CN109583193A - 目标攻击的云检测、调查以及消除的系统和方法 - Google Patents
目标攻击的云检测、调查以及消除的系统和方法 Download PDFInfo
- Publication number
- CN109583193A CN109583193A CN201810553206.5A CN201810553206A CN109583193A CN 109583193 A CN109583193 A CN 109583193A CN 201810553206 A CN201810553206 A CN 201810553206A CN 109583193 A CN109583193 A CN 109583193A
- Authority
- CN
- China
- Prior art keywords
- computer
- attack
- label
- data library
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Abstract
本发明公开了目标攻击的云检测、调查以及消除的系统和方法。在一个示例性方面中,所述系统包括计算机保护模块,其被配置用于:收集关于网络中的计算机中的对象的信息;以及将具有所述对象的安全通知保存在所述网络中的对象数据库中;以及用于防止目标攻击的模块,其被配置用于:在所述网络中的威胁数据库中搜索所述对象;当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库之间的对应关系;以及当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
Description
技术领域
本发明总体涉及计算机安全领域,并且特别涉及用于目标攻击的云检测、调查以及消除的系统和方法。
背景技术
目前,计算机攻击以及传统的恶意软件(诸如病毒、网络网路蠕虫、键盘记录器、加密器等)已经变得普遍,特别是针对信息系统(计算设备以及用于将它们连接在一起的通信的总和,信息系统也被称为公司基础设施)的目标攻击(“TA”)和高级持续性威胁(“APT”)。黑客可能有从简单盗用员工的个人数据到工业间谍活动的多种目标。通常,黑客掌握有关于企业网络的架构、内部文档流程的原则、用于保护网络和计算机设备的手段的信息或针对信息系统的任何其它信息。该信息可让黑客绕开现有的防御手段,这些防御手段常常在它们的设置中不具备灵活性以满足信息系统的所有需求。
用于防御恶意软件和计算机威胁的现有技术,诸如签名分析、启发式分析、仿真等,有一些阻止它们提供对目标攻击和其它计算机攻击的适当级别的保护的缺陷。例如,现有技术无法检测和调查先前未知的威胁、没有使用恶意软件的计算机攻击、复杂的攻击(使用技术绕开防御手段)以及长时间攻击(从几天到几年),其中,仅在一段时间后才知道其攻击标志。
因此,出现了确定针对信息系统的计算机攻击的标志的质量很差的技术问题。
然而,在许多情况下,现有技术中已知的技术不能识别计算机攻击及其标志,因为这需要向服务器发送可执行文件,并且此外,出现不使用恶意软件的很多计算机攻击,特别目标攻击。因此,上面提供的技术无法解决所述的技术问题。例如,现在的目标攻击可能会使用外壳程序(PowerShell)用于恶意代码的动态创建,并直接将其加载到计算机存储器中,而不会在硬盘上留下任何工件在这种情况下,不存在恶意软件的副本,而PowerShell解释器自身不是恶意软件。另一示例可能是出于恶意目的而使用合法工具:用于远程控制受感染的计算机的远程管理实用程序(LiteManager、TeamViewer等)、用于将恶意软件加载到受感染的计算机上的合法Windows实用程序(bitsadmin、certutil等)、用于远程启动命令的管理工具(wmic、psexec等),以及“横向移动”型攻击,在该“横向移动”型攻击中,黑客相继非法侵入网络用户的账户数据以获得域管理员的账户数据,并将自身整合到受感染的基础设施中。
发明内容
公开了用于目标攻击的云检测、调查以及消除的系统和方法。
在一个示例性方面中,提供一种用于检测计算机攻击的方法,该方法包括使用硬件处理器收集关于网络中的计算机中的对象的信息;将具有所述对象的安全通知保存在所述网络中的对象数据库中;在所述网络中的威胁数据库中搜索所述对象;当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库中的记录之间的对应关系;以及当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
在另一方面中,所述方法还包括基于所述一个或多个标签在可疑活动数据库中搜索可疑活动;当在所述可疑活动数据库中发现可疑活动的标志时,则将第二标签添加到所述安全通知;以及当在计算机攻击数据库中发现所述对象、第一标签、第二标签时,则确定已经发生了计算机攻击。
在另一方面中,如果在所述计算机上已经发生预定事件或者已经执行了作为可疑活动的标志的预定动作,则仅添加所述第二标签。
在另一方面中,当不确定所述计算机攻击的所述确定时,则所述方法包括执行以下操作中的一个操作:所述计算机的存储器转储以确认所述计算机攻击的所述确定和记录检测所述攻击的步骤。
在另一方面中,关于对象的所述信息包括所述对象的行为、所述计算机的操作系统中的事件、所述对象在网络之间交互的信息、攻击指标以及所述对象的元数据中的一者或多者。
在另一方面中,通过所述威胁数据库中的所述对象的校验和与所述对象数据库中的所述对象的校验和之间的一致来定义所述对应关系。
在另一方面中,所述标签是与所述对象有关的特征或与由所述对象执行的事件有关的特征或与在所述对象上执行的事件有关的特征。
在另一方面中,对象包括文件、所述文件的哈希、进程、URL地址、IP地址、证书、文件执行日志中的一者或多者。
在另一方面中,所述安全通知包括收集的关于所述对象的信息。
在另一方面中,所述安全通知包括时间戳。
在一个示例性方面中,提供一种用于检测计算机攻击的系统,该系统包括计算机保护模块,所述计算机保护模块被配置用于:收集关于网络中的计算机中的对象的信息,以及将具有所述对象的安全通知保存在所述网络中的对象数据库中;以及用于防止目标攻击的模块,所述防止目标攻击的模块被配置用于:在所述网络中的威胁数据库中搜索所述对象,当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库中的记录之间的对应关系;以及当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
在一个示例性方面中,提供一种非暂时性计算机可读介质,其上存储有计算机可执行指令,当通过硬件处理器执行所述计算机可执行指令时,执行用于检测计算机攻击的方法,所述方法包括:使用硬件处理器收集关于网络中的计算机中的对象的信息;将具有所述对象的安全通知保存在所述网络中的对象数据库中;在所述网络中的威胁数据库中搜索所述对象;当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库中的记录之间的对应关系;以及当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
以上对示例性方面的简化概述用于提供对本发明的基本理解。本概述不是对所有预期方面的详尽综述,并且既不旨在确定所有方面的重要或关键要素,也不描绘本发明的任何或全部方面的范围。其唯一目的是以简化的形式呈现一个或多个方面,作为对本发明的以下更详细描述的序言。为了实现前述内容,本发明的一个或更多个方面包括权利要求中所描述和示例性指出的特征。
附图说明
并入本说明书并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,并且与具体实施方式一起用于解释它们的原理和实现方式。
图1为根据本发明的示例性方面的用于目标攻击的云检测、调查和消除的系统的框图。
图2示出了根据本发明的示例性方面的计算机保护模块的多个模块的可能示例。
图3示出了根据本发明的示例性方面的防止目标攻击的计算机保护模块的多个模块的可能示例。
图4示出了根据本发明的示例性方面的添加对象标签以及将对象标签添加至安全通知的过程的框图。
图5示出了根据本发明的示例性方面的目标攻击的检测、调查以及消除的方法的示例。
图6a-图6b示出了根据本发明的示例性方面的添加对象标签以及将对象标签添加至安全通知的示例。
图7示出了根据本发明的示例性方面的通用计算机系统的示例。
具体实施方式
本文在用于目标攻击的云检测、调查和消除的系统和方法以及该系统和方法的计算机程序产品的上下文中描述了示例性方面。本领域的普通技术人员能够认识到,以下描述仅是示例性的,并不意图以任何方式进行限制。受益于本发明的本领域技术人员能够容易地想到其它方面。现在将详细介绍如附图中所示的示例性方面的实现方式。在整个附图和以下描述中尽可能使用相同的附图标记来指代相同或相似的项目。
以下术语将在整个公开、附图和权利要求中使用。
攻击指标(IOC),不经常指的是能够在主机或网络上识别的入侵的法证工件(forensic artifact)或入侵的残余(remnant)。通常攻击指标例如是病毒签名、IP地址、文件的校验和、URL地址以及僵尸网络指挥中心的域名,这些都是从以前的计算机攻击中得知的。存在许多用于攻击指标的标准,特别是:OpenIOC(https://community.rsa.com/docs/ DOC-62341,https://web.archive.org/web/20160401023434,http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/,http://openioc.org/)、STIX(https://stix.mitre.org/)、CybOX(https://cybox.mitre.org)以及其它标准。
计算机攻击是由黑客实施的且针对组织或自然人的信息系统的一组秘密且冗长的步骤,以便渗透网络并对组织或自然人造成各种伤害。
目标攻击或TA是对特定组织或特定自热人的信息系统的计算机攻击,以便渗透网络并对该组织或该自然人造成各种伤害。
高级持续性威胁或APT是使用复杂的恶意软件、社会工程方法以及受害者的信息系统上的数据进行的复杂的、冗长的、精心策划的且具有多种要素的计算机攻击。
模糊哈希(也称灵活的指纹或局部敏感哈希)是形成的文件的指纹,以使文件中轻微的变化不会引起指纹变化。也就是说,当使用文件的指纹的值检测到恶意文件时,也会检测到一些类似(可能未知)的恶意文件。这种指纹的主要特征是指其对小的文件变化的不变性。
模糊判断是防病毒应用程序在检测到文件的可疑动作(诸如恶意文件的特征)时的响应。例如,在灵活指纹的帮助下检测到文件时,返回模糊判断。模糊判断表明检测到的文件有一定程度的概率是恶意的。
图1是根据本发明的示例性方面的用于目标攻击的云检测、调查和消除的系统的框图。信息系统100(也是公司基础设施)包括由计算机网络105连接在一起的一组计算机101。计算机101通常是指任何给定的计算设备和传感器,特别是个人计算机、笔记本、智能电话以及诸如路由器、交换器、集中器等的通信设备。信息系统100可以使用现有技术中已知的网络105的任何拓扑来组织,诸如以下类型之一:完全连接、点对点、总线、星形、环形或圆形、网格、树、菊花链或混合类型。在一些计算机101中安装了计算机保护模块102。应该注意的是,计算机保护模块102可以未被安装在某些计算机101中。信息系统100还可以包括目标攻击防护模块103,该模块可以被放置在例如独立的服务器上。信誉服务器104可以位于信息系统100中或位于服务提供商的云服务(即,其连接到检测模块110)中。应该注意的是,计算机101可以是物理设备或虚拟机。代理服务器(图中未示出)可以用于借助于网络105将计算机101连接到因特网和检测模块110。
计算机保护模块以及可选地目标攻击防护模块103用于收集关于计算机101上的对象以及关于网络105中的对象的信息。计算机保护模块102以及目标攻击防护模块103也可以被称为保护模块102和防护模块103。在一个特定示例性方面,对象可以是文件、该文件的哈希、进程、URL地址、IP地址、证书、文件执行日志或在计算机101上检测到的任何其它对象。收集的信息是关于连接到计算机101上的所述对象以及网络105中的所述对象的可疑事件的信息。然后计算机保护模块102通过网络105向检测模块110(服务提供商的云服务)发送安全通知。特别地,安全通知可以包括关于保护模块自身(其标识等等)的信息以及收集的关于对象的信息。在一个特定示例性方面中,安全通知还可以包括时间戳(例如,收集关于对象的信息的时刻或时间间隔)。在一个特定示例性方面中,保护模块102和防护模块103用于收集关于对象的以下信息:
·进程的行为(诸如执行轨迹);
·操作系统(OS)中的事件—OS的事件日志中的记录;
·网络之间的交互的信息;
·攻击指标;
·保护模块的判断或保护模块的多个模块的判断(包括模糊判断)或测试签名的判断;
·对象的元数据,包括对象的校验和。
用于防止目标攻击的模块(或目标攻击防护模块)103可以通过网络105连接到计算机保护模块102并且执行信息系统100的网络活动的分析。此外,目标攻击防护模块103通过使用“沙箱”(在一些方面)、用于进程的安全执行的计算机环境以及其它检测技术(更多细节参见图2-图3)检测计算机101的对象来在信息系统中检测目标攻击。
目标攻击防护模块103收集在网络业务中发送的信息。因此,目标攻击防护模块103收集通过网络105从计算机101(包括那些没有安装计算机保护模块102的计算机101)正在传输的关于所有对象的信息。
关于网络105中的对象的信息可以包括目标攻击防护模块103的判断,网络业务中的可疑行为、DNS业务中的可疑行为以及来自邮件或互联网的对象的仿真结果。
在一个特定示例性方面中,保护模块102和防护模块103收集关于所有上述对象的信息。在另一示例性方面中,保护模块102和防护模块103可以包含安全(合法)对象的列表(关于这些对象,确切已知它们不是恶意的或可疑的对象)以及恶意和可疑对象的列表(图中未示出)。在该示例中,保护模块102和防护模块103不仅收集关于来自恶意和可疑对象列表的对象的信息,而且还收集关于未知对象(其不在恶意和可疑对象列表中,也不在安全对象列表中)的信息。
在另一示例性方面中,保护模块102和防护模块103可以包含需要收集其信息的补充对象的列表。这种对象的列表可以例如由管理员106制定。在另一特定示例性方面中,管理员106可以制定恶意和可疑对象的列表以及安全对象的列表,从这些列表添加或减去对象。
例如,管理员106可以指示禁止动作的列表和允许动作的列表。例如,在信息系统100中,可能会禁止一些计算机101使用实用程序“psexec”,因为该实用程序可以被黑客用于远程管理。通过保护模块102和防护模块103收集有关与禁止动作相关联的对象的信息。因此,如果在特定的计算机101中或网络105中执行了实用程序psexec的使用,则将关于该使用的信息发送到检测模块110,在检测模块110处将添加对应于该使用的标记。可以将禁止动作的列表和允许动作的列表存储在信息系统100中或检测模块110中。如果目标攻击防护模块103已经检测到在没有安装计算机保护模块102的计算机110上使用了实用程序psexec,则检查在该计算机上使用“psexec”的可行性并且添加相应的标签可以由目标攻击防护模块103或由检测模块110使用禁止动作的列表来实现。在另一特定示例性方面中,如果禁止动作的列表或允许动作的列表中不存在信息,则分析中心115可以由管理员106确定检测到的动作是否是可允许的,并且如果动作是不允许的,则添加相应的标签。
检测模块110将接收到的安全通知保存在对象数据库112中,然后执行对安全通知中的对象的搜索以确定是否在威胁数据库111中找到该安全通知中的对象。当在威胁数据库111中找到该安全通知中的对象时,检测模块110在对象数据库112中添加用于该找到的对象的标签且将标签对应于在威胁数据库中找到的对象。对应关系例如可以通过威胁数据库111中的对象的校验和与对象数据库112中的对象的校验和之间的一致来定义。
对象的标签是在计算机101上发生的事件的特征,与所找到的对象有关的特征或与对象执行的事件有关的特征或与对象上的事件有关的特征。因此,当且仅当在计算机101上发生了特定事件或已经执行了与对象有关的特定动作时,才可以将对象的标签添加到该对象。在一个特定示例性方面中,对象的标签的特征在于例如保护模块102和防护模块103的判断以及关于对象的可疑行为(基于关于对象的信息)的信息。因此,对象的标签特别地包括以下事件(在此以及之后,假定仅当与给定对象相关的且基于获得的关于对象的信息所检测到的指示事件已经发生在计算机101上时,则将标签添加到对象):
·计算机上的DNS服务器的替换;
·操作系统的自动更新的断开;
·网络防火墙的断开;
·保护模块的断开;
·UAC(用户账户控制,Windows操作系统的部件)的断开。
在另一特定示例性方面中,由检测模块110添加到对象的对象标签可还包括以下事件:
·关于在对象的名称与对象的校验和之间缺乏一致性的信息(例如,作为远程访问应用程序的可执行文件TeamViewer已被重命名);
·违反计算机上的认证配置文件(在给定的时间段(一天、两天或更多天)期间,其中,在该时间段期间,收集关于对象的信息,在计算机101上对特定用户列表执行认证,并且现在已在计算机101上认证的该列表中所缺少的用户);
·违反进程的网络活动配置文件(在给定的时间段(一天、两天或更多天)期间,其中,在该时间段期间,收集关于对象的信息,该进程在网络中与因特网的特定IP地址列表交互,之后通过网络将该进程连接到特定IP地址列表中不存在的IP地址);
·调度程序/自动运行设置/OS服务/驱动程序任务,其在给定的信息系统100内是唯一且不存在于允许的任务列表中;
·与从网络威胁情报的外部来源搜索对象的结果相关的标签;
·计算机101,在该计算机101上检测到被分类为键盘记录器、远程管理工具、监视器的文件以及在少量计算机101上找到这些文件。
在一个特定示例性方面中,如果对象不被包含在恶意对象列表中,则检测模块110可以计算该对象的灵活指纹。此后,检测模块1101可以验证该灵活指纹是否对应于任何恶意对象,并且如果是的话,则初始对象也将被检测模块110标记为恶意的。此外,可以为给定的文件创建判断并将该判断由检测模块110发送至计算机保护模块102。
使用检测模块110,基于接收到的安全通知以及添加的包含在所述安全通知中的对象的标签,在可疑活动数据库113中搜索可疑活动的标志(即,计算机攻击的特征标志)。当发现可疑活动的标志时,将包含在可疑活动数据库113中的标签由检测模块110添加到安全通知中。该标签指示已经发现的可疑活动的标志的存在。此后,通过识别来自不同对象的计算机攻击数据库114的计算机攻击的签名以及获得的安全通知、所述对象的标签和来自对象数据库112的安全通知来检测计算机攻击的标志。
当识别到计算机攻击的标志时,则满足发起由分析中心115实施的目标攻击的彻底调查以及目标攻击的确认或目标攻击的否认的条件。在一个特定示例性方面中,当识别到计算机攻击的签名时,可以不仅明确地确认计算机攻击标志的识别,而且还可以确认计算机攻击的识别而不需要由分析中心115执行调查。在另一示例性方面中,当识别到计算机攻击的签名时,不能明确地确认目标攻击,并且在这种情况下,需要由分析中心115进一步调查。
将标签添加到对象和安全通知中,其中标签是发生在计算机101(从计算机101收集信息将其包含在安全通知中)上的事件的特征或者在计算机上执行的动作的特征。因此,当且仅当在计算机101上已经发生了特定事件或执行了特定动作(诸如在可疑活动的标志的定义下执行的动作)时,才将标签添加到安全通知中。
用于安全通知的标签可以包括可疑活动的标志,其可以包括:
·用户在计算机上首次执行认证;
下面描述用于发生这种可疑事件的脚本的示例。在一个月的过程中,保护模块102收集了已经在计算机101上成功认证的用户账户记录列表。此后,在计算机101上使用在形成的账户记录列表中不存在的账户记录认证用户;
·发生对象(文件/进程)的远程启动;
下面描述用于发生这种可疑事件的脚本的示例。通过使用Windows管理工具(WMI)基础设施或者通过操作系统Windows服务发生对象的远程启动;
·将记录从事件日志中移除;
·从非浏览器的应用程序启动网络中的文件;
·从可疑目录中启动不在白名单中的文件;
·卷影副本已经移除(例如,通过实用程序(vssadmin.exe)-这是许多恶意加密应用程序妨碍系统恢复的特征);
·已经检测到重命名的远程管理的实用程序(AmmyyAdmin、TeamViewer等);
·文件已经被拷贝到管理员的网络文件夹(C$、ADMIN$)中;
·实用程序bcdedit.exe已用于关闭操作系统部件系统启动修复;
·系统进程lsass.exe已经打开文件或修改了磁盘上的文件;
·模糊外壳程序(PowerShell)脚本已经运行;
·已经调用Windows应用程序接口(API)函数;
可疑的外壳程序(PowerShell)命令-Windows应用程序接口(API)函数调用已经被执行;
·通过库文件Rundll32已经打开来自可疑路径的文件。
在一个特定的示例性方面中,用于对象的一些标签以及用于安全通知(以及相应的可疑活动的标志)的一些标签可以相符。例如,对象名称与其校验和之间所缺乏的对应关系可以是可疑活动的标志并且又可作为标签添加到对象中。
在一方面中,计算机攻击(在特定示例中,目标攻击)的签名包括一组以下记录:对象的列表、安全通知以及所提及的对象的标签和安全通知的标签,其为特定计算机攻击、特别是目标攻击的特征。因此,当发现来自目标攻击的签名的特定记录的组合时,可能确认发现攻击(或攻击标志)。在一个特定示例性方面中,计算机攻击的签名同时包含至少一个关于对象的记录、至少一个关于安全通知的记录、至少一个对象的标签以及至少一个安全通知的标签。在另一特定示例性方面中,计算机攻击的签名可以只包含一个或几个上述记录-例如,关于一个对象的记录或关于该对象的记录以及关于该对象的标签的记录。在另一特定示例性方面中,计算机攻击的签名包含安全通知的至少一个标签。
为了发现可疑活动的各种标志(违反进程、计算机的网络活动的配置文件、违反网络输入的配置文件等),可以使用无监督机器学习的系统-该系统基于进入的安全通知和附加的标签来自我学习。在学习之后,系统将标签分配给可疑活动数据库113中不具有标签的安全通知。此外,可以使用被监督的机器学习的系统来解决进程或计算机的行为的分类的问题。在这种情况下,这些因素是可疑活动的标志,并且使用用于已知的检测到的计算机攻击的数据来完成学习。
对象数据库112用于存储包含关于对象的信息的安全通知、并且还存储添加到对象的标签和添加到安全通知的标签。
威胁数据库111包含关于已知威胁的数据。特别地,威胁数据库111包含关于作为威胁标志的对象的标识和信息。威胁数据库111中的每个对象都标有对应的标签。例如,恶意对象可以对应于标签“恶意对象”。如果对象用于特定的目标攻击,则将会为其分配相应的标签。
让我们以已知的目标攻击“Turla”为例。存在已知的与此相关的URL地址。因此,如果作为可执行文件的对象访问了所述地址,则该对象将具有添加到它的标签,以指示相应的动作;例如,标签“访问连接到APT Turla的URL地址”将被添加到对象中。
在另一示例中,目标攻击“奈康(Naikon)APT”与已知的一组IP地址相关,并且如果对象已经访问了所述地址,则将标签添加到该对象,以指示“访问连接到奈康APT的IP地址”。
可疑活动数据库113包含可疑活动的标志的列表。每个可疑活动的标志都标有特殊的标签,指示与可疑活动的标志相连接的目标攻击(已经给出了可疑活动的标志的示例)。
在一个特定的示例性方面中,如果对象被标记有特定的一组标签,则可以将指示该情况的的附加标签添加到该对象。因此,一组标签也可以用一个标签标记。
计算机攻击数据库114包含计算机攻击或目标攻击的签名列表。
图2示出了计算机保护模块102的多个模块的可能示例。计算机保护模块102可以包含被设计为确保计算机101的安全性的多个模块:实时病毒扫描器、按需扫描器、电子邮件防病毒、网络(web)防病毒、主动防护模块、HIPS(主机入侵防护系统)模块、DLP(数据丢失防护)模块、漏洞扫描器、仿真器、网络防火墙以及其它模块。在一个特定示例性方面中,这些模块可以是计算机保护模块102的一部分。在另一示例方面中,这些模块可以被实现为独立的软件部件。
实时病毒扫描器包含用于检测正在打开、运行或保存在用户的计算机系统上的所有文件的恶意活动的功能。按需扫描器与实时病毒扫描器的不同之处在于它根据用户的需求扫描用户指定的文件和目录。
电子邮件防病毒对于收到和发出的电子邮件检查恶意对象的内容是必需的。网络(web)防病毒用于防止用户访问网站时可能包含在网站中的恶意代码的执行,并且还阻止网站的打开。HIPS模块用于检测程序的不期望的和恶意的活动,并在执行时阻止这些活动。DLP模块用于检测和防止来自计算机或网络的机密数据的泄漏。漏洞扫描器对于检测计算机101上的漏洞(例如,计算机保护模块102的某些部件已经被关闭、过时的病毒数据库、网络端口关闭等)是必需的。网络防火墙根据指定的规则提供对网络业务的控制和过滤。仿真器的工作在于在仿真器中执行代码期间模拟客户机。主动防护模块使用行为签名来检测可执行文件的行为并根据其可信程度对可执行文件进行分类。
用于检测恶意软件(可疑行为、垃圾邮件和计算机威胁的其它标志)的指示模块创建相应的通知(随后该通知可被转换为计算机保护模块102的判断),将关于发现的威胁通知给保护模块以及需要执行动作以移除威胁(例如,删除或更改文件,禁止执行等)。在一个特定示例性方面中,已经发现恶意软件的模块自身可以执行用于移除威胁的动作。在另一示例中,判断可以是模糊的或测试的(因为所述判断可能是假警报)-在这种情况下,保护模块将不执行用于移除威胁的动作,而是将通知传递给检测模块110。应该注意的是,计算机保护模块102的判断是关于对象的信息的一部分,然后以安全通知的形式将该信息发送给检测模块110。
图3示出了用于防止目标攻击的模块的多个模块的可能示例。目标攻击防护模块103可以包含例如以下保护模块:“沙箱(sandbox)”、入侵检测系统(IDS)、信誉服务、雅拉(YARA)规则校验模块和其它检测模块。
除了沙箱(sandbox)可以使用额外的计算能力以及工作更长时间以外,沙箱模块具有类似于计算机保护模块102的仿真器的功能,因为目标攻击防护模块103没有时间限制,诸如计算机保护模块102中固有的时间限制。
沙箱(sandbox)是用于安全执行进程的计算机环境且用于在从文件启动的进程的执行期间确定可疑活动。
基于文件系统和注册表的部分虚拟化,基于对文件系统和注册表的访问规则,或者基于混合方法,沙箱(sandbox)可以例如以虚拟机的形式实现。
入侵检测系统识别未经授权访问计算机系统101或网络105或未经授权控制计算机系统101或网络105的事实。
信誉服务器可以是信誉服务器104的镜像或高速缓存副本,并且此外信誉服务器包含关于计算机101上的对象的的普及度的信息(存在对象的计算机101的数量,对象被启动的次数等)。
雅拉(YARA)规则校验模块用于校验雅拉(YARA)签名-一种开放式签名格式(请参见http://yararules.com/)。
数据丢失防护(DLP)模块用于检测和防止来自计算机或网络的机密数据的泄漏。
TI(威胁情报)分析器是匹配来自计算机攻击的报告的对象、关于对象和可疑行为标志的信息的模块。例如,TI分析器可以确定参与已知计算机攻击的指挥中心的IP地址列表。TI分析器将获得的信息发送给评分模块,该评分模块根据其属于计算机攻击的可能性对关于对象和可疑行为的标志的信息进行排序。
图4示出了添加对象标签以及将对象标签添加到安全通知的过程框图。因此,保护模块102和防护模块103中的至少一者收集关于对象401的信息并且将安全通知402发送至检测模块110。检测模块110从接收到的安全通知402中提取对象401,并在威胁数据库111中搜索对象401(级别1)。如果搜索结果是肯定的,则检测模块110将对应于该对象401的标签410添加到威胁数据库111中。在一个特定示例性方面中,当添加标签至上述对象401时,读取收集的关于该对象的信息。例如,如果在计算机上检测到对应于定义的攻击指标(如威胁数据库111中所指示的)的对象401,则将标签添加至该对象,但是如果已经检测到相同的对象401且没有找到定义的攻击指标,则不会将标签添加至该对象。然后,检测模块110基于接收到的安全通知402以及添加到对象402的标签,执行包含在可疑活动数据库113中的可疑活动(级别2)的标志的搜索。如果找到可疑活动的标志,则检测模块110将包含在可疑活动数据库113中的标签411添加至对象数据库112,特别是添加到安全通知402。
因此,检测模块110通过在接收到的对象401、安全通知402、对象的标签410以及来自对象数据库112的安全通知的标签411中识别来自计算机攻击数据库114的目标攻击的签名来执行目标攻击(级别3)403的检测。
在一个特定示例性方面中,当确认计算机攻击时,可以将该信息发送到分析中心115,分析中心115进而提醒信息系统100的管理员106关于攻击的检测,特别是使用电信网络120或网络105提醒信息系统100的管理员106关于攻击的检测。
在另一特定示例性方面中,为了确认计算机攻击,同样将该信息发送到分析中心115,分析中心115进而提醒信息系统100的管理员106关于攻击的检测,特别是使用电信网络120或网络105提醒信息系统100的管理员106关于攻击的检测。并且,如果管理员106表示导致识别计算机威胁的签名的动作是合法的,则将证明计算机攻击是虚假的。
然而,如果管理员106表示导致识别计算机威胁的签名的动作是不允许的,并且如果来自对象数据库112的一个或多个记录缺乏对来自计算机攻击数据库114的目标攻击的签名的识别,则可以使用分析中心115向管理员105请求附加信息。附加信息特别是可以包括一个或多个计算机101的文件、计算机保护模块102的日志记录(诸如网络防火墙日志或主动保护模块的日志)、一个或多个计算机101的存储器转储或一个或多个计算机101的磁盘转储。
在下面的表1中给出了由分析中心115从管理员106请求附加信息的示例。
例如,如果病毒签名包含关于存储器的模糊判断,则为了确认计算机攻击,需要存储器转储(示例1)。其它示例在表1中详细描述。
■表1
在一个特定示例性方面中,可疑活动的标志取决于计算机攻击的策略、技术以及程序(TTP)、特别是目标攻击的策略、技术以及程序(TTP)。
我们将给出TTP的示例。用户已经接收到了电子邮件附件形式的办公文档。该文档包含宏,并且用户同意启动宏。已启动的宏启动外壳程序(PowerShell)解释器,该解释器从站点下载以Base64编码的内容,并且在没有在磁盘上创建任何文件的情况下启动该内容。启动的代码是在PowerShell进程的上下文中执行的,并通过在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中创建记录来执行其嵌入在计算机系统中,以确保用户不论何时登录时启动所述代码。该代码是重命名的客户端TeamViewer,黑客使用该代码远程进入受感染的计算机。
在本示例中,可疑活动的以下标志将起作用:
·从办公应用程序启动外壳程序(PowerShell)解释器;
·混淆外壳程序(PowerShell)参数的启发式模糊判断(压缩、以BASE64编码等);
·来自外壳程序(PowerShell)解释器的HTTP请求;
·下载附件的站点之前在恶意软件(包含在恶意对象的列表中)的传播中检测到;
·实时病毒扫描器对下载的附件发布模糊判断(例如,类似于处理灵活指纹的结果);
·通过使用信誉服务器获得的下载附件的低信誉度或低普及度;
·在从站点下载恶意内容之后,计算机保护模块102在扫描进程PowerShell的存储器时发布模糊/确认判断;
·PowerShell修改了自动运行的注册码;
·在自动运行中注册的文件的哈希与名称不匹配(例如,文件的哈希与应用程序TeamViewer的哈希相匹配,但是文件名不同)。
在另一示例性方面中,可疑活动的标志取决于在执行渗透测试(penetrationtests,缩写为:pentest)期间获得的关于目标攻击的信息。例如,通过在SMB协议中的漏洞的渗透测试组获得了对管理员的计算机的访问权限,其中,借助合法实用程序创建了进程lsass.exe的存储器转储。从转储中提取认证数据,然后使用该提取的认证数据访问网络中的其它计算机,并从其它计算机中获得存储器转储并提取认证数据。重复几次该进程,直到获得对Windows域的管理员的认证数据的访问。
在上文对图1的描述中已经列举了可疑活动标志的示例。
图5示出了根据本发明的一个示例性方面的目标攻击的检测、调查以及消除的方法500的示例。在步骤501中,计算机保护模块102和/或目标攻击防护模块103收集关于计算机101上的对象(诸如文件、进程)的信息。接下来,在步骤502中,计算机保护模块102和/或目标攻击防护模块103将安全通知发送给检测模块110,该安全通知中特别包括关于保护模块和/或防护模块自身的信息以及收集的关于对象的信息。检测模块110将接收到的安全通知保存在对象数据库112中。
在步骤503中,检测模块110在威胁数据库111中对来自安全通知的对象执行搜索。对于找到的对象,在步骤504中,检测模块110将对应于威胁数据库11中的该对象的标签添加到对象数据库112中。在步骤505中,检测模块110基于接收到的安全通知以及包含在安全通知中的对象的所添加的标签,对包含在可疑活动数据库113中的可疑活动的标志的执行搜索。在步骤506中,当发现可疑活动的标志时,检测模块110将包含在可疑活动数据库113中的标签添加到对象数据库112,特别是添加到安全通知。
在步骤507中,检测模块110通过在接收到的对象、安全通知、所述对象的标签以及来自对象数据库112的安全通知的标签中识别来自计算机攻击数据库114的计算机攻击的签名来发现计算机攻击的标志。在发现计算机攻击的标志之后,由来自分析中心115的计算机安全专家与管理员106合作进行对该攻击的后续调查。在一个特定示例性方面中,当识别计算机攻击的签名时,可以不仅明确地确认计算机攻击标志的识别,而且而且还可以确认计算机攻击的识别而不需要由分析中心115执行调查。在另一示例性方面中,当识别计算机攻击的签名时,不能够明确地确认目标攻击,并在在这种情况下,需要由分析中心115进一步调查。
因此,能够解决技术问题,即解决了对防止信息系统的计算机攻击的标志的确定的质量低的技术问题,并且取得了所述的技术效果。即,实现了目的,并且与已知的解决方案相比,凭借在获得的对象、安全通知、所述对象的标签以及来自对象数据库的安全通知的标签中识别计算机攻击的签名,提高了对防止信息系统的计算机攻击的标志的确定的质量。
应该注意的是,保护模块102和防护模块103可以检测到包括目标攻击的某些攻击,并且在这种情况下执行图5所示的方法,并且将由保护模块102和防护模块103(通过删除攻击中使用的文件、阻止业务以及其它动作)阻止该攻击。
在一个特定示例性方面中,在步骤501中,保护模块102和防护模块103特别收集关于对象的信息,例如:
·进程的行为;
·操作系统中的事件;
·网络之间交互的信息;
·攻击指标(IOC);
·保护模块(在图2和图3中给出的模块的示例)的判断。
在一个特定示例性方面中,当发现可疑活动的标志时,将来自可疑活动数据库的标签另外添加到保护模块(关于保护模块的信息包含在所述安全通知中),并且另外基于分发给所述保护模块的标签和来自计算机攻击数据库114的计算机攻击的签名的比较,来进行目标攻击的检测。
在另一示例性方面中,关于对象的信息还特别包含以下之一:
·对象或其一部分的校验和(例如,文件或其一部分的校验和)-诸如循环冗余校验(CRC)、哈希函数:消息摘要算法第五版(MD5)、安全散列算法第一版(SHA-1)、安全散列算法第二版(SHA-2)、Kessak、GOST R 34.11-2012以及其它;
·对象的出现的来源(例如,下载对象的资源的IP地址);
·对象执行的仿真结果;
·从对象(如果对象是进程)调用操作系统的应用程序编程接口(API)函数的日志;
·在计算设备内对象出现的时间;
·网络中正在通过对象传输的数据。
在另一特定示例性方面中,当在步骤502中将标签添加到来自威胁数据库111的对象时(这指示需要呈现对象或关于指示的对象的附加信息),检测模块110从保护模块102和防护模块103中的至少一者请求对象或关于指示的对象的附加信息,并且在从保护模块或防护模块获得请求的对象或关于指示的对象的附加信息之后,关于新获得的对象或关于指示的对象的附加信息执行步骤503-步骤504。
在又一特定示例性方面中,当在步骤506中将标签添加至安全通知时(这指示需要呈现包含在安全通知中的至少一个对象或关于指示的对象的附加信息),检测模块从信息系统100的至少一个保护模块请求对象或关于指示的对象的附加信息,并且在从保护模块获得请求的对象或关于指示的对象的附加信息之后,关于新获得的对象或关于指示的对象的附加信息执行步骤503-步骤506。
图6a-图6b示出了根据图5中描述的方法添加对象标签和安全通知的示例。
因此,在步骤502中,在检测模块110从保护模块获得安全通知之后,检测模块110将安全通知保存在对象数据库112中。在该示例中,已经接收到关于两个对象的四个安全通知(参见图6a中的对象数据库112的状态601)。
在步骤503中,检测模块110在威胁数据库111中执行对来自安全通知的对象的搜索。在本示例中,只有对象1被包含在威胁数据库111中。对象1对应于对象标签OT1、对象标签OT4、对象标签OT5,在步骤504中由检测模块110将对象标签OT1、对象标签OT4、对象标签OT5添加到对象数据库112。因此,对象数据库112将呈现状态602。
在步骤505中,检测模块110基于接收到的安全通知和添加的对象标签,对包含在可疑活动数据库113中的可疑活动的标志执行搜索,关于对象标签的信息被包含在安全通知中(即针对状态602中的对象数据库112)。在给定的示例中,从可疑活动数据库113中找到用于可疑活动的第一标志和第二标志的匹配。因此,在步骤506中,将来自可疑活动数据库113的通知标签NT1添加到用于对象1的通知2,并将通知标签NT2添加到通知4。对象数据库112呈现图6b中的状态3。
在步骤507中,检测模块110通过在接收的对象、安全通知、所述对象的标签以及来自对象数据库112的安全通知中识别来自计算机攻击数据库114的计算机攻击的签名,来检测计算机攻击的标志(状态603)。在本示例中,由于对象数据库112同时包含对象1和标签OT1以及通知2和通知标签NT1(即包含第一签名),所以将检测到计算机攻击的第一签名。此外,将检测到第二签名。因此,将在对象数据库112中同时发现两个签名,以证明信息系统100中存在计算机攻击的标志。
图7是示出了根据示例性方面的在其上可以实现目标攻击的云检测、调查和消除的系统和方法的通用计算机系统的示意图。
如图所示,计算机系统20(其可以是个人计算机或服务器)包括中央处理单元21、系统存储器22和连接各个系统部件的系统总线23,所述系统部件包括与中央处理单元21相关联的存储器。如本领域普通技术人员能够理解的,系统总线23可以包括总线存储器或总线存储器控制器、外围总线以及能够与任何其它总线架构交互的本地总线。系统存储器可以包括永久存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(BIOS)26可以存储用于在计算机系统20的各元件之间传输信息的基本程序,诸如在使用ROM 24加载操作系统时使用的那些程序。
计算机系统20还可以包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28、以及用于读取和写入可移动光盘31(诸如CD-ROM、DVD-ROM和其它光学介质)的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34连接到系统总线23。驱动器和相应的计算机信息介质是用于存储计算机系统20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
计算机系统20包括通过控制器55连接到系统总线23的硬盘27、可移动磁盘29和可移动光盘31。本领域普通技术人员能够会理解,也可以使用能够以计算机可读形式存储数据的任何类型的介质56(固态驱动器、闪存卡、数字磁盘、随机存取存储器(RAM)等)。
计算机系统20具有可存储操作系统35的文件系统36、以及附加的程序应用37、其它程序模块38以及程序数据39。计算机系统20的用户可以使用键盘40、鼠标42或本领域普通技术人员已知的任何其它输入设备(例如但不限于麦克风、操纵杆、游戏控制器、扫描仪等)来输入命令和信息。这种输入设备通常通过串行端口46插入计算机系统20,串行端口46又连接到系统总线,但是本领域普通技术人员能够理解,输入设备也可以以其它方式连接,例如但不限于,通过并行端口、游戏端口或通用串行总线(USB)连接。监控器47或其它类型的显示设备也可以通过诸如视频适配器48的接口连接到系统总线23。除了监控器47之外,个人计算机还可以配备有其它外围输出设备(未示出),如扬声器、打印机等。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中操作。一个或多个远程计算机49可以是本地计算机工作站或服务器,其包括在描述计算机系统20的性质时描述的上述元件中的大多数元件或全部元件。计算机网络中还可以存在其它设备,例如但不限于路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(Local-Area computer Network,LAN)50和广域计算机网络(Wide-Area computer Network,WAN)。这种网络在公司计算机网络和公司内部网络中使用,并且这些网络通常有访问互联网的权限。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,计算机系统20可以使用调制解调器54或本领域普通技术人员熟知的、实现与广域计算机网络(诸如因特网)的通信的其它模块。调制解调器54可以是内部设备或外部设备,其可以通过串行端口46连接到系统总线23。本领域普通技术人员能够理解,所述网络连接是使用通信模块建立一台计算机与另一台计算机的连接的许多熟知方式的非限制性示例。
在各个方面,本文所描述的系统和方法可以以硬件、软件、固件或它们的任何组合来实现。如果以软件实现,则所述方法可以作为一个或多个指令或代码而被存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储器。作为示例而非限制,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存,或其它类型的电存储介质、磁存储介质或光存储介质,或可用来携带或存储所期望的指令或数据结构形式的程序代码并可以被通用计算机的处理器访问的任何其它介质。
在各个方面中,本发明中所描述的系统和方法可以按照模块来描述。本文中所使用的术语“模块”指的是例如使用硬件(例如通过专用集成电路(Application SpecificIntegrated Circuit,ASIC)或现场可编程门阵列(Field-Programmable Gate Array,FPGA))实现的实际的设备、部件、或部件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实施为两个模块的组合,其中仅通过硬件促进某些功能,并且通过硬件和软件的组合促进其它功能。在某些实现方式中,可以在通用计算机(诸如上文在图7中更详细描述的通用计算机)的处理器上实现模块的至少一部分(以及在一些情况下,模块的全部)。因此,每个模块可以以各种适合的配置来实现,而不应受限于本文中所例示的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有常规特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多专用于实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将会因不同的实现方式和不同的开发者而变化。应当理解的是,这种开发工作会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的常规任务。
此外,应当理解的是,本文中所使用的措辞或术语出于说明性而非限制性的目的,使得本说明书的术语或措辞能够由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以示例方式所提到的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员来说显而易见的是,在不脱离本文中所公开的发明构思的情况下,相比于上文所提及的内容而言的更多修改是可行的。
Claims (20)
1.一种用于检测计算机攻击的方法,包括:
使用硬件处理器收集关于网络中的计算机中的对象的信息;
将具有所述对象的安全通知保存在所述网络中的对象数据库中;
在所述网络中的威胁数据库中搜索所述对象;
当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库之间的对应关系;以及
当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
2.根据权利要求1所述的方法,还包括:
基于所述一个或多个标签在可疑活动数据库中搜索可疑活动;
当在所述可疑活动数据库中发现可疑活动的标志时,则将第二标签添加到所述安全通知;以及
当在计算机攻击数据库中发现所述对象、第一标签、第二标签时,则确定已经发生了计算机攻击。
3.根据权利要求2所述的方法,其中,如果在所述计算机上已经发生预定事件或者已经执行了作为可疑活动的标志的预定动作,则仅添加所述第二标签。
4.根据权利要求2所述的方法,还包括:
当不确定所述计算机攻击的所述确定时,则执行以下操作中的一个操作:所述计算机的存储器转储以确认所述计算机攻击的所述确定和记录检测所述攻击的步骤。
5.根据权利要求1所述的方法,其中,关于对象的所述信息包括所述对象的行为、所述计算机的操作系统中的事件、所述对象在网络之间交互的信息、攻击指标以及所述对象的元数据中的一者或多者。
6.根据权利要求1所述的方法,其中,通过所述威胁数据库中的所述对象的校验和与所述对象数据库中所述对象的校验和之间的一致来定义所述对应关系。
7.根据权利要求1所述的方法,其中,所述标签是与所述对象有关的特征或与由所述对象执行的事件有关的特征或与在所述对象上执行的事件有关的特征。
8.根据权利要求1所述的方法,其中,所述对象包括文件、所述文件的哈希、进程、URL地址、IP地址、证书和文件执行日志中的一者或多者。
9.根据权利要求1所述的方法,其中,所述安全通知包括收集的关于所述对象的信息。
10.根据权利要求1所述的方法,其中,所述安全通知包括时间戳。
11.一种用于检测计算机攻击的系统,包括:
在硬件处理器上执行的计算机保护模块,所述计算机保护模块被配置用于:
收集关于网络中的计算机中的对象的信息;以及
将具有所述对象的安全通知保存在所述网络中的对象数据库中;
在硬件处理器上执行的用于防止目标攻击的模块,所述防止目标攻击的模块被配置用于:
在所述网络中的威胁数据库中搜索所述对象;
当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库之间的对应关系;以及
当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
12.根据权利要求11所述的系统,其中,所述检测到的模块还被配置用于:
基于所述一个或多个标签在可疑活动数据库中搜索可疑活动;
当在所述可疑活动数据库中发现可疑活动的标志时,则将第二标签添加到所述安全通知;以及
当在计算机攻击数据库中发现所述对象、第一标签、第二标签时,则确定已经发生了计算机攻击。
13.根据权利要求12所述的系统,其中,如果在所述计算机上已经发生预定事件或者已经执行了作为可疑活动的标志的预定动作,则仅添加所述第二标签。
14.根据权利要求12所述的系统,还包括:
分析中心,所述分析中心被配置为用于执行以下操作中的一个操作:所述计算机的存储器转储以确认所述计算机攻击的所述确定和当不确定所述计算机攻击的所述确定时记录检测所述攻击的步骤。
15.根据权利要求11所述的系统,其中,关于对象的所述信息包括所述对象的行为、所述计算机的操作系统中的事件、所述对象在网络之间的交互的信息、攻击指标以及所述对象的元数据中的一者或多者。
16.根据权利要求11所述的系统,其中,通过所述威胁数据库中的所述对象的校验和与所述对象数据库中的所述对象的校验和之间的一致来定义所述对应关系。
17.根据权利要求11所述的系统,其中,所述标签是与所述对象有关的特征或与由所述对象执行的事件有关的特征或与在所述对象上执行的事件有关的特征。
18.一种非暂时性计算机可读介质,其上存储有计算机可执行指令,当通过硬件处理器执行所述计算机可执行指令时,执行用于检测计算机攻击的方法,所述方法包括:
使用硬件处理器收集关于网络中的计算机中的对象的信息;
将具有所述对象的安全通知保存在所述网络中的对象数据库中;
在所述网络中的威胁数据库中搜索所述对象;
当在所述威胁数据库中发现所述对象时,则将一个或多个标签添加到所述对象,并添加所述对象数据库中的记录与所述威胁数据库之间的对应关系;以及
当所述一个或多个标签对应于计算机攻击数据库中的签名时,则确定已经发生了计算机攻击。
19.根据权利要求18所述的非暂时性计算机可读介质,还包括:
基于所述一个或多个标签在可疑活动数据库中搜索可疑活动;
当在所述可疑活动数据库中发现可疑活动的标志时,则将第二标签添加到所述安全通知;以及
当在计算机攻击数据库中发现所述对象、第一标签、第二标签时,则确定已经发生了计算机攻击。
20.根据权利要求19所述的非暂时性计算机可读介质,其中,如果在所述计算机上已经发生预定事件或者已经执行了作为可疑活动的标志的预定动作,则仅添加所述第二标签。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2017133842A RU2661533C1 (ru) | 2017-09-29 | 2017-09-29 | Система и способ обнаружения признаков компьютерной атаки |
| RU2017133842 | 2017-09-29 | ||
| US201762573830P | 2017-10-18 | 2017-10-18 | |
| US62/573,830 | 2017-10-18 | ||
| US15/923,581 US10873590B2 (en) | 2017-09-29 | 2018-03-16 | System and method of cloud detection, investigation and elimination of targeted attacks |
| US15/923,581 | 2018-03-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109583193A true CN109583193A (zh) | 2019-04-05 |
| CN109583193B CN109583193B (zh) | 2023-07-04 |
Family
ID=62148273
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810553206.5A Active CN109583193B (zh) | 2017-09-29 | 2018-05-31 | 目标攻击的云检测、调查以及消除的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10873590B2 (zh) |
| EP (1) | EP3462698B1 (zh) |
| JP (1) | JP7084778B2 (zh) |
| CN (1) | CN109583193B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN112287339A (zh) * | 2020-03-06 | 2021-01-29 | 杭州奇盾信息技术有限公司 | Apt入侵检测方法、装置以及计算机设备 |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10902114B1 (en) * | 2015-09-09 | 2021-01-26 | ThreatQuotient, Inc. | Automated cybersecurity threat detection with aggregation and analysis |
| US11277423B2 (en) * | 2017-12-29 | 2022-03-15 | Crowdstrike, Inc. | Anomaly-based malicious-behavior detection |
| US11381984B2 (en) * | 2018-03-27 | 2022-07-05 | Forescout Technologies, Inc. | Device classification based on rank |
| US10951641B2 (en) | 2018-06-06 | 2021-03-16 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11444957B2 (en) * | 2018-07-31 | 2022-09-13 | Fortinet, Inc. | Automated feature extraction and artificial intelligence (AI) based detection and classification of malware |
| USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| US11533323B2 (en) * | 2019-10-10 | 2022-12-20 | Target Brands, Inc. | Computer security system for ingesting and analyzing network traffic |
| US11438373B2 (en) | 2020-01-09 | 2022-09-06 | Cymulate Ltd. | Monitoring for security threats from lateral movements |
| WO2021144978A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム |
| CN111475818B (zh) * | 2020-04-17 | 2023-08-11 | 北京墨云科技有限公司 | 一种基于ai的自动化渗透测试系统的渗透攻击方法 |
| US20220075871A1 (en) * | 2020-09-09 | 2022-03-10 | Microsoft Technology Licensing, Llc | Detecting hacker tools by learning network signatures |
| CN112269316B (zh) * | 2020-10-28 | 2022-06-07 | 中国科学院信息工程研究所 | 一种基于图神经网络的高鲁棒性威胁狩猎系统与方法 |
| US20230104862A1 (en) * | 2021-09-28 | 2023-04-06 | Red Hat, Inc. | Systems and methods for identifying computing devices |
| US20230208855A1 (en) * | 2021-12-22 | 2023-06-29 | Cisco Technology, Inc. | MITIGATING SECURITY THREATS IN DAISY CHAINED SERVERLESS FaaS FUNCTIONS |
| WO2023144805A1 (en) * | 2022-01-31 | 2023-08-03 | Wiz, Inc. | Techniques for cloud detection and response from cloud logs utilizing a security graph |
| CN114844691B (zh) * | 2022-04-20 | 2023-07-14 | 安天科技集团股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| WO2023249577A1 (en) | 2022-06-24 | 2023-12-28 | Binalyze Yazilim A.S. | Systems and methods for detection of advanced persistent threats in an information network |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| US20150128274A1 (en) * | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9703950B2 (en) | 2012-03-30 | 2017-07-11 | Irdeto B.V. | Method and system for preventing and detecting security threats |
| RU141239U1 (ru) | 2013-06-04 | 2014-05-27 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации | Устройство для обнаружения компьютерных атак на информационно-телекоммуникационные сети военного назначения |
| RU2538292C1 (ru) | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
| US10089461B1 (en) * | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
| RU2587426C2 (ru) | 2013-12-27 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения направленных атак на корпоративную инфраструктуру |
| US9769204B2 (en) * | 2014-05-07 | 2017-09-19 | Attivo Networks Inc. | Distributed system for Bot detection |
| US9754106B2 (en) * | 2014-10-14 | 2017-09-05 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| US9507946B2 (en) | 2015-04-07 | 2016-11-29 | Bank Of America Corporation | Program vulnerability identification |
| RU2624552C2 (ru) * | 2015-06-30 | 2017-07-04 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
| US9530016B1 (en) | 2016-01-29 | 2016-12-27 | International Business Machines Corporation | Using source taint analysis to reduce false positives in an advanced persistent threat (APT) protection solution |
-
2018
- 2018-03-16 US US15/923,581 patent/US10873590B2/en active Active
- 2018-05-10 EP EP18171677.0A patent/EP3462698B1/en active Active
- 2018-05-17 JP JP2018095395A patent/JP7084778B2/ja active Active
- 2018-05-31 CN CN201810553206.5A patent/CN109583193B/zh active Active
-
2020
- 2020-11-16 US US17/098,777 patent/US11489855B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| US20150128274A1 (en) * | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
| CN106888196A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 一种未知威胁检测的协同防御系统 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN112287339A (zh) * | 2020-03-06 | 2021-01-29 | 杭州奇盾信息技术有限公司 | Apt入侵检测方法、装置以及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7084778B2 (ja) | 2022-06-15 |
| EP3462698B1 (en) | 2021-06-23 |
| US20190104140A1 (en) | 2019-04-04 |
| JP2019082989A (ja) | 2019-05-30 |
| EP3462698A1 (en) | 2019-04-03 |
| US11489855B2 (en) | 2022-11-01 |
| CN109583193B (zh) | 2023-07-04 |
| US10873590B2 (en) | 2020-12-22 |
| US20210067529A1 (en) | 2021-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109583193A (zh) | 目标攻击的云检测、调查以及消除的系统和方法 | |
| Saleem et al. | Sok: Anatomy of data breaches | |
| RU2661533C1 (ru) | Система и способ обнаружения признаков компьютерной атаки | |
| RU2762528C1 (ru) | Способ обработки событий информационной безопасности перед передачей на анализ | |
| Riadi et al. | Vulnerability analysis of E-voting application using open web application security project (OWASP) framework | |
| Lee et al. | Fileless cyberattacks: Analysis and classification | |
| Tchakounté et al. | LimonDroid: a system coupling three signature-based schemes for profiling Android malware | |
| Aboelfotoh et al. | A review of cyber-security measuring and assessment methods for modern enterprises | |
| Chayal et al. | A review on spreading and forensics analysis of windows-based ransomware | |
| Meffert et al. | Deleting collected digital evidence by exploiting a widely adopted hardware write blocker | |
| Kaur et al. | Cybersecurity threats in Fintech | |
| Bayuk | CyberForensics: understanding information security investigations | |
| Calder | Cyber Security: Essential principles to secure your organisation | |
| CN113824678B (zh) | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 | |
| Ostler | Defensive cyber battle damage assessment through attack methodology modeling | |
| Hassan et al. | Introduction: Understanding digital forensics | |
| Kumar et al. | A review on 0-day vulnerability testing in web application | |
| Leibolt | The complex world of corporate CyberForensics investigations | |
| Colorossi | Cyber security | |
| RU2763115C1 (ru) | Способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности | |
| Pande et al. | Digital forensics | |
| Khushal et al. | Necessity of automated vulnerability assessment in healthcare with the emergence of 5G | |
| Omar | Battlefield malware and the fight against cyber crime | |
| Alsmadi | Forensics Analysis | |
| Lee et al. | The Game of Spear and Shield in Next Era of Cybersecurity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |