提供该使用和威胁信息。安全设备230可以接下来以类似的方式确定和提供针对下个时间段(例如,紧跟着该时间段)的使用和威胁信息等。
附加或者可替代地,安全设备230可以基于阈值来提供使用和威胁信息。例如,安全设备230可以被配置为在安全设备230检测到满足威胁阈值的恶意对象的数量时(例如,100个恶意对象、特定恶意对象类型的40个恶意对象等)提供该使用和威胁信息。
附加或者可替代地,安全设备230可以基于请求来提供使用和威胁信息。例如,中央安全设备240可以向安全设备230发送中的该使用和威胁信息的请求,并且安全设备230可以相应地提供该使用和威胁信息。
在一些实现方式中,安全设备230可以向中央安全设备240提供该使用和威胁信息。这样,可以向中央安全设备240提供与多个客户端网络210相关联的使用和威胁信息。
尽管图4示出过程400的示例框,在一些实现方式中,与在图4中描绘的那些框相比,过程400可以包括另外的框、更少的框、不同的框、或者不同地布置的框。附加或者可替代地,过程400的框中的两个或者多个框可以并行地执行。
图5是关于在图4中所示的示例过程400的示例实现方式500的示图。为了示例实现方式500的目的,假设客户端网络210(例如,公司A网络)包括客户端设备220的组(例如,CD1至CD100)以及安全设备230(例如,SDA)。进一步地,假设SDA被配置为向中央安全设备240(例如,CSD)提供与公司A网络相关联的使用信息以及与公司A网络相关联的威胁信息。
如在图5中以及由标号505和标号510所示,SDA可以被放置使得公司网络A的流量(例如,与CD1至CD100相关联)经过SDA以便于访问网络250(例如,互联网)。为了示例实现方式500的目的,假设SDA被配置为确定针对十分钟时间段的与公司网络A相关联的使用和威胁信息。如由标号515所示,SDA可以确定(例如,基于监测CD1至CD100的流量)针对第一个十分钟时间段的与公司A网络相关联的使用信息。如所示,该使用信息可以指示公司A网络包括100个设备,以及在第一个十分钟时间段期间用于公司A网络的平均总吞吐量是5兆比特每秒(Mbps)。
也由标号515所示,SDA可以确定(例如,基于执行与公司A网络相关联的安全功能)针对第一个十分钟时间段的与公司A网络相关联的威胁信息。如所示,该威胁信息可以指示SDA在第一个十分钟时间段期间检测到穿越公司A网络中的500个恶意对象。如由标号520所示,SDA可以在第一个十分钟时间段结束时向CSD提供与公司A网络相关联的使用信息以及与公司A网络相关联的威胁信息。SDA可以接下来以类似的方式确定和提供针对第二个十分钟时间段、第三个十分钟时间段等的使用和威胁信息。
如上所述,图5仅作为示例被提供。其他示例是有可能的并且可以与关于图5来描述的内容不同。
图6是用于接收与客户端网络的组相关联的使用信息和与客户端网络的组相关联的威胁信息,以及确定与客户端网络的组相关联的使用基线的示例过程600的流程图。在一些实现方式中,图6的一个或者多个过程框可以由中央安全设备240来执行。在一些实现方式中,图6的一个或者多个过程框可以由与中央安全设备240分离的或者包括中央安全设备240的另一设备或者设备的组来执行,诸如在环境200中包括的安全设备230或者另一设备。
如在图6中所示,过程600可以包括接收与客户端网络的组相关联的使用信息和与客户端网络的组相关联的威胁信息(框610)。例如,中央安全设备240可以接收与客户端网络210的组相关联的使用信息和威胁信息。在一些实现方式中,中央安全设备240可以在安全设备230的组(例如,对应于客户端网络210的组)提供该使用和威胁信息时接收该使用和威胁信息。附加或者可替代地,中央安全设备240可以在中央安全设备240请求(例如,从安全设备230的组)该使用和威胁信息时接收该使用和威胁信息。
在一些实现方式中,中央安全设备240可以在安全设备230提供该使用和威胁信息时接收该使用和威胁信息。例如,如上所述,中央安全设备240可以基于阈值、基于请求(例如,由中央安全设备240发送的)等而以特定时间间隔(例如,基于安全设备230的配置)接收该使用和威胁信息。
在一些实现方式中,中央安全设备240可以接收与客户端网络210相关联的使用和威胁信息,该使用和威胁信息对应于一个或者多个特定时间段。例如,中央安全设备240可以接收与第一客户端网络210相关联的并且对应于特定时间段(例如,2014年9月15日从3:00p.m.至3:10p.m.的时间段、2014年9月18日从1:00p.m.至2:00p.m.的时间段等)的第一使用和威胁信息,以及与第二客户端网络210相关联的并且对应于特定时间段的第二使用和威胁信息。作为另一示例,中央安全设备240可以接收与第一客户端网络210相关联并且对应于特定时间段的组(例如,三个月期间的星期五的组、一年期间的星期一的组等)的第一使用和威胁信息,以及与第二客户端网络210相关联并且对应于特定时间段的组的第二使用和威胁信息。
附加或者可替代地,中央安全设备240可以接收与客户端网络210的组相关联的使用和威胁信息的子集。例如,中央安全设备240可以接收与客户端网络210的组相关联的使用和威胁信息,该使用和威胁信息对应于在客户端网络210的组中包括的客户端设备220的类型、由在客户端网络的组中包括的客户端设备220主控的操作系统等。如下所述,这可以允许中央安全设备240针对特定时间段确定与客户端网络210的组相关联的使用基线。
如在图6中进一步示出的,过程600可以包括基于与客户端设备的组相关联的使用信息确定与客户端网络的组相关联的使用基线(框620)。例如,中央安全设备240可以基于与客户端网络210的组相关联的使用信息确定与客户端网络210的组相关联的使用基线。在一些实现方式中,中央安全设备240可以在中央安全设备240接收与客户端网络210的组相关联的使用和威胁信息之后确定该使用基线。附加或者可替代地,中央安全设备240可以在中央安全设备240接收到中央安全设备将确定使用基线的指示时确定该使用基线。
使用基线可以包括用于比较与客户端网络210的组相关联的使用信息的基础。例如,该使用基线可以包括等于与客户端网络210的组相关联的平均使用度量(例如,平均总吞吐量、每设备吞吐量、每五个设备的请求、每设备接收的响应等)的值、等于与客户端网络210的组相关联的中位数使用度量的值、等于与客户端网络210的组相关联的每设备众数(mode)使用度量的值等。在一些实现方式中,如下所述,该使用基线可以允许与两个或者多个客户端网络210(例如,包括不同数量的客户端设备220的客户端网络210,达到不同平均总吞吐量的客户端网络210等)相关联的威胁信息进行比较。
在一些实现方式中,中央安全设备240可以基于与客户端网络210的组相关联的使用信息确定使用基线。例如,中央安全设备240可以计算对应于第一客户端网络210的使用度量的第一值(例如,每设备平均吞吐量)、对应于第二客户端网络210的使用度量的第二值等。在这个示例中,中央安全设备240可以计算对应于每个客户端网络210的使用度量的值,并且可以将使用基线确定为等于对应于每个客户端网络210的使用度量的值的平均值。附加或者可替代地,中央安全设备240可以以另一方式确定使用基线(例如,确定为等于使用度量的值的中位数、等于使用度量的值的众数值等)。在一些实现方式中,中央安全设备240可以存储(例如,在中央安全设备240的存储器位置中或者由中央安全设备240可访问的)该使用度量,使得中央安全设备240可以在以后确定该使用基线(例如,以便于提供与客户端网络210相关联的威胁评估)。在一些实现方式中,中央安全设备240可以确定修正的使用基线(例如,如果中央安全设备240确定使用基线并且随后接收另外的使用信息、新的使用信息、更新的使用信息等,则中央安全设备240可以确定修正的使用基线等)。
在一些实现方式中,中央安全设备240可以在实现在此描述的过程和/或方法时将使用和威胁信息匿名化。这样,中央安全设备240可以不考虑客户端网络210的组的属性,诸如客户端网络210的组的类型(例如,零售、商业、私有、银行业等)、客户端网络210的组的位置(例如,城市、州、国家等),使得在客户端网络210的组中的恶意活动的级别可以被匿名地比较。可替代地,中央安全设备240可以存储与客户端网络的组的属性相关联的信息(例如,客户端网络210的类型、客户端网络210的位置等),使得中央安全设备240可以比较特定客户端网络210内的恶意活动和类似的客户端网络210的子集(例如,银行业客户端网络210、位于特定州的客户端网络210等)内的恶意活动。
尽管图6示出过程600的示例框,在一些实现方式中,与在图6中描绘的那些框相比,过程600可以包括另外的框、更少的框、不同的框、或者不同地布置的框。附加或者可替代地,过程600的框中的两个或者多个框可以并行地执行。
图7是与在图7中所示的示例过程600相关的示例实现方式700的示图。为了示例实现方式700的目的,假设在客户端网络210的组(例如,公司A网络至公司X网络)中的每个客户端网络210包括客户端设备220的组和安全设备230(例如,安全设备A至安全设备X)。进一步地,假设每个安全设备230被配置为确定与对应的客户端网络210相关联的使用信息和威胁信息,并且向与客户端网络210的组相关联的中央安全设备240(例如,CSD)提供该使用和威胁信息。
如在图7中和由标号705所示,CSD可以从安全设备A(例如,被包括在公司A网络中)接收针对特定的十分钟时间段的与公司A网络相关联的使用和威胁信息。如所示,公司A网络使用信息可以指示公司A网络包括100个设备,以及在特定的十分钟时间段期间针对公司A网络的平均总吞吐量是5Mbps。如进一步示出的,公司A网络威胁信息可以指示在特定的十分钟时间段期间检测到500个恶意对象穿越公司A网络。
如由标号710所示,CSD也可以从安全设备X(例如,被包括在公司X网络中)接收针对特定的十分钟时间段的与公司X网络相关联的使用和威胁信息。如所示,公司X网络使用信息可以指示公司X网络包括350个设备,以及在特定的十分钟时间段期间针对公司X网络的平均总吞吐量是12Mbps。如进一步示出的,公司X网络威胁信息可以指示在特定的十分钟时间段期间200个恶意对象被检测到穿越公司X网络。CSD可以以类似的方式接收与其他客户端网络210(例如,公司B网络至公司W网络)相关联的使用和威胁信息。
如由标号715所示,CSD可以被配置为将与客户端网络210的组相关联的使用基线确定为等于与客户端网络210的组相关联的每设备平均吞吐量的中位数的值。如由标号720所示,CSD可以确定对应于每个客户端网络210的每设备平均吞吐量(例如,包括公司A网络的每设备平均吞吐量等于5Mbps/100个设备=50千比特每秒(kbps),公司R网络的每设备平均吞吐量等于6Mbps/200个设备=30kbps,以及公司X网络的每设备平均吞吐量等于12Mbps/350个设备=34kbps)。为了示例实现方式700的目的,假设CSD针对每个客户端网络210确定每设备平均吞吐量,以及如由标号725所示,确定每设备平均吞吐量的中位数等于30kbps/设备(例如,对应于公司R网络)。
如上所述,图7仅作为示例被提供。其他示例是有可能的并且可以与关于图7来描述的内容不同。
图8是用于基于比较与客户端网络相关联的归一化的威胁信息和与客户端网络的组相关联的总体归一化的威胁信息提供与客户端网络相关联的威胁评估的示例过程800的流程图。在一些实现方式中,图8的一个或者多个过程框可以由中央安全设备240来执行。在一些实现方式中,图8的一个或者多个过程框可以由与中央安全设备240分离的或者包括中央安全设备240的另一设备或者设备的组来执行,诸如在环境200中包括的安全设备230或者另一设备。
如在图8中所示,过程800可以包括接收提供与客户端网络相关联的威胁评估的指示(框810)。例如,中央安全设备240可以接收提供与客户端网络210相关联的威胁评估的指示。在一些实现方式中,中央安全设备240可以在中央安全设备240接收与客户端网络210相关联的使用和威胁信息之后接收该指示。附加或者可替代地,中央安全设备240可以在该指示由另一设备,诸如在客户端网络210中包括的安全设备230提供时接收该指示。
威胁评估可以包括与比较相关联的信息,该比较是对在时间段期间的与特定客户端网络210相关联的恶意活动的级别和在该段时间期间的与一个或者多个其他客户端网络210相关联的恶意活动的总体(例如,平均值、中位数、众数等)级别的比较。例如,与特定客户端网络210相关联的威胁评估可以包括指示特定客户端网络210与其他客户端网络210相比是否发送和/或接收相对更高数量的恶意对象、与其他客户端网络210相比是否发送和/或接收相对更低数量的恶意对象、与其他客户端网络210相比是否发送和/或接收相对类似的数量的恶意对象等的信息。在一些实现方式中,威胁评估可以包括与恶意对象的数量、恶意对象的一个或者多个类型、与恶意对象相关联的严重性的一个或者多个级别、与恶意对象相关联的一个或者多个攻击向量等相关联的信息。在一些实现方式中,如下所述,中央安全设备240可以基于比较与客户端网络210相关联的归一化的威胁信息和与客户端网络210的组相关联的总体归一化的威胁信息来提供威胁评估。
在一些实现方式中,中央安全设备240可以基于接收与客户端网络210相关联的使用和威胁信息接收提供威胁评估的指示(即,接收使用和威胁信息可以用作指示)。例如,中央安全设备240可以被配置为在中央安全设备240接收与客户端网络210相关联的使用和威胁信息时(例如,自动地)提供与客户端网络210相关联的威胁评估。附加或者可替代地,中央安全设备240可以基于由另一设备提供的信息接收该指示。例如,中央安全设备240可以基于由安全设备230提供的威胁评估请求(例如,当安全设备230的用户想要查看威胁评估时)而接收该指示。附加或者可替代地,中央安全设备240可以基于中央安全设备240的配置(例如,当中央安全设备240被配置为每4小时、每24小时等提供威胁评估时)来接收该指示。
如在图8中进一步地示出的,过程800可以包括基于使用基线和与客户端网络相关联的使用信息确定与客户端网络相关联的归一化函数(框820)。例如,中央安全设备240可以基于使用基线和与客户端网络210相关联的使用信息确定与客户端网络210相关联的归一化函数。在一些实现方式中,中央安全设备240可以在中央安全设备240接收到提供与客户端网络210相关联的威胁评估的指示之后确定该归一化函数。附加或者可替代地,中央安全设备240可以在中央安全设备240接收到与客户端网络210相关联的使用和威胁信息之后确定该归一化函数。附加或者可替代地,中央安全设备240可以在中央安全设备240接收到指示中央安全设备240将确定该归一化函数的信息之后确定该归一化函数。
归一化函数可以包括以下函数,当将该函数应用于与客户端网络210相关联的使用信息时,使得该使用信息等于使用基线。例如,中央安全设备240可以接收与客户端网络210的组相关联的使用信息,以及如上所述确定使用基线。在这个示例中,中央安全设备240可以确定归一化函数(例如,与将归一化因数(0和1之间的值)应用于使用信息相关联的函数、基于统计分布确定的以及与使用信息和使用基线相关联的函数、基于经验分布确定的以及与使用信息和使用基线相关联的函数等),当将该归一化函数应用于与特定客户端网络210(例如,被包括在客户端网络210的组中)相关联的使用信息时,使得与该特定客户端网络210相关联的该使用信息等于该使用基线。在一些实现方式中,如上所述,该归一化函数可以允许具有不同特征(例如,不同数量的客户端设备220、不同的平均总吞吐量等)的客户端网络210来被比较。
在一些实现方式中,中央安全设备240可以基于使用基线和与客户端网络210相关联的使用信息确定归一化函数。在一个示例实现方式中,中央安全设备240可以被配置为通过将该使用基线除以与客户端网络210相关联的对应的使用信息来确定与该使用基线相关联的归一化因数,并且将该归一化函数确定为与将该使用信息乘以该归一化因数相关联的函数。在一些实现方式中,中央安全设备240可以使用不同的技术来确定该归一化函数。在一些实现方式中,中央安全设备240可以确定修正的归一化函数(例如,如果中央安全设备240基于使用基线确定归一化函数并且随后接收另外的使用信息,该另外的使用信息使得中央安全设备240确定修正的使用基线,则中央安全设备240可以基于修正的使用基线确定修正的归一化函数)。
在一些实现方式中,中央安全设备240可以确定(例如,基于来自安全设备230的用户的请求)与客户端网络210相关联的多个归一化函数(例如,不同的归一化函数)。中央安全设备240可以接下来应用该多个归一化函数(例如,如下所述),以便确定提供对威胁信息的多个对应的归一化。附加或者可替代地,中央安全设备240可以基于程序化定义来确定归一化函数。例如,中央安全设备240可以接收用户输入(例如,由用户创建的脚本),该用户输入指示归一化函数将被确定的方式和/或指示将被包括在归一化函数中或者由归一化函数提供的信息。
如在图8中进一步示出的,过程800可以包括基于归一化函数来确定与客户端网络相关联的归一化的威胁信息(框830)。例如,中央安全设备240可以基于归一化函数,确定与客户端网络210相关联的归一化的威胁信息。在一些实现方式中,中央安全设备240可以在中央安全设备240确定与客户端网络210相关联的归一化函数之后确定与客户端网络210相关联的该归一化的威胁信息。附加或者可替代地,中央安全设备240可以在中央安全设备240接收到指示中央安全设备240将确定该归一化的威胁信息的信息(例如,用户输入)时,确定该归一化的威胁信息。
在一些实现方式中,中央安全设备240可以将归一化函数应用于威胁信息,以便于确定归一化的威胁信息。例如,假设中央安全设备240已经接收与客户端网络210相关联的威胁信息,该威胁信息标识在特定时间段期间穿越客户端网络210中的恶意对象的数量(例如,500个恶意对象)。在这个示例中,假设中央安全设备240确定将被应用于与客户端网络210相关联的威胁信息的归一化函数,该归一化函数标识等于特定值(例如,0.3)的归一化因数。在此,中央安全设备240可以通过将该威胁信息乘以该归一化因数(例如,通过将500个恶意对象乘以0.3)而将该归一化函数应用于该威胁信息。在一些实现方式中,中央安全设备240可以将另一类型的归一化函数应用于该威胁信息(例如,其中该威胁信息被用作对另一类型的归一化函数的输入,以及该归一化函数的输出是归一化的威胁信息)。
在一些实现方式中,中央安全设备240可以动态地将归一化函数应用于威胁信息。例如,中央安全设备可以确定(例如,基于用户输入、基于中央安全设备240的配置等)威胁信息的子集(例如,与主控特定操作系统的客户端设备220的组相关联的威胁信息、与少于2个月之久的客户端设备220的组相关联的威胁信息等),并且可以将归一化函数应用于该威胁信息的子集。
在一些实现方式中,如下所述,确定归一化的威胁信息可以允许中央安全设备240有意地比较威胁信息和与其他客户端网络210相关联的威胁信息(例如,在与其他客户端网络210相关联的针对威胁信息的一个或者多个对应的归一化函数被应用于与其他客户端网络210相关联的威胁信息之后)。
如在图8中进一步示出的,过程800可以包括确定与客户端网络的组相关联的总体归一化的威胁信息(框840)。例如,中央安全设备240可以确定与客户端网络210的组相关联的总体归一化的威胁信息。在一些实现方式中,中央安全设备240可以在中央安全设备240确定与客户端网络210相关联的归一化的威胁信息时确定该总体归一化的威胁信息。附加或者可替代地,中央安全设备240可以在中央安全设备240接收到指示中央安全设备240将确定该总体归一化的威胁信息的信息时确定该总体归一化的威胁信息。
总体归一化的威胁信息可以包括对应于客户端网络210的组的威胁信息,该威胁信息已经基于使用基线被归一化。例如,中央安全设备240可以以上述方式,确定用于客户端网络210的组中的每个客户端网络210的归一化函数。中央安全设备240可以接下来将每个归一化函数应用于对应于每个客户端网络210的威胁信息(例如,以便确定对应于每个客户端网络210的归一化的威胁信息),并且中央安全设备240可以基于对应于每个客户端网络210的该归一化的威胁信息确定总体归一化的威胁信息(例如,与每个客户端网络210相关联的归一化的威胁信息的列表、与每个客户端网络210相关联的归一化的威胁信息的平均值、与每个客户端网络210相关联的归一化的威胁信息的中位数、与每个客户端网络210相关联的归一化的威胁信息的众数等)。例如,在一些实现方式中,如下所述,该总体归一化的威胁信息可以表示与客户端网络210相关联的归一化的威胁信息可以与其进行比较的、跨越客户端网络210的组的恶意活动的归一化的平均级别(例如,恶意对象的平均数量、恶意对象的平均严重性、恶意对象的平均类型等)。
如在图8中进一步示出的,过程800可以包括比较归一化的威胁信息和总体归一化的威胁信息(框850)。例如,中央安全设备240可以比较与客户端网络210相关联的归一化的威胁信息和与客户端网络210的组相关联的总体归一化的威胁信息。在一些实现方式中,中央安全设备240可以在中央安全设备240确定总体归一化的威胁信息之后比较归一化的威胁信息和总体归一化的威胁信息。附加或者可替代地,中央安全设备240可以在中央安全设备240将与客户端网络210相关联的威胁信息归一化之后比较归一化的威胁信息和总体归一化的威胁信息。附加或者可替代地,中央安全设备240可以在中央安全设备240接收到指示中央安全设备240比较归一化的威胁信息和总体归一化的威胁信息的信息时比较归一化的威胁信息和总体归一化的威胁信息。
在一些实现方式中,中央安全设备240可以比较与客户端网络210相关联的归一化的威胁信息和与客户端网络210的组相关联的总体归一化的威胁信息,以便确定与客户端网络210相关联的恶意活动的级别和与客户端网络210相关联的恶意活动的总体级别相比如何。例如,假设中央安全设备240确定与特定客户端网络210相关联的归一化的威胁信息,该归一化的威胁信息标识在时间段期间被检测到穿越特定客户端网络210的恶意对象的特定归一化的数量。此外,假设中央安全设备240确定与客户端网络210的组相关联的总体归一化的威胁信息,该总体归一化的威胁信息标识在该时间段期间穿越客户端网络210的组的恶意对象的平均归一化的数量。在这个示例中,中央安全设备240可以比较恶意对象的特定归一化的数量和恶意对象的平均归一化的数量,并且可以确定与客户端网络210相关联的恶意活动的级别和与客户端网络210的组相关联的恶意活动的平均级别相比如何。在此,恶意对象的特定归一化的数量以及恶意对象的平均归一化的数量的使用可以允许恶意活动无论每个客户端网络210的个体特征如何(例如,无论吞吐量是多少、无论客户端设备220的数目是多少等)而被比较。附加或者可替代地,中央安全设备240可以比较与客户端网络210相关联的归一化的威胁信息的子集和与客户端网络210的组相关联的总体归一化的威胁信息的对应的子集。
如在图8中进一步示出的,过程800可以包括基于比较归一化的威胁信息和总体归一化的威胁信息提供与客户端网络相关联的威胁评估(框860)。例如,中央安全设备240可以基于比较归一化的威胁信息和总体归一化的威胁信息来提供与客户端网络210相关联的威胁评估。在一些实现方式中,中央安全设备240可以在中央安全设备240比较归一化的威胁信息和总体归一化的威胁信息之后提供该威胁评估。附加或者可替代地,中央安全设备240可以在中央安全设备240接收到指示中央安全设备240将提供该威胁评估的信息时提供该威胁评估。
在一些实现方式中,威胁评估可以包括与比较相关联的信息,该比较是与客户端网络210和时间段相关联的恶意活动的级别和与客户端网络210的组和该时间段相关联的恶意活动的总体级别的比较。在一些实现方式中,威胁评估可以基于威胁阈值。例如,如果与客户端网络210相关联的归一化的威胁信息超过总体归一化的威胁信息达到阈值量,则中央安全设备240可以确定指示了客户端网络210正在经历高级别的恶意活动、严重数量的恶意活动、危险数量的恶意活动等的威胁评估。作为另一示例,如果与客户端网络210相关联的归一化的威胁信息低于总体归一化的威胁信息达到阈值量,则中央安全设备240可以确定指示了客户端网络210正经历低级别的恶意活动、安全数量的恶意活动等的威胁评估。在一些实现方式中,威胁评估可以标识恶意对象的数量、恶意对象的一个或者多个类型、与恶意对象相关联的严重性的一个或者多个级别、与恶意对象相关联的一个或者多个攻击向量等。
在一些实现方式中,中央安全设备240可以基于程序化定义生成威胁评估。例如,中央安全设备240可以接收用户输入(例如,由用户创建的脚本),该用户输入指示威胁评估将被生成的方式和/或指示将被包括在威胁评估中或者由威胁评估提供的信息。附加或者可替代地,威胁评估可以是可请求的,以允许用户和/或安全设备230来确定与客户端设备220相关联的被包括在威胁评估中的特定信息、特定时间段等(例如,针对超过一年之久的客户端设备210在特定时间段期间的威胁级别是什么?等)。
在一些实现方式中,中央安全设备240可以向在客户端网络210中包括的安全设备230提供威胁评估,使得安全设备230的用户可以查看该威胁评估和/或使得安全设备230基于该威胁评估实现(例如,更新、调整、修改、移除等)与保护客户端网络210相关联的安全解决方案。
尽管图8示出过程800的示例框,在一些实现方式中,与在图8中描绘的那些框相比,过程800可以包括另外的框、更少的框、不同的框、或者不同地布置的框。附加或者可替代地,过程800的框中的两个或者多个框可以并行地执行。
图9是与在图8中所示的示例过程800相关的示例实现方式900的示图。为了示例实现方式900的目的,假设中央安全设备240(例如,CSD)已经接收与客户端网络210的组(例如,公司A网络至公司X网络)和特定时间段(例如,十分钟时间段)相关联的使用信息,以及与客户端网络的组和该特定时间段相关联的威胁信息。进一步地,假设,CSD已经基于与客户端网络210的组相关联的使用信息确定针对特定时间段的使用基线等于30kbps/设备(例如,如上关于示例实现方式700所示)。
如在图9中以及由标号905所示,与公司A网络相关联的安全设备230(例如,SDA)可以向CSD发送针对与特定十分钟时间段相关联的威胁评估的请求。如由标号910所示,如上所述,CSD可以确定使用基线。如由标号915所示,CSD可以确定与公司A网络相关联的使用和威胁信息(例如,基于在较早的时间接收使用和威胁信息)。如所示,公司A网络使用信息可以指示公司A网络包括100个设备,以及在特定的十分钟时间段期间针对公司A网络的平均总吞吐量是5Mbps。如进一步示出的,公司A网络威胁信息可以指示在特定的十分钟时间段期间检测到500个恶意对象穿越公司A网络。
如由标号920所示,CSD可以确定针对公司A网络的每设备平均吞吐量等于50kbps(例如,5Mbps/100个设备=50kbps/设备)。如由标号925所示,CSD可以基于针对公司A网络的每设备平均吞吐量和使用基线确定与公司A网络相关联的归一化函数,该归一化函数标识等于0.6(例如,30kbps/设备÷50kbps/设备=0.6)的归一化因数。如由标号930所示,CSD可以基于将归一化函数应用于公司A威胁信息(例如,通过将公司A网络威胁信息乘以该归一化因数)确定与公司A网络相关联的归一化的公司A威胁信息。如所示,归一化的公司A威胁信息可以等于350个恶意对象的数量(例如,500个恶意对象×0.6=350个恶意对象)。
如由标号935所示,假设CSD以类似的方式确定用于其他客户端网络210中的每个客户端网络(例如,客户端网络B至客户端网络X)的归一化的威胁信息,并且基于用于每个客户端网络210的归一化的威胁信息确定总体归一化的威胁信息等于220个恶意对象(例如,假设CSD基于对应于客户端网络210的组的恶意对象的归一化的数量的组计算恶意对象的平均数量)。如由标号945所示,CSD可以比较与公司A网络相关联的归一化的威胁信息(例如,在特定的十分钟时间段中350个恶意对象的归一化的数量)和与客户端网络210的组相关联的总体归一化的威胁信息(例如,在特定的十分钟时间段中的220个恶意对象的平均归一化的数量),并且可以确定公司A网络在特定的十分钟时间段期间检测到与恶意对象的总体归一化的数量相比多59%的恶意对象(例如,(350-220)/220×100%=59%)。如由标号945所示,CSD可以向SDA提供威胁评估,该威胁评估指示公司A网络在特定的十分钟时间段期间检测到与恶意对象的总体归一化的数量相比多59%的恶意对象(例如,指示公司A网络可能遭受定向的恶意软件攻击)。SDA可以接收该威胁评估,并且可以实现必要的安全措施(例如,增加阻挡阈值、执行额外的和/或更深入的扫描、实现沙盒以用于对象测试等),以便于确保感染不会在公司A网络内接管。
如上所述,图9仅作为示例被提供。其他示例是有可能的并且可以与关于图9来描述的内容不同。
在此描述的实现可以提供解决方案,该解决方案允许比较与客户端网络相关联的恶意活动的检测到的级别和与一个或者多个其他客户端网络相关联的恶意活动的一个或者多个其他检测到的级别,使得与客户端网络相关联的威胁评估可以提供与恶意活动的检测到的级别相关联的见解。这样,可以通知与客户端网络相关联的安全设备和/或管理员,客户端网络已经成为恶意活动的目标(例如,并且因此,安全设备可以实行必要的措施以便于确保感染不会在客户端网络内接管)。
前述公开提供说明和描述,但是不意图为穷尽或者限制实现于所公开的精确形式。根据上述公开的修改和变化是有可能的或者修改和变化可以从实现的实践中获得。例如,尽管在此描述的过程和/或方法主要在基于时间的度量的上下文中描述归一化和基线确定,在一些实现方式中,归一化和基线确定可以是基于另一类型的信息,诸如客户端网络220的大小、客户端网络220的吞吐量或者另一类型的信息。
如在此使用的,术语“部件”意图为被广泛地理解为硬件、固件和/或硬件和软件的组合。
一些实现在此结合阈值来描述。如在此使用的,满足阈值可以指代值大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或者等于阈值、等于阈值等。
明显的是在此描述的系统和/或方法可以以硬件、固件或者硬件和软件的组合的不同形式来实现。用于实现这些系统和/或方法的实际的具体的控制硬件或者软件代码不对本实现做出限制。因此,系统和/或方法的操作和行为在此没有参考具体的软件代码来描述——应当理解,能够基于在此的描述设计软件和硬件以实现系统和/或方法。
尽管特征的特定组合被列举在权利要求中和/或被公开在说明书,这些组合不意图为限制可能的实现的公开。事实上,这些特征中的许多特征可以以在权利要求中未具体列举的方式和/或在说明书中未具体公开的方式结合。尽管以下列出的每个独立权利要求可以直接地依赖于仅一个权利要求,可能的实现的公开包括每个独立权利要求与在权利要求集中的每个其他权利要求相结合。
在此使用的元素、动作或者指令不应被理解为关键的或者必不可少的,除非如此明确地描述。并且,如在此使用的,冠词“一个”和“一种”意图为包括一个或者多个项目,并且可以与“一个或者多个”可互换地使用。此外,如在此使用的,术语“集合”意图为包括一个或者多个项目,并且可以与“一个或者多个”可互换地使用。当仅指一个项目时,使用术语“一个”或者类似的语言。并且,如在此使用的,术语“有”、“具有”、“含有”等意图为开放的术语。进一步地,短语“基于”意图为表示“至少部分地基于”的意思,除非另外明确地说明。
Claims (20)
1.一种用于提供信息的设备,所述设备包括:
用于接收与客户端网络的组相关联的使用信息的装置,
其中所述使用信息包括与所述客户端网络的组中的特定客户端网络相关联的特定使用信息;
用于接收与所述客户端网络的组相关联的威胁信息的装置,
其中所述威胁信息包括与所述特定客户端网络相关联的特定威胁信息;
用于基于与所述客户端网络的组相关联的所述使用信息确定使用基线的装置;
用于基于所述使用基线和所述特定使用信息确定与所述特定客户端网络相关联的归一化函数的装置;
用于基于所述归一化函数和所述特定威胁信息确定与所述特定客户端网络相关联的归一化的威胁信息的装置;
用于确定与所述客户端网络的组相关联的总体归一化的威胁信息的装置;
用于比较与所述特定客户端网络相关联的所述归一化的威胁信息和与所述客户端网络的组相关联的所述总体归一化的威胁信息的装置;以及
用于提供与比较与所述特定客户端网络相关联的所述归一化的威胁信息和与所述客户端网络的组相关联的所述总体归一化的威胁信息相关联的信息的装置。
2.根据权利要求1所述的设备,其中与所述客户端网络的组相关联的所述使用信息和与所述客户端网络的组相关联的所述威胁信息与特定时间段相关联。
3.根据权利要求1所述的设备,其中用于确定所述使用基线的装置包括:
用于基于与所述客户端网络的组相关联的所述使用信息计算与所述客户端网络的组相关联的平均使用度量值的装置;以及
用于将所述使用基线确定为等于所述平均使用度量值的值的装置。
4.根据权利要求1所述的设备,其中用于确定所述归一化函数的装置包括:
用于将所述使用基线除以与所述特定客户端网络相关联的使用度量值以确定归一化因数的装置,
其中所述使用度量值被包括在所述特定使用信息中;以及
用于将所述归一化函数确定为与将所述归一化因数应用于所述使用度量值相关联的函数的装置。
5.根据权利要求4所述的设备,其中用于确定与所述特定客户端网络相关联的所述归一化的威胁信息的装置包括:
用于将所述特定威胁信息乘以所述归一化因数的装置;以及
用于将所述归一化的威胁信息确定为等于所述特定威胁信息乘以所述归一化因数的结果的值的装置。
6.根据权利要求1所述的设备,其中用于确定所述总体归一化的威胁信息的装置包括:
用于确定归一化函数的组的装置,
其中所述归一化函数的组中的归一化函数对应于所述客户端网络的组中的客户端网络;
用于基于所述归一化函数的组和所述威胁信息确定与所述客户端网络的组相关联的组归一化的威胁信息的装置;以及
用于基于与所述客户端网络的组相关联的所述组归一化的威胁信息计算平均归一化的威胁信息的装置;以及
用于将所述总体归一化的威胁信息确定为等于所述平均归一化的威胁信息的值的装置。
7.根据权利要求1所述的设备,其中用于提供与比较所述归一化的威胁信息和所述总体归一化的威胁信息相关联的所述信息的装置包括:
用于提供与所述特定客户端网络相关联的威胁评估的装置,
其中所述威胁评估指示所述特定客户端网络在特定时间段期间检测到相对于所述客户端网络的组的高级别的恶意活动。
8.一种用于提供威胁评估的系统,所述系统包括:
用于获得使用信息的装置,
其中所述使用信息与网络的组相关联,并且
其中所述使用信息包括与所述网络的组中的特定网络相关联的特定使用信息;
用于获得威胁信息的装置,
其中所述威胁信息与所述网络的组相关联,并且
其中所述威胁信息包括与所述特定网络相关联的特定威胁信息;
用于基于与所述网络的组相关联的所述使用信息确定使用基线的装置;
用于基于所述使用基线和所述特定使用信息计算归一化因数的装置,
其中所述归一化因数对应于所述特定网络;
用于基于所述归一化因数和所述特定威胁信息确定归一化的威胁信息的装置,
其中所述归一化的威胁信息对应于所述特定网络;
用于确定总体归一化的威胁信息的装置,
其中所述总体归一化的威胁信息与所述网络的组相关联;
用于比较所述归一化的威胁信息和所述总体归一化的威胁信息的装置;以及
用于提供基于比较所述归一化的威胁信息和所述总体归一化的威胁信息的所述威胁评估的装置。
9.根据权利要求8所述的系统,其中与所述网络的组相关联的所述使用信息和与所述网络的组相关联的所述威胁信息与特定时间段相关联。
10.根据权利要求8所述的系统,其中用于确定所述使用基线的装置包括:
用于基于与所述网络的组相关联的所述使用信息计算与所述网络的组相关联的中位数使用度量值的装置;以及
用于将所述使用基线确定为等于所述中位数使用度量值的值的装置。
11.根据权利要求8所述的系统,其中用于计算所述归一化因数的装置包括:
用于将所述使用基线除以与所述特定网络相关联的使用度量值的装置,
其中所述使用度量值被包括在所述特定使用信息中;以及
用于将所述归一化因数确定为等于将所述使用基线除以所述使用度量值的结果的值的装置。
12.根据权利要求8所述的系统,其中用于确定与所述特定网络相关联的所述归一化的威胁信息的装置包括:
用于将所述特定威胁信息乘以所述归一化因数的装置;以及
用于将所述归一化的威胁信息确定为等于将所述特定威胁信息乘以所述归一化因数的结果的值的装置。
13.根据权利要求8所述的系统,其中用于确定所述总体归一化的威胁信息的装置包括:
用于计算归一化因数的组的装置,
其中所述归一化因数的组中的归一化因数对应于所述网络的组中的网络;
用于基于所述归一化因数的组和所述威胁信息确定与所述网络的组相关联的组归一化的威胁信息的装置;以及
用于基于与所述网络的组相关联的所述组归一化的威胁信息计算中位数归一化的威胁信息的装置;以及
用于将所述总体归一化的威胁信息确定为等于所述中位数归一化的威胁信息的值的装置。
14.根据权利要求8所述的系统,其中所述威胁评估指示所述特定网络在特定时间段期间检测到相对于所述网络的组的低级别的恶意活动。
15.一种用于提供信息的方法,所述方法包括:
由设备接收与客户端网络的集合相关联的使用信息,
其中所述使用信息包括与所述客户端网络的集合中的特定客户端网络相关联的特定使用信息,并且
其中所述使用信息对应于特定时间段;
由所述设备接收与所述客户端网络的集合相关联的威胁信息,
其中所述威胁信息包括与所述特定客户端网络相关联的特定威胁信息,并且
其中所述威胁信息对应于所述特定时间段;
由所述设备确定与所述客户端网络的集合相关联的使用基线,
其中基于所述使用信息来确定所述使用基线;
由所述设备确定与所述特定客户端网络相关联的归一化函数,
其中基于所述使用基线和所述特定使用信息来确定所述归一化函数;
由所述设备确定与所述特定客户端网络相关联的归一化的威胁信息,
其中基于将所述归一化函数应用于所述特定威胁信息来确定所述归一化的威胁信息;
由所述设备确定与所述客户端网络的集合相关联的总体归一化的威胁信息;
由所述设备比较所述归一化的威胁信息和所述总体归一化的威胁信息;以及
由所述设备提供与比较所述归一化的威胁信息和所述总体归一化的威胁信息相关联的信息。
16.根据权利要求15所述的方法,其中确定所述使用基线包括:
基于与所述客户端网络的集合相关联的所述使用信息计算与所述客户端网络的集合相关联的平均使用度量值;以及
将所述使用基线确定为等于所述平均使用度量值的值。
17.根据权利要求15所述的方法,其中确定所述归一化函数包括:
将所述使用基线除以与所述特定客户端网络相关联的使用度量值以确定归一化因数,
其中所述使用度量值被包括在所述特定使用信息中;以及
将所述归一化函数确定为与将所述归一化因数应用于所述使用度量值相关联的函数。
18.根据权利要求17所述的方法,其中确定与所述特定客户端网络相关联的所述归一化的威胁信息包括:
将所述特定威胁信息乘以所述归一化因数;以及
将所述归一化的威胁信息确定为等于将所述特定威胁信息乘以所述归一化因数的结果的值。
19.根据权利要求15所述的方法,其中确定所述总体归一化的威胁信息包括:
确定归一化函数的集合,
其中所述归一化函数的集合中的归一化函数对应于所述客户端网络的集合中的客户端网络;
基于所述归一化函数的集合和所述威胁信息确定与所述客户端网络的集合相关联的归一化的威胁信息的集合;
基于与所述客户端网络的集合相关联的所述归一化的威胁信息的集合计算平均归一化的威胁信息;以及
将所述总体归一化的威胁信息确定为等于所述平均归一化的威胁信息的值。
20.根据权利要求15所述的方法,其中提供与比较所述归一化的威胁信息和所述总体归一化的威胁信息相关联的所述信息进一步包括:
提供与所述特定客户端网络和所述特定时间段相关联的威胁评估。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/500,181 US9571519B2 (en) | 2014-09-29 | 2014-09-29 | Targeted attack discovery |
US14/500,181 | 2014-09-29 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106161345A true CN106161345A (zh) | 2016-11-23 |
CN106161345B CN106161345B (zh) | 2018-03-16 |
Family
ID=52810961
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510142847.8A Active CN106161345B (zh) | 2014-09-29 | 2015-03-27 | 针对性攻击的发现 |
Country Status (3)
Country | Link |
---|---|
US (2) | US9571519B2 (zh) |
EP (1) | EP3001345B1 (zh) |
CN (1) | CN106161345B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120617A (zh) * | 2018-08-16 | 2019-01-01 | 辽宁大学 | 基于频数cnn的多态蠕虫检测方法 |
CN109583567A (zh) * | 2018-11-29 | 2019-04-05 | 四川大学 | 一种基于CNN的Web自动扫描器指纹识别模型 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9571519B2 (en) | 2014-09-29 | 2017-02-14 | Juniper Networks, Inc. | Targeted attack discovery |
US9754106B2 (en) * | 2014-10-14 | 2017-09-05 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
US10681060B2 (en) * | 2015-05-05 | 2020-06-09 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
US10148678B2 (en) * | 2015-10-01 | 2018-12-04 | The Boeing Company | Cybersecurity system with differentiated capacity to deal with complex cyber attacks |
US11637866B2 (en) * | 2015-10-28 | 2023-04-25 | Qomplx, Inc. | System and method for the secure evaluation of cyber detection products |
US20180324207A1 (en) * | 2017-05-05 | 2018-11-08 | Servicenow, Inc. | Network security threat intelligence sharing |
US10524130B2 (en) * | 2017-07-13 | 2019-12-31 | Sophos Limited | Threat index based WLAN security and quality of service |
US10715545B2 (en) * | 2017-09-22 | 2020-07-14 | Microsoft Technology Licensing, Llc | Detection and identification of targeted attacks on a computing system |
US11050783B2 (en) | 2018-01-31 | 2021-06-29 | International Business Machines Corporation | System and method for detecting client participation in malware activity |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10735444B2 (en) * | 2018-06-06 | 2020-08-04 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10938664B2 (en) * | 2018-09-17 | 2021-03-02 | Cisco Technology, Inc. | Detecting network entity groups with abnormal time evolving behavior |
JP7211482B2 (ja) * | 2019-02-20 | 2023-01-24 | 日本電気株式会社 | 履歴出力装置、制御方法、及びプログラム |
USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
CN110414237A (zh) * | 2019-06-12 | 2019-11-05 | 武汉青藤时代网络科技有限公司 | 一种基于终端设备的自动化基线检查方法 |
CN111865996A (zh) * | 2020-07-24 | 2020-10-30 | 中国工商银行股份有限公司 | 数据检测方法、装置和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004021637A1 (en) * | 2002-08-28 | 2004-03-11 | Networks Associates Technology, Inc. | Threat assessment orchestrator system and method |
US20070150949A1 (en) * | 2005-12-28 | 2007-06-28 | At&T Corp. | Anomaly detection methods for a computer network |
US20090178139A1 (en) * | 2008-01-09 | 2009-07-09 | Global Dataguard, Inc. | Systems and Methods of Network Security and Threat Management |
CN101771584A (zh) * | 2009-12-31 | 2010-07-07 | 华中科技大学 | 一种网络流量异常检测方法 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US20050198099A1 (en) * | 2004-02-24 | 2005-09-08 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring protocol responses for a server application |
US9467462B2 (en) * | 2005-09-15 | 2016-10-11 | Hewlett Packard Enterprise Development Lp | Traffic anomaly analysis for the detection of aberrant network code |
US7808916B1 (en) * | 2005-12-28 | 2010-10-05 | At&T Intellectual Property Ii, L.P. | Anomaly detection systems for a computer network |
US7739211B2 (en) * | 2006-11-08 | 2010-06-15 | 21St Century Technologies, Inc. | Dynamic SNA-based anomaly detection using unsupervised learning |
US20080295172A1 (en) * | 2007-05-22 | 2008-11-27 | Khushboo Bohacek | Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks |
US8611219B2 (en) * | 2007-12-31 | 2013-12-17 | Telecom Italia S.P.A. | Method of detecting anomalies in a communication system using symbolic packet features |
US7797415B2 (en) * | 2008-04-29 | 2010-09-14 | Computer Associates Think, Inc. | Automatic context-based baselining for transactions |
US8880682B2 (en) * | 2009-10-06 | 2014-11-04 | Emc Corporation | Integrated forensics platform for analyzing IT resources consumed to derive operational and architectural recommendations |
US20130247205A1 (en) * | 2010-07-14 | 2013-09-19 | Mcafee, Inc. | Calculating quantitative asset risk |
US9276948B2 (en) * | 2011-12-29 | 2016-03-01 | 21Ct, Inc. | Method and apparatus for identifying a threatening network |
US9503467B2 (en) * | 2014-05-22 | 2016-11-22 | Accenture Global Services Limited | Network anomaly detection |
US9571519B2 (en) | 2014-09-29 | 2017-02-14 | Juniper Networks, Inc. | Targeted attack discovery |
-
2014
- 2014-09-29 US US14/500,181 patent/US9571519B2/en active Active
-
2015
- 2015-03-23 EP EP15160320.6A patent/EP3001345B1/en active Active
- 2015-03-27 CN CN201510142847.8A patent/CN106161345B/zh active Active
-
2016
- 2016-12-30 US US15/396,059 patent/US9954887B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004021637A1 (en) * | 2002-08-28 | 2004-03-11 | Networks Associates Technology, Inc. | Threat assessment orchestrator system and method |
US20070150949A1 (en) * | 2005-12-28 | 2007-06-28 | At&T Corp. | Anomaly detection methods for a computer network |
US20090178139A1 (en) * | 2008-01-09 | 2009-07-09 | Global Dataguard, Inc. | Systems and Methods of Network Security and Threat Management |
CN101771584A (zh) * | 2009-12-31 | 2010-07-07 | 华中科技大学 | 一种网络流量异常检测方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120617A (zh) * | 2018-08-16 | 2019-01-01 | 辽宁大学 | 基于频数cnn的多态蠕虫检测方法 |
CN109120617B (zh) * | 2018-08-16 | 2020-11-17 | 辽宁大学 | 基于频数cnn的多态蠕虫检测方法 |
CN109583567A (zh) * | 2018-11-29 | 2019-04-05 | 四川大学 | 一种基于CNN的Web自动扫描器指纹识别模型 |
Also Published As
Publication number | Publication date |
---|---|
CN106161345B (zh) | 2018-03-16 |
EP3001345A2 (en) | 2016-03-30 |
US9571519B2 (en) | 2017-02-14 |
EP3001345B1 (en) | 2019-08-28 |
US20160094565A1 (en) | 2016-03-31 |
US20170111386A1 (en) | 2017-04-20 |
US9954887B2 (en) | 2018-04-24 |
EP3001345A3 (en) | 2016-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106161345A (zh) | 针对性攻击的发现 | |
CN110121876B (zh) | 用于通过使用行为分析检测恶意设备的系统和方法 | |
US10291630B2 (en) | Monitoring apparatus and method | |
JP6622928B2 (ja) | 悪意のあるbgpハイジャックの正確なリアルタイム識別 | |
CN106161344B (zh) | 基于行为增量标识躲避的恶意对象 | |
US9462009B1 (en) | Detecting risky domains | |
US9565203B2 (en) | Systems and methods for detection of anomalous network behavior | |
CN108353079B (zh) | 对针对基于云的应用的网络威胁的检测 | |
EP3373179B1 (en) | Information processing device, information processing method, and information processing program | |
US9369476B2 (en) | System for detection of mobile applications network behavior-netwise | |
US9948667B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
EP3544250A1 (en) | Method and device for detecting dos/ddos attack, server, and storage medium | |
US9674210B1 (en) | Determining risk of malware infection in enterprise hosts | |
US8549637B2 (en) | Website defacement incident handling system, method, and computer program storage device | |
US20120047581A1 (en) | Event-driven auto-restoration of websites | |
EP2950228A1 (en) | Authentication information theft detection method, authentication information theft detection device, and program for the same | |
CN104363240A (zh) | 基于信息流行为合法性检测的未知威胁的综合检测方法 | |
US20190081970A1 (en) | Specifying system, specifying device, and specifying method | |
US20220255926A1 (en) | Event-triggered reauthentication of at-risk and compromised systems and accounts | |
JP2017076185A (ja) | ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム | |
CN108280346A (zh) | 一种应用防护监控方法、装置以及系统 | |
US8966638B2 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
JP5531064B2 (ja) | 通信装置、通信システム、通信方法、および、通信プログラム | |
US9900343B1 (en) | Distributed denial of service cellular signaling | |
CN108989298A (zh) | 一种设备安全监控方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |