CN108293039B - 处理网络威胁的计算设备、方法和存储介质 - Google Patents
处理网络威胁的计算设备、方法和存储介质 Download PDFInfo
- Publication number
- CN108293039B CN108293039B CN201580084661.XA CN201580084661A CN108293039B CN 108293039 B CN108293039 B CN 108293039B CN 201580084661 A CN201580084661 A CN 201580084661A CN 108293039 B CN108293039 B CN 108293039B
- Authority
- CN
- China
- Prior art keywords
- threat
- data
- analysis
- guideline
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Telephonic Communication Services (AREA)
Abstract
示例涉及处理网络威胁。在一个示例中,计算设备可以:从威胁检测器接收与多个网络设备中所包括的特定网络设备相关联的威胁数据;基于威胁数据来识别用于帮助补救与威胁数据相关联的威胁的特定分析操作;基于威胁数据来识别用于执行特定分析操作的附加数据;使多个网络设备中的至少一个网络设备的重新配置,该重新配置使重新配置的网络设备中的每个网络设备:i)收集附加数据,以及ii)向分析设备提供附加数据;以及从分析设备接收特定分析操作的特定分析结果。
Description
技术领域
本公开总体涉及处理网络威胁。
背景技术
计算机网络和在计算机网络上操作的设备常常由于各种各样的原因而经历问题,例如,由于错配置、软件错误,以及恶意网络和计算设备攻击。在网络服务行业中,例如,在服务提供商提供在专用网络上操作的计算资源以供各种用户使用的情况下,专用网络的规模和复杂度可能使得检测和处理网络的问题较困难。损害的计算设备例如可能在恶意活动能够被识别和处理之前在专用网络内长时间以恶意方式操作。
发明内容
根据本公开的一方面,提供一种非暂时性机器可读存储介质,所述机器可读存储介质编码有由计算设备的硬件处理器可执行以用于处理网络威胁的指令,所述机器可读存储介质包括使所述硬件处理器进行以下操作的指令:从威胁检测器接收与多个网络设备中所包括的特定网络设备相关联的威胁数据;基于所述威胁数据从多个预定义的指南中识别响应指南,所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令;基于所述威胁数据,识别用于帮助补救与所述威胁数据相关联的威胁的特定分析操作,其中,所述特定分析操作被包括在所述响应指南中;基于所述威胁数据,识别用于执行所述特定分析操作的附加数据,其中,所述附加数据被包括在所述响应指南中;使所述多个网络设备中的至少一个网络设备重新配置,所述重新配置使重新配置的网络设备中的每个网络设备:i)收集所述附加数据,以及ii)向分析设备提供所述附加数据;以及从所述分析设备接收所述特定分析操作的特定分析结果。
根据本公开的另一方面,提供一种用于处理网络威胁的计算设备,所述计算设备包括:硬件处理器;以及数据存储设备,存储当由所述硬件处理器执行时使所述硬件处理器进行以下操作的指令:从威胁检测器接收与在网络上操作的多个客户端设备中所包括的特定客户端设备相关联的威胁数据;基于所述威胁数据从多个预定义的指南中识别响应指南,所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令;基于所述威胁数据,识别用于帮助补救与所述威胁数据相关联的威胁的特定分析操作,其中,所述特定分析操作被包括在所述响应指南中;基于所述威胁数据,识别用于执行所述特定分析操作的附加数据,其中,所述附加数据被包括在所述响应指南中;向收集设备提供使所述网络中所包括的多个软件定义的网络设备中的至少一个网络设备重新配置的指令,所述重新配置使重新配置的设备中的每个设备:i)收集所述附加数据,以及ii)向分析设备提供所述附加数据;以及从所述分析设备接收来自所述特定分析操作的特定分析结果。
根据本公开的另一方面,提供一种由硬件处理器实施的用于处理网络威胁的方法,所述方法包括:从威胁检测器接收与多个客户端设备中所包括的特定客户端设备相关联的威胁数据;基于所述威胁数据从多个预定义的指南中识别响应指南,所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令;基于所述威胁数据,识别用于帮助补救与所述威胁数据相关联的威胁的特定分析操作,其中,所述特定分析操作被包括在所述响应指南中;基于所述威胁数据来识别用于执行所述特定分析操作的附加数据,所述附加数据是在接收所述威胁数据时未由所述多个网络设备收集的数据类型,其中,所述附加数据被包括在所述响应指南中;重新配置多个软件定义的网络设备中的至少一个网络设备,所述重新配置使每个重新配置的设备i)收集所述附加数据,以及ii)向分析设备提供所述附加数据;以及从所述分析设备接收由所述特定分析操作产生的特定分析结果。
附图说明
以下详细描述参考附图,其中:
图1是用于处理网络威胁的示例计算设备的框图。
图2是用于处理网络威胁的示例数据流。
图3是用于处理网络威胁的示例方法的流程图。
具体实施方式
可以以各种方式检测出现在网络设备上的潜在问题网络活动。例如,可以在网络通信中识别恶意代码的签名、可以识别和确定网络数据包的源或目的地发源于已知是恶意的设备或去往已知是恶意的设备,和/或可以检测到指示恶意活动的网络业务中的模式。当识别到潜在的威胁时,可以向威胁处理设备提供与威胁有关的信息,可以以被设计为确保网络的安全的方式来处理威胁。
威胁处理机可以基于向其提供的信息来确定一个或多个类型的分析,该分析要被执行以确定关于威胁的更多信息和/或为了确定如何补救威胁。在一些实施方式中,威胁处理机可以使用预先配置的指南(playbooks)(例如,预先配置的指令)以确定针对特定威胁信息威胁处理机如何进行。指南包括使威胁与可以用于分析和/或补救威胁的一个或多个分析操作和用于执行分析操作的一个或多个类型的信息相关联的数据。可以例如在编目表等等,或包括关联的数据的其他数据结构、用于执行分析以及获取用于执行分析的信息的可执行的指令,或包括关联的数据的规范文件中实施指南。威胁处理机例如可以使各种网络设备收集能够用于执行特定分析的数据,其结果可以用于识别特定威胁出现在网络上。在识别特定威胁之后,威胁处理机可以例如使用指南来确定威胁应当如何被补救,例如通过向网络控制器提供停止运转受影响的设备的指令。
作为示例,DNS分析设备可以识别由网络上的特定计算设备发送的DNS业务中的异常。可以将可以包含关于异常的信息的警告发送到威胁处理机。威胁处理机可以使用指南来确定特定分析应当被执行以获取关于威胁的更多信息。特定分析可以利用当前在网络内没有被收集或评审的附加信息,诸如web代理日志、用户活动日志,和/或TCP/IP网络样本和计数器。威胁处理机可以通知诸如软件定义的网络(SDN)控制器之类的网络设备控制器来指示诸如SDN路由器和交换机之类的一个或多个网络设备收集附加信息。威胁处理机也可以指示分析设备执行特定分析。当分析设备从重新配置的网络设备接收附加信息时,可以随着将结果提供给威胁处理机执行特定分析。基于特定分析的结果,威胁处理机可以确定为了解决特定威胁要执行的另外的分析和/或要采取的补救措施。例如,威胁处理机可以基于特定分析的结果来确定网络上的计算设备感染了恶意软件,并且可以进一步确定到和来自受影响的计算设备的网络通信应当被阻止,直到恶意软件能够被去除。
通过以上描述的方式处理网络威胁的能力可以促进对网络威胁的相对高效的识别和补救。例如,响应于识别出可以使用相对地轻量级的收集和分析识别的特定潜在的威胁,可以保留使用资源密集的数据收集和分析。另外,用于确定分析和补救措施的各种指南可以允许以各种方式处理潜在的威胁,并且创建新的指南或改变现存的指南的能力可以允许网络管理员适于新的威胁并且管理在网络中的单个点的许多威胁处理过程。在下述的段落中更加详尽地描述可以处理网络威胁的方式。
现在参考附图,图1是用于处理网络威胁的计算设备100的示例的框图。计算设备100例如可以是服务器计算机、个人计算机、移动计算设备,或适于处理网络通信数据的任何其他电子设备。在图1的实施例中,计算设备100包括硬件处理器110和机器可读存储介质120。
硬件处理器110可以是一个或多个中央处理单元(CPU)、基于半导体的微处理器,和/或适于读取和执行存储在机器可读存储介质120中的指令的其他硬件设备。硬件处理器110可以读取、解码,以及执行诸如122-130之类的指令,以控制用于处理网络威胁的进程。作为对读取和执行指令的替代或补充,硬件处理器110可以包括一个或多个电子电路,该电子电路包括用于执行一个或多个指令的功能的电子组件。在一些实施方式中,关于指令122-130在本文描述的功能可以被实施为包括硬件或硬件和编程的组合的引擎以实施引擎的功能。
诸如120之类的机器可读存储介质可以是任何电子、磁性、光学,或包含或存储可执行指令的其他物理存储设备。因此,机器可读存储介质120例如可以是随机存取存储器(RAM)、电可擦可编程只读存储器(EEPRO)、存储驱动、光盘,等等。在一些实施方式中,存储介质120可以是非暂时性存储介质,其中术语“非暂时性”不包含暂时的传播信号。如以下详细描述的,可以利用用于处理网络威胁的一系列可执行指令:122-128,来对机器可读存储介质120进行编码。
图1中所描绘的示例环境还包括威胁检测器140、网络设备150,以及分析设备160。威胁检测器140是向计算设备100提供威胁数据142的计算设备。威胁检测器例如可以是对网络通信或其他信息执行分析以确定潜在的威胁是否存在于网络内的分析设备。另一个示例威胁检测器140是网络路由器,该网络路由器包括用于识别特定威胁并且在识别出特定威胁时向计算设备100发送威胁数据的逻辑。在一些实施方式中,相同或不同类型的各种威胁检测器可以用于识别对网络和/或在网络上操作的设备的潜在的威胁。
图1中所描绘的网络设备150可以包括能够直接地或间接地从计算设备100接收指令152的任何数量的网络设备。例如,网络设备150可以包括多个SDN交换机和路由器,其能够被配置为在网络数据包遍历网络设备150时收集和发送来自网络数据包的特定信息。其他类型的网络设备150例如可以包括诸如内容服务器和用户设备、分析设备、事件控制设备、网络分流器设备之类的端点设备,和能够与计算设备100进行通信的其他设备。
分析设备160可以是被设计为向计算设备100提供分析结果162的一个或多个计算设备。分析可以例如用于识别和传送可以指示恶意或可能恶意的活动的在输入数据内发现的模式。网络可以包括多个分析设备,每个分析设备均能够执行其自己的分析操作和/或与其他分析设备一起工作以执行一个分析操作。由分析设备160执行的分析可以改变;例如,可以通过计算设备100来配置所执行的特定分析操作。
如图1所示,计算设备100执行指令(122)以从威胁检测器140接收与多个网络设备中所包括的特定网络设备相关联的威胁数据142。例如,威胁检测器140可以是网络数据包捕捉设备,其在诸如服务器计算机之类的特定端点计算设备在特定时间段上载网络外的阈值量的数据时发送警告。可以将例如所传递的数据量的警告与包括关于潜在的威胁的一些信息的威胁数据142一起发送到计算设备100。在一些实施方式中,各种威胁检测器可以用于向计算设备提供各种不同类型的威胁数据。
计算设备100执行指令(124)以基于威胁数据142来识别用于帮助补救与威胁数据142相关联的威胁的特定分析操作。使用上述示例,潜在的威胁可以是恶意实体使存储在端点设备上的敏感数据被上载到恶意实体。示例分析操作可以包括对所上载的数据的意欲的目的地的分析和/或对被上载的数据类型的分析。在一些实施方式中,计算设备100可以使用用于确定分析操作的预定义的指南,其对于确定关于潜在的威胁的更多信息和/或确定如何补救潜在的威胁可以是有用的。例如,特定指南可以指定:响应于识别出从端点设备将大量数据上载到外部实体,应当执行分析以确定上载的数据的目的地是否与已知的恶意实体相关联。可以以各种方式配置指南,例如,多个指南可以与一个潜在的威胁相关联,一些指南可以指定多个分析操作,并且一些指南可以被设计为响应于识别出潜在的威胁的特定组合而被使用。
计算设备100执行指令(126)以基于威胁数据142来识别用于执行特定分析操作的附加数据。例如,被设计为确定被上载的数据是否指示损害的系统的分析操作可以使用网络数据包中所包括的文件扩展名信息来确定系统被损害的可能性。作为另一个示例,用于确定网络业务的目的地是否为已知的恶意实体的分析操作可以使用网络数据包中所包括的目的地信息和/或与上载请求相关联的传入的网络数据包中所包括的源信息。附加数据可以是当前没有被网络收集的数据类型,例如,附加数据可以不同于当初始潜在的威胁被识别时被收集的数据。在指南用于确定分析操作的实施方式中,指南也可以指定用于执行分析操作的附加数据。
计算设备100执行指令(128)以使多个网络设备150中的至少一个网络设备重新配置。重新配置使每个重新配置的网络设备:i)收集附加数据,以及ii)向诸如分析设备160之类的分析设备提供附加数据。例如,计算设备100可以向网络交换机或数据包捕捉设备直接地或间接地提供指令152,以指示设备捕捉从可能损害的服务器计算机上载的数据类型并且向分析设备发送所捕捉的信息。在一些实施方式中,计算设备100可以向被设计为重新配置网络设备150的单独的控制器设备提供重新配置指令152。例如,在SDN上下文中,SDN网络控制器可以能够使诸如SDN交换机和路由器之类的SDN网络元件被重新配置以用于捕捉和传送感兴趣的特定数据。在该上下文中,计算设备100可以向SDN控制器提供指定要被收集的并且发送给特定分析设备或设备的附加数据的信息,并且SDN控制器将向合适的SDN设备提供使SDN设备的重新配置的数据。
在一些实施方式中,计算设备100可以执行指令以向诸如分析设备160之类的分析设备提供指令,该指令使分析设备执行特定分析。例如,计算设备100可以向分析设备160提供指令,该指令引发使用被重新配置的网络设备捕捉和提供的附加数据来执行特定分析。
计算设备100执行指令(130)以从分析设备160接收特定分析操作的特定分析结果162。例如,分析结果可以指示服务器计算机被恶意行动者损害的可能性的度量。在一些实施方式中,计算设备100可以基于分析结果来确定潜在的威胁是假阳性还是实际的威胁来确定执行附加分析,例如,在结果不是足够具决定性的情况下。在一些实施方式中,指南可以指定要被执行的随后的分析。在一些实施方式中,计算设备100可以识别要用于识别附加分析和要被捕捉的数据的新的指南。
在要执行附加分析的情形中,计算设备100可以使网络设备中的至少一个网络设备重新配置。重新配置的网络设备可以是在分析的第一轮中重新配置的相同的设备和/或不同的网络设备。可以通过相同的分析设备160和/或不同的分析设备来确定第二分析结果。第二结果可以用于确定威胁是假阳性的还是指示实际的威胁。可以重复用于重新配置网络设备、收集附加数据,以及执行其他分析的处理,例如,直到计算设备100使所需要的信息以用于确定如何处理潜在的威胁。
在计算设备100例如基于分析结果来确定威胁不是假阳性——或不大可能是假阳性的情形中,计算设备100可以以各种方式发起补救措施。仅举几个例子,计算设备100可以通知管理员、通知与受影响的设备相关联的用户、指示网络设备限制至/来自受影响的设备的通信,或指示网络设备控制器限制涉及受影响的设备的通信。在使用指南的实施方式中,指南可以包括响应于确定威胁是真实的,或者很可能是真实的,而可以采取的一个或多个补救措施。作为示例,在计算设备100确定网络上的服务器计算机感染了使服务器计算机上载数据的恶意软件的情形中,计算设备100可以指示SDN控制器使网络内的SDN交换机或路由器阻止由服务器计算机发送的网络数据包的传输。
尽管在图1中将威胁检测器140和分析设备160描绘为与计算设备100分开,但在一些实施方式中,可以通过单个计算设备——例如,计算设备100来执行由每个设备执行的动作。另外,由计算设备100执行的指令不必由单个设备执行并且可以通过多个计算设备来执行。也可以使用其他计算设备配置和/或设备的组合来执行用于处理网络威胁的指令。
图2是用于处理网络威胁的示例数据流200。数据流描绘可以通过诸如在以上关于图1描述的计算设备100之类的计算设备来实施的威胁处理机210。网络设备240可以是适于在网络205内和外面传送网络通信的任何中间网络设备,诸如路由器和交换机,其是软件定义的或非软件定义的,并且是虚拟的或硬件。客户端设备250可以是适于网络通信的任何端点计算设备,诸如个人计算机、移动计算机、虚拟机、服务器计算机,或其任何组合。例如,客户端计算设备250可以是在私有云计算网络205内操作并且被专用网络205外部的用户管理的虚拟机。网络设备控制器230可以是管理网络设备240的一个或多个计算设备。例如,在SDN上下文中,网络设备控制器230可以是SDN网络控制器。分析设备220可以是用于为了各种目的一个或多个计算设备——例如,为了识别潜在的威胁、模式、网络业务信息,以及各种度量来分析网络数据。
在它们的操作期间,客户端设备250可以使用网络设备240(例如,路由器和交换机)与其他设备(例如,网络205内部的设备和外部设备245)进行通信。网络设备控制器230例如在SDN上下文中管理网络设备240的操作、监视,和/或配置,网络设备控制器230可以是控制SDN网络设备的配置的SDN控制器。分析设备220可以基于从网络205内的一个或多个源接收的数据来执行各种分析。例如,独立的网络设备240可以被配置为向分析设备220发送与DNS业务有关的信息,该分析设备220可以对信息执行分析以确定出现在在网络205上操作的任何设备内的潜在问题或威胁。
在示例数据流200中,分析设备220向威胁处理机210发送威胁数据202。威胁数据202例如可以是关于由特定客户端设备发送的DNS请求中的异常的警告。威胁数据202可以指定在网络205上操作的特定客户端设备以超过阈值的速率发送DNS询问,该阈值基于分析指示特定客户端设备上的潜在的恶意软件感染。
威胁处理机210使用威胁数据202来识别用于帮助补救潜在的威胁的特定分析操作和将要用于执行分析操作的附加数据。例如,威胁处理机210可以从存储在指南存储器215设备上的指南217的组中识别一个指南。示例指南对于若干不同的威胁(威胁A、B、C,以及D)指示分析操作和用于执行分析操作的数据。例如,在威胁数据202指定与“威胁C”相关联的威胁的情形中,威胁处理机210可以使用与“威胁C”相关联的指南来确定应当执行“分析C”以确定如何补救与“威胁C”相关联的潜在的威胁以及应当采集“数据C”以便执行“分析C”。在DNS询问阈值示例中,威胁可以是客户端设备上的恶意软件,该客户端设备使用高容量的伪随机DNS询问来找出恶意软件命令和控制设备。要被执行的分析可以使用web代理日志、用户活动日志,以及TCP/IP网络样本和计数器来进一步调查并且确定问题的根源和用于补救的可能的步骤。
在识别要被执行的分析和要被收集的附加数据之后,威胁处理机210向分析设备220发送分析指令212并且向网络设备控制器230发送重新配置指令214。分析指令212可以例如指定应当由分析设备220来执行哪些分析操作。重新配置指令214可以例如指定为了执行分析要被采集的附加数据。
响应于接收到重新配置指令214,网络设备控制器230使网络设备240中的至少一个网络设备重新配置。由网络设备控制器提供的重新配置指令216可以是与由威胁处理机210提供的那些指令相同的指令,或不同的指令。例如,由威胁处理机210发送的重新配置指令214可以指定要被收集的附加数据,而由网络设备控制器230发送的重新配置指令216可以是用于多个网络设备240的更多特定指令。在SDN环境中,由SDN控制器提供的重新配置指令将使独立的SDN网络设备上的硬件和/或软件的重新配置。
重新配置的网络设备240向分析设备220发送被捕捉的附加数据218作为它们的重新配置的结果。在DNS询问威胁示例中,一个或多个网络设备240可以被重新配置以向分析设备220发送并且在一些实施方式中向其他客户端设备发送受影响的客户端设备的web代理日志、用户活动日志,以及TCP/IP网络样本和计数器。
分析设备220使用附加数据218来执行分析。所执行的实际的分析操作可以改变。在以上的示例中,可以对附加数据218执行分析操作以确定附加数据218支持与特定类型的恶意软件相关联的通信的模式的可能性。从分析设备220向威胁处理机210发送分析结果222。仅举几个例子,结果222可以指定各种信息,诸如附加威胁、附加威胁的可能性、受影响的其他客户端设备的可能性,和/或关于现存的威胁的预测。
响应于接收到分析结果222,威胁处理机210可以采取各种动作。例如,威胁处理机210可以遵循包括在用于初始威胁的指南中的指令、识别用于处理新近识别的威胁的一个或多个附加指南、向系统管理员通知威胁或潜在的威胁、采取被设计为停止威胁的补救措施,和/或在潜在的威胁是假阳性的情形中终止附加数据的收集。
在示例数据流200中,威胁处理机210向网络设备控制器230提供补救指令232以用于补救威胁。补救指令232例如可能已经被包括在指南中或由系统管理员来提供。网络设备控制器230使用补救指令232来向网络设备240提供其自己的补救指令234。由网络设备控制器发送的补救指令234可以包括用于使至少一个网络设备240重新配置的重新配置数据。使用上述DNS询问恶意软件示例,并且在SDN环境中,威胁处理机210可以指示SDN控制器暂停来自受影响的客户端设备的所有传出业务并且实现来自可能处于风险的不同的客户端设备的新的数据的收集。SDN控制器然后可以使一个或多个网络设备重新配置以阻止来自受影响的客户端设备的传出通信,并且收集附加信息以用于检验其他处于风险的客户端设备的状态。
可以贯穿用于处理潜在的网络威胁的处理而反复地调整所执行的分析、所收集的数据、网络设备重新配置,和补救措施。当威胁被完全地处理(例如,恶意软件或受影响的客户端设备被去除)时,网络数据收集和分析可以返回到缺省状态,例如,资源不密集的收集和仅仅DNS数据的分析。在一些实施方式中,威胁处理机210也可以例如使用指南、管理员指令,或其组合来帮助并行地处理多个威胁。例如,当面临两个不同类型的威胁时,网络设备可以被重新配置以同时或根据与威胁相关联的优先级来收集用于一个威胁或两个威胁的数据,并且可以同时或根据相同的或者不同的优先级来执行用于多个威胁的分析。如上面指出的,可以例如通过将威胁处理机210与网络设备控制器230组合来在处理网络威胁的系统中使用在示例数据流200中所描绘的一个设备配置之外的设备配置。
图3是用于处理网络威胁的示例方法300的流程图。可以通过诸如图1中所描述的计算设备之类的计算设备来执行方法300。也可以使用其他计算设备来执行方法300。可以以存储在诸如存储介质120之类的机器可读存储介质上的可执行指令的形式,和/或电子电路的形式来实施方法300。
从威胁检测器接收与多个客户端设备中所包括的特定客户端设备相关联的威胁数据(302)。威胁检测器例如可以是中间网络设备、分析设备、客户端设备,或用户。威胁数据可以利用威胁处理机指定威胁的类型、网络异常信息,和/或在网络上操作的一个或多个设备的症状。
基于威胁数据,识别用于帮助补救与威胁数据相关联的威胁的特定分析操作(304)。在一些实施方式中,从预定义的指南的集合中识别响应指南,每个预定义的指南包括用于处理威胁数据的指令。例如响应指南可以指定将执行哪些特定分析操作,该响应指南是基于匹配与指南相关联的威胁的威胁数据识别的。
基于威胁数据,识别用于执行特定分析操作的附加数据(306)。附加数据是在接收威胁数据时未由多个网络设备收集的数据类型。例如,响应指南可以指定当前未被SDN设备收集的附加数据,其可以由分析设备来使用以确定关于由威胁数据指示的威胁的更多信息。
SDN设备的集合中的至少一个被重新配置,该重新配置使每个重新配置的设备:i)收集附加数据,以及ii)向分析设备提供附加数据(308)。例如,可以向SDN交换机发出重新配置指令,以重新配置交换机来从特定客户端设备向分析设备发送一些类型的网络数据包。
从分析设备接收由特定分析操作产生的特定分析结果(310)。例如,分析设备可以在接收到附加数据时执行特定分析操作并且向威胁处理器发送结果。
在利用指南的一些实施方式中,可以从预定义集合的指南中识别第二指南,该第二指南不同于初始响应指南。可以再次重新配置一个或多个SDN设备以收集由第二指南指定的辅助数据。可以执行第二分析操作,并且可以接收第二分析结果。附加分析和数据收集可以允许威胁处理机反复地管理网络以获取关于多个威胁的信息。在一些实施方式中,由威胁处理机采集的信息可以用于补救使用在以上描述的数据收集和分析方法所识别的威胁。在将执行补救的情形中,可以向补救设备提供基于分析结果补救威胁的指令。如上所述,可以由网络威胁处理设备来处理各种威胁和补救措施。
上文公开描述了用于处理网络威胁的多种示例实施方式。如以上详述,示例提供例如使用预定义的指南、基于关于潜在的威胁的信息发起数据收集和分析的机制,以及能够用这样的方式处理威胁的系统的可能的应用。
Claims (4)
1.一种非暂时性机器可读存储介质,所述机器可读存储介质编码有由计算设备的硬件处理器可执行以用于处理网络威胁的指令,所述机器可读存储介质包括使所述硬件处理器进行以下操作的指令:
从威胁检测器接收与多个网络设备中所包括的特定网络设备相关联的威胁数据;
基于所述威胁数据从多个预定义的指南中识别响应指南,所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令;
基于所述威胁数据,识别在所述响应指南中指定的用于帮助补救与所述威胁数据相关联的威胁的特定分析操作;
基于所述威胁数据,识别在所述响应指南中指定的用于执行所述特定分析操作的附加数据;
使所述多个网络设备中的至少一个网络设备重新配置,所述重新配置使重新配置的网络设备中的每个网络设备:i)收集所述附加数据,以及ii)向分析设备提供所述附加数据;以及
从所述分析设备接收所述特定分析操作的特定分析结果,
其中,所述指令进一步使所述硬件处理器用于:
基于所述特定分析结果从所述多个预定义的指南中识别第二指南,所述第二指南不同于所述响应指南;
使所述多个网络设备中的至少一个网络设备重新配置,所述重新配置使重新配置的网络设备中的每个网络设备:i)收集由所述第二指南指定的辅助数据,以及ii)向所述分析设备提供所述辅助数据;
从所述分析设备接收第二分析结果;并且
基于所述特定分析结果和所述第二分析结果引起对所述威胁的补救。
2.根据权利要求1所述的机器可读存储介质,其中,所述重新配置的网络设备中的每个网络设备是软件定义的网络设备。
3.一种用于处理网络威胁的计算设备,所述计算设备包括:
硬件处理器;以及
数据存储设备,存储当由所述硬件处理器执行时使所述硬件处理器进行以下操作的指令:
从威胁检测器接收与在网络上操作的多个客户端设备中所包括的特定客户端设备相关联的威胁数据;
基于所述威胁数据从多个预定义的指南中识别响应指南,所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令;
基于所述威胁数据,识别在所述响应指南中指定的用于帮助补救与所述威胁数据相关联的威胁的特定分析操作;
基于所述威胁数据,识别在所述响应指南中指定的用于执行所述特定分析操作的附加数据;
向收集设备提供使所述网络中所包括的多个软件定义的网络设备中的至少一个网络设备重新配置的指令,所述重新配置使重新配置的设备中的每个设备:i)收集所述附加数据,以及ii)向分析设备提供所述附加数据;以及
从所述分析设备接收来自所述特定分析操作的特定分析结果,
其中,所述指令进一步使所述硬件处理器用于:
基于所述特定分析结果从所述多个预定义的指南中识别第二指南,所述第二指南不同于所述响应指南;
向所述收集设备提供使所述多个软件定义的网络设备中的至少一个网络设备重新配置的指令,所述重新配置使所述重新配置的设备中的每个设备:i)收集由所述第二指南指定的辅助数据,以及ii)向所述分析设备提供所述辅助数据;
从所述分析设备接收第二分析结果;以及
基于所述特定分析结果和所述第二分析结果引起对所述威胁的补救。
4.一种由硬件处理器实施的用于处理网络威胁的方法,所述方法包括:
从威胁检测器接收与多个客户端设备中所包括的特定客户端设备相关联的威胁数据;
基于所述威胁数据从多个预定义的指南中识别响应指南,所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令;
基于所述威胁数据,识别在所述响应指南中指定的用于帮助补救与所述威胁数据相关联的威胁的特定分析操作;
基于所述威胁数据来识别在所述响应指南中指定的用于执行所述特定分析操作的附加数据,所述附加数据是在接收所述威胁数据时未由多个网络设备收集的数据类型;
重新配置多个软件定义的网络设备中的至少一个网络设备,所述重新配置使每个重新配置的设备:i)收集所述附加数据,以及ii)向分析设备提供所述附加数据;以及
从所述分析设备接收由所述特定分析操作产生的特定分析结果,
其中,所述方法进一步包括:
基于所述特定分析结果从所述多个预定义的指南中识别第二指南,所述第二指南不同于所述响应指南;
重新配置所述多个软件定义的网络设备中的至少一个网络设备,所述重新配置使每个重新配置的设备:i)收集由所述第二指南指定的辅助数据,以及ii)向所述分析设备提供所述辅助数据;
从所述分析设备接收第二分析结果;以及
向补救设备提供用于补救所述威胁的指令,所述指令基于所述特定分析结果和所述第二分析结果。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2015/061031 WO2017086928A1 (en) | 2015-11-17 | 2015-11-17 | Handling network threats |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108293039A CN108293039A (zh) | 2018-07-17 |
| CN108293039B true CN108293039B (zh) | 2021-08-10 |
Family
ID=58717614
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580084661.XA Active CN108293039B (zh) | 2015-11-17 | 2015-11-17 | 处理网络威胁的计算设备、方法和存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10749895B2 (zh) |
| EP (1) | EP3378208B1 (zh) |
| CN (1) | CN108293039B (zh) |
| WO (1) | WO2017086928A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10262132B2 (en) | 2016-07-01 | 2019-04-16 | Entit Software Llc | Model-based computer attack analytics orchestration |
| US10419494B2 (en) * | 2016-09-26 | 2019-09-17 | Splunk Inc. | Managing the collection of forensic data from endpoint devices |
| US10425442B2 (en) * | 2016-09-26 | 2019-09-24 | Splunk Inc. | Correlating forensic data collected from endpoint devices with other non-forensic data |
| US10681069B2 (en) * | 2017-01-19 | 2020-06-09 | Micro Focus Llc | Time-based detection of malware communications |
| US10922419B2 (en) * | 2017-07-27 | 2021-02-16 | Truist Bank | Monitoring information-security coverage to identify an exploitable weakness in the information-security coverage |
| US10949287B2 (en) * | 2018-09-19 | 2021-03-16 | International Business Machines Corporation | Finding, troubleshooting and auto-remediating problems in active storage environments |
| US10958677B2 (en) * | 2018-12-18 | 2021-03-23 | At&T Intellectual Property I, L.P. | Risk identification for unlabeled threats in network traffic |
| EP4044549A1 (en) * | 2021-02-12 | 2022-08-17 | Siemens Aktiengesellschaft | Protecting a device against a cyber incident |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299909A (zh) * | 2009-09-24 | 2011-12-28 | 费希尔-罗斯蒙特系统公司 | 用于过程控制系统的集成统一威胁管理 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN104272656A (zh) * | 2012-05-18 | 2015-01-07 | 博科通讯系统有限公司 | 软件定义网络中的网络反馈 |
| CN104468636A (zh) * | 2015-01-09 | 2015-03-25 | 李忠 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6990591B1 (en) * | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
| US7322044B2 (en) * | 2002-06-03 | 2008-01-22 | Airdefense, Inc. | Systems and methods for automated network policy exception detection and correction |
| US7324804B2 (en) * | 2003-04-21 | 2008-01-29 | Airdefense, Inc. | Systems and methods for dynamic sensor discovery and selection |
| US7685254B2 (en) * | 2003-06-10 | 2010-03-23 | Pandya Ashish A | Runtime adaptable search processor |
| US20150033353A1 (en) * | 2003-07-01 | 2015-01-29 | Securityprofiling, Llc | Operating system anti-vulnerability system, method, and computer program product |
| US7624445B2 (en) * | 2004-06-15 | 2009-11-24 | International Business Machines Corporation | System for dynamic network reconfiguration and quarantine in response to threat conditions |
| US9077611B2 (en) * | 2004-07-07 | 2015-07-07 | Sciencelogic, Inc. | Self configuring network management system |
| US8413247B2 (en) | 2007-03-14 | 2013-04-02 | Microsoft Corporation | Adaptive data collection for root-cause analysis and intrusion detection |
| US8782786B2 (en) * | 2007-03-30 | 2014-07-15 | Sophos Limited | Remedial action against malicious code at a client facility |
| US10091229B2 (en) | 2008-01-09 | 2018-10-02 | Masergy Communications, Inc. | Systems and methods of network security and threat management |
| US8856926B2 (en) * | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
| US8650129B2 (en) | 2010-01-20 | 2014-02-11 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transaction data in transit |
| US8010993B1 (en) * | 2010-07-14 | 2011-08-30 | Domanicom Corp. | Devices, systems, and methods for enabling reconfiguration of services supported by a network of devices |
| US8572677B2 (en) * | 2010-07-14 | 2013-10-29 | William G. Bartholomay | Devices, systems, and methods for enabling reconfiguration of services supported by a network of devices |
| US20130086680A1 (en) * | 2011-09-30 | 2013-04-04 | General Electric Company | System and method for communication in a network |
| US8856936B2 (en) * | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
| US9092616B2 (en) | 2012-05-01 | 2015-07-28 | Taasera, Inc. | Systems and methods for threat identification and remediation |
| US9043903B2 (en) * | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
| US20140137188A1 (en) * | 2012-11-14 | 2014-05-15 | Domanicom Corporation | Devices, systems, and methods for simultaneously delivering personalized/ targeted services and advertisements to end users |
| US9203806B2 (en) * | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9251115B2 (en) * | 2013-03-07 | 2016-02-02 | Citrix Systems, Inc. | Dynamic configuration in cloud computing environments |
| US9948675B2 (en) * | 2013-04-04 | 2018-04-17 | The Mitre Corporation | Identity-based internet protocol networking |
| US9692775B2 (en) * | 2013-04-29 | 2017-06-27 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system to dynamically detect traffic anomalies in a network |
| US20150089566A1 (en) | 2013-09-24 | 2015-03-26 | Radware, Ltd. | Escalation security method for use in software defined networks |
| US9654445B2 (en) * | 2013-11-13 | 2017-05-16 | ProtectWise, Inc. | Network traffic filtering and routing for threat analysis |
| US10027689B1 (en) * | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US9571517B2 (en) * | 2014-11-11 | 2017-02-14 | Goldman, Sachs & Co. | Synthetic cyber-risk model for vulnerability determination |
| US9866576B2 (en) * | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| WO2017086924A1 (en) | 2015-11-17 | 2017-05-26 | Monti Jr James | Integrated fluid administration system |
| US9917856B2 (en) * | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
-
2015
- 2015-11-17 EP EP15908924.2A patent/EP3378208B1/en active Active
- 2015-11-17 CN CN201580084661.XA patent/CN108293039B/zh active Active
- 2015-11-17 US US15/777,185 patent/US10749895B2/en active Active
- 2015-11-17 WO PCT/US2015/061031 patent/WO2017086928A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102299909A (zh) * | 2009-09-24 | 2011-12-28 | 费希尔-罗斯蒙特系统公司 | 用于过程控制系统的集成统一威胁管理 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN104272656A (zh) * | 2012-05-18 | 2015-01-07 | 博科通讯系统有限公司 | 软件定义网络中的网络反馈 |
| CN104468636A (zh) * | 2015-01-09 | 2015-03-25 | 李忠 | DDoS威胁过滤与链路重配的SDN架构及工作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017086928A1 (en) | 2017-05-26 |
| US10749895B2 (en) | 2020-08-18 |
| US20180337943A1 (en) | 2018-11-22 |
| EP3378208A4 (en) | 2019-06-19 |
| EP3378208A1 (en) | 2018-09-26 |
| CN108293039A (zh) | 2018-07-17 |
| EP3378208B1 (en) | 2021-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108293039B (zh) | 处理网络威胁的计算设备、方法和存储介质 | |
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US10686814B2 (en) | Network anomaly detection | |
| Kumar et al. | Early detection of Mirai-like IoT bots in large-scale networks through sub-sampled packet traffic analysis | |
| US9594912B1 (en) | Return-oriented programming detection | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
| US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
| JP5886422B2 (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| US20180054458A1 (en) | System and method for mitigating distributed denial of service attacks in a cloud environment | |
| EP3275151B1 (en) | Collecting domain name system traffic | |
| US9491190B2 (en) | Dynamic selection of network traffic for file extraction shellcode detection | |
| EP3667532A1 (en) | Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof | |
| US20180302430A1 (en) | SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| US10142360B2 (en) | System and method for iteratively updating network attack mitigation countermeasures | |
| JP2017204721A (ja) | セキュリティシステム | |
| KR20160093791A (ko) | 내부망에서 효율적인 침입탐지 방법 및 장치 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| US20240037231A1 (en) | Sample traffic based self-learning malware detection | |
| US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
| US20190028494A1 (en) | System and method for cloud-connected agent-based next-generation endpoint protection | |
| JP6497782B2 (ja) | 試験装置、試験方法および試験プログラム | |
| US11128646B1 (en) | Apparatus and method for cloud-based accelerated filtering and distributed available compute security processing | |
| US20230412564A1 (en) | Fast policy matching with runtime signature update |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |