CN108369541B - 用于安全威胁的威胁风险评分的系统和方法 - Google Patents
用于安全威胁的威胁风险评分的系统和方法 Download PDFInfo
- Publication number
- CN108369541B CN108369541B CN201680072337.0A CN201680072337A CN108369541B CN 108369541 B CN108369541 B CN 108369541B CN 201680072337 A CN201680072337 A CN 201680072337A CN 108369541 B CN108369541 B CN 108369541B
- Authority
- CN
- China
- Prior art keywords
- threat
- network
- data
- incidents
- metadata
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 59
- 230000000694 effects Effects 0.000 claims abstract description 46
- 238000004088 simulation Methods 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000010801 machine learning Methods 0.000 claims description 4
- 230000003068 static effect Effects 0.000 claims description 3
- 230000002596 correlated effect Effects 0.000 claims 4
- 244000035744 Hura crepitans Species 0.000 claims 2
- 230000000116 mitigating effect Effects 0.000 claims 2
- 238000004891 communication Methods 0.000 description 20
- 230000006399 behavior Effects 0.000 description 17
- 238000001514 detection method Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 208000015181 infectious disease Diseases 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000009467 reduction Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000003542 behavioural effect Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 238000012896 Statistical algorithm Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001603 reducing effect Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 230000009118 appropriate response Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010411 cooking Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
一种系统,被配置用于为包括数字设备的威胁活动生成风险得分。数字设备被配置为基于用于网络上的一个或多个作为目标的数字设备的元数据来提取网络上的一个或多个威胁事件。此外,数字设备被配置为基于一个或多个威胁事件中的至少第一威胁事件与一个或多个威胁事件中的第二威胁事件之间的相关性来检测一个或多个事故。并且,数字设备被配置用于为所述一个或多个事故中的每个事故生成风险得分。
Description
技术领域
本发明的实施例涉及保护计算机和网络免遭恶意软件和活动。特别地,本发明的实施例涉及用于安全威胁的威胁风险评分的系统和方法。
背景技术
现代安全威胁是复杂的并且在对网络或系统造成损害的可能性的严重性上有所不同。这样的安全威胁包括严重性级别,包括潜在不受欢迎应用(“PUA”)、AdWare、Backdoor和DataTheft木马。此外,这些类型的威胁对网络或系统造成损害的可能性可以取决于操作系统、硬件或网络的类型。这些威胁可能只对某些类型的操作系统(诸如Windows XP或MacOS X)有效。在检测到时,它们可能刚刚落在受害机器上或已经成功地安装了自己。相同的恶意软件可以被用于数字设备的一个而不是另一个品牌的防病毒程序找到;受感染的数字设备可能属于前台或先进的研发实验室。对于IT安全组和事故(incident)响应人员,需要有一个非常实用的方法和系统来考虑所有这些因素,对用于给定威胁事故的风险进行评级,从而使得可以及时有效地采取适当的响应行动以减轻风险。
目前,反病毒供应商已经在它们的病毒百科全书站点上使用了“ThreatCon”级别的概念,这是基于他们的观察的对病毒的全球流行性的指示。基于与这些应用在网络上的使用相关的很可能的安全风险,一些供应商引入了因特网应用风险级别的概念,例如,加密版本的比特种子(bittorrent)在网络上的使用可能同时具有带宽消耗和违规版权法。然而,这些系统无法作为一个全面的系统以用于量化风险并且在作为目标的环境的本地上下文中计算威胁事故的风险得分。此外,这些系统无法提供实时计算风险得分的方法。
发明内容
一种系统,被配置用于为包括数字设备的威胁活动生成风险得分。数字设备被配置用于基于网络上的一个或多个作为目标的数字设备的元数据来提取网络上的一个或多个威胁事件。此外,数字设备被配置用于基于一个或多个威胁事件中的至少第一威胁事件与一个或多个威胁事件中的第二威胁事件之间的相关性来检测一个或多个事故。并且,数字设备被配置用于为所述一个或多个事故中的每个事故生成风险得分。
根据附图和下面的详细描述,实施例的其他特征和优点将很清楚。
附图说明
实施例在附图的图中通过示例而非限制的方式而被说明,附图中的相同的附图标记表示相似的元件,并且在附图中:
图1示出了根据一个实施例的包括被配置用于检测威胁活动的系统的网络环境的框图;
图2示出了根据一个实施例的用于检测网络上的威胁活动的方法的流程图;
图3示出了根据一个实施例的客户端或数字设备的实施例;以及
图4示出了根据一个实施例的用于检测威胁活动的系统的实施例。
具体实施方式
用于检测威胁活动的系统的实施例被配置用于提取网络上的一个或多个威胁活动以及基于威胁活动之间的相关性来检测事故。此外,该系统被配置用于为检测到的事故生成风险得分以确定网络暴露于的风险的类型。能够在网络环境的上下文中检查网络是否存在威胁活动,并且基于风险得分来量化风险。
这一系统解决了对于评估漏洞的严重性和入侵攻击的需求,以便在实际上对网络构成威胁的那些威胁事件上花费时间和资源。这解决了其他评级系统存在的问题,这些系统不区分诸如漏洞或漏洞利用等威胁,这些威胁不会对网络造成同等威胁。例如,攻击者可能尝试针对数字设备利用严重漏洞(CVE-2014-6332,CVSS V2Base得分为9.3,高),但是由于操作系统版本不匹配,攻击可能会失败,因此没有构成真正的威胁。另一方面,攻击者可能通过社交工程和鱼叉式网络钓鱼来诱骗员工在数字设备上安装木马程序,而不涉及任何协议漏洞。而且,木马可以开始从机器窃取机密数据。此外,内部攻击者可能简单地泄露敏感数据,而无需任何可观察的渗透步骤,从而对公司构成严重威胁。因此,使用现有系统不会检测到这些威胁。
类似地,杀伤链(例如,利用)的早期阶段的威胁可能需要与已经确认了命令和控制(“CnC”)活动的响应动作的不同的响应动作。正如这些示例说明的,有必要对给定网络上的事故进行量化,以解决对网络和数字设备的实际风险。例如,与以接收桌面为目标的威胁相比,针对核心开发人员的机器的威胁可能需要被优先考虑。
根据本文中描述的实施例的系统和方法提供了关于给定的作为目标的环境量化风险的方式,其提供了确定减轻威胁的成功和成本有效的方式的益处。目前还没有实际的威胁评分系统可以考虑一系列综合因素来实时确定现代威胁的风险等级。本文中的实施例解决了这些问题。
图1示出了根据一个实施例的包括被配置用于检测威胁活动的系统的网络环境100的框图。在网络环境100中被体现的系统和方法可以检测威胁活动、恶意活动,标识恶意软件,标识利用,采取预防措施,生成签名,生成报告,确定恶意行为,确定目标信息,推荐用于防止攻击的步骤,和/或提供用于改进安全性的推荐。网络环境100包括通过通信网络106通信的数据中心网络102和生产网络104。数据中心网络102包括安全服务器108。生产网络104包括多个最终用户设备110。安全服务器108和最终用户设备110可以包括数字设备。数字设备是具有一个或多个处理单元和存储器的任何设备。图3和图4示出了数字设备的实施例。
安全服务器108是被配置用于检测威胁活动的数字设备。对于一个实施例,安全服务器108从一个或多个数据收集器接收可疑数据。数据收集器可以驻留在一个或多个网络设备内或者与一个或多个网络设备通信,诸如入侵防御系统(“IPS”)收集器112a和112b、防火墙114a和114b、ICAP/WCCP收集器116、Milter邮件插件收集器118、开关收集器120和/或接入点124。本领域技术人员将领会到,收集器和网络设备可以是两个单独的数字设备(例如,参见F/W收集器和IDS收集器)。
对于一个实施例,数据收集器可以位于通信网络106内的一个或多个点处。数据收集器(其例如可以包括分接头或跨接端口(例如,交换机120处的跨接端口IDS收集器))被配置用于拦截来自网络的网络数据。数据收集器可以被配置用于检测可疑数据。可疑数据是由数据收集器收集的、已经被数据收集器标记为可疑的数据的任何数据和/或将由包括在虚拟化环境内的安全服务器108进一步分析的任何数据。
在将数据标记为可疑和/或将所收集的数据提供给安全服务器108之前,数据收集器可以过滤数据。例如,数据收集器可以滤除纯文本但是收集可执行文件或批处理文件。此外,根据一个实施例,数据收集器可以执行智能收集。例如,数据可以被散列并且与白名单比较。白名单可以标识安全的数据。在一个示例中,白名单可以将数字签名的数据或从已知可信源接收的数据标识为安全。此外,白名单可以标识先前接收的、已经被确定为安全的信息。如果数据先前被接收到,在环境内被测试并且被确定为足够可信,则数据收集器可以允许数据继续通过网络。本领域技术人员将领会到,可以由安全服务器108更新数据收集器(或与数据收集器相关联的代理),以帮助数据收集器识别足够可信的数据并且在识别出不可信数据的情况下采取校正措施(例如,隔离并且警告管理员)。对于一个实施例,如果数据未被标识为安全,则数据收集器可以将数据标记为可疑以用于进一步分析。
本领域技术人员将领会到,一个或多个代理或其他模块可以监测网络业务的常见行为,并且可以配置数据收集器以当数据以超出正常参数的方式被引导时收集数据。例如,代理可以确定或被配置用于检测计算机已经被停用,特定计算机通常不接收任何数据,由特定计算机接收的数据通常来自有限数目的来源,或者特定计算机通常不向某些目的地发送给定模式的数据。如果数据以不典型的方式被引导到数字设备,则数据收集器可以将这样的数据标记为可疑并且将可疑数据提供给安全服务器108。
网络设备包括被配置用于通过网络接收和提供数据的任何设备。网络设备的示例包括但不限于路由器、网桥、安全设备、防火墙、网络服务器、邮件服务器、无线接入点(例如,热点)和交换机。对于一些实施例,网络设备包括IPS收集器112a和112b、防火墙114a和114b、因特网内容适配协议(“ICAP”)/网络高速缓存通信协议(“WCCP”)服务器116、包括Milter邮件插件118的设备、交换机120和/或接入点124。IPS收集器112a和112b可以包括任何防恶意软件设备,包括IPS系统、入侵检测和防御系统(“IDPS”)或任何其他类型的网络安全设备。防火墙114a和114b可以包括软件和/或硬件防火墙。对于一个实施例,防火墙114a和114b可以在路由器、接入点、服务器(例如,网络服务器)、邮件过滤器或设备内被体现。
ICAP/WCCP服务器116包括被配置用于允许访问网络和/或因特网的任何网络服务器或网络代理服务器。例如,包括Milter邮件插件118的网络设备可以包括提供邮件和/或过滤功能的任何邮件服务器或设备,并且可以包括实现milter、邮件传输代理(“MTA”)、发送邮件和后缀的数字设备。交换机120包括任何交换机或路由器。在一些示例中,数据收集器可以被实现为TAP、SPAN端口和/或入侵检测系统(“IDS”)。接入点124包括被配置用于提供与一个或多个其他数字设备的无线连接的任何设备。
生产网络104是允许一个或多个最终用户设备110通过通信网络106通信的任何网络。通信网络106是可以从一个数字设备到另一数字设备传送数据(编码、压缩和/或其他)的任何网络。在一些示例中,通信网络106可以包括LAN和/或WAN。此外,通信网络106可以包括任何数目的网络。对于一些实施例,通信网络106是因特网。
图1是示例性的,并且没有将本文中描述的系统和方法限制为仅使用所描绘的那些技术。例如,数据收集器可以在任何web或web代理服务器中被实现,并且不仅限于实现因特网内容适配协议(“ICAP”)和/或web高速缓存通信协议(“WCCP”)的服务器。类似地,数据收集器可以在任何邮件服务器中被实现,并且不限于实现milter的邮件服务器。数据收集器可以在一个或多个网络中的任何点处被实现。
本领域技术人员将领会到,虽然图1描绘了有限数目的数字设备、收集器、路由器、接入点和防火墙,但是可以存在任何种类和数目的设备。例如,可以存在任何数目的安全服务器108、最终用户设备110、入侵防御系统(“IPS”)收集器112a和112b、防火墙114a和114b、ICAP/WCCP收集器116、milter邮件插件118、交换机120和/或接入点124。此外,可以存在任何数目的数据中心网络102和/或生产网络104。
图2示出了根据一个实施例的用于威胁风险评分的方法的框图。该方法可以在本文中描述的系统的实施例上被实现。该方法可选地包括检查一个或多个网络活动以检测威胁事件(202)。网络活动包括但不限于实时业务、文件提取和活动日志中的事件。此外,网络活动的检查可以在网络上的不同物理位置处通过硬件、软件或虚拟设备、使用包括本文中描述的技术的技术来发生。检查还可以包括使用包括本文中描述的技术的技术来检查一个或多个协议和应用。应用可以包括但不限于在数字设备上执行的任何客户端应用或业务应用,诸如web应用和电子邮件应用。对于一个实施例,检查包括使用一个或多个检测技术,包括但不限于静态分析、沙箱爆炸、基于机器学习的分类和其他技术,包括本文中描述的技术。对于一个实施例,一个或多个检测技术在系统上被并行运行。
对于一个实施例,一个或多个数据收集器被配置用于拦截网络设备之间的网络数据,以使用包括本文中描述的技术的技术来检查网络活动。例如,数据收集器被配置用于检查跨协议栈的网络设备之间的网络业务。对于一个实施例,数据收集器被配置用于使用包括本文中描述的技术的技术来检查一个或多个协议栈层,包括但不限于层2-层7。例如,数据收集器可以被配置用于检查协议,包括但不限于地址解析协议(“ARP”)业务、动态主机配置协议(“DHCP”)业务、媒体访问控制(“MAC”)或因特网协议(“IP”)地址之间的因特网控制消息协议(“ICMP”)业务、IP和端口号对之间的传输控制协议(“TCP”)/IP和用户数据报协议(“UDP”)/IP业务、向上堆叠超文本传输协议(HTTP)、安全外壳(“SSH”)、服务器消息块(“SMB”)应用协议、应用客户端与服务器之间的模式、以及行业特定的应用,诸如银行账户之间的电汇交易处理和模式。数据收集器被配置用于使用包括本文中描述的技术的技术将检查的结果传输到安全服务器。
该方法还可选地包括基于一个或多个网络活动来生成元数据(204)。例如,该方法包括生成元数据,包括位置信息、地址信息、时间、活动类型、目的地地址、源地址、涉及命令和控制(也被称为回叫)活动(其包括IP CnC控制器的地址)的实体(也被称为回调服务器)的坐标、表示被对应的恶意软件感染的机器的客户端计算机的IP地址、匹配CnC检测规则的HTTP业务部分的表示、表示HTTP重定向链的URL列表(客户端机器通过其而受到路过式下载攻击的感染)和用于表征或描述网络活动的其他信息。对于一个实施例,数据收集器被配置用于基于一个或多个网络活动来生成元数据。对于一个实施例,安全服务器被配置用于基于从一个或多个数据收集器接收的检查结果、使用包括本文中描述的技术的技术来生成元数据。
另外,该方法包括提取网络上的一个或多个威胁事件(206)。对于一个实施例,提取网络上的一个或多个威胁事件基于从网络上的诸如数字设备的一个或多个目标接收的元数据。对于另一实施例,提取网络上的一个或多个威胁事件基于元数据,该元数据基于如上所述的网络活动(例如,目标上的网络活动)而被生成。对于一个实施例,安全服务器被配置用于基于使用包括本文中描述的技术的技术接收的元数据来提取一个或多个威胁事件。对于一个实施例,数据收集器被配置用于为威胁事件生成元数据,诸如用于指示威胁事件被提取的时间的时间戳。例如,当业务模式指示从给定客户端计算机到服务器的远程SSH访问重复失败时,这会被提取为威胁事件,从而提示可能对服务器进行强力攻击。这个威胁的解除利用规则统计到服务器的SSH连接的失败尝试次数而被实现。另一示例是简单地匹配例如可靠的用户数据报协议(“RDP”)业务中的利用签名,以提取目标计算机上针对RDP服务的另一攻击事件。对于这一示例,数据收集器被配置用于为这一事件生成元数据,其包括时间戳、客户端和服务器IP地址以及漏洞信息(诸如CVE名称)。
该方法还包括基于至少第一威胁事件与第二威胁事件之间的相关性来检测一个或多个事故(208)。对于一个实施例,相关性考虑了威胁如何通过杀伤链阶段(即,攻击的生命周期)演变。例如,威胁事件包括但不限于利用、下载的文件、恶意软件和数据盗窃。利用的示例包括通过客户端应用(诸如网络浏览器)中的利用来递送一段攻击负载。事故的另一示例是在被安装到作为目标的数字设备之前下载恶意软件。威胁事件之间的关联通过杀伤链进度关系、威胁事件所针对的数字设备、感兴趣的时间间隔和其他威胁事件属性(例如,通过元数据指示的那些)而被确定。威胁事件属性可以包括但不限于文件校验和,诸如MD5、SHA1、SHA256和其他散列或指纹技术。对于一个实施例,当威胁事件在时间间隔内发生在同一数字设备或子网内时,发生威胁事件之间的相关性。时间间隔可以基于实验和/或经验确定而被确定。
对于一个实施例,时间间隔是5分钟。基于5分钟时间间隔期间的威胁事件之间的相关性来检测事故的示例包括在上午10:00在具有IP地址10.0.0.1的数字设备上的利用,IP地址10.0.0.1处的数字设备上的下载文件在上午10:04被检测到,并且IP地址10.0.0.1处的数字设备上的恶意软件感染在上午10:08被检测到。这样的杀伤链进度将被检测到,并且利用(“EX”)+下载(“DL”)+感染(“IN”)事故基于上述威胁事件的相关性。使用5分钟的时间间隔基于威胁事件之间的相关性来检测两个事故的另一示例包括在上午10:00在具有IP地址10.0.0.1的数字设备上的利用,IP地址10.0.0.1处的数字设备上的下载文件在上午10:01被检测到,并且IP地址10.0.0.1处的数字设备上的恶意软件感染在上午10:08被检测到。这样的杀伤链进度将被检测为两个事故:EX+DL事故和IN事故。对于一个实施例,安全服务器被配置用于使用包括本文中描述的技术的技术、基于至少第一威胁事件和第二威胁事件之间的相关性来检测一个或多个事故。
此外,该方法包括为一个或多个事故中的每个事故生成风险得分(210)。风险得分用于确定检测到的事故的重要性。对于一个实施例,基于资产值、威胁严重性值和威胁相关性值来生成风险得分。资产值被用于指派值来指示数字设备的重要性。威胁严重性值被用于指示威胁对数字设备或网络的重要程度。对于一个实施例,资产值和威胁严重性值是在从0到1范围内的值。威胁相关性值是指示事故对数字设备的威胁重要性的比例因子。
资产值被用于指示数字设备对本地业务的重要性和/或违规对作为目标的数字设备上的业务风险影响。对于一个实施例,资产值在从0到1的范围内。例如,资产值可以具有4个预定义的值:0.25-资产重要性低;0.50-中等资产重要性;0.75-高资产重要性;以及1.0-关键资产重要性。还可以为包括一个或多个数字设备的子网指派资产值。对于一个实施例,使用为0.50的默认资产值。
根据一个实施例,基于通过杀伤链的事故的进展和事故的类型,向威胁严重性值赋值。例如,利用事故被设置为值0.25。对于恶意软件下载事故,该值基于下载的类型。例如,良性下载被赋值0;广告软件下载、可疑下载和Trojan_DDOS下载被赋值0.25;病毒下载和蠕虫下载被赋值0.50;Trojan_Ransom、Trojan Hijack、Trojan_Generic、Trojan_Backdoor下载被赋值0.75;并且利用下载、Trojan_Phishing下载和Trojan_Datatheft下载被赋值1。
对于一个实施例,威胁相关性基于进展、操作系统(“OS”)匹配和防病毒供应商(“AV”)匹配。进展表示在被提取时杀伤链进展中的事故发展,其包括从最不严重到最严重:利用(“EX”)、下载(“DL”)、执行(“EN”)、感染(“IN”)和数据窃取(“DT”)。例如,基于在数字设备(诸如最终用户设备)上运行的安全应用来确定执行。系统已经下载的每个恶意软件对象将在数字设备上使用安全应用被检查,以确定该恶意软件对象是否已经被执行。如果是这样,则系统将该设备的进度等级更新为EN。对于一个实施例,每当有证据表明事故的进展处于执行阶段时,威胁相关性值被设置为1.0,以抵消对风险得分的减小效应,因为执行确认威胁是相关的。然而,根据一个实施例,当只有证据表明威胁已经进展到EX或DL阶段时,相关性值被设置为0.5或0.75以表示威胁可能没有对作为目标的设备进行完全的影响,结果是威胁事故的风险得分较低。
对于一个实施例,OS匹配和AV供应商匹配用于降低威胁相关性的值。例如,如果数字设备的操作系统被确定为与事故被设计用于的OS不匹配(即,无法在数字设备上执行或以其他方式影响数字设备),则威胁相关性降低被应用。根据一个实施例,威胁相关性值减少0.33。如果发现OS与事故匹配,或无法确定OS,则威胁相关性降低不会被应用于威胁相关性值。这表示高度警戒的安全姿势,其对于另一实施例可以被改变。对于一个实施例,数字设备的OS是基于从在数字设备上运行的应用(诸如下载的用户代理或安全应用)接收的元数据而被确定的。
对于AV厂商匹配,系统被配置用于确定在数字设备上被使用的一个或多个AV供应商。例如,系统被配置用于使用从防病毒数据库接收的元数据,该元数据指示数字设备上的任何AV销售商是否能够捕获检测到的事故。如果数字设备上的AV供应商能够捕获检测到的事故,则威胁相关性值降低被应用。根据一个实施例,威胁相关性值减少0.33。如果AV供应商无法捕获事故,或数字设备的AV供应商无法确定,则不会应用威胁相关性降低。这表示高度警戒的安全姿势,其可以针对其他姿势设计而被调节。
风险得分用于将风险因子的集合参数化,并且通过数学公式将它们链接起来,从而使得可以针对每个威胁事故实时计算风险得分。这为各种威胁和环境实现了合理、准确和直观的核算。被用于生成风险得分的公式可以轻松更新,以考虑其他风险因素以及新兴环境的新解释。例如,用于生成风险得分的一个公式包括:
风险得分=0.3*严重性+0.3*进度+0.2*威胁相关性+0.2*资产值其中严重性是如本文中描述的威胁严重性值,进度是基于如本文中描述的杀伤链进度中的事故进展阶段而被指派的值,威胁相关性是如本文中描述地而被指派的值,并且资产值是如本文中描述地而被指派给事故的资产值。
可以倍用于生成风险得分的公式的另一示例包括:
得分=MAX(威胁严重性+(资产值-0.50)),0.25)*(威胁相关性)其中威胁严重性是如本文中描述的威胁严重性值,资产值是如本文中描述地被指派给事故的资产值,并且威胁相关性是如本文中描述地被指派的值。此外,MAX是确定(威胁严重性+(资产值-0.50))与0.25之间的最大值的函数。使用这个公式生成风险得分,结果为最高风险得分为1.0,并且风险得分在从0到1的范围内下降。对于一个实施例,当事件基于多个相关的威胁事故时,计算每个事件得分,并且将最高事件得分应用于该事故。对于一个实施例,安全服务器被配置用于使用包括本文中描述的技术的技术为一个或多个事故中的每个事故生成风险得分。
图3示出了包括一个或多个处理单元(CPU)302、一个或多个网络或其他通信接口304、存储器314和用于互连这些组件的一个或多个通信总线306的客户端或数字设备(诸如最终用户设备)的实施例。客户端可以包括用户接口308,包括显示设备310、键盘312、触摸屏313和/或其他输入/输出设备。存储器314可以包括高速随机存取存储器,并且还可以包括非易失性存储器,诸如一个或多个磁或光存储盘。存储器314可以包括远离CPU 302而被定位的大容量存储装置。此外,存储器314或者可选地存储器314内的一个或多个存储设备(例如,一个或多个非易失性存储设备)包括计算机可读存储介质。存储器314可以存储以下元素或者这样的元素的子集或超集:
操作系统316,其包括用于处理各种基本系统服务和用于执行硬件相关任务的过程;
网络通信模块318(或多个指令),其用于经由一个或多个通信网络接口304和一个或多个通信网络(诸如因特网、其他广域网、局域网、城域网和其他类型的网络)将客户端连接到其他计算机、客户端、服务器、系统或数字设备;以及
客户端应用320,包括但不限于web浏览器、文档查看器和其他应用,包括本文中描述的应用;以及
网页322,包括由客户端应用320生成的网页,其被配置用于接收用户输入以跨网络与其他计算机或数字设备通信。
根据一个实施例,客户端可以是任何数字设备,包括但不限于移动电话、计算机、平板计算机、个人数字助理(PDA)或其他移动设备。
图4示出了服务器或网络设备的实施例,诸如实现本文中描述的方法的一个或多个方面的系统。根据一个实施例,该系统包括一个或多个处理单元(CPU)404、一个或多个通信接口406、存储器408和用于互连这些组件的一个或多个通信总线410。系统402可以可选地包括用户接口426,包括显示设备428、键盘430、触摸屏432和/或其他输入/输出设备。存储器408可以包括高速随机存取存储器,并且还可以包括非易失性存储器,诸如一个或多个磁或光存储盘。存储器408可以包括远离CPU 404而被定位的大容量存储装置。此外,存储器408或可选地存储器408内的一个或多个存储设备(例如,一个或多个非易失性存储设备)包括计算机可读存储介质。存储器408可以存储以下元素、这样的元素的子集或超集:操作系统412、网络通信模块414、收集模块416、数据加标记模块418、虚拟化模块420、仿真模块422、控制模块424、报告模块426、签名模块428和隔离模块430。操作系统412包括用于处理各种基本系统服务和执行硬件相关任务的过程。网络通信模块414(或指令)被用于经由一个或多个通信网络接口406和一个或多个通信网络(诸如因特网、其他广域网、局域网、城域网和其他类型的网络)将系统连接到其他计算机、客户端、对等端、系统或设备。
收集模块416(或指令)用于使用包括本文中描述的技术的技术来检测一个或多个网络活动和其他可疑数据。此外,收集模块416被配置用于从一个或多个来源接收网络数据(例如,潜在的可疑数据)。网络数据是指在网络上从一个数字设备被提供给另一数字设备的数据或网络业务。收集模块416可以基于例如白名单、黑名单、启发式分析、统计分析、规则、非典型行为或其他确定、使用包括本文中描述的技术的技术来将网络数据标记为可疑数据。在一些实施例中,来源包括被配置用于接收网络数据的数据收集器。例如,防火墙、IPS、服务器、路由器、交换机、接入点等可以单独地或共同地用作或包括数据收集器。数据收集器可以将网络数据转发给收集模块416。
对于一个实施例,数据收集器在将数据提供给收集模块416之前过滤数据。例如,数据收集器可以被配置用于使用包括本文中描述的技术的技术来收集或截取数据。在一些实施例中,数据收集器可以被配置用于遵循配置的规则。例如,如果数据在两个已知和可信的来源之间被定向(例如,数据在白名单上的两个设备之间被传送),则数据收集器可以不收集数据。在各种实施例中,规则可以被配置用于拦截一类数据(例如,可以包括宏的所有MS Word文档或可以包括脚本的数据)。在一些实施例中,规则可以被配置用于基于过去在目标网络上的恶意软件攻击的类型来针对一类攻击或有效载荷。在一些实施例中,系统可以进行推荐(例如,经由报告模块426)和/或为收集模块416和/或数据收集器配置规则。本领域技术人员将领会到,数据收集器可以包括关于何时收集数据或收集什么数据的任何数目的规则。
对于一个实施例,位于网络中的各个位置的数据收集器可以不执行关于所收集的数据是可疑还是可信的任何评估或确定。例如,数据收集器可以收集全部或部分网络业务/数据,并且将收集的网络业务/数据提供给收集模块416,收集模块416可以使用包括本文中描述的技术来执行分析和/或过滤。
数据加标记模块418(或指令)可以分析数据和/或对由收集模块416和/或数据收集器接收的收集的数据执行一个或多个评估以使用包括本文中描述的技术的技术来确定截取的网络数据是否可疑。数据加标记模块418可以应用规则,将实时观察与一个或多个行为简档比较,基于实时观察与至少一个行为简档的比较来生成一个或多个异常,和/或使用包括本文中描述的技术的技术来提取一个或多个威胁事件。此外,数据加标记模块418可以被配置用于基于一个或多个威胁事件之间的相关性来检测一个或多个事故,并且使用包括本文中描述的技术的技术来生成风险得分。
对于一个实施例,收集的网络业务/数据最初可以被标识为可疑,直到以其他方式确定(例如,与白名单相关联)或试探法找不到将网络数据标记为可疑的理由。数据加标记模块418可以使用包括本文中描述的技术的技术来执行分组分析以在报头、页脚、目的地IP、源IP、有效载荷等中查找可疑特征。本领域技术人员将领会到,数据加标记模块418可以执行启发式分析、统计分析、机器学习和/或签名标识(例如,基于签名的检测包括搜索收集的数据代码内的可疑数据的已知模式)以确定收集的网络数据是否可疑。
数据加标记模块418可以被驻留在数据收集器处,在系统处,部分在数据收集器处,部分在安全服务器108处,或者在网络设备上。例如,路由器可以包括数据收集器和数据加标记模块418,其被配置用于对收集的网络数据执行一次或多次试探性评估。如果收集的网络数据被确定为可疑,则路由器可以将收集的数据引导至安全服务器108。
对于一个实施例,数据加标记模块418可以被更新。在一个示例中,安全服务器108可以提供用于白名单的新条目、用于黑名单的条目、启发式算法、统计算法、更新的规则和/或新签名以帮助数据加标记模块418确定网络数据是否可疑。白名单、白名单的条目、黑名单、黑名单的条目、启发式算法、统计算法和/或新签名可以由一个或多个安全服务器108(例如,经由报告模块426)生成。
虚拟化模块420和仿真模块422可以针对不可信行为(例如,恶意软件或分布式攻击)分析可疑数据。虚拟化模块420被配置用于将一个或多个虚拟化环境实例化以处理和监测可疑数据。在虚拟化环境内,可疑数据可以就好像在目标数字设备内运行。虚拟化模块420可以监测虚拟化环境内的可疑数据的操作以确定可疑数据可能是可信的、恶意的或需要进一步的动作(例如,在一个或多个其他虚拟化环境中的进一步监测和/或在一个或更多仿真环境内监测)。对于一个实施例,虚拟化模块420监测对系统的修改,检查出站呼叫,并且检查受感染的数据交互。
对于一个实施例,虚拟化模块420可以确定可疑数据是诸如恶意软件的威胁事件,但是继续处理可疑数据以生成恶意软件的完整图像,标识攻击的向量,确定恶意软件的有效载荷的类型、程度和范围,确定攻击的目标,并且检测恶意软件是否与任何其他恶意软件一起工作。以这种方式,安全服务器108可以将预测分析扩展到实际应用以用于完整验证。可以生成描述恶意软件的报告(例如,由报告模块426),标识漏洞,生成或更新恶意软件的签名,生成或更新恶意软件检测的启发式或统计,生成标识目标信息的报告(例如,信用卡号、密码或个人信息)和/或生成事故警报,如本文中描述的。
对于一个实施例,如果数据具有可疑行为,则虚拟化模块420可以将可疑数据标记为需要后端中的进一步仿真和分析,诸如但不限于准备未执行的可执行文件,执行功能而没有结果,突然终止的处理,将数据加载到未被访问或以其他方式执行的存储器中,扫描端口,或者当存储器中的位置可能为空时检入(check in)存储器d具体部分。虚拟化模块420可以监测由可疑数据或针对可疑数据而被执行的操作,并且执行各种检查以确定可疑数据是否以可疑方式表现。此外,虚拟化模块被配置用于将诸如本文中描述的浏览器烹饪环境实例化。
仿真模块422被配置用于处理仿真环境中的可疑数据。本领域技术人员将领会到,恶意软件可能需要不可用的资源,或者可能检测到虚拟化环境。当恶意软件需要不可用的资源时,恶意软件可能会“变得良性”或以无害的方式操作。在另一示例中,恶意软件可以通过扫描管理程序、内核或其他虚拟化数据的执行所需要的特定文件和/或存储器来检测虚拟化环境。如果恶意软件扫描其环境的一部分并且确定虚拟化环境可能正在运行,则恶意软件可能会“变得良性”,并且终止或执行非威胁功能。
对于一个实施例,除了或替代虚拟化环境,仿真模块422处理被标记为表现为可疑的数据。仿真模块422可以在可疑数据可以具有直接存储器访问的一个或多个裸机环境中处理可疑数据。可以监测和/或记录可疑数据的行为以及仿真环境的行为以跟踪可疑数据的操作。例如,仿真模块422可以跟踪在处理可疑数据时调用哪些资源(例如,应用和/或操作系统文件)。
对于一个实施例,仿真模块422记录对仿真环境中的可疑数据的响应。如果检测到虚拟化环境与仿真环境之间的可疑数据的操作分歧,则虚拟化环境可以被配置用于从仿真环境注入响应。可疑数据可以接收虚拟化环境内的预期响应,并且继续操作,就好像可疑数据曾经在作为目标的数字设备内一样。仿真环境和虚拟化环境的作用以及使用环境的顺序可以被交换。
控制模块424(或指令)控制模块424使虚拟化模块420和仿真模块422同步。对于一个实施例,控制模块424使虚拟化和仿真环境同步。例如,控制模块424可以指示虚拟化模块420利用不同的资源将多个不同的虚拟化环境实例化。控制模块424可以将不同虚拟化环境的操作彼此比较以追踪分歧点。例如,当虚拟化环境包括但不限于Internet Explorerv.7.0或v.8.0时,控制模块424可以将可疑数据标识为以一种方式操作,但是当与InternetExplorer v.6.0交互时以不同的方式操作(例如,当可疑数据利用可能存在于应用的一个版本中但是不存在于另一版本中的漏洞时)。
控制模块424可以跟踪一个或多个虚拟化环境和一个或多个仿真环境中的操作。例如,控制模块424可以标识与仿真环境相比虚拟化环境中的可疑数据何时表现不同。分歧和相关性分析是指将由或针对虚拟环境中的可疑数据执行的操作与由或针对不同虚拟环境或仿真环境中的可疑数据执行的操作比较。例如,控制模块424可以将虚拟环境中的可疑数据的监测步骤与仿真环境中的相同可疑数据的监测步骤比较。可疑数据的功能或步骤可以相似,但是突然发生分歧。在一个示例中,可疑数据可以未在仿真环境中检测到虚拟环境的证据,并且与可疑数据变得良性的虚拟化环境不同,可疑数据承担恶意软件的行为特征(例如,劫持以前的可信数据或流程)。
当检测到分歧时,控制模块424可以利用来自仿真环境的信息(例如,包括本文中被进一步描述的状态信息和/或响应信息的页面表)将虚拟化环境重新供应或实例化,该信息不可以先前被呈现在虚拟化环境的原始实例中。然后可以在新的虚拟化环境中监测可疑数据以进一步检测可疑行为或不可信行为。本领域技术人员将领会到,对象的可疑行为是可能不可信或恶意的行为。不可信行为是指示重大威胁的行为。
对于一个实施例,控制模块424被配置用于将每个虚拟化环境的操作比较以便标识可疑或不可信行为。例如,如果与其他虚拟化环境相比,可疑数据取决于浏览器或其他特定资源的版本而采取不同的操作,则控制模块424可以将可疑数据标识为恶意软件。一旦控制模块424将可疑数据标识为恶意软件或不可信,控制模块424就可以继续监测虚拟化环境以确定恶意软件的攻击向量、恶意软件的有效载荷和目标(例如,数字设备的控制、密码访问、信用卡信息访问、和/或安装机器人、按键记录器和/或隐匿技术(rootkit)的能力)。例如,可以监测由和/或针对可疑数据而被执行的操作,以便进一步标识恶意软件,确定不可信行为并且记录效果或可能的效果。
报告模块426(或指令)被配置用于基于生成的事件列表来生成数据模型。另外,报告模块426被配置用于生成诸如事故警报的报告。对于一个实施例,报告模块426生成报告以标识恶意软件、一个或多个攻击向量、一个或多个有效载荷、有价值数据的目标、漏洞、命令和控制协议和/或作为恶意软件的特性的行为。报告模块426还可以基于攻击来提供对保护信息的建议(例如,将信用卡信息移动到不同的数字设备,仅需要诸如VPN访问等附加安全性,等等)。
对于一个实施例,报告模块426生成可以被用于标识恶意软件或可疑行为的恶意软件信息。例如,报告模块426可以基于监测的虚拟化环境的信息来生成恶意软件信息。恶意软件信息可以包括可疑数据的散列或者可疑数据的操作的特性。在一个示例中,恶意软件信息可以将一类可疑行为标识为由可疑数据在特定时间执行一个或多个步骤。作为结果,可以基于恶意软件信息来标识可疑数据和/或恶意软件,而不将整个攻击虚拟化或模拟。
签名模块428(或指令)被配置用于基于上述事件列表来将网络业务/数据分类。此外,签名模块428被配置用于存储可以被用于标识恶意软件和/或业务模式的签名文件。签名文件可以由报告模块312和/或签名模块428生成。在各种实施例中,安全服务器108可以生成签名、恶意软件信息、白名单条目和/或黑名单条目以与其他安全服务器共享。作为结果,签名模块428可以包括由其他安全服务器或其他数字设备生成的签名。本领域技术人员将领会到,签名模块428可以包括从各种不同来源被生成的签名,包括但不限于其他安全公司、反病毒公司和/或其他第三方。
对于一个实施例,签名模块428可以提供用于确定网络业务/数据是否为可疑或恶意软件的签名。例如,如果网络业务/数据匹配已知恶意软件的签名,则网络数据可以被分类为恶意软件。如果网络数据与可疑的签名匹配,则网络数据可以被标记为可疑数据。如本文中讨论的,可以在虚拟化环境和/或仿真环境内处理恶意软件和/或可疑数据。
隔离模块430(或多个指令)被配置用于隔离可疑数据和/或网络业务/数据。对于一个实施例,当安全服务器108标识恶意软件或可能的恶意软件时,隔离模块430可以隔离可疑数据、网络数据和/或与可疑数据和/或网络数据相关联的任何数据。例如,隔离模块430可以隔离已经被标识为感染或可能感染的、来自特定数字设备的所有数据。对于一个实施例,隔离模块430被配置用于当已经发现恶意软件或可能的恶意软件时向安全管理员等(例如,经由电子邮件、呼叫、语音邮件或SMS文本消息)发出警报。
尽管图4将系统402示出为计算机,但是其可以是分布式系统,诸如服务器系统。附图旨在更多地作为可以存在于客户端和一组服务器中的各种特征的功能描述,而不是作为本文中描述的实施例的结构示意图。因此,本领域的普通技术人员将理解,被单独示出的项目品可以被组合,并且一些项目可以被分开。例如,图4中作为单独模块被示出的一些项目可以在单个服务器或客户端上被实现,并且单个项目可以由一个或多个服务器或客户端实现。用于实现系统402的服务器、客户端或模块的实际数目以及如何在它们之间分配特征将随着实现而变化,并且可以部分取决于系统在高峰使用期间以及在平均使用周期期间必须处理的数据通信量。另外,图4中所示的一些模块或模块的功能可以在远离实现图4所示的其他模块或模块的功能的其他系统的一个或更多个系统上被实现。
在前述说明书中,已经描述了本发明的特定示例性实施例。然而,显然,可以对其进行各种修改和改变。因此,说明书和附图被认为是说明性的而不是限制性的。
Claims (20)
1.一种用于风险评分的系统,包括:
设备,用来:
检查网络上的一个或多个网络活动;
基于检查所述一个或多个网络活动来生成元数据;
基于所述元数据来提取所述网络上的多个威胁事件;
基于所述多个威胁事件中的第一威胁事件和所述多个威胁事件中的第二威胁事件之间的相关性来检测一个或多个事故,
所述相关性基于所述元数据、所述多个威胁事件的杀伤链进度和感兴趣的时间间隔而被确定,其中所述杀伤链进度指示具有不同严重性的所述一个或多个事故的进展阶段;以及
基于所述杀伤链进度来生成用于所述一个或多个事故的风险得分,事故的进展阶段越严重,风险得分就越高。
2.根据权利要求1所述的系统,其中所述设备在检查所述一个或多个网络活动时用来:
使用以下的至少一项来检查所述一个或多个网络活动:
静态分析,
沙箱爆炸,或者
机器学习。
3.根据权利要求1所述的系统,其中所述设备在检查所述一个或多个网络活动时用来:
检查一个或多个协议。
4.根据权利要求1所述的系统,其中所述设备在检查所述一个或多个网络活动时用来:
检查一个或多个应用;并且
其中所述设备在生成所述元数据时用来:
基于检查所述一个或多个应用来生成所述元数据。
5.根据权利要求1所述的系统,其中所述多个威胁事件是加时间戳的。
6.根据权利要求1所述的系统,其中所述设备还用来:
基于用于所述多个威胁事件中的每个威胁事件的时间戳来使所述多个威胁事件相关。
7.根据权利要求1所述的系统,其中所述设备还用来:
基于用于所述多个威胁事件中的每个威胁事件的因特网协议地址来使所述多个威胁事件相关。
8.根据权利要求1所述的系统,其中所述设备还用来:
在一段时间内使所述多个威胁事件相关。
9.根据权利要求1所述的系统,其中所述风险得分基于与所述一个或多个事故相关联的威胁严重性值。
10.根据权利要求1所述的系统,其中所述风险得分基于与所述一个或多个事故相关联的威胁相关性值。
11.根据权利要求1所述的系统,其中所述设备还用来:
在仿真环境中处理与所述一个或多个网络活动相关联的所述数据。
12.一种非瞬态计算机可读介质,其存储指令,所述指令包括:
一个或多个指令,所述一个或多个指令当由一个或多个处理器执行时,使得所述一个或多个处理器:
检查网络上的一个或多个网络活动;
基于检查所述一个或多个网络活动来生成元数据;
从所述元数据提取所述网络上的多个威胁事件;
基于所述多个威胁事件中的第一威胁事件和所述多个威胁事件中的第二威胁事件之间的相关性来检测一个或多个事故,
所述相关性基于所述元数据、所述多个威胁事件的杀伤链进度和感兴趣的时间间隔而被确定,其中所述杀伤链进度指示具有不同严重性的所述一个或多个事故的进展阶段;以及
基于所述杀伤链进度来生成用于所述一个或多个事故中的每个事故的风险得分,事故的进展阶段越严重,风险得分就越高。
13.根据权利要求12所述的非瞬态计算机可读介质,其中使得所述一个或多个处理器检查所述一个或多个网络活动的所述一个或多个指令使得所述一个或多个处理器:
使用以下的至少一项来检查所述一个或多个网络活动:
静态分析,
沙箱爆炸,或者
机器学习。
14.根据权利要求12所述的非瞬态计算机可读介质,其中使得所述一个或多个处理器检查所述一个或多个网络活动的所述一个或多个指令使得所述一个或多个处理器:
检查一个或多个协议。
15.根据权利要求12所述的非瞬态计算机可读介质,其中使得所述一个或多个处理器检查所述一个或多个网络活动的所述一个或多个指令使得所述一个或多个处理器:
检查一个或多个应用;并且
其中使得所述一个或多个处理器生成所述元数据的所述一个或多个指令使得所述一个或多个处理器:
基于检查所述一个或多个应用来生成所述元数据。
16.根据权利要求12所述的非瞬态计算机可读介质,其中所述一个或多个指令当由所述一个或多个处理器执行时还使得所述一个或多个处理器:
在一段时间内使所述多个威胁事件相关。
17.一种用于风险评分的方法,包括:
由设备检查网络上的一个或多个网络活动;
由所述设备基于检查所述一个或多个网络活动来生成元数据;
由所述设备从所述元数据提取所述网络上的多个威胁事件;
由所述设备基于所述多个威胁事件中的第一威胁事件和所述多个威胁事件中的第二威胁事件之间的相关性来检测一个或多个事故,
所述相关性基于所述元数据、所述多个威胁事件的杀伤链进度和感兴趣的时间间隔而被确定,其中所述杀伤链进度指示具有不同严重性的所述一个或多个事故的进展阶段;以及
由所述设备基于所述杀伤链进度来生成用于所述一个或多个事故中的每个事故的风险得分,事故的进展阶段越严重,风险得分就越高,
所述风险得分基于作为目标的设备的资产值。
18.根据权利要求17所述的方法,其中减轻所述一个或多个事故包括:
向管理员发出警报。
19.根据权利要求17所述的方法,其中减轻所述一个或多个事故包括:
标记与所述一个或多个网络活动相关联的所述数据。
20.根据权利要求17所述的方法,其中所述风险得分被实时地确定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310990825.1A CN116860489A (zh) | 2015-11-09 | 2016-11-09 | 用于安全威胁的威胁风险评分的系统和方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/936,593 US10095866B2 (en) | 2014-02-24 | 2015-11-09 | System and method for threat risk scoring of security threats |
| US14/936,593 | 2015-11-09 | ||
| PCT/US2016/061199 WO2017083435A1 (en) | 2015-11-09 | 2016-11-09 | System and method for threat risk scoring of security threats |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310990825.1A Division CN116860489A (zh) | 2015-11-09 | 2016-11-09 | 用于安全威胁的威胁风险评分的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108369541A CN108369541A (zh) | 2018-08-03 |
| CN108369541B true CN108369541B (zh) | 2023-09-01 |
Family
ID=58695207
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310990825.1A Pending CN116860489A (zh) | 2015-11-09 | 2016-11-09 | 用于安全威胁的威胁风险评分的系统和方法 |
| CN201680072337.0A Active CN108369541B (zh) | 2015-11-09 | 2016-11-09 | 用于安全威胁的威胁风险评分的系统和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310990825.1A Pending CN116860489A (zh) | 2015-11-09 | 2016-11-09 | 用于安全威胁的威胁风险评分的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3374870B1 (zh) |
| CN (2) | CN116860489A (zh) |
| WO (1) | WO2017083435A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG11201710238QA (en) * | 2017-06-29 | 2019-01-30 | Certis Cisco Security Pte Ltd | Autonomic incident triage prioritization by performance modifier and temporal decay parameters |
| EP4105804B1 (en) * | 2018-10-17 | 2024-02-28 | Panasonic Intellectual Property Corporation of America | Threat analysis apparatus, threat analysis method, and program |
| CN111030834B (zh) * | 2019-04-26 | 2023-09-05 | 北京安天网络安全技术有限公司 | 一种基于载荷传播行为的威胁预测方法、装置及存储设备 |
| CN110213094B (zh) * | 2019-05-29 | 2021-11-16 | 安天科技集团股份有限公司 | 一种威胁活动拓扑图的建立方法、装置及存储设备 |
| US11283826B2 (en) * | 2019-05-31 | 2022-03-22 | Servicenow, Inc. | Dynamic preview of security vulnerability levels in a managed network |
| US11914719B1 (en) | 2020-04-15 | 2024-02-27 | Wells Fargo Bank, N.A. | Systems and methods for cyberthreat-risk education and awareness |
| US11924241B1 (en) * | 2023-09-26 | 2024-03-05 | Lookout, Inc. | Real-time mitigative security architecture |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
| CN102546641A (zh) * | 2012-01-14 | 2012-07-04 | 杭州安恒信息技术有限公司 | 一种在应用安全系统中进行精确风险检测的方法及系统 |
| CN104468545A (zh) * | 2014-11-26 | 2015-03-25 | 中国航天科工集团第二研究院七〇六所 | 一种基于复杂事件处理的网络安全关联分析方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10129270B2 (en) * | 2012-09-28 | 2018-11-13 | Level 3 Communications, Llc | Apparatus, system and method for identifying and mitigating malicious network threats |
| US10063654B2 (en) * | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
| US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| US10326778B2 (en) * | 2014-02-24 | 2019-06-18 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
-
2016
- 2016-11-09 CN CN202310990825.1A patent/CN116860489A/zh active Pending
- 2016-11-09 CN CN201680072337.0A patent/CN108369541B/zh active Active
- 2016-11-09 WO PCT/US2016/061199 patent/WO2017083435A1/en active Application Filing
- 2016-11-09 EP EP16864948.1A patent/EP3374870B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102160048A (zh) * | 2008-09-22 | 2011-08-17 | 微软公司 | 收集和分析恶意软件数据 |
| CN101436967A (zh) * | 2008-12-23 | 2009-05-20 | 北京邮电大学 | 一种网络安全态势评估方法及其系统 |
| CN102546641A (zh) * | 2012-01-14 | 2012-07-04 | 杭州安恒信息技术有限公司 | 一种在应用安全系统中进行精确风险检测的方法及系统 |
| CN104468545A (zh) * | 2014-11-26 | 2015-03-25 | 中国航天科工集团第二研究院七〇六所 | 一种基于复杂事件处理的网络安全关联分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3374870B1 (en) | 2021-03-03 |
| WO2017083435A1 (en) | 2017-05-18 |
| CN108369541A (zh) | 2018-08-03 |
| EP3374870A4 (en) | 2019-07-10 |
| EP3374870A1 (en) | 2018-09-19 |
| CN116860489A (zh) | 2023-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| EP2774039B1 (en) | Systems and methods for virtualized malware detection | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| US11381578B1 (en) | Network-based binary file extraction and analysis for malware detection | |
| US9792430B2 (en) | Systems and methods for virtualized malware detection | |
| US20120272317A1 (en) | System and method for detecting infectious web content | |
| CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
| EP3352110B1 (en) | System and method for detecting and classifying malware | |
| US11374946B2 (en) | Inline malware detection | |
| US11636208B2 (en) | Generating models for performing inline malware detection | |
| CN108345795B (zh) | 用于检测和分类恶意软件的系统和方法 | |
| US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
| Gashi et al. | A study of the relationship between antivirus regressions and label changes | |
| CN113824678B (zh) | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 | |
| WO2021015941A1 (en) | Inline malware detection | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| Paste et al. | Malware: Detection, Classification and Protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |