CN108369542A - 用于检测横向运动和数据泄漏的系统和方法 - Google Patents
用于检测横向运动和数据泄漏的系统和方法 Download PDFInfo
- Publication number
- CN108369542A CN108369542A CN201680072447.7A CN201680072447A CN108369542A CN 108369542 A CN108369542 A CN 108369542A CN 201680072447 A CN201680072447 A CN 201680072447A CN 108369542 A CN108369542 A CN 108369542A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- harm
- equipment
- indicator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种被配置为检测网络上的威胁活动的系统。该系统包括数字设备,该数字设备被配置为检测网络上的危害的一阶指示符,检测网络上的危害的二阶指示符,基于将网络上的上述危害的一阶指示符与上述网络上的危害的二阶指示符关联来生成风险得分,并且基于将风险得分与阈值相比较来生成至少一个事件警告。
Description
技术领域
本发明的实施例涉及保护计算机和网络免受恶意软件和活动的影响。具体地,本发明的实施例涉及用于检测横向移动和数据渗出的系统和方法。
背景技术
随着计算机网络的增长以及存储在由这些网络互连的计算机和数据库上的数据量的增长,获取对这些计算机和数据库的未授权访问的尝试也增长。这样的获取对计算机和数据库的未授权访问的尝试可以包括对潜在受害者进行有系统的侦察以标识流量模式和现有防止措施。用于获取对计算机和数据库的未授权访问的技术包括将恶意的软件或恶意软件加载到计算机上。这样的恶意软件被设计为破坏计算机操作,收集敏感信息,或向未授权的个体授予对计算机的访问。
随着恶意软件的认知的增加,用于将恶意软件加载到计算机上的技术(也称为恶意软件感染)已经变得更加复杂。因此,使用结构化过程(例如签名和试探法匹配)或分析隔离上下文中的代理行为的传统安全解决方案无法检测到威胁活动,包括但不限于加载恶意软件、横向移动、数据泄露、欺诈事务和内部攻击。
未能在计算机或网络上检测到这些类型的威胁活动可能导致高价值数据的丢失、受感染计算机和/或网络的停机时间或破坏、丢失生产力、以及恢复和修复受感染计算机和/或网络的高成本。此外,专注于检测感染或渗透目标系统的威胁行为的当前安全解决方案无法检测在当前系统中使用的复杂业务应用上和网络技术中的日益复杂的恶意软件,因为复杂的应用和协议允许威胁行为更容易隐藏以逃避检测。此外,当前安全解决方案无法检测到由恶意软件造成的数据泄露,其阻止企业正确评估和控制恶意软件感染系统造成的任何损害。这些类型的检测安全解决方案无法检测到对员工的社会工程攻击以及由流氓或心存不满的员工造成的恶意软件感染。
发明内容
一种被配置为检测网络上的威胁活动的系统。该系统包括数字设备,该数字设备被配置为检测网络上的一个或多个危害的一阶指示符,检测网络上的一个或多个危害的二阶指示符,基于将网络上的上述危害的一阶指示符与上述网络上的危害的二阶指示符关联来生成风险得分,并且基于将风险得分与阈值相比较来生成至少一个事件警告。
从附图和随后的详细描述中,实施例的其他特征和优点将很清楚。
附图说明
在附图中通过示例而非限制的方式示出实施例,其中相同的附图标记表示相似的元件,并且在附图中:
图1示出了根据一个实施例的包括被配置为检测威胁活动的系统的网络环境的框图;
图2示出了根据一个实施例的用于检测网络上的威胁活动的方法的流程图;
图3示出了根据一个实施例的用于检测一个或多个危害的二阶指示符的方法的框图;
图4示出了根据一个实施例的客户端、终端用户设备或数字设备的实施例;以及
图5示出了根据一个实施例的用于检测威胁活动的系统的实施例。
具体实施方式
用于检测威胁活动的系统的实施例被配置为在威胁杀伤链的高级阶段检测一个或多个威胁活动,包括网络和企业内的恶意软件对象的横向移动、数据收集和出口、以及受危害或欺诈性业务事务。该系统被配置为将保护范围扩展到完整的杀伤链。
根据一个实施例,一种系统被配置为同时监测南北流量和东西流量。这样的系统配置有多个收集器,用于监测南北流量和东西流量。南北流量监测将检测内部(例如,公司网络或LAN)设备与外部(例如,外联网或因特网)设备(包括但不限于web服务器)之间的威胁活动。东西流量监测将检测内部设备(包括非军事区(DMZ)(也称为外围网络)中的设备)之中的威胁活动。东西流量可以包含在南北边界上看到的相同的一组网络协议、以及用于内部访问和数据共享的网络协议。东西协议的示例包括但不限于用于远程访问Windows计算机、活动目录服务和服务器消息块(“SMB”)用于文件共享的可靠的用户数据报协议(“RDP”)。部署收集器以监测南北和东西流量、并且通过一阶和二阶指示符提取来分析它们、并且在作为单个虚拟管理平台(a single pane of glass)的集中位置和界面中将它们关联的系统的实施例提供了无论威胁处于杀伤链中的哪个阶段、或者无论威胁是外部攻击还是内部攻击、或者无论威胁是否为渗透的横向移动都能检测威胁的好处。
图1示出了根据一个实施例的包括被配置为检测威胁活动的系统的网络环境100的框图。在网络环境100中实施的系统和方法可以检测威胁活动、恶意活动,标识恶意软件,标识利用(exploit),采取预防动作,生成签名,生成报告,确定恶意行为,确定目标信息,推荐用于防止攻击的步骤,和/或提供用于改进安全性的推荐。网络环境100包括通过通信网络106进行通信的数据中心网络102和生产网络104。数据中心网络102包括安全服务器108。生产网络104包括多个终端用户设备110。安全服务器108和终端用户设备110可以包括数字设备。数字设备是具有一个或多个处理单元和存储器的任何设备。图4和5示出了数字设备的实施例。
安全服务器108是被配置为检测威胁活动的数字设备。对于一个实施例,安全服务器108从一个或多个数据收集器接收可疑数据。数据收集器可以驻留在网络设备内或者与网络设备通信,网络设备诸如入侵防止系统(“IPS”)收集器112a和112b、防火墙114a和114b、ICAP/WCCP收集器116、Milter邮件插件收集器118、交换机收集器120和/或接入点124。本领域技术人员将认识到,收集器和网络设备可以是两个单独的数字设备(例如,参见F/W收集器和IDS收集器)。
对于一个实施例,数据收集器可以位于通信网络106内的一个或多个位置处。例如,可以包括分路器(tap)或跨接(span)端口(例如,交换机120处的跨接端口IDS收集器)的数据收集器被配置为拦截来自网络的网络数据。数据收集器可以被配置为检测可疑数据。可疑数据是由数据收集器收集的已经被数据收集器标记为可疑的任何数据和/或将在虚拟化环境内进一步处理的任何数据。
在将数据标记为可疑和/或将所收集的数据提供给安全服务器108之前,数据收集器可以过滤数据。例如,数据收集器可以滤除纯文本但是收集可执行文件或批处理文件。此外,根据一个实施例,数据收集器可以执行智能收集。例如,数据可以被散列并且与白名单相比较。白名单可以标识安全的数据。在一个示例中,白名单可以将由可信实体数字签名的数据或从已知可信源接收的数据标识为安全。此外,白名单可以标识先前接收的已经被确定为安全的信息。如果数据先前被接收到,在环境内被测试并且被确定为足够可信,则数据收集器可以允许数据继续通过网络。本领域技术人员将认识到,可以由安全服务器108更新数据收集器(或与数据收集器相关联的代理),以帮助数据收集器识别足够可信的数据并且在识别出不可信数据的情况下采取校正动作(例如,隔离并且警告管理员)。对于一个实施例,如果数据未被标识为安全,则数据收集器可以将数据标记为可疑用于进一步评定。
本领域技术人员将认识到,一个或多个代理或其他模块可以监测网络流量的常见行为,并且可以配置数据收集器以当数据以落在正常参数之外的方式被引导时收集数据。例如,代理可以确定或被配置为检测计算机已经被停用,特定计算机通常不接收任何数据,由特定计算机接收的数据通常来自有限数目的来源,或者特定计算机通常不向某些目的地发送给定模式的数据。如果数据以不典型的方式被引导到数字设备,则数据收集器可以将这样的数据标记为可疑并且将可疑数据提供给安全服务器108。
网络设备包括被配置为通过网络接收和提供数据的任何设备。网络设备的示例包括但不限于路由器、网桥、安全设备、防火墙、web服务器、邮件服务器、无线接入点(例如,热点)和交换机。对于一些实施例,网络设备包括IPS收集器112a和112b、防火墙114a和114b、因特网内容适配协议(“ICAP”)/web高速缓存通信协议(“WCCP”)服务器116、包括Milter邮件插件的设备118、交换机120和/或接入点124。IPS收集器112a和112b可以包括任何反恶意软件设备,包括IPS系统、入侵检测和防止系统(“IDPS”)或任何其他类型的网络安全设备。防火墙114a和114b可以包括软件和/或硬件防火墙。对于一个实施例,防火墙114a和114b可以在路由器、接入点、服务器(例如,web服务器)、邮件过滤器或设备内实施。
ICAP/WCCP服务器116包括被配置为允许访问网络和/或因特网的任何web服务器或web代理服务器。例如,包括Milter邮件插件的网络设备118可以包括提供邮件和/或过滤功能的任何邮件服务器或设备,并且可以包括实现Milter、邮件传输代理(“MTA”)、sendmail和postfix的数字设备。交换机120包括任何交换机或路由器。在一些示例中,数据收集器可以被实现为分路器、跨接端口和/或入侵检测系统(“IDS”)。接入点124包括被配置为提供与一个或多个其他数字设备的无线连接的任何设备。
生产网络104是允许一个或多个终端用户设备110通过通信网络106进行通信的任何网络。通信网络106是可以从一个数字设备到另一数字设备携带数据(编码、压缩和/或以其他方式)的任何网络。在一些示例中,通信网络106可以包括LAN和/或WAN。此外,通信网络106可以包括任何数目的网络。对于一些实施例,通信网络106是因特网。
图1是示例性的,并且没有将本文中描述的系统和方法限制为仅使用所描绘的那些技术。例如,数据收集器可以在任何web或web代理服务器中实现,并且不仅限于实现因特网内容适配协议(“ICAP”)和/或web高速缓存通信协议(“WCCP”)的服务器。类似地,数据收集器可以在任何邮件服务器中实现,并且不限于实现milter的邮件服务器。数据收集器可以在一个或多个网络中的任何点处实现。
本领域技术人员将认识到,虽然图1描绘了有限数目的数字设备、收集器、路由器、接入点和防火墙,但是可以有任何种类和数目的设备。例如,可以有任何数目的安全服务器108、终端用户设备110、入侵防止系统(“IPS”)收集器112a和112b、防火墙114a和114b、ICAP/WCCP收集器116、Milter邮件插件118、交换机120和/或接入点124。此外,可以有任何数目的数据中心网络102和/或生产网络104。数据收集器可以采取硬件设备、在本地操作系统(“OS”)上运行的纯软件或用于虚拟化平台(如Amazon Web Services(“AWS”)和VMWare)的虚拟设备的形式。
图2示出了根据一个实施例的用于检测网络上的威胁活动的方法的框图。该方法包括检测一个或多个危害的一阶指示符(202)。对于一个实施例,一个或多个数据收集器被配置为拦截网络设备之间的网络数据。例如,数据收集器被配置为检测网络流量并且确定网络设备之间跨协议栈的流量模式。对于一个实施例,数据收集器被配置为确定一个或多个协议栈层(包括但不限于层2至7)上的网络设备之间的流量模式。例如,数据收集器可以被配置为检测和确定用于以下各项的流量模式:地址解析协议(“ARP”)流量、动态主机配置协议(“DHCP”)流量、媒体访问控制(“MAC”)或因特网协议(“IP”)地址之间的因特网控制消息协议(“ICMP”)流量、IP和端口号对之间的传输控制协议(“TCP”)/IP和用户数据报协议(“UDP”)/IP流量、向上堆叠超文本传输协议(HTTP)、安全壳(“SSH”)、服务器消息块(“SMB”)应用协议、应用客户端与服务器之间的模式、以及行业特定的应用(如银行账户之间的电汇交易处理和模式)。数据收集器被配置为提取与其元信息一起传输的文件对象,元信息诸如HTTP报头、URL、源和目的地IP地址,并且将文件对象传输给安全服务器。
此外,该方法可选地包括检测受危害实体的一个或多个指示符(204)。受危害实体包括但不限于网络上的数字设备、应用和流氓用户。对于一个实施例,系统包括一个或多个数据收集器,数据收集器被配置为作为蜂蜜主机(honey-host)进行操作,蜂蜜主机用于吸引执行威胁活动的恶意软件、流氓用户、数字设备中的任何一个的兴趣。受危害实体的指示符包括但不限于尝试证明开放端口的蜂蜜主机(即,测试开放端口的蜂蜜主机)以获取对蜂蜜主机的访问,并且尝试在蜂蜜主机上检查或移动数据。例如,数据收集器被配置为具有一个或多个感兴趣的域名和IP地址(即,受危害实体尝试访问的域名和/或IP地址);它被赋予拥有有趣的公司角色、相关数据文件、文档和用户活动痕迹的所有者/用户。此外,对于一个实施例,数据收集器被配置为记录针对该蜂蜜主机的任何探测、登录和访问活动。记录的数据将例如标识哪个设备、应用和(多个)用户已经尝试了进行任何活动、在何时、以及活动的细节。例如,如果从蜂蜜主机复制文件,则数据收集器被配置为记录信息,包括文件名、散列和文件被移动到的位置。
此外,该方法包括检测一个或多个危害的二阶指示符(206)。危害的二阶指示符包括但不限于从网络设备观察到的网络设备的行为模式以及终端用户设备的行为模式。例如,数据收集器被配置为生成网络设备的事件日志和/或事务日志。此外,对于一个实施例,数据收集器被配置为基于网络流量从商业活动水平来检测例如用户使用的网络上的终端用户设备、端点设备和/或其他客户端对等设备的行为模式。检测软件工程环境中的终端用户设备的行为模式的示例包括检测个体开发人员的工作站开始从一个或多个存储库中拉下大量源代码,同时几乎没有发生推送(更新到存储库)。这种可疑情况通过持续监测并且建立典型的模式简档来检测。在这样的示例中,系统被配置为当观察到的行为模式偏离典型简档时生成警告。检测终端用户设备的行为模式的另一示例包括在银行环境中使用包括本文中描述的技术在内的技术从业务工作流建立不同职能部门的台式计算机之中的众所周知的交互模式。在这样的环境下,人力资源经理的机器通常不会与电汇处理服务器通信,信息技术(“IT”)维护窗口之外的任何直接网络连接将生成二阶可疑指示符的警告。因此,数据收集器的检测被配置为使用包括本文中描述的技术在内的技术来检测这些类型的行为模式。
该方法还包括基于将一个或多个危害的一阶指示符与一个或多个危害的二阶指示符关联来生成风险得分(208)。对于一个实施例,风险得分基于指派给网络设备或终端用户设备的资产值以及网络设备或终端用户设备的当前安全姿势而被生成。例如,如果网络设备被指派高资产值,则对于相同的相关结果,所生成的风险得分将高于被指派较低资产值的网络设备。另外,安全姿势高于正常或定义的平均水平(例如,对攻击更敏感)的设备将导致所生成的风险得分高于安全姿势处于或低于正常的网络设备的相关结果。对于一个实施例,基于安全姿势的所生成的风险得分比基于资产值的所生成的风险得分更具动态性。例如,基于野外威胁情报(即,通过监测其他网络获取的威胁情报),安全服务器被配置为确定某组设备或用户可能受到有针对性的攻击并且保证特别的监测。在这样的示例中,可以在给定的时间段内针对设备或用户增加安全姿势(例如,高的安全姿势),使得针对这些设备或用户的任何威胁的风险得分将被应用上升因子以便使响应优先。
对于一个实施例,数据收集器被配置为使用包括本文中描述的技术在内的技术基于从一个或多个数据收集器接收的网络模式/数据来将一个或多个危害的一阶指示符与一个或多个危害的二阶指示符关联。此外,数据收集器被配置为使用包括本文中描述的技术在内的技术基于相关结果来生成风险得分。对于另一实施例,安全服务器被配置为使用包括本文中描述的技术在内的技术基于从一个或多个数据收集器接收的网络模式/数据来将一个或多个危害的一阶指示符与一个或多个危害的二阶指示符关联。此外,安全服务器被配置为使用包括本文中描述的技术在内的技术基于关联结果来生成风险得分。使用很多数据收集器与安全服务器进行通信,可以创建数据聚合和抽象的层级,以将覆盖范围扩展到更大的网络并且支持威胁情报数据的过滤共享。例如,单个收集器可以覆盖具有多个部门的给定站点的单个部门的网络。来自该站点的对应部门的多个收集器的数据可以被聚合以表示整个站点。
此外,该方法包括基于将风险得分与阈值相比较来生成至少一个事件警告(210)。事件警告包括横向移动和数据泄露事件警告。对于一个实施例,当相同目标设备在短时间内发生相同类型的多个事件时,多个警告将及时聚合。聚合通过将相同事件在给定间隔内发生的次数表示作为事件的一个单个警告来实现。这将产生对最终用户更有意义的警告,而不会丢失重要信息,同时避免了向用户生成很多事件。
另外,可以基于安全策略来生成警告。例如,安全策略可以包括但不限于一个或多个关键内部IP地址的观察列表以及一个或多个外部IP地址的红色列表(包括已知恶意地址)。在这样的示例中,当网络设备或终端用户设备与观察列表上和/或红色列表上的IP地址通信时,会生成事件警告。对于一个实施例,数据收集器被配置为使用本文中描述的技术基于将风险得分与阈值相比较来生成至少一个事件警告。对于另一实施例,安全服务器被配置为使用本文中描述的技术基于将风险得分与阈值相比较来生成至少一个事件警告。在数据收集器与安全服务器之间,可以创建数据聚合和抽象的层级,以将覆盖范围扩展到更大的网络并且支持威胁情报数据的过滤共享。例如,单个数据收集器可以覆盖给定站点的单个部门的网络;来自对应部门的多个收集器的数据可以被聚合以表示整个给定站点。
图3示出了根据一个实施例的用于检测一个或多个危害的二阶指示符的方法的框图。该方法包括为至少一个网络设备或终端用户设备生成行为简档(302)。例如,使用试探法或有监督或无监督机器学习跨协议栈在多个活动级别生成行为简档。终端用户设备的行为简档的示例包括但不限于网络用户在网络中的角色和在网络上使用终端用户设备的授权、网络用户对终端用户设备执行的一个或多个活动、该设备每周连接的一个或多个IP地址的列表、一个或多个连接的持续时间的分布、交换的总数据量、每个方向的数据量的细分、以及任何上述信息在一段时间内的变化特征。检测机制(诸如数据收集器)在滚动的基础上(长期行为简档)维护行为简档。同时,根据一个实施例,检测机制被配置为建立实时行为简档;例如基于标准化的每日统计。对于一个实施例,长期行为与实时行为简档之间的差异将引发针对威胁活动的警告。
根据一个实施例,在训练阶段期间为每个所监测的网络设备和终端用户设备生成行为简档。对于一个实施例,安全服务器被配置为基于网络流量模式、网络设备的行为模式和终端用户设备的行为模式中的一个或多个生成一个或多个行为简档。对于另一实施例,数据收集器被配置为基于网络流量模式、网络设备的行为模式和终端用户设备的行为模式中的一个或多个生成一个或多个行为简档。
该方法还包括检测一个或多个实时观察(304)。这些实时观察被表示为实时行为简档。根据一个实施例,检测一个或多个实时观察是生产阶段的一部分。对于一个实施例,数据收集器被配置为拦截网络数据并且实时分析跨协议栈的网络流量模式以使用包括本文中描述的技术在内的技术来生成实时观察。对于另一实施例,数据收集器被配置为拦截网络数据并且使用包括本文中描述的技术在内的技术将网络数据传输到安全服务器。安全服务器被配置为接收网络数据并且实时分析跨协议栈的网络流量模式以生成实时观察。
此外,该方法包括将一个或多个实时观察与至少一个行为简档(即,长期行为简档)相比较(306)。例如,实时观察与一个或多个生成的行为简档相比较。根据一个实施例,将一个或多个实时观察与至少一个行为简档相比较是生产阶段的一部分。对于一个实施例,数据收集器被配置为使用包括本文中描述的技术在内的技术来比较网络设备和/或终端用户设备的实时观察与为网络设备或终端用户设备生成的至少一个行为简档。对于另一实施例,安全服务器被配置为使用包括本文中描述的技术在内的技术基于从一个或多个数据收集器接收的信息来将网络设备或终端用户设备的实时观察与为网络设备或终端用户设备生成的至少一个行为简档相比较。
此外,该方法包括基于实时观察与行为简档的比较来生成一个或多个异常(308)。根据实施例,基于实时观察与行为简档的比较来生成一个或多个异常是生产阶段的一部分。生成的异常包括但不限于网络异常、设备异常和用户异常。网络异常包括与一个或多个行为简档不同的实时的网络流量模式观察。设备异常包括与网络设备或终端用户设备的一个或多个行为简档不同的实时的设备行为观察。用户异常包括与在用户的控制下的终端用户设备的一个或多个行为简档不同的在网络用户的控制下的终端用户设备的行为的实时观察。除了将实时观察与一个或多个行为简档相比较,可以将实时观察与网络异常、设备异常和用户异常中的一个或多个相比较。对于一个实施例,安全服务器被配置为基于从一个或多个数据收集器接收的数据(包括本文中描述的数据)来生成一个或多个异常。此外,根据一个实施例,异常基于安全策略、IP地址、设备指纹、业务应用和用户身份中的一个或多个与危害的一阶指示符关联。对于另一实施例,数据收集器被配置为使用包括本文中描述的技术在内的技术来生成一个或多个异常。
此外,由一个或多个蜂蜜主机检测到的受危害实体的一个或多个指示符与一个或多个一阶指示符和一个或多个二阶指示符关联,以标识网络设备、可能已经被危害的应用中的任何一个,并且标识在网络上发起可疑活动的终端用户设备上的用户(诸如流氓用户)。可疑活动的一些示例包括探测高价值资产或收集来自蜂蜜主机的敏感信息。示例性实现包括被配置为使用包括本文中描述的技术在内的技术使用表达式匹配来检测敏感数据的系统。例如,敏感数据包括社会安全号码、信用卡号码和包含关键字的文档。根据一个实施例的系统被配置为使用包括本文中描述的技术在内的技术来检测可疑的出站数据移动。对于一个实施例,该系统被配置为使用观察HTTP POST请求的试探法规则来检测可疑的出站数据移动,在HTTP POST请求中头部声称是明文主体但是请求的主体内容示出高熵值,这表明压缩或加密。此外,系统被配置为使用包括本文中描述的技术在内的技术基于一个或多个异常来检测异常网络事务。例如,该系统被配置为检测落在所确定的行为模式之外的事务,诸如第一次向主机传送大量加密文件。该系统还被配置为使用包括本文中描述的技术在内的技术来检测和记录网络中的所有恶意软件感染和命令和控制(“CNC”)活动。
此外,该系统被配置为支持总体策略框架。例如,使用安全策略来定义检测到的流量模式和/或行为的类型以及针对给定安全姿势生成的警告。例如,安全姿势可以包括从DefCon1到DefCon5的范围。在这样的示例中,DefCon5是最高的安全姿势,指示对异常或其他检测的认知或敏感度很高,并且DefCon3可以被认为是正常姿势,指示对异常或其他检测的认知或敏感度处于平均水平。而且,DefCon3下的安全态势级别将指示与DefCon3相比对异常的认知或敏感度较低。
对于被配置为如上所述使用安全姿势的系统,在DefCon3下,异常事件(诸如检测敏感数据移动、可疑出站数据移动或异常网络事务)将与检测到的事件(诸如检测到的恶意软件感染和控制和命令活动)关联。如果异常事件的IP地址与检测到的事件相关的IP地址或安全策略中包括的IP地址相匹配,则该系统将生成事件警告。在安全姿势为DefCon5的情况下,该系统被配置为基于任何异常事件生成事件警告,而不需要将IP地址包括在安全策略中或一个或多个检测到的事件的检测中。
图4示出了客户端、终端用户设备或数字设备的实施例,其包括一个或多个处理单元(CPU)402、一个或多个网络或其他通信接口404、存储器414和用于互连这些组件的一个或多个通信总线406。客户端可以包括用户接口408,包括显示设备410、键盘412、触摸屏413和/或其他输入/输出设备。存储器414可以包括高速随机存取存储器,并且还可以包括非易失性存储器,诸如一个或多个磁或光存储盘。存储器414可以包括远离CPU 402定位的大容量存储装置。此外,存储器414或者可选地存储器414内的一个或多个存储设备(例如,一个或多个非易失性存储设备)包括计算机可读存储介质。存储器414可以存储以下元素或者这样的元素的子集或超集:
操作系统416,其包括用于处理各种基本系统服务和用于执行硬件相关任务的过程;
网络通信模块418(或指令),其用于经由一个或多个通信网络接口404和一个或多个通信网络(诸如因特网、其他广域网、局域网、城域网和其他类型的网络)将客户端连接到其他计算机、客户端、服务器、系统或设备;以及
客户端应用420,包括但不限于web浏览器、文档查看器和其他应用;以及
web页面422,包括由客户端应用420生成的web页面,其被配置为接收用户输入以跨网络与其他计算机或设备通信。
根据一个实施例,客户端可以是任何设备,包括但不限于移动电话、计算机、平板计算机、个人数字助理(PDA)或其他移动设备。
图5示出了服务器或网络设备的实施例,诸如实现本文中描述的方法的系统。根据一个实施例,该系统包括一个或多个处理单元(CPU)504、一个或多个通信接口506、存储器408和用于互连这些组件的一个或多个通信总线510。系统502可以可选地包括用户接口526,包括显示设备528、键盘530、触摸屏532和/或其他输入/输出设备。存储器508可以包括高速随机存取存储器,并且还可以包括非易失性存储器,诸如一个或多个磁或光存储盘。存储器508可以包括远离CPU 504定位的大容量存储装置。此外,存储器508或替换地存储器508内的一个或多个存储设备(例如,一个或多个非易失性存储设备)包括计算机可读存储介质。存储器508可以存储以下元素、或者这样的元素的子集或超集:操作系统512、网络通信模块514、收集模块516、数据标记模块518、虚拟化模块520、仿真模块522、控制模块524、报告模块526、签名模块528和隔离模块530。操作系统512包括用于处理各种基本系统服务和执行硬件相关任务的过程。网络通信模块514(或指令)用于经由一个或多个通信网络接口506和一个或多个通信网络(诸如因特网、其他广域网、局域网、城域网和其他类型的网络)将系统连接到其他计算机、客户端、对等设备、系统或设备。
收集模块516(或指令)用于使用包括本文中描述的技术在内的技术来检测网络流量模式、实时观察、一阶指示符、二阶指示符、受危害实体的指示符以及其他可疑数据中的任何一个或多个。此外,收集模块516被配置为从一个或多个来源接收网络数据(例如,潜在可疑数据)。网络数据是在网络上从一个数字设备提供给另一数字设备的数据或网络流量。对于一个实施例,收集模块被配置为使用包括本文中描述的技术在内的技术来为网络设备生成一个或多个行为简档。收集模块516可以基于例如白名单、黑名单、试探法分析、统计分析、规则、非典型行为、蜂蜜主机中的触发或其他确定使用包括本文中描述的技术在内的技术来将网络数据标记为可疑数据。在一些实施例中,来源包括被配置为接收网络数据的数据收集器。例如,防火墙、IPS、服务器、路由器、交换机、接入点等可以单独地或共同地用作或包括数据收集器。数据收集器可以将网络数据转发到收集模块516。
对于一个实施例,数据收集器在将数据提供给收集模块516之前过滤数据。例如,数据收集器可以被配置为使用包括本文中描述的技术在内的技术来收集或拦截数据。在一些实施例中,数据收集器可以被配置为遵循配置的规则。例如,如果数据在两个已知和可信的来源之间被引导(例如,数据在白名单上的两个设备之间被传送),则数据收集器可以不收集数据。在各种实施例中,规则可以被配置为拦截一类数据(例如,可以包括宏的所有MSWord文档或可以包括脚本的数据)。在一些实施例中,规则可以被配置为基于过去在目标网络上的恶意软件攻击的类型来针对一类攻击或有效载荷。在一些实施例中,系统可以进行推荐(例如,经由报告模块526)和/或为收集模块516和/或数据收集器配置规则。本领域技术人员将理解,数据收集器可以包括关于何时收集数据或收集什么数据的任何数目的规则。
对于一个实施例,位于网络中的各个位置处的数据收集器可以不执行关于所收集的数据是可疑还是可信的任何评估或确定。例如,数据收集器可以收集全部或部分网络流量/数据,并且将收集的网络流量/数据提供给收集模块516,收集模块516可以使用包括本文中描述的技术来执行分析和/或过滤。
数据标记模块518(或指令)可以分析数据和/或对由收集模块516和/或数据收集器接收的收集的数据执行一个或多个评估以使用包括本文中描述的技术在内的技术来确定拦截的网络数据是否可疑。数据标记模块518可以应用规则,将实时观察与一个或多个行为简档相比较,基于实时观察与至少一个行为简档的比较来生成一个或多个异常,和/或将一个或多个危害的一阶指示符与一个或多个危害的二阶指示符关联以生成如本文中讨论的风险得分以确定所收集的数据是否应当被标记为可疑。
对于一个实施例,收集的网络流量/数据最初可以被标识为可疑,直到以其他方式确定(例如,与白名单相关联)或试探法找不到网络数据应当被标记为可疑的理由。数据标记模块518可以使用包括本文中描述的技术在内的技术来执行分组分析以在报头、尾部、目的地IP、源IP、有效载荷等中查找可疑特征。本领域技术人员将理解,数据标记模块518可以执行试探法分析、统计分析和/或签名标识(例如,基于签名的检测包括搜索收集的数据代码内的可疑数据的已知模式)以确定收集的网络数据是否可疑。基于机器学习的分类模型也可以用于确定。
数据标记模块518可以驻留在数据收集器处,在系统处,部分在数据收集器处,部分在安全服务器108处,或者在网络设备上。例如,路由器可以包括数据收集器和数据标记模块518,其被配置为对收集的网络数据执行一次或多次试探性评估。软件定义网络(“SDN”)交换机是被配置为实现数据标记和过滤功能的网络设备的示例。如果收集的网络数据被确定为可疑,则路由器可以将收集的数据引导至安全服务器108。
对于一个实施例,数据标记模块518可以被更新。在一个示例中,安全服务器108可以提供用于白名单的新条目、用于黑名单的条目、试探法算法、统计算法、更新的规则和/或新签名以帮助数据标记模块518确定网络数据是否可疑。白名单、白名单的条目、黑名单、黑名单的条目、试探法算法、统计算法和/或新签名可以由一个或多个安全服务器108(例如,经由报告模块526)生成。
虚拟化模块520和仿真模块522可以针对不可信行为(例如,恶意软件或分布式攻击)分析可疑数据。虚拟化模块520被配置为实例化一个或多个虚拟化环境以处理和监测可疑数据。在虚拟化环境内,可疑数据可以就好像在目标数字设备内运行。虚拟化模块520可以监测虚拟化环境内的可疑数据的操作以确定可疑数据可能是可信的、恶意的或需要进一步的动作(例如,在一个或多个其他虚拟化环境中的进一步监测和/或在一个或更多仿真环境内监测)。
对于一个实施例,虚拟化模块520可以确定可疑数据是恶意软件,但是继续处理可疑数据以生成恶意软件的完整图像,标识攻击的向量,确定恶意软件的有效载荷的类型、程度和范围,确定攻击的目标,并且检测恶意软件是否与任何其他恶意软件一起工作。以这种方式,安全服务器108可以将预测分析扩展到实际应用用于完整验证。可以生成描述恶意软件的报告(例如,由报告模块526),标识漏洞,生成或更新恶意软件的签名,生成或更新恶意软件检测的试探法或统计,生成标识目标信息的报告(例如,信用卡号、密码或个人信息)和/或生成事故警告,如本文中描述的。
对于一个实施例,如果数据具有可疑行为,则虚拟化模块520可以将可疑数据标记为需要后端中的进一步仿真和分析,诸如但不限于准备未执行的可执行文件,执行功能而没有结果,突然终止的处理,将数据加载到未被访问或以其他方式执行的存储器中,扫描端口,或者当存储器中的特定部分可能为空时检查存储器的那些位置。虚拟化模块520可以监测由可疑数据或针对可疑数据执行的操作,并且执行各种检查以确定可疑数据是否以可疑方式表现。此外,虚拟化模块被配置为实例化诸如本文中描述的浏览器烹饪(cooking)环境。
仿真模块522被配置为处理仿真环境中的可疑数据。本领域技术人员将认识到,恶意软件可能需要不可用的资源,或者可能检测到虚拟化环境。当恶意软件需要不可用的资源时,恶意软件可能会“变得良性”或以无害的方式进行操作。在另一示例中,恶意软件可以通过扫描管理程序、内核或其他虚拟化数据的执行所需要的特定文件和/或存储器来检测虚拟化环境。如果恶意软件扫描其环境的一部分并且确定虚拟化环境可能正在运行,则恶意软件可能会“变得良性”,并且终止或执行非威胁功能。
对于一个实施例,仿真模块522处理被虚拟化环境标记为可疑行为的数据。仿真模块522可以在其中可疑数据可以具有直接存储器访问的裸机环境(即,纯硬件沙箱)中处理可疑数据。可以监测和/或记录可疑数据的行为以及仿真环境的行为以跟踪可疑数据的操作。例如,仿真模块522可以跟踪在处理可疑数据时调用哪些资源(例如,应用和/或操作系统文件)。
对于一个实施例,仿真模块522记录对仿真环境中的可疑数据的响应。如果检测到虚拟化环境与仿真环境之间的可疑数据的操作分歧,则可以基于从仿真环境看到的行为来重新配置虚拟化环境。新配置可以包括针对可疑数据移除一个或多个跟踪工具。可疑数据可以接收虚拟化环境内的预期响应,并且继续操作,就好像可疑数据在目标数字设备内一样。仿真环境和虚拟化环境的角色以及使用环境的顺序可以交换。
控制模块524(或指令)控制模块524使虚拟化模块520和仿真模块522同步。对于一个实施例,控制模块524使虚拟化和仿真环境同步。例如,控制模块524可以引导虚拟化模块520用不同的资源实例化多个不同的虚拟化环境。控制模块524可以将不同虚拟化环境的操作彼此比较以追踪分歧点。例如,当虚拟化环境包括但不限于Internet Explorer v.7.0或v.8.0时,控制模块524可以将可疑数据标识为以一种方式操作,但是当与InternetExplorer v.9.0交互时以不同的方式操作(例如,当可疑数据利用可能存在于应用的一个版本中但是不存在于另一版本中的漏洞时)。
控制模块524可以跟踪一个或多个虚拟化环境和一个或多个仿真环境中的操作。例如,控制模块524可以标识与仿真环境相比虚拟化环境中的可疑数据何时表现不同。分歧和相关性分析是在将由或针对虚拟环境中的可疑数据执行的操作与由或针对不同虚拟环境或仿真环境中的可疑数据执行的操作相比较时。例如,控制模块524可以将虚拟环境中的可疑数据的监测步骤与仿真环境中的相同可疑数据的监测步骤相比较。可疑数据的功能或步骤可以相似,但是突然发生分歧。在一个示例中,可疑数据可以未在仿真环境中检测到虚拟环境的证据,并且与可疑数据变得良性的虚拟化环境不同,可疑数据进行具有恶意软件的特征的动作(例如,劫持以前的可信数据或流程)。
当检测到分歧并且需要进一步观察时,控制模块524可以利用来自仿真环境的信息(例如,在用户空间API挂钩与内核跟踪之间的切换)重新提供或实例化虚拟化环境,该信息可以并未先前呈现在虚拟化环境的原始实例化中。然后可以在新的虚拟化环境中监测可疑数据以进一步检测可疑行为或不可信行为。本领域技术人员将认识到,对象的可疑行为是可能不可信或恶意的行为。不可信行为是指示重大威胁的行为。
对于一个实施例,控制模块524被配置为将每个虚拟化环境的操作相比较以便标识可疑或不可信行为。例如,如果在与其他虚拟化环境相比时,可疑数据取决于浏览器或其他特定资源的版本而采取不同的操作,则控制模块524可以将可疑数据标识为恶意软件。一旦控制模块524将可疑数据标识为恶意软件或以其他方式标识为不可信,控制模块524可以继续监测虚拟化环境以确定恶意软件的攻击向量、恶意软件的有效载荷和目标(例如,数字设备的控制、密码访问、信用卡信息访问、和/或安装机器人程序、键盘记录器和/或隐匿技术(rootkit)的能力)。例如,可以监测由和/或针对可疑数据执行的操作,以便进一步标识恶意软件,确定不可信动作并且记录效果或可能的效果。
报告模块526(或指令)被配置为基于生成的事件列表来生成数据模型。另外,报告模块526被配置为生成诸如事故警告等报告,如本文中描述的。对于一个实施例,报告模块526生成报告以标识恶意软件、一个或多个攻击向量、一个或多个有效载荷、有价值数据的目标、漏洞、命令和控制协议和/或具有恶意软件的特征的行为。报告模块526还可以基于攻击对保护信息进行推荐(例如,将信用卡信息移动到不同的数字设备,仅需要诸如VPN访问等附加安全性,等等)。
对于一个实施例,报告模块526生成可以用于标识恶意软件或可疑行为的恶意软件信息。例如,报告模块526可以基于所监测的虚拟化环境的信息来生成恶意软件信息。恶意软件信息可以包括可疑数据的散列或者可疑数据的操作的特征。在一个示例中,恶意软件信息可以将一类可疑行为标识为由可疑数据在特定时间执行的一个或多个步骤。因此,可以基于恶意软件信息来标识可疑数据和/或恶意软件,而不虚拟化或仿真整个攻击。
签名模块528(或指令)被配置为基于上述事件列表来分类网络流量/数据。此外,签名模块528被配置为存储可以用于标识恶意软件和/或业务模式的签名文件。签名文件可以由报告模块312和/或签名模块528生成。在各种实施例中,安全服务器108可以生成签名、恶意软件信息、白名单条目和/或黑名单条目以与其他安全服务器共享。因此,签名模块528可以包括由其他安全服务器或其他数字设备生成的签名。本领域技术人员将理解,签名模块528可以包括从各种不同来源生成的签名,包括但不限于其他安全公司、反病毒公司和/或其他第三方。
对于一个实施例,签名模块528可以提供用于确定网络流量/数据是否为可疑或恶意软件的签名。例如,如果网络流量/数据匹配已知恶意软件的签名,则网络数据可以被分类为恶意软件。如果网络数据与可疑的签名相匹配,则网络数据可以被标记为可疑数据。如本文中讨论的,可以在虚拟化环境和/或仿真环境内处理恶意软件和/或可疑数据。
隔离模块530(或指令)被配置为隔离可疑数据和/或网络流量/数据。对于一个实施例,当安全服务器108标识恶意软件或可能的恶意软件时,隔离模块530可以隔离可疑数据、网络数据和/或与可疑数据和/或网络数据相关联的任何数据。例如,隔离模块530可以隔离已经被标识为感染或可能感染的来自特定数字设备的所有数据。对于一个实施例,隔离模块530被配置为当已经发现恶意软件或可能的恶意软件时向安全管理员等(例如,经由电子邮件、呼叫、语音邮件或SMS文本消息)发出警告。
尽管图5将系统502示出为计算机,但是其可以是分布式系统,诸如服务器系统。附图旨在更多地作为可以存在于客户端和一组服务器中的各种特征的功能描述,而不是作为本文中描述的实施例的结构示意图。因此,本领域的普通技术人员将理解,单独示出的项目品可以被组合,并且一些项目可以被分开。例如,图5中作为单独模块示出的一些项目可以在单个服务器或客户端上实现,并且单个项目可以由一个或多个服务器或客户端实现。用于实现系统502的服务器、客户端或模块的实际数目以及如何在它们之中分配特征将随着实现而变化,并且可以部分取决于系统在高峰使用期间以及在平均使用时段期间必须处理的数据流量。另外,图4所示的一些模块或模块的功能可以在远离实现图5所示的其他模块或模块的功能的其他系统的一个或更多个系统上实现。
在前述说明书中,已经描述了本发明的特定示例性实施例。然而,显然,可以对其进行各种修改和改变。因此,说明书和附图被认为是说明性的而不是限制性的。
Claims (26)
1.一种被配置为检测网络上的威胁活动的系统,包括:
数字设备,被配置为:
检测网络上的危害的一阶指示符;
检测所述网络上的危害的二阶指示符;
基于将所述网络上的所述危害的一阶指示符与所述网络上的所述危害的二阶指示符关联来生成风险得分;
基于将所述风险得分与阈值相比较来生成至少一个事件警告。
2.根据权利要求1所述的系统,还被配置为为至少一个网络设备生成行为简档。
3.根据权利要求2所述的系统,其中所述系统被配置为基于处于多个级别的一个或多个活动来生成所述行为简档。
4.根据权利要求2所述的系统,其中所述系统被配置为基于一个或多个试探法来生成所述行为简档。
5.根据权利要求2所述的系统,其中所述系统被配置为基于机器学习来生成所述行为简档。
6.根据权利要求3所述的系统,其中处于多个级别的所述一个或多个活动包括跨协议栈的网络流量模式。
7.根据权利要求3所述的系统,其中处于多个级别的所述一个或多个活动包括两个或更多个网络设备之间的网络流量模式。
8.根据权利要求3所述的系统,其中处于多个级别的所述一个或多个活动包括基于应用的网络流量模式。
9.根据权利要求2所述的系统,其中所述系统被配置为基于至少一个端点设备的一个或多个行为模式来生成所述行为简档。
10.根据权利要求2所述的系统,其中所述系统被配置为基于至少一个端点设备的一个或多个行为模式来生成所述行为简档。
11.根据权利要求2所述的系统,其中所述系统被配置为基于终端用户设备的一个或多个行为模式来生成所述行为简档。
12.根据权利要求2所述的系统,还包括被配置为进行以下操作的所述系统:
检测所述网络上的所述至少一个网络设备的实时观察,
将所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档相比较,以及
基于所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档的所述比较来生成一个或多个异常。
13.根据权利要求1所述的系统,还包括被配置为检测受危害设备的指示符的所述系统,并且其中被配置为生成所述风险得分的所述数字设备进一步基于将所述受危害设备的指示符与所述网络上的所述危害的一阶指示符和所述网络上的所述危害的二阶指示符关联。
14.一种被配置为检测威胁活动的系统,包括:
存储器;
一个或多个处理器;以及
被存储在存储器中并且被配置用于由所述一个或多个处理器执行的一个或多个模块,所述模块包括:
收集模块,被配置为:
检测网络上的危害的一阶指示符;
检测所述网络上的危害的二阶指示符;
数据标记模块,被配置为基于将所述网络上的所述危害的一阶指示符与所述网络上的所述危害的二阶指示符关联来生成风险得分;以及
报告模块,被配置为基于将所述风险得分与阈值相比较来生成至少一个事件警告。
15.根据权利要求14所述的系统,其中所述收集模块还被配置为为至少一个网络设备生成行为简档。
16.根据权利要求15所述的系统,其中所述收集模块被配置为基于处于多个级别的一个或多个活动来生成所述行为简档。
17.根据权利要求16所述的系统,其中处于多个级别的所述一个或多个活动包括跨协议栈的网络流量模式。
18.根据权利要求14所述的系统,还包括被配置为检测受危害设备的指示符的所述收集模块,并且其中被配置为生成所述风险得分的所述数据标记模块进一步基于将所述受危害设备的指示符与所述网络上的所述危害的一阶指示符和所述网络上的所述危害的二阶指示符关联。
19.一种用于检测恶意软件的方法,包括:
在包括一个或多个处理单元和存储器的服务器处:
检测网络上的危害的一阶指示符;
检测所述网络上的危害的二阶指示符;
将所述网络上的所述危害的一阶指示符与所述网络上的危害的二阶指示符关联以生成风险得分;
基于将所述风险得分与阈值相比较来生成至少一个事件警告。
20.根据权利要求19所述的方法,还包括在网络用户的控制下为至少一个终端用户设备生成行为简档。
21.根据权利要求20所述的方法,其中生成所述行为简档基于所述网络用户使用所述网络上的所述终端用户设备的授权以及所述网络用户在所述终端用户设备上执行的一个或多个活动。
22.根据权利要求20所述的方法,还包括:
检测所述至少一个终端用户设备的实时观察,
将所述实时观察与所述至少一个终端用户设备的所述行为简档相比较,以及
基于所述实时观察与所述至少一个终端用户设备的所述行为简档的所述比较来生成一个或多个异常。
23.根据权利要求19所述的方法,还包括为至少一个网络设备生成行为简档。
24.根据权利要求23所述的方法,其中生成所述行为简档基于处于多个级别的一个或多个活动。
25.根据权利要求23所述的方法,还包括:
检测所述网络上的所述至少一个网络设备的实时观察,
将所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档相比较,以及
基于所述实时观察与所述网络上的所述至少一个网络设备的所述行为简档的所述比较来生成一个或多个异常。
26.根据权利要求19所述的方法,还包括检测受危害设备的指示符,并且其中关联还包括将所述受危害设备的指示符与所述网络上的所述危害的一阶指示符和所述网络上的受危害设备的所述二阶指示符关联以生成所述风险得分。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/936,612 | 2015-11-09 | ||
US14/936,612 US10326778B2 (en) | 2014-02-24 | 2015-11-09 | System and method for detecting lateral movement and data exfiltration |
PCT/US2016/061201 WO2017083436A1 (en) | 2015-11-09 | 2016-11-09 | System and method for detecting lateral movement and data exfiltration |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108369542A true CN108369542A (zh) | 2018-08-03 |
Family
ID=58696058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680072447.7A Pending CN108369542A (zh) | 2015-11-09 | 2016-11-09 | 用于检测横向运动和数据泄漏的系统和方法 |
Country Status (3)
Country | Link |
---|---|
EP (2) | EP3374871B1 (zh) |
CN (1) | CN108369542A (zh) |
WO (1) | WO2017083436A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020132854A1 (en) * | 2018-12-25 | 2020-07-02 | Paypal, Inc. | Bloom filter whitelist and blacklist operations |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10839074B2 (en) * | 2017-10-19 | 2020-11-17 | AO Kaspersky Lab | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users |
US11003772B2 (en) | 2017-10-19 | 2021-05-11 | AO Kaspersky Lab | System and method for adapting patterns of malicious program behavior from groups of computer systems |
RU2724783C1 (ru) | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ отбора кандидатов для сравнения отпечатков устройств |
EP3674942A1 (en) * | 2018-12-28 | 2020-07-01 | AO Kaspersky Lab | System and method of identifying fraudulent activity from a user device using a chain of device fingerprints |
CN110474906A (zh) * | 2019-08-16 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 基于闭环反馈的主被动结合网络空间目标深度挖掘技术 |
US20240070261A1 (en) * | 2022-08-29 | 2024-02-29 | Saudi Arabian Oil Company | Malware identification and profiling |
CN115913786B (zh) * | 2023-01-09 | 2023-05-23 | 国家工业信息安全发展研究中心 | 一种工业互联网设备的漏洞验证方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102799822A (zh) * | 2012-07-11 | 2012-11-28 | 中国信息安全测评中心 | 基于网络环境软件运行安全性度量与评估方法 |
CN103782303A (zh) * | 2011-06-01 | 2014-05-07 | 迈可菲公司 | 对于恶意过程的基于非签名的检测的系统和方法 |
CN103842965A (zh) * | 2011-05-24 | 2014-06-04 | 帕洛阿尔托网络公司 | 恶意软件分析系统 |
US20150319185A1 (en) * | 2013-12-13 | 2015-11-05 | Palerra, Inc. | Systems and Methods for Contextual and Cross Application Threat Detection and Prediction in Cloud Applications |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8205259B2 (en) * | 2002-03-29 | 2012-06-19 | Global Dataguard Inc. | Adaptive behavioral intrusion detection systems and methods |
CN101854340B (zh) * | 2009-04-03 | 2015-04-01 | 瞻博网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
US8555388B1 (en) * | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
US20150215334A1 (en) | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
US9830450B2 (en) * | 2013-12-23 | 2017-11-28 | Interset Software, Inc. | Method and system for analyzing risk |
-
2016
- 2016-11-09 CN CN201680072447.7A patent/CN108369542A/zh active Pending
- 2016-11-09 WO PCT/US2016/061201 patent/WO2017083436A1/en active Application Filing
- 2016-11-09 EP EP16864949.9A patent/EP3374871B1/en active Active
- 2016-11-09 EP EP20201384.3A patent/EP3783857A1/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103842965A (zh) * | 2011-05-24 | 2014-06-04 | 帕洛阿尔托网络公司 | 恶意软件分析系统 |
CN103782303A (zh) * | 2011-06-01 | 2014-05-07 | 迈可菲公司 | 对于恶意过程的基于非签名的检测的系统和方法 |
CN102799822A (zh) * | 2012-07-11 | 2012-11-28 | 中国信息安全测评中心 | 基于网络环境软件运行安全性度量与评估方法 |
US20150319185A1 (en) * | 2013-12-13 | 2015-11-05 | Palerra, Inc. | Systems and Methods for Contextual and Cross Application Threat Detection and Prediction in Cloud Applications |
Non-Patent Citations (1)
Title |
---|
高焕芝: "《网络安全技术》", 31 December 2009 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020132854A1 (en) * | 2018-12-25 | 2020-07-02 | Paypal, Inc. | Bloom filter whitelist and blacklist operations |
Also Published As
Publication number | Publication date |
---|---|
EP3374871B1 (en) | 2020-10-14 |
EP3374871A4 (en) | 2019-04-03 |
WO2017083436A1 (en) | 2017-05-18 |
EP3783857A1 (en) | 2021-02-24 |
EP3374871A1 (en) | 2018-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11902303B2 (en) | System and method for detecting lateral movement and data exfiltration | |
US10326778B2 (en) | System and method for detecting lateral movement and data exfiltration | |
Srivastava et al. | XAI for cybersecurity: state of the art, challenges, open issues and future directions | |
CN108369542A (zh) | 用于检测横向运动和数据泄漏的系统和方法 | |
KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
Seufert et al. | Machine learning for automatic defence against distributed denial of service attacks | |
US20220239630A1 (en) | Graphical representation of security threats in a network | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
US20210019412A1 (en) | Generating models for performing inline malware detection | |
US20210021611A1 (en) | Inline malware detection | |
Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
Nagar et al. | Novel approach of intrusion detection classification deeplearning using SVM | |
CN108345795A (zh) | 用于检测和分类恶意软件的系统和方法 | |
WO2023141103A1 (en) | Deep learning pipeline to detect malicious command and control traffic | |
WO2021015941A1 (en) | Inline malware detection | |
Sheik Abdullah et al. | Big Data and Analytics | |
Tafkov | Cloud Intelligence Network for Ransomware Detection and Infection Effect Reversing,” | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
Wahl | Latency in intrusion detection systems (IDS) and cyber-attacks: A quantitative comparative study | |
Rutherford | A Holistic Approach Using Honey Communities For Cyber Event Detection and Protection in Communities and Large Distributed Organizations | |
Priyadharshini | Big Data and Analytics | |
Pedersen et al. | AAU-Star and AAU Honeyjar: Malware Analysis Platforms Developed by Students | |
Donadoni Santos | Cybersecurity Incident Response in eHealth | |
Biju et al. | PHISHDECT & MITIGATOR: SDN BASED PHISHING ATTACK DETECTION | |
Dhumal et al. | MACHINE LEARNING TECHNOLOGY BASED DETECTION OF CYBER ATTACKS & NETWORK ATTACKS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |