CN107533605A - 爆发病理推断 - Google Patents
爆发病理推断 Download PDFInfo
- Publication number
- CN107533605A CN107533605A CN201580077009.5A CN201580077009A CN107533605A CN 107533605 A CN107533605 A CN 107533605A CN 201580077009 A CN201580077009 A CN 201580077009A CN 107533605 A CN107533605 A CN 107533605A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- outburst
- malware
- pathology
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Abstract
在示例中,描述了用于爆发病理推断的系统和方法。在某些计算的生态系统中,恶意软件程序和其它恶意对象可感染机器,并且然后尝试感染被“联网”到第一机器的附加机器。在一些情况下,网络可以是物理或逻辑网络,例如企业网络。然而,由于用户可通过社交网络彼此共享文件或数据,“社交联网”也可将一个机器连接到另一个机器。在那种情况下,客户端装置可配备有遥测引擎以收集和报告关于机器的数据,而系统管理服务器接收所报告的遥测。系统管理服务器可使用逻辑网络和社交网络两者来推断恶意软件的潜在爆发路径和行为。
Description
交叉参考相关申请
本申请要求2014年12月27日所提交的标题为″OUTBREAK PATHOLOGY INFERENCE″的美国非临时专利申请编号14/583632的权益和优先权,其通过引用全部被并入本文中。
技术领域
本申请涉及计算机安全领域,并且更具体地,涉及一种用于爆发病理推断的系统和方法。
背景技术
计算机安全是在一方面的用户及安全专家和在另一方面的例如恶意软件作者的恶意行动者之间不断演进的军备竞争。由于恶意软件攻击变得越来越复杂,所以安全团体已经演进远离了纯反应性的安全态势以便主动识别威胁,并在全面爆发发生之前对该威胁进行纠正。
附图说明
当与附图一起阅读时,根据下面的详细描述最好地理解本公开。强调的是,根据行业中的标准实践,各种特征并没有按比例绘制,并且仅用于说明的目的。事实上,为了讨论的清楚,各种特征的尺寸可以任意增加或减少。
图1是根据本说明书的一个或多个示例的安全启用网络的框图。
图1A是根据本说明书的一个或多个示例的包含社交连接的附加连接的框图。
图2是根据本说明书的一个或多个示例的计算装置的框图。
图3是根据本说明书的一个或多个示例的服务器的框图。
图4是根据本说明书的一个或多个示例的收集和报告遥测的方法的框图。
图5是根据本说明书的一个或多个示例的根据遥测更新信誉数据库的框图。
图6是根据本说明书的一个或多个示例的爆发病理推断方法的功能框图。
图7是根据本说明书的一个或多个示例的用于使用隐马尔可夫进程用于爆发病理推断的状态机。
图8是根据本说明书一个或多个示例的图示动态扩展的附加状态机。
发明内容
概览
在一个示例中,描述了用于爆发病理推断的系统和方法。在某些计算的生态系统中,恶意软件程序和其它恶意对象可感染机器,并且然后尝试感染被联网到第一机器的附加机器。在一些情况下,网络可以是物理或逻辑网络,例如企业网络。然而,″社交联网″也可以将一个机器连接到另一个机器,因为用户可通过社交网络彼此共享文件或数据。在那种情况下,客户端装置可配备有遥测引擎以收集和报告关于机器的数据,而系统管理服务器接收所报告的遥测。系统管理服务器可使用逻辑网络和社交网络两者来推断恶意软件的潜在爆发路径和行为。
具体实施方式
下面公开提供了用于实现本公开的不同特征的许多不同实施例或示例。以下描述组件和布置的特定示例以简化本公开。当然,这些仅仅是示例,而不意图是限制性的。此外,本公开可以在各种示例中重复参考数字和/或字母。此重复是为了简单和清楚的目的,并且本身并不表明所讨论的各种实施例和/或配置之间的关系。不同的实施例可具有不同的优点,并且对于任何实施例不一定要求具体的优点。
恶意软件以许多不同的风格出现。一些是巧妙且高度复杂的,对受欢迎的软件中的模糊缺陷灵巧地进行利用,以传递破坏性的有效载荷。其它恶意软件是无聊青少年下载下来可疑因特网站点的病毒创作工具包并执行一些最小化定制的结果。然而,无论复杂性水平如何,成功的恶意软件爆发能够在经济上或在社会上对企业进行破坏。即使在″无聊青少年″场景下,网络可带来爬行,并且生产力受到不利影响。在许多更复杂的攻击中,能够损害许多价值数百万美元的数据并将其递给攻击者。在最坏情况下,事后清除能够达到数百万美元。
因此,主动检测威胁并提前预测传播路径是有益的。威胁传播分析可包含在整个网络中以及跨多个网络来预测无效恶意对象的潜在路径。
在一般意义上,恶意软件对象在彼此连接的用户之间传播。例如,在企业内,操作被连接到企业网络的机器的用户可被恶意软件对象感染。那个恶意软件对象然后可通过网络传播,并且尝试感染其它易受攻击的机器。在一些情况下,这种传播可经由易受攻击的企业服务(例如文件服务器、Web服务器、共享工作空间和其它共享网络资源)而发生。
为了帮助预测和缓解这类爆发,企业类计算装置可配备有遥测客户端。遥测客户端可包含系统代理,在一些示例中,该系统代理在可信协处理器上、特权存储器空间中或可信运行环境(TEE)内运行。遥测客户端可收集关于客户端装置的网络连接和状况、健康、操作环境的信息,并且将其遥测数据报告给企业安全控制器。
在一些情况下,企业安全控制器可选定与安全服务提供方共享所选择的数据。安全服务提供方和企业安全控制器一起能够起作用以便预期和缓解对企业网络的攻击。遥测客户端可以从客户端机器收集遥测数据。在此上下文中,作为非限制性示例,遥测数据可包含装置健康和状况信息、存储器状态、运行程序和进程、寄存器使用、IP连通性、网络连接、连接的资源、硬盘使用信息和安装的程序。更广泛地,遥测数据可包含可由客户端装置上运行的特权软件从客户端装置所收集的任何数据。
企业安全控制器可分析这些数据并识别潜在的弱点或潜在恶意对象的存在。有利的是,被配置为从多个客户端装置接收遥测数据的企业安全控制器可接收更宽的遥测截面,然后个别的机器将接收。这使企业安全控制器能够识别可对个别计算装置实际上不可见的趋势和威胁。
在一个示例中,企业安全控制器构造遥测图,其对企业网络上的客户端装置以及恶意软件的潜在入口点之间的互连进行映射。这些连接可包含直接网络连接,并且还可包含表示不同计算机器之间所共享的资源的连接。两个计算装置共享的连接越多,一个计算装置可将恶意对象传播到另一个计算装置的可能性就越大。
在计算机安全的上下文中,爆发病理包含研究恶意对象如何进入系统并且然后在系统内传播。在这种情况下,″系统″可以是企业网络。例如,当企业网络上的计算机被恶意软件对象感染时,恶意软件对象进入系统。恶意软件对象然后可以通过借助(piggybackon)共享资源、文件、电子邮件和其它数据传输而在整个企业中传播。
在分析恶意软件对象如何进入企业生态系统并且然后通过生态系统传播中,事后的爆发病理可以是有用的。在一个示例中,这种病理可以被报告至安全服务提供方或至内部企业安全控制器。安全服务提供方可接收与许多爆发相关联的许多病理,并且因此建立识别弱安全态势和安全孔径(aperture)的剖析(profile)。这样的事后分析不总是在停止当前恶意软件爆发的主要工具,但是在识别、表征和阻止未来恶意软件攻击方面可证明是非常宝贵的。
为了主动地防止恶意软件爆发,企业安全控制器可分析它从其网络上的客户端装置接收的遥测数据,并且可推断出未来爆发可遵循的病理,如通过对现有爆发的事后分析所通知的。在一些情况下,企业安全控制器甚至可在沙盒环境中模拟所推断的爆发以估计未来爆发可采取的路径。一旦识别出网络中的弱点,就可以提升那些点的安全。
然而,如果爆发病理分析仅计及企业内遥测数据和企业连接,则可忽略一些重要的恶意软件向量。
例如,企业客户端装置可以由人类用户操作。正如客户端装置经由共享资源和共享数据通信地耦合到其它企业机器,凭借共享的兴趣、活动、责任或信仰,可以说将人类用户社交地耦合到其它人类的网络。虽然这些人类网络不一定操作于同一企业内,在所开发的世界中计算装置的近乎普遍的渗透意味着这些人类行动者的大多数将操作至少一个计算装置。正如在企业网络上的机器可经由正式结构化的网络服务共享资源,人类用户可经由较少正式的连接共享资源和数据。为了仅提供一个示例,企业网络客户端可以从网络外部的用户接收电子邮件,因为人们喜欢转发他们认为有趣的、有益的或令人振奋的笑话、图片和视频。如果电子邮件包含恶意有效载荷,并且如果企业防病毒服务尚未正确地表征那个有效载荷,则恶意软件对象可以进入到企业计算网络中。恶意软件对象然后可跨企业散播,并且在它能够被拦截和纠正之前可以造成实质的伤害。
然而,如果除了企业遥测绘图之外,这个结果也可以得到改善,企业安全控制器还参与包含社交连接的绘图的带外连接绘图。
在某些示例中,企业安全控制器可以创建用户的社交连接的社交图。社交连接可以是本文所公开的任何类型的连接,作为非限制性示例,该连接包含社交联网网站或应用、专业协会、人际交往、俱乐部会员、宗教集会从属(affiliation)以及其它类似的社交连接。正如客户端装置可处于来自出现在客户端装置的遥测图上的机器的风险,当用户的社交连接中的一个已经被损害时,由用户操作的机器可能处于风险。因此,每个社交连接可以为恶意软件对象提供用来攻击企业的向量。
社交连接也可以具体与攻击的社交工程类型相关。社交工程攻击可以是比传统的恶意软件攻击较少自动化并且更有针对性。在社交工程攻击中,可以使用户误导相信他在向合法有权得到信息的一方公开信息。成功的社交工程攻击可跨类似于恶意软件对象如何跨遥测网络传播它自己的社交网络来散播。社交工程攻击也可与恶意软件代码结合使用。例如,社交工程攻击可被用作将恶意软件对象安装在企业计算装置上的网关,使得恶意软件对象能够然后经由特权连接在整个网络中传播。因此,如果黑客能够成功地将他的方式社交地设计到用户的置信度中,则具有与社交工程攻击的受害人的连接的用户不仅可将他自己的装置,而且可将整个网络置于危险之中。
社交工程攻击的另一危险是在第一社交工程利用(exploit)中所获得的信息可被用来对下游攻击借予信任。例如,如果攻击者成功地损害了关于用户的个人识别信息,他可以选择性地将这样的信息插入到社交连接的目标电子邮件中,以信任地作为第一用户而出现。
一旦构造了遥测图和社交图,也可以绘制有用的相关性。例如,具有到受损害装置的网络连接的且由具有到受损害用户的社交连接的用户所操作的客户端可以是具体感兴趣的,并且可以表示恶意软件对象和社交攻击之间的协同。在这种因素的汇合中心的用户及其机器具有增加的感染风险。如上所指出,如果用户的机器能够被感染,则它可以能够甚至进一步沿网络传播。这样的汇合可以被称为″桥接点″。如在本说明书中通篇所使用的,桥接点是由装置或用户所表示的网络端点,该装置或用户具有到两个或多个恶意对象向量的连接。在一个示例中,桥接点可以被识别为对被保护企业的具体风险的点。
现在将更具体地参考附图描述运行剖析检测的系统和方法。在整个附图中,使用共同的数字来指定跨多个附图的共同元件。然而,这并不意图暗示在本文所公开的不同实施例之间的必要或严格关系。在一些情况下,相同元件的一个或多个不同示例或种类可以被称为采用加连字号形式(hyphenated form)。因此,例如,数字1xx-1和1xx-2可指被称为1xx的一类对象的两种不同种类或示例。
图1是根据本说明书的一个或多个示例的受保护的企业100的网络级图。在图1的示例中,多个用户120操作多个客户端装置110。具体地,用户120-1操作桌上型计算机110-1。用户120-2操作膝上型计算机110-2。并且用户120-3操作移动装置110-3。
每个计算装置可以包含适当的操作系统,例如Microsoft Window、Linux、Android、Mac OSX、Apple iOS、Unix或类似。前述中的一些可能更经常用在一种类型的装置而不是另一种类型的装置上。例如,在一个实施例中可以是工程工作站的桌上型计算机110-1可能更可能使用Microsoft Window、Linux、Unix或Mac OSX中的一个。膝上型计算机110-2(其通常是具有较少定制选项的便携式现成装置)可能更可能运行Microsoft Window或Mac OSX。移动装置110-3可能更可能运行Android或iOS。然而,这些示例并不意图是限制性的。
客户端装置110可以经由企业网络170通信地耦合到其它网络资源或彼此通信地耦合。企业网络170可以是在一个或多个适合的联网协议上操作的任何适合的网络或一个或多个网络的组合,作为非限制性示例包含例如,局域网、内联网、虚拟网络、广域网、无线网络、蜂窝网络或因特网(可选地经由代理、虚拟机或其它类似的安全机制访问)。企业网络170还可以包含一个或多个服务器、防火墙、路由器、交换机、安全器具、防病毒服务器或其它有用的网络装置。在此说明中,为了简单起见,企业网络170被示为单个网络,但是在一些实施例中,企业网络170可以包含大量网络,例如连接到因特网的一个或多个企业内联网。企业网络170还可以经由外部网络172提供对外部网络(例如因特网)的访问。外部网络172可以类似地是任何适合类型的网络。
配置为企业安全控制器(ESC)140的一个或多个计算装置还可以在企业网络170上操作。ESC 140可以为令人敬畏的(awesome)安全管理员150提供用户界面来定义企业安全策略,ESC 140可以将其在企业网络170上并跨客户端装置120实施。
受保护的企业100可以在网络上遇到各种“安全对象”。安全对象可以是在企业网络170上操作或与企业网络170交互并且具有实际或潜在安全暗示(implication)的任何对象。在一个示例中,对象可以宽泛地划分为硬件对象(包含与网络通信或经由网络操作的任何物理装置)以及软件对象。软件对象可以进一步细分为“可运行对象”和“静态对象”。可运行对象包含能够主动运行代码或自主操作的任何对象,作为非限制性示例例如,应用、驱动器、程序、可运行、库、进程、运行时间、脚本、宏、二进制、解释器、解释语言文件、具有内联代码的配置文件、嵌入式代码和固件指令。静态对象可以被宽泛地指定为不是可运行对象或者不能运行的任何对象,作为非限制性示例例如,文档、图片、音乐文件、文本文件、不具有内联代码的配置文件、视频以及图形。在一些情况下,还可以提供混合软件对象,例如比如具有内建宏的文字处理文档或具有内联代码的动画。为了安全目的,这些可以被考虑为单独的软件对象类,或者可以被简单地视为可运行对象。
企业安全策略作为非限制性示例可以包含鉴证策略、网络使用策略、网络资源配额、防病毒策略和对在客户端装置110上的可运行对象的限制。各种网络服务器可以提供诸如路由选择、联网、企业数据服务和企业应用的实质性服务。
安全企业100可以跨企业边界104与外部网络172通信。企业边界104可以表示物理、逻辑或其它边界。外部网络172可以包含例如网站、服务器、网络协议以及其它基于网络的服务。在一个示例中,应用存储库160经由外部网络172可用,并且攻击者180(或其它类似的恶意或疏忽的行动者)也连接到外部网络172。
用户120和安全企业100的目标可能是成功地操作客户端装置110而不受攻击者180或不想要的安全对象的干扰。在一个示例中,攻击者180是恶意软件作者,其目标或目的是要引起恶意的伤害或损坏。恶意的伤害或损坏可能采取在客户端装置110上安装根包或其它恶意软件来篡改系统、安装间谍软件或广告软件来收集个人和商业数据、损伤网站、操作诸如垃圾邮件服务器的僵尸网络或简单地惹怒并骚扰用户120的形式。因此,攻击者180的一个目的可能是将其恶意软件安装在一个或多个客户端装置110上。如本说明书通篇所使用的,恶意软件(“malware”)包含配置成提供不想要的结果或做不想要的工作的任何安全对象。在许多情况下,恶意软件对象将是可运行对象,作为非限制性示例包含病毒、特洛伊木马、僵尸、根包、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器帮助对象、跟踪cookie、记录器或设计成采取潜在不想要的动作的类似的对象,所述不想要的动作作为非限制性示例包含数据销毁、隐蔽数据收集、浏览器劫持、网络代理或重定向、隐蔽跟踪、数据记录、键盘记录、要去除的过度或故意的障碍、接触收获以及未经授权的自我传播。
攻击者180还可能想要针对受保护企业100进行工业或其它间谍活动,例如窃取机密数据或专用数据、窃取身份或获得对企业资源的未经授权的访问。因此,攻击者180的策略还可以包含尝试获得对一个或多个客户端装置110的物理访问并且在没有授权的情况下操作它们,使得有效的安全策略还可以包含用于防止这样的访问的供应。
在另一示例中,软件开发人员可能不明确地具有恶意意图,但是可能开发造成安全风险的软件。例如,众所周知且经常被利用的安全缺陷是所谓的缓冲区溢出,其中恶意用户能够将使超长的字符串进入到输入形式中,并且因此获得运行任意指令的能力或者通过提升的特权在计算装置200上操作。缓冲区溢出可能是例如不良输入确认或使用不安全库的结果,并且在许多情况下出现在非显而易见的上下文中。因此,虽然本身不是恶意的,但是向应用存储库160贡献软件的开发人员可能无意地为攻击者180提供攻击向量。不良编写的应用也可能引起固有的问题,例如崩溃、数据丢失或其它不期望的行为。因为此种软件本身可能是期望的,所以在开发人员变得已知时,它们偶尔提供修复弱点的更新或补丁可能是有益的。然而,从安全的角度来看,这些更新和补丁本质上是新的。
应用存储库160可以表示Window或Apple“app商店”或更新服务、类Unix存储库或端口集合或为用户120提供在客户端装置110上交互或自动地下载和安装应用的能力的其它网络服务。如果应用存储库160具有使攻击者180难以公然分发恶意软件的在适当位置的安全措施,攻击者180可以转而隐秘地将弱点插入到明显有益的应用中。
在一些情况下,受保护企业100可以提供限制能够从应用存储库160安装的应用的类型的策略指引。因此,应用存储库160可以包含不是疏忽开发并且不是恶意软件然而但违反策略的软件。例如,一些企业限制娱乐软件(像媒体播放器和游戏)的安装。因此,即使安全的媒体播放器或游戏也可能不适合于企业计算机。安全管理员150可以负责分发与此类限制一致的计算策略,并在客户端装置120上实施它。
受保护企业100还可以与可以提供安全服务、更新、防病毒定义、补丁、产品以及服务的安全服务提供方190签约或对其进行订阅。Inc.是提供全面安全和防病毒解决方案的此种安全服务提供方的非限制性示例。在一些情况下,安全服务提供方190可包含诸如由McAfee Inc所提供的全球威胁情报(GTITM)数据库的威胁情报能力。安全服务提供方190可通过分析新的候选恶意对象(如它们在客户网络上出现并将其表征为恶意或善意)来更新其威胁情报数据库。
在另一示例中,受保护企业100可以简单地是家庭,其中父母承担安全管理员150的角色。父母可能希望保护他们的孩子免于不期望的内容,作为非限制性示例例如色情文艺、广告软件、间谍软件、年龄不适当的内容、对某些政治、宗教或社会运动的主张或讨论非法活动或危险活动的论坛。在这种情况下,父母可以执行安全管理员150的一些或全部职责。
集体地,是或能够被指定为属于前述不期望的对象的类的任何的任何对象可以被分类为恶意对象。当在受保护企业100内遇到未知对象时,可以将其初始分类为“候选恶意对象”。此指定可以是要确保其不被授予完全的网络特权直到对象被进一步分析。因此,用户120和安全管理员150的目标是要配置和操作客户端装置110和企业网络170,以便排除所有恶意对象,并且对候选恶意对象进行迅速且准确地分类。
一个或多个用户120也可以经由企业网络170和/或外部网络172连接到社交网络162。在此上下文中,社交网络162应被广泛地解释为包含任何社交从属。作为非限制性示例,这可包含社交联网网站或应用、专业协会、个人关联,俱乐部会员,宗教集会从属以及其它类似的社交连接。
在图1A中,能够看到,用户120可以具有多个连接130。在这个示例中,用户120在企业100内被连接到企业连接130-1和130-2。在这种情况下,用户120还可以具有到企业连接130-1和企业连接130-2的直接网络连接。
用户120还被连接到在社交网络162内操作的社交连接130-6。最终,用户120被连接到社交连接130-4,该社交连接130-4可以是不太正式连接,例如个人的相识。
用户120还被间接连接到多个其它用户。例如,企业连接130-1被分别连接到社交连接130-3,并且经由社交网络162连接到社交连接130-5。因此,社交连接130-5和社交连接130-3可以被称为到用户120的二级连接。二级连接或者一般地n级连接,可以在社交图中被考虑,并且可以与一级连接不同地进行加权。在一个示例中,严重程度与分离程度相反地减小。因此,用户120与连接130相分离越多,连接130的感染将使其通向由用户120所操作的计算机可能就越小。
图2是根据本说明书的一个或多个示例的计算装置200的框图。计算装置200可以是任何适合的计算装置。在各种实施例中,“计算装置”可以是或者作为非限制性示例包括:计算机、工作站、服务器、大型机、嵌入式计算机、嵌入式控制器、嵌入式传感器、个人数字助理、膝上型计算机、蜂窝电话、IP电话、智能电话、平板计算机、可转变平板计算机、计算器具、网络器具、接收器、可穿戴计算机、手持计算器或用于处理和传递数据的任何其它电子、微电子或微机电装置。
在某些实施例中,客户端装置110可以都是计算装置200的示例。
计算装置200包含连接到存储器220的处理器210,存储器具有存储在其中的用于提供操作系统222以及遥测客户端224的至少软件部分的可运行指令。计算装置200的其它组件包含存储装置250、网络接口260以及外设接口240。此架构仅作为示例提供,并且意图是非排它性和非限制性的。此外,所公开的各种部分仅意图是逻辑划分,并且不需要一定表示物理上分离的硬件和/或软件组件。某些计算装置例如在单个物理存储器装置中提供主存储器220和存储装置250,并且在其它情况下,存储器220和/或存储装置250跨许多物理装置功能地分布。在虚拟机或管理程序的情况下,可以以在虚拟化层上运行的软件或固件的形式提供功能的全部或部分以提供公开的逻辑功能。在其它示例中,诸如网络接口260的装置可以仅提供执行其逻辑操作所必需的最少硬件接口,并且可以依靠软件驱动器来提供附加的必需逻辑。因此,本文公开的每个逻辑块宽泛地意图包含被配置且可操作用于提供那个块的公开的逻辑操作的一个或多个逻辑元件。如本说明书通篇所使用的,“逻辑元件”可以包含硬件、外部硬件(数字、模拟或混合信号)、软件、往复式软件、服务、驱动器、接口、组件、模块、算法、传感器、组件、固件、微代码、可编程逻辑或能够协调以实现逻辑操作的对象。
在示例中,处理器210经由存储器总线270-3通信地耦合到存储器220,存储器总线270-3作为示例可以是例如直接存储器访问(DMA)总线,尽管其它存储器架构是可能的,包含其中存储器220经由系统总线270-1或某一其它总线与处理器210进行通信的架构。处理器210可以经由系统总线270-1通信地耦合到其它装置。如本说明书通篇所使用的,“总线”包含任何有线或无线互连线、网络、连接、捆(bundle)、单总线、多总线、交叉开关网络、单级网络、多级网络或可操作以携带计算装置的部分之间或计算装置之间的功率或数据、信号的其它传导媒介。应当注意,这些使用仅作为非限制性示例来公开,并且一些实施例可以省略前述总线中的一个或多个,而其它实施例可以采用附加或不同的总线。
在各种示例中,“处理器”可以包含逻辑元件的任何组合,作为非限制性示例包含微处理器、数字信号处理器、现场可编程门阵列、图形处理单元、可编程逻辑阵列、专用集成电路或虚拟机处理器。在某些架构中,可以提供多核处理器,其中处理器210可以在适当的情况下被视为多核处理器的仅一个核,或者可以被视为整个多核处理器。在一些实施例中,还可以为专用或支持功能提供一个或多个协处理器。
处理器210可以经由DMA总线270-3连接到DMA配置中的存储器220。为了简化本公开,存储器220被公开为单个逻辑块,但是在物理实施例中可以包含任何适合的一个或多个易失性或非易失性存储器技术的一个或多个块,包含例如DDR RAM、SRAM、DRAM、高速缓存、L1或L2存储器、片上存储器、寄存器、闪存、ROM、光媒体、虚拟存储器区域、磁性或磁带存储器或类似。在某些实施例中,存储器220可以包括相对低等待时间的易失性主存储器,而存储器250可以包括相对较高等待时间的非易失性存储器。然而,存储器220和存储装置250不需要是物理上分离的装置,并且在一些示例中可以简单地表示功能的逻辑分离。还应该注意的是,尽管作为非限制性示例公开了DMA,但是DMA不是与本说明书一致的唯一协议,并且其它存储器架构是可用的。
存储装置250可以是任何种类存储器220,或者可以是单独装置。存储装置250可以包含一个或多个非暂时计算机可读媒介,作为非限制性示例包含,硬盘驱动、固态驱动、外部存储装置、独立磁盘冗余阵列(RAID)、网络附连存储装置、光存储装置、磁带驱动、备份系统、云存储装置或前述的任何组合。存装置250可以是或可以包含以其它配置存储的数据或一个或多个数据库在其中,并且可以包含操作软件的存储副本,例如操作系统222和遥测客户端224的软件部分。许多其它配置也是可能的,并且意图涵盖在本说明书的宽泛范围内。
可以提供网络接口260以将计算装置200通信地耦合到有线或无线网络。如本说明书通篇使用的“网络”可以包含可操作以在计算装置内或之间交换数据或信息的任何通信平台,作为非限制性示例包含自组织本地网络、为计算装置提供电子交互能力的因特网架构、普通老式电话系统(POTS)(计算装置能够使用其执行事务(其中它们可能由人类操作员辅助,或者其中它们可以手动地将数据键入到电话或其它适合的电子装配中))、提供在系统中的任何两个节点之间的通信接口或交换的任何分组数据网络(PDN)或任何局域网(LAN)、城域网(MAN)、广域网(WAN)、无线局域网(WLAN)、虚拟专用网络(VPN)、内联网或促进网络或电话环境中的通信的任何其它适当的架构或系统。
在一个示例中,遥测客户端224可操作以执行如本说明书所描述的计算机实现的方法。遥测客户端224可以包含一个或多个非暂时计算机可读媒介,具有存储在其上的可操作以指令处理器提供适合的功能的可运行指令。如本说明书通篇所使用的,“引擎”包含可操作用于并且配置成执行由引擎提供的一个或多个方法的类似或不类似种类的一个或多个逻辑元件的任何组合。因此,遥测客户端224可以包括配置成提供如本说明书中公开的方法的一个或多个逻辑元件。在一些情况下,客户端224可以包含被设计成执行方法或其一部分的特殊集成电路,并且还可以包含可操作以指令处理器执行该方法的软件指令。在一些情况下,客户端224可以作为“守护程序”进程运行。“守护程序”可以包含任何程序或可运行指令系列(无论是以硬件、软件、固件或其任何组合实现的),其运行作为后台进程、终止及常驻程序、服务、系统扩展、控制面板、启动规程、BIOS子例程或操作而无需直接的用户交互的任何类似的程序。在某些实施例中,守护程序进程可以在“驱动器空间”或在保护环架构中的环0、1或2中以提升的特权运行。还应当注意,遥测客户端224还可以作为非限制性示例包含其它硬件和软件,包含配置文件、注册项以及交互式或用户模式软件。
在一个示例中,遥测客户端224包含存储在可操作以执行根据本说明书的方法的非暂时媒介上的可运行指令。在适当的时间,例如在引导客户端装置110时或者在来自操作系统222或用户120的命令时,处理器210可以从存储装置250检索适当遥测客户端224(或其软件部分)的副本并将其加载到存储器220中。处理器210然后可以迭代地运行遥测客户端224的指令以提供期望的方法。
存储器220还可包含社交网络客户端226,其将计算装置110通信地耦合到社交网络162。
外设接口240可配置成与连接到计算装置200但不必要是计算装置200的核心架构的一部分的任何辅助装置进行对接。外设可以可操作以向计算装置200提供所扩展功能性,并且可以或可以不完全依赖于计算装置200。在一些情况下,外设就其本身而言可以是计算装置。外设可包含输入和输出装置,作为非限制性示例,例如显示器、终端、打印机、键盘、鼠标、调制解调器、网络控制器、传感器、换能器、致动器、控制器、数据采集总线、相机、麦克风、扬声器或外部存储装置
图3是根据本说明书的一个或多个示例的服务器类计算机300的框图。服务器类计算机300可以是任何合适的计算装置,如结合图2所述。服务器类计算机300的示例包含企业安全控制器140以及由安全服务提供方190所操作的服务器。一般来说,除非另有特定声明,图2的示例和定义可被认为等同地适用于图3。本文单独描述服务器类计算机300以图示在某些实施例中,根据本说明书的逻辑操作可以沿客户端-服务器模型来划分,其中计算装置200提供某些局部任务,而服务器类计算机300提供某些其它集中任务。
服务器类计算机300包含被连接到存储器320的处理器310,该存储器320具有存储在其中的用于提供操作系统322和服务器引擎324的至少软件部分的可运行指令。服务器类计算机300的其它组件包含存储装置350、网络接口360以及外设接口340。如图2中所述,每个逻辑块可以由一个或多个类似或不类似的逻辑元件来提供。
在一个示例中,处理器310经由可以是例如直接存储器访问(DMA)总线的存储器总线370-3通信地被耦合到存储器320。处理器310可以经由系统总线370-1通信地被耦合到其它装置。
处理器310可以经由DMA总线370-3或经由任何其它合适的存储器配置被连接到DMA配置中的存储器320。如图2中所讨论的,存储器320可包含任何合适类型的一个或多个逻辑元件。
存储器装置350可以是任何种类的存储器320,或者可以是单独的装置,如结合图2的存储装置250所描述的。存储装置350可以是或者其中可包含(一个或多个)数据库或被存储在其它配置中的数据,并且可包含诸如操作系统322和服务器引擎324的软件部分的操作的软件的所存储副本。
网络接口360可被提供以将服务器类计算机300通信地耦合到有线或无线网络,并且可包含如图2中所述的一个或多个逻辑元件。
在一个示例中,服务器引擎324是如图2中所述的引擎,包含可操作以执行如本说明书中所述的计算机实现的方法的一个或多个逻辑元件。服务器引擎324的软件部分可以作为守护程序进程而运行。
服务器引擎324可包含一个或多个非暂时计算机可读媒介,具有存储在其上的可操作以指令处理器提供安全引擎的可运行指令。在适当的时间,例如在引导服务器类计算机300时或在来自操作系统222或用户120或安全管理员150的命令时,处理器310可以从存储装置350检索服务器引擎324(或其软件部分)的副本并且将其加载到存储器320中。处理器310然后可迭代地运行服务器引擎324的指令以提供期望的方法。
外设接口340可被配置成与连接到服务器类计算机300但不必要是服务器类计算机300的核心架构的一部分的任何辅助装置进行对接。外设可以可操作以向服务器类计算机300提供所扩展功能性,并且可以或可以不完全依赖于服务器类计算机300。作为非限制性示例,外设可包含图2中所公开的外设的任何。
图4是根据本说明书的一个或多个示例的方法400的框图。在一个实施例中,方法400由遥测引擎224(包含在适当的情况下的系统管理代理)来执行。
方法400包含两个并行路径。在第一路径中,在框410中,客户端装置110连接到诸如图1的企业网络170的企业网络。
在框420中,遥测引擎224可向诸如企业安全控制器140的服务器报告企业遥测。
在并行路径中,在框430中,客户端装置110连接到诸如图1的社交网络162的社交网络。应理解在本上下文中,以及如在整个本说明书和所附权利要求中所使用的,连接到社交网络涉及与任何种类的社交网络的任何交互。例如,连接到社交网络162可包括登录进由在线社交网络所提供的服务中、发送或接收电子邮件、发送或接收数据文件或者以任何其它方式通信地耦合到不同的客户端装置110或连接130。
在框440中,遥测引擎224可收集关于社交连接的适当遥测。注意的是在某些情况下,为了符合适用法律和法规,这可以通过用户120的同意来完成。为了在块420中所收集的数据之间进行区分,这些数据可以被称为″社交遥测″。
在块460中,遥测客户端224可以收集并报告可用的任何附加遥测。
然后图4的方法变为循环,其中只要那些数据可用,则客户端装置110继续报告适当的遥测和社会遥测。
图5是根据本发明的一个或多个示例的方法的流程图。在一个实施例中,图5的方法由诸如企业安全控制器140或由安全服务提供方190来操作的装置的服务器类计算机300来执行。在其它实施例中,方法500的至少一些功能可以在客户端装置110上来执行。
在块510中,系统管理服务器324从客户端装置110接收企业遥测数据。这可包含网络数据分组,或者可以是遥测引擎224或系统管理服务器324中的一个内的内部报告。
在框520中,系统管理服务器324从客户端装置110接收社交网络遥测数据。
在框530中,系统管理服务器324从计算装置110接收任何附加的遥测数据。
在块540中,基于从客户端装置110所接收的输入,系统管理服务器324可更新其数据库,和/或其威胁矩阵。
在框540中,系统管理服务器引擎324计算和/或更新客户端装置110以及在客户端装置110上所找到的任何软件的威胁信誉。威胁信誉可包括基于所接收的输入计算对象的新的数字信誉得分。
在框550中,客户端装置120向系统管理服务器324提供入局信誉请求560。这可以是为由客户端装置110新遇到的对象提供信誉的请求。
在块550中,系统管理服务器324向客户端装置120报告正确信誉。
在块590中,完成方法。然而应注意的是,这个方法可以在一些实施例中以连续循环来执行,更新威胁情报数据库。例如,企业安全控制器140可以是合适的装置,例如Inc.ePolicyOrchestrator(ePO)合规(compliance),而安全服务提供方190可以提供诸如全球威胁情报(GTI)服务的服务。GTI和ePO是用于安全事件爆发遏制和控制的产品的示例,其依赖于从大量的装置或节点所获得的遥测数据以提供预警。能够采用社会遥测数据来增强这些已有能力的工具。例如,这些产品的现有示例可以依赖于可捕获先前装置到装置交互遥测以作为预测可能的未来恶意软件传播路径的方式的装置遥测数据。社交网络替代地识别可以是装置独立的人与人交互。典型的恶劣行为可能导致个人频繁改变装置以混淆其遥测覆盖面积。因此,社交遥测的包括提供了优于单独的装置遥测的优点。
图6是根据本说明书的一个或多个示例的系统管理服务器324的所选功能的功能框图。
在图6的示例中,系统管理服务器324执行社交图收集。除了在本说明书中所述的连接的类别之外,作为非限制性示例,该社交图收集还可包含收集关于联系人、Facebook朋友和兴趣、Google+、LinkedIn、即时通讯软件、移动app、浏览器cookie、插件以及与用户的与其他用户的连接有关的其它类似数据。然后将多个用户输入提供给社交图系统。
社交图系统创建用户的社交连接的图,并且将用户图提供给流行病(pandemic)假设和模拟功能。
并行地,系统管理服务器324还提供遥测数据收集。遥测数据收集可包含可以由客户端装置110上的软件或固件所收集的任何数据。例如,这可包含系统日志、防恶意软件扫描、网络使用、可信运行环境(TEE)监测器、系统监测器或能够被提供的任何其它类似监测功能。将这些多个输入提供给爆发预警系统,其不仅检测出爆发的实际病理,而且还可以配备有逻辑来推断潜在爆发场景和病理。
系统管理服务器324使用用户图和弱点情报来创建流行病假设和模拟。在假设阶段,用户管理代理324在爆发的潜在路径上进行假定,并且可以模拟例如在单独的机器中,或者在沙盒化或以其它方式虚拟化或受保护的环境中的那种爆发病理。
基于假设和模拟,系统管理服务器324可预先计算遏制场景并且形成流行病对策策略。系统管理服务器324还可任选地模拟流行病对策策略。来自爆发预警系统的攻击情报还可以为对策策略和模拟提供有用的输入。
基于缓解策略,系统管理服务器324可以提供目标多装置缓解动作以保护处于风险的装置。这可包含例如隔离网络上的装置、将装置连接到能够对机器进行重新成像(reimage)的供应服务器、更新病毒定义或以其它方式保护装置,并且进而保护网络免受装置的影响。
图7是隐马尔可夫进程的示例,其示出了装置遥测状态机与可观察病理以及社交图状态机与可观察病理的关系。
当相应的图解析为相同的可观察病理(例如在Y5处),模型将观察视为″桥梁状态″。如图8中所图示的,模型可被修改以分别扩展状态转变范围至包含其它图的状态。
在未来病理将跟随历史病理的假设下,这提供了优于现有的爆发预测方法的优点,其依靠于历史病理数据以预期可能的未来病理。然而,如本文所述,病理也可跟随社交连接病理,因为具有频繁社交交互的人最有可能建立电子连通性。因此,图7的两种病理图(一种社交,另一种装备遥测、)提供了与现有系统相比的对爆发病理的所增强的了解。
提供有这些图,系统管理服务器324评估图以找出其中两个图具有高重叠概率的桥接状态。桥接状态存在于跟随社交图和装置遥测图两者的爆发的预测模型到达同一节点之时。在桥接状态的情况下,存在跨这些节点的恶意软件污染的较大可能性。
给定关于所使用的恶意软件的类型和已知弱点给定装置遥测数据所做出的假设,能够模拟多个爆发场景。这些场景可被用来通过对最可能被恶意软件定目标的人和装置的缓解响应进行优先化来智能地响应爆发。
如图7中所图示,场景分析可使用马尔可夫模型来预测可能的病理。在图7的例子中,块Y1、Y2、Y3、Y4和Y5表示在网络上所观察的爆发事件
在该示例中,观察Y1被连接到用户S1。
观察Y2具有到装置D1和D2的连接。因此,在D1和Y2之间、在D2和Y2之间以及也在D1和D2之间存在关系,因为这些可驻留在相同的企业网络上。
观察Y3具有到用户S2的连接。用户S2具有到用户S1和S3的连接。还应注意,在用户S2和S3之间的社交连接是双向连接。这可表示例如用户S2在Twitter上跟随用户S3,并且用户S3也在Twitter上跟随用户S2。它也能够意味例如用户S2在Twitter上跟随用户S3,而用户S3在Google+上跟随用户S2。
观察Y4具有到机器D2的连接,但没有其它直接连接。如上所述,机器D1和D3还具有到机器D2的连接。
观察Y5具有到装置D3和用户S3的连接。这表示桥接点,其中观察Y5具有到企业网络100的社交连接和直接连接两者。在该情况下,用户S3操作机器D3是可能的。因为对象Y5是桥接点,所以它可以以增加的严重性来对待,并且可以对它以及其跨网络的潜在传播给予更具体的关注。
如在观察Y5的情况下,图8是图示当可观察病理为两个图所共有时的动态扩展以包含相反图的状态的框图。在图8的示例中,注意到用户S3可具有到机器D3的连接。机器D3还可具有回到用户S3的连接。
因此,源自装置遥测图的病理场景可以探测由社交图所定义的状态,并且反之亦然。该模型使其合理化,因为Y5表示暴露指令恶意软件跟随状态转变(例如,来自aD3S3的aS3S2)的装置/社交遥测数据的利用或弱点。
前述概述了若干实施例的特征,使得本领域技术人员可以更好地理解本公开的方面。本领域技术人员应当意识到,他们可以容易地将本公开用作用于设计或修改用于执行本文介绍的实施例的相同目的和/或实现本文介绍的实施例的相同优点的其它过程和结构的基础。本领域技术人员还应该认识到,此类等效的结构不脱离本公开的精神和范围,并且在不脱离本公开的精神和范围的情况下,它们可以进行各种改变、替换和变更。
本公开的具体实施例可以容易地包含片上系统(SOC)中央处理单元(CPU)封装。SOC表示将计算机或其它电子系统的组件集成到单个芯片中的集成电路(IC)。它可以包含数字、模拟、混合信号和射频功能:所有这些功能可以在单个芯片衬底上提供。其它实施例可以包含多芯片模块(MCM),其中多个芯片位于单个电子封装内并且配置成通过电子封装彼此紧密地交互。在各种其它实施例中,数字信号处理功能性可以在专用集成电路(ASIC)、现场可编程门阵列(FPGA)和其它半导体芯片中的一个或多个硅核中实现。
另外,与所描述的微处理器关联的一些组件可以被去除或以其它方式巩固。在一般意义上,附图中所描绘的布置在其表示中可能是更逻辑的,而物理架构可以包含这些元件的各种排列、组合和/或混合。注意无数可能的设计配置能够用来实现本文概述的操作目标是必要的。因此,关联的基础设施具有无数的替代布置、设计选择、装置可能性、硬件配置、软件实现、装配选项等。
任何适合配置的处理器组件能够运行与数据关联的任何类型的指令以实现本文详述的操作。本文公开的任何处理器能够将元件或物品(例如,数据)从一个状态或事物变换到另一状态或事物。在另一示例中,本文中概述的一些活动可以采用固定逻辑或可编程逻辑(例如,由处理器运行的软件和/或计算机指令)来实现,并且本文标识的元件能够是某一类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))、包含数字逻辑的ASIC、软件、代码、电子指令、闪速存储器、光盘、CD-ROM、DVD ROM、磁或光卡、适合于存储电子指令的其它类型的机器可读媒介,或其任何适合的组合。在操作中,处理器可以在适当的情况下且基于具体需要将信息存储在任何适合类型的非暂时存储媒介(例如,随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM(EEPROM)等)、软件、硬件中或在任何其它适合的组件、装置、元件或对象中。此外,能够基于具体的需要和实现,在任何数据库、寄存器、表、高速缓存、队列、控制列表或存储结构中提供在处理器中被跟踪、发送、接收或存储信息,所有这些能够在任何适合的时帧中引用。本文讨论的任何存储器项都应被解释为涵盖在宽泛术语“存储器”内。
实现本文描述的全部或部分功能性的计算机程序逻辑以各种形式体现,包含但不限于源代码形式、计算机可运行形式和各种中间形式(例如,通过汇编器、编译器、链接器或定位器生成的形式)。在示例中,源代码包含以各种编程语言(例如目标代码、汇编语言或诸如OpenCL、Fortran、C、C++、JAVA或HTML的高级语言)实现的一系列计算机程序指令,供与各种操作系统或操作环境一起使用。源代码可以定义和使用各种数据结构和通信消息。源代码可以处于计算机可运行形式(例如,经由解释器),或者可以将源代码转变(例如,经由转换器、汇编器或编译器)成计算机可运行形式。
在一个示例实施例中,图的任何数量的电气电路可以在关联的电子装置的板上实现。该板能够是能够保持电子装置的内部电子系统的各种组件并且另外为其它外设提供连接器的通用电路板。更具体地,板能够提供电连接,通过该电连接系统的其它组件能够电气地通信。基于具体配置需要、处理需求、计算机设计等,任何适合的处理器(包含数字信号处理器、微处理器、支持芯片组等)、存储器元件等都能够适合地耦合到板上。诸如外部存储装置、附加传感器、用于音频/视频显示的控制器以及外设装置的其它组件可以作为插件卡经由线缆附连到板上,或者被集成到板本身中。在另一示例实施例中,附图的电气电路可以被实现为独立模块(例如,具有配置成执行特定应用或功能的关联的组件和电路的装置)或被实现为到电子装置的应用特定硬件的插件模块。
注意,通过本文提供的许多示例,交互可以在两个、三个、四个或更多个电气组件方面来描述。然而,这仅仅是为了清楚和示例的目的而进行的。应当意识到,能够以任何适合的方式来巩固该系统。沿着类似的设计备选方案,附图的所图示的组件、模块和元件中的任何可以以各种可能的配置组合,所有这些配置都明确地在本说明书的宽泛范围内。在某些情况下,仅通过引用有限数量的电气元件来描述给定组流程的一个或多个功能可能性可能更容易。应当意识到,附图的电气电路及其教导是容易地可扩展的并且能够容纳大量组件以及更复杂/繁杂的布置和配置。因此,所提供的示例不应该限定电气电路的范围或禁止电气电路的宽泛教导,如潜在地应用于无数其它架构的。
许多其它改变、替代、变化、变更和修改对本领域技术人员可以是确定的,并且意图是本公开涵盖如落在所附权利要求的范围内的所有此类改变、替代、变化、变更和修改。为协助美国专利和商标局(USPTO)并且,另外在本申请上发表的任何专利的任何读者解释所附于此的权利要求时,申请人希望注意到的是:申请人:(a)不使所附权利要求中的任何意图调取35 U.S.C.章节112的段落6(6),因为它在其提交的日期存在,除非在特定权利要求中具体使用“用于...的部件”或“用于...的步骤”的词语);以及(b)并不意图通过说明书中的任何声明以在所附权利要求中没有以其它方式反映的任何方法来限定本公开。
示例实现
在示例中公开了一种计算设备,包括:网络接口;以及一个或多个逻辑元件,包括爆发病理推断引擎,所述爆发病理推断引擎可操作用于:经由所述网络接口从客户端装置接收网络遥测数据;经由所述网络接口从所述客户端装置接收网络外遥测数据;以及至少部分基于所述网络遥测数据和网络外数据推断恶意软件爆发假设。
还公开了示例,其中所述网络外数据包括社交联网数据。
还公开了示例,其中所述社交网络数据包括从由以下组成的组中所选择的数据:在线社交联网数据、专业协会数据、电子邮件发送方数据、电子邮件接收方数据、地址簿数据、联系人数据、社交关联数据、宗教集会数据。
还公开了一种实例,其中所述病理推断引擎还可操作用于至少部分地从所述网络外数据构造网络外图。
还公开了示例,其中推断所述恶意软件爆发假设包括构造网络图和所述网络外图的马尔可夫模型。
还公开了示例,其中推断所述恶意软件爆发假设还包括识别所述网络外图和所述网络图之间的桥接状态。
还公开了示例,其中推断所述恶意软件爆发假设还包括动态地重新定义所述网络外图和网络图以在桥接状态下实现跨图的评估。
还公开了示例,其中推断所述恶意软件爆发假设包括构造动态状态模型以识别多个爆发场景。
还公开了示例,其中所述病理推断引擎还可操作用于构造爆发场景,以及将遏制策略构造成定目标用于缓解的特定端点。
还公开了示例,其中所述病理推断引擎还可操作用于:至少部分地从遥测数据构造遥测图;至少部分地从所述网络外数据构造网络外图;以及至少部分地基于所述遥测图和所述网络外图来用公式表示流行病假设。
还公开了示例,其中所述病理推断引擎还可操作用于模拟所述流行病假设。
还公开了示例,其中所述病理推断引擎还可操作用于用公式表示流行病对策。
还公开了示例,其中所述病理推断引擎还可操作用于模拟所述流行病对策。
在示例中还公开了一种或多种计算机可读媒介,具有存储在其上的可运行指令,所述可运行指令可操作用于指令处理器提供病理推断引擎,所述病理推断引擎可操作用于:从客户端装置接收网络遥测数据;从所述客户端装置接收网络外遥测数据;以及至少部分基于所述网络遥测数据和网络外数据推断恶意软件爆发假设。
还公开了示例,其中所述网络外数据包括社交网络数据。
还公开了示例,其中所述社交网络数据包括从由以下组成的组中所选择的数据:在线社交联网数据、专业协会数据、电子邮件发送方数据、电子邮件接收方数据、地址簿数据、联系人数据、社交关联数据、宗教集会数据。
还公开了示例,其中所述病理推断引擎还可操作用于至少部分地从所述网络外数据构造网络外图。
还公开了示例,其中推断所述恶意软件爆发假设包括构造网络图和所述网络外图的马尔可夫模型。
还公开了示例,其中推断所述恶意软件爆发假设还包含识别所述网络外图和所述网络图之间的桥接状态。
还公开了示例,其中推断所述恶意软件爆发假设还包括动态地重新定义所述网络外图和网络图以在桥接状态下实现跨图的评估。
还公开了示例,其中推断所述恶意软件爆发假设包括构造动态状态模型以识别多个爆发场景。
还公开了示例,其中所述病理推断引擎还可操作用于构造爆发场景,以及将遏制策略构造成定目标用于缓解的特定端点。
还公开了示例,其中所述病理推断引擎还可操作用于:至少部分地从遥测数据构造遥测图;至少部分地从所述网络外数据构造网络外图;以及至少部分地基于所述遥测图和所述网络外图来用公式表示流行病假设。
在示例中还公开了一种提供病理推断的计算机实现的方法,包括:从客户端装置接收网络遥测数据;从所述客户端装置接收网络外遥测数据;以及至少部分基于所述网络遥测数据和网络外数据推断恶意软件爆发假设。
还公开了示例,还包括:至少部分地从所述网络外数据构造网络外图;至少部分地从所述网络数据构造网络图;以及构造网络图和所述网络外图的马尔可夫模型。
Claims (25)
1.一种计算设备,包括:
网络接口;以及
一个或多个逻辑元件,包括爆发病理推断引擎,所述爆发病理推断引擎可操作用于:
经由所述网络接口从客户端装置接收网络遥测数据;
经由所述网络接口从所述客户端装置接收网络外遥测数据;以及
至少部分基于所述网络遥测数据和网络外数据推断恶意软件爆发假设。
2.如权利要求1所述的计算设备,其中所述网络外数据包括社交联网数据。
3.如权利要求2所述的计算设备,其中所述社交网络数据包括从由以下组成的组中所选择的数据:在线社交联网数据、专业协会数据、电子邮件发送方数据、电子邮件接收方数据、地址簿数据、联系人数据、社交关联数据、宗教集会数据。
4.如权利要求1所述的计算设备,其中所述病理推断引擎还可操作用于至少部分地从所述网络外数据构造网络外图。
5.如权利要求4所述的计算设备,其中推断所述恶意软件爆发假设包括构造网络图和所述网络外图的马尔可夫模型。
6.如权利要求5所述的计算设备,其中推断所述恶意软件爆发假设还包括识别所述网络外图和所述网络图之间的桥接状态。
7.如权利要求6所述的计算设备,其中推断所述恶意软件爆发假设还包括动态地重新定义所述网络外图和网络图以在所述桥接状态下实现跨图的评估。
8.如权利要求1至7中任一项所述的计算设备,其中推断所述恶意软件爆发假设包括构造动态状态模型以识别多个爆发场景。
9.如权利要求1至7中任一项所述的计算设备,其中所述病理推断引擎还可操作用于构造爆发场景,以及将遏制策略构造成定目标用于缓解的特定端点。
10.如权利要求1至7中任一项所述的计算设备,其中所述病理推断引擎还可操作用于:
至少部分地从所述遥测数据构造遥测图;
至少部分地从所述网络外数据构造网络外图;以及
至少部分地基于所述遥测图和所述网络外图来用公式表示流行病假设。
11.如权利要求10所述的计算设备,其中所述病理推断引擎还可操作用于模拟所述流行病假设。
12.如权利要求10所述的计算设备,其中所述病理推断引擎还可操作用于用公式表示流行病对策。
13.如权利要求12所述的计算设备,其中所述病理推断引擎还可操作用于模拟所述流行病对策。
14.一种或多种计算机可读媒介,具有存储在其上的可运行指令,所述可运行指令可操作用于指令处理器提供病理推断引擎,所述病理推断引擎可操作用于:
从客户端装置接收网络遥测数据;
从所述客户端装置接收网络外遥测数据;以及
至少部分基于所述网络遥测数据和网络外数据推断恶意软件爆发假设。
15.如权利要求14所述的一种或多种计算机可读媒介,其中所述网络外数据包括社交联网数据。
16.如权利要求15所述的一种或多种计算机可读媒介,其中所述社交网络数据包括从由以下组成的组中所选择的数据:在线社交联网数据、专业协会数据、电子邮件发送方数据、电子邮件接收方数据、地址簿数据、联系人数据、社交关联数据、宗教集会数据。
17.如权利要求14所述的一种或多种计算机可读媒介,其中所述病理推断引擎还可操作用于至少部分地从所述网络外数据构造网络外图。
18.如权利要求17所述的一种或多种计算机可读媒介,其中推断所述恶意软件爆发假设包括构造网络图和所述网络外图的马尔可夫模型。
19.如权利要求18所述的一种或多种计算机可读媒介,其中推断所述恶意软件爆发假设还包括识别所述网络外图和所述网络图之间的桥接状态。
20.如权利要求19所述的一种或多种计算机可读媒介,其中推断所述恶意软件爆发假设还包括动态地重新定义所述网络外图和网络图以在所述桥接状态下实现跨图的评估。
21.如权利要求14至20中任一项所述的一种或多种计算机可读媒介,其中推断所述恶意软件爆发假设包括构造动态状态模型以识别多个爆发场景。
22.如权利要求14至20中任一项所述的一种或多种计算机可读媒介,其中所述病理推断引擎还可操作用于构造爆发场景,以及将遏制策略构造成定目标用于缓解的特定端点。
23.如权利要求14至20中任一项所述的一种或多种计算机可读媒介,其中所述病理推断引擎还可操作用于:
至少部分地从所述遥测数据构造遥测图;
至少部分地从所述网络外数据构造网络外图;以及
至少部分地基于所述遥测图和所述网络外图来用公式表示流行病假设。
24.一种提供病理推断的计算机实现的方法,包括:
从客户端装置接收网络遥测数据;
从所述客户端装置接收网络外遥测数据;以及
至少部分基于所述网络遥测数据和网络外数据推断恶意软件爆发假设。
25.如权利要求24所述的方法,还包括:
至少部分地从所述网络外数据构造网络外图;
至少部分地从所述网络数据构造网络图;以及
构造网络图和所述网络外图的马尔可夫模型。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/583,632 US9679140B2 (en) | 2014-12-27 | 2014-12-27 | Outbreak pathology inference |
| US14/583632 | 2014-12-27 | ||
| PCT/US2015/064588 WO2016105940A1 (en) | 2014-12-27 | 2015-12-09 | Outbreak pathology inference |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107533605A true CN107533605A (zh) | 2018-01-02 |
| CN107533605B CN107533605B (zh) | 2020-08-21 |
Family
ID=56151404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580077009.5A Active CN107533605B (zh) | 2014-12-27 | 2015-12-09 | 爆发病理推断 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9679140B2 (zh) |
| EP (1) | EP3238122B1 (zh) |
| CN (1) | CN107533605B (zh) |
| WO (1) | WO2016105940A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117892225A (zh) * | 2024-03-15 | 2024-04-16 | 西北工业大学 | 一种病毒传播动力学建模方法及装置 |
| CN117892225B (zh) * | 2024-03-15 | 2024-05-24 | 西北工业大学 | 一种病毒传播动力学建模方法及装置 |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9886581B2 (en) * | 2014-02-25 | 2018-02-06 | Accenture Global Solutions Limited | Automated intelligence graph construction and countermeasure deployment |
| US9679140B2 (en) | 2014-12-27 | 2017-06-13 | Mcafee, Inc. | Outbreak pathology inference |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
| WO2018031062A1 (en) * | 2016-08-12 | 2018-02-15 | Level 3 Communications, Llc | Malware detection and prevention system |
| US10382478B2 (en) * | 2016-12-20 | 2019-08-13 | Cisco Technology, Inc. | Detecting malicious domains and client addresses in DNS traffic |
| US10628585B2 (en) | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
| US10862916B2 (en) * | 2017-04-03 | 2020-12-08 | Netskope, Inc. | Simulation and visualization of malware spread in a cloud-based collaboration environment |
| EP3704583A4 (en) * | 2017-11-03 | 2021-08-11 | Arizona Board of Regents on behalf of Arizona State University | SYSTEMS AND PROCEDURES FOR PRIORITIZING SOFTWARE VULNERABILITIES FOR PATCHING |
| EP3777072B1 (en) | 2018-03-25 | 2024-04-10 | British Telecommunications public limited company | Malware barrier |
| WO2019185404A1 (en) | 2018-03-25 | 2019-10-03 | British Telecommunications Public Limited Company | Malware infection prediction |
| US11558401B1 (en) * | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
| EP3991384A1 (en) * | 2019-06-30 | 2022-05-04 | British Telecommunications public limited company | Impeding forecast threat propagation in computer networks |
| WO2021001235A1 (en) * | 2019-06-30 | 2021-01-07 | British Telecommunications Public Limited Company | Impeding threat propagation in computer network |
| US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060265489A1 (en) * | 2005-02-01 | 2006-11-23 | Moore James F | Disaster management using an enhanced syndication platform |
| US20080109730A1 (en) * | 2006-11-08 | 2008-05-08 | Thayne Richard Coffman | Sna-based anomaly detection |
| US7730040B2 (en) * | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
| US8401984B2 (en) * | 2009-08-26 | 2013-03-19 | Yahoo! Inc. | Identification and measurement of social influence and correlation |
| US20130160126A1 (en) * | 2011-12-15 | 2013-06-20 | Microsoft Corporation | Malware remediation system and method for modern applications |
| US20140165195A1 (en) * | 2012-12-10 | 2014-06-12 | Palo Alto Research Center Incorporated | Method and system for thwarting insider attacks through informational network analysis |
| US20140283067A1 (en) * | 2013-03-15 | 2014-09-18 | Shape Security Inc. | Detecting the introduction of alien content |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US9208315B2 (en) * | 2009-03-17 | 2015-12-08 | Microsoft Corporation | Identification of telemetry data |
| US9038177B1 (en) * | 2010-11-30 | 2015-05-19 | Jpmorgan Chase Bank, N.A. | Method and system for implementing multi-level data fusion |
| US9015843B2 (en) * | 2010-12-03 | 2015-04-21 | Microsoft Corporation | Predictive malware threat mitigation |
| US9679140B2 (en) | 2014-12-27 | 2017-06-13 | Mcafee, Inc. | Outbreak pathology inference |
-
2014
- 2014-12-27 US US14/583,632 patent/US9679140B2/en active Active
-
2015
- 2015-12-09 WO PCT/US2015/064588 patent/WO2016105940A1/en active Application Filing
- 2015-12-09 CN CN201580077009.5A patent/CN107533605B/zh active Active
- 2015-12-09 EP EP15874106.6A patent/EP3238122B1/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060265489A1 (en) * | 2005-02-01 | 2006-11-23 | Moore James F | Disaster management using an enhanced syndication platform |
| US7730040B2 (en) * | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
| US20080109730A1 (en) * | 2006-11-08 | 2008-05-08 | Thayne Richard Coffman | Sna-based anomaly detection |
| US8401984B2 (en) * | 2009-08-26 | 2013-03-19 | Yahoo! Inc. | Identification and measurement of social influence and correlation |
| US20130160126A1 (en) * | 2011-12-15 | 2013-06-20 | Microsoft Corporation | Malware remediation system and method for modern applications |
| US20140165195A1 (en) * | 2012-12-10 | 2014-06-12 | Palo Alto Research Center Incorporated | Method and system for thwarting insider attacks through informational network analysis |
| US20140283067A1 (en) * | 2013-03-15 | 2014-09-18 | Shape Security Inc. | Detecting the introduction of alien content |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117892225A (zh) * | 2024-03-15 | 2024-04-16 | 西北工业大学 | 一种病毒传播动力学建模方法及装置 |
| CN117892225B (zh) * | 2024-03-15 | 2024-05-24 | 西北工业大学 | 一种病毒传播动力学建模方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107533605B (zh) | 2020-08-21 |
| EP3238122A1 (en) | 2017-11-01 |
| US20160188880A1 (en) | 2016-06-30 |
| EP3238122B1 (en) | 2020-01-29 |
| EP3238122A4 (en) | 2018-08-01 |
| US9679140B2 (en) | 2017-06-13 |
| WO2016105940A1 (en) | 2016-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107533605A (zh) | 爆发病理推断 | |
| Touqeer et al. | Smart home security: challenges, issues and solutions at different IoT layers | |
| Yadav et al. | Malware analysis in IoT & android systems with defensive mechanism | |
| Bonguet et al. | A survey of denial-of-service and distributed denial of service attacks and defenses in cloud computing | |
| Banerjee et al. | A blockchain future for internet of things security: a position paper | |
| CN107466464A (zh) | 输入验证 | |
| CN107431621A (zh) | 采用输入标记的可信二进制的二进制转换 | |
| CN106605397A (zh) | 安全编排框架 | |
| CN107408176A (zh) | 恶意对象的执行剖析检测 | |
| CN107431692A (zh) | 预测性用户认证 | |
| CN107567699A (zh) | 实时移动安全态势 | |
| Subhashini et al. | The role of Internet of Things (IoT) in smart city framework | |
| CN105493060A (zh) | 蜜端主动网络安全 | |
| CN108292133A (zh) | 用于在工业控制系统内识别已泄密设备的系统和方法 | |
| CN106797375A (zh) | 恶意软件代理的行为检测 | |
| CN107004087A (zh) | 用于自修复的代理存在 | |
| CN109997143A (zh) | 敏感数据的安全共享 | |
| Sharma et al. | Advanced Persistent Threats (APT): evolution, anatomy, attribution and countermeasures | |
| CN108369541A (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| König et al. | Assessing the impact of malware attacks in utility networks | |
| Kumar et al. | Challenges within the industry 4.0 setup | |
| Jiang et al. | Malicious attack propagation and source identification | |
| Bhattacharya et al. | A comprehensive survey on online social networks security and privacy issues: Threats, machine learning‐based solutions, and open challenges | |
| CN107980133A (zh) | 暂时进程特权解除 | |
| Kim et al. | Secure model against APT in m-connected SCADA network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: California, USA Patentee after: MCAFEE, Inc. Address before: American Texas Patentee before: MCAFEE, Inc. |