CN109643349B - 基于症状时长以及端点在环境中的重要性的端点的动态排名和呈现 - Google Patents
基于症状时长以及端点在环境中的重要性的端点的动态排名和呈现 Download PDFInfo
- Publication number
- CN109643349B CN109643349B CN201780035297.7A CN201780035297A CN109643349B CN 109643349 B CN109643349 B CN 109643349B CN 201780035297 A CN201780035297 A CN 201780035297A CN 109643349 B CN109643349 B CN 109643349B
- Authority
- CN
- China
- Prior art keywords
- endpoint
- symptom
- event
- endpoint device
- importance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Abstract
本公开提供了用于端点排名系统的方法,所述方法可在确定网络中端点的端点卫生分数时考虑到端点重要性、症状重要性和症状定时。根据卫生分数排名或分类的端点的列表可动态地生成,并且可由于考虑症状定时的方式而随时间推移更改。所述列表还可随着端点重要性和系统重要性的参数被修改而演变。可将端点重要性权重分配给每个端点,以根据端点重要性来偏置卫生分数。还可将症状重要性权重和衰减速率分配给症状类型,以进一步偏置卫生分数。
Description
背景技术
技术领域
本公开涉及用于根据怀疑分数对网络中的端点进行排名的系统。更具体地讲,本公开提供了用于使用基于症状时长和端点的怀疑分数来对网络端点设备进行动态排名的技术。
相关领域的描述
许多类型的恶意软件可通过计算机网络从一个端点设备传播到另一个端点设备。因此,在网络中实现安全措施以保护端点设备免受恶意软件感染通常是谨慎的。受感染的端点设备可由于恶意软件感染而表现出某些症状。术语“端点设备”通常是指用户可以通过其访问网络的硬件设备(例如,传输控制协议/互联网协议(TCP/IP)网络)。台式计算机、笔记本电脑、智能电话、平板电脑、瘦客户端、打印机以及诸如销售点(POS)终端之类的其他专用硬件是端点设备的一些示例。
可指示恶意软件感染的症状的一些示例包括存储可疑文件,修改某些文件(例如,隐藏的系统文件),删除某些文件,更改注册表项,运行可疑进程,在异常情况下播放声音,打开对话框,通过网络接收可疑消息,冻结,崩溃,整体上缓慢运行,禁用某些类型的应用程序(例如,防病毒程序),在未经用户同意的情况下创建新的桌面图标,更改系统安全设置,在未经用户同意的情况下打开或关闭程序,在未经用户批准的情况下向多个收件人发送电子邮件,显示弹出广告,在未经用户批准的情况下更改默认搜索引擎,在Web浏览器中安装新工具栏,执行宏,重定向到除了由点击的链接指示的网页以外的网页,增加正在运行的进程的数量,禁用防火墙,或更改硬盘驱动器的名称或卷的名称。
附图说明
图1示出根据一个实施方案的可用于应用本公开的技术的示例性计算环境。
图2示出根据一个实施方案的网络边缘设备和端点排名器的示例性详细视图。
图3示出根据一个实施方案的示例性端点简档的详细视图。
图4示出根据一个实施方案的事件记录的详细示例。
图5A是根据一个实施方案的示出根据示例的端点排名器程序的过程的流程图。
图5B是根据一个实施方案的示出根据示例的端点排名器程序的另一个过程的另一个流程图。
图6示出根据一个实施方案的允许用户与网络的端点排名器接合的图形用户界面(GUI)的示例。
图7示出根据一个实施方案的允许用户编辑端点简档的图形用户界面(GUI)的示例。
图8示出根据一个实施方案的用于确定端点设备的怀疑分数的过程。
图9示出根据一个实施方案的可对企业网络中的端点进行排名的示例性端点排名系统。
具体实施方式
本文提出的实施方案提供了用于端点排名系统的技术,该端点排名技术可在确定网络中端点的端点分数时考虑到端点重要性、症状重要性和症状定时。端点排名器可根据怀疑分数生成并分类端点的列表。随着时间的推移,由于考虑症状定时的方式,列表可动态地演变。列表还可随着端点重要性和系统重要性的参数被修改而演变。
例如,在一些实施方案中,可将端点重要性权重分配给网络中的每个端点。可手动(例如,通过领域专家)或通过预定义函数来定义端点重要性权重。还可将症状重要性权重分配给症状类型。此外,可将衰减速率分配给症状类型。如同端点重要性权重,症状重要性权重和衰减速率可手动定义或通过预定义函数来定义。可基于来自症状类型的贡献的总和来计算在给定时间处的端点分数(即,怀疑分数),其中每个贡献的症状类型通过与症状类型相关联的症状重要性权重来加权。此外.可基于自症状事件发生以来经过的时间量,使用针对事件的症状类型的衰减速率来使个体症状事件的每个贡献以指数方式衰减。
图1示出根据一个实施方案的可用于应用本公开的技术的计算环境100。网络边缘设备104和端点设备108a-108b连接到企业网络102。网络边缘设备104可以是例如路由器,路由交换机,综合接入设备(IAD),或提供进入企业网络102的入口点的一些其他类型的设备。操作系统110a在端点设备108a上运行,而操作系统110b在端点设备108b上运行。应用程序112a在端点设备108a上运行,而应用程序112b在端点设备108b上运行。端点排名器106在网络边缘设备104上运行。
操作系统110a-110b可分别监视关于应用程序112a-112b的信息。端点设备108a-108b可将通过这样的监视收集的数据(即,遥测数据)报告给端点排名器106。数据可包括例如指示事件发生的端点设备被恶意软件感染的事件(即,症状事件)。还可将事件发生的时间戳报告给端点排名器106。
端点排名器106可基于遥测数据来确定端点设备108a-108b中的每个的怀疑分数。每个报告的事件都可对事件发生的设备的怀疑分数有贡献。可根据自事件发生以来经过的时间量来减少事件的贡献。端点排名器106可制作按怀疑分数分类的端点设备108a-108b的列表。列表可以按规则的间隔自动更新,因为在新症状事件发生并且较老的症状事件对怀疑分数的贡献减小时,端点设备的怀疑分数可随时间推移而变化。
图2示出根据一个实施方案的网络边缘设备104和端点排名器106的更详细视图。端点排名器106可包括端点简档114、症状事件列表118、分数计算器122和界面124。端点简档114可包括企业网络102中每个端点的端点简档。因此,端点简档114包括端点设备108a的端点简档以及端点设备108b的端点简档,如图所示。虽然图2中所示的示例仅示出了连接到企业网络102的两个端点设备,但是应当理解,可以存在更多数量的端点设备。
症状事件列表118可包括由端点设备108a-108b报告给网络边缘设备104的每个症状事件的事件记录。分数计算器122可基于端点简档114和症状事件列表118来计算端点设备108a-108b的怀疑分数。界面124可以是图形用户界面(GUI、),命令行界面,或允许具有管理特权的用户编辑端点简档114和分数计算器122的一些其他类型的界面。
在一个实施方案中,怀疑分数可以是在端点设备处发生的症状的时间衰减贡献的加权平均值。为了根据该示例提供更正式的定义,令字母j表示整数指数,并且令Ej表示网络中的第j个端点。另外,令Score(Ej)表示端点Ej的怀疑分数。
此外,令Wj表示分配给端点Ej的权重,该权重指示端点Ej的重要性。权重Wj可(例如,由用户)手动提供,或者可基于操作系统和在端点Ej上运行的应用程序来定义。一般来讲,随着端点Ej的重要性增加,权重Wj增加。换句话讲,权重Wj的相对高的值指示对端点Ej的高重要性,而权重Wj的相对低的值指示对端点Ej的低重要性。
此外,令i表示症状类型的整数指数,其中存在总共n个症状类型。令t表示给定症状类型的事件的时间戳。另外,令N(j,i,t)指在第j个端点(即,端点Ej)上的时间戳t处发生的第i个症状类型的事件的未衰减、未加权的贡献。在端点Ej上发生的第i个症状类型的所有事件的衰减贡献可由fi(Ej)表示,其中fi(Ej)由等式
定义,其中βi是第i个症状类型的衰减速率,并且τ是正在计算端点Ej的怀疑分数的参考时间。换句话讲,τ-t表示自时间戳t以来经过的时间量。符号
意指总和超过发生第i个症状类型的事件的所有时间戳。(如果第i个症状类型的多个事件恰好在同一时间发生,则总和可对多个事件中的每个冗余地使用相同的时间戳,使得所有多个事件相应地对求和有贡献)。如果需要,衰减速率βi可手动定义,或者使用预定义函数来确定。
除了分配给端点Ej的权重Wj之外,还可将权重分配给症状类型。令Wi表示分配给第i个症状类型的权重。此外,令Z表示可由等式
定义的归一化分量,其中存在总共n个症状类型(n因此是非负整数)。
鉴于该示例的上述定义,端点Ej的怀疑分数Score(Ej)可由等式
定义。因此,怀疑分数Score(Ej)取决于分配给端点Ej的权重Wj。一些症状可具有比其他症状的更高的权重,而一些症状可具有比其他症状更快的衰减速率。具有领域知识的用户可根据需要来配置权重和衰减速率。
图3示出根据一个实施方案的端点简档302的详细视图。端点简档302可对应于连接到企业网络的端点。端点简档302包括在端点上运行的应用程序的应用程序列表304以及识别在端点上运行的操作系统的操作系统属性306。
说明性地,端点简档还包括端点的端点重要性权重308。端点重要性权重308可由具有管理特权的用户手动定义。作为另外一种选择,端点重要性权重308可根据函数自动定义。函数可接收指示在端点上运行的操作系统和在端点上运行的应用程序的输入参数。示例性函数可例如使用散列,该散列使用操作系统名称和应用程序名称作为密钥。每个密钥可与散列中的值相关联。为了确定端点重要性权重308,函数可将与在端点上运行的操作系统的名称相关联的散列值和与在端点上运行的应用程序的名称相关联的散列值求和。这是可使用的函数的一个示例,但是可使用许多其他函数来确定端点重要性权重308。
端点简档还包括衰减速率310。每个衰减速率可与症状类型相关联。在端点设备处发生的每个症状事件也可与症状类型相关联。基于与事件的症状类型相关联的衰减速率,可随时间推移而减少事件对端点的怀疑分数的贡献。在一些实施方案中,基于衰减速率310中的衰减速率,症状事件的贡献可以指数方式衰减。衰减速率可由具有管理特权的用户手动定义。作为另外一种选择,衰减速率可根据函数自动定义。函数可接收指示事件流的输入参数。
端点简档302还可包括症状权重312。每个症状权重可与症状类型相关联。事件对端点的怀疑分数的贡献可使用与事件的症状类型相关联的症状权重作为系数。症状权重可由具有管理特权的用户手动定义。作为另外一种选择,症状权重可根据函数自动定义。函数可接收指示事件流的输入参数。
图4示出根据一个实施方案的事件记录402的详细示例。事件记录402包括指示事件发生的端点的端点属性404。事件记录402还包括指示与事件相关联的症状类型的症状类型属性406。事件记录402还包括指示事件发生的时间的事件时间戳410。
图5A是根据一个实施方案的示出根据示例的端点排名器程序的过程500a的流程图。过程500a可被实现为方法或者可作为机器上的指令(例如,由一个或多个处理器)来执行,其中指令包括在至少一个计算机可读存储介质(例如,暂时或非暂时性计算机可读存储介质)上。
在框502处,端点排名器程序识别网络中的端点设备。端点设备可与用于将端点设备与网络上的其他设备区分开的标识符相关联。如在框504中,可以确定是否已经(例如,由用户)为端点设备提供了端点重要性权重。如果端点重要性权重尚未被提供,则框506可被执行以确定端点重要性权重。可例如使用接收描述端点的输入参数(例如,指示在端点设备上运行的操作系统和/或应用程序的参数)的函数来确定端点重要性权重。
在框508处,端点排名器程序识别在端点设备处发生的症状事件。如在框510中,可识别症状事件的症状类型、症状权重和衰减速率。在一些示例中,可在端点的端点简档中定义症状类型、症状权重和衰减速率。
在框512处,端点排名器程序识别症状事件的时间戳(例如,在症状事件的事件记录中)。在框514处,端点排名器程序基于症状权重、衰减速率和时间戳来计算症状事件的症状事件贡献。症状权重可例如用作系数,并且衰减速率可用于基于自时间戳以来经过的时间量来使症状事件贡献以指数方式衰减。
在框516处,端点排名器程序将症状事件贡献与在端点设备处发生的症状事件的症状事件贡献的总和相加。
在框518处,端点排名器程序确定端点设备处是否发生了任何附加症状事件。如果发生了附加症状事件,则可对于每个附加症状事件重复框508-516。在一些示例中,可并行地(例如,经由多线程)对于多个症状事件执行框508-516。
在520处,如果在端点设备处尚未发生附加症状事件,则端点排名器程序计算端点设备的怀疑分数。怀疑分数可基于端点设备的权重(即,端点重要性权重)并且基于症状事件贡献的总和。在一个示例中,端点设备的权重可用作乘以症状事件贡献总和的系数。
在框522处,端点排名器程序确定网络中是否存在需要计算怀疑分数的任何附加端点设备。如果存在,则端点排名器程序可对于每个附加端点设备重复框502-520。在一些示例中,端点排名器程序可并行地(例如,经由多线程)对于多个端点设备执行框502-520。
在框524处,一旦计算出网络中的端点设备的怀疑分数,端点设备的列表便可被分类并且提供以供呈现。
图5B是根据一个实施方案的示出根据示例的端点排名器程序的过程500b的流程图。过程500b可被实现为方法或者可作为机器上的指令(例如,由一个或多个处理器)来执行,其中指令包括在至少一个计算机可读存储介质(例如,暂时或非暂时性计算机可读存储介质)上。
在框526处,端点排名器程序识别网络中的端点设备。端点设备可与用于将端点设备与网络上的其他设备区分开的标识符相关联。如在框528中,可以确定是否已经(例如,由用户)为端点设备提供了端点重要性权重。如果端点重要性权重尚未被提供,则框530可被执行以确定端点重要性权重。可例如使用接收描述端点的输入参数(例如,指示在端点设备上运行的操作系统和/或应用程序的参数)的函数来确定端点重要性权重。
在框532处,端点排名器程序识别具有相关联症状权重和症状衰减速率的症状类型。在一些示例中,症状权重和症状衰减速率可在端点设备的简档中找到。
在框534处,端点排名器程序识别具有症状类型并且在端点设备处发生的症状事件。端点排名器程序还可识别症状事件的时间戳。在一些示例中,症状事件的事件记录可指示症状类型和时间戳。
在框536处,端点排名器程序计算症状事件的症状事件贡献。症状事件贡献可基于症状权重、衰减速率和时间戳。症状权重可例如用作系数,并且衰减速率可用于基于自时间戳以来经过的时间量来使症状事件贡献以指数方式衰减。
在框538处,端点排名器程序将症状事件贡献与症状类型的总和相加。在框540处,端点排名器程序确定端点设备处是否发生了症状类型的任何附加症状事件。如果发生了症状类型的附加症状事件,则端点排名器程序可对于症状类型的每个附加症状事件重复框534-538。在一些示例中,端点排名器程序可并行地(例如,经由多线程)对于症状类型的多个症状事件执行框534-538。
在框542处,端点排名器程序将症状类型的总和与端点设备的各个症状类型的总和相加。在框544处,端点排名器程序确定是否存在要为端点设备考虑的任何附加症状类型。换句话讲,可以确定在端点设备处发生的任何症状事件是否与尚未计算总和的任何症状类型相关联。如果存在要考虑的附加症状类型,端点排名器程序可对于每个附加症状类型重复框532-542。在一些示例中,端点排名器程序可并行地(例如,经由多线程)对于多个症状类型执行框532-542。
在框546处,如果不存在附加症状类型,端点排名器程序计算端点设备的怀疑分数。怀疑分数可基于端点设备的权重(即,端点重要性权重)并且基于端点设备的总和的总和。在一个示例中,端点排名器程序使用端点设备的权重作为乘以端点设备的总和的总和的系数。
在框548处,端点排名器程序确定网络中是否存在需要计算怀疑分数的任何附加端点设备。如果存在,则端点排名器程序可对于每个附加端点设备重复框526-546。在一些示例中,端点排名器程序可并行地(例如,经由多线程)对于多个端点设备执行框526-546。
在框550处,一旦计算出网络中的端点设备的怀疑分数,端点排名器程序便可创建端点设备的列表并且对其进行分类,并且提供该列表以供呈现。
如果给定相同的输入,则过程500b和过程500a通常将为网络中的端点设备产生相同的怀疑分数。然而,如果使用过程500b,则症状类型的总和可用于可能希望检查特定症状类型的多少症状事件对总怀疑分数有贡献的用户。
此外,在一些实施方案中,端点排名器程序可阻止具有超过一定阈值的怀疑分数的端点设备执行可疑动作。可疑动作可以是这样的动作:如果执行,则该动作将导致症状事件。端点排名器程序可通过发信号通知端点设备不执行该动作或者通过拒绝允许端点设备使用完成动作所需的一些资源来阻止怀疑动作。
图6示出根据一个实施方案的可被提供以允许用户与网络的端点排名器接合的图形用户界面(GUI)600的示例。GUI 600可包括表652,该表呈现根据怀疑分数来分类的端点的列表。行626-644中的每个提供关于网络中的特定端点的信息。
表652包括标题行624,该标题行识别列610-622中的每个中包含哪些类型的数据。例如,列610包括列出的端点的标识符,并且列612包括在端点上运行的操作系统的名称。当用户在字段602中点击时,下拉菜单可允许用户指定仅应该在表中显示运行某些操作系统的端点。
列614包括端点的怀疑排名。在图6的示例中,随着怀疑分数增加,怀疑排名下降。因此,怀疑排名为1的端点(与标识符“srvr-A”相关联的端点)是表652中具有最高怀疑分数的端点。如图所示,列614包括每个端点的数字,该数字指示自上次更新表652以来怀疑排名已经改变了多少个位置。
列616指示表652中的端点所属的组。在点击按钮608后,可向用户示出允许用户指定仅应该在表652中显示属于某些指定组的端点的菜单。
列618指示当前登录到端点的用户。列620可指示当前在表652中的每个端点上存储或使用的可疑文件的数量。在点击字段604的箭头后,可向用户示出下拉菜单,该下拉菜单允许用户指定仅应该在表652中显示存储或使用可疑文件的端点。
列622指示在表652中的每个端点处已发生的入侵保护系统(IPS)事件(例如,症状事件)的数量。在点击字段606的箭头后,可向用户示出下拉菜单,该下拉菜单允许用户指定仅应该在表652中显示已经发生了某些类型的事件的端点。
页面指示符648指示当前正在表652中显示排名端点的哪个页面。框650可允许用户指定每次应该在表652中显示的端点的行数。用户可点击刷新按钮646以发信号通知端点排名器以重新计算网络中端点的怀疑分数。
图7示出根据一个实施方案的图形用户界面(GUI)700的示例,该图形用户界面可被提供以允许用户编辑包括端点排名器的网络中的端点的端点简档。
在点击按钮702后,可向用户示出允许用户编辑与网络中的端点相关联的标识符的菜单。此外,在点击按钮704后,可向用户示出允许用户指定在端点上运行的操作系统的菜单。此外,在点击按钮706后,可向用户示出允许用户指定端点所属的组的菜单。
单选按钮708和710可允许用户选择如何确定端点的端点重要性权重。如果选择单选按钮708(如图所示),则可使用函数确定端点重要性权重。复选框712可用于指示在端点处运行的操作系统要用作函数的输入参数,而复选框713可用于指示在端点处运行的应用程序应该用作函数的输入参数。相反,如果选择单选按钮710,则用户可将端点重要性权重手动输入到字段714中。
表752可包括标题行722,该标题行识别列716-720中的每个中包含哪些类型的数据。例如,列716包括由行724-730描述的症状的症状类型。列718指定与症状类型相关联的衰减速率。基于与事件的症状类型相关联的衰减速率,可随时间推移而减少事件对端点的怀疑分数的贡献。例如,如果事件是注册表更改,则事件对端点的怀疑分数的贡献可基于字段734中所示的衰减速率“1.1”以指数方式衰减。
列720指定与症状类型相关联的权重。与症状类型相关联的权重可用作帮助确定症状类型的多少事件对端点设备的怀疑分数有贡献的系数。例如,如果事件是执行弹出广告,则弹出广告事件的适用权重可以是“2.5”,如字段744中所示。
为了编辑症状类型的衰减速率,用户可点击字段734-740中的任一个并且根据需要输入更新的衰减速率。为了编辑症状类型的权重,用户可点击字段742-748中的任一个并且根据需要输入更新的权重。如果存在用户希望检查的附加症状类型,则用户可点击箭头图标732以便发信号通知GUI700在表752中显示附加症状类型的附加行。此外,用户可点击按钮750以保存用户已对衰减速率或权重所做的更改。
图8示出根据一个实施方案的用于确定端点设备的怀疑分数的过程800。过程800可被实现为方法或者可作为机器上的指令(例如,由一个或多个处理器)来执行,其中指令包括在至少一个计算机可读存储介质(例如,暂时或非暂时性计算机可读存储介质)上。
在框802处,端点排名器程序可识别连接到网络的端点设备以及端点设备的端点重要性权重。在一些示例中,端点排名器程序还可基于在端点设备上运行的操作系统或基于在端点设备上运行的一个或多个应用程序来确定端点重要性权重。
在框804处,端点排名器程序识别一个或多个症状类型以及一个或多个症状类型的一个或多个相应的症状重要性权重。在一些示例中,端点排名器程序可经由输入设备从用户接收端点重要性权重或者一个或多个相应的症状重要性权重。
在框806处,端点排名器程序识别在一个或多个相应时间戳处在端点设备处发生的一个或多个事件,其中一个或多个事件与一个或多个症状类型相关联。
在框808处,端点排名器程序基于端点重要性权重并且基于一个或多个事件的相应贡献来确定端点设备的怀疑分数。在一些示例中,端点排名器程序计算事件贡献的总和。端点排名器程序还可使用症状重要性权重的总和来使事件贡献的总和归一化。
端点排名器程序基于自事件发生的时间戳以来经过的时间量来减少事件对怀疑分数的贡献。具体地讲,端点排名器程序可基于自事件发生的时间戳以来经过的时间量并且基于与事件的症状类型相关联的衰减速率来使贡献以指数方式衰减。
此外,可基于与事件相关联的症状类型的症状重要性权重来缩放事件的贡献。
此外,在一些实施方案中,端点排名器程序可阻止端点设备基于怀疑分数来执行可疑动作。可疑动作可以是这样的动作:如果执行,则该动作将导致症状事件。端点排名器程序可通过发信号通知设备不执行该动作或者通过拒绝允许端点设备使用完成动作所需的一些资源来阻止怀疑动作。
图9示出根据一个实施方案的可对企业网络中的端点进行排名的示例性端点排名系统900。如图所示,端点排名系统900包括但不限于中央处理单元(CPU)902,可允许各种I/O设备914(例如,键盘、显示器、鼠标设备、笔输入等)到端点排名系统900的连接的一个或多个输入/输出(I/O)设备接口904,网络接口906,存储器908,存储装置910和互连件912。
CPU 902可检索并执行存储在存储器908中的编程指令。类似地,CPU 902可检索并存储驻留在存储器908中的应用程序数据。互连件912在CPU 902、I/O设备接口904、网络接口906、存储器908和存储装置910之间传输编程指令和应用程序数据。CPU 902可表示单个CPU、多个CPU、具有多个处理核心的单个CPU等。另外,存储器906表示随机存取存储器。此外,存储装置910可以是磁盘驱动器。尽管示出为单个单元,但是存储装置910可以是固定和/或可移除存储设备的组合,所述固定和/或可移除存储设备诸如为固定磁盘驱动器、可移除存储卡或光学存储装置、附网存储装置(NAS)或存储区域网(SAN)。
如图所示,存储器908包括分数计算器122和界面124。分数计算器122可基于端点简档114和症状事件列表118来计算端点设备的怀疑分数。界面124可以是图形用户界面(GUI),命令行界面,或允许具有管理特权的用户编辑端点简档114和分数计算器122的一些其他类型的界面。
如图所示,存储装置810包括端点简档114、事件记录402和症状事件列表118。端点简档302中的每个可对应于连接到企业网络的端点。端点简档114中的每个可包括在端点上运行的应用程序的应用程序列表以及识别在端点上运行的操作系统的操作系统属性。此外,端点简档114中的每个可包括其相应端点的端点重要性权重。
此外,端点简档114中的每个还可包括衰减速率。每个衰减速率可与症状类型相关联。症状事件列表中的每个事件可与症状类型相关联。端点简档114中的每个还可包括症状权重。每个症状权重可与症状类型相关联。
实施例
以下实施例涉及特定实施方案并且指出可在实现此类实施方案中使用或以其他方式组合的特定特征或要素。
实施例1包括用于确定端点设备的怀疑分数的方法,该方法包括:识别连接到网络的端点设备以及端点设备的端点重要性权重;识别一个或多个症状类型以及一个或多个症状类型的一个或多个相应的症状重要性权重;识别在一个或多个相应时间戳处在端点设备处发生的一个或多个事件,其中一个或多个事件与一个或多个症状类型相关联;以及基于端点重要性权重并且基于一个或多个事件的相应贡献来计算端点设备的怀疑分数,其中事件对怀疑分数的贡献基于自事件发生的时间戳以来经过的时间量而减小,并且其中基于与事件相关联的症状类型的症状重要性权重来缩放事件的贡献。
在实施例2中,实施例1或本文所述的实施例中的任一项的主题还可包括基于在端点设备上运行的操作系统或基于在端点设备上运行的一个或多个应用程序来确定端点重要性权重。
在实施例2中,实施例1或本文所述的实施例中的任一项的主题还可包括计算端点设备的怀疑分数包括基于自事件发生的时间戳以来经过的时间量并且基于与和事件相关联的症状类型相关联的衰减速率来使事件的贡献以指数方式衰减。
在实施例4中,实施例1或本文所述的实施例中的任一项的主题还可包括计算端点设备的怀疑分数包括:计算事件贡献的总和;并且使用症状重要性权重的总和来使事件贡献的总和归一化。
在实施例5中,实施例1或本文所述的实施例中的任一项的主题还可包括阻止端点设备基于怀疑分数来执行动作。
在实施例6中,实施例1或本文所述的实施例中的任一项的主题还可包括在显示器上向用户呈现怀疑分数作为网络上端点设备的怀疑分数的列表的一部分。
在实施例7中,实施例1或本文所述的实施例中的任一项的主题还可包括经由输入设备从用户接收端点重要性权重或者一个或多个相应的症状重要性权重。
实施例8包括包含指令的计算机可读存储介质,当由一个或多个处理器执行时,所述指令执行用于确定端点设备的怀疑分数的操作,该操作包括:识别连接到网络的端点设备以及端点设备的端点重要性权重;识别一个或多个症状类型以及一个或多个症状类型的一个或多个相应的症状重要性权重;识别在一个或多个相应时间戳处在端点设备处发生的一个或多个事件,其中一个或多个事件与一个或多个症状类型相关联;以及基于端点重要性权重并且基于一个或多个事件的相应贡献来计算端点设备的怀疑分数,其中事件对怀疑分数的贡献基于自事件发生的时间戳以来经过的时间量而减小,并且其中基于与事件相关联的症状类型的症状重要性权重来缩放事件的贡献。
在实施例9中,实施例8或本文所述的实施例中的任一项的主题还可包括:基于在端点设备上运行的操作系统或基于在端点设备上运行的一个或多个应用程序来确定端点重要性权重。
在实施例10中,实施例8或本文所述的实施例中的任一项的主题还可包括计算端点设备的怀疑分数包括基于自事件发生的时间戳以来经过的时间量并且基于与和事件相关联的症状类型相关联的衰减速率来使事件的贡献以指数方式衰减。
在实施例11中,实施例8或本文所述的实施例中的任一项的主题还可包括计算端点设备的怀疑分数包括:计算事件贡献的总和;并且计算端点设备的怀疑分数包括使用症状重要性权重的总和来使事件贡献的总和归一化。
在实施例12中,实施例8或本文所述的实施例中的任一项的主题还可包括阻止端点设备基于怀疑分数来执行动作。
在实施例13中,实施例8或本文所述的实施例中的任一项的主题还可包括在显示器上向用户呈现怀疑分数作为网络上端点设备的怀疑分数的列表的一部分。
在实施例14中,实施例8或本文所述的实施例中的任一项的主题还可包括经由输入设备从用户接收端点重要性权重或者一个或多个相应的症状重要性权重。
实施例15包括系统,该系统包括:一个或多个处理器;以及存储一个或多个应用程序的存储器,当在一个或多个处理器上执行时,所述应用程序执行操作,该操作包括:识别连接到网络的端点设备以及端点设备的端点重要性权重;识别一个或多个症状类型以及一个或多个症状类型的一个或多个相应的症状重要性权重;识别在一个或多个相应时间戳处在端点设备处发生的一个或多个事件,其中一个或多个事件与一个或多个症状类型相关联;以及基于端点重要性权重并且基于一个或多个事件的相应贡献来计算端点设备的怀疑分数,其中事件对怀疑分数的贡献基于自事件发生的时间戳以来经过的时间量而减小,并且其中基于与事件相关联的症状类型的症状重要性权重来缩放事件的贡献。
在实施例16中,实施例15或本文所述的实施例中的任一项的主题还可包括基于在端点设备上运行的操作系统或基于在端点设备上运行的一个或多个应用程序来确定端点重要性权重。
在实施例17中,实施例15或本文所述的实施例中的任一项的主题还可包括计算端点设备的怀疑分数包括基于自事件发生的时间戳以来经过的时间量并且基于与和事件相关联的症状类型相关联的衰减速率来使事件的贡献以指数方式衰减。
在实施例18中,实施例15或本文所述的实施例中的任一项的主题还可包括计算端点设备的怀疑分数包括:计算事件贡献的总和;并且使用症状重要性权重的总和来使事件贡献的总和归一化。
在实施例19中,实施例15或本文所述的实施例中的任一项的主题还可包括阻止端点设备基于怀疑分数来执行动作。
在实施例20中,实施例15或本文所述的实施例中的任一项的主题还可包括在显示器上向用户呈现怀疑分数作为网络上端点设备的怀疑分数的列表的一部分。
在实施例21中,实施例15或本文所述的实施例中的任一项的主题还可包括经由输入设备从用户接收端点重要性权重或者一个或多个相应的症状重要性权重。
虽然前述内容涉及本公开的实施方案,但是在不脱离本公开的基本范围的情况下,可设计本公开的其他和进一步的实施方案,并且本公开的范围由随后的权利要求书确定。
Claims (18)
1.一种用于确定端点设备的怀疑分数的方法,所述方法包括:
识别连接到网络的所述端点设备;
通过将与所述端点设备的操作系统的名称相关联的散列值和与在所述端点设备上运行的一或多个应用程序的名称相关联的散列值求和,以基于指示在所述端点设备上运行的所述一或多个应用程序的经接收的输入参数来确定针对所述端点设备的端点重要性权重;
确定所述端点设备上的一个或多个症状;
识别关联于所述一个或多个症状的一个或多个症状类型以及所述一个或多个症状类型的一个或多个相应的症状重要性权重;
识别在一个或多个相应时间戳处在所述端点设备处发生的一个或多个事件,其中所述一个或多个事件与所述一个或多个症状类型相关联;
确定所述一个或多个事件中的至少一个事件是所述端点设备内部的事件,其中所述端点设备内部的所述事件关联于内部症状类型;
基于所述端点重要性权重、基于所述一个或多个事件的相应贡献以及基于所述端点设备内部的所述事件来计算所述端点设备的所述怀疑分数,其中事件对所述怀疑分数的贡献基于自所述事件发生的时间戳以来经过的时间量而减小,并且其中基于与所述事件相关联的症状类型的症状重要性权重来缩放所述事件的所述贡献;以及
基于所述怀疑分数阻止所述端点设备执行动作。
2.根据权利要求1所述的方法,其中计算所述端点设备的所述怀疑分数包括基于自所述事件发生的所述时间戳以来经过的所述时间量并且基于与和所述事件相关联的所述症状类型相关联的衰减速率来使所述事件的贡献以指数方式衰减。
3.根据权利要求1所述的方法,其中计算所述端点设备的所述怀疑分数包括:
计算事件贡献的总和;以及
使用所述症状重要性权重的总和来使事件贡献的所述总和归一化。
4.根据前述权利要求1所述的方法,还包括:
计算针对所述网络上的多个端点设备的怀疑分数;以及
基于所述怀疑分数对所述网络上的所述多个端点设备进行排名。
5.根据前述权利要求1所述的方法,还包括:
在显示器上呈现所述怀疑分数作为所述网络上端点设备的怀疑分数的列表的一部分。
6.根据权利要求1所述的方法,还包括:
经由输入设备接收所述端点重要性权重或所述一个或多个相应的症状重要性权重。
7.一种非暂时性计算机可读存储介质,其包含指令,当所述指令被一或多个处理器执行时进行用于确定针对端点设备的怀疑分数的操作,所述操作包括:
识别连接到网络的所述端点设备;
通过将与所述端点设备的操作系统的名称相关联的散列值和与在所述端点设备上运行的一或多个应用程序的名称相关联的散列值求和,以基于指示在所述端点设备上运行的所述一或多个应用程序的经接收的输入参数来确定针对所述端点设备的端点重要性权重;
确定所述端点设备上的一个或多个症状;
识别关联于所述一个或多个症状的一个或多个症状类型以及所述一个或多个症状类型的一个或多个相应的症状重要性权重;
识别在一个或多个相应时间戳处在所述端点设备处发生的一个或多个事件,其中所述一个或多个事件与所述一个或多个症状类型相关联;
确定所述一个或多个事件中的至少一个事件是所述端点设备内部的事件,其中所述端点设备内部的所述事件关联于内部症状类型;
基于所述端点重要性权重、基于所述一个或多个事件的相应贡献以及基于所述端点设备内部的所述事件来计算所述端点设备的所述怀疑分数,其中事件对所述怀疑分数的贡献基于自所述事件发生的时间戳以来经过的时间量而减小,并且其中基于与所述事件相关联的症状类型的症状重要性权重来缩放所述事件的所述贡献;以及
基于所述怀疑分数阻止所述端点设备执行动作。
8.根据权利要求7所述的非暂时性计算机可读存储介质,其中计算所述端点设备的所述怀疑分数包括基于自所述事件发生的所述时间戳以来经过的所述时间量并且基于与和所述事件相关联的所述症状类型相关联的衰减速率来使所述事件的贡献以指数方式衰减。
9.根据权利要求7所述的非暂时性计算机可读存储介质,其中计算所述端点设备的所述怀疑分数包括:
计算事件贡献的总和;以及
使用所述症状重要性权重的总和来使事件贡献的所述总和归一化。
10.根据权利要求7所述的非暂时性计算机可读存储介质,其中所述操作进一步包括:
计算针对所述网络上的多个端点设备的怀疑分数;以及
基于所述怀疑分数对所述网络上的所述多个端点设备进行排名。
11.根据权利要求7所述的非暂时性计算机可读存储介质,其中所述操作进一步包括:
在显示器上呈现所述怀疑分数作为所述网络上端点设备的怀疑分数的列表的一部分。
12.根据权利要求7所述的非暂时性计算机可读存储介质,其中所述操作进一步包括:
经由输入设备接收所述端点重要性权重或所述一个或多个相应的症状重要性权重。
13.一种系统,包括:
一或多个处理器;以及
存储器,其存储一或多个应用程序,当所述一或多个应用程序被所述一或多个处理器执行时进行操作,所述操作包括:
识别连接到网络的端点设备;
通过将与所述端点设备的操作系统的名称相关联的散列值和与在所述端点设备上运行的一或多个应用程序的名称相关联的散列值求和,以基于指示在所述端点设备上运行的所述一或多个应用程序的经接收的输入参数来确定针对所述端点设备的端点重要性权重;
识别关联于所述一个或多个症状的一个或多个症状类型以及所述一个或多个症状类型的一个或多个相应的症状重要性权重;
识别在一个或多个相应时间戳处在所述端点设备处发生的一个或多个事件,其中所述一个或多个事件与所述一个或多个症状类型相关联;
确定所述一个或多个事件中的至少一个事件是所述端点设备内部的事件,其中所述端点设备内部的所述事件关联于内部症状类型;
基于所述端点重要性权重、基于所述一个或多个事件的相应贡献以及基于所述端点设备内部的所述事件来计算所述端点设备的怀疑分数,其中事件对所述怀疑分数的贡献基于自所述事件发生的时间戳以来经过的时间量而减小,并且其中基于与所述事件相关联的症状类型的症状重要性权重来缩放所述事件的所述贡献;以及
基于所述怀疑分数阻止所述端点设备执行动作。
14.根据权利要求13所述的系统,其中计算所述端点设备的所述怀疑分数包括:
基于自所述事件发生的所述时间戳以来经过的所述时间量并且基于与和所述事件相关联的所述症状类型相关联的衰减速率来使所述事件的贡献以指数方式衰减。
15.根据权利要求13所述的系统,其中用于计算所述端点设备的所述怀疑分数包括:
计算事件贡献的总和;以及
使用所述症状重要性权重的总和来使事件贡献的所述总和归一化。
16.根据权利要求13所述的系统,其中所述操作还包括:
计算针对所述网络上的多个端点设备的怀疑分数;以及
基于所述怀疑分数对所述网络上的所述多个端点设备进行排名。
17.根据权利要求13所述的系统,其中所述操作还包括:
在显示器上呈现所述怀疑分数作为所述网络上端点设备的怀疑分数的列表的一部分。
18.根据权利要求13所述的系统,其中所述操作还包括:
经由输入设备接收所述端点重要性权重或所述一个或多个相应的症状重要性权重。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/198778 | 2016-06-30 | ||
| US15/198,778 US10491626B1 (en) | 2016-06-30 | 2016-06-30 | Dynamically ranking and presentation of endpoints based on age of symptoms and importance of the endpoint in the environment |
| PCT/US2017/029688 WO2018004810A1 (en) | 2016-06-30 | 2017-04-26 | Dynamic ranking and presentation of endpoints based on age of symptoms and importance of the endpoint in the environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109643349A CN109643349A (zh) | 2019-04-16 |
| CN109643349B true CN109643349B (zh) | 2023-04-11 |
Family
ID=58708025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780035297.7A Active CN109643349B (zh) | 2016-06-30 | 2017-04-26 | 基于症状时长以及端点在环境中的重要性的端点的动态排名和呈现 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10491626B1 (zh) |
| EP (1) | EP3479279B1 (zh) |
| JP (1) | JP2019518291A (zh) |
| CN (1) | CN109643349B (zh) |
| WO (1) | WO2018004810A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10785238B2 (en) * | 2018-06-12 | 2020-09-22 | Secureworks Corp. | Systems and methods for threat discovery across distinct organizations |
| US20200133979A1 (en) * | 2018-10-24 | 2020-04-30 | Scivera LLC | Computer-implemented method for quantifying chemical hazard assessment |
| US10880377B2 (en) | 2019-04-05 | 2020-12-29 | Netapp, Inc. | Methods and systems for prioritizing events associated with resources of a networked storage system |
| US11321157B2 (en) | 2020-08-31 | 2022-05-03 | Northrop Grumman Systems Corporation | Method of operating a digital system operable in multiple operational states and digital system implementing such method |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005107726A (ja) * | 2003-09-29 | 2005-04-21 | Ntt Communications Kk | セキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7409721B2 (en) * | 2003-01-21 | 2008-08-05 | Symantac Corporation | Network risk analysis |
| US8707431B2 (en) * | 2007-04-24 | 2014-04-22 | The Mitre Corporation | Insider threat detection |
| JP5413010B2 (ja) * | 2009-07-17 | 2014-02-12 | 日本電気株式会社 | 分析装置、分析方法およびプログラム |
| US20150242632A1 (en) * | 2009-11-17 | 2015-08-27 | William Michael Lay | Computer-based risk signature generation and comparison system |
| US8683598B1 (en) | 2012-02-02 | 2014-03-25 | Symantec Corporation | Mechanism to evaluate the security posture of a computer system |
| JP6028358B2 (ja) * | 2012-03-23 | 2016-11-16 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
| GB2505398B (en) * | 2012-07-04 | 2014-08-13 | F Secure Corp | Social network protection system |
| US10356204B2 (en) * | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
| US20140359777A1 (en) * | 2013-05-31 | 2014-12-04 | Fixmo, Inc. | Context-aware risk measurement mobile device management system |
| WO2015138513A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Detecting network intrusions using layered host scoring |
-
2016
- 2016-06-30 US US15/198,778 patent/US10491626B1/en active Active
-
2017
- 2017-04-26 CN CN201780035297.7A patent/CN109643349B/zh active Active
- 2017-04-26 JP JP2018566310A patent/JP2019518291A/ja active Pending
- 2017-04-26 EP EP17723573.6A patent/EP3479279B1/en active Active
- 2017-04-26 WO PCT/US2017/029688 patent/WO2018004810A1/en unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005107726A (ja) * | 2003-09-29 | 2005-04-21 | Ntt Communications Kk | セキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3479279A1 (en) | 2019-05-08 |
| JP2019518291A (ja) | 2019-06-27 |
| WO2018004810A1 (en) | 2018-01-04 |
| EP3479279B1 (en) | 2024-01-03 |
| CN109643349A (zh) | 2019-04-16 |
| US10491626B1 (en) | 2019-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220174088A1 (en) | Resource-centric network cyber attack warning system | |
| US11516237B2 (en) | Visualization and control of remotely monitored hosts | |
| US10002144B2 (en) | Identification of distinguishing compound features extracted from real time data streams | |
| US11089034B2 (en) | Systems and methods for behavioral threat detection | |
| US11487880B2 (en) | Inferring security incidents from observational data | |
| CN109643349B (zh) | 基于症状时长以及端点在环境中的重要性的端点的动态排名和呈现 | |
| US10592308B2 (en) | Aggregation based event identification | |
| US7039953B2 (en) | Hierarchical correlation of intrusion detection events | |
| US11061756B2 (en) | Enabling symptom verification | |
| US10728262B1 (en) | Context-aware network-based malicious activity warning systems | |
| US8713535B2 (en) | Reliable and accurate usage detection of a software application | |
| US20030041264A1 (en) | Presentation of correlated events as situation classes | |
| US20160344762A1 (en) | Method and system for aggregating and ranking of security event-based data | |
| CN109154965B (zh) | 用于使用3d抽象建模的离散时间参考中的威胁事件证实的系统和方法 | |
| JP6939906B2 (ja) | 異常検知装置 | |
| WO2021225692A1 (en) | Detection of slow brute force attacks based on user-level time series analysis | |
| JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
| US20200244693A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
| JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| Pannell et al. | Anomaly detection over user profiles for intrusion detection | |
| JP2012093804A (ja) | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム | |
| US20070204343A1 (en) | Presentation of Correlated Events as Situation Classes | |
| US10388040B2 (en) | Modeling actor and asset relationships | |
| WO2022264650A1 (ja) | サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム | |
| JP6575327B2 (ja) | 工数推定プログラム、工数推定方法及び工数推定装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200102 Address after: California, USA Applicant after: CA, Inc. Address before: California, USA Applicant before: Symantec Corp. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |