CN107430535B - 一种用于执行威胁检测的方法及计算机可读介质 - Google Patents
一种用于执行威胁检测的方法及计算机可读介质 Download PDFInfo
- Publication number
- CN107430535B CN107430535B CN201680015075.4A CN201680015075A CN107430535B CN 107430535 B CN107430535 B CN 107430535B CN 201680015075 A CN201680015075 A CN 201680015075A CN 107430535 B CN107430535 B CN 107430535B
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- panel
- indicator
- event data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
由下游客户端操作的安全监测系统连续地采集事件信息,该事件信息指示在下游客户端的计算环境内已经发生的事件。监测系统使用由威胁分析系统所提供的软件来将事件信息聚合到安全且空间有效的数据结构中。监测系统将存储聚合事件信息的数据结构传输到威胁分析系统以用于进一步处理。威胁分析系统还从智能馈送数据源接收威胁指示符。威胁分析系统将从每个安全监测系统接收到的事件信息与从智能馈送数据源采集的威胁指示符相比较,以标识红旗事件。威胁分析系统处理事件信息以合成与红旗事件有关的所有信息并,且将红旗事件报告给下游客户端。
Description
相关申请的交叉引用
本申请要求于2015年1月30日提交的美国临时申请序列号第 62/109,862号和于2016年1月26日提交的美国申请第15/007,131号的权利和优先权,其整体内容通过引用并入本文。
技术领域
本公开总体上涉及网络威胁检测的领域。
背景技术
网络威胁检测是在线系统的安全基础设施的组成部分。典型的威胁检测系统的关键部分是威胁智能馈送(feed)-指示与可疑行为相关联的实体的馈送。来自威胁智能馈送的信息然后与从在线系统所采集的事件信息相比较,以确定事件中的任一个事件是否可以与网络威胁相关联。在一些情况下,威胁智能馈送可以包括引起对不正确地被标记为网络威胁的事件的信息。由于起源于不正确信息的假肯定或假否定,因而这对在线系统的操作者造成不必要的调查负担。
附图说明
所公开的实施例具有从详细描述、所附的权利要求和附图(或图) 将更容易明显的优点和特征。下文是附图的简单介绍。
图1图示了被配置用于威胁检测的计算环境。
图2图示了图1中的威胁检测引擎的详细示图。
图3图示了用于存储从安全监测系统接收到的聚合事件数据的布隆过滤器的层次结构。
图4图示了由针对给定安全监测系统的威胁报告模块生成的示例性威胁报告接口。
图5图示了由威胁检测引擎生成的示例性取证接口。
图6图示了由威胁检测引擎生成的示例性存储接口。
图7图示了用于基于从安全监测系统接收到的聚合事件数据来检测威胁的示例流程图。
图8是图示被配置为从机器可读介质读取指令并且执行处理器 (或控制器)中的指令的示例机器的组件的块图。
具体实施方式
附图(图)和以下描述仅以图示的方式涉及优选的实施例。应当注意,根据以下讨论,本文所公开的结构和方法的备选实施例将容易地识别为在不脱离权利要求书的原理的情况下可以采用的可行的备选方案。
现在将对其示例在附图中被图示的若干实施例进行详细参考。应当注意,无论何处可行的类似或者相同的参考数字可以使用在附图中并且可以指示类似或相同的功能。仅出于图示的目的,附图描绘了所公开的系统(或方法)的实施例。本领域的技术人员将容易地从以下描述识别:在不脱离本文所描述的原理的情况下,可以采用本文所图示的结构和方法的备选实施例。
配置概述
通过示例实施例公开了智能地处理从下游客户端系统接收到的事件信息以标识红旗事件(即,指示网络威胁的事件)的威胁分析系统。在操作中,由下游客户端操作的安全监测系统连续地采集事件信息,其指示在下游客户端的计算环境内已经发生的事件。每个事件指定与事件相关联的实体标识符,诸如因特网协议(IP)地址、文件散列、域名、电子邮件地址和与传入请求相关联的其他类型的信息。监测系统使用由威胁分析系统提供的软件来将事件信息聚合到安全和空间有效的数据结构中。事件信息可以根据不同的时间窗口被聚合,使得一个数据结构可以包括跨一个月所聚合的事件信息,并且另一数据结构可以包括跨一小时所聚合的事件信息。监测系统将存储聚合事件信息的数据结构传送到威胁分析系统,以用于进一步处理。在备选实施例中,事件信息被传送到威胁分析系统,与在没有被聚合的情况下的单个事件一样。
威胁分析系统还从智能馈送数据源接收威胁指示符。这些威胁指示符包括已经由智能馈送数据源标识为潜在威胁的实体标识符,诸如 IP地址、域名和统一资源定位符(URL)。威胁分析系统将从每个安全监测系统接收到的事件信息与从智能馈送数据源所采集的威胁指示符相比较。当威胁指示符匹配被包括在事件信息中的实体标识符时,威胁分析系统确定威胁指示符的有效性。如果威胁指示符被确定为是有效威胁,那么与实体标识符相关联的事件被认为是红旗事件。威胁分析系统处理事件信息以合成与红旗事件相关联的所有信息,并且将红旗事件报告给下游客户端。
示例计算环境架构
图1图示了根据实施例的被配置用于威胁检测的计算环境100。如所示出的,计算环境100包括安全监测系统110(0)-110(N)(共同地,安全监测系统110,并且单独地,安全监测系统110)、威胁分析系统120和威胁数据源130(0)-130(N)(共同地,威胁数据源130,并且单独地,威胁数据源130)。安全监测系统110(0)-110 (N)中的每一个被耦合到附加模块115(0)-115(N)(共同地,附加模块115,并且单独地,附加模块115)中的一个附加模块。
安全监测系统110包括事件采集模块112和事件存储库114。在一个实施例中,安全监测系统110可以是安全信息和事件管理(SIEM) 系统。事件采集模块112连接到客户端系统的计算基础设施内的各种服务以继续从那些服务采集事件信息。这样的服务包括网络设备、安全系统、服务器、数据库和软件应用。每个事件与事件可以归因于的至少时间戳和实体标识符相关联。实体标识符可以是IP地址、域名、用户名、MAC地址、电子邮件地址、文件散列或任何其他技术上可行的唯一标识符。事件对实体标识符的归因可以是肯定归因或推断归因。事件采集模块112将所采集的事件信息存储在事件存储库114中。
耦合到安全监测系统110的附加模块115是由威胁分析系统120 出于聚合事件信息的目的而提供到安全监测系统110的软件模块。附加模块115包括事件聚合模块116(或备选地聚合模块116)和配置存储库118。事件聚合模块116聚合被存储在事件存储库114中的事件信息,以用于传输到威胁分析系统120。事件聚合模块116当聚合事件信息时在两个主要原则下操作:数据安全和存储效率。为了实现两者,事件聚合模块116将事件信息聚合到可以以时间有效的方式被搜索的空间有效并且混淆的数据结构中。这些数据结构在此被称为“聚合事件数据结构”。聚合事件数据结构的示例包括哈希图、位图、布隆过滤器、关键值对、列表、没有处理的原始数据等。在一个实施例中,事件聚合模块116将事件信息与一个或多个白名单相比较,以滤出已经先前地被确定为不是与当前或即将到来的威胁有关的事件的其他事件。白名单可以是可配置的,并且取决于可用于聚合模块116 的威胁信息而频繁地被改变。
在一个实施例中,事件聚合模块116将与给定时间段(例如,年、月、数据、小时)相关联的事件信息聚合到布隆过滤器(一种类型的聚合事件数据结构)中。一般而言,布隆过滤器是被用于测试给定元素(诸如实体标识符的哈希)是否被包括在布隆过滤器中的空间有效概率数据结构。搜索布隆过滤器可以产生假肯定而非假否定。在操作中,事件聚合模块116可以基于在给定时间段内在客户端系统内发生的事件相关联的实体标识符,来生成与给定时间段相关联的布隆过滤器。重要地,布隆过滤器不存储实际实体标识符,并且相反存储混淆版本(即,实体标识符的哈希)。布隆过滤器可以是可扩展的计数布隆过滤器,使得布隆过滤器的大小可以根据需要增加。一旦被生成,则对于给定实体标识符而言,布隆过滤器就可以被搜索以确定实体标识符是否用于未被包括在布隆过滤器中的确定。本领域的技术人员将容易认识到,事件信息可以在除了布隆过滤器外的数据结构中以相同的方式被聚合。
配置存储库118根据事件聚合模块116聚合事件信息来存储配置。一个这样的配置是事件信息被聚合到聚合事件数据结构中所利用的频率(例如,每天、每月、每小时、实时等)。事件聚合模块116 因此在由配置所指定的时间生成聚合事件数据结构。另一配置是事件信息将被聚合的时间段,例如,针对一年的聚合事件信息、针对一个月的聚合事件信息等。事件聚合模块116因此生成针对配置存储库 118中所指定的各种时间段的聚合事件数据结构。其他配置可以涉及针对数据结构(例如,由事件聚合模块116所生成的布隆过滤器)的最大大小和误码率。在一个示例中,这些配置指示针对数据结构(例如,由事件聚合模块116所生成的布隆过滤器)的大小和误码率。在一个实施例中,针对布隆过滤器的大小和误码率取决于与布隆过滤器相关联的时间段而变化。例如,存储针对给定年的混淆事件信息的布隆过滤器可以是无可非议地更大的,并且具有比存储针对给定月的混淆事件信息的布隆过滤器更高的误码率。
在一个实施例中,在聚合期间,出于故障恢复目的,事件聚合模块116周期性地检查到目前为止所聚合的事件信息。特别地,如果安全监测系统110作为整体或者事件聚合模块116特别地在聚合过程期间遭受故障,那么与从一开始启动聚合过程相反,事件聚合模块116 可以从最后检查点进行恢复。
事件聚合模块116将所生成的聚合事件数据结构传送到威胁分析系统120,以用于威胁检测目的。在备选实施例中,事件信息被传送到威胁分析系统,与没有被聚合的单个事件一样。威胁分析系统120 包括客户端接口引擎122、威胁检测引擎124和馈送接口引擎126。
客户端接口引擎122提供使得威胁分析系统120能够与安全监测系统110通信的统一双向通信接口。特别地,客户端接口引擎122从安全监测系统110接收聚合事件数据结构,并且将那些数据结构传送到威胁检测引擎124。重要地,客户端接口引擎122跨不同的安全监测系统110而抽象各种通信协议,使得威胁分析系统120的其他下游组件在没有各种协议的特定知识的情况下进行操作。客户端接口引擎 122包括一对多推送通信特征,其使得威胁分析系统120的下游组件能够将单个通信传输到所有安全监测系统110。此外,对于来自安全监测系统110的输入通信而言,客户端接口引擎122检查通信,使得如果通信出于任何原因而被中断,则安全监测系统110不被要求从一开始重新启动通信。
馈送接口引擎126提供使得威胁分析系统120能够从威胁数据源 130接收威胁数据馈送的通信接口。威胁数据馈送包括馈送从其被接收的威胁数据源130已经被认为是威胁的威胁指示符列表。馈送接口引擎126接收威胁数据馈送并且将那些馈送传送到威胁检测引擎 124,以用于进一步处理。
威胁检测引擎124提供至少三个功能:(1)标识红旗事件(即,指示网络威胁的事件),(2)将关于红旗事件的详细报告提供到相关安全监测系统110,以及(3)分析输入威胁数据馈送的质量。结合图2至图4下面详细描述了在执行至少这些功能时威胁检测引擎124的操作。
威胁检测过程
图2图示了图1中的威胁检测引擎124的详细示图。如所示,威胁检测引擎124包括威胁标识模块202、威胁报告模块204、馈送质量模块206、威胁数据馈送存储库208以及聚合事件存储库210。
威胁数据馈送存储库208存储经由馈送接口引擎126从威胁数据源130接收到的威胁数据馈送。结合每个威胁数据馈送,威胁数据馈送存储库208存储与馈送从其被接收的威胁数据源130唯一地相关联的标识符、馈送被接收的时间以及与馈送相关联的质量度量。质量度量可以从独立源被接收、可以由威胁检测引擎124计算(如结合馈送质量模块206下文所讨论的)或者可以是从独立源接收到的度量以及由威胁检测引擎124所计算的度量的组合。
聚合事件存储库210存储经由客户端接口引擎122从安全监测系统110接收到的聚合事件数据结构。结合每个聚合事件数据结构,聚合事件存储库210存储与数据结构从其被接收的安全监测系统110唯一地相关联的标识符、数据结构被接收的时间以及数据结构被生成的时间段。
在一个实施例中,聚合事件存储库210将从安全监测系统110接收到的聚合事件数据结构存储在索引层次结构中。图3图示了用于存储从安全监测系统110接收到的聚合事件数据的布隆过滤器的层次结构。如所示出的,各布隆过滤器302-308具有不同的水平的基于时间的颗粒度。例如,每年布隆过滤器302与给定年相关联,每月布隆过滤器304各自与给定年的不同月相关联,每天布隆过滤器306各自与一个月的不同天相关联,并且每小时布隆过滤器308各自与一天的不同小时相关联。本领域的技术人员将认识到,其他类型的数据结构可以被组织为针对图3中的布隆过滤器所图示的相同类型的层次结构。
返回图2,威胁标识模块202处理聚合事件数据结构以标识红旗事件(即,在安全监测系统110处被采集并且指示网络威胁的事件)。为了标识红旗事件,威胁标识模块202搜索与特定安全监测系统110 相关联的聚合事件数据结构,以用于由数据结构所表示的实体标识符与在被存储在存储库208中的威胁数据馈送中所包括的威胁指示符之间的匹配。
在一个实施例中,威胁标识模块202经由一个或多个指示符扩展技术扩展存储库208中的可用的威胁指示符。指示符扩展技术允许威胁标识模块202评价威胁指示符的一个或多个参数并且基于参数生成附加指示符。例如,对于包括因特网协议地址的威胁指示符而言,威胁标识模块202可以确定地址的域名。基于域名,威胁标识模块202 然后确定先前地与该域名相关联的其他IP地址。附加的IP地址然后也变为威胁指示符,并且更特别地扩展的威胁指示符。
在另一示例中,对于包括电子邮件地址的威胁指示符而言,威胁标识模块202可以基于域名注册信息确定使用电子邮件地址所注册的域名。域名然后变为威胁指示符。在另一示例中,威胁标识模块202 可以分析由安全监测系统110所提供的日志信息,以基于因特网协议地址、电子邮件地址、域名或者与由系统110所经历的威胁或攻击相关联的其他信息来标识附加的威胁指示符。威胁标识模块202结合从威胁数据馈送直接地接收到的威胁指示符将扩展的威胁指示符存储在存储库208中。当标识红旗事件时,威胁标识模块202附加地使用这些扩展的威胁指示符。
在其中数据结构是布隆过滤器的实施例中,威胁标识模块202确定每个威胁指示符是否不存在于布隆过滤器中。如果指示符不存在,那么由布隆过滤器所表示的事件与由威胁指示符所指示的威胁不关联。如果指示符存在(并且在布隆过滤器的情况下,这可以是假肯定),那么由布隆过滤器所表示的至少一个事件与由威胁指示符所指示的威胁相关联。在一个实施例中,其中从安全监测系统110接收到的布隆过滤器被组织为基于时间的层次结构(如在图3中所示),威胁标识模块202可以首先确定给定指示符是否存在于与最低颗粒度相关联的布隆过滤器(例如,每年布隆过滤器)并且然后进行到与更高的颗粒度(例如,每月)相关联的布隆过滤器。该层次结构搜索是时间有效的,使得仅必要的布隆过滤器被搜索。本领域的技术人员将认识到,布隆过滤器可以利用其他类型的事件数据结构进行替换,包括哈希图、位图、布隆过滤器、关键值对、列表、没有处理的原始数据等。
当事件被确定为与给定威胁指示符相关联时,威胁标识模块202 可以可选地调查与威胁指示符相关联的威胁的有效性。在一些情况下,包括威胁指示符的威胁馈送是不完全准确的。因此,到威胁的有效性中的附加调查减少将威胁误报告给安全监测系统110的可能性。在一些实施例中,威胁标识模块202发起用于执行这样的评价的手动过程。在一些实施例中,威胁标识模块202被配置有用于评价威胁的有效性的自动化过程。在一个示例中,威胁标识模块202计算针对每个威胁的威胁置信度得分,其指示威胁的有效性的数字置信度。可以使用考虑涉及威胁指示符自身和威胁馈送作为整体的特征的机器学习算法来计算这样的置信度得分。威胁指示符特征的示例包括与威胁相关联的域名查询服务信息、域名空间和病毒总信息。在一些实施例中,由威胁标识模块202计算的威胁置信度得分可以由威胁分析系统 120的管理员或其他用户手动地重写。重要地,被确定为无效的威胁被标记为被存储在存储库208中的威胁数据馈送中的无效威胁。因此,威胁数据馈送随时间变得日益准确。
归因于匹配威胁指示符的实体标识符的事件被认为是红旗事件。威胁报告模块204将红旗事件的存在报告给采集事件信息的必要安全监测系统110。威胁报告模块204支持各种类型的报告机制,包括当红旗事件被标识时的个体警报和所有所标识的红旗事件的基于时间 (例如,每小时、每周和每月)的报告。
在一个实施例中,威胁标识模块202标识归因于由域名生成算法生成的域名的红旗事件。域名生成算法由恶意实体用于周期性地生成链接到恶意实体的系统的大量的域名。大量的域名使得跟踪困难并且将这些域名预标识为恶意的。为了解决这样的场景,威胁标识模块202 通过分析域名来确定与给定事件相关联的域名是否指示网络威胁。域名分析可以基于规则,诸如域名的长度是否超过阈值、域名是否包括词典词汇的域名、域名是否包括重复字符等。这些规则可以使用机器学习而被确定。
图4图示了由用于给定安全监测系统110的威胁报告模块204生成的示例性威胁报告接口400。威胁报告接口400呈现威胁数据(诸如针对给定安全监测系统110所标识的红旗事件)的多维交互式显示器。
威胁报告接口400包括多个面板(诸如面板402-412)。每个面板显示根据特定维度而组织的威胁数据。根据其可以生成面板的不同的维度包括威胁时间(如在面板402中)、威胁类型、威胁有效置信度、威胁严重性(如在面板406中)、威胁动作类型(面板412)、目的地端口和源端口、标签以及地理。在一个实施例中,威胁报告接口400同时地将图4中所示的不同面板显示在相同显示器接口上。在备选实施例中,威胁报告接口400生成用于个体面板或面板组的不同的接口。
在一个实施例中,威胁报告模块204基于针对安全监测系统110 所标识的红旗事件,来生成针对给定安全监测系统110的威胁图面板 410。威胁图面板410根据与红旗事件相关联的信息来视觉地地球上的各个位置。可以基于针对红旗事件所采集的事件信息和/或被包括在针对威胁指示符的威胁数据馈送中的信息,来确定这样的位置。
在一个实施例中,威胁报告接口400和在其中包括的个体面板是交互式的。例如,报告接口400被显示到的用户可以选择面板的部分,并且缩放到该部分中的威胁数据以查看威胁数据的附加细节和/或更详细的分解。此外,威胁报告接口400中的个体面板可以被链接,使得如果用户交互引起对给定面板的更新,那么一个或多个其他面板可以类似地被更新。例如,如果示出威胁数据的面板按时间缩放到给定时间段中,那么一个或多个其他面板类似地更新以仅示出在给定时间段内所采集的威胁数据。在一个实施例中,威胁报告接口400是触敏的,使得用户可以使用触摸输入与接口400和其中的面板交互和操作。
威胁报告接口400还使得用户能够提供查询输入414中的文本查询以根据不同的类别过滤接口400中所呈现的威胁数据。这样的类别包括入站/出站威胁、允许/拒绝威胁、威胁严重性、威胁类型、时间、目的地/源等。在操作中,当用户进入文本查询时,威胁报告模块204 解析查询的文本以确定查询中所指定的过滤参数。每个过滤参数指示威胁数据应当被过滤所根据的类别并且可选地包括将满足过滤参数的值的范围。威胁报告模块204根据所确定的过滤参数处理针对给定安全监测系统110的威胁数据。威胁报告模块204将得到的过滤威胁数据呈现在威胁报告接口400中。
返回图2,沿着实时(或接近实时)威胁检测,威胁标识模块202 还可以对被存储在存储库210中并且与给定安全监测系统110相关联的聚合事件数据执行历史分析。例如,如果先前地未被标识为威胁的指示符现在被标识为威胁,那么识别模块202可以评价聚合事件数据结构中的历史事件以确定安全监测系统100是否经历威胁。
此外,如在图3中所示,例如,在基于时间的层次结构中组织聚合事件数据结构允许有效地执行其中新威胁被标识的情况中的取证操作。由聚合事件数据结构激励的取证操作使得实体能够调查由一个或多个安全监测系统110经历的实时威胁。在操作中,威胁检测引擎 124接收取证搜索查询,其指定用于搜索基于聚合事件数据结构中可用的历史数据的威胁以及被存储在存储库208中的威胁指示符的一个或多个参数。威胁检测引擎124使用数据结构的层次指数执行实时搜索操作以标识匹配搜索查询的事件。威胁检测引擎124将搜素结果呈现在交互接口中。
在一个实施例中,取证搜索查询指定用于扩展可用的威胁指示符并且因此生成将被认为是取证操作的一部分的附加威胁指示符的一个或多个参数。可以对与取证搜索查询的其他方面匹配的特定威胁指示符或威胁指示符组执行扩展。
图5图示了由威胁检测引擎124生成的示例性取证接口500。接口500包括持续时间选择元件502,其使得接口500的用户能够选择威胁数据被评价的持续时间。接口500还包括查询输入504,其使得用户能够提供用于执行取证操作的文本取证搜索查询。
接口500将搜索查询的结果呈现在图形元素506和表元素508中。图形元素506示出了与在时间轴上绘制的搜索查询匹配的事件的计数。表元素508示出了与搜索查询匹配的事件中的每个事件的细节。针对每个事件的细节包括事件发生的时间、威胁类型、与威胁相关联的因特网协议地址、威胁真实的置信度水平、威胁的严重性水平和与威胁相关联的任何元数据(诸如标签)。在一个实施例中,接口500 视觉地突出显示某些细节以吸引用户的注意。例如,具有高严重性水平的事件可以以相对于其他事件的不同的颜色被突出显示或者被着色。
馈送质量模块206周期性地计算与从威胁数据源130接收到的每个威胁数据馈送相关联的质量度量。在操作中,对于给定数据馈送而言,馈送质量模块206确定被认为是随时间无效的威胁指示符的数目。质量度量是至少无效威胁指示符的数目的数字表示。在一个实施例中,馈送质量模块206还可以生成用于每个安全监测系统110的相关指数。对于给定安全监测系统110而言,当红旗事件使用给定威胁指示符而被标识时,威胁分析系统120重新计算针对该类型的威胁指示符的相关指数,以显示这样的威胁与安全监测系统110相关。针对给定安全监测系统110的威胁指示符的威胁馈送或类型的相关指数指示威胁的馈送或类型对于系统110多么相关。馈送质量模块206将针对威胁数据馈送所计算的质量度量和针对安全监测系统110所计算的相关指数存储在威胁数据馈送存储库208中。
可以以多种方式使用质量度量和相关指数。例如,从给定威胁数据源130接收到的威胁数据馈送的质量度量可以被用于根据威胁数据源130做出未来购买决策。特别地,如果从威胁数据源130接收到的数据馈送的平均质量度量下降到最小阈值以下,那么可以以最大金额覆盖支付未来数据馈送的价格,或者可能根本不购买数据馈送。作为另一范例,在威胁检测过程期间,威胁标识模块202可以确定已经产生与由安全监测系统110所采集的事件的匹配的威胁数据馈送的质量度量。当质量度量指示低质量时,威胁标识模块202可以与当质量度量指示更高的质量时相反执行更严格的威胁验证过程。
在一个实施例中,威胁检测引擎124向顾客提供数字商店以购买威胁数据馈送。在数字商店中,威胁检测引擎124可以根据相对质量度量对威胁数据馈送进行分类。威胁检测引擎124可以备选地或附加地根据针对该特定用户(诸如安全监测系统110)所计算的相关指数而呈现威胁数据馈送。在一个实施例中,威胁检测引擎124使得客户能够根据其相关指数和指示符重叠的大小(如果有的话)来比较两个或两个以上威胁数据馈送。指示符重叠在两个或两个以上威胁数据馈送包括至少一些共同威胁指示符时而发生,因此具有一些重叠。
图6图示了由威胁检测引擎124生成的示例性存储接口600。如所示出的,存储接口600包括威胁数据馈送的列表602,其包括馈送 606和608。对于每个馈送而言,存储接口600呈现馈送的名称、馈送的源和针对馈送所计算的相关性得分。例如,针对馈送606计算相关性得分604。存储接口600还使得终端用户能够比较两个或两个以上馈送以确定在馈送中间存在多少指示符重叠。在示出的示例性图示中,用户已经选择馈送606和608用于比较。存储接口600显示重叠元素610,其视觉地表示存在于馈送606和608中间的指示符重叠的数量。
图7图示了用于基于从安全监测系统110接收到的聚合事件数据来检测威胁的示例流程图。其他实施例可以以不同的顺序执行图7中所图示的过程的步骤,并且可以包括不同的、附加的和/或更少的步骤。可以由任何适合的实体(诸如威胁检测引擎124)执行过程。
威胁检测引擎124经由客户端接口引擎122从安全监测系统110 接收702聚合事件数据。聚合事件数据包括与在给定时间段内由安全监测系统110所采集的事件相关联的信息。每个事件与至少事件可以归因于的时间戳和实体标识符相关联。在一个实施例中,聚合事件数据被组织到空间有效的数据结构(例如,布隆过滤器)中并且可以被混淆。
威胁检测引擎124确定704被存储在威胁数据馈送存储库208中的一个或多个威胁指示符是否存在于聚合事件数据中。特别地,威胁检测引擎124将聚合事件数据与被包括在威胁数据馈送中的威胁指示符相比较,以确定威胁指示符是否存在于事件数据中。如果威胁指示符不存在于聚合事件数据中,那么威胁检测引擎124不再继续进行 706。然而,如果威胁指示符存在于聚合事件数据中,那么威胁检测引擎124将从706继续进行步骤708。
威胁检测引擎124确定708与存在于聚合事件数据中的威胁指示符相关联的威胁的有效性。在一些实施例中,威胁标识模块202被配置有用于评价威胁的有效性的自动化过程。在其他实施例中,威胁标识模块202发起用于执行这样的评价的手动过程。如果与威胁指示符相关联的威胁被确定为是无效的,那么威胁检测引擎124不再继续进行到710。然而,如果与威胁指示符相关联的威胁被确定为是有效的,那么威胁检测引擎124不再将710转到步骤712。
如果威胁被确定为是有效的,则归因于与威胁指示符匹配的实体标识符的事件被认为是红旗事件。威胁检测引擎124将红旗事件的存在和对应的威胁信息报告714给采集事件信息的必要安全监测系统 110。威胁报告模块204支持各种类型的报告机制,包括当红旗事件被标识时的个体警报和所有所标识的红旗事件的基于时间(例如,每小时、每周和每月)的报告。
示例计算机系统
图8是图示能够从机器可读介质读取指令并且在处理器(或控制器)中执行他们的示例机器的组件的块图。特别地,图8示出了以计算机系统800的示例形式的机器的图解表示。计算机系统800可以被用于执行用于使得机器执行在此所描述的方法(或过程)中的任何一个或多个的指令824(例如,程序代码或软件)。在备选实施例中,机器操作为独立设备或连接到其他机器的连接(例如,联网)设备。在联网部署中,机器可以作为服务器-客户端环境中的服务器机器或客户端机器或者作为对等(或分布式)网络环境中的对等机器进行操作。
机器可以是服务器计算机、客户端计算机、个人计算机(PC)、平板PC、机顶盒(STB)、智能电话、物联网(IoT)电器、网络路由器、交换机或网桥或能够执行指定要由该机器采取的动作的指令 824(顺序的或以其他方式)的任何机器。此外,虽然仅图示单个机器,但是术语“机器”还应当被理解为包括单独地或联合地执行在此所讨论的方法中的任何一个或多个的指令824的机器的任何集合。
示例计算机系统800包括一个或多个处理单元(通常处理器802)。处理器802是例如中央处理单元(CPU)、图形处理单元(GPU)、数字信号处理器(DSP)、控制器、状态机、一个或多个专用集成电路(ASIC)、一个或多个射频集成电路(RFIC)或这些的任何组合。计算机系统800还包括主存储器804。计算机系统可以包括存储单元 816。处理器802、存储器804和存储单元816经由总线808通信。
此外,计算机系统806可以包括静态存储器806、显示器驱动程序850(例如,以驱动等离子显示板(PDP)、液晶显示器(LCD) 或投影仪)。计算机系统800还可以包括字母数字输入设备852(例如,键盘)、光标控制设备814(例如,鼠标、轨迹球、操纵杆、运动传感器或其他指点仪器)、信号生成设备818(例如,扬声器)以及网络接口设备820,其还被配置为经由总线808通信。
存储单元816包括在其上存储实现在此所描述的方法或功能中的任何一个或多个的指令824(例如,软件)的机器可读介质822。指令824还可以在其由计算机系统800执行期间完全地或至少部分地驻留在主存储器804内或处理器802内(例如,在处理器的高速缓存存储器内),主存储器804和处理器802还构成机器可读介质。指令824 可以经由网络接口设备820通过网络826被传送或被接收。
虽然机器可读介质在示例实施例中被示出是单个介质,但是术语“机器可读介质”应当取得为包括能够存储指令的单个介质或多个媒体(例如,集中式或者分布式数据库、或者相关联的高速缓存和服务器)。术语“机器可读介质”还应当被考虑为包括能够存储用于由机器执行和使得机器执行本文所公开的方法的任何一个或多个的指令的任何介质。术语“机器可读介质”包括但不限于以固态存储器、光学媒体和磁性媒体的形式的数据储存库。
附加考虑
贯穿本说明书,多个实例可以实现如单个实例所描述的组件、操作或者结构。尽管一种或多种方法的个体操作被图示并且被描述为分离的操作,但是可以同时执行个体操作中的一个或多个操作并且不要求以所图示的顺序执行操作。被呈现为示例配置中的分离的部件的结构和功能可以被实现为组合的结构或者部件。类似地,如单个部件所呈现的结构和功能性可以被实现为分离的部件。这些和其他变型、修改、添加和改进落在本文中的主题的范围内。
某些实施例在此被描述为包括逻辑或若干组件、模块或机构,例如,如图1和2所图示的。模块可以构成软件模块(例如,被编码在机器可读介质上或者传输信号中的代码)或者硬件模块。硬件模块是能够执行某些操作的有形单元并且可以以某种方式配置或者布置。在示例实施例中,一个或多个计算机系统(例如,单独的客户端或者服务器计算机系统)或者计算机系统的一个或多个硬件模块(例如,处理器或者一组处理器)可以通过软件(例如,应用或者应用部分)被配置为操作以执行如本文所描述的某些操作的硬件模块。
在各种实施例中,可以机械地或者电子地实现硬件模块。例如,硬件模块可以包括被永久地配置为(例如,专用处理器,诸如现场可编程门阵列(FPGA)或专用集成电路(ASIC))执行某些操作的专用电路或者逻辑。硬件模块还可以包括由软件暂时地配置为执行某些操作的可编程逻辑或者电路(例如,如包含在通用处理器或者其他可编程处理器内)。将理解到,可以通过成本和时间考虑来驱动实现机械地、在专用和永久配置电路中或者在暂时配置电路(例如,由软件所配置的)的硬件模块的决策。
可以通过一个或多个处理器例如处理器(例如处理器102)至少部分地执行本文所描述的示例方法的各种操作,处理器(例如,通过软件)暂时配置或者永久配置为执行相关操作。无论被暂时地或者永久地配置,这样的处理器可以构成操作以执行功能的一个或多个操作或功能的处理器实现的模块。在一些示例实施例中,本文所提到的模块可以包括处理器实现的模块。
一个或多个处理器还可以操作以支持“云计算”环境中的相关操作的性能或者作为“软件即服务(SaaS)”。例如,可以通过一组计算机(作为包括处理器的机器的示例)执行操作中的至少一些操作,这些操作是经由(例如,因特网)并且经由一个或多个适当的接口(例如,应用程序接口(API))可访问的。
某些操作的性能可以分布在一个或多个处理器之间,其不仅驻留在单个机器内而且跨若干机器被部署。在一些示例实施例中,一个或多个处理器或者处理器实现的模块可以被定位在单个地理位置(例如,在家庭环境、办公室环境或者服务器群内)。在其他示例实施例中,可以跨越若干地理位置分布一个或多个处理器或者处理器实现的模块。
根据被存储为机器存储器(例如,计算机存储器)内的比特或者二进制数字信号的数据的操作的算法或者符号表示来呈现本说明书的一些部分。这些算法或者符号表示是由数据处理领域的普通技术人员用于将其工作的实质传达给本领域的技术人员的技术的示例。如本文所使用的,“算法”是导致期望的结果的操作或者类似处理的自相一致的序列。在该上下文中,算法和操作涉及物理量的物理操纵。通常但不一定,这样的量可以以能够由机器存储、访问、传送、组合、比较或者操纵的电气、磁性或者光学信号的形式。主要出于习惯用语的原因,有时便于指代使用诸如“数据”、“内容”、“比特”、“值”、“元素”、“符号”、“字母”、“术语”、“数目”、“数字”等的词语的这样的信号。然而,这些词语仅是方便的标签并且将与适当的物理量相关联。
除非另外特别声明,否则使用诸如“处理”、“计算”、“运算”、“确定”、“呈现”、“显示”等的词语的本文中的讨论可以指代操纵或者变换被表示为一个或多个存储器(例如,易失性存储器、非易失性存储器或者其组合)、寄存器、或者接收、存储、传输或者显示信息的其他机器部件内的物理(例如,电子、磁性或者光学)量的数据的机器(例如,计算机)的动作或者过程。
如本文所使用的,对“一个实施例”或者“实施例”的任何引用意指结合实施例所描述的特定元素、特征、结构或者特点被包括在至少一个实施例中。说明书中的各个地方的短语“在一个实施例中”的出现不一定全部是指相同实施例。
可以使用表达“耦合的”和“连接的”连同其衍生词描述一些实施例。例如,可以使用指示两个或两个以上元件直接物理或者电气接触的术语“耦合的”描述一些实施例。然而,术语“耦合的”还可以意指两个或两个以上元件彼此不直接的接触,但是仍然彼此协作或者交互。在该上下文中,实施例不是有限的。
如本文所使用的,术语“包括”、“包含”、“含有”、“具有”、“有”或者其任何其他变型旨在涵盖非排他性包括。例如,包括一系列元素的过程、方法、制品或者装置不限于仅那些元素,而是可以包括未明确列出或者这样的过程、方法、制品或者装置固有的其他元素。而且,除非明确声明相反,否则“或者”是指包括性或者而不是排他性或者。例如,条件A或者B由以下中的任一项满足:A是真(或者存在)并且B是假(或者不存在),A是假(或者不存在)并且B 是真(或者存在),并且A和B二者是真(或者存在)。
另外,“一”或“一种”的使用被用于描述本文中的实施例的元件和组件。这仅出于方便和给定本发明的一般意义而被完成。本描述应当阅读为包括一个或至少一个,并且除非其另外意指是明显的,否则单数还包括复数。
在阅读本公开内容时,本领域的技术人员还将理解通过在此所公开的原理的威胁检测的系统和过程的附加的备选结构和功能设计。因此,虽然已经图示和描述特定实施例和应用,但是应当理解,所公开的实施例不限于本文所公开的精确的构建和部件。在不脱离所附权利要求书中定义的精神和范围的情况下,可以在本文所公开的方法和装置的布置、操作和细节中做出将对本领域的技术人员明显的各种修改、改变和变型。
Claims (16)
1.一种用于执行威胁检测的方法,包括:
从客户端系统接收事件数据,所述事件数据包括与在所述客户端系统上发生的不同的事件相关联的实体标识符的混淆表示;
实时地确定所述事件数据与至少一个网络威胁相关联,其中确定所述事件数据与至少一个网络威胁相关联包括:将所述事件数据与一个或多个威胁指示符相比较,以确定至少一个威胁指示符是否存在于所述事件数据中,每个威胁指示符与至少一个潜在网络威胁相关联,并且其中所述事件数据包括事件的索引层次结构,所述索引层次结构中的第一级与相对于所述索引层次结构中的第二级的不同的基于时间的颗粒度相关联;以及
通过显示威胁数据的多面板显示来向所述客户端系统报告所述至少一个网络威胁的存在,所述多面板显示至少包括第一面板、第二面板以及第三面板,所述多面板显示中的每个面板呈现所述至少一个威胁指示符在至少一个数据维度中的所述存在,所述第一面板显示所述至少一个威胁指示符的威胁时间,所述第二面板显示所述至少一个威胁指示符的威胁类型,所述第三面板显示包括所述至少一个威胁指示符的以下组中的至少一项的数据维度:威胁有效的置信度、威胁的严重性、威胁动作的类型、目的地端口、源端口、标签以及地理。
2.根据权利要求1所述的方法,其中确定所述事件数据与至少一个网络威胁相关联包括:确定与所述事件数据相关联的域名是否附属于恶意实体。
3.根据权利要求1所述的方法,其中将所述事件数据与所述一个或多个威胁指示符相比较包括:将所述索引层次结构中的所述第一级与所述一个或多个威胁指示符相比较,并且仅当在所述第一级与所述一个或多个威胁指示符中的至少一个威胁指示符之间存在匹配时继续进行所述第二级。
4.根据权利要求1所述的方法,还包括:
标识未被包括在所述一个或多个威胁指示符中的附加威胁指示符;
对所述事件数据执行一个或多个实时取证操作,以确定与所述附加威胁指示符相关联的网络威胁是否存在于所述事件数据中。
5.根据权利要求1所述的方法,还包括:接收用于选择所述多面板显示中的第一面板的部分的用户输入,并且呈现所述第一面板中的所选择的所述部分的更详细视图。
6.根据权利要求5所述的方法,还包括:基于所述第一面板中的所选择的所述部分,更新所述多面板显示中的附加面板。
7.根据权利要求1所述的方法,其中所述多面板显示中的至少一个面板使用显示表面上的用户接触而被操纵。
8.根据权利要求1所述的方法,还包括:接收指定用于过滤所述威胁数据的一个或多个参数的文本搜索查询,并且更新所述多面板显示以呈现根据所述一个或多个参数而过滤的所述威胁数据。
9.根据权利要求1所述的方法,还包括:基于从第一威胁指示符提取的数据,根据所述第一威胁指示符生成第二威胁指示符,所述第二威胁指示符被包括在所述一个或多个威胁指示符中。
10.根据权利要求1所述的方法,还包括:接收多个威胁数据馈送。
11.根据权利要求10所述的方法,还包括计算与所述威胁数据馈送中的每个威胁数据馈送相关联的相关指数,针对给定威胁数据馈送的所述相关指数指示被包括在所述威胁数据馈送中的威胁指示符与所述客户端系统如何相关。
12.根据权利要求10所述的方法,还包括:将所述多个威胁数据馈送提供到客户端以用于数字商店中的购买。
13.根据权利要求12所述的方法,还包括:支持所述客户端系统比较在所述多个威胁数据馈送中的两个或更多个威胁数据馈送之间多少威胁指示符是共同的。
14.根据权利要求1所述的方法,还包括:
处理第一威胁指示符,以基于所述第一威胁指示符的一个或多个参数来生成附加威胁指示符;以及
确定所述附加威胁指示符存在于所述事件数据中。
15.一种计算机可读介质,其存储指令,所述指令当由处理器执行时使得所述处理器:
从客户端系统接收事件数据,所述事件数据包括与在所述客户端系统上发生的不同的事件相关联的实体标识符的混淆表示;
实时地确定所述事件数据与至少一个网络威胁相关联,其中确定所述事件数据与至少一个网络威胁相关联包括:将所述事件数据与一个或多个威胁指示符相比较以确定至少一个威胁指示符是否存在于所述事件数据中,每个威胁指示符与至少一个潜在网络威胁相关联,并且其中所述事件数据包括事件的索引层次结构,所述索引层次结构中的第一级与相对于所述索引层次结构中的第二级的不同的基于时间的颗粒度相关联;以及
通过显示威胁数据的多面板显示来向所述客户端系统报告所述至少一个网络威胁的存在,所述多面板显示至少包括第一面板、第二面板以及第三面板,所述多面板显示中的每个面板呈现所述至少一个威胁指示符在至少一个数据维度中的所述存在,所述第一面板显示所述至少一个威胁指示符的威胁时间,所述第二面板显示所述至少一个威胁指示符的威胁类型,所述第三面板显示包括所述至少一个威胁指示符的以下组中的至少一项的数据维度:威胁有效的置信度、威胁的严重性、威胁动作的类型、目的地端口、源端口、标签以及地理。
16.根据权利要求15所述的计算机可读介质,其中将所述事件数据与所述一个或多个威胁指示符相比较包括:将所述索引层次结构中的所述第一级与所述一个或多个威胁指示符相比较,并且仅当在所述第一级与所述一个或多个威胁指示符中的至少一个威胁指示符之间存在匹配时继续进行所述第二级。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562109862P | 2015-01-30 | 2015-01-30 | |
US62/109,862 | 2015-01-30 | ||
US15/007,131 US10230742B2 (en) | 2015-01-30 | 2016-01-26 | Space and time efficient threat detection |
US15/007,131 | 2016-01-26 | ||
PCT/US2016/015167 WO2016123238A1 (en) | 2015-01-30 | 2016-01-27 | Space and time efficient threat detection |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107430535A CN107430535A (zh) | 2017-12-01 |
CN107430535B true CN107430535B (zh) | 2020-09-11 |
Family
ID=56544287
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680015075.4A Active CN107430535B (zh) | 2015-01-30 | 2016-01-27 | 一种用于执行威胁检测的方法及计算机可读介质 |
Country Status (7)
Country | Link |
---|---|
US (2) | US10230742B2 (zh) |
EP (1) | EP3251010B1 (zh) |
JP (1) | JP6723267B2 (zh) |
CN (1) | CN107430535B (zh) |
CA (1) | CA2974708C (zh) |
MX (1) | MX2017009762A (zh) |
WO (1) | WO2016123238A1 (zh) |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10366229B2 (en) | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
EP3291120B1 (en) * | 2016-09-06 | 2021-04-21 | Accenture Global Solutions Limited | Graph database analysis for network anomaly detection systems |
US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
US10462170B1 (en) * | 2016-11-21 | 2019-10-29 | Alert Logic, Inc. | Systems and methods for log and snort synchronized threat detection |
WO2018097344A1 (ko) * | 2016-11-23 | 2018-05-31 | 라인 가부시키가이샤 | 탐지 결과의 유효성을 검증하는 방법 및 시스템 |
US10469509B2 (en) * | 2016-12-29 | 2019-11-05 | Chronicle Llc | Gathering indicators of compromise for security threat detection |
US11075987B1 (en) * | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US11030308B2 (en) * | 2017-08-09 | 2021-06-08 | Nec Corporation | Inter-application dependency analysis for improving computer system threat detection |
JP7105096B2 (ja) * | 2018-04-18 | 2022-07-22 | 株式会社日立システムズ | 複数組織間の脅威情報共有システム及び方法 |
US10735443B2 (en) | 2018-06-06 | 2020-08-04 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
GB201810294D0 (en) * | 2018-06-22 | 2018-08-08 | Senseon Tech Ltd | Cybe defence system |
US11063967B2 (en) * | 2018-07-03 | 2021-07-13 | The Boeing Company | Network threat indicator extraction and response |
US10936488B1 (en) * | 2018-08-31 | 2021-03-02 | Splunk Inc. | Incident response in an information technology environment using cached data from external services |
CN110929187A (zh) * | 2018-09-18 | 2020-03-27 | 北京数安鑫云信息技术有限公司 | 威胁事件可视化展现方法、装置、存储装置及计算机设备 |
US11228603B1 (en) * | 2018-09-27 | 2022-01-18 | Juniper Networks, Inc. | Learning driven dynamic threat treatment for a software defined networking environment |
CN111027056A (zh) * | 2019-01-31 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种图形化展示安全威胁事件的方法、装置及存储介质 |
US11831669B2 (en) * | 2019-02-14 | 2023-11-28 | Raytheon Bbn Technologies Corp. | Systems and methods for evaluating cyber assets |
EP4028918A4 (en) * | 2019-09-09 | 2023-09-27 | Reliaquest Holdings, LLC | THREAT MITIGATION SYSTEM AND METHOD |
CN110737890B (zh) * | 2019-10-25 | 2021-04-02 | 中国科学院信息工程研究所 | 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法 |
CN113328976B (zh) * | 2020-02-28 | 2022-11-22 | 华为技术有限公司 | 一种安全威胁事件识别方法、装置及设备 |
US11368469B2 (en) * | 2020-06-22 | 2022-06-21 | Google Llc | Preventing data manipulation and protecting user privacy in determining accurate location event measurements |
EP3955140A1 (en) * | 2020-08-10 | 2022-02-16 | Magnet Forensics Inc. | Systems and methods for cloud-based collection and processing of digital forensic evidence |
CN112202764B (zh) * | 2020-09-28 | 2023-05-19 | 中远海运科技股份有限公司 | 网络攻击链路可视化系统、方法和服务器 |
JP7408530B2 (ja) | 2020-11-13 | 2024-01-05 | 株式会社日立製作所 | セキュリティ管理システム、及びセキュリティ管理方法 |
US11374898B1 (en) * | 2020-12-14 | 2022-06-28 | Lenovo (Singapore) Pte. Ltd. | Use of partial hash of domain name to return IP address associated with the domain name |
CN112667629A (zh) * | 2020-12-22 | 2021-04-16 | 互联网域名系统北京市工程研究中心有限公司 | 基于布隆过滤器的威胁检测方法和系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571812A (zh) * | 2011-12-31 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 一种网络威胁的跟踪识别方法及装置 |
US8332947B1 (en) * | 2006-06-27 | 2012-12-11 | Symantec Corporation | Security threat reporting in light of local security tools |
US8631330B1 (en) * | 2009-08-16 | 2014-01-14 | Bitdefender IPR Management Ltd. | Security application graphical user interface customization systems and methods |
CN103999091A (zh) * | 2011-12-29 | 2014-08-20 | 迈可菲公司 | 地理映射系统安全事件 |
Family Cites Families (72)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7418733B2 (en) * | 2002-08-26 | 2008-08-26 | International Business Machines Corporation | Determining threat level associated with network activity |
US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
US8239669B2 (en) * | 2004-03-17 | 2012-08-07 | Telecommunication Systems, Inc. | Reach-back communications terminal with selectable networking options |
US7784097B1 (en) | 2004-11-24 | 2010-08-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
WO2006071985A2 (en) * | 2004-12-29 | 2006-07-06 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
US7624448B2 (en) * | 2006-03-04 | 2009-11-24 | 21St Century Technologies, Inc. | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
US7530105B2 (en) * | 2006-03-21 | 2009-05-05 | 21St Century Technologies, Inc. | Tactical and strategic attack detection and prediction |
US20080047009A1 (en) * | 2006-07-20 | 2008-02-21 | Kevin Overcash | System and method of securing networks against applications threats |
US20080148398A1 (en) * | 2006-10-31 | 2008-06-19 | Derek John Mezack | System and Method for Definition and Automated Analysis of Computer Security Threat Models |
US8707431B2 (en) * | 2007-04-24 | 2014-04-22 | The Mitre Corporation | Insider threat detection |
US9336385B1 (en) * | 2008-02-11 | 2016-05-10 | Adaptive Cyber Security Instruments, Inc. | System for real-time threat detection and management |
US8595282B2 (en) | 2008-06-30 | 2013-11-26 | Symantec Corporation | Simplified communication of a reputation score for an entity |
US8286239B1 (en) | 2008-07-24 | 2012-10-09 | Zscaler, Inc. | Identifying and managing web risks |
US8095964B1 (en) * | 2008-08-29 | 2012-01-10 | Symantec Corporation | Peer computer based threat detection |
US8060936B2 (en) * | 2008-10-21 | 2011-11-15 | Lookout, Inc. | Security status and information display system |
US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US9231964B2 (en) * | 2009-04-14 | 2016-01-05 | Microsoft Corporation | Vulnerability detection based on aggregated primitives |
US8239668B1 (en) * | 2009-04-15 | 2012-08-07 | Trend Micro Incorporated | Computer security threat data collection and aggregation with user privacy protection |
US8516594B2 (en) * | 2009-04-24 | 2013-08-20 | Jeff Bennett | Enterprise information security management software for prediction modeling with interactive graphs |
US10027711B2 (en) * | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
US8806620B2 (en) * | 2009-12-26 | 2014-08-12 | Intel Corporation | Method and device for managing security events |
US8468599B2 (en) * | 2010-09-20 | 2013-06-18 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
US9032521B2 (en) * | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
EP2487860B1 (en) * | 2011-02-10 | 2013-09-25 | Telefónica, S.A. | Method and system for improving security threats detection in communication networks |
WO2012109633A2 (en) * | 2011-02-11 | 2012-08-16 | Achilles Guard, Inc. D/B/A Critical Watch | Security countermeasure management platform |
US10356106B2 (en) * | 2011-07-26 | 2019-07-16 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting anomaly action within a computer network |
US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
US9686293B2 (en) * | 2011-11-03 | 2017-06-20 | Cyphort Inc. | Systems and methods for malware detection and mitigation |
KR101575282B1 (ko) * | 2011-11-28 | 2015-12-09 | 한국전자통신연구원 | 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법 |
US9971896B2 (en) | 2011-12-30 | 2018-05-15 | International Business Machines Corporation | Targeted security testing |
US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
KR101570946B1 (ko) | 2012-02-15 | 2015-11-20 | 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 | 디지털 콘텐트의 콘택스트적 이용 및 만료 |
US9740940B2 (en) * | 2012-03-26 | 2017-08-22 | Tata Consultancy Services Limited | Event triggered location based participatory surveillance |
KR101868893B1 (ko) | 2012-07-09 | 2018-06-19 | 한국전자통신연구원 | 네트워크 보안 상황 시각화 방법 및 그 장치 |
US9392003B2 (en) * | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
EP2866484B1 (en) * | 2013-10-24 | 2018-10-10 | Telefónica Germany GmbH & Co. OHG | A method for anonymization of data collected within a mobile communication network |
EP2926308B1 (en) | 2012-11-28 | 2019-07-17 | Telefónica Germany GmbH & Co. OHG | Method for anonymisation by transmitting data set between different entities |
US9378361B1 (en) * | 2012-12-31 | 2016-06-28 | Emc Corporation | Anomaly sensor framework for detecting advanced persistent threat attacks |
WO2014143012A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Remote malware remediation |
US9904893B2 (en) * | 2013-04-02 | 2018-02-27 | Patternex, Inc. | Method and system for training a big data machine to defend |
US20140337974A1 (en) * | 2013-04-15 | 2014-11-13 | Anupam Joshi | System and method for semantic integration of heterogeneous data sources for context aware intrusion detection |
US9578045B2 (en) * | 2013-05-03 | 2017-02-21 | Webroot Inc. | Method and apparatus for providing forensic visibility into systems and networks |
WO2015009296A1 (en) * | 2013-07-17 | 2015-01-22 | Hewlett-Packard Development Company, L.P. | Event management system |
US8826434B2 (en) * | 2013-07-25 | 2014-09-02 | Splunk Inc. | Security threat detection based on indications in big data of access to newly registered domains |
US8752178B2 (en) * | 2013-07-31 | 2014-06-10 | Splunk Inc. | Blacklisting and whitelisting of security-related events |
US10104109B2 (en) * | 2013-09-30 | 2018-10-16 | Entit Software Llc | Threat scores for a hierarchy of entities |
WO2015066604A1 (en) * | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | Systems and methods for identifying infected network infrastructure |
US10296761B2 (en) * | 2013-11-22 | 2019-05-21 | The Trustees Of Columbia University In The City Of New York | Database privacy protection devices, methods, and systems |
GB2520987B (en) * | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
US10367827B2 (en) * | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
WO2015126410A1 (en) * | 2014-02-21 | 2015-08-27 | Hewlett-Packard Development Company, L.P. | Scoring for threat observables |
US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
WO2015160357A1 (en) * | 2014-04-18 | 2015-10-22 | Hewlett-Packard Development Company, L.P. | Rating threat submitter |
US10447733B2 (en) * | 2014-06-11 | 2019-10-15 | Accenture Global Services Limited | Deception network system |
US9794279B2 (en) * | 2014-06-11 | 2017-10-17 | Accenture Global Services Limited | Threat indicator analytics system |
US10902468B2 (en) * | 2014-06-23 | 2021-01-26 | Board Of Regents, The University Of Texas System | Real-time, stream data information integration and analytics system |
US10469514B2 (en) * | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
US10212176B2 (en) * | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
US20160191558A1 (en) * | 2014-12-23 | 2016-06-30 | Bricata Llc | Accelerated threat mitigation system |
US9565204B2 (en) * | 2014-07-18 | 2017-02-07 | Empow Cyber Security Ltd. | Cyber-security system and methods thereof |
EP3172692A4 (en) * | 2014-07-21 | 2018-01-24 | Hewlett-Packard Enterprise Development LP | Remedial action for release of threat data |
US11122058B2 (en) * | 2014-07-23 | 2021-09-14 | Seclytics, Inc. | System and method for the automated detection and prediction of online threats |
US9596266B1 (en) * | 2014-07-23 | 2017-03-14 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism |
WO2016018382A1 (en) * | 2014-07-31 | 2016-02-04 | Hewlett-Packard Development Company, L.P. | Creating a security report for a customer network |
GB2529150B (en) * | 2014-08-04 | 2022-03-30 | Darktrace Ltd | Cyber security |
US10382454B2 (en) * | 2014-09-26 | 2019-08-13 | Mcafee, Llc | Data mining algorithms adopted for trusted execution environment |
US20160191549A1 (en) * | 2014-10-09 | 2016-06-30 | Glimmerglass Networks, Inc. | Rich metadata-based network security monitoring and analysis |
ES2736099T3 (es) * | 2014-10-21 | 2019-12-26 | Ironnet Cybersecurity Inc | Sistema de ciberseguridad |
US10574675B2 (en) * | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
US9699209B2 (en) * | 2014-12-29 | 2017-07-04 | Cyence Inc. | Cyber vulnerability scan analyses with actionable feedback |
WO2016115266A1 (en) * | 2015-01-14 | 2016-07-21 | Niara, Inc. | System, apparatus and method for anonymizing data prior to threat detection analysis |
-
2016
- 2016-01-26 US US15/007,131 patent/US10230742B2/en active Active
- 2016-01-27 CN CN201680015075.4A patent/CN107430535B/zh active Active
- 2016-01-27 MX MX2017009762A patent/MX2017009762A/es active IP Right Grant
- 2016-01-27 JP JP2017558628A patent/JP6723267B2/ja active Active
- 2016-01-27 EP EP16744048.6A patent/EP3251010B1/en active Active
- 2016-01-27 CA CA2974708A patent/CA2974708C/en active Active
- 2016-01-27 WO PCT/US2016/015167 patent/WO2016123238A1/en active Application Filing
-
2019
- 2019-01-23 US US16/255,708 patent/US10616248B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8332947B1 (en) * | 2006-06-27 | 2012-12-11 | Symantec Corporation | Security threat reporting in light of local security tools |
US8631330B1 (en) * | 2009-08-16 | 2014-01-14 | Bitdefender IPR Management Ltd. | Security application graphical user interface customization systems and methods |
CN103999091A (zh) * | 2011-12-29 | 2014-08-20 | 迈可菲公司 | 地理映射系统安全事件 |
CN102571812A (zh) * | 2011-12-31 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 一种网络威胁的跟踪识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
JP2018508918A (ja) | 2018-03-29 |
MX2017009762A (es) | 2018-03-28 |
CA2974708C (en) | 2020-09-22 |
US10616248B2 (en) | 2020-04-07 |
US10230742B2 (en) | 2019-03-12 |
CA2974708A1 (en) | 2016-08-04 |
US20190158514A1 (en) | 2019-05-23 |
EP3251010B1 (en) | 2021-09-29 |
WO2016123238A1 (en) | 2016-08-04 |
EP3251010A1 (en) | 2017-12-06 |
US20160226895A1 (en) | 2016-08-04 |
JP6723267B2 (ja) | 2020-07-15 |
EP3251010A4 (en) | 2018-09-05 |
CN107430535A (zh) | 2017-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107430535B (zh) | 一种用于执行威胁检测的方法及计算机可读介质 | |
US11614856B2 (en) | Row-based event subset display based on field metrics | |
US11314733B2 (en) | Identification of relevant data events by use of clustering | |
US11405301B1 (en) | Service analyzer interface with composite machine scores | |
US11196756B2 (en) | Identifying notable events based on execution of correlation searches | |
US10885393B1 (en) | Scalable incident-response and forensics toolkit | |
US10127258B2 (en) | Event time selection output techniques | |
US9582585B2 (en) | Discovering fields to filter data returned in response to a search | |
US20200167681A1 (en) | Graphical user interface indicating anomalous events | |
CN112074834A (zh) | 用于运营技术系统的分析装置、方法、系统和存储介质 | |
US20160098402A1 (en) | Custom Communication Alerts | |
US20160019316A1 (en) | Wizard for creating a correlation search | |
CN111294233A (zh) | 网络告警统计分析方法、系统及计算机可读存储介质 | |
US11997122B2 (en) | Systems and methods for analyzing cybersecurity events | |
US11231840B1 (en) | Statistics chart row mode drill down | |
US11811587B1 (en) | Generating incident response action flows using anonymized action implementation data | |
CN107844572B (zh) | 多维度事件关联分析方法 | |
de la Torre-Abaitua et al. | A parameter-free method for the detection of web attacks | |
Zhong et al. | Leveraging decision making in cyber security analysis through data cleaning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |